面向云计算的零信任体系 第6部分：数字身份安全能力要求.pdf

面向云计算的零信任体系第6部分：数字身份安全能力要求

1范围

本文件规定了数字身份安全能力要求，包括身份管理能力要求、身份认证能力要求、身份风险分

析能力要求、授权和访问控制能力要求、审计管理能力要求、开发与集成管理能力要求和通用能力要

求。

本文件适用于供应商开发、设计和建设基于零信任的数字身份安全管控产品或解决方案。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言

GB/T31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范

3术语、定义和缩略语

3.1术语和定义

GB/T29242-2012和GB/T31504-2015界定的以及下列术语和定义适用于本文件。

3.1.1

访问主体accesssubject

能访问客体的主动实体。

[来源：GB/T29242-2012，3.7]

3.1.2

访问客体accessobject

系统中可供访问的资源。

注：资源如应用、系统、接口、服务、数据等。

3.1.3

授权authorization

根据对主体数字身份信息的评估，确定一个主体是否可以对资源实施指定类型的访问的过程。一

旦某个主体被鉴别，就可能拥有某些类型的访问权限。

[来源：GB/T31504-2015，3.5]

1

3.1.4

数字身份digitalidentity

主体在互联网中的虚拟身份表示，关联了与该主体相关的属性信息，通常由一个账户标识其唯一

性。

[来源：GB/T31504-2015，3.6]

3.1.5

数字身份信息digitalidentityinformation

与数字身份关联的主体相关的属性信息。

[来源：GB/T31504-2015，3.7]

4缩略语

下列缩略语适用于本文件。

ABAC：基于属性的访问控制模型（Attribute-BasedAccessControl）

ACL：访问控制列表（AccessControlList）

AD：活动目录（ActiveDirectories）

AES：高级加密标准（AdvancedEncryptionStandard）

API：应用程序编程接口（ApplicationProgramInterface）

CA：证书授权（CertificateAuthority）

CAS：中央认证服务（CentralAuthenticationService）

DAC：自主访问控制（DiscretionaryAccessControl）

FIDO：线上快速身份验证（FastIdentityOnline）

LDAP：轻量目录访问协议（LightweightDirectoryAccessProtocol）

MAC：强制访问控制模型（MandatoryAccessControl）

PBAC：基于策略的访问控制（Policy-BasedAccessControl）

PKI：公钥基础设施（PublicKeyInfrastructure）

RBAC：基于角色的访问控制（Role-BasedAccessControl）

SAML：安全断言标记语言（SecurityAssertionMarkupLanguage）

SDK：软件开发工具包（SoftwareDevelopmentKit）

SSO：单点登录（SingleSignOn）

5数字身份安全关键要素

数字身份安全关键要素如图1所示，核心组成要素由七部分组成：身份管理、身份认证、授权管理、

审计管理、身份风险分析、开发与集成管理和通用能力。此外，数字身份安全管理系统可从上游系统

同步数字身份信息至下游应用系统，可与第三方系统对接获取数字身份信息，可与安全系统进