(高清版)GBT 42573-2023 信息安全技術(shù) 網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求

信息安全技術(shù)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求serviceinnetwork2023-05-23發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)I 12規(guī)范性引用文件 l3術(shù)語和定義 14縮略語 35網(wǎng)絡(luò)身份服務(wù)概述 35.1參與方 35.2身份服務(wù)模型 45.3服務(wù)安全級(jí)別 56服務(wù)安全技術(shù)要求 66.1身份核驗(yàn)服務(wù) 66.2身份鑒別服務(wù) 86.3身份聯(lián)合服務(wù) 附錄A(資料性)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求 附錄B(資料性)用戶屬性的類型 附錄C(資料性)網(wǎng)絡(luò)身份服務(wù)風(fēng)險(xiǎn)緩解 附錄D(資料性)鑒別器類型 附錄E(資料性)身份聯(lián)合服務(wù)建立模式 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：北京數(shù)字認(rèn)證股份有限公司、中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、中國科學(xué)院大學(xué)、公安部第一研究所、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院軟件研究所、螞蟻科技集團(tuán)股份有限公司、國民認(rèn)證科技(北京)有限公司、聯(lián)想(北京)有限公司、北京中盾安信科技發(fā)展有限公司、北京快手科技有限公司。1信息安全技術(shù)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求本文件確立了面向自然人的網(wǎng)絡(luò)身份服務(wù)的參與方和模型，規(guī)定了網(wǎng)絡(luò)身份服務(wù)安全級(jí)別和安全技術(shù)要求。本文件適用于面向自然人的網(wǎng)絡(luò)身份服務(wù)的設(shè)計(jì)、開發(fā)、部署和應(yīng)用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15843(所有部分)信息技術(shù)安全技術(shù)實(shí)體鑒別GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37036(所有部分)信息技術(shù)移動(dòng)設(shè)備生物特征識(shí)別GB/T37092信息安全技術(shù)密碼模塊安全要求GB/T40660信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。身份服務(wù)提供方identityserviceprovider在網(wǎng)絡(luò)中提供身份服務(wù)的實(shí)體。使用網(wǎng)絡(luò)身份服務(wù)的自然人。注：申請(qǐng)方、聲稱方、訂戶代表了用戶在不同場景下的不同角色。依賴方relyingparty依賴身份鑒別結(jié)果以確定是否與用戶建立信任關(guān)系的實(shí)體。身份核驗(yàn)identityproofing收集用戶身份信息，并驗(yàn)證用戶身份信息的真實(shí)性的過程。身份鑒別identityauthentication驗(yàn)證用戶所聲稱身份的過程。2依賴不在同一個(gè)安全域的身份服務(wù)提供方給出用戶身份鑒別結(jié)果的過程。在網(wǎng)絡(luò)中為用戶提供身份核驗(yàn)、身份鑒別和身份聯(lián)合服務(wù)的活動(dòng)。訂戶subscriber接受身份服務(wù)提供方提供的身份服務(wù)的合法用戶。申請(qǐng)方applicant請(qǐng)求成為訂戶的自然人。宣稱自己是訂戶的自然人。用于標(biāo)識(shí)用戶的一種字符串或模式。遠(yuǎn)程遞交材料身份核驗(yàn)remoteidentityproofing申請(qǐng)方通過在線或離線方式非現(xiàn)場提供身份證明材料進(jìn)行身份核驗(yàn)的過程。本人遠(yuǎn)程身份核驗(yàn)in-personoverremotechannelidentityproofing申請(qǐng)方通過在線方式并親自操作進(jìn)行身份核驗(yàn)的過程。本人現(xiàn)場身份核驗(yàn)in-personidentityproofing申請(qǐng)方通過親自到現(xiàn)場的方式進(jìn)行身份核驗(yàn)的過程。用戶擁有或掌握的可用于鑒別其身份的功能組件或方法。注：鑒別器包含實(shí)體憑證或憑證生成方法，參與并執(zhí)行特定的鑒別協(xié)議。在不給出證據(jù)的情況下所做的宣稱或說明。身份服務(wù)提供方生成的對(duì)用戶身份鑒別的結(jié)果。3和斷言關(guān)聯(lián)的，包含身份服務(wù)提供方標(biāo)識(shí)的數(shù)據(jù)對(duì)象。持有型斷言bearerassertion可將斷言持有者看作斷言主體的斷言類型?？赏ㄟ^斷言的持有者擁有的密鑰證明其為斷言主體的斷言類型。網(wǎng)絡(luò)身份服務(wù)系統(tǒng)identityservicesysteminnetwork支撐網(wǎng)絡(luò)身份服務(wù)的軟硬件集合。4縮略語下列縮略語適用于本文件。AAL:鑒別保證級(jí)(AuthenticationAssuranceLevel)FAL:聯(lián)合保證級(jí)(FederationAssuranceLevel)IAL:身份保證級(jí)(IdentityAssuranceLevel)OTP:動(dòng)態(tài)口令(OneTimePassword)5網(wǎng)絡(luò)身份服務(wù)概述5.1參與方網(wǎng)絡(luò)身份服務(wù)參與方包括用戶、身份服務(wù)提供方和依賴方(三方交互示意圖見圖1)。申請(qǐng)方、聲稱方、訂戶代表了用戶在不同場景下的不同角色。a)用戶的主要職責(zé)包括：●向身份服務(wù)提供方提交身份信息和身份證明文件；●接受身份服務(wù)提供方的身份核驗(yàn)；●向依賴方發(fā)起應(yīng)用服務(wù)請(qǐng)求并聲明身份；●接受身份服務(wù)提供方的身份鑒別；●接收依賴方對(duì)應(yīng)用服務(wù)請(qǐng)求的響應(yīng)。b)身份服務(wù)提供方的主要職責(zé)包括：●對(duì)申請(qǐng)方的身份進(jìn)行核驗(yàn)；●身份核驗(yàn)成功后向申請(qǐng)方頒發(fā)鑒別器；●接收來自依賴方的身份鑒別請(qǐng)求，并鑒別聲稱方身份●向依賴方提供身份鑒別斷言。c)依賴方的主要職責(zé)包括：●接收聲稱方的網(wǎng)絡(luò)應(yīng)用服務(wù)請(qǐng)求及身份聲明；●向身份服務(wù)提供方提交身份鑒別請(qǐng)求；●接收身份服務(wù)提供方提供的身份鑒別斷言；●向訂戶返回應(yīng)用服務(wù)響應(yīng)。4GB/T42573—2023用戶獲得身份盧稱方確認(rèn)身份訂戶身份服務(wù)提供方提交身份鑒別請(qǐng)求返回身份鑒別斷言*依賴方圖1網(wǎng)絡(luò)身份服務(wù)參與方交互示意圖5.2身份服務(wù)模型網(wǎng)絡(luò)身份服務(wù)模型見圖2。網(wǎng)絡(luò)身份服務(wù)分為身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)三類。a)身份核驗(yàn)服務(wù)，流程如下。1)申請(qǐng)方提交身份信息和身份證明文件，進(jìn)行登記；2)身份服務(wù)提供方核驗(yàn)身份信息和身份證明文件，核驗(yàn)通過后，向申請(qǐng)方頒發(fā)鑒別器，申請(qǐng)方獲得身份成為身份服務(wù)提供方的訂戶。b)身份鑒別服務(wù)，流程如下。1)通過鑒別協(xié)議，使用鑒別器證明聲稱方是綁定到特定鑒別器的訂戶；2)對(duì)聲稱方進(jìn)行身份鑒別，身份鑒別成功后，確認(rèn)該聲稱方為訂戶。c)身份聯(lián)合服務(wù)，發(fā)生在依賴方與身份服務(wù)提供方在不同安全域的情形，身份服務(wù)提供方對(duì)聲稱方進(jìn)行身份鑒別后，將有關(guān)身份鑒別結(jié)果的斷言或斷言引用返回給依賴方，流程如下。1)聲稱方向依賴方發(fā)起應(yīng)用服務(wù)請(qǐng)求并聲明身份；2)依賴方向不同域的身份服務(wù)提供方發(fā)起身份鑒別請(qǐng)求；3)身份服務(wù)提供方對(duì)聲稱方進(jìn)行身份鑒別，向依賴方返回?cái)嘌曰驍嘌砸?，聲稱方身份得到確認(rèn)；4)依賴方向訂戶返回應(yīng)用服務(wù)響應(yīng)。一般情況下，身份服務(wù)提供方同時(shí)提供身份核驗(yàn)服務(wù)和身份鑒別服務(wù)，可提供身份聯(lián)合服務(wù)。5訂戶中請(qǐng)方訂戶獲得L身份身份服務(wù)提供方a)身份核驗(yàn)服務(wù)訂戶聲稱方訂戶確認(rèn)身份身份服務(wù)提供方b)身份鑒別服務(wù)圖2網(wǎng)絡(luò)身份服務(wù)模型身份域B依賴方訂戶5.3服務(wù)安全級(jí)別本文件分別針對(duì)身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)分別規(guī)定了4個(gè)要求逐級(jí)遞增的安全級(jí)別，高安全級(jí)別在低安全級(jí)別的基礎(chǔ)上進(jìn)一步提出了更高的安全要求。各安全級(jí)別主要的區(qū)別簡要描述如下，具體的安全要求見第6章。a)身份核驗(yàn)服務(wù)包括下列內(nèi)容。1)IAL-1,闡明了身份核驗(yàn)服務(wù)最低級(jí)別的安全要求：●唯一性：身份在特定語境中是唯一的；●收集屬性類別：收集的用戶屬性能夠唯一標(biāo)識(shí)用戶。2)IAL-2,在IAL-1的基礎(chǔ)上主要增加了收集屬性類別、實(shí)名核驗(yàn)、遠(yuǎn)程遞交材料身份核驗(yàn)等方面的要求：●收集屬性類別：收集的用戶屬性能與現(xiàn)實(shí)世界的自然人唯一關(guān)聯(lián)，且擁有聯(lián)系方式；●核驗(yàn)方法：核驗(yàn)收集的身份屬性的真實(shí)性，至少采用遠(yuǎn)程遞交材料身份核驗(yàn)等方式進(jìn)行核驗(yàn)。3)IAL-3,在IAL-2的基礎(chǔ)上主要增加了環(huán)境屬性等屬性收集要求、本人遠(yuǎn)程身份核驗(yàn)等方面的要求：●收集屬性類別：在IAL-2的基礎(chǔ)上要求收集用戶登錄環(huán)境信息，根據(jù)業(yè)務(wù)需求收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性；●核驗(yàn)方法：核驗(yàn)收集的身份屬性的真實(shí)性，至少采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場身份核驗(yàn)的方式進(jìn)行核驗(yàn)。4)IAL-4,闡明了身份核驗(yàn)最高級(jí)別的安全要求，在IAL-3的基礎(chǔ)上主要增加了收集屬性類別、身份證明文件的數(shù)量要求、本人現(xiàn)場身份核驗(yàn)等方面的要求：●收集屬性類別：在IAL-3的基礎(chǔ)上建議收集生物特征屬性、行為屬性等更多種類的身份屬性；●核驗(yàn)方法：相較于IAL-3要求核驗(yàn)更多數(shù)量的權(quán)威來源身份證明文件，至少采用本人現(xiàn)場身份核驗(yàn)的方式進(jìn)行核驗(yàn)。6b)身份鑒別服務(wù)包括下列內(nèi)容。1)AAL-1,闡明了身份鑒別服務(wù)最低級(jí)別的安全要求，支持使用單因素鑒別方式來證明聲稱方是綁定到特定鑒別器的訂戶；2)AAL-2,在AAL-1的基礎(chǔ)上要求使用多因素鑒別方式；3)AAL-3,在AAL-2的基礎(chǔ)上增加了對(duì)鑒別器中密碼技術(shù)使用要求、動(dòng)態(tài)鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來實(shí)現(xiàn)；●動(dòng)態(tài)鑒別：具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施。4)AAL-4,闡明了身份鑒別最高級(jí)別的安全要求，相較于AAL-3,要求至少使用密碼設(shè)備鑒別器，且提高了動(dòng)態(tài)鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼設(shè)備鑒別器來實(shí)現(xiàn)；●動(dòng)態(tài)鑒別：具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，建議具備基于用戶行為的風(fēng)險(xiǎn)控制措施。c)身份聯(lián)合服務(wù)包括下列內(nèi)容。1)FAL-1,闡明了身份聯(lián)合服務(wù)最低級(jí)別的安全要求：●斷言簽名：身份服務(wù)提供方到依賴方的斷言由身份服務(wù)提供方進(jìn)行簽名；●斷言類型：允許使用持有型斷言或密鑰擁有型斷言。2)FAL-2,在FAL-1的基礎(chǔ)上主要增加了斷言加密要求。3)FAL-3,在FAL-2的基礎(chǔ)上主要提高了斷言類型要求、斷言主體假名化要求：●斷言類型：要求使用密鑰擁有型斷言；●斷言主體假名化：建議斷言主體假名化，依賴方和身份服務(wù)提供方可協(xié)商確定對(duì)不同的依賴方是否使用不同的用戶假名。4)FAL-4,闡明了身份聯(lián)合最高級(jí)別的安全要求，在FAL-3的基礎(chǔ)上主要提高斷言假名化要求，要求斷言主體假名化，對(duì)不同的依賴方生成不同的用戶假名。服務(wù)安全級(jí)別的選取可基于風(fēng)險(xiǎn)評(píng)估的方式來確定。風(fēng)險(xiǎn)評(píng)估要素主要包括兩方面。一方面，評(píng)估網(wǎng)絡(luò)身份服務(wù)安全無法保證時(shí)可能導(dǎo)致的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)類型主要包括：對(duì)個(gè)人的聲譽(yù)、生活、財(cái)產(chǎn)帶來影響或損失，對(duì)組織的聲譽(yù)、財(cái)產(chǎn)帶來影響或損失，造成個(gè)人或組織的敏感信息泄露，對(duì)社會(huì)秩序、經(jīng)濟(jì)秩序或公共利益造成危害，對(duì)國家安全造成危害等；另一方面，評(píng)估風(fēng)險(xiǎn)的影響程度，如個(gè)人財(cái)產(chǎn)損失程度可分為小額損失、巨額損失等。綜合考慮風(fēng)險(xiǎn)及風(fēng)險(xiǎn)的影響程度，確定服務(wù)安全級(jí)別。針對(duì)三類服務(wù)可分別選擇各自的IAL、AAL、FAL,且服務(wù)安全級(jí)別可不同。第6章將針對(duì)三類服務(wù)分別給出每個(gè)級(jí)別的安全技術(shù)要求，安全技術(shù)要求參見附錄A。6服務(wù)安全技術(shù)要求6.1身份核驗(yàn)服務(wù)6.1.1用戶標(biāo)識(shí)要求用戶標(biāo)識(shí)的唯一性要求如下：a)應(yīng)確保每個(gè)用戶在身份服務(wù)提供方內(nèi)擁有唯一的標(biāo)識(shí)；b)應(yīng)確保每個(gè)用戶在同一依賴方內(nèi)擁有唯一的標(biāo)識(shí)；c)可在不同依賴方內(nèi)為同一用戶分配不同的標(biāo)識(shí)。7實(shí)名要求如下：b)IAL-2、IAL-3、IAL-4:應(yīng)進(jìn)行實(shí)名核驗(yàn)，應(yīng)具備提供實(shí)名、匿名或假名的能力。若提供匿名或假名，具備追溯匿名者或假名者的真實(shí)身份的能力。6.1.2用戶屬性收集要求用戶屬性類型包括法定屬性、通信屬性、社會(huì)屬性、經(jīng)濟(jì)屬性、生物特征屬性、環(huán)境屬性、行為屬性等，常見用戶屬性的類型見附錄B,用戶屬性收集要求如下。a)應(yīng)遵循最小化原則收集滿足業(yè)務(wù)功能需要的用戶屬性。b)個(gè)人信息的收集和存儲(chǔ)應(yīng)符合GB/T35273的規(guī)定。c)用戶屬性的類型要求如下：1)IAL-1:身份服務(wù)提供方收集的用戶屬性能夠唯一標(biāo)識(shí)用戶，不需對(duì)身份的真實(shí)性進(jìn)行驗(yàn)證；2)IAL-2:身份服務(wù)提供方應(yīng)收集真實(shí)且可被核驗(yàn)的法定屬性和通信屬性；3)IAL-3:在IAL-2的基礎(chǔ)上，還應(yīng)收集環(huán)境屬性，應(yīng)根據(jù)業(yè)務(wù)需求僅收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性；4)IAL-4:在IAL-3的基礎(chǔ)上，還宜收集生物特征屬性、行為屬性。注：當(dāng)收集的用戶屬性為實(shí)名認(rèn)證的手機(jī)號(hào)時(shí)，由于通過該手機(jī)號(hào)能關(guān)聯(lián)到用戶的法定屬性(如姓名、身份證號(hào)),則該手機(jī)號(hào)既是通信屬性，也是法定屬性。6.1.3用戶身份核驗(yàn)要求用戶身份核驗(yàn)要求包括下列內(nèi)容。a)身份核驗(yàn)方法要求如下：1)IAL-1:不作要求；2)IAL-2:法定屬性應(yīng)通過至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),核驗(yàn)過程應(yīng)至少采用遠(yuǎn)程遞交材料身份核驗(yàn)的方式；3)IAL-3:法定屬性應(yīng)通過至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),經(jīng)濟(jì)屬性應(yīng)通過權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過權(quán)威第三方提供的證明文件或質(zhì)詢第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過程應(yīng)采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場身份核驗(yàn)的方式；4)IAL-4:法定屬性應(yīng)通過至少兩種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),經(jīng)濟(jì)屬性應(yīng)通過權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過權(quán)威第三方提供的證明文件或質(zhì)詢第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過程應(yīng)采用本人現(xiàn)場身份核驗(yàn)的方式。b)通信保護(hù)要求如下：1)IAL-1:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；2)IAL-2:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；3)IAL-3:宜采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要8的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；4)IAL-4:應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。6.1.4記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份核驗(yàn)服務(wù)的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：收集的用戶身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過程信息、核驗(yàn)結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.1.5風(fēng)險(xiǎn)緩解技術(shù)要求身份核驗(yàn)服務(wù)面臨的常見風(fēng)險(xiǎn)及緩解措施見附錄C的C.1。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)IAL-1、IAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供可以證明每個(gè)緩解措施有效性的證據(jù)；b)IAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法；c)IAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.1.6個(gè)人信息保護(hù)要求身份核驗(yàn)服務(wù)中，個(gè)人信息保護(hù)要求如下：a)身份核驗(yàn)服務(wù)中個(gè)人信息的收集應(yīng)符合GB/T35273中個(gè)人信息的收集要求；b)收集的用戶身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過程信息、核驗(yàn)結(jié)果等個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)對(duì)個(gè)人信息的核驗(yàn)、訪問、展示等使用環(huán)節(jié)，應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份核驗(yàn)服務(wù)中若涉及生物特征識(shí)別信息，還應(yīng)符合GB/T40660的規(guī)定。網(wǎng)絡(luò)身份服務(wù)系統(tǒng)具備相應(yīng)的保護(hù)能力：a)IAL-1、IAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)IAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)IAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。6.2身份鑒別服務(wù)6.2.1鑒別器要求適用于身份鑒別服務(wù)的鑒別器通常包括以下幾種類型(見附錄D):——記憶秘密鑒別器；——查詢秘密鑒別器；——生物特征鑒別器；——單因素OTP設(shè)備鑒別器；——多因素OTP設(shè)備鑒別器；9——單因素密碼軟件鑒別器；——多因素密碼軟件鑒別器；——單因素密碼設(shè)備鑒別器；——多因素密碼設(shè)備鑒別器。單因素鑒別實(shí)現(xiàn)的方式包括但不限于使用如下鑒別器：——查詢秘密鑒別器；——帶外鑒別器；——單因素OTP設(shè)備鑒別器；——單因素密碼軟件鑒別器；——單因素密碼設(shè)備鑒別器。多因素鑒別實(shí)現(xiàn)的方式包括但不限于使用如下鑒別器：——記憶秘密鑒別器和查詢秘密鑒別器；——記憶秘密鑒別器和帶外鑒別器；——記憶秘密鑒別器和單因素OTP設(shè)備鑒別器；——記憶秘密鑒別器和單因素密碼軟件鑒別器；——記憶秘密鑒別器和單因素密碼設(shè)備鑒別器；——生物特征鑒別器；——多因素OTP設(shè)備鑒別器；——多因素密碼軟件鑒別器；——多因素密碼設(shè)備鑒別器。注：生物特征用于身份鑒別通常分為兩種情況：第一種情況，生物特征作為多因素鑒別器的鑒別因素之一，例如，多因素密碼設(shè)備鑒別器中使用生物特征激活密鑰；第二種情況，作為生物特征鑒別器使用，該情況下，生物特征與設(shè)備關(guān)聯(lián)，鑒別因素包括生物特征(自身屬性)和關(guān)聯(lián)設(shè)備(所擁有的)兩種因素，屬于多因素鑒別。鑒別器綁定要求如下：a)應(yīng)維護(hù)鑒別器的綁定記錄，包括當(dāng)前綁定的或綁定過的鑒別器；b)應(yīng)記錄關(guān)于綁定的信息，包括但不限于綁定日期；c)應(yīng)確保在身份核驗(yàn)和鑒別器綁定的整個(gè)過程中是同一個(gè)用戶；d)應(yīng)支持用戶在已有鑒別器的基礎(chǔ)上，申請(qǐng)綁定新的鑒別器；e)AAL-2及以上的安全級(jí)別，宜為用戶身份綁定兩種或兩種以上類型的鑒別器。鑒別器使用要求如下：a)AAL-1:應(yīng)至少支持單因素鑒別方式，可使用任一種鑒別器進(jìn)行身份鑒別；b)AAL-2:應(yīng)使用多因素鑒別方式，不應(yīng)將生物特征鑒別器作為唯一可選的多因素鑒別方式，以避免強(qiáng)制個(gè)人同意收集其生物特征信息；c)AAL-3:應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092二級(jí)及以上安全要求；d)AAL-4:應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設(shè)備鑒別器來實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092三級(jí)及以上安全要求，多因素鑒別方式宜包含生物特征鑒鑒別器更新要求如下：a)應(yīng)在現(xiàn)有鑒別器到期前一段合適的時(shí)間要求用戶更新鑒別器；注：身份鑒別服務(wù)級(jí)別越高，提醒用戶更新鑒別器的頻次越多，例如：AAL-1和AAL-2設(shè)置為到期前一周提b)應(yīng)與初始鑒別器頒發(fā)程序保持一致；c)更新成功后，應(yīng)撤銷被替代的鑒別器。鑒別器失竊、損壞和復(fù)制要求如下：a)應(yīng)采取安全措施防止鑒別器中的秘密信息被提??；b)應(yīng)支持鑒別器的掛起和重新激活；c)應(yīng)支持對(duì)用戶身份進(jìn)行重新核驗(yàn)，并綁定新的鑒別器。鑒別器到期要求如下：a)到期的鑒別器不應(yīng)再用于身份鑒別；b)當(dāng)用戶使用到期的鑒別器時(shí)，應(yīng)告知鑒別器已到期；c)應(yīng)對(duì)到期的鑒別器進(jìn)行合理處置。鑒別器撤銷要求如下：a)定期檢查身份是否存在、身份是否滿足資格要求、鑒別器風(fēng)險(xiǎn)狀態(tài)等信息，當(dāng)身份不存在，或用戶提出撤銷請(qǐng)求，或確定身份不再滿足資格要求時(shí)，或鑒別器更新后，應(yīng)及時(shí)撤銷與該身份綁定的鑒別器；注：身份鑒別服務(wù)級(jí)別越高，檢查頻率越高，例如：AAL-1和AAL-2設(shè)置為每半年檢查一次，AAL-3設(shè)置為每個(gè)月檢查一次，AAL-4設(shè)置為每周檢查一次。b)撤銷的鑒別器不應(yīng)再用于身份鑒別；c)當(dāng)鑒別器被撤銷時(shí)，應(yīng)對(duì)鑒別器進(jìn)行合理處置，如回收后銷毀、徹底清除鑒別器相關(guān)數(shù)據(jù)等。鑒別協(xié)議要求如下：a)應(yīng)建立安全的通信連接，通信保護(hù)要求如下：1)AAL-1:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；2)AAL-2:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；3)AAL-3:宜采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；4)AAL-4:應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。b)應(yīng)采用動(dòng)態(tài)信息(例如，隨機(jī)數(shù)、挑戰(zhàn)碼)、時(shí)間戳等方式以防重放攻擊。c)使用密碼技術(shù)進(jìn)行身份鑒別時(shí)，應(yīng)符合GB/T15843(所有部分)的規(guī)定。d)應(yīng)限制一定時(shí)間內(nèi)身份鑒別的嘗試次數(shù)，例如，1min之內(nèi)的嘗試次數(shù)不高于5次。e)應(yīng)具備防止惡意登錄的安全機(jī)制，例如，滑動(dòng)圖塊、文字點(diǎn)選等機(jī)制。f)移動(dòng)設(shè)備生物特征識(shí)別要求應(yīng)符合GB/T37036(所有部分)的規(guī)定。動(dòng)態(tài)鑒別要求如下：a)AAL-1、AAL-2:不作要求；b)AAL-3:應(yīng)具備基于網(wǎng)絡(luò)環(huán)境(例如，IP地址、終端設(shè)備、登錄地點(diǎn)等)的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過多渠道向用戶發(fā)送通知，并對(duì)用戶身份重新鑒別；c)AAL-4:應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，宜具備基于用戶行為(例如，用戶登錄時(shí)間、時(shí)長、瀏覽習(xí)慣等)的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過多渠道向用戶發(fā)送通知，并對(duì)用戶身份重新鑒別。6.2.3會(huì)話管理要求身份鑒別成功后，身份服務(wù)提供方和用戶之間可啟動(dòng)會(huì)話。當(dāng)會(huì)話持續(xù)活躍超過一定時(shí)間或一段時(shí)間內(nèi)不活躍時(shí)，應(yīng)對(duì)用戶身份重新鑒別，重新鑒別要求如下：a)AAL-1:宜在7d內(nèi)進(jìn)行重新鑒別；b)AAL-2:宜在持續(xù)12h活躍后或30min不活躍后，進(jìn)行重新鑒別；c)AAL-3:宜在持續(xù)12h活躍后或10min不活躍后，進(jìn)行重新鑒別；d)AAL-4:宜在持續(xù)12h活躍后或5min不活躍后，進(jìn)行重新鑒別。6.2.4記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份鑒別的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：使用的身份鑒別協(xié)議、身份鑒別方法、鑒別器相關(guān)數(shù)據(jù)及身份鑒別產(chǎn)生的過程信息、鑒別結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.2.5風(fēng)險(xiǎn)緩解技術(shù)要求身份鑒別服務(wù)面臨的常見風(fēng)險(xiǎn)及緩解措施見C.2。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)AAL-1、AAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供能證明每個(gè)緩解措施有效性的證據(jù)；b)AAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供能證明每個(gè)緩解措施有效性c)AAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供能證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.2.6個(gè)人信息保護(hù)要求身份鑒別服務(wù)中，個(gè)人信息保護(hù)要求如下：a)應(yīng)僅要求用戶提供完成身份鑒別服務(wù)必要的個(gè)人信息，身份鑒別服務(wù)中個(gè)人信息的收集應(yīng)符合GB/T35273中個(gè)人信息的收集要求；b)身份鑒別服務(wù)收集的鑒別器相關(guān)數(shù)據(jù)、身份鑒別產(chǎn)生的過程信息、鑒別結(jié)果等個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)使用鑒別器完成身份鑒別時(shí)，涉及的個(gè)人信息使用應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份鑒別服務(wù)中若涉及生物特征識(shí)別信息，還應(yīng)符合GB/T40660的規(guī)定。6.2.7系統(tǒng)安全保護(hù)要求網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)具備相應(yīng)的保護(hù)能力：a)AAL-1、AAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)AAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)AAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。6.3身份聯(lián)合服務(wù)6.3.1身份聯(lián)合服務(wù)建立要求身份聯(lián)合服務(wù)建立模式包括手動(dòng)注冊(cè)模式、動(dòng)態(tài)注冊(cè)模式、基于權(quán)威機(jī)構(gòu)的模式、基于代理的模式等類型(見附錄E),身份聯(lián)合服務(wù)建立模式的要求如下。a)應(yīng)使用安全的方法交換用于建立身份聯(lián)合服務(wù)關(guān)系的密鑰信息，包括公鑰或共享的對(duì)稱密鑰。使用的對(duì)稱密鑰對(duì)于一對(duì)身份服務(wù)提供方和依賴方應(yīng)是唯一的。b)身份聯(lián)合服務(wù)關(guān)系中，應(yīng)建立身份服務(wù)提供方和依賴方預(yù)期可達(dá)到的以及可接受的IAL、AAL、FAL的級(jí)別。c)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方可對(duì)依賴方使用的屬性類型及其他信息進(jìn)行限定，依賴方可對(duì)期望接受的身份服務(wù)提供方進(jìn)行限定。d)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方應(yīng)提供相應(yīng)的配置信息(例如，IP地址、端口),以減少系統(tǒng)管理員的人工配置操作。e)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方可對(duì)正在動(dòng)態(tài)注冊(cè)中的依賴方的屬性使用密碼技術(shù)進(jìn)行驗(yàn)證。f)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)對(duì)身份服務(wù)提供方生成的斷言進(jìn)行審查，確定其符合相應(yīng)g)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)審查確保依賴方遵守身份服務(wù)提供方的有關(guān)個(gè)人信息保護(hù)的要求。h)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)審查確保身份服務(wù)提供方和依賴方使用安全的聯(lián)合協(xié)議。身份聯(lián)合服務(wù)中，身份服務(wù)提供方將身份鑒別斷言傳遞給依賴方時(shí)，應(yīng)采用前端通道模式或后端通道模式。a)前端通道模式流程如下(見圖3):1)身份服務(wù)提供方對(duì)用戶成功進(jìn)行身份鑒別后，生成斷言并傳遞給用戶；2)用戶將斷言傳遞給依賴方。身份服務(wù)提供方用戶依賴方圖3前端通道模式流程b)后端通道模式其流程如下(見圖4):1)身份服務(wù)提供方對(duì)用戶成功進(jìn)行身份鑒別后，生成斷言和斷言引用，并將斷言引用傳遞給用戶；2)用戶將斷言引用傳遞給依賴方；3)當(dāng)收到斷言引用后，依賴方向身份服務(wù)提供方發(fā)起斷言請(qǐng)求；4)身份服務(wù)提供方將斷言發(fā)送給依賴方。身份服務(wù)身份服務(wù)提供方用戶依賴方圖4后端通道模式流程6.3.3斷言內(nèi)容要求斷言內(nèi)容要求如下。a)可只包含鑒別結(jié)果，也可同時(shí)包含用戶身份信息。b)應(yīng)至少包含如下內(nèi)容：2)發(fā)放者：發(fā)出斷言的身份服務(wù)提供方的標(biāo)識(shí)符；3)接收者：接收斷言的依賴方的標(biāo)識(shí)符；4)簽發(fā)時(shí)間：身份服務(wù)提供方發(fā)出斷言的時(shí)間截；5)截止時(shí)間：斷言何時(shí)失效的時(shí)間戳；6)斷言標(biāo)識(shí)符：唯一標(biāo)識(shí)此斷言的值；7)簽名：身份服務(wù)提供方對(duì)斷言的數(shù)字簽名或消息鑒別碼；8)鑒別時(shí)間：身份服務(wù)提供方最近一次對(duì)用戶進(jìn)行身份鑒別的時(shí)間戳。c)可包含如下內(nèi)容：1)密鑰綁定：用戶擁有的密鑰標(biāo)識(shí)符或公鑰；2)屬性和屬性引用：用戶屬性信息；3)屬性元數(shù)據(jù)：描述用戶屬性的附加信息。斷言可分為持有型斷言和密鑰擁有型斷言。使用持有型斷言時(shí)，不需要驗(yàn)證斷言的持有者為斷言主體。使用密鑰擁有型斷言時(shí)，需要采用密碼技術(shù)驗(yàn)證斷言的持有者為斷言主體。斷言類型要求如下：a)FAL-1、FAL-2:可使用持有型斷言或密鑰擁有型斷言；b)FAL-3、FAL-4:應(yīng)使用密鑰擁有型斷言。6.3.5斷言保護(hù)要求斷言應(yīng)被唯一標(biāo)識(shí)，確保依賴方能夠區(qū)分。依賴方可基于簽發(fā)時(shí)間、斷言標(biāo)識(shí)符等區(qū)分?jǐn)嘌?。斷言簽名要求如下。a)簽名內(nèi)容應(yīng)覆蓋所有重要字段，包括但不限于標(biāo)識(shí)符、發(fā)放者、接收者、主體和截止時(shí)間。b)應(yīng)由身份服務(wù)提供方進(jìn)行簽名，并由依賴方對(duì)身份服務(wù)提供方的簽名進(jìn)行驗(yàn)證，以保證斷言的完整性。c)斷言簽名可通過以下方式實(shí)現(xiàn)：1)使用身份服務(wù)提供方的簽名私鑰，生成斷言的數(shù)字簽名；2)使用身份服務(wù)提供方和依賴方共享的秘密信息，生成斷言的消息鑒別碼。d)使用數(shù)字簽名作為斷言簽名時(shí)，依賴方可在運(yùn)行時(shí)以安全的方式獲取用于驗(yàn)證數(shù)字簽名的公鑰。e)使用消息鑒別碼時(shí)，身份服務(wù)提供方應(yīng)和不同依賴方共享不同的秘密信息?？墒褂靡蕾嚪降墓€或依賴方和身份服務(wù)提供方共享的對(duì)稱密鑰，對(duì)斷言進(jìn)行加密，防止非授權(quán)用戶獲取斷言信息，要求如下：a)FAL-1:不作要求；b)FAL-2、FAL-3、FAL-4:應(yīng)對(duì)斷言加密。接收者限制要求如下：a)身份服務(wù)提供方應(yīng)確保依賴方能識(shí)別自身是否為斷言的預(yù)期接收方；b)依賴方應(yīng)檢查斷言的接收方是否包含自身的標(biāo)識(shí)符。如果同一用戶在多個(gè)依賴方處具有相同的用戶標(biāo)識(shí)符，那么這些依賴方可以通過該標(biāo)識(shí)符關(guān)聯(lián)到該用戶在身份服務(wù)提供方的身份信息，斷言主體假名化可避免這種情況。斷言主體假名化要求如下：a)FAL-1、FAL-2:不作要求；b)FAL-3:宜將斷言主體假名化，當(dāng)使用假名時(shí)，假名應(yīng)不包含關(guān)于用戶的身份信息，確保依賴方無法關(guān)聯(lián)到用戶的真實(shí)身份；c)FAL-4:應(yīng)將斷言主體假名化，假名應(yīng)不包含關(guān)于用戶的身份信息，確保依賴方無法關(guān)聯(lián)到用戶的真實(shí)身份，斷言主體應(yīng)使用假名，且應(yīng)對(duì)不同的依賴方生成不同的用戶假名。6.3.6通信保護(hù)要求通信保護(hù)要求如下：a)FAL-1:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；b)FAL-2:可采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；c)FAL-3:宜采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；d)FAL-4:應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。6.3.7會(huì)話管理要求會(huì)話管理要求如下：a)身份聯(lián)合服務(wù)中，身份服務(wù)提供方和用戶之間的會(huì)話、依賴方和用戶之間的會(huì)話獨(dú)立管理，不應(yīng)假定會(huì)話間具有關(guān)聯(lián)性；b)當(dāng)依賴方的會(huì)話到期且需要對(duì)用戶身份重新鑒別時(shí)，身份服務(wù)提供方的會(huì)話可能未到期，身份服務(wù)提供方可根據(jù)該會(huì)話生成新的斷言傳遞給依賴方，并告知依賴方最近一次用戶身份鑒別時(shí)間，依賴方可根據(jù)該時(shí)間決定是否需要對(duì)用戶身份重新鑒別；c)當(dāng)依賴方規(guī)定了可接受的身份服務(wù)提供方鑒別用戶身份的最長期限，若到期后用戶未通過身份鑒別，則身份服務(wù)提供方應(yīng)對(duì)用戶身份重新鑒別后再生成斷言。6.3.8記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份聯(lián)合的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：斷言接收者、簽發(fā)時(shí)間、截止時(shí)間、斷言類型、簽名和加密信息及其他身份聯(lián)合服務(wù)產(chǎn)生的相關(guān)數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.3.9風(fēng)險(xiǎn)緩解技術(shù)要求身份聯(lián)合服務(wù)面臨的常見風(fēng)險(xiǎn)及緩解措施見C.3。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)FAL-1、FAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供可以證明每個(gè)緩解措施有效性的證據(jù)；b)FAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法；c)FAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.3.10個(gè)人信息保護(hù)要求身份聯(lián)合服務(wù)中，個(gè)人信息保護(hù)要求如下：a)身份服務(wù)提供方為依賴方提供的用戶屬性、斷言等個(gè)人信息應(yīng)符合GB/T35273中個(gè)人信息的共享要求；b)身份聯(lián)合服務(wù)中產(chǎn)生的相關(guān)個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)身份聯(lián)合服務(wù)中涉及的個(gè)人信息使用應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份服務(wù)提供方應(yīng)審查確保依賴方遵守身份服務(wù)提供方的有關(guān)個(gè)人信息保護(hù)的要求，包括但6.3.11系統(tǒng)安全保護(hù)要求網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)具備相應(yīng)的保護(hù)能力：a)FAL-1、FAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)FAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)FAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。(資料性)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)的安全技術(shù)要求匯總表見表A.1、表A.2和表A.3。表A.1身份核驗(yàn)服務(wù)安全技術(shù)要求匯總表安全要素1.用戶標(biāo)識(shí)要求每個(gè)用戶在同一個(gè)身份服務(wù)提供方標(biāo)識(shí)是唯一的，在同一依賴方內(nèi)標(biāo)識(shí)是唯一的不要求實(shí)名認(rèn)證應(yīng)進(jìn)行實(shí)名認(rèn)證2.用戶屬性收集要求收集的用戶屬性能夠唯一標(biāo)識(shí)用戶應(yīng)收集真實(shí)且可被核驗(yàn)的法定屬性和通信屬性在IAL-2基礎(chǔ)上還應(yīng)收集環(huán)境屬性，應(yīng)根據(jù)業(yè)務(wù)需求僅收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性在IAL-3的基礎(chǔ)上，還宜收集生物特征屬性、行為屬性3.用戶身份核驗(yàn)要求對(duì)身份核驗(yàn)方法不作要求法定屬性應(yīng)通過至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),核驗(yàn)過程應(yīng)至少采用遠(yuǎn)程遞交材料身份核驗(yàn)的方式法定屬性、通信屬性的核驗(yàn)方式與IAL-2相同，經(jīng)濟(jì)屬性應(yīng)通過權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過權(quán)威第三方提供的證明文件或質(zhì)詢第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過程應(yīng)采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場身份核驗(yàn)的方式法定屬性應(yīng)通過至少兩種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性、經(jīng)濟(jì)屬性、社會(huì)屬性的核驗(yàn)方式與IAL-3相同，核驗(yàn)過程應(yīng)采用本人現(xiàn)場身份核驗(yàn)的方式可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別4.記錄和存儲(chǔ)要求對(duì)身份核驗(yàn)服務(wù)的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：收集的用戶身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過程信息、核驗(yàn)結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性5.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮偽造、抵賴、泄露、篡改、釣魚攻擊等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩據(jù)，提供檢測(cè)方法，并接受檢測(cè)6.個(gè)人信息保護(hù)要求身份核驗(yàn)服務(wù)中個(gè)人信息保護(hù)要求見6.1.67.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求表A.2身份鑒別服務(wù)安全技術(shù)要求匯總表安全要素AAL-1AAL-2AAL-3AAL-41.鑒別器要求對(duì)綁定類型不作要求宜為用戶身份綁定兩種或兩種以上類型的鑒別器單因素鑒別方式，可使用任一種鑒別器應(yīng)使用多因素鑒別方式應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092二級(jí)及以上安全要求應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設(shè)備鑒別器來實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092三級(jí)及以上安全要求，多因素鑒別方式宜包含生物特征鑒別因素鑒別器的更新、失竊、損壞和復(fù)制、到期、撤銷見6.2.1.4～6.2.1.62.鑒別要求應(yīng)采用動(dòng)態(tài)信息等方式以防重放攻擊、應(yīng)限制身份鑒別的嘗試次數(shù)等可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別對(duì)動(dòng)態(tài)鑒別不作要求應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過多渠道向用戶發(fā)送通知，并對(duì)用戶身份重新鑒別應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，宜具備基于用戶行為的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過多渠道向用戶發(fā)送通知，并對(duì)用戶身份重新鑒別3.會(huì)話管理要求宜在7d內(nèi)進(jìn)行重新鑒別宜在持續(xù)12h活躍后或30min不活躍后，進(jìn)行重新鑒別宜在持續(xù)12h活躍后或10min不活躍后，進(jìn)行重新鑒別宜在持續(xù)12h活躍后或5min不活躍后，進(jìn)行重新鑒別4.記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份鑒別的必要信息進(jìn)行記錄和存儲(chǔ)，記錄和存儲(chǔ)的信息包括但不限于：使用的身份鑒別協(xié)議、身份鑒別方法、鑒別器相關(guān)數(shù)據(jù)及身份鑒別產(chǎn)生的過程信息、鑒別結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性5.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮鑒別器失竊、鑒別器復(fù)制、竊聽、離線猜測(cè)、在線猜測(cè)、側(cè)信道攻擊、釣魚攻擊、中間人攻擊等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性6.個(gè)人信息保護(hù)要求身份鑒別服務(wù)中個(gè)人信息保護(hù)要求見6.2.67.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求安全要素1.身份聯(lián)合服務(wù)建立要求身份聯(lián)合服務(wù)建立模式要求見6.3.12.斷言傳遞要求斷言傳遞要求見6.3.23.斷言內(nèi)容要求斷言內(nèi)容要求見6.3.34.斷言類型要求可使用持有型斷言或密鑰擁有型斷言應(yīng)使用密鑰擁有型斷言5.斷言保護(hù)要求斷言應(yīng)被唯一標(biāo)識(shí)，確保依賴方能夠區(qū)分身份服務(wù)提供方對(duì)斷言簽名對(duì)斷言加密不作要求應(yīng)對(duì)斷言加密接受者限制要求見6.3.5.4斷言主體假名化要求見6.3.5.56.通信保護(hù)要求可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別7.會(huì)話管理要求會(huì)話管理要求見6.3.78.記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份聯(lián)合的必要信息進(jìn)行記錄和存儲(chǔ)，記錄和存儲(chǔ)的信息包括但不限于：斷言接收者、簽發(fā)時(shí)間、截止時(shí)間、斷言類型等，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性9.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮斷言泄露、身份服務(wù)提供方抵賴、用戶抵賴、斷言重放等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性10.個(gè)人信息保護(hù)要求身份聯(lián)合服務(wù)中個(gè)人信息保護(hù)要求見6.3.1011.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求(資料性)用戶屬性的類型用戶通常有多種用戶屬性，常見的用戶屬性可按照如下方式進(jìn)行分類。a)法定屬性：包括但不限于用戶的姓名、性別、出生日期、身份證件號(hào)碼、證件中的照片、住址等。這些屬性通常由政府頒發(fā)的具備法律效應(yīng)的文件(例如，身份證、出生證明、護(hù)照等)來證明其真實(shí)性。b)通信屬性：包括但不限于用戶的聯(lián)系電話、郵箱、聯(lián)系地址等。這些屬性是可反映用戶聯(lián)系方式的信息。c)社會(huì)屬性：包括但不限于用戶的社會(huì)關(guān)系、教育背景、工作經(jīng)歷、是否有欺詐記錄等。這些屬性是可反映用戶社會(huì)活動(dòng)情況的信息。d)經(jīng)濟(jì)屬性：包括但不限于用戶的資產(chǎn)情況、收入情況等。這些屬性是可以反映用戶經(jīng)濟(jì)狀況的信息，其真實(shí)性可通過財(cái)產(chǎn)證明、銀行流水等方式來證明。這些屬性直接與經(jīng)濟(jì)利益相關(guān)，需受到嚴(yán)格保護(hù)。e)生物特征屬性：包括但不限于指紋、虹膜、聲紋等。這些屬性是用戶所擁有的反映生物特征的信息。一旦被盜用則無法被替換，需受到嚴(yán)格保護(hù)。f)環(huán)境屬性：包括但不限于執(zhí)行登錄過程時(shí)的IP地址、終端設(shè)備、登錄地點(diǎn)、終端等。這些屬性用于反映用戶所處的環(huán)境特征?？捎糜趧?dòng)態(tài)監(jiān)測(cè)用戶在使用網(wǎng)絡(luò)身份服務(wù)過程中的環(huán)境安g)行為屬性：包括但不限于用戶的登錄時(shí)間、時(shí)長、瀏覽習(xí)慣、鍵盤鼠標(biāo)操作習(xí)慣等。這些屬性用于反映用戶的行為特征。(資料性)網(wǎng)絡(luò)身份服務(wù)風(fēng)險(xiǎn)緩解C.1身份核驗(yàn)服務(wù)的風(fēng)險(xiǎn)緩解身份核驗(yàn)服務(wù)中，至少考慮到表C.1列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.1身份核驗(yàn)服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1偽造偽造身份證明文件1)核驗(yàn)身份證明文件的物理安全性；2)通過比對(duì)權(quán)威第三方數(shù)據(jù)核驗(yàn)身份證明文件中的身份信息2抵賴某個(gè)申請(qǐng)方在完成登記后，聲稱其沒有登記過要求申請(qǐng)方提交一份簽名表單3泄露口令在傳輸過程中被攻擊者復(fù)制采用安全的渠道交付并確認(rèn)4篡改口令在傳輸過程中被攻擊者篡改1)采用安全的渠道交付并確認(rèn)；2)支持用戶對(duì)所接收的信息進(jìn)行完整性校驗(yàn)5釣魚攻擊用戶身份信息被冒充的網(wǎng)站所竊取1)使用來自正規(guī)來源的網(wǎng)站地址；2)基于密碼技術(shù)對(duì)網(wǎng)站進(jìn)行鑒別C.2身份鑒別服務(wù)的風(fēng)險(xiǎn)緩解身份鑒別服務(wù)中，至少考慮到表C.2列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.2身份鑒別服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1鑒別器失竊鑒別器丟失或被盜取1)提供掛失措施；2)使用多因素鑒別器2鑒別器復(fù)制鑒別器被非法復(fù)制采用防偽造技術(shù)(例如，密碼技術(shù))3竊聽通過未加密的網(wǎng)絡(luò)傳輸鑒別器的秘密信息，被攻擊者截取1)鑒別過程使用動(dòng)態(tài)的鑒別參數(shù)(例如，動(dòng)態(tài)口令);2)秘密信息在傳輸之前進(jìn)行加密處理4重放攻擊攻擊者可重放先前截獲的用戶與依賴方之間的信息，冒充用戶向依賴方鑒別鑒別協(xié)議中使用挑戰(zhàn)碼、隨機(jī)數(shù)等5離線猜測(cè)通過對(duì)需要口令激活的多因素密碼硬件鑒別器進(jìn)行字典攻擊，識(shí)別出正確口令限制激活鑒別器的嘗試次數(shù)6在線猜測(cè)猜測(cè)記憶秘密鑒別器或單因素OTP設(shè)備鑒別器的輸出1)使用強(qiáng)口令；2)限制身份鑒別的嘗試次數(shù)表C.2身份鑒別服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施(續(xù))序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施7側(cè)信道攻擊通過對(duì)鑒別器進(jìn)行差分功耗分析或通過分析多次交互的響應(yīng)時(shí)間來提取密鑰使用抗功耗分析的密碼技術(shù)實(shí)現(xiàn)8釣魚攻擊口令被冒充的網(wǎng)站所竊取1)禁止來自不可信來源的圖像和超文本鏈接以及在電子郵件客戶端中提供視覺提示等方法保護(hù)實(shí)體免遭網(wǎng)絡(luò)欺詐攻擊；2)通信前基于密碼技術(shù)對(duì)通信雙方進(jìn)行鑒別9中間人攻擊攻擊者將自己置于用戶和身份服務(wù)提供方之間，截獲并修改鑒別協(xié)議消息的內(nèi)容1)使用雙向鑒別機(jī)制，確保通信雙方能夠確認(rèn)對(duì)方身份；2)采用數(shù)字簽名保護(hù)消息的完整性C.3身份聯(lián)合服務(wù)的風(fēng)險(xiǎn)緩解身份聯(lián)合服務(wù)中，至少考慮到表C.3列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.3身份聯(lián)合服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1斷言泄露斷言可能包含用戶身份鑒別結(jié)果、用戶身份信息，斷言泄露導(dǎo)致用戶受到攻擊1)斷言由身份服務(wù)提供方為依賴方加密；2)使用雙向鑒別機(jī)制，確保通信雙方能夠確認(rèn)對(duì)方身份2身份服務(wù)提供方抵賴斷言簽名為消息鑒別碼，身份服務(wù)提供方否認(rèn)斷言是自己生成的1)斷言簽名使用數(shù)字簽名；2)使用引入可信第三方的消息鑒別碼3用戶抵賴在前端通道模式下，用戶否認(rèn)向依賴方傳遞了斷言使用密鑰擁有型斷言4斷言重放攻擊者將一個(gè)已經(jīng)被依賴方使用過的斷言再次重復(fù)使用1)斷言具有短的有效期；2)依賴方對(duì)要求在一定時(shí)間窗口(可配置)內(nèi)使用的斷言進(jìn)行跟蹤，以確保斷言在該時(shí)間窗口內(nèi)不被多次使用(資料性)鑒別器類型D.1記憶秘密鑒別器記憶秘密鑒別器是用戶選擇和可記憶的秘密值(如口令)。D.2查詢秘密鑒別器查詢秘密鑒別器是存儲(chǔ)用戶和身份服務(wù)提供方共享的秘密的物理或電子記錄，用戶使用該鑒別器查找適當(dāng)?shù)拿孛芤曰貜?fù)來自驗(yàn)證者的挑戰(zhàn)命令。例如，身份服務(wù)提供方可能要求用戶從打印在表格中的數(shù)字或字符串中提供特定子集。D.3帶外鑒別器帶外鑒別器