YD_T 2917-2015智能型通信网络 支持开放标识（OpenID）和开放认证（OAuth）的技术要求.pdf

ICS 33.040.20M 21YD中华人民共和国通信行业标准YD/T2917-2015智能型通信网络支持开放标识（OpenID）和开放认证（OAuth）的技术要求Technical requiremnets to supportofOpenlD andOAuthinNetworkIntelligentCapabilityEnhancement(NICE)2015-07-14发布2015-10-01实施中华人民共和国工业和信息化部发布 YD/T 291720155.4.3验证断言根据OpenID认证2.0，在收到背定断言时，应用（依赖方）应：。验证返回的URL；·验证所发现的信息；·检查响应中相关随机数：·验证签名。在验证断言后，若断言包含一个声明标识符，即可认为用户已通过此标识符获得认证，5.5安全考虑智能型通信网络应考虑用户代理、用户界面、HTTP和HTTPSURL标识符以及协议变种等带来的相关安全间题。以上安全间题的解决方案应符合ITU-TY.2701（2007）第8章、ITU-TY.2720（2009）的8.7节、ITU-TY.2721（2010）的8.7节规定的安全要求。6智能型通信网络对OAuth的支持6.1基于智能型通信网络安全要求的OAuth客户端类型的选择OAuth有两种客户端类型：机密类型的和公开类型的客户端，具体见IETFRFC6749的2.1节。公开类型的客户端不符合智能型通信网络第三方应用提供商的认证要求，此认证要求见ITU-TY.2702第7、8章，因为公开类型客户端不能由智能型通信网络提供商对其进行身份认证。本标准中智能型通信网络仅支持机密类型客户端，其相关认证要求见ITU-TY.2724的6.2节。智能型通信网络支持的客户端应满足以下要求：a）智能型通信网络的OAuth客户端在特定的安全保证级别应可认证，应符合ITU-TY.2702（2008）第7、8章，ITU-TX.1254（2012）第6章的规定：b）智能型通信网络的OAuth客户端必须在授权服务器注册，应符合IETFRFC6749中第2章的规定。智能型通信网络支持的客户端仅支持Web应用，其相关认证要求见IETFRFC6749的2.1节。6.2授权许可类型的选择授权许可有以下4种类型：投权码许可、隐式的许可、资源拥有者口令凭证许可和客户端认证凭据许可，这4种类型的授权许可见IETFRFC6749。此外，关于OAuth2.0的SAML2.0断言许可类型的详细扩展见IETFRFC6750。当隐式许可过程中发出访间令牌时，授权服务器不需要认证客户端。在某些情况下，客户端的身份可以通过用于提供给客户端访间令牌的重定向URI来验证。访间令牌可能会暴露给资源拥有者或其它可访间资源拥有者的用户代理的应用，应用的相关认证见IETFRFC6749，因此，使用险式许可类型的OAuth过程，不会产生符合智能型通信网络第三方应用提供商的认证要求，其认证要求见ITU-TY.2702第7.8章。智能型通信网络所支持的Web应用的机密型客户端能使用以下授权许可：授权码（Authorization code）；。资源拥有者口令认证（Resourceownerpasswordcredentials）；。客户端证书（Clientcredentials)；● SAML 2.0 所言 (SAML 2.0 assertion)。6.3智能型通信网络所支持的客户端的OAuth选项建议7 YD/T 291720156.3.1客户端注册高的安全性，具体描述见IETFRFC6749的2.2节，6.3.2客户端重定向端点的消息的机密性保护当请求的应答类型是“授权码“或令牌时，或当重定向请求会导致收感凭据在公开网络传输时，重定向端点应按照IETFRFC6749的1.6节所述，要求使用TLS，本标准要求使用TLS传输所有敏感信息。6.3.3客户端身份验证Web应用的客户端是机密类型客户端，因此，该客户端应向授权服务器进行认证。6.3.4授权过程授权许可类型Web应用使用以下授权许可：。授权码（Authorizationcode)；。资源拥有者口令凭证（Resourceownerpasswordcredential）；客户端证书（Client credentials）；●SAML扩展（SAMLextension)。授权码本标准规定了使用授权码的机密类型客户端的授权流程，要求把参数redirect_uri列入到授权请求中，见IETFRFC6749的4.1节，下列需求适用于授权服务器与使用授权码的Web应用客户端之间的交互，授权服务器应：■认证发出投权请求的客户端：●确保客户端的授权请求中的参数redirecturi的值，与客户端的注册值相匹配：，仅对认证和授权成功的客户端下发授权码；。在