2018基于属性的访问控制 （ABAC） 定义和注意事项NIST.sp.800-162

NIST特别出版物800‑162基于属性的访问指南控制(ABAC)定义和注意事项计算机安全NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南计算机系统技术报告(NIST(ITL福利。ITLITL800ITL在信息系统安全方面的研究、指南和推广工作，及其与行业、政府和学术组织的合作活动。抽象的(ABAC)的定义。ABACABAC信息。关键词（ABAC）三、NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南vv目录要. 七1. 绍. 1围. 1

1 明. 2ABAC

4ABAC处. 5ABAC2.3ABAC

6念. 8业ABAC念. 11业ABAC策. 12理. ABAC素. 17

14项. 18署ABAC例. 18性求. 19构 22购项. 25备. 25项. 27业ABAC项. 30

⋯⋯⋯⋯⋯⋯⋯⋯31存. 31

31格. 32

32性. 324论. 33录A 语. 34

36NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南六六图列表图（非法. 6图本C景. 8图心C制. 9图业C例. 图M例 图MT期 ⋯⋯⋯图L链. 图C链. NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南七七执行摘要（ABACABAC方法（（（和对象的任意属性以及可能被全局识别并且与当前策略更相关的环境条件来授予或拒绝用户请求。这种方法通常称为ABAC。9年1（O)01年2v2.0[FEDCIO2ABAC2012年12月FICAM(GSACIOFICAM（ABAC的实施ABAC的定义以及ABACABACABACABAC阿巴克。ABAC（）ABAC(DAC(MAC)概念。ABACABAC主题可以访问最大范围的对象，而无需指定每个主题和每个对象之间的单独关系。例如，受试者在就业时被分配一组受试者属性NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南八八（例如，南希史密斯是心脏病科的执业护士）。一个对象被分配了它的对象创建时的属性（例如，包含心脏病患者医疗记录的文件夹）。对象可以接收它们的允许的能力（例如，心脏病科的所有执业护士都可以查看医疗信息））C（）（这是采用ABAC的主要好处之一。C除了基本的策略、属性和访问控制机制要求外，企业还必须支持企业策略制定和分发、企业身份和主体属性、主体属性共享、企业对象属性、认证和访问控制等管理功能ABAC活动：ABACABAC本文档的其余部分更详细地解释了ABAC概念以及使用企业ABAC功能的注意事项。本文件是第一步ABACNISTSP800‑162ABAC指南NISTSP800‑162ABAC指南勘误表此表包含已纳入特别出版物(SP)800‑162中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。日期2019年2月25日类型社论改变更新了所有页面上的DOI和可用性声明。页数全部2019年2月25日社论NISTSP800‑63‑1800‑63‑2SP800‑63‑3SP800‑63B1,27,372019年2月25日社论更新了附录B中的一些参考文献以反映这些文档的当前版本。36‑3708‑02‑2019图8，ABAC链入。 22九NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南一、简介(ABACABACABACABACABAC概念（不应被视为全面。ABACABACABAC为正在考虑部署、计划部署或当前正在部署的组织提供的指南ABAC系统。RR；R（R)本文档旨在使两个特定受众受益并满足他们的需求：ABAC本文档的其余部分分为以下部分和附录：2ABACABAC2ABAC3ABAC对访问控制和/或项目管理感兴趣的读者将从中受益最多部分。1请参阅[NIST800‑63‑3]和[NIST800‑63B]。1NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南PAGEPAGE44AABACB由于IT行业不断变化的性质，强烈建议读者利用其他资源，包括本文档中引用的资源。NIST（（体NPE。目的。ABAB周末她无权担任B连门卫。（C权略策略通常是从需要保护的客体和主体可用的特权的角度来编写的。性”（2（属性背后的权威、属性中信息的新鲜度分数以及准确性级别信息验证频率的分数。有时，这些置信度度量甚至可以用作访问决策的输入。（PDP（PEP工作流协调器管理决策所需的属性集合。出于以下目的2 确定自上次绑定操作以来修改了哪个元素。ABAC（ACMACM（ACM）这些ACMABAC媒体/数字转换器逻辑访问控制的早期应用应用于国防部(DoD)应用程序206070(DAC(MACDoD)]DAMAIBAC/ACL(IBAC)功能的增长。IBAC采用访(ACL捕获允许访问该对象的人员的身份。如果受试者出示的证书表明与ACL（ACL模型中，授权决策是在任何特定访问请求之前做出的，并导致主题被添加到ACL中。对于要放置在ACL上的每个主题，对象所有者必须评估ACLACL随着时间的推移，删除或撤销访问权限会导致用户积累权限。RBAC(RBAC[FK92ANSI359SCFY96能力并减少了对ACL的需求。阿巴克L和CCL份C“ACLRBACABACACACLRBACACACL或RBACACACL或RBAC与ABAC一致的访问控制框架的一个示例是可扩展访问控制(XACML)[XACML]。XACML（（））(PDP)(PEP)(PAP[ANSI499]。C（作C下供应用户和对象。ABAC在许多AC系统中，逻辑访问控制解决方案主要基于用户的身份（（C或ACABAC（1）组织将要求在目标组织中预先配置主体的身份并预先填充到访问列表中。图（非ACRBACRBAC（(HIPAAA角色分配往往基于更静态的组织职位，这在以下方面提出了挑战：RBAC架构“AC决策C在请求对对象执行操作之前直接分配给各个主体。此外，该模型为大型企业提供了灵活性，其中访问控制列表或管理ABACCbCABAC的模型[YT05]C（）ABAC属性是主体、客体或环境条件的特征。属性包含由名称‑值对给出的信息。对象是由ABAC系统管理访问的系统资源，例如包含或接收信息的设备、文件、记录、表格、进程、程序、网络或域。它可以是资源或请求的实体，也可以是主体可以执行操作的任何事物，包括数据、应用程序、服务、设备和网络。操作是根据主体的请求对客体执行功能。操作包括读、写、编辑、删除、复制、执行和修改。策略是规则或关系的表示，可以在给定主体、客体和可能的环境条件的属性值的情况下确定是否应允许所请求的访问。图2CCMMNISTSP800‑162ABAC指南NISTSP800‑162ABAC指南PAGEPAGE8定义和考虑因素访问控制政策环境状况2a 2d规则决定1 3目的题 克2b 制 2c机制姓名隶属关系除

型 类主题属性)))d)计算决策的环境条件

对象属性图CABACCABACNISTSP800‑162ABAC指南NISTSP800‑162ABAC指南PAGEPAGE11（3）。图CCABC驻留在文件管理系统内的目录中的文档。该文档有标题、作者、知识产权特征、出口管制分类或安全分类。每次一个参考，或由单独的应用程序管理。必须为使用该系统的每个主体分配特定的属性。考虑一个用户的例子应能够访问患者的医疗记录。在某些系统中，如果对象是带有记录的文档操作将被拒绝访问并且该操作将被禁止。请注意，这只是实现属性和规则之间的连接的一种方法。（）ABAC来保护对象ACMACMMABAC主题的广度可以访问最大范围的对象，而无需指定个人每个主体和每个客体之间的关系。例如，一个主题被分配了一组主题（）（HeartMedicalRecords））（（）（采用ABAC。C息”“read=（“all=性称”取”ID虽然ABAC是信息共享的推动者，但当在整个企业中部署时，实施ABAC所需的组件集会变得更加复杂。在企业层面，规模的扩大需4ABACABAC企业有某种形式的身份和凭证管理来管理主体群体ABACACM使用必须部署机制。本节的其余部分提供了有关企业ABAC每个主要组件的更多详细信息。图C自然语言策略(NLP)是高级要求，指定如何管理信息访问以及谁在什么情况下可以访问哪些信息。NLP以人类可ACMNLPNLPNLPPNLPNLP是人类的表达方式，可以转化为机器可执行的访问控制策略。M组合和允许的操作。通常，这些价值观因组织而异，并且然后，将允许的操作以及来自现有组织特定属性的所有映射转换为机器可执行的格式。P)PDP，适应企业内经营单位的基础设施。DP在本文档中定义为：主体/客体属性、操作和环境条件是DP的基本元素，是DP规则的构建块，由访问控制机制强制执行。多个DP可能需要元策略(MP)或规定DP的使用和管理的策略DPDPDPDPMPNLP指定的优先级和组合策略的结构。MP在本文档中定义为：（MP）民主党或其他议员之间的优先事项和冲突解决。DP和MP通常分布在整个企业中，统称为数字策略管理(DPM)。组织内可能存在多个政策权威和层次结构，其内容各不相同企业政策。民主党和国会议员的管理规则可以由中央当局决定。DPDPABACNLPDP实施企业ABAC能力。DP管理的其他注意事项可在本文件第3节中找到。P和DPC由权威机构建立、发行、存储和管理。必须将对象属性分配给对象。跨组织共享的属性应该被定位、检索、发布、验证、更新、修改、撤销。全可名体访问另一组织中的对象的主体属性必须一致、可比较或映射以允许执行等效策略。为了ABB(COTS权威。ACM对于执行包含有关属性的信息的更详细策略以及管理企业属性管理所需的数据量有用的信息。元属性在本文档中定义为：元属性：有关在ACM内实现MP和DP处理所需的属性的信息。属性管理的其他注意事项可以在本文档的第3节中找到。MMACMABACM“点”策略，以及一些用于处理策略和属性检索和评估的上下文或工作流程的逻辑组件。图5显示了主要功能点：策略执行策略点(PEP)、策略决策点(PDP)、策略信息点(PIP)和策略管理点(PAP)图MPDP对DP和MP进行评估，以产生访问控制决策。PDP和PEP在本文档中定义如下：DP和MPPEP执行PDP做出的决定：请求访问受保护的对象；访问控制决策由PDP做出。PDP和PEP功能可以是分布式的或集中式的，并且可以在物理上和逻辑上分离PEP允许对主题属性和策略进行集中管理和控制。或者，企业内的本地组织可以实施利用集中式DP存储的单独的PDP。ACM组件的设计和分发需要管理功能来确保ABAC功能的协调。PPP（PIP）PAPDP和MPACM必须做出决定。例如，可以在访问请求之前检索属性，或者缓存以避免访问请求时检索所固有的延迟。上下文处理程序还与P（上下文处理程序：执行定义策略和属性检索和实施顺序的工作流逻辑。NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南ABACABAC一个大企业。该指南是根据NIST系统开发的阶段提出的(SDLC6[NIST800‑100]图MT企业ABACABAC开发/获取新能力并放弃旧能力？ABAC提供哪些重要优势？ABAC引入了哪些新风险（如果有）？需要新的治理结构来管理共享能力和文档ABAC对象属性是否可以共享和管理？访问控制规则是什么以及如何进行捕获、评估和执行？企业内部如何管理信任？ABAC17号NISTSP800‑162ABAC指南NISTSP800‑162ABAC指南PAGEPAGE31多个策略按层次结构应用并消除冲突？访问失败如何处理？谁制定新政策？共同政策如何共享和管理？ABAC跨企业实体？集中化与分布式的权衡是什么身份验证、授权、属性管理、决策或执行能力？环境条件如何用于访问决策？对安全、质量和安全的信心如何？以下各节更详细地讨论这些原则和问题。在启动阶段，组织评估对ABAC系统的需求及其潜在用途。应确定ABAC系统是否会是一个独立的信息系统或一个组件一个已经定义的系统。一旦完成这些任务并认识到需要ABACABACABAC系ABACABACABAC是否ABACABACABACABACABAC适合整个企业的政策和属性。反馈来自ABACABAC使用ABAC在考虑部署ABAC产品或技术时，可扩展性、可行性和性能是重要的问题。企业ABAC（允许一个组织访问由同一企业中的另ABAC存储库现在可能需要来自企业服务的策略请求、来自众多逻辑和物理上分散的属性源的多个属性、对象完整性的第三方验证与文档绑定的属性，以及企业在执行时在某一时刻做出的决定该决策发生在企业的不同阶段。可行性评估应检查应用程序是否可以本地或通过第三方应用程序支持ABAC。所有这些潜力ABAC考虑到可扩展性，应考虑多种架构。ABAC组件的分布应考虑底层企业架构以及必要数据和对象的位置P和PCCABACABACC决策涉及这些属性之间的复杂关系。ABAC伴随着向ABAC的转变，治理和业务流程必须发生变化，这代表了向一种方法的重大转变，其中对象由企业治理的策略和企业控制的属性控制，有时还由本地控制。这些对象现在可能需要3 A在办公时间在项目A上可以读取文件X。与一组附加特征相关联，这些特征迄今为止可能尚未在访问控制中使用。问功能。随着ABAC产品的实施以及组织的访问控制的变化，新的流程和功能将需要集成到用户的日常业务流程和企业策略中。ABAC旨在展示增强的用户体验、增强的安全性和关键信息保护、新ABAC系统的要求以及旧版访问的优势ABACABACABAC补充现有的访问控制机制。一些企业可能希望能够审查与主题及其相关的能力属性以及与对象及其对象属性关联的访问控制条目。更简洁地说，在提出请求之前需要了解每个人拥有哪些访问权限。这有时计”CC个别科目的知识。评估有权访问给定对象的主体集需要大量的数据检索和计算工作可能需要每个对象所有者对企业中每个已知主题运行访问控制请求的模拟。限制范围ABAC在企业的各个部分中，有许多不同的操作和对象类型NLPABACABACABAC将显着延迟。建议组建一个企业治理机构来管理所有身份、凭证和访问管理能力的部署和运营，并且每个机构下属组织维持一个类似的机构，以确保管理与企业ABAC实施相关的部署和转换的一致性。此外，建议型”此外，企业授权服务应与安全审计、数据丢失防护、安全配置管理、持续监控和网络防御功能紧密集成。仅授权服务不足以确保保护驻留在网络上的关键任务对象所需的安全性。应努力充分认识企业安全要求以及ABAC实施将产生的影响。例如，当使用分布式ACM架构时，可能会对审核访问控制决策的能力产生影响和事件。ABAC系统可以从信任框架管理的环境中的部署中受益。ALC（图7和ABACACLACL图L图CCCABACC通过将受保护对象暴露给未知实体访问来降低企业的运营风险。经过CABAC在实施ABAC解决方案之前，必须满足几个高级操作和架构规划要求：ABACACMABAC解决方案选择共享和保护的对象将根据组织的不同而有所不同要求。每个对象或对象类别必须被识别，并且保护每个对象的策略或规则必须ABAC（）对于这些，获取权威数据的方法是众所周知的。举个例子，只有安全当局应能够根据权威的人员许可信息提供和断言许可属性和属性值；一个人不应该能够改变他或她自己的间隙属性值。其他主体属性可能涉及主体当前的任务、身体状况位置以及发送请求的设备；需要开发流程来评估和确保此类主题属性数据的质量。（APSS提企业，可以识别该企业的权威属性来源。更远的网络（所有事件。通常，这些信息是由非安全流程和需求驱动的。支持良好访问决策的良好属性数据至关重要，必须采取措施确保创建对象属性的注意事项包括：（）给定用户被授权的隔间）。ACM中应考虑到这一点，以便用户只能看到适用于他们的值。DPMPNLPABACABAC关。C（）哪些规则适用于哪些对象，以限制未经授权的主体操纵属性的可能性以获得授权。在其他情况下，被拒绝访问的主体应该有一种方法来验证或纠正导致拒绝的情况。一些组织可能希望跟踪（）ACMACM检索信息、评估决策和执行决策的顺序可能会根据实施的具体要求而有很大差异，甚至可能会考虑访问控制决策呈现期间的环境条件。这称为上下文处理，简称为ACM在收集决策所需的数据时所执行的工作流程。执行并定义要部署和集成的系统。在这个阶段的第一部分，组织应同时定义系统的安全和功能要求。在此阶段的最后一部分，组织实施/评估阶段。NLP（定义NLP记录NLP有助于DP的开发并提供对书面政策的可追溯性。例如，许多组织很难将其授权功能从ACL转换为更强大的ABAC基础设施，因为不存在相应的NLP。作为一个例子，考虑当收到访问请求时，数据所有者会评估一组标准通常NLP一致的自动化策略驱动的访问控制决策。必须为企业主体和客体属性定义并应用一组一致的有效值。（与IT部门Web服务部门如果知道需要一起使用这些属性值来做出决策，则DP以及决策可能是在信息不足或使用错误逻辑的情况下生成的。ACL绝。用于正确发现和获取访问批准所需属性的完善流程将有助于简化过渡。这可以扩展到解决访问授权服务组件时丢失的连接或其他困难。在关键任务中，主体应该能够理解限制并请求例外，被指向权威的帮助来源，或者尝试其他路径来访问等效信息或服务。ABAC可能会因疏忽而增加个人身份信息(PII)隐私侵犯的风险将属性数据暴露给不受信任的第三方，或者在比发起者的环境受到更少保护的环境中聚合敏感信息。参与属性共享PII并执行PII法规PII使用作为验证、补救和裁决监管违规责任的方法。第二个考虑因素是主题属性可以通过授予/拒绝决策的模式来揭示。如果一个主题DPNLPDPDPDPNLPDPDP维护地方政策和仅适用于其组成或下属组织的独特政策。ABACABAC（指定标准选项的子集，即配置文件）。具有可选性的标准获取ABAC单独的授权服务组件（例如，策略决策点、策略执行点、策略访问对象的请求必须被验证为源自唯一主体。ABACABAC的采用（[NIST800‑63‑3NIST800‑63B]）(TLS1.2X.509）由受信任的证书颁发机构颁发的证书与由证书颁发机构绑定到专有名称的实体相关联。NPE对访问控制服务中NPE的支持有特殊要求。授权服务使用属性NPEEE基于NPE凭证的访问决策将无法将请求归因于个人或在提出请求时可能扮演该角色或登录到该团体帐户的个人。NPENPE（）（）E（（X.509参与属性交换的双方都需要。ABAC仅授权服务不足以确保保护分布在整个企业中的关键任务对象所需的安全性。需要全面且一致的安全功能来建立所（例）储比管理多个连接更简单。在某些情况下，连接有限、不足在一些企业中，可以定义最小属性集。拥有一套标准的企业主体DP（过程。示例包括威胁级别、主体/客体位置、身份验证方法或一天中的时间。随着时间的推移，环境条件可能比主体和客体属性变化得更快。（用于管理属性的框架。/NLPDPDPDP（）基本的互操作性，如果只是为了实现有限的安全信息共享能力。和新的一样需求出现时，企业可以选择引入新的企业属性和共享规则他们。SL‑)配置文件充当具有通常受限属性值的特定于域的标准化属性的示例。欧共体‑美国概况记录了美国访问控制决策的共同属性美国商务部出口管理条例(EAR)和美国国务院国际武器贸易条例(ITAR)。PDPPDPPDPABAC在开发和实施ABAC企业授权功能时，架构师和程序管理者必须记住，当前的访问控制不可避免地会经历一个漫长的过渡现在正在使用的方法已达到所需的最终状态。随着标准和技术的成熟，组织将需要拥抱增强互操作性并推广更高保证解决方案的概念，同时放弃专有的烟囱式解决方案。访问控制决策是通过使用从以下位置收集的准确、及时和相关的数据来做出的：适合风险级别的权威来源。对访问控制决策的信心取决于信息的及时性、相关性、权威性以及质量、可靠性和完整性（）ABACCitizenship，NationalityABAC可以遵循第和创建或指定自己的属性，策略可能无法互操作。使用预先商定的属性将使策略更加统一且易于理解。获得操作系统的正式授权。当ABAC解决方案从原型/试点转向部署时，可以考虑属性C每个访问决策都需要跨网络属性请求。这在低带宽、高延迟