ISO/IEC 29180 — 移动标识 — 安全框架

1. 移动标识安全架构

ISO/IEC 29180 为移动标识系统定义了全面的安全框架，涵盖整个标识生命周期的威胁：注册、凭证颁发、验证、存储和撤销。该框架建立在六个安全支柱之上：实体认证、数据机密性、完整性保护、不可否认性、隐私保护和可用性保证。每个支柱映射到标识系统必须实现的特定控制目标。

在设计移动标识安全系统时，应用”纵深防御”原则：任何单一控制措施都不应单独负责安全。结合密码学认证（你所拥有的）、生物特征验证（你是谁）和行为分析（你做什么）实现稳健的多层保护。

29180 中的威胁模型将攻击者分为三个级别：级别 1（使用商用硬件的普通攻击者）、级别 2（拥有中等资源的熟练攻击者）和级别 3（拥有先进资源的强大对手）。每个级别对应递增的安全要求。例如，级别 1 可以使用基于 PIN 的保护，而级别 3 需要具有防篡改机制的硬件加密模块。

该标准强制要求三层分级密钥管理结构：根密钥权威（离线、硬件安全模块）、域密钥服务器（在线、分发会话密钥）和设备级密钥存储（安全元件或 TEE）。密钥派生遵循 NIST SP 800-108 建议，使用计数器模式 KDF 和上下文绑定，以防止跨域密钥重用。

一个常见陷阱是对加密和认证使用相同的密码学密钥。ISO/IEC 29180 明确禁止这种做法。始终对加密（AES-GCM）和认证（HMAC）操作使用独立的密钥。密钥分离限制了一个密钥被攻破时的爆破半径。

协议层规定了两项强制安全交换：注册握手（在设备和标识代理之间建立初始信任）和验证握手（为交易证明身份）。两者都使用临时 Diffie-Hellman（ECDHE）实现前向保密，并基于证书的代理认证。该标准还定义了使用预共享密钥（PSK）的会话恢复机制，以减少重复验证请求的延迟。

ISO/IEC 29180 高度重视隐私保护，纳入了 ISO/IEC 29100（隐私框架）和 GDPR 要求的理念。该标准引入了”最小披露令牌”的概念——这是一种密码学构造，允许用户证明特定属性（如”年满 18 岁”）而不泄露其完整身份。这种选择性披露能力对于遵守数据最小化法规至关重要。

在法规合规要求最小化数据收集的场景中，实施匿名凭证方案（如 CL 签名或 Idemix）。这些方案允许用户证明拥有属性而不泄露任何身份信息，同时实现安全和隐私目标。

该标准要求使用防篡改链进行全面审计日志记录。每条审计条目必须包括：时间戳、请求者身份、执行的操作、结果（成功/失败）以及链接到前一条目的密码学哈希。审计日志必须至少保留 90 天（当地法规要求更长的除外），仅限授权安全人员访问。

移动标识系统是侧信道攻击的诱人目标。实现恒定时间密码学操作以防止时序攻击，并确保嵌入式实现中包含功耗分析对策。该标准在附录 C 中提供了关于侧信道缓解技术的具体指导。

问：29180 要求硬件安全吗？
答：这取决于威胁级别。级别 1 和大多数级别 2 应用可以使用基于软件的安全性和操作系统级沙箱。级别 3 应用必须使用硬件安全模块或可信执行环境。

问：29180 如何处理生物特征数据保护？
答：该标准引用 ISO/IEC 24745 进行生物特征信息保护，要求生物特征数据以可取消形式（使用不可逆函数转换）而非原始模板形式存储。

问：推荐的密钥轮换周期是多少？
答：认证密钥每 90 天轮换一次，加密密钥每 180 天轮换一次，根密钥每 2 年轮换一次。该标准提供基于风险的模型，用于根据威胁级别评估调整这些周期。

问：29180 能否与 5G 网络安全配合使用？
答：可以。该框架旨在补充 3GPP 5G 安全架构，填补 5G 网络层安全未涉及的应用层移动标识相关空白。