ISO/IEC 29115 — 实体认证保证框架

实体认证保证等级框架解析

ISO/IEC 29115提供了一个实体认证保证框架，定义了可跨不同系统、组织和司法管辖区应用的保证等级层次结构。在日益互联的数字世界中，建立对远程实体——无论是用户、设备还是服务——身份的信任是安全的基础。该标准定义了四个认证保证等级（LoA），每个等级规定了身份验证、凭证管理和认证机制所需的严格程度。

ISO/IEC 29115与美国NIST SP 800-63和欧洲eIDAS法规中的认证保证概念保持一致并进行了扩展，提供了一个弥合区域差异的国际统一框架。

该标准区分了认证生命周期的三个不同阶段：身份验证（确认实体身份）、凭证管理（颁发、存储和撤销认证令牌）和认证机制（实际的验证过程）。每个阶段都有独立的保证等级要求，共同决定总体认证保证级别。

四个认证保证等级

第一级：几乎没有信任

LoA 1提供最低的身份保证。不需要身份验证——实体可以自行声明属性。认证通常基于单因素，如密码或PIN码。此等级适用于认证错误后果可忽略的低风险应用，例如访问公共信息或维护论坛资料。

保证等级	身份验证	凭证强度	认证机制	典型用例
LoA 1	无（自我声明）	弱（如简单密码）	单因素	公共论坛、新闻评论
LoA 2	远程验证一份政府身份证件	中等（如强密码+邮件OTP）	双因素（可选）	网银、电子邮件
LoA 3	现场或远程生物识别验证	强（如硬件令牌或证书）	多因素（必需）	医疗记录、企业VPN
LoA 4	现场验证多种身份证件加背景调查	非常强（如FIPS 140-2 3级硬件）	多因素加防篡改硬件	政府机密系统、高价值交易

将认证需求映射到ISO/IEC 29115 LoA等级的组织报告身份相关安全事故减少40%，同时在适当等级下减少了用户摩擦。

第三级和第四级：高保证场景

对于需要高保证的应用，LoA 3要求使用三种认证因素类别中至少两种进行多因素认证：知识因素（你知道的）、拥有因素（你拥有的）和固有因素（你是什么的）。LoA 3的身份验证过程要求现场验证或通过生物识别与政府颁发证件进行远程匹配。在最高等级LoA 4中，所有认证因素必须通过密码学方式绑定到实体身份，通常通过经过认可安全标准验证的硬件密码模块实现。

选择适当的认证保证等级需要在安全要求与用户体验和运营成本之间取得平衡。LoA 4实施的每用户部署和维护成本可能比LoA 2高出5-10倍。

实际实施考量

实施ISO/IEC 29115要求组织对每个系统或交易类型进行风险评估，识别认证失败可能带来的后果。该标准提供了关于如何将风险等级映射到保证等级的详细指南，考虑因素包括受保护资产的价值、欺诈可能性、隐私影响和监管要求。

一个关键的实施考量是凭证生命周期管理。该标准规定了凭证颁发、激活、暂停、撤销和重新发放的要求。例如，在LoA 2及以上等级，凭证必须有明确的过期期限，并且必须存在让用户安全报告丢失或泄露凭证的机制。在LoA 3及以上等级，凭证撤销必须在严格的时间限制内生效，并且所有凭证管理操作必须保存审计日志。

一个常见的实施错误是对所有系统应用相同的认证保证等级。这要么在高风险领域造成安全漏洞，要么在低风险操作中造成不必要的摩擦。ISO/IEC 29115明确支持基于风险的分层认证策略。

常见问题

问：ISO/IEC 29115与FIDO2/WebAuthn有什么关系？
答：FIDO2和WebAuthn是可用于满足ISO/IEC 29115中不同LoA等级认证机制要求的认证协议。该标准是协议无关的，关注的是保证结果而非具体技术。

问：仅使用生物识别能否达到LoA 3或LoA 4？
答：不能。由于生物识别数据的不可撤销特性，该标准不承认生物识别作为唯一的认证因素。生物识别可作为多因素方案中的固有因素，但必须与拥有因素或知识因素结合使用。

问：ISO/IEC 29115是否有合规认证计划？
答：有的。通过认可的合格评定机构可以进行独立的第三方评估。认证通常涉及对身份验证程序、凭证管理系统和认证基础设施的审查。

问：实施典型的LoA 3系统需要多长时间？
答：实施时间因现有基础设施而异。已有PKI和身份管理系统的组织通常需要3-6个月来实现LoA 3，而全新实施可能需要9-18个月。