网络身份基于风险保障等级确定方法、鉴别器类型和要求、身份联合模式和要求

　附 录 A （资料性附录）

　基于风险的保障等级确定方法 A.1 等级划分 根据网络身份服务可能面临的风险，可将网络身份服务分为4个保障等级。网络身份服务安全无法保障时，所面临的风险越大（即表明可能带来的损失越大），则需采取越高的保障等级的身份服务。

　a) 第1级：网络身份服务安全无法保障时，会对个人声誉和个人生活带来不便、困扰或损坏，且影响程度低。不会对个人或组织带来财务损失。不会对社会秩序、经济秩序或公共利益带来危害，不会造成个人或组织的敏感信息泄露。不会威胁人身安全。

　b) 第2级：网络身份服务安全无法保障时，会对个人声誉和个人生活带来不便、困扰或损坏，且影响程度低。或对个人或组织带来小额财务损失。或对社会秩序、经济秩序或公共利益带来危害，影响程度低。或造成个人或组织的低敏感信息泄露。不会威胁人身安全。

　c) 第3级：网络身份服务安全无法保障时，会对个人声誉和个人生活带来不便、困扰或损坏，且影响程度中等。或对个人或组织带来中等额度财务损失。或对社会秩序、经济秩序或公共利益带来危害，影响程度中等。或造成个人或组织的中等敏感信息泄露。不会威胁人身安全。

　d) 第4级：网络身份服务安全无法保障时，会对个人声誉和个人生活带来不便、困扰或损坏，且影响程度高。或对个人或组织带来大额财务损失。或对社会秩序、经济秩序或公共利益带来危害，影响程度高。或造成个人或组织的高敏感信息泄露。或可能威胁人身安全。

　A.2 定级要素 网络身份服务保障等级由两个定级要素决定：网络身份服务安全无法保障时可能面临的风险和风险可能带来的影响程度。

　可能面临的风险包括：

　——对个人声誉和个人生活带来不便、困扰或损坏； ——对个人或组织带来财务损失； ——对社会秩序、经济秩序或公共利益带来危害； ——造成个人或组织的敏感信息泄露； ——威胁人身安全。

　风险可能带来的影响或损失程度包括：

　——无：没有影响和损失，或影响和损失极小； ——低：影响时间短，影响范围小，带来的损失小，或涉及金额很小； ——中：影响时间控制在一定范围内，影响范围控制在一定范围内，带来的损失控制在一定范围内，或涉及中等额度金融交易； ——高：影响时间很长，影响范围很大，带来的损失很大，或涉及大额金融交易。

　A.3 定级要素和保障等级关系 定级要素与网络身份服务保障等级的关系如表1所示。

　 表 A.1 定级要素和保障等级的关系

　 影响程度 第1级 第2级 第3级 第4级 对个人声誉和个人生活带来不便、困扰或损坏 低 低 中 高 对个人或组织带来财务损失 无 低 中 高 对社会秩序、经济秩序或公共利益带来危害 无 低 中 高 造成个人或组织的敏感信息泄露 无 低 中 高 威胁人身安全 无 无 无 有

　 安全等级 可能的风险

　附 录 B （规范性附录）

　鉴别器类型和要求 B.1 记忆秘密鉴别器 记忆秘密鉴别器是用户选择和可记忆的秘密值（如口令或PIN码），要求如下：

　a) 记忆秘密应具有足够的复杂性和机密性，使得攻击者难以猜测或发现正确的秘密值； b) ISP宜限制身份鉴别失败的尝试次数； c) ISP应维护一张易于猜测的口令黑名单（例如，包含123456或111111类似口令的列表），如果记忆秘密出现在黑名单中，ISP不应允许用户选择这些秘密值。

　B.2 查询秘密鉴别器 查询秘密鉴别器是存储用户和 ISP 共享的秘密的物理或电子记录，用户使用该鉴别器查找适当的秘密以回复来自验证者的挑战命令。例如，ISP 可能要求用户从打印在表格中的数字或字符串中提供特定子集。要求如下：

　a) ISP应使用随机比特生成器来生成密钥列表，并应安全地交付给用户； b) 查询秘密应具备足够的复杂性和机密性； c) ISP宜限制身份鉴别失败的尝试次数； d) 如果顺序地使用列表中的查询秘密，用户可在身份鉴别成功后销毁使用过的秘密。

　B.3 带外设备 带外设备鉴别器是唯一可寻址的硬件设备，可通过特殊信道或辅助信道安全地与验证者进行远程交互。设备由用户拥有和控制，支持独立于用户身份鉴别主通道的专有通信信道。例如，用户尝试登陆时，需要鉴别用户在手机上接收短信的内容。要求如下：

　a) 应在带外设备鉴别器和验证者之间建立独立的信道，用于提取带外信道中的秘密或鉴别请求，两个信道的终端可是同一设备，该情况下应确保未经用户授权，信息不能从一个信道泄露到另一个信道； b) 带外设备应是唯一寻址的； c) 辅助信道上的通信应加密； d) 如果身份鉴别在一定时间内未完成，应被视为无效身份鉴别； e) ISP宜限制身份鉴别失败的尝试次数； f) 如果不能证明对带外设备的独占性的身份鉴别方法（例如，通过接收邮件信息或其他实时信息并不能证明对设备的独占性）不应作为带外鉴别方法； g) 在设备被所有者锁定的情况下，如果验证者将秘密发送给带外设备，不宜在设备上直接显示鉴别秘密，宜在锁定的设备上做出收到了鉴别秘密的提示。

　B.4 OTP 设备 OTP 设备是支持自发生成一次性口令的硬件设备，包括硬件设备以及安装在硬件之上的基于软件的一次性口令生成器。通过将显示在设备上的一次性口令，由用户输入给验证者，从而证明用户对设备的拥有和控制。OTP 设备的输出由对称密钥、随机数 nonce 经过密码算法计算得到。对称密钥持续于整个设备的生命周期，随机数 nonce 在鉴别器每次使用时改变或基于一个实时的时钟来进行更新。OTP 设备分为单因素 OTP 和多因素 OTP 设备。多因素OTP 设备需通过额外的鉴别因素（例如，记忆秘密或生物特征）激活后，才能产生用于鉴别的一次性口令。要求如下：

　a) 鉴别器中所使用的密钥和密码算法应符合法律、法规的规定和密码相关国家标准、行业标准； b) 随机数nonce应足够长，以确保该随机值在设备整个生命周期的每个操作中具备唯一性； c) 鉴别器的输出可由分组密码算法或者杂凑函数计算获得，并且能以安全的方式将密码算法或杂凑函数与对称密钥和随机数nonce进行联结； d) 如果用于生成鉴别器输出的随机数nonce是基于时钟产生的，该随机数应至少每2mins改变一次，且与每个给定的随机值关联的鉴别器的输出值应只被接受一次。

　e) 对于多因素OTP设备，任何用于激活鉴别器的记忆秘密，应具有足够的复杂性，并且ISP宜限制身份鉴别失败的尝试次数； f) 对于多因素OTP设备，使用生物特征激活鉴别器时，生物特征激活因素应满足生物识别技术应用要求的限制，并且ISP宜限制身份鉴别失败的尝试次数；

　g) 未加密的密钥和激活秘密或生物样本（以及任何来源于生物样本的生物特征数据）应在口令生成后立即从内存中擦除。

　B.5 密码软件 密码软件（如数字证书）是存储在磁盘或其他“软”介质的密钥，通过证明对密钥的拥有和控制完成鉴别。可分为单因素密码软件和多因素密码软件。多因素密码软件需通过额外的鉴别因素激活（例如，记忆秘密或生物特征）。要求如下：

　a) 单因素密码软件封装的密钥，对鉴别器来说应具备唯一性； b) 密钥应存储于安全的设备存储区域（例如，存储于可信平台模块或可信执行环境）； c) 应采用访问控制机制防止密钥的非授权访问，限制密钥应只能被设备上应要访问密钥的软件组件访问； d) 对于多因素密码软件，任何用于激活鉴别器的记忆秘密，应具有足够的复杂性，并且ISP宜限制身份鉴别失败的尝试次数； e) 对于多因素OTP设备，使用生物特征激活鉴别器时，生物特征激活因素应满足生物识别技术应用要求的限制，并且ISP宜限制身份鉴别失败的尝试次数；

　f) 未加密的密钥和激活秘密或生物样本（以及任何来源于生物样本的生物特征数据）应在身份鉴别发生后立即从内存中擦除。

　B.6 密码设备 密码设备是一种硬件设备，可分为单因素密码设备和多因素密码设备。多因素密码设备是使用受保护的密钥执行密码操作的硬件设备，受保护的密钥应由额外的鉴别因素激活。要求如下：

　a) 密码设备鉴别器封装了一个密钥，该密钥对鉴别器来说应具备唯一性，且该密钥不能从设备中被移除； b) 密码设备中所使用的密钥和密码算法应符合法律、法规的规定和密码相关国家标准、行业标准； c) 密码设备应要求有物理输入（如按键）以方便操作，并能防止设备的非法操作，非法操作可能源于设备连接了其他不安全的设备。

　d) 对于多因素密码设备，密钥封装于防篡改的硬件中，该密钥对密码设备来说应具备唯一性，并且应要通过输入额外的因素（如记忆秘密或生物信息）才能被访问； e) 对于多因素密码设备，额外鉴别因素可通过直接输入或硬件连接的方式输入； f) 对于多因素密码设备，任何用于激活鉴别器的记忆秘密，应具有足够的复杂性，并且ISP宜限制身份鉴别失败的尝试次数；

　g) 对于多因素密码设备，使用生物特征激活鉴别器时，生物特征激活因素应满足生物识别技术应用要求的限制，并且ISP宜限制身份鉴别失败的尝试次数； h) 未加密的密钥和激活秘密或生物样本（以及任何来源于生物样本的生物特征数据）应在身份鉴别发生后立即从内存中擦除。

　B.7 生物特征 用户的生物特征包括但不限于指纹、虹膜、掌纹、人脸等。这些信息一旦被盗用则无法被替换，应严格保护此类信息。要求如下：

　a) 对生物特征信息的保护应遵循GB/T XXXXX（信息技术 安全技术 生物特征识别信息的保护要求）； b) 利用生物特征进行身份鉴别宜与其他鉴别因素共同使用； c) 应对生物鉴别系统限制身份鉴别失败的尝试次数； d) 生物特征识别系统应通过实验测试，确保足够低的错误率和错误匹配率； e) 当生物识别传感器和后处理单元不是紧密集成在一起时，传感器有被替换的风险，传感器应具备能够证明自身是合法传感器的机制，从而抵抗替换攻击； f) 生物鉴别匹配宜在用户的本地设备上进行，也可在中心验证者处执行。如果匹配计算在中心验证者处进行，则生物鉴别的使用应与一个特定的设备绑定，应使用密码算法来鉴定该设备，在传感器捕获用户生物样本之前，应先对传感器进行鉴别； g) 所有的生物鉴别信息的传输应使用已通过验证的受保护通道； h) 生物样本（和任何从生物样本提取的生物信息）应在身份鉴别发生后立即从内存中擦除。

　附 录 C （规范性附录）

　身份联合模式和要求 C.1 概述 本标准给出了联合身份鉴别系统中常见的身份联合模式，每一种模式以不同的方式对各参与方建立联系。

　C.2 手工注册模式 手工注册模式中，身份服务提供方和依赖方通过手工配置信息的方式，与期望交互的联合方建立联系。

　身份服务提供方可对期望交互的依赖方建立“白名单”，身份服务提供方可向名单中包含的依赖方传递信息。如果依赖方没有被列入白名单，身份服务提供方在向依赖方传递用户信息之前，用户可参与以做出合适的鉴别中授权决定（见 C.6）。

　身份服务提供方和依赖方可由自己决定期望交互的联合方，也可由外部的联合权威机构决定（见基于联合权威机构的模式）。

　传送密钥信息的协议中，应使用安全的方法建立密钥信息，此处的密钥信息指在注册阶段用于建立联合关系所使用的密钥信息，包括公钥或共享秘密。联合关系建立中使用的任何对称密钥对于联合双方应是唯一的。

　联合关系中，应明确联合双方预期可达到的以及可接受的安全保证等级，并建立相关参数。例如，依赖方只能接受来自保障等级为二级的身份服务提供方提供的服务。

　C.3 动态注册模式 动态注册模式中，可在交易过程中建立联合双方的关系，无需手工配置建立和联合方的联系。支持动态注册的身份服务提供方应使其相应的配置信息（如动态注册端点）可用，从而减少系统管理员的参与。

　传送密钥信息的协议中，应使用安全的方法建立密钥信息，此处的密钥信息指在注册阶段用于建立联合关系所使用的密钥信息，包括公钥或共享密钥。联合关系建立中使用的任何对称密钥对于联合双方是唯一的。

　动态注册模式中，身份服务提供方在向依赖方传递用户信息之前，要求用户做出合适的鉴别中授权决定（见鉴别中授权模式的内容）。如果身份服务提供方支持依赖方动态注册，身份服务提供方可对依赖方可使用的属性类型及其它可用信息进行限定。如果依赖方支持身份服务提供方动态注册，则依赖方应规定期望接受哪个身份服务提供方提供的身份信息。

　通常，动态注册模式中的各方不会提前知道对方的信息。可能的情况下，该信息应通过软件声明的方式加以说明，用以验证动态注册中参与方的属性。软件声明是描述依赖方软件的属性列表，由权威机构（身份服务提供方本身，或联合权威机构，或其它可信方）加密签名。

　C.4 基于联合权威机构的模式 联合权威机构用于做出联合决定，帮助参与方建立联合工作关系。在该模式中，联合权威机构对各参与方进行一定程度的审查，以验证各参与方及其参与活动是否符合预定的安全要求和完整性要求。

　联合权威机构应针对联合关系参与方，建立有关预期接受的以及可接受的安全保证等级的参数。联合机构应单独审查每个参与方，以确定其符合预期的安全要求、身份要求、个人信息要求。对身份服务提供方和依赖方的审查应至少保证：

　a) 身份服务提供方生成的断言应符合相应的断言要求； b) 身份服务提供方和依赖方应使用安全的联合协议。

　C.5 基于代理的联合模式 基于代理的联合模式中，身份服务提供方和依赖方不直接通信，而是通过中介（称为代理）实现通信。实现基于代理的联合方法很多，常见如下：

　a) 依赖方充当联合代理； b) 网络结点充当联合代理。

　对于身份服务提供方 A，代理充当依赖方的角色，对于依赖方而言 B，代理则充当身份服务提供方的角色，因此，对身份服务提供方和依赖方的要求同样适用于充当各自角色的代理。

　身份服务提供方A依赖方A身份服务提供方B依赖方B代理交互 交互 图 C.1 基于代理的联合模式 C.6 鉴别中授权模式 联合关系的建立并不代表各联合方之间允许传递信息。联合方可通过对其他联合方建立白名单，以此允许与联合方之间的信息传递；联合方可通过对其他联合方建立黑名单，以此表明不允许与黑名单中的联合方传递信息。联合方既不在白名单也不在黑名单的情况下，应设为默认，该情况下，通过用户完成鉴别中授权决定。

　为了降低敏感信息的暴漏风险，默认情况下，可采用掩盖机制（即掩盖敏感信息）以降低该风险。同时，身份服务提供方应为依赖方提供暂时取消掩盖的机制，以便依赖方能查看完整信息。

　用户应能查看待发送的属性值。可采用掩盖机制减少敏感信息暴露的风险。身份服务提供方应提供有效机制解决用户的有关疑问（如，用户识别到不准确的属性值）。

　用户的属性在传送到任何依赖方之前，用户应接收明确的告知，且能提供有效确认。如果协议允许可选属性，用户应被提供选项，以决定这些属性是否被传递给依赖方。身份服务提供方可采取机制记录和重发该属性包到同一个依赖方。