验证方是一个功能角色，常常和CSP或者RP实现在一起。如果验证方是和CSP分开的机构或 应确保验证方在鉴别过程中并不知道合法用户的凭证秘密，或者至少保证验证方只能对CSP保 凭证秘密进行受限访问

GB/T366332018

RP依赖于网络用户身份鉴别的结果从而建立合法用户身份或者属性的信任关系别墅图纸，最终可以执 行某些事务。验证方和RP可能是同一个机构或组织，或者是不同的机构或组织。如果他们是不同 的机构或组织，RP通常从验证方收到断言，此过程中RP应保证断言是从RP信任的验证方传过 来的。

凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及采用密码技术解决保密性、完整性、真实 性、不可否认性需求的应遵循密码相关国家标准和行业标准

表1注册和发放的常见威肋

GB/T366332018

6.2注册和发放威胁的应对策略

注册威胁可以通过增加身份假冒 有效拥有者，且申请方日后不能否认该注册 表2列出了抵御注册和发放过程威胁的应对策略

表2注册和发放威胁的应对策略

GB/T366332018

情况下，作为全自动解决方案的替代或补充，也可以采用呼叫中心或在线辅助方式实现。注册和发放过 程的每个场景都应有明确要求，必要时（例如涉及金融服务时）应只允许当面注册。 如果之前已经签发过一个有效的凭证，CSP可以发放另一个保证等级相同或更低的凭证。在这种 情况下，可以使用重复身份确认步骤来代替原始凭证的拥有权和控制权的证明，但仍应需满足在相应的 级别上交付凭证的要求

7鉴别信息提交和验证过程

通常情况下，RA、CSP和验证方都是由可信实体运行维护的，他们不会故意滥用权利，但网络中 称方不一定可信，因此需要对其申明的身份进行验证。此外，尽管RA、CSP和验证方通常可信，但 攻击者破坏的威胁。因此，即使对于可信机构或组织，仍需避免使用暴露过多凭证秘密的鉴别 表3列出了对鉴别过程构成威胁的常见问题

表3提交和验证的常见威胁

威胁不只局限于鉴别协议本身，还可能包括： 拒绝服务攻击，攻击者用大量的流量通过鉴别协议的方式淹没了验证方。拒绝服务攻击的 的是淹没鉴别协议的来源，使合法用户无法接触验证方，或者减缓过程从而增加合法用户按

GB/T366332018

验证方的难度。儿乎所有的鉴别协议都容易受到拒绝服务攻击；抵御此类攻击的可行方法是 通过使用分布式验证架构和负载均衡技术，将协议请求分派给多个镜像校验系统，或者其他的 类似技术。 b） 恶意代码攻击，鉴别凭证秘密泄露或被利用。恶意代码可以植入合法用户的电脑系统，从而迫 使鉴别凭证秘密泄露或被利用。恶意代码可以通过多种途径传播。许多措施（例如病毒检查 和防火墙）可以降低恶意代码对合法用户系统的风险。降低恶意代码威胁风险方法不在本标 准讨论的范围之中。 欺骗合法用户使用不安全协议的攻击，而合法用户认为还在使用一个安全的协议，或者该攻击 欺骗合法用户重写安全机制（例如，接受无效的服务器证书）

7.2提交和验证威胁的应对策略

表4抵御提交和验证威胁的应对策略

GB/T366332018

当依赖方和验证方不是同一个机构或组织时，验证方发送断言给依赖方。依赖方使用断言中的信 息去识别声称方及其对依赖方资源的使用权利。一个断言可以包含对于合法用户的识别和鉴别，也可 能包含更多关于合法用户的属性信息从而支持依赖方的鉴别决策。 在鉴别过程结束后，验证方产生了对鉴别结果的断言，并将断言提交给RP。如果验证方和RP实 现在一起，无需传递断言。如果验证方是和RP分开的，断言则被用来从验证方传递声称方信息或者鉴 别过程到RP。断言可以被直接呈现给RP，也能由声称方传递给RP。 验证方对声称方的一次鉴别可以为多个依赖方提供服务，即支持声称方的单点登录，使声称方经过 验证方的一次鉴别后，不需要更多的鉴别就可以在多个依赖方获得服务 在经验证方成功鉴别之后，声称方被颁发了一个断言或者断言参考，依赖方可使用该断言或断言参 考去鉴别声称方。基于断言的鉴别的基本模型包括直接模式和间接模式，基本断言模型参见附录B。 本节假设验证方和依赖方是可信的（在正确使用而不是故意滥用的基础上），但声称方并不一定可 言（因为声称方可能修改或替换断言从而达到更高的等级来访问依赖方提供的数据/服务）。其他攻击 假设潜伏在网络（如互联网）中，可能获取或修改断言和断言参考以假装合法用户访问未经授权的数据 或服务。攻击者试图通过破坏断言数据的保密性和完整性来扰乱断言协议。为了抵御这种类型的威 胁，那些试图访问超出其权限的声称方可能被视为攻击者。 除了保障断言通过可靠途径从验证方传递到RP的之外，断言协议还有更多用途：为了使RP能够 识别出合法用户，应颁发给合法用户一些秘密信息，其中所含的知识可以将合法用户与试图假扮合法用 户的攻击者区分开来。在密钥持有人断言中，这个秘密通常是申请方的长期凭证秘密，该秘密已经在断 言协议起始之前就已经通过CSP建立了。 在某些情况下，验证方会生成一个临时的秘密并传送给成功鉴别的合法用户。而后，当这个秘密被 用于向RP校验时，通常会以协议的形式替代凭证鉴别，这个临时秘密在这里被称为二次鉴别。 断言的常见威胁见表5。

GB/T366332018

8.2断言威胁的应对策略

从逻辑上来讲，断言由验证方颁发，并由依赖方使用。在直接模型中，传输断言的会话通过了合法 用户。更进一步，在当前网络环境中，断言过程可能经过两个独立的安全会话（一个是验证方和合法用 户之间，另一个是合法用户和依赖方之间），在合法用户的浏览器上有一个安全会话的中断。在间接模 型中，断言直接从验证方流向依赖方，应保护这个过程。 表6列出了抵御断言威胁的应对策略，可应用于请求、搜索和提交断言或断言参考

6断言威胁的应对策照

GB/T366332018

在网络用户身份鉴别过程中，攻击者通过控制凭证可以官充合法用户。根据构成凭证的鉴别因素 类型，威胁包括以下类型： a）“知道的东西”可能被泄露。若凭证是一个共享的秘密，例如口令，攻击者可以通过攻击手机银 行服务器端、在终端安装恶意软件、通过网络膜探等方式获得秘密。 b） “拥有的物品”可能丢失、损坏、被盗或被克隆。例如，一个攻击者通过复制软件凭证获得文件 型证书。一个硬件凭证（如动态口令令牌、音频型智能密码钥匙）可能被盗、改或复制。 c）“固有的特性”可能被复制。例如，攻击者可能获得凭证主人的指纹，从而构造一个副本。 表7中罗列了凭证面临的威胁以及实际例子

GB/T366332018

9.3凭证威胁的应对策略

通过一定的安全措施降低其危险性，表8列出了

表8凭证威胁的应对策略

此外，以下还有其他几种策略也可以起到抵御威胁的作用： a）采用多因素鉴别方式一 可提高了攻击成功的阈值。如果攻击者需要窃取加密凭证和猜测

GB/T366332018

CSP建立了机制来实现每个合法用户的鉴别唯一性，注册合法用户的凭证，并对凭证进行跟踪管 理。RA创建申请方的标识，而CSP负责生成凭证并向合法用户提供凭证，或者允许声称方以文字描述 的形式提交自已的凭证。CSP还负责某些或全部的凭证管理活动，包括： a) 凭证的存储一一凭证生成后，CSP负责维护存储的凭证。在CSP储存凭证的地点确定的情况 下，凭证的安全级别取决于凭证的发布类型。对于私有凭证，在存储时需要额外的保密机制， 而对于公共凭证来说就不是必需的。同样，对于弱约束凭证，在存储时需要额外的完整性保 护。最终，凭证还应允许CSP和验证方确定相应凭证持有者的身份。 b）凭证的验证服务一在许多网络用户身份鉴别方案中，验证方和CSP并不属于同一个机构或 组织。在这种情况下，CSP负责间验证方提供信息便于凭证验证过程的进行。CSP还可能间 验证方提供凭证验证服务。例如，验证方可能要求CSP将声称方提交的口令与本地的口令库 进行验证。 凭证的续期/补发一一某些类型的凭证可以支持续期或补发过程。在续期过程中，可以延长凭 证的使用和有效期限，而不需要改变合法用户的身份或凭证。在补发过程中，则需要为合法用 户生成一个新身份和/或新凭证。 d) 凭证的撤销和销毁一一CSP负责凭证的撤销状态维护以及销毁凭证。“公共凭证”需要密 的撤销机制，因为这些凭证被广泛传播，而且很可能预先设定有效期。例如，公共凭证在发布 后使用撤销列表进行撤销。 CSP为凭证的续期和补发建立适当的安全策略，凭证的续期和补发应是同时发生的。CSP可以在 证过期前建立一个时间段，在这段时间内，申请方可以使用其现存的未过期凭证成功验证身份后申请 续期或补发。例如，CSP可能允许一个凭证的声称方在证明其拥有现有凭证（例如私有密钥)的控制权 后，将当前凭证期限后往后延续一年。一旦申请方的凭证已过期，声称方就需要重新建立其CSP身份； 这是CSP颁发数学凭证的通常情况。相反，CSP给一个过期凭证的续期或补发建立一个宽限期，从而 更申请方可以在凭证过期后请求续期/补发，也不需要重新建立CSP身份。例如，声称方尝试登录一个 基于用户名/口令鉴别的系统，而在该系统中其口令已经过期，如果该系统支持宽限期，那么可能提示用 户创建一个新口令，并对旧口令进行验证。当验证方和CSP属于同一个机构或组织的情况下，在使用 过期凭证或凭证时调用续期/补发是很有用的。 不同类型的凭证采取的续期和补发策略不同，例如，公共密钥可以以相同的公共密钥续期继续使 用，或者补发一个新的公共密钥，但通常一个合法用户的用户名/口令凭证通过修改口令进行续期。 “私有凭证”由CSP严格持有，而这些凭证的撤销和销毁可以通过更新CSP的本地凭证库轻松实 现。如果CSP删除了用户标识和凭证之间的映射，绑定用户标识/凭证即时撤销和销毁。某些类型的 凭证在凭证失效时需要明确删除或归零，从而永久禁用该凭证以及防止未经授权的重用。 当合法用户不再需要使用硬件凭证时，CSP负责确保硬件凭证的所有数据被回收和清除。CSP应 建立凭证回收策略以避免发生凭证失效后被未经授权使用的情况发生。CSP可能会销毁这些回收的

GB/T366332018

凭证，或者将其归零从而保证攻击者无法使用残留信息来获得凭证值。例如，CSP将一个硬件OTP凭 证发放给合法用户，则该合法用户按规定需要在凭证失效时或当合法用户终止与CSP的关系时将该凭 证归还给CSP。 此外，CSP需要负责维护注册、使用历史，以及每个凭证的状态（包括撤销）的记录。并需要设置 个最低记录保存期限，还需要负责实施和维护恰当的安全控制策略

凭证的强度只与其管理机制的安全强度相关。CSP负责减轻管理运行的威胁。凭证管理的威肋 可以按所适用的管理活动进行分类描述。 表9列举了在CSP管理活动中，可能导致凭证的保密性、完整性和可用性被破坏的常见威胁

表9凭证管理的常见威胁

10.3凭证管理威胁的应对策略

表10总结了抵御上述威胁的应对策略，

表10凭证管理威胁的应对策略

GB/T366332018

GB/T366332018

为了实现身份鉴别，鉴别双方需要交换鉴别消息。在单向鉴别中至少要交换一次鉴别消息，而在双 向鉴别中至少要交换两次鉴别消息。如果涉及TTP可能需要再增加几次消息传递。 网络用户身份鉴别的一般模型如图A.1所示

在线可信第三方参与的鉴别（A.B仅一方连接可信第三方

图A.1网络用户身份鉴别一般模型

GB/T366332018

A.2无在线可信第三方参与的鉴别

灿图A，1a所小，在单日金别过程 将凭证传送给验证方，验证方根据凭证验证的结 是否正确来确定声称方的身份。在双向鉴别过程中， 鉴别的双方均既是声称方也是验证方。双方互相提出申请并被对方标明身份，随后互相将凭证传送给 对方，双方根据凭证验证的结果是否 方的身份

A.3有在线可信第三方参与的鉴别（A、B仅一方连接可信第三方）

如图A.1b)所示，在鉴别的过程中加人可信的第三方，包含单向鉴别和双向鉴别两种情况。声 成验证方通过对方间接与可信第三方交互凭证，利用可信第三方提供的对鉴别双方的凭证验证结 鉴别对方的身份。这类可信第三方参与的鉴别过程涉及声称方/合法用户、依赖方和验证方

A.4有在线可信第三方参与的鉴别（A

在鉴别的过程中加入可信的第三方，包含单向鉴别和双向鉴别两种情况，如图A.1c)所示，声称方 和验证方均直接与可信第三方交互凭证，利用可信第三方提供的对端凭证的验证结果来鉴别对方的身 份。这类可信第三方参与的鉴别过程涉及声称方/合法用户、依赖方和验证方

GB/T366332018

基于断言的鉴别的基本模型包括直接模式和间接模式。 直接模式一一在直接模式中，声称方使用自已的鉴别凭证到验证方处鉴别。在成功鉴别之后，验 创建一个断言，然后发送给合法用户并传递给依赖方，依赖方通过断言验证声称方/合法用户（通常 去用户的浏览器自动处理）。图B.1描述了这个模型

光伏发电标准规范范本图B.1直接断言模型

间接模式一一在间接模式中， 在成功鉴别之后，验证 方创建一个断言以及断言参考。这个断言 合法用户并被传递给依赖方，然后依赖方使用断 言参考去请求获取来自于验证 这个模型

图B.2间接断言模型

如前所述，一个断言包含了一系列对于鉴别后的合法用户的信息。基于断言的属性，一个鉴别断言 可以分为以下两个类型（两类断言均可能在直接和间接模型中发生）： 密钥持有者断言一一密钥持有者断言包含合法用户持有的对称密钥或者公钥的引用。依赖方也许 会要求合法用户去证明它持有断言包含的秘密。在证明过程中螺母标准，合法用户也在一定程度上证明了它合 法拥有该断言。因此，攻击者使用密钥持有者断言是十分困难的，因为它无法证明它是合法的拥有者。

GB/T366332018

送信人断言一一送信人断言并未提供一种机制来证明声称方是一个合法断言的拥有者。依赖方只 能假设向其提交断言的声称方是该断言或断言参考的拥有者。因此，如果属于某个合法用户的送信人 新言（直接模型中的)或断言参考（间接模型中的）被攻击者截取、复制或伪造，那么攻击者就能够冒充该 合法用户以获得依赖方的服务。为保证送信人断言的安全性，在验证方向用户发送断言或断言参考时， 需要在断言或断言参考中加入一些不可预测值并且能够保证这些值的机密性。 还有另一个基本断言模型： 代理模型一一在代理模型中，声称方使用其电子凭证向验证方进行鉴别。在声称方成功鉴别之后， 验证方创建一个断言，并在与依赖方直接交互的时候包含该断言，作为声称方和依赖方的中间人。图 世达过个蜡型