GM/T 0068-2019開放的第三方資源授權(quán)協(xié)議框架

ICS35040

L80.

中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)

GM/T0068—2019

開放的第三方資源授權(quán)協(xié)議框架

Openthirdpartyresourceauthorizationprotocolframework

2019-07-12發(fā)布2019-07-12實(shí)施

國家密碼管理局發(fā)布

GM/T0068—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

概述

5………………………3

協(xié)議流程

5.1……………3

協(xié)議通道要求

5.2………………………4

協(xié)議端點(diǎn)

5.3……………4

第三方應(yīng)用程序及安全要求

6……………6

第三方應(yīng)用程序類型

6.1………………6

第三方應(yīng)用程序標(biāo)識符

6.2……………7

第三方應(yīng)用程序注冊要求

6.3…………7

第三方應(yīng)用程序身份鑒別

6.4…………7

授權(quán)流程

7…………………8

授權(quán)許可

7.1……………8

授權(quán)碼許可流程

7.2……………………9

隱式許可流程

7.3………………………12

資源擁有者口令憑據(jù)許可流程

7.4……………………15

第三方應(yīng)用程序身份憑據(jù)許可流程

7.5………………17

令牌

8………………………18

令牌類型

8.1……………18

訪問令牌發(fā)放

8.2………………………20

訪問令牌刷新

8.3………………………21

受保護(hù)資源訪問

9…………………………21

受保護(hù)資源訪問流程

9.1………………21

成功響應(yīng)

9.2……………22

出錯響應(yīng)

9.3……………22

附錄資料性附錄協(xié)議參數(shù)說明

A()……………………23

參考文獻(xiàn)

……………………25

Ⅰ

GM/T0068—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)參考國際互聯(lián)網(wǎng)工程任務(wù)組簡稱的

(TheInternetEngineeringTaskForce,IETF)RFC

文件進(jìn)行制定按照我國相關(guān)密碼政策和法規(guī)結(jié)合

6749《TheOAuth2.0AuthorizationFramework》。,

我國實(shí)際應(yīng)用需求及產(chǎn)品生產(chǎn)廠商的實(shí)踐經(jīng)驗本標(biāo)準(zhǔn)在第三方應(yīng)用程序身份鑒別部分增加了基于

,

國產(chǎn)密碼算法的數(shù)字證書鑒別方法在授權(quán)協(xié)議中的數(shù)據(jù)通信安全部分采用密碼行業(yè)標(biāo)準(zhǔn)

SM2,GM/T

技術(shù)規(guī)范中定義的安全通信協(xié)議取代協(xié)議在訪問令牌的保護(hù)部分增

0024—2014《SSLVPN》TLS,

加了采用等國家密碼管理局認(rèn)可的算法對其進(jìn)行簽名和加密的規(guī)定另外本標(biāo)準(zhǔn)去

SM2、SM3、SM4。,

除了文件中的安全考慮部分將安全考慮部分涉及的應(yīng)采用的安全措施具體化到本標(biāo)準(zhǔn)的各

RFC6749,

個章條包括協(xié)議中傳輸?shù)南⒍它c(diǎn)發(fā)放的令牌第三方應(yīng)用程序身份鑒別等部分

,、、、。

本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

。

本標(biāo)準(zhǔn)的主要起草單位中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心北京數(shù)字認(rèn)證股份有限公司

:、、

中國科學(xué)院軟件研究所中國電子技術(shù)標(biāo)準(zhǔn)化研究院北京信安世紀(jì)科技股份有限公司普華誠信信息

、、、

技術(shù)有限公司

。

本標(biāo)準(zhǔn)主要起草人劉麗敏李敏王鑫江偉玉高能劉宗斌荊繼武林雪焰張立武汪宗斌

:、、、、、、、、、、

彭佳屠晨陽劉澤藝錢文飛范科峰郝春亮梁佐泉

、、、、、、。

Ⅲ

GM/T0068—2019

引言

在提供了資源互訪接口的開放信息系統(tǒng)中利用桌面手機(jī)或其他智能設(shè)備應(yīng)用程序?qū)崿F(xiàn)互

,Web、、

聯(lián)已成為常態(tài)為了實(shí)現(xiàn)信息資源共享業(yè)務(wù)合作用戶可利用某個安全域中的應(yīng)用程序被稱為第三

。、,(

方應(yīng)用程序訪問另一個安全域中受保護(hù)的資源為了確保受保護(hù)的資源只被資源擁有者許可的實(shí)體

)。

訪問需要對實(shí)體進(jìn)行鑒別與授權(quán)然而在傳統(tǒng)的授權(quán)模型中資源擁有者通常需要將其身份憑證共

,。,,

享給訪問者這種方式帶來了諸多安全隱患本標(biāo)準(zhǔn)引入授權(quán)層將第三方應(yīng)用程序與資源擁有者的角

,。,

色進(jìn)行分離在資源擁有者的授權(quán)下授權(quán)實(shí)體向第三方應(yīng)用程序發(fā)放不同于身份憑據(jù)的令牌方式實(shí)

,,,

現(xiàn)開放的第三方資源授權(quán)

。

Ⅳ

GM/T0068—2019

開放的第三方資源授權(quán)協(xié)議框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了第三方資源授權(quán)協(xié)議的流程不同類型的授權(quán)許可協(xié)議各端點(diǎn)的功能要求以及系統(tǒng)

、、

實(shí)體之間傳遞消息的格式和參數(shù)要求等

。

本標(biāo)準(zhǔn)適用于在互聯(lián)網(wǎng)跨安全域應(yīng)用場景中身份鑒別與授權(quán)服務(wù)的開發(fā)測試評估和采購

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分采用數(shù)字簽名技術(shù)的機(jī)制

GB/T15843.3—20083:

信息安全技術(shù)密碼雜湊算法

GB/T32905—2016SM3

信息安全技術(shù)分組密碼算法

GB/T32907—2016SM4

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分?jǐn)?shù)字簽名算法

GB/T32918.2—2016SM22:

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分公鑰加密算法

GB/T32918.4—2016SM24:

技術(shù)規(guī)范

GM/T0024—2014SSLVPN

中基于表單的文件上傳

RFC1867HTML(Form-basedFileUploadinHTML)

超文本傳輸協(xié)議

RFC2616HTTP1.1(HypertextTransferProtocol—HTTP/1.1)

鑒別基本訪問鑒別和摘要訪問鑒別

RFC2617HTTP:(HTTPAuthentication:BasicandDigest

AccessAuthentication)

統(tǒng)一資源標(biāo)識符通用語法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)

授權(quán)框