Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27070:2021 — 信任框架建立要求
为身份管理和数字服务建立信任框架的要求
ISO/IEC 27070:2021 规定了建立信任框架的要求,这些框架支持跨组织和国家边界的可互操作身份管理和安全数字服务。信任框架是一套标准化的规则、政策和技术规范,定义了数字生态系统中的各方如何建立和维护信任关系——涵盖身份验证、认证、授权和不可否认性。
信任框架是数字经济的隐形基础设施。每次您使用数字身份证访问政府服务、通过联合身份(例如”使用 Google 登录”)进行身份验证,或电子签署文件时,都有信任框架在幕后运行。ISO/IEC 27070 提供了以安全、可互操作和可审计方式构建这些框架的蓝图。
1. 信任框架组件与架构
ISO/IEC 27070 将信任框架定义为包含四个基本组件:信任锚、信任策略、信任机制和信任评估程序。这些组件共同创造一个连贯的信任环境。
| 组件 | 描述 | 实施示例 |
|---|---|---|
| 信任锚 | 所有信任关系衍生自的信任根 | 根 CA 证书、政府颁发的信任锚注册中心、基于区块链的信任根 |
| 信任策略 | 建立、维护和终止信任的规则和准则 | 证书策略(CP)、认证实践声明(CPS)、身份保证框架 |
| 信任机制 | 实施信任策略的技术协议和程序 | PKI/X.509 证书、SAML 断言、OIDC 令牌、FIDO2 认证、数字签名 |
| 信任评估 | 验证信任策略符合性的审计和评估程序 | CA 的 WebTrust、ISO/IEC 27001 认证、特定方案的符合性评估 |
该架构是层次化设计的。信任锚由框架管理机构(通常是政府机构或行业联盟)建立,该机构定义参与者必须遵守的策略。信任机制在技术层面实施这些策略,评估程序确保持续合规。框架中的参与者依靠信任锚来验证所有交互的真实性和完整性。
最成功的信任框架——如爱沙尼亚的 eID 计划、印度的 Aadhaar 认证框架和欧盟 eIDAS 法规——都遵循了 ISO/IEC 27070 中定义的架构模式:强大的信任锚、明确定义的保证级别、可审计的参与者要求和技术互操作性标准。
2. 身份保证级别与验证要求
ISO/IEC 27070 定义了多个身份保证级别,每个级别对应不同类型的数字服务和风险概况。保证级别决定了身份验证的严格程度、认证的强度以及所需的持续监控水平。
| 保证级别 | 身份验证要求 | 典型用例 | 认证方式 |
|---|---|---|---|
| 1 级 — 低 | 自我声明身份;无需验证真实世界身份 | 公共论坛注册、新闻通讯订阅、低价值电子商务 | 单因素(密码或 PIN) |
| 2 级 — 中 | 使用政府颁发的身份证件远程验证;自动文档验证 | 网上银行、电子政务服务、专业执照门户 | 双因素认证(密码 + 短信验证码) |
| 3 级 — 高 | 面对面或受监督的远程身份验证(含生物识别);对国家数据库进行背景核查 | 医疗服务提供者访问、法律文件签署、高价值金融交易 | 多因素认证(硬件令牌或生物识别 FIDO2、智能卡) |
| 4 级 — 非常高 | 授权官员当面身份验证;生物识别登记;持续背景审查 | 国家安全系统、关键基础设施访问、机密信息处理 | 多因素硬件密码模块;关键操作需要面对面验证 |
对于设计身份系统的工程团队,保证级别框架为系统设计提供了明确的要求。例如,2 级系统需要文档验证能力(护照、驾照或身份证的自动验证)、生物识别采集的活体检测以及与国家身份注册中心的集成。3 级系统额外需要面对面或由训练有素操作员监督的远程注册。
信任框架设计中的一个常见工程陷阱是定义保证级别时未考虑用户体验影响。需要面对面访问的高保证级别身份验证产生了摩擦,驱使用户远离系统。ISO/IEC 27070 鼓励设计梯度保证——允许用户从较低级别开始,随着与服务的关深入逐步升级。
3. 互操作性与跨框架信任
ISO/IEC 27070 的一个关键目标是实现不同信任框架之间的互操作性。该标准提供了信任框架发现、策略映射和相互认可的要求。这对于跨境数字服务至关重要——在一个框架下认证的用户必须被在另一个框架下运行的服务所识别。
该标准涉及多种互操作性机制:
- 策略映射:两个信任框架比较其保证级别、身份验证要求和技术标准以建立等效性的过程。例如,将欧盟 eIDAS “实质性”级别映射到 ISO/IEC 27070 的 2 级。
- 信任锚交换:信任锚(通常是根 CA 证书)在框架之间交换和交叉认证的技术机制,实现跨域信任链。
- 属性联合:身份属性(姓名、出生日期、授权角色)使用标准化协议(如 SAML、OIDC 或 OAuth)在信任域之间安全传输的能力。
- 审计相互认可:框架之间同意接受彼此的审计结果,避免在多个司法管辖区运营的组织进行重复评估。
该标准强调信任框架互操作性既是法律和治理挑战,也是技术挑战。框架管理机构之间的协议必须解决责任分配、数据保护合规、争议解决和终止条件。ISO/IEC 27070 为这些协议提供了模板要求。
4. 常见问题解答
问:ISO/IEC 27070 与 eIDAS 法规有何关系?
答:ISO/IEC 27070 提供了通用信任框架要求,而 eIDAS 是欧盟在单一市场中实施电子识别和信任服务的特定法规。eIDAS 可以被视为 ISO/IEC 27070 中定义原则的具体实例化。
答:ISO/IEC 27070 提供了通用信任框架要求,而 eIDAS 是欧盟在单一市场中实施电子识别和信任服务的特定法规。eIDAS 可以被视为 ISO/IEC 27070 中定义原则的具体实例化。
问:ISO/IEC 27070 与区块链或去中心化身份有关吗?
答:该标准是技术中立的,可以容纳集中式和去中心化信任模型。对于去中心化身份(DID/可验证凭证),信任锚可以是去中心化账本而不是传统 CA。ISO/IEC 27070 的框架要求——包括治理、保证级别和审计——无论底层信任机制如何都适用。
答:该标准是技术中立的,可以容纳集中式和去中心化信任模型。对于去中心化身份(DID/可验证凭证),信任锚可以是去中心化账本而不是传统 CA。ISO/IEC 27070 的框架要求——包括治理、保证级别和审计——无论底层信任机制如何都适用。
问:组织需要为不同的数字服务分别建立信任框架吗?
答:不一定。一个精心设计的信任框架可以通过分级保证级别支持多项服务。例如,国家 e-ID 框架可以为税务申报提供 2 级认证,为医疗保健访问提供 3 级认证,为公证提供 4 级认证——全部在同一个信任框架内。这比为每个用例运营独立的框架更加高效。
答:不一定。一个精心设计的信任框架可以通过分级保证级别支持多项服务。例如,国家 e-ID 框架可以为税务申报提供 2 级认证,为医疗保健访问提供 3 级认证,为公证提供 4 级认证——全部在同一个信任框架内。这比为每个用例运营独立的框架更加高效。
问:ISO/IEC 27070 如何解决隐私设计问题?
答:该标准包括数据最小化(仅收集交易所需的身份属性)、目的限制(仅将属性用于声明的目的)、用户同意机制和透明度义务的要求。它还建议在不需要完整身份的情况下支持假名认证,在信任和隐私保护之间取得平衡。
答:该标准包括数据最小化(仅收集交易所需的身份属性)、目的限制(仅将属性用于声明的目的)、用户同意机制和透明度义务的要求。它还建议在不需要完整身份的情况下支持假名认证,在信任和隐私保护之间取得平衡。
