2018数字身份指南NIST.SP.800-63-3.docx

《2018数字身份指南NIST.SP.800-63-3.docx》由会员分享，可在线阅读，更多相关《2018数字身份指南NIST.SP.800-63-3.docx（70页珍藏版）》请在优知文库上搜索。

1、NlST特别出版物800-63-3数字身份指南lll三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce抽象的这些指南为实施数字身份服务的联邦机构提供了技术要求,并非旨在限制此目的之外的标准的开发或使用C该指南涵盖了通过开放网络与政府IT系统交互的用户（例如员工、承包商或个人）的身份证明和身份验证。他们定义了身份证明、注册、身份验证器、管理艇、身份验证协议、联合和相关断言等各领域的技术要求。本出版物取代NlST特别出版物80063-2o关键词验证;认证保证；验证器；断言；凭证服务提供商；数字认证；数字凭证；身份证明

2、；联邦;密码；公钥基础设施。致谢作者衷心感谢KaitlinBoeckl对SP800-63套件中所有卷的艺术图形贡献，以及我们众多审稿人的贡献，包睐自加拿大数字身份和认证委员会（DlACC）的JOniBrennanxEIIenNadeau和BenPiCearreta来自NISTDannaGabelORourke和来自Deloitte&Touche1.1.P的DaaGabelORourkeo此外，作者还要感谢原作者的思想领导力和创新DonnaF.DodsonxElaineM.NewtonRayA.PerInerxW.TimothyPolk.SabariGupta和EmadA.Nabbusc如果没有

3、他门的不懈努力，我们就不会有令人难以置信的基线来将SP800-63发展到今天的文件。需求符号和约定术语“应当”和“应当不”表示必须严格遵循的要求，以符合出版物的要求，并且不允许偏离。术语“应该”和“不应该表示在JI种可能性中，推荐一种特别合适而不提及或排除其他可能性，或者某种行动方针是优选的但不一定是必需的，睇（以否定形式）不鼓励但不禁止某种可能性或行动方针。术语“可以”和”不需要”表示在出版物的范围内允许的行动方案。至瓦蔚塔弱德蠡普需1耀2无论是物质的、物里的还是因果的或者在否本节内容丰富C数字身份是一个主体的在线角色，单一定义在国际上受到广泛争论。人物角色一醴如其分，因为主体可以通过多种方

4、式在网上代表自己个人可能有一个用于电子邮件的数字身份，另一个用于个人财务的数字身份。个人笔记本电脑可以是某人的流媒体音乐服务器，也可以是分布式计算机旗中执行复杂基因组计算的工作机器人。如果没有上下文就辘找S卜个可以满足所有人需求的单一定义，数字身份作为一种合法身份.使在一系列社会施济用例中使用数字身份的定义和能力变得更力嘎杂。醇身价眶证糠人的身份尤其是通过数字服务远程证明为攻击者提供了成功冒充某人的机会。苗喉得斯坦纳在纽约客中正确捕捉到的那样“在互联网上.没有人知道你是一只狗。”这些m南提供了对在线固有海回牌解措同时认识j并鼓励在访问一些低风险数字服务时，.当狗”就可以了；而其他高风险服务需要

5、一定程度的信心，即访问服务的数字身份是现实生活主体的合法代理。对于这些指南，数字身份是参与在纥坳蛀体的唯T示.数字身份在数字服务的上下文中女锻是唯一的，但4一定需要在所有上下文中唯一地标识主体。换句话说访问数字瓶务可能并意味着主体的现实身份照已知的。身份证明可以确定主体就是他们声称的身份。数字身份验证确定尝试访问数字服务的主体可以控制与该主体的数字身份相关联的f或多个有效身份验证器。对于适用回访硼降.成功的身份验眄以提供合理的基于风险的保证，艮吟天访潮略的主体与之前访问服务的主体相同。数字身份提出了技术型破，因为此过程通常涉及通过开放网络对个人进行脸证，并且始终涉及通过开放网络对个人主体进行身

6、份验证以访问数字政府服务。建立和使用数字身份的流程和技术为假冒和其他攻击提供了多种机会。这些技术指南取代NIST特别出版物SP800632。各机构使用这些指南作为风险评估和实施其数字!胳的T盼。这些指歌!将身份保证的各个元素分成离散的组成部分来减轻身份验证错误的负面影响。对于三瞅合系统机构将选择两个组件物为身份保证级别（IA1.）和身份验证器保证级别（AA1.）。对于联合系统,机构将选择第三个组成部分，即联合保证级别（FA1.）。BS号这些指南不再将保证级别（1.OA）的概念作为驱动特定实施要求的单一序数“相反通过将适当的业务和隐私风险管理与任务需求结合起来，各机构将选择IA1.AA1.和FA

7、1.作为不同的选项。虽然许多系统对于IA1.AA1.和FA1.都具有相同的数字级别，但这要一项要求机构不应假设它们在任何给定系统中都是相同的。这些指南中详细介绍的身份保证的组成部分如下： IA1.是指身份证明流程。 AA1.指身份验证过程。 FA1.指联合环境中断言的强度，用F向依赖方（RP）传达身份验证和属性信息（如果适用）。这些类别的分离为机构提供了选择身份解决方案的灵活性，并提高了将隐私增强技术作为任何保证级别的身份系统基,例如断言个人是否超过特定年龄，而4是查询整个出本要素的能力。三,这些指南支持喉使用蚁的多因素身份验证器也允许假名交互的场景。此幽旨南要求联合身生日期从而鼓励最大限O减

8、少身份信息的传播。虽然许多机构使用案例要求对个人进行完全身份识别，但型准贝嫩励尽可能以匿名方式访问政府数字服务，艮喉需要完全身份识SJ,也尽可能限制收集的个人信息:乱在当今的环境中，组织的身份解决方案不必是f整体，由一个;化的，允许组织和机构根据任需求采用基于标准的、可插入的:该套件作为一个整体被称为甘旨南”,各个文档幡为T独立使用或以集成方式使用，具体取决于机构所需的组件服务。供囱三脚斤有功能。P夬方案。因比SP800-月嫁市场是组件已分为一套文档。RP需要使用SP80063；其余卷可以每卷都采用了国际标准组织公认的规范性和基于要求的动词。当在这些指南的规范性声明中使用时，它Ii睬用大写字母

9、以便于识别。例口SHA1.1.用于表示强制性要求，rf11SHOU1.D则指推荐但非强制性的技术、送或罐有关这些术语定义的更多详细信息，请参阅每个文档开头的要求符号和约定。这些文件可能会告知（但不限制或约束）联邦政府以外应用标准的开发或使用，例如电子商务交易。这些指南的组织方式如下：SP800-63数字身份指南（本文档）SP80063A注册和身份证明津默品蹉逐和遮蠹携舞就麒罅曾律麟麴物斑翳整了要求册。SP800-63A包含规范性材料和信息性材料。三st以赢嫖要造既蠡徽雷耦鼐福脚过程一起提供的任何属性都是自断言的或IA1.2：IA1.2弓身份。SP800-63B身份验证和生命周期管理于问如材历人

10、性拾理的导居1三三1S露的CSP代表进行验证。与A1.?一样CSP爨嘤暨斯群W的之前费一组数字服务。SP800-63B包含规范臂董畲儒矗葬发1蟹嚼髀状况以及攻击者控制身份验证器并访问机构系统造成的潜在筝龈蠡踊粼一定程度的保证，即声明者控绑定到订户帐户的验证器。AA1.l需要使用单因广泛的可用身份验证技术。成功的身份脸证要求请求者通过安全身份验证协议证明对身份脸证器的拥有和控制。AA1.2:AA1.2提供了声蟒控制蟒定班T户帐P砌苑E懿颤T信度。三三通按氢证协议来证哪有和榔何个不同的i人证因素。AA1.2及以上级别需要经过批准的加密技术。AA1.3:AA1.3提供了非常高的可信度,表明声明者擀蟒

11、定到11户帐户的验证器。AA1.3的身份验证基于通过加密协议拥有密钥的证明。AA1.3身份验证应使用基于硬件的身份脸证器和提供脸证者防冒充能力的身份验证器；同一设备可以满足这两个要求。为了在AA1.3上进彳身份验证，索赔人应通过安全身份验证协议证明拥有和控制两个不同的身份验证因素.需要经过批准的加密技术。SP80063C联合和断言NISTSP800-63C提供了使用联合身份架构和断言将身份验证过程的结果和相关身份信息传递给机构应用程序时的要充此外本卷提供了隐私增强技术来共享有关有效、经过身份验证的主题的信息,并叔了允许强大的多因素身份验证(MFA),同时主题对数字服务保持假名的方法。SP800

12、-63C包含规范性材料和信息性材料。这三个FA1.反映了机构可以根据其风险状况以及攻击者控制联合交易造成的潜在危害来选择的选项。FA1.如下：FA1.1:允许订户使RP接收承载断言。蹒言由IdP使用批准的加密技术进行签名。FA1.2：添加了使用批准的加密技术对断言进行加密的要求，以更RP是唯一可以解密它的一方。FA1.3：除了断言工件本身之外，还要求订阅者提供断言中引用的加密密钥蹒有证明。该断言由IdP签名并使用批准的加密技术加密到RP0这些指南与机构可以开发或获取的大后身份服务架构无关，并且无论机构选择何种方法都适用。但是，鼓励各机构尽可能使用联合，并且在使用联合架构时，混合由O己IA1.a

13、A1.和FA1.的能会得到简化。此外，腑隈墙徽邦政府选民在访问有价值的政府数字服务时的隐私能力的基石。目录执行摘要四1 目的12简介21.1 适用范围42.2注意事项、其他要求和灵活性51.3 一些限制51.4 如何使用这套SP51.5 变更历史记录61.5.1 SP800-63-161.5.2 SP800-63-261.5.3 SP800-63-363定义和缩写84数字身份模型94.1 雌94.2 注册和身份验证124.3 身份验证和生命周期管理12431验证器124.3.2凭证14433认证流程144.4 联合和断言144.4.1 断言154.4.2 信赖方165数字身份风险管理175.1

14、 概述175.2 保证级别185.3 风险和影响195.3.1 业务流程与在线交易205.3.2 每个类别的影响215.4风险接受和补偿控制225.5 数字身份接受声明235.6 迁移身份236选择保证级别256.1 选择IA1.266.2 选择AA1.296.3选择FA1.316.4组合XA1.337联合注意事项358参考文献368.1 一般参料368.2 标准378.3 NIST特别出版物378.4 联邦信息处理标准37附录清单附录A定义碑写39A1定义39A.2缩写58图列表图4-1数字身份模型10图6-1选择图6-2选择AA1.30图63选择FA1.32表格列表表2-ISP800-63

15、-3的规范性和信息性部分4表51身例呆证级别18表5-2验证器保证级别19表5-3联合保证级别19表6-1每个保障级别的最大潜在影响25表6-2可接受的影响IA1.和AA1.的组合34勘误表此表包含已纳入特别出版物800633中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。更新了对风险管理框架的参考5图62、M84l三A修复了FA1.3定义的措辞澄遹了xA1.选择的流程图添加了授权组件的裁5.2黔162、6-3附录A社论删除了受保护会话的无关定义附录A本节内容丰富C本建议及其姊妹篇特别出版物(SP)800-63A,SP800-63B,和SP80063C,为实施数字认证的机构提供技术指南。本节内容丰富。数字身份是参与在线交易的主体的唯一表示。数字身份在数字服务的上下文中始终是唯一的，但不一定需要在所有上下文中唯一地标识主体。换句话说访问