xacml-3.0-core-spec-en翻译汇总.docx资源-CSDN文库

需积分: 12 169 浏览量 2012-11-20 16:23:31 上传评论 1 收藏 1.47MB DOCX 举报

XACML，全称为eXtensible Access Control Markup Language，是一种标准的语言，用于定义和实施访问控制策略。这个文档是对XACML 3.0核心规范的翻译汇总，旨在帮助理解该框架的关键概念和术语。 1. **Access**：访问指的是主体对资源执行操作的能力。在XACML中，访问控制是根据预定义的策略或策略集进行的。 2. **Access Control**：按照策略或策略集执行的访问控制，决定了主体是否可以对特定资源执行特定操作。 3. **Action**：动作是主体对资源可能执行的操作，如读取、写入、删除等。 4. **Advice**：当PDP（Policy Decision Point）做出决策时，可能会附加一些信息给PEP（Policy Enforcement Point），这被称为建议，提供了额外的执行指导。 5. **Applicable Policy**：一组适用于特定访问请求的策略和策略集，这些策略将被用来做出授权决策。 6. **Attribute**：主体、资源、动作或环境的特性，是用于决策的基本信息单元。 7. **Authorization Decision**：PDP根据适用的策略评估后的结果，返回给PEP。它可以是"Permit"（允许）、"Deny"（拒绝）、"Indeterminate"（不确定）或"NotApplicable"（不适用）。 8. **Bag**：一个无序的值集合，可能包含重复项，用于存储多个属性值。 9. **Condition**：一个表达式，如果评估为真或假，可以影响决策结果。 10. **Conjunctive sequence**：一系列使用逻辑"AND"操作连接的谓词，所有谓词必须为真，整个序列才为真。 11. **Context**：决定请求和授权决策的规范表示，包含了所有的上下文信息，如主体、资源、动作和环境。 12. **Context Handler**：负责将原始请求格式转化为XACML规范格式，以及将授权决策结果转化为原始响应格式的系统组件。 13. **Decision**：PDP评估规则、策略或策略集后得出的结果，可以是Permit、Deny、Indeterminate或NotApplicable。 14. **Decision Request**：PEP发送给PDP的请求，请求PDP做出授权决策。 15. **Disjunctive sequence**：一系列使用逻辑"OR"操作连接的谓词，只要有一个谓词为真，整个序列就为真。 16. **Effect**：规则、策略或策略集满足后的结果，可以是"Permit"（允许）或"Deny"（拒绝）。 17. **Environment**：与授权决策相关的属性集合，但与特定主体、资源或动作无关。 18. **Issuer**：在策略中描述资源属性的来源。 19. **Named attribute**：具有特定名称和类型的属性实例，由属性持有者的标识（可能是主体、资源、动作或环境）来确定。 20. **Obligation**：规则、策略或策略集中定义的操作，PEP在执行授权决策时需配合完成。 21. **Policy**：一组规则，由规则组合算法和（可选）义务或建议定义，也可以是策略集的一部分。 22. **Policy Administration Point (PAP)**：用于创建和管理策略或策略集的模块。 23. **Policy Combining Algorithm**：多策略决策和责任合并的过程。 24. **Policy Decision Point (PDP)**：计算适用策略并提供授权决策的系统组件。 25. **Policy Enforcement Point (PEP)**：制定访问请求并执行授权决策，以实现访问控制。 26. **Policy Information Point (PIP)**：提供属性值来源的系统组件，用于增强决策过程。 27. **Policy Set**：一组策略、其他策略集、一个策略组合算法和（可选）的义务或建议，可以嵌套在其他策略集中。 28. **Predicate**：一个声明，用于计算关于属性的真理性。 29. **Resource**：数据、服务或系统组件，是访问控制的对象。 30. **Rule**：包含目标、效果、条件（可选）和义务或建议（可选）的组件，是策略的一部分。 31. **Rule Combining Algorithm**：从多个规则中组合出决策的过程。 32. **Subject**：具有可引用谓词属性的角色，是访问控制的主体。 33. **Target**：决策请求的集合，定义了策略或规则适用的场景。 XACML通过这些概念构建了一个灵活且可扩展的访问控制框架，允许管理员根据组织需求定义复杂的访问控制策略。通过PDP、PAP、PEP和PIP等组件，XACML能够实现跨系统的统一访问控制，确保数据和资源的安全性。

资源推荐

资源详情

资源评论

第一章 XACML 的基本学习

XACML 的基本学习

术语

 

执行操作

 

按照政策或策略集的访问控制

 

对资源的操作

 

一个政策或策略集的  的决定，这是提供给  补充信息块。

 

一组适用于具体请求访问的策略和策略集

 

主体、资源、动作或环境的特征

  !

适用政策（    ）评估的结果，由 PDP 返回给 PEP 。一个函数的计算

“Permit“，“Deny”，“Indeterminate”或“NotApplicable”，和（可选）一组职责和建议

" #$

一个值的无序集合，其中有可能是重复的值

% &

一个表达式的称呼。评估为 “true”，“False”或“Indeterminate” 的作用

' &()

)*predicates +$ $,-

 &.

决定请求和授权决策的规范表示

 &. 

转换用原始请求格式表达的 ) 为 /&01 的规范格式，并且转换用 .+

规范格式表达的  ! 成原始的响应格式，&. 

就是提供这些功能的系统实体。

 

评估一个规则、策略或策略集后返回的结果

 )

PEP 传给 PDP，由 PDP 提供授权判断的请求。

 ()

)*predicates +$ $,23

 4

满足规则的目的结果（要么“Permit”或”Deny”）

 +

5 *  !*

(6

" 7

描述策略中资源的一组属性

% -+

一个特殊的  实例，由 

 名称和类型确定，由属性的持有者标识（这可能是 subject ，resource ，action 或

environment）

' 2$

86  *+ 

(9  *+* !

操作中指定的 rule，policy 或 policy set，应该由 PEP 配合执行授权决策

 

一组规则，由规则组合算法和（可选的的）一组 2$ 或  定义的标识，

也可能是策略集的一个组件。

 +（）

产生策略或策略集的功能模块

 :+$$ +

多个策略的决定和职责相结合的过程

 ;<

计算适用的策略的系统功能实体，并给出授权决定。

 *+;<

制定访问决定请求，并执行授权决定，来实现访问控制的系统功能实体。

 *+;7<

作为属性值来源的系统功能实体。

 

一组策略，其他策略集，一个策略组合算法和（可选）的职责或建议。可能是另一个

策略集的一个组成部分

" （断言？）

一个可以计算有关的属性，其真相的声明

% 3

数据，服务或系统组件

' 3

一个目标，效果，条件和义务或建议（可选）。策略的一个组成部分

 3:+$$ +

从多个规则组合结合的决策过程

 =(

一个角色，其属性可以被一个  引用。

 5$

5 *)688*6(

 66

 5>8

两种类型的表达式是“统一”方法。类型的表达式沿着它们的结构去匹配。类型变

量在一个表达式中出现，它是那么“8?为代表的其他表达相应的结构元素，它是

另一个变量或子表达式。这两种结构中，所有的变量赋值必须保持一致。统一失败，

如果两个表达式不能一致，或者通过不同的结构，或有实例的冲突，例如一个变量需

要代表都“/=@=$?，“/=：$?。一个类型的统一的完整解释，请参见ABCD。

相关条款

在访问控制和授权领域有普遍使用的几个密切相关的条款。从精确度和清晰度而言，

这些条款的某些不适用本规范。例如：  用来替换 $ 和  。 $6

+6 !6+$ 6我们使用  来替换。术语 2( 被通常使

用，但是在本规范中使用的是 resource

。

请求者和发起人被术语 =( 代替。

专业术语

在本文档中的关键词“0>=5?6E0>=5-25?6E3F>73?6E=B11?6E=B11-25?6E=B2>1?6

E=B2>1-25?6E3&200-?6E0G?6E2572-1?通过阅读A3H&%D能够被理解。

该规范包含符合 I&/01= + 和规范文本的模式来描述语法和语义的 /01 编码的策略

陈述。

在本文档中使用到的标准 /01 命名空间前缀所代表的命名空间如下，可能会有命名空

间描述没有在本例中提到：

前缀 xacml: 代表 XACML 3.0 命名空间.

前缀 ds: 代表 W3C XML 签名命名空间 [DS].

前缀 xs: 代表 W3C XML Schema 命名空间 [XS].

前缀 xf:代表 XQuery 1.0 and XPath 2.0 功能和操作规范命名空间 [XF].

前缀 xml: 代表 XML 命名空间 http://www.w3.org/XML/1998/namespace.

这个规范用以下的文字性版式约定：

<XACMLElement>,<ns:ForeignElement>, Attribute, Datatype, OtherCode。加

粗加黑的字体表示在前面的词汇章节已经定义。

Schema organizaon and namespaces （组织机构和命名空

间）

5 /&01.8 +9  *9$/01+@

（/&01 语法定义通过跟以下 /01 命名空间相关：）

@@+@@.+@'@@ +@9:

Normave References（规范性参考资料）

[CMF] EDS，马丁·J.DURST 等 World Wide Web 1.0 的字符模式。

基础知识，W3C 推荐标准 20052 月 15 日，

http://www.w3.org/TR/2005/REC-charmod-20050215/

[DS] D.Eastlake 等，XML 签名语法和处理，

http://www.w3.org/TR/xmldsig-core/，万维网联盟。

[exc-c14n] J.Boyer 等，主编。，专用 XML 规范化，版本 1.0，W3C 推荐标准 2002 年 7 月

18 日，http://www.w3.org/TR/2002/REC-xml-exc-c14n-139 20020718/

[Hancock] Hancock，《多态类型检查》，西蒙 L.佩顿·琼斯，《函数式编程语言年实施》

第 8 节，国际 Prentice-Hall International，1987 年。

[Haskell] Haskell 中，一个纯粹的功能性语言。可在 http://www.haskell.org/

[Hier] OASIS 委员会规范的 XACML3.0 分层资源简介 1.0 版，2010 年 8 月 01 日，

http://docs.oasis-open.org/xacml/3.0/xacml-3.0-hierarchical-v1-spec-cs-01-en.doc

[IEEE754] IEEE 标准二进制浮点运算 1985，ISBN 1-5593-7653-8，IEEE 产品编号

SH10116-TBR

[ISO10181-3] ISO / IEC10181-3:1996 信息技术 - 开放系统互连 - 开放系统安全框架：

访问控制框架

[Kudo00] KudoM 和 HadaS，《XML document security based on provisional

authorization（XML 文档安全的基础上的临时授权）》，第七届 ACM 计算机与通信安全，

2000 年 11 月，希腊雅典，页 87-96 会议论文集。

[LDAP-1] RFC2256，使用 LDAPV3 的 X500(96) 用户架构概要，1997 年 12 月。

http://www.ietf.org/rfc/rfc2256.txt。

LDAP  RFC2798，《Definition of the inetOrgPerson（inetOrgPerson 的定

义）》， M. Smith，2000 年 4 月。http://www.ietf.org/rfc/rfc2798.txt。

[MathML] 《Mathematical Markup Language（数学标记语言）（MATHML）》，版本

2.0，W3C 推荐标准，1592003 的 10 月 21 日。http://www.w3.org/TR/2003/REC-
MathML2-20031021/。
[Multi] OASIS 委员会规范的 XACML3.0 多个决策简介 1.0 版，2010 年 8 月 01 日。
http://docs.oasis-open.org/xacml/3.0/xacml-3.0-multiple-v1-spec-cs-01-en.doc
[Perritt93] Perritt，H.Knowbots，网络多媒体环境下的权限头和合同法，在 1993 年 4
月的保护知识产品技术战略会议。
http://www.ifla.org/documents/infopol/copyright/perh2.txt。
[RBAC] DavidFerraiolo 和 Richard·Kuhn，《基于角色的访问控制》，第 15 届全国计算机
安全会议，1992 年。
[RFC2119] S. Bradner，RFC 中使用关键词注明需求等级。
http://www.ietf.org/rfc/rfc2119.txt， IETF RFC 2119, March 1997.
[RFC2396] Berners-Lee T，R Fielding，Masinter L，Uniform Resource Identifiers (URI): 
Generic Syntax.《统一资源标识符（URI）：通用语法》。Available at: 
。
[RFC2732] hinden R，Carpenter B，，Masinter L，Format for Literal IPv6 Addresses 
in URL's《IpV6 地址下的 URL’s 的格式化》。Available at: 
http://www.ietf.org/rfc/rfc2732.txt。
[RFC3198] IETF RFC3198：Terminology for Policy-Based Management
《
基于策略的
管理术语》，2001 年 11 月。http://www.ietf.org/rfc/rfc3198.txt
[UAX15] MarkDavis，Martin·DURST，Unicode Standard Annex #15: Unicode 
Normalization 179 Forms, Unicode 5.1 
《
Unicode 标准附录＃15：Unicode 范式的
Unicode5.1》，http://unicode.org/reports/tr15/
[UTR36] Davis，Mark，Suignard，MIchel，Unicode Technocal Report #36: Unicode Security 
Considerations  
《
Unicode Technocal 报告＃36：Unicode 的安全性考量》。
http://www.unicode.org/reports/tr36/。
[XACMLAdmin]  委员会草案 ，《XACML v3.0 Administration and 
Delegation Prole Version 1.0
》 
 管理和委派简介版本 。 ! 
。"#!##$%!&'!&'$$!"&%#!%$($#$
"$$%"
[XACMLv1.0] OASIS 标准，Extensible access control markup language (XACML) Version 1.0《可扩展访问
控制标记语言（XACML）1.0 版本》。 2003 年 2 月 18 日。
http://www.oasis-open.org/committees/download.php/2406/oasis-xacml-1.0.pdf
[XACMLv1.1]  委员会规范，Extensible access control markup language 
(XACML) Version 1.1《可扩展访问控制标记语言（） 版》。) **# 
。!##$%&&#!&'#+#$!&'$
#,!%$"
[XACML v3.0]  委员会规范 ，EXtensible access control markup 
language (XACML) Version 3.0《可访问控制标记语言（） 版》 年 -
月。
[XF] XQuery 1.0 and XPath 2.0 Functions and Operators 《.*+  和 /! 
中函数和操作符》，0 推荐标准 ) 月  日。12)23
$!$*%%#$)
[XML] Bray，Tim，等人 EDS，Extensible Markup Language (XML) 1.0 (Fifth Edition)《可