家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

「電子的認証に関するガイドライン(SP800-63)」の概要

電子的認証に関するガイドライン(SP800-63)
発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)
発行年月日:2006年4月

原文:https://pages.nist.gov/800-63-3/
和訳(IPA):https://www.ipa.go.jp/files/000025342.pdf

 

概要

NIST SP800 63は認証に関するガイドラインです。SP800 63は以下の3つが含まれています。

SP800-63の要素

SP800-63 デジタル認証のガイドライン
SP800-63A 登録プロセス、身元確認=ユーザ身元確認の確からしさ
SP800-63B 認証とライフサイクル管理=ユーザ認証の確からしさ
SP800-63C フェデレーションとアサーション=連携方法の確からしさ

 

それぞれのガイドラインのAbstractを以下に記載します。
(Google翻訳です。抜粋。)

 

SP800-63

このガイドラインは、オープンネットワークを介して政府のITシステムとやり取りするユーザー(身元証明およびユーザー(従業員、請負業者、個人など)の認証)を対象としています。それらは、身元証明、登録、オーセンティケータ、管理プロセス、認証プロトコル、フェデレーション、および関連するアサーションの各分野における技術的要件を定義しています。

SP800-63では、アイデンティティ保証レベル(LOA:Levels of Assurance)を以下の3つの要素に分類しています。

  • IAL(Identity Assurance Level)・・・SP800-63A
  • AAL(Authenticator Assurance Level) ・・・SP800-63B
  • FAL(Federation Assurance Level)・・・SP800-63C

SP800-63A

このガイドラインは、デジタル認証で使用するためのIDの登録と検証に焦点を当てています。これの中心となるのが、身元証明と呼ばれるプロセスで、申請者は自分自身を確実に識別しているクレデンシャルサービスプロバイダ(CSP)に証拠を提供し、
それによってCSPは有用な識別保証レベルでその識別を主張できます。このドキュメントは3つのアイデンティティ保証レベルのそれぞれの技術的要件を定義します。

※アカウントの登録申請から登録完了に至るまでのプロセスに関するガイドラインです。

 

SP800-63B

これらのガイドラインは、オープンネットワーク上で政府システムと対話するサブジェクトの認証に焦点を当てており、特定の申請者が以前に認証されたことがある加入者であることを証明します。認証プロセスの結果は、認証を実行しているシステムによってローカルに使用されるか、または連合アイデンティティシステム内の他の場所でアサートされることがあります。この文書は、3つの認証者保証レベルのそれぞれに対する技術的要件を定義しています。

※登録されているアカウントを使用して認証を行い、その結果の正しさを確認するプロセスのガイドラインです。

 

SP800-63C

この文書とその関連文書(SP 800-63、SP 800-63A、およびSP 800-63B)は、フェデレーションIDシステムの実装およびフェデレーションで使用されるアサーションに関する技術的および手続き的なガイドラインを機関に提供します。
このガイドラインでは、フェデレーションIDの使用とIDフェデレーションを実装するためのアサーションの使用に焦点を当てています。
フェデレーションにより、特定の資格情報サービスプロバイダが、認証および(オプションで)加入者属性を多数の別々に管理されている信頼者に提供することができます。同様に、依拠当事者は複数の信用証明書サービスプロバイダを使用することができる。

※フェデレーションに関するガイドライン
※用語「Assertion」:認証されたユーザに関する情報を含んだ署名付きデータ