GB/T 18794.3-2003信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分：訪問控制框架

ICS35.100.01L79中華人民共和國國家標(biāo)準(zhǔn)GB/T18794.3-2003/ISO/IEC10181-3：1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分:訪問控制框架Informationtechnology-OpenSystemsinterconnection-Securityframeworksforopensystems-Part3:Accesscontrolframework（ISO/IEC10181-3:1996,InformationtechnologyOpenSystemslnterconnectionSecurityframeworksforopensystems:Accesscontrolframework,IDT)2003-11-24發(fā)布2004-08-01實(shí)施中華人民共和國發(fā)布國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

GB/T18794.3-2003/ISO/IEC10181-3:1996前言引言范圍規(guī)范性引用文件3術(shù)語和定義4縮略語………訪問控制的一般性論述5.1防問控制的目標(biāo)5.2坊問控制的基本方面5.2.1執(zhí)行訪問控制功能5.2.2其他訪問控制活動(dòng)5.2.3ACI轉(zhuǎn)發(fā)·………5.3訪問控制組件的分布5.3.1入訪間控制…….5.3.2出出訪問控制····5.3.3插人訪問控制……5.4跨多個(gè)安全域的訪問控制組件分布5.5對訪問控制的威脅6訪問控制策略…………6.1訪問控制策略表示…6.1.1訪問控制策略分類·6.1.2祖和角色………………·6.1.3安全標(biāo)簽…6.1.4多個(gè)發(fā)起者的訪問控制策略126.2策略管理………126.2.1固定的策略?………….126.2.2行政管理強(qiáng)加的策略………6.2.3用戶選擇的策略………6.312繼承規(guī)則………………6.4126.5坊間控制策略規(guī)則中的優(yōu)先原則136.6默認(rèn)訪問控制策略規(guī)則136.7通過合作安全域的策略映射·13訪問控制信息和設(shè)施…7137.1ACI1313發(fā)起者ACI7.1.17.1.2目標(biāo)ACI147.1.3訪問請求ACI147.1.4操作數(shù)ACI147.1.5上上下文信息………14

GB/T18794.3-2003/ISO/IEC10181-3：19967.1.6發(fā)起者綁定ACI7.1.7目標(biāo)綁定ACI……………147.1.8仿訪問請求綁定ACI7.2ACI的保護(hù)7.2.1仿問控制證書………157.2.2防問控制權(quán)標(biāo)·7.3訪問控制設(shè)施……157.3.1與管理相關(guān)的設(shè)施…167.3.2與操作相關(guān)的設(shè)施·168訪問控制機(jī)制分類…188.1引言···········．·····18訪問控制列表（ACL)方案8.2198.2.1本特性……198.2.2ACI支持機(jī)制·…8.2.38.2.4方案的變種…208.3權(quán)力方案………….218.3.1基本特性·8.3.2ACI8.3.3支持機(jī)制…………8.3.4方案變種不帶具體操作的權(quán)力8.4基于標(biāo)簽的方案·8.4.1基本特性………8.4.2ACI8.4.3支持機(jī)制…將信道標(biāo)記為目標(biāo)….8.4.48.5基于上下文的方案…8.5.1基本特性…8.5.2ACI8.5.3支持機(jī)制…………8.5.4方案變種….9與其他安全服務(wù)和機(jī)制的交瓦9.1簽別………9.2數(shù)據(jù)完整性·9.3數(shù)據(jù)機(jī)密性…9.4審計(jì)………………·9.5其他與訪問相關(guān)的服務(wù)附錄A（資料性附錄）組件間訪間控制證書的交換SI參考模型中的訪間控制附錄B（資料性附錄）附錄C（資料性附錄)防問控制身份的非惟一性R附錄D（資料性附錄）訪問控制組件的分布….3038基于規(guī)則策略與基于身份策略的比較附錄E（資料性附錄)附錄F（資料性附錄)支持通過發(fā)起者轉(zhuǎn)發(fā)ACI的機(jī)制·附件G（資料性附錄）訪問控制安全服務(wù)概要35

GB/T18794.3-2003/ISO/IEC10181-3：1996前GB/T18794《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架》目前包括以下幾個(gè)部分第1部分(即GB/T18794.1:概述第2部分(即GB/T18794.2):鑒別框架第3部分(即GB/T18794.3):訪問控制框架第4部分(即GB/T18794.4):抗抵賴框架第5部分(即GB/T18794.5):機(jī)密性框架第6部分(即GB/T18794.6)：完整性框架第第7部分(即GB/T18794.7).安全審計(jì)和報(bào)警框架本部分為GB/T18794的第3部分，等同采用國際標(biāo)準(zhǔn)ISO/IEC10181-3:1996《信息技術(shù)：開放系統(tǒng)互連開放系統(tǒng)安全框架：訪問控制框架》英文版)。按照GB/T1.1—2000的規(guī)定,對ISO/IEC10181-3作了下列編輯性修改a）增加了我國的“前言”；b）“本標(biāo)準(zhǔn)"一詞改為"GB/T18794的本部分"或"本部分"；C）對"規(guī)范性引用文件"一章的導(dǎo)語按GB/T1.1—2000的要求進(jìn)行了修改；刪除“規(guī)范性引用文件”一章中未被本部分引用的標(biāo)準(zhǔn)：e）在引用的標(biāo)準(zhǔn)中.凡已制定了我國標(biāo)準(zhǔn)的各項(xiàng)標(biāo)準(zhǔn)，均用我國的相應(yīng)標(biāo)準(zhǔn)編號代替。對“規(guī)范性引用文件"一章中的標(biāo)準(zhǔn).按照GB/T1.1—2000的規(guī)定重新進(jìn)行了排序本部分的附錄A至附錄G都是資料性附錄。本部分由中華人民共和國信息產(chǎn)業(yè)部提出。本部分由中國電子技術(shù)標(biāo)準(zhǔn)化研究所歸口。本部分起草單位：四川大學(xué)信息安全研究所本部分主要起草人：劉嘉勇、周安民、戴宗坤、陳麟、羅萬伯、屆立、譚興烈

GB/T18794.3-2003/ISO/IEC10181-3：1996引本部分定義一個(gè)提供訪問控制的通用框架。訪間控制的主要目標(biāo)是對抗由涉及計(jì)算機(jī)或通信系統(tǒng)的非授權(quán)操作所造成的威脅;這些威脅經(jīng)常被細(xì)分為非授權(quán)使用、泄露、修改、破壞和拒絕服務(wù)等類別.

GB/T18794.3-2003/ISO/IEC10181-3：1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分:訪問控制框架范圍本開放系統(tǒng)安全框架的標(biāo)準(zhǔn)論述在開放系統(tǒng)環(huán)境中安全服務(wù)的應(yīng)用，此處術(shù)語“開放系統(tǒng)”包括諸如數(shù)據(jù)庫、分布式應(yīng)用、開放分布式處理和開放系統(tǒng)互連這樣一些領(lǐng)域。安全框架涉及定義對系統(tǒng)和系統(tǒng)內(nèi)的對象提供保護(hù)的方法,以及系統(tǒng)間的交互。本安全框架不涉及構(gòu)建系統(tǒng)或機(jī)制的方法學(xué)。安全框架論述數(shù)據(jù)元素和操作的序列(而不是協(xié)議元素).這兩者可被用來獲得特定的安全服務(wù)這些安全服務(wù)可應(yīng)用于系統(tǒng)正在通信的實(shí)體，系統(tǒng)間交換的數(shù)據(jù),以及系統(tǒng)管理的數(shù)據(jù)。就訪問控制而言，訪問既可以是對一個(gè)系統(tǒng)（即對系統(tǒng)內(nèi)正在通信部分的實(shí)體）的訪問，也可以是對-個(gè)系統(tǒng)內(nèi)部的訪問。獲取訪問所要出示的信息項(xiàng)，以及請求該訪問的順序和該訪問結(jié)果的通知都在本安全框架的考慮范圍之內(nèi)。不過，任何只依賴于特定應(yīng)用的和嚴(yán)格限制在一個(gè)系統(tǒng)內(nèi)的本地訪問的信息項(xiàng)和操作，則不在本安全框架考慮范圍之內(nèi)。許多應(yīng)用要求安全措施來防止對資源的威脅.這些資源包括由開放系統(tǒng)互連所產(chǎn)生的信息。在JSI環(huán)境中，一些眾所周知的威脅以及可用于防范這些威脅的安全服務(wù)和機(jī)制在GB/T9387.2中都有所描述。決定開放系統(tǒng)環(huán)境中允許使用何資源.以及在適當(dāng)?shù)胤椒乐刮词跈?quán)訪問的過程稱作訪問控制。本部分為提供訪問控制服務(wù)定義通用框架。本安全框架：定義訪問控制的基本概念：示范將訪問控制的基本概念具體化來支持一些公認(rèn)的訪問控制服務(wù)和機(jī)制的方法；定義這些服務(wù)和相應(yīng)的訪問控制機(jī)制：只別為支持這些訪問控制服務(wù)和機(jī)制的協(xié)議的功能需求;識別為支持這些訪間控制服務(wù)和機(jī)制的管理需求；述訪問控制服務(wù)和機(jī)制與其他安全服務(wù)和機(jī)制的交互和其他安全服務(wù)一樣，訪問控制只能在為特定應(yīng)用而定義的安全策略上下文內(nèi)提供。訪問控制策略的定義不屬于本部分的范圍，但本部分將會(huì)討論到訪問控制策略的一些特征。本部分不規(guī)定提供訪問控制服務(wù)可能要執(zhí)行的協(xié)議交換的細(xì)節(jié)，本部分不規(guī)定支持這些訪問控制服務(wù)的具體機(jī)制,也不規(guī)定安全管理服務(wù)和協(xié)議的細(xì)節(jié)很多不