美国网络安全：NIST身份和访问管理

全文约6700字  阅读约20分钟

笔者一直对身份和访问管理（IAM）念念不忘。IAM的目标是实现“三个恰当”或“三个任意”，IAM是实现访问自由的基础。笔者认为它既是基础，也是未来。而且它与零信任架构（ZTA）的成熟度息息相关。

之前介绍过NIST（美国国家标准与技术研究所）的NCCoE（国家网络安全卓越中心）的网络安全实践项目（参见《美国网络安全 | NIST网络安全实践指南系列》），包括与技术相关的积木（Building Blocks）项目和与行业相关的用例（Use Cases）项目。其中就包含了身份和访问管理（IAM）相关项目。

念念不忘，必有回响。笔者欣喜地发现，NIST竟然有一个身份和访问管理（IAM）资源中心（Identity and Access Management Resource Center），集中展示了NIST关于IAM的项目和路线图。本文特意对此进行介绍。

在本文中，笔者只是简单罗列这些项目和路线图的摘要内容，展示一下概貌。对于更详细具体的内容，可能会有选择性地在后期进行介绍。敬请关注。

关键词：IAM（身份和访问管理，Identity and Access Management）；NCCoE（国家网络安全卓越中心，National Cybersecurity Center of Excellence）；NIST（国家标准与技术研究所）；

本文目录

一、NIST的IAM资源中心

二、项目（Projects）

1）NIST SP 800-63数字身份指南

2）个人身份验证（PIV）

3）NIST生物识别

4）NCCoE 身份和访问管理

5）控制策略测试技术（ACPT和ACRLCS）

6）策略机（PM）与下一代访问控制（NGAC）

三、路线图（Roadmap）

1）NIST SP 800-63-3 数字身份指南

2）FIPS 201 个人身份验证（PIV）

3）NCCoE身份项目

一、NIST的IAM资源中心

身份和访问管理（IAM）是一项基本和关键的网络安全能力。简单地说，NIST专注于基础和应用研究及标准，致力于确保：恰当的人和物，在恰当的时间，有恰当的权限，访问恰当的资源（The right people and things have the right access to the right resources at the right time）。不妨简称为“三个恰当”——恰当的主体、客体、权限。

三个“恰当”（right），有时也被称为三个“任意”（any）。比如美军联合信息环境（JIE）的目标，就曾经是三个“恰当”，现在常称为三个“任意”。但不论被称为三个什么，都表明IAM是实现访问自由（自由性+安全性）的基础。

为了提高IAM的水平，NIST将展开以下工作：

• 进行重点研究，以更好地了解新技术及其对现有标准的影响，以及IAM解决方案的实现；

• 领导制定国家和国际IAM标准、指南、最佳实践、轮廓和框架，以创建一套增强的、可互操作的安全、增强隐私的解决方案，包括物联网（IoT）内的认证和授权；

• 演进其IAM标准、指南和资源；

• 提供示例解决方案，将身份管理和网络安全需求结合起来，以应对特定的业务网络安全挑战。

通过这个IAM资源中心（Identity and Access Management Resource Center），NIST旨在分享其工作成果，以加强解决方案的安全性、隐私性、可用性和互操作性，以满足组织在整个系统生命周期中的IAM需求。

二、项目（Projects）

01

NIST SP800-63数字身份指南

NIST SP 800-63文档集，提供了美国联邦机构实施数字身份服务的技术要求，共四卷：

• SP 800-63-3 数字身份指南（Digital Identity Guidelines）；

• SP 800-63A 注册和身份证明（Enrollment and Identity Proofing）；

• SP 800-63B 认证和生命周期管理（Authentication and Lifecycle Management）；

• SP 800-63C 联合和断言（Federation and Assertions）。

该出版物为指定的保障级别（AL，assurance level）的数字身份管理，提供了安全和隐私控制，包括身份证明（identity proofing）、认证和认证器的使用、身份联合。SP 800-63-3为身份管理活动的风险评估和适当的保障级别和控制措施的选择，建立了基于风险的过程。组织可以灵活地选择适当的保障级别，以满足其特定需求。

02

个人身份验证（PIV）

目前，近500万张PIV（Personal Identity Verification）卡，为联邦IT资源和设施提供了多因素身份验证。这些PIV卡背后的标准是FIPS（联邦信息处理标准） 201，标题为“联邦雇员和承包商的个人身份验证”（Personal Identity Verification of Federal Employees and Contractors）。FIPS 201包括用于签发PIV卡的身份证明和注册活动，以及更新、使用、维护PIV卡的生命周期活动。

FIPS 201由多个相关的特别出版物（SP）支持以提供技术细节，以便于跨部门使用该卡。自2005年首次发布以来，本标准经过了两次修订，每一次修订都涉及：

1. 从联邦利益相关者和行业中吸取的经验教训；

2. 适应环境/技术的变化；

3. 与联邦政策保持一致。

如今，该标准补充了对附加认证器的支持，该附加认证器（即派生PIV凭证（Derived PIV Credentials））专门针对缺乏智能卡支持的移动设备。随着FIPS 201第3版的发布，派生PIV认证将扩展到其他平台。

03

NIST生物识别

生物特征识别是对生理特征的测量，例如（但不限于）可用于识别个人的指纹、虹膜图案、面部特征。NIST已经在生物识别领域进行了60多年研究，比如为联邦调查局（FBI）研究指纹技术，以支持执法和取证，可以追溯到上世纪60年代。

NIST的生物识别活动包括：

1. 研究各种生物识别模式：指纹、脸、虹膜、声音、DNA和多模式；

2. 在国家和国际级别制定标准；

3. 技术测试和评估，以引领创新。

04

NCCoE 身份和访问管理

NCCoE（国家网络安全卓越中心）拥有多个与IAM相关的项目：

• 派生PIV凭证（Derived PIV Credentials）：该项目使用联邦PIV标准展示了一个可行的安全平台，该平台利用当前和有效的PIV凭证的身份证明和审查结果，在满足策略准则的同时，通过移动设备实现双因素认证。该项目的适用性超出了联邦用户，还适用于使用了基于智能卡的凭证或其他身份认证方式的商业部门中的移动设备用户，并支持在联邦（PIV）、非联邦关键基础设施（PIV互操作（PIV-interoperable）或PIV-I）、一般商业（PIV兼容（PIV-compatible）或PIV-C）环境中的运行。

• 移动应用程序单点登录：该项目的重点是帮助公共安全救急人员（Public Safety First Responders）通过移动设备和应用程序，高效、安全地访问任务数据。该项目为本机和web应用程序开发了多因素认证和移动单点登录的参考设计，同时提高了移动平台、应用程序、身份提供商之间的互操作性，而不考虑在其构建中使用的应用程序开发平台。

• 电子商务的多因素认证：该项目探讨了一种基于风险场景触发多因素认证（MFA）以减少欺诈性网购的方案。在项目的示例实施中，如果超越某些风险因素（与交易相关的上下文数据），可能表明网购会话中欺诈活动的可能性增加，购买者将被要求出示除了用户名/口令之外另一个不同的认证因素。

• 能源部门的IAM：由于许多公用事业运行着分散的由多个部门控制的IAM系统，能源部门寻求NCCoE的帮助，以克服这一遗留结构固有的网络安全挑战。该项目开发了一个示例解决方案，电力公司可以使用该解决方案更安全、更高效地管理对发电、输电、配电所依赖的联网设备和设施的访问。该解决方案演示了一个集中化的IAM平台，它可以使用多种商用产品，为企业内跨越所有竖井的所有用户和用户被授予的访问权限，提供全面综合的视图。

• 基于属性的访问控制（ABAC）：该项目为ABAC系统开发了参考设计。ABAC是一种高级方法，用于管理连接到网络和资产的人员和系统的访问权限，提供了更高的效率、灵活性、可扩展性、安全性。

05

控制策略测试技术

错误的策略、错误的配置、软件实现中的缺陷，都可能导致严重的漏洞。访问控制策略的规范，通常是一个具有挑战性的问题。通常来说，系统的隐私和安全性，会因为访问控制策略的错误配置而受到损害，而不是因为密码原语或协议的失效。

为了解决这个问题，NIST开发了访问控制策略工具（ACPT，Access Control Policy Tool ），它允许用户编写、验证、测试、生成访问控制策略。到2019年，ACPT已被550多个用户下载，并被两家商业公司用作其软件产品的基础。

NIST还研究了访问控制规则逻辑电路模拟（ACRLCS，Access Control Rule Logic Circuit Simulation）技术，该技术使得访问控制策略的作者，能在把导致错误的AC规则添加到策略中时检测到错误，因此可以在添加其他规则（使检测工作更复杂）之前实时执行修复，而不是在策略完成之后，通过追溯规则之间的相互关系进行检查。

06

策略机（PM）与下一代访问控制（NGAC）

为了解决当今访问控制方法的互操作性和策略强制执行问题，NIST开发了一个被称为策略机（PM，Policy Machine）的授权系统的规范和开源参考实现。PM已经从一个概念发展到一个正式的规范，再到一个参考实现和开源发行版本。

PM的设计，支持并符合NIST领导的ANSI/INCITS（美国国家标准协会/国际信息技术标准委员会）标准，标题为“下一代访问控制（NGAC，Next Generation Access Control）”。

PM/NGAC是对传统访问控制的一种根本性的改造，使之成为适合现代、分布式、互联企业的形式。PM/NGAC正被用作越来越多的商业和学术产品的基础，也作为几篇论文的基础。

三、路线图（Roadmap）

美国OMB（管理与预算局）政策备忘录M-19-17，指定商务部（委派NIST）负责发布和维护一个路线图，用于制定和更新与ICAM（身份和访问管理）相关的现有NIST指南。NIST信息技术实验室将在NIST IAM资源中心发布和更新该路线图。这些路线图（参见后文中的表1-7）列出了对以下行动的里程碑活动、按财年季度的活动预计完成日期、解释性说明：

• NIST SP 800-63

NIST SP 800-63第4版

NIST SP 800-63-3实施资源

NIST SP 800-63A和SP800-63B一致性标准

• 个人身份验证（PIV）指南（FIPS 201第3版）
  

• NCCOE身份项目

  
  

01

NIST SP 800-63-3 数字身份指南

1）NIST SP 800-63-4

NIST SP 800-63-3数字身份指南（末尾3表示第3版），于2017年6月出版。联邦机构和行业在吸收、采用和实施4卷集的控制和要求方面，已有超过2年的经验：

• SP 800-63-3 数字身份指南（Digital Identity Guidelines）；

• SP 800-63A 注册和身份证明（Enrollment and Identity Proofing）；

• SP 800-63B 认证和生命周期管理（Authentication and Lifecycle Management）；

• SP 800-63C 联合和断言（Federation and Assertions）。

SP 800-63-3与之前版本的指南（SP 800-63-2）相比，有了重大变化以及先进的组件化、保障级别、认证器、联合、隐私考虑的新方法。

SP 800-63-3的概念、指南、控制要求、基于风险的身份管理方法，受到了业界和国际标准组织的广泛关注、分析和采用。

此外，机构和行业在指南实施方面的经验，使我们识别出需要通过额外指南进行提升的方面，也识别出对实施者具有挑战性的问题。NIST一直在收集机构和行业发现的问题和难题。

关于NIST SP 800-63-4的路线图如下：

里程碑活动	预计完成FYQ	说明
SP 800-63-3勘误表（第2集）的发布。	3/02/2020已发布	勘误表出版物对SP 800-63-3文本进行了编辑性更正。
对SP 800-63-3修订版征求意见。	6/08/2020	公开评论期60天。评论期将持续到2020年8月10日。
评论分析和问题发布到GitHub。	FY 2020 Q4
在GitHub上的问题讨论	FY 2021 Q1-2
关于SP 800-63-4问题的NIST研讨会。	FY 2021 Q1-2	根据需要
草案SP 800-63-4的公开预览	FY 2021 Q3	根据需要
公开预览草案的评论分析和在GitHub上的问题张贴和讨论。	FY 2021 Q4	根据需要
SP 800-63-4草案的发布。	FY 2022 Q1
SP 800-63-4最终版的发布。	FY 2022 Q3	基于SP 800-63-3修订版的实际进度的里程碑和预计时间表。

表1-NIST SP 800-63-4的路线图

2）NIST SP 800-63-3实施资源

NIST SP 800-63-3数字身份指南，是一个伞形出版物，介绍了SP 800-63-3文档集中描述的数字身份模型。它在三个主要领域框定了身份指南：

• 注册和身份证明（SP 800-63A）；

• 认证和生命周期管理（SP 800-63B）；

• 联合和断言（SP 800-63C）。

除了介绍这些领域的详细指南外，SP 800-63-3还讨论了为a选择适当的身份保证级别（IAL）、身份验证保证级别（AAL）和联合保证级别（FAL）所涉及的因素给定的应用程序。

除了介绍这些领域的详细指南外，SP 800-63-3还讨论了为给定应用程序选择适当的身份保障级别（IAL）、认证保障级别（AAL）、联合保障级别（FAL）所涉及的因素。

这些实施资源旨在作为信息性实施指南，而非规范性。这些实施资源为SP 800-63-3提供了三部分的指南：A部分涉及SP 800-63A，B部分涉及SP 800-63B，C部分涉及SP 800-63C。

关于NIST SP 800-63-3实施资源的路线图如下：

里程碑活动	预计完成FYQ	说明
在NIST IAM资源中心发布SP 800-63A、SP 800-63B和SP 800-63C的实施资源。	2020年7月1日	如有任何意见、问题和请求，可提交给IAM资源中心。
对SP 800-63-3实施资源的更新。	持续的	该资源将作为SP 800-63-3的持续性资源，并将定期更新。

表2-NIST SP 800-63-3实施资源的路线图

3）NIST SP 800-63-3一致性标准

根据OMB备忘录M-19-17，一致性标准（Conformance Criteria）提供了NIST SP 800-63A（注册与身份证明）和SP 800-63B（认证和生命周期管理）中包含的所有要求和控制的非规范性的信息性指南，适用于保障级别IAL2、IAL3、AAL2、AAL3。整套一致性标准旨在为联邦机构和其他组织提供非规范性补充指南，以促进实施和评估。

NIST SP 800-63-3一致性标准的路线图如下：

里程碑活动	预计完成FYQ	说明
在NIST IAM资源中心发布处于保障级别IAL2和IAL3的SP 800-63A和处于保障级别AAL2和AAL3的SP 800-63B一致性标准。	2020年6月	如有任何意见、问题和请求，可提交至IAM中心。
对SP 800-63A和800-63B一致性标准的更新。	持续的	该资源将作为SP 800-63-3的持续性资源，并定期更新。
在NIST IAM资源中心发布所有三个保障级别的SP 800-63C一致性标准。	FY 2020 Q4	如有任何意见、问题和请求，可提交至IAM中心。

表3-NIST SP 800-63-3一致性标准的路线图

02

FIPS 201 个人身份验证（PIV）

FIPS 201 联邦雇员和承包商的个人身份验证（PIV），目前正在进行第三次修订。修订的目标是：

1）纳入联邦部门和机构的新的或不断变化的业务要求；

2）适应环境/技术的变化；

3）与OMB M-19-17保持一致。

FIPS 201的变化，包括将PIV认证器集扩展到当前集和智能卡形式因素之外。FIPS 201通过联合，解决了这些新型PIV认证器（即派生PIV凭证）的跨机构使用。修订版还旨在通过启用远程身份证明，来促进PIV卡的发行。这些变化都与OMB M-19-17保持密切一致。

FIPS 201的路线图如下：

里程碑活动	预计FYQ完成	说明
与联邦干系人的业务需求会议	2019年第一季度	干系人的反馈已纳入FIPS 201-3
与HSPD-12 cre团队、GSA、DoD、ISC、OPM、OMB的协调	正在进行的活动	在HSPD-12下具有角色和责任的干系人提供反馈/内容
FRN公布并发布FIPS 201-3公开意见稿	2020年第3季度	90天公开评论期——截止2020年第4季度。
公开研讨会介绍和讨论FIPS 201-3草案	FY 2020 Q3	意见提交
评论解析	FY2021 Q2-	注释解析的长度取决于评论数量
FRN公布并发布最终版FIPS 201-3	FY2021 Q2
FIPS 201相关的SP出版物的更新或新SP的开发 如SP 800-157 R1、SP       800-79 R3 等.	FY2022 Q2	2020年第4季度开始的初步工作——在审查和分析FIPS 201-3评论之后。在FIPS 201-3标准发布后发布最终版

表4-FIPS 201的路线图

03

NCCoE身份项目

NCCoE有3个相关的身份项目。

1）SP 1800-12 派生个人身份验证（PIV）凭证

2005年，个人身份验证（PIV）凭证的重点是：通过台式机和笔记本电脑等传统计算设备进行身份验证，PIV卡将通过集成智能卡读卡器提供通用身份验证。当今，没有集成智能卡读卡器的移动设备激增，使得PIV凭证和认证复杂化。

派生个人身份验证（PIV）凭证帮助组织对使用移动设备并需要安全访问信息系统和应用程序的个人，进行身份验证。

该项目展示了一个基于联邦PIV标准的可行的安全平台，该平台利用当前有效的PIV凭证的身份证明和审查结果，在满足政策准则的同时，通过移动设备实现对信息技术系统的双因素认证。虽然PIV计划和NCCoE派生PIV凭证项目主要针对联邦部门的需求，但两者都与商业部门中使用智能卡凭证或其他身份验证手段的移动设备用户相关，并支持在联邦（PIV）、非联邦关键基础设施（PIV互操作或PIV-I）、通用商业（PIV兼容或PIV-C）环境中的运行。

NCCoE于2019年8月27日发布了NIST网络安全实践指南SP 1800-12（派生个人身份验证（PIV）凭证）的最终版本。

里程碑活动	预计FYQ完成	说明
SP 1800-12的最终出版物	FY 2019 Q4

表5-SP 1800-12的路线图

2）SP 1800-13 移动应用单点登录：改进公共安全急救员的认证

按需访问公共安全数据，对于确保公共安全和急救（PSFR）人员能够在紧急情况下提供适当的护理和支持至关重要。这一要求使得PSFR人员必须严重依赖移动平台，PSFR人员可能会使用移动平台来访问敏感信息，如个人识别信息、执法敏感信息、受保护的健康信息。然而，复杂的认证要求，会阻碍提供紧急服务的进程，任何延迟哪怕是几秒钟，都可能成为生死攸关的问题。

NCCoE与NIST公共安全通信研究实验室和行业利益相关者合作，旨在帮助PSFR人员通过移动设备和应用程序，高效和安全地访问任务数据。本实践指南描述了针对本机和web应用程序的多因素认证和移动单点登录的参考设计，同时提高了移动平台、应用程序、身份提供商之间的互操作性，而不必考虑在其构建中使用的应用程序开发平台。该NCCoE实践指南详细说明了NCCoE和技术提供商之间的协作努力，以演示一种使用商用和开源产品的基于标准的方法。

NCCoE最近发布了NIST网络安全实践指南SP 1800-13的第二稿（移动应用单点登录：改进公共安全急救员的认证）。应公共安全界的要求，该修订版指南进行了更新，纳入了iOS v12。

SP 1800-13的路线图如下：

里程碑活动	预计完成FYQ	说明
1800-13的最终出版物	FY 2020 Q3

表6-SP 1800-13的路线图

3）SP 1800-17 电子商务的多因素认证

智能芯片信用卡和终端协同工作，以保护店内支付。这类店内安全的进步在2015年被引入，但导致了拥有被盗信用卡数据的恶意行为体在网上实施支付卡在线欺诈。

由于在线零售商无法充分利用改进后的信用卡技术带来的所有好处，他们应该考虑实施更强大的认证，以降低电子商务欺诈的风险。

NCCoE与零售业的利益相关者合作，发布了一份实践指南，探讨了如何基于风险的场景来触发多因素认证（MFA）的使用，以帮助减少欺诈性网上购物。在项目的示例实现中，一旦某些风险因素（与交易相关的上下文数据）被越界，即可能表明在线购物会话中欺诈活动的可能性增加，则除了用户名和口令之外，还会提示购买者提供另一个不同的认证因素。

NCCoE于2019年7月30日发布了NIST SP 1800-17（电子商务的多因素认证）的最终版本。

里程碑活动	预计完成FYQ	说明
SP 1800-17的最终出版物	FY 2019 Q4

表7-SP 1800-17的路线图

（本篇完）

文章来源：网络安全观