ICS35030

CCSL.80

中華人民共和國國家標準

GB/T40651—2021

信息安全技術實體鑒別保障框架

Informationsecuritytechnique—Entityauthenticationassuranceframework

2021-10-11發布2022-05-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T40651—2021

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

保障框架

5…………………3

參與方角色職責

6…………………………4

概述

6.1…………………4

實體

6.2…………………4

憑證服務提供方

6.3……………………4

注冊機構

6.4……………4

依賴方

6.5………………4

驗證方

6.6………………4

可信第三方

6.7…………………………4

主要環節

7…………………4

通則

7.1…………………4

登記環節

7.2……………5

憑證管理環節

7.3………………………5

鑒別環節

7.4……………7

聯合環節

7.5……………7

保障等級

8…………………8

保障等級分類

8.1………………………8

身份保障等級劃分原則

8.2……………8

鑒別器保障等級劃分原則

8.3…………8

聯合保障等級劃分原則

8.4……………9

保障等級的選取

8.5……………………9

保障等級的映射和互操作性

8.6………………………9

管理要求

9…………………10

概述

9.1…………………10

服務資質

9.2……………10

信息安全管理和審查

9.3………………10

外包服務監管

9.4………………………10

服務保障準則

9.5………………………10

Ⅰ

GB/T40651—2021

附錄資料性威脅分析和風險控制

A()………………11

概述

A.1………………11

登記環節的威脅分析和風險控制

A.2………………11

憑證管理環節的威脅分析和風險控制

A.3…………12

鑒別環節的威脅分析和風險控制

A.4………………15

聯合環節的威脅分析和風險控制

A.5………………19

附錄資料性個人信息的保護

B()……………………21

參考文獻

……………………22

Ⅱ

GB/T40651—2021

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位聯想北京有限公司國民認證科技北京有限公司中國科學院數據與通信保

:()、()、

護研究教育中心中國科學院軟件研究所中國電子技術標準化研究院格爾軟件股份有限公司中國信

、、、、

息通信研究院北京國民安盾科技有限公司

、。

本文件主要起草人柴海新李俊李汝鑫呂娜陳天宇張嚴郝春亮鄭強寧華傅山沈明峰

:、、、、、、、、、、、

顧小卓

。

Ⅲ

GB/T40651—2021

信息安全技術實體鑒別保障框架

1范圍

本文件確立了實體鑒別的保障框架規定了各參與方角色的職責實體鑒別的主要流程環節以及實

,、

體鑒別保障等級的類別和等級劃分原則并規定了實體鑒別保障所需的管理要求

,。

本文件適用于實體鑒別服務的安全測試和評估并為其他實體身份鑒別相關標準的制定提供依據

,

和參考

。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069—2010

信息安全技術個人信息安全規范

GB/T35273—2020

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

31

.

斷言assertion

驗證方生成的對實體進行鑒別的結果

。

注可能包含實體屬性信息或授權信息等

:。

32

.

鑒別authentication

用于對實體和其所呈現身份之間的綁定關系進行充分確認的過程

。

33

.

鑒別器authenticator

聲稱方擁有或掌握的可用于鑒別聲稱方身份的功能組件或方法