GBT 47697-2026网络安全技术鉴别与授权基于属性的访问控制模型与管理规范

#政策法规 ·2026-06-24 09:56:16

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国网络安全标准化技术委员会（SAC/TC260)提出并归口。

本文件起草单位：北京中关村实验室、中国科学院大学、奇安信网神信息技术(北京)股份有限公司、华北电力大学、中国科学院软件研究所、北京邮电大学、中金金融认证中心有限公司、中国长江三峡集团有限公司、中国电子技术标准化研究院、北京理工大学、联通在线信息科技有限公司、陕西省信息化工程研究院、湖北省数字证书认证管理中心有限公司、中国电子科技集团公司第十五研究所、中科信息安全共性技术国家工程研究中心有限公司、北京山石网科信息技术有限公司、北京天融信网络安全技术有限公司、中电信量子信息科技集团有限公司、启明星辰信息技术集团股份有限公司、杭州安恒信息技术股份有限公司、数盾信息科技股份有限公司、北京万里红科技有限公司、兴唐通信科技有限公司、天翼安全科技有限公司、中兴通讯股份有限公司、四川大学、北京数字认证股份有限公司、江苏易安联网络技术有限公司、国民认证科技（重庆）有限公司、国家信息技术安全研究中心、公安部第三研究所、上海东航数字科技有限公司、国能数智科技开发（北京)有限公司、中国科学院信息工程研究所、北京芯盾时代科技有限公司、北京持安科技有限公司、蚂蚁科技集团股份有限公司、中国信息通信研究院、国家计算机网络应急技术处理协调中心、四川省商投信息技术有限责任公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司。

本文件主要起草人：刘勇、荆继武、李建彬、张立武、张勇、安锦程、孔坚、王跃武、马梦娜、吴思宇、李小勇、张严、范煊茁、谢亮、李彦峰、王惠莅、张子剑、程福兴、赵晓荣、陈诚、金达、刘栋、刘丽敏、崔宝江、徐洁、高雅丽、胡建勋、黄亮、刘浩、马思源、付巍、刘治平、刘勇、周瑞群、张凯歌、朱云、江海昇、王辉、方宇、曹鲲鹏、徐蕾、李贝贝、张爱娈、秦益飞、李俊、李海玲、陈妍、东明、曹慧、李敏、孙悦、何艺、白晓媛、穆琙博、崔牧凡、孙涌潮、郑强、李武璐。

1.范围

本文件确立了基于属性的访问控制的模型，规定了基于属性的访问控制的管理要求，描述了对应的测试方法。

本文件适用于网络应用机构、网络安全产品和服务提供商规划、设计、开发和建设基于属性访问控制系统，也可为基于属性访问控制系统实施测评、监管提供参考。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069信息安全技术 术语

3.术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1基于属性的访问控制 attribute-based access control

根据分配给主体、客体的属性，环境属性以及基于这些属性制定的一组策略，来判定主体对客体执行操作的请求是否允许的访问控制方法。

3.2属性 attribute

可被策略调用，用于控制客体访问权限的特征信息。

注1：属性包括主体属性、客体属性、环境属性以及策略中用于控制访问的其他属性。

注2：属性信息以名称-值对的形式定义。

3.3属性授权机构 attribute authority

负责授权属性信息的创建、发布与管理的机构。

3.4策略 policy

执行访问控制决策所遵循的规则。

注1：策略由一组规则、一种规则组合算法标识和（可选的)一组义务组成，是策略集的组成部分。

注2：在给定主体属性、客体属性及环境属性的属性值的前提下，策略用于判定所请求的访问是否被允许。

3.5数字策略 digital policy

直接编码成机器可执行的代码的访问控制规则。

注：主体属性、客体属性、环境属性和操作是数字策略的基本元素，数字策略规则的编译结果由访问控制机制执行。

3.6元策略 metapolicy

用于定义、管理和约束访问控制策略的策略。

3.7自然语言策略 natural language policy

用自然语言描述的访问控制策略。

4.缩略语

下列缩略语适用于本文件。ABAC:基于属性的访问控制(attribute-based access control)

5. 模型概述

ABAC是一种访问控制方法，其核心思想是将属性与权限相关联，以实现基于属性的动态访问控制。该方法通过组织间统一的主体属性、客体属性和环境属性来定义访问策略，避免了将访问权限直接授予某个主体。ABAC通过ABAC引擎对主体属性、客体属性和环境属性的当前值进行评估，并根据这些属性所生成的策略执行授权决策。ABAC模型由主体属性、客体属性、环境属性、策略、操作(主体访问请求)和ABAC引擎等组件构成，见图1。