3　術語和定義

下列術語和定義適用于本文件。

3.1　

訪問 access

對資源執行的一種操作。

3.2　

訪問控制 access control

一種保證數據處理系統的資源只能由被授權主體按授權方式進行訪問的手段。

[GB/T 25069-2010,定義2.2.1.42]

3.3　

動作 action

對資源的操作。

3.4　

適用策略 applicable policy

控制特定決策請求的策略和策略集。

3.5　

屬性 attribute

主體、資源、動作和環境的特征，該特征可以在謂詞和目標中被引用。

3.6　

授權決策 authorization decision

包含以下組成部分：適用策略的評估結果，由PDP返回給PEP；評估函數，輸出結果為“同意”，“駁回”或者“不適用”；一個義務的集合（可選）。

3.7　

包 bag

值的無序集合，可能包含重復的值。

3.8　

條件 condition

謂詞表達式，其評估結果可以是“True”、“False”或“Indeterminate”。

3.9　

合取序列 conjunctive sequence

使用邏輯與（AND）連接的謂詞序列。

3.10　

上下文 context

決策請求和授權決策的規范表述。

3.11　

上下文處理器 context handler

一個系統實體，它把決策請求從原始請求格式轉換成XACML規范形式，并把授權決策從XACML規范形式轉換成原始應答格式。

3.12　

決策 decision

規則，策略或策略集的評估結果。

3.13　

決策請求 decision request

由策略執行點（PEP）發送給策略決策點（PDP）的消息，要求生成授權決策的請求。

3.14　

析取序列 disjunctive sequence

使用邏輯或（OR）操作符連接的謂詞序列。

3.15　

效果 effect

規則的預期評估結果，只能為“同意”或“駁回”。

3.16　

環境 environment

一組與授權決策相關的屬性集合，獨立于特定的主體，資源或者動作。

3.17　

命名屬性 named attribute

屬性的一個特定實例，具體值取決于屬性名、類型、持有者和屬性頒發者。

3.18　

義務 obligation

策略或者策略集中定義的特定操作，PEP在執行授權決策時，必須執行該操作。

3.19　

策略 policy

由管理層正式表達的總體意圖和指向。

[GB/T 25069-2010,定義2.3.27]

3.20　

策略管理點 policy administration point （PAP）

創建策略或策略集的系統實體。

3.21　

策略組合算法 policy-combining algorithm

從多個策略中得到決策和義務的過程。

3.22　

策略決策點 policy decision point (PDP)

系統實體，負責評估適用策略并產生授權決策。

3.23　

策略執行點 policy enforcement point (PEP)

系統實體，它通過產生決策請求并執行授權決策結果進行訪問控制。

3.24　

策略信息點 policy information point (PIP)

系統實體，是屬性值的來源。

3.25　

策略集 policy set

若干策略或其它策略集，策略組合算法和若干義務（可選）的集合，可以是其他策略集的組成部分。

3.26　

謂詞 predicate

關于屬性的聲明，可以評估其是否為真。

3.27　

資源 resource

數據，服務或者系統組件。

3.28　

規則 rule

包含目標(target)，效果(effect)和條件(condition)，是策略的組成部分。

3.29　

規則組合算法 rule-combining algorithm

從多個規則得到組合決策的過程。

3.30　

主體 subject

斷言可能引用的屬性的所有者。

3.31　

目標 target

通過主體、資源和動作進行限定的決策請求集合，是規則(Rule)、策略(Policy)和策略集(PolicySet)評價的對象。