ICS35040

L80.

中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)

GM/T0069—2019

開(kāi)放的身份鑒別框架

Openidentityauthenticationframework

2019-07-12發(fā)布2019-07-12實(shí)施

國(guó)家密碼管理局發(fā)布

GM/T0069—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………2

縮略語(yǔ)

4……………………4

概述

5………………………4

實(shí)體要求

6…………………6

身份服務(wù)提供方要求

6.1………………6

依賴方要求

6.2…………………………7

鑒別流程

7…………………8

鑒別流程類型

7.1………………………8

授權(quán)碼鑒別流程

7.2……………………9

隱式鑒別流程

7.3………………………17

混合鑒別流程

7.4………………………19

訪問(wèn)令牌刷新機(jī)制

7.5…………………23

令牌

8………………………24

令牌類型

8.1……………24

令牌

8.2JSON…………………………26

令牌安全保護(hù)要求

8.3…………………27

用戶信息訪問(wèn)

9……………28

聲明的類型

9.1…………………………28

語(yǔ)言和文字聲明

9.2……………………30

用戶信息端點(diǎn)

9.3………………………30

用戶信息請(qǐng)求聲明

9.4…………………31

聲明的穩(wěn)定性和唯一性

9.5……………33

簽名和加密要求

10………………………34

概述

10.1………………34

簽名

10.2………………34

加密

10.3………………35

對(duì)稱密鑰的熵

10.4……………………35

簽名和加密的順序

10.5………………35

附錄規(guī)范性附錄規(guī)范性聲明

A()………………………36

附錄資料性附錄身份服務(wù)提供方的基礎(chǔ)配置

B()……………………38

附錄資料性附錄依賴方的注冊(cè)信息

C()………………40

參考文獻(xiàn)

……………………42

GM/T0069—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心北京數(shù)字認(rèn)證股份有限公司中國(guó)電

:、、

子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)科學(xué)院軟件研究所北京天融信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人高能彭佳劉澤藝?yán)蠲翦X文飛江偉玉劉偉李向鋒劉麗敏屠晨陽(yáng)張立武

:、、、、、、、、、、、

景鴻理郝春亮

、。

Ⅰ

GM/T0069—2019

引言

互聯(lián)網(wǎng)環(huán)境中用戶使用多個(gè)網(wǎng)絡(luò)應(yīng)用已經(jīng)成為常態(tài)身份鑒別技術(shù)呈現(xiàn)出開(kāi)放性易用性以及互

,。、

操作性的特點(diǎn)本標(biāo)準(zhǔn)提出的身份鑒別框架使得網(wǎng)絡(luò)應(yīng)用可以便捷地使用身份服務(wù)提供方提供的鑒別

。

服務(wù)由身份提供方對(duì)用戶進(jìn)行身份鑒別驗(yàn)證用戶的身份并在用戶授權(quán)之后可以提供用戶身份相關(guān)

,,,

信息

。

Ⅱ

GM/T0069—2019

開(kāi)放的身份鑒別框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了依賴方網(wǎng)絡(luò)應(yīng)用或服務(wù)使用身份服務(wù)提供方提供的鑒別功能對(duì)終端用戶進(jìn)行身

()、

份鑒別的協(xié)議框架定義了協(xié)議參與實(shí)體的要求鑒別協(xié)議流程用戶信息的訪問(wèn)要求以及協(xié)議消息的

,、、,

加密和簽名要求等

。

本標(biāo)準(zhǔn)適用于終端用戶訪問(wèn)網(wǎng)絡(luò)應(yīng)用的場(chǎng)景中用戶身份鑒別服務(wù)的開(kāi)發(fā)測(cè)試評(píng)估和采購(gòu)

,、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)密碼雜湊算法

GB/T32905—2016SM3

信息安全技術(shù)分組密碼算法

GB/T32907—2016SM4

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分?jǐn)?shù)字簽名算法

GB/T32918.2—2016SM22:

信息安全技術(shù)橢圓曲線公鑰密碼算法第部分公鑰加密算法

GB/T32918.4—2016SM24:

技術(shù)規(guī)范

GM/T0024—2014SSLVPN

開(kāi)放的第三方資源授權(quán)協(xié)議框架

GM/T0068—2019

各種語(yǔ)言中名字的編碼表示第部分編碼

ISO639-11:Alpha-2(Codesfortherepresentation

ofnamesoflanguages—Part1:Alpha-2code)

各個(gè)國(guó)家的名字和名字細(xì)分的編碼表示第部分國(guó)家編碼

ISO3166-11:(Codesfortherepre-

sentationofnamesofcountriesandtheirsubdivisions—Part1:Countrycodes)

數(shù)據(jù)元素與交換格式信息交換日期與時(shí)間格式

ISO8601:2004(Dataelementsandinter-

changeformats—Informationinterchange—Representationofdatesandtimes)

信息技術(shù)實(shí)體鑒別保障框架

ISO/IEC29115:2013(Informationtechnology—Entityauthenti-

cationassuranceframework)

中基于表單的文件上傳

RFC1867HTML(Form-basedFileUploadinHTML)

電話號(hào)碼的電話

RFC3966URI(ThetelURIforTelephoneNumbers)

統(tǒng)一資源標(biāo)識(shí)符通用語(yǔ)法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)