2018访问控制系统的属性注意事项NIST.SP.800-205.docx

《2018访问控制系统的属性注意事项NIST.SP.800-205.docx》由会员分享，可在线阅读，更多相关《2018访问控制系统的属性注意事项NIST.SP.800-205.docx（37页珍藏版）》请在课桌文档上搜索。

1、计算机安全NlST特别出版物800-205属性注意事项门禁系统Nl三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce计算机系统技术报告美国国家标准与技术研究院(NIST)的信息技术实验室(IT1.)通过为国家测量和标准基础设施提供技术领导来促进美国经济和公共福利。ITl劫械、测防法、螭数据、概念验H碳术分析，以促进信息技术的开发和生产利用。IT1.的职责包括制定管理、行政技术和刎标喇箭询喃藤麴冲除酶安电联信蚊外6蜗高姐皮渊辘,糊恸跑800系列报告了IT1.在信息系统安全方面的研究、指胡雕广工作及其与行业、政府樗术

2、组织的合作活动。抽象的本文档为联邦机构提供了在访问控制系统中实施属性的指南。属性支持噩访问僦防法，其中执行一组操作的麒是通过评估与主题、客体、请求嬲作以及在某些临兄下与艇允许操作的第咯、规贝域关系的环境条件f联联的属性来确定的对于一组给定的属性，本文件概述了权威机构在标准化属性系统时必须解决的影响属性的因素，并提出了T概念性的实施建议供考虑。关键词访问控制;访问控制机制；访问控耕镂；访蜩獭；属储虑；属性;保证;基于属性的访问控制(ABAC)特权。用于门禁系统基于属性的访问控制系统依靠属性不仅定义访问控制策略规则,而且还强制肺J：访问控制。属性需要在权限下建立、绮、存储和管埋。跨组织共享的属性应

3、通过位、检索、发布、验证、撕J数安翻髓削承翳俏越即匕所有属性都必须根据适当的数字策略所需的允许值来建立、定义和约束；必须完成这些属雷吮许的属性值的麟的成堀曙以帮助主体（例如）娥者）和客体（例如，受保护的资源/服务）所有者进彳J策略和关系开发。一旦建立了属性及其允许的值，还必须建立在存储、检索、u三或髓辗性阿琛内向主体用居体提供属性和适当的属性值的方法。此外，必须开发或采用接口和机制屎实现这些属性的共享。最后，为了趣属性的保三,属怪铅方罐于五个属性带来置信度需要确定的主要兴趣领域：准备工作是指规划属性创建和共享机制，以及属怕1供者和i方问控制能之间维护属性隐私的规则。这种考虑应基于业务运营要求，

4、以满足运营效率和保密性的目标。准确性为主体、客体属性或环境条件的语义和句法正确性建立了策略和技术基础，并确保基于商定或可信的属性定义、协议、测后和维护过程所获得的属性是可信的。安全性考虑用于系统之间安全传输和属性存储库的不同标准和协议，以避免损害属性的数据完整性和机密性或暴宓属性提供程序、访问控制功能或未经授权实体执行的其他类型的恶意操作中的漏洞。就绪度是指更改属性的刷新频率。系级须确保三性嬷丽检频率充分支持涧控J实施功能。止劭能还确保在信息系统紧急情况（例如J皤宽、月陶跌）o此外，还需要考虑属性存储库的嫄转移和备份能人管理提供维护属性的机制.以确保属性的效率和一致使用，包场勰层属愣灌的宸烯构

5、、属性麒的最4*0撼昉法以姗咬持功能（例如,与身份验证的属性集成、用于记属性访问的日志）和更新）。NlST特别出版物（SP）800-162,基于属性的访!可控制（ABAo指南定义和注意事项介绍了访问控制定义的指南以及实施访问控制系统的注意事项，但没有包括有关准备、獭性、安全性、溷身嘱性管ff等注意事项的详细建议。本文件旨在为联邦怵提供属性注意事财蹒以及访问榔螭属性评估方案示例。属性评估方案应根据企业信息系统的需求确定，企业信息系统应对这些需求进行验证,以实现符合性能和成本的适当的组织属性评估方案能力建议.需要注意的是，本文档并没有建立TS合所有业务能力和性能需求的通用属性方案；相反它提供了在定

6、义其属性而防案时可以适应的考虑因素和示例，以满足组织的特定需求。目录执行摘要介ivl简111.2范.21.3受11目的.困构22考虑因素43属性注意事项63.1准备考虑73.1.1主题属性准备73.1.2对象属性准备83.1.3属性粒度93.1.4环境条件准备103.1.5考虑示例103.2真实性考虑IO3.21属性可信fS.103.2.2属性准确度113.2.3考虑示例123.3号考虑123.3.1存储属性133.3.2传输属性133.3.3考虑示例143.4准备考虑143.4.1刷新143.4.2同步143.4.3缥存153.4.4备份153.4.5考虑示例153.5管理考虑因素153.5

7、.1组属性使用元数据构换成权查志153.5.2属性权限层次结173.5.3属性转173.5.4与身份验证集183.5.5授18356属性审193.5.7日193.5.8注意事项我194通用属性框架215属性评估方案265.1属性评估方案示例.明265.2属性实践说2829附录清单附录A表10和11的XACM1.实现30附录B参考文献32图列表图1:使用的*:访问极权、身份验诉嘱性证明图3主体和客体(b)的属性特权层次结构17图4：在不使用和使用(b)通用属性框架(GAF)的情况下生成访问控制策路22图5OMB6-16和OMB7-16的隐私规贝嫄文23图6OMB6-16和OMB7-16中的规则砌

8、24表格列表表3属性准备标%的考虑因素示例10表4属性可信度11表5属性准确性标准的考虑因素示例12表6属性安全标准的注意事项示例14表7属性准备标准的考虑因素示例15表8属性源元数据的标准属性名称/值示例16表9属性管理标准的考虑因素砌20表100MB7-16规则的通用属性到ISC系统的映射24表H0MB716规则的通用属性与联邦组织HRD系统的映射25表12：远程访问控制腿懒J属性的属性评估方案示例函数或属性提供者26表13：未提供的对象属性的属性评估方案考虑因素示例远程访问控制功能或属性提供者27用于门禁系统1.1 目的事实上，所有授权系统都依赖于属性来呈现访问控制决策并最终对系统对象的

9、主体访问请求实施策略,也许当今使用最多的授权方案是基于角色的访问控制（RBAC）,其中角色（例如经理、应收呻职员、信贷员履供了表达主体的权限、责任或工作职能的方法。将角色属性值分酉咐主体的过程间接授予主体与角色关联的权限。RBAC的一种新兴替代方案是根据主体和客体的企业特定属性以及可选的以这些属性表示的环境条件和策略来授予或拒绝访问系统对象的主体请求C这种访问控制方法通常称为基于属性的访问控制（ABAC）。应用在访问擀例表中的主体名称和组是用于制定访问策略和计算决策的属性的其他示例。访问控制系统通常包含四层功能和信息分解执行、决策、访问控制数据和管理涉及多个组件，这些组件协同工作以实现策略保留

10、访问。其核心唬融决策点（PDP）,它Vm决策以允许或拒绝主体请求对系统对象执h操作。献执行点（PEP）发出请求并接受基于访问控制数据当前状态的PDP决策.其中包括以属性和属性值表示的访问控制策睢例如，这些值可以步及寻求访问的主体的属性和目标对象的属性;策略和属性通过一个或多个策略管理点进行管理。无论部署哪种类型的授权方案，访问控制决策的可信度都取决于属性的准确性、完整性和及时可用性。如果一个主题被不恰当地分配了属性值,无论是由于自满、错误、延迟还是恶意,结果都是相同的不适当的访问状态。在过去的几十年,也蝴了各种m者、管H和应用属的访法C一种方法将懈和属性与PDP紧密耦合。考虑下f涧控制（NGA

11、C）2,这是种ABAC标准，其中策略和属性者隔过可能驻留在PDP内存中的一组标准元素和关系的策略保留配置进行管理C可扩展访问控麻记语言（XACM1.）部署可以提供更加分布式的方法。獭被表示为可扩展标记语言（XM1.）文档，这些文档从策略检索点本地加载三PDP存储器中,并根据从f或多个策略信息点远程检索的属性进彳J评估。在另T4部署中，属性在多个依赖方之间存储、管明哄享（交换），每个依赖方者隋自己的PDP和策略存储。由于涉及相对风险因素.用于存储、管理和检索属性的方法非常重要。具有本地属性的授权系统提供封闭的保护用于门禁系统属性永远不需要暴露给外界的边界。在部署中属性是从远程系统存储、管理和检索

12、的，属性容易受到这些系统的管理和保护策略以及用于传输属性的网络的影响。由于访问控制系统类型和部署的可变性，本文档一般侧重于属性属性准备、准确性、安全性、就绪性和管理在计算访问控制决策和执行策略时,应该考虑懒闲使用属性的信本文件概述了权威机构在标准化属性评估系统时必须解蟠影响属性的因素,并提出了一些概念性的实施建议供考虑：，本文档扩展了1)NIST机构间或内部报告(NISTIR)8112中的信息，属性元数据：用于评估联合属性的提议模式冏；2)NIST特别出版物(SP)800-162,基于属性的访问控制(ABAC)定义和注意事项指南，定义了ABAC的术语和概念，并讨论了ABAC实施的注意事项，3)

13、NISTIR7316,访问懒标统评估4,演示了访问控制崛、模型和机制的基本概念系统；4)NISTIR7874,访问控制系统评估指指南5；和5)NISTSP800-178,数臧艮务应用程序基于属性的访问控制(ABAC)标准的比较6,它倘TrXACM1.和NGAC,然后根据五个标准对它们进行了比较。诲境，跳(是重点但访司控的购验的假设和依赖蛀题得到解决。1.2 范围本文档的目标受众是实施访问控制的组织实体期望与其他组织共享属性或访问其他组织信息的解决方案。本文件不规定组织在其企业系统或除组织本身之外的社区内可能需要的内部属性评估系统标准，相反，重点是建立对属性的信1.应用于组织的访问控制实施。1.

14、3 受众本文档假设读者熟悉访问(授权)序并具备操作辍数懒畸皮全6罐本知识:鉴于信e技术id行业不断变化的性质，强烈议读两用其他文档(包括本文档中列出的文档沫获取史最新、史详细的信息。14文档结构本文档中的章节和附录如下： 第1节规定了访司控制系统所用属性的目的和范围。 第2节概述了访问控制属性的基本抽象：主体属性、客体属性和工作环境中的环解和 第3节从准备的角度讨论了属性的考虑因素，准确性、安全性、就绪性和管理。 第4节演示了一个通用属性框架，并提供了Y集成和定义属性以实现属性的准确性。 第5节演示了属性考虑因素到属性的映射评估方案包含不同应用的示例，并解释了属性实践声明的使用。-附录列出了通

15、用属性框架中管理和预算办公室(OMB)备忘录M-07-16隐私规则的XACM1.翻译的附加信息，用于门禁系统使用属性的访问控制系统可以实施广泛的访问控制策略。属性（由名称-值对给出）包含主体、客体或环境条件M特征从而实现獭控M允许在访问控映策中使用更多数Q的离散输入并提供更多可能的组合集这些变吊反映了一套更广泛、更明确的可能规则来表达政策。除了NlST特别出版物800162口和OMBM-04-047中记录的早期工作之外，它建议应用于ABAC系统内的主体和客体以及环境条件的属性实现，需要根据以下定义来解决一般属性考虑因素”访问控制功能是AC机制或方案的功能。例如，可扩展访问控制标记语言（XACM

16、1.）方案架构包括策略决策点（PDP）、懒抵I点（PEP）、懒管评点（PAP丽匏略信息点（PIP涔功能.国际标准化组织/国际电工委员会（ISO/1EC）29146:2016中定义的规则,以及T用于处理策略和属性检索和评估的上下文或工作流程的逻辑组件。本地蝌系统利错的访1鹤助能（分睇为本地或远程访冏莓助能泌须共同发挥作用.以提供访诃控制决策和策略实属性提供者是向访问控制*能或其他属性提供者提供主体、解（或资源减环境条件属性的任何人或系统（在这种情况下，属M提供酷为端酬提供者），无论像胡源晌。属1SS供可以是原始帼源或荀过从权威源接收信息然后重新打包属性以传递解由到访问楙期能或属性的存储库充当权威

17、踊肪诩强曲能力间的中介。提供番属性值可以是人工生成的（W11.雇员数据库）、从公式融的（例如信用1盼、或密姓成的（例如.诸如啊三wmw.无论属性的来源如何，访问控制功能都应尽其所能确保与它伽斤应用的主体、客体或环境条件40关联的属性是安全且无错误组织可以根据对访问控制功能、属性提供者或本地属性资源提供的属性的置信度，通过定义的方案进行属性验证,麻i做出者于风险的决策。图1说明了所使用的属性的范围，刨S身份验证、授权和属性证明。请注散溺属性是通过远呼瞄提供的偏性。AttributeusedAuthorizationAttributeProong1.ocalattributesAttribesfr

18、omrenotnetvdAttributesfromlocal(trusted)network、1.ocalaccesscontrolfunctions图1：使用的性范围：AccesscontrolfuctionsorACmechanismAttributesfromremotenetworkAuthenticationAttributeproviderorremoteaccesscontrolftmctionsAttributesfromRemoteattributeproviderAttriburemotees_fromnetorRemoteattributesnetworkRemotea

19、ttributes用于门禁系统访问控制依赖于属性的评估，不仅定义访司摒悚略规则，而且执行这些规帆却施当、消鳏通的访问趟的做子、可靠S毓的属性数据至关重要。因此由访问控制功能或属I蝴供者提供的属性需频过属性证明眦阚呆证。属性必须标识、定义和描述一组可用于确定用于访问决策的属性的准则和标准。一旦权威来源定义了适当的属性和允许的值,就需要建立方法来为主体和客体提供适当的属性值用于通信、存储、检索、更新或撤销属性的框架。此外,必须开发或采用接口和机制来实现这些属性的共享。最后，需要建立一个属性评估方案，以基于五个主要兴趣领域带来信心：准备是指规划属性创建和共享机制，以及属性提供者和访问控制功能之间维护

20、属性隐私穗则”这种考虑应基于业务运营要求，以满足运营效率和保密性的目标。准确性为主体、客体属性或环境条件的语义和句法正确性建立了策略和技术基C并确保基于商定或可信的属性定义、协议、测，和维护过程所获得的属性值是可信的。安全性考虑用于安全传输和存储库的不同标准和协议系统之间的属性以避免损害数据完整性和属性的机密性”露属谶供者、访问榔恸能或实体中的漏洞；或未哪权的实体执行的其他类型的恶意行为。就绪度是指更改属性的刷新频率。系统必须确保属性1三和检频率充分支持访问控制实施功能。此功能还确保在信息系统紧急情况（蚀低微、月蝴趺），此外故障树咯份搬需要考虑属性存储库的数让。管理提供维护属性的机制，以确保属

21、性臧率和一致使用，包括元数据、属性分组的层次结构、属性性能例蹴方法以剧加支持功能（例如与就验证的属性集成、用于记t属性访问和记的日志）。O用于门禁系统3.1 准备考虑定立罐、施蜒嘛修；保师蹴I1.臃腐修脑撕腼解克傩危雌束这的属性值的架构必须发布给所有参与者，以便在规则和关系开发中使用。属性可以由多个组织创建和共氧因此属性上睬的设计必须根业务和访问控的需求，考虑联邦的使用、创建幅怀献方案。属州供者和访问控制功能也需要维护隐私以满足机密性要求。最大艘地减少授权决策中使用的属性源的数可以提高性能并简化访问控制解决方案的整体安全管理。出少卜，计戈唔曙访问窗IJ的组织应确保跨组织共享的属性适用于所有用途

22、，包括些属性和允许票.解决方案可能会受益于在参与属性准备的组织所有利益相关者之间建立密切的工作关系“3.1.1 主题属性准备属性机构通常为通过访问控制功能或属性提供者提供和管理的属性类型提供主题属性，非个人实体除外（NPE）1例如由操作系统生成或控制的自主务或应用程序。通常有多个权限，每个权限M不同的主题属性者除权限例如，安全可能是权限Mtw限而人力资源可能是名称属中的信息，修隹只B使用术语性的权限。需要保证信息共享以允只的主体访可另一组织中的对象的主体属性必须三一致的、可;傲的或映射的，以允许执彳J镑的策略，例如维华中具有职位领导角色的成员想要访问组织B“任务领导”来表示等效角色。表1显示了

23、主体属性的示例。表1：主题属性示例主题属性名称属性值政策应用公司编号身份证号码（例如，主题和管理员组织A）对象访问分配部门名称（例如，软件开发部）主题和管理员对象访问团体组名称（例如，测试组）主题和管理员对象访问姓名人名（例如caSmiih）牛颔和管现房对发话问授权授过编别（纲用1）管理同时用角色角色ID（例如工作负责人（或任务负责人）使用权管理员对象培训ID培训标签（例如，最低要求）管理员对象用于门禁系统已应用的策略”物出了策BS规则的类型.如果将多个策略应用于访问控制系统，则需要此属性来评估Wt又限。由于主体属性可能由不同的本法。例如，只有构（例如人）璘%鑫估和确保此类主题属性数据的质心。

24、、物理位置以及发送请求陞制功能内部和之间共享和复制权威i题属性数据。3.1.2 对象属性准备8S三三I必须在单个系统中一致地黯露用。虽然整个企业可能不需要使用一组通用的对!懒最饕寅龈整滞牌疫褊磐蹲需疆解薪性集，碗表2：对象属性示例对象属性属性值政策应用姓名对象ID身份证号码（例如主题和管押员对象访问234567）而右志对象所有者的名称主体和管理员对象访问权限对家历”或组织（例如组织B）对象创建日期和时间日期和时间（例如，主题和管理员对象访问2015年5月26日）对象想除日期和时间书题和管理员对象访问授权口即和时IBJBIJ如,2017年5月26日）管理员对象访问受限访问ID投权域利I例如IjI

25、D标签（例如.公共）管理员对象访问如果将多个策略应月到访问控制系统,则“已应用策咯”列列出了需要此属性来评估问权限的策略类型，用于门禁系统访问控制机构可能无法适当且密切地监控所有事件。通常，对象信息是由非安全流程和要求驱动的m商业案例。因此必须采取储J乎叫分配和验证。例如，主体不能修取识别穗或其相应属性是蚕已极不当修改。所使用的策略。可髭需要有一彳听有创建的对谟希已适当的S鼐髀端曦堂殿整至耀露褊疆是什么或谁可以访问该客体）。应与主题蜃性一样,义和语法定义内有效。嚼食瞿曝许的值以确保对属性在其语对象属性必须可用于访问控制决策的检索。创建对象属性的其他注意事项包括：联邦政府和商业行业已经做出了许多

26、努力来创建对象属性标记工具.这些工具不仅提供数据标记还提供JS性与对象的加楠定。这些功能越供对象属性字段的验证以满足访问控制决策要求。例如全球联合身份权限管理（GFlPM）8期范提供了主体的属性数据模型，国家身份交换联盟（NIEF）阴规范提供了一组属性定义，旨在使组织能够交换属性数据。3.1.3 属性粒度对于封握小特权原则篝翻鬻魂镯蹲脸勺不同分组。这城及访问控制系统可以:定的最小权限:的不同程度的粒J三三s和Web应用;:常重要。日3.1.4环境条件准备环境条件是指通常与任何特定主体或客体不相关但在决策过程中需要的上下文信息。环境条的主体和客体属性不同，因为它们建在运行时之前以管理方式创建和管

27、理的，而是固有的并且必须可由访诩翰助能检洌倒以用于访问决就访问渊功能在授权访问请求时根据当前匹配的环境变后评估环境条件蚀哨距版时电位置、威娴醐态环瓣僧磁圆辨第懒疑殛飒态规则这些颓瞰代IX由主体或客体属性驱动的规则。在编写具有环境豺曲访问控规则时，重要的是要确眄境条件吸其值可全局访问、防篡改并且与其使用环境相关。3.1.5考虑示例表3显示了属性准备注意事项的示例标准。表3：属性准备标准的考虑因素示例考虑标准应用属性属性涵盖主体、客体的所有保护策骼要求覆盖范围组织（即语义上完整）。属性属性处于中央或统一治理之下。璃治理属性性基于组织的安全和操作要求，粒度主体；蛇环峥件目的3.2其实性居虑除了NPE

28、之外.断言及性的准确-性会g至l以下因素的影响：访问控制功能或属性燃惆有时的价值C影响嵬者负责获取、评估用缱户确性的两个特征包括：属性可信度：1.性准确件3.2.1属性可信度属性可信度考虑属性来源的验证、识别、罐篇繇访可控制助能的局瀛翁须放在访值可能令人不满意,但属性用户可能相信它来自特定信用报告机构。表4显示了基于不同置信度的属性可信度的示例。用于门禁系统表4：属性可信度示例信心水班基干低的自我报告笫三方公共源经中等的属性校对（主要针对主题）过验证的来源高的源自独立于潜在因素即原始来源）高身份证明（主要针对受试者）已验证来源服务等级协定卜1.A）属性可信度证明依赖于这样一目的的方法包括：Y脸

29、：螂可以树g对远褶方问海雌或硝加楮提供的枷信的做出基于风险的决策。实现这识别、定义和燧一组标准化属性元数据，访问控制功能可以使用这些元数据来帮助确定他们用于授权决策的属性的可信度。识M定义和搞i可用于确定属性的可信度的Ta标准（例如表1中所示），其可包括用于确定给定属性的客观置信水平的评分系统机制。根据组织的风险承受能力，为整访问控功能或属性提蟠序操作制建议性能指南和规范.对于远程主体属性（即，不是来自本地访问控制功能本身或NPE）,属性保证依赖于用于确定碱告属性的信任链。如鼎艮告属性的远程访问控功能或属性提供者没有验证它们，贝第必要提片系夕HiE据来表明属性已被权M验三并且它彳屿相关系领关联

30、已得到维护。3.2.2 属性准确度鉴于相互操作的实体范围广泛，属性定义的同义词是不可避免的。因此所有实体!弱的瞒怫标准和协议对于实现合作至关重要：,必须制定句法和语义属性值方面商定的标准，以确保系统成功的互操作。例如，谶考虑的是可以向依赖方（RP）I呆证某个属性来自受信任的实体。信用报告机构,但特定信用评分的属性值可能会令人不满意，因此具有属性镯空瞰标准化语法和iS义的字螂腰由访磁制功能或属性提供者达成一致并发布。属性值不准确是由于访问控制功能和属性提供者之间的不同数据类型（例如整数、字殍艮布尔值）或不同分类（例如级别、鬻期造幡。因此可能需要达成一致、魁缓懒解海转换使得属性值对于策略评估来说是

31、准确的.例如属性直用于门禁系统访问控制模型固有的属性（例如RBAC系统的角色泌须准确地分配给与组织业务功能相关的主体,除非访问控制能或属性提供者负责其标准、算法或协议生成属性值，通常使用属性信任来评估准确性，如第2节中所述。3.2.1.3.2.3 考虑示例表5显示了考虑属性准确性标准的示例，考虑确认行准庙印展世伯在在口表5:属性准确性标准的考虑因素示例标准通过提供和管押来正确脸证属性的准瑜性.F的粕硼或标准应用属性主体、客体、环境健康般况主体对象胱佰和定义（语法和语文娜11）C信任标准标准可用于确定属性的可信度.主体对象迈槎步I。1控制动伴/海性存在针对远程访磁制功能或属性提供程序的性能指南和

32、规范，主体对象供应商指南MISTIR8112,属性元朗限据组织用于支持业务策支持系统来实现广泛i.用于评f撷合属性的提议模式13,策的标准化属性元数据来审查准确性、出处、施、繇和蹒的类,基本业务功能。它还提供了建评分鸣汲其相趟件的m南以实现飒雏包K瞬哪蝴调领自动侪分数。第4节演示了一个通用属性框架，并提供了T集成和定义属性以趟属性准确性的示例。该示例显示了T初从N1.P开始的组织,它管我企业环境中的多个访问控系统,3.3安全考虑访问控制函数和属性提供者必须确保许多属性：属性值及其元数据、免蜗或损坏、充分审查存储的属性信息，以及其飞地内的高水平保护。属性安全还确定访问控功能或属性提供者向访问控制

33、功能提供属性的安全程度。换人届说访）西翰助能或属1蝴供都晌确保它打三送的属性是访问褥期能实际接收的属性？属性安全性包括评估存储属性和传输属性条件的安全性。例如为了摩属性解的安全性加通过加密和签名机制（例如签名的SAM1.10曲意T1.S11）发送属性。用于门禁系统3.3.1 存储属性存储属性安全府平估实际属性存储的机制以及访问控制功能和属性提供程序保护信息或属性生成过程的程度。清境宿稠技全性确保属性及其值的生成和管理，同时考虑属性值如第2节中所述。3.2.2、重点关注属性值的语义准确性。必须评估的因素或能力包括: 加密 为检测属性值的意外更改而采取的措施 数据存储在正确的纵深防御感势背后的网络

34、上 对属性更新、复制、撤销或修改i超强制实施的策略 记录并审核属性更改所存储的属性因素或能力通常用于评估本地访问控制功能.因为可以在本地呈现所需的信息。然而对于属雌熠、逊方礴恸能或无法本地访问所涉及系统的远程属性提供者，可能需要包含用于评估因素或能力的清单的协议或合同。3.3.2 传输属性传输属性安全性评估将属性传输到属性提供者或访问控制功能的安全程度。必须评估的因素或能力包括： 安全协议用于将属性请求和属性值传输到属性提供者或访问控制功能（幽1与启帝Kl的T1.S会话相比，在不力唯的情况下以明文方式传输）。 重放攻击保护通常是通过将访问控功能提供的信息包含到远程访问控制功能或属性提供提供的签

35、名消息中来实现的。这保证了属性的完整性和机密性。 传输的属性应用于属性的多层接收（即，当属性由远程访问控制功能或提供商发送时使得所保证的属性可以通过转发路由链传递）,例如为了获得如船朗的保证使曦与签名属性（加密绑定）提供属性的哈希值，以确保它在接收之前没有被更改或篡改。除了访问控制功能和属性提供者的传输安全性之外，还必须考虑访问控功能之间的安全安排。为了做出正确的统决策，砌呆护访问控制功能之间的属性传输个被系统的任何其他内部进程更改。如果适用.应溺卜组考虑元素或方案（蚀口SAM1.）,访问控制系统可以使用它们来帮助确定属性是否已证明对安全标准的考虑。NISTSP属性注意事项用于门禁系统3.3.

36、3考虑示例表6显示了属性安全标准的注意事项示例。表6:属性安全标准的注意事项示例考虑僦应用属性存储库安全怦安全或口信的属性存储库（例如,专用或主体、客体、环境共享属性存储库）健康琳况沟通安全访问控制功能和属性提供者之间的安全通信（例如，加密）虫雕遍健康湫况流程完整性访问控制之间属性的传输保护函数个被任何函数更改挑的确条件1不可否认能力属性传输的不可否认性方法块蹄礴条件1属性变更策略用瑾腱、崛修改和畴属性的IE捌测、域缄标准城雒晒和牛13.4准备考虑属性准备度考虑属性做惭、定时、缓带暗份功能方面的质怖所有这些都允许访问控处理准确的访问权限不会因属性信息过时或不同步而导致错3.4.1 刷新访问控制

37、功能需要有关提取或获取属性值的频率以及在需要时处理属性值的安全程度的信息。准备情况考虑访问控制功能或属性提供者如何根据基本事实更新或验证（刷新）属性值。主动获取必须考虑刷新率对特定属性的影响（例如，信息是否从另一个源推送到访问控制功能或属性提供者，或者主动按计划拉取）。按计划或按需提供的属性值可以保证属性值的最新程度，从而确保属性值的适用性。3.4.2 同步访问控制功能之间属性传输顺序的同步必须根据访问控制系统的处理方案或协议的顺序进行协调这样属性及其值的更新就不会导致错误的访问控制决策。例如为了在XACM1.12方案中保持访问控制功能同步，在授权过程正在进行时，不应允许通过策略管理点（PAP

38、）更新属性；策略执行点（PEP）完成该过程后，更新或新添加的属性将可用。1如鬣嘴痛感可控或机器生成的，而d是非人为可控因素，施耐3.4.3缓存就绪性还确保在信息系统紧急情况（即低带宽、服务损失）。岭卜，还必须考虑属性库的故障恢复能力。3.4.4 备份由于属性是组织访问控制系统的关键组件，因此它们应该蠡穗g第行时始终可用。因此准备蟀应包括故睇移的能力以及从属性存储库或解系统故障中恢3.4.5 考虑示例表7中的属性就绪标准示例显示了一组可用于帮助确定属性就绪情况的考虑元素。表7:属性准备标准的考虑因素示例考虑标准应用属性,36*皿力属性刷新频率满足系统性能要求。主代客体环境属性刷新频率健康漱况属性

39、缓存运行时的属性缓存满足系统性能要求和访问控制能之间的协议。主体对象属性流程访问控制能之间的属性传输得到协调，4会产生错民主体对象备份解“支持故障转移或备份属性。主体对象3.5管理考虑应审查许多因素以召i保属性的效率和一致使用。因物闵勃能例如与身份看证的属性集成、属生磬E、属性由查:以及用于T深属性访!可种扁的日志九下所述部优3.5.1 组属性使用元数据番宣鬟属性的过程中，元数据作为扩展属性信息应用于主体和客体，可用于实施细粒S的访问控制策略，其有关属性的信息并管H企业属性管凶断需的数据此元数据还可用于指定保证缈域置信度度7,作为属性准确性网、安全性和僻性雌合分数。标准化属性元数据是有关每个属

40、性的信息元素。这些元素包括信息用于门禁系统关于属性，蚀暄（即，更新瘫）、用于建立属性的源（即，是否自断言或从记录中检索）以及属性本身的来源（即权威）。无论访问控制方法如何，为属性的元数据元素建立评分系统都可以支持访问决策。然后可以根据各个属性置信度分数来决定使用来自远程访问控制功的J漏也!供者幽寺定属性。表8显示了用于共享出处信息作为属性源的标准（商定）元数据的示例。特定属性值一人员“可能足以访问公共信息请求的数据但4足以访问敏感系统，因为或提“许可级别”是自我报告的并且不是从权威来源获取的。表8:属性源越蟒标准属性名称/值示例标准标准属性名称属性值实体适用性人姓名乔史密斯为了增强访问控制的灵

41、活性?中.而不是为每个丰题/客体分类置信度三Jmt-B44C民众1（自我报告）集到具有适当组元数据的组理元数据具同的特征，保证详细信息-最后更新美国就业网属性米目:使于属性管理和管理，通常应用组和属性之间理仆加相同的属性，值f叩元属性口刃代表系统流关系，这样可以将主题客体增T主体/客体的it同特布，力n甲-则组元数据还可侬合成原犯尾玄蛀珈皇一种值比茶杯的组。因!比甘什切t。做晔登注t附4酉睇较高级别的组。图2显示了组层次结构的示例，其中属性AtUibUte_1的ID=UserGroup_AAUTiblJte_2的ID=Group_B属于元数据Metadata_1的值：ID=Support,Sk

42、ill=Administrationo元数据Kte1Ietadata_2继承Metadata_3的ID=生产和安全等级=2。鼬女有属撤ttribute，贝尼也将具有属性值MetadataJi和Metadata_3。NISTSP800-205Attribute_l:ID=UserGroup_AAttribute_2:ID=UserGroup_B博性注意事项1.禁系统Metadata_l:GroupID=SupportSkill=AdministrationMetadata_2:GroupID=DevelopmentSkill=ProgramingMetadata_3:DivisionID=Pro

43、ductionSecurityClass=23.5.2属性权限层次结构属性可以根据访问控制系统中的权限关系以树形结构进行分类。这种关系可以用作为树中节点的属性来表示，使儆口果将高级主题属性分配给初级主题属性，贝屿该够妊题属性相关联的所有访问权限都该主题自动獭,这些!斓具有通过属性值继承的高级属性。死显示了一个示例，其中主题属性RoIe=Professor的主题也拥有主题属性Role二TA的主题的特权。对于对象来说如果将副浏象属性分酹合初级对象属性则自动允许与该高级对象属性关联的所有访问权限通过属性值继承来访问具有初级属性的对象。图3(b)显示了访问属性TyPe=SeCret的对象的示例还可以通

44、过属性Type=Classified访问对象：主题属性：角色=教授对象属性类型=秘密3.5.3属性转换主题属性.角色益助教（八）对象属性：类型=机密图3：通常分配给大量主体和多木从不同的角度来看，可能会导致访诩辅J的管理困难，云系统三J能！有多稚性的最灿块锹资源、对象存储资源(伊物网象、容器、帐户)或网络资源(例如防火墙、路由器)，所前逑用于门禁系统它们有很多自己的属性。因此将会有许多特定于不同类型对象的属性，并且新属性将作为新对象类型添加到系统中。因此将这些属性值邠喊取消分S睇主体和客体需要相当大的努力。此先使这些属性定义6锻权娜板k会很大且复杂，并且可能导致规范、域、修改和糙方面的困难。为了解决这些困难，属性管理的转变例如第2节中所述的缩减、扩展和分组。3.5.2必须考虑。属性约简通过抽M对于特定类型的主体或客体来说过于具体的属性，将大后的属性分酹专换为较小的集合。最大限度地减少授权决