路径: 主页 > GB/T > 第210页 > GB/T 30281-2013 | 标准编号 | GB/T 30281-2013 (GB/T30281-2013) | | 中文名称 | 信息安全技术 鉴别与授权 可扩展访问控制标记语言 | | 英文名称 | Information security technology - Authentication and authorization. eXtensible Access Control Markup Language (XACML) | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 96,935 | | 引用标准 | IEEE 754; IETF RFC 822; IETF RFC 2253; IETF RFC 2396; IETF RFC 2732; IETF RFC 3280; W3C XQUERY1.0; XPATH 2.0 | | 标准依据 | 国家标准公告2013年第27号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了可扩展访问控制标记语言(XACML)的数据流模型、语言模型和语法。本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析。 | GB/T 30281-2013
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 鉴别与授权
可扩展访问控制标记语言
2013-12-31发布
2014-07-15实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 XACML概述 3
5.1 概述 3
5.2 需求 3
5.3 规则和策略组合 4
5.4 组合算法 4
5.5 多主体 5
5.6 基于主体和资源属性的策略 5
5.7 多值属性 5
5.8 基于资源内容的策略 5
5.9 操作符 5
5.10 策略分布 6
5.11 策略索引 6
5.12 抽象层 6
5.13 随同策略实施一起执行的动作 6
6 模型 6
6.1 数据流模型 6
6.2 XACML上下文 7
6.3 策略语言模型 8
7 策略语法 10
7.1 < PolicySet >元素 10
7.2 < Description >元素 12
7.3 < PolicySetDefaults >元素 12
7.4 < XpathVersion >元素 12
7.5 < Target >元素 12
7.6 < Subjects >元素 13
7.7 < Subject >元素 13
7.8 < SubjectMatch >元素 14
7.9 < Resources >元素 14
7.10 < Resource >元素 14
7.11 < ResourceMatch >元素 15
7.12 < Actions >元素 15
7.13 < Action >元素 15
7.14 < ActionMatch >元素 16
7.15 < Environments >元素 16
7.16 < Environment >元素 17
7.17 < EnvironmentMatch >元素 17
7.19 < PolicyIdReference >元素 18
7.20 VersionType简单类型 18
7.21 VesionMatchType简单类型 18
7.22 < Policy >元素 19
7.23 < PolicyDefaults >元素 20
7.24 < CombinerParameters >元素 20
7.25 < CombinerParameter >元素 21
7.29 < Rule >元素 23
7.30 EffectType简单类型 23
7.31 < VariableDefinition >元素 23
7.32 < VariableReference >元素 24
7.33 < Expression >元素 24
7.34 < Condition >元素 25
7.35 < Apply >元素 25
7.36 < Function >元素 25
7.42 < AttributeSelector >元素 28
7.43 < AttributeValue >元素 29
7.44 < Obligations >元素 30
7.45 < Obligation >元素 30
7.46 < AttributeAssignment >元素 31
8 上下文语法 31
8.1 < Request >元素 31
8.2 < Subject >元素 32
8.3 < Resource >元素 32
8.4 < ResouceContent >元素 33
8.5 < Action >元素 33
8.6 < Environment >元素 33
8.7 < Attribute >元素 34
8.8 < AttrributeValue >元素 34
8.9 < Response >元素 35
8.10 < Result >元素 35
8.11 < Decision >元素 36
8.12 < Status >元素 36
8.13 < StatusCode >元素 37
8.14 < StatusMessage >元素 37
8.15 < StatusDetail >元素 37
9 功能需求 38
9.1 概述 38
9.2 策略执行点 38
9.3 属性评估 39
9.4 表达式评估 40
9.5 算术评估 41
9.6 匹配评估 41
9.7 目标评估 42
9.8 变量引用评估 43
9.9 条件评估 44
9.10 规则评估 44
9.11 策略评估 44
9.12 策略集评估 45
9.13 有层次的资源 45
9.14 授权决策 45
9.15 义务 46
9.16 异常处理 46
10 XACML 扩展点 46
10.1 可扩展的XML属性类型 46
10.2 结构化属性 47
11 安全和隐私 47
11.1 概述 47
11.2 威胁模型 47
11.3 安全措施 49
12 符合性 51
12.1 介绍 51
12.2 符合性列表 51
附录A(规范性附录) 数据类型和函数 61
附录B(规范性附录) XACML标识符 76
附录C(规范性附录) 组合算法 80
参考文献 89
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国科学院软件研究所。
本标准主要起草人:冯登国、徐震、张敏、翟征德、王雅哲、高志刚、张凡。
引 言
如何实现大规模分布式应用中的信息资源的受控共享,实现基于策略的安全管理已成为信息安全
领域关注的重点之一。目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制,不仅
无法获得一个完整的安全策略实施视图,而且安全策略的维护代价高,可靠性缺乏足够保障。
本标准定义一种通用的可扩展的访问控制策略标记语言XACML,支持多种访问控制策略类型,允
许用户自定义策略扩展,允许用户以一种实现无关的方式定义系统的资源保护策略并控制资源访问控
制决策的逻辑过程,实现安全策略定义形式和访问判定过程标准化。
信息安全技术 鉴别与授权
可扩展访问控制标记语言
1 范围
本标准规定了可扩展访问控制标记语言(XACML)的数据流模型、语言模型和语法。
本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
tax)
tors)
W3CXML模式,第1部分和第2部分(XMLSchema,parts1and2)
3 术语和定义
下列术语和定义适用于本文件......
|