YD_T 2094.5-2010安全断言标记语言 第5部分：一致性要求.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T 2094.5-2010安全断言标记语言第5部分：一致性要求Security assertion markup ianguagePart 5:conformance requirements2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2094.5-2010目 次前言·1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语·4 SAML 一致性要求·4.1SAML 应用配置和可能的执行.:4.2致性··4.3XML 数字签名和 XML 加密4.4TLS 1.0 的使用- YD/T 2094.5-2010YD/T 2094.6-2010《安全断言标记语言第 6 部分：应用配置》定义的所有属性名称格式标识符。YD/T 2094.6-2010《安全断言标记语言第6部分：应用配置》定义的所有名称标识符格式标识符。当产生和使用 SAML 消息时，需确定 SAML执行必须允许使用所有标识符常量（见《YD/T2094.6-2010《安全断言标记语言第6部分：应用配置》的6.1节和.6.2节）。SAML消息发生器必须能够产生消息，SAML消息使用者必须能够用在本节定义的任何常数处理消息。永久命名的标识符和临时命名的标识符定义了这些标识符发生器的标准化处理规则。通过执行过程来证实本节中的所有标准化处理规则都必须被支持，剩余的其他标识符没有指定标准化处理规则。因此这些标识符的产生和使用仅在产生方和使用方在标识符的语义解释上达成外部定义的协议时才有意义。一水平处理，执行过程如何处理该标识符不在本部分的范围内。SAML 执行过程可以通过支持对标识符的直接执行或者使用所支持的程序接口提供上面描述的工具。该接口必须允许 SAML执行过程能程式化地扩展以处理该执行过程中未正常处理的所有标识符。4.2.4加密元素的执行在那些要求操作模式定义处理或产生相应的名字为saml:NameID、saml:Assertion或saml:Attribute的未加密元素的任何上下文中，所有相关的操作模式定义必须能够处理或产生以下加密元素。 saml:EncryptedID:;saml:EncryptedAssertion;saml:EncryptedAttribute.4.2.5SOAP和 URI绑定安全模型以下安全模型对所有使用 SOAP 绑定执行的所有应用配置以及 SAML URI 绑定都是必备执行的。SAML机构和请求者必须执行下列认证方法。一 无客户端和服务器认证。一 使用或不使用 TLS 1.0 的 HTTP 基础认证，SAML 请求者必须抢先发送带有初始请求的许可头。一 基于 TLS 1.0服务器的 HTTP 使用服务器证书进行认证。一 基于 TLS 1.0 的 HTTP 使用服务器和客户端两种证书进行相互认证。如果一个 SAML权威使用 TLS 1.0，就必须使用服务器证书。注1：PE25（参见OASIS PE:2006）建议新增加一个有关元数据结构的小节：SAML的执行断言一致性可能通过选出元数据结构选项来宜布 SAML元数据每个操作模式定义的一致性。至于每个操作模式定义。此类一致性的细节如下：在互操作节点对应 SAML 元数据是否存在而具有的选项(如 SAML规范中的规定)的所有情况中根据可扩展的 SAML元数据格式处理SAML元数据。选择该元数据结构选项具有要求这些元数据对互操作节点可用的效果。如下文所述，在元数据互操作特征中提供一种满足该要求的方式。根据对互操作节点的 SAML元数据的参考、使用和避守，当与互操作节点、特定操作以及当前交换有关的已知元数据已过期或者在缓存中已失效时，该提供的元数据可用并且不被有关策略或特定操作以及该特定交换止。注2：PE25（参见OASISPE:2006）建议新增加一个有关元数据互操作的小节：8 YD/T 2094.5-2010元数据互操作选项的选择要求执行过程在第9章SAML元数据中提供除了任何其他机制之外的知名位置发布和决议机制。4.3XML 数字签名和 XML 加密SAMLV2.0为完整性，使用XML签名来执行XML标记和加密功能以及源认证。SAMLV2.0使用XML加密来保证机密性，包括加密标识符、加密断言和加密属性。4.3.1XML签名算法W3C XML 签名的 6.1 要求使用下列算法。一 摘要:SHA-1;- MAC: HMAC-SHA1;一XML 规范化:CanonicalXML（无注解）；一 转换:封装的签名。要遵从 SAMLV2.0必须执行上述算法。此外，为能够互操作，符合 SAMIV2.0的实施还必须执行以下算法。一签名：带有 SHA1的 RSA（W3C签名