GM/T 0069-2019开放的身份鉴别框架

ICS35040

L80.

中华人民共和国密码行业标准

GM/T0069—2019

开放的身份鉴别框架

Openidentityauthenticationframework

2019-07-12发布2019-07-12实施

国家密码管理局发布

GM/T0069—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………2

缩略语

4……………………4

概述

5………………………4

实体要求

6…………………6

身份服务提供方要求

6.1………………6

依赖方要求

6.2…………………………7

鉴别流程

7…………………8

鉴别流程类型

7.1………………………8

授权码鉴别流程

7.2……………………9

隐式鉴别流程

7.3………………………17

混合鉴别流程

7.4………………………19

访问令牌刷新机制

7.5…………………23

令牌

8………………………24

令牌类型

8.1……………24

令牌

8.2JSON…………………………26

令牌安全保护要求

8.3…………………27

用户信息访问

9……………28

声明的类型

9.1…………………………28

语言和文字声明

9.2……………………30

用户信息端点

9.3………………………30

用户信息请求声明

9.4…………………31

声明的稳定性和唯一性

9.5……………33

签名和加密要求

10………………………34

概述

10.1………………34

签名

10.2………………34

加密

10.3………………35

对称密钥的熵

10.4……………………35

签名和加密的顺序

10.5………………35

附录规范性附录规范性声明

A()………………………36

附录资料性附录身份服务提供方的基础配置

B()……………………38

附录资料性附录依赖方的注册信息

C()………………40

参考文献

……………………42

GM/T0069—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由密码行业标准化技术委员会提出并归口

。

本标准起草单位中国科学院数据与通信保护研究教育中心北京数字认证股份有限公司中国电

:、、

子技术标准化研究院中国科学院软件研究所北京天融信科技有限公司

、、。

本标准主要起草人高能彭佳刘泽艺李敏钱文飞江伟玉刘伟李向锋刘丽敏屠晨阳张立武

:、、、、、、、、、、、

景鸿理郝春亮

、。

Ⅰ

GM/T0069—2019

引言

互联网环境中用户使用多个网络应用已经成为常态身份鉴别技术呈现出开放性易用性以及互

,。、

操作性的特点本标准提出的身份鉴别框架使得网络应用可以便捷地使用身份服务提供方提供的鉴别

。

服务由身份提供方对用户进行身份鉴别验证用户的身份并在用户授权之后可以提供用户身份相关

,,,

信息

。

Ⅱ

GM/T0069—2019

开放的身份鉴别框架

1范围

本标准规定了依赖方网络应用或服务使用身份服务提供方提供的鉴别功能对终端用户进行身

()、

份鉴别的协议框架定义了协议参与实体的要求鉴别协议流程用户信息的访问要求以及协议消息的

,、、,

加密和签名要求等

。

本标准适用于终端用户访问网络应用的场景中用户身份鉴别服务的开发测试评估和采购

,、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术密码杂凑算法

GB/T32905—2016SM3

信息安全技术分组密码算法

GB/T32907—2016SM4

信息安全技术椭圆曲线公钥密码算法第部分数字签名算法

GB/T32918.2—2016SM22:

信息安全技术椭圆曲线公钥密码算法第部分公钥加密算法

GB/T32918.4—2016SM24:

技术规范

GM/T0024—2014SSLVPN

开放的第三方资源授权协议框架

GM/T0068—2019

各种语言中名字的编码表示第部分编码

ISO639-11:Alpha-2(Codesfortherepresentation

ofnamesoflanguages—Part1:Alpha-2code)

各个国家的名字和名字细分的编码表示第部分国家编码

ISO3166-11:(Codesfortherepre-

sentationofnamesofcountriesandtheirsubdivisions—Part1:Countrycodes)

数据元素与交换格式信息交换日期与时间格式

ISO8601:2004(Dataelementsandinter-

changeformats—Informationinterchange—Representationofdatesandtimes)

信息技术实体鉴别保障框架

ISO/IEC29115:2013(Informationtechnology—Entityauthenti-

cationassuranceframework)

中基于表单的文件上传

RFC1867HTML(Form-basedFileUploadinHTML)

电话号码的电话

RFC3966URI(ThetelURIforTelephoneNumbers)

统一资源标识符通用语法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)