XACML条件比较主题属性和资源属性,而不是硬编码

时间:2018-03-15 12:10:40

标签: authorization access-control xacml abac alfa

我正在制定XACML中的策略,其中具有安全性分类和类别的主题应与对象的分类和类别进行比较。 请求可以是:

  • 主题:
    • 分类:秘密,
    • 类别:北约,欧盟。
  • 资源:
    • 分类:秘密,
    • 类别:北约。

这应该是许可的。 如果资源的分类高于主题,或者主题没有正确的类别,则应拒绝结果。那么,我需要以某种方式对分类(使用函数in-bag?)进行排名,以查看主题是否具有正确的分类。我还需要将主题和对象的一个​​或多个类别相互比较。

我只能使用分类对其进行硬编码,我在此网站上看到的类似问题使用 3.0和。我无法对类别部分进行编码。这是我在硬编码属性的策略中的条件。

    <Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and">
            <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-one-and-only">
                    <SubjectAttributeDesignator
                          AttributeId="classification"
                          DataType="http://www.w3.org/2001/XMLSchema#string"/>     
                </Apply>
            <AttributeValue
                DataType="http://www.w3.org/2001/XMLSchema#string">top-secret</AttributeValue>  
            </Apply>
            <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-one-and-only">
                    <ResourceAttributeDesignator
                          AttributeId="resclassification"
                          DataType="http://www.w3.org/2001/XMLSchema#string"/>     
                </Apply>
            <AttributeValue
                DataType="http://www.w3.org/2001/XMLSchema#string">top-secret</AttributeValue>  
            </Apply>      
        </Condition>

任何帮助?

此代码适用于硬编码属性。

               <!-- Hard-coded condition check -->
        <Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and">
            <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-greater-than-or-equal">
                <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-one-and-only">
                    <SubjectAttributeDesignator
                        AttributeId="classification"
                        DataType="http://www.w3.org/2001/XMLSchema#string"/>     
                </Apply>
            <AttributeValue
                DataType="http://www.w3.org/2001/XMLSchema#string">3.0 top-secret</AttributeValue>  
            </Apply>
            <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-one-and-only">
                    <ResourceAttributeDesignator
                        AttributeId="resclassification"
                        DataType="http://www.w3.org/2001/XMLSchema#string"/>     
                </Apply>
            <AttributeValue
                DataType="http://www.w3.org/2001/XMLSchema#string">3.0 top-secret</AttributeValue>  
            </Apply>    
        </Condition>

1 个答案:

答案 0 :(得分:0)

要解决此问题,您必须按如下方式定义属性:

SubjectClassificationRank (数据类型:整数), SubjectAccessCategory (数据类型:字符串), ResourceClassificationRank (数据类型:整数), ResourceCategory (数据类型:字符串

您的整个条件的XACML 2.0代码如下:

<Condition>
  <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:and">
    <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:integer-greater-than-or-equal">
      <SubjectAttributeDesignator SubjectCategory="urn:oasis:names:tc:xacml:1.0:subjectcategory:accesssubject" AttributeId="SubjectClassificationRank" DataType="http://www.w3.org/2001/XMLSchema#integer" MustBePresent="false"></SubjectAttributeDesignator>
      <ResourceAttributeDesignator AttributeId="ResourceClassificationRank" DataType="http://www.w3.org/2001/XMLSchema#integer" MustBePresent="false"></ResourceAttributeDesignator>
    </Apply>
    <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:all-of-any">
      <Function FunctionId="urn:oasis:names:tc:xacml:2.0:function:integer-greater-than"></Function>
      <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
        <ResourceAttributeDesignator AttributeId="ResourceCategory" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></ResourceAttributeDesignator>
      </Apply>
      <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
        <SubjectAttributeDesignator SubjectCategory="urn:oasis:names:tc:xacml:1.0:subjectcategory:accesssubject" AttributeId="SubjectAccessCategory" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></SubjectAttributeDesignator>
      </Apply>
    </Apply>
  </Apply>
</Condition>

说明:

首先它在Subject的Rank和Resource的排名之间应用大于函数,并得到布尔“result-1”。部分如下:

  <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:integer-greater-than-or-equal">
          <SubjectAttributeDesignator SubjectCategory="urn:oasis:names:tc:xacml:1.0:subjectcategory:accesssubject" AttributeId="SubjectClassificationRank" DataType="http://www.w3.org/2001/XMLSchema#integer" MustBePresent="false"></SubjectAttributeDesignator>
          <ResourceAttributeDesignator AttributeId="ResourceClassificationRank" DataType="http://www.w3.org/2001/XMLSchema#integer" MustBePresent="false"></ResourceAttributeDesignator>
        </Apply>

另外,它从SubjectAccessCategory列表中取出一个包,从ResourceCategory列表中取出另一个包。然后比较返回true如果每个元素第一个包(ResourceCategory List)包含在第二个包(SubjcetAccessCategory)中,则为false,这是“result2”。 

<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:all-of-any">
  <Function FunctionId="urn:oasis:names:tc:xacml:2.0:function:integer-greater-than"></Function>
  <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
    <ResourceAttributeDesignator AttributeId="ResourceCategory" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></ResourceAttributeDesignator>
  </Apply>
  <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
    <SubjectAttributeDesignator SubjectCategory="urn:oasis:names:tc:xacml:1.0:subjectcategory:accesssubject" AttributeId="SubjectAccessCategory" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"></SubjectAttributeDesignator>
  </Apply>
</Apply>

然后最终将“result1”和“result2”与“And”函数结合起来。

相关问题
最新问题