《信息安全技术 网络身份服务安全技术要求-编制说明》

一、工作简况

1.1任务来源

根据国家标准化管理委员会在2019年国家标准制修订计划，《信息安全技术

网络身份服务安全技术要求》由北京数字认证股份有限公司承办。该标准由全国

信息安全标准化技术委员会归口。

1.2主要起草单位和工作组成员

本标准由北京数字认证股份有限公司主要负责起草，中国科学院数据与通信

保护研究教育中心、公安部第一研究所、中国电子技术标准化研究院、支付宝（中

国）网络技术有限公司、中国科学院软件研究所、联想（北京）有限公司、国民

认证科技（北京）有限公司、北京中盾安信科技发展有限公司等共同参与该标准

的起草工作。

1.3主要工作过程

（1）2018年9月至12月，标准起草组讨论并确定标准的范围、框架及主要技

术内容。

（2）2019年1月至3月，研究国内外相关标准内容和技术，结合实际情况，

开展标准文本的起草工作，形成标准草案初稿。

（3）2019年4月，参加2019年WG4工作组国家标准专家审查会，以及参加信

安标委2019年第一次工作组“会议周”，专家针对标准范围、分级角度等提出意

见和建议，编制组根据专家意见对标准草案进行修改。

（4）2019年10月，参加2019年WG4工作组国家标准专家审查会及2019年第二

次工作组会议，专家针对标准中文字表述、与等保安全要求的关系等方面提出意

见额建议，根据专家意见对标准草案进行修改。

1.4各阶段意见处理情况

（1）草案稿阶段：工作组草案阶段，收到来自WG4工作组专家意见33条，采

纳25条，部分采纳2条，未采纳6条。

二、标准编制原则和确定主要内容的论据及解决的主要问题

（一）本标准基于以下原则编制：

1．遵循现行国家标准，采用和借鉴国内外先进标准

本标准按国家标准GB/T1.1-2009规定的格式予以编写。

2．贯彻国家有关政策与法规

本标准中涉及的密码算法遵循国家商用密码的有关规定。

3．认真听取、分析各方意见，做好意见的处理和反馈

《信息安全技术网络身份服务安全技术要求》标准草案稿的编制过程中，

各起草单位齐心协力，进行了充分地沟通和交流，形成了标准起草组内统一的标

准文本。

（二）本标准的主要内容

本标准规定了网络身份服务的安全要求，包括网络身份服务的参与方、参与

方的角色和职责、安全架构、网络身份服务的通用安全要求和分级安全要求。

本标准适用于网络身份服务的部署、网络身份服务的评估评价。

三、主要试验[或验证]情况分析

本课题组参与的十三五重点研发计划“身份管理互操作及可信等级评估规范

与工具”课题（2016YFB0800504）中，基于本标准内容形成了“网络身份服务可

信度评估工具”，本课题组利用该评估工具对支付宝身份管理平台、中科院CA、

中国金融认证中心、公安部一所真实身份证明与核验系统等8个身份管理平台展

开可信度评估，评估体系的科学性、实用性在实例平台得到验证支持。

四、知识产权情况说明

在本标准的草案稿封面，都注明了“在提交反馈意见时，请将您知道的相关

专利连同支持性文件一并附上”。截止目前，没有收到任何单位反馈的专利声明。

五、产业化情况、推广应用论证和预期达到的经济效果

本项目的实施，将向网络身份服务参与方提供身份服务管理的安全技术指

导，指导网络身份服务参与方根据安全需求部署安全措施、实施身份服务安全自

查，同时为监管机构管理网络身份服务提供依据。为身份服务提供方、第三方应

用（依赖方）在开展和使用用户身份服务时提供安全技术指导，同时为监管机构

管理网络参与方提供安全技术指导，实现根据安全需求不同，配置不同的安全保

护措施的目的，应对网络身份服务的多样化和差异化发展，为监管方有效管理差

异化的网络身份服务提供依据，推进网络空间有序、健康发展。

通过研制网络身份服务安全要求标准，给出系统性、全面性的综合评估评价

指标体系，推动网络身份服务安全技术的规范化，推动身份服务安全技术的进步，

促进信用体系建设，增强市场活力，推进网络健康、有序发展。

六、采用国际标准和国外先进标准情况

本标准参考了ISO、NIST、英国、欧盟等主要标准组织和发达国家在网络身

份服务领域的相关标准，包括ISO/IEC29115“实体鉴别保障框架”、NISTSP

800-63-3“数字身份指南”、ISO/IEC29003-2013“身份证明规范”、GPG

45-2014“个人身份证明与认证”等身份鉴别保障类标准，OpenID、SAML和OAuth

等互联互通技术标准。这些标准在国际及国内具备较高的技术先进性、创新性和

认可度。各标准选取的安全技术要素、安全要素架构值得我们研究学习，同时针

对不同安全需求提出分级安全要求的思路也值得借鉴。

在参考主要标准组织和国家相关标准的基础上，本标准将立足我国实际国

情，提出符合我国国情的网络身份服务安全技术要求。此外，在分级要素选取和

具体要求制定方面也将更符合我国实际应用需求。

七、与现行相关法律、法规、规章及相关标准的协调性

（一）贯彻国家有关政策与法规

本标准中涉及的密码算法遵循国家商用密码的有关规定。

（二）与相关国内相关标准的关系

本项目与现行法律、法规、强制性国家标准及相关标准协调一致。网络可信

身份服务安全要求是我国网络可信体系的一部分，主要用于规范可信身份服务领

域的安全性。我国于2017年6月正式实施《中华人民共和国网络安全法》，从法

律的角度为网络空间身份服务管理提供一定依据。针对个人信息保护，我国积

极开展标准研制工作，包括“个人信息安全规范”（GB/T35273-2017）、“公

共及商用服务信息系统个人信息保护指南”（GB/Z28812-2012）、“个人信息去

标识化指南”、“个人信息安全影响评估指南”等，针对个人信息面临的安全问

题，规范网络身份服务中个人信息控制者在收集、保存、使用、共享等信息环节

中的相关行为，对个人信息的处理过程、去标识化方法、安全影响评估多方面进

行规范，提供指导。2018年立项的国标“实体鉴别保障框架”，给出了网络实体

鉴别总体框架，规定实体鉴别的保障级别，并确定实现这些保障级别的规范和指

导原则。本标准在安全等级划分和安全要求制定时，参考了网络安全等级保护相

关标准（GB/T22239-2019信息安全技术网络安全等级保护基本要求、GB/T

22240-2008息安全技术信息系统安全等级保护定级指南）。提供网络身份服务

网络身份服务系统应满足GB/T22239-2019（信息安全技术网络安全等级保护基

本要求）中相应的技术要求和管理要求。

本项目提出《信息安全技术网络身份服务安全技术要求》，可作为身份管

理类的标准，系统性、全面性对网络身份服务安全进行评价和技术指导，为网络

身份服务安全提供技术指导。本标准将与以上法律和标准统一规范网络身份服务

领域安全要求，对我国互联网、金融、政务等领域的可信身份服务提供保障。

八、重大分歧意见的处理经过和依据

本标准起草过程中未出现重大分歧。

九、标准性质的建议

本标准应作为一项推荐性国家标准。

十、贯彻标准的要求和措施建议

暂无。

十一、替代或废止现行相关标准的建议

本标准首次制定，无废止、替代标准。

十二、其它应予说明的事项

暂无。