GB∕T 36633-2018
基本信息
标准号: GB∕T 36633-2018
中文名称:信息安全技术 网络用户身份鉴别技术指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:3053KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36633-2018 信息安全技术 网络用户身份鉴别技术指南
GB∕T36633-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36633—2018
信息安全技术
网络用户身份鉴别技术指南
Information security technology-Technical guide for identity authentication over network2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
规范性引用文件
术语和定义
缩略语
网络用户身份鉴别过程
鉴别协议
验证方
依赖方
密码支持
用户注册和凭证发放过程
注册和发放威胁
......
注册和发放威胁的应对策略
7鉴别信息提交和验证过程
提交和验证威胁
提交和验证威胁的应对策略
8断言过程
断言威胁
断言威胁的应对策略免费标准下载网bzxz
凭证:
凭证的类型
凭证威胁
凭证威胁的应对策略·
凭证管理
凭证管理活动
凭证管理威胁
凭证管理威胁的应对策略
附录A(资料性附录)
附录B(资料性附录)
三种鉴别模型的鉴别过程
基本断言模型
GB/T36633—2018
本标准按照GB/T1.1-2009给出的规则起草GB/T36633—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、中国电子技术标准化研究院、西安西电捷通无线网络通信股份有限公司、北京工业大学、武汉大学。本标准主要起草人:顾健、张笑笑、杨元原、陈妍、范科峰、顾玮、俞优、沈亮、王莹莹、沈清泓、许东阳、杜志强、李琴、杨震、主丽娜
1范围
信息安全技术
网络用户身份鉴别技术指南
GB/T36633—2018
本标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。
本标准适用于网络环境下用户身份鉴别系统的设计、开发与测试。规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15843.1
GB/T15843.2
GB/T15843.3
GB/T15843.4
GB/T15843.5
GB/T25069
GB/T28455
术语和定义
信息技术
信息技术
信息技术
信息技术
信息技术
安全技术
安全技术
安全技术
安全技术
安全技术
信息安全技术
信息安全技术
实体鉴别
实体鉴别
实体鉴别
实体鉴别
实体鉴别
第1部分:总则
第2部分:采用对称加密算法的机制第3部分:采用数宇签名技术的机制第4部分:采用密码校验函数的机制第5部分:使用零知识技术的机制引人可信第三方的实体鉴别及接入架构规范GB/T25069界定的以及下列术语和定义适用于本文件。3.1
声称方
claimant
为了进行鉴别,本身是本体或者代表本体的个人。注:声称方具备代表本体进行鉴别交换的各种功能3.2
申请方
applicant
请求分配注册项及其标号的个人。3.3
验证方
verifier
对声称方合法性进行验证的机构或组织。3.4
依赖方
relyingparty
依赖身份鉴别结果决定是否与声称方建立信任关系的机构或组织。3.5
credential
身份证明。
GB/T36633—2018
凭证服务提供方
credential service provider
发布或者注册合法用户的凭证,并且为合法用户颁发凭证的机构或组织。3.7
合法用户
subscriber
从凭证服务提供方得到凭证的个人。3.8
assertions
验证方所作出的不包含有效证据的声明3.9
断言参考
assertion reference
和断言结合的,包含验证方标识和断言指针信息的数据对象。3.10
身份确认
identityconfirmation
采集用户身份信息,并确认用户身份真实性和一致性的过程。3.11
网络用户身份鉴别
identity authentication over network在网络中识别用户身份并辨别其合法性的过程。缩略语
下列缩略语适用于本文件。
CSP:凭证服务提供方(CredentialServiceProvider)CSRF:跨站请求伪造(CrossSiteRequestForgery)DNS:域名系统(DomainNameSystem)HTTP:超文本传送协议(HypetextTransferProtocol)MF:多因素(MultipleFactor)OTP:动态口令(OneTimePassword)PIN:个人识别码(PersonalIdentificationNumber)PKI:公钥基础设施(PublicKeyInfrastructure)RA:注册机构(RegistrationAuthority)RP:依赖方(RelyingParty)
SF:单因素(SingleFactor)
SSL:安全套接层(SecureSocketsLayer)TLS:安全传输层协议(TransportLayerSecurity)TTP:可信第三方(TrustedThirdParty)URL:统一资源定位符(UniformResourceLocation)XSS跨站脚本(CrossSiteScripting)5概述
网络用户身份鉴别过程
依赖方根据对用户的鉴别结果和用户的身份确定该用户是否拥有访问依赖方的权限。2
GB/T36633—2018
网络用户身份鉴别的一般过程包括:注册和发放过程、提交和验证以及断言过程。注册机构
用户注册
身份确认
凭证发放
凭证服务提
供方(CSP)
中请者/声称者/合法用户
图1注册和发放的一般过程
注册和发放的一般过程如图1所示在注册和发放讨过程中,电请方向RA电请成为CSP的合法用户,RA对申请方进行身份确认。如果RA能够确认申请方的身份,CSP会为申请方注册并颁发一个凭证,同时将凭证和申请方的身份或其他相关属性进行绑定。至此申请方就成为了CSP的一个合法用户,并且可以在鉴别协议中使用凭证证明其为合法用户。申请方/声称方/合法用户
鉴别会话
鉴别协议
消息交换
凭证服务提
供方(CSP)
整别协议
消息交换
一个用户可以是不同CSP的合法用户。依赖方
断言参考
验证方
图2提交和验证以及断言的一般过程提交和验证以及断言的一般过程如图2所示,在提交和验证以及断言过程中,声称方在鉴别协议中通过与验证方的交互来证明他们是特定凭证的合法用户。声称方首先与依赖方交互,发起鉴别会话,当依赖方和验证方是同一机构或组织时,在此鉴别会话中即可完成所有鉴别协议、消息交换:若依赖方与验证方不是同一机构或组织.在鉴别过程中,声称方还需要通过鉴别协议将凭证提交至验证方,验证方验证后将断言或断言参考发送至依赖方进行后续处理。验证方通过鉴别协议验证声称者持有以及控制和断言相关的凭证。一旦持有和控制被证实.验证方通常通过和CSP交互证明凭证是合法的。网络用户身份鉴别包括单向或双向鉴别,根据鉴别场景的不同,鉴别双方可能分别为声称方和验证方,也可能同时为声称方和验证方;对于有可信第三方参与的鉴别,TTP为验证方。三种鉴别模型的鉴别过程参见附录A。
GB/T36633—2018
5.2鉴别协议
验证方和声称方在鉴别协议中的交互过程对于鉴别系统的总体安全性是极其重要的。设计良好的鉴别协议在鉴别期间和之后都能保护声称方和验证方之间会话的完整性和保密性,它能减少攻击者伪装成合法验证方进行破坏造成的损失。此外,验证方能够通过限制攻击者不正确验证的频率从而降低在线猜测攻击的成功率。
鉴别过程建立了声称方与验证方之间的关系,该过程通过鉴别协议消息的交互来实现。其中,鉴别协议消息需要在受保护的会话中传递。鉴别协议是声称方和验证方之间定义的一个消息序列,表明声称方拥有一个有效的凭证来确定其身份,同时表明该声称方正在与目标验证方交流。声称方和验证方之间交互的鉴别(或鉴别无效)消息就是一个鉴别协议的运行过程。完成或正在进行一个鉴别协议时,会在两者之间生成一个受保护的交互会话;这个受保护的会话可用于交互预定的鉴别协议运行的消息,或者在两者之间交互会话数据声称方和验证方的管理机制用于进一步提高鉴别过程的安全性。例如,可以使用公共密钥机制生成信任链,从而实现验证方对声称方的鉴别;也可以限制攻击者在线猜测的口令次数。此外,如果检测出鉴别请求来自于一个未知地址的声称方,或者声称方使用了未知的硬件或软件配置时,也可提高风险等级并要求声称方提供额外的信息用以身份确认。在鉴别协议运行结束时,验证方有时会颁发一个二次鉴别凭证(例如cookie)给合法用户,合法用户可以以此代替原有凭证进行鉴别。鉴别协议的设计应符合GB/T15843.1~15843.5和GB/T28455的规定。5.3凭证
典型的鉴别系统通常采用以下三个因素作为验证的凭证:知道的信息(例如口令等):拥有的东西(例如智能卡、动态口令令牌、智能密码钥匙、数学证书等):固有的特征(例如指纹、虹膜、人脸或者其他生物信息)。
多因素鉴别指多于一个条件的组合。鉴别系统的强度很大程度上是由系统中以上因素的个数决定的。使用两个因素的系统比仅仅使用一个因素要强:使用三个因素的系统要比仅仅使用两个因素的系统要强。
凭证中包含秘密信息以证明声称方是某个凭证的合法用户。在网络用户身份鉴别中,声称方通过证明他拥有且控制某个凭证从而可在网络中通过某个应用的身份鉴别。CSP在凭证签发的过程中将凭证和合法用户的标识绑定。凭证由CSP签发和维护,验证方可使用凭证,在基于对凭证拥有和控制的情况下,验证声称方的身份。为了通过凭证验证声称方是否为合法用户,验证方也应验证凭证本身(例如确定凭证是由授权的CSP颁发并且未过期或者被吊销)。如果验证方本身就是CSP,可以直接对凭证有效性进行验证。否则,验证方可以通过安全协议询问CSP,进行交互验证。
以凭证公开的方式绑定的凭证称为公共凭证。典型的公共凭证如公共密钥鉴别,即使知晓相关公共密钥的前提下,也无法计算用户的私有密钥。CSP不能公开的凭证称为私有凭证,这种凭证一且泄露,可能威胁到凭证的安全。典型的私有凭证的例子是口令的哈希值,该哈希值一且泄露,则可能受到口令离线攻击。
5.4验证方
验证方是一个功能角色,常常和CSP或者RP实现在一起。如果验证方是和CSP分开的机构或组织,应确保验证方在鉴别过程中并不知道合法用户的凭证秘密,或者至少保证验证方只能对CSP保存的凭证秘密进行受限访问。
5.5依赖方
GB/T36633—2018
RP依颗于网络用户身份鉴别的结果从而建立合法用户身份或者属性的信任关系,最终可以执行某些事务。验证方和RP可能是同一个机构或组织,或者是不同的机构或组织。如果他们是不同的机构或组织,RP通常从验证方收到断言·此过程中RP应保证断言是从RP信任的验证方传过来的。
5.6密码支持
凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。6用户注册和凭证发放过程
6.1注册和发放威胁
身份鉴别从注册开始。申请方向RA申请成为CSP的合法用户。申请方身份确认成功后,RA为申请方注册,CSP为合法用户颁发一个凭证,并将凭证与用户标识绑定。这个凭证可以是CSP签署的,也可以直接由合法用户生成,或者由第三方提供RA可以是CSP的一个部分·也可以是一个独立的机构或组织。若RA与CSP是分开的机构或组织,则需建立信任关系。RA或CSP保存注册记录。网络用户身份鉴别过程中,RA和CSP面向公众提供服务,此时,身份确认过程一般只限于确认其证件、手机号和电子邮件等信息和先前发放的凭证。
注册和身份确认过程应确保RA/CSP知道申请方的真实身份。具体来说是为了确保以下内容:a)用户与申请方声称的属性存在,且这些属性足够用于唯一标识一个用户;拥有注册凭证的申请方实际上拥有该身份权;b)
c)声称方难以否定该注册。
申请方可当面注册.也可远程注册。不同情况下的身份确认的过程和机制会有所不同。在注册和身份确认与凭证签发分开的模型中,CSP负责验证凭证签发给的人与RA进行身份确认的人是同一个。在该模型中,发放与注册和身份确认应牢牢绑定,防止攻击者冒充一个新的注册合法用户,尝试收集真实用户的凭证。并且,从凭证起始点到申请方或CSP的传输安全性需要得到保障,以维护凭证的保密性和完整性,以及凭证被真正的申请方所拥有。注册过程中通常有两类的威胁:身份假胃威胁和对基础设施(RA和CSP)的危害或破坏。本标准关注解决身份假冒威胁。基础设施威胁可通过常用的网络安全技术措施解决(如,职责分离、记录保存、独立审计),不在本标准的范围中发放过程的威包括身份假冒攻击和凭证或凭证签发传输机制的威胁。表1中详细列举了与注册和发放相关的威胁。
表1注册和发放的常见威胁
假冒声称身份
否认注册
申请方通过使用伪造的证件声称一个不正确的身份合法用户否认注册.声称他/她没有注册过该凭证5
GB/T36633—2018
未经授权发放
表1(续)
CSP为合法用户创建的凭证在凭证发放过程中从CSP传送到合法用户时被攻击者复制
合法用户创建的凭证在递交给CSP时被攻击者更改假冒其他人获得凭证
注册和发放威胁的应对策略
注册威胁可以通过增加身份假冒难度来阻止,如规定一定的方法和程序,以来确定申请方就是该身份的有效拥有者,且申请方日后不能否认该注册。表2列出了抵御注册和发放过程威胁的应对策略表2注册和发放威胁的应对策略
假冒声称身份
否认注册
未经授权发放
应对策略
在中请方身份鉴别时提交的RA请求文档具有相当的可信度,使旨名顶替者难以成功通过身份确认阶段,如采用政府签发的经常被用来判断申请方身份的证件(如身份证、驾驶执照,护照等)
身份鉴别时,申请方提供非政府签发文档(例如包含有申请方的姓名和当前所在地址的电费单,或信用卡账单)从而据助实现更高级别的可信度当面或者通过摄像头实时交互,比对有效证件的照片与申请方是否一致申请方可以签署一份表格承认参与注册活动当面发放凭证:使用密封的信封邮寄到一个安全的地方,或采取会话保护的方式发送电子凭证
当面发放凭证;使用密封的信封邮寄存储介质,或使用安全的通信协议保护会话数据的完整性
CSP作为合法用户接收到的所有凭证数据的源头,需建立程序允许合法用户对其进行验证
建立程序以确保获得凭证的人与参加注册程序的人是同一个注册和发放过程包括:注册、身份确认,凭证创建/发放和凭证签发等过程。注册和发放过程中产生的注册记录应由RA或CSP保存,且该过程收集的个人信息应受到保护,且应满足所有的隐私要求CSP应能够唯一标识每个合法用户以及与该用户相关的凭证,用户和相关的凭证之间应有一一对应关系。根据RA或CSP政策规定,申请方要提供姓名、地址、电话,出生日期等信息。在某些情况下,CSP可能会选择使用额外的、基于实践的鉴别方法来增加注册过程的可信度。例如,申请方可能被要求提供其在相关机构办理的有助于确认申请方身份的非公开信息在注册和身份确认阶段收集的敏感信息在任何时候(如,传输、存储)都应受到保护以确保其安全性和保密性。此外,身份确认过程中的相关结果应妥善保管,并保证数据的保密性和完整性如果RA和CSP之间是通过网络进行远程通信,整个RA和CSP之间的注册业务应建立在双方已相互鉴别的前提下,并且应对整个会话进行保护注册和发放过程允许当面注册和远程注册,其中远程注册过程一般采用全自动化方式实现。某些6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36633—2018
信息安全技术
网络用户身份鉴别技术指南
Information security technology-Technical guide for identity authentication over network2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
规范性引用文件
术语和定义
缩略语
网络用户身份鉴别过程
鉴别协议
验证方
依赖方
密码支持
用户注册和凭证发放过程
注册和发放威胁
......
注册和发放威胁的应对策略
7鉴别信息提交和验证过程
提交和验证威胁
提交和验证威胁的应对策略
8断言过程
断言威胁
断言威胁的应对策略免费标准下载网bzxz
凭证:
凭证的类型
凭证威胁
凭证威胁的应对策略·
凭证管理
凭证管理活动
凭证管理威胁
凭证管理威胁的应对策略
附录A(资料性附录)
附录B(资料性附录)
三种鉴别模型的鉴别过程
基本断言模型
GB/T36633—2018
本标准按照GB/T1.1-2009给出的规则起草GB/T36633—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、中国电子技术标准化研究院、西安西电捷通无线网络通信股份有限公司、北京工业大学、武汉大学。本标准主要起草人:顾健、张笑笑、杨元原、陈妍、范科峰、顾玮、俞优、沈亮、王莹莹、沈清泓、许东阳、杜志强、李琴、杨震、主丽娜
1范围
信息安全技术
网络用户身份鉴别技术指南
GB/T36633—2018
本标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。
本标准适用于网络环境下用户身份鉴别系统的设计、开发与测试。规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15843.1
GB/T15843.2
GB/T15843.3
GB/T15843.4
GB/T15843.5
GB/T25069
GB/T28455
术语和定义
信息技术
信息技术
信息技术
信息技术
信息技术
安全技术
安全技术
安全技术
安全技术
安全技术
信息安全技术
信息安全技术
实体鉴别
实体鉴别
实体鉴别
实体鉴别
实体鉴别
第1部分:总则
第2部分:采用对称加密算法的机制第3部分:采用数宇签名技术的机制第4部分:采用密码校验函数的机制第5部分:使用零知识技术的机制引人可信第三方的实体鉴别及接入架构规范GB/T25069界定的以及下列术语和定义适用于本文件。3.1
声称方
claimant
为了进行鉴别,本身是本体或者代表本体的个人。注:声称方具备代表本体进行鉴别交换的各种功能3.2
申请方
applicant
请求分配注册项及其标号的个人。3.3
验证方
verifier
对声称方合法性进行验证的机构或组织。3.4
依赖方
relyingparty
依赖身份鉴别结果决定是否与声称方建立信任关系的机构或组织。3.5
credential
身份证明。
GB/T36633—2018
凭证服务提供方
credential service provider
发布或者注册合法用户的凭证,并且为合法用户颁发凭证的机构或组织。3.7
合法用户
subscriber
从凭证服务提供方得到凭证的个人。3.8
assertions
验证方所作出的不包含有效证据的声明3.9
断言参考
assertion reference
和断言结合的,包含验证方标识和断言指针信息的数据对象。3.10
身份确认
identityconfirmation
采集用户身份信息,并确认用户身份真实性和一致性的过程。3.11
网络用户身份鉴别
identity authentication over network在网络中识别用户身份并辨别其合法性的过程。缩略语
下列缩略语适用于本文件。
CSP:凭证服务提供方(CredentialServiceProvider)CSRF:跨站请求伪造(CrossSiteRequestForgery)DNS:域名系统(DomainNameSystem)HTTP:超文本传送协议(HypetextTransferProtocol)MF:多因素(MultipleFactor)OTP:动态口令(OneTimePassword)PIN:个人识别码(PersonalIdentificationNumber)PKI:公钥基础设施(PublicKeyInfrastructure)RA:注册机构(RegistrationAuthority)RP:依赖方(RelyingParty)
SF:单因素(SingleFactor)
SSL:安全套接层(SecureSocketsLayer)TLS:安全传输层协议(TransportLayerSecurity)TTP:可信第三方(TrustedThirdParty)URL:统一资源定位符(UniformResourceLocation)XSS跨站脚本(CrossSiteScripting)5概述
网络用户身份鉴别过程
依赖方根据对用户的鉴别结果和用户的身份确定该用户是否拥有访问依赖方的权限。2
GB/T36633—2018
网络用户身份鉴别的一般过程包括:注册和发放过程、提交和验证以及断言过程。注册机构
用户注册
身份确认
凭证发放
凭证服务提
供方(CSP)
中请者/声称者/合法用户
图1注册和发放的一般过程
注册和发放的一般过程如图1所示在注册和发放讨过程中,电请方向RA电请成为CSP的合法用户,RA对申请方进行身份确认。如果RA能够确认申请方的身份,CSP会为申请方注册并颁发一个凭证,同时将凭证和申请方的身份或其他相关属性进行绑定。至此申请方就成为了CSP的一个合法用户,并且可以在鉴别协议中使用凭证证明其为合法用户。申请方/声称方/合法用户
鉴别会话
鉴别协议
消息交换
凭证服务提
供方(CSP)
整别协议
消息交换
一个用户可以是不同CSP的合法用户。依赖方
断言参考
验证方
图2提交和验证以及断言的一般过程提交和验证以及断言的一般过程如图2所示,在提交和验证以及断言过程中,声称方在鉴别协议中通过与验证方的交互来证明他们是特定凭证的合法用户。声称方首先与依赖方交互,发起鉴别会话,当依赖方和验证方是同一机构或组织时,在此鉴别会话中即可完成所有鉴别协议、消息交换:若依赖方与验证方不是同一机构或组织.在鉴别过程中,声称方还需要通过鉴别协议将凭证提交至验证方,验证方验证后将断言或断言参考发送至依赖方进行后续处理。验证方通过鉴别协议验证声称者持有以及控制和断言相关的凭证。一旦持有和控制被证实.验证方通常通过和CSP交互证明凭证是合法的。网络用户身份鉴别包括单向或双向鉴别,根据鉴别场景的不同,鉴别双方可能分别为声称方和验证方,也可能同时为声称方和验证方;对于有可信第三方参与的鉴别,TTP为验证方。三种鉴别模型的鉴别过程参见附录A。
GB/T36633—2018
5.2鉴别协议
验证方和声称方在鉴别协议中的交互过程对于鉴别系统的总体安全性是极其重要的。设计良好的鉴别协议在鉴别期间和之后都能保护声称方和验证方之间会话的完整性和保密性,它能减少攻击者伪装成合法验证方进行破坏造成的损失。此外,验证方能够通过限制攻击者不正确验证的频率从而降低在线猜测攻击的成功率。
鉴别过程建立了声称方与验证方之间的关系,该过程通过鉴别协议消息的交互来实现。其中,鉴别协议消息需要在受保护的会话中传递。鉴别协议是声称方和验证方之间定义的一个消息序列,表明声称方拥有一个有效的凭证来确定其身份,同时表明该声称方正在与目标验证方交流。声称方和验证方之间交互的鉴别(或鉴别无效)消息就是一个鉴别协议的运行过程。完成或正在进行一个鉴别协议时,会在两者之间生成一个受保护的交互会话;这个受保护的会话可用于交互预定的鉴别协议运行的消息,或者在两者之间交互会话数据声称方和验证方的管理机制用于进一步提高鉴别过程的安全性。例如,可以使用公共密钥机制生成信任链,从而实现验证方对声称方的鉴别;也可以限制攻击者在线猜测的口令次数。此外,如果检测出鉴别请求来自于一个未知地址的声称方,或者声称方使用了未知的硬件或软件配置时,也可提高风险等级并要求声称方提供额外的信息用以身份确认。在鉴别协议运行结束时,验证方有时会颁发一个二次鉴别凭证(例如cookie)给合法用户,合法用户可以以此代替原有凭证进行鉴别。鉴别协议的设计应符合GB/T15843.1~15843.5和GB/T28455的规定。5.3凭证
典型的鉴别系统通常采用以下三个因素作为验证的凭证:知道的信息(例如口令等):拥有的东西(例如智能卡、动态口令令牌、智能密码钥匙、数学证书等):固有的特征(例如指纹、虹膜、人脸或者其他生物信息)。
多因素鉴别指多于一个条件的组合。鉴别系统的强度很大程度上是由系统中以上因素的个数决定的。使用两个因素的系统比仅仅使用一个因素要强:使用三个因素的系统要比仅仅使用两个因素的系统要强。
凭证中包含秘密信息以证明声称方是某个凭证的合法用户。在网络用户身份鉴别中,声称方通过证明他拥有且控制某个凭证从而可在网络中通过某个应用的身份鉴别。CSP在凭证签发的过程中将凭证和合法用户的标识绑定。凭证由CSP签发和维护,验证方可使用凭证,在基于对凭证拥有和控制的情况下,验证声称方的身份。为了通过凭证验证声称方是否为合法用户,验证方也应验证凭证本身(例如确定凭证是由授权的CSP颁发并且未过期或者被吊销)。如果验证方本身就是CSP,可以直接对凭证有效性进行验证。否则,验证方可以通过安全协议询问CSP,进行交互验证。
以凭证公开的方式绑定的凭证称为公共凭证。典型的公共凭证如公共密钥鉴别,即使知晓相关公共密钥的前提下,也无法计算用户的私有密钥。CSP不能公开的凭证称为私有凭证,这种凭证一且泄露,可能威胁到凭证的安全。典型的私有凭证的例子是口令的哈希值,该哈希值一且泄露,则可能受到口令离线攻击。
5.4验证方
验证方是一个功能角色,常常和CSP或者RP实现在一起。如果验证方是和CSP分开的机构或组织,应确保验证方在鉴别过程中并不知道合法用户的凭证秘密,或者至少保证验证方只能对CSP保存的凭证秘密进行受限访问。
5.5依赖方
GB/T36633—2018
RP依颗于网络用户身份鉴别的结果从而建立合法用户身份或者属性的信任关系,最终可以执行某些事务。验证方和RP可能是同一个机构或组织,或者是不同的机构或组织。如果他们是不同的机构或组织,RP通常从验证方收到断言·此过程中RP应保证断言是从RP信任的验证方传过来的。
5.6密码支持
凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。6用户注册和凭证发放过程
6.1注册和发放威胁
身份鉴别从注册开始。申请方向RA申请成为CSP的合法用户。申请方身份确认成功后,RA为申请方注册,CSP为合法用户颁发一个凭证,并将凭证与用户标识绑定。这个凭证可以是CSP签署的,也可以直接由合法用户生成,或者由第三方提供RA可以是CSP的一个部分·也可以是一个独立的机构或组织。若RA与CSP是分开的机构或组织,则需建立信任关系。RA或CSP保存注册记录。网络用户身份鉴别过程中,RA和CSP面向公众提供服务,此时,身份确认过程一般只限于确认其证件、手机号和电子邮件等信息和先前发放的凭证。
注册和身份确认过程应确保RA/CSP知道申请方的真实身份。具体来说是为了确保以下内容:a)用户与申请方声称的属性存在,且这些属性足够用于唯一标识一个用户;拥有注册凭证的申请方实际上拥有该身份权;b)
c)声称方难以否定该注册。
申请方可当面注册.也可远程注册。不同情况下的身份确认的过程和机制会有所不同。在注册和身份确认与凭证签发分开的模型中,CSP负责验证凭证签发给的人与RA进行身份确认的人是同一个。在该模型中,发放与注册和身份确认应牢牢绑定,防止攻击者冒充一个新的注册合法用户,尝试收集真实用户的凭证。并且,从凭证起始点到申请方或CSP的传输安全性需要得到保障,以维护凭证的保密性和完整性,以及凭证被真正的申请方所拥有。注册过程中通常有两类的威胁:身份假胃威胁和对基础设施(RA和CSP)的危害或破坏。本标准关注解决身份假冒威胁。基础设施威胁可通过常用的网络安全技术措施解决(如,职责分离、记录保存、独立审计),不在本标准的范围中发放过程的威包括身份假冒攻击和凭证或凭证签发传输机制的威胁。表1中详细列举了与注册和发放相关的威胁。
表1注册和发放的常见威胁
假冒声称身份
否认注册
申请方通过使用伪造的证件声称一个不正确的身份合法用户否认注册.声称他/她没有注册过该凭证5
GB/T36633—2018
未经授权发放
表1(续)
CSP为合法用户创建的凭证在凭证发放过程中从CSP传送到合法用户时被攻击者复制
合法用户创建的凭证在递交给CSP时被攻击者更改假冒其他人获得凭证
注册和发放威胁的应对策略
注册威胁可以通过增加身份假冒难度来阻止,如规定一定的方法和程序,以来确定申请方就是该身份的有效拥有者,且申请方日后不能否认该注册。表2列出了抵御注册和发放过程威胁的应对策略表2注册和发放威胁的应对策略
假冒声称身份
否认注册
未经授权发放
应对策略
在中请方身份鉴别时提交的RA请求文档具有相当的可信度,使旨名顶替者难以成功通过身份确认阶段,如采用政府签发的经常被用来判断申请方身份的证件(如身份证、驾驶执照,护照等)
身份鉴别时,申请方提供非政府签发文档(例如包含有申请方的姓名和当前所在地址的电费单,或信用卡账单)从而据助实现更高级别的可信度当面或者通过摄像头实时交互,比对有效证件的照片与申请方是否一致申请方可以签署一份表格承认参与注册活动当面发放凭证:使用密封的信封邮寄到一个安全的地方,或采取会话保护的方式发送电子凭证
当面发放凭证;使用密封的信封邮寄存储介质,或使用安全的通信协议保护会话数据的完整性
CSP作为合法用户接收到的所有凭证数据的源头,需建立程序允许合法用户对其进行验证
建立程序以确保获得凭证的人与参加注册程序的人是同一个注册和发放过程包括:注册、身份确认,凭证创建/发放和凭证签发等过程。注册和发放过程中产生的注册记录应由RA或CSP保存,且该过程收集的个人信息应受到保护,且应满足所有的隐私要求CSP应能够唯一标识每个合法用户以及与该用户相关的凭证,用户和相关的凭证之间应有一一对应关系。根据RA或CSP政策规定,申请方要提供姓名、地址、电话,出生日期等信息。在某些情况下,CSP可能会选择使用额外的、基于实践的鉴别方法来增加注册过程的可信度。例如,申请方可能被要求提供其在相关机构办理的有助于确认申请方身份的非公开信息在注册和身份确认阶段收集的敏感信息在任何时候(如,传输、存储)都应受到保护以确保其安全性和保密性。此外,身份确认过程中的相关结果应妥善保管,并保证数据的保密性和完整性如果RA和CSP之间是通过网络进行远程通信,整个RA和CSP之间的注册业务应建立在双方已相互鉴别的前提下,并且应对整个会话进行保护注册和发放过程允许当面注册和远程注册,其中远程注册过程一般采用全自动化方式实现。某些6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。