《信息安全技术 网络用户身份鉴别技术和测评要求》编制说明_第1页
《信息安全技术 网络用户身份鉴别技术和测评要求》编制说明_第2页
《信息安全技术 网络用户身份鉴别技术和测评要求》编制说明_第3页
《信息安全技术 网络用户身份鉴别技术和测评要求》编制说明_第4页
《信息安全技术 网络用户身份鉴别技术和测评要求》编制说明_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1概述

1.1项目来源

本标准编写任务由全国信息安全标准化技术委员会下达,公安部计算机信息

系统安全产品质量监督检验中心负责具体编制工作。

1.2编制的背景和意义

网络用户身份鉴别是在计算机网络中确认用户身份的过程。计算机网络中一

切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用

户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数

字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的

物理身份与数字身份相对应,身份鉴别就是为了解决这个问题,作为防护网络资

产的第一道关口,身份鉴别有着举足轻重的作用。

1.3编制的目的

本标准从计算机信息系统的安全保护等级划分的角度,为使用网络用户身份

鉴别技术的机构提供指南。主要解决两个方面的问题:一方面保障合法用户对指

定资源的访问,防范信息通信中遇到的威胁;另一方面,在出现安全问题时,可

以通过审计用户的鉴别信息等追根溯源,解决访问者的物理身份和数字身份的一

致性问题,为其它安全技术或措施提供依据和保障。

1.4编制原则

本标准在编制过程中依据以下原则:

a、科学性原则

科学性是标准化的最基本原则,是采用所属标准的有关技术系统和管理系统

安全、可靠、稳定运行的根本保障。

b、实用性原则

标准体系必须是可用的,才有实际意义,本标准在编制过程中严格按照流程

对信息安全领域现有、应有和计划制订的标准展开系统的、全面的调研工作,注

重与相关产品以及系统的研究,使得标准体系更贴近信息安全领域的实际情况,

保证操作性。

c、先进性原则

标准体系是先进经验的总结,同时也是技术的发展趋势。要制定出先进的标

准体系,必须广泛了解信息安全领域中产品以及系统的标准,充分体现相关技术

的发展方向,制定出具有先进水平的标准体系。

d、兼容性原则

标准体系应积极采用国家标准、等同或等效采用国际先进标准,保持於他们

的一致性和兼容性。编制组在对标准起草过程中始终遵循此原则,其内容符合我

国已经发布的有关政策、法律和法规。

e、系统性

系统性是标准体系中各个标准之间的内部联系和区别的体现。在编制标准体

系过程中,在内容和层次上要充分体现系统性,按照标准体系的组成原则,恰当

地将具体的标准安排在相对应的位置上,争取做到层次合理、分明,标准之间体

现出互相依赖、衔接的配套关系。

f、可预见性和可扩充性相结合

既要考虑到目前的技术和应用发展水平,也要对未来的发展趋势有所预见。

同时,考虑到目前有些需求不甚明朗,因此在编制过程中,还应充分考虑其可扩

充性,使其能够随信息安全技术的发展进行扩充。

2主要工作过程

2009年申报编制,2010年11月立项为国家编制标准,标准原名《信息安全

技术网络用户身份鉴别技术和测评要求》,任务下达给中国电子技术标准化研究

所,浪潮公司为主要编写单位、公安部计算机信息系统安全产品质量监督检验中

心参与编制。2012年3月,全国信息安全标准化技术委员会建议将标准名称改

为《信息安全技术网络用户身份鉴别技术指南》,以NISTSP800-63(目前最新

版本是在2013年2月1日出版的草案)结合OMB04-04为主要研究文档,先做

出基础性技术标准,在此基础上再研究编制具体技术产品标准和测评标准。2013

年7月,改为公安部计算机信息系统安全产品质量监督检验中心为主要编写单位,

与中国电子技术标准化研究所等单位共同完成此标准。

2.1参考资料

该标准编制过程中,主要参考了:

GB/T9387.2-1995信息处理系统开放系统互联基本参考模型第2部分:

安全体系结构

GB/T15843.1-2008信息技术安全技术实体鉴别第1部分:概述

GB/T15843.2-2008信息技术安全技术实体鉴别第2部分:采用对称加密

算法的机制

GB/T15843.3-2008信息技术安全技术实体鉴别第3部分:采用数字签名

技术的机制

GB/T15843.4-2008信息技术安全技术实体鉴别第4部分:采用密码校验

函数的机制

GB/T15843.5-2005信息技术安全技术实体鉴别第5部分:采用零知识技

术的机制

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T18336-2001信息技术安全性评估准则

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T25069-2010信息安全技术术语

GB/T28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规

NISTSP800-63ElectronicAuthenticationGuideline

OMB04-04

2.2编制工作简要过程

2013.7接到任务后,检测中心指定了此标准的联络人——张笑笑,联络人

立刻与标准原先的承担单位—浪潮进行联系,了解了标准的进展情况,获得了标

准的有效版本,标委会及相关专家对此标准的意见和建议等。根据了解的情况,

结合标委会及专家的意见,将此标准定位为“网络身份鉴别技术指南”,参考

sp800_63进行编制。

根据标准编制需要,公安部计算机信息系统安全产品质量监督检验中心、中

国电子技术标准化研究所和公安部第三研究所等单位联合成立了标准编制组,成

员包括:顾健、张笑笑、杨元原、陈妍、顾玮、沈亮、许东阳、范科峰、沈清泓、

唐丹丹等人。

1)草稿(第一稿)

2013.8-12对sp800_63等相关资料进行了进行了翻译。

2014.1~2014.11完成了草稿,草稿考虑了身份鉴别的普适性,手段和技术

的多样,且需要根据等级保护的思想进行分级。作为指南,侧重描述在网络条件

下,对访问信息系统的用户进行身份鉴别的过程,参与鉴别过程的要素,以及用

到的安全机制。

草稿明确了身份鉴别技术的主要过程(包括注册和凭证发放、鉴别过程)以

及身份鉴别技术中的一些术语和定义。

2)草稿(第二稿)

2014.11在检测中心内部召集中心标准技术组,对标准进行评审,会上标

准技术组提出,会后,标准编制组对中心标准技术组提出的意见进行了整理和分

析,并重新梳理了标准的结构,2014.12完成了草稿(第二稿)。

3)草稿(第三稿)

2014.12.26标委会在北京应物会议中心组织召开了专家评审会,对标准进

行了评审,会上专家明确了标准的修改方向——应抓住网络用户鉴别的特点,将

鉴别过程描述清楚。根据专家意见,标准编制组重新梳理了网络用户身份鉴别的

过程,对标准进行了修改,包括修改了标准中的用户身份鉴别一般模型图,梳理

了鉴别过程的相关描述,完成了草稿(第三稿)。

4)草稿(第四稿)

2015.4.15标准编制组在上海(检测中心会议室)组织了国内身份鉴别相

关的信息安全企业,对标准进行讨论。参会的信息安全企业包括:北京大明五洲

科技有限公司、北京海泰方圆科技有限公司、北京坚石诚信科技有限公司、北京

数字认证股份有限公司、北京握奇智能科技有限公司、北京信安世纪科技有限公

司、长春吉大正元信息技术股份有限公司、成都卫士通信息安全技术有限公司、

上海动联信息技术股份有限公司、深圳市文鼎创数据科技有限公司、北京华大智

宝电子系统有限公司、上海林果实业有限公司、上海众人网络安全技术有限公司,

共计13家。会上,各大厂商纷纷提出了自己的意见,具体包括:

增加“断言参考”的定义

存在一些错别字

含义相同的词,建议统一

部分内容存在歧义或描述不准确

会后,标准编制组对厂商的意见进行了整理,并根据厂商的意见调整了标准

文本,2015.6完成了草稿(第四稿)。

5)草稿(第五稿)

2015.6.26标委会在杭州组织召开了专家评审会,对标准进行了评审,会

上专家对标准文本进行了质询,。根据专家意见,标准编制组重新梳理了网络用

户身份鉴别的过程,对标准进行了修改,包括根据网络用户注册的特点,修改了

标准中的注册过程相关要求,修改了部分术语定义,完成了草稿(第五稿)。

6)草稿(第六稿)

2016.6标委会将标准文本以邮件形式发送给WG5各成员单位,其中有5家

单位进行了反馈,并且2016.6.15在北京会议中心组织召开了专家评审会,对标

准进行了评审。

根据专家意见,标准编制组对标准进行了修改,包括根据修改了缩略语及其

格式,增加了身份鉴别模型,调整8.1.3中一些不完整和不通顺的语句,完成

了草稿(第六稿),后续将进一步征求意见,并对标准的等级划分进行细化和说

明。

7)征求意见稿

2016.7标准经过WG5组织的评审,同意形成征求意见稿。

3主要内容

3.1主要结构

本标准的编写格式和方法依照GB/T1.1-2000《标准化工作导则第一部分:

标准的结构和编写规则》。

标准主要分为“范围”、“规范性引用文件”、“术语和定义”、“缩略语”“描

述”、“等级”、“注册和发放过程”、“鉴别过程”和“凭证和凭据管理”共9个部

分。

3.2主要内容

3.2.1范围、标准引用、术语和定义、缩略语

该部分定义了本标准适应的范围,所引用的其它标准情况,及以何种方式引

用,术语和定义明确了该标准所涉及的一些术语。

在术语中明确了用户在身份鉴别不同阶段的定义“申请者”、“合法用户”;

“声称者”;明确了认证机构、组织在参与鉴别过程的定义:“凭据服务提供者”、

“依赖方”、“验证者”。

具体如下:

声称者Claimant:网络身份鉴别过程中,被验证的人。

申请者Applicant:注册和身份验证过程中的人。

合法用户Subscriber:从凭据服务提供者得到凭证的人。

凭据服务提供者CredentialServiceProvider:发布或者注册合法用户的

凭证,并且为合法用户颁发电子凭据的机构或组织。

验证者Verifier:网络身份鉴别过程中,验证身份的机构或组织。

依赖方RelyingParty:依赖于电子身份验证协议的结果从而建立声称者

身份或者属性的信任关系的机构或组织。

凭证Certificate:声称者拥有并且控制的,可用于证明声称者身份的物

品或信息。

凭据Credential:用于验证用户身份的信息。

断言Assertions:验证用户身份的判断结果。

断言参考AssertionReference:和断言结合的,保护验证者持有的断言的

位置信息一个数据对象。

身份确认Identityproofing:采集身份信息,并确认的过程。

3.2.2描述

本节主要对第三节的术语定义进行补充说明。

3.2.3等级

本节说明了本标准的等级划分情况,标准按照网络身份鉴别技术强度,以及

参照GB17859-1999,对网络身份鉴别技术进行划分。安全等级分为基本级和增

强级,推荐重要信息系统使用增强级网络身份鉴别技术。

3.2.4注册和发放过程

注册和发放过程包括:注册、身份确认、凭证创建/发放和凭据签发等过程。

本节分析了注册和发放过程中面临的主要威胁、描述缓解威胁的措施,并提出了

当面注册和远程注册对发放凭据的要求和RA和CSP动作应采取动作的要求。

3.2.5鉴别过程

本节分

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论