书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３６６３３ — ２０１８ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G2C /G2D /G2E /G25 /G26 /G2F /G30 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犜犲犮犺狀犻犮犪犾犵狌犻犱犲犳狅狉犻犱犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀狅狏犲狉狀犲狋狑狅狉犽 ２０１８  ０９  １７ /G31 /G32 ２０１９  ０４  ０１ /G33 /G34 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G31 /G32书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 概述 ２ ……………………………………………………………………………………………………… 　 ５．１ 　 网络用户身份鉴别过程 ２ …………………………………………………………………………… 　 ５．２ 　 鉴别协议 ４ …………………………………………………………………………………………… 　 ５．３ 　 凭证 ４ ………………………………………………………………………………………………… 　 ５．４ 　 验证方 ４ ……………………………………………………………………………………………… 　 ５．５ 　 依赖方 ５ ……………………………………………………………………………………………… 　 ５．６ 　 密码支持 ５ …………………………………………………………………………………………… ６ 　 用户注册和凭证发放过程 ５ ……………………………………………………………………………… 　 ６．１ 　 注册和发放威胁 ５ …………………………………………………………………………………… 　 ６．２ 　 注册和发放威胁的应对策略 ６ ……………………………………………………………………… ７ 　 鉴别信息提交和验证过程 ７ ……………………………………………………………………………… 　 ７．１ 　 提交和验证威胁 ７ …………………………………………………………………………………… 　 ７．２ 　 提交和验证威胁的应对策略 ８ ……………………………………………………………………… ８ 　 断言过程 ９ ………………………………………………………………………………………………… 　 ８．１ 　 断言威胁 ９ …………………………………………………………………………………………… 　 ８．２ 　 断言威胁的应对策略 １０ ……………………………………………………………………………… ９ 　 凭证 １１ ……………………………………………………………………………………………………… 　 ９．１ 　 凭证的类型 １１ ………………………………………………………………………………………… 　 ９．２ 　 凭证威胁 １２ …………………………………………………………………………………………… 　 ９．３ 　 凭证威胁的应对策略 １３ ……………………………………………………………………………… １０ 　 凭证管理 １４ ……………………………………………………………………………………………… 　 １０．１ 　 凭证管理活动 １４ …………………………………………………………………………………… 　 １０．２ 　 凭证管理威胁 １５ …………………………………………………………………………………… 　 １０．３ 　 凭证管理威胁的应对策略 １５ ……………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 三种鉴别模型的鉴别过程 １７ ……………………………………………………… 附录 Ｂ （ 资料性附录 ） 　 基本断言模型 １９ …………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３６６３３ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 公安部第三研究所 、 中国电子技术标准化研究院 、 西安西电捷通无线网络通信股份有限公司 、 北京工业大学 、 武汉大学 。 本标准主要起草人 ： 顾健 、 张笑笑 、 杨元原 、 陈妍 、 范科峰 、 顾玮 、 俞优 、 沈亮 、 王莹莹 、 沈清泓 、 许东阳 、 杜志强 、 李琴 、 杨震 、 王丽娜 。 Ⅲ 犌犅 ／ 犜 ３６６３３ — ２０１８ 信息安全技术网络用户身份鉴别技术指南 １ 　 范围 本标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁 ， 并规定了抵御威胁的方法 。 本标准适用于网络环境下用户身份鉴别系统的设计 、 开发与测试 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１５８４３．１ 　 信息技术 　 安全技术 　 实体鉴别 　 第 １ 部分 ： 总则 ＧＢ ／ Ｔ１５８４３．２ 　 信息技术 　 安全技术 　 实体鉴别 　 第 ２ 部分 ： 采用对称加密算法的机制 ＧＢ ／ Ｔ１５８４３．３ 　 信息技术 　 安全技术 　 实体鉴别 　 第 ３ 部分 ： 采用数字签名技术的机制 ＧＢ ／ Ｔ１５８４３．４ 　 信息技术 　 安全技术 　 实体鉴别 　 第 ４ 部分 ： 采用密码校验函数的机制 ＧＢ ／ Ｔ１５８４３．５ 　 信息技术 　 安全技术 　 实体鉴别 　 第 ５ 部分 ： 使用零知识技术的机制 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２８４５５ 　 信息安全技术 　 引入可信第三方的实体鉴别及接入架构规范 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 声称方 　 犮犾犪犻犿犪狀狋 为了进行鉴别 ， 本身是本体或者代表本体的个人 。 注 ： 声称方具备代表本体进行鉴别交换的各种功能 。 ３ ． ２ 　 申请方 　 犪狆狆犾犻犮犪狀狋 请求分配注册项及其标号的个人 。 ３ ． ３ 　 验证方 　 狏犲狉犻犳犻犲狉 对声称方合法性进行验证的机构或组织 。 ３ ． ４ 　 依赖方 　 狉犲犾狔犻狀犵狆犪狉狋狔 依赖身份鉴别结果决定是否与声称方建立信任关系的机构或组织 。 ３ ． ５ 　 凭证 　 犮狉犲犱犲狀狋犻犪犾 身份证明 。 １ 犌犅 ／ 犜 ３６６３３ — ２０１８ ３ ． ６ 　 凭证服务提供方 　 犮狉犲犱犲狀狋犻犪犾狊犲狉狏犻犮犲狆狉狅狏犻犱犲狉 发布或者注册合法用户的凭证 ， 并且为合法用户颁发凭证的机构或组织 。 ３ ． ７ 　 合法用户 　 狊狌犫狊犮狉犻犫犲狉 从凭证服务提供方得到凭证的个人 。 ３ ． ８ 　 断言 　 犪狊狊犲狉狋犻狅狀狊 验证方所作出的不包含有效证据的声明 。 ３ ． ９ 　 断言参考 　 犪狊狊犲狉狋犻狅狀狉犲犳犲狉犲狀犮犲 和断言结合的 ， 包含验证方标识和断言指针信息的数据对象 。 ３ ． １０ 　 身份确认 　 犻犱犲狀狋犻狋狔犮狅狀犳犻狉犿犪狋犻狅狀 采集用户身份信息 ， 并确认用户身份真实性和一致性的过程 。 ３ ． １１ 网络用户身份鉴别 　 犻犱犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀狅狏犲狉狀犲狋狑狅狉犽 在网络中识别用户身份并辨别其合法性的过程 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＣＳＰ ： 凭证服务提供方 （ ＣｒｅｄｅｎｔｉａｌＳｅｒｖｉｃｅＰｒｏｖｉｄｅｒ ） ＣＳＲＦ ： 跨站请求伪造 （ ＣｒｏｓｓＳｉｔｅＲｅｑｕｅｓｔＦｏｒｇｅｒｙ ） ＤＮＳ ： 域名系统 （ ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ ） ＨＴＴＰ ： 超文本传送协议 （ ＨｙｐｅｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＭＦ ： 多因素 （ ＭｕｌｔｉｐｌｅＦａｃｔｏｒ ） ＯＴＰ ： 动态口令 （ ＯｎｅＴｉｍｅＰａｓｓｗｏｒｄ ） ＰＩＮ ： 个人识别码 （ ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ ） ＰＫＩ ： 公钥基础设施 （ ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅ ） ＲＡ ： 注册机构 （ ＲｅｇｉｓｔｒａｔｉｏｎＡｕｔｈｏｒｉｔｙ ） ＲＰ ： 依赖方 （ ＲｅｌｙｉｎｇＰ