ICS35040

L80.

中華人民共和國國家標準

GB/T30281—2013

信息安全技術鑒別與授權

可擴展訪問控制標記語言

Informationsecuritytechnology—Authenticationandauthorization—

eXtensibleAccessControlMarkuLanuaeXACML

pgg()

2013-12-31發布2014-07-15實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T30281—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

概述

5XACML……………3

概述

5.1…………………3

需求

5.2…………………3

規則和策略組合

5.3……………………4

組合算法

5.4……………4

多主體

5.5………………5

基于主體和資源屬性的策略

5.6………………………5

多值屬性

5.7……………5

基于資源內容的策略

5.8………………5

操作符

5.9………………5

策略分布

5.10……………6

策略索引

5.11……………6

抽象層

5.12………………6

隨同策略實施一起執行的動作

5.13……………………6

模型

6………………………6

數據流模型

6.1…………………………6

上下文

6.2XACML……………………7

策略語言模型

6.3………………………8

策略語法

7…………………10

元素

7.1<PolicySet>……………………10

元素

7.2<Description>…………………12

元素

7.3<PolicySetDefaults>…………12

元素

7.4<XpathVersion>………………12

元素

7.5<Target>………………………12

元素

7.6<Subjects>……………………13

元素

7.7<Subject>………………………13

元素

7.8<SubjectMatch>………………14

元素

7.9<Resources>…………………14

元素

7.10<Resource>…………………14

元素

7.11<ResourceMatch>……………15

Ⅰ

GB/T30281—2013

元素

7.12<Actions>……………………15

元素

7.13<Action>……………………15

元素

7.14<ActionMatch>………………16

元素

7.15<Environments>……………16

元素

7.16<Environment>………………17

元素

7.17<EnvironmentMatch>………………………17

元素

7.18<PolicySetIdReference>……………………17

元素

7.19<PolicyIdReference>…………18

簡單類型

7.20VersionType…………18

簡單類型

7.21VesionMatchType……………………18

元素

7.22<Policy>………………………19

元素

7.23<PolicyDefaults>……………20

元素

7.24<CombinerParameters>……………………20

元素

7.25<CombinerParameter>………………………21

元素

7.26<RuleCombinerParameters>………………21

元素

7.27<PolicyCombinerParameters>………………22

元素

7.28<PolicySetCombinerParameters>…………22

元素

7.29<Rule>………………………23

簡單類型

7.30EffectType……………23

元素

7.31<VariableDefinition>………………………23

元素

7.32<VariableReference>………………………24

元素

7.33<Expression>………………24

元素

7.34<Condition>…………………25

元素

7.35<Apply>………………………25

元素

7.36<Function>…………………25

復合類型

7.37AttributeDesignatorType……………26

元素

7.38<SubjectAttributeDesignator>……………27

元素

7.39<ResourceAttributeDesignator>……………27

元素

7.40<ActionAttributeDesignator>………………28

元素

7.41<EnvironmentAttributeDesignator>………28

元素

7.42<AttributeSelector>…………28

元素

7.43<AttributeValue>……………29

元素

7.44<Obligations>………………30

元素

7.45<Obligation>…………………30

元素

7.46<AttributeAssignment>……………………31

上下文語法

8………………31

元素

8.1<Request>……………………31

元素

8.2<Subject>………………………32

元素

8.3<Resource>……………………32

元素

8.4<ResouceContent>……………33

元素

8.5<Action>………………………33

元素

8.6<Environment>………………33

元素

8.7<Attribute>……………………34

Ⅱ

GB/T30281—2013

元素

8.8<AttrributeValue>……………34

元素

8.9<Response>……………………35

元素

8.10<Result>……………………35

元素

8.11<Decision>……………………36

元素

8.12<Status>………………………36

元素

8.13<StatusCode>………………37

元素

8.14<StatusMessage>……………37

元素

8.15<StatusDetail>………………37

元素

8.16<MissingAttributeDetail>…………………38

功能需求

9…………………38

概述

9.1…………………38

策略執行點

9.2…………………………38

屬性評估

9.3……………39

表達式評估

9.4…………………………40

算術評估

9.5……………41

匹配評估

9.6……………41

目標評估

9.7……………42

變量引用評估

9.8………………………43

條件評估

9.9……………44

規則評估

9.10…………………………44

策略評估

9.11…………………………44

策略集評估

9.12………………………45

有層次的資源

9.13……………………45

授權決策

9.14…………………………45

義務

9.15………………46

異常處理

9.16…………………………46

擴展點

10XACML……………………46

可擴展的屬性類型

10.1XML………………………46

結構化屬性

10.2………………………47

安全和隱私

11……………47

概述

11.1………………47

威脅模型

11.2…………………………47

安全措施

11.3…………………………49

符合性

12…………………51

介紹

12.1………………51

符合性列表

12.2………………………51

附錄規范性附錄數據類型和函數

A()…………………61

附錄規范性附錄標識符

B()XACML…………………76

附錄規范性附錄組合算法

C()…………80

參考文獻

……………………89

Ⅲ

GB/T30281—2013

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國科學院軟件研究所

:。

本標準主要起草人馮登國徐震張敏翟征德王雅哲高志剛張凡

:、、、、、、。

Ⅴ

GB/T30281—2013

引言

如何實現大規模分布式應用中的信息資源的受控共享實現基于策略的安全管理已成為信息安全

,

領域關注的重點之一目前多數分布式應用仍然獨立定義自己的安全策略并實施資源訪問控制不僅

。,

無法獲得一個完整的安全策略實施視圖而且安全策略的維護代價高可靠性缺乏足夠保障

,,。

本標準定義一種通用的可擴展的訪問控制策略標記語言支持多種訪問控制策略類型允

XACML,,

許用戶自定義策略擴展允許用戶以一種實現無關的方式定義系統的資源保護策略并控制資源訪問控

,

制決策的邏輯過程實現安全策略定義形式和訪問判定過程標準化

,。

Ⅵ

GB/T30281—2013

信息安全技術鑒別與授權

可擴展訪問控制標記語言

1范圍

本標準規定了可擴展訪問控制標記語言的數據流模型語言模型和語法

(XACML)、。

本標準適用于大規模分布式應用中資源統一訪問控制策略語言的編寫與分析

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

浮點