2

我已经阅读了 3.0 规范并在这里有一个问题:

我发现PolicySetPolicy有很多相似之处,比如组合算法等。为了适应更多的层次,PolicySet也可以是自包含的。如果是这样,为什么不将PolicySetPolicy合并为一个名为Policy的概念,并使 Policy 包含其他 Policies 和 Rules?

更新

说到Rule,实际上Rule与Policy也没有太大区别,只是RuleConditionEffect并且没有组合算法。我现在想到的是将三个概念:PolicySet、Policy、Rule合并为一个新的Policy。本政策是自包含的,可以有它的条件效果。如果它的组合算法返回Intermediate,则使用它自己的Effect如果其本身的条件,整个政策不适用未能满足要求。我个人认为这种单一概念的模型比 PolicySet、Policy 和 Rule 更简洁明了。

例如,对于四级策略(如果大型企业需要四级策略),XACML 将表示如下:

PolicySet -> PolicySet(s) -> Policy(s) -> Rule(s)

我的修改是:

Policy -> Policy(s) -> Policy(s) -> Policy(s)

相比于 XACML 的两级 PolicySets 和一级 Policy 和 Rule,我认为一个简单的四级 Policies会更清晰吗?

4

1 回答 1

2

两者都存在的事实是该语言的一个怪癖。您可以想象一种具有叶元素(规则)和分支(策略)的语言。

Policy 和 PolicySet 都非常相似。在 XACML 中建模时,您可以吸收它们。

您将拥有一个可以包含其他策略 XOR 规则但不能同时包含两者的策略

编辑

在 OP 的编辑之后,这里有更多的上下文。

XACML 结构元素

XACML 引入了 3 个结构元素:

  • 策略集 (PS)
  • 政策 (P)
  • 规则 (R)

正如 OP 所述,PolicySet 可以包含 Policy 和 PolicySet,从而允许一个整体树的深度与作者希望的一样深(PS --> PS --> PS ... --> P --> R) .

PolicySet、Policy 和 Rule 的内容

所有三个元素(PS、P、R)都可以包含:

  • 目标元素:目标定义了元素的范围。目标由 AND/OR/AND 结构和属性匹配组成,例如role=='manager' OR role=='editor'.
  • 义务和建议:义务和建议是与 PDP(政策决策点)的决定一起返回给 PEP(政策执行点)的声明

组合算法

因为 PolicySet 和 Policy 元素可以包含子元素,所以它们需要一种机制来解决子元素之间的冲突。这种机制称为组合算法。因此 PolicySet 元素和 Policy 元素都具有组合算法属性。由于 PolicySet 包含其他 PolicySet 和/或 Policy 元素,因此 PolicySet 中的组合算法称为策略组合算法。由于 Policy 元素仅包含规则,因此组合算法称为规则组合算法。

XACML 的另一个怪癖是策略的组合算法列表几乎与规则的相同。显着的区别是:

  • only-one-applicable 仅适用于策略。
  • on-permit-apply-second 仅适用于策略。

以下是ALFA表示法中的列表(ALFA 是Axiomatics开发的一种伪语言,用于简化 XACML 策略创作):

namespace System {
    ruleCombinator denyOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides"
    ruleCombinator permitOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:permit-overrides"   
    ruleCombinator firstApplicable = "urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:first-applicable"
    ruleCombinator orderedDenyOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:ordered-deny-overrides"
    ruleCombinator orderedPermitOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:ordered-permit-overrides"
    ruleCombinator denyUnlessPermit = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-unless-permit"
    ruleCombinator permitUnlessDeny = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:permit-unless-deny"

    policyCombinator denyOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:deny-overrides"
    policyCombinator permitOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:permit-overrides"
    policyCombinator firstApplicable = "urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:first-applicable"
    policyCombinator onlyOneApplicable = "urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:only-one-applicable"
    policyCombinator orderedDenyOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:ordered-deny-overrides"
    policyCombinator orderedPermitOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:ordered-permit-overrides"
    policyCombinator denyUnlessPermit = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:deny-unless-permit"
    policyCombinator permitUnlessDeny = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:permit-unless-deny"
    policyCombinator onPermitApplySecond = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:on-permit-apply-second"
}

目标和条件

目标

如前所述,Target 元素可以存在于任何 PolicySet、Policy 和 Rule 中。目标具有一组 AND/OR/AND 元素的结构,以将属性匹配组合在一起,即给定属性与给定值的比较。XACML 提供了一长串可以使用的函数。

在目标中,只能使用接受 2 个原子值并返回布尔值的函数,例如 ==(或 urn:oasis:names:tc:xacml:1.0:function:string-equal)。不能使用其他函数,例如 sum (urn:oasis:names:tc:xacml:1.0:function:integer-add)。

条件

特别是,Target 元素不能做一件非常有用的事情:比较两个属性,即建立关系。想象一下,例如,您想编写一个 Policy 声明:

医生可以查看分配给他们的患者的病历。

或者换句话说,Permit if userId == assignedDoctorId

这就是 Condition 元素发挥作用的地方。Condition 是一个表达式,它可以使用 XACML 中可用的任何函数。Condition 的总体结果必须是布尔值,但现在您可以执行sum(age, limit)>5or之类的操作userId == assignedDoctorId

这里还有一个怪癖:条件元素只能在规则元素中使用。所以,如果你想在 XACML 中表达一个关系,你至少需要有一个规则。而且由于 Rule 元素不能独立存在。您必须至少有一个策略元素。

所以最小的 XACML 策略是(使用 ALFA):

namespace example{
    policy policyExample{
        apply denyOverrides
        rule allowAll{
            permit          
        }
    }
}

生成的 XACML XML 代码是:

<?xml version="1.0" encoding="UTF-8"?>
 <!--This file was generated by the ALFA Plugin for Eclipse from Axiomatics AB (http://www.axiomatics.com). 
 Any modification to this file will be lost upon recompilation of the source ALFA file-->
<xacml3:Policy xmlns:xacml3="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17"
    PolicyId="http://axiomatics.com/alfa/identifier/example.policyExample"
    RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides"
    Version="1.0">
    <xacml3:Description />
    <xacml3:PolicyDefaults>
        <xacml3:XPathVersion>http://www.w3.org/TR/1999/REC-xpath-19991116</xacml3:XPathVersion>
    </xacml3:PolicyDefaults>
    <xacml3:Target />
    <xacml3:Rule 
            Effect="Permit"
            RuleId="http://axiomatics.com/alfa/identifier/example.policyExample.allowAll">
        <xacml3:Description />
        <xacml3:Target />
    </xacml3:Rule>
</xacml3:Policy>
于 2015-12-25T20:19:15.250 回答