ICS35.030
CCSL80
中华人民共和国国家标准
GB/T42573—2023
信息安全技术
网络身份服务安全
技术要求
Information security technologySecurity technical requirements for identityserviceinnetwork
2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
网络身份服务概述
参与方
身份服务模型
服务安全级别
服务安全技术要求
身份核验服务
身份鉴别服务
身份联合服务
附录A（资料性）
附录B（资料性）
附录C（资料性）
附录D（资料性）
附录E（资料性）
参考文献
网络身份服务安全技术要求
用户属性的类型
网络身份服务风险缓解
鉴别器类型
身份联合服务建立模式
GB/T42573—2023
GB/T42573—2023
第1部分：标准化文件的结构和起草规则》的规定本文件按照GB/T1.1-2020《标准化工作导则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：北京数字认证股份有限公司、中国科学院数据与通信保护研究教育中心、中国科学院大学、公安部第一研究所、中国电子技术标准化研究院、中国科学院软件研究所、蚂蚁科技集团股份有限公司、国民认证科技（北京）有限公司、联想（北京）有限公司、北京中盾安信科技发展有限公司、北京快手科技有限公司。
本文件主要起草人：高能、李敏、林雪焰、马存庆、荆继武、刘丽敏、彭佳、屠晨阳、查达仁、张逸飞、邵淼、傅大鹏、张妍、刘中、张永强、欧阳晖、郝春亮、李彦峰、张立武、张严、落红卫、王昕、李俊、柴海新、白培鑫、王开林。
1范围
信息安全技术
网络身份服务安全
技术要求
GB/T42573—2023
本文件确立了面向自然人的网络身份服务的参与方和模型，规定了网络身份服务安全级别和安全技术要求
本文件适用于面向自然人的网络身份服务的设计、开发、部署和应用。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T15843（所有部分）
信息技术安全技术实体鉴别
GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069
GB/T35273
信息安全技术术语
信息安全技术个人信息安全规范GB/T37036（所有部分）信息技术移动设备生物特征识别GB/T37092
GB/T40660
术语和定义
信息安全技术密码模块安全要求生物特征识别信息保护基本要求信息安全技术
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
身份服务提供方
identityserviceprovider
在网络中提供身份服务的实体
使用网络身份服务的自然人。
注：申请方、声称方、订户代表了用户在不同场景下的不同角色。3.3
5relyingparty
依赖方
依赖身份鉴别结果以确定是否与用户建立信任关系的实体。3.4
身份核验
identity proofing
收集用户身份信息，并验证用户身份信息的真实性的过程。3.5
身份鉴别
identity authentication
验证用户所声称身份的过程。
GB/T42573—2023
身份联合
identityfederation
依赖不在同一个安全域的身份服务提供方给出用户身份鉴别结果的过程。3.7
网络身份服务
identityserviceinnetwork
在网络中为用户提供身份核验、身份鉴别和身份联合服务的活动。3.8
subscriber
接受身份服务提供方提供的身份服务的合法用户。3.9
申请方
applicant
请求成为订户的自然人。
5claimant
声称方
宣称自己是订户的自然人。
［来源：GB/T25069—2022，3.535，有修改］3.11
只useridentification
用户标识
用于标识用户的一种字符串或模式。［来源：GB/T25069—2022，3.734，有修改］3.12
远程递交材料身份核验
remoteidentityproofing
申请方通过在线或离线方式非现场提供身份证明材料进行身份核验的过程。3.13
本人远程身份核验
in-personoverremotechannel identityproofing申请方通过在线方式并亲自操作进行身份核验的过程。示例：通过视频方式实时验证。3.14
本人现场身份核验
in-personidentityproofing
申请方通过亲自到现场的方式进行身份核验的过程，3.15
鉴别器
authenticator
用户拥有或掌握的可用于鉴别其身份的功能组件或方法注：鉴别器包含实体凭证或凭证生成方法，参与并执行特定的鉴别协议。3.16
在不给出证据的情况下所做的宣称或说明。3.17
assertion
身份服务提供方生成的对用户身份鉴别的结果。注：包括断言主体（被鉴别身份的用户标识符）、断言发放者、断言接收者、签发时间等信息，也可包含用户属性信息等，表明了声称方为订户。
月assertionreference
断言引用
和断言关联的，包含身份服务提供方标识的数据对象。持有型断言
bearer assertion
可将断言持有者看作断言主体的断言类型。注：不能保证断言的持有者就是断言中的主体。3.20
holder-of-keyassertion
密钥拥有型断言
可通过断言的持有者拥有的密钥证明其为断言主体的断言类型。3.21
identityservicesysteminnetwork网络身份服务系统
支撑网络身份服务的软硬件集合。4
缩略语
下列缩略语适用于本文件。
AAL：鉴别保证级（AuthenticationAssuranceLevel)）FAL：联合保证级（FederationAssuranceLevel)IAL：身份保证级（IdentityAssuranceLevel）OTP：动态口令（OneTimePassword）5网络身份服务概述
参与方
GB/T42573—2023
网络身份服务参与方包括用户、身份服务提供方和依赖方（三方交互示意图见图1）。申请方、声称方、订户代表了用户在不同场景下的不同角色。用户的主要职责包括：
向身份服务提供方提交身份信息和身份证明文件；接受身份服务提供方的身份核验；向依赖方发起应用服务请求并声明身份；接受身份服务提供方的身份鉴别；接收依赖方对应用服务请求的响应。b)
身份服务提供方的主要职责包括：对申请方的身份进行核验；
身份核验成功后向申请方颁发鉴别器；接收来自依赖方的身份鉴别请求，并鉴别声称方身份；向依赖方提供身份鉴别断言。
依赖方的主要职责包括：
接收声称方的网络应用服务请求及身份声明；向身份服务提供方提交身份鉴别请求：接收身份服务提供方提供的身份鉴别断言；向订户返回应用服务响应。
GB/T42573—2023
中请方
明文件
调发资别器
和身份证明
身份鉴别
全身份、
份信息
核验身
身份服务提供方
获得身份
声称方
提交身份鉴别请求
返叫身份鉴断言
图1网络身份服务参与方交互示意图5.2
2身份服务模型
依赖方
网络身份服务模型见图2。网络身份服务分为身份核验服务、身份鉴别服务、身份联合服务三类。身份核验服务，流程如下。
申请方提交身份信息和身份证明文件，进行登记；1）
身份服务提供方核验身份信息和身份证明文件，核验通过后，向申请方颁发鉴别器，申请方获得身份成为身份服务提供方的订户。b）
身份鉴别服务，流程如下。
通过鉴别协议，使用鉴别器证明声称方是绑定到特定鉴别器的订户；对声称方进行身份鉴别，身份鉴别成功后，确认该声称方为订户。身份联合服务，发生在依赖方与身份服务提供方在不同安全域的情形，身份服务提供方对声称方进行身份鉴别后，将有关身份鉴别结果的断言或断言引用返回给依赖方，流程如下。1）
声称方向依赖方发起应用服务请求并声明身份；依赖方向不同域的身份服务提供方发起身份鉴别请求；身份服务提供方对声称方进行身份鉴别，向依赖方返回断言或断言引用，声称方身份得到确认；
依赖方向订户返回应用服务响应。4）
一股情况下，身份服务提供方同时提供身份核验服务和身份鉴别服务，可提供身份联合服务。4
中请方
身份服务提供方
身份核验服务
5.3服务安全级别
声称方
身份服务提供方
身份鉴别服务
图2网络身份服务模型
声称方
GB/T42573—2023
依赖方
身份服务提供方
身份联合服务
本文件分别针对身份核验服务、身份鉴别服务、身份联合服务分别规定了4个要求逐级递增的安全级别，高安全级别在低安全级别的基础上进一步提出了更高的安全要求。各安全级别主要的区别简要描述如下，具体的安全要求见第6章。a）
身份核验服务包括下列内容。
1）IAL-1，阐明了身份核验服务最低级别的安全要求：唯一性：身份在特定语境中是唯一的；·
收集属性类别：收集的用户属性能够唯一标识用户。IAL-2，在IAL-1的基础上主要增加了收集属性类别、实名核验、远程递交材料身份核验2）
等方面的要求：
收集属性类别：收集的用户属性能与现实世界的自然人唯一关联，且拥有联系方式；是否实名：对用户实名核验；
核验方法：核验收集的身份属性的真实性，至少采用远程递交材料身份核验等方式进行核验。
IAL-3，在IAL-2的基础上主要增加了环境属性等属性收集要求、本人远程身份核验等方3）
面的要求：
收集属性类别：在IAL-2的基础上要求收集用户登录环境信息，根据业务需求收集必要的经济属性、社会属性；
核验方法：核验收集的身份属性的真实性，至少采用本人远程身份核验或本人现场身份核验的方式进行核验。
IAL-4，阐明了身份核验最高级别的安全要求，在IAL-3的基础上主要增加了收集属性类4）
别、身份证明文件的数量要求、本人现场身份核验等方面的要求：。收集属性类别：在IAL-3的基础上建议收集生物特征属性、行为属性等更多种类的身份属性；
核验方法：相较于IAL-3要求核验更多数量的权威来源身份证明文件，至少采用本人现场身份核验的方式进行核验。5
GB/T42573—2023
身份鉴别服务包括下列内容。
1）AAL-1，阐明了身份鉴别服务最低级别的安全要求，支持使用单因素鉴别方式来证明声称方是绑定到特定鉴别器的订户；AAL-2,在AAL-1的基础上要求使用多因素鉴别方式；2）
3）AAL-3，在AAL-2的基础上增加了对鉴别器中密码技术使用要求、动态鉴别要求：鉴别因素：要求多因素鉴别方式中至少使用密码软件鉴别器或密码设备鉴别器来·
实现；
动态鉴别：具备基于网络环境的风险控制措施AAL-4，阐明了身份鉴别最高级别的安全要求，相较于AAL-3，要求至少使用密码设备鉴4）
别器，且提高了动态鉴别要求：。鉴别因素：要求多因素鉴别方式中至少使用密码设备鉴别器来实现；。动态鉴别：具备基于网络环境的风险控制措施，建议具备基于用户行为的风险控制措施。
身份联合服务包括下列内容。
1）FAL-1，阐明了身份联合服务最低级别的安全要求：。断言签名：身份服务提供方到依赖方的断言由身份服务提供方进行签名；断言类型：允许使用持有型断言或密钥拥有型断言。2）FAL-2,在FAL-1的基础上主要增加了断言加密要求，3）FAL-3，在FAL-2的基础上主要提高了断言类型要求、断言主体假名化要求：·断言类型：要求使用密钥拥有型断言；·
断言主体假名化：建议断言主体假名化，依赖方和身份服务提供方可协商确定对不同的依赖方是否使用不同的用户假名。4）FAL-4，阐明了身份联合最高级别的安全要求，在FAL-3的基础上主要提高断言假名化要求，要求断言主体假名化，对不同的依赖方生成不同的用户假名。服务安全级别的选可基于风险评估的方式来确定。风险评估要素主要包括两方面。一方面，评估网络身份服务安全无法保证时可能导致的风险，风险类型主要包括：对个人的声誉、生活、财产带来影响或损失，对组织的声誉、财产带来影响或损失，造成个人或组织的敏感信息泄露，对社会秩序、经济秩序或公共利益造成危害，对国家安全造成危害等；另一方面，评估风险的影响程度，如个人财产损失程度可分为小额损失、巨额损失等。综合考虑风险及风险的影响程度，确定服务安全级别。针对三类服务可分别选择各自的IAL、AAL、FAL，且服务安全级别可不同。第6章将针对三类服务分别给出每个级别的安全技术要求，安全技术要求参见附录A，6服务安全技术要求
身份核验服务
6.1.1用户标识要求
6.1.1.1唯一性要求
用户标识的唯一性要求如下：wwW.bzxz.Net
应确保每个用户在身份服务提供方内拥有唯一的标识；a)
应确保每个用户在同一依赖方内拥有唯一的标识；c)
可在不同依赖方内为同一用户分配不同的标识。6.1.1.2实名要求
实名要求如下：
IAL-1：不要求实名，可使用匿名、假名或实名；a)
GB/T42573—2023
IAL-2、IAL-3、IAL-4：应进行实名核验，应具备提供实名、匿名或假名的能力。若提供暨名或b)
假名，具备追溯匿名者或假名者的真实身份的能力。6.1.2用户属性收集要求
用户属性类型包括法定属性、通信属性、社会属性、经济属性、生物特征属性、环境属性、行为属性等，常见用户属性的类型见附录B，用户属性收集要求如下。应遵循最小化原则收集满足业务功能需要的用户属性。a）
个人信息的收集和存储应符合GB/T35273的规定。b）
用户属性的类型要求如下：
IAL-1：身份服务提供方收集的用户属性能够唯一标识用户，不需对身份的真实性进行1
验证；
IAL-2：身份服务提供方应收集真实且可被核验的法定属性和通信属性；2）
IAL-3：在IAL-2的基础上，还应收集环境属性，应根据业务需求仅收集必要的经济属性、3）
社会属性；
IAL-4：在IAL-3的基础上，还宜收集生物特征属性、行为属性。4）
注：当收集的用户属性为实名认证的手机号时，由于通过该手机号能关联到用户的法定属性（如姓名、身份证号)，则该手机号既是通信属性，也是法定属性。6.1.3用户身份核验要求
用户身份核验要求包括下列内容。身份核验方法要求如下：
IAL-1：不作要求；
IAL-2：法定属性应通过至少一种权威第三方提供的法定身份证明文件进行核验，通信属2）
性应通过发送验证信息等方式进行核验（如向手机号发送确认信息），核验过程应至少采用远程递交材料身份核验的方式；IAL-3：法定属性应通过至少一种权威第三方提供的法定身份证明文件进行核验，通信属3）
性应通过发送验证信息等方式进行核验（如向手机号发送确认信息），经济属性应通过权威第三方提供的证明文件进行核验，社会属性应通过权威第三方提供的证明文件或质询第三方等方式进行核验，核验过程应采用本人远程身份核验或本人现场身份核验的方式；IAL-4：法定属性应通过至少两种权威第三方提供的法定身份证明文件进行核验，通信属4）
性应通过发送验证信息等方式进行核验（如向手机号发送确认信息），经济属性应通过权威第三方提供的证明文件进行核验，社会属性应通过权威第三方提供的证明文件或质询第三方等方式进行核验，核验过程应采用本人现场身份核验的方式。b）通信保护要求如下：
IAL-1：可采用密码技术保证通信过程数据的完整性，可采用密码技术保证通信过程重要1）
的数据的机密性，可采用密码技术对通信实体进行鉴别：IAL-2：可采用密码技术保证通信过程数据的完整性，宜采用密码技术保证通信过程重要2）
的数据的机密性，宜采用密码技术对通信实体进行鉴别；3）IAL-3：宜采用密码技术保证通信过程数据的完整性，应采用密码技术保证通信过程重要7
GB/T42573—2023
的数据的机密性，应采用密码技术对通信实体进行鉴别；IAL-4：应采用密码技术保证通信过程数据的完整性，应采用密码技术保证通信过程重要4）
的数据的机密性，应采用密码技术对通信实体进行双向鉴别。6.1.4记录和存储要求
身份服务提供方应对身份核验服务的必要信息进行记录和存储，包括但不限于：收集的用户身份信息和身份证明文件、身份核验产生的过程信息、核验结果等数据，并保护重要的数据的机密性和完整性。6.1.5风险缓解技术要求
身份核验服务面临的常见风险及缓解措施见附录C的C.1。风险缓解技术要求如下：
IAL-1、IAL-2：应阐明能够缓解的风险，以及采取的风险缓解措施，并提供可以证明每个缓解措施有效性的证据；
IAL-3：应阐明能够缓解的风险，以及采取的风险缓解措施，提供可以证明每个缓解措施有效b）
性的证据，并提供检测方法；
IAL-4：应阐明能够缓解的风险，以及采取的风险缓解措施，提供可以证明每个缓解措施有效性的证据，提供检测方法，并接受检测以证明其缓解风险措施的有效性，6.1.6个人信息保护要求
身份核验服务中，个人信息保护要求如下：a）
身份核验服务中个人信息的收集应符合GB/T35273中个人信息的收集要求；收集的用户身份信息和身份证明文件、身份核验产生的过程信息、核验结果等个人信息的存储b)
应符合GB/T35273中个人信息的存储要求；c)
对个人信息的核验、访问、展示等使用环节，应符合GB/T35273中个人信息的使用要求；d）
身份核验服务中若涉及生物特征识别信息，还应符合GB/T40660的规定6.1.7
系统安全保护要求
网络身份服务系统具备相应的保护能力：a）
IAL-1、IAL-2：网络身份服务系统应至少符合GB/T22239规定的第一级安全要求；IAL-3：网络身份服务系统应至少符合GB/T22239规定的第二级安全要求；b）
IAL-4：网络身份服务系统应至少符合GB/T22239规定的第三级安全要求。e
2身份鉴别服务
鉴别器要求
6.2.1.1概述
适用于身份鉴别服务的鉴别器通常包括以下几种类型（见附录D)：记忆秘密鉴别器；
—一查询秘密鉴别器；
一带外鉴别器；
—生物特征鉴别器；
单因素OTP设备鉴别器；
一多因素OTP设备鉴别器；