2018基于属性的访问控制 （ABAC） 定义和注意事项NIST.sp.800-162.docx

NlST特别出版物800-162基于属性的访问指南控制(ABAC)定义和注意事项计算机安全Nl三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce计算机系统技术报告美国国家标准与技术研究院（NIST）的信息技术实验室（IT1.）通过为国家测工和标准基础设施提供技术领导来促进美国经济和公共福利.IT1.开发测试、冽试方法、参考缴、概念蜿螂方沐分析以促进信息技术的开发和生产利用.ITl的职责包括制定管理、彳政技术和WlP标准和旨南以确保联邦信息系统中除国家安全相关信息力用经济高效的安全和隐乱特出版!加OO系列报告了IT1.在信息系统安全方面的研究、指南和推广工作,及其与行业、政府和学术组织的合作活动。抽象的本文档为联邦机构提供了基于属性的访问控制（ABAC）的定义。ABAC是一种逻辑访问控制方法.其中执行T操作的授权是通过评估与主体、客体、请求的操（付联的属性醐定.并且在某些情况下针对描述允许操作的策略、则域关系的案例、环境条件对于一组给定的属性，本文台5提供了使用ABAC改进的注意事项组织内部和组织之间的信息共享，同时保持对其的控信息.关键词访问控制访问控制机制；访问除曙!；访司蹄窗；基T属胡问控制（ABAC）；授火特权。目录执行摘要.1. 介绍11.1 目的和范围11.2 受众11.3 文档结构11.4 术语说明22. 叫!解ABAC42.1 ABAC的好处52.2 ABAC的工作定义2.3ABAC基本概6念82.4 企业ABAe概念112.4.1 企业ABAC政策122.4.2 企21kABAC中的属性管理132.4.3 企业ABAC中的访问控制机制分布143. ABAC企业考虑因素173.1 启动阶段注意事项183.1.1 构建部署ABAC功能的业务案例183.1.2 可扩展性、可行性和性能要求193.1.3 开发操作需求糠构223.2 采购/开发阶段的注意事项253.2.1 业务流程生成和部署准备253.2.2 系统开发和解决方案获取注意事项273.2.3 其他企业ABAC功能的注意事项30313.3 实施/评估阶段的考虑因素3.3.1 属性缓存313.3.2 属性源最小化313.3.3 接口规格323.4 运行/维护阶段的注意事项32323334363.4.1 质后数据的可用性4易论附录A首字母缩略词御略语附录B参考文献图列表图1传统俳ABAC)多组织访问方法6图2基本ABAC场景8图3核，DABAC机制9图4企业ABAC场景示例12图5ACM功能点醐15图6ACMNIST系统开发生命顺(SD1.C)17图7AC1.信任链21图8ABAC信任链22凯门.摘另基于属性的访问控制（ABAC）的概念已经存在很多4了。它代表逻辑访问控制空间中的T点，其中包括访I磁褥IJ表、基于角色的访问控制以及基于屈性评估提供访问的ABAC方法。簸上访问控瞬于请翦W能的用户身份，以直接或通过预定义的属性类型（例如角色或组）对对象（例如文件新行操作（例如读取汾配给该用户.从业入受境到鉴于需要醐能直接与用户或其角或组关联这种访问控方法通常町!起来很麻烦.还值得注意的是.请求者的身份、组和角色阳三符在表达现实世界的访问撷懒削寸通常是个够的，另一种方法是!睡用户的任意属性和对象的任意属性以及可能被全局识别并且与当前策略更相关的环境条件来授予或拒绝用户请求。这种方法通常称为ABAC。2009'-11月,联邦首席信息官委员会（联邦Qo委员会）发布了联邦身份、凫瑜洞管理（FlCAM）路线图和实施计划vl.0FEDC01,解掷组织发展其逻辑访问提供了指导控制架构包括属性评估，作为跨联邦企业的组织内部施织之间进行访问的一种方式，2011年12月FlCAM路线图和实施计划v2.0FEDCIO2采取了下一步行动，序BAC作为推荐的访问控模型，以促进不同和不同组织之间的信息共氧2012'I12月,信息共享和保护战略包括T优先目标艮啜邦政府应在所有安全领域的联邦隧中扩展和实施FICAM路线图。趟总务管理局（GSA）和联邦CIO委员会被指定为该目标的领导者.并正在用庞实施计划C尽管实施FlCAM路线图和基于上下文（风险自适应）角色或属性的访问控制有明确的指导，但迄今为止，联邦S府尚未做全面的努刃来正式定义或指导ABAC的实施,本文档有两个目次首先它旨在为腑附构S供ABAC的定义以及ABAC功能组件的描述.其次它提供了在企业内使用ABAC的规划、设计、斓蹴谢页其国相领褊瞬!哪嬲进信映莫本始4在被懈恻ABAC和其他访问控制功能之间的替代方案的分析，因为它侧重于实施ABAC的挑战，而4是平衡M他功能与其他功能的成本和觎性。阿巴克。ABAC是一种可区分的逻辑访问控制模型，因为它通过针对与请求相关的实体（主体和客体）、操作和环境的属性评撤则来控制对对象的访现ABAC系统能够强制执行自主访问控制（DAC）和强制访问控制（MAC）概念。ABAC支持精确的访问控制.允许在访问槌快策中输入更多数:J的离散输入，从而提供些变Y的更多可能组合，以反映更大、更明确的可能檄竦来表达物备ABAC中可以实现的访问控制策略仅受计算能的限制语言和可用属性的丰富性.这种灵活性可翅最大范围的主题可以访问最大范围的对象,而无需指定每个主题和每个对象之间的单独关系。例如.受试者在就业时被分配一组受试者属性（例如，南希史密斯是心脏病科的执业护士）。一个对象被分配了它的对象创建时的属性（例如，包含心脏病患者医疗记录的文件夹）。对象可以接收它们的属性要么直接来自创建者.要么作为物地割蟀果.对象的管理员或所有者使用主体和对象的腐I蛤健访问控艘则三理跋合允许的能力（例如，心脏病科的所有执业护士都可以查看医疗信息）心脏病患者的记录）0企BAC下，访问决策可以通过简单地改变属性值而在请求之间改变，而不需要改变定义底层规则集的主前客体关系。做供了勤呦态的访诩醐管理能”那艮制了9保护的长蝌护要求。此外,ABAC使对象所有者或管理员能够应用访问控制策略而无需事先特定主题的知识以及可能需要访问的无限数小的主题的知识。当新的主体叭组织时规研则象不需要修改:只要为受赭分配了访同所需对象所需的属性（例如为时说科6明淆执业护士5冠了这些属性），就不需要硼翻则或对象属性进行修改。这楠处通常被称为适应外部（意外）用户这是采用ABAC的主要好处之一。当为了增加个同组织之间的信息共享而在整个企业中部署时,ABAC实施可能会变得复杂需要属性管理基础设施、机器可执行的策略以及支持访问决策和策略实施的一系列功能的支持。除了基本的策略、属性和访问控制机制要求外,企业还必须支持企业策略制定和分发、企业身份和主体属性、主体属性共享、企业对象属性、认证和访问控制等管理功能机制部署和分发。这些功能的开发和部署需要仔细考虑许多影D轮业ABAC解决方案的设计、安全性和互操作性的因蒸这些因素可以概括为一组活动： 建立ABAC实施的业务案例 了解运营需求和整体企业架构 建立或完善业务流程以支持ABAC 开发并获取一组可互操作的功能 高效运营本文档的其余部分更详细地解释了ABAC概念以及使用企业ABAC功能的注意事项。本文件是第一步柳蛾堵、建聊、管理者、刘蛹蝴（献喇那通过雇用ABAC来满足美国联邦政府的要求。勘误表此表包含已纳入特别出版物(SP)800-162中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。日期类型改变页数2019年2月25日社论更新了所有页面上的DOI和可用性声明。全部2019年2月25日社论将NISTSP800-63-1和800-63-2的参考替换为SP11-Q殉qp11-科2RMii-1,27,372019年2月25日社论更新了附录B中的一些参考文献以反映这些文档的当前版本。36-3708-02-2009实质性更新了图8,ABA：信任链,将环境条件作为访问控制决策的输入。221.1 目的和范围本文档的目的是为联邦机才碾供基于属性的访问控制(ABAC)的定义，并提供使用ABAC改进信息共享同时保持信息控制的注意事项.本文档描述了ABAC的功能组件.以及在大型企业内使用ABAC的一系列问题.而没有直接解决身份验证机制或身份管理的所有方面，因此假设主体绑定受信任的身份或身份提储C重点是核心ABAC概念，但没有详细讨论属性工程/管理、与身份管理集成联合、醐静口(实时或上下文)机制、金咯管网!和自然语曾豌到数字娜穗换等谄EB主题，所讨论的考虑因素不应被视为全面。在选择和部署ABAC产品或技术之前，托管匆织瞬强这些考虑因素包括测试和独立的产品审查。本文档汇集了许多以前独立的ABAC知识体系，以弥合可用技术和最佳实践ABAC实施之间的差距，并努J牌共可在整个组织中一致应用的指南，它可以用作信息为正在考虑部署、计划部署或当前正在部署的组织提供的指南ABAC系统。本指南扩展了NISTIR7316.访问控制系统评fNIST7316冲的信息；NISTIR7665,权限管理研讨会论文集NIS11665；NISTIR7657,柳艮(访问)管理研讨会报告NIST7657;和NiSTIR7874,访问控制系统评用酶指南NIST7874,它演示了访问控制(AC)系统的策略、模型和属性的基本概念。12受众本文档旨在使两个特定受众受益并满足他们的需求： 对访问控制M念有基本了解并希望了解一般性知识的人员对ABAatt念的J甲解 在访问控带Jfe念方面经验丰富的访问控制主题专家或经理.，他门寻求ABAC的详细部署或操作信息1.3 文档结构本文档的其余部分分为以下部分和附录：- 第2节提供了对ABAC的基本了解。它为读者提供了逻辑访问控制当前燃的概述ABAC的工作定义以及核心和企业级ABAC概念的解释.读者只需完成第2部分即可获得对ABAC概念的总体了解。第3节讨论ABAC企业在启动过程中的就业考虑因素，获取/开发、卖海评估和运营/维护阶段。对访问控制和/或项目管理感兴趣的读者将从中受益最多部分。请参阅NIST800-63-3和NIST800-63B。- 第4节是本文件的总结。- 附录A定义了与ABAC相关的各种首字母缩写词和缩写词。- 附录B列出了该文档的参考文献。由于IT行业不断变化的性质，强烈建议读者利用其他资源，包括本文档中引用的资源。1.4 术语说明该术语并1；意味着是强制性的,而是旨在在文档本身的范围内保持一致。在可能的情况下，采用NlST出版物中其他地方以及整个联邦政府使用的术语以保持一致性发现使用术语的地方不一致或在整个联邦政府和整个州使用多个术语的情况身份和访问控社区解决T共同的概念、煨简揄术语和应用了定义。逻辑对象（有时称为资源）是要防止未经授权使用的实体。主体代表请求对体执行操作的实体。主体有时琳为请求者。主体通常被假定为人类C非人实体（NPE）,例如自治服务或应用程序，也可以充当主体的角色"T三脱计算机执行的每项操作都必须代表具有权限的个人或组织（对于NPE*完成来执行操作。术语主体”用于表示请求访问某个内容的人或NPE。目的。主体的一些特三或属性，健嵯各出生颠家庭住让培训潮出翎能可以鞠熊S合卷雕成一M蜗的舱将该人与其他所有人区分开来。这些特征通常称为主题属性。术语“主题属性”在本文档中的使用是一致的。在一个人的一生中，他或她可能为不同的组织工作，可能扮演不同的角色，并且可能继承与这些角色相关的不同特梃人4何以为每作&织或角色建立不同的角色.并积累与每个角色相关的不同属性。例如TA工作日可能会在A公司担任门卫，也可能会在B公司轮班周未经理。每t人物角色的主题属性都不同C尽管受出I练并获得A公司门卫资格.同时以B公司角色担任值班经理周末她无权担任B连门卫。身份验证与访问控制或授权不同。身份验证是验证主体是否已被受信任的身份提供者组织授权使用所提供的标踊的行为。另一方面访问控制或授权是允许或寸瞪主体访问系统对象（懈、娥、应麻醉月睡等）的决品诗掩ABAC可以在没有标识信息的情况下使用,并且身份验证方法不适用本文件中提到。术语"访问控制''和“授权”在本文档中作为同义词使用。权限代表主体的授权行为；它们由权威机构定义并体现在政策或规则中。就本文档而言术语特权和授权可以互换使用.因为它们旨在传达一个人对访问一个或多个对象的权限和隐式批准。独立于主体和体可以在决策时用作属性来影响访问决策。环境条件的示例包括时间、可保护资源或对象来管理组织内允许的行为。在策略通常是从需要保护的客体和主体可用的特权的角度来编写的。三三ri有关策略的信息，伊咖储、獭生效日期:瞬中突方法等蒯称为元地有关属性的信息、（例如属性权喘耀獭当情属性背后的权威、属性中信息的新鲜度分数以及准确性级别信息验证频率的分数。有时，这些置信度度届甚至可以用作访问决策的输入。要是理望覆断制通常采用策略决策点（PDP）来呈现决策，娜执行点（PEP）来执行决策，以及某种上下工作流协扁管理决策所需的属性集合，出于以下目的i定对象关联在本文档中，假设术语“访问控制机制”包含所有这些功能，并且通篇使用该术语。的每个对象属性的哈希值并对哈希值的集合进（厂确定自上次绑定操作以来修改了哪个元素。2.理解ABAC充分理解ABAC需要理解逻辑访问控制的基本原理。逻辑嗣控制的目的是保护对象(无论是数据、月盼破UJ应臃序、网络设备还是某些其他类型的信息技术现受未经授权的操作。这些操作可能包括发现、飒创罢辘喃眈J对象C这些物品由个人或组织拥有，并且具有T内在价值，可以激励所有者保护它们。作为对象的所有者他门有权建立策略来描述可以对这些对象执行哪些操作、由谁以及在什么上下文中这些主体可以执行这些操作。如果主体满足客体所有者建立的访问控制策略，则主体被授权对该客体枷J所需的操作，艮悦版予对该客体的访问权限，如果主体不满足意财理访问客体。计算机安全架构师和管理员以逻辑一致的方式部署访问控制机制“M),以通过调解主体的请求来保护其对象,三ACM可以使用多种方法来强制执行适用于这些对象的访问控策曝ACM可以定义为：访问控制机制(ACM)：用于接收访问的逻辑组件来自主体的请求、决定并执行访问决定。这些ACM的功能可以用各种逻辑访问控制模型来描述。这些访问控制懒明共了T4磔和Tg边界条件可以木蝴些但重要的框架和边界条件组合对象、主体、操作和颐味生膈枷J访问解快策。每个模型都有其自身的优点和局限性,是要注意这些模型的演变，以充分理解ABAC模型的灵活性和适用性。媒体/数字转换器逻辑访问控制的早期应用应用于国防部(DoD)应用程序在20世纪60年代和70年代随着自主访问控J(DAC)和强制访问控制(MAC)概念的出现。这些术语在DoD可信计算机系统评估标准(TCSEC)或“橙皮书”TCSEC中得到了进一步定义。DAC和MAC的定义也可以在NIST800-53中找到。IBAC/AC1.随着网络的发展，限制对特定受保护对象的访问的需求刺激了基于身份的访问控制(IBAC)功能的增长。IBAC采用访问控制列表(AC1.)等机制捕获允许访问该对象的人员的身份。如果受试者出示的证书表明与AC1.中保存的内容匹配,主体就可以访问客体。主体执彳J操作(读写编注的个人权限由客体所有者单独管理。每个对象都需要有自己的Aa和分酉畦每个主体的权限集。在国际商业联合会中模型中,授权决策是在任何特定访问请求之前做出的.并导致主题被添加到AC1.中。对于要放置在AC1.上的每个主题，对象所有者必须评估新评估并可能从AC1.中删除主题以表示主题、客体或上下文做未能身份、客体和上下文属性针对管理客体的统，并决定是否将主体添加到AC1.o该决定是薜态的，所有者需要一个通知过程来重随着时间的推移,删除或撤销访问权限会导致用户积累权限。RBAC基于角色的访问控制模型（RBAe）FK924NSI359、SCFY96采用预定义的角色，具有与其相关的一组特定特权以及分酉噂哪些主体的特权。例如分配了纽野角色的主体将聃昉码*谢某人（伺的一m对象分析师的角色。在此三蛇访问权限由为每个人分S唬色的人员隐式预先确定并由对象所有者在确定与每个角色关联的榭又时明确预先确定，在发出访问请求时访问糊脍评估邠给该访问的角色请求访问的主体以及该角色被授权在呈现和执行访问决策之前对对象执行的操作集。清境角色可以喊为主体属性即由访问控制机制进行评I古，并围绕该机制生成对象访问策脸旃BAC规范的流行.它使企业访问控制集中管理能力并减少了对AC1.的需求。阿巴克就所使用的属性而言,AC1.和RBAC在某些方面是ABAC的特例。AC1.作用于“身份”属性。RBAC工作在“角色”属性匕与码C的主要区别在于策略概念，它表达可以评估许多不同属性的复杂布尔规则集。虽然可以使用AC1.或RBAC实现ABAC目标但由于AC需求与AC1.或RBAC模型之间所需的抽象级别，证明AC需求合规性非常困难且成本高昂。AC1.或RBAC模型的另一个问题是，女腺AC要求发生更改，可能很难识AC1.或RBAC实现需要更新的所有位置。与ABAC一致的访问控制框架的一个示例是可扩展访问控制标记语言（XACM1.）XACM1.XACM1.模型采用规则、娜、颁厢颗胎算法、展性（城（资源）对象、操作和环境等元素）条件）、义务和建议。其参考架构包括用于控制防问的策略决策点（PDP）、策略执行点（PEP）、策略管理点（PAP）和策略信息点（PiP）等功能。另fT½下Yi方问控制标准ANSI499。一般来说,ABAC避免了在发出请求之前将功能（操作/对象对）直接分百曲主题请求者或其角色或组的需要.相反当主体请求访问时,ABAC引擎可以根据请求者的分配属性、客体的分I酶性、环蛛牛以及根蟋些属性指定的来做出访问控制决策。派兄在潸陵下，可以在不直接参考潜在的大Q用户丽象的情况下仓犍和管刈崛，并且可以在不参考策略的情况下供应用户和对象。2.1 ABAC的好处在许多AC系统中，逻辑访问控制解决方案主要基于用户的身份请求对对象（例如文件肤行操作（例如读取）的主体。示例包括IBAC或RBAC1其中对对象的访问权限已单联予本地标识的主体或者对对象的访问权限已授予主体所属的本地定义的角色，这种AC方法通常管理起来很麻烦。初啡ABAC多组织访问方法示例中（如下图1所示），对主体原始来源之外的对象进行身份险证访问组织将要求在目标组织中预先配置主体的身份并预先填充到访问列表中。OrganizationBOrganizationAAccessRequestOrganizationA,sSubject(User)AnaccountiscreatedResourceinOrganizationBforObjeCtOrganizationA,sSubject图1：做（非ABAe）多组织访问方法11一二以及健康播海助信息的先决条件记录。）RBACUJ角色分配往往基于更静态的组织职位，这在以下方面提出了挑战：某些需要动态访问控制决策的RBAC架构。尝试实施此关访问擀快策需要创建大后临时且成员有限的角色从而强通常所说的“角色爆炸”。需要一种方法来做出AC决策，体所有者对主题的了解C依靠主1组织之间一致定义的属性,ABAC无需显式授权在请求对对象执行操作之前直接分配给各个主体。此外，该模型为大型企业提供了灵活性，其中访问控制列表或管理角色和组将非常耗时且复杂C利用跨越主体和客体的一致定义的属性可以在相同或单独的基础IS施中执行和管理身份验证和授权活动，同时保持适当的安全级别。2.2 ABAC的工作定义ABAC已经以多种方式进行了描述。他口一献于Web服务的早期论文指出,ABAC“根据请求者拥有的属性授予对服务的访问权限'WWJ04J.而地Pl!信息系统中的安全性讨论则将ABAC描述为一种方法，掰“关联属性值与用户确定用户与权限的关联''CG1.O09o还有另一篇论文将ABAC总结为“基于主体、客体狎境属性并支持制和自主访!磁制需求”的模型YT05c布型和其他定义中，有一合理的共识ABAC确定访问（即对系统的操作）对象通过将主体属性、客体属性秤嗨件的当前值与访问檄概则中指½的要求进行匹Eu是ABAC的高级定义:基于属性的访问控制(ABAe):碉制方法，根据那曲主体属性、知雌体属性、环螭甘UTS*的域胆蛀体对客体执iJ操物请求，这些璃性球ItW猱菰属性是主体、客体或环境条件的特征.属性包含由名称-值对给出的信息。主体是人类用户或NPE,例如发出访问谙求以对对象执行操作的设氤受试者被分配T或多个属性C出于本文档的目的，假设例11用户是同义词。对象是由ABAC系统管理访问的系统资源，例如包含或接收信息的设备、文件、记录、表格、进程、程序、网络或域。它可以是资源或请求的实体,也可以是主体可以执行操作的任何事物，包括数据、应用程序、服务、设备和网络。操作是根据主体的请求对客体执行功能。操作包括读、写、编辑、删除、复制、执行和修改。策略是规则或关系的表示，可以在给定主体、客体和可能的环境条件的属性值的情况下确定是否应允许所请求的访问。环境条件：发生访问请求的操作或情境上下文。环境条件S可检测的环境特征。环境特硼立于主体或客体，湘可以酒星期几用户位置或当前威胁级别。图2描述了高级ABAe定义,其中ABACACM接收主体的访问请求.然后根据特定策略检查主体和客体的属性、幅ACM确定主体可以对客体执行哪些操作.定义和考度因责访问控制政策环境状况2.3 ABAC基本概念在其最基本的形式中,ABAC依赖于对主体属性、客体属性、环境条件以及定义主体-客体属性组合的允许操作的正式关系或访问控制规则或策略的评估。所有ABAC解决方案都包含这些基本的（参见如EnvironmentConditions创建或修改新文档时，必须捕获这些对象属性。这些对象属性通常嵌入在文档本身中，但它们可能刽睡在单独的表中,Trffl参考，或由单独的应用程序管理。必须为使用该系统的每个主体分配特定的属性。考虑一个用户的例子访日类牛管理系统。用户由管理员建立为系统内的主体，并且有关该用户的特fiE被捕获为主体属性。这个主题可能喜名、I角色和组织隶属关系。其他主体属性可能包括美国人身份、国蟹和安全许可。诞主题属性由权威机构分酉丽管网！建维护文件管理系统的主体身份信息的组织内，随着新用户懒来、Z用户的离开以及主体特三的变化这些主体属性可能需要更新。系统中的每个对象都必须至少描搦织内业务兼程和允许嬴徽髭藐蹩吟'赢嬲常源自应能够访问患者的医疗记录。在某些系统中，如果对象是带有记录的文档患者病历的类型属性，然后将选择并处理病历规则，以便具有非医疗支持人员人员类型属性值的主体尝试执行邮操作将被拒绝访问并且该操作将被禁止。请注意,这只是实现属性和规则之间的连接的一种方法。三三三三三x（即哪些主体可以对螃客,哪些操作）。允雌蝌三以通满足特定授权的属性和条件的布尔组合。手术一旦建立了对象属性、主体属性和策略就可以使用ABAC来保护对象”访问控鞭!制通过限制允许的主体对允许一组关联主体和客体属性以及允许的操作的关系、以什勾!雌獭些的操作的访问来调节对对象的访问。ACM组合策略、主体属性和客体属性，八、呈现并强制执行决策。ACM必须能够管理制定和执行决策所需的流程，包专属性以及在何处检索属性C粽ACM必须执7做出决策所需的计算。ABAC模型中可以实现的策略仅受限于计算语言所施加的程度和可用属性的丰富程度。这种灵活性可以实现最大程度的主题的广度可以访问最大范围的对象，而无需指定个人每个主体和每个客体之间的关系。例如，一个主题被分配了一组主题就业属1（例如，南希史密斯是心脏睇而加k护士）。在创建时被分配M对象属性（例如，包含HeartMedicalRecords的文祥夹）患者）"靛机构创规则覆理允许的操睁（例如.心哂斗的所有执业护士都可以查看时睡患者的医疗记录）O为了僖力唳活性，属性及其值可以在主乐春体和属性的整个生命周期中进仆修既三耀集庠曙端塞舟.i三则集指定可以S行明陛操作从而使无限数屈的主体能G能盛illi三ll趣麒辘魏罂瞥M畲飕常穗外J鬻搐鹘蹒谶鲜。这个题采用ABAC。与其他一些方案相反，根据这里提出的ABAC的定义，操作没有“属性”。正如腕义的,1属性包含由名称值对给出的信息",俄口"read=all-（或“all=read”堤小合适的。操作可以有许多翘或类.它吁I；是“属性”，而！一组固定的直可以将操作身设S为“属性名称”,Wfl"操作=读取”，但这将是操作的唯一属性，这将是多余的。求和;Hl户的特定主题的访问。如果访问决策基于属性，但主体或用户ID2.4 企业ABAC概念虽然ABAC是信息共享的推动者，但当在整个企业中部署时，实施ABAC所需的组件集会变得更加复杂。在企业层面，规模的扩大需要复杂的、有时是独立建立的管理能力，以确保雌和属性的T共享和使用以及整个企业访问燃断制的受控分酉加使用“以下是本文档中企业的定义。企业：需要和管时信息共享的实体之间的协作或联合。企业漫权主体访问企业对象的规企业有某种形式的身份和凭证管理来管理主体群体r属性怫蹄啥标警T、够柳聘，类颂1许维I河能T维燃缄描政策包括必须通过主题属性在企业内的组织之间创建、存幅哄享管E院力。同样，必频捌象属性管理功能建企Ik对象属性并将其绑定细象。到匕启帝BAC的访问控制必须部署机制。本节的其余部分提供了有关企业ABAC每个主要组件的更多详细信息。EnterprisePolicyManagerEnterpriseAccessControlPolicyRepositorySubject1.ocalSubjectEnterpriseAccessControlPolicyAdministrationPointAttributesforPolicyDevelopmentEnterpriseObjectAttributeManagerOptionalEnterpriseObjectAttributeBindingandValidationServiceOptionalEnterprisePolicyDecisionServiceEnterpriseSubjectAttributeSharing2.4.1企业ABAC,1.ocalAccessControlPolicyRepository,HierarchicalPolicy_PushedtoSubordinateOrganizationsObjectCredentialIssuanceEnterpriseIdentity/、CredentialManager_mEnvironmentR<一Conditions1A1.1.ocalAccessControlPolicyAdministrationPointSubject、AttributeissuanceEnterpriseSubjectAttributeAdministrationPoint自然语言簿!以理解的与能难以以机甯场景示例涉及跨多个应用程序的主题操作。为了ABACAccessControlMechanism求繇麴嚅勺形式进彳J：编码。虽然N1.P可娓特定市疮树Object三方可以访问哪些信段gp以人类可出正式可操作的林I熊血崛可因止除被诵程序2侬盘呻唾喳吐能.j例如N1.P可能涉必略可以跨越多个目.、组织单位内部或跨组织单位的对象使用，或者骑不髅了解能从WJ.义务彝蟋转烟互止咦策薛台和应用程序。2中N1.P的定义如下：自然语言策略(N1.P)：管理企业对象的管理和访问的声明。N1.P是人类的表达方式，可以转化为机器可执行的访问控制策略。鉴于企业中的每个组织者隋在相关的N1.P,下一步是将它们转化为一组通用规则，可以在整个企业的ACM中平等且一致地执行。为了实现这一点，有必要识所有必需的主例客体属性组合和允许的操作。通常，这些价值观因组织而异，并且可能需要某种形式的共识或映射到每个组织的现有属性以适应企业互操作性。商定的主体和客体属够IJ表然后，将允许的操作以及来自现有组织特定属性的所有映射转换为机器可执行的格式。N1.P必须编入数字策略(DP)算法或机制。为了提高性能效率和规范的简单性.N1.P可能需要分解并转换为不同的DP.适应企业内经营单位的基础设施。DP在本文档中定义为：数字策略(DP):直接编译为机器可执行代码或信号的访问控制规则。主体/客体属性，操作和环境条件是DP的基木元素，是QP规则的构建他，由访问拣制机制强制执h多个DP可能需要元策略(MP)或规定DP的使用和管理的策略处即0口分级权限QP冲突消除以及Dn存储和史新.国会议员用于管理DP。根据复杂程度可能需要分层MPN1.P指定的优先级和组合策略的结构。MP在本文档中定义为元策略(MP)：关于统的獭或者用于管理策略的策略怫吩I己民主党或其他议员之间的优先事项和冲突解决.Si附式一消密恢Rr遇娜啷R.通常分布在整今企业由一统称为教宗策略管上1.oRM)组织内可能存在多个政策权威和层次结构，其内容各*相同企业政策。民主党和国会议员的管理规则可以由中央当局决定。正确的DP定义和开发对于识朋是供访问控制决策所需的主体和客体属性至关重要。语谁DP语句由主语组成和对象属性配对以及满足一组允许的操作所需的环境条件。一旦诩此满足给定企业对象集的整套允t辍作所需的完整主体和客体属性集，该属性集就包括整套企业ABAC访问决策需要定义、宛己共享柳掘性、为了因此i册JN1.P和DP必须通过属性的支持来完成实施企业ABAC能力。DP管理的其他注意事项可在本文件第3节中找到。2.4.2 企业ABAC中的属性管理接下来.考虑在检查N1.P和DP时开发的属性列表。如果没有足够的客体和主体属性集.ABAC就无法工作。属渊既蜥名、定义、给出一组允许的值、分配模式以及与主体和客体相关联。科目属性需要由权威机构建立、发行、存储和管理。必须将对象属性分配给对象。跨组织共享的属性应该被定位、检索、发布、验证、更新、修改、撤销。主题属性由属性权威机构提供通常对通过属性管理点提供和管理的属性类型具有权威性。通常.存在多个权限每施对1祠的属惭有权限例如“安全”可能是“许可”属性的权限，而“人力资源”可能是“姓名”属性的权限C需要共享以允许一住S织的主体访问另一组织中的对象的主体属性必须一致、可比较或映射以允许执行等效策略，为了WO.组织A中具有职位领导角色的成员想要访问组织B中的信息，但组织B使用术语“任务领导”来表示等效角色。这个问题同样适用企业属性模式和特定于应用程序的模式之间的映射，镯麟定义企业模式和/或商业现成(COTS)产品之前构建带有自己的内置架构。组织必须规范主题属性名称和值，或者维护所有组织的等效术语的映射。这应该由中央管理权威。在创建或修改对象时，需费蚊、婚户对象属性并将其分曲对靠虽然可能没有必要在整?企业中使用一组通用的对象属性但是应打致地使用对象属性来满足企业策略要求，并且应该为那些希望标记、标i否晰记的人发布可用的对象属性集C否则将对象属性应用于阚象W可蹒IW捌象属性4被豳或号姒满S访问请求Q对象可逊谢式绑蜗象属性以i册时象或其相!蛔性是否已被不当修改。必须部署机制来确保为所有创建的对象分配适当的对象属性集，以满足ACM所采用的策略。可能需要有属性管理器来协调这些需求。在管理属性的过程中，“元属性”的概念或者说属性的特征出现。元属性作为扩展属性应用于主体、对象和环境条件对于执行包含有关属性的信息的更详细策略以及管理企业属性管理所需的数据心有用的信息。元属性在本文档中定义为：元属性：有关在ACM内实现MP和DP处理所需的属性的信息。属性管理的其他注意事项可以在本文档的第3节中找到。2.4.3 企业ABAC中的访问控机制分布最后，考虑ACM在整个企业中的分布和管忆中口的密茨企飒兔资源分布以及需受访。回洪亨的对象献撼性ACM的分布对十ABAC实施的成功至关重要。ACM的功能组件可以在物理上和逻辑上分离并分布在企业内，而彳遑如ABAC系统级视图中所描述的集中式。ACM内有几个功能“点”，它们是检索和管理信息的服务节点。策略.以及一些用于处理策略和属性检索和评估的上下文或工作流程的逻辑组件。图5显示了主要功能点：策略执行策略点(PEP)、策略决策点(PDP)、策略信息点(PIP)和策略管理点(PAP)o当这些组件处于某怖境中时，它们必须一起发挥作用S供访问控制决策和策略执行。AuthorizationServices图5ACM功能点示例PDP对DP和MP进行评估，以产生访问控制决策。PDP和PEP在本化解民:、:牌评估适用的DP和MP来计算访问决策。attribute根据国会议员的意见调解或PEP执行PDP做出的决定策略执行点(PEP)：根据主体的请求执彳J策略决策请求访问受保护的对象；访问控制决策由PDP做出。PDP和PEP功能可以是分布式的或集中式的，并且可以在物理上和逻辑上分离三g.3盼，用于评W囹喻-并提供决策、然后将般传雄PEP.这允许对主题属性和策略进行集中管理和控制I;或者，企业内的本地组织可以实施利用集中式DP存储的单独的PDP。ACM组件的设计和分发需要管理功能来确保ABAC功能的协调°为了Il算房河决策FM必须具有有关属性的信怠C此信息由利甲提供。PIP在本文档申定义为：儒弘这项仃动是A民仃动党执彳J的策略信息点（PIP）:作为属性的检索源，或者融评估所需的数据,为DP提供决策所需的信息。在执行这些政策之前，必须对其进行彻底的测试和评估，以确保它彳怖PAP可以定义为：策略管理点（PAP）：提供用于醒、管理、瀛用哨试DP和MP以及将这些策略存储在适当的存储库中的用户界面。最后，作为ACM中的可选附加组件.上下文处训蜷序管川以下命令的顺序: