GM/T 0069-2019開放的身份鑒別框架

ICS35040

L80.

中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)

GM/T0069—2019

開放的身份鑒別框架

Openidentityauthenticationframework

2019-07-12發(fā)布2019-07-12實施

國家密碼管理局發(fā)布

GM/T0069—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

縮略語

4……………………4

概述

5………………………4

實體要求

6…………………6

身份服務(wù)提供方要求

6.1………………6

依賴方要求

6.2…………………………7

鑒別流程

7…………………8

鑒別流程類型

7.1………………………8

授權(quán)碼鑒別流程

7.2……………………9

隱式鑒別流程

7.3………………………17

混合鑒別流程

7.4………………………19

訪問令牌刷新機制

7.5…………………23

令牌

8………………………24

令牌類型

8.1……………24

令牌

8.2JSON…………………………26

令牌安全保護要求

8.3…………………27

用戶信息訪問

9……………28

聲明的類型

9.1…………………………28

語言和文字聲明

9.2……………………30

用戶信息端點

9.3………………………30

用戶信息請求聲明

9.4…………………31

聲明的穩(wěn)定性和唯一性

9.5……………33

簽名和加密要求

10………………………34

概述

10.1………………34

簽名

10.2………………34

加密

10.3………………35

對稱密鑰的熵

10.4……………………35

簽名和加密的順序

10.5………………35

附錄規(guī)范性附錄規(guī)范性聲明

A()………………………36

附錄資料性附錄身份服務(wù)提供方的基礎(chǔ)配置

B()……………………38

附錄資料性附錄依賴方的注冊信息

C()………………40

參考文獻

……………………42

GM/T0069—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

。

本標(biāo)準(zhǔn)起草單位中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心北京數(shù)字認(rèn)證股份有限公司中國電

:、、

子技術(shù)標(biāo)準(zhǔn)化研究院中國科學(xué)院軟件研究所北京天融信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人高能彭佳劉澤藝?yán)蠲翦X文飛江偉玉劉偉李向鋒劉麗敏屠晨陽張立武

:、、、、、、、、、、、

景鴻理郝春亮

、。

Ⅰ

GM/T0069—2019

引言

互聯(lián)網(wǎng)環(huán)境中用戶使用多個網(wǎng)絡(luò)應(yīng)用已經(jīng)成為常態(tài)身份鑒別技術(shù)呈現(xiàn)出開放性易用性以及互

,。、

操作性的特點本標(biāo)準(zhǔn)提出的身份鑒別框架使得網(wǎng)絡(luò)應(yīng)用可以便捷地使用身份服務(wù)提供方提供的鑒別

。

服務(wù)由身份提供方對用戶進行身份鑒別驗證用戶的身份并在用戶授權(quán)之后可以提供用戶身份相關(guān)

,,,

信息

。

Ⅱ

GM/T0069—2019

開放的身份鑒別框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了依賴方網(wǎng)絡(luò)應(yīng)用或服務(wù)使用身份服務(wù)提供方提供的鑒別功能對終端用戶進行身

()、

份鑒別的協(xié)議框架定義了協(xié)議參與實體的要求鑒別協(xié)議流程用戶信息的訪問要求以及協(xié)議消息的

,、、,

加密和簽名要求等

。

本標(biāo)準(zhǔn)適用于終端用戶訪問網(wǎng)絡(luò)應(yīng)用的場景中用戶身份鑒別服務(wù)的開發(fā)測試評估和采購

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)密碼雜湊算法

GB/T32905—2016SM3

信息安全技術(shù)分組密碼算法

GB/T32907—2016SM4

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分?jǐn)?shù)字簽名算法

GB/T32918.2—2016SM22:

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分公鑰加密算法

GB/T32918.4—2016SM24:

技術(shù)規(guī)范

GM/T0024—2014SSLVPN

開放的第三方資源授權(quán)協(xié)議框架

GM/T0068—2019

各種語言中名字的編碼表示第部分編碼

ISO639-11:Alpha-2(Codesfortherepresentation

ofnamesoflanguages—Part1:Alpha-2code)

各個國家的名字和名字細(xì)分的編碼表示第部分國家編碼

ISO3166-11:(Codesfortherepre-

sentationofnamesofcountriesandtheirsubdivisions—Part1:Countrycodes)

數(shù)據(jù)元素與交換格式信息交換日期與時間格式

ISO8601:2004(Dataelementsandinter-

changeformats—Informationinterchange—Representationofdatesandtimes)

信息技術(shù)實體鑒別保障框架

ISO/IEC29115:2013(Informationtechnology—Entityauthenti-

cationassuranceframework)

中基于表單的文件上傳

RFC1867HTML(Form-basedFileUploadinHTML)

電話號碼的電話

RFC3966URI(ThetelURIforTelephoneNumbers)

統(tǒng)一資源標(biāo)識符通用語法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)