2018数字身份指南NIST.SP.800-63-3.docx

NlST特别出版物800-63-3数字身份指南lll三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce抽象的这些指南为实施数字身份服务的联邦机构提供了技术要求,并非旨在限制此目的之外的标准的开发或使用C该指南涵盖了通过开放网络与政府IT系统交互的用户（例如员工、承包商或个人）的身份证明和身份验证。他们定义了身份证明、注册、身份验证器、管理艇、身份验证协议、联合和相关断言等各领域的技术要求。本出版物取代NlST特别出版物80063-2o关键词验证;认证保证；验证器；断言；凭证服务提供商；数字认证；数字凭证；身份证明；联邦;密码；公钥基础设施。致谢作者衷心感谢KaitlinBoeckl对SP800-63套件中所有卷的艺术图形贡献，以及我们众多审稿人的贡献，包睐自加拿大数字身份和认证委员会（DlACC）的JOniBrennanxEIIenNadeau和BenPiCearreta来自NISTDannaGabelORourke和来自Deloitte&Touche1.1.P的DaaGabelORourkeo此外，作者还要感谢原作者的思想领导力和创新DonnaF.DodsonxElaineM.NewtonRayA.PerInerxW.TimothyPolk.SabariGupta和EmadA.Nabbusc如果没有他门的不懈努力，我们就不会有令人难以置信的基线来将SP800-63发展到今天的文件。需求符号和约定术语“应当”和“应当不”表示必须严格遵循的要求，以符合出版物的要求，并且不允许偏离。术语“应该”和“不应该表示在JI种可能性中，推荐一种特别合适而不提及或排除其他可能性，或者某种行动方针是优选的但不一定是必需的，睇（以否定形式）不鼓励但不禁止某种可能性或行动方针。术语“可以”和”不需要”表示在出版物的范围内允许的行动方案。至瓦蔚塔弱德蠡普需1耀2无论是物质的、物里的还是因果的或者在否本节内容丰富C数字身份是一个主体的在线角色，单一定义在国际上受到广泛争论。人物角色一醴如其分，因为主体可以通过多种方式在网上代表自己个人可能有一个用于电子邮件的数字身份，另一个用于个人财务的数字身份。个人笔记本电脑可以是某人的流媒体音乐服务器，也可以是分布式计算机旗中执行复杂基因组计算的工作机器人。如果没有上下文就辘找S卜个可以满足所有人需求的单一定义，数字身份作为一种合法身份.使在一系列社会施济用例中使用数字身份的定义和能力变得更力嘎杂。醇身价眶证糠人的身份尤其是通过数字服务远程证明为攻击者提供了成功冒充某人的机会。苗喉得斯坦纳在纽约客中正确捕捉到的那样“在互联网上.没有人知道你是一只狗。”这些m南提供了对在线固有海回牌解措同时认识j并鼓励在访问一些低风险数字服务时，.当狗”就可以了；而其他高风险服务需要一定程度的信心，即访问服务的数字身份是现实生活主体的合法代理。对于这些指南，数字身份是参与在纥坳蛀体的唯T示.数字身份在数字服务的上下文中女锻是唯一的，但4一定需要在所有上下文中唯一地标识主体。换句话说访问数字瓶务可能并意味着主体的现实身份照已知的。身份证明可以确定主体就是他们声称的身份。数字身份验证确定尝试访问数字服务的主体可以控制与该主体的数字身份相关联的f或多个有效身份验证器。对于适用回访硼降.成功的身份验眄以提供合理的基于风险的保证，艮吟天访潮略的主体与之前访问服务的主体相同。数字身份提出了技术型破，因为此过程通常涉及通过开放网络对个人进行脸证，并且始终涉及通过开放网络对个人主体进行身份验证以访问数字政府服务。建立和使用数字身份的流程和技术为假冒和其他攻击提供了多种机会。这些技术指南取代NIST特别出版物SP800632。各机构使用这些指南作为风险评估和实施其数字!胳的T盼。这些指歌!将身份保证的各个元素分成离散的组成部分来减轻身份验证错误的负面影响。对于三瞅合系统机构将选择两个组件物为身份保证级别（IA1.）和身份验证器保证级别（AA1.）。对于联合系统,机构将选择第三个组成部分，即联合保证级别（FA1.）。BS号这些指南不再将保证级别（1.OA）的概念作为驱动特定实施要求的单一序数“相反通过将适当的业务和隐私风险管理与任务需求结合起来，各机构将选择IA1.AA1.和FA1.作为不同的选项。虽然许多系统对于IA1.AA1.和FA1.都具有相同的数字级别，但这要一项要求机构不应假设它们在任何给定系统中都是相同的。这些指南中详细介绍的身份保证的组成部分如下： IA1.是指身份证明流程。 AA1.指身份验证过程。 FA1.指联合环境中断言的强度，用F向依赖方（RP）传达身份验证和属性信息（如果适用）。这些类别的分离为机构提供了选择身份解决方案的灵活性，并提高了将隐私增强技术作为任何保证级别的身份系统基,例如断言个人是否超过特定年龄，而4是查询整个出本要素的能力。三,这些指南支持§喉使用蚁的多因素身份验证器也允许假名交互的场景。此幽旨南要求联合身生日期从而鼓励最大限O减少身份信息的传播。虽然许多机构使用案例要求对个人进行完全身份识别，但型准贝嫩励尽可能以匿名方式访问政府数字服务，艮喉需要完全身份识SJ,也尽可能限制收集的个人信息:乱在当今的环境中，组织的身份解决方案不必是f整体，由一个;化的，允许组织和机构根据任需求采用基于标准的、可插入的:该套件作为一个整体被称为甘旨南”,各个文档幡为T独立使用或以集成方式使用，具体取决于机构所需的组件服务。供囱三脚斤有功能。P夬方案。因比SP800-月嫁市场是组件已分为一套文档。RP需要使用SP80063；其余卷可以每卷都采用了国际标准组织公认的规范性和基于要求的动词。当在这些指南的规范性声明中使用时，它Ii睬用大写字母以便于识别。例口SHA1.1.用于表示强制性要求，rf11SHOU1.D则指推荐但非强制性的技术、送或罐有关这些术语定义的更多详细信息，请参阅每个文档开头的要求符号和约定。这些文件可能会告知（但不限制或约束）联邦政府以外应用标准的开发或使用，例如电子商务交易。这些指南的组织方式如下：SP800-63数字身份指南（本文档）SP80063A注册和身份证明津默品蹉逐和遮蠹携舞就麒罅曾律麟麴物斑翳整了要求册。SP800-63A包含规范性材料和信息性材料。三st以赢嫖要造既蠡徽雷耦鼐福脚过程一起提供的任何属性都是自断言的或IA1.2：IA1.2弓身份。SP800-63B身份验证和生命周期管理于问如材历人性拾理的导居1三三1S露的CSP代表进行验证。与A1.?一样CSP爨嘤暨斯群W的之前费一组数字服务。SP800-63B包含规范臂董畲儒矗葬发1蟹嚼髀状况以及攻击者控制身份验证器并访问机构系统造成的潜在筝龈蠡踊粼一定程度的保证，即声明者控绑定到订户帐户的验证器。AA1.l需要使用单因广泛的可用身份验证技术。成功的身份脸证要求请求者通过安全身份验证协议证明对身份脸证器的拥有和控制。AA1.2:AA1.2提供了声蟒控制蟒定班T户帐P砌苑E懿颤T信度。三三通按氢证协议来证哪有和榔何个不同的i人证因素。AA1.2及以上级别需要经过批准的加密技术。AA1.3:AA1.3提供了非常高的可信度,表明声明者擀蟒定到11户帐户的验证器。AA1.3的身份验证基于通过加密协议拥有密钥的证明。AA1.3身份验证应使用基于硬件的身份脸证器和提供脸证者防冒充能力的身份验证器；同一设备可以满足这两个要求。为了在AA1.3上进彳身份验证，索赔人应通过安全身份验证协议证明拥有和控制两个不同的身份验证因素.需要经过批准的加密技术。SP80063C联合和断言NISTSP800-63C提供了使用联合身份架构和断言将身份验证过程的结果和相关身份信息传递给机构应用程序时的要充此外本卷提供了隐私增强技术来共享有关有效、经过身份验证的主题的信息,并叔了允许强大的多因素身份验证(MFA),同时主题对数字服务保持假名的方法。SP800-63C包含规范性材料和信息性材料。这三个FA1.反映了机构可以根据其风险状况以及攻击者控制联合交易造成的潜在危害来选择的选项。FA1.如下：FA1.1:允许订户使RP接收承载断言。蹒言由IdP使用批准的加密技术进行签名。FA1.2：添加了使用批准的加密技术对断言进行加密的要求，以更RP是唯一可以解密它的一方。FA1.3：除了断言工件本身之外，还要求订阅者提供断言中引用的加密密钥蹒有证明。该断言由IdP签名并使用批准的加密技术加密到RP0这些指南与机构可以开发或获取的大后身份服务架构无关，并且无论机构选择何种方法都适用。但是，鼓励各机构尽可能使用联合，并且在使用联合架构时，混合由O己IA1.aA1.和FA1.的能会得到简化。此外，腑隈墙徽邦政府选民在访问有价值的政府数字服务时的隐私能力的基石。目录执行摘要四1 目的12简介21.1 适用范围42.2注意事项、其他要求和灵活性51.3 一些限制51.4 如何使用这套SP51.5 变更历史记录61.5.1 SP800-63-161.5.2 SP800-63-261.5.3 SP800-63-363定义和缩写84数字身份模型94.1 雌94.2 注册和身份验证124.3 身份验证和生命周期管理12431验证器124.3.2凭证14433认证流程144.4 联合和断言144.4.1 断言154.4.2 信赖方165数字身份风险管理175.1 概述175.2 保证级别185.3 风险和影响195.3.1 业务流程与在线交易205.3.2 每个类别的影响215.4风险接受和补偿控制225.5 数字身份接受声明235.6 迁移身份236选择保证级别256.1 选择IA1.266.2 选择AA1.296.3选择FA1.316.4组合XA1.337联合注意事项358参考文献368.1 一般参料368.2 标准378.3 NIST特别出版物378.4 联邦信息处理标准37附录清单附录A定义碑写39A1定义39A.2缩写58图列表图4-1数字身份模型10图6-1选择图6-2选择AA1.30图63选择FA1.32表格列表表2-ISP800-63-3的规范性和信息性部分4表51身例呆证级别18表5-2验证器保证级别19表5-3联合保证级别19表6-1每个保障级别的最大潜在影响25表6-2可接受的影响IA1.和AA1.的组合34勘误表此表包含已纳入特别出版物800633中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。更新了对风险管理框架的参考§5图6"2、M§84l三A修复了FA1.3定义的措辞澄遹了xA1.选择的流程图添加了授权组件的裁§5.2黔162、6-3附录A社论删除了受保护会话的无关定义附录A本节内容丰富C本建议及其姊妹篇特别出版物(SP)800-63A,SP800-63B,和SP80063C,为实施数字认证的机构提供技术指南。本节内容丰富。数字身份是参与在线交易的主体的唯一表示。数字身份在数字服务的上下文中始终是唯一的，但不一定需要在所有上下文中唯一地标识主体。换句话说访问数翔降可能并不意味着主体缄实身份是已知的。身份证明可以确定主体就是他们声称的身份。数字身份验证是确定用于声明数字身份的一个或多个身份险证器的有效性的过程。身份验证确定尝试访问数字服务的主体可以控制用于身份险证的技术。成功的身份验证提供了基于风险的合理保证，幽黔天访问服务的主体与之前访问服务的主体相同。数字身份提出了技术型缴因为此过程通常涉及通过开放网络对个人说J：验证，并且通常涉及通过开放网络对个人主体进彳J身份验证以访问数字政府服务C冒充和其他攻击有多种机会欺骗性地声称另一个主体的数字身份。该建议为各机构提供了通过网络对联邦系统进行数字身份验证的技术指南。此建议还为凭证务提供商（CSP）、验证者和信赖方（RP）提供指南。这些指南描述了选择适当的数字身份服务的风险管理流程，以及基于风险实施身份保证、身份验证器保证和联合保证级别的详细信息。这些指南中的风险评估指补充了NlST风险管邳框架NISTRMFl及其组成部分的特别出版物。本指南没有为机构建立额外的风险管理流程。相反本文包含的要求砌行所有相关RMF生命周期阶段时提供与数字身份风险相关的具体指导二数字身份脸证通过降4昧经授权访问个人信息的风险来支持隐私保护。同寸，由于身份证阻认证、授仅、联合切到人信息的处理，这些功能也会带来隐私风险。因此这些准Jl悒括隐私要求和注意事项以帮助减轻i替在的相关隐私风险。这些指南通过将身份保证的各个元素分解为离散的组成部分来支持减轻由身份验证错误引起的负面影响.对于非联合系统，机构将选择两个组件，称为身份保证级别（IA1.）和身份聆证器保证级别（AA1.）。对于联合系统，还包括第三个组件：联合保证级别（FA1.b第5节“数字身份风险管刑”提供了有关风险评估流程的详细信息。第6节“选择保证级别”将风险评估结果与其他背景相结合，以支持机构根据风险选择适当的IA1.qA1.和FA1.组合。这些指南不考虑也不会在驱动特定实施要求的单个序数的背景下产生复合保证级别（1.OA）。相反逾锵业务、安全和隐私的适当风险管理与任务需求结合起来各机构将选择IA1.AA1.和FA1.底为不同的选项。具体来说本文件不承认联邦机构以前使用的并在OMBM-04-04中描述的四种1.oA模型,而是要求机构单独选择与正在执彳的每个功能相对应的级别。虽然许多系统对于每个IA1.JXA1.和FA1.都有相同的数字级别，但这不是必需的机构不应假设它力微任何给定系统或应用程序中都是相同的。这些指南中详细介绍的身份保证的组成部分如下： IA1.是指身份证明流程。 AA1.指身份验证过程。 FA1.是指在联合环境中使用的断言协议，用用FP传送身份验证和属性信息（如果适用）。因比SP800-63被组织为一套卷，如下所示：SP800-63数字身份指南：提供风险评估方法和一般身份陵概术，在数字系统中一起使用身份验证器、凭证和断言，以及基于风险的选择保证级的流程。SP800-63包含规范性材料和信息性材料。SP800-63A注册和身份证明：解决申请人如可证B职身份并在购系统中注册为有效主体。它提供了流程要求，申请人可以通过该流程在远程和现场场景中证明和注册三个不同风险缓檄另此一。SP800-63A包含规范性材料和信息性材料。SP80063B身份验证和生命周期管理：解决个人如何安全地向CSP进彳J身份验证以访问数字服务或一组数字服务。本卷还描述了将身懒三器绑定到身份的过程。SP800-63B包含规范性材料和信息性材料。SP800-63C联合和断言：提供有关使用联合身份架构和断言的要求，以将身份验证过程的结果和相关身份信息传递给机构应用程序。此外本卷提f共了隐私墙虽技术来共享有关有效、经过身份验证的主题的信息，并描述了允许强大的多因素身份验证（MFA）,同时主题对数字服务保持假名的方法。SP800-63C包含规范性材料和信息性材料。NIST预计这些指南中的各个卷将异步修订。在任何时候都应该蛹每个版本的最新版本（例姐如果在未来的某个时间SP800-63A-1和SP800-63B-2是每卷的最新修订版，艮喉修订号不匹0己也应用使用）。最大限划斶氐兼容性风险错误.对热蚊档(即SP800-63而不是SP800-63-3)的引用始终文档的当前版本。下表说明了本卷的哪些部分是规范性的,哪些部分是信息性的：表2-ISP800-63-3的规范性和信息性部分3.定义和缩写信息丰富4.数字身份模型信息丰富数字身份风的管理或阻Tl6冼怪保证桀别规范性7.联邦考虑因素信息丰富8.参考文献信息丰富乙1适用范围并非所有数字服务都需要身份验证或身份证明；然而，本指期所需要数字身份或身份验畸此类交易，无论其刘赭是谁(例如公曲业fM火伴、加实体)。本指南未涵盖的交易包括与44USC§3542(b)中定义的国家安全系统相关的交易。其数字流程需要不同程度的保证的私营部门组织以及州、地方和部落W可以在适当的情况下考虑使这些标准C这些指南主要关注与三朦邦劳动力互动的机糊艮务，例如公民获得廨域私奔W'1作伙伴访问信息共享协作空间。但罡它适用于员工和承包商访问的内部机构系统C这些用户由精政府倾发的有效凭证，主要是个人身份聆证(PlV)卡或派生PIV。因比SP800-63A和SP800-63B次要于FIPS201及其相应的一组特殊出版物和机构特定指令的要求。然而，SP800-63C并且无论内部用户持有何种凭证类型者随用基于风险的适当FA1.蟒。福选择为机构提供了如何根据系统风险启用PIV的指导和灵活性。2.2 注意事项、其他要求和灵活性各机构可以采用本文未指定的其他风险缓解措施和补偿控制措施。各机构需要确保任何缓解措施和补偿控不会南新选保证级别的预期安全和隐私保护,各机构可以考虑划分数字服务的功能，以允许的睡别的身份验证和身份保证下使用不太敏感的功能。各机构可以根据风险分析确定在某些情况下是否适合采取额外措施。特提，隐私要求和法f讽险可能会导改机构确定额外的身份验证措施或其他流程保障措施是否合适。在开发数字身份验证流程和系统时，各机构应参考OMB实施2002年电子政务法案隐私条款的指南M03220有关法律风鱼的更多信息，请参阅联邦组织交易中电子签名的使用ESIG,特别是与1）满足法律证明标准和2）防止否认相关的风险。露露舞麟赢爨豳/罂频谶最ES法（P1.）113-283FIS机就范围内的计划，为此外，实施这些指南的联邦机构应遵守2014年联邦信息安全现代化法案（FISMA）、44USC§3551等、公的安全授权和认证（SA&A）。NlST建议实施这些准则的非联邦实体遵循同等标准，以确保其数字系统的安全运行。2.3 一些限制这些技术指南不涉及物理访问主体（例如，建筑物）的认证，尽管用于数字访问的Ti人证器也可以用于物理访问认证。此外这些辅的修订版并未明确厥设备身份（通常称为机器对机器（例如路由器到路由器）身份验证）或互连设备（通常称为物联网（I。T）的问题。也就是说这些指南的编写是为了尽可能地提及通用主题，从而为设备的适用性留下了可能性。还引滁了在与人员进彳了身份验证协议时向设备颁发身份验证器的特定要求。2.4 如何使用这套SP套件自SP800-63第一个版本发布以来，业务侬、市场以及身份服转付方式的构成发生了巨大变化蹒樵的是,CSP可以组件化并由多个独立运营和拥有的业务实体组成。此外，即使没有，使用强身份验证器也可能具有显着的安全优势。瀛螺?梨整需郭薪三sa½以三三三三糠三2.5 变更历史2.5.1 SP800-63-1E80跳逐Ii融懈做警随2.5.2 SP800-63-2凫舞喘?草舞的囊媵%旨露理魏蠹1.业股蹩瀛最瀛里端矗址以颁发3级远程注册证书的需要。对第5节的其他修改是一些小的解释和澄清。2.5.3 SP800-63-3NISTSP800-63-3是SP800-63-2的实质性更新和重组。SP800-63-3引入了数字身AA1.、IA1.和FA1.嚓证强度和对个人所声称身份的信D（曜口，强假名身份验边的日翻长的需求。V",*FIijzJ的应用。崩於P800-63涵盖的薨个档转移到由四个文档组成拓套件（以分另除溪上述各个组P800-63-3是顶层文格。800-63-3中更新的其他区域包括：重命名为“数字身份指南”以正确表示范围包括身份证明和联合，并支持在未来的修订中扩展范围以包括设备身份或机器对机器的身份验证。术语更改，包括使用身份验证器代替令牌以避免在断言技术中令牌一词的使用存在冲突。更新身份验证和断言要求以反映安全方面的进步技术和威胁。对验证者存储长期秘密的要求。重构身份证明模型。更新了有关远程身份验证的要求。-澄清将独立渠道和设备视为“您拥有的东西”。 删除预先注册的知识令牌（验证器），并认识三它在堤密码的特殊情况（通常非常弱）. 关于在身份验证器丢失或被盗的情况下恢复帐户的要求。 删除电子邮件作为带勺照证器的有效渠道。 扩展了重新验证和会话管理的讨论。 扩大了身份联合的讨论；重组断言的背景下联邦。3定义和缩写请参阅附录A孑解完整的定义和缩写。4.1概述这些指南中使用的数字身份模型反映了市场上当前可用的技术和架构。还可以使用在更多参与方之间分离功能（例如颁发凭证和提供属性）的更复杂的模型并且在某些应用程序类别中可能具有优势。虽然本文件中使用了更简单的模型,但这并不妨碍各机构将这些职能分开。咐卜CSP执行的某些注册、身份验证和颁发流程有时会委托给称为注册机构（RA）或身份管理器（IM）的实体。RA和CSP之间的密切关系是典型的并且这种关系的性质在RAJM和CSP之间可能有所不同“关系的类型及其要求超出了本文档的范国,因此,术语CSP将包括RA和IM功能。最后，除了数字身伽艮务之外,CSP还可以提供其他服务。在这些情况下，这些指南中指定的要求仅适用于CSP功能，而不适用于附加服务。数字身份是参与在线交易的主体的唯一表示。用于验证主体与其现实世界身份的关联的过程称为身份证明。在这些指南中，需要证明的一方称为申请人当申请人成功完成校对过程后他11'蹴称为订户。身份验证的强度通过称为IA1.的序数测M来描述。在IA1.1.不需要身份证明，因此申请人提懒）任何属性信息都是自断言的，或者应被视为自断言且未经验证（即使由CSP向RP提供）。IA1.2和IA1.3需要身份证明.并且RP可以请求CSP符。此信息有助于RP做出授权决策。RP可能决定需要IA1.2或IA1.3,但可留一定程度的假名。这种隐私墙鲂法的好处是将校对过程的强®与身份验证逑售息，例姚理脸证的属性值、缴验证的属性引用或假名标识;特定属性，从而导致主体保RP还可以采用联合身份方法，其中RP将所有身份证明、属性收集和属性存储外包给CSP。在这些指南中，要进彳J身份验证的一方称为索赔人，验证身份的一方称为验证方。当索赔人通过认证协议成功地向验证者证明拥有和控制T或多个验证器时，验证者可以验证索赔人是有效的订阅者。验证者揩有关订阅者的断言（可以是假名或非假名Y专递给RPo该断言包括标识符，并且可能包括有关订户的身份信息，例凯婚或在注册过程中收集的其他属性（根据CSP的策略、RP的规定）需要，并同意披四主体给出的属性）。当验证者也是RP时.断言可以是隐式的。RP可以使用验证者提供的认证信息来做出授权决策。身份验证建立了可信度.即声明者拥有与凭i碑定的身份验证器.并且在某些情况下在订阅者的属性值中（例如，如果订阅者是美国公民，鹤靛大学的学生或者由机构蟠织分配!信的曾喊代码）。身份验证并不决定索赔人的授权或访问权限；这8一个单独的决定，超出了这些指南的范围，RP可以使用订户的经过身份验证的身份和属性以及其他因素来做出授权决策，本文档套件中的任何内容均不阻止RP向已成功通过身份验证的订户请求其他信息C身份险证过程的强度通过称为AA1.的序数测心来描述。AA1.l需要单因素身份验证，并且允许使用各种不同的身份验证器类型在AA1.2中，身份验证需要两个身懒证因素以提高安全性，最高级的身份验证（AA1.3）三需要使用基于硬件的身份验证器和验证器防冒充能力。构成此处使用的数字身份模型的各种实体和交互如图41所示。DigitalAuthentication1. 申请人通过注册流程向CSP提出申请。2. CSP证明申请人的身份。打僚励后申请人成为订户。3. CSP和CSP之间建立验证器和相应的凭证订户。4. CSP维护凭证、其状态以及在凭证生命周期内（至少）收集的注册数据。订户维护他或她的验证器。其他序列不太常见.但也可以实现相同的功能要求。图4-1的右侧显示了使用身份验证器执行数字身份验证所涉及的实体和交互。当订阅者需要向验证者进行身份验证时他或礴称为请求者。交互作用如下：1 .申请者通过认证协议向验证者证明对认证者的拥有和控制。2 .验证者与CSP交互，以险证将订户身份与其验证者绑定的凭证，并可选题取声明者属性。3 .CSP或验证者向R雁供关于订户的断言,RP可以使用断言中的信息来做出授权决策。4 .在订户和RP之间建立经过晚证的会话。在所有情况下,RP应在对声明者进行身份验证之前向CSP请求其所需的属性。止的卜，在生成和发布声明之前，应要求索赔人同意发布这些属性。在某些情况下，验诙者d将要与CSP实时通信来完成认证活动（例如，数字证书的某些使用）。因此验证者和CSP之间的虚线代表两个实体之间的逻辑链接。在含肿，验证者、RP和CSP功能可以如图41所示分布和分离。但是，女侬些功能驻留在同一W台上，则组件之间的交互是同一系统上运行的应用程序之间的本地消息，而不是共享的、不可信网络上的协议。如上所述,CSP维护有关其颁发的凭证的状态信息。CSP在颁发凭证时通常会指定有限的生命周期，以限制细用嬲，当婚发生变化或凭证即将到期时，可以更新或重新颁发凭证；或者该脑回解蟒蝌微通常讶户使触贿的、未过娜酸躅和凭证向CSP进行验证，以便请求颁发新的验证器和凭证U如果订户未能在验证器和凭证过期或撤销之前请求重新颁发，则可能会要求他们重复注册过程以获得新的验证器和凭证C睇CSP可以选择在到期后的宽限期内接受请求。4.2 注册和身份证明规范性要求可在SP80063A中找到，注册和身份证明。上一节介绍了概念数字身份模型的参与者。本节提供有关参与者在注册和身份证明方面的关系和责任的更多详细信息。在此阶段称为申请人的个人选择由CSP进行身份证明。如果申请人成功通过验证.贝I法个人将螭为该CSP的订户。CSP建立了一种机制来唯一地标识每个订户、注册订户的凭证并跟颁发给该订户的身份验证器。订户可以在注册时被给予认证器CSP可以绑定订户已经拥有的认证器，或者可以稍后根据需要生成它们，订阅者有责任保持对其骏证器的控制并遵守CSP策略以维持活跃的验证器。CSP维护每个订户的注册记以使在身份险证器丢失或被盗等情况下恢复励验三器.4.3 身份验证和生命周期管理规范性要求可在SP800-63B中找到，身份验证和生命周期管理。4.3.1 验证器身份验证系统的经典范例将三个因素确定为身份验证的基石： 您知道的东西（例如密码）。 您拥有的东西（例如ID徽章或密钥）。 您的身份（例如指纹或其他生物识别数据）。MFA是指使用以上因素之一以上。身份验证系统的强度很大程度上取决于系统纳入的因素数说采用的因素越多.身份验证系统就越稳健。就这些准则it信使用两个因素足以满躅高的安全要求C如第5.1节所述，RP或验证者可以使用其他类型的信息（例如位置数据或设备身份）来评估所声明身份的风险，但它们4被视为身份验证因素。在数字认证中，索赔人拥有并控或多个已在CSP注册并用于证明索赔人身份的认证器。身份验证器包含索赔人可以用来证明他或她是有效订户的秘密，索赔人通过证明他或她拥有和控制或多个身份验蹿来通过网络向麴减应用程序fJ身份验Ii1.崖谩美的公钥：可藕份验证器来验证索赔人的身份。三三l三存储在认证器上的共享秘密可以是对称密钥或记忆的秘密（例如密码PW,订史工需要与验证器共享非对称密钥。虽然密钥和密码都可以在类似的协议中使用，通常存用或软件,述的非:Ib由壬大多数周钥，试选：芟人会选择非常相似的值：35R、声选弹衡密码可能容易受到攻击，特另I因潘钥相反三三三三三三cWn物理套本卷中，身份验证器始：亚驶执照是您拥有的东西身并不是数字身份验证的份验证（其中提示索赔人回答石不构成秘密。因此这些指数字认证系统可以通过以下两种方式之一整合多个因素：1 .该系统可以被实现为向验证者呈现多个因素；或者2 .某些因素可用于保护将呈现给验证者的秘密。例妞第1项可以通过将记住的秘密（您知道的）与带外设备（您拥有的）配对来满足。两个验证器输出都呈现给验证器以哪索赔人。对于第2项，请考虑含加密密钥（身份验证器秘密）的硬件（身份验证器），其中访问受Wl纹保护。当与生物识别一起使用时.密钥会产生Y输出.用于验证索赔人的身份。驾疆琴蛤舞&鼻整螫验证可接受的秘密但它们确实在数字验证验证时在场的人员的身份。它们包括面部特征、指纹、虹膜图案、声纹和许多其他特征。SP800踹遭疆部蹴婀程中收集生物识别信息以帮助防止朝户飘翔制4.3.2凭证牖的的凭证，但由险iOX509公钥证书是索赔人可以且经常拥有的凭证的典型示例。4.3.3认证流程篇帽1开嘴需雅瀛韩萼鬻饕2徽疆歌份验证协议与所声效。出媒说这s三述谢限制不成a篇助并艮制伪微姿荽基赛低翁麴避般落霭罂翦鹦僵疑此外，位于验证者的机制可以通过限制攻击者进行身份验证尝试的速率或以其他方式延迟错误尝试,验证者是一个功能性角色，但经常与CSP、RP或两者结合实施。如是验证者是与CSP分开的实体，贝睡望确保春E在第验g过程中不圣获知订阅者的匿证者秘密，或著至少确保喳证者不能无限制地访问订阅者褊的秘密。云服客提供商。4.4联合和断言规范性要求可在SP800-63C中找到，联邦和断言。总体而言,SP800-63并不预设联合身份架构；相反，这些指南与市场上存在的模型类型无关，允许机构S曙根据自己的要求制定数字认证方案。然而，身份联合优于许多各自为单个机碱RP服务的孤立身份系统。联合架构有许多显着的好处，包括但不限于： 增强的用户体验“例如，个人可以进行一次身份验证，并在多个RP上重复使用颁发的凭证。 南氐用户（减少认证器）和机构（减少信息技术基础设施）的成本。 数据最小化，因为各机构无需支付收集、存储、处置和处理费用与存储个人信息相关的合规活动。 假名属性断言，因为机构可以请求一组最小化的属性（包括声明）来完成服务交付。 使命支持，因为机构可以专注于使命，而不是身份业务管理。以下各节讨论了机构选择此类模型时联合身份架构的组件。三:三三S三三8三csp和rp的策略和流程的相应信任廨来RP负责验证源（验证者）并确认断言的宾整性C当验证者通过订阅者传递断言时，验证者必须以无法修改的方式保护断言的完整性。破而，如果验造口RP直接通宦贝何以使用受保护的会话来保持断詈的完整性。当通过开放网络发送断言时，验证者负责确保断言中包警的任何敏感订户信息只能由它信任的RP提取以维护信息的机密性。断言的示例包括： 安全断言标记语言（SAM1.）断言是使用旨在描述安全断言的标记语言来指定的。验证者可以使用它们向RP做出有关索赔人身份的声明。SAM1.断言可以选择进行数字签名。OpenIDConnect声明使用JavaScript对象表示法(JSoN)指定描述安全性，以及可选的用户声明。JSON用户信息声明可以选择进行数字签名。KerberoS票证允许票证授予机构使用基于对称密钥的封装方案向两个经过身份验证的各方颁发会话密钥。4.4.2依赖方RPRP依靠IA1.A1.还是FA1.o的麻直。RPRP还处理Hp三i褊定断言是否满足5数字身份风险管理本部分是规范性的。本节和相应的风险评估指南是对NIST风险管理框架NISTRMF及其组成部分特别出版物的补充。这不会为机构建立额外的风险管理流程,相反本文包含的要求提供了与瓣身份冈囹联的具体指导，机构RP在执行所有相关的RMF生命周期阶段时应应用这些指导。5.1 概述在当今的数字服务中.将校对、验Ii嚅和联合要求合并到一个包中有时会产生意想不到的后果，并可能给实施组织带来不必要的实施负包机栩艮可能可以通过评估数字身份验证每个单独组件失败的风险和歌睇提供最有效的身倾艮务集而4是作为单一的、包罗万象的1.OAo为此诞懒1心倒朗瀚武龈那杷瓯蜥W要神婵一蹒.本卷详细说明了协助各机构避免以下情况的要求：1 .身份验证错误（即.虚假申请人蹦身份不合法）他们的），2 .身份验证错误（即，虚假索赔人使用不属于自己的凭证）；和3 .联合错误（即，身份断言受到损害）。从身份验证失败的角度来看，潜在的失败有两个方面：1 .向错误主体提用艮务的影响（例如，攻击者成功证明为其他人）。2 .过度身份验证（即收集和安全存储更多信息）的影响有关某人的信息，而不是成功提供数字服务所需的信息）。因此机构应分解估校对、身份验证和联合错误的风险以确定每笔交易所需的保证级第5.3节提供了特定于数字身份的影响类别，以协助RMF的整体应用。风险评估确定必须通过身份证明、身份验证和联合流程减轻风险的程度C这些决定推动了适用技术?啜解獭S的相关选择，而4是对任何特定技术驱动风险决定的渴望。一旦机构完成总体风险评估；已蝴身份证明、身份验证和联合的个人保证级别（如果适用）；并确定了他将采用的流程和技术来满足每个保证级别，各机构应根据SP800-制定“数字身份接受声明“53IA-la.lo有关数字身份接受声明必要内容的更多详细信息，请参阅第5.5节。5.2 保证级别机构RP应根据风险选择以下单独保证级别： IA1.：身份验证流程的稳健性，可自信麟定个人身份。选择IA1.是为了减少潜在的身份验证错误。 AA1.：身份验证过程本身的稳健性以及身份验证之间的绑定验证器和特定个人的标识符。癖AA1.是为了减少潜在的身份验证错误（即，虚假声明者使用不属于他们的凭证）。 FA1.：联盟用于通信的断言协议的稳健性RP的身份验证和属性信息（如果适用）。FA1.是可选的，因为并非所有数字系统都会利用联合身份架构。选择FA1.是为了减轻潜在的联合错误（身份断言受到损害）。下面提供了每个身份、验证器和联合保证级别的摘要。表5-1身份保证级别IA1.l:在IA1.1.属性（如果有）是自断的.或者南蝴!为自断的。IA1.2：在IA1.2,需要远程或亲自进行身份验证。IA1.2要求至少使用SP80063A中给出的程序亲自或远程验证标识属表5-2验证器保证级别术进行单因素身份脸证。巅的身份验证要求索赔人通&安全身份验症协议证明对身份验证器的拥有和控制。AA1.2：AA1.2提供了声明者控制注册到订户的验证器的高可信度。需要通过安全身份验证协议来证明拥有和控制两个不同的身份验证因素。AA1.2及以上级