標(biāo)準(zhǔn)解讀

《GB/T 30281-2013 信息安全技術(shù) 鑒別與授權(quán) 可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),它定義了可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(XACML, eXtensible Access Control Markup Language)的使用規(guī)范。該標(biāo)準(zhǔn)旨在提供一種標(biāo)準(zhǔn)化的方法來(lái)描述和執(zhí)行訪問(wèn)控制策略,支持細(xì)粒度的訪問(wèn)控制決策,并且能夠跨不同的系統(tǒng)和服務(wù)進(jìn)行部署。

XACML通過(guò)一套基于XML的語(yǔ)言結(jié)構(gòu),使得組織可以定義復(fù)雜的訪問(wèn)控制規(guī)則。這些規(guī)則不僅限于簡(jiǎn)單的“允許”或“拒絕”,而是能夠根據(jù)用戶屬性、資源特性、環(huán)境條件等多個(gè)維度做出訪問(wèn)決策。例如,可以根據(jù)時(shí)間、地點(diǎn)等因素決定是否授予某個(gè)用戶對(duì)特定資源的操作權(quán)限。

在該標(biāo)準(zhǔn)中,明確了XACML架構(gòu)中的幾個(gè)關(guān)鍵組件及其功能:

  • Policy Administration Point (PAP): 負(fù)責(zé)創(chuàng)建、修改及管理訪問(wèn)控制策略。
  • Policy Decision Point (PDP): 根據(jù)當(dāng)前請(qǐng)求上下文以及已定義的策略來(lái)做出訪問(wèn)控制決策。
  • Policy Enforcement Point (PEP): 實(shí)際上負(fù)責(zé)攔截對(duì)受保護(hù)資源的訪問(wèn)嘗試,并向PDP查詢以獲得決策結(jié)果后據(jù)此采取行動(dòng)。
  • Policy Information Point (PIP): 提供額外的信息給PDP用于輔助其做出更準(zhǔn)確的決策。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2013-12-31 頒布
  • 2014-07-15 實(shí)施
?正版授權(quán)
GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言_第1頁(yè)
GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言_第2頁(yè)
GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言_第3頁(yè)
GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言_第4頁(yè)
GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言_第5頁(yè)
已閱讀5頁(yè),還剩95頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T30281—2013

信息安全技術(shù)鑒別與授權(quán)

可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言

Informationsecuritytechnology—Authenticationandauthorization—

eXtensibleAccessControlMarkuLanuaeXACML

pgg()

2013-12-31發(fā)布2014-07-15實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30281—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

概述

5XACML……………3

概述

5.1…………………3

需求

5.2…………………3

規(guī)則和策略組合

5.3……………………4

組合算法

5.4……………4

多主體

5.5………………5

基于主體和資源屬性的策略

5.6………………………5

多值屬性

5.7……………5

基于資源內(nèi)容的策略

5.8………………5

操作符

5.9………………5

策略分布

5.10……………6

策略索引

5.11……………6

抽象層

5.12………………6

隨同策略實(shí)施一起執(zhí)行的動(dòng)作

5.13……………………6

模型

6………………………6

數(shù)據(jù)流模型

6.1…………………………6

上下文

6.2XACML……………………7

策略語(yǔ)言模型

6.3………………………8

策略語(yǔ)法

7…………………10

元素

7.1<PolicySet>……………………10

元素

7.2<Description>…………………12

元素

7.3<PolicySetDefaults>…………12

元素

7.4<XpathVersion>………………12

元素

7.5<Target>………………………12

元素

7.6<Subjects>……………………13

元素

7.7<Subject>………………………13

元素

7.8<SubjectMatch>………………14

元素

7.9<Resources>…………………14

元素

7.10<Resource>…………………14

元素

7.11<ResourceMatch>……………15

GB/T30281—2013

元素

7.12<Actions>……………………15

元素

7.13<Action>……………………15

元素

7.14<ActionMatch>………………16

元素

7.15<Environments>……………16

元素

7.16<Environment>………………17

元素

7.17<EnvironmentMatch>………………………17

元素

7.18<PolicySetIdReference>……………………17

元素

7.19<PolicyIdReference>…………18

簡(jiǎn)單類型

7.20VersionType…………18

簡(jiǎn)單類型

7.21VesionMatchType……………………18

元素

7.22<Policy>………………………19

元素

7.23<PolicyDefaults>……………20

元素

7.24<CombinerParameters>……………………20

元素

7.25<CombinerParameter>………………………21

元素

7.26<RuleCombinerParameters>………………21

元素

7.27<PolicyCombinerParameters>………………22

元素

7.28<PolicySetCombinerParameters>…………22

元素

7.29<Rule>………………………23

簡(jiǎn)單類型

7.30EffectType……………23

元素

7.31<VariableDefinition>………………………23

元素

7.32<VariableReference>………………………24

元素

7.33<Expression>………………24

元素

7.34<Condition>…………………25

元素

7.35<Apply>………………………25

元素

7.36<Function>…………………25

復(fù)合類型

7.37AttributeDesignatorType……………26

元素

7.38<SubjectAttributeDesignator>……………27

元素

7.39<ResourceAttributeDesignator>……………27

元素

7.40<ActionAttributeDesignator>………………28

元素

7.41<EnvironmentAttributeDesignator>………28

元素

7.42<AttributeSelector>…………28

元素

7.43<AttributeValue>……………29

元素

7.44<Obligations>………………30

元素

7.45<Obligation>…………………30

元素

7.46<AttributeAssignment>……………………31

上下文語(yǔ)法

8………………31

元素

8.1<Request>……………………31

元素

8.2<Subject>………………………32

元素

8.3<Resource>……………………32

元素

8.4<ResouceContent>……………33

元素

8.5<Action>………………………33

元素

8.6<Environment>………………33

元素

8.7<Attribute>……………………34

GB/T30281—2013

元素

8.8<AttrributeValue>……………34

元素

8.9<Response>……………………35

元素

8.10<Result>……………………35

元素

8.11<Decision>……………………36

元素

8.12<Status>………………………36

元素

8.13<StatusCode>………………37

元素

8.14<StatusMessage>……………37

元素

8.15<StatusDetail>………………37

元素

8.16<MissingAttributeDetail>…………………38

功能需求

9…………………38

概述

9.1…………………38

策略執(zhí)行點(diǎn)

9.2…………………………38

屬性評(píng)估

9.3……………39

表達(dá)式評(píng)估

9.4…………………………40

算術(shù)評(píng)估

9.5……………41

匹配評(píng)估

9.6……………41

目標(biāo)評(píng)估

9.7……………42

變量引用評(píng)估

9.8………………………43

條件評(píng)估

9.9……………44

規(guī)則評(píng)估

9.10…………………………44

策略評(píng)估

9.11…………………………44

策略集評(píng)估

9.12………………………45

有層次的資源

9.13……………………45

授權(quán)決策

9.14…………………………45

義務(wù)

9.15………………46

異常處理

9.16…………………………46

擴(kuò)展點(diǎn)

10XACML……………………46

可擴(kuò)展的屬性類型

10.1XML………………………46

結(jié)構(gòu)化屬性

10.2………………………47

安全和隱私

11……………47

概述

11.1………………47

威脅模型

11.2…………………………47

安全措施

11.3…………………………49

符合性

12…………………51

介紹

12.1………………51

符合性列表

12.2………………………51

附錄規(guī)范性附錄數(shù)據(jù)類型和函數(shù)

A()…………………61

附錄規(guī)范性附錄標(biāo)識(shí)符

B()XACML…………………76

附錄規(guī)范性附錄組合算法

C()…………80

參考文獻(xiàn)

……………………89

GB/T30281—2013

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院軟件研究所

:。

本標(biāo)準(zhǔn)主要起草人馮登國(guó)徐震張敏翟征德王雅哲高志剛張凡

:、、、、、、。

GB/T30281—2013

引言

如何實(shí)現(xiàn)大規(guī)模分布式應(yīng)用中的信息資源的受控共享實(shí)現(xiàn)基于策略的安全管理已成為信息安全

,

領(lǐng)域關(guān)注的重點(diǎn)之一目前多數(shù)分布式應(yīng)用仍然獨(dú)立定義自己的安全策略并實(shí)施資源訪問(wèn)控制不僅

。,

無(wú)法獲得一個(gè)完整的安全策略實(shí)施視圖而且安全策略的維護(hù)代價(jià)高可靠性缺乏足夠保障

,,。

本標(biāo)準(zhǔn)定義一種通用的可擴(kuò)展的訪問(wèn)控制策略標(biāo)記語(yǔ)言支持多種訪問(wèn)控制策略類型允

XACML,,

許用戶自定義策略擴(kuò)展允許用戶以一種實(shí)現(xiàn)無(wú)關(guān)的方式定義系統(tǒng)的資源保護(hù)策略并控制資源訪問(wèn)控

,

制決策的邏輯過(guò)程實(shí)現(xiàn)安全策略定義形式和訪問(wèn)判定過(guò)程標(biāo)準(zhǔn)化

,。

GB/T30281—2013

信息安全技術(shù)鑒別與授權(quán)

可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言

1范圍

本標(biāo)準(zhǔn)規(guī)定了可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言的數(shù)據(jù)流模型語(yǔ)言模型和語(yǔ)法

(XACML)、。

本標(biāo)準(zhǔn)適用于大規(guī)模分布式應(yīng)用中資源統(tǒng)一訪問(wèn)控制策略語(yǔ)言的編寫(xiě)與分析

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

浮點(diǎn)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論