与实体鉴别保障的多个环节，执行身份鉴别和（司

可信第三方是在某些活动（例如与安全相关的活动)中被其他参与方信赖的机构或组织。就本文 ，TTP为实施鉴别而被实体和（或）验证方所信任。执行实体鉴别的TTP的实例包括CA和时 构等。

实体鉴别的主要环节包括：登记环节、凭证管理环节、鉴别环节和联合环节。对实体身份进行授权

规定的范围内。实体鉴别各个主要环节均 字在相关安全威胁，提供鉴别服务的各参与方应采取相应的风险控制手段加以防范。实体鉴别各环节 的威胁分析和风险控制措施见附录A。实体鉴别过程中涉及个人信息保护的内容应遵循 GB/T35273一2020的要求。附录B描述了实体鉴别过程中可能涉及个人信息处理的场景及注意事 项，为相关机构在决定采用并实施具体鉴别方法时提供参考

登记环节是实体作为申请方通过注册机构进入实体鉴别过程的初始环节。登记环节包括以下过 程：申请和初始化节能标准规范范本，身份核验，记录保留，注册

7.2.2申请和初始化

登记环节可通过多种方式发起，可由实体主动发起，也可由注册机构发起。当实体为自然人时，初 治化过程可包括填写申请表；当实体为物品时，初始化过程可包括为物品粘贴标签或将设备标识符写入 到安全存储区域中（适用时）

身份核验过程可包括对实体提交的身份信息与权威来源进行核对和验证，以确认身份信息真实且 实体客观存在。为达到身份核验要求而提供的身份信息随保障等级的不同而变化。 身份核验过程可包括对实体提交的身份证件（例如，居民身份证等）的物理检查，以检测可能的欺 作、篡改或伪造行为。保障等级越高，身份核验要求就应越严格 此外，身份核验过程对于实体远程（例如，通过网络）声明其身份应比本地（例如，与RA面对面现场 交互）更加严格。RA应确保实体和其提交的身份证件的一致性

记录保留是实体登记的必要过程，即创建登记记录的存档过程。这项记录应包括采集的信息和文 档、关于身份核验过程的信息、这些步骤的结果及其他相关数据。然后，将对是否接受、拒绝或提交进 步审议或其他后续工作做出决定的结果保存在记录中。

注册是实体为申请使用服务或资源而 号（分配标识符）的过程。注册过程是登记环节的 ，处于登记环节的末尾。实体申请首次访问每项服务或资源都应履行注册过程

凭证管理环节包括与凭证或凭证生成方法的生命周期管理相关的所有过程，贯穿于实体鉴别的整 个过程中。凭证管理环节包括以下过程：凭证创建，凭证颁发，凭证激活，凭证存储，凭证暂停、撤销或销 段，凭证更新或替换，记录保留。凭证或凭证生成方法存在多种形式，通常包含于鉴别器中，用于鉴别环 节中验证方对声称方的鉴别

GB/T40651—2021

7.3.2.1凭证的预处理

某些包含于签别器中的壳证或壳证生成方法任预发前而经过预处理。例如，含有先证的智能卡的 预处理措施可包括将未来持卡实体的姓名印刷在卡表面或写人卡的芯片中。某些凭证或凭证生成方法 不需要进行预处理，例如口令

7.3.2.2凭证初始化

凭证初始化应确保凭证生成方法能够支持其预期功能。 例如，而要便用智能卡心片计异用于生成 数字签名所需的密钥对；智能卡可在发行时处于“锁定”状态，并在激活过程中需要使用PIN进行保护

7.3.2.3凭证绑定

凭证绑定过程确保在包含凭证或凭证生 成方法的鉴别器与实体身份之间建立联系。完成绑定的方 式和对绑定关系的信任度随所需的保障等级不同而变化

凭证颁发过程向实体提供包含凭证或凭证生成方法的鉴别器。应确保鉴别器被安全地颁发给相应 的合法实体。此过程的复杂度随所需的保障等级不同而变化。

凭证激活过程将包含凭证或凭证生成方法的鉴别器正式投人使用。激活过程可根据凭证的情况包 含多种措施。例如，为防止临时错误使用，凭证或凭证生成方法在初始化之后直到向实体颁发之时可处 于“锁定”状态。在这种情况下，需要将凭证“解锁”（例如，使用PIN）。凭证或凭证生成方法也可以在临 时中止其有效性的暂停期之后重新激活。

凭证存储过程将凭证或凭证生成方法以防范非授权泄露、使用、修改或销毁的方式进行安 此过程的安全性要求随所需的保障等级不同而变化

7.3.6凭证暂停、撤销或销毁

凭证暂停过程将凭证的有效性临时停止。凭证撤销或销毁过程则将凭证的有效性永久性终止。出 现如下情况，凭证应撤销或销毁： a） 凭证或凭证生成方法已经被报告丢失、被窃或受到损害； b 凭证已过期； C 凭证赖以存在的基础已不复存在（例如，实体不再存在）； d） 凭证被用于未经许可的用途； e 已颁发了另一个凭证取代所述凭证。 某些存储在硬件鉴别器（例如，智能卡）中的凭证，可在撤销或销毁时对物理载体进行销毁。以数字 文件形式存在的凭证，可在撤销或销毁时进行数据覆盖以便彻底清除

7.3.7凭证更新或更换

凭证更新过程将现有凭证有效期进行延长或续期。凭证更换过程则向某个实体发放新凭证或凭证

主成方法以替换已撤销或销毁的凭证。凭证更新或更换过程的严格程度随所需保障等级的不同而

CSP应在凭证的整个生命周期内维护适当的记录，包括但不限于以下信息： a）生成凭证的事实， b） 凭证的标识符（适用时）， c）凭证颁发的对象实体（适用时）， d）凭证的状态（适用时）

在金别环节，实体作为声称方采 别器）向验证方证实其身份。鉴别环节包括以下 过程：身份鉴别，记录保留

身份鉴别过程可根据不同的使用场景和参与方划分为不同的模型。例如，无可信第三方参与的鉴 别、有可信第三方参与的鉴别（仅一方连接可信第三方）和有可信第三方参与的鉴别（双方均连接可信第 三方）。有关鉴别的基本模型及过程见GB/T36633一2018。 声称方在身份鉴别过程中应通过安全的鉴别协议验证自已拥有正确的凭证或者证明自已拥有已经 绑定了正确凭证的鉴别器，以便建立对其身份的信任。应确保鉴别协议消息序列关键部分的完整性和 保密性，以减少攻击者伪装成合法验证方或合法用户进行破坏造成的损失。鉴别协议的安全需求根据 可适用的保障等级（见8.3）而变化

验证方应在鉴别环节对全过程进行监控并保存记录

当实体鉴别环节结束时，如果验证方和依赖方不是同一个机构或组织，则验证方和依赖方需要为完 成鉴别而交换信息（即断言），并就交换信息的协议、数据格式和信息结构达成一致。即验证方生成包含 鉴别结果的断言并发送给依赖方，而依赖方则根据断言获得实体的身份并提供相应服务。联合环节包 括以下过程：断言，记录保留，

断言过程可根据不同的使用场景划分为不同的模型。例如，直接断言模型（验证方直接向依赖方发 送断言）、间接断言模型（依赖方向验证方请求获取断言）和代理模型（验证方作为声称方和依赖方的中 间人）。有关断言的基本模型见GB/T36633一2018。 断言过程可使用断言协议表明验证方对实体进行鉴别的结果，可包括实体的属性信息或实体可便 用的授权信息等数据。断言协议应保障断言在创建后从验证方传递到依赖方的可靠性以及合法用户的 真实性，其安全需求根据可适用的保障等级（见8.4）而变化。有关断言协议的示例见 GB/T29242—2012

验证方应在联合环节对断言的创建和发送过程进行监控并保存记录。依赖方应在联合环节对断 收过程进行监控并保存记录。

保障等级描述了实体鉴别过程所采用的保障措施的可信任程度，反映了实体鉴别过程中管理活动 和技术控制手段的综合作用。实体鉴别应在每个环节中采用相应的保障措施。本文件所提出的IAL、 AAL和FAL各自均包含不同的等级，等级由低到高代表了可信任程度的递增。实体鉴别保障等级应 为IAL、AAL和FAL的等级组合。 在登记环节，申请方通过身份核验后完成注册，成为合法用户。此环节所对应的保障等级称为 AL。IAL反映了实体鉴别系统在登记环节采取的身份核验措施的可信任程度。 在凭证管理环节，CSP创建凭证并与鉴别器进行绑定；在鉴别环节，验证方对声称方的鉴别器及凭 正的绑定关系向CSP进行验证。以上环节所对应的保障等级称为AAL。AAL反映了实体鉴别系统 主凭证管理和鉴别环节采取的相关控制措施的可信任程度， 在联合环节，实体完成鉴别后，进行鉴别结果交换时，验证方提交断言给依赖方。此环节所对应的 呆障等级称为FAL。FAL反映了联合环节 行身份联合采取控制措施的可信任程度

8.2身份保障等级划分原则

IAL根据身份核验的目标、所采取的控制措施以及处理方式的安全程度划分等级。例如，对于低 等级的IAL，可支持实体进行自我声明，不必将实体与特定的真实身份进行关联。对于高等级的IAL， 对实体进行身份核验，确保实体和身份信息的真实性、正确性和一致性（相关控制手段见附录A）。 a）根据IAL的不同等级，身份核验措施具有不同的目标。包括： 1 身份在特定语境中是唯一的； 2） 身份所属实体客观存在； 3） 身份信息的真实性和完整性得到验证； 4） 身份所属实体与其身份信息保持一致； b） 所需采取的控制措施包括但不限于： 1 实体自我声明； 2 通过使用权威来源提供的身份信息进行身份核验； 通过使用权威来源提供的身份信息进行身份核验以及本人亲临现场或通过摄像头实时交 互表明其在场： 身份核验的处理方式包括： 1）本地， 2）远程。

8.3鉴别器保障等级划分原则

AAL根据鉴别的目标、所采取的控制措施以及实现方式的安全程度区分等级。例如，对于低等 LAL，可使用基于口令的鉴别方法。对于更高级的AAL，可采用基于密码学的鉴别协议。低等 ，可仅采用单因素鉴别，而更高等级的AAL应采用多因素鉴别（相关控制手段见附录A）。 a）根据AAL的不同等级，鉴别目标包括：

GB/T40651202

1）声称方所拥有的凭证得到确认； 2）声称方所拥有的鉴别器与登记时所绑定凭证的鉴别器相同。 所需采取的控制措施包括但不限于： 1） 单因素鉴别或多因素鉴别； 2）基于密码学（例如，对称密码算法或非对称密码算法)的鉴别。 c） 鉴别器的实现方式包括： 1）软件， 2）固件， 3)硬件

8.4联合保障等级划分原则

FAL根据联合的目标和所采取的控制措施区分等级。例如，对于低等级的FAL，可仅采用验证方 签名的方式。对于更高级的FAL，可采用实体签名并且进行加密的方式（相关控制手段见附录A）。 a）根据FAL的不同等级，联合目标包括： 1） 验证方身份得到确认； 2） 断言消息的机密性得到保护； 3） 验证方所鉴别的实体身份得到确认。 b） 所需采取的控制措施包括但不限于： 验证方到依赖方的断言包含验证方数字签名； 2 验证方到依赖方的断言经过加密并且仅能由依赖方解密； 3 验证方到依赖方的断言包含实体的数字签名

应对实体鉴别各环节实施风险评估，对各环节可能存在的安全威胁所带来的危害和影响的结果及 其出现的可能性进行评估，并基于评估结果，对IAL、AAL和FAL分别选择恰当的保障等级（例如，针 对较高的已知风险应使用较高的保障等级）。通过将评估结果的影响程度对应到保障等级，所有鉴别过 程参与方都可以确定其所需的保障等级，并以此为依据提供或获得适当的鉴别服务 对安全风险程度的认定，取决于机构为每种可能的影响后果确定的风险级别。此外，对于可能存在 多种影响后果的场景，应使用与影响后果相对应的最高保障等级。 在利用风险评估结果确定适当的保障等级时，可根据安全范围以外的其他业务相关因素进行考虑， 这些因素包括但不限于： a）机构的残余风险管理方法； b）机构的风险偏好； 为凭证的较低保障等级

8.6保障等级的映射和互操作性

不同域可使用不同的保障等级定义。例如，某个域采用4级AAL划分模式，而另一个域采用5级 AAL划分模式。为实现不同划分模式之间的互操作性，应采取下列措施。 a）每个域都应给出其保障等级的说明，包括但不限于： 1）制定清晰定义的实体鉴别保障方法，包括保障等级（IAL、AAL和FAL)的明确定义； 2）广泛公布这一方法，使那些希望实现身份联合的机构能够清楚地理解彼此的过程和需求 b）应基于风险评估的结果定义保障等级，并在以下方面对风险评估进行确定和细化

1）预期的安全威胁及具影响程度； 2）识别应在各保障等级进行风险控制的安全威胁； 3） 为用于在各保障等级实行控制措施而推荐的安全技术和过程，例如，规定由硬件设备携带 凭证或规定用于创建和存储凭证的必要条件； 4 确定不同鉴别因素组合的等价性的标准。 为实现不同保障等级模式之间的映射或桥接，可将某个域所定义的保障等级作为基准，并将其他域 的划分模式映射到该基准等级。该方法可将不同的鉴别保障模式映射到某个固定等级模式，从而实现 安全的身份联合

对于实体鉴别服务各参与方的管理要求包括但不限于：服务资质、信息安全管理和审查、外包服务 监管以及服务保障准则等

本鉴别服务的各参与方应具备相应的资质，符合国

9.3信息安全管理和审查

提供实体鉴别服务的各参与方应具备信息安全管理和审查能力。包括但不限于： 建立完善安全管理制度； b) 设置安全管理机构； ） 进行流程控制和人员控制； d) 加强安全意识教育和培训； e) 实施安全建设管理和安全运维管理； f) 为实体鉴别创建实施策略和风险管理方法并确保审计日志得到妥善处理； 制定灾难恢复流程以确保业务连续性

提供实体鉴别服务的各参与方应对所采用的外包服务进行监管，其范围和力度应与所需的保障等 级和所采用的信息安全管理系统相对应

依赖方应制定满足其准备支持的保障等级所要求的具体准则： 并应根据具体准则对实体鉴别服务 提供方进行评估。相应地，实体鉴别服务提供方（例如，RA、CSP、验证方及TTP等）应将其整体业务流 程以及技术机制与具体准则对照评估，以确定其服务满足所需保障等级的要求

附录A （资料性） 威胁分析和风险控制

本附录对实体鉴别各环节存在的安全威胁进行分析.并提出相应的风险控制手段

A.2登记环节的威胁分析和风险控制

A.2.1登记环节的威胁分析

表A.1描述了登记环节的威胁分析

表A.1登记环节的威胁分析

A.2.2防范登记环节安全威胁所需的风险控制

A.2.2.1登记环节风险控制列表

表A.2描述了登记环节所需的风险控制手段

2登记环节的风险控制

A.2.2.2控制手段1

A.2.2.3控制手段2

本人在场”的具体措施是：对自然人实体采用本人

A.2.2.4控制手段3

“身份核验：权威信息“的具体措施如下。 a 身份信息可为实体自我声明。 b）在a)的基础上，实体从至少一个符合策略的权威来源提供身份信息： 1）对于自然人，在本人在场的情况下：其拥有至少一份来自符合策略的权威来源并附有与其 外貌相符的照片的身份文件，并且其所出示的身份文件在使用时核验真实性，确认签发正 确且有效；在本人不在场的情况下：其提供证据以证明其具有符合策略的个人身份信息， 并且其所提供证据的真实性和有效性需根据策略要求进行确认； 2）对于NPE，其提供来自符合策略的权威来源的记录信息，例如通用名称、描述、序列号、物 理地址、拥有者、位置、生产厂商等。 c）在b）的基础上，对于不同的实体，采取下列措施： 1）对于自然人，在本人在场的情况下：可验证其身份文件中所列的联系信息的准确性；根据 可用的权威信息来源并（在可能时）根据来自其他渠道、足以确保唯一身份的来源证实个 人信息；验证此前其提供的信息或只有其知晓的信息；在非本人在场的情况下：由可信第 三方检查实体拥有的凭证来自于权威来源；验证此前其提供的信息或只有其知晓的信息； 2）对于NPE，采用可信硬件（例如，TPM或安全单元等）；采用证书通过设备RA进行物理 登记；对于非计算机的NPE，设备、所有者、网络或通信运营商与RA之间的绑定按照与 可信硬件计算机类似的方式加密；软件代码在发放前获得证书进行数字签名并由RA联 署，作为投入使用前予以接受的证据。 d）在c)的基础上，对于不同的实体，采取下列措施： 1）对于自然人，通过至少一家符合策略的其他权威来源提供身份信息；如其不在现场可通过 摄像头实时交互表明本人在场； 2） 对于NPE，在发布时登记连接到计算机、智能手机或类似的其他设备并加密绑定到定位 器设备上（例如，包含可信硬件的设备、生物特征识别传感器、智能卡、GPS地理定位器 等）；设备间绑定协议的任何变更需通过RA管理，在可能的情况下，提醒RA或网络管理 设备关系发生的任何变化以及采取的校正行动；具备防止任何被更改的设备关系生效的 能力并且软件代码在发布前获得证书进行数字签名并由RA联署，作为投人使用前予以 接受的证据

A.2.2.5控制手段4

“申请方签字”的具体措施是：实体作为申请方在进行登记时签署一份表格或文件确认其 了登记环节。

A.2.2.6控制手段5

“唯一标识符及身份核验”的具体措施是：RA为每一个实体分配唯一标识符并进行身份核验，并 登略以决定是否允许已经分配唯一标识符的实体重复登记（分配不同的唯一标识符）。

A.3凭证管理环节的威胁分析和风险控制

A.3.1凭证管理环节的威胁分析

GB/T 40651—2021表A.3凭证管理环节的威胁分析安全威胁风险识别凭证创建：寡改当信息从登记环节转向凭证管理环节时，攻击者对其进行修改凭证创建：非法生成攻击者使得CSP在虚假身份基础上创建一个凭证凭证颁发：泄露在凭证颁发过程中，当CSP向实体传送其凭证时，凭证被攻击者复制凭证激活：非法拥有攻击者获得不属于其的凭证并假装为合法实体，使得CSP激活凭证1)与凭证或凭证生成方法有关的实体不处于通常的位置并无法充分向CSP证明凭证激活：无效其身份2)凭证或凭证生成方法交付延误，无法在规定期限内激活凭证存储：泄露存储在系统中的凭证被泄露。例如，用户名和口令的存储记录被攻击者存取凭证存储：纂改破坏用户名与凭证的映射关系，导致现有凭证被攻击者提供的凭证所替代攻击者采用存储的信息生成一份可为非指定实体使用的复制凭证（例如，复制可凭证存储：复制以生成凭证的智能卡）凭证存储：实体泄露实体将凭证信息（例如，用户名和口令）泄露给他人凭证撤销：撤销延误撤销信息发布不及时，导致在验证方更新有关最新撤销信息之前，已撤销的凭证仍在使用，进而造成对相关实体的威胁当人员离开机构后，其账户未删除，导致该账号可能被未授权人员滥用。此外，存凭证撤销：除名后使用储在硬件设备中的凭证在被撤销后仍被使用凭证更新：泄露CSP为实体更新的凭证，在传送时被攻击者复制凭证更新：篡改实体生成的新口令在提交给CSP时被攻击者修改攻击者可利用有缺陷的凭证更新协议延长当前实体的凭证有效期。或者，攻击者欺骗CSP为当前实体发放新凭证，且新凭证将当前实体的身份绑定到攻击者提供凭证更新：非法更新的凭证上。对于NPE实体，在系统组件（例如，RAM内存）被使用后重新将其标注(重新颁发)为新部件即是一个实例凭证记录：抵赖实体宜称一个合法凭证是虚假的或包含有不正确信息，以抵赖曾使用过凭证A.3.2防范凭证管理环节安全威胁所需的风险控制A.3.2.1凭证管理环节风险控制列表表A.4确定了凭证管理环节各所需的风险控制手段。表A.4凭证管理环节的风险控制安全威胁风险控制合适的凭证创建凭证创建：篡改仅硬件状态锁定13

GB/T40651—2021

表A.4凭证管理环节的风险控制（续）

A.3.2.2控制手段1

“合适的凭证创建”的具体措施包括： a 用于凭证创建的过程是正式且登记在案的； b）最终将凭证绑定到某实体之前，CSP充分保证该凭证正在且始终将与正确的实体绑定在一起； 凭证绑定提供防篡改保护，采用数字签名或在“状态锁定”（见A.3.2.4）中所述的措施（对于硬 件设备上持有的凭证）

A.3.2.3控制手段 2

硬件”的具体措施为：凭证仅包含在硬件安全模块

A.3.2.4控制手段3

“状态锁定”的具体措施为：硬件设

A.3.2.5控制手段4

“库存跟踪”的具体措施为：如果某个凭证或凭证生成方法由硬件鉴别器持有，那么确保该硬件鉴别 器存储的物理安全并跟踪库存。例如，将未个人化的智能卡保存在安全的地方并记录其序列号，以免失 窃然后被试图生成非法的凭证

A.3.2.6控制手段 5

“合适的凭证颁发”的具体措施为： a 用于凭证颁发的过程是正式且登记在案的： b） 颁发过程包括确保向正确的实体或其授权代表提供凭证的机制；如果凭证不是当面交付，检查 交付地址真实存在且与实体是合法关联的； 如果凭证不是当面交付，采用安全渠道交付，而且由实体或其授权代表签收以确认其收到

A.3.2.7控制手段6

“由实体激活”的具体措施为： a）存在某种过程，确保凭证或凭证生成方法只有在目标实体的控制下时才被激活，对此过程没有 具体的要求； b 存在某种过程，确保凭证或凭证生成方法只有在目标实体的控制下时才被激活，该过程证明该 实体与凭证的激活是绑定的（例如，挑战一应答协议）； 存在某种过程，确保凭证或凭证生成方法只有在目标实体的控制下时才被激活，该过程证明实 体与凭证的激活是绑定的（例如，挑战一应答协议），并且仅允许在策略决定的期限内进行 激活

A.3.2.8控制手段7

凭证安全存储”的具体措施为： 制定保护凭证的安全策略，采用访问控制机制，仅限管理员和需要访问的应用可以存取； b）对凭证进行加密保护，避免出现明文的口令或密钥： 加密密钥自身加密并存储在密码模块（硬件或软件）中，且加密密钥只在鉴别操作时才进行解 密使用； d）实体或其授权代表签署文件，确认理解凭证存储的要求并同意按照要求保护凭证

A.3.2.9控制手段8

"凭证安全撤销和销毁"的具体措施为：CSP在规定的时限内撤销或销毁（如可能）由机构策略所定 义的各种凭证

A.3.2.10控制手段9

“凭证安全更新”的具体措施为： a）CSP制定凭证更新或更换的适当策略； b) 实体在CSP允许更新或更换之前展示当前未过期凭证的持有证据； 口令强度和重复使用满足CSP策略的最低要求； d 所有交互使用加密通信通道进行保护； e 根据A.2.2.1（身份核验：是否符合策略、身份核验：权威信息）进行身份核验

A.3.2.11控制手段10

“记录保留”的具体措施为： a）CSP维护凭证颁发记录、每个凭证的历史和状态（包括撤销），并在CSP策略中规定保留期限： b）对记录采用加密或物理隔离方式进行保护

A.4鉴别环节的威胁分析和风险控制

A.4.1鉴别环节的威胁分析

鉴别环节的安全威胁包括与鉴别过程中凭证使用有关的安全威胁以及鉴别的一般性安全威胁。 的一般性安全威胁包括但不限于：恶意软件（例如，病毒、木马、击键记录软件等）、社交工程（例如 、盗窃硬件和PIN等）、用户操作错误（例如，使用弱口令、未能保护鉴别信息等）、对错误的抵赖、在

GB/T40651—2021

据传输过程中非法截获和（或）修改鉴别数据、拒绝服务以及程序性缺陷等。除使用多因素鉴别外，对于 鉴别的一般性威胁的控制不属于本附录的范围。本节侧重于与使用凭证或鉴别器进行鉴别有关的安全 戒胁，描述了这些安全威胁并列出了针对每种威胁类型的风险控制。 某些风险控制也许不适合所有的语境。例如，对于访问在线杂志订阅用户鉴别风险控制有别于医 主读取病历的鉴别风险控制。因此，随着风险和漏洞利用的后果越来越严重，CSP和验证方需审慎考 安全（例如，将风险控制分层以适合于运营环境、应用和保障等级），在威胁分析的基础上决定如何以 及何时、以哪种组合采用这些风险控制。 用于鉴别的焦证面临着多种安全威胁。表A.5列出了鉴别环节的威胁分析

表A.5鉴别环节的威胁分析

A.4.2防范鉴别环节安全威胁所需的风险控制

4.2.1鉴别环节风险控制

表A.6描述了防范鉴别环节安全威胁所需的风险控制手段

.6描述了防范鉴别环节安全威胁所需的风险控制

工程造价标准规范范本表A.6鉴别环节的风险控制

A.4.2.2控制手段1

“多因素鉴别”的具体措施为：采用两种或多种实现不同鉴别因素的凭证（例如，用户知道的信 户拥有的事物组合而成）

A.4.2.3控制手段2

A.4.2.4控制手段3

“凭证锁定”的具体措施为：在口令、PIN或生物特征识别尝试失败若干次数后采用锁定或建 制。

GB/T40651—2021

GB/T40651—2021

设备安装施工组织设计 A.4.2.5控制手段4