Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC TR 29123 —— 用户识别的保护轮廓模块要求
IT 系统中稳健用户识别的保护轮廓模块规范
ISO/IEC TR 29123 标准概述
ISO/IEC TR 29123 针对现代信息技术系统中的一项基本安全需求:访问受保护资源的用户的可靠识别。该技术报告规定了保护轮廓模块的要求,这些模块定义了用户识别机制的安全功能和保证要求。保护轮廓是通用准则框架(ISO/IEC 15408)定义的概念,提供了一种独立于具体产品实现来指定安全需求的标准化方式。通过专门聚焦于用户识别,ISO/IEC TR 29123 使开发者和评估者能够跨不同产品系统一致地解决这一关键安全功能。
随着数字服务、云计算和移动应用的普及,稳健用户识别的重要性呈指数级增长。薄弱的识别机制经常在安全漏洞中被利用,导致未授权访问、数据泄露和身份盗窃。ISO/IEC TR 29123 提供了一种结构化的方法来规范评估识别机制,涵盖传统的基于密码的系统、多因素认证、生物特征验证和智能卡识别。该标准充当了高层安全策略与具体实现要求之间的桥梁,是安全架构师、产品开发者和认证实验室的重要参考资料。
根据 OWASP 和 ENISA 的威胁报告,薄弱的用户识别机制是最常被利用的十大漏洞之一。实施符合 ISO/IEC TR 29123 的保护轮廓模块可显著降低基于凭证的攻击风险,包括暴力破解、凭证填充和钓鱼攻击。
核心保护轮廓模块要求
ISO/IEC TR 29123 围绕几个关键功能领域组织其要求,共同确保全面的用户识别。每个领域针对识别过程的特定方面,定义合规产品必须满足的安全功能要求。
认证机制要求
该标准定义了多种认证机制的要求,包括基于知识的认证(密码、PIN码)、基于持有的认证(智能卡、硬件令牌)和基于固有特征的认证(生物识别)。对于每种机制类型,保护轮廓模块规定了最低安全参数。例如,基于密码的机制必须强制执行最小长度和复杂度要求,在多次尝试失败后支持账户锁定,并使用批准的加密算法保护凭证存储。多因素认证模块要求至少两个不同的因素被独立验证,其中一个因素的失败不应影响其他因素的安全性。该标准还涉及时间方面的问题,包括会话超时、重新认证触发条件和并发会话控制。
生物特征模板保护是不容妥协的。与密码不同,生物特征特征与个人永久关联。如果生物特征模板数据库被入侵,受影响的个人无法简单地’重置’他们的指纹或虹膜模式。始终使用 ISO/IEC 24745 中规定的模糊提取器或可取消生物特征等模板保护方案。
工程实施见解
实施符合 ISO/IEC TR 29123 的保护轮廓模块需要将安全机制仔细集成到系统架构中。关键的工程挑战之一是在安全强度和可用性之间取得适当平衡。过于严格的识别要求可能导致用户受挫并采用不安全的变通方法,而要求不足则使系统容易受到攻击。
| 识别因素 | 安全级别 | 可用性影响 | 部署考虑 |
|---|---|---|---|
| 密码(知识) | 低-中 | 低 | 易于部署;易受钓鱼和凭证填充攻击 |
| SMS OTP(持有) | 中 | 中 | 广泛兼容;易受 SIM 交换攻击 |
| 硬件令牌 | 高 | 中-高 | 需要物理分发;安全性高但成本高 |
| 生物识别(指纹) | 中-高 | 低 | 快速认证;隐私问题和欺骗风险 |
| 多因素(组合) | 非常高 | 中 | 最佳安全态势;需要精心设计的 UX 以提高采用率 |
该标准推荐的一种实用工程方法是纵深防御识别策略。系统不应依赖单一的强机制,而应实施多层识别控制。例如,Web 应用程序可以使用基于密码的认证作为主要机制,辅以设备指纹进行风险评估,并对敏感操作进行升级认证。保护轮廓模块框架通过为每种机制定义可以独立组合评估的模块来支持这种分层方法。
实施符合保护轮廓模块的识别系统的组织报告,账户接管事件减少了 60-80%。定义评估识别机制的结构化方法确保了攻击向量的全面覆盖,同时保持操作可用性。
常见问题
Q: 保护轮廓和 PP-模块有什么区别?
保护轮廓定义了完整产品类别(如防火墙或智能卡)的安全要求。PP-模块如 ISO/IEC TR 29123 所定义,为可跨多个保护轮廓重用的特定安全功能(用户识别)定义要求。这种模块化方法允许将一致的识别要求应用于不同的产品类型,而无需每次都重新定义要求。
保护轮廓定义了完整产品类别(如防火墙或智能卡)的安全要求。PP-模块如 ISO/IEC TR 29123 所定义,为可跨多个保护轮廓重用的特定安全功能(用户识别)定义要求。这种模块化方法允许将一致的识别要求应用于不同的产品类型,而无需每次都重新定义要求。
Q: ISO/IEC TR 29123 与通用准则(ISO/IEC 15408)有什么关系?
ISO/IEC TR 29123 在通用准则框架内运作。它定义了 PP-模块,使用 ISO/IEC 15408 的标准化语言和概念为用户识别指定安全功能要求和安全保证要求。声称符合这些 PP-模块的产品可以由认可的通用准则实验室进行评估。
ISO/IEC TR 29123 在通用准则框架内运作。它定义了 PP-模块,使用 ISO/IEC 15408 的标准化语言和概念为用户识别指定安全功能要求和安全保证要求。声称符合这些 PP-模块的产品可以由认可的通用准则实验室进行评估。
Q: ISO/IEC TR 29123 的 PP-模块可以用于基于云的身份识别系统吗?
可以。该标准定义了技术中立和部署无关的要求。基于云的身份识别系统,包括联合身份提供者和单点登录平台,可以实现符合 PP-模块的机制。云部署的额外考虑因素,如数据驻留、多租户隔离和安全密钥管理,应在整体系统安全架构中解决。
可以。该标准定义了技术中立和部署无关的要求。基于云的身份识别系统,包括联合身份提供者和单点登录平台,可以实现符合 PP-模块的机制。云部署的额外考虑因素,如数据驻留、多租户隔离和安全密钥管理,应在整体系统安全架构中解决。
