ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T42573—2023 信息安全技术 网络身份服务安全 技术要求 Information security technology-Security technical requirements for identity service in network 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42573—2023 目 次 前言 III 范围 规范性引用文件 2 3 术语和定义 缩略语 网络身份服务概述 5 参与方 5.1 5.2 身份服务模型 5.3 服务安全级别 服务安全技术要求 6 6.1 身份核验服务 6.2 身份鉴别服务 6.3 身份联合服务 附录A（资料性） 网络身份服务安全技术要求· 17 附录B（资料性） 用户属性的类型 20 附录C（资料性） 网络身份服务风险缓解 21 附录D（资料性) 鉴别器类型 23 附录E（资料性） 身份联合服务建立模式 24 参考文献 25 GB/T42573—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：北京数字认证股份有限公司、中国科学院数据与通信保护研究教育中心、中国科 学院大学、公安部第一研究所、中国电子技术标准化研究院、中国科学院软件研究所、蚂蚁科技集团股份 有限公司、国民认证科技（北京)有限公司、联想（北京）有限公司、北京中盾安信科技发展有限公司、北京 快手科技有限公司。 本文件主要起草人：高能、李敏、林雪焰、马存庆、荆继武、刘丽敏、彭佳、屠晨阳、查达仁、张逸飞、 邵淼、傅大鹏、张妍、刘中、张永强、欧阳晖、郝春亮、李彦峰、张立武、张严、落红卫、王昕、李俊、柴海新、 白培鑫、王开林。 II GB/T42573—2023 信息安全技术网络身份服务安全 技术要求 1范围 本文件确立了面向自然人的网络身份服务的参与方和模型，规定了网络身份服务安全级别和安全 技术要求。 本文件适用于面向自然人的网络身份服务的设计、开发、部署和应用。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T15843（所有部分）信息技术安全技术实体鉴别 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T37036（所有部分）信息技术移动设备生物特征识别 GB/T37092 2信息安全技术密码模块安全要求 GB/T40660信息安全技术生物特征识别信息保护基本要求 3 术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 身份服务提供方 identity service provider 在网络中提供身份服务的实体。 3.2 用户user 使用网络身份服务的自然人。 注：申请方、声称方、订户代表了用户在不同场景下的不同角色， 3.3 依赖方relyingparty 依赖身份鉴别结果以确定是否与用户建立信任关系的实体。 3.4 身份核验identityproofing 收集用户身份信息，并验证用户身份信息的真实性的过程。 3.5 身份鉴别identityauthentication 验证用户所声称身份的过程。 GB/T42573—2023 3.6 身份联合identityfederation 依赖不在同一个安全域的身份服务提供方给出用户身份鉴别结果的过程。 3.7 网络身份服务identityserviceinnetwork 在网络中为用户提供身份核验、身份鉴别和身份联合服务的活动。 3.8 订户subscriber 接受身份服务提供方提供的身份服务的合法用户。 3.9 申请方 applicant 请求成为订户的自然人。 3.10 声称方claimant 宣称自己是订户的自然人。 【来源：GB/T25069一2022，3.535，有修改 3.11 用户标识 useridentification 用于标识用户的一种字符串或模式。 ［来源：GB/T25069—2022，3.734，有修改］ 3.12 远程递交材料身份核验remoteidentityproofing 申请方通过在线或离线方式非现场提供身份证明材料进行身份核验的过程。 3.13 本人远程身份核验in-person over remote channel identityproofing 申请方通过在线方式并亲自操作进行身份核验的过程。 示例：通过视频方式实时验证。 3.14 本人现场身份核验 in-person identity proofing 申请方通过亲自到现场的方式进行身份核验的过程。 3.15 鉴别器 authenticator 用户拥有或掌握的可用于鉴别其身份的功能组件或方法。 注：鉴别器包含实体凭证或凭证生成方法，参与并执行特定的鉴别协议。 3.16 声明claim 在不给出证据的情况下所做的宣称或说明。 3.17 断言assertion 身份服务提供方生成的对用户身份鉴别的结果 注：包括断言主体（被鉴别身份的用户标识符）、断言发放者、断言接收者、签发时间等信息，也可包含用户属性信息 等，表明了声称方为订户。 2 GB/T42573—2023 3.18 断言引用 assertion reference 和断言关联的，包含身份服务提供方标识的数据对象。 3.19 持有型断言 bearer assertion 可将断言持有者看作断言主体的断言类型。 注：不能保证断言的持有者就是断言中的主体。 3.20 密钥拥有型断言holder-of-keyassertion 可通过断言的持有者拥有的密钥证明其为断言主体的断言类型。 3.21 网络身份服务系统 identityservicesysteminnetwork 支撑网络身份服务的软硬件集合。 4 缩略语 下列缩略语适用于本文件。 AAL：鉴别保证级（AuthenticationAssuranceLevel) FAL：联合保证级（FederationAssuranceLevel) IAL：身份保证级（IdentityAssuranceLevel) OTP：动态口令（OneTimePassword) 网络身份服务概述 5 5.1 参与方 网络身份服务参与方包括用户、身份服务提供方和依赖方（三方交互示意图见图1）。申请方、声称 方、订户代表了用户在不同场景下的不同角色。 a）用户的主要职责包括： ·向身份服务提供方提交身份信息和身份证明文件； ·接受身份服务提供方的身份核验； ·向依赖方发起应用服务请求并声明身份； 接受身份服务提供方的身份鉴别； 。接收依赖方对应用服务请求的响应。 身份服务提供方的主要职责包括： b) . 对申请方的身份进行核验； . 身份核验成功后向申请方颁发鉴别器； 接收来自依赖方的身份鉴别请求，并鉴别声称方身份； . ·向依赖方提供身份鉴别断言。 依赖方的主要职责包括： ·接收声称方的网络应用服务请求及身份声明； 向身份服务提供方提交身份鉴别请求； 接收身份服务提供方提供的身份鉴别断言； . 向订户返回应用服务响应 3 GB/T42573—2023 获得身份 用户 确训 中请方 卢称方 订户 身份 须发鉴别器。 证明文件 身份鉴别 身价、 核验身 提交身份鉴别请求 依赖方 身份服务提供方 返叫身份鉴别断言 图1网络身份服务参与方交互示意图 5.2身份服务模型 网络身份服务模型见图2。网络身份服务分为身份核验服务、身份鉴别服务、身份联合服务三类。 身份核验服务，流程如下。 a) 1）申请方提交身份信息和身份证明文件，进行登记； 2）身份服务提供方核验身份信息和身份证明文件，核验通过后，向申请方颁发鉴别器，申请 方获得身份成为身份服务提供方的订户。 身份鉴别服务，流程如下。 b） 1）通过鉴别协议，使用鉴别器证明声称方是绑定到特定鉴别器的订户； 2）对声称方进行身份鉴别，身份鉴别成功后，确认该声称方为订户。 身份联合服务，发生在依赖方与身份服务提供方在不同安全域的情形，身份服务提供方对声称 方进行身份鉴别后，将有关身份鉴别结果的断言或断言引用返回给依赖方，流程如下。 1）声称方向依赖方发起应用服务请求并声明身份； 2） 依赖方向不同域的身份服务提供方发起身份鉴别请求； 身份服务提供方对声称方进行身份鉴别，向依赖方返回断言或断言引用，声称方身份得到 确认； 4）依赖方向订户返回应用服务响应。 一般情况下，身份服务提供方同时提供身份核验服务和身份鉴别服务，可提供身份联合服务。