2018访问控制系统的属性注意事项NIST.SP.800-205

NIST特别出版物800‑205属性注意事项门禁系统计算机安全NISTSP800‑205NISTSP800‑205计算机系统技术报告(NIST(ITLITLITL800系列报ITL抽象的关键词（ABAC）执行摘要（（需要确定的主要兴趣领域：（）四号NISTSP800‑205NISTSP800‑205vv（）。T))[1NISTNISTSP800‑205六六目录要 iv1简介. 11.1的. 11.2范围 21.3受众. 21.4结构 22素. 43事项. 63.1准备考虑73.1.1主题属性准备..73.1.2对象属性准备83.1.3属性粒度93.1.4环境条件准备103.1.5考虑示例. 103.2考虑103.2.1属性可信度103.2.2属性准确度113.2.3考虑示例. 123.3考虑123.3.1存储属性133.3.2传输属133.3.3例. 143.4考虑143.4.1刷新143.4.2同步143.4.3缓存..153.4.4备份153.4.5考虑示例. 153.5因素153.5.1组属性使用元数据153.5.2属性权限层次结构173.5.3属性转换..173.5.4与身份验证集成183.5.5授183.5.6193.5.7志193.5.8注意事项例. 194架. 215方案 265.1例. 265.2说明 286论 29NISTNISTSP800‑205七七附录清单录A表10和11的XACML现30录B文献 32图列表图统 5图据. 图体)体)构. 图)))略. 22图B6和B6文 图B6和B6例. 表格列表表例. 表例. 表例. 表例. 表例. 表例 表例. 表称例. 表例. 表6射. 表6HRD表者. 26表者. 27NISTSP800‑205NISTSP800‑205事实上，所有授权系统都依赖于属性来呈现访问控制决策并最终对系统对象的主体访问请求实施策略。（RBAC）（RBAC(ABAC)PDP策略和属性通过一个或多个策略管理点进行管理。无论部署哪种类型的授权方案，访问控制决策的可信度都取决于属性的准确性、完整性和及时可用性。如果一个主题值满误意的 态。PDP)CP(XACML)（XML（）P由于涉及相对风险因素，用于存储、管理和检索属性的方法非常重要。具有本地属性的授权系统提供封闭的保护1NISTSP800‑205NISTSP800‑205PAGEPAGE11属性永远不需要暴露给外界的边界。在部署中属性是从远程系统存储、管理和检索的，属性容易受到这些系统的管理和保护策略以及用于传输属性的网络的影响。由于访问控制系统类型和部署的可变性，本文档一般侧重于属性属性准备、准确性、安全性、就绪性和管理本文档扩展了1)NIST机构间或内部报告(NISTIR)8112中的信息，；)T))CC)R)RTP)L和本文档的目标受众是实施访问控制的组织实体应用于组织的访问控制实施。（(IT（本文档中的章节和附录如下：123准确性、安全性、就绪性和管理。45评估方案包含不同应用的示例，并解释了属性实践声明的使用。(OMBM‑07‑16XACML使用属性的访问控制系统可以实施广泛的访问控制策略。（NIST[1OMBM‑04‑04[7它建议应用于ABAC系统内的主体和客体以及环境条件的属性实现，需要根据以下定义来解决一般属性考虑因素。（XACML）（PDP）（PEP）（PAP（PIP织)6（（（递（）（）（例）。1图属性必须标识、定义和描述一组可用于确定用于访问决策的属性的准则和标准。一旦权威来源定义了适当的属性和允许的值，就需要建立方法来为主体和客体提供适当的属性值用于通信、存储、检索、更新或撤销属性的框架。此外，必须开发或采用接口和机制来实现这些属性的共享。最后，需要建立一个属性评估方案，以基于五个主要兴趣领域带来信心：安全性考虑用于安全传输和存储库的不同标准和协议（）需要考虑属性存储库的数量。（））。应确保跨组织共享的属性适用于所有用途，包括解决方案可能会受益于在参与属性准备的组织所有利益相关者之间建立密切的工作关系。属性机构通常为通过访问控制功能或属性提供者提供和管理的属性类型提供主题属性，非个人实体除外AB1表主题属性名称属性值政策应用公司编号身份证号码（例如，主题和管理员组织A)对象访问分配部门名称（例如，软件开发部）团体组名称（例如，测试组）姓名人名（例如JoeSmith）授权（使用权角色培训ID（））培训标签（例如，最低要求）管理员对象使用权管理员对象使用权（（APS）（2表对象属性姓名对象ID

属性值（234567)

政策应用主题和管理员对象访问对象所有者

（组织B)

（2015年5月26日）（2017年5月26日）授权级别（例如1）

主题和管理员对象访问主题和管理员对象访问管理员对象访问

ID标签（例如，公共）管理员对象访问对象属性必须可用于访问控制决策的检索。创建对象属性的其他注意事项包括：（）（GFIPM（NIEF（例Web表3显示了属性准备注意事项的示例标准。考虑属性覆盖范围

表组织（即语义上完整）。

除了NPE之外拥有时的价值。影响准确性的两个特征包括：属性可信度考虑属性来源的验证、识别、（值可能令人不满意，但属性用户可能相信它来自特定信用报告机构。表4显示了基于不同置信度的属性可信度的示例。表平 于

自我报告（

第三方公共源经过验证的来源的 （源

（者）

已验证来源服务等级协定（SLA）（）（（RP（（造（C生成属性值，通常使用属性信任来评估准确性，如第2节中所述。3.2.1.表5显示了考虑属性准确性标准的示例。表虑 准认 性。

应用属性主体、客体、环境标准应用属性值存在已记录的规则或标准（）。

主体对象信任标准

主体对象远程访问控制功能/属性供应商指南

主体对象R分数。第4NLP存储的属性信息，以及其飞地内的高水平保护。属性安全（L]S23.2.2传输属性安全性评估将属性传输到属性提供者或访问控制功能的安全程度。必须评估的因素或能力包括：（PKITLS）。（）（（表6显示了属性安全标准的注意事项示例。表虑 准

应用属性（共享属性存储库）

主体、客体、环境沟通访问控制功能和属性提供者之间的安全通信（例如，加密）安全流程完整性访问控制之间属性的传输保护函数不被任何函数更改条件1不可否认能力属性传输的不可否认性方法条件1属性变更策略1访问控制功能需要有关提取或获取属性值的频率以及在需要时处理属性值的安全程度的信息。准备情况考虑（（例如，信息是否从另一个源推送到访问控制功能或属性提供者，或者主动按计划拉取）。按计划或按需提供的属性值可以保证属性值的最新程度，从而确保属性值的适用性。访问控制功能之间属性传输顺序的同步必须根据访问控制系统的处理方案或协议的顺序进行协调这样属性及其值的更新就不会导致错误的访问控制决策。XACML[12(PAP(PEP（）由于属性是组织访问控制系统的关键组件，因此它们应该表7中的属性就绪标准示例显示了一组可用于帮助确定属性就绪情况的考虑元素。表考虑

标准属性刷新频率满足系统性能要求。

属性缓存属性流程顺序备份能力

应审查许多因素以确保属性的效率和一致使用。[3]（）（（）。表8（表称实体适用性

标准属性值人名 斯分类置信度保证细节‑刷新属性来自

民众1（自我报告）拉动2015年3月8日美国就业网题（体图2显示了组层次结构的示例，其中属性Attribute_1的ID=UserGroup_AAttribute_2IDMetadata_1IDSupportSkillAdministrationMetadata_Metadata_Metadata_1Metadata_3。NISTSP800‑205

属性注意事项用于门禁系统3(aRoleProfessorRoleTA3(bTypeSecret还可以通过属性Type=Classified访问对象。主题属性：角色=教授主题属性：角色=助教（A）

对象属性：类型=秘密对象属性：类型=机密(二)))通常分配给大量主体和多种类型对象的属性（（）NISTSP800‑205NISTSP800‑205PAGEPAGE2023.5.2[14]。（（（SSO）（）ID[5]。LSAML（XML）OAuthDL))P与P进SPSP[15]。数据资源策略的正确实施取决于属性管理策略的实施。在联合或协作环境中尤其如此（（委）计是C属性可能会阻止此类访问。（（表9显示了属性管理标准的示例注意事项。考虑属性结构属性元数据、层次结构和继承方案

准 性（）属性效率属性委托

属性已融入公司SSO

属性审查可以审查属性分配。

主体对象主体、客体、环境234NLP（（（GAF（（难以管理。(COTS（）GAF(NIEFNIEF[9]4NISTSP800‑205NISTSP800‑205图)))GAFNLPF)FC22号NISTSP800‑205NISTSP800‑205PAGEPAGE27IF1>⋯..AND/1OR<环境条件n>THENALLOW

n>和作⋯.作 n用. 和性 1> n>GAFGAF图5列出了OMBM‑06‑16[16]和OMBM‑07‑16法规[17]中隐私规则的部分原文。“对远程访问个人身份信息实施保护”（步骤4）)T3（步4.1）施T3（‑‑‑OMBM‑06‑161C‑‑‑OMBM‑07‑16图BM‑06‑16和BM‑07‑16图6性”6（第3级I核规则计算机科目的属性/值雇主=联邦行动允许阅读目的属性/值数据标签=PII审计M‑ 06‑16机构验证水平=双因素（3级）部雇主=联邦允许特别的（=M‑06‑16机构到读/写特点=敏感数据（90内删除部M‑07‑16部雇主=联邦机构雇主=联邦允许到读/写允许=N（=签=I （改=M‑07‑16机构到读/写更正或注释机构理由（=图BM‑06‑16和BM‑07‑16BM‑06‑16F6（表（表F（）。OMBM‑06‑16GAF行中的通用属性：（3）示例1：表BM‑06‑16属性

主题属性联邦2因素‑

动 动

当地的使用<远程登录机构联邦3级电子的读车辆年份车辆属性ID>ID身份登记同样，通过GAF可以实现ISE的如下访问控制规则：ID>示例2：表BM‑06‑16HRD属性

主题属性联邦2因素机构ID

（3级）的 读访问密钥

同样，HRD的以下政策规则可以通过GAF实现：HRD上述示例的XACML[12]实现列于附录中。GAF属性评估方案应根据组织的要求和能力来确定，同时还要考虑风险、绩效和成本。本文档无意属性评估方案。表12高水平。表级 备1级属性涵盖所有

属性是

安全安全属性

管理属性更改和访问的日志（）

信

频率满足系统性能要求1

包括1级

包括1级

包括1级

包括1级管理;属性与身份验证集成建新（略 求已定义、语义和记录2

规则）包括2级可信度属性

包括2级安全;加密的属性值和通讯属性之间

包括2级

不适用传播等级准备真实性安全准备状态管理4级不适用包括3级包括3级包括3级不适用真实性；远程访问的性能指南和规范安全;访问控制功能之间的属性传输应该是准备情况；用于记录属性的控制功能或属性提供者防止被任何函数更改13所示。表级 别1性

性 全

态 理（

验证属性

安全属性存储库

属性日志变化和使用权1

包括1级

包括1级

包括1级

包括等级准备;属性标准

1管理;属性（语）

与身份验证集成有记录的

不适用

包括2级安全;访问控

包括2级持；正式规则，

不适用应该

属性R探索元数据的准确性，并为建立评分框架及其相关组件提供指南，以实现标准化属性置信度评估。（APS）（RAPS6。结论（）PAGEPAGE31NISTSP800‑205

属性注意事项用于门禁系统附录A表10和11的XACML实现附录列出了OMBM‑07‑16隐私规则[17]的XACML翻译。l>xmlns=urn:oasis:names:tc:xacml:2.0:policy:schema:os PolicyId=GAF‑sample1RuleCombiningAlgId=urn:oasis:names:tc:xacml:1.0:rule‑combining‑法盖><Description>OMBM‑06‑16隐私规则通用属性的XACML示例</Description><目标/>

<DescriptionPII2（3）</Description><SubjectMatchMatchId=urn:oasis:names:tc:xacml:1.0:function:boolean‑equal><属性值DataType=/2001/XMLSchema#boolean>True</AttributeValue><SubjectAttributeDesignatorAttributeId= IDDataType=/2001/XMLSchema#boolean MustBePresent=true /></主题匹配>‑<SubjectMatchMatchId=urn:oasis:names:tc:xacml:1.0:function:boolean‑equal><属性值DataType=/2001/XMLSchema#boolean>True</AttributeValue><SubjectAttributeDesignatorAttributeId= DataType=/2001/XMLSchema#boolean MustBePresent=true /></主题匹配>‑<SubjectMatchMatchId=urn:oasis:names:tc:xacml:1.0:function:boolean‑equal><属性值DataType=/2001/XMLSchema#boolean>True</AttributeValue><SubjectAttributeDesignatorAttributeId= （3）DataType=“/2001/XMLSchema#boolean”MustBePresen