2018數(shù)字身份指南NIST.SP.800-63-3

NIST特別出版物800?63?3數(shù)字身份指南NISTSPNISTSP800?63?3抽象的這些指南為實施數(shù)字身份服務(wù)的聯(lián)邦機構(gòu)提供了技術(shù)要求，并非旨在限制此目的之外的標準的開發(fā)或使用。該指南IT（NIST出版物800?63?2。關(guān)鍵詞驗證;認證保證；驗證器；斷言；憑證服務(wù)提供商；數(shù)字認證；數(shù)字憑證；身份證明；聯(lián)邦;密碼；公鑰基礎(chǔ)設(shè)施。致謝KaitlinBoeckl對SP800?63(DIACCJoniBrennanEllenNadeauBenNISTGabelORourkeDeloitte&ToucheLLPDannaGabelORourke。Donna.DodsoneM.y.TimothyPolkSabariGupta和EmadA.NabbusSP800?63需求符號和約定當（以三、執(zhí)行摘要本節(jié)內(nèi)容豐富?！绑w的合法代理。身份證明可以確定主體就是他們聲稱的身份。數(shù)字身份驗證確定嘗試訪問數(shù)字服務(wù)的主體可以控制與該主體的數(shù)字身份NIST特別出版物SP800?63?2份保證級別(IAL)和身份驗證器保證級別(AAL)。對于聯(lián)合系統(tǒng)，機構(gòu)將選擇第三個組成部分，即聯(lián)合保證級別(FAL)。四號NISTSPNISTSP800?63?3vv(LOAIALAAL和FALIALAAL和FAL這些指南中詳細介紹的身份保證的組成部分如下：向依賴方(RP)傳達身份驗證和屬性信息（如果適用）。(IdPP3“卷”。PPLD（NISTSPNISTSP800?63?3六六這些指南的組織方式如下：SP800?63數(shù)字身份指南（本文檔）SP800?63SP800?63SP800?63A注冊和身份證明NISTSP冊。SP800?63A包含規(guī)范性材料和信息性材料。SP800?63AIALIALIAL（CSPRP）。IAL2CSP可以向RPP2RPSP800?63B身份驗證和生命周期管理AALNISTSP800?63BCSPSP800?63B這三個AALAALAAL1：AAL1AAL1NISTSPNISTSP800?63?3七七廣泛的可用身份驗證技術(shù)。成功的身份驗證要求請求者通過安全身份驗證協(xié)議證明對身份驗證器的擁有和控制。AAL2AAL2AAL2AAL3AAL3AAL3AAL3這兩個要求。為了在AAL3上進行身份驗證，索賠人應(yīng)通過安全身份驗證協(xié)議證明擁有和控制兩個不同的身份驗證因素。需要經(jīng)過批準的加密技術(shù)。SP800?63C聯(lián)合和斷言NISTSP800?63C提供了使用聯(lián)合身份架構(gòu)和斷言將身份驗證過程的結(jié)果和相關(guān)身份信息傳遞給機構(gòu)應(yīng)用程序時的PC這三個FAL反映了機構(gòu)可以根據(jù)其風險狀況以及攻擊者控制聯(lián)合交易造成的潛在危害來選擇的選項。FAL如下：PPPPRP。這些指南與機構(gòu)可以開發(fā)或獲取的大量身份服務(wù)架構(gòu)無關(guān)，并且無論機構(gòu)選擇何種方法都適用。IALAALFALNISTSPNISTSP800?63?3八八目錄要 四1 的. 12介. 22.1圍. 42.2項和性 5制. 5套SP 5錄. 62.5.1SP800?63?1 62.5.2SP800?63?2 62.5.3SP800?63?3 6寫. 8型. 94.1述. 9證. 12理. 124.3.1器. 124.3.2證. 144.3.3程. 14言. 144.4.1言. 154.4.2方 165管理. 175.1述. 17別. 18響. 19易. 20響. 215.4接制. 22明 23份. 23NISTSPNISTSP800?63?3九九別. 25擇IAL 26擇AAL 29擇FAL. 31xAL. 33項. 35獻. 36料. 368.2準. 37NIST物. 37準. 37附錄清單錄A寫 39義 39寫. 58圖列表圖4?1型. 10圖6?1擇IAL. 27圖6?2擇AAL 30圖6?3擇FAL. 32表格列表表2?1SP800?63?3分 4表5?1別 18表5?2別. 19表5?3別. 19表6?1響. 25表6?2IAL和AAL組合. 34NISTSPNISTSP800?63?3XX勘誤表此表包含已納入特別出版物800?63?3中的更改。勘誤更新可以包括出版物中的編輯性或?qū)嵸|(zhì)性的更正、澄清或其他細微更改。日期類型更改從地點2017?12?01社論AAL3描述中刪除了術(shù)語“加密”。執(zhí)行摘要社論更新了對風險管理框架的參考§5社論社論社論xALNISTIR8062理和可預測性的定義6?16?26?3§8.1A2020?03?02社論實質(zhì)性實質(zhì)性FAL3xAL§5.26?16?26?3A社論刪除了受保護會話的無關(guān)定義附錄ANISTSPNISTSP800?63?3111。目的本節(jié)內(nèi)容豐富。(SP)800?63ASP800?PNISTSPNISTSP800?63?3PAGEPAGE4本節(jié)內(nèi)容豐富。數(shù)字身份是參與在線交易的主體的唯一表示。數(shù)字身份在數(shù)字服務(wù)的上下文中始終是唯一的，但不一定需要在所有以訪問數(shù)字政府服務(wù)。冒充和其他攻擊有多種機會欺騙性地聲稱另一個主體的數(shù)字身份。(CSP)(RPNIST[NISTRMF隱私風險。這些指南通過將身份保證的各個元素分解為離散的組成部分來支持減輕由身份驗證錯誤引起的負面影響。對于非聯(lián)合系統(tǒng)，機構(gòu)將選擇兩個組件，稱為身份保證級別(IAL)和身份驗證器保證級別(AAL)。對于聯(lián)合系統(tǒng)，(FAL56“選IALAALFAL(LOA)IALAAL和FALOMBM?04?04LOA模型IALAALFALIALAALFALRP（）。P3SPSP800?63SP800?63ASP800?63A包含規(guī)范性材料和信息性材料。SP800?63B身份驗證和生命周期管理：解決個人如何安全地向CSP進行身份驗證以訪問數(shù)字服務(wù)或SP800?63BSP800?63CPCNIST（SP800?63A?1和SP800?63B?2）（即P3P下表說明了本卷的哪些部分是規(guī)范性的，哪些部分是信息性的：表2?1SP800?63?3的規(guī)范性和信息性部分稱 范性1。目的

信息豐富介 富寫 富

信息豐富

規(guī)范性

規(guī)范性

信息豐富信息豐富（例）。44USC§(PIVPIVSP800?63ASP800?63BFIPSSP800?63CFAL選擇為機構(gòu)提供了如何根據(jù)系統(tǒng)風險啟用PIV的指導和靈活性。OMB實施2002[ESIG]12)2014(FISMA)44USC§3551法(PL)113?283NISTFISMAIT(SA&A)。NIST（（（（SP自SP800?63P此外，即使沒有，使用強身份驗證器也可能具有顯著的安全優(yōu)勢。3的SP800?63?1TP1TP3（CSP（2.5.2SP800?63?2NISTSP800?63?2SP800?63?15址以頒發(fā)3級遠程注冊證書的需要。對第5節(jié)的其他修改是一些小的解釋和澄清。2.5.3SP800?63?3NISTSP800?63?3是SP800?63?2組。SP800?63?3驗件 AALIAL和FAL（IALAALFALSP800?63（P3800?63?3中更新的其他區(qū)域包括：在斷言技術(shù)中令牌一詞的使用存在沖突。技術(shù)和威脅。西”。（）（）。聯(lián)邦。NISTSP800?63?3NISTSP800?63?383A3ANISTSPNISTSP800?63?3PAGEPAGE14本節(jié)內(nèi)容豐富。（P(RA(IMRA和CSPRAIM和CSPPA和MPCSPL（CSP向RP提供）。IAL2和IAL3RP可以請求CSPPP2或RP還可以采用聯(lián)合身份方法，其中RP將所有身份證明、屬性收集和屬性存儲外包給CSP。（傳遞給RP（CSPRP））RP時（）RPRPAALAAL12（AAL3構(gòu)成此處使用的數(shù)字身份模型的各種實體和交互如圖4?1所示。圖4?1數(shù)字身份模型該圖的左側(cè)顯示了注冊、證書頒發(fā)、生命周期管理活動以及身份證明和身份驗證過程的各種狀態(tài)。通常的交互順序如下：CSPCSPCSPCSPCSP（其他序列不太常見，但也可以實現(xiàn)相同的功能要求。圖4?1驗證者與CSP交互4.在訂戶和RP之間建立經(jīng)過驗證的會話。PP（）CSP同一?臺上，則組件之間的交互是同一系統(tǒng)上運行的應(yīng)用程序之間的本地消息，而不是共享的、不可信網(wǎng)絡(luò)上的協(xié)議。PPCSPP規(guī)范性要求可在SP800?63A中找到，注冊和身份證明。上一節(jié)介紹了概念數(shù)字身份模型的參與者。本節(jié)提供有關(guān)參與者在注冊和身份證明方面的關(guān)系和責任的更多詳細信息。CSPCSPCSP器P策CSP規(guī)范性要求可在SP800?63B中找到，身份驗證和生命周期管理。身份驗證系統(tǒng)的經(jīng)典范例將三個因素確定為身份驗證的基石：（）。（D）。（）。MFA是指使用以上因素之一以上。身份驗證系統(tǒng)的強度很大程度上取決于系統(tǒng)納入的因素數(shù)量采用的因素越多，身份驗證5.1節(jié)所述，RP（CSP（（）份驗證器來驗證索賠人的身份。（（（數(shù)字認證系統(tǒng)可以通過以下兩種方式之一整合多個因素：1（（2（（）CSPX.509典型示例。CSP效。此外，位于驗證者的機制可以通過限制攻擊者進行身份驗證嘗試的速率或以其他方式延遲錯誤嘗試，（CSPRPCSP規(guī)范性要求可在SP800?63C中找到，聯(lián)邦和斷言。P3聯(lián)合架構(gòu)有許多顯著的好處，包括但不限于：RP（（與存儲個人信息相關(guān)的合規(guī)活動。（管理。以下各節(jié)討論了機構(gòu)選擇此類模型時聯(lián)合身份架構(gòu)的組件。RPRPCSPRPRP（RPRP(SAMLSAML描述安全性，以及可選的用戶聲明。JSON用戶信息聲明可以選擇進行數(shù)字簽名。KerberosRPRP（）IALAALFAL（FALRPRPRPRPIALAALFAL。NISTSPNISTSP800?63?3本部分是規(guī)范性的。本節(jié)和相應(yīng)的風險評估指南是對NIST風險管理框架[NISTRMF]及其組成部分特別出版物的補充。這不會為機構(gòu)建立RPRMFLOA本卷詳細說明了協(xié)助各機構(gòu)避免以下情況的要求：（）他們的）；（）；和（）。從身份驗證失敗的角度來看，潛在的失敗有兩個方面：（）。（有關(guān)某人的信息，而不是成功提供數(shù)字服務(wù)所需的信息）。5.3RMF17號NISTSPNISTSP800?63?3PAGEPAGE20（）SP明”53IA?1a.1。有關(guān)數(shù)字身份接受聲明必要內(nèi)容的更多詳細信息，請參閱第5.5節(jié)。機構(gòu)RP應(yīng)根據(jù)風險選擇以下單獨保證級別：LAAL（）。RP（）。FALFAL（）。下面提供了每個身份、驗證器和聯(lián)合保證級別的摘要。表5?1身份保證級別身份保證級別（2PAPPA述。AAL1：AAL1AAL1AAL2：AAL2AAL2AAL3：AAL3提供了非常高的可信度，表明聲明者控制向訂戶注冊的驗證器。AAL3的身份驗證基AAL3AAL2“硬5?3FAL1：FAL1允許RP接收來自身份提供商(IdP)的承載斷言。IdP必須使用批準的加密技術(shù)簽署斷言。FAL2：FAL2RPFAL3：FAL3RP。IALAALFALxAL。IALAALFAL危害和影響的類別包括：3、損害代理項目或者公共利益；456.民事或刑事違法行為。(FIPS)199[FIPS199三個潛在影響值是：3、影響力大。保證級別的確定僅基于屬于數(shù)字系統(tǒng)一部分的交易。MFA的[EOIALAAL和）不便、困擾或聲譽或聲譽受損的潛在影響：損害任何一方的地位或聲譽。財務(wù)損失的潛在影響：微不足道或無關(guān)緊要的機構(gòu)責任。責任。對機構(gòu)計劃或公共利益造成損害的潛在影響：)(ii(i(ii(i(ii未經(jīng)授權(quán)發(fā)布敏感信息的潛在影響：（FIPS199）。FIPS199向未經(jīng)授權(quán)的各方提供信息，導致機密性喪失，并產(chǎn)生FIPS199中定義的嚴重影響。對人身安全的潛在影響：民事或刑事違法行為的潛在影響是：須接受執(zhí)法努力。執(zhí)法力度。程式。SP800?63當未實施整套適用的SP800?63要求時，各機構(gòu)應(yīng)證明任何所選替代方案的可比性，包括任何補償)FIPS要求xAL800?63該機構(gòu)應(yīng)實施程序，記錄任何偏離規(guī)范要求的理由，并詳細說明所采用的補償控制措施。T[SP機構(gòu)應(yīng)將此信息包含在實現(xiàn)SA&A所需的現(xiàn)有工件中。該聲明至少應(yīng)包括：xAL，3.理由xAL適用的800?63要求未實施，并且5.如果不接受聯(lián)合身份，請說明理由。PPP（IALCSPCSPRPRPLPxALRPCSPRP本部分是規(guī)范性的。xAL選擇。6?1所示6?1影響類別1保證等級23不便、困擾或聲譽或聲譽受損低的模組高的財務(wù)損失或代理責任低的模組高的損害機構(gòu)計劃或公共利益不適用低/中度高的未經(jīng)授權(quán)發(fā)布敏感信息不適用低/中度高的人身安全不適用低的模組/高民事或刑事違法行為不適用低/中度高的重或其他公共利益損害的分析在很大程度上取決于具體情況；該機構(gòu)應(yīng)謹慎考慮這些問題。IALAALFAL(PHIEO素”2或3MFA。EO13681程”IAL2IAL3（以不證明，因此該機構(gòu)會選擇IAL1。這允許健康跟蹤系統(tǒng)的用戶是假名的。盡管用戶是假名的，機構(gòu)仍應(yīng)選擇AAL2或AAL3進行身份驗證，因為惡意行為者可以通過破壞帳戶來訪問用戶的PHI。IAL2IAL3RP而PPPPCIALAAL和FALLOALOA具有IAL1和AAL2IAL2和AAL2xALIAL圖6?1中的IALIAL7NISTSP800?63?3NISTSP800?63?36?1IAL27NISTSPNISTSP800?63?3PAGEPAGE51首先回答這個問題可以縮短風險評估和IAL選擇。如果該服務(wù)不需要任何個人信息來執(zhí)行任何數(shù)字交易，則系統(tǒng)可以在IAL1上運行。PIAL2IAL3IAL2IAL31和第4步旨在確定該機構(gòu)所需的個人信息是否最終會解析為唯一身份。換句話說，該機構(gòu)需要知道訪問數(shù)字服務(wù)的主體的完整身份，而即使有一些經(jīng)過驗證和驗證的屬性，假名訪問也是不可56步IAL選擇各機構(gòu)將從中受益，因為這種類型的分析可確保其選民獲得成功證明的最大機會。AAL圖6?2AAL選擇AAL7圖6?2選擇AAL第1MFA要MFA的L（AAL2MFA偽造，但大多數(shù)用戶都會提供準確的信息以從數(shù)字服務(wù)中受益。因此，必須適當保護自稱數(shù)據(jù)。FAL6?3FAL圖6?3選擇FAL1當斷言中傳遞任何個人信息時，需要FAL2。進行風險評估時，應(yīng)考慮所有FAL的個人信息發(fā)布。FAL2FAL1FAL2RP通過授權(quán)APIFALRPSP800?63C7.1RPIdPIdPRPRPIdPRPFALSP800?63CRPxALxALLxALxAL驗證器來保護該數(shù)據(jù)。表6?2詳細介紹了IAL和AAL的有效組合，以確保個人信息繼續(xù)受到MFA的保護。表6?2可接受的IAL和AAL組合AA1 AAL2 AAL3

不允許允許IAL2

不允許允許IAL3

不允許允許1OMFAAAL1進行11本節(jié)內(nèi)容豐富。本指南及其配套卷與機構(gòu)選擇的身份驗證和身份證明架構(gòu)無關(guān)。然而，機構(gòu)可能會遇到一些場景，這些場景使身份聯(lián)合可（在以下情況下聯(lián)合身份驗證器：AAL（）。RP聯(lián)邦屬性在以下情況下：服務(wù)。（）本節(jié)內(nèi)容豐富。]B6年7月8/sites/default/files/omb/assets/OMB/circulars/a130/a130修訂.pdf。[EO136811368120141017https///d/2014?25439。[ESIGCIO2013125https:///wp?content/uploads/downloads/2014/03/Use_of_ESignatures_in_Federal_Agency_Transactions_v1?0_20130125.pdf。[FISMA2014https///bill/113th?congress/senate?bill/2521。]4年8月7:///homeland?security?12。[M?03?22OMBM?03?22，OMB2002200396/v/m03?22.html。]BM?04?043年2月6b/omb/memoranda/fy04/m04?04.pdf。]T7年1/nistpubs/ir/2017/NIST.IR.8062.pdf。[NISTRMF]風險管理框架概述，請訪問/groups/SMA/fisma/framework.html。C]9LCDOI/10.17487/RFC5280。[斯坦納]斯坦納，彼得?！霸诨ヂ?lián)網(wǎng)上，沒有人知道你是一只狗”，《紐約客》，1993年7月5日。P],,.和.)PCDOI/5年5月，2013年2月1https://www.tbs?sct.gc.ca/pol/doc?eng.aspx?id=26776。O]織C端)求 11分南，1998年3月?。?standard/16883.html。[OIDCSakimuraN.BradleyB.JonesM.deMedeiros,BCMortimore，OpenIDConnecte04年1dopenid?connect?core?1_0.html。NISTNIST800系列特別出版物可在以下網(wǎng)址獲?。篽ttp://P]T02年9月，10.6028/NIST.SP.800?30r1。P]T72010年2（2014年6月5），https:///10.6028/NIST.SP.800?37r1。P]T2)4/10.6028/NIST.SP.800?52r1。P]TA201412（20141218），/10.6028/NIST.SP.800?53Ar4。S]4年2月，/10.6028/NIST.FIPS.199。S]，3年ASP800?63使用權(quán)與在線數(shù)字服務(wù)的一個或多個離散功能建立聯(lián)系。主動攻擊(CSP)(RP)記錄地址個人可以使用批準的機制接收通信的經(jīng)過驗證和驗證的位置（物理或數(shù)字）。申請人正在進行注冊和身份證明過程的主體。批準的密碼學(FIPSNIST1FIPSNIST2FIPSNIST斷言從驗證者到RP的聲明，其中包含有關(guān)訂閱者的信息。斷言還可能包含經(jīng)過驗證的屬性。斷言參考與斷言一起創(chuàng)建的數(shù)據(jù)對象，它標識驗證者并包含指向驗證者持有的完整斷言的指針。非對稱密鑰兩個相關(guān)的密鑰，由公鑰和私鑰組成，用于執(zhí)行加密和解密或簽名驗證和生成等互補操作。攻擊攻擊者惡意破壞系統(tǒng)的一方，包括內(nèi)部人員。屬性歸因于某人或某物的品質(zhì)或特征。屬性包RPIdPOpenIDConnect[OpenIDConnectCore1.0“18“12月屬性值“12/1/1980“1980月1日”。認證請參閱身份驗證。經(jīng)過身份驗證的受保護通道（（MitM(TLS)[BCP驗證驗證用戶、進程或設(shè)備的身份，通常作為允許訪問系統(tǒng)資源的先決條件。認證因素三種類型的認證因素是你知道的東西、你擁有的東西和你是什么。每個驗證器都有一個或多個驗證因素。認證意圖（P（認證協(xié)議身份驗證協(xié)議運行聲明者和驗證者之間的消息交換，導致兩方之間的身份驗證（或身份驗證失敗）。認證秘密攻擊者可用來在身份驗證協(xié)議中冒充訂閱者的任何秘密值的通用術(shù)語。（（）密。索賠人擁有和控制的用于驗證索賠人身份的東西（通常是加密模塊或密碼）。在SP800?63的早期版本中，這被稱為令牌。驗證器保證級別(AAL)描述身份驗證過程強度的類別。驗證器輸出驗證器秘密驗證器中包含的秘密值。驗證器類型真實性數(shù)據(jù)源自其聲稱的來源的屬性。權(quán)威來源CSPCSP授權(quán)組件P向PPI（）（DtD授權(quán)授予訪問權(quán)限的決定，通常通過評估主體的屬性來自動進行。（）HTTP承載斷言一方提出的斷言作為身份證明，其中擁有斷言本身就足以證明斷言持有者的身份。捆綁訂戶身份與驗證器或給定訂戶會話之間的關(guān)聯(lián)。生物識別技術(shù)（）（（索賠其身份需要使用一種或多種身份驗證協(xié)議進行驗證的主體。聲稱的地址主體聲稱可以到達的物理位置。它包括個人的居住街道地址，也可能包括他們的郵寄地址。址”址”。聲稱的身份申請人對未經(jīng)驗證和未經(jīng)核實的個人屬性的聲明。完全自動化的公共圖靈測試來區(qū)分計算機和人類（驗證碼）添加到Web表單中的交互式功能，用于區(qū)分是人工代理還是自動代理正在使用該表單。通常，它需要輸入與扭曲圖像或聲音流相對應(yīng)的文本。憑據(jù)通過一個或多個標識符權(quán)威地綁定身份的對象或數(shù)據(jù)結(jié)構(gòu)（CSP憑證服務(wù)提供商(CSP)頒發(fā)或注冊訂戶驗證器并向訂戶頒發(fā)電子憑證的受信任實體。CSP可以是獨立的第三方，也可以頒發(fā)憑證供自己使用?？缯菊埱髠卧?CSRF)RPRPCSRF攻擊跨站腳本(XSS)該漏洞允許攻擊者將惡意代碼注入到原本良性的網(wǎng)站中。這些腳本獲取目標網(wǎng)站生成的腳本的權(quán)限，因此可能會損害網(wǎng)站和客戶端之間數(shù)據(jù)傳輸?shù)臋C密性和完整性。密碼驗證器一個身份驗證器，其中秘密是加密密鑰。NISTSP800?5712另請參見非對稱密鑰、對稱密鑰。密碼模塊（數(shù)據(jù)的完整性數(shù)據(jù)未被未經(jīng)授權(quán)的實體更改的屬性。派生憑證基于與先前頒發(fā)的憑證相關(guān)的驗證器的擁有和控制證明而頒發(fā)的憑證，以避免重復身份驗證過程。數(shù)字認證SP800?63電子簽名可分離性I是”竊聽攻擊攻擊者被動偵聽身份驗證協(xié)議以捕獲可用于后續(xù)主動攻擊以偽裝成索賠人的信息的攻擊。請參閱數(shù)字身份驗證。注冊申請人申請成為CSP訂戶以及CSP驗證申請人身份的過程。熵衡量攻擊者在確定秘密價值時面臨的不確定性的程度。熵通常以位表示。具有n位熵的值與均勻分布的n位隨機值具有相同程度的不確定性。聯(lián)邦信息處理標準(FIPS)（NIST(FIPS)發(fā)布（TFIPS文件可在FIPS主頁上在線獲?。?itl/fips.cfm聯(lián)邦允許在一組網(wǎng)絡(luò)系統(tǒng)之間傳送身份和驗證信息的過程。聯(lián)合保證級別(FAL)RP（聯(lián)合代理IdPRPRPIdP前端溝通HTTPURL將任意長度的位串映射為固定長度的位串的函數(shù)。批準的哈希函數(shù)滿足以下屬性：單向?在計算上無法找到映射到任何預先指定輸出的任何輸入；和抗碰撞?在計算上無法找到映射到相同輸出的任何兩個不同輸入。身份在給定上下文中唯一描述主題的屬性或?qū)傩约Ｉ矸荼ＷC級別(IAL)傳達申請人所聲稱的身份為其真實身份的置信度的類別。身份證明（（P）。身份證明CSP收集、驗證和驗證個人信息的過程。身份提供商(IdP)管理訂戶的主要身份驗證憑據(jù)并發(fā)出從這些憑據(jù)派生的斷言的一方。這通常是本文檔套件中討論的CSP。發(fā)行來源（克伯羅斯典s)))向CC證b基于知識的驗證(KBV)(KBA可管理性R中間人攻擊(MitM)CSPCSP記住的秘密一種由訂閱者記憶或記憶的字符串組成的身份驗證器，允許訂閱者在身份驗證過程中展示他們所知道的內(nèi)容。消息驗證碼(MAC)MAC手機代碼（多因素MFA三個認證因素是你所知道的、你所擁有的、以及你所是的。多重身份驗證(MFA)三個認證因素是你所知道的、你所擁有的、以及你所是的。多重身份驗證器一種提供多個不同身份驗證因素的身份驗證器，例如帶有激活設(shè)備所需的集成生物識別傳感器的加密身份驗證設(shè)備。網(wǎng)絡(luò)（（（）。隨機數(shù)離線攻擊（在線攻擊針對身份驗證協(xié)議的攻擊，攻擊者要么扮演具有真實驗證者的索賠人的角色，要么主動更改身份驗證通道。在線猜測攻擊攻擊者通過猜測身份驗證器輸出的可能值來執(zhí)行重復登錄嘗試的攻擊。成對假名標識符CSPRP被動攻擊針對身份驗證協(xié)議的攻擊，其中攻擊者攔截在請求者和驗證者之間沿網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，但不更改數(shù)據(jù)（即竊聽）。密碼密碼查看記住的秘密。個人資料請參閱個人身份信息。個人識別碼(PIN)記憶的秘密通常僅由十進制數(shù)字組成。個人信息請參閱個人身份信息。個人身份信息(PII)OMB通告A?130的定義網(wǎng)域嫁接DN（者（/RP/RP驗證器的擁有和控制在身份驗證協(xié)議中激活和使用身份驗證器的能力。實踐聲明（P可預測性I私人憑證CSP無法披露憑證，因為其內(nèi)容可用于危害身份驗證器。私鑰非對稱密鑰對的秘密部分，用于對數(shù)據(jù)進行數(shù)字簽名或解密。加工對II演示攻擊呈現(xiàn)給生物識別數(shù)據(jù)捕獲子系統(tǒng)，目的是?擾生物識別系統(tǒng)的操作。演示攻擊檢測(PAD)筆名法定名稱以外的名稱。假名使用假名來識別主題。假名標識符無意義但唯一的號碼，不允許RP推斷有關(guān)訂戶的任何信息，但允許RP將多個交互與訂戶聲稱的身份相關(guān)聯(lián)。公共憑證以不損害身份驗證器的方式描述綁定的憑證。公鑰非對稱密鑰對的公共部分，用于驗證簽名或加密數(shù)據(jù)。公鑰證書RFC5280。公鑰基礎(chǔ)設(shè)施(PKI)一組策略、流程、服務(wù)器?臺、軟件和工作站，用于管理證書和公鑰?私鑰對，包括頒發(fā)、維護和撤銷公鑰證書的能力。重新認證在擴展使用會話期間確認訂閱者的持續(xù)存在和進行身份驗證的意圖的過程。請參閱注