没有合适的资源?快使用搜索试试~ 我知道了~
首页美NIST标准-ABAC-中英文版本
资源详情
资源评论
资源推荐
1
NIST Special Publication 800-162
Guide to Attribute Based Access
Control (ABAC) Definition and
Considerations
基于属性的访问控制(
ABAC
)
定义和注意事项指南
2
Authority
!"#$%&'()#*+,#-.%"+$%(//.%0/1/)-&/0%(2%345!%,-%6'7,"/7%#,$%$,+,',-72%7/$&-.$#(#)#,#/$%'.0/7%,"/%
8/0/7+)%4.6-79+,#-.%5/*'7#,2%:+.+;/9/.,%<*,%=845:<>?%@'()#*%A+B%=@CAC>%DEFGHIFC%345!%#$%
7/$&-.$#()/%6-7%0/1/)-&#.;%#.6-79+,#-.%$/*'7#,2%$,+.0+70$%+.0%;'#0/)#./$?%#.*)'0#.;%9#.#9'9%
7/J'#7/9/.,$%6-7%8/0/7+)%#.6-79+,#-.%$2$,/9$?%(',%$'*"%$,+.0+70$%+.0%;'#0/)#./$%$"+))%.-,%
+&&)2%,-%.+,#-.+)%$/*'7#,2%$2$,/9$%B#,"-',%,"/%/K&7/$$%+&&7-1+)%-6%+&&7-&7#+,/%8/0/7+)%
-66#*#+)$%/K/7*#$#.;%&-)#*2%+',"-7#,2%-1/7%$'*"%$2$,/9$C%!"#$%;'#0/)#./%#$%*-.$#$,/.,%B#,"%,"/%
7/J'#7/9/.,$%-6%,"/%L66#*/%-6%:+.+;/9/.,%+.0%M'0;/,%=L:M>%N#7*')+7%<GDHE?%5/*,#-.%O(=H>?%
Securing Agency Information Systems?%+$%+.+)2P/0%#.%N#7*')+7%<G%DHE?%<&&/.0#K%4QR%Analysis
of Key SectionsC%5'&&)/9/.,+)%#.6-79+,#-.%#$%&7-1#0/0%#.%N#7*')+7%<GDHE?%<&&/.0#K%444?%
Security of Federal Automated Information ResourcesC% %
本出版物由 NIST 制定,旨在进一步履行其在《联邦信息安全管理法》
(FISMA)、《公法》(P.L.)107-347 项下的法定职责。NIST 负责制定信息安
全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权
力的适当联邦官员明确批准,此类标准和指南不得适用于国家安全系统。本指
南符合管理和预算办公室(OMB)A-130 号通告第 8b(3)节“确保机构信息系
统安全”的要求,如 A-130 号通告附录四“关键章节分析”所述。补充信息见
A-130 号通告,附录三,联邦自动化信息资源安全。
3-,"#.;%#.%,"#$%&'()#*+,#-.%$"-')0%(/%,+S/.%,-%*-.,7+0#*,%,"/%$,+.0+70$%+.0%;'#0/)#./$%9+0/%
9+.0+,-72%+.0%(#.0#.;%-.%8/0/7+)%+;/.*#/$%(2%,"/%5/*7/,+72%-6%N-99/7*/%'.0/7%$,+,',-72%
+',"-7#,2C%3-7%$"-')0%,"/$/%;'#0/)#./$%(/%#.,/7&7/,/0%+$%+),/7#.;%-7%$'&/7$/0#.;%,"/%/K#$,#.;%
+',"-7#,#/$%-6%,"/%5/*7/,+72%-6%N-99/7*/?%T#7/*,-7%-6%,"/%L:M?%-7%+.2%-,"/7%8/0/7+)%-66#*#+)C%
!"#$%&'()#*+,#-.%9+2%(/%'$/0%(2%.-.;-1/7.9/.,+)%-7;+.#P+,#-.$%-.%+%1-)'.,+72%(+$#$%+.0%#$%
.-,%$'(U/*,%,-%*-&27#;",%#.%,"/%V.#,/0%5,+,/$C%<,,7#(',#-.%B-')0?%"-B/1/7?%(/%+&&7/*#+,/0%(2%
345!C%
本出版物中的任何内容都不应视为与商务部长根据法定权限制定的对联邦机构
具有强制性和约束力的标准和指南相抵触。这些准则也不应被解释为改变或取
代现任商务部长、OMB 主任或任何其他联邦官员。本出版物可由非政府组织自
愿使用,在美国不受版权保护。然而,NIST 会很感激这种归属。
National Institute of Standards and Technology Special Publication 800-162 Natl. Inst.
Stand. Technol. Spec. Publ. 800-162, 47 pages (January 2014) CODEN: NSPUE2
This publication is available free of charge
from: https://doi.org/10.6028/NIST.SP.800-162
3
N/7,+#.%*-99/7*#+)%/.,#,#/$?%/J'#&9/.,?%-7%9+,/7#+)$%9+2%(/%#0/.,#6#/0%#.%,"#$%0-*'9/.,%#.%-70/7%,-%
0/$*7#(/%+.%/K&/7#9/.,+)%&7-*/0'7/%-7%*-.*/&,%+0/J'+,/)2C%5'*"%#0/.,#6#*+,#-.%#$%.-,%#.,/.0/0%,-%#9&)2%
7/*-99/.0+,#-.%-7%/.0-7$/9/.,%(2%345!?%.-7%#$%#,%#.,/.0/0%,-%#9&)2%,"+,%,"/%/.,#,#/$?%9+,/7#+)$?%-7%
/J'#&9/.,%+7/%./*/$$+7#)2%,"/%(/$,%+1+#)+()/%6-7%,"/%&'7&-$/C%
!"/7/%9+2%(/%7/6/7/.*/$%#.%,"#$%&'()#*+,#-.%,-%-,"/7%&'()#*+,#-.$%*'77/.,)2%'.0/7%0/1/)-&9/.,%(2%345!%
#.%+**-70+.*/%B#,"%#,$%+$$#;./0%$,+,',-72%7/$&-.$#(#)#,#/$C%!"/%#.6-79+,#-.%#.%,"#$%&'()#*+,#-.?%#.*)'0#.;%
*-.*/&,$%+.0%9/,"-0-)-;#/$?%9+2%(/%'$/0%(2%8/0/7+)%+;/.*#/$%/1/.%(/6-7/%,"/%*-9&)/,#-.%-6%$'*"%
*-9&+.#-.%&'()#*+,#-.$C%!"'$?%'.,#)%/+*"%&'()#*+,#-.%#$%*-9&)/,/0?%*'77/.,%7/J'#7/9/.,$?%;'#0/)#./$?%
+.0%&7-*/0'7/$?%B"/7/%,"/2%/K#$,?%7/9+#.%-&/7+,#1/C%8-7%&)+..#.;%+.0%,7+.$#,#-.%&'7&-$/$?%8/0/7+)%
+;/.*#/$%9+2%B#$"%,-%*)-$/)2%6-))-B%,"/%0/1/)-&9/.,%-6%,"/$/%./B%&'()#*+,#-.$%(2%345!C%
L7;+.#P+,#-.$%+7/%/.*-'7+;/0%,-%7/1#/B%+))%07+6,%&'()#*+,#-.$%0'7#.;%&'()#*%*-99/.,%&/7#-0$%+.0%
&7-1#0/%6//0(+*S%,-%345!C%<))%345!%N-9&',/7%5/*'7#,2%T#1#$#-.%&'()#*+,#-.$?%-,"/7%,"+.%,"/%-./$%
.-,/0%+(-1/?%+7/%+1+#)+()/%+,%",,&$RWW*$7*C.#$,C;-1W&'()#*+,#-.$C%
某些商业实体、设备或材料可在本文件中加以识别,以便充分描述试验程序或
概念。此类标识并不意味着 NIST 的推荐或认可,也不意味着实体、材料或设备
必须是用于此目的的最佳可用设备。
本出版物中可能参考了 NIST 根据其指定的法定职责正在开发的其他出版物。本
出版物中的信息,包括概念和方法,即使在此类配套出版物完成之前,联邦机
构也可以使用。因此,在每个出版物完成之前,现有的要求、指南和程序在它
们存在的情况下仍然有效。出于规划和过渡目的,联邦机构可能希望密切关注
NIST 对这些新出版物的开发。
鼓励各组织在公众评论期间审查所有出版物草稿,并向 NIST 提供反馈。除上述
出版物外,NIST 计算机安全部门的所有出版物均可在
https://csrc.NIST.gov/publications 上查阅。
Comments on this publication may be submitted to:
National Institute of Standards and Technology
Attn: Computer Security Division, Information Technology Laboratory 100 Bureau Drive (Mail
Stop 8930) Gaithersburg, MD 20899-8930 Email: sp800-162-comments@nist.gov
Reports on Computer Systems Technology
!"/%4.6-79+,#-.%!/*".-)-;2%A+(-7+,-72%=4!A>%+,%,"/%3+,#-.+)%4.$,#,',/%-6%5,+.0+70$%+.0%
!/*".-)-;2%=345!>%&7-9-,/$%,"/%VC5C%/*-.-92%+.0%&'()#*%B/)6+7/%(2%&7-1#0#.;%,/*".#*+)%
)/+0/7$"#&%6-7%,"/%3+,#-.X$%9/+$'7/9/.,%+.0%$,+.0+70$%#.67+$,7'*,'7/C%4!A%0/1/)-&$%,/$,$?%,/$,%
4
9/,"-0$?%7/6/7/.*/%0+,+?%&7--6%-6%*-.*/&,%#9&)/9/.,+,#-.$?%+.0%,/*".#*+)%+.+)2$/$%,-%+01+.*/%
,"/%0/1/)-&9/.,%+.0%&7-0'*,#1/%'$/%-6%#.6-79+,#-.%,/*".-)-;2C%4!AX$%7/$&-.$#(#)#,#/$%#.*)'0/%
,"/%0/1/)-&9/.,%-6%9+.+;/9/.,?%+09#.#$,7+,#1/?%,/*".#*+)?%+.0%&"2$#*+)%$,+.0+70$%+.0%
;'#0/)#./$%6-7%,"/%*-$,G/66/*,#1/%$/*'7#,2%+.0%&7#1+*2%-6%-,"/7%,"+.%.+,#-.+)%$/*'7#,2G7/)+,/0%
#.6-79+,#-.%#.%8/0/7+)%#.6-79+,#-.%$2$,/9$C%!"/%5&/*#+)%@'()#*+,#-.%OEEG$/7#/$%7/&-7,$%-.%
4!AX$%7/$/+7*"?%;'#0/)#./$?%+.0%-',7/+*"%/66-7,$%#.%#.6-79+,#-.%$2$,/9%$/*'7#,2?%+.0%#,$%
*-))+(-7+,#1/%+*,#1#,#/$%B#,"%#.0'$,72?%;-1/7.9/.,?%+.0%+*+0/9#*%-7;+.#P+,#-.$C%
国家标准与技术研究所(NIST)的信息技术实验室(ITL)通过为美国的测量和
标准基础设施提供技术领导,促进美国经济和公共福利。ITL 开发测试、测试
方法、参考数据、概念实现证明和技术分析,以促进信息技术的开发和生产性
使用。国际交易日志的职责包括为联邦信息系统中与国家安全相关的信息以外
的其他信息制定具有成本效益的安全和隐私管理、行政、技术和物理标准和指
南。特别出版物 800 系列报告了国际交易日志在信息系统安全方面的研究、指
导方针和外联努力,以及它与工业、政府和学术组织的合作活动。
Abstract
!"#$%0-*'9/.,%&7-1#0/$%8/0/7+)%+;/.*#/$%B#,"%+%0/6#.#,#-.%-6%+,,7#(',/%(+$/0%+**/$$%*-.,7-)%
=<M<N>C%<M<N%#$%+%)-;#*+)%+**/$$%*-.,7-)%9/,"-0-)-;2%B"/7/%+',"-7#P+,#-.%,-%&/76-79%+%$/,%
-6%-&/7+,#-.$%#$%0/,/79#./0%(2%/1+)'+,#.;%+,,7#(',/$%+$$-*#+,/0%B#,"%,"/%$'(U/*,?%-(U/*,?%
7/J'/$,/0%-&/7+,#-.$?%+.0?%#.%$-9/%*+$/$?%/.1#7-.9/.,%*-.0#,#-.$%+;+#.$,%&-)#*2?%7')/$?%-7%
7/)+,#-.$"#&$%,"+,%0/$*7#(/%,"/%+))-B+()/%-&/7+,#-.$%6-7%+%;#1/.%$/,%-6%+,,7#(',/$C%!"#$%
0-*'9/.,%+)$-%&7-1#0/$%*-.$#0/7+,#-.$%6-7%'$#.;%<M<N%,-%#9&7-1/%#.6-79+,#-.%$"+7#.;%
B#,"#.%-7;+.#P+,#-.$%+.0%(/,B//.%-7;+.#P+,#-.$%B"#)/%9+#.,+#.#.;%*-.,7-)%-6%,"+,%
#.6-79+,#-.C%
本文件为联邦机构提供了基于属性的访问控制(ABAC)的定义。ABAC 是一种逻
辑访问控制方法,在这种方法中,执行一组操作的授权是通过评估与主题、对
象、请求的操作相关联的属性来确定的,在某些情况下,还会根据描述给定属
性集的允许操作的策略、规则或关系来确定环境条件。本文档还提供了使用
ABAC 改进组织内部和组织之间的信息共享的注意事项,同时保持对该信息的控
制。
Keywords
+**/$$%*-.,7-)Y%+**/$$%*-.,7-)%9/*"+.#$9Y%+**/$$%*-.,7-)%9-0/)Y%+**/$$%*-.,7-)%&-)#*2Y%
+,,7#(',/%(+$/0%+**/$$%*-.,7-)%=<M<N>Y%+',"-7#P+,#-.Y%&7#1#)/;/C%
5
访问控制;访问控制机制;访问控制模型;访问控制策略;基于属性的访问控
制(ABAC);授权;权限。
Acknowledgements
!"/%+',"-7$?%Q#.*/.,%NC%Z'?%T+1#0%8/77+#-)-?%+.0%[#*S%\'".%-6%,"/%3+,#-.+)%4.$,#,',/%-6%
5,+.0+70$%+.0%!/*".-)-;2%=345!>Y%<0+9%5*".#,P/7%-6%M--P%<))/.%Z+9#),-.Y%\/../,"%
5+.0)#.%+.0%[-(/7,%:#))/7%-6%!"/%:4![]%N-7&-7+,#-.Y%+.0%\+7/.%5*+76-./%-6%5*+76-./%
N2(/7$/*'7#,2?%B#$"%,-%,"+.S%,"/#7%*-))/+;'/$%B"-%7/1#/B/0%07+6,$%-6%,"#$%0-*'9/.,?%#.*)'0#.;%
,"/%6-))-B#.;R%<7,"'7%[C%87#/09+.?%<)+.%^C%A+.;?%:+7;+7/,%:C%N-;0/))?%+.0%\/1#.%:#))/7%
67-9%,"/%3+,#-.+)%5/*'7#,2%<;/.*2%=35<>?%^/66/72%AC%N-)/9+.%=5L!][<%T/6/.$/%
5-)',#-.$>?%<../%@C%!-B.$/.0%=!"/%:4![]%N-7&-7+,#-.>?%^/..#6/7%3/B*-9(%=M--P%<))/.%
Z+9#),-.>?%!#9%_/#)%=N-+)6#7/>?%]0%N-2./%=T[N>?%^-".%_C%!-)(/7,%=M-/#.;>?%^/7/92%_2+.,%
=`/./7+)%T2.+9#*$>?%4+.%`)+P/7%=`+7,./7>?%5*-,,%NC%8#,*"%=A-*S"//0%:+7,#.>?%!#9%5*"9-2/7%
=^/7#*"-%52$,/9$>?%A'#;#%A-;7#&&-%=V.#1/7$#,a%0'%b'a(/*%/.%L',+-'+#$>?%T+1/%N-K/%
=N7#,/7#-.%52$,/9$>?%T-.%`7+"+9%=[+0#+.,%A-;#*>?%+.0%[-.+)0%[-$$?%+.0%[+9+$B+92%
N"+.07+9-')#%=345!>C%<00#,#-.+))2?%,"/%345!%N-9&',/7%5/*'7#,2%T#1#$#-.%B-')0%)#S/%,-%
,"+.S%:7C%87#/09+.%6-7%#.#,#+,#.;%,"#$%/66-7,%+.0%"+1#.;%,"/%6-7/$#;",%,-%+.,#*#&+,/%,"/%;7-B#.;%
#9&-7,+.*/%-6%<,,7#(',/%M+$/0%<**/$$%N-.,7-)%#.%;-1/7.9/.,%+.0%#.0'$,72C%
作者,国家标准与技术研究所(NIST)的 Vincent C.Hu、David Ferraiolo 和
Rick Kuhn,Booz Allen Hamilton 的 Adam Schnitzer,MITRE 公司的 Kenneth
Sandlin 和 Robert Miller,以及 Scarfone Cybersecurity 的 Karen Scarfone
希望感谢他们的同事审阅了本文件的草稿,包括以下是:来自国家安全局
(NSA)的 Arthur R.Friedman、Alan J.Lang、Margaret M.Cogdell 和 Kevin
Miller、Jeffery L.Coleman(SOTERA Defense Solutions)、Anne
P.Townsend(the MITRE Corporation)、Jennifer Newcomb(Booz Allen
Hamilton)、Tim Weil(Coalfire)、Ed Coyne(DRC)、John W.Tolbert(波
音)、Jeremy Wyant(General Dynamics),Ian Glazer(Gartner)、Scott
C.Fitch(洛克希德马丁公司)、Tim Schmoyer(杰里科系统)、Luigi
Logrippo(Universitecdu Quecbec en Outaouais)、Dave Coxe(Criterian
Systems)、Don Graham(Radiant Logic)、Ronald Ross 和 Ramaswamy
Chandramouli(NIST)。此外,NIST 计算机安全部门感谢 Friedman 先生发起
这项工作,并有远见预见到基于属性的访问控制在政府和行业中日益重要。
剩余89页未读,继续阅读
ayayalynnlynn
- 粉丝: 14
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- stc12c5a60s2 例程
- Android通过全局变量传递数据
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0