信息技術(shù) 網(wǎng)絡(luò)身份鑒別技術(shù)指南-編制說明

概述項(xiàng)目來源本標(biāo)準(zhǔn)編寫任務(wù)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會下達(dá)，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心負(fù)責(zé)具體編制工作。編制的背景和意義網(wǎng)絡(luò)用戶身份鑒別是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)用戶身份的過程。計(jì)算機(jī)網(wǎng)絡(luò)中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)，身份鑒別就是為了解決這個問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份鑒別有著舉足輕重的作用。編制的目的本標(biāo)準(zhǔn)從計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)等級劃分的角度，為使用網(wǎng)絡(luò)用戶身份鑒別技術(shù)的機(jī)構(gòu)提供指南。主要解決兩個方面的問題：一方面保障合法用戶對指定資源的訪問，防范信息通信中遇到的威脅；另一方面，在出現(xiàn)安全問題時，可以通過審計(jì)用戶的鑒別信息等追根溯源，解決訪問者的物理身份和數(shù)字身份的一致性問題，為其它安全技術(shù)或措施提供依據(jù)和保障。編制原則本標(biāo)準(zhǔn)在編制過程中依據(jù)以下原則：a、科學(xué)性原則科學(xué)性是標(biāo)準(zhǔn)化的最基本原則，是采用所屬標(biāo)準(zhǔn)的有關(guān)技術(shù)系統(tǒng)和管理系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行的根本保障。b、實(shí)用性原則標(biāo)準(zhǔn)體系必須是可用的，才有實(shí)際意義，本標(biāo)準(zhǔn)在編制過程中嚴(yán)格按照流程對信息安全領(lǐng)域現(xiàn)有、應(yīng)有和計(jì)劃制訂的標(biāo)準(zhǔn)展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品以及系統(tǒng)的研究，使得標(biāo)準(zhǔn)體系更貼近信息安全領(lǐng)域的實(shí)際情況，保證操作性。c、先進(jìn)性原則標(biāo)準(zhǔn)體系是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。要制定出先進(jìn)的標(biāo)準(zhǔn)體系，必須廣泛了解信息安全領(lǐng)域中產(chǎn)品以及系統(tǒng)的標(biāo)準(zhǔn)，充分體現(xiàn)相關(guān)技術(shù)的發(fā)展方向，制定出具有先進(jìn)水平的標(biāo)準(zhǔn)體系。d、兼容性原則標(biāo)準(zhǔn)體系應(yīng)積極采用國家標(biāo)準(zhǔn)、等同或等效采用國際先進(jìn)標(biāo)準(zhǔn)，保持於他們的一致性和兼容性。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。e、系統(tǒng)性系統(tǒng)性是標(biāo)準(zhǔn)體系中各個標(biāo)準(zhǔn)之間的內(nèi)部聯(lián)系和區(qū)別的體現(xiàn)。在編制標(biāo)準(zhǔn)體系過程中，在內(nèi)容和層次上要充分體現(xiàn)系統(tǒng)性，按照標(biāo)準(zhǔn)體系的組成原則，恰當(dāng)?shù)貙⒕唧w的標(biāo)準(zhǔn)安排在相對應(yīng)的位置上，爭取做到層次合理、分明，標(biāo)準(zhǔn)之間體現(xiàn)出互相依賴、銜接的配套關(guān)系。f、可預(yù)見性和可擴(kuò)充性相結(jié)合既要考慮到目前的技術(shù)和應(yīng)用發(fā)展水平，也要對未來的發(fā)展趨勢有所預(yù)見。同時，考慮到目前有些需求不甚明朗，因此在編制過程中，還應(yīng)充分考慮其可擴(kuò)充性，使其能夠隨信息安全技術(shù)的發(fā)展進(jìn)行擴(kuò)充。主要工作過程2009年申報(bào)編制，2010年11月立項(xiàng)為國家編制標(biāo)準(zhǔn)，標(biāo)準(zhǔn)原名《信息安全技術(shù)網(wǎng)絡(luò)用戶身份鑒別技術(shù)和測評要求》，任務(wù)下達(dá)給中國電子技術(shù)標(biāo)準(zhǔn)化研究所，浪潮公司為主要編寫單位、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心參與編制。2012年3月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會建議將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)網(wǎng)絡(luò)用戶身份鑒別技術(shù)指南》，以NISTSP800-63（目前最新版本是在2013年2月1日出版的草案）結(jié)合OMB04-04為主要研究文檔，先做出基礎(chǔ)性技術(shù)標(biāo)準(zhǔn)，在此基礎(chǔ)上再研究編制具體技術(shù)產(chǎn)品標(biāo)準(zhǔn)和測評標(biāo)準(zhǔn)。2013年7月，改為公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心為主要編寫單位，與中國電子技術(shù)標(biāo)準(zhǔn)化研究所等單位共同完成此標(biāo)準(zhǔn)。參考資料該標(biāo)準(zhǔn)編制過程中，主要參考了：GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互聯(lián)基本參考模型第2部分：安全體系結(jié)構(gòu)GB/T15843.1-2008信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分：概述GB/T15843.2-2008信息技術(shù)安全技術(shù)實(shí)體鑒別第2部分：采用對稱加密算法的機(jī)制GB/T15843.3-2008信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的機(jī)制GB/T15843.4-2008信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制GB/T15843.5-2005信息技術(shù)安全技術(shù)實(shí)體鑒別第5部分：采用零知識技術(shù)的機(jī)制GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T18336-2001信息技術(shù)安全性評估準(zhǔn)則GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T25069-2010信息安全技術(shù)術(shù)語GB/T28455-2012信息安全技術(shù)引入可信第三方的實(shí)體鑒別及接入架構(gòu)規(guī)范NISTSP800-63ElectronicAuthenticationGuidelineOMB04-04編制工作簡要過程2013.7接到任務(wù)后，檢測中心指定了此標(biāo)準(zhǔn)的聯(lián)絡(luò)人——張笑笑，聯(lián)絡(luò)人立刻與標(biāo)準(zhǔn)原先的承擔(dān)單位—浪潮進(jìn)行聯(lián)系，了解了標(biāo)準(zhǔn)的進(jìn)展情況，獲得了標(biāo)準(zhǔn)的有效版本，標(biāo)委會及相關(guān)專家對此標(biāo)準(zhǔn)的意見和建議等。根據(jù)了解的情況，結(jié)合標(biāo)委會及專家的意見，將此標(biāo)準(zhǔn)定位為“網(wǎng)絡(luò)身份鑒別技術(shù)指南”，參考sp800_63進(jìn)行編制。根據(jù)標(biāo)準(zhǔn)編制需要，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究所和公安部第三研究所等單位聯(lián)合成立了標(biāo)準(zhǔn)編制組，成員包括：顧健、張笑笑、楊元原、陳妍、顧瑋、沈亮、許東陽、范科峰、沈清泓、唐丹丹等人。草稿（第一稿）2013.8-12對sp800_63等相關(guān)資料進(jìn)行了進(jìn)行了翻譯。2014.1~2014.11完成了草稿，草稿考慮了身份鑒別的普適性，手段和技術(shù)的多樣，且需要根據(jù)等級保護(hù)的思想進(jìn)行分級。作為指南，側(cè)重描述在網(wǎng)絡(luò)條件下，對訪問信息系統(tǒng)的用戶進(jìn)行身份鑒別的過程，參與鑒別過程的要素，以及用到的安全機(jī)制。草稿明確了身份鑒別技術(shù)的主要過程（包括注冊和憑證發(fā)放、鑒別過程）以及身份鑒別技術(shù)中的一些術(shù)語和定義。草稿（第二稿）2014.11在檢測中心內(nèi)部召集中心標(biāo)準(zhǔn)技術(shù)組，對標(biāo)準(zhǔn)進(jìn)行評審，會上標(biāo)準(zhǔn)技術(shù)組提出,會后，標(biāo)準(zhǔn)編制組對中心標(biāo)準(zhǔn)技術(shù)組提出的意見進(jìn)行了整理和分析，并重新梳理了標(biāo)準(zhǔn)的結(jié)構(gòu)，2014.12完成了草稿（第二稿）。草稿（第三稿）2014.12.26標(biāo)委會在北京應(yīng)物會議中心組織召開了專家評審會，對標(biāo)準(zhǔn)進(jìn)行了評審，會上專家明確了標(biāo)準(zhǔn)的修改方向——應(yīng)抓住網(wǎng)絡(luò)用戶鑒別的特點(diǎn)，將鑒別過程描述清楚。根據(jù)專家意見，標(biāo)準(zhǔn)編制組重新梳理了網(wǎng)絡(luò)用戶身份鑒別的過程，對標(biāo)準(zhǔn)進(jìn)行了修改，包括修改了標(biāo)準(zhǔn)中的用戶身份鑒別一般模型圖，梳理了鑒別過程的相關(guān)描述，完成了草稿（第三稿）。草稿（第四稿）2015.4.15標(biāo)準(zhǔn)編制組在上海（檢測中心會議室）組織了國內(nèi)身份鑒別相關(guān)的信息安全企業(yè)，對標(biāo)準(zhǔn)進(jìn)行討論。參會的信息安全企業(yè)包括：北京大明五洲科技有限公司、北京海泰方圓科技有限公司、北京堅(jiān)石誠信科技有限公司、北京數(shù)字認(rèn)證股份有限公司、北京握奇智能科技有限公司、北京信安世紀(jì)科技有限公司、長春吉大正元信息技術(shù)股份有限公司、成都衛(wèi)士通信息安全技術(shù)有限公司、上海動聯(lián)信息技術(shù)股份有限公司、深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司、北京華大智寶電子系統(tǒng)有限公司、上海林果實(shí)業(yè)有限公司、上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司，共計(jì)13家。會上，各大廠商紛紛提出了自己的意見，具體包括：增加“斷言參考”的定義存在一些錯別字含義相同的詞，建議統(tǒng)一部分內(nèi)容存在歧義或描述不準(zhǔn)確會后，標(biāo)準(zhǔn)編制組對廠商的意見進(jìn)行了整理，并根據(jù)廠商的意見調(diào)整了標(biāo)準(zhǔn)文本，2015.6完成了草稿（第四稿）。草稿（第五稿）2015.6.26標(biāo)委會在杭州組織召開了專家評審會，對標(biāo)準(zhǔn)進(jìn)行了評審，會上專家對標(biāo)準(zhǔn)文本進(jìn)行了質(zhì)詢，。根據(jù)專家意見，標(biāo)準(zhǔn)編制組重新梳理了網(wǎng)絡(luò)用戶身份鑒別的過程，對標(biāo)準(zhǔn)進(jìn)行了修改，包括根據(jù)網(wǎng)絡(luò)用戶注冊的特點(diǎn)，修改了標(biāo)準(zhǔn)中的注冊過程相關(guān)要求，修改了部分術(shù)語定義，完成了草稿（第五稿）。草稿（第六稿）2016.6標(biāo)委會將標(biāo)準(zhǔn)文本以郵件形式發(fā)送給WG5各成員單位，其中有5家單位進(jìn)行了反饋，并且2016.6.15在北京會議中心組織召開了專家評審會，對標(biāo)準(zhǔn)進(jìn)行了評審。根據(jù)專家意見，標(biāo)準(zhǔn)編制組對標(biāo)準(zhǔn)進(jìn)行了修改，包括根據(jù)修改了縮略語及其格式，增加了身份鑒別模型，調(diào)整８.１.３中一些不完整和不通順的語句，完成了草稿（第六稿），后續(xù)將進(jìn)一步征求意見，并對標(biāo)準(zhǔn)的等級劃分進(jìn)行細(xì)化和說明。7）征求意見稿2016.7標(biāo)準(zhǔn)經(jīng)過WG5組織的評審，同意形成征求意見稿。主要內(nèi)容主要結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2000《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則》。標(biāo)準(zhǔn)主要分為“范圍”、“規(guī)范性引用文件”、“術(shù)語和定義”、“縮略語”“描述”、“等級”、“注冊和發(fā)放過程”、“鑒別過程”和“憑證和憑據(jù)管理”共9個部分。主要內(nèi)容范圍、標(biāo)準(zhǔn)引用、術(shù)語和定義、縮略語該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以何種方式引用，術(shù)語和定義明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。在術(shù)語中明確了用戶在身份鑒別不同階段的定義“申請者”、“合法用戶”；“聲稱者”；明確了認(rèn)證機(jī)構(gòu)、組織在參與鑒別過程的定義：“憑據(jù)服務(wù)提供者”、“依賴方”、“驗(yàn)證者”。具體如下：聲稱者Claimant：網(wǎng)絡(luò)身份鑒別過程中，被驗(yàn)證的人。申請者Applicant：注冊和身份驗(yàn)證過程中的人。合法用戶Subscriber：從憑據(jù)服務(wù)提供者得到憑證的人。憑據(jù)服務(wù)提供者CredentialServiceProvider：發(fā)布或者注冊合法用戶的憑證，并且為合法用戶頒發(fā)電子憑據(jù)的機(jī)構(gòu)或組織。驗(yàn)證者Verifier：網(wǎng)絡(luò)身份鑒別過程中，驗(yàn)證身份的機(jī)構(gòu)或組織。依賴方RelyingParty：依賴于電子身份驗(yàn)證協(xié)議的結(jié)果從而建立聲稱者身份或者屬性的信任關(guān)系的機(jī)構(gòu)或組織。憑證Certificate：聲稱者擁有并且控制的，可用于證明聲稱者身份的物品或信息。憑據(jù)Credential：用于驗(yàn)證用戶身份的信息。斷言Assertions：驗(yàn)證用戶身份的判斷結(jié)果。斷言參考AssertionReference：和斷言結(jié)合的，保護(hù)驗(yàn)證者持有的斷言的位置信息一個數(shù)據(jù)對象。身份確認(rèn)Identityproofing：采集身份信息，并確認(rèn)的過程。描述本節(jié)主要對第三節(jié)的術(shù)語定義進(jìn)行補(bǔ)充說明。等級本節(jié)說明了本標(biāo)準(zhǔn)的等級劃分情況，標(biāo)準(zhǔn)按照網(wǎng)絡(luò)身份鑒別技術(shù)強(qiáng)度，以及參照GB17859-1999，對網(wǎng)絡(luò)身份鑒別技術(shù)進(jìn)行劃分。安全等級分為基本級和增強(qiáng)級，推薦重要信息系統(tǒng)使用增強(qiáng)級網(wǎng)絡(luò)身份鑒別技術(shù)。注冊和發(fā)放過程注冊和發(fā)放過程包括：注冊、身份確認(rèn)、憑證創(chuàng)建/發(fā)放和憑據(jù)簽發(fā)等過程。本節(jié)分析了注冊和發(fā)放過程中面臨的主要威脅、描述緩解威脅的措施，并提出了當(dāng)面注冊和遠(yuǎn)程注冊對發(fā)放憑據(jù)的要求和RA和CSP動作應(yīng)采取動作的要求。鑒別過程本節(jié)分析了網(wǎng)絡(luò)身份鑒別過程（包括斷言過程）中面臨的主要威脅、描述了緩解威脅的措施，并提出了鑒別過程的要求和斷言過程的要求。在NIST