第三章 國際間數位身分制度之管理規範
第二節 美國 NIST 數位身分指引
隸屬於美國商務部的國家標準技術局(National Institute of Standards and Technology, NIST)負責制定資訊安全的相關標準與規範,在 2004 年首度公布名 為「電子身分驗證指引」(Electronic Authentication Guideline)的 SP 800-63 系列文 件,旨在依聯邦資訊安全管理法 (Federal Information Security Modernization Act,
‧
更名為「數位身分指引」(Digital Identity Guideline),共由主要文件《數位身分 指引》及轄下三個子文件《註冊與身分證明》、《驗證與生命週期管理》及《聯合 與斷言》所組成37。數位身分指引主要是為了實施數位身分服務的機構提供技術層面的要求,該 指引涵蓋的範圍包含身分證明、註冊、身分驗證、管理過程、驗證協議等,並根 據風險的不同來訂定保證水準(Level of assurance),這些機構可以使用此指引作 為其風險評估的一部份,靈活地選擇適合其需求的保證級別38。
貳、內容
最新版本的數位身分指引刪除了原先四種保證等級的概念(LoA1、LoA2、
LoA3、LoA4),而改為身分保證等級(Identity Assurance Level, IAL)、驗證保證 等級(Autheticator Assurance Level, AAL)以及聯盟保證等級(Federation Assurance Level, FAL)。
35 NIST, Special Publication(SP)800-63-3, P. i,
https://www.nist.gov/itl/tig/projects/special-publication-800-63 (last visited July. 23, 2020).
36 3 CFR 13681 - Executive Order 13681 of October 17, 2014. Improving the Security of Consumer Financial Transactions,
https://www.govinfo.gov/content/pkg/CFR-2015-title3-vol1/pdf/CFR-2015-title3-vol1-eo13681.pdf
37 NIST 於 2017 年公布的版本為 SP 800-63-3,轄下三個子文件分別為 SP 800-63A《註冊與身分 證明》(Entrollment & Identify proofing)、SP 800-63B《驗證與生命週期管理》(Authetication &
Lifecycle Management)及 SP 800-63C《聯合與斷言》(Federation & Assertion)。
38 Supra note 35.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
22
IAL 是指身分證明過程中識別個人身分的可靠性;AAL 是指身分驗證過程 中驗證個人身分的可靠性,以及身分憑證(authenticator)與個人身分屬性之間 聯繫的緊密性;FAL 是指聯盟身分管理模式39中,身分提供方(Identity Provider, IdP)提供給身分接受方(Relying Party, RP)有關使用者身分資訊的可靠性40。
來源:FIDO Alliance41
這些類別區分為機構提供了選擇身分解決方案的靈活性,並增強了在任何保 證級別將隱私增強技術作為身分系統基本要素的能力。舉例來說,此指引支持在 使用多因素驗證的情況下,也允許匿名。除此之外,此指引還要求聯盟身分提供 者在探詢資料時能夠支持範圍較大的選項,例如回答一個人是否比特定年齡大,
而不是直接給定整個出生日期,從而鼓勵最大限度地減少身分資訊的傳播。儘管
39 聯盟身分管理模式(Federated Identity Management):不僅能實現跨多個服務提供者間的互通 性需求,還可實現跨多個身分管理系統的互通性需求。這類模式的特點是聯盟內的服務提供方將 協定認可一套技術標準,使用者使用其中一個服務提供方 A 所頒發的身分憑證驗證身份後,該 服務提供方 A 對身分的驗證結果將在聯盟內進行共用,其他服務提供方可直接獲取用戶在 A 中的特定公開資訊及 A 對用戶的身分驗證結果(Open ID),或直接獲取來自用戶的授權,允許 其擁有對 A 身分管理系統中有關使用者資訊的使用權限;陳徽,歐盟與美國電子身份管理立法 比較研究,暨南大學碩士學位論文,2018 年,頁 25。
40 Id.
41 FIDO Alliance, https://www.slideshare.net/FIDOAlliance/nist-80063-guidance-fido-authentication (last visited July. 23, 2020).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
23
許多機構要求對個人進行完全識別,但此指引鼓勵在可能的情況下,甚至在需要 完全識別的情況下,都應以假名的方式存取政府數位服務,從而盡可能地限制蒐 集個資42。
一、身分保證等級(IAL)
身分保證等級
1 僅僅是自我聲稱(Self-asserted)的身分,或被視為是自我聲稱的。
2 需要以遠程(remote)或面對面(in-person)的方式進行身分證明;此 層級要求身分屬性之驗證(verified)程序,已至少符合 SP 800-63A 之 規定。
3 需要以面對面的方式進行身分證明;身分屬性必須由經授權的身分提供 方透過檢查物理文件(如 SP 800-63A 中所述)的方式進行驗證。
來源:NIST43 二、驗證保證等級(AAL)
驗證保證等級
1 對於身分主張者(claimant)控制著一個經註冊的身分憑證有一定程度 的確信。此層級需要使用單因素驗證。成功的驗證需要身分主張者透過 安全的身分驗證協議來證明持有與控制身分憑證。
2 對於身分主張者控制著一個或多個經註冊的身分憑證有高度確信。需要 身分主張者透過安全的身分驗證協議來證明持有與控制兩種不同的驗 證因素。層級 2 及更高層級需要使用被認可的加密技術。
42 Supra note 35, at v.
43 Id. at 10.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
24
3 對於身分主張者控制著一個或多個經註冊的身分憑證有極高的確信。層 級 3 的驗證是基於身分主張者通過加密協議來證明持有密鑰。層級 3 與層級 2 一樣需要使用被認可的加密技術,但層級 3 要求更高,使用的 須 是 更 安 全 的 密 碼 學 身 分 憑 證 以 使 身 分 驗 證 足 以 對 抗 偽 裝 攻 擊
(provides verifier impersonation resistance)。
三、聯盟保證等級(FAL)
聯盟保證等級
1 允許身分接受方(RP)從身分提供方(IdP)獲取用戶的身分斷言(bearer assertion)。身分提供方必須使用被認可的加密方式簽署該身分斷言。
2 附加要求身分提供方所使用的被認可的加密方式,應確保加密的身分斷 言僅能為身分接受方所解密。
3 要求請求身分斷言的用戶(subscriber)出示證據證明其擁有與所請求 之身分斷言本身相關聯的加密密鑰。該身分斷言同樣應經身分提供方使 用被認可的加密方式所簽署,並僅由身分接受方所解密。