【行业标准】 可扩展的访问控制标记语言

ICS 01.040.33
中华人民共和国通信行业标准
YD/T 2300-2011
可扩展的访问控制标记语言
eXtensible access control markup language (XACML 2.0)(ITU-TX.1142：2006，MOD）
2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言…
2规范性引用文件
3术语和定义-
4路语
XACML核心
5.1XML数据流模型
5.2 XACML上下文
5.3策略法-
5.4上下文句法
XACML功能需求
5.6 XACML扩展点-
5.7一致性
基于核心和层次的角色访问控制(RBAC)应用配置6
RBAC背景
6.2RBAC例子
指派和激活角色属性
实现RBAC的模型，
应用配叠
6.6标识符
7XACML的多源应用配置
7.1请求多个资源·
7.2请求整个层次
7.3新属性标识符
7.4新应用配置标识符·
8XACML的SAML 2.0应用配置
8.1映射SAML和XACML属性
8.2授权决定
8.3策略·
8.4元素..
8.5光素
9XML数字签名应用配置-
9.1SAML的使用.·
9.2规范化
TTTKANTKACA
YD/T 2300-2011
YD/T 2300-2011
9.3签名摸式
10XACML的层次资源应用配置
10.」表示节点的身份信息…
10.2请求对节点的访问…
10.3确定节点所适用的策略
10.4新DataType：xpath-expression10.5新性标识符
10.6新的应用配置标识符
保密策略应用配置
11.1标准属性…
11.2 标准规则： 匹配日的
附录A（资料性附录）数据类型和函数附录B（资料性附录）XACML标识符附录C（资料性附录）组合算法
附录D（资料性附录）XACML模式定义附录E（资料性附录）安全考忠
附录F（资料性附录）XACML示例附录G（资料性附录）高阶包菌数示例描述：附录H（资料性附录）发展背影
TTTKANTKACA
YD/T2300-2011
本标准修改采用rTU-TX.1142《可扩展的接入控制标记语言（XACML2.0）》（2006年英文版），与ITU-TX.1142的对应关系如下：a）将规范性引用文件中的RFC2732和RFC2396替换为RFC3986，移动部分做了相垃的替改；b）删除了建议书中的第5章药定：c）将建议书中的附件I、附件Ⅱ、附件Ⅲ和附件IV作为本标准的资料性附录E、附录F、附录G和附录H。
本标准按照GB1.1-2009给出的规则起草。本标准的附录A、附录B、附录C、附录D、附录E、附录F、附录G、附录H均为资料性附录，本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院。本标准主要起草人：襄秀英、毕立波、薛宁、江浩洁、陈、萍、张蓓、凤旺森、张扬、吕·洁。TKAaNYKAcA
1范围
可扩展的访问控制标记语言
YD/T2300-2011
本标准规定可扩展的访控制标记语肯(XACMIL)，包括表示安全策略的公用语言、XACML模型、策略语言模型、策略句法以及处埋规程的核心XACML语言,还规定了基于核心和层次的角色访问控制(RBAC)配置、XACML.XACML多资源配置以及通过开发用于XACML的SAML2.0应用配置保证XACML通信安全的技术等。
本标准适用于机构内部或跨机构联合认证系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仪所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ITU-T建议X,811(1995)
ISO/IEC 10181-2:1996
ITU-T建议X.812 (1995)
ISO/IEC 10181-3:1996
ITU-T建议X.1141(2006)
JETFRFC 822 (1982)
IETFRFC2119 (1997)
ETFRFC2253 (1997)
IETF RFC2256 (1997)
JETF RFC 3986 (2005)
IETF RFC 2821 (2001)
IETF RFC 3280 (2002)
W3C建议W3C规范：2002
W3C建议W3C数据类型：2001
W3C建议W3C加密术：2002
W3C建议W3CMathML:2003
W3C建议W3C签名：2002
W3C建议W3C XML:2004
W3C建议W3CXPATH:1999
W3C建议W3CXSLT:1999
3术语和定义
下列术语和定义适用于本文件。3.1
访间Access
信息技术一开放系统互联一开放系统的安全构架：认证构架信息技术一并放系统互联一开放系统的安全架构：访问控制架构安全断言标记语言（(SAML2.0)
ARPA互联网文本消感格式的标准RFC中使用的用来指示请求级别的关键词轻型目录访间协议（v3）分辨名的UTF-8字符串表示法使用的X.500(96)用户模式总结
通用资源标识符（URD：通用句法简单邮件传输协议
InternetX.509公共密钥基遮证书和证书撤销列表应用配置专用XML规范化V1.0
XMLSchem部分2：数据类型
XML加密语法和处理
数学标记语言e（MathML)，V2.0XIML-签名语法以及处理
可扩展标记语言(XML)1.0（第三版）XML路径语合,V1.0
XSL转换(XSLT) V1.0
TTIKANYKACAwwW.bzxz.Net
YD/T 2300-2011
执行一个动作。
访问控制Accass Control
根据策略控制访问。
访问控制信息AccessCantrolIntormation用于访问控制目的的任何信息，包括上下文信息。3.4
动作Action
针对资源的一个操作。
可应用策略Applicable Policy
对特定决定请求管理访问策略以及策略集的集合。3.6
属性Attribute
在一个声明或目标中可以引用的主体、动作或环境特征。3.7
Attribute Authority(AA)
属性机构（AA）
将属性绑定到标识符的实体。该绑定可以使用具有作为签发者属性机构的SAML属性斯言表示。3.8
授权决定AuthorizationDecision赋值由PDP返回到PEP的可应用策略的结果。赋值为\Permit\、\Deny\，“Endeterminate\或\NotApplicable\的功能以及职责集（可选）。3.9
包Bag
值的无序组合，其中可能有重复的值。3.10
条件 Condition
判断的表达式。赋值\True\、“False\或\Indeterminate\的功能，3.11
连接次序ConjunctiveSaquence
使用逻辑“与”操作组合的断言次序。3.12
上下文 Context
次定请求和授权决定的标准表示。3.13
ContextHandler
上下文处理者
TTKANTKACA
YD/T 2300-2011
将采用自身请求格式表示的决定请求转换为XACML标准格式,并将以XACML标准格式表示的授权决定转换为自身响应格式的系统实体。3.14
管理人Custodian
个性化可确认信息被委托的实体。3.15
数据客体DataObject
指被签署的数字客体。使用URI在一个单元中引用的一个数据对象。3.16
决定Decision
赋值一个规则、策略或策略集的结果。3.17
决定请求Decision Request
为实施-个授权的决定，由PEP向PDP发送的请求。3.18
分离序列DisjunctiveSequence
使用逻辑“或”操作组合起来的判断序列。3.19
效果Effect
满是规则期望的结果（\Permit\者是\Deny\）。3.20
环境Enviranment
与授权决定相关但独立于特定主体、资源或动作的属性集。3.21
特权角色策略HasPrivllegesOfRolePalicy可以包含在一个允许中的的一个可选类型，允许支持谢尚，询问一个主题是否具有特定角色的“特权”。
层次化资源HierarchicalResource将称为节点的单独资源按照树或森林（定向无环图）来组织的一种资源。3.23
下级角色JuniorRole
在角色体系结构中，若角色B继承了与角色A相关联的所有许可，那么角色A是角色B的“下级”。3.24
多角色许可Multi-rolePermissions为实施访问，…个用户必须同时持有不仪一个角色的许可集，3.25
TTKANTKACA
YD/T2300-2011
命名属性NamedAttribute
由性名和类型、属性持有者（可以的类型：主体、资源、动作或环境）以及（选用的）签发授权身份确定的属性特定场景。
节点Node
作为层次资源的部分单独资源。3.27
职责Obligation
在应由PEP连同投权决定执行策略或策略集规定的操作。3.28
拥有者Cwner
个体可确认的信息主体。
许可Permissian
可能仅在某种特定条件情况下，对某些资源执行某些动作的能力或权利。3.30
许可(PPS) Pemission(PPS)包含有与给定角色相关联的实际许可的个，3.31
PolicyInformationPoint(PiP)
策略信息点（PIP）【
作为属性值资源动作的系统实体。3.32
策略集Policy Sel
策略、其他策略集、组合策略算法和（选用的）职责集的集合。可以是另一个策略集的构件。3.33
判断 Predicate
有关其事实可被赋值的属性声明。3.34
主体 Principal
其身份可以被鉴别的实体。
资源Resource
数据、业务或系统构件。
角色Aale
其有与授权机构和分配到该角色的赋予用户责任相关语义的一个组织的上下文中的工作功能。3.37
TTTKANTKACA
基丁角色的访间挖控制（RBAC）RolebasedAccessControl(RBAC)YD/T 2300-2011
用于控制访问到资源的模型，该模型中，充许针对用角色而不用单独的主体身份标识的资源进行操3.38
角色授权机构RoleEnablementAuthority在用户会话期间，向用户分配角色属性和值或使角色属性和值起作用的实体。3.39
角色(RPS)Role 给定角色属性和值的持有者相关的
上级角色SeniorRole
在角色体系结构中，若角色A继承了与角色B相关联的所有许可，那么角色A是角色B的上级角色。3.41
规则Rule
首标、效果和条件。策略构件。3.42
组合规则算法Rule-CombiningAlgorithm用于由多规则组合决定的规程。3.43
安全体系架构Scurity Architecture描述下列内容规划和原则集：（）为满足用户需要，系统需要提供的安全业务：（b）实施业务需要的系统元素：（c）在处理威胁环境元紫中需要的性能等级。3.44
安全策略SecurityPolicy
规定或控制系统或组织为保护数感的以及保密的系统资源而提供安全业务的一系列规则和实践。3.45
正体Subject
其属性可以被判断引用的一个动作者。3.46
目标Target
用于由希望赋值的资源、主体和动作定义所标识的决定请求集。3.47
类型统—TypeUnificatiar
“统一”两种类型表达式的方法。类型表达式通过它们的结构相匹配。当类型变量出现在一个表达式中，它然后“统一”表示其他表达式的格应结构单元，无论是另一个变量或子表达式。所有变量分配5
TTTKAONATKACA
YD/T 2300-2011
必须在两个结构中保持一致。若两个表达式不能对准，或者具有不同结构或者由于具有场景冲突，如-一个变量需要表示\xssstring\和\xsinteger\，统一失败，3.48
URI参考URlReference
URI参考用于表示资源标识符的一般使用。URI参考可以使绝对的或相对的，坞可以具有采用片断标识符的形式附带的附加信息。3.49
统--资源标识符（URl）UniformResourcaldentifier（UR)统一资源标识符（URI）是用来标识抽象的或物理的资源的紧读字符串。4缩略语
下列缩略语适用丁本标准，
Attribute Authority
Application Service ProviderCertification Authority
Certificate Management ProtocolCertificate Revocation List
Enhanced ClientProxy
Hypertext Transfer Protocol
IDenifier
IP SECurity protocal
Lightweight Directory Access ProtocolPolicy Administration Point
Policy Decision Point
Policy Enforcement Point
Policy Information Point
Public Key Infrastructure
Ptoof of Possession
Permission Registration Authority
Role Based Access Control
Role Rivest, Shamir, Adlenan (public key Rivest、Shamir和Adleman algorithm)
Securiy Assertion Markup LanguageService Provider
TTTKANTKACA
属性机构
应用业务提供者
认证机构
证书管理协议
证书撤销一览表
增强的客户端/代理
超文本传送协议
标识符
IP安全协议
轻便式号码簿访问协议
策略管理点
策略决定点
策略执行点
策略信息点
公钼基础设施
拥有证明
许可注珊机构
蒸于角色的访问控制
角色
（公钥算法）
安全断言标记语言
业务提供者
5XACML核心
Single Sign On
Transport Layex Security
UniformResourceIdentifier
UniformResourceName
eXtensibleMarkupLanguage
XML Path Language
eXtensibleStylesheetLanguage5.1XML数据流模型
图1给出的数据流给出了XACML域中的主要参与者。公
“，2，接入请求
3、请求
4.请求通知
5.厚性查询
10.鼠性
11.响应上下文
6.周性查询
单一登录
传输层安全雄
YD/T 2300-2011
统一·的资源识别符
统—·资源名称
可扩展标记语言
XML路径语言
可扩展的式样页语告
13、职责
12、响应
9资源内存
Tc.资源源性
Th环域属性
了相主体属性
图1数据流程图示
妍康务
图1中所示的有些数据流可以通过一个存储库来启动。例如，在上下文处理者和PIP之间的信或者PDP和PAP之间的通信可以通过一个存储库来底动。模型操作步如下：
1）PAP:书写策略和策略集并且使它们对PDP来讲可用。这些策略或者策略集表示用丁--个规定H标的完整策略。
2）访问请求者发送一个想访问PEP的请求。3）PEP在它的自身请求格式中发送对上下文处理者的访问请求，可以选择性地包括主体、资源、动作和环境的属性。
4）上下文处理者构建一个XACML请求上下文并且把它发送给PDP。S）PDP可以向上下文处理者请求任何附加的主体、资源、动作和环境属性。7
YD/T2300-2011
6）上下文处理者向PIP请求属性。7）PIP得到请求属性。
名）PIP将请求的属性返回给上下文处理者。9）上下文处理者可选择地在上下文中包贪资源。10）上下文处理者把请求的属性科资源（可选）发送给PDP。PDP对策略进行赋值。11）PDP把应答上下文（包括授权缺定）发送给上下文处理者。12）上下文处理者把应答上下文翻译成PEP的自身应答格式。上下文处理者把应答返回给PEP。13）PEP履行职责。
14）如果允诈访问，那么PEP允许访问资源：否卿，它拒绝访问资源（没有显示）。5.2 XACML上下文
5.2.1XACML上下文
XACML试图适用于不同的应用环境。通过XACML上下文把核心语言和应用环境隔离开来，如图2所示，阴影部分区域指出了XACMIL的范围。在XML模式定义中规定了XACML上下文，它为PDP的输入和输出描了一个标准表示法。通过一个XACML筑略实例引用的属性可以采用上下文之上的XPath表达式格式，或者是通过主体、资源、动作或者环境和它们的标识符、数据类型科（可选）它的发起者来标识病性的属性指定者。执行必须在应用环境下的属性表示法（例如SAML）和XACML上下文中的属性表示法之问行转换。如何逛行这种转换不在本标准的讨论范围内。在某些情况下，例如SAML，这种转换可以通过一个XSLT转换以自动方式完成（参见W3CXSLT:1999）莱略
有设究
图2XACML上下文
不要求PDP直接运行在一个策略的XACMIL表示法上。它可以直接操作在可替代的表示法上。5.2.2策略语言模型
5.2.2.1策略语言模型
图3示出了策略语言摸型。该模型的主要构件有：·规测：
·策略：
●策略集。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。