2018基于屬性的訪問控制 （ABAC） 定義和注意事項(xiàng)NIST.sp.800-162

NIST特別出版物800?162基于屬性的訪問指南控制(ABAC)定義和注意事項(xiàng)計(jì)算機(jī)安全NISTSP800?162ABAC指南NISTSP800?162ABAC指南計(jì)算機(jī)系統(tǒng)技術(shù)報(bào)告(NIST(ITL福利。ITLITL800ITL在信息系統(tǒng)安全方面的研究、指南和推廣工作，及其與行業(yè)、政府和學(xué)術(shù)組織的合作活動(dòng)。抽象的(ABAC)的定義。ABACABAC信息。關(guān)鍵詞（ABAC）三、NISTSP800?162ABAC指南NISTSP800?162ABAC指南vv目錄要. 七1. 紹. 1圍. 1

1 明. 2ABAC

4ABAC處. 5ABAC2.3ABAC

6念. 8業(yè)ABAC念. 11業(yè)ABAC策. 12理. ABAC素. 17

14項(xiàng). 18署ABAC例. 18性求. 19構(gòu) 22購(gòu)項(xiàng). 25備. 25項(xiàng). 27業(yè)ABAC項(xiàng). 30

????????31存. 31

31格. 32

32性. 324論. 33錄A 語(yǔ). 34

36NISTSP800?162ABAC指南NISTSP800?162ABAC指南六六圖列表圖（非法. 6圖本C景. 8圖心C制. 9圖業(yè)C例. 圖M例 圖MT期 ???圖L鏈. 圖C鏈. NISTSP800?162ABAC指南NISTSP800?162ABAC指南七七執(zhí)行摘要（ABACABAC方法（（（和對(duì)象的任意屬性以及可能被全局識(shí)別并且與當(dāng)前策略更相關(guān)的環(huán)境條件來(lái)授予或拒絕用戶請(qǐng)求。這種方法通常稱為ABAC。9年1（O)01年2v2.0[FEDCIO2ABAC2012年12月FICAM(GSACIOFICAM（ABAC的實(shí)施ABAC的定義以及ABACABACABACABAC阿巴克。ABAC（）ABAC(DAC(MAC)概念。ABACABAC主題可以訪問最大范圍的對(duì)象，而無(wú)需指定每個(gè)主題和每個(gè)對(duì)象之間的單獨(dú)關(guān)系。例如，受試者在就業(yè)時(shí)被分配一組受試者屬性NISTSP800?162ABAC指南NISTSP800?162ABAC指南八八（例如，南希史密斯是心臟病科的執(zhí)業(yè)護(hù)士）。一個(gè)對(duì)象被分配了它的對(duì)象創(chuàng)建時(shí)的屬性（例如，包含心臟病患者醫(yī)療記錄的文件夾）。對(duì)象可以接收它們的允許的能力（例如，心臟病科的所有執(zhí)業(yè)護(hù)士都可以查看醫(yī)療信息））C（）（這是采用ABAC的主要好處之一。C除了基本的策略、屬性和訪問控制機(jī)制要求外，企業(yè)還必須支持企業(yè)策略制定和分發(fā)、企業(yè)身份和主體屬性、主體屬性共享、企業(yè)對(duì)象屬性、認(rèn)證和訪問控制等管理功能ABAC活動(dòng)：ABACABAC本文檔的其余部分更詳細(xì)地解釋了ABAC概念以及使用企業(yè)ABAC功能的注意事項(xiàng)。本文件是第一步ABACNISTSP800?162ABAC指南NISTSP800?162ABAC指南勘誤表此表包含已納入特別出版物(SP)800?162中的更改。勘誤更新可以包括出版物中的編輯性或?qū)嵸|(zhì)性的更正、澄清或其他細(xì)微更改。日期2019年2月25日類型社論改變更新了所有頁(yè)面上的DOI和可用性聲明。頁(yè)數(shù)全部2019年2月25日社論NISTSP800?63?1800?63?2SP800?63?3SP800?63B1,27,372019年2月25日社論更新了附錄B中的一些參考文獻(xiàn)以反映這些文檔的當(dāng)前版本。36?3708?02?2019圖8，ABAC鏈入。 22九NISTSP800?162ABAC指南NISTSP800?162ABAC指南一、簡(jiǎn)介(ABACABACABACABACABAC概念（不應(yīng)被視為全面。ABACABACABAC為正在考慮部署、計(jì)劃部署或當(dāng)前正在部署的組織提供的指南ABAC系統(tǒng)。RR；R（R)本文檔旨在使兩個(gè)特定受眾受益并滿足他們的需求：ABAC本文檔的其余部分分為以下部分和附錄：2ABACABAC2ABAC3ABAC對(duì)訪問控制和/或項(xiàng)目管理感興趣的讀者將從中受益最多部分。1請(qǐng)參閱[NIST800?63?3]和[NIST800?63B]。1NISTSP800?162ABAC指南NISTSP800?162ABAC指南PAGEPAGE44AABACB由于IT行業(yè)不斷變化的性質(zhì)，強(qiáng)烈建議讀者利用其他資源，包括本文檔中引用的資源。NIST（（體NPE。目的。ABAB周末她無(wú)權(quán)擔(dān)任B連門衛(wèi)。（C權(quán)略策略通常是從需要保護(hù)的客體和主體可用的特權(quán)的角度來(lái)編寫的。性”（2（屬性背后的權(quán)威、屬性中信息的新鮮度分?jǐn)?shù)以及準(zhǔn)確性級(jí)別信息驗(yàn)證頻率的分?jǐn)?shù)。有時(shí)，這些置信度度量甚至可以用作訪問決策的輸入。（PDP（PEP工作流協(xié)調(diào)器管理決策所需的屬性集合。出于以下目的2 確定自上次綁定操作以來(lái)修改了哪個(gè)元素。ABAC（ACMACM（ACM）這些ACMABAC媒體/數(shù)字轉(zhuǎn)換器邏輯訪問控制的早期應(yīng)用應(yīng)用于國(guó)防部(DoD)應(yīng)用程序206070(DAC(MACDoD)]DAMAIBAC/ACL(IBAC)功能的增長(zhǎng)。IBAC采用訪(ACL捕獲允許訪問該對(duì)象的人員的身份。如果受試者出示的證書表明與ACL（ACL模型中，授權(quán)決策是在任何特定訪問請(qǐng)求之前做出的，并導(dǎo)致主題被添加到ACL中。對(duì)于要放置在ACL上的每個(gè)主題，對(duì)象所有者必須評(píng)估ACLACL隨著時(shí)間的推移，刪除或撤銷訪問權(quán)限會(huì)導(dǎo)致用戶積累權(quán)限。RBAC(RBAC[FK92ANSI359SCFY96能力并減少了對(duì)ACL的需求。阿巴克L和CCL份C“ACLRBACABACACACLRBACACACL或RBACACACL或RBAC與ABAC一致的訪問控制框架的一個(gè)示例是可擴(kuò)展訪問控制(XACML)[XACML]。XACML（（））(PDP)(PEP)(PAP[ANSI499]。C（作C下供應(yīng)用戶和對(duì)象。ABAC在許多AC系統(tǒng)中，邏輯訪問控制解決方案主要基于用戶的身份（（C或ACABAC（1）組織將要求在目標(biāo)組織中預(yù)先配置主體的身份并預(yù)先填充到訪問列表中。圖（非ACRBACRBAC（(HIPAAA角色分配往往基于更靜態(tài)的組織職位，這在以下方面提出了挑戰(zhàn)：RBAC架構(gòu)“AC決策C在請(qǐng)求對(duì)對(duì)象執(zhí)行操作之前直接分配給各個(gè)主體。此外，該模型為大型企業(yè)提供了靈活性，其中訪問控制列表或管理ABACCbCABAC的模型[YT05]C（）ABAC屬性是主體、客體或環(huán)境條件的特征。屬性包含由名稱?值對(duì)給出的信息。對(duì)象是由ABAC系統(tǒng)管理訪問的系統(tǒng)資源，例如包含或接收信息的設(shè)備、文件、記錄、表格、進(jìn)程、程序、網(wǎng)絡(luò)或域。它可以是資源或請(qǐng)求的實(shí)體，也可以是主體可以執(zhí)行操作的任何事物，包括數(shù)據(jù)、應(yīng)用程序、服務(wù)、設(shè)備和網(wǎng)絡(luò)。操作是根據(jù)主體的請(qǐng)求對(duì)客體執(zhí)行功能。操作包括讀、寫、編輯、刪除、復(fù)制、執(zhí)行和修改。策略是規(guī)則或關(guān)系的表示，可以在給定主體、客體和可能的環(huán)境條件的屬性值的情況下確定是否應(yīng)允許所請(qǐng)求的訪問。圖2CCMMNISTSP800?162ABAC指南NISTSP800?162ABAC指南PAGEPAGE8定義和考慮因素訪問控制政策環(huán)境狀況2a 2d規(guī)則決定1 3目的題 克2b 制 2c機(jī)制姓名隸屬關(guān)系除

型 類主題屬性)))d)計(jì)算決策的環(huán)境條件

對(duì)象屬性圖CABACCABACNISTSP800?162ABAC指南NISTSP800?162ABAC指南PAGEPAGE11（3）。圖CCABC駐留在文件管理系統(tǒng)內(nèi)的目錄中的文檔。該文檔有標(biāo)題、作者、知識(shí)產(chǎn)權(quán)特征、出口管制分類或安全分類。每次一個(gè)參考，或由單獨(dú)的應(yīng)用程序管理。必須為使用該系統(tǒng)的每個(gè)主體分配特定的屬性?？紤]一個(gè)用戶的例子應(yīng)能夠訪問患者的醫(yī)療記錄。在某些系統(tǒng)中，如果對(duì)象是帶有記錄的文檔操作將被拒絕訪問并且該操作將被禁止。請(qǐng)注意，這只是實(shí)現(xiàn)屬性和規(guī)則之間的連接的一種方法。（）ABAC來(lái)保護(hù)對(duì)象ACMACMMABAC主題的廣度可以訪問最大范圍的對(duì)象，而無(wú)需指定個(gè)人每個(gè)主體和每個(gè)客體之間的關(guān)系。例如，一個(gè)主題被分配了一組主題（）（HeartMedicalRecords））（（）（采用ABAC。C息”“read=（“all=性稱”取”ID雖然ABAC是信息共享的推動(dòng)者，但當(dāng)在整個(gè)企業(yè)中部署時(shí)，實(shí)施ABAC所需的組件集會(huì)變得更加復(fù)雜。在企業(yè)層面，規(guī)模的擴(kuò)大需4ABACABAC企業(yè)有某種形式的身份和憑證管理來(lái)管理主體群體ABACACM使用必須部署機(jī)制。本節(jié)的其余部分提供了有關(guān)企業(yè)ABAC每個(gè)主要組件的更多詳細(xì)信息。圖C自然語(yǔ)言策略(NLP)是高級(jí)要求，指定如何管理信息訪問以及誰(shuí)在什么情況下可以訪問哪些信息。NLP以人類可ACMNLPNLPNLPPNLPNLP是人類的表達(dá)方式，可以轉(zhuǎn)化為機(jī)器可執(zhí)行的訪問控制策略。M組合和允許的操作。通常，這些價(jià)值觀因組織而異，并且然后，將允許的操作以及來(lái)自現(xiàn)有組織特定屬性的所有映射轉(zhuǎn)換為機(jī)器可執(zhí)行的格式。P)PDP，適應(yīng)企業(yè)內(nèi)經(jīng)營(yíng)單位的基礎(chǔ)設(shè)施。DP在本文檔中定義為：主體/客體屬性、操作和環(huán)境條件是DP的基本元素，是DP規(guī)則的構(gòu)建塊，由訪問控制機(jī)制強(qiáng)制執(zhí)行。多個(gè)DP可能需要元策略(MP)或規(guī)定DP的使用和管理的策略DPDPDPDPMPNLP指定的優(yōu)先級(jí)和組合策略的結(jié)構(gòu)。MP在本文檔中定義為：（MP）民主黨或其他議員之間的優(yōu)先事項(xiàng)和沖突解決。DP和MP通常分布在整個(gè)企業(yè)中，統(tǒng)稱為數(shù)字策略管理(DPM)。組織內(nèi)可能存在多個(gè)政策權(quán)威和層次結(jié)構(gòu)，其內(nèi)容各不相同企業(yè)政策。民主黨和國(guó)會(huì)議員的管理規(guī)則可以由中央當(dāng)局決定。DPDPABACNLPDP實(shí)施企業(yè)ABAC能力。DP管理的其他注意事項(xiàng)可在本文件第3節(jié)中找到。P和DPC由權(quán)威機(jī)構(gòu)建立、發(fā)行、存儲(chǔ)和管理。必須將對(duì)象屬性分配給對(duì)象。跨組織共享的屬性應(yīng)該被定位、檢索、發(fā)布、驗(yàn)證、更新、修改、撤銷。全可名體訪問另一組織中的對(duì)象的主體屬性必須一致、可比較或映射以允許執(zhí)行等效策略。為了ABB(COTS權(quán)威。ACM對(duì)于執(zhí)行包含有關(guān)屬性的信息的更詳細(xì)策略以及管理企業(yè)屬性管理所需的數(shù)據(jù)量有用的信息。元屬性在本文檔中定義為：元屬性：有關(guān)在ACM內(nèi)實(shí)現(xiàn)MP和DP處理所需的屬性的信息。屬性管理的其他注意事項(xiàng)可以在本文檔的第3節(jié)中找到。MMACMABACM“點(diǎn)”策略，以及一些用于處理策略和屬性檢索和評(píng)估的上下文或工作流程的邏輯組件。圖5顯示了主要功能點(diǎn)：策略執(zhí)行策略點(diǎn)(PEP)、策略決策點(diǎn)(PDP)、策略信息點(diǎn)(PIP)和策略管理點(diǎn)(PAP)圖MPDP對(duì)DP和MP進(jìn)行評(píng)估，以產(chǎn)生訪問控制決策。PDP和PEP在本文檔中定義如下：DP和MPPEP執(zhí)行PDP做出的決定：請(qǐng)求訪問受保護(hù)的對(duì)象；訪問控制決策由PDP做出。PDP和PEP功能可以是分布式的或集中式的，并且可以在物理上和邏輯上分離PEP允許對(duì)主題屬性和策略進(jìn)行集中管理和控制?；蛘?，企業(yè)內(nèi)的本地組織可以實(shí)施利用集中式DP存儲(chǔ)的單獨(dú)的PDP。ACM組件的設(shè)計(jì)和分發(fā)需要管理功能來(lái)確保ABAC功能的協(xié)調(diào)。PPP（PIP）PAPDP和MPACM必須做出決定。例如，可以在訪問請(qǐng)求之前檢索屬性，或者緩存以避免訪問請(qǐng)求時(shí)檢索所固有的延遲。上下文處理程序還與P（上下文處理程序：執(zhí)行定義策略和屬性檢索和實(shí)施順序的工作流邏輯。NISTSP800?162ABAC指南NISTSP800?162ABAC指南ABACABAC一個(gè)大企業(yè)。該指南是根據(jù)NIST系統(tǒng)開發(fā)的階段提出的(SDLC6[NIST800?100]圖MT企業(yè)ABACABAC開發(fā)/獲取新能力并放棄舊能力？ABAC提供哪些重要優(yōu)勢(shì)？ABAC引入了哪些新風(fēng)險(xiǎn)（如果有）？需要新的治理結(jié)構(gòu)來(lái)管理共享能力和文檔ABAC對(duì)象屬性是否可以共享和管理？訪問控制規(guī)則是什么以及如何進(jìn)行捕獲、評(píng)估和執(zhí)行？企業(yè)內(nèi)部如何管理信任？ABAC17號(hào)NISTSP800?162ABAC指南NISTSP800?162ABAC指南PAGEPAGE31多個(gè)策略按層次結(jié)構(gòu)應(yīng)用并消除沖突？訪問失敗如何處理？誰(shuí)制定新政策？共同政策如何共享和管理？ABAC跨企業(yè)實(shí)體？集中化與分布式的權(quán)衡是什么身份驗(yàn)證、授權(quán)、屬性管理、決策或執(zhí)行能力？環(huán)境條件如何用于訪問決策？對(duì)安全、質(zhì)量和安全的信心如何？以下各節(jié)更詳細(xì)地討論這些原則和問題。在啟動(dòng)階段，組織評(píng)估對(duì)ABAC系統(tǒng)的需求及其潛在用途。應(yīng)確定ABAC系統(tǒng)是否會(huì)是一個(gè)獨(dú)立的信息系統(tǒng)或一個(gè)組件一個(gè)已經(jīng)定義的系統(tǒng)。一旦完成這些任務(wù)并認(rèn)識(shí)到需要ABACABACABAC系A(chǔ)BACABACABAC是否ABACABACABACABACABAC適合整個(gè)企業(yè)的政策和屬性。反饋來(lái)自ABACABAC使用ABAC在考慮部署ABAC產(chǎn)品或技術(shù)時(shí)，可擴(kuò)展性、可行性和性能是重要的問題。企業(yè)ABAC（允許一個(gè)組織訪問由同一企業(yè)中的另ABAC存儲(chǔ)庫(kù)現(xiàn)在可能需要來(lái)自企業(yè)服務(wù)的策略請(qǐng)求、來(lái)自眾多邏輯和物理上分散的屬性源的多個(gè)屬性、對(duì)象完整性的第三方驗(yàn)證與文檔綁定的屬性，以及企業(yè)在執(zhí)行時(shí)在某一時(shí)刻做出的決定該決策發(fā)生在企業(yè)的不同階段。可行性評(píng)估應(yīng)檢查應(yīng)用程序是否可以本地或通過(guò)第三方應(yīng)用程序支持ABAC。所有這些潛力ABAC考慮到可擴(kuò)展性，應(yīng)考慮多種架構(gòu)。ABAC組件的分布應(yīng)考慮底層企業(yè)架構(gòu)以及必要數(shù)據(jù)和對(duì)象的位置P和PCCABACABACC決策涉及這些屬性之間的復(fù)雜關(guān)系。ABAC伴隨著向ABAC的轉(zhuǎn)變，治理和業(yè)務(wù)流程必須發(fā)生變化，這代表了向一種方法的重大轉(zhuǎn)變，其中對(duì)象由企業(yè)治理的策略和企業(yè)控制的屬性控制，有時(shí)還由本地控制。這些對(duì)象現(xiàn)在可能需要3 A在辦公時(shí)間在項(xiàng)目A上可以讀取文件X。與一組附加特征相關(guān)聯(lián)，這些特征迄今為止可能尚未在訪問控制中使用。問功能。隨著ABAC產(chǎn)品的實(shí)施以及組織的訪問控制的變化，新的流程和功能將需要集成到用戶的日常業(yè)務(wù)流程和企業(yè)策略中。ABAC旨在展示增強(qiáng)的用戶體驗(yàn)、增強(qiáng)的安全性和關(guān)鍵信息保護(hù)、新ABAC系統(tǒng)的要求以及舊版訪問的優(yōu)勢(shì)ABACABACABAC補(bǔ)充現(xiàn)有的訪問控制機(jī)制。一些企業(yè)可能希望能夠?qū)彶榕c主題及其相關(guān)的能力屬性以及與對(duì)象及其對(duì)象屬性關(guān)聯(lián)的訪問控制條目。更簡(jiǎn)潔地說(shuō)，在提出請(qǐng)求之前需要了解每個(gè)人擁有哪些訪問權(quán)限。這有時(shí)計(jì)”CC個(gè)別科目的知識(shí)。評(píng)估有權(quán)訪問給定對(duì)象的主體集需要大量的數(shù)據(jù)檢索和計(jì)算工作可能需要每個(gè)對(duì)象所有者對(duì)企業(yè)中每個(gè)已知主題運(yùn)行訪問控制請(qǐng)求的模擬。限制范圍ABAC在企業(yè)的各個(gè)部分中，有許多不同的操作和對(duì)象類型NLPABACABACABAC將顯著延遲。建議組建一個(gè)企業(yè)治理機(jī)構(gòu)來(lái)管理所有身份、憑證和訪問管理能力的部署和運(yùn)營(yíng)，并且每個(gè)機(jī)構(gòu)下屬組織維持一個(gè)類似的機(jī)構(gòu)，以確保管理與企業(yè)ABAC實(shí)施相關(guān)的部署和轉(zhuǎn)換的一致性。此外，建議型”此外，企業(yè)授權(quán)服務(wù)應(yīng)與安全審計(jì)、數(shù)據(jù)丟失防護(hù)、安全配置管理、持續(xù)監(jiān)控和網(wǎng)絡(luò)防御功能緊密集成。僅授權(quán)服務(wù)不足以確保保護(hù)駐留在網(wǎng)絡(luò)上的關(guān)鍵任務(wù)對(duì)象所需的安全性。應(yīng)努力充分認(rèn)識(shí)企業(yè)安全要求以及ABAC實(shí)施將產(chǎn)生的影響。例如，當(dāng)使用分布式ACM架構(gòu)時(shí)，可能會(huì)對(duì)審核訪問控制決策的能力產(chǎn)生影響和事件。ABAC系統(tǒng)可以從信任框架管理的環(huán)境中的部署中受益。ALC（圖7和ABACACLACL圖L圖CCCABACC通過(guò)將受保護(hù)對(duì)象暴露給未知實(shí)體訪問來(lái)降低企業(yè)的運(yùn)營(yíng)風(fēng)險(xiǎn)。經(jīng)過(guò)CABAC在實(shí)施ABAC解決方案之前，必須滿足幾個(gè)高級(jí)操作和架構(gòu)規(guī)劃要求：ABACACMABAC解決方案選擇共享和保護(hù)的對(duì)象將根據(jù)組織的不同而有所不同要求。每個(gè)對(duì)象或?qū)ο箢悇e必須被識(shí)別，并且保護(hù)每個(gè)對(duì)象的策略或規(guī)則必須ABAC（）對(duì)于這些，獲取權(quán)威數(shù)據(jù)的方法是眾所周知的。舉個(gè)例子，只有安全當(dāng)局應(yīng)能夠根據(jù)權(quán)威的人員許可信息提供和斷言許可屬性和屬性值；一個(gè)人不應(yīng)該能夠改變他或她自己的間隙屬性值。其他主體屬性可能涉及主體當(dāng)前的任務(wù)、身體狀況位置以及發(fā)送請(qǐng)求的設(shè)備；需要開發(fā)流程來(lái)評(píng)估和確保此類主題屬性數(shù)據(jù)的質(zhì)量。（APSS提企業(yè)，可以識(shí)別該企業(yè)的權(quán)威屬性來(lái)源。更遠(yuǎn)的網(wǎng)絡(luò)（所有事件。通常，這些信息是由非安全流程和需求驅(qū)動(dòng)的。支持良好訪問決策的良好屬性數(shù)據(jù)至關(guān)重要，必須采取措施確保創(chuàng)建對(duì)象屬性的注意事項(xiàng)包括：（）給定用戶被授權(quán)的隔間）。ACM中應(yīng)考慮到這一點(diǎn)，以便用戶只能看到適用于他們的值。DPMPNLPABACABAC關(guān)。C（）哪些規(guī)則適用于哪些對(duì)象，以限制未經(jīng)授權(quán)的主體操縱屬性的可能性以獲得授權(quán)。在其他情況下，被拒絕訪問的主體應(yīng)該有一種方法來(lái)驗(yàn)證或糾正導(dǎo)致拒絕的情況。一些組織可能希望跟蹤（）ACMACM檢索信息、評(píng)估決策和執(zhí)行決策的順序可能會(huì)根據(jù)實(shí)施的具體要求而有很大差異，甚至可能會(huì)考慮訪問控制決策呈現(xiàn)期間的環(huán)境條件。這稱為上下文處理，簡(jiǎn)稱為ACM在收集決策所需的數(shù)據(jù)時(shí)所執(zhí)行的工作流程。執(zhí)行并定義要部署和集成的系統(tǒng)。在這個(gè)階段的第一部分，組織應(yīng)同時(shí)定義系統(tǒng)的安全和功能要求。在此階段的最后一部分，組織實(shí)施/評(píng)估階段。NLP（定義NLP記錄NLP有助于DP的開發(fā)并提供對(duì)書面政策的可追溯性。例如，許多組織很難將其授權(quán)功能從ACL轉(zhuǎn)換為更強(qiáng)大的ABAC基礎(chǔ)設(shè)施，因?yàn)椴淮嬖谙鄳?yīng)的NLP。作為一個(gè)例子，考慮當(dāng)收到訪問請(qǐng)求時(shí)，數(shù)據(jù)所有者會(huì)評(píng)估一組標(biāo)準(zhǔn)通常NLP一致的自動(dòng)化策略驅(qū)動(dòng)的訪問控制決策。必須為企業(yè)主體和客體屬性定義并應(yīng)用一組一致的有效值。（與IT部門Web服務(wù)部門如果知道需要一起使用這些屬性值來(lái)做出決策，則DP以及決策可能是在信息不足或使用錯(cuò)誤邏輯的情況下生成的。ACL絕。用于正確發(fā)現(xiàn)和獲取訪問批準(zhǔn)所需屬性的完善流程將有助于簡(jiǎn)化過(guò)渡。這可以擴(kuò)展到解決訪問授權(quán)服務(wù)組件時(shí)丟失的連接或其他困難。在關(guān)鍵任務(wù)中，主體應(yīng)該能夠理解限制并請(qǐng)求例外，被指向權(quán)威的幫助來(lái)源，或者嘗試其他路徑來(lái)訪問等效信息或服務(wù)。ABAC可能會(huì)因疏忽而增加個(gè)人身份信息(PII)隱私侵犯的風(fēng)險(xiǎn)將屬性數(shù)據(jù)暴露給不受信任的第三方，或者在比發(fā)起者的環(huán)境受到更少保護(hù)的環(huán)境中聚合敏感信息。參與屬性共享PII并執(zhí)行PII法規(guī)PII使用作為驗(yàn)證、補(bǔ)救和裁決監(jiān)管違規(guī)責(zé)任的方法。第二個(gè)考慮因素是主題屬性可以通過(guò)授予/拒絕決策的模式來(lái)揭示。如果一個(gè)主題DPNLPDPDPDPNLPDPDP維護(hù)地方政策和僅適用于其組成或下屬組織的獨(dú)特政策。ABACABAC（指定標(biāo)準(zhǔn)選項(xiàng)的子集，即配置文件）。具有可選性的標(biāo)準(zhǔn)獲取ABAC單獨(dú)的授權(quán)服務(wù)組件（例如，策略決策點(diǎn)、策略執(zhí)行點(diǎn)、策略訪問對(duì)象的請(qǐng)求必須被驗(yàn)證為源自唯一主體。ABACABAC的采用（[NIST800?63?3NIST800?63B]）(TLS1.2X.509）由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書與由證書頒發(fā)機(jī)構(gòu)綁定到專有名稱的實(shí)體相關(guān)聯(lián)。NPE對(duì)訪問控制服務(wù)中NPE的支持有特殊要求。授權(quán)服務(wù)使用屬性NPEEE基于NPE憑證的訪問決策將無(wú)法將請(qǐng)求歸因于個(gè)人或在提出請(qǐng)求時(shí)可能扮演該角色或登錄到該團(tuán)體帳戶的個(gè)人。NPENPE（）（）E（（X.509參與屬性交換的雙方都需要。ABAC僅授權(quán)服務(wù)不足以確保保護(hù)分布在整個(gè)企業(yè)中的關(guān)鍵任務(wù)對(duì)象所需的安全性。需要全面且一致的安全功能來(lái)建立所（例）儲(chǔ)比管理多個(gè)連接更簡(jiǎn)單。在某些情況下，連接有限、不足在一些企業(yè)中，可以定義最小屬性集。擁有一套標(biāo)準(zhǔn)的企業(yè)主體DP（過(guò)程。示例包括威脅級(jí)別、主體/客體位置、身份驗(yàn)證方法或一天中的時(shí)間。隨著時(shí)間的推移，環(huán)境條件可能比主體和客體屬性變化得更快。（用于管理屬性的框架。/NLPDPDPDP（）基本的互操作性，如果只是為了實(shí)現(xiàn)有限的安全信息共享能力。和新的一樣需求出現(xiàn)時(shí)，企業(yè)可以選擇引入新的企業(yè)屬性和共享規(guī)則他們。SL?)配置文件充當(dāng)具有通常受限屬性值的特定于域的標(biāo)準(zhǔn)化屬性的示例。歐共體?美國(guó)概況記錄了美國(guó)訪問控制決策的共同屬性美國(guó)商務(wù)部出口管理?xiàng)l例(EAR)和美國(guó)國(guó)務(wù)院國(guó)際武器貿(mào)易條例(ITAR)。PDPPDPPDPABAC在開發(fā)和實(shí)施ABAC企業(yè)授權(quán)功能時(shí)，架構(gòu)師和程序管理者必須記住，當(dāng)前的訪問控制不可避免地會(huì)經(jīng)歷一個(gè)漫長(zhǎng)的過(guò)渡現(xiàn)在正在使用的方法已達(dá)到所需的最終狀態(tài)。隨著標(biāo)準(zhǔn)和技術(shù)的成熟，組織將需要擁抱增強(qiáng)互操作性并推廣更高保證解決方案的概念，同時(shí)放棄專有的煙囪式解決方案。訪問控制決策是通過(guò)使用從以下位置收集的準(zhǔn)確、及時(shí)和相關(guān)的數(shù)據(jù)來(lái)做出的：適合風(fēng)險(xiǎn)級(jí)別的權(quán)威來(lái)源。對(duì)訪問控制決策的信心取決于信息的及時(shí)性、相關(guān)性、權(quán)威性以及質(zhì)量、可靠性和完整性（）ABACCitizenship，NationalityABAC可以遵循第和創(chuàng)建或指定自己的屬性，策略可能無(wú)法互操作。使用預(yù)先商定的屬性將使策略更加統(tǒng)一且易于理解。獲得操作系統(tǒng)的正式授權(quán)。當(dāng)ABAC解決方案從原型/試點(diǎn)轉(zhuǎn)向部署時(shí)，可以考慮屬性C每個(gè)訪問決策都需要跨網(wǎng)絡(luò)屬性請(qǐng)求。這在低帶寬、高延遲