2018基于属性的访问控制 （ABAC） 定义和注意事项NIST.sp.800-162.docx

《2018基于属性的访问控制 （ABAC） 定义和注意事项NIST.sp.800-162.docx》由会员分享，可在线阅读，更多相关《2018基于属性的访问控制 （ABAC） 定义和注意事项NIST.sp.800-162.docx（45页珍藏版）》请在优知文库上搜索。

1、NlST特别出版物800-162基于属性的访问指南控制(ABAC)定义和注意事项计算机安全Nl三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce计算机系统技术报告美国国家标准与技术研究院（NIST）的信息技术实验室（IT1.）通过为国家测工和标准基础设施提供技术领导来促进美国经济和公共福利.IT1.开发测试、冽试方法、参考缴、概念蜿螂方沐分析以促进信息技术的开发和生产利用.ITl的职责包括制定管理、彳政技术和WlP标准和旨南以确保联邦信息系统中除国家安全相关信息力用经济高效的安全和隐乱特出版!加OO系列报告了IT

2、1.在信息系统安全方面的研究、指南和推广工作,及其与行业、政府和学术组织的合作活动。抽象的本文档为联邦机构提供了基于属性的访问控制（ABAC）的定义。ABAC是一种逻辑访问控制方法.其中执行T操作的授权是通过评估与主体、客体、请求的操（付联的属性醐定.并且在某些情况下针对描述允许操作的策略、则域关系的案例、环境条件对于一组给定的属性，本文台5提供了使用ABAC改进的注意事项组织内部和组织之间的信息共享，同时保持对其的控信息.关键词访问控制访问控制机制；访问除曙!；访司蹄窗；基T属胡问控制（ABAC）；授火特权。目录执行摘要.1. 介绍11.1 目的和范围11.2 受众11.3 文档结构11.4

3、 术语说明22. 叫!解ABAC42.1 ABAC的好处52.2 ABAC的工作定义2.3ABAC基本概6念82.4 企业ABAe概念112.4.1 企业ABAC政策122.4.2 企21kABAC中的属性管理132.4.3 企业ABAC中的访问控制机制分布143. ABAC企业考虑因素173.1 启动阶段注意事项183.1.1 构建部署ABAC功能的业务案例183.1.2 可扩展性、可行性和性能要求193.1.3 开发操作需求糠构223.2 采购/开发阶段的注意事项253.2.1 业务流程生成和部署准备253.2.2 系统开发和解决方案获取注意事项273.2.3 其他企业ABAC功能的注意事

4、项30313.3 实施/评估阶段的考虑因素3.3.1 属性缓存313.3.2 属性源最小化313.3.3 接口规格323.4 运行/维护阶段的注意事项32323334363.4.1 质后数据的可用性4易论附录A首字母缩略词御略语附录B参考文献图列表图1传统俳ABAC)多组织访问方法6图2基本ABAC场景8图3核，DABAC机制9图4企业ABAC场景示例12图5ACM功能点醐15图6ACMNIST系统开发生命顺(SD1.C)17图7AC1.信任链21图8ABAC信任链22凯门.摘另基于属性的访问控制（ABAC）的概念已经存在很多4了。它代表逻辑访问控制空间中的T点，其中包括访I磁褥IJ表、基于角

5、色的访问控制以及基于屈性评估提供访问的ABAC方法。簸上访问控瞬于请翦W能的用户身份，以直接或通过预定义的属性类型（例如角色或组）对对象（例如文件新行操作（例如读取汾配给该用户.从业入受境到鉴于需要醐能直接与用户或其角或组关联这种访问控方法通常町!起来很麻烦.还值得注意的是.请求者的身份、组和角色阳三符在表达现实世界的访问撷懒削寸通常是个够的，另一种方法是!睡用户的任意属性和对象的任意属性以及可能被全局识别并且与当前策略更相关的环境条件来授予或拒绝用户请求。这种方法通常称为ABAC。2009-11月,联邦首席信息官委员会（联邦Qo委员会）发布了联邦身份、凫瑜洞管理（FlCAM）路线图和实施计划

6、vl.0FEDC01,解掷组织发展其逻辑访问提供了指导控制架构包括属性评估，作为跨联邦企业的组织内部施织之间进行访问的一种方式，2011年12月FlCAM路线图和实施计划v2.0FEDCIO2采取了下一步行动，序BAC作为推荐的访问控模型，以促进不同和不同组织之间的信息共氧2012I12月,信息共享和保护战略包括T优先目标艮啜邦政府应在所有安全领域的联邦隧中扩展和实施FICAM路线图。趟总务管理局（GSA）和联邦CIO委员会被指定为该目标的领导者.并正在用庞实施计划C尽管实施FlCAM路线图和基于上下文（风险自适应）角色或属性的访问控制有明确的指导，但迄今为止，联邦S府尚未做全面的努刃来正式定

7、义或指导ABAC的实施,本文档有两个目次首先它旨在为腑附构S供ABAC的定义以及ABAC功能组件的描述.其次它提供了在企业内使用ABAC的规划、设计、斓蹴谢页其国相领褊瞬!哪嬲进信映莫本始4在被懈恻ABAC和其他访问控制功能之间的替代方案的分析，因为它侧重于实施ABAC的挑战，而4是平衡M他功能与其他功能的成本和觎性。阿巴克。ABAC是一种可区分的逻辑访问控制模型，因为它通过针对与请求相关的实体（主体和客体）、操作和环境的属性评撤则来控制对对象的访现ABAC系统能够强制执行自主访问控制（DAC）和强制访问控制（MAC）概念。ABAC支持精确的访问控制.允许在访问槌快策中输入更多数:J的离散输入

8、，从而提供些变Y的更多可能组合，以反映更大、更明确的可能檄竦来表达物备ABAC中可以实现的访问控制策略仅受计算能的限制语言和可用属性的丰富性.这种灵活性可翅最大范围的主题可以访问最大范围的对象,而无需指定每个主题和每个对象之间的单独关系。例如.受试者在就业时被分配一组受试者属性（例如，南希史密斯是心脏病科的执业护士）。一个对象被分配了它的对象创建时的属性（例如，包含心脏病患者医疗记录的文件夹）。对象可以接收它们的属性要么直接来自创建者.要么作为物地割蟀果.对象的管理员或所有者使用主体和对象的腐I蛤健访问控艘则三理跋合允许的能力（例如，心脏病科的所有执业护士都可以查看医疗信息）心脏病患者的记录）

9、0企BAC下，访问决策可以通过简单地改变属性值而在请求之间改变，而不需要改变定义底层规则集的主前客体关系。做供了勤呦态的访诩醐管理能”那艮制了9保护的长蝌护要求。此外,ABAC使对象所有者或管理员能够应用访问控制策略而无需事先特定主题的知识以及可能需要访问的无限数小的主题的知识。当新的主体叭组织时规研则象不需要修改:只要为受赭分配了访同所需对象所需的属性（例如为时说科6明淆执业护士5冠了这些属性），就不需要硼翻则或对象属性进行修改。这楠处通常被称为适应外部（意外）用户这是采用ABAC的主要好处之一。当为了增加个同组织之间的信息共享而在整个企业中部署时,ABAC实施可能会变得复杂需要属性管理基础

10、设施、机器可执行的策略以及支持访问决策和策略实施的一系列功能的支持。除了基本的策略、属性和访问控制机制要求外,企业还必须支持企业策略制定和分发、企业身份和主体属性、主体属性共享、企业对象属性、认证和访问控制等管理功能机制部署和分发。这些功能的开发和部署需要仔细考虑许多影D轮业ABAC解决方案的设计、安全性和互操作性的因蒸这些因素可以概括为一组活动： 建立ABAC实施的业务案例 了解运营需求和整体企业架构 建立或完善业务流程以支持ABAC 开发并获取一组可互操作的功能 高效运营本文档的其余部分更详细地解释了ABAC概念以及使用企业ABAC功能的注意事项。本文件是第一步柳蛾堵、建聊、管理者、刘蛹蝴

11、（献喇那通过雇用ABAC来满足美国联邦政府的要求。勘误表此表包含已纳入特别出版物(SP)800-162中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。日期类型改变页数2019年2月25日社论更新了所有页面上的DOI和可用性声明。全部2019年2月25日社论将NISTSP800-63-1和800-63-2的参考替换为SP11-Q殉qp11-科2RMii-1,27,372019年2月25日社论更新了附录B中的一些参考文献以反映这些文档的当前版本。36-3708-02-2009实质性更新了图8,ABA：信任链,将环境条件作为访问控制决策的输入。221.1 目的和范围本文

12、档的目的是为联邦机才碾供基于属性的访问控制(ABAC)的定义，并提供使用ABAC改进信息共享同时保持信息控制的注意事项.本文档描述了ABAC的功能组件.以及在大型企业内使用ABAC的一系列问题.而没有直接解决身份验证机制或身份管理的所有方面，因此假设主体绑定受信任的身份或身份提储C重点是核心ABAC概念，但没有详细讨论属性工程/管理、与身份管理集成联合、醐静口(实时或上下文)机制、金咯管网!和自然语曾豌到数字娜穗换等谄EB主题，所讨论的考虑因素不应被视为全面。在选择和部署ABAC产品或技术之前，托管匆织瞬强这些考虑因素包括测试和独立的产品审查。本文档汇集了许多以前独立的ABAC知识体系，以弥合

13、可用技术和最佳实践ABAC实施之间的差距，并努J牌共可在整个组织中一致应用的指南，它可以用作信息为正在考虑部署、计划部署或当前正在部署的组织提供的指南ABAC系统。本指南扩展了NISTIR7316.访问控制系统评fNIST7316冲的信息；NISTIR7665,权限管理研讨会论文集NIS11665；NISTIR7657,柳艮(访问)管理研讨会报告NIST7657;和NiSTIR7874,访问控制系统评用酶指南NIST7874,它演示了访问控制(AC)系统的策略、模型和属性的基本概念。12受众本文档旨在使两个特定受众受益并满足他们的需求： 对访问控制M念有基本了解并希望了解一般性知识的人员对AB

14、Aatt念的J甲解 在访问控带Jfe念方面经验丰富的访问控制主题专家或经理.，他门寻求ABAC的详细部署或操作信息1.3 文档结构本文档的其余部分分为以下部分和附录：- 第2节提供了对ABAC的基本了解。它为读者提供了逻辑访问控制当前燃的概述ABAC的工作定义以及核心和企业级ABAC概念的解释.读者只需完成第2部分即可获得对ABAC概念的总体了解。第3节讨论ABAC企业在启动过程中的就业考虑因素，获取/开发、卖海评估和运营/维护阶段。对访问控制和/或项目管理感兴趣的读者将从中受益最多部分。请参阅NIST800-63-3和NIST800-63B。- 第4节是本文件的总结。- 附录A定义了与ABA

15、C相关的各种首字母缩写词和缩写词。- 附录B列出了该文档的参考文献。由于IT行业不断变化的性质，强烈建议读者利用其他资源，包括本文档中引用的资源。1.4 术语说明该术语并1；意味着是强制性的,而是旨在在文档本身的范围内保持一致。在可能的情况下，采用NlST出版物中其他地方以及整个联邦政府使用的术语以保持一致性发现使用术语的地方不一致或在整个联邦政府和整个州使用多个术语的情况身份和访问控社区解决T共同的概念、煨简揄术语和应用了定义。逻辑对象（有时称为资源）是要防止未经授权使用的实体。主体代表请求对体执行操作的实体。主体有时琳为请求者。主体通常被假定为人类C非人实体（NPE）,例如自治服务或应用程序，也可以充当主体的角色T三脱计算机执行的每项操作都必须代表具有权限的个人或组织（对于NPE*完成来执行操作。术语主体”用于表示请求访问某个内容的人或NPE。