(高清版)GBT 42573-2023 信息安全技術(shù) 網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求

信息安全技術(shù)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求serviceinnetwork2023-05-23發(fā)布國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I 12規(guī)范性引用文件 l3術(shù)語(yǔ)和定義 14縮略語(yǔ) 35網(wǎng)絡(luò)身份服務(wù)概述 35.1參與方 35.2身份服務(wù)模型 45.3服務(wù)安全級(jí)別 56服務(wù)安全技術(shù)要求 66.1身份核驗(yàn)服務(wù) 66.2身份鑒別服務(wù) 86.3身份聯(lián)合服務(wù) 附錄A(資料性)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求 附錄B(資料性)用戶(hù)屬性的類(lèi)型 附錄C(資料性)網(wǎng)絡(luò)身份服務(wù)風(fēng)險(xiǎn)緩解 附錄D(資料性)鑒別器類(lèi)型 附錄E(資料性)身份聯(lián)合服務(wù)建立模式 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：北京數(shù)字認(rèn)證股份有限公司、中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、中國(guó)科學(xué)院大學(xué)、公安部第一研究所、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院軟件研究所、螞蟻科技集團(tuán)股份有限公司、國(guó)民認(rèn)證科技(北京)有限公司、聯(lián)想(北京)有限公司、北京中盾安信科技發(fā)展有限公司、北京快手科技有限公司。1信息安全技術(shù)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求本文件確立了面向自然人的網(wǎng)絡(luò)身份服務(wù)的參與方和模型，規(guī)定了網(wǎng)絡(luò)身份服務(wù)安全級(jí)別和安全技術(shù)要求。本文件適用于面向自然人的網(wǎng)絡(luò)身份服務(wù)的設(shè)計(jì)、開(kāi)發(fā)、部署和應(yīng)用。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15843(所有部分)信息技術(shù)安全技術(shù)實(shí)體鑒別GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37036(所有部分)信息技術(shù)移動(dòng)設(shè)備生物特征識(shí)別GB/T37092信息安全技術(shù)密碼模塊安全要求GB/T40660信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求3術(shù)語(yǔ)和定義GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。身份服務(wù)提供方identityserviceprovider在網(wǎng)絡(luò)中提供身份服務(wù)的實(shí)體。使用網(wǎng)絡(luò)身份服務(wù)的自然人。注：申請(qǐng)方、聲稱(chēng)方、訂戶(hù)代表了用戶(hù)在不同場(chǎng)景下的不同角色。依賴(lài)方relyingparty依賴(lài)身份鑒別結(jié)果以確定是否與用戶(hù)建立信任關(guān)系的實(shí)體。身份核驗(yàn)identityproofing收集用戶(hù)身份信息，并驗(yàn)證用戶(hù)身份信息的真實(shí)性的過(guò)程。身份鑒別identityauthentication驗(yàn)證用戶(hù)所聲稱(chēng)身份的過(guò)程。2依賴(lài)不在同一個(gè)安全域的身份服務(wù)提供方給出用戶(hù)身份鑒別結(jié)果的過(guò)程。在網(wǎng)絡(luò)中為用戶(hù)提供身份核驗(yàn)、身份鑒別和身份聯(lián)合服務(wù)的活動(dòng)。訂戶(hù)subscriber接受身份服務(wù)提供方提供的身份服務(wù)的合法用戶(hù)。申請(qǐng)方applicant請(qǐng)求成為訂戶(hù)的自然人。宣稱(chēng)自己是訂戶(hù)的自然人。用于標(biāo)識(shí)用戶(hù)的一種字符串或模式。遠(yuǎn)程遞交材料身份核驗(yàn)remoteidentityproofing申請(qǐng)方通過(guò)在線或離線方式非現(xiàn)場(chǎng)提供身份證明材料進(jìn)行身份核驗(yàn)的過(guò)程。本人遠(yuǎn)程身份核驗(yàn)in-personoverremotechannelidentityproofing申請(qǐng)方通過(guò)在線方式并親自操作進(jìn)行身份核驗(yàn)的過(guò)程。本人現(xiàn)場(chǎng)身份核驗(yàn)in-personidentityproofing申請(qǐng)方通過(guò)親自到現(xiàn)場(chǎng)的方式進(jìn)行身份核驗(yàn)的過(guò)程。用戶(hù)擁有或掌握的可用于鑒別其身份的功能組件或方法。注：鑒別器包含實(shí)體憑證或憑證生成方法，參與并執(zhí)行特定的鑒別協(xié)議。在不給出證據(jù)的情況下所做的宣稱(chēng)或說(shuō)明。身份服務(wù)提供方生成的對(duì)用戶(hù)身份鑒別的結(jié)果。3和斷言關(guān)聯(lián)的，包含身份服務(wù)提供方標(biāo)識(shí)的數(shù)據(jù)對(duì)象。持有型斷言bearerassertion可將斷言持有者看作斷言主體的斷言類(lèi)型?？赏ㄟ^(guò)斷言的持有者擁有的密鑰證明其為斷言主體的斷言類(lèi)型。網(wǎng)絡(luò)身份服務(wù)系統(tǒng)identityservicesysteminnetwork支撐網(wǎng)絡(luò)身份服務(wù)的軟硬件集合。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AAL:鑒別保證級(jí)(AuthenticationAssuranceLevel)FAL:聯(lián)合保證級(jí)(FederationAssuranceLevel)IAL:身份保證級(jí)(IdentityAssuranceLevel)OTP:動(dòng)態(tài)口令(OneTimePassword)5網(wǎng)絡(luò)身份服務(wù)概述5.1參與方網(wǎng)絡(luò)身份服務(wù)參與方包括用戶(hù)、身份服務(wù)提供方和依賴(lài)方(三方交互示意圖見(jiàn)圖1)。申請(qǐng)方、聲稱(chēng)方、訂戶(hù)代表了用戶(hù)在不同場(chǎng)景下的不同角色。a)用戶(hù)的主要職責(zé)包括：●向身份服務(wù)提供方提交身份信息和身份證明文件；●接受身份服務(wù)提供方的身份核驗(yàn)；●向依賴(lài)方發(fā)起應(yīng)用服務(wù)請(qǐng)求并聲明身份；●接受身份服務(wù)提供方的身份鑒別；●接收依賴(lài)方對(duì)應(yīng)用服務(wù)請(qǐng)求的響應(yīng)。b)身份服務(wù)提供方的主要職責(zé)包括：●對(duì)申請(qǐng)方的身份進(jìn)行核驗(yàn)；●身份核驗(yàn)成功后向申請(qǐng)方頒發(fā)鑒別器；●接收來(lái)自依賴(lài)方的身份鑒別請(qǐng)求，并鑒別聲稱(chēng)方身份●向依賴(lài)方提供身份鑒別斷言。c)依賴(lài)方的主要職責(zé)包括：●接收聲稱(chēng)方的網(wǎng)絡(luò)應(yīng)用服務(wù)請(qǐng)求及身份聲明；●向身份服務(wù)提供方提交身份鑒別請(qǐng)求；●接收身份服務(wù)提供方提供的身份鑒別斷言；●向訂戶(hù)返回應(yīng)用服務(wù)響應(yīng)。4GB/T42573—2023用戶(hù)獲得身份盧稱(chēng)方確認(rèn)身份訂戶(hù)身份服務(wù)提供方提交身份鑒別請(qǐng)求返回身份鑒別斷言*依賴(lài)方圖1網(wǎng)絡(luò)身份服務(wù)參與方交互示意圖5.2身份服務(wù)模型網(wǎng)絡(luò)身份服務(wù)模型見(jiàn)圖2。網(wǎng)絡(luò)身份服務(wù)分為身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)三類(lèi)。a)身份核驗(yàn)服務(wù)，流程如下。1)申請(qǐng)方提交身份信息和身份證明文件，進(jìn)行登記；2)身份服務(wù)提供方核驗(yàn)身份信息和身份證明文件，核驗(yàn)通過(guò)后，向申請(qǐng)方頒發(fā)鑒別器，申請(qǐng)方獲得身份成為身份服務(wù)提供方的訂戶(hù)。b)身份鑒別服務(wù)，流程如下。1)通過(guò)鑒別協(xié)議，使用鑒別器證明聲稱(chēng)方是綁定到特定鑒別器的訂戶(hù)；2)對(duì)聲稱(chēng)方進(jìn)行身份鑒別，身份鑒別成功后，確認(rèn)該聲稱(chēng)方為訂戶(hù)。c)身份聯(lián)合服務(wù)，發(fā)生在依賴(lài)方與身份服務(wù)提供方在不同安全域的情形，身份服務(wù)提供方對(duì)聲稱(chēng)方進(jìn)行身份鑒別后，將有關(guān)身份鑒別結(jié)果的斷言或斷言引用返回給依賴(lài)方，流程如下。1)聲稱(chēng)方向依賴(lài)方發(fā)起應(yīng)用服務(wù)請(qǐng)求并聲明身份；2)依賴(lài)方向不同域的身份服務(wù)提供方發(fā)起身份鑒別請(qǐng)求；3)身份服務(wù)提供方對(duì)聲稱(chēng)方進(jìn)行身份鑒別，向依賴(lài)方返回?cái)嘌曰驍嘌砸?，聲稱(chēng)方身份得到確認(rèn)；4)依賴(lài)方向訂戶(hù)返回應(yīng)用服務(wù)響應(yīng)。一般情況下，身份服務(wù)提供方同時(shí)提供身份核驗(yàn)服務(wù)和身份鑒別服務(wù)，可提供身份聯(lián)合服務(wù)。5訂戶(hù)中請(qǐng)方訂戶(hù)獲得L身份身份服務(wù)提供方a)身份核驗(yàn)服務(wù)訂戶(hù)聲稱(chēng)方訂戶(hù)確認(rèn)身份身份服務(wù)提供方b)身份鑒別服務(wù)圖2網(wǎng)絡(luò)身份服務(wù)模型身份域B依賴(lài)方訂戶(hù)5.3服務(wù)安全級(jí)別本文件分別針對(duì)身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)分別規(guī)定了4個(gè)要求逐級(jí)遞增的安全級(jí)別，高安全級(jí)別在低安全級(jí)別的基礎(chǔ)上進(jìn)一步提出了更高的安全要求。各安全級(jí)別主要的區(qū)別簡(jiǎn)要描述如下，具體的安全要求見(jiàn)第6章。a)身份核驗(yàn)服務(wù)包括下列內(nèi)容。1)IAL-1,闡明了身份核驗(yàn)服務(wù)最低級(jí)別的安全要求：●唯一性：身份在特定語(yǔ)境中是唯一的；●收集屬性類(lèi)別：收集的用戶(hù)屬性能夠唯一標(biāo)識(shí)用戶(hù)。2)IAL-2,在IAL-1的基礎(chǔ)上主要增加了收集屬性類(lèi)別、實(shí)名核驗(yàn)、遠(yuǎn)程遞交材料身份核驗(yàn)等方面的要求：●收集屬性類(lèi)別：收集的用戶(hù)屬性能與現(xiàn)實(shí)世界的自然人唯一關(guān)聯(lián)，且擁有聯(lián)系方式；●核驗(yàn)方法：核驗(yàn)收集的身份屬性的真實(shí)性，至少采用遠(yuǎn)程遞交材料身份核驗(yàn)等方式進(jìn)行核驗(yàn)。3)IAL-3,在IAL-2的基礎(chǔ)上主要增加了環(huán)境屬性等屬性收集要求、本人遠(yuǎn)程身份核驗(yàn)等方面的要求：●收集屬性類(lèi)別：在IAL-2的基礎(chǔ)上要求收集用戶(hù)登錄環(huán)境信息，根據(jù)業(yè)務(wù)需求收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性；●核驗(yàn)方法：核驗(yàn)收集的身份屬性的真實(shí)性，至少采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場(chǎng)身份核驗(yàn)的方式進(jìn)行核驗(yàn)。4)IAL-4,闡明了身份核驗(yàn)最高級(jí)別的安全要求，在IAL-3的基礎(chǔ)上主要增加了收集屬性類(lèi)別、身份證明文件的數(shù)量要求、本人現(xiàn)場(chǎng)身份核驗(yàn)等方面的要求：●收集屬性類(lèi)別：在IAL-3的基礎(chǔ)上建議收集生物特征屬性、行為屬性等更多種類(lèi)的身份屬性；●核驗(yàn)方法：相較于IAL-3要求核驗(yàn)更多數(shù)量的權(quán)威來(lái)源身份證明文件，至少采用本人現(xiàn)場(chǎng)身份核驗(yàn)的方式進(jìn)行核驗(yàn)。6b)身份鑒別服務(wù)包括下列內(nèi)容。1)AAL-1,闡明了身份鑒別服務(wù)最低級(jí)別的安全要求，支持使用單因素鑒別方式來(lái)證明聲稱(chēng)方是綁定到特定鑒別器的訂戶(hù)；2)AAL-2,在AAL-1的基礎(chǔ)上要求使用多因素鑒別方式；3)AAL-3,在AAL-2的基礎(chǔ)上增加了對(duì)鑒別器中密碼技術(shù)使用要求、動(dòng)態(tài)鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)；●動(dòng)態(tài)鑒別：具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施。4)AAL-4,闡明了身份鑒別最高級(jí)別的安全要求，相較于AAL-3,要求至少使用密碼設(shè)備鑒別器，且提高了動(dòng)態(tài)鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)；●動(dòng)態(tài)鑒別：具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，建議具備基于用戶(hù)行為的風(fēng)險(xiǎn)控制措施。c)身份聯(lián)合服務(wù)包括下列內(nèi)容。1)FAL-1,闡明了身份聯(lián)合服務(wù)最低級(jí)別的安全要求：●斷言簽名：身份服務(wù)提供方到依賴(lài)方的斷言由身份服務(wù)提供方進(jìn)行簽名；●斷言類(lèi)型：允許使用持有型斷言或密鑰擁有型斷言。2)FAL-2,在FAL-1的基礎(chǔ)上主要增加了斷言加密要求。3)FAL-3,在FAL-2的基礎(chǔ)上主要提高了斷言類(lèi)型要求、斷言主體假名化要求：●斷言類(lèi)型：要求使用密鑰擁有型斷言；●斷言主體假名化：建議斷言主體假名化，依賴(lài)方和身份服務(wù)提供方可協(xié)商確定對(duì)不同的依賴(lài)方是否使用不同的用戶(hù)假名。4)FAL-4,闡明了身份聯(lián)合最高級(jí)別的安全要求，在FAL-3的基礎(chǔ)上主要提高斷言假名化要求，要求斷言主體假名化，對(duì)不同的依賴(lài)方生成不同的用戶(hù)假名。服務(wù)安全級(jí)別的選取可基于風(fēng)險(xiǎn)評(píng)估的方式來(lái)確定。風(fēng)險(xiǎn)評(píng)估要素主要包括兩方面。一方面，評(píng)估網(wǎng)絡(luò)身份服務(wù)安全無(wú)法保證時(shí)可能導(dǎo)致的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)類(lèi)型主要包括：對(duì)個(gè)人的聲譽(yù)、生活、財(cái)產(chǎn)帶來(lái)影響或損失，對(duì)組織的聲譽(yù)、財(cái)產(chǎn)帶來(lái)影響或損失，造成個(gè)人或組織的敏感信息泄露，對(duì)社會(huì)秩序、經(jīng)濟(jì)秩序或公共利益造成危害，對(duì)國(guó)家安全造成危害等；另一方面，評(píng)估風(fēng)險(xiǎn)的影響程度，如個(gè)人財(cái)產(chǎn)損失程度可分為小額損失、巨額損失等。綜合考慮風(fēng)險(xiǎn)及風(fēng)險(xiǎn)的影響程度，確定服務(wù)安全級(jí)別。針對(duì)三類(lèi)服務(wù)可分別選擇各自的IAL、AAL、FAL,且服務(wù)安全級(jí)別可不同。第6章將針對(duì)三類(lèi)服務(wù)分別給出每個(gè)級(jí)別的安全技術(shù)要求，安全技術(shù)要求參見(jiàn)附錄A。6服務(wù)安全技術(shù)要求6.1身份核驗(yàn)服務(wù)6.1.1用戶(hù)標(biāo)識(shí)要求用戶(hù)標(biāo)識(shí)的唯一性要求如下：a)應(yīng)確保每個(gè)用戶(hù)在身份服務(wù)提供方內(nèi)擁有唯一的標(biāo)識(shí)；b)應(yīng)確保每個(gè)用戶(hù)在同一依賴(lài)方內(nèi)擁有唯一的標(biāo)識(shí)；c)可在不同依賴(lài)方內(nèi)為同一用戶(hù)分配不同的標(biāo)識(shí)。7實(shí)名要求如下：b)IAL-2、IAL-3、IAL-4:應(yīng)進(jìn)行實(shí)名核驗(yàn)，應(yīng)具備提供實(shí)名、匿名或假名的能力。若提供匿名或假名，具備追溯匿名者或假名者的真實(shí)身份的能力。6.1.2用戶(hù)屬性收集要求用戶(hù)屬性類(lèi)型包括法定屬性、通信屬性、社會(huì)屬性、經(jīng)濟(jì)屬性、生物特征屬性、環(huán)境屬性、行為屬性等，常見(jiàn)用戶(hù)屬性的類(lèi)型見(jiàn)附錄B,用戶(hù)屬性收集要求如下。a)應(yīng)遵循最小化原則收集滿(mǎn)足業(yè)務(wù)功能需要的用戶(hù)屬性。b)個(gè)人信息的收集和存儲(chǔ)應(yīng)符合GB/T35273的規(guī)定。c)用戶(hù)屬性的類(lèi)型要求如下：1)IAL-1:身份服務(wù)提供方收集的用戶(hù)屬性能夠唯一標(biāo)識(shí)用戶(hù)，不需對(duì)身份的真實(shí)性進(jìn)行驗(yàn)證；2)IAL-2:身份服務(wù)提供方應(yīng)收集真實(shí)且可被核驗(yàn)的法定屬性和通信屬性；3)IAL-3:在IAL-2的基礎(chǔ)上，還應(yīng)收集環(huán)境屬性，應(yīng)根據(jù)業(yè)務(wù)需求僅收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性；4)IAL-4:在IAL-3的基礎(chǔ)上，還宜收集生物特征屬性、行為屬性。注：當(dāng)收集的用戶(hù)屬性為實(shí)名認(rèn)證的手機(jī)號(hào)時(shí)，由于通過(guò)該手機(jī)號(hào)能關(guān)聯(lián)到用戶(hù)的法定屬性(如姓名、身份證號(hào)),則該手機(jī)號(hào)既是通信屬性，也是法定屬性。6.1.3用戶(hù)身份核驗(yàn)要求用戶(hù)身份核驗(yàn)要求包括下列內(nèi)容。a)身份核驗(yàn)方法要求如下：1)IAL-1:不作要求；2)IAL-2:法定屬性應(yīng)通過(guò)至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過(guò)發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),核驗(yàn)過(guò)程應(yīng)至少采用遠(yuǎn)程遞交材料身份核驗(yàn)的方式；3)IAL-3:法定屬性應(yīng)通過(guò)至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過(guò)發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),經(jīng)濟(jì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件或質(zhì)詢(xún)第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過(guò)程應(yīng)采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場(chǎng)身份核驗(yàn)的方式；4)IAL-4:法定屬性應(yīng)通過(guò)至少兩種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過(guò)發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),經(jīng)濟(jì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件或質(zhì)詢(xún)第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過(guò)程應(yīng)采用本人現(xiàn)場(chǎng)身份核驗(yàn)的方式。b)通信保護(hù)要求如下：1)IAL-1:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；2)IAL-2:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；3)IAL-3:宜采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要8的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；4)IAL-4:應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。6.1.4記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份核驗(yàn)服務(wù)的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：收集的用戶(hù)身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過(guò)程信息、核驗(yàn)結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.1.5風(fēng)險(xiǎn)緩解技術(shù)要求身份核驗(yàn)服務(wù)面臨的常見(jiàn)風(fēng)險(xiǎn)及緩解措施見(jiàn)附錄C的C.1。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)IAL-1、IAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供可以證明每個(gè)緩解措施有效性的證據(jù)；b)IAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法；c)IAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.1.6個(gè)人信息保護(hù)要求身份核驗(yàn)服務(wù)中，個(gè)人信息保護(hù)要求如下：a)身份核驗(yàn)服務(wù)中個(gè)人信息的收集應(yīng)符合GB/T35273中個(gè)人信息的收集要求；b)收集的用戶(hù)身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過(guò)程信息、核驗(yàn)結(jié)果等個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)對(duì)個(gè)人信息的核驗(yàn)、訪問(wèn)、展示等使用環(huán)節(jié)，應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份核驗(yàn)服務(wù)中若涉及生物特征識(shí)別信息，還應(yīng)符合GB/T40660的規(guī)定。網(wǎng)絡(luò)身份服務(wù)系統(tǒng)具備相應(yīng)的保護(hù)能力：a)IAL-1、IAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)IAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)IAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。6.2身份鑒別服務(wù)6.2.1鑒別器要求適用于身份鑒別服務(wù)的鑒別器通常包括以下幾種類(lèi)型(見(jiàn)附錄D):——記憶秘密鑒別器；——查詢(xún)秘密鑒別器；——生物特征鑒別器；——單因素OTP設(shè)備鑒別器；——多因素OTP設(shè)備鑒別器；9——單因素密碼軟件鑒別器；——多因素密碼軟件鑒別器；——單因素密碼設(shè)備鑒別器；——多因素密碼設(shè)備鑒別器。單因素鑒別實(shí)現(xiàn)的方式包括但不限于使用如下鑒別器：——查詢(xún)秘密鑒別器；——帶外鑒別器；——單因素OTP設(shè)備鑒別器；——單因素密碼軟件鑒別器；——單因素密碼設(shè)備鑒別器。多因素鑒別實(shí)現(xiàn)的方式包括但不限于使用如下鑒別器：——記憶秘密鑒別器和查詢(xún)秘密鑒別器；——記憶秘密鑒別器和帶外鑒別器；——記憶秘密鑒別器和單因素OTP設(shè)備鑒別器；——記憶秘密鑒別器和單因素密碼軟件鑒別器；——記憶秘密鑒別器和單因素密碼設(shè)備鑒別器；——生物特征鑒別器；——多因素OTP設(shè)備鑒別器；——多因素密碼軟件鑒別器；——多因素密碼設(shè)備鑒別器。注：生物特征用于身份鑒別通常分為兩種情況：第一種情況，生物特征作為多因素鑒別器的鑒別因素之一，例如，多因素密碼設(shè)備鑒別器中使用生物特征激活密鑰；第二種情況，作為生物特征鑒別器使用，該情況下，生物特征與設(shè)備關(guān)聯(lián)，鑒別因素包括生物特征(自身屬性)和關(guān)聯(lián)設(shè)備(所擁有的)兩種因素，屬于多因素鑒別。鑒別器綁定要求如下：a)應(yīng)維護(hù)鑒別器的綁定記錄，包括當(dāng)前綁定的或綁定過(guò)的鑒別器；b)應(yīng)記錄關(guān)于綁定的信息，包括但不限于綁定日期；c)應(yīng)確保在身份核驗(yàn)和鑒別器綁定的整個(gè)過(guò)程中是同一個(gè)用戶(hù)；d)應(yīng)支持用戶(hù)在已有鑒別器的基礎(chǔ)上，申請(qǐng)綁定新的鑒別器；e)AAL-2及以上的安全級(jí)別，宜為用戶(hù)身份綁定兩種或兩種以上類(lèi)型的鑒別器。鑒別器使用要求如下：a)AAL-1:應(yīng)至少支持單因素鑒別方式，可使用任一種鑒別器進(jìn)行身份鑒別；b)AAL-2:應(yīng)使用多因素鑒別方式，不應(yīng)將生物特征鑒別器作為唯一可選的多因素鑒別方式，以避免強(qiáng)制個(gè)人同意收集其生物特征信息；c)AAL-3:應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092二級(jí)及以上安全要求；d)AAL-4:應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092三級(jí)及以上安全要求，多因素鑒別方式宜包含生物特征鑒鑒別器更新要求如下：a)應(yīng)在現(xiàn)有鑒別器到期前一段合適的時(shí)間要求用戶(hù)更新鑒別器；注：身份鑒別服務(wù)級(jí)別越高，提醒用戶(hù)更新鑒別器的頻次越多，例如：AAL-1和AAL-2設(shè)置為到期前一周提b)應(yīng)與初始鑒別器頒發(fā)程序保持一致；c)更新成功后，應(yīng)撤銷(xiāo)被替代的鑒別器。鑒別器失竊、損壞和復(fù)制要求如下：a)應(yīng)采取安全措施防止鑒別器中的秘密信息被提取；b)應(yīng)支持鑒別器的掛起和重新激活；c)應(yīng)支持對(duì)用戶(hù)身份進(jìn)行重新核驗(yàn)，并綁定新的鑒別器。鑒別器到期要求如下：a)到期的鑒別器不應(yīng)再用于身份鑒別；b)當(dāng)用戶(hù)使用到期的鑒別器時(shí)，應(yīng)告知鑒別器已到期；c)應(yīng)對(duì)到期的鑒別器進(jìn)行合理處置。鑒別器撤銷(xiāo)要求如下：a)定期檢查身份是否存在、身份是否滿(mǎn)足資格要求、鑒別器風(fēng)險(xiǎn)狀態(tài)等信息，當(dāng)身份不存在，或用戶(hù)提出撤銷(xiāo)請(qǐng)求，或確定身份不再滿(mǎn)足資格要求時(shí)，或鑒別器更新后，應(yīng)及時(shí)撤銷(xiāo)與該身份綁定的鑒別器；注：身份鑒別服務(wù)級(jí)別越高，檢查頻率越高，例如：AAL-1和AAL-2設(shè)置為每半年檢查一次，AAL-3設(shè)置為每個(gè)月檢查一次，AAL-4設(shè)置為每周檢查一次。b)撤銷(xiāo)的鑒別器不應(yīng)再用于身份鑒別；c)當(dāng)鑒別器被撤銷(xiāo)時(shí)，應(yīng)對(duì)鑒別器進(jìn)行合理處置，如回收后銷(xiāo)毀、徹底清除鑒別器相關(guān)數(shù)據(jù)等。鑒別協(xié)議要求如下：a)應(yīng)建立安全的通信連接，通信保護(hù)要求如下：1)AAL-1:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；2)AAL-2:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；3)AAL-3:宜采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；4)AAL-4:應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。b)應(yīng)采用動(dòng)態(tài)信息(例如，隨機(jī)數(shù)、挑戰(zhàn)碼)、時(shí)間戳等方式以防重放攻擊。c)使用密碼技術(shù)進(jìn)行身份鑒別時(shí)，應(yīng)符合GB/T15843(所有部分)的規(guī)定。d)應(yīng)限制一定時(shí)間內(nèi)身份鑒別的嘗試次數(shù)，例如，1min之內(nèi)的嘗試次數(shù)不高于5次。e)應(yīng)具備防止惡意登錄的安全機(jī)制，例如，滑動(dòng)圖塊、文字點(diǎn)選等機(jī)制。f)移動(dòng)設(shè)備生物特征識(shí)別要求應(yīng)符合GB/T37036(所有部分)的規(guī)定。動(dòng)態(tài)鑒別要求如下：a)AAL-1、AAL-2:不作要求；b)AAL-3:應(yīng)具備基于網(wǎng)絡(luò)環(huán)境(例如，IP地址、終端設(shè)備、登錄地點(diǎn)等)的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異常或在業(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過(guò)多渠道向用戶(hù)發(fā)送通知，并對(duì)用戶(hù)身份重新鑒別；c)AAL-4:應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，宜具備基于用戶(hù)行為(例如，用戶(hù)登錄時(shí)間、時(shí)長(zhǎng)、瀏覽習(xí)慣等)的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過(guò)多渠道向用戶(hù)發(fā)送通知，并對(duì)用戶(hù)身份重新鑒別。6.2.3會(huì)話管理要求身份鑒別成功后，身份服務(wù)提供方和用戶(hù)之間可啟動(dòng)會(huì)話。當(dāng)會(huì)話持續(xù)活躍超過(guò)一定時(shí)間或一段時(shí)間內(nèi)不活躍時(shí)，應(yīng)對(duì)用戶(hù)身份重新鑒別，重新鑒別要求如下：a)AAL-1:宜在7d內(nèi)進(jìn)行重新鑒別；b)AAL-2:宜在持續(xù)12h活躍后或30min不活躍后，進(jìn)行重新鑒別；c)AAL-3:宜在持續(xù)12h活躍后或10min不活躍后，進(jìn)行重新鑒別；d)AAL-4:宜在持續(xù)12h活躍后或5min不活躍后，進(jìn)行重新鑒別。6.2.4記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份鑒別的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：使用的身份鑒別協(xié)議、身份鑒別方法、鑒別器相關(guān)數(shù)據(jù)及身份鑒別產(chǎn)生的過(guò)程信息、鑒別結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.2.5風(fēng)險(xiǎn)緩解技術(shù)要求身份鑒別服務(wù)面臨的常見(jiàn)風(fēng)險(xiǎn)及緩解措施見(jiàn)C.2。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)AAL-1、AAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供能證明每個(gè)緩解措施有效性的證據(jù)；b)AAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供能證明每個(gè)緩解措施有效性c)AAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供能證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.2.6個(gè)人信息保護(hù)要求身份鑒別服務(wù)中，個(gè)人信息保護(hù)要求如下：a)應(yīng)僅要求用戶(hù)提供完成身份鑒別服務(wù)必要的個(gè)人信息，身份鑒別服務(wù)中個(gè)人信息的收集應(yīng)符合GB/T35273中個(gè)人信息的收集要求；b)身份鑒別服務(wù)收集的鑒別器相關(guān)數(shù)據(jù)、身份鑒別產(chǎn)生的過(guò)程信息、鑒別結(jié)果等個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)使用鑒別器完成身份鑒別時(shí)，涉及的個(gè)人信息使用應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份鑒別服務(wù)中若涉及生物特征識(shí)別信息，還應(yīng)符合GB/T40660的規(guī)定。6.2.7系統(tǒng)安全保護(hù)要求網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)具備相應(yīng)的保護(hù)能力：a)AAL-1、AAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)AAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)AAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。6.3身份聯(lián)合服務(wù)6.3.1身份聯(lián)合服務(wù)建立要求身份聯(lián)合服務(wù)建立模式包括手動(dòng)注冊(cè)模式、動(dòng)態(tài)注冊(cè)模式、基于權(quán)威機(jī)構(gòu)的模式、基于代理的模式等類(lèi)型(見(jiàn)附錄E),身份聯(lián)合服務(wù)建立模式的要求如下。a)應(yīng)使用安全的方法交換用于建立身份聯(lián)合服務(wù)關(guān)系的密鑰信息，包括公鑰或共享的對(duì)稱(chēng)密鑰。使用的對(duì)稱(chēng)密鑰對(duì)于一對(duì)身份服務(wù)提供方和依賴(lài)方應(yīng)是唯一的。b)身份聯(lián)合服務(wù)關(guān)系中，應(yīng)建立身份服務(wù)提供方和依賴(lài)方預(yù)期可達(dá)到的以及可接受的IAL、AAL、FAL的級(jí)別。c)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方可對(duì)依賴(lài)方使用的屬性類(lèi)型及其他信息進(jìn)行限定，依賴(lài)方可對(duì)期望接受的身份服務(wù)提供方進(jìn)行限定。d)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方應(yīng)提供相應(yīng)的配置信息(例如，IP地址、端口),以減少系統(tǒng)管理員的人工配置操作。e)動(dòng)態(tài)注冊(cè)模式中，身份服務(wù)提供方可對(duì)正在動(dòng)態(tài)注冊(cè)中的依賴(lài)方的屬性使用密碼技術(shù)進(jìn)行驗(yàn)證。f)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)對(duì)身份服務(wù)提供方生成的斷言進(jìn)行審查，確定其符合相應(yīng)g)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)審查確保依賴(lài)方遵守身份服務(wù)提供方的有關(guān)個(gè)人信息保護(hù)的要求。h)基于權(quán)威機(jī)構(gòu)的模式中，權(quán)威機(jī)構(gòu)應(yīng)審查確保身份服務(wù)提供方和依賴(lài)方使用安全的聯(lián)合協(xié)議。身份聯(lián)合服務(wù)中，身份服務(wù)提供方將身份鑒別斷言傳遞給依賴(lài)方時(shí)，應(yīng)采用前端通道模式或后端通道模式。a)前端通道模式流程如下(見(jiàn)圖3):1)身份服務(wù)提供方對(duì)用戶(hù)成功進(jìn)行身份鑒別后，生成斷言并傳遞給用戶(hù)；2)用戶(hù)將斷言傳遞給依賴(lài)方。身份服務(wù)提供方用戶(hù)依賴(lài)方圖3前端通道模式流程b)后端通道模式其流程如下(見(jiàn)圖4):1)身份服務(wù)提供方對(duì)用戶(hù)成功進(jìn)行身份鑒別后，生成斷言和斷言引用，并將斷言引用傳遞給用戶(hù)；2)用戶(hù)將斷言引用傳遞給依賴(lài)方；3)當(dāng)收到斷言引用后，依賴(lài)方向身份服務(wù)提供方發(fā)起斷言請(qǐng)求；4)身份服務(wù)提供方將斷言發(fā)送給依賴(lài)方。身份服務(wù)身份服務(wù)提供方用戶(hù)依賴(lài)方圖4后端通道模式流程6.3.3斷言?xún)?nèi)容要求斷言?xún)?nèi)容要求如下。a)可只包含鑒別結(jié)果，也可同時(shí)包含用戶(hù)身份信息。b)應(yīng)至少包含如下內(nèi)容：2)發(fā)放者：發(fā)出斷言的身份服務(wù)提供方的標(biāo)識(shí)符；3)接收者：接收斷言的依賴(lài)方的標(biāo)識(shí)符；4)簽發(fā)時(shí)間：身份服務(wù)提供方發(fā)出斷言的時(shí)間截；5)截止時(shí)間：斷言何時(shí)失效的時(shí)間戳；6)斷言標(biāo)識(shí)符：唯一標(biāo)識(shí)此斷言的值；7)簽名：身份服務(wù)提供方對(duì)斷言的數(shù)字簽名或消息鑒別碼；8)鑒別時(shí)間：身份服務(wù)提供方最近一次對(duì)用戶(hù)進(jìn)行身份鑒別的時(shí)間戳。c)可包含如下內(nèi)容：1)密鑰綁定：用戶(hù)擁有的密鑰標(biāo)識(shí)符或公鑰；2)屬性和屬性引用：用戶(hù)屬性信息；3)屬性元數(shù)據(jù)：描述用戶(hù)屬性的附加信息。斷言可分為持有型斷言和密鑰擁有型斷言。使用持有型斷言時(shí)，不需要驗(yàn)證斷言的持有者為斷言主體。使用密鑰擁有型斷言時(shí)，需要采用密碼技術(shù)驗(yàn)證斷言的持有者為斷言主體。斷言類(lèi)型要求如下：a)FAL-1、FAL-2:可使用持有型斷言或密鑰擁有型斷言；b)FAL-3、FAL-4:應(yīng)使用密鑰擁有型斷言。6.3.5斷言保護(hù)要求斷言應(yīng)被唯一標(biāo)識(shí)，確保依賴(lài)方能夠區(qū)分。依賴(lài)方可基于簽發(fā)時(shí)間、斷言標(biāo)識(shí)符等區(qū)分?jǐn)嘌?。斷言簽名要求如下。a)簽名內(nèi)容應(yīng)覆蓋所有重要字段，包括但不限于標(biāo)識(shí)符、發(fā)放者、接收者、主體和截止時(shí)間。b)應(yīng)由身份服務(wù)提供方進(jìn)行簽名，并由依賴(lài)方對(duì)身份服務(wù)提供方的簽名進(jìn)行驗(yàn)證，以保證斷言的完整性。c)斷言簽名可通過(guò)以下方式實(shí)現(xiàn)：1)使用身份服務(wù)提供方的簽名私鑰，生成斷言的數(shù)字簽名；2)使用身份服務(wù)提供方和依賴(lài)方共享的秘密信息，生成斷言的消息鑒別碼。d)使用數(shù)字簽名作為斷言簽名時(shí)，依賴(lài)方可在運(yùn)行時(shí)以安全的方式獲取用于驗(yàn)證數(shù)字簽名的公鑰。e)使用消息鑒別碼時(shí)，身份服務(wù)提供方應(yīng)和不同依賴(lài)方共享不同的秘密信息。可使用依賴(lài)方的公鑰或依賴(lài)方和身份服務(wù)提供方共享的對(duì)稱(chēng)密鑰，對(duì)斷言進(jìn)行加密，防止非授權(quán)用戶(hù)獲取斷言信息，要求如下：a)FAL-1:不作要求；b)FAL-2、FAL-3、FAL-4:應(yīng)對(duì)斷言加密。接收者限制要求如下：a)身份服務(wù)提供方應(yīng)確保依賴(lài)方能識(shí)別自身是否為斷言的預(yù)期接收方；b)依賴(lài)方應(yīng)檢查斷言的接收方是否包含自身的標(biāo)識(shí)符。如果同一用戶(hù)在多個(gè)依賴(lài)方處具有相同的用戶(hù)標(biāo)識(shí)符，那么這些依賴(lài)方可以通過(guò)該標(biāo)識(shí)符關(guān)聯(lián)到該用戶(hù)在身份服務(wù)提供方的身份信息，斷言主體假名化可避免這種情況。斷言主體假名化要求如下：a)FAL-1、FAL-2:不作要求；b)FAL-3:宜將斷言主體假名化，當(dāng)使用假名時(shí)，假名應(yīng)不包含關(guān)于用戶(hù)的身份信息，確保依賴(lài)方無(wú)法關(guān)聯(lián)到用戶(hù)的真實(shí)身份；c)FAL-4:應(yīng)將斷言主體假名化，假名應(yīng)不包含關(guān)于用戶(hù)的身份信息，確保依賴(lài)方無(wú)法關(guān)聯(lián)到用戶(hù)的真實(shí)身份，斷言主體應(yīng)使用假名，且應(yīng)對(duì)不同的依賴(lài)方生成不同的用戶(hù)假名。6.3.6通信保護(hù)要求通信保護(hù)要求如下：a)FAL-1:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，可采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，可采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；b)FAL-2:可采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；c)FAL-3:宜采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別；d)FAL-4:應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別。6.3.7會(huì)話管理要求會(huì)話管理要求如下：a)身份聯(lián)合服務(wù)中，身份服務(wù)提供方和用戶(hù)之間的會(huì)話、依賴(lài)方和用戶(hù)之間的會(huì)話獨(dú)立管理，不應(yīng)假定會(huì)話間具有關(guān)聯(lián)性；b)當(dāng)依賴(lài)方的會(huì)話到期且需要對(duì)用戶(hù)身份重新鑒別時(shí)，身份服務(wù)提供方的會(huì)話可能未到期，身份服務(wù)提供方可根據(jù)該會(huì)話生成新的斷言傳遞給依賴(lài)方，并告知依賴(lài)方最近一次用戶(hù)身份鑒別時(shí)間，依賴(lài)方可根據(jù)該時(shí)間決定是否需要對(duì)用戶(hù)身份重新鑒別；c)當(dāng)依賴(lài)方規(guī)定了可接受的身份服務(wù)提供方鑒別用戶(hù)身份的最長(zhǎng)期限，若到期后用戶(hù)未通過(guò)身份鑒別，則身份服務(wù)提供方應(yīng)對(duì)用戶(hù)身份重新鑒別后再生成斷言。6.3.8記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份聯(lián)合的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：斷言接收者、簽發(fā)時(shí)間、截止時(shí)間、斷言類(lèi)型、簽名和加密信息及其他身份聯(lián)合服務(wù)產(chǎn)生的相關(guān)數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性。6.3.9風(fēng)險(xiǎn)緩解技術(shù)要求身份聯(lián)合服務(wù)面臨的常見(jiàn)風(fēng)險(xiǎn)及緩解措施見(jiàn)C.3。風(fēng)險(xiǎn)緩解技術(shù)要求如下：a)FAL-1、FAL-2:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，并提供可以證明每個(gè)緩解措施有效性的證據(jù)；b)FAL-3:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法；c)FAL-4:應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性。6.3.10個(gè)人信息保護(hù)要求身份聯(lián)合服務(wù)中，個(gè)人信息保護(hù)要求如下：a)身份服務(wù)提供方為依賴(lài)方提供的用戶(hù)屬性、斷言等個(gè)人信息應(yīng)符合GB/T35273中個(gè)人信息的共享要求；b)身份聯(lián)合服務(wù)中產(chǎn)生的相關(guān)個(gè)人信息的存儲(chǔ)應(yīng)符合GB/T35273中個(gè)人信息的存儲(chǔ)要求；c)身份聯(lián)合服務(wù)中涉及的個(gè)人信息使用應(yīng)符合GB/T35273中個(gè)人信息的使用要求；d)身份服務(wù)提供方應(yīng)審查確保依賴(lài)方遵守身份服務(wù)提供方的有關(guān)個(gè)人信息保護(hù)的要求，包括但6.3.11系統(tǒng)安全保護(hù)要求網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)具備相應(yīng)的保護(hù)能力：a)FAL-1、FAL-2:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第一級(jí)安全要求；b)FAL-3:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第二級(jí)安全要求；c)FAL-4:網(wǎng)絡(luò)身份服務(wù)系統(tǒng)應(yīng)至少符合GB/T22239規(guī)定的第三級(jí)安全要求。(資料性)網(wǎng)絡(luò)身份服務(wù)安全技術(shù)要求身份核驗(yàn)服務(wù)、身份鑒別服務(wù)、身份聯(lián)合服務(wù)的安全技術(shù)要求匯總表見(jiàn)表A.1、表A.2和表A.3。表A.1身份核驗(yàn)服務(wù)安全技術(shù)要求匯總表安全要素1.用戶(hù)標(biāo)識(shí)要求每個(gè)用戶(hù)在同一個(gè)身份服務(wù)提供方標(biāo)識(shí)是唯一的，在同一依賴(lài)方內(nèi)標(biāo)識(shí)是唯一的不要求實(shí)名認(rèn)證應(yīng)進(jìn)行實(shí)名認(rèn)證2.用戶(hù)屬性收集要求收集的用戶(hù)屬性能夠唯一標(biāo)識(shí)用戶(hù)應(yīng)收集真實(shí)且可被核驗(yàn)的法定屬性和通信屬性在IAL-2基礎(chǔ)上還應(yīng)收集環(huán)境屬性，應(yīng)根據(jù)業(yè)務(wù)需求僅收集必要的經(jīng)濟(jì)屬性、社會(huì)屬性在IAL-3的基礎(chǔ)上，還宜收集生物特征屬性、行為屬性3.用戶(hù)身份核驗(yàn)要求對(duì)身份核驗(yàn)方法不作要求法定屬性應(yīng)通過(guò)至少一種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性應(yīng)通過(guò)發(fā)送驗(yàn)證信息等方式進(jìn)行核驗(yàn)(如向手機(jī)號(hào)發(fā)送確認(rèn)信息),核驗(yàn)過(guò)程應(yīng)至少采用遠(yuǎn)程遞交材料身份核驗(yàn)的方式法定屬性、通信屬性的核驗(yàn)方式與IAL-2相同，經(jīng)濟(jì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件進(jìn)行核驗(yàn)，社會(huì)屬性應(yīng)通過(guò)權(quán)威第三方提供的證明文件或質(zhì)詢(xún)第三方等方式進(jìn)行核驗(yàn)，核驗(yàn)過(guò)程應(yīng)采用本人遠(yuǎn)程身份核驗(yàn)或本人現(xiàn)場(chǎng)身份核驗(yàn)的方式法定屬性應(yīng)通過(guò)至少兩種權(quán)威第三方提供的法定身份證明文件進(jìn)行核驗(yàn)，通信屬性、經(jīng)濟(jì)屬性、社會(huì)屬性的核驗(yàn)方式與IAL-3相同，核驗(yàn)過(guò)程應(yīng)采用本人現(xiàn)場(chǎng)身份核驗(yàn)的方式可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別4.記錄和存儲(chǔ)要求對(duì)身份核驗(yàn)服務(wù)的必要信息進(jìn)行記錄和存儲(chǔ)，包括但不限于：收集的用戶(hù)身份信息和身份證明文件、身份核驗(yàn)產(chǎn)生的過(guò)程信息、核驗(yàn)結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性5.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮偽造、抵賴(lài)、泄露、篡改、釣魚(yú)攻擊等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩據(jù)，提供檢測(cè)方法，并接受檢測(cè)6.個(gè)人信息保護(hù)要求身份核驗(yàn)服務(wù)中個(gè)人信息保護(hù)要求見(jiàn)6.1.67.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求表A.2身份鑒別服務(wù)安全技術(shù)要求匯總表安全要素AAL-1AAL-2AAL-3AAL-41.鑒別器要求對(duì)綁定類(lèi)型不作要求宜為用戶(hù)身份綁定兩種或兩種以上類(lèi)型的鑒別器單因素鑒別方式，可使用任一種鑒別器應(yīng)使用多因素鑒別方式應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092二級(jí)及以上安全要求應(yīng)使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設(shè)備鑒別器來(lái)實(shí)現(xiàn)，且所采用的密碼模塊應(yīng)達(dá)到GB/T37092三級(jí)及以上安全要求，多因素鑒別方式宜包含生物特征鑒別因素鑒別器的更新、失竊、損壞和復(fù)制、到期、撤銷(xiāo)見(jiàn)6.2.1.4～6.2.1.62.鑒別要求應(yīng)采用動(dòng)態(tài)信息等方式以防重放攻擊、應(yīng)限制身份鑒別的嘗試次數(shù)等可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別對(duì)動(dòng)態(tài)鑒別不作要求應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過(guò)多渠道向用戶(hù)發(fā)送通知，并對(duì)用戶(hù)身份重新鑒別應(yīng)具備基于網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)控制措施，宜具備基于用戶(hù)行為的風(fēng)險(xiǎn)控制措施，發(fā)現(xiàn)異?；蛟跇I(yè)務(wù)關(guān)鍵操作時(shí)，應(yīng)及時(shí)通過(guò)多渠道向用戶(hù)發(fā)送通知，并對(duì)用戶(hù)身份重新鑒別3.會(huì)話管理要求宜在7d內(nèi)進(jìn)行重新鑒別宜在持續(xù)12h活躍后或30min不活躍后，進(jìn)行重新鑒別宜在持續(xù)12h活躍后或10min不活躍后，進(jìn)行重新鑒別宜在持續(xù)12h活躍后或5min不活躍后，進(jìn)行重新鑒別4.記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份鑒別的必要信息進(jìn)行記錄和存儲(chǔ)，記錄和存儲(chǔ)的信息包括但不限于：使用的身份鑒別協(xié)議、身份鑒別方法、鑒別器相關(guān)數(shù)據(jù)及身份鑒別產(chǎn)生的過(guò)程信息、鑒別結(jié)果等數(shù)據(jù)，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性5.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮鑒別器失竊、鑒別器復(fù)制、竊聽(tīng)、離線猜測(cè)、在線猜測(cè)、側(cè)信道攻擊、釣魚(yú)攻擊、中間人攻擊等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性6.個(gè)人信息保護(hù)要求身份鑒別服務(wù)中個(gè)人信息保護(hù)要求見(jiàn)6.2.67.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求安全要素1.身份聯(lián)合服務(wù)建立要求身份聯(lián)合服務(wù)建立模式要求見(jiàn)6.3.12.斷言傳遞要求斷言傳遞要求見(jiàn)6.3.23.斷言?xún)?nèi)容要求斷言?xún)?nèi)容要求見(jiàn)6.3.34.斷言類(lèi)型要求可使用持有型斷言或密鑰擁有型斷言應(yīng)使用密鑰擁有型斷言5.斷言保護(hù)要求斷言應(yīng)被唯一標(biāo)識(shí)，確保依賴(lài)方能夠區(qū)分身份服務(wù)提供方對(duì)斷言簽名對(duì)斷言加密不作要求應(yīng)對(duì)斷言加密接受者限制要求見(jiàn)6.3.5.4斷言主體假名化要求見(jiàn)6.3.5.56.通信保護(hù)要求可采用密碼技術(shù)保證數(shù)據(jù)完整性和重性，可采用密碼技術(shù)鑒別可采用密碼技術(shù)保證數(shù)據(jù)完整性，宜采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，宜采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別宜采用密碼技術(shù)保證數(shù)據(jù)完整性，應(yīng)采用密碼技術(shù)保證重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行鑒別應(yīng)采用密碼技術(shù)保證通信過(guò)程數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程重要的數(shù)據(jù)的機(jī)密性，應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向鑒別7.會(huì)話管理要求會(huì)話管理要求見(jiàn)6.3.78.記錄和存儲(chǔ)要求身份服務(wù)提供方應(yīng)對(duì)身份聯(lián)合的必要信息進(jìn)行記錄和存儲(chǔ)，記錄和存儲(chǔ)的信息包括但不限于：斷言接收者、簽發(fā)時(shí)間、截止時(shí)間、斷言類(lèi)型等，并保護(hù)重要的數(shù)據(jù)的機(jī)密性和完整性9.風(fēng)險(xiǎn)緩解技術(shù)要求可能面臨的風(fēng)險(xiǎn)至少考慮斷言泄露、身份服務(wù)提供方抵賴(lài)、用戶(hù)抵賴(lài)、斷言重放等風(fēng)險(xiǎn)應(yīng)闡明能夠緩解的風(fēng)險(xiǎn)，以及采取的風(fēng)險(xiǎn)緩解措施，提供可以證明每個(gè)緩解措施有效性的證據(jù)提供可以證明每個(gè)緩解措施有效性的證據(jù)，并提供檢測(cè)方法提供可以證明每個(gè)緩解措施有效性的證據(jù)，提供檢測(cè)方法，并接受檢測(cè)以證明其緩解風(fēng)險(xiǎn)措施的有效性10.個(gè)人信息保護(hù)要求身份聯(lián)合服務(wù)中個(gè)人信息保護(hù)要求見(jiàn)6.3.1011.系統(tǒng)安全保護(hù)要求至少符合GB/T22239規(guī)定的第一級(jí)安全要求至少符合GB/T22239規(guī)定的第二級(jí)安全要求至少符合GB/T22239規(guī)定的第三級(jí)安全要求(資料性)用戶(hù)屬性的類(lèi)型用戶(hù)通常有多種用戶(hù)屬性，常見(jiàn)的用戶(hù)屬性可按照如下方式進(jìn)行分類(lèi)。a)法定屬性：包括但不限于用戶(hù)的姓名、性別、出生日期、身份證件號(hào)碼、證件中的照片、住址等。這些屬性通常由政府頒發(fā)的具備法律效應(yīng)的文件(例如，身份證、出生證明、護(hù)照等)來(lái)證明其真實(shí)性。b)通信屬性：包括但不限于用戶(hù)的聯(lián)系電話、郵箱、聯(lián)系地址等。這些屬性是可反映用戶(hù)聯(lián)系方式的信息。c)社會(huì)屬性：包括但不限于用戶(hù)的社會(huì)關(guān)系、教育背景、工作經(jīng)歷、是否有欺詐記錄等。這些屬性是可反映用戶(hù)社會(huì)活動(dòng)情況的信息。d)經(jīng)濟(jì)屬性：包括但不限于用戶(hù)的資產(chǎn)情況、收入情況等。這些屬性是可以反映用戶(hù)經(jīng)濟(jì)狀況的信息，其真實(shí)性可通過(guò)財(cái)產(chǎn)證明、銀行流水等方式來(lái)證明。這些屬性直接與經(jīng)濟(jì)利益相關(guān)，需受到嚴(yán)格保護(hù)。e)生物特征屬性：包括但不限于指紋、虹膜、聲紋等。這些屬性是用戶(hù)所擁有的反映生物特征的信息。一旦被盜用則無(wú)法被替換，需受到嚴(yán)格保護(hù)。f)環(huán)境屬性：包括但不限于執(zhí)行登錄過(guò)程時(shí)的IP地址、終端設(shè)備、登錄地點(diǎn)、終端等。這些屬性用于反映用戶(hù)所處的環(huán)境特征?？捎糜趧?dòng)態(tài)監(jiān)測(cè)用戶(hù)在使用網(wǎng)絡(luò)身份服務(wù)過(guò)程中的環(huán)境安g)行為屬性：包括但不限于用戶(hù)的登錄時(shí)間、時(shí)長(zhǎng)、瀏覽習(xí)慣、鍵盤(pán)鼠標(biāo)操作習(xí)慣等。這些屬性用于反映用戶(hù)的行為特征。(資料性)網(wǎng)絡(luò)身份服務(wù)風(fēng)險(xiǎn)緩解C.1身份核驗(yàn)服務(wù)的風(fēng)險(xiǎn)緩解身份核驗(yàn)服務(wù)中，至少考慮到表C.1列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.1身份核驗(yàn)服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1偽造偽造身份證明文件1)核驗(yàn)身份證明文件的物理安全性；2)通過(guò)比對(duì)權(quán)威第三方數(shù)據(jù)核驗(yàn)身份證明文件中的身份信息2抵賴(lài)某個(gè)申請(qǐng)方在完成登記后，聲稱(chēng)其沒(méi)有登記過(guò)要求申請(qǐng)方提交一份簽名表單3泄露口令在傳輸過(guò)程中被攻擊者復(fù)制采用安全的渠道交付并確認(rèn)4篡改口令在傳輸過(guò)程中被攻擊者篡改1)采用安全的渠道交付并確認(rèn)；2)支持用戶(hù)對(duì)所接收的信息進(jìn)行完整性校驗(yàn)5釣魚(yú)攻擊用戶(hù)身份信息被冒充的網(wǎng)站所竊取1)使用來(lái)自正規(guī)來(lái)源的網(wǎng)站地址；2)基于密碼技術(shù)對(duì)網(wǎng)站進(jìn)行鑒別C.2身份鑒別服務(wù)的風(fēng)險(xiǎn)緩解身份鑒別服務(wù)中，至少考慮到表C.2列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.2身份鑒別服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1鑒別器失竊鑒別器丟失或被盜取1)提供掛失措施；2)使用多因素鑒別器2鑒別器復(fù)制鑒別器被非法復(fù)制采用防偽造技術(shù)(例如，密碼技術(shù))3竊聽(tīng)通過(guò)未加密的網(wǎng)絡(luò)傳輸鑒別器的秘密信息，被攻擊者截取1)鑒別過(guò)程使用動(dòng)態(tài)的鑒別參數(shù)(例如，動(dòng)態(tài)口令);2)秘密信息在傳輸之前進(jìn)行加密處理4重放攻擊攻擊者可重放先前截獲的用戶(hù)與依賴(lài)方之間的信息，冒充用戶(hù)向依賴(lài)方鑒別鑒別協(xié)議中使用挑戰(zhàn)碼、隨機(jī)數(shù)等5離線猜測(cè)通過(guò)對(duì)需要口令激活的多因素密碼硬件鑒別器進(jìn)行字典攻擊，識(shí)別出正確口令限制激活鑒別器的嘗試次數(shù)6在線猜測(cè)猜測(cè)記憶秘密鑒別器或單因素OTP設(shè)備鑒別器的輸出1)使用強(qiáng)口令；2)限制身份鑒別的嘗試次數(shù)表C.2身份鑒別服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施(續(xù))序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施7側(cè)信道攻擊通過(guò)對(duì)鑒別器進(jìn)行差分功耗分析或通過(guò)分析多次交互的響應(yīng)時(shí)間來(lái)提取密鑰使用抗功耗分析的密碼技術(shù)實(shí)現(xiàn)8釣魚(yú)攻擊口令被冒充的網(wǎng)站所竊取1)禁止來(lái)自不可信來(lái)源的圖像和超文本鏈接以及在電子郵件客戶(hù)端中提供視覺(jué)提示等方法保護(hù)實(shí)體免遭網(wǎng)絡(luò)欺詐攻擊；2)通信前基于密碼技術(shù)對(duì)通信雙方進(jìn)行鑒別9中間人攻擊攻擊者將自己置于用戶(hù)和身份服務(wù)提供方之間，截獲并修改鑒別協(xié)議消息的內(nèi)容1)使用雙向鑒別機(jī)制，確保通信雙方能夠確認(rèn)對(duì)方身份；2)采用數(shù)字簽名保護(hù)消息的完整性C.3身份聯(lián)合服務(wù)的風(fēng)險(xiǎn)緩解身份聯(lián)合服務(wù)中，至少考慮到表C.3列出的風(fēng)險(xiǎn)，并采取措施進(jìn)行緩解。表C.3身份聯(lián)合服務(wù)可能面臨的風(fēng)險(xiǎn)和緩解措施序號(hào)可能的風(fēng)險(xiǎn)示例可采取的緩解措施1斷言泄露斷言可能包含用戶(hù)身份鑒別結(jié)果、用戶(hù)身份信息，斷言泄露導(dǎo)致用戶(hù)受到攻擊1)斷言由身份服務(wù)提供方為依賴(lài)方加密；2)使用雙向鑒別機(jī)制，確保通信雙方能夠確認(rèn)對(duì)方身份2身份服務(wù)提供方抵賴(lài)斷言簽名為消息鑒別碼，身份服務(wù)提供方否認(rèn)斷言是自己生成的1)斷言簽名使用數(shù)字簽名；2)使用引入可信第三方的消息鑒別碼3用戶(hù)抵賴(lài)在前端通道模式下，用戶(hù)否認(rèn)向依賴(lài)方傳遞了斷言使用密鑰擁有型斷言4斷言重放攻擊者將一個(gè)已經(jīng)被依賴(lài)方使用過(guò)的斷言再次重復(fù)使用1)斷言具有短的有效期；2)依賴(lài)方對(duì)要求在一定時(shí)間窗口(可配置)內(nèi)使用的斷言進(jìn)行跟蹤，以確保斷言在該時(shí)間窗口內(nèi)不被多次使用(資料性)鑒別器類(lèi)型D.1記憶秘密鑒別器記憶秘密鑒別器是用戶(hù)選擇和可記憶的秘密值(如口令)。D.2查詢(xún)秘密鑒別器查詢(xún)秘密鑒別器是存儲(chǔ)用戶(hù)和身份服務(wù)提供方共享的秘密的物理或電子記錄，用戶(hù)使用該鑒別器查找適當(dāng)?shù)拿孛芤曰貜?fù)來(lái)自驗(yàn)證者的挑戰(zhàn)命令。例如，身份服務(wù)提供方可能要求用戶(hù)從打印在表格中的數(shù)字或字符串中提供特定子集。D.3帶外鑒別器帶外鑒別器