《信息安全技术 网络用户身份鉴别技术和测评要求》

ICS

点击此处添加中国标准文献分类号

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术网络用户身份鉴别技术指南

Informationsecuritytechnology-Technicalguideforidentityauthenticationover

network

点击此处添加与国际标准一致性程度的标识

（征求意见稿）

（本稿完成日期：2016-07-15）

XXXX-XX-XX发布XXXX-XX-实施

GB/TXXXXX—XXXX

I

GB/TXXXXX—XXXX

信息安全技术网络用户身份鉴别技术指南

1范围

本标准指出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁，并提出了缓

解威胁的方法。

本标准适用于的网络环境下用户身份鉴别机制的设计、开发与测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于

本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB17859-1999计算机信息系统安全保护划分准则

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

GB/T25069-2010信息安全技术术语

3术语和定义

GB17859-1999、GB/T18336-2015和GB/T25069-2010界定的以及下列术语和定义适用于本

文件。

3.1

声称者claimant

网络身份鉴别过程中，被验证的人。

3.2

申请者applicant

注册过程中，发起请求的人。

3.3

验证者verifier

网络身份鉴别过程中，验证身份的机构或组织。

3.4

依赖方relyingparty

依赖于电子身份验证协议的结果从而建立声称者身份或者属性的信任关系的机构或组织。

3.5

1

GB/TXXXXX—XXXX

凭证certificate

声称者拥有并且控制的，可用于证明声称者身份的物品或信息。

3.6

凭据credential

用于验证用户身份的信息。

3.7

凭据服务提供者credentialserviceprovider

发布或者注册合法用户的凭证，并且为合法用户颁发凭据的机构或组织。

3.8

合法用户subscriber

从凭据服务提供者得到凭证的人。

3.9

断言assertions

验证用户身份的判断结果。

3.10

断言参考assertionreference

和断言结合的，保护验证者持有的断言的位置信息一个数据对象。

3.11

身份确认identityproofing

采集身份信息，并确认的过程。

4缩略语

下列缩略语适用于本文件。

ASP：应用服务提供者（ApplicationServiceProvider）

CSP：凭据服务提供者（CredentialServiceProvider）

CRL：凭证撤销列表（CertificateRevocationList）

DNS：域名系统（DomainNameSystem）

HTTP：超文本传送协议（HypetextTransferProtocol）

MF：多因素（MultipleFactor）

OTP：动态口令（OneTimePassword）

RA：注册机构（RegistrationAuthority）

RP：依赖方（RelyingParty）

2

GB/TXXXXX—XXXX

SF：单因素（SingleFactor）

SSL：安全套接层（SecureSocketsLayer）

TTP：可信第三方（TrustedThirdParty）

TLS：安全传输层协议（TransportLayerSecurity）

5描述

5.1身份鉴别模型

身份鉴别指的是在信息系统中识别用户身份的过程。系统根据对用户的鉴别结果和用户的身

份来确定该用户是否拥有执行某项操作的权限。

身份鉴别从注册开始。注册过程通常为：申请者向注册机构（RA）申请成为凭据提供服务

者（CSP）的合法用户。如果申请通过，CSP为合法用户颁发一个凭证，并将凭证与用户标识绑

定。这个凭证可以是CSP签署的，也可以直接由合法用户生成，或者由第三方提供。CSP创建一

个凭据，并将凭证与用户标识或注册机构认可的其他属性绑定，从而成功注册凭证。凭证和凭据

在接下来的鉴别过程中使用。

用户身份鉴别机制的模型如图1所示。

对于单向鉴别，A为声称者，B为验证者；对于双向鉴别，A和B既是声称者，又是验证者；

对于可信第三方参与的鉴别，A、B均是声称者，TTP是验证者。

为了实现身份鉴别，双方需要交换鉴别消息。在单向鉴别中至少要交换一次鉴别消息，而在

双向鉴别中至少要交换两次鉴别消息。如果涉及可信第三方（TTP）可能需要再增加几次传递。

(a)单向鉴别（b）双向鉴别

(c)可信第三方参与的鉴别

图1用户身份鉴别一般模型

图1中的连线表示可能存在的信息流。声称者A和声称者B可以相互直接交换消息，也可以直

接与可信第三方交互，或分别通过B/A间接与可信第三方交互，或利用可信第三方发布的消息。

5.2申请者，注册机构和凭据服务提供者

3

GB/TXXXXX—XXXX

在凭据不同的生命周期中，用户根据其角色可被称为申请者，合法用户，声称者。其中，申

请者向CSP申请凭据，如果CSP批准申请并向申请者颁发凭据，那么该申请者成为CSP的合法

用户。一个用户可以是不同CSP的合法用户，以在不同应用中获得合适的凭据。用户在鉴别协议

中通过与验证者的交互来证明他们是特定凭据的合法用户。

CSP建立了机制来实现每个合法用户的鉴别唯一性，注册合法用户的凭证，并跟踪每个凭证

相关的各个凭据。合法用户可能在申请时得到凭证，同时得到凭据，也可能根据需要在以后产生

凭据。合法用户有义务维护他们的凭证并遵循CSP的要求。CSP（或者RA）保存每个合法用户

的注册记录以保证注册记录可恢复。

5.3凭证

鉴别系统的经典范式确定了三个因素验证的基石：

知道的信息（比如口令等）；

拥有的东西（比如智能卡、动态口令凭证、智能密码钥匙、数字证书等）；

固有的特征（比如指纹、虹膜或者其他生物信息）。

多因素的鉴别指多于一个条件的组合。鉴别系统的强度很大程度上是由系统中以上因素的个

数决定的。使用两个因素比仅仅使用一个因素要强；使用三个因素的系统要比仅仅使用两个因素

的系统要强。

声称者拥有并且控制一个在CSP注册的凭证以证明该声称者的身份。凭证中包含秘密信息以

证明声称者是某个凭据的合法用户。在网络用户身份鉴别中，声称者通过证明他拥有且控制某个

凭证从而可在网络中通过某个系统的身份鉴别。

5.4凭据

网络用户身份鉴别凭据在签发的过程中将凭证和合法用户的标识绑定。凭据是由CSP签发和

维护的；验证者使用凭据鉴别声称者的身份。

5.5鉴别过程

鉴别过程开始后，声称者通过鉴别协议声称持有以及控制和验证者断言特性相关的凭证。一

旦持有和控制被证实，验证者通常通过和CSP交互证明凭据是合法的。

验证者和声称者在鉴别协议中的交互过程对于决定系统的总体安全性是极其重要的。设计良

好的鉴别协议在鉴别期间和之后都能保护声称者和验证者之间会话的完整性和保密性，它能限制

攻击者伪装成合法验证者进行破坏造成的损失。此外，验证者能够通过限制攻击者不正确验证的

频率从而降低在线猜测攻击的成功率。

5.6验证者

验证者是一个功能角色，常常和CSP或者RP实现在一起。如果验证者是和CSP分开的单独

模块，应确保验证者在鉴别过程中并不知道合法用户的凭证秘密，或者至少保证验证者只能对

CSP保存的凭证秘密进行受限访问。

5.7断言

在鉴别过程结束后，验证者产生了对鉴别结果的断言，并将断言提交给RP。如果验证者和

RP实现在一起，断言是隐式的。如果验证者是和RP分开的，断言则被用来从验证者传递声称者

信息或者鉴别过程到RP。断言可以被直接呈现给RP，也能由声称者传递给RP。

4

GB/TXXXXX—XXXX

5.8依赖方

RP依赖于一个电子身份鉴别协议的结果从而建立合法用户身份或者属性的信任关系，从而可

以执行某些事务。RP会使用合法用户的鉴别身份、全局的鉴别保证等级，以及其他的因素去实施

鉴别断言或者访问控制。验证者和RP可能是同一个实体，或者是不同的实体。如果他们是不同的

实体，RP通常从验证者收到断言。RP必须保证断言是从RP信任的验证者传过来的。

6等级

本标准按照网络身份鉴别技术强度，以及参照GB17859-1999，对网络身份鉴别技术进行划

分。安全等级分为基本级和增强级，重要信息系统建议使用增强级的网络身份鉴别技术，并使用

符合国家密码管理规定的凭证。

7注册和发放过程

7.1概述

在注册过程中，申请者向注册机构（RA）申请成为凭据提供服务者（CSP）的合法用户，RA

对申请者进行身份确认。如果RA能够确认申请者的身份，CSP会为申请者注册并颁发一个凭证，

同时生成凭据（该凭据将凭证和申请者的身份或其他相关属性进行绑定）。至此申请者就成为了

CSP的一个合法用户，并且可以在鉴别协议中使用凭证证明其为真正的声称者。这部分介绍了注

册以及凭证和凭据签发的要求。

RA可以是CSP的一个部分，也可以是一个独立的机构或组织，但无论是哪种情况，RA与

CSP之间始终应存在一种信任关系。若RA与CSP是分开的机构或组织，则需建立信任关系。

RA或CSP保存注册记录。RA和CSP可代表一个组织提供服务，也可面向公众提供服务。在这

两种不同的服务中，RA使用的身份确认过程和机制也存在不同。当RA代表一个组织进行身份

确认时，可能会受预先存在的关系（如，申请者是此组织的雇员）影响。当RA向公众提供服务

时，身份确认过程一般只限于确认其证件、手机号和电子邮件等信息和先前发放的凭据。

注册和身份确认过程应确保RA/CSP知道申请者的真实身份。具体来说是为了确保以下内容：

用户与申请者声称的属性存在，且这些属性足够用于唯一标识一个用户；

拥有注册凭证的申请者实际上拥有该身份权；

声称者难以否定该注册。

申请者可当面注册，也可远程注册。每种情况下的身份确认的过程和机制会有所不同。

申请者身份确认成功后，RA为申请者注册，然后CSP负责向新用户发放凭证和凭据。根据

正在使用的凭证类型，CSP或将创建一个新的凭证并提供给申请者，如果申请者已经拥有一个凭

证，则要求用户对该凭证进行注册。在这两种情况下，从凭证起始点到申请者或CSP的传输安全

性需要得到保障，以维护凭证的保密性和完整性，以及凭证被真正的申请者所拥有。

CSP同时也负责凭据的创建，将申请者身份与他/她的凭证绑定。此外，CSP可能包含凭据内

用户的其他验证属性，如他/她的组织隶属关系、或凭证使用约束。

在注册和身份确认与凭据签发分开的模型中，CSP负责验证凭据签发给的人与RA进行身份

确认的人是同一个。在该模型中，发放与注册和身份确认必须牢牢绑定，防止攻击者冒充一个新

的注册合法用户，尝试收集真实用户的凭证/凭据。

7.2注册和发放威胁及缓解策略

5

GB/TXXXXX—XXXX

7.2.1注册和发放威胁

注册过程中通常有两类的威胁：身份假冒威胁和对基础设施（RA和CSP）的危害或破坏。

本标准关注解决身份假冒威胁。基础设施威胁可通过常用的计算机安全控制手段解决（如，职责

分离、记录保存、独立审计)，不在本标准的范围中。

发放过程的威胁包括身份假冒攻击和凭证或凭据签发传输机制的威胁。表1中详细列举了与

注册和发放相关的威胁。

表1注册和发放威胁

行为威胁/攻击实例

假冒声称身份申请者通过使用伪造的证件声称一个不正确的身份。

注册

否认注册合法用户否认注册，声称他/她没有注册过该凭证。

CSP为合法用户创建的凭证在凭证发放过程中从CSP传送到合

泄露

法用户时被攻击者复制。

合法用户创建的凭证在凭据签发过程中递交给CSP时被攻击者

发放篡改

更改。

一个人声称是合法用户“A”（实际上不是）获得应该发放给合

未经授权发放

法用户“A”的凭证。

7.2.2注册发放的威胁缓解策略

注册威胁可以通过增加身份假冒难度来阻止。本标准主要处理方法是增加身份假冒难度；但

是，它会规定一定的方法和程序，可能有助于证明谁进行了身份假冒。在每个级别，均采用了一

定方法来确定一个人声称的身份是存在的，申请者就是该身份的有效拥有者，且申请者日后不能

否认该注册。随着保证等级的升高，采用方法也增强了对偶然的、系统的和内部的身份假冒的抵

抗能力。表2列出了注册和发放过程的威胁缓解策略。

表2注册发放的威胁缓解策略

行为威胁/攻击缓解策略

在申请者身份鉴别时提交的RA请求文档具有相当的可信度，使冒

名顶替者难以成功通过身份确认阶段，如采用政府签发的经常被

用来判断申请者身份的证件（如身份证、驾驶执照、护照等）。

身份鉴别时，申请者提供非政府签发文档(例如包含有申请者的

假冒声称身份

注册姓名和当前所在地址的电费单，或信用卡账单)从而帮助实现更

高级别的可信度。

当面或者通过摄像头，实时交互，比对有效证件的照片与申请者

是否一致。

否认注册申请者可以签署一份表格承认参与注册活动。

当面发放凭证；

泄露使用密封的信封物理邮寄到一个安全的地方，或采取会话保护的

方式发送电子凭证。

发放

当面发放凭证；

篡改使用密封的信封物理邮寄存储介质，或使用安全的通信协议保护

会话数据的完整性。

6

GB/TXXXXX—XXXX

行为威胁/攻击缓解策略

CSP作为合法用户接收到的所有凭证和凭据数据的源头，需建立

程序允许合法用户对其进行验证。

建立程序以确保获得凭证的人与参加注册程序的人是同一个。

未经授权发放执行双向控制发放过程，从而确保双方互相配合，从而成功发放

出凭证或凭据。

7.3注册和发放过程技术要求

7.3.1概述

注册和发放过程包括：注册、身份确认、凭证创建/发放和凭据签发等过程。注册和发放过程

中产生的注册记录应由RA或CSP保存，且该过程收集的个人信息应受到保护，且应满足所有的

隐私要求。

CSP应能够唯一标识每个合法用户以及与该用户相关的凭证和凭据，用户和相关的凭证和凭

据之间应有一一对应关系。根据RA或CSP政策规定，申请者要提供姓名、地址、电话、出生日

期等信息。详细的身份确认要求见表3和表4。在某些情况下，CSP可能会选择使用额外的、基

于实践的鉴别方法来增加注册过程的可信度。例如，申请者可能被要求提供其在相关机构办理的

有助于确认申请者身份的非公开信息。

在注册和身份确认阶段收集的敏感信息在任何时候（如，传输、存储）都应受到保护以确保

其安全性和保密性。此外，身份确认过程中的相关结果必须妥善保管，并保证数据的保密性和完

整性。

如果RA和CSP之间是通过网络进行远程通信，整个RA和CSP之间的注册业务必须建立在

双方已相互鉴别的前提下，并且应对整个会话进行保护。

注册和发放过程允许当面注册和远程注册，其中远程注册过程一般应采用全自动化方式实

现。某些情况下，作为全自动解决方案的替代或补充，也可以采用呼叫中心或在线辅助方式实现。

注册和发放过程的每个场景都应有明确要求，必要时（比如涉及金融服务时）应只允许当面注册。

如果之前已经签发过一个有效的凭据，CSP可以发放另一个保证等级相同或更低的凭据。在

这种情况下，可以使用重复身份确认步骤来代替原始凭证的拥有权和控制权的证明，但仍应需满

足在相应的级别上交付凭据的要求。

7.3.2基本级

基本级的身份确认要求如表3所示，表中具体列出了对于当面注册和远程注册对发放凭据的

基本要求以及RA和CSP应采取的动作。

表3基本级的身份确认要求

当面远程

申请者应采提供一个有效证件（如，身份证、军官证、提供一个有效证件（如，身份证、军官证、驾驶

取的动作驾驶执照或护照）。执照或护照）的ID号。

RA和CSP应RA根据有效证件比较照片与申请者，复RA检查申请者所提供的ID号是否有效

采取的动作印有效证件存档。（例如，正确的位数）。确认姓名和其他登

记的个人信息与申请者一致，且这些信息

如果证件ID有效，且照片与申请者相符，足以确认唯一的个体。

那么：电子邮箱/手机号码的确认和通知：

7

GB/TXXXXX—XXXX

当面远程

RA注册并当面发放凭证。如果登记的个人信息，包括手机号码或电

子邮箱地址，RA或CSP核查登记的个人

信息后，注册并发放凭证。

对于当面注册，申请者应当当面获取凭证。

对于远程注册，在任何新的注册中申请者应当提供一个临时秘密来确认本人的身份，该秘密

可基于于先前的交易或协商建立，也可通过发送手机短信或电子邮件而建立。

7.3.3增强级

增强级的身份确认要求如表4所示，表中具体列出了对于当面注册和远程注册对发放凭据的

增强要求以及RA和CSP应采取的动作。

表4增强级的身份确认要求

当面远程

申请者应采取的动提供一个有效证件（如，身份证、军提供一个有效证件（如，身份证、军官证、

作官证、驾驶执照或护照）正本，以及驾驶执照或护照）的扫描件，并提供非政府

个人信息记录，如电话号码、手机号组织签发的文档(例如包含有申请者的姓名

码、电子邮件地址。和当前所在地址的电费单，或信用卡账单)从

而帮助实现更高级别的可信度。

RA和CSP应采取RA检查证件，比较照片与申请者是RA检查申请者所提供的ID号是否有效，且

的动作否一致，并复印有效证件存档。能通过实时视频等手段确认证件与申请者的

一致性。验证申请者所提供的有效证件和非

如果证件ID有效且照片与申请者符政府签发的文档信息一致，包括确认姓名、

合，那么：地址和其他记录的个人信息与申请者一致，

CSP签发凭证需确认申请者能通过与且足以确定是唯一的个体。

其关联的电话号码、手机号码或电子

邮件通信。第一次签发存储秘密型凭电子邮件/手机号码/电话号码的确认和通知：

证时应要求重置。应记录包括电子邮件地址、手机号码或电话

号码等个人信息：个人信息能与申请者的姓

名关联在一起，且与申请者所提供的信息是

一致的，CSP确认申请者能接收发送给电子地

址的消息（如，短信，语音或电子邮件）后

签发凭证。第一次使用未受保护的会话签发

凭证时应重置。

对于当面注册，CSP应当保证申请者进行当面确认和签发凭证，交互过程中临时秘密（如，

手机短信）不得重复使用。如果CSP在交易中发送一个永久的秘密，那么秘密将被加载到一个本

地的物理设备上，并当面确认后签发给申请者。以上方法可保证在整个过程中申请者是相同的人。

对于远程注册，在任何新的注册中申请者应当提供一个临时秘密来确认本人的身份，该秘密

建立于先前的交易或接触，或者通过发送至申请者的手机、电子邮件或建立通话而建立的。永久

的秘密（凭证）只有在受保护的会话中才可以发给申请者。

8

GB/TXXXXX—XXXX

8鉴别过程

8.1概述

8.1.1三种鉴别模型的鉴别过程

单向鉴别

声称者向验证者提出申请并被验证者标明身份，随后声称者将凭证传送给验证者，验证者根

据凭证验证的结果是否正确来确定声称者的身份。

双向鉴别

在双向鉴别过程中，鉴别的双方均既是声称者也是验证者。双方互相提出申请并被对方标明

身份，随后互相将凭证传送给对方，双方根据凭证验证的结果是否正确来确定对方的身份。

可信第三方参与的鉴别

在鉴别的过程中加入可信的第三方。鉴别的两方在被对方标明身份后，可以直接与可信第三

方交互凭证、或分别通过对方间接与可信第三方交互凭证、或利用可信第三方发布的凭证进行鉴

别，双方根据凭证验证的结果是否正确来确定对方的身份。

单向鉴别过程、双向鉴别过程均可以通过可信第三方进行鉴别。可信第三方参与的鉴别过程

涉及声称者/合法用户、依赖方和验证方。

8.1.2提交和验证

鉴别过程（即提交和验证）依据不同等级保证要求，建立了声称者与验证者之间的关系。该

过程通过鉴别协议消息的交互来实现，一个或多个鉴别协议消息需要在受保护的会话中传递。

鉴别协议是声称者和验证者之间定义的一个消息序列，标明声称者拥有一个有效的凭证来确

定其身份，同时选择性地标明该声称者正在与目标验证者交流。声称者和验证者之间交互的鉴别

（或鉴别无效）消息就是一个鉴别协议的运行过程。完成或正在进行一个鉴别协议时，会在两者

之间生成一个受保护的交互会话；这个受保护的会话可用于交互预定的鉴别协议运行的消息，或

者在两者之间交互会话数据。

声称者和验证者的管理机制用于进一步提高鉴别过程的安全性。例如，可以使用公共密钥机

制生成信任链，从而实现验证者对声称者的鉴别；也可以限制攻击者在线猜测的口令次数。此外，

如果检测出鉴别交易请求来自于一个未知地址的声称者，或者声称者使用了未知的硬件或软件配

置时，也可提高风险等级并要求声称者提供额外的信息用以身份确认。

在鉴别协议运行结束时，验证者可能颁发一个二次鉴别凭证（比如cookie）给合法用户，合

法用户以此进行鉴别。

8.1.3断言

断言是验证者给依赖方的、包含合法用户信息的描述。当依赖方和验证者没有互联的时候（比

如他们通过共享网络相连），断言被使用。依赖方使用断言中的信息去识别声称者及其对依赖方

控制的资源的使用权利。一个断言可以包含对于合法用户的识别和鉴别，也可能包含更多关于合

法用户的属性信息从而支持依赖方的鉴别决策。

验证者对声称者的一次鉴别可以为多个依赖方提供服务，即支持声称者的单点登录，使声称

者经过验证者的一次鉴别后，不需要更多的鉴别就可以在多个依赖方获得服务。

9

GB/TXXXXX—XXXX

在经验证者成功鉴别之后，声称者被颁发了一个断言或者断言参考，依赖方可使用该断言或

断言参考去鉴别声称者。基于断言的鉴别的基本模型包括直接模式和间接模式。

直接模式——在直接模式中，声称者使用自己的鉴别凭证到验证者处鉴别。在成功鉴别之后，

验证者创建一个断言，然后发送给合法用户并传递给依赖方，依赖方通过断言验证声称者/合法用

户（通常由合法用户的浏览器自动处理）。图2描述了这个模型。

图2直接断言模型

间接模式——在间接模式中，声称者使用自己的鉴别凭证到验证者处鉴别。在成功鉴别之后，

验证者创建一个断言以及断言参考。这个断言参考发送给合法用户并被传递给依赖方，然后依赖

方使用断言参考去请求获取来自于验证者的断言。图3描述了这个模型。

图3间接断言模型

如前所述，一个断言包含了一系列对于鉴别后的合法用户的信息。基于断言的属性，一个鉴

别断言可以分为以下两个类别（两类断言均可能在直接和间接模型中发生）：

密钥持有者断言——密钥持有者断言包含合法用户持有的对称密钥或者公钥的引用。依赖方

10

GB/TXXXXX—XXXX

也许会要求合法用户去证明它持有断言包含的秘密。在证明过程中，合法用户也在一定程度上证

明了它合法拥有该断言。因此，攻击者使用密钥持有者断言是十分困难的，因为它无法证明它是

合法的拥有者。

送信人断言——在送信人断言中，声称者不需要证明它是断言的合法拥有者。依赖方假设该

断言是颁发给提出断言的或者与对应于依赖方的参考断言的合法用户的。如果属于某个合法用户

的送信人断言（直接模型中的）或断言参考（间接模型中的）被攻击者截取、复制或制造，后者

就可以冒充合法用户从而获得依赖方的服务。从验证者传送到合法用户的断言或断言参考的某些

部分被不可预知的攻击者攻击仍然可以通过持有可靠密钥的方法保证送信人断言是安全的。

还有另一个基础断言模型：

代理模型——在代理模型中，声称者使用其电子凭证向验证者进行鉴别。在声称者成功鉴别

之后，验证者创建一个断言，并在与依赖方直接交互的时候包含该断言，作为声称者和依赖方的

中间人。图4描述这个模型。

图4代理模型

8.2鉴别过程威胁及缓解策略

8.2.1提交和验证威胁

RA、CSP和验证者通常是可信的（在正确使用而不是故意滥用的基础上）。然而，声称者或

者其系统并不一定可信（否则他们的身份申明就可以被轻易相信）。此外，尽管RA、CSP和验证

者通常可信，但存在被攻击者破坏的威胁。因此，即使对于可信机构或组织，仍需避免使用暴露

过多鉴别秘密的鉴别协议。表5列出了对鉴别过程构成威胁的种类。

表5提交和验证的威胁

威胁/

描述实例

攻击

在线猜一个攻击者通过猜测凭证鉴别的值来进行攻击者导航进入网页，试图使用合法用户的用户名和常用

测登录尝试。口令登录，比如“password”。

合法用户被引诱与假冒的验证者互动，并

合法用户收到一封电子邮件，链接到一个欺诈网站，并要

钓鱼被骗取了凭证秘密、敏感个人数据或可用

求合法用户使用其用户名和口令登录。

于伪装成合法用户的鉴别值。

想要连接合法验证者的合法用户通过操作

网址嫁由于DNS中毒，合法用户被引导到一个假冒网站，在认

域名服务或路由表连接到了攻击者的网

接为与合法验证者连接的情况下泄露或使用了凭证。

站。

攻击者被动侦听鉴别协议来捕捉信息，并

攻击者从合法用户到验证者的传输过程中捕获口令或口

窃听利用这些信息伪装成合法用户进行主动攻

令哈希。

击。

重放攻击者能够重放之前捕获的消息（合法用攻击者从一个真实的鉴别会话中捕获合法用户的口令或

11

GB/TXXXXX—XXXX

威胁/

描述实例

攻击

户和验证者之间），伪装成验证者的对应合口令哈希，过一段时间后并重放给验证者进行访问。

法用户。

攻击者能够将其插入合法用户和验证者之

间，继而进入两者之间的一个成功的鉴别

会话劫通过窃听或预测校验cookies（用于标记合法用户传送的

交互。攻击者可以假扮成验证者/依赖方的

持HTTP请求）的值，攻击者能够接管一个已鉴别的会话。

合法用户（反之亦然）从而控制会话数据

的交互。

攻击者侵入一个转发验证者和合法用户之间消息的路由

攻击者置身于合法用户和验证者之间，从

器。当转发消息时，攻击者将其公钥代替验证者的公钥。

而可以拦截和修改鉴别协议消息的内容。

合法用户被欺骗用该密钥加密其口令，从而攻击者可以解

攻击者通常面对合法用户时模仿验证者，

密该口令。

中间人同时面对验证者时假装合法用户。在两者

攻击者设置了一个欺诈网站来冒充验证者。当一个粗心的

之间交互时假扮对应角色时，攻击者可能

合法用户试图使用其一次性口令装置登录时，攻击者的网

准许使用合法方传递给另一方的鉴别消

站假装使用合法用户的一次性口令装置登录到真实的验

息。

证者。

威胁不止局限于鉴别协议本身，还包括：

拒绝服务攻击，攻击者用大量的流量通过鉴别协议的方式淹没了验证者。拒绝服务攻击的目

的是淹没鉴别协议的来源，使合法用户无法接触验证者，或者减缓过程从而增加合法用户接触验

证者的难度。几乎所有的鉴别协议都容易受到拒绝服务攻击；抵御此类攻击的可行方法是通过使

用分布式验证架构和负载均衡技术，将协议请求分派给多个镜像校验系统，或者其他的类似技术。

恶意代码攻击，鉴别凭证秘密泄露或被利用。恶意代码可以植入合法用户的电脑系统，从而

迫使鉴别凭证秘密泄露或被利用。恶意代码可以通过多种途径传播。许多措施（例如病毒检查和

防火墙）可以降低恶意代码对合法用户系统的风险。降低恶意代码威胁风险方法不在本文档讨论

的范围之中。

欺骗合法用户使用不安全协议的攻击，而合法用户认为还在使用一个安全的协议，或者该攻

击欺骗合法用户重写安全机制（例如，接受无效的服务器证书）。

8.2.2提交和验证过程的威胁缓解策略

表6列出了提交和验证过程的威胁缓解策略。

表6提交和验证过程威胁缓解策略

威胁/攻击缓解策略

鉴别过程能够抵御某些在线猜测攻击，使得攻击者在不具备验证者的先验知识情况下，只是通过

在线猜测重复具有猜测性质的鉴别尝试是不可能实现成功鉴别的。例如，口令鉴别系统可以通过要求使用

具有一定复杂度的口令、限制失败鉴别尝试的次数等方式防止暴力猜测。

12

GB/TXXXXX—XXXX

威胁/攻击缓解策略

鉴别过程能够抵御某些钓鱼和网址嫁接（也称为验证冒领）攻击，而这些冒领并不知晓凭证秘密

或者验证者的断言。

钓鱼

使用防篡改凭证可以保护秘密免于钓鱼和网址嫁接，防篡改凭证可以避免秘密被凭证鉴别者重构。

为了降低钓鱼和网址嫁接攻击的可能性，建议合法用户在向对应验证者提交凭证验证请求之前，

使用加密机制来验证该验证者。此外，验证者还可以使用某些管理机制，在成功鉴别了合法用户

或其装置后发送一个带声称者个人信息的消息。这样就可以使声称者在与验证者或依赖方进行其

网址嫁接他会话之前就获得了高等级的验证者真伪保证。还需要说明的是，并不存在万无一失的方法来防

止声称者向其访问的对象泄露任何敏感信息。

鉴别过程能够抵御某些窃听攻击，窃听者记录了声称者和验证者之间传递的所有消息，但无法据

此获得声称者的凭证秘密，或者以其他方式获得信息但以后的鉴别会话中不允许窃听者冒充声称

者。窃听防御机制使得攻击者无法实施离线攻击，也无法在其记录鉴别机制运行的地方，通过自

窃听己的系统分析该运行从而延长确定凭证秘密或判断凭证的时间。例如，一个攻击者捕获了一个基

于口令的鉴别协议运行的消息，试图通过口令字典的攻击尝试猜测该口令，同时与协议运行数据

作比较。

使用受保护的会话协议，比如TLS，能够提供窃听防御。

鉴别过程能够抵御某些重放攻击，使得这些攻击无法通过记录和重放一个之前的鉴别消息来实现

重放成功鉴别。使用随机数或质询来保证交易“新鲜度”的协议可以抵御重放攻击，因为验证者可以

轻易检测出重放的旧协议消息不包含合适的与当前鉴别会话相关的随机数或实时数据。

鉴别过程和数据传输协议的组合能够抵御某些会话劫持的攻击，把鉴别过程绑定在数据传输过程

上。通常在鉴别过程中生成一个会话共享密钥，合法用户和验证者或依赖方使用该密钥来实现所

有会话数据的鉴别。

需要重点注意的是，网络应用，即使是那些受SSL/TLS保护的，仍然容易遭受跨站点请求伪造

（CSRF）的会话劫持的攻击。在这种攻击中，一个恶意网站包含一个与合法依赖方的URL链接。

恶意网站具有通用结构，从而只要Web浏览器访问该恶意网站，都会自动发送一个HTTP请求给依

赖方。如果合法用户访问恶意网站，并且他拥有一个开放的与依赖方的SSL/TLS会话，请求就很

会话劫持

可能会在相同的会话中传送并携带完好无损的鉴别cookies。即使攻击者不会从访问会话密钥中

获益，该请求也会具有潜在威胁，比如发送一个电子邮件消息或者授权大笔资金的转移。可以构

建一个有效的请求来授权依赖方的行动的方式来抵御CSRF攻击。在具有潜在威胁的URL链接中，

以及在依赖方网站的所有隐藏区域中插入依赖方提供的随机数据，可以实现这种抵御。然而，如

果攻击者可以在依赖方网站上运行脚本（跨站点脚本或XSS），这种机制就会失效。为了防止XSS

漏洞，在将来自声称者或合法用户的输入发布成合法用户的浏览器内容之前，依赖方应该对其进

行杀毒，保证这些输入不是可执行文件，或者最起码没有恶意。

弱中间人防御——被称为对中间人攻击进行弱抵御的协议，向声称者提供一个机制来确定其是否

正在与真实的验证者进行交互，但如果声称者不够警惕，仍然有可能泄露凭证秘密（给未经授权

方），使得对方可在真实验证者的之前假装声称者。例如，通过服务器验证TLS来传递口令的模

式对中间人攻击的抵御很弱。浏览器允许声称者核实验证者的身份，然而，如果声称者不够警惕，

中间人

口令就可能泄露给未授权方，从而造成信息滥用。

零知识口令协议也可以提供弱中间人防御。

然而，攻击者还可能欺骗声称者将其口令通过一个不太安全的协议传递，然后将口令泄露给攻击

者。并且，如果声称者很难确认是否在使用合适的协议，那么全局鉴别过程甚至不会提供弱中间

13

GB/TXXXXX—XXXX

威胁/攻击缓解策略

人防御。

强中间人防御——被称为对中间人攻击进行强抵御的协议，不允许声称者向伪装成验证者的攻击

者泄露可在今后用于向真实验证者伪装成声称者的信息（凭证秘密、鉴别机制）。比如浏览器和

网络服务器使用PKI技术进行相互鉴别。即使是粗心的声称者也不会轻易泄露任何信息给伪装成

验证者的攻击者，攻击者就无法使用这些信息通过真实验证者的鉴别。

在特定的协议中，声称者的凭证容器只会将鉴别机制泄漏给预设的有效验证者列表，这种协议对

中间人攻击也具有强抵御的能力。

需要注意的是系统执行相应的安全策略，可以补充上面列出的缓解策略。例如，使用特定容

器存放凭证、进行系统健康性核查以及配置管理可用于降低系统受到损害的风险。

8.2.3断言威胁

本节假设断言传输的两个端点（即验证者和依赖方）没有受到损害。然而，不能假设声称者

是完全可信的，因为声称者可能修改或替换断言从而达到更高的等级来访问依赖方提供的资源/

服务。其他攻击假设潜伏在共享传输介质（如互联网）中，可能获取或修改断言和断言参考以假

装合法用户访问未经授权的数据或服务。更进一步，很可能两个或者更多的机构或组织串通攻击

另一方。攻击者试图通过损害断言数据的保密性和完整性来颠覆断言协议。为了抵御这种类型的

威胁，那些试图超出其权限的授权方可能被视为攻击者。

除了断言数据从校验者到RP的可靠和保密传输之外，断言协议还有更多目标：为了RP能

够识别出申请者，应该颁发给申请者一些秘密信息，其中所含的知识可以将申请者与试图假扮申

请者的攻击者区分开来。在密钥持有人断言中，这个秘密通常是申请者的长期凭证秘密，该秘密

已经在断言协议起始之前就已经与CSP一起建立了。

然而在其他情况下，验证者会生成一个临时的秘密并传送给鉴别的申请者。而后，当这个秘

密被用于向RP校验时，通常会以协议的形式替代凭证鉴别，这个临时秘密在这里被称为二次鉴

别。

表7断言的威胁

威胁/攻

描述实例

击

攻击者可能生成一个虚假的断言或者修改现有

断言伪造例如，攻击者可能会修改断言来延长有效期；合

断言的内容（比如鉴别或属性语句），导致依赖

/修改法用户可能修改断言来访问本来不能查看的信息

方授权合法用户进行不适当的访问

断言可能包含鉴别和属性语句，这些语句包含敏

断言泄露感的合法用户信息。断言内容的泄露可能使合法——

用户易于受到其他类型的攻击。

14

GB/TXXXXX—XXXX

威胁/攻

描述实例

击

例如，如果验证者没有对断言进行数字签名，那

验证者否

如果没有合适的机制，验证者可能会否认断言。么他就可以声称该断言没有通过他的服务生成

认断言

的。

合法用户如果没有合适的机制，合法用户可能否认与只是

——

否认断言使用接收断言进行鉴别的依赖方之间的交互。

断言重定攻击者使用为某依赖方生成的断言来访问另一

——

向个依赖方。

攻击者试图使用一个断言，而该断言已经被用于

断言重用——

目标依赖方一次了。

二次鉴别攻击者可能试图生成一个有效的二次鉴别，并用

——

伪造于冒充合法用户。

当验证者将二次鉴别传送给合法用户时，攻击者在间接模型中，如果依赖方需要回送二次鉴别给

二次鉴别可能使用会话劫持攻击来捕获二次鉴别，或者攻验证者以检查其有效性或者获取响应断言数据，

捕获击者可能在合法用户使用二次鉴别向依赖方进那么攻击者可以简单地颠覆验证者和依赖方之间

行鉴别时使用中间人攻击来获取该二次鉴别。的通信协议从而捕获二次鉴别。

合法用户可能试图通过颠覆验证者和依赖方之

间的通信通道（例如对消息重新排序）来假扮特

权合法用户，从而说服依赖方其对应断言数据的

断言替代——

二次鉴别可以代表更多的特权合法用户。这主要

是间接模型的威胁，因为在直接模型中，断言数

据直接在二次鉴别中编码。

8.2.4断言的威胁缓解策略

从逻辑上来讲，断言由验证者颁发，并由依赖方使用。在直接模型中，传输断言的会话通过

了合法用户。更进一步，在当前网络环境中，断言过程可能经过两个独立的安全会话（一个是验

证者和合法用户之间，另一个是合法用户和依赖方之间），在合法用户的浏览器上有一个安全会

话的中断。在间接模型中，断言直接从验证者流向依赖方，必须保护这个过程。

表8列出了断言过程的威胁缓解策略，可应用于请求、搜索和提交断言和断言参考。

表8断言过程威胁缓解策略

威胁/攻击缓解策略

验证者对断言进行数字签名，依赖方验证签名以确认该签名由真实的验证者签署。

断言伪造/

通过受保护的会话（如TLS/SSL）传输断言，为了在恶意攻击下保护断言的完整性，还应该鉴别验

修改

证者。

断言通过受保护的会话传送给经过鉴别的依赖方。为了同时防止断言泄露和断言伪造/修改，使用

受保护的会话来保护断言，依赖方和验证者均要进行鉴别。

断言泄露如果断言由验证者签署，很有可能在没有附加完整性保护的情况下为一个特定的依赖方进行加密。

应该注意，任何需要双方消息源签署一系列消息并对收件人加密的协议都应该提供所有相同的担

保，以成为相互鉴别保护的会话，从而可以认为是等价的。抵御断言泄露和断言伪造/修改的一般

15