本文由@呆代待殆原创,转载请注明出处。
一、PolicySet的结构
PolicySet 的基本嵌套结构如上图所示,下面让我们一个一个来说明。
PolicySet:XACML策略架构的顶层元素,由PolicySetId、Version、PolicyCombiningAlgld、Target、Policy、ObligationExpressions、AdviceExpressions以及其他PolicySet组成
PolicySetId:PolicySet的唯一标识用来确保PAP和PDP没有两个相同的标识,相当于人的身份证号码。
Version:PolicySet的版本号
PolicyCombiningAlgld:PolicySet所采用的组合算法,policySet会包含多个policies或者PolicySets,所以有时候一个请求会返回多个结果(Permit,Deny,NotApplicable,Indeterminate)所以需要有能调和这种情况的机制,于是提 出了combining Algorithms,举一个常用的算法当例子。
Deny-overrides:
1, 如果有一个Deny出现,则最终结果为Deny。
2, 若上述不满足,若有一个Indeterminate{DP} 则最终为Indeterminate{DP}。
3, 若上述都不满足,若有一个Indeterminate{D},且其他都为Indeterminate{P}或Permit,则结果为Indeterminate{DP}。
4, 若上述都不满足,若有一个是Indeterminate{D},则结果为Indeterminate{D}。
5, 若上述都不满足,若有一个是Permit,则结果为Permit。
6, 若上述都不满足,若有一个是Indeterminate{P},这结果是Indeterminate{P}。
7, 若上述都不满足,则结果是NotApplicable。
ObligationExpressions与Advicexpressions:他们是可选的,可以是rule,policy或者policySet的组成部分,一个obligation是一个对PEP的指令,必须在access request被(拒绝/接受)之(前/后)被执行,用来执行一些额外的操作(如维护访问记录等),advice和obligation的唯一区别是advice可以被PEP忽略。
Target:定义了一组适用于PolicySet的request,当发来的request与target匹配时,说明PolicySet适用于request,Target可以由PolicySet的创建者声名也可以从policy元素用到的<Target>元素计算,包括4个基本元素,即资源(Resource)、主体(Subject)、动作(Actions)和环境(Environment)。
subject attributes:代表这个请求的发起者。
resource attributes:要访问的资源。
action attributes:要对资源执行的动作。
environment attribute:取决于可用的system sensor,可能包括系统时间、威胁等级threat level等等。
Policy:Policy元素是能提交PDP的最小实体,主要元素有PolicyId、Version、Target、Rule、ObligationExpressions、AdviceExpressions、CombinedDesicion。
PolicyId:Policy的Id。它是PAP的依赖确保PDP只可见一个持有相同Id的Policy。
Version:Policy的版本号。
RuleCombiningAlgld:规则组合算法,与PolicyCombiningAlgld类似理解即可。
Target:定义了一个Policy或一个决定请求集合的适用性。Target能够被Policy元素的构造者声明,也可能由被引用Rule元素中的target元素作交集或并集计算得到。
Rule:Rule元素应当定义在policy中的单个规则里。这个元素的主要组件分别是RuleId、Target、Condition、ObligationExpressions和AdviceExpressions以及Effect。
RuleId:验证所属规则的标识。
Effect:Rule被满足时返回的结果,可以取值Permit或者Deny。
Condition:Rule里需要被检验的断言。
标准定义如下,其中有些元素上面并没有提到:
二、request元素的结构
Request 元素的结构:主要包括ReturnPolicyIdList、CombinedDecision、Attributes
ReturnPolicyIdList:这个属性用于请求,PDP返回了一个完全可应用policy和policy set的列表,这些policy和policy set在决定中被用于作为一个决定回应。
CombinedDecision:这个属性提出通过PDP将多个决定合并成为一个单独决定的请求。
Attributes:通常有多个,用来表示请求属性的相关信息,一般包括subject、resource、action、environment或者其他access request。
标准定义如下,有些元素上面并没有提到:
本文参考:
[1] http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-os-en.html#_Toc325047147
[2] Ferraiolo, David, Chandramouli, Ramaswamy, Kuhn, Rick, et al. Extensible Access Control Markup Language (XACML) and Next Generation Access Control (NGAC)[C]// ACM International Workshop on Attribute Based Access Control. ACM, 2016.