ITU-T X 1142 SPANISH-2006 eXtensible Access Control Markup Language (XACML 2 0)《可扩展访问控制标记语言2 0(XACML 2 0) 17号研究组》.pdf

1、 Unin Internacional de TelecomunicacionesUIT-T X.1142SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (06/2006) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Seguridad de las telecomunicaciones Lenguaje de marcaje de control de acceso extensible (XACML 2.0) Recom

2、endacin UIT-T X.1142 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS Servicios y facilidades X.1X.19 Interfaces X.20X.49 Transmisin, sealizacin y conmutacin X.50X.89 Aspectos de redes X.90X.149 Mantenimiento X.150X.179 Dispos

3、iciones administrativas X.180X.199 INTERCONEXIN DE SISTEMAS ABIERTOS Modelo y notacin X.200X.209 Definiciones de los servicios X.210X.219 Especificaciones de los protocolos en modo conexin X.220X.229 Especificaciones de los protocolos en modo sin conexin X.230X.239 Formularios para declaraciones de

4、conformidad de implementacin de protocolo X.240X.259 Identificacin de protocolos X.260X.269 Protocolos de seguridad X.270X.279 Objetos gestionados de capa X.280X.289 Pruebas de conformidad X.290X.299 INTERFUNCIONAMIENTO ENTRE REDES Generalidades X.300X.349 Sistemas de transmisin de datos por satlite

5、 X.350X.369 Redes basadas en el protocolo Internet X.370X.379 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS Gestin de redes X.600X.629 Eficacia X.630X.639 Calidad de servicio X.640X.649 Denominacin, di

6、reccionamiento y registro X.650X.679 Notacin de sintaxis abstracta uno X.680X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS Marco y arquitectura de la gestin de sistemas X.700X.709 Servicio y protocolo de comunicacin de gestin X.710X.719 Estructura de la informacin de gestin X.720X.729 Funciones d

7、e gestin y funciones de arquitectura de gestin distribuida abierta X.730X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS Compromiso, concurrencia y recuperacin X.850X.859 Procesamiento de transacciones X.860X.879 Operaciones a distancia X.880X.889 Aplicaciones genricas de

8、 la notacin de sintaxis abstracta uno X.890X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LAS TELECOMUNICACIONES X.1000 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1142 (06/2006) i Recomendacin UIT-T X.1142 Lenguaje de marcaje de control de acceso ex

9、tensible (XACML 2.0) Resumen El lenguaje de marcaje de control de acceso extensible (XACML) es un tipo de lenguaje XML (lenguaje de marcaje extensible) que se utiliza para expresar polticas de control de acceso. El control de acceso consiste en decidir si se debe autorizar el acceso a recursos solic

10、itado y hacer cumplir esa decisin. En la presente Recomendacin se define el XACML bsico: la sintaxis del lenguaje, los modelos y el contexto con el modelo del lenguaje de polticas, la sintaxis y las reglas de procesamiento. En la presente Recomendacin se define adems el perfil XACML de control de ac

11、ceso basado en el cometido jerrquico y bsico. Asimismo, se especifica el perfil de recursos mltiple de XACML y un perfil SAML 2.0 de XACML. Con objeto de mejorar la seguridad del intercambio de polticas basadas en XACML, en esta Recomendacin se especifica tambin un perfil de firma digital XML XACML

12、para la proteccin de los datos. Con miras a proporcionar directrices a quienes apliquen esta Recomendacin, se describe un perfil de privacidad. Desde el punto de vista tcnico, la presente Recomendacin es equivalente a la norma XACML 2.0 de OASIS y compatible con ella. Orgenes La Recomendacin UIT-T X

13、.1142 fue aprobada el 13 de junio de 2006 por la Comisin de Estudio 17 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T X.1142 (06/2006) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo d

14、e las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en

15、el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miemb

16、ros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expre

17、sin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligat

18、orias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de

19、, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utiliza

20、cin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terc

21、eros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que pued

22、e que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2007 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproduc

23、irse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.1142 (06/2006) iii NDICE Pgina 1 Alcance 1 2 Referencias . 1 3 Definiciones 2 3.1 Definiciones importadas . 2 3.2 Definiciones adicionales. 3 4 Abreviaturas, siglas o acrnimos . 5 5 Convenios. 6 6 Presentac

24、in general . 6 7 XACML bsico 6 7.1 Antecedentes 6 7.2 Modelos XACML . 10 7.3 Contexto XACML. 12 7.4 Sintaxis de las polticas 15 7.5 Sintaxis del contexto 36 7.6 Requisitos funcionales XACML. 43 7.7 Puntos de extensibilidad XACML 51 7.8 Conformidad 52 8 Perfil de control de acceso basado en el cometi

25、do jerrquico fundamental (RBAC) . 59 8.1 Introduccin al RBAC 59 8.2 Ejemplo del control de acceso basado en cometidos. 61 8.3 Asignacin y habilitacin de atributos de cometido 65 8.4 Implementacin del modelo de acceso RBAC. 68 8.5 Perfil 69 8.6 Identificadores 70 9 Perfil de recurso mltiple de XACML

26、70 9.1 Peticiones de recursos mltiples. 71 9.2 Peticiones para toda la jerarqua. 73 9.3 Nuevos identificadores de atributos 74 9.4 Nuevos identificadores de perfiles 75 10 Perfil SAML 2.0 de XACML 75 10.1 Correspondencia entre atributos SAML y XACML 77 10.2 Decisiones de autorizacin 78 10.3 Polticas

27、 80 10.4 Elemento 81 10.5 Elemento . 82 10.6 Elemento . 82 11 Perfil de firma digital XML 83 11.1 Uso de SAML 83 11.2 Canonicalizacin. 83 11.3 Esquemas de firmas. 84 12 Perfil de recursos jerrquicos de XACML . 84 12.1 Representacin de la identidad de un nodo . 85 12.2 Solicitud de acceso a un nodo 8

28、6 12.3 Establecimiento de polticas que se aplican a nodos . 89 12.4 Nuevo tipo de dato: expresin xpath . 90 12.5 Nuevos identificadores de atributos 90 12.6 Nuevos identificadores de perfiles 91 13 Perfil de poltica de privacidad 91 13.1 Atributos normales 92 13.2 Reglas normales: Concordancia con e

29、l propsito . 92 iv Rec. UIT-T X.1142 (06/2006) Pgina Anexo A Funciones y tipos de datos 93 A.1 Introduccin. 93 A.2 Tipos de datos 93 A.3 Funciones 95 Anexo B Identificadores XACML 108 B.1 Espacios de nombres XACML. 108 B.2 Categoras de sujetos en el procedimiento de acceso 108 B.3 Tipos de datos 108

30、 B.4 Atributos del sujeto . 109 B.5 Atributos del recurso 110 B.6 Atributos de la accin 110 B.7 Atributos del entorno . 110 B.8 Cdigos de estado . 111 B.9 Algoritmos de combinacin 111 Anexo C Algoritmos de combinacin 113 C.1 Deny-overrides (denegacin prioritaria). 113 C.2 Ordered-deny-overrides (den

31、egacin prioritaria por orden) 114 C.3 Permit-overrides (permiso-prioritario). 114 C.4 Ordered-permit-overrides (permiso prioritario por orden) 116 C.5 First-applicable (se aplica el primero) 116 C.6 Only-one-applicable (slo una es aplicable) 118 Anexo D Esquema XACML 119 D.1 Esquema de contexto XACM

32、L 119 D.2 Esquema de polticas . 121 D.3 Esquema de protocolo SAML en XACML. 127 D.4 Esquema de asercin SAML en XACML. 128 Apndice I Consideraciones sobre la seguridad . 130 I.1 Modelo de amenaza. 130 I.2 Salvaguardas 132 Apndice II Ejemplos de XACML 134 II.1 Primer ejemplo . 134 II.2 Segundo ejemplo

33、 137 Apndice III Ejemplos de funciones de multiconjunto de orden superior 152 III.1 Ejemplos de funciones de multiconjunto de orden superior 152 BIBLIOGRAFA . 157 Rec. UIT-T X.1142 (06/2006) 1 Recomendacin UIT-T X.1142 Lenguaje de marcaje de control de acceso extensible (XACML 2.0) 1 Alcance La pres

34、ente Recomendacin define la versin 2.0 del lenguaje de marcaje de control de acceso extensible (XACML, extensible access control markup language), un lenguaje comn para expresar una poltica de seguridad. El objetivo de este XACML es elaborar un lenguaje de poltica basado en un lenguaje de marcaje ex

35、tensible (XML, extensible markup language) que pueda utilizarse con los siguientes fines: Facilitar un mtodo para combinar determinadas reglas y polticas en un conjunto de polticas que se aplica a una peticin de decisin particular. Facilitar un mtodo para definir con flexibilidad el procedimiento me

36、diante el cual se combinan reglas y polticas. Facilitar un mtodo que permita tratar varios sujetos que actan en diferentes capacidades. Facilitar un mtodo para fundar una decisin de autorizacin en los atributos del sujeto y del recurso. Facilitar un mtodo que permita abordar atributos de valores mlt

37、iples. Facilitar un mtodo para fundar una decisin de autorizacin en los contenidos de un recurso de informacin. Facilitar un conjunto de operadores lgicos y matemticos para los atributos del sujeto, del recurso y del entorno. Facilitar un mtodo para tratar un conjunto distribuido de componentes de p

38、oltica, un mtodo que permita localizar, recuperar y autenticar dichos componentes. Facilitar un mtodo para identificar rpidamente la poltica que se aplica a una determinada accin, sobre la base de los valores de atributos de los sujetos, del recurso y de la accin. Facilitar una capa de abstraccin qu

39、e oculte los detalles del entorno de la aplicacin a quienes definen las polticas. Facilitar un mtodo para especificar un conjunto de acciones que deben llevarse a cabo cuando se aplique una poltica. En esta Recomendacin se especifican soluciones XACML para cada uno de esos requisitos. En particular,

40、 en la clusula 7 se describe el lenguaje XACML bsico: los modelos XACML, el modelo de lenguaje de poltica, la sintaxis de polticas y las reglas de procesamiento. En la clusula 8 se define el perfil XACML de control de acceso basado en el cometido (RBAC, role based access control) bsico y jerrquico.

41、En la clusula 9 se define el perfil de recursos mltiples XACML. En la clusula 10 se examinan las tecnologas destinadas a proteger las comunicaciones XACML mediante la definicin del perfil SAML 2.0 de XACML. En la clusula 11 se aprovechan los aspectos bsicos de la clusula 10 para elaborar un perfil d

42、e firma digital XML para XACML. En la clusula 12 se examina la combinacin de perfiles XACML definidos en las clusulas 7 a 11 mediante la elaboracin de un perfil de recursos jerrquicos de XACML. Por ltimo, en la clusula 13 se examinan cuestiones relativas a la privacidad. 2 Referencias Las siguientes

43、 Recomendaciones y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones

44、 por lo que se preconiza que los participantes en acuerdos basados en la presente Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras referencias citadas a continuacin. La Oficina de Normalizacin de las Telecomunicaciones de la UIT mantiene un

45、a lista de las Recomendaciones UIT-T actualmente vigentes. El IETF mantiene una lista de RFC, junto con aquellas que han quedado obsoletas por ulteriores RFC. El W3C mantiene una lista de las Recomendaciones ms recientes y otras publicaciones. Recomendacin UIT-T X.811 (1995) ISO/CEI 10181-2:1996, Te

46、cnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Marco de autenticacin. Recomendacin UIT-T X.812 (1995) ISO/CEI 10181-3:1996, Tecnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Marco de contro

47、l de acceso. 2 Rec. UIT-T X.1142 (06/2006) Recomendacin UIT-T X.1141 (2006), Lenguaje de marcaje de asercin de seguridad (SAML 2.0). IETF RFC 822 (1982), Standard for the Format of ARPA Internet Text Messages. IETF RFC 2119 (1997), Key words for use in RFCs to Indicate Requirement Levels. IETF RFC 2

48、253 (1997), Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names. IETF RFC 2256 (1997), A Summary of the X.500 (96) User Schema for use with LDAPv3. IETF RFC 2396 (1998), Uniform Resource Identifiers (URI): Generic Syntax. IETF RFC 2732 (1999), Format for Literal IPv6 Addresses in URLs. IETF RFC 2821 (2001), Simple Mail Transfer Protocol. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. W3C Canonicalization:2002, Exclusive XML Canonicalization Version