《标准《信息安全技术 实体鉴别保障框架》征求意见稿》由会员分享,可在线阅读,更多相关《标准《信息安全技术 实体鉴别保障框架》征求意见稿(30页珍藏版)》请在金锄头文库上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 实体鉴别保障框架Information Security technique - Entity authentication assurance framework(本稿完成日期:2019-04-19)(在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III1范围12规范性引用文件13术语和定义14缩略语25保障框架36参与方角色职责46.1概述46.2实体46.3凭证服务提供方46.4注册机构
2、46.5依赖方46.6验证方46.7可信第三方57主要环节57.1总则57.2登记环节57.3凭证管理环节67.4鉴别环节77.5联合环节78保障等级88.1保障等级分类88.2身份保障等级88.3鉴别器保障等级98.4联合保障等级98.5保障等级的选取98.6保障等级的映射和互操作性109管理要求109.1概述109.2服务资质109.3信息安全管理和审查109.4外包服务监管109.5服务保障准则10附录A(资料性附录)威胁分析和风险控制11附录B(资料性附录)个人信息的保护22参考文献23前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利,本文件的
3、发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准起草单位:联想(北京)有限公司、国民认证科技(北京)有限公司、中国科学院数据与通信保护研究教育中心、中国科学院软件研究所、中国电子技术标准化研究院、格尔软件股份有限公司、中国信息通信研究院。本标准主要起草人:柴海新、李俊、李汝鑫、吕娜、顾小卓、张严、郝春亮、郑强、宁华、傅山。IIIGB/T XXXXXXXXX信息安全技术 实体鉴别保障框架1 范围本标准规定了实体鉴别的保障框架,明确了各参与方角色的职责、实体鉴别的主要流程环节以及实体鉴别保障等级的类别,并给出了实体鉴别保障所需的管理要
4、求。本标准适用于实体鉴别服务的安全测试和评估,为促进各参与方之间建立互信机制从而实现互联互通提供依据,并为其它实体身份鉴别相关标准的制定提供依据和参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术 术语GB/T 35273-2020 信息安全技术 个人信息安全规范GB/T 29242-2012 信息安全技术 鉴别与授权 安全断言标记语言3 术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1申请方 applic
5、ant请求成为系统的合法用户的主体,需在登记环节对其进行身份核验以确认其真实身份。3.2断言 assertion验证方生成的对实体身份鉴别的结果。注: 可能包含实体属性信息或授权信息等。3.3鉴别 authentication用于对实体和其所呈现身份之间的绑定关系进行充分确认的过程。3.4鉴别因素 authentication factor用于鉴别或验证实体身份的信息和(或)过程。注: 鉴别因素可分为三类:-实体所拥有的事物(如设备签名、护照、包含凭证的硬件设备、私钥等);-实体所知晓的信息(如口令、个人识别码等);-实体所展现的本质(如生物特征或行为模式等)。3.5鉴别协议 authenti
6、cation protocol在声称方和验证方之间定义的消息序列,使得验证方能够执行对声称方的鉴别。3.6鉴别器 authenticator声称方拥有或掌握的可用于鉴别声称方身份的功能组件或方法。注: 鉴别器包含并绑定实体凭证或凭证生成方法,参与并执行特定的鉴别协议。示例:密码模块、口令、口令生成器等。3.7声称方 claimant宣称或标示自己拥有合法身份的主体,需对其进行身份鉴别以确认身份。3.8身份 identity与实体相关的一组属性。注: 在特定语境中,身份可以拥有一个或多个标识符,使得身份在此语境中可被唯一识别。3.9身份信息验证 identity information verf
7、ication将身份信息和凭证与签发者、数据源或其它内外部来源进行核对,确保实体身份的真实性、有效性和正确性的过程。3.10身份核验 identity proofing注册机构采集并校验充足的信息以在某个特定的保障等级识别实体的过程。4 缩略语下列缩略语适用于本文件。AAL:鉴别器保障等级(Authenticator Assurance Level)CA:认证机构(Certification Authority)CSP:凭证服务提供方(Credential Service Provider)FAL:联合保障等级(Federation Assurance Level)IAL:身份保障等级(Ide
8、ntity Assurance Level)NPE:非人类实体(Non-Person Entity)PIN:个人身份识别码(Personal Identification Number)RA:注册机构(Registration Authority)RP:依赖方(Relying Party)SAML:安全断言置标语言(Security Assertion Markup Language)TPM:可信平台模块(Trusted Platform Module)TTP:可信第三方(Trusted Third Party)XML:可扩展置标语言(eXtensible Markup Language)5
9、保障框架本标准分别从技术和管理的角度规定了实体鉴别主要环节和管理要求,并根据技术实现的特点对保障等级划分类别,提出了实体鉴别保障框架(见图1)。图1 实体鉴别保障框架从技术角度来看,实体鉴别分为四个环节:登记(见7.2)、凭证管理(见7.3)、鉴别(见7.4)和联合(见7.5)。每个环节又可再细分为若干个过程,每个过程都面临相应的安全风险和攻击威胁,也存在相应的控制手段或应对措施(参见附录A)。从管理角度来看,实体鉴别保障的能力也与服务的监管、资质以及管理水平相关。本标准规定了影响实体鉴别保障的组织和管理方面的要求,主要涉及以下方面:服务资质、信息安全管理和审查、外包服务监管及服务保障准则等。
10、本标准规定了三类保障等级:身份保障等级(IAL,见8.2)、鉴别器保障等级(AAL,见8.3)、联合保障等级(FAL,见8.4)。各参与方应根据所采用实体鉴别的业务确定合适的保障等级,实现对实体鉴别相关的所有程序、管理活动以及技术实现的可信度衡量。对于每一类保障等级,其具体等级数量和等级内容不在本标准规定的范围内。本标准凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及到采用密码技术解决保密性、完整性、真实性、抗抵赖性需求的应遵循密码相关国家标准和行业标准。6 参与方角色职责6.1 概述实体鉴别保障框架的参与方包括实体、CSP、RA、RP、验证方和TTP。它们既可属于单一机构,也可属于不同机
11、构。例如,RA和CSP可以由同一家机构实现;验证方和RP可以是同一家机构。6.2 实体实体是具有独立且不同存在形式并可在语境中被识别的对象,可以是人或物品(也称为NPE)。在实体鉴别保障的各个环节中,同一个实体可具备多种角色。在登记环节之前,实体作为申请方角色。成功完成登记过程后,实体得到了CSP颁发的相应凭证,并确定了鉴别协议,由申请方角色成为合法用户。在鉴别环节之前,实体作为声称方角色。成功完成鉴别过程后,实体由声称方角色成为合法用户。6.3 凭证服务提供方CSP是颁发和管理凭证的可信参与方。CSP负责颁发和管理凭证(如口令或生物特征识别信息)、用于生成凭证的软件或硬件(如包含私钥的智能卡
12、)以及相关数据。CSP颁发和管理的凭证及其实施的安全策略,可作为实体鉴别的业务达到何种保障等级的关键因素。在成功完成登记环节后,CSP应为每个实体颁发一个/多个凭证、或者提供凭证生成的方法,用于鉴别环节。6.4 注册机构RA是为CSP创建并担保实体身份的参与方。RA应获得CSP的信任才能履行与登记环节相关的过程,并在进行实体注册后由CSP为实体颁发凭证。每个RA都应根据规定程序对实体进行身份核验。为将某实体同其它实体区分开来,通常要对该实体分配一个或多个标识符,使该实体能够在随后适用的语境中得到识别。6.5 依赖方RP是依赖于实体鉴别的结果(表现为身份断言或声明)的参与方,其业务需要经鉴别的身
13、份以完成必要的功能,如账户管理、访问控制、授权决策等。6.6 验证方验证方是对实体身份信息进行检查、核实和验证以鉴别实体的参与方。验证方可参与实体鉴别保障的多个环节,执行凭证验证和(或)身份信息验证。6.7 可信第三方TTP是在某些活动(例如与安全相关的活动)中被其它参与方信赖的机构或组织。就本标准而言,可信第三方为实施鉴别而被实体和(或)验证方所信任。执行实体鉴别的TTP的实例包括CA和时间戳机构等。7 主要环节7.1 总则实体鉴别的主要环节包括:登记环节、凭证管理环节、鉴别环节和联合环节。对实体身份进行授权管理和访问控制的环节不属于实体鉴别的流程,不在本标准规定的范围内。实体鉴别各个主要环
14、节均存在相关安全威胁,提供鉴别服务的各参与方应采取相应的风险控制手段加以防范,实体鉴别各个环节的威胁分析和风险控制措施参见附录A。实体鉴别过程中涉及个人信息保护的内容应遵循GB/T 35273-2020的要求。附录B描述了实体鉴别过程中可能涉及个人信息处理的场景及注意事项,为相关机构在决定采用并实施某种鉴别方法时提供参考。7.2 登记环节7.2.1 概述登记环节是实体作为申请方通过注册机构进入实体鉴别过程的初始环节。登记环节包括四个过程:申请和初始化、身份核验、记录保留、注册。7.2.2 申请和初始化登记环节可通过多种方式发起,可由实体主动发起,也可由注册机构发起。当实体为人时,初始化过程可包
15、括填写申请表;当实体为物品时,初始化过程可包括为设备粘贴标签或将设备标识符写入到设备安全存储区域中。7.2.3 身份核验身份核验可包括对实体提交的身份信息与权威来源进行核对和验证,以确认身份信息真实且实体客观存在。为达到身份核验要求而提供的实际的身份信息会随保障等级的不同而变化。身份核验可包括对实体提交的身份证件(如居民身份证等)的物理检查,以检测可能的欺诈、篡改或伪造行为。保障等级越高,身份核验要求就应越严格。此外,身份核验过程对于实体远程(例如,通过网络)声明其身份应比本地(例如,与RA面对面会晤)更加严格。注册机构应确保实体和其提交的身份证件的一致性。7.2.4 记录保留记录保留是实体登记的必要过程,即创建登记记录的存档过程。这项记录应包括采集的信息和文档、关于身份核验过程的信息、这些步骤
