GM_T 0069-2019开放的身份鉴别框架.pdf

ICS_ 35.040L 80GM中华人民共和国密码行业标准GM/T 0069—2019开放的身份鉴别框架Open identity authentication framework2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0069—2019目次前言引言范围2规范性引用文件3术语和定义4编略语5概述5实体要求6.1身份服务提供方要求6.2依赖方要求7鉴别流程7.1鉴别流程类型7.2投权码鉴别流程7,3隐式鉴别流程7.4混合鉴别流程197.5访问令牌刷新机制238令牌·248.1令牌类型248.2JSON令牌..268.3令牌安全保护要求276用户信息访间.289.1声明的类型289.2语言和文字声明309.3用户信息端点.309.4用户信息请求声明9.5声明的稳定性和唯一性3310签名和加密要求3410.1概述3410.2签名3410,3加密10.4对称密钥的熔3510,5签名和加密的顺序35附录A（规范性附录)规范性声明附录B（资料性附录）身份服务提供方的基础配置38附录C(资料性附录)依赖方的注册信息40参考文献42 GM/T 0069—20196.1.4安全传输和处理协议消息要求身份服务提供方应提供安全的身份鉴别方法使得：依赖方可对身份服务提供方进行身份鉴别，从面防止恶意的服务器伪装成合法的服务器；对于具有保密能力的依赖方，身份服务提供方应提供鉴别依赖方的方法，从面防止恶意的依赖方假冒合法的依赖方获取用户信息。身份服务提供方应与依赖方建立安全的会话，应使用SSLVPN技术规范GM/T0024一2014中定义的安全通信协议进行通信。在与依赖方建立安全连接的过程中，身份服务提供方应将其完整域名与其公钥进行绑定，以便依赖方可以验证。本标准还提供了一种利用国产密码算法实现的签名JSON令牌或加JSON令牌的方式来实现身份鉴则（见8.2)，一般情况下，身份服务提供方应使用非自签名的证书来实现ID令牌、访问令牌等安全凭据的签名。本标准也支持自额发证书的身份服务提供方，使用自题发证书的身份服务提供方，应进行特殊的参数配置，本标准不作具体规定。6.1.5鉴别与授权要求身份服务提供方应提供安全的鉴别方法对终端用户的身份进行鉴别，例如，用户名/口令方式，数字证书，用户名/智能密码钥匙(USBKey)方式，多因索鉴别方式或其他鉴别方式。本标准不对具体的鉴别方法进行规定，身份服务提供方在将终端用户的身份信息发送给依赖方之前，应获得终端用户的授权，仅能将用户6.2依赖方要求6.2.1概述依赖方是使用身份服务提供方对访问它的终端用户进行鉴别的实体，依赖方的类型不同，本标准对依赖方的要求也不同，其所适合的鉴别流程也不相同。本标准定义了两类依赖方。同时本标准还规定依赖方应具备以下功能：a)注册和协议配置：向身份服务提供方进行注册，提供协议正常执行需要的参数信息，以便身份服务提供方能够与依赖方建立安全会话，执行协议流程；b)依赖方身份鉴别；向身份服务提供方进行身份鉴别，提供支持的身份鉴别方法，以防止恶意的依赖方假管合法的依赖方。6.2.2依赖方的类型根据依赖方是否对其身份据具有保密能力，本标准定义了两种依赖方类型：a）有保密能力型依赖方有能力维持其免据的机密性（例如，依赖方应用程序运行在严格执行访间控制的安全服务器上），从而可通过提供安全的身份凭据来证明自己身份的真实性，或者依赖方有能力通过其他的方式（超出本标准的范围)证明自己身份的真实性，b）无保密能力型依赖方没有能力维持其凭据的机密性（例如，依赖方程序运行在资源拥有者使用的设备上，本地应用或是基于测览器的应用等），无法提供安全的身份凭据来证明自已身份的真实性，并且没有能力通过其他方式证明自已身份的真实性依赖方类型的认定取决于身份服务据供方的鉴别安全要求和对依赖方凭据暴露级别的接受程度7 GM/T 0069—2019（通常由身份服务提供方的服务文档提供）。授权服务器不应对依赖方的类型进行假定。6.2.3依赖方注册和协议配置要求依赖方在使用身份服务提供方的身份鉴别服务时，应向身份服务提供方注册必要的协议参数，例如，提供用于接收消息的重定向URL地址、主页URL地址、联系方式、依赖方类型、支持的鉴别依赖方身份的方法等信息（参见附录C所描连的注册信息），在注册成功时，依方会从身份服务提供方获得以下表示身份免证的参数值对，以用于依赖方身份鉴别：a)client_id依赖方的标识符；b）《client_secret依赖方的口令。6.2.4依赖方身份鉴别要求当身份服务提供方使用令牌端点与依赖方进行交互时，依赖方应使用某种鉴别方法向身份服务提供方进行身份鉴别。在依赖方注册时，依赖方应通过下述参数值注册一种依赖方身份鉴别的方法：a)client_secret_basic表示已