GB/T 40651-2021信息安全技術(shù)實(shí)體鑒別保障框架

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T40651—2021

信息安全技術(shù)實(shí)體鑒別保障框架

Informationsecuritytechnique—Entityauthenticationassuranceframework

2021-10-11發(fā)布2022-05-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T40651—2021

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

保障框架

5…………………3

參與方角色職責(zé)

6…………………………4

概述

6.1…………………4

實(shí)體

6.2…………………4

憑證服務(wù)提供方

6.3……………………4

注冊(cè)機(jī)構(gòu)

6.4……………4

依賴方

6.5………………4

驗(yàn)證方

6.6………………4

可信第三方

6.7…………………………4

主要環(huán)節(jié)

7…………………4

通則

7.1…………………4

登記環(huán)節(jié)

7.2……………5

憑證管理環(huán)節(jié)

7.3………………………5

鑒別環(huán)節(jié)

7.4……………7

聯(lián)合環(huán)節(jié)

7.5……………7

保障等級(jí)

8…………………8

保障等級(jí)分類

8.1………………………8

身份保障等級(jí)劃分原則

8.2……………8

鑒別器保障等級(jí)劃分原則

8.3…………8

聯(lián)合保障等級(jí)劃分原則

8.4……………9

保障等級(jí)的選取

8.5……………………9

保障等級(jí)的映射和互操作性

8.6………………………9

管理要求

9…………………10

概述

9.1…………………10

服務(wù)資質(zhì)

9.2……………10

信息安全管理和審查

9.3………………10

外包服務(wù)監(jiān)管

9.4………………………10

服務(wù)保障準(zhǔn)則

9.5………………………10

Ⅰ

GB/T40651—2021

附錄資料性威脅分析和風(fēng)險(xiǎn)控制

A()………………11

概述

A.1………………11

登記環(huán)節(jié)的威脅分析和風(fēng)險(xiǎn)控制

A.2………………11

憑證管理環(huán)節(jié)的威脅分析和風(fēng)險(xiǎn)控制

A.3…………12

鑒別環(huán)節(jié)的威脅分析和風(fēng)險(xiǎn)控制

A.4………………15

聯(lián)合環(huán)節(jié)的威脅分析和風(fēng)險(xiǎn)控制

A.5………………19

附錄資料性個(gè)人信息的保護(hù)

B()……………………21

參考文獻(xiàn)

……………………22

Ⅱ

GB/T40651—2021

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位聯(lián)想北京有限公司國(guó)民認(rèn)證科技北京有限公司中國(guó)科學(xué)院數(shù)據(jù)與通信保

:()、()、

護(hù)研究教育中心中國(guó)科學(xué)院軟件研究所中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院格爾軟件股份有限公司中國(guó)信

、、、、

息通信研究院北京國(guó)民安盾科技有限公司

、。

本文件主要起草人柴海新李俊李汝鑫呂娜陳天宇張嚴(yán)郝春亮鄭強(qiáng)寧華傅山沈明峰

:、、、、、、、、、、、

顧小卓

。

Ⅲ

GB/T40651—2021

信息安全技術(shù)實(shí)體鑒別保障框架

1范圍

本文件確立了實(shí)體鑒別的保障框架規(guī)定了各參與方角色的職責(zé)實(shí)體鑒別的主要流程環(huán)節(jié)以及實(shí)

,、

體鑒別保障等級(jí)的類別和等級(jí)劃分原則并規(guī)定了實(shí)體鑒別保障所需的管理要求

,。

本文件適用于實(shí)體鑒別服務(wù)的安全測(cè)試和評(píng)估并為其他實(shí)體身份鑒別相關(guān)標(biāo)準(zhǔn)的制定提供依據(jù)

,

和參考

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

斷言assertion

驗(yàn)證方生成的對(duì)實(shí)體進(jìn)行鑒別的結(jié)果

。

注可能包含實(shí)體屬性信息或授權(quán)信息等

:。

32

.

鑒別authentication

用于對(duì)實(shí)體和其所呈現(xiàn)身份之間的綁定關(guān)系進(jìn)行充分確認(rèn)的過(guò)程

。

33

.

鑒別器authenticator

聲稱方擁有或掌握的可用于鑒別聲稱方身份的功能組件或方法