信息安全技術網絡身份服務安全技術要求2023-05-23發布I 12規范性引用文件 l3術語和定義 14縮略語 35網絡身份服務概述 35.1參與方 35.2身份服務模型 45.3服務安全級別 56服務安全技術要求 66.1身份核驗服務 66.2身份鑒別服務 86.3身份聯合服務 附錄A(資料性)網絡身份服務安全技術要求 附錄B(資料性)用戶屬性的類型 附錄C(資料性)網絡身份服務風險緩解 附錄D(資料性)鑒別器類型 附錄E(資料性)身份聯合服務建立模式 參考文獻 1信息安全技術網絡身份服務安全技術要求本文件確立了面向自然人的網絡身份服務的參與方和模型，規定了網絡身份服務安全級別和安全技術要求。本文件適用于面向自然人的網絡身份服務的設計、開發、部署和應用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15843(所有部分)信息技術安全技術實體鑒別GB/T22239信息安全技術網絡安全等級保護基本要求GB/T25069信息安全技術術語GB/T35273信息安全技術個人信息安全規范GB/T37036(所有部分)信息技術移動設備生物特征識別GB/T37092信息安全技術密碼模塊安全要求GB/T40660信息安全技術生物特征識別信息保護基本要求3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。身份服務提供方identityserviceprovider在網絡中提供身份服務的實體。使用網絡身份服務的自然人。注：申請方、聲稱方、訂戶代表了用戶在不同場景下的不同角色。依賴方relyingparty依賴身份鑒別結果以確定是否與用戶建立信任關系的實體。身份核驗identityproofing收集用戶身份信息，并驗證用戶身份信息的真實性的過程。身份鑒別identityauthentication驗證用戶所聲稱身份的過程。2依賴不在同一個安全域的身份服務提供方給出用戶身份鑒別結果的過程。在網絡中為用戶提供身份核驗、身份鑒別和身份聯合服務的活動。訂戶subscriber接受身份服務提供方提供的身份服務的合法用戶。申請方applicant請求成為訂戶的自然人。宣稱自己是訂戶的自然人。用于標識用戶的一種字符串或模式。遠程遞交材料身份核驗remoteidentityproofing申請方通過在線或離線方式非現場提供身份證明材料進行身份核驗的過程。本人遠程身份核驗in-personoverremotechannelidentityproofing申請方通過在線方式并親自操作進行身份核驗的過程。本人現場身份核驗in-personidentityproofing申請方通過親自到現場的方式進行身份核驗的過程。用戶擁有或掌握的可用于鑒別其身份的功能組件或方法。注：鑒別器包含實體憑證或憑證生成方法，參與并執行特定的鑒別協議。在不給出證據的情況下所做的宣稱或說明。身份服務提供方生成的對用戶身份鑒別的結果。3和斷言關聯的，包含身份服務提供方標識的數據對象。持有型斷言bearerassertion可將斷言持有者看作斷言主體的斷言類型。可通過斷言的持有者擁有的密鑰證明其為斷言主體的斷言類型。網絡身份服務系統identityservicesysteminnetwork支撐網絡身份服務的軟硬件集合。4縮略語下列縮略語適用于本文件。AAL:鑒別保證級(AuthenticationAssuranceLevel)FAL:聯合保證級(FederationAssuranceLevel)IAL:身份保證級(IdentityAssuranceLevel)OTP:動態口令(OneTimePassword)5網絡身份服務概述5.1參與方網絡身份服務參與方包括用戶、身份服務提供方和依賴方(三方交互示意圖見圖1)。申請方、聲稱方、訂戶代表了用戶在不同場景下的不同角色。a)用戶的主要職責包括：●向身份服務提供方提交身份信息和身份證明文件；●接受身份服務提供方的身份核驗；●向依賴方發起應用服務請求并聲明身份；●接受身份服務提供方的身份鑒別；●接收依賴方對應用服務請求的響應。b)身份服務提供方的主要職責包括：●對申請方的身份進行核驗；●身份核驗成功后向申請方頒發鑒別器；●接收來自依賴方的身份鑒別請求，并鑒別聲稱方身份●向依賴方提供身份鑒別斷言。c)依賴方的主要職責包括：●接收聲稱方的網絡應用服務請求及身份聲明；●向身份服務提供方提交身份鑒別請求；●接收身份服務提供方提供的身份鑒別斷言；●向訂戶返回應用服務響應。4用戶平提交身份鑒別請求身份服務提供方返回身份鑒別斷言確認身份依賴方訂戶圖1網絡身份服務參與方交互示意圖5.2身份服務模型網絡身份服務模型見圖2。網絡身份服務分為身份核驗服務、身份鑒別服務、身份聯合服務三類。a)身份核驗服務，流程如下。1)申請方提交身份信息和身份證明文件，進行登記；2)身份服務提供方核驗身份信息和身份證明文件，核驗通過后，向申請方頒發鑒別器，申請方獲得身份成為身份服務提供方的訂戶。b)身份鑒別服務，流程如下。1)通過鑒別協議，使用鑒別器證明聲稱方是綁定到特定鑒別器的訂戶；2)對聲稱方進行身份鑒別，身份鑒別成功后，確認該聲稱方為訂戶。c)身份聯合服務，發生在依賴方與身份服務提供方在不同安全域的情形，身份服務提供方對聲稱方進行身份鑒別后，將有關身份鑒別結果的斷言或斷言引用返回給依賴方，流程如下。1)聲稱方向依賴方發起應用服務請求并聲明身份；2)依賴方向不同域的身份服務提供方發起身份鑒別請求；3)身份服務提供方對聲稱方進行身份鑒別，向依賴方返回斷言或斷言引用，聲稱方身份得到確認；4)依賴方向訂戶返回應用服務響應。一般情況下，身份服務提供方同時提供身份核驗服務和身份鑒別服務，可提供身份聯合服務。5訂戶中請方訂戶獲得L身份身份服務提供方a)身份核驗服務訂戶聲稱方訂戶確認身份服務提供方b)身份鑒別服務圖2網絡身份服務模型身份域B依賴方訂戶5.3服務安全級別本文件分別針對身份核驗服務、身份鑒別服務、身份聯合服務分別規定了4個要求逐級遞增的安全級別，高安全級別在低安全級別的基礎上進一步提出了更高的安全要求。各安全級別主要的區別簡要描述如下，具體的安全要求見第6章。a)身份核驗服務包括下列內容。1)IAL-1,闡明了身份核驗服務最低級別的安全要求：●唯一性：身份在特定語境中是唯一的；●收集屬性類別：收集的用戶屬性能夠唯一標識用戶。2)IAL-2,在IAL-1的基礎上主要增加了收集屬性類別、實名核驗、遠程遞交材料身份核驗等方面的要求：●收集屬性類別：收集的用戶屬性能與現實世界的自然人唯一關聯，且擁有聯系方式；●核驗方法：核驗收集的身份屬性的真實性，至少采用遠程遞交材料身份核驗等方式進行核驗。3)IAL-3,在IAL-2的基礎上主要增加了環境屬性等屬性收集要求、本人遠程身份核驗等方面的要求：●收集屬性類別：在IAL-2的基礎上要求收集用戶登錄環境信息，根據業務需求收集必要的經濟屬性、社會屬性；●核驗方法：核驗收集的身份屬性的真實性，至少采用本人遠程身份核驗或本人現場身份核驗的方式進行核驗。4)IAL-4,闡明了身份核驗最高級別的安全要求，在IAL-3的基礎上主要增加了收集屬性類別、身份證明文件的數量要求、本人現場身份核驗等方面的要求：●收集屬性類別：在IAL-3的基礎上建議收集生物特征屬性、行為屬性等更多種類的身份屬性；●核驗方法：相較于IAL-3要求核驗更多數量的權威來源身份證明文件，至少采用本人現場身份核驗的方式進行核驗。6b)身份鑒別服務包括下列內容。1)AAL-1,闡明了身份鑒別服務最低級別的安全要求，支持使用單因素鑒別方式來證明聲稱方是綁定到特定鑒別器的訂戶；2)AAL-2,在AAL-1的基礎上要求使用多因素鑒別方式；3)AAL-3,在AAL-2的基礎上增加了對鑒別器中密碼技術使用要求、動態鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼軟件鑒別器或密碼設備鑒別器來實現；●動態鑒別：具備基于網絡環境的風險控制措施。4)AAL-4,闡明了身份鑒別最高級別的安全要求，相較于AAL-3,要求至少使用密碼設備鑒別器，且提高了動態鑒別要求：●鑒別因素：要求多因素鑒別方式中至少使用密碼設備鑒別器來實現；●動態鑒別：具備基于網絡環境的風險控制措施，建議具備基于用戶行為的風險控制措施。c)身份聯合服務包括下列內容。1)FAL-1,闡明了身份聯合服務最低級別的安全要求：●斷言簽名：身份服務提供方到依賴方的斷言由身份服務提供方進行簽名；●斷言類型：允許使用持有型斷言或密鑰擁有型斷言。2)FAL-2,在FAL-1的基礎上主要增加了斷言加密要求。3)FAL-3,在FAL-2的基礎上主要提高了斷言類型要求、斷言主體假名化要求：●斷言類型：要求使用密鑰擁有型斷言；●斷言主體假名化：建議斷言主體假名化，依賴方和身份服務提供方可協商確定對不同的依賴方是否使用不同的用戶假名。4)FAL-4,闡明了身份聯合最高級別的安全要求，在FAL-3的基礎上主要提高斷言假名化要求，要求斷言主體假名化，對不同的依賴方生成不同的用戶假名。服務安全級別的選取可基于風險評估的方式來確定。風險評估要素主要包括兩方面。一方面，評估網絡身份服務安全無法保證時可能導致的風險，風險類型主要包括：對個人的聲譽、生活、財產帶來影響或損失，對組織的聲譽、財產帶來影響或損失，造成個人或組織的敏感信息泄露，對社會秩序、經濟秩序或公共利益造成危害，對國家安全造成危害等；另一方面，評估風險的影響程度，如個人財產損失程度可分為小額損失、巨額損失等。綜合考慮風險及風險的影響程度，確定服務安全級別。針對三類服務可分別選擇各自的IAL、AAL、FAL,且服務安全級別可不同。第6章將針對三類服務分別給出每個級別的安全技術要求，安全技術要求參見附錄A。6服務安全技術要求6.1身份核驗服務6.1.1用戶標識要求用戶標識的唯一性要求如下：a)應確保每個用戶在身份服務提供方內擁有唯一的標識；b)應確保每個用戶在同一依賴方內擁有唯一的標識；c)可在不同依賴方內為同一用戶分配不同的標識。7實名要求如下：a)IAL-1:不要求實名，可使用匿名、假名或b)IAL-2、IAL-3、IAL-4:應進行實名核驗，應具備提供實名、匿名或假名的能力。若提供匿名或假名，具備追溯匿名者或假名者的真實身份的能力。6.1.2用戶屬性收集要求用戶屬性類型包括法定屬性、通信屬性、社會屬性、經濟屬性、生物特征屬性、環境屬性、行為屬性等，常見用戶屬性的類型見附錄B,用戶屬性收集要求如下。a)應遵循最小化原則收集滿足業務功能需要的用戶屬性。b)個人信息的收集和存儲應符合GB/T35273的規定。c)用戶屬性的類型要求如下：1)IAL-1:身份服務提供方收集的用戶屬性能夠唯一標識用戶，不需對身份的真實性進行驗證；2)IAL-2:身份服務提供方應收集真實且可被核驗的法定屬性和通信屬性；3)IAL-3:在IAL-2的基礎上，還應收集環境屬性，應根據業務需求僅收集必要的經濟屬性、社會屬性；4)IAL-4:在IAL-3的基礎上，還宜收集生物特征屬性、行為屬性。注：當收集的用戶屬性為實名認證的手機號時，由于通過該手機號能關聯到用戶的法定屬性(如姓名、身份證號),則該手機號既是通信屬性，也是法定屬性。6.1.3用戶身份核驗要求用戶身份核驗要求包括下列內容。a)身份核驗方法要求如下：1)IAL-1:不作要求；2)IAL-2:法定屬性應通過至少一種權威第三方提供的法定身份證明文件進行核驗，通信屬性應通過發送驗證信息等方式進行核驗(如向手機號發送確認信息),核驗過程應至少采用遠程遞交材料身份核驗的方式；3)IAL-3:法定屬性應通過至少一種權威第三方提供的法定身份證明文件進行核驗，通信屬性應通過發送驗證信息等方式進行核驗(如向手機號發送確認信息),經濟屬性應通過權威第三方提供的證明文件進行核驗，社會屬性應通過權威第三方提供的證明文件或質詢第三方等方式進行核驗，核驗過程應采用本人遠程身份核驗或本人現場身份核驗的方式；4)IAL-4:法定屬性應通過至少兩種權威第三方提供的法定身份證明文件進行核驗，通信屬性應通過發送驗證信息等方式進行核驗(如向手機號發送確認信息),經濟屬性應通過權威第三方提供的證明文件進行核驗，社會屬性應通過權威第三方提供的證明文件或質詢第三方等方式進行核驗，核驗過程應采用本人現場身份核驗的方式。b)通信保護要求如下：1)IAL-1:可采用密碼技術保證通信過程數據的完整性，可采用密碼技術保證通信過程重要的數據的機密性，可采用密碼技術對通信實體進行鑒別；2)IAL-2:可采用密碼技術保證通信過程數據的完整性，宜采用密碼技術保證通信過程重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別；3)IAL-3:宜采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要8的數據的機密性，應采用密碼技術對通信實體進行鑒別；4)IAL-4:應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別。6.1.4記錄和存儲要求身份服務提供方應對身份核驗服務的必要信息進行記錄和存儲，包括但不限于：收集的用戶身份信息和身份證明文件、身份核驗產生的過程信息、核驗結果等數據，并保護重要的數據的機密性和完整性。6.1.5風險緩解技術要求身份核驗服務面臨的常見風險及緩解措施見附錄C的C.1。風險緩解技術要求如下：a)IAL-1、IAL-2:應闡明能夠緩解的風險，以及采取的風險緩解措施，并提供可以證明每個緩解措施有效性的證據；b)IAL-3:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據，并提供檢測方法；c)IAL-4:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據，提供檢測方法，并接受檢測以證明其緩解風險措施的有效性。6.1.6個人信息保護要求身份核驗服務中，個人信息保護要求如下：a)身份核驗服務中個人信息的收集應符合GB/T35273中個人信息的收集要求；b)收集的用戶身份信息和身份證明文件、身份核驗產生的過程信息、核驗結果等個人信息的存儲應符合GB/T35273中個人信息的存儲要求；c)對個人信息的核驗、訪問、展示等使用環節，應符合GB/T35273中個人信息的使用要求；d)身份核驗服務中若涉及生物特征識別信息，還應符合GB/T40660的規定。網絡身份服務系統具備相應的保護能力：a)IAL-1、IAL-2:網絡身份服務系統應至少符合GB/T22239規定的第一級安全要求；b)IAL-3:網絡身份服務系統應至少符合GB/T22239規定的第二級安全要求；c)IAL-4:網絡身份服務系統應至少符合GB/T22239規定的第三級安全要求。6.2身份鑒別服務6.2.1鑒別器要求適用于身份鑒別服務的鑒別器通常包括以下幾種類型(見附錄D):——記憶秘密鑒別器；——查詢秘密鑒別器；——帶外鑒別器；——生物特征鑒別器；——單因素OTP設備鑒別器；——多因素OTP設備鑒別器；9——單因素密碼軟件鑒別器；——多因素密碼軟件鑒別器；——單因素密碼設備鑒別器；——多因素密碼設備鑒別器。單因素鑒別實現的方式包括但不限于使用如下鑒別器：——查詢秘密鑒別器；——帶外鑒別器；——單因素OTP設備鑒別器；——單因素密碼軟件鑒別器；——單因素密碼設備鑒別器。多因素鑒別實現的方式包括但不限于使用如下鑒別器：——記憶秘密鑒別器和查詢秘密鑒別器；——記憶秘密鑒別器和帶外鑒別器；——記憶秘密鑒別器和單因素OTP設備鑒別器；——記憶秘密鑒別器和單因素密碼軟件鑒別器；——記憶秘密鑒別器和單因素密碼設備鑒別器；——生物特征鑒別器；——多因素OTP設備鑒別器；——多因素密碼軟件鑒別器；——多因素密碼設備鑒別器。注：生物特征用于身份鑒別通常分為兩種情況：第一種情況，生物特征作為多因素鑒別器的鑒別因素之一，例如，多因素密碼設備鑒別器中使用生物特征激活密鑰；第二種情況，作為生物特征鑒別器使用，該情況下，生物特征與設備關聯，鑒別因素包括生物特征(自身屬性)和關聯設備(所擁有的)兩種因素，屬于多因素鑒別。鑒別器綁定要求如下：a)應維護鑒別器的綁定記錄，包括當前綁定的或綁定過的鑒別器；b)應記錄關于綁定的信息，包括但不限于綁定日期；c)應確保在身份核驗和鑒別器綁定的整個過程中是同一個用戶；d)應支持用戶在已有鑒別器的基礎上，申請綁定新的鑒別器；e)AAL-2及以上的安全級別，宜為用戶身份綁定兩種或兩種以上類型的鑒別器。鑒別器使用要求如下：a)AAL-1:應至少支持單因素鑒別方式，可使用任一種鑒別器進行身份鑒別；b)AAL-2:應使用多因素鑒別方式，不應將生物特征鑒別器作為唯一可選的多因素鑒別方式，以避免強制個人同意收集其生物特征信息；c)AAL-3:應使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設備鑒別器來實現，且所采用的密碼模塊應達到GB/T37092二級及以上安全要求；d)AAL-4:應使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設備鑒別器來實現，且所采用的密碼模塊應達到GB/T37092三級及以上安全要求，多因素鑒別方式宜包含生物特征鑒鑒別器更新要求如下：a)應在現有鑒別器到期前一段合適的時間要求用戶更新鑒別器；注：身份鑒別服務級別越高，提醒用戶更新鑒別器的頻次越多，例如：AAL-1和AAL-2設置為到期前一周提b)應與初始鑒別器頒發程序保持一致；c)更新成功后，應撤銷被替代的鑒別器。鑒別器失竊、損壞和復制要求如下：a)應采取安全措施防止鑒別器中的秘密信息被提取；b)應支持鑒別器的掛起和重新激活；c)應支持對用戶身份進行重新核驗，并綁定新的鑒別器。鑒別器到期要求如下：a)到期的鑒別器不應再用于身份鑒別；b)當用戶使用到期的鑒別器時，應告知鑒別器已到期；c)應對到期的鑒別器進行合理處置。鑒別器撤銷要求如下：a)定期檢查身份是否存在、身份是否滿足資格要求、鑒別器風險狀態等信息，當身份不存在，或用戶提出撤銷請求，或確定身份不再滿足資格要求時，或鑒別器更新后，應及時撤銷與該身份綁定的鑒別器；注：身份鑒別服務級別越高，檢查頻率越高，例如：AAL-1和AAL-2設置為每半年檢查一次，AAL-3設置為每個月檢查一次，AAL-4設置為每周檢查一次。b)撤銷的鑒別器不應再用于身份鑒別；c)當鑒別器被撤銷時，應對鑒別器進行合理處置，如回收后銷毀、徹底清除鑒別器相關數據等。鑒別協議要求如下：a)應建立安全的通信連接，通信保護要求如下：1)AAL-1:可采用密碼技術保證通信過程數據的完整性，可采用密碼技術保證通信過程重要的數據的機密性，可采用密碼技術對通信實體進行鑒別；2)AAL-2:可采用密碼技術保證通信過程數據的完整性，宜采用密碼技術保證通信過程重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別；3)AAL-3:宜采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行鑒別；4)AAL-4:應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別。b)應采用動態信息(例如，隨機數、挑戰碼)、時間戳等方式以防重放攻擊。c)使用密碼技術進行身份鑒別時，應符合GB/T15843(所有部分)的規定。d)應限制一定時間內身份鑒別的嘗試次數，例如，1min之內的嘗試次數不高于5次。e)應具備防止惡意登錄的安全機制，例如，滑動圖塊、文字點選等機制。f)移動設備生物特征識別要求應符合GB/T37036(所有部分)的規定。動態鑒別要求如下：a)AAL-1、AAL-2:不作要求；b)AAL-3:應具備基于網絡環境(例如，IP地址、終端設備、登錄地點等)的風險控制措施，發現異常或在業務關鍵操作時，應及時通過多渠道向用戶發送通知，并對用戶身份重新鑒別；c)AAL-4:應具備基于網絡環境的風險控制措施，宜具備基于用戶行為(例如，用戶登錄時間、時長、瀏覽習慣等)的風險控制措施，發現異常或在業務關鍵操作時，應及時通過多渠道向用戶發送通知，并對用戶身份重新鑒別。6.2.3會話管理要求身份鑒別成功后，身份服務提供方和用戶之間可啟動會話。當會話持續活躍超過一定時間或一段時間內不活躍時，應對用戶身份重新鑒別，重新鑒別要求如下：a)AAL-1:宜在7d內進行重新鑒別；b)AAL-2:宜在持續12h活躍后或30min不活躍后，進行重新鑒別；c)AAL-3:宜在持續12h活躍后或10min不活躍后，進行重新鑒別；d)AAL-4:宜在持續12h活躍后或5min不活躍后，進行重新鑒別。6.2.4記錄和存儲要求身份服務提供方應對身份鑒別的必要信息進行記錄和存儲，包括但不限于：使用的身份鑒別協議、身份鑒別方法、鑒別器相關數據及身份鑒別產生的過程信息、鑒別結果等數據，并保護重要的數據的機密性和完整性。6.2.5風險緩解技術要求身份鑒別服務面臨的常見風險及緩解措施見C.2。風險緩解技術要求如下：a)AAL-1、AAL-2:應闡明能夠緩解的風險，以及采取的風險緩解措施，并提供能證明每個緩解措施有效性的證據；b)AAL-3:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供能證明每個緩解措施有效性的證據，并提供檢測方法；c)AAL-4:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供能證明每個緩解措施有效性的證據，提供檢測方法，并接受檢測以證明其緩解風險措施的有效性。6.2.6個人信息保護要求身份鑒別服務中，個人信息保護要求如下：a)應僅要求用戶提供完成身份鑒別服務必要的個人信息，身份鑒別服務中個人信息的收集應符合GB/T35273中個人信息的收集要求；b)身份鑒別服務收集的鑒別器相關數據、身份鑒別產生的過程信息、鑒別結果等個人信息的存儲應符合GB/T35273中個人信息的存儲要求；c)使用鑒別器完成身份鑒別時，涉及的個人信息使用應符合GB/T35273中個人信息的使用要求；d)身份鑒別服務中若涉及生物特征識別信息，還應符合GB/T40660的規定。6.2.7系統安全保護要求網絡身份服務系統應具備相應的保護能力：a)AAL-1、AAL-2:網絡身份服務系統應至少符合GB/T22239規定的第一級安全要求；b)AAL-3:網絡身份服務系統應至少符合GB/T22239規定的第二級安全要求；c)AAL-4:網絡身份服務系統應至少符合GB/T22239規定的第三級安全要求。6.3身份聯合服務6.3.1身份聯合服務建立要求身份聯合服務建立模式包括手動注冊模式、動態注冊模式、基于權威機構的模式、基于代理的模式等類型(見附錄E),身份聯合服務建立模式的要求如下。a)應使用安全的方法交換用于建立身份聯合服務關系的密鑰信息，包括公鑰或共享的對稱密鑰。使用的對稱密鑰對于一對身份服務提供方和依賴方應是唯一的。b)身份聯合服務關系中，應建立身份服務提供方和依賴方預期可達到的以及可接受的IAL、AAL、FAL的級別。c)動態注冊模式中，身份服務提供方可對依賴方使用的屬性類型及其他信息進行限定，依賴方可對期望接受的身份服務提供方進行限定。d)動態注冊模式中，身份服務提供方應提供相應的配置信息(例如，IP地址、端口),以減少系統管理員的人工配置操作。e)動態注冊模式中，身份服務提供方可對正在動態注冊中的依賴方的屬性使用密碼技術進行驗證。f)基于權威機構的模式中，權威機構應對身份服務提供方生成的斷言進行審查，確定其符合相應g)基于權威機構的模式中，權威機構應審查確保依賴方遵守身份服務提供方的有關個人信息保護的要求。h)基于權威機構的模式中，權威機構應審查確保身份服務提供方和依賴方使用安全的聯合協議。身份聯合服務中，身份服務提供方將身份鑒別斷言傳遞給依賴方時，應采用前端通道模式或后端通道模式。a)前端通道模式流程如下(見圖3):1)身份服務提供方對用戶成功進行身份鑒別后，生成斷言并傳遞給用戶；2)用戶將斷言傳遞給依賴方。身份服務提供方用戶依賴方圖3前端通道模式流程b)后端通道模式其流程如下(見圖4):1)身份服務提供方對用戶成功進行身份鑒別后，生成斷言和斷言引用，并將斷言引用傳遞給用戶；2)用戶將斷言引用傳遞給依賴方；3)當收到斷言引用后，依賴方向身份服務提供方發起斷言請求；4)身份服務提供方將斷言發送給依賴方。身份服務身份服務提供方用戶依賴方圖4后端通道模式流程6.3.3斷言內容要求斷言內容要求如下。a)可只包含鑒別結果，也可同時包含用戶身份信息。b)應至少包含如下內容：2)發放者：發出斷言的身份服務提供方的標識符；3)接收者：接收斷言的依賴方的標識符；4)簽發時間：身份服務提供方發出斷言的時間戳；5)截止時間：斷言何時失效的時間戳；6)斷言標識符：唯一標識此斷言的值；7)簽名：身份服務提供方對斷言的數字簽名或消息鑒別碼；8)鑒別時間：身份服務提供方最近一次對用戶進行身份鑒別的時間戳。c)可包含如下內容：1)密鑰綁定：用戶擁有的密鑰標識符或公鑰；2)屬性和屬性引用：用戶屬性信息；3)屬性元數據：描述用戶屬性的附加信息。斷言可分為持有型斷言和密鑰擁有型斷言。使用持有型斷言時，不需要驗證斷言的持有者為斷言主體。使用密鑰擁有型斷言時，需要采用密碼技術驗證斷言的持有者為斷言主體。斷言類型要求如下：a)FAL-1、FAL-2:可使用持有型斷言或密鑰擁有型斷言；b)FAL-3、FAL-4:應使用密鑰擁有型斷言。6.3.5斷言保護要求斷言應被唯一標識，確保依賴方能夠區分。依賴方可基于簽發時間、斷言標識符等區分斷言。斷言簽名要求如下。a)簽名內容應覆蓋所有重要字段，包括但不限于標識符、發放者、接收者、主體和截止時間。b)應由身份服務提供方進行簽名，并由依賴方對身份服務提供方的簽名進行驗證，以保證斷言的完整性。c)斷言簽名可通過以下方式實現：1)使用身份服務提供方的簽名私鑰，生成斷言的數字簽名；2)使用身份服務提供方和依賴方共享的秘密信息，生成斷言的消息鑒別碼。d)使用數字簽名作為斷言簽名時，依賴方可在運行時以安全的方式獲取用于驗證數字簽名的公鑰。e)使用消息鑒別碼時，身份服務提供方應和不同依賴方共享不同的秘密信息。可使用依賴方的公鑰或依賴方和身份服務提供方共享的對稱密鑰，對斷言進行加密，防止非授權用戶獲取斷言信息，要求如下：a)FAL-1:不作要求；b)FAL-2、FAL-3、FAL-4:應對斷言加密。接收者限制要求如下：a)身份服務提供方應確保依賴方能識別自身是否為斷言的預期接收方；b)依賴方應檢查斷言的接收方是否包含自身的標識符。如果同一用戶在多個依賴方處具有相同的用戶標識符，那么這些依賴方可以通過該標識符關聯到該用戶在身份服務提供方的身份信息，斷言主體假名化可避免這種情況。斷言主體假名化要求如下：a)FAL-1、FAL-2:不作要求；b)FAL-3:宜將斷言主體假名化，當使用假名時，假名應不包含關于用戶的身份信息，確保依賴方無法關聯到用戶的真實身份；c)FAL-4:應將斷言主體假名化，假名應不包含關于用戶的身份信息，確保依賴方無法關聯到用戶的真實身份，斷言主體應使用假名，且應對不同的依賴方生成不同的用戶假名。6.3.6通信保護要求通信保護要求如下：a)FAL-1:可采用密碼技術保證通信過程數據的完整性，可采用密碼技術保證通信過程重要的數據的機密性，可采用密碼技術對通信實體進行鑒別；b)FAL-2:可采用密碼技術保證通信過程數據的完整性，宜采用密碼技術保證通信過程重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別；c)FAL-3:宜采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行鑒別；d)FAL-4:應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別。6.3.7會話管理要求會話管理要求如下：a)身份聯合服務中，身份服務提供方和用戶之間的會話、依賴方和用戶之間的會話獨立管理，不應假定會話間具有關聯性；b)當依賴方的會話到期且需要對用戶身份重新鑒別時，身份服務提供方的會話可能未到期，身份服務提供方可根據該會話生成新的斷言傳遞給依賴方，并告知依賴方最近一次用戶身份鑒別時間，依賴方可根據該時間決定是否需要對用戶身份重新鑒別；c)當依賴方規定了可接受的身份服務提供方鑒別用戶身份的最長期限，若到期后用戶未通過身份鑒別，則身份服務提供方應對用戶身份重新鑒別后再生成斷言。6.3.8記錄和存儲要求身份服務提供方應對身份聯合的必要信息進行記錄和存儲，包括但不限于：斷言接收者、簽發時間、截止時間、斷言類型、簽名和加密信息及其他身份聯合服務產生的相關數據，并保護重要的數據的機密性和完整性。6.3.9風險緩解技術要求身份聯合服務面臨的常見風險及緩解措施見C.3。風險緩解技術要求如下：a)FAL-1、FAL-2:應闡明能夠緩解的風險，以及采取的風險緩解措施，并提供可以證明每個緩解措施有效性的證據；b)FAL-3:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據，并提供檢測方法；c)FAL-4:應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據，提供檢測方法，并接受檢測以證明其緩解風險措施的有效性。6.3.10個人信息保護要求身份聯合服務中，個人信息保護要求如下：a)身份服務提供方為依賴方提供的用戶屬性、斷言等個人信息應符合GB/T35273中個人信息的共享要求；b)身份聯合服務中產生的相關個人信息的存儲應符合GB/T35273中個人信息的存儲要求；c)身份聯合服務中涉及的個人信息使用應符合GB/T35273中個人信息的使用要求；d)身份服務提供方應審查確保依賴方遵守身份服務提供方的有關個人信息保護的要求，包括但6.3.11系統安全保護要求網絡身份服務系統應具備相應的保護能力：a)FAL-1、FAL-2:網絡身份服務系統應至少符合GB/T22239規定的第一級安全要求；b)FAL-3:網絡身份服務系統應至少符合GB/T22239規定的第二級安全要求；c)FAL-4:網絡身份服務系統應至少符合GB/T22239規定的第三級安全要求。(資料性)網絡身份服務安全技術要求身份核驗服務、身份鑒別服務、身份聯合服務的安全技術要求匯總表見表A.1、表A.2和表A.3。表A.1身份核驗服務安全技術要求匯總表安全要素1.用戶標識要求每個用戶在同一個身份服務提供方標識是唯一的，在同一依賴方內標識是唯一的不要求實名認證應進行實名認證2.用戶屬性收集要求收集的用戶屬性能夠唯一標識用戶應收集真實且可被核驗的法定屬性和通信屬性在IAL-2基礎上還應收集環境屬性，應根據業務需求僅收集必要的經濟屬性、社會屬性在IAL-3的基礎上，還宜收集生物特征屬性、行為屬性3.用戶身份核驗要求對身份核驗方法不作要求法定屬性應通過至少一種權威第三方提供的法定身份證明文件進行核驗，通信屬性應通過發送驗證信息等方式進行核驗(如向手機號發送確認信息),核驗過程應至少采用遠程遞交材料身份核驗的方式法定屬性、通信屬性的核驗方式與IAL-2相同，經濟屬性應通過權威第三方提供的證明文件進行核驗，社會屬性應通過權威第三方提供的證明文件或質詢第三方等方式進行核驗，核驗過程應采用本人遠程身份核驗或本人現場身份核驗的方式法定屬性應通過至少兩種權威第三方提供的法定身份證明文件進行核驗，通信屬性、經濟屬性、社會屬性的核驗方式與IAL-3相同，核驗過程應采用本人現場身份核驗的方式可采用密碼技術保證數據完整性和重性，可采用密碼技術鑒別可采用密碼技術保證數據完整性，宜采用密碼技術保證重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別宜采用密碼技術保證數據完整性，應采用密碼技術保證重要的數據的機密性，應采用密碼技術對通信實體進行鑒別應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別4.記錄和存儲要求對身份核驗服務的必要信息進行記錄和存儲，包括但不限于：收集的用戶身份信息和身份證明文件、身份核驗產生的過程信息、核驗結果等數據，并保護重要的數據的機密性和完整性5.風險緩解技術要求可能面臨的風險至少考慮偽造、抵賴、泄露、篡改、釣魚攻擊等風險應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據提供可以證明每個緩解措施有效性的證據，并提供檢測方法提供可以證明每個緩據，提供檢測方法，并接受檢測6.個人信息保護要求身份核驗服務中個人信息保護要求見6.1.67.系統安全保護要求至少符合GB/T22239規定的第一級安全要求至少符合GB/T22239規定的第二級安全要求至少符合GB/T22239規定的第三級安全要求表A.2身份鑒別服務安全技術要求匯總表安全要素AAL-1AAL-2AAL-3AAL-41.鑒別器要求對綁定類型不作要求宜為用戶身份綁定兩種或兩種以上類型的鑒別器單因素鑒別方式，可使用任一種鑒別器應使用多因素鑒別方式應使用多因素鑒別方式，其中一種鑒別因素至少使用密碼軟件鑒別器或密碼設備鑒別器來實現，且所采用的密碼模塊應達到GB/T37092二級及以上安全要求應使用多因素鑒別方式，其中一種鑒別因素至少使用密碼設備鑒別器來實現，且所采用的密碼模塊應達到GB/T37092三級及以上安全要求，多因素鑒別方式宜包含生物特征鑒別因素鑒別器的更新、失竊、損壞和復制、到期、撤銷見6.2.1.4～6.2.1.62.鑒別要求應采用動態信息等方式以防重放攻擊、應限制身份鑒別的嘗試次數等可采用密碼技術保證數據完整性和重性，可采用密碼技術鑒別可采用密碼技術保證數據完整性，宜采用密碼技術保證重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別宜采用密碼技術保證數據完整性，應采用密碼技術保證重要的數據的機密性，應采用密碼技術對通信實體進行鑒別應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別對動態鑒別不作要求應具備基于網絡環境的風險控制措施，發現異常或在業務關鍵操作時，應及時通過多渠道向用戶發送通知，并對用戶身份重新鑒別應具備基于網絡環境的風險控制措施，宜具備基于用戶行為的風險控制措施，發現異常或在業務關鍵操作時，應及時通過多渠道向用戶發送通知，并對用戶身份重新鑒別3.會話管理要求宜在7d內進行重新鑒別宜在持續12h活躍后或30min不活躍后，進行重新鑒別宜在持續12h活躍后或10min不活躍后，進行重新鑒別宜在持續12h活躍后或5min不活躍后，進行重新鑒別4.記錄和存儲要求身份服務提供方應對身份鑒別的必要信息進行記錄和存儲，記錄和存儲的信息包括但不限于：使用的身份鑒別協議、身份鑒別方法、鑒別器相關數據及身份鑒別產生的過程信息、鑒別結果等數據，并保護重要的數據的機密性和完整性5.風險緩解技術要求可能面臨的風險至少考慮鑒別器失竊、鑒別器復制、竊聽、離線猜測、在線猜測、側信道攻擊、釣魚攻擊、中間人攻擊等風險應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據提供可以證明每個緩解措施有效性的證據，并提供檢測方法提供可以證明每個緩據，提供檢測方法，并接受檢測以證明其緩解風險措施的有效性6.個人信息保護要求身份鑒別服務中個人信息保護要求見6.2.67.系統安全保護要求至少符合GB/T22239規定的第一級安全要求至少符合GB/T22239規定的第二級安全要求至少符合GB/T22239規定的第三級安全要求安全要素1.身份聯合服務建立要求身份聯合服務建立模式要求見6.3.12.斷言傳遞要求斷言傳遞要求見6.3.23.斷言內容要求斷言內容要求見6.3.34.斷言類型要求可使用持有型斷言或密鑰擁有型斷言應使用密鑰擁有型斷言5.斷言保護要求斷言應被唯一標識，確保依賴方能夠區分身份服務提供方對斷言簽名對斷言加密不作要求應對斷言加密接受者限制要求見6.3.5.4斷言主體假名化要求見6.3.5.56.通信保護要求可采用密碼技術保證數據完整性和重性，可采用密碼技術鑒別可采用密碼技術保證數據完整性，宜采用密碼技術保證重要的數據的機密性，宜采用密碼技術對通信實體進行鑒別宜采用密碼技術保證數據完整性，應采用密碼技術保證重要的數據的機密性，應采用密碼技術對通信實體進行鑒別應采用密碼技術保證通信過程數據的完整性，應采用密碼技術保證通信過程重要的數據的機密性，應采用密碼技術對通信實體進行雙向鑒別7.會話管理要求會話管理要求見6.3.78.記錄和存儲要求身份服務提供方應對身份聯合的必要信息進行記錄和存儲，記錄和存儲的信息包括但不限于：斷言接收者、簽發時間、截止時間、斷言類型等，并保護重要的數據的機密性和完整性9.風險緩解技術要求可能面臨的風險至少考慮斷言泄露、身份服務提供方抵賴、用戶抵賴、斷言重放等風險應闡明能夠緩解的風險，以及采取的風險緩解措施，提供可以證明每個緩解措施有效性的證據提供可以證明每個緩解措施有效性的證據，并提供檢測方法提供可以證明每個緩解措施有效性的證據，提供檢測方法，并接受檢測以證明其緩解風險措施的有效性10.個人信息保護要求身份聯合服務中個人信息保護要求見6.3.1011.系統安全保護要求至少符合GB/T22239規定的第一級安全要求至少符合GB/T22239規定的第二級安全要求至少符合GB/T22239規定的第三級安全要求(資料性)用戶屬性的類型用戶通常有多種用戶屬性，常見的用戶屬性可按照如下方式進行分類。a)法定屬性：包括但不限于用戶的姓名、性別、出生日期、身份證件號碼、證件中的照片、住址等。這些屬性通常由政府頒發的具備法律效應的文件(例如，身份證、出生證明、護照等)來證明其真實性。b)通信屬性：包括但不限于用戶的聯系電話、郵箱、聯系地址等。這些屬性是可反映用戶聯系方式的信息。c)社會屬性：包括但不限于用戶的社會關系、教育背景、工作經歷、是否有欺詐記錄等。這些屬性是可反映用戶社會活動情況的信息。d)經濟屬性：包括但不限于用戶的資產情況、收入情況等。這些屬性是可以反映用戶經濟狀況的信息，其真實性可通過財產證明、銀行流水等方式來證明。這些屬性直接與經濟利益相關，需受到嚴格保護。e)生物特征屬性：包括但不限于指紋、虹膜、聲紋等。這些屬性是用戶所擁有的反映生物特征的信息。一旦被盜用則無法被替換，需受到嚴格保護。f)環境屬性：包括但不限于執行登錄過程時的IP地址、終端設備、登錄地點、終端等。這些屬性用于反映用戶所處的環境特征。可用于動態監測用戶在使用網絡身份服務過程中的環境安g)行為屬性：包括但不限于用戶的登錄時間、時長、瀏覽習慣、鍵盤鼠標操作習慣等。這些屬性用于反映用戶的行為特征。(資料性)網絡身份服務風險緩解C.1身份核驗服務的風險緩解身份核驗服務中，至少考慮到表C.1列出的風險，并采取措施進行緩解。表C.1身份核驗服務可能面臨的風險和緩解措施序號可能的風險示例可采取的緩解措施1偽造偽造身份證明文件1)核驗身份證明文件的物理安全性；2)通過比對權威第三方數據核驗身份證明文件中的身份信息2抵賴某個申請方在完成登記后，聲稱其沒有登記過要求申請方提交一份簽名表單3泄露口令在傳輸過程中被攻擊者復制采用安全的渠道交付并確認4篡改口令在傳輸過程中被攻擊者篡改1)采用安全的渠道交付并確認；2)支持用戶對所接收的信息進行完整性校驗5釣魚攻擊用戶身份信息被冒充的網站所竊取1)使用來自正規來源的網站地址；2)基于密碼技術對網站進行鑒別C.2身份鑒別服務的風險緩解身份鑒別服務中，至少考慮到表C.2列出的風險，并采取措施進行緩解。表C.2身份鑒別服務可能面臨的風險和緩解措施序號可能的風險示例可采取的緩解措施1鑒別器失竊鑒別器丟失或被盜取1)提供掛失措施；2)使用多因素鑒別器2鑒別器復制鑒別器被非法復制采用防偽造技術(例如，密碼技術)3竊聽通過未加密的網絡傳輸鑒別器的秘密信息，被攻擊者截取1)鑒別過程使用動態的鑒別參數(例如，動態口令);2)秘密信息在傳輸之前進行加密處理4重放攻擊攻擊者可重放先前截獲的用戶與依賴方之間的信息，冒充用戶向依賴方鑒別鑒別協議中使用挑戰碼、隨機數等5離線猜測通過對需要口令激活的多因素密碼硬件鑒別器進行字典攻擊，識別出正確口令限制激活鑒別器的嘗試次數6在線猜測猜測記憶秘密鑒別器或單因素OTP設備鑒別器的輸出1)使用強口令；2)限制身份鑒別的嘗試次數表C.2身份鑒別服務可能面臨的風險和緩解措施(續)序號可能的風險示例可采取的緩解措施7側信道攻擊通過對鑒別器進行差分功耗分析或通過分析多次交互的響應時間來提取密鑰使用抗功耗分析的密碼技術實現8釣魚攻擊口令被冒充的網站所竊取1)禁止來自不可信來源的圖像和超文本鏈接以及在電子郵件客戶端中提供視覺提示等方法保護實體免遭網絡欺詐攻擊；2)通信前基于密碼技術對通信雙方進行鑒別9中間人攻擊攻擊者將自己置于用戶和身份服務提供方之間，截獲并修改鑒別協議消息的內容1)使用雙向鑒別機制，確保通信雙方能夠確認對方身份；2)采用數字簽名保護消息的完整性C.3身份聯合服務的風險緩解身份聯合服務中，至少考慮