GB/T 30281-2013信息安全技术鉴别与授权可扩展访问控制标记语言

ICS35040

L80.

中华人民共和国国家标准

GB/T30281—2013

信息安全技术鉴别与授权

可扩展访问控制标记语言

Informationsecuritytechnology—Authenticationandauthorization—

eXtensibleAccessControlMarkuLanuaeXACML

pgg()

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T30281—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

概述

5XACML……………3

概述

5.1…………………3

需求

5.2…………………3

规则和策略组合

5.3……………………4

组合算法

5.4……………4

多主体

5.5………………5

基于主体和资源属性的策略

5.6………………………5

多值属性

5.7……………5

基于资源内容的策略

5.8………………5

操作符

5.9………………5

策略分布

5.10……………6

策略索引

5.11……………6

抽象层

5.12………………6

随同策略实施一起执行的动作

5.13……………………6

模型

6………………………6

数据流模型

6.1…………………………6

上下文

6.2XACML……………………7

策略语言模型

6.3………………………8

策略语法

7…………………10

元素

7.1<PolicySet>……………………10

元素

7.2<Description>…………………12

元素

7.3<PolicySetDefaults>…………12

元素

7.4<XpathVersion>………………12

元素

7.5<Target>………………………12

元素

7.6<Subjects>……………………13

元素

7.7<Subject>………………………13

元素

7.8<SubjectMatch>………………14

元素

7.9<Resources>…………………14

元素

7.10<Resource>…………………14

元素

7.11<ResourceMatch>……………15

Ⅰ

GB/T30281—2013

元素

7.12<Actions>……………………15

元素

7.13<Action>……………………15

元素

7.14<ActionMatch>………………16

元素

7.15<Environments>……………16

元素

7.16<Environment>………………17

元素

7.17<EnvironmentMatch>………………………17

元素

7.18<PolicySetIdReference>……………………17

元素

7.19<PolicyIdReference>…………18

简单类型

7.20VersionType…………18

简单类型

7.21VesionMatchType……………………18

元素

7.22<Policy>………………………19

元素

7.23<PolicyDefaults>……………20

元素

7.24<CombinerParameters>……………………20

元素

7.25<CombinerParameter>………………………21

元素

7.26<RuleCombinerParameters>………………21

元素

7.27<PolicyCombinerParameters>………………22

元素

7.28<PolicySetCombinerParameters>…………22

元素

7.29<Rule>………………………23

简单类型

7.30EffectType……………23

元素

7.31<VariableDefinition>………………………23

元素

7.32<VariableReference>………………………24

元素

7.33<Expression>………………24

元素

7.34<Condition>…………………25

元素

7.35<Apply>………………………25

元素

7.36<Function>…………………25

复合类型

7.37AttributeDesignatorType……………26

元素

7.38<SubjectAttributeDesignator>……………27

元素

7.39<ResourceAttributeDesignator>……………27

元素

7.40<ActionAttributeDesignator>………………28

元素

7.41<EnvironmentAttributeDesignator>………28

元素

7.42<AttributeSelector>…………28

元素

7.43<AttributeValue>……………29

元素

7.44<Obligations>………………30

元素

7.45<Obligation>…………………30

元素

7.46<AttributeAssignment>……………………31

上下文语法

8………………31

元素

8.1<Request>……………………31

元素

8.2<Subject>………………………32

元素

8.3<Resource>……………………32

元素

8.4<ResouceContent>……………33

元素

8.5<Action>………………………33

元素

8.6<Environment>………………33

元素

8.7<Attribute>……………………34

Ⅱ

GB/T30281—2013

元素

8.8<AttrributeValue>……………34

元素

8.9<Response>……………………35

元素

8.10<Result>……………………35

元素

8.11<Decision>……………………36

元素

8.12<Status>………………………36

元素

8.13<StatusCode>………………37

元素

8.14<StatusMessage>……………37

元素

8.15<StatusDetail>………………37

元素

8.16<MissingAttributeDetail>…………………38

功能需求

9…………………38

概述

9.1…………………38

策略执行点

9.2…………………………38

属性评估

9.3……………39

表达式评估

9.4…………………………40

算术评估

9.5……………41

匹配评估

9.6……………41

目标评估

9.7……………42

变量引用评估

9.8………………………43

条件评估

9.9……………44

规则评估

9.10…………………………44

策略评估

9.11…………………………44

策略集评估

9.12………………………45

有层次的资源

9.13……………………45

授权决策

9.14…………………………45

义务

9.15………………46

异常处理

9.16…………………………46

扩展点

10XACML……………………46

可扩展的属性类型

10.1XML………………………46

结构化属性

10.2………………………47

安全和隐私

11……………47

概述

11.1………………47

威胁模型

11.2…………………………47

安全措施

11.3…………………………49

符合性

12…………………51

介绍

12.1………………51

符合性列表

12.2………………………51

附录规范性附录数据类型和函数

A()…………………61

附录规范性附录标识符

B()XACML…………………76

附录规范性附录组合算法

C()…………80

参考文献

……………………89

Ⅲ

GB/T30281—2013

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国科学院软件研究所

:。

本标准主要起草人冯登国徐震张敏翟征德王雅哲高志刚张凡

:、、、、、、。

Ⅴ

GB/T30281—2013

引言

如何实现大规模分布式应用中的信息资源的受控共享实现基于策略的安全管理已成为信息安全

,

领域关注的重点之一目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制不仅

。,

无法获得一个完整的安全策略实施视图而且安全策略的维护代价高可靠性缺乏足够保障

,,。

本标准定义一种通用的可扩展的访问控制策略标记语言支持多种访问控制策略类型允

XACML,,

许用户自定义策略扩展允许用户以一种实现无关的方式定义系统的资源保护策略并控制资源访问控

,

制决策的逻辑过程实现安全策略定义形式和访问判定过程标准化

,。

Ⅵ

GB/T30281—2013

信息安全技术鉴别与授权

可扩展访问控制标记语言

1范围

本标准规定了可扩展访问控制标记语言的数据流模型语言模型和语法

(XACML)、。

本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

浮点