信息技术 网络身份鉴别技术指南-编制说明

概述项目来源本标准编写任务由全国信息安全标准化技术委员会下达，公安部计算机信息系统安全产品质量监督检验中心负责具体编制工作。编制的背景和意义网络用户身份鉴别是在计算机网络中确认用户身份的过程。计算机网络中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份鉴别就是为了解决这个问题，作为防护网络资产的第一道关口，身份鉴别有着举足轻重的作用。编制的目的本标准从计算机信息系统的安全保护等级划分的角度，为使用网络用户身份鉴别技术的机构提供指南。主要解决两个方面的问题：一方面保障合法用户对指定资源的访问，防范信息通信中遇到的威胁；另一方面，在出现安全问题时，可以通过审计用户的鉴别信息等追根溯源，解决访问者的物理身份和数字身份的一致性问题，为其它安全技术或措施提供依据和保障。编制原则本标准在编制过程中依据以下原则：a、科学性原则科学性是标准化的最基本原则，是采用所属标准的有关技术系统和管理系统安全、可靠、稳定运行的根本保障。b、实用性原则标准体系必须是可用的，才有实际意义，本标准在编制过程中严格按照流程对信息安全领域现有、应有和计划制订的标准展开系统的、全面的调研工作，注重与相关产品以及系统的研究，使得标准体系更贴近信息安全领域的实际情况，保证操作性。c、先进性原则标准体系是先进经验的总结，同时也是技术的发展趋势。要制定出先进的标准体系，必须广泛了解信息安全领域中产品以及系统的标准，充分体现相关技术的发展方向，制定出具有先进水平的标准体系。d、兼容性原则标准体系应积极采用国家标准、等同或等效采用国际先进标准，保持於他们的一致性和兼容性。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。e、系统性系统性是标准体系中各个标准之间的内部联系和区别的体现。在编制标准体系过程中，在内容和层次上要充分体现系统性，按照标准体系的组成原则，恰当地将具体的标准安排在相对应的位置上，争取做到层次合理、分明，标准之间体现出互相依赖、衔接的配套关系。f、可预见性和可扩充性相结合既要考虑到目前的技术和应用发展水平，也要对未来的发展趋势有所预见。同时，考虑到目前有些需求不甚明朗，因此在编制过程中，还应充分考虑其可扩充性，使其能够随信息安全技术的发展进行扩充。主要工作过程2009年申报编制，2010年11月立项为国家编制标准，标准原名《信息安全技术网络用户身份鉴别技术和测评要求》，任务下达给中国电子技术标准化研究所，浪潮公司为主要编写单位、公安部计算机信息系统安全产品质量监督检验中心参与编制。2012年3月，全国信息安全标准化技术委员会建议将标准名称改为《信息安全技术网络用户身份鉴别技术指南》，以NISTSP800-63（目前最新版本是在2013年2月1日出版的草案）结合OMB04-04为主要研究文档，先做出基础性技术标准，在此基础上再研究编制具体技术产品标准和测评标准。2013年7月，改为公安部计算机信息系统安全产品质量监督检验中心为主要编写单位，与中国电子技术标准化研究所等单位共同完成此标准。参考资料该标准编制过程中，主要参考了：GB/T9387.2-1995信息处理系统开放系统互联基本参考模型第2部分：安全体系结构GB/T15843.1-2008信息技术安全技术实体鉴别第1部分：概述GB/T15843.2-2008信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制GB/T15843.3-2008信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制GB/T15843.4-2008信息技术安全技术实体鉴别第4部分：采用密码校验函数的机制GB/T15843.5-2005信息技术安全技术实体鉴别第5部分：采用零知识技术的机制GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336-2001信息技术安全性评估准则GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T25069-2010信息安全技术术语GB/T28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范NISTSP800-63ElectronicAuthenticationGuidelineOMB04-04编制工作简要过程2013.7接到任务后，检测中心指定了此标准的联络人——张笑笑，联络人立刻与标准原先的承担单位—浪潮进行联系，了解了标准的进展情况，获得了标准的有效版本，标委会及相关专家对此标准的意见和建议等。根据了解的情况，结合标委会及专家的意见，将此标准定位为“网络身份鉴别技术指南”，参考sp800_63进行编制。根据标准编制需要，公安部计算机信息系统安全产品质量监督检验中心、中国电子技术标准化研究所和公安部第三研究所等单位联合成立了标准编制组，成员包括：顾健、张笑笑、杨元原、陈妍、顾玮、沈亮、许东阳、范科峰、沈清泓、唐丹丹等人。草稿（第一稿）2013.8-12对sp800_63等相关资料进行了进行了翻译。2014.1~2014.11完成了草稿，草稿考虑了身份鉴别的普适性，手段和技术的多样，且需要根据等级保护的思想进行分级。作为指南，侧重描述在网络条件下，对访问信息系统的用户进行身份鉴别的过程，参与鉴别过程的要素，以及用到的安全机制。草稿明确了身份鉴别技术的主要过程（包括注册和凭证发放、鉴别过程）以及身份鉴别技术中的一些术语和定义。草稿（第二稿）2014.11在检测中心内部召集中心标准技术组，对标准进行评审，会上标准技术组提出,会后，标准编制组对中心标准技术组提出的意见进行了整理和分析，并重新梳理了标准的结构，2014.12完成了草稿（第二稿）。草稿（第三稿）2014.12.26标委会在北京应物会议中心组织召开了专家评审会，对标准进行了评审，会上专家明确了标准的修改方向——应抓住网络用户鉴别的特点，将鉴别过程描述清楚。根据专家意见，标准编制组重新梳理了网络用户身份鉴别的过程，对标准进行了修改，包括修改了标准中的用户身份鉴别一般模型图，梳理了鉴别过程的相关描述，完成了草稿（第三稿）。草稿（第四稿）2015.4.15标准编制组在上海（检测中心会议室）组织了国内身份鉴别相关的信息安全企业，对标准进行讨论。参会的信息安全企业包括：北京大明五洲科技有限公司、北京海泰方圆科技有限公司、北京坚石诚信科技有限公司、北京数字认证股份有限公司、北京握奇智能科技有限公司、北京信安世纪科技有限公司、长春吉大正元信息技术股份有限公司、成都卫士通信息安全技术有限公司、上海动联信息技术股份有限公司、深圳市文鼎创数据科技有限公司、北京华大智宝电子系统有限公司、上海林果实业有限公司、上海众人网络安全技术有限公司，共计13家。会上，各大厂商纷纷提出了自己的意见，具体包括：增加“断言参考”的定义存在一些错别字含义相同的词，建议统一部分内容存在歧义或描述不准确会后，标准编制组对厂商的意见进行了整理，并根据厂商的意见调整了标准文本，2015.6完成了草稿（第四稿）。草稿（第五稿）2015.6.26标委会在杭州组织召开了专家评审会，对标准进行了评审，会上专家对标准文本进行了质询，。根据专家意见，标准编制组重新梳理了网络用户身份鉴别的过程，对标准进行了修改，包括根据网络用户注册的特点，修改了标准中的注册过程相关要求，修改了部分术语定义，完成了草稿（第五稿）。草稿（第六稿）2016.6标委会将标准文本以邮件形式发送给WG5各成员单位，其中有5家单位进行了反馈，并且2016.6.15在北京会议中心组织召开了专家评审会，对标准进行了评审。根据专家意见，标准编制组对标准进行了修改，包括根据修改了缩略语及其格式，增加了身份鉴别模型，调整８.１.３中一些不完整和不通顺的语句，完成了草稿（第六稿），后续将进一步征求意见，并对标准的等级划分进行细化和说明。7）征求意见稿2016.7标准经过WG5组织的评审，同意形成征求意见稿。主要内容主要结构本标准的编写格式和方法依照GB/T1.1-2000《标准化工作导则第一部分：标准的结构和编写规则》。标准主要分为“范围”、“规范性引用文件”、“术语和定义”、“缩略语”“描述”、“等级”、“注册和发放过程”、“鉴别过程”和“凭证和凭据管理”共9个部分。主要内容范围、标准引用、术语和定义、缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义明确了该标准所涉及的一些术语。在术语中明确了用户在身份鉴别不同阶段的定义“申请者”、“合法用户”；“声称者”；明确了认证机构、组织在参与鉴别过程的定义：“凭据服务提供者”、“依赖方”、“验证者”。具体如下：声称者Claimant：网络身份鉴别过程中，被验证的人。申请者Applicant：注册和身份验证过程中的人。合法用户Subscriber：从凭据服务提供者得到凭证的人。凭据服务提供者CredentialServiceProvider：发布或者注册合法用户的凭证，并且为合法用户颁发电子凭据的机构或组织。验证者Verifier：网络身份鉴别过程中，验证身份的机构或组织。依赖方RelyingParty：依赖于电子身份验证协议的结果从而建立声称者身份或者属性的信任关系的机构或组织。凭证Certificate：声称者拥有并且控制的，可用于证明声称者身份的物品或信息。凭据Credential：用于验证用户身份的信息。断言Assertions：验证用户身份的判断结果。断言参考AssertionReference：和断言结合的，保护验证者持有的断言的位置信息一个数据对象。身份确认Identityproofing：采集身份信息，并确认的过程。描述本节主要对第三节的术语定义进行补充说明。等级本节说明了本标准的等级划分情况，标准按照网络身份鉴别技术强度，以及参照GB17859-1999，对网络身份鉴别技术进行划分。安全等级分为基本级和增强级，推荐重要信息系统使用增强级网络身份鉴别技术。注册和发放过程注册和发放过程包括：注册、身份确认、凭证创建/发放和凭据签发等过程。本节分析了注册和发放过程中面临的主要威胁、描述缓解威胁的措施，并提出了当面注册和远程注册对发放凭据的要求和RA和CSP动作应采取动作的要求。鉴别过程本节分析了网络身份鉴别过程（包括断言过程）中面临的主要威胁、描述了缓解威胁的措施，并提出了鉴别过程的要求和断言过程的要求。在NIST