2018數(shù)字身份指南NIST.SP.800-63-3

NIST特別出版物800?63?3數(shù)字身份指南NISTSPNISTSP800?63?3抽象的這些指南為實(shí)施數(shù)字身份服務(wù)的聯(lián)邦機(jī)構(gòu)提供了技術(shù)要求，并非旨在限制此目的之外的標(biāo)準(zhǔn)的開(kāi)發(fā)或使用。該指南IT（NIST出版物800?63?2。關(guān)鍵詞驗(yàn)證;認(rèn)證保證；驗(yàn)證器；斷言；憑證服務(wù)提供商；數(shù)字認(rèn)證；數(shù)字憑證；身份證明；聯(lián)邦;密碼；公鑰基礎(chǔ)設(shè)施。致謝KaitlinBoeckl對(duì)SP800?63(DIACCJoniBrennanEllenNadeauBenNISTGabelORourkeDeloitte&ToucheLLPDannaGabelORourke。Donna.DodsoneM.y.TimothyPolkSabariGupta和EmadA.NabbusSP800?63需求符號(hào)和約定當(dāng)（以三、執(zhí)行摘要本節(jié)內(nèi)容豐富?！绑w的合法代理。身份證明可以確定主體就是他們聲稱的身份。數(shù)字身份驗(yàn)證確定嘗試訪問(wèn)數(shù)字服務(wù)的主體可以控制與該主體的數(shù)字身份NIST特別出版物SP800?63?2份保證級(jí)別(IAL)和身份驗(yàn)證器保證級(jí)別(AAL)。對(duì)于聯(lián)合系統(tǒng)，機(jī)構(gòu)將選擇第三個(gè)組成部分，即聯(lián)合保證級(jí)別(FAL)。四號(hào)NISTSPNISTSP800?63?3vv(LOAIALAAL和FALIALAAL和FAL這些指南中詳細(xì)介紹的身份保證的組成部分如下：向依賴方(RP)傳達(dá)身份驗(yàn)證和屬性信息（如果適用）。(IdPP3“卷”。PPLD（NISTSPNISTSP800?63?3六六這些指南的組織方式如下：SP800?63數(shù)字身份指南（本文檔）SP800?63SP800?63SP800?63A注冊(cè)和身份證明NISTSP冊(cè)。SP800?63A包含規(guī)范性材料和信息性材料。SP800?63AIALIALIAL（CSPRP）。IAL2CSP可以向RPP2RPSP800?63B身份驗(yàn)證和生命周期管理AALNISTSP800?63BCSPSP800?63B這三個(gè)AALAALAAL1：AAL1AAL1NISTSPNISTSP800?63?3七七廣泛的可用身份驗(yàn)證技術(shù)。成功的身份驗(yàn)證要求請(qǐng)求者通過(guò)安全身份驗(yàn)證協(xié)議證明對(duì)身份驗(yàn)證器的擁有和控制。AAL2AAL2AAL2AAL3AAL3AAL3AAL3這兩個(gè)要求。為了在AAL3上進(jìn)行身份驗(yàn)證，索賠人應(yīng)通過(guò)安全身份驗(yàn)證協(xié)議證明擁有和控制兩個(gè)不同的身份驗(yàn)證因素。需要經(jīng)過(guò)批準(zhǔn)的加密技術(shù)。SP800?63C聯(lián)合和斷言NISTSP800?63C提供了使用聯(lián)合身份架構(gòu)和斷言將身份驗(yàn)證過(guò)程的結(jié)果和相關(guān)身份信息傳遞給機(jī)構(gòu)應(yīng)用程序時(shí)的PC這三個(gè)FAL反映了機(jī)構(gòu)可以根據(jù)其風(fēng)險(xiǎn)狀況以及攻擊者控制聯(lián)合交易造成的潛在危害來(lái)選擇的選項(xiàng)。FAL如下：PPPPRP。這些指南與機(jī)構(gòu)可以開(kāi)發(fā)或獲取的大量身份服務(wù)架構(gòu)無(wú)關(guān)，并且無(wú)論機(jī)構(gòu)選擇何種方法都適用。IALAALFALNISTSPNISTSP800?63?3八八目錄要 四1 的. 12介. 22.1圍. 42.2項(xiàng)和性 5制. 5套SP 5錄. 62.5.1SP800?63?1 62.5.2SP800?63?2 62.5.3SP800?63?3 6寫(xiě). 8型. 94.1述. 9證. 12理. 124.3.1器. 124.3.2證. 144.3.3程. 14言. 144.4.1言. 154.4.2方 165管理. 175.1述. 17別. 18響. 19易. 20響. 215.4接制. 22明 23份. 23NISTSPNISTSP800?63?3九九別. 25擇IAL 26擇AAL 29擇FAL. 31xAL. 33項(xiàng). 35獻(xiàn). 36料. 368.2準(zhǔn). 37NIST物. 37準(zhǔn). 37附錄清單錄A寫(xiě) 39義 39寫(xiě). 58圖列表圖4?1型. 10圖6?1擇IAL. 27圖6?2擇AAL 30圖6?3擇FAL. 32表格列表表2?1SP800?63?3分 4表5?1別 18表5?2別. 19表5?3別. 19表6?1響. 25表6?2IAL和AAL組合. 34NISTSPNISTSP800?63?3XX勘誤表此表包含已納入特別出版物800?63?3中的更改?？闭`更新可以包括出版物中的編輯性或?qū)嵸|(zhì)性的更正、澄清或其他細(xì)微更改。日期類型更改從地點(diǎn)2017?12?01社論AAL3描述中刪除了術(shù)語(yǔ)“加密”。執(zhí)行摘要社論更新了對(duì)風(fēng)險(xiǎn)管理框架的參考§5社論社論社論xALNISTIR8062理和可預(yù)測(cè)性的定義6?16?26?3§8.1A2020?03?02社論實(shí)質(zhì)性實(shí)質(zhì)性FAL3xAL§5.26?16?26?3A社論刪除了受保護(hù)會(huì)話的無(wú)關(guān)定義附錄ANISTSPNISTSP800?63?3111。目的本節(jié)內(nèi)容豐富。(SP)800?63ASP800?PNISTSPNISTSP800?63?3PAGEPAGE4本節(jié)內(nèi)容豐富。數(shù)字身份是參與在線交易的主體的唯一表示。數(shù)字身份在數(shù)字服務(wù)的上下文中始終是唯一的，但不一定需要在所有以訪問(wèn)數(shù)字政府服務(wù)。冒充和其他攻擊有多種機(jī)會(huì)欺騙性地聲稱另一個(gè)主體的數(shù)字身份。(CSP)(RPNIST[NISTRMF隱私風(fēng)險(xiǎn)。這些指南通過(guò)將身份保證的各個(gè)元素分解為離散的組成部分來(lái)支持減輕由身份驗(yàn)證錯(cuò)誤引起的負(fù)面影響。對(duì)于非聯(lián)合系統(tǒng)，機(jī)構(gòu)將選擇兩個(gè)組件，稱為身份保證級(jí)別(IAL)和身份驗(yàn)證器保證級(jí)別(AAL)。對(duì)于聯(lián)合系統(tǒng)，(FAL56“選IALAALFAL(LOA)IALAAL和FALOMBM?04?04LOA模型IALAALFALIALAALFALRP（）。P3SPSP800?63SP800?63ASP800?63A包含規(guī)范性材料和信息性材料。SP800?63B身份驗(yàn)證和生命周期管理：解決個(gè)人如何安全地向CSP進(jìn)行身份驗(yàn)證以訪問(wèn)數(shù)字服務(wù)或SP800?63BSP800?63CPCNIST（SP800?63A?1和SP800?63B?2）（即P3P下表說(shuō)明了本卷的哪些部分是規(guī)范性的，哪些部分是信息性的：表2?1SP800?63?3的規(guī)范性和信息性部分稱 范性1。目的

信息豐富介 富寫(xiě) 富

信息豐富

規(guī)范性

規(guī)范性

信息豐富信息豐富（例）。44USC§(PIVPIVSP800?63ASP800?63BFIPSSP800?63CFAL選擇為機(jī)構(gòu)提供了如何根據(jù)系統(tǒng)風(fēng)險(xiǎn)啟用PIV的指導(dǎo)和靈活性。OMB實(shí)施2002[ESIG]12)2014(FISMA)44USC§3551法(PL)113?283NISTFISMAIT(SA&A)。NIST（（（（SP自SP800?63P此外，即使沒(méi)有，使用強(qiáng)身份驗(yàn)證器也可能具有顯著的安全優(yōu)勢(shì)。3的SP800?63?1TP1TP3（CSP（2.5.2SP800?63?2NISTSP800?63?2SP800?63?15址以頒發(fā)3級(jí)遠(yuǎn)程注冊(cè)證書(shū)的需要。對(duì)第5節(jié)的其他修改是一些小的解釋和澄清。2.5.3SP800?63?3NISTSP800?63?3是SP800?63?2組。SP800?63?3驗(yàn)件 AALIAL和FAL（IALAALFALSP800?63（P3800?63?3中更新的其他區(qū)域包括：在斷言技術(shù)中令牌一詞的使用存在沖突。技術(shù)和威脅。西”。（）（）。聯(lián)邦。NISTSP800?63?3NISTSP800?63?383A3ANISTSPNISTSP800?63?3PAGEPAGE14本節(jié)內(nèi)容豐富。（P(RA(IMRA和CSPRAIM和CSPPA和MPCSPL（CSP向RP提供）。IAL2和IAL3RP可以請(qǐng)求CSPPP2或RP還可以采用聯(lián)合身份方法，其中RP將所有身份證明、屬性收集和屬性存儲(chǔ)外包給CSP。（傳遞給RP（CSPRP））RP時(shí)（）RPRPAALAAL12（AAL3構(gòu)成此處使用的數(shù)字身份模型的各種實(shí)體和交互如圖4?1所示。圖4?1數(shù)字身份模型該圖的左側(cè)顯示了注冊(cè)、證書(shū)頒發(fā)、生命周期管理活動(dòng)以及身份證明和身份驗(yàn)證過(guò)程的各種狀態(tài)。通常的交互順序如下：CSPCSPCSPCSPCSP（其他序列不太常見(jiàn)，但也可以實(shí)現(xiàn)相同的功能要求。圖4?1驗(yàn)證者與CSP交互4.在訂戶和RP之間建立經(jīng)過(guò)驗(yàn)證的會(huì)話。PP（）CSP同一?臺(tái)上，則組件之間的交互是同一系統(tǒng)上運(yùn)行的應(yīng)用程序之間的本地消息，而不是共享的、不可信網(wǎng)絡(luò)上的協(xié)議。PPCSPP規(guī)范性要求可在SP800?63A中找到，注冊(cè)和身份證明。上一節(jié)介紹了概念數(shù)字身份模型的參與者。本節(jié)提供有關(guān)參與者在注冊(cè)和身份證明方面的關(guān)系和責(zé)任的更多詳細(xì)信息。CSPCSPCSP器P策CSP規(guī)范性要求可在SP800?63B中找到，身份驗(yàn)證和生命周期管理。身份驗(yàn)證系統(tǒng)的經(jīng)典范例將三個(gè)因素確定為身份驗(yàn)證的基石：（）。（D）。（）。MFA是指使用以上因素之一以上。身份驗(yàn)證系統(tǒng)的強(qiáng)度很大程度上取決于系統(tǒng)納入的因素?cái)?shù)量采用的因素越多，身份驗(yàn)證5.1節(jié)所述，RP（CSP（（）份驗(yàn)證器來(lái)驗(yàn)證索賠人的身份。（（（數(shù)字認(rèn)證系統(tǒng)可以通過(guò)以下兩種方式之一整合多個(gè)因素：1（（2（（）CSPX.509典型示例。CSP效。此外，位于驗(yàn)證者的機(jī)制可以通過(guò)限制攻擊者進(jìn)行身份驗(yàn)證嘗試的速率或以其他方式延遲錯(cuò)誤嘗試，（CSPRPCSP規(guī)范性要求可在SP800?63C中找到，聯(lián)邦和斷言。P3聯(lián)合架構(gòu)有許多顯著的好處，包括但不限于：RP（（與存儲(chǔ)個(gè)人信息相關(guān)的合規(guī)活動(dòng)。（管理。以下各節(jié)討論了機(jī)構(gòu)選擇此類模型時(shí)聯(lián)合身份架構(gòu)的組件。RPRPCSPRPRP（RPRP(SAMLSAML描述安全性，以及可選的用戶聲明。JSON用戶信息聲明可以選擇進(jìn)行數(shù)字簽名。KerberosRPRP（）IALAALFAL（FALRPRPRPRPIALAALFAL。NISTSPNISTSP800?63?3本部分是規(guī)范性的。本節(jié)和相應(yīng)的風(fēng)險(xiǎn)評(píng)估指南是對(duì)NIST風(fēng)險(xiǎn)管理框架[NISTRMF]及其組成部分特別出版物的補(bǔ)充。這不會(huì)為機(jī)構(gòu)建立RPRMFLOA本卷詳細(xì)說(shuō)明了協(xié)助各機(jī)構(gòu)避免以下情況的要求：（）他們的）；（）；和（）。從身份驗(yàn)證失敗的角度來(lái)看，潛在的失敗有兩個(gè)方面：（）。（有關(guān)某人的信息，而不是成功提供數(shù)字服務(wù)所需的信息）。5.3RMF17號(hào)NISTSPNISTSP800?63?3PAGEPAGE20（）SP明”53IA?1a.1。有關(guān)數(shù)字身份接受聲明必要內(nèi)容的更多詳細(xì)信息，請(qǐng)參閱第5.5節(jié)。機(jī)構(gòu)RP應(yīng)根據(jù)風(fēng)險(xiǎn)選擇以下單獨(dú)保證級(jí)別：LAAL（）。RP（）。FALFAL（）。下面提供了每個(gè)身份、驗(yàn)證器和聯(lián)合保證級(jí)別的摘要。表5?1身份保證級(jí)別身份保證級(jí)別（2PAPPA述。AAL1：AAL1AAL1AAL2：AAL2AAL2AAL3：AAL3提供了非常高的可信度，表明聲明者控制向訂戶注冊(cè)的驗(yàn)證器。AAL3的身份驗(yàn)證基AAL3AAL2“硬5?3FAL1：FAL1允許RP接收來(lái)自身份提供商(IdP)的承載斷言。IdP必須使用批準(zhǔn)的加密技術(shù)簽署斷言。FAL2：FAL2RPFAL3：FAL3RP。IALAALFALxAL。IALAALFAL危害和影響的類別包括：3、損害代理項(xiàng)目或者公共利益；456.民事或刑事違法行為。(FIPS)199[FIPS199三個(gè)潛在影響值是：3、影響力大。保證級(jí)別的確定僅基于屬于數(shù)字系統(tǒng)一部分的交易。MFA的[EOIALAAL和）不便、困擾或聲譽(yù)或聲譽(yù)受損的潛在影響：損害任何一方的地位或聲譽(yù)。財(cái)務(wù)損失的潛在影響：微不足道或無(wú)關(guān)緊要的機(jī)構(gòu)責(zé)任。責(zé)任。對(duì)機(jī)構(gòu)計(jì)劃或公共利益造成損害的潛在影響：)(ii(i(ii(i(ii未經(jīng)授權(quán)發(fā)布敏感信息的潛在影響：（FIPS199）。FIPS199向未經(jīng)授權(quán)的各方提供信息，導(dǎo)致機(jī)密性喪失，并產(chǎn)生FIPS199中定義的嚴(yán)重影響。對(duì)人身安全的潛在影響：民事或刑事違法行為的潛在影響是：須接受執(zhí)法努力。執(zhí)法力度。程式。SP800?63當(dāng)未實(shí)施整套適用的SP800?63要求時(shí)，各機(jī)構(gòu)應(yīng)證明任何所選替代方案的可比性，包括任何補(bǔ)償)FIPS要求xAL800?63該機(jī)構(gòu)應(yīng)實(shí)施程序，記錄任何偏離規(guī)范要求的理由，并詳細(xì)說(shuō)明所采用的補(bǔ)償控制措施。T[SP機(jī)構(gòu)應(yīng)將此信息包含在實(shí)現(xiàn)SA&A所需的現(xiàn)有工件中。該聲明至少應(yīng)包括：xAL，3.理由xAL適用的800?63要求未實(shí)施，并且5.如果不接受聯(lián)合身份，請(qǐng)說(shuō)明理由。PPP（IALCSPCSPRPRPLPxALRPCSPRP本部分是規(guī)范性的。xAL選擇。6?1所示6?1影響類別1保證等級(jí)23不便、困擾或聲譽(yù)或聲譽(yù)受損低的模組高的財(cái)務(wù)損失或代理責(zé)任低的模組高的損害機(jī)構(gòu)計(jì)劃或公共利益不適用低/中度高的未經(jīng)授權(quán)發(fā)布敏感信息不適用低/中度高的人身安全不適用低的模組/高民事或刑事違法行為不適用低/中度高的重或其他公共利益損害的分析在很大程度上取決于具體情況；該機(jī)構(gòu)應(yīng)謹(jǐn)慎考慮這些問(wèn)題。IALAALFAL(PHIEO素”2或3MFA。EO13681程”IAL2IAL3（以不證明，因此該機(jī)構(gòu)會(huì)選擇IAL1。這允許健康跟蹤系統(tǒng)的用戶是假名的。盡管用戶是假名的，機(jī)構(gòu)仍應(yīng)選擇AAL2或AAL3進(jìn)行身份驗(yàn)證，因?yàn)閻阂庑袨檎呖梢酝ㄟ^(guò)破壞帳戶來(lái)訪問(wèn)用戶的PHI。IAL2IAL3RP而PPPPCIALAAL和FALLOALOA具有IAL1和AAL2IAL2和AAL2xALIAL圖6?1中的IALIAL7NISTSP800?63?3NISTSP800?63?36?1IAL27NISTSPNISTSP800?63?3PAGEPAGE51首先回答這個(gè)問(wèn)題可以縮短風(fēng)險(xiǎn)評(píng)估和IAL選擇。如果該服務(wù)不需要任何個(gè)人信息來(lái)執(zhí)行任何數(shù)字交易，則系統(tǒng)可以在IAL1上運(yùn)行。PIAL2IAL3IAL2IAL31和第4步旨在確定該機(jī)構(gòu)所需的個(gè)人信息是否最終會(huì)解析為唯一身份。換句話說(shuō)，該機(jī)構(gòu)需要知道訪問(wèn)數(shù)字服務(wù)的主體的完整身份，而即使有一些經(jīng)過(guò)驗(yàn)證和驗(yàn)證的屬性，假名訪問(wèn)也是不可56步IAL選擇各機(jī)構(gòu)將從中受益，因?yàn)檫@種類型的分析可確保其選民獲得成功證明的最大機(jī)會(huì)。AAL圖6?2AAL選擇AAL7圖6?2選擇AAL第1MFA要MFA的L（AAL2MFA偽造，但大多數(shù)用戶都會(huì)提供準(zhǔn)確的信息以從數(shù)字服務(wù)中受益。因此，必須適當(dāng)保護(hù)自稱數(shù)據(jù)。FAL6?3FAL圖6?3選擇FAL1當(dāng)斷言中傳遞任何個(gè)人信息時(shí)，需要FAL2。進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)考慮所有FAL的個(gè)人信息發(fā)布。FAL2FAL1FAL2RP通過(guò)授權(quán)APIFALRPSP800?63C7.1RPIdPIdPRPRPIdPRPFALSP800?63CRPxALxALLxALxAL驗(yàn)證器來(lái)保護(hù)該數(shù)據(jù)。表6?2詳細(xì)介紹了IAL和AAL的有效組合，以確保個(gè)人信息繼續(xù)受到MFA的保護(hù)。表6?2可接受的IAL和AAL組合AA1 AAL2 AAL3

不允許允許IAL2

不允許允許IAL3

不允許允許1OMFAAAL1進(jìn)行11本節(jié)內(nèi)容豐富。本指南及其配套卷與機(jī)構(gòu)選擇的身份驗(yàn)證和身份證明架構(gòu)無(wú)關(guān)。然而，機(jī)構(gòu)可能會(huì)遇到一些場(chǎng)景，這些場(chǎng)景使身份聯(lián)合可（在以下情況下聯(lián)合身份驗(yàn)證器：AAL（）。RP聯(lián)邦屬性在以下情況下：服務(wù)。（）本節(jié)內(nèi)容豐富。]B6年7月8/sites/default/files/omb/assets/OMB/circulars/a130/a130修訂.pdf。[EO136811368120141017https///d/2014?25439。[ESIGCIO2013125https:///wp?content/uploads/downloads/2014/03/Use_of_ESignatures_in_Federal_Agency_Transactions_v1?0_20130125.pdf。[FISMA2014https///bill/113th?congress/senate?bill/2521。]4年8月7:///homeland?security?12。[M?03?22OMBM?03?22，OMB2002200396/v/m03?22.html。]BM?04?043年2月6b/omb/memoranda/fy04/m04?04.pdf。]T7年1/nistpubs/ir/2017/NIST.IR.8062.pdf。[NISTRMF]風(fēng)險(xiǎn)管理框架概述，請(qǐng)?jiān)L問(wèn)/groups/SMA/fisma/framework.html。C]9LCDOI/10.17487/RFC5280。[斯坦納]斯坦納，彼得?！霸诨ヂ?lián)網(wǎng)上，沒(méi)有人知道你是一只狗”，《紐約客》，1993年7月5日。P],,.和.)PCDOI/5年5月，2013年2月1https://www.tbs?sct.gc.ca/pol/doc?eng.aspx?id=26776。O]織C端)求 11分南，1998年3月取：/standard/16883.html。[OIDCSakimuraN.BradleyB.JonesM.deMedeiros,BCMortimore，OpenIDConnecte04年1dopenid?connect?core?1_0.html。NISTNIST800系列特別出版物可在以下網(wǎng)址獲?。篽ttp://P]T02年9月，10.6028/NIST.SP.800?30r1。P]T72010年2（2014年6月5），https:///10.6028/NIST.SP.800?37r1。P]T2)4/10.6028/NIST.SP.800?52r1。P]TA201412（20141218），/10.6028/NIST.SP.800?53Ar4。S]4年2月，/10.6028/NIST.FIPS.199。S]，3年ASP800?63使用權(quán)與在線數(shù)字服務(wù)的一個(gè)或多個(gè)離散功能建立聯(lián)系。主動(dòng)攻擊(CSP)(RP)記錄地址個(gè)人可以使用批準(zhǔn)的機(jī)制接收通信的經(jīng)過(guò)驗(yàn)證和驗(yàn)證的位置（物理或數(shù)字）。申請(qǐng)人正在進(jìn)行注冊(cè)和身份證明過(guò)程的主體。批準(zhǔn)的密碼學(xué)(FIPSNIST1FIPSNIST2FIPSNIST斷言從驗(yàn)證者到RP的聲明，其中包含有關(guān)訂閱者的信息。斷言還可能包含經(jīng)過(guò)驗(yàn)證的屬性。斷言參考與斷言一起創(chuàng)建的數(shù)據(jù)對(duì)象，它標(biāo)識(shí)驗(yàn)證者并包含指向驗(yàn)證者持有的完整斷言的指針。非對(duì)稱密鑰兩個(gè)相關(guān)的密鑰，由公鑰和私鑰組成，用于執(zhí)行加密和解密或簽名驗(yàn)證和生成等互補(bǔ)操作。攻擊攻擊者惡意破壞系統(tǒng)的一方，包括內(nèi)部人員。屬性歸因于某人或某物的品質(zhì)或特征。屬性包RPIdPOpenIDConnect[OpenIDConnectCore1.0“18“12月屬性值“12/1/1980“1980月1日”。認(rèn)證請(qǐng)參閱身份驗(yàn)證。經(jīng)過(guò)身份驗(yàn)證的受保護(hù)通道（（MitM(TLS)[BCP驗(yàn)證驗(yàn)證用戶、進(jìn)程或設(shè)備的身份，通常作為允許訪問(wèn)系統(tǒng)資源的先決條件。認(rèn)證因素三種類型的認(rèn)證因素是你知道的東西、你擁有的東西和你是什么。每個(gè)驗(yàn)證器都有一個(gè)或多個(gè)驗(yàn)證因素。認(rèn)證意圖（P（認(rèn)證協(xié)議身份驗(yàn)證協(xié)議運(yùn)行聲明者和驗(yàn)證者之間的消息交換，導(dǎo)致兩方之間的身份驗(yàn)證（或身份驗(yàn)證失?。ＵJ(rèn)證秘密攻擊者可用來(lái)在身份驗(yàn)證協(xié)議中冒充訂閱者的任何秘密值的通用術(shù)語(yǔ)。（（）密。索賠人擁有和控制的用于驗(yàn)證索賠人身份的東西（通常是加密模塊或密碼）。在SP800?63的早期版本中，這被稱為令牌。驗(yàn)證器保證級(jí)別(AAL)描述身份驗(yàn)證過(guò)程強(qiáng)度的類別。驗(yàn)證器輸出驗(yàn)證器秘密驗(yàn)證器中包含的秘密值。驗(yàn)證器類型真實(shí)性數(shù)據(jù)源自其聲稱的來(lái)源的屬性。權(quán)威來(lái)源CSPCSP授權(quán)組件P向PPI（）（DtD授權(quán)授予訪問(wèn)權(quán)限的決定，通常通過(guò)評(píng)估主體的屬性來(lái)自動(dòng)進(jìn)行。（）HTTP承載斷言一方提出的斷言作為身份證明，其中擁有斷言本身就足以證明斷言持有者的身份。捆綁訂戶身份與驗(yàn)證器或給定訂戶會(huì)話之間的關(guān)聯(lián)。生物識(shí)別技術(shù)（）（（索賠其身份需要使用一種或多種身份驗(yàn)證協(xié)議進(jìn)行驗(yàn)證的主體。聲稱的地址主體聲稱可以到達(dá)的物理位置。它包括個(gè)人的居住街道地址，也可能包括他們的郵寄地址。址”址”。聲稱的身份申請(qǐng)人對(duì)未經(jīng)驗(yàn)證和未經(jīng)核實(shí)的個(gè)人屬性的聲明。完全自動(dòng)化的公共圖靈測(cè)試來(lái)區(qū)分計(jì)算機(jī)和人類（驗(yàn)證碼）添加到Web表單中的交互式功能，用于區(qū)分是人工代理還是自動(dòng)代理正在使用該表單。通常，它需要輸入與扭曲圖像或聲音流相對(duì)應(yīng)的文本。憑據(jù)通過(guò)一個(gè)或多個(gè)標(biāo)識(shí)符權(quán)威地綁定身份的對(duì)象或數(shù)據(jù)結(jié)構(gòu)（CSP憑證服務(wù)提供商(CSP)頒發(fā)或注冊(cè)訂戶驗(yàn)證器并向訂戶頒發(fā)電子憑證的受信任實(shí)體。CSP可以是獨(dú)立的第三方，也可以頒發(fā)憑證供自己使用。跨站請(qǐng)求偽造(CSRF)RPRPCSRF攻擊跨站腳本(XSS)該漏洞允許攻擊者將惡意代碼注入到原本良性的網(wǎng)站中。這些腳本獲取目標(biāo)網(wǎng)站生成的腳本的權(quán)限，因此可能會(huì)損害網(wǎng)站和客戶端之間數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。密碼驗(yàn)證器一個(gè)身份驗(yàn)證器，其中秘密是加密密鑰。NISTSP800?5712另請(qǐng)參見(jiàn)非對(duì)稱密鑰、對(duì)稱密鑰。密碼模塊（數(shù)據(jù)的完整性數(shù)據(jù)未被未經(jīng)授權(quán)的實(shí)體更改的屬性。派生憑證基于與先前頒發(fā)的憑證相關(guān)的驗(yàn)證器的擁有和控制證明而頒發(fā)的憑證，以避免重復(fù)身份驗(yàn)證過(guò)程。數(shù)字認(rèn)證SP800?63電子簽名可分離性I是”竊聽(tīng)攻擊攻擊者被動(dòng)偵聽(tīng)身份驗(yàn)證協(xié)議以捕獲可用于后續(xù)主動(dòng)攻擊以偽裝成索賠人的信息的攻擊。請(qǐng)參閱數(shù)字身份驗(yàn)證。注冊(cè)申請(qǐng)人申請(qǐng)成為CSP訂戶以及CSP驗(yàn)證申請(qǐng)人身份的過(guò)程。熵衡量攻擊者在確定秘密價(jià)值時(shí)面臨的不確定性的程度。熵通常以位表示。具有n位熵的值與均勻分布的n位隨機(jī)值具有相同程度的不確定性。聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)（NIST(FIPS)發(fā)布（TFIPS文件可在FIPS主頁(yè)上在線獲取：/itl/fips.cfm聯(lián)邦允許在一組網(wǎng)絡(luò)系統(tǒng)之間傳送身份和驗(yàn)證信息的過(guò)程。聯(lián)合保證級(jí)別(FAL)RP（聯(lián)合代理IdPRPRPIdP前端溝通HTTPURL將任意長(zhǎng)度的位串映射為固定長(zhǎng)度的位串的函數(shù)。批準(zhǔn)的哈希函數(shù)滿足以下屬性：?jiǎn)蜗?在計(jì)算上無(wú)法找到映射到任何預(yù)先指定輸出的任何輸入；和抗碰撞?在計(jì)算上無(wú)法找到映射到相同輸出的任何兩個(gè)不同輸入。身份在給定上下文中唯一描述主題的屬性或?qū)傩约?。身份保證級(jí)別(IAL)傳達(dá)申請(qǐng)人所聲稱的身份為其真實(shí)身份的置信度的類別。身份證明（（P）。身份證明CSP收集、驗(yàn)證和驗(yàn)證個(gè)人信息的過(guò)程。身份提供商(IdP)管理訂戶的主要身份驗(yàn)證憑據(jù)并發(fā)出從這些憑據(jù)派生的斷言的一方。這通常是本文檔套件中討論的CSP。發(fā)行來(lái)源（克伯羅斯典s)))向CC證b基于知識(shí)的驗(yàn)證(KBV)(KBA可管理性R中間人攻擊(MitM)CSPCSP記住的秘密一種由訂閱者記憶或記憶的字符串組成的身份驗(yàn)證器，允許訂閱者在身份驗(yàn)證過(guò)程中展示他們所知道的內(nèi)容。消息驗(yàn)證碼(MAC)MAC手機(jī)代碼（多因素MFA三個(gè)認(rèn)證因素是你所知道的、你所擁有的、以及你所是的。多重身份驗(yàn)證(MFA)三個(gè)認(rèn)證因素是你所知道的、你所擁有的、以及你所是的。多重身份驗(yàn)證器一種提供多個(gè)不同身份驗(yàn)證因素的身份驗(yàn)證器，例如帶有激活設(shè)備所需的集成生物識(shí)別傳感器的加密身份驗(yàn)證設(shè)備。網(wǎng)絡(luò)（（（）。隨機(jī)數(shù)離線攻擊（在線攻擊針對(duì)身份驗(yàn)證協(xié)議的攻擊，攻擊者要么扮演具有真實(shí)驗(yàn)證者的索賠人的角色，要么主動(dòng)更改身份驗(yàn)證通道。在線猜測(cè)攻擊攻擊者通過(guò)猜測(cè)身份驗(yàn)證器輸出的可能值來(lái)執(zhí)行重復(fù)登錄嘗試的攻擊。成對(duì)假名標(biāo)識(shí)符CSPRP被動(dòng)攻擊針對(duì)身份驗(yàn)證協(xié)議的攻擊，其中攻擊者攔截在請(qǐng)求者和驗(yàn)證者之間沿網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，但不更改數(shù)據(jù)（即竊聽(tīng)）。密碼密碼查看記住的秘密。個(gè)人資料請(qǐng)參閱個(gè)人身份信息。個(gè)人識(shí)別碼(PIN)記憶的秘密通常僅由十進(jìn)制數(shù)字組成。個(gè)人信息請(qǐng)參閱個(gè)人身份信息。個(gè)人身份信息(PII)OMB通告A?130的定義網(wǎng)域嫁接DN（者（/RP/RP驗(yàn)證器的擁有和控制在身份驗(yàn)證協(xié)議中激活和使用身份驗(yàn)證器的能力。實(shí)踐聲明（P可預(yù)測(cè)性I私人憑證CSP無(wú)法披露憑證，因?yàn)槠鋬?nèi)容可用于危害身份驗(yàn)證器。私鑰非對(duì)稱密鑰對(duì)的秘密部分，用于對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名或解密。加工對(duì)II演示攻擊呈現(xiàn)給生物識(shí)別數(shù)據(jù)捕獲子系統(tǒng)，目的是?擾生物識(shí)別系統(tǒng)的操作。演示攻擊檢測(cè)(PAD)筆名法定名稱以外的名稱。假名使用假名來(lái)識(shí)別主題。假名標(biāo)識(shí)符無(wú)意義但唯一的號(hào)碼，不允許RP推斷有關(guān)訂戶的任何信息，但允許RP將多個(gè)交互與訂戶聲稱的身份相關(guān)聯(lián)。公共憑證以不損害身份驗(yàn)證器的方式描述綁定的憑證。公鑰非對(duì)稱密鑰對(duì)的公共部分，用于驗(yàn)證簽名或加密數(shù)據(jù)。公鑰證書(shū)RFC5280。公鑰基礎(chǔ)設(shè)施(PKI)一組策略、流程、服務(wù)器?臺(tái)、軟件和工作站，用于管理證書(shū)和公鑰?私鑰對(duì)，包括頒發(fā)、維護(hù)和撤銷公鑰證書(shū)的能力。重新認(rèn)證在擴(kuò)展使用會(huì)話期間確認(rèn)訂閱者的持續(xù)存在和進(jìn)行身份驗(yàn)證的意圖的過(guò)程。請(qǐng)參閱注