标准解读

《GM/T 0068-2019 开放的第三方资源授权协议框架》是中国国家密码管理局发布的一项标准,主要针对开放环境下第三方资源访问控制和授权管理的需求而设计。该标准提供了一个基于角色、权限及策略的灵活授权机制,适用于需要对敏感信息或关键业务流程进行精细控制的应用场景。

在这一框架下,定义了几个核心概念:主体(即请求访问资源的一方)、客体(被请求访问的资源本身)、操作(主体对客体执行的行为类型)以及环境条件(影响决策过程的各种因素)。通过这些元素之间的关系配置,可以实现复杂且多样的访问控制逻辑。

此外,《GM/T 0068-2019》还提出了一个完整的授权过程模型,包括但不限于认证、授权请求处理、策略评估等环节,并详细说明了各部分的功能要求和技术规范。这为开发者和服务提供商构建安全可靠的资源管理系统提供了指导原则。

标准中特别强调了对于不同应用场景下定制化需求的支持能力,比如支持多种认证方式集成、允许自定义扩展属性来满足特定业务需求等特性,使得该框架具有较高的灵活性与适应性。同时,也考虑到了跨域资源共享时的安全性和隐私保护问题,提出了一些基本原则和建议措施以保障用户信息安全。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2019-07-12 颁布
  • 2019-07-12 实施
©正版授权
GM/T 0068-2019开放的第三方资源授权协议框架_第1页
GM/T 0068-2019开放的第三方资源授权协议框架_第2页
GM/T 0068-2019开放的第三方资源授权协议框架_第3页
GM/T 0068-2019开放的第三方资源授权协议框架_第4页
GM/T 0068-2019开放的第三方资源授权协议框架_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

GM/T 0068-2019开放的第三方资源授权协议框架-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国密码行业标准

GM/T0068—2019

开放的第三方资源授权协议框架

Openthirdpartyresourceauthorizationprotocolframework

2019-07-12发布2019-07-12实施

国家密码管理局发布

GM/T0068—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………3

协议流程

5.1……………3

协议通道要求

5.2………………………4

协议端点

5.3……………4

第三方应用程序及安全要求

6……………6

第三方应用程序类型

6.1………………6

第三方应用程序标识符

6.2……………7

第三方应用程序注册要求

6.3…………7

第三方应用程序身份鉴别

6.4…………7

授权流程

7…………………8

授权许可

7.1……………8

授权码许可流程

7.2……………………9

隐式许可流程

7.3………………………12

资源拥有者口令凭据许可流程

7.4……………………15

第三方应用程序身份凭据许可流程

7.5………………17

令牌

8………………………18

令牌类型

8.1……………18

访问令牌发放

8.2………………………20

访问令牌刷新

8.3………………………21

受保护资源访问

9…………………………21

受保护资源访问流程

9.1………………21

成功响应

9.2……………22

出错响应

9.3……………22

附录资料性附录协议参数说明

A()……………………23

参考文献

……………………25

GM/T0068—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准参考国际互联网工程任务组简称的

(TheInternetEngineeringTaskForce,IETF)RFC

文件进行制定按照我国相关密码政策和法规结合

6749《TheOAuth2.0AuthorizationFramework》。,

我国实际应用需求及产品生产厂商的实践经验本标准在第三方应用程序身份鉴别部分增加了基于

,

国产密码算法的数字证书鉴别方法在授权协议中的数据通信安全部分采用密码行业标准

SM2,GM/T

技术规范中定义的安全通信协议取代协议在访问令牌的保护部分增

0024—2014《SSLVPN》TLS,

加了采用等国家密码管理局认可的算法对其进行签名和加密的规定另外本标准去

SM2、SM3、SM4。,

除了文件中的安全考虑部分将安全考虑部分涉及的应采用的安全措施具体化到本标准的各

RFC6749,

个章条包括协议中传输的消息端点发放的令牌第三方应用程序身份鉴别等部分

,、、、。

本标准由密码行业标准化技术委员会提出并归口

本标准的主要起草单位中国科学院数据与通信保护研究教育中心北京数字认证股份有限公司

:、、

中国科学院软件研究所中国电子技术标准化研究院北京信安世纪科技股份有限公司普华诚信信息

、、、

技术有限公司

本标准主要起草人刘丽敏李敏王鑫江伟玉高能刘宗斌荆继武林雪焰张立武汪宗斌

:、、、、、、、、、、

彭佳屠晨阳刘泽艺钱文飞范科峰郝春亮梁佐泉

、、、、、、。

GM/T0068—2019

引言

在提供了资源互访接口的开放信息系统中利用桌面手机或其他智能设备应用程序实现互

,Web、、

联已成为常态为了实现信息资源共享业务合作用户可利用某个安全域中的应用程序被称为第三

。、,(

方应用程序访问另一个安全域中受保护的资源为了确保受保护的资源只被资源拥有者许可的实体

)。

访问需要对实体进行鉴别与授权然而在传统的授权模型中资源拥有者通常需要将其身份凭证共

,。,,

享给访问者这种方式带来了诸多安全隐患本标准引入授权层将第三方应用程序与资源拥有者的角

,。,

色进行分离在资源拥有者的授权下授权实体向第三方应用程序发放不同于身份凭据的令牌方式实

,,,

现开放的第三方资源授权

GM/T0068—2019

开放的第三方资源授权协议框架

1范围

本标准规定了第三方资源授权协议的流程不同类型的授权许可协议各端点的功能要求以及系统

、、

实体之间传递消息的格式和参数要求等

本标准适用于在互联网跨安全域应用场景中身份鉴别与授权服务的开发测试评估和采购

,、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术实体鉴别第部分采用数字签名技术的机制

GB/T15843.3—20083:

信息安全技术密码杂凑算法

GB/T32905—2016SM3

信息安全技术分组密码算法

GB/T32907—2016SM4

信息安全技术椭圆曲线公钥密码算法第部分数字签名算法

GB/T32918.2—2016SM22:

信息安全技术椭圆曲线公钥密码算法第部分公钥加密算法

GB/T32918.4—2016SM24:

技术规范

GM/T0024—2014SSLVPN

中基于表单的文件上传

RFC1867HTML(Form-basedFileUploadinHTML)

超文本传输协议

RFC2616HTTP1.1(HypertextTransferProtocol—HTTP/1.1)

鉴别基本访问鉴别和摘要访问鉴别

RFC2617HTTP:(HTTPAuthentication:BasicandDigest

AccessAuthentication)

统一资源标识符通用语法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)

授权框

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论