2024年8月21日,美国国家标准与技术研究所(NIST)发布了第二版《数字身份指南》公开草案(NIST SP 800-63-4.2)(以下简称《指南》),旨在为数字身份管理提供指导,使得用户通过各类身份证明方式均能够安全直接地访问在线服务,实现可访问性与安全性的平衡。
背景:
该指南草案于2022年12月首次发布,旨在帮助管理有关数字身份的风险,并提供适合用户的服务,并实现防范欺诈、保护隐私、促进公平的目标,向所有人提供高质量、可用的服务。在征求意见期内,NIST收到了来自140个组织和个人的近4,000条评论。结合公众反馈,更新后的草案进行了多处改进,包括但不限于:
更新了背景设置。《指南》中定义的流程进行了修正,包括背景设置步骤,即定义和理解组织正在提供的在线服务以及计划使用身份系统进行潜在保护的在线服务;
添加了推荐评估指标。持续改进部分已进行扩展,包括一组推荐用于全面评估身份解决方案的性能指标;
扩大反欺诈要求和建议。针对凭证服务提供商和依赖方的程序化反欺诈管理要求进行了更新,解决了实施反欺诈检查可能产生的问题;
重组了身份验证控制。根据提供身份验证的方式,每个级别的要求都有新的分类和结构:远程无人值守、远程有人值守(例如视频会议)、现场无人值守(例如自助服务终端)以及现场有人值守(例如亲自到场);
集成可同步身份验证器。2024年4月,NIST发布了可同步身份验证器的临时指南,并作为规范性文本体现在SP 800-63B中;
在联合模型中添加了用户可控的钱包。SP 800-63C-4中介绍了数字钱包和凭证的具体要求和新兴背景。
主要内容:
身份管理与身份验证框架:《指南》介绍了数字身份的概念和组成部分,强调了身份管理的重要性,以及如何通过多因素身份验证(MFA)提高安全性;
身份验证方法:《指南》提供了不同类型的身份验证方法,如基于知识的验证、基于生物特征的验证等,并对每种方法的安全性、适用场景和潜在风险进行了分析;
联合身份管理要求:《指南》提出了如何进行身份验证过程中的隐私保护、如何确保用户数据的安全性等一系列联合身份管理要求;
风险管理策略:《指南》强调在设计和实施身份验证系统时必须考虑到潜在的风险,并提出了相关的风险管理策略。
技术操作指南:《指南》为机构提供了详细的技术操作指南,有利于其选择合适的身份验证技术,并确保技术的实施符合联邦和行业的标准。
配套指南如下:
| 名称 | 内容 |
|---|---|
| 数字身份指南:身份验证和登记(NIST SP 800-63A-4) | 重点关注用于数字认证的身份登记和验证,概述了申请人如何向证书服务提供商(CSP)提供证据以进行可靠的身份识别。 |
| 数字身份指南:身份验证和身份验证器管理(NIST SP 800-63B-4) | 重点关注通过网络与政府信息系统交互的个人身份验证,以确定特定申请人之前是否已通过身份验证。身份验证过程的结果可由执行身份验证的系统在本地使用,也可在联合身份系统的其他地方使用。 |
| 数字身份指南:联合和声明(NIST SP 800-63C-4) | 重点关注联合身份以及给定的CSP如何向多个单独管理的用户身份验证依赖方(RP)提供身份验证属性和用户属性,以及依赖方如何使用多个CSP。 |
《指南》不仅为技术实施提供了框架,对于从事数字身份管理、网络安全和隐私保护工作的专业人员具有重要的指导意义,同时由于其致力于确保数字身份系统的安全性和可靠性,也为政策制定者提供了参考。
目前,NIST正在就最新草案及其配套指南公开征求意见,意见模板以及相关提交说明已由官网提供。
意见接收邮箱:dig-comments@nist.gov
截止日期:2024年10月7日
NIST还计划于8月28日举办一场有关指南更新的网络研讨会,并欢迎公众报名。
本文来源自“NIST",https://www.nist.gov/news-events/news/2024/08/nist-releases-second-public-draft-digital-identity-guidelines-final-review
责任编辑:王婉清
声明:本文来自数据法律资讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
