English  简体中文
   

美国网络空间安全身份认证生态系统的政策基础

2018-06-07      


2011年,美国白宫网站上发布了《国家网络安全网络空间可信身份国家战略》(NSTIC)草案,其中关于身份认证生态系统架构的内容如下:

其身份认证生态系统将由不同的在线组织组成,这些组织使用可互操作的技术、流程和策略,这些组织将随着时间的推移而发展,但始终具有隐私、互操作性和安全性的基线。整个身份认证生态系统中的不同构件包括以下几个方面。

1、身份认证生态系统框架(Identity Ecosystem Framework),身份认证生态系统框架是互操作性标准的总体集合,风险模型、隐私和责任政策、要求和责任机制构建了身份认证生态系统。

2、指导小组(steering group),指导小组将根据该战略的指导原则,管理身份认证生态系统框架的政策和标准开发过程,指导小组还将确保认证机构验证参与者是否遵守身份认证生态系统框架的要求。

3、信任框架(trust framework),信任框架也是由一个组织开发的,其成员有着相似的目标和观点,它定义了组织参与者在身份认证生态系统中的权利和责任;指定特定于组织的政策和标准;并定义了为组织提供保障的特定的流程和程序。该信任框架也考虑到了与参与者的事务类型相关联的风险级别,例如,对于受管制的产业, 它可以包含特定于该行业的要求。在身份生态系统中可以存在不同的信任框架,并且参与者可以定制信任框架以满足他们的特殊要求,从而成为身份生态系统的一部分,当然,所有的信任框架都必须满足身份生态系统框架所建立的基准标准。

4、认证机构(accreditation authority),认证机构评估并验证身份提供者、属性提供者、依赖方和身份媒介,确保它们都遵守一致认可的信任框架,认证机构可以向参与验证的参与者颁发信任标识。

5、信任标识机制(trustmark scheme),信任标识机制与标准结合在一起,以确定服务提供者是否符合身份认证生态系统框架。

 

身份生态系统框架提供了适用于所有参与的信任框架的标准和策略基线集。这一底线在最低程度的保障上更加宽容,以确保它不会成为组织进入的障碍;并在更高的保障水平上加以细化,以确保参与者得到充分的保护。

由于需要时间来让不同的参与者在所要求的的政策和技术标准上达成一致,因此该生态系统的发展注定比较缓慢。起初,身份认证生态系统框架很可能仅包含一套相当简单的标准,但随着时间的推移,当越来越多的的参与者在相关内容上达成一致后,身份认证生态系统框架将变得更加健壮。

信任框架使组织能够从身份认证生态系统基础上详细解读基线标准和政策。例如,可能会有一个信任框架专门用于识别计算机网卡;再比如移动电话供应商有特定的技术要求,因此运营商可以加入一个信任框架,使个人能够使用手机作为凭证进行身份验证。

因此,可能需要一个或多个私营认证机构来实施信任框架。认证机构验证身份提供者、属性提供者和依赖方,确保它们符合信任框架所设置的策略和标准。现有的私营组织已经在某些领域发挥了作用,如果他们愿意,就可以参与到身份认证生态系统中。一个公私合作的指导小组将确保认证机构在颁发信任标识时保持身份生态系统框架的最低要求。

下图展示了在身份认证生态系统框架基础上构建的多个信任框架,这一基线确保了相互之间的互操作性,即使在参与者处于不同的信任框架时,也可以依赖这些认证信息。
 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4