2025基于互联网的可信数字身份服务技术要求.docx

基于互联网的可信数字身份服务技术要求

Technicalrequirementsforinternet-basedtrusteddigitalidentityservice

目 次

范围 1

规范性引用文件 1

术语和定义、缩略语 1

术语和定义 1

略缩语 2

可信数字身份服务基础架构和分级分类 3

基础架构 3

可信数字身份的分类分级 4

功能要求 5

身份生命周期管理服务 5

身份授权服务 8

身份数据服务 9

身份保障服务 9

身份开放服务 11

性能要求 11

概述 11

可用性要求 11

可扩展性要求 12

部署兼容要求 12

安全要求 12

业务风险与缓解措施 12

网络与系统安全要求 12

应用集成要求 13

外部支撑系统集成 13

第三方厂商及开发者集成 13

互操作性要求 14

身份标识的互认互通 14

信任体系的互认互通 14

附录A（资料性）可信数字身份保证级别服务参考 15

参考文献 17

I

PAGE

PAGE11

II

II

基于互联网的可信数字身份服务技术要求

范围

本文件规定了基于互联网的可信数字身份服务的技术要求，包含了可信数字身份的基础架构和分级分类、功能要求、性能要求、应用集成要求及互操作性要求等内容。

本文件适用于规范互联网环境下，面向自然人、法人、设备等实体的可信数字身份服务的设计、集成和应

用。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T35273—2020信息安全技术个人信息安全规范

GB/T35291—2017信息安全技术智能密码钥匙应用接口规范粤港电子签名证书互认证书策略v1.1

粤港澳电子签名证书互认证书策略v1.0

ISO/IEC9798-2IT安全技术—实体认证—第2部分：使用认证加密的机制（ITSecuritytechniques

—Entityauthentication—Part2:Mechanismsusingauthenticatedencryption）

ISO/IEC9798-3IT安全技术—实体认证.第3部分—使用数字签名技术的机制（ITSecuritytechniques—Entityauthentication—Part3:Mechanismsusingdigitalsignaturetechniques）

ITU-TX.509信息技术-开放系统互连-目录：公钥和属性证书框架（Informationtechnology–

OpenSystemsInterconnection–TheDirectory:Public-keyandattributecertificateframeworks）

ITU-TX.1141安全断言标记语言2.0（SecurityAssertionMarkupLanguageSAML2.0）

PKCS#11：加密令牌接口标准（CryptographicTokenInterfaceStandard）

RFC6749授权框架2.0（TheOAuth2.0AuthorizationFramework）

RFC6750授权框架2.0：承载令牌应用（TheOAuth2.0AuthorizationFramework:BearerTokenUsage）

RFC8628设备授权授予2.0（OAuth2.0DeviceAuthorizationGrant）

术语和定义、缩略语

术语和定义

下列术语和定义适用于本文件。

3.1.1

实体entity

可对系统或服务发起访问或请求的对象。

注：如自然人、法人、设备等。用户指代自然人、法人。

3.1.2

PAGE

PAGE3

PAGE

PAGE10

数字身份digitalidentity

实体在互联网中的虚拟身份表示,包括实体的标识和相关属性。

3.1.3

身份服务提供商identityprovider

为实体提供身份信息管理并提供身份鉴别服务的组织。

3.1.4

依赖方relyingparty

依赖于身份服务提供商提供的关于访问实体的鉴别结果，对访问实体所使用的资源或系统进行授权的实体。

3.1.5

可信数字身份trusteddigitalidentity

身份服务提供商以所期望的和所声称的方式，为依赖方提供可信赖的实体数字身份。

3.1.6

身份鉴别identityauthenticat