ImageVerifierCode 换一换
格式:PDF , 页数:166 ,大小:938.33KB ,
资源ID:804517      下载积分:10000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-804517.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ITU-T X 1142 FRENCH-2006 eXtensible Access Control Markup Language (XACML 2 0)《可扩展访问控制标记语言2 0(XACML 2 0) 17号研究组》.pdf)为本站会员(inwarn120)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

ITU-T X 1142 FRENCH-2006 eXtensible Access Control Markup Language (XACML 2 0)《可扩展访问控制标记语言2 0(XACML 2 0) 17号研究组》.pdf

1、 Union internationale des tlcommunicationsUIT-T X.1142SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (06/2006) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit des tlcommunications Langage de balisage extensible de contrle daccs (XACML 2.0) Recommandation UIT-

2、T X.1142 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et commutation X.50X.89 Aspects rseau X.90X.149 Maintenance X.150X.179 Dispositions

3、administratives X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode sans connexion X.230X.239 Formulaires PICS X.240X.259 Identification des protoc

4、oles X.260X.269 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369 Rseaux protocole Internet X.370X.379 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE

5、 X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.699 GESTION OSI Cadre gnral et architecture de la gestion-systmes X.700X.709 S

6、ervice et protocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rtablissement X.850X.859 Traitement transactionnel X.860X.879 Oprations distante

7、s X.880X.889 Applications gnriques de lASN.1 X.890X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DES TLCOMMUNICATIONS X.1000 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1142 (06/2006) i Recommandation UIT-T X.1142 Langage de balisage extensible de contrle daccs (

8、XACML 2.0) Rsum XACML est un vocabulaire XML pour exprimer les politiques de contrle daccs. Le contrle daccs consiste dcider si laccs demand une ressource devrait tre admis et mettre en application cette dcision. La prsente Recommandation dfinit le cur de XACML, y compris la syntaxe du langage, les

9、modles, le contexte avec le modle de langage de politique, les rgles de syntaxe et de traitement. La prsente Recommandation spcifie le profil de contrle daccs fond sur le cur de XACML et le rle hirarchique. Elle spcifie un profil de ressources multiples de XACML et un profil SAML 2.0 de XACML. Pour

10、amliorer la scurit des changes de politiques fondes sur XACML, la prsente Recommandation spcifie aussi un profil de signature numrique XML de XACML pour scuriser les donnes. Un profil de confidentialit est spcifi afin de fournir des lignes directrices pour limplmentation. La prsente Recommandation e

11、st techniquement quivalente et compatible avec la norme XACML 2.0 dOASIS. Source La Recommandation UIT-T X.1142 a t approuve le 13 juin 2006 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. ii Rec. UIT-T X.1142 (06/2006) AVANT-PROPOS LUIT (

12、Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification

13、, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en ret

14、our des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prpar

15、ent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il

16、 se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligatio

17、n comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de

18、 la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre l

19、a procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas des renseignement

20、s les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2007 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT.

21、 Rec. UIT-T X.1142 (06/2006) iii TABLE DES MATIRES Page 1 Domaine dapplication . 1 2 Rfrences normatives. 1 3 Dfinitions 3 3.1 Dfinitions importes. 3 3.2 Dfinitions supplmentaires 3 4 Abrviations 5 5 Conventions 6 6 Aperu gnral. 6 7 Cur de XACML. 6 7.1 Fondements . 6 7.2 Modles XACML . 10 7.3 Contex

22、te XACML. 12 7.4 Syntaxe de politique 15 7.5 Syntaxe de contexte. 36 7.6 Exigences fonctionnelles de XACML . 43 7.7 Points dextensibilit XACML . 51 7.8 Conformit 51 8 Rle central et hirarchique fond sur le profil de commande daccs (RBAC) 59 8.1 Fondements de RBAC 59 8.2 Exemple de RBAC 61 8.3 Attrib

23、uts dallocation et dactivation de rle 65 8.4 Implmentation du modle RBAC 67 8.5 Profil 69 8.6 Identifiants. 69 9 Profil de ressources multiples de XACML. 70 9.1 Demandes de ressources multiples 71 9.2 Demandes pour une hirarchie entire. 73 9.3 Nouveaux identifiants dattribut . 74 9.4 Nouveaux identi

24、fiants de profil 75 10 Profil SAML 2.0 de XACML 75 10.1 Mappage des attributs SAML et XACML 77 10.2 Dcision dautorisation . 78 10.3 Politiques 80 10.4 Elment 81 10.5 Elment 82 10.6 Elment 82 11 Profil XML de signature numrique . 83 11.1 Utilisation de SAML 83 11.2 Canonisation 83 11.3 Schmas de sign

25、ature. 84 12 Profil de ressource hirarchique pour XACML. 85 12.1 Reprsentation de lidentit dun nud. 86 12.2 Demande daccs un nud 87 12.3 Dclaration des politiques qui sappliquent aux nuds 89 12.4 Nouveau DataType: xpath-expression . 90 12.5 Nouveaux identifiants dattribut . 90 12.6 Identifiants de n

26、ouveau profil 91 13 Profil de politique de confidentialit. 92 13.1 Attributs standards 92 13.2 Rgles standards: objectif de correspondance 92 iv Rec. UIT-T X.1142 (06/2006) Page Annexe A Types de donnes et fonctions . 93 A.1 Introduction . 93 A.2 Types de donnes 93 A.3 Fonctions. 95 Annexe B Identif

27、iants XACML 108 B.1 Espaces de nom XACML . 108 B.2 Catgories de sujet daccs 108 B.3 Types de donnes 108 B.4 Attributs de sujet. 109 B.5 Attributs de ressource 110 B.6 Attributs daction. 110 B.7 Attributs denvironnement. 110 B.8 Codes dtat . 110 B.9 Algorithmes de combinaison . 111 Annexe C Algorithm

28、es de combinaison . 112 C.1 Deny-overrides. 112 C.2 Ordered-deny-overrides 113 C.3 Permit-overrides . 114 C.4 Ordered-permit-overrides . 115 C.5 First-applicable. 116 C.6 Only-one-applicable 117 Annexe D Schma XACML 119 D.1 Schma de contexte XACML 119 D.2 Schma de politique 121 D.3 Schma de protocol

29、e SAML XACML. 127 D.4 Schma dassertion SAML XACML . 128 Appendice I Considrations sur la scurit 130 I.1 Modle de menace. 130 I.2 Sauvegardes. 132 Appendice II Exemples pour XACML. 135 II.1 Exemple un 135 II.2 Exemple deux. 138 Appendice III Exemple de description de fonctions sac dordre suprieur 153

30、 III.1 Exemple de fonctions sac dordre suprieur 153 BIBLIOGRAPHIE . 157 Rec. UIT-T X.1142 (06/2006) 1 Recommandation UIT-T X.1142 Langage de balisage extensible de contrle daccs (XACML 2.0) 1 Domaine dapplication La prsente Recommandation dfinit le langage de balisage de contrle daccs extensible (XA

31、CML, extensible access control markup language) Version 2.0. Elle dfinit un langage commun pour lexpression de la politique de scurit. Les motivations sous-jacentes de XACML sont le dveloppement dun langage de politique fond sur XML qui puisse tre utilis pour fournir: une mthode de combinaison des r

32、gles et politiques individuelles en un seul ensemble de politique qui sapplique une demande de dcision particulire; une mthode de dfinition souple de la procdure par laquelle les rgles et les politiques se combinent; une mthode pour traiter plusieurs sujets agissant des titres divers; une mthode app

33、uyant une dcision dautorisation sur des attributs du sujet et de la ressource; une mthode pour traiter des attributs ayant plusieurs valeurs; une mthode appuyant une dcision dautorisation sur le contenu dune ressource dinformation; un ensemble doprateurs logiques et mathmatiques sur des attributs de

34、 sujet, de ressource et denvironnement; une mthode de traitement dun ensemble distribu de composants de politique, tout en faisant abstraction de la mthode de localisation, de restitution et dauthentification des composants de la politique; une mthode didentification rapide de la politique qui sappl

35、ique une action donne, sur la base des valeurs des attributs des sujets, de ressource et daction; une couche dabstraction qui isole lauteur de la politique des dtails de lenvironnement dapplication; une mthode de spcification dun ensemble dactions devant tre effectues en conjonction avec la mise en

36、application de la politique. Les solutions XACML pour chacune de ces exigences figurent dans la prsente Recommandation. En particulier, le paragraphe 7 dveloppe le cur du langage XACML incluant les modles XACML, le modle de langage de politique, la syntaxe de politique et les rgles de traitement. Le

37、 paragraphe 8 dveloppe le cur XACML et le profil de contrle daccs fond sur le rle (RBAC, role based access control) hirarchique. Le paragraphe 9 dveloppe le profil XACML ressource multiple. Le paragraphe 10 discute des technologies pour scuriser la communication XACML au moyen du dveloppement du pro

38、fil SAML 2.0 de XACML. Le paragraphe 11 sappuie sur le paragraphe 10 pour dvelopper un profil de signature numrique XML pour XACML. Le paragraphe 12 expose la combinaison des profils XACML dvelopps dans les paragraphes 7 11 pour proposer un profil de ressource hirarchique de XACML. Les questions de

39、confidentialit sont exposes au paragraphe 13. 2 Rfrences normatives Les Recommandations suivantes et autres rfrences contiennent des dispositions qui par leur rfrence dans le prsent texte, constituent des dispositions de la prsente Recommandation. Au moment de la publication, les numros ddition indi

40、qus taient valides. Toute Recommandation et autre rfrence est sujette rvision, et les parties aux accords fonds sur la prsente Recommandation sont invites rechercher sil est possible dappliquer ldition la plus rcente des Recommandations et autres rfrences listes ci-dessous. Le Bureau de normalisatio

41、n des tlcommunications de lUIT tient jour la liste des Recommandations de lUIT-T. LIETF tient jour la liste des RFC, ainsi que de celles qui ont t rendues obsoltes par des RFC plus rcentes. Le W3C maintient jour une liste des Recommandations et autres publications les plus rcentes. Recommandation UI

42、T-T X.811 (1995) | ISO/CEI 10181-2:1996, Technologies de linformation Interconnexion des systmes ouverts Cadres de scurit pour les systmes ouverts: cadre dauthentification. Recommandation UIT-T X.812 (1995) | ISO/CEI 10181-3:1996, Technologies de linformation Interconnexion des systmes ouverts Cadre

43、s de scurit pour les systmes ouverts: cadre de contrle daccs. Recommandation UIT-T X.1141 (2006), Langage de balisage dassertion de scurit (SAML 2.0). 2 Rec. UIT-T X.1142 (06/2006) IETF RFC 822 (1982), Standard for the Format of ARPA Internet Text Messages. IETF RFC 2119 (1997), Key words for use in

44、 RFCs to Indicate Requirement Levels. IETF RFC 2253 (1997), Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names. IETF RFC 2256 (1997), A Summary of the X.500 (96) User Schema for use with LDAPv3. IETF RFC 2396 (1998), Uniform Resource Identifiers (URI): Gen

45、eric Syntax. IETF RFC 2732 (1999), Format for Literal IPv6 Addresses in URLs. IETF RFC 2821 (2001), Simple Mail Transfer Protocol. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. W3C Canonicalization:2002, Exclusive XML Canoni

46、calization Version 1.0, W3C Recommendation, Copyright 18 juillet 2002 World Wide Web Consortium, (Massachusetts Institute of Technology, Institut National de Recherche en Informatique et en Automatique, Keio University), http:/www.w3.org/TR/xml-exc-c14n/. W3C Datatypes:2001, XML Schema Part 2: Datat

47、ypes, W3C Recommendation, Copyright 2 mai 2001 World Wide Web Consortium, (Massachusetts Institute of Technology, Institut National de Recherche en Informatique et en Automatique, Keio University), http:/www.w3.org/TR/2001/REC-xmlschema-2-20010502/. W3C Encryption:2002, XML Encryption Syntax and Processing, W3C Recommendation, Copyright 10 dcembre 2002 World Wide Web Consortium, (Massachusetts Institute of Technology, Institut National de Recherche en Informatique et en Automatique, Keio University), http:/www.w3.org/TR/2002/REC-xmlenc-

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1