首页 > 通信行业标准(YD) > YD/T 2706-2014 园区网间用户标识与属性互通技术要求
YD/T 2706-2014

基本信息

标准号: YD/T 2706-2014

中文名称:园区网间用户标识与属性互通技术要求

标准类别:通信行业标准(YD)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:3414095

相关标签: 园区 用户 标识 属性 互通 技术

标准分类号

关联标准

出版信息

相关单位信息

标准简介

YD/T 2706-2014.User identifier and attributes interoperation specification between campus networks.
1范围
YD/T 2706规定了园区网间用户标识与属性互通技术框架和用户标识与属性描述方法。
YD/T 2706适用于组成身份认证联盟的园区网。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仪注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2094-2010安全断言标记语言(所有部分)
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
园区网Campus Network
在某地理区域内、由多个相互连接的局域网组成的计算机网络。园区网内的网络设备(如交换机、路由器等)、传输媒介(光纤、铜线等)及应用系统由园区所属机构(如公司、大学)拥有并管理。
3.1.2
园区网间身份联盟ldentity Federation over Campus Networks
使用公共软件框架用来交换和使用身份标识和属性,支持园区网间互通互访的一个协作组织。
3.2缩略语
下列缩略语适用于本文件。
HTTP HyperText Transfer Protocol  超文本传输协议
HTTPS Hypertext Transfer Protocol over Secure Socket Layer  基于安全套接层的超文本传输协议
HTML HyperText Markup Language   超文本标记语言
LDAP Lightweight Directory Access Protocol    轻量级目录访问协议

标准图片预览






标准内容

ICS33.040.40
中华人民共和国通信行业标准
YD/T2706-2014
园区网间用户标识与属性互通技术要求User identifier and attributes interoperation specificationbetweencampusnetworks
2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前
1范围
2规范性引用文件·
3术语、定义和缩略语
4园区网间用户标识与属性互通技术框架·5园区网间身份联盟中用户标识与属性,附录A(资料性附录)用户标识与属性举例.…次
YD/T2706-2014
YD/T2706-2014
本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:北京大学、清华大学、北京邮电大学、工业和信息化部电信研究院、中兴通信股份有限公司、北京聚宝网络科技有限公司、公安部第三研究所。本标准主要起草人:陈萍、吕洁、王继龙、黄小红、武静、刘尚焱、高峰、朱红儒、杨明慧、丰、裘羽。
1范围
园区网间用户标识与属性互通技术要求本标准规定了园区网间用户标识与属性互通技术框架和用户标识与属性描述方法。本标准适用于组成身份认证联盟的园区网。2规范性引用文件
YD/T2706-2014
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仪注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2094一2010安全断言标记语言(所有部分)3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
园区网CampusNetwork
在某地理区域内、由多个相互连接的局域网组成的计算机网络。园区网内的网络设备(如交换机、路由器等)、传输媒介(光纤、铜线等)及应用系统由园区所属机构(如公司、大学)拥有并管理。3.1.2
园区网间身份联盟IdentityFederationoverCampusNetworks使用公共软件框架用来交换和使用身份标识和属性,支持园区网间互通互访的一个协作组织。3.2缩略语
下列缩略语适用于本文件。
HyperText Transfer Protocol
超文本传输协议
HTTPSHypertextTransferProtocol overSecureSocketLayer基于安全套接层的超文本传输协议HTML
HyperTextMarkupLanguage
Lightweight Directory Access ProtocolSAML
Security Assertion Markup LanguageURL
Uniform Resource Locator
4园区网间用户标识与属性互通技术框架4.1园区网间身份联盟
超文本标记语言
轻量级目录访问协议
安全断言标记语育
统一资源定位符
本标准指定的用户标识与属性互通技术要求主要应用于园区网间身份联盟。园区网间身份联盟为一种指定结构的身份联盟,它在各个园区之间共享用户园区内身份信息。联盟的基本组成要素是园区网。园区网内部参与网间身份联盟的主要组件有:园区网身份提供者IdP和园区网YD/T2706-2014
服务提供者SP。从身份联盟的角度看,一个园区网可以配置0或1个身份提供者,身份提供者具备两项功能:一是该园区网用户的身份认证功能:一是该园区网用户的身份信息发布功能。一个园区网可配置多个服务提供者,每个服务提供者可支持一个或多个应用系统被身份联盟中来白本园区网或者是其他园区网的用户访问。园区网间身份联盟同时支持应用系统以独立的服务提供者身份加入联盟,支持联盟中各个园区用户的访间。园区网间身份联盟基于安全断言标记语言(SAML,SecuriyAssertionMarkupLanguage)而建立。身份提供者、服务提供者和用户浏览器之间采用SAML协议传输身份相关信息。安全断言标记语言相关标准见YD/T2094-2010。园区网间身份联盟的基本组成结构如图1所示。用户
LocalAAI
园区网1
SP+应用系统
SP+应用系统
SP+虚用系统
SP+应用系统
SP+应用系统
SP+应用系统
Local AAl
联盟资源H录
园区网1
联盟成员管理
园区网
SP+应用系统
SP+应用系统
图1园区网间身份联盟组成结构
LocalAAl
园区网间身份联盟包括客户端(用户浏览器)、身份提供者IdP和服务提供者SP三种逻辑组件:。这三种组件分别为运行于不同的操作系统和主机之上,按照OSI七层网络协议划分,这些组件均运行于应用层,正常运行的基础是上述组件软件所在主机已经通过网络层认证,获取网络访问权限。4.2用户跨园区访问
典型的园区间访问场景是A园区中的一位用户通过浏览器试图访问B园区中的应用系统,从而触发联盟系统的认证和授权机制。服务提供者首先确定该用户所属的身份提供者,然后将用户重定向到其所属A园区的身份提供者。A园区身份提供者对用户进行身份鉴别,之后用户携带身份提供者签发的断言,再次访问服务提供者。如果需要作进一步的访问控制检查,服务提供者会向身份提供者发出用户属性请求,检查通过后,允许用户访问受限资源。园区网间身份联盟体系中用户跨园区访问示意如图2所示。2
园区A
路由器
身份提供者
3.4身份服务提供者认证
用户,返同认证断言
Internet
6.服务提供者向身份提供者请求用户属性7.身份提供者返间用户属性
2.将用户重定向到相应的身份提供者8.返回用户请求的资源
YD/T2706-2014
园区B
服务提供者
1.用户企图访问服务提供者的受限资源5.用户再次请求受限资源
图2园区网间身份联盟用户跨园区访问示意用户跨园区网访问的基本流程如下:1)用户向服务提供者保护的应用系统发送HTTP请求。2)服务提供者收到请求后,判断是否为已认证用户。若非已认证用户,则确定用户所属的身份提供者,将用户重定向到身份提供者以启动身份认证。3)用户向身份提供者提供本人身份。4)身份提供者通过某种方式认证用户身份(例如返回一张HTML表单,让用户提供用户名、密码),根据认证结果,构造认证断言消息,并将用户重定向到服务提供者。5)用户向服务提供者再次提出访问请求,提供认证结果。6)服务提供者根据身份提供者签发的断言检查用户,如通过验证,则将用户重定向到资源。如果需要用户属性作进一步授权决定,服务提供者继续向身份提供者的属性中心请求属性服务。7)身份提供者根据请求,返回相应用户属性,服务提供者作授权决定。8)本标准中规定的用户标识和属性互通技术要求主要应用在以上用户跨园区访问流程中的步骤3)、4)和6)、7)中。
5园区网间身份联盟中用户标识与属性5.1概述
在园区网间身份联盟中,一种常见的场景是用户跨越园区访问应用系统,也就是说,用户身份所在园区和用户要访问的应用系统所在园区可以不是一个园区。在这种模式下,无论是维护用户身份的身份管理者,还是接受用户访问的服务提供者,它们需要通过交换用户标识和属性实现互通和合作。本标准的作用就是定义一套用户标识和属性规范,无论是哪个园区的身份提供者,无论它是采用何种技术实现,无论它内部的用户标识和属性描述方式如何,在将用户信息传递给服务提供者之前,首先将园区内用户3
YD/T2706-2014
信息定义方式转换成本标准定义的用户描述方式。同样,服务提供者在使用用户信息之前,将它们从本标准定义的方式转换为应用系统能够识别和使用的描述方式。本标准定义的用户标识和属性起到了桥梁的作用,实现了异构的多个园区之间的用户信息互通,进一步,实现了园区网间的用户宿息共享和跨园区应用系统访问。
5.2园区网间身份联盟中的用户标识标识是人员属性中最常用的一个,是园区网间身份联盟中用户的唯一网络标识,是属性对象定义中必须指定的一种属性。表示成\localID@org\形式。其中,locallD为人员在园区网内部的身份标识,它的长度、格式、命名规则由园区网管理人员指定,园区网间身份联盟直接使用:org唯一标识用户所属园区,通常采用园区网域名,如北京大学的org是“pku.edu.cn\,电信传输研究所的org是“ritt.cn\。建议不要在标识中使用多个@符号。左起第一个@符号将被看作分隔符,左边是用户标识符,右边是园区标识符。如果该园区已经注册域名,园区标识符通常为注册域名。比如\[email protected]”隐含指出该用户身份所在园区的域名是“pku.edu.cn”,园区网内帐号为“10548880\,园区网间身份联盟的用户标识为[email protected]”。每个org都定义了一个名字空间,在该名字空间中用户名字是唯一的。基于该规则,任何两个用户标识的值都不会冲突,相同的用户标识对应相同管理域的同一个用户。用户一且被赋予该标识符,园区网用户管理系统应该能够充分肯定被认证的用户就是被赋予该标识符的那个人。人员标识具有持久性(Persistence)、私密性(privacy)、唯一性(Uniqueness)的特点。5.3园区网间身份联盟中的互通属性对象定义所有园区网间身份联盟中的人员属性都是由campFedPerson开头,属于campFedPerson对象类,campFedPerson的数据结构使用ASN.1语言描述如下,人员对象可以有选择性地包含以下属性。AttrValueType=SEQUENCE(
attrNameUTF8String,
attrValueUTF8String
campFedPersonSEQUENCE-人员对象属性campFedPersonPrincipalNameUTF8String,campFedPersonAffiliation
student (0),
faculty (1),
alum(2),
staff (3),
manager (4),
member (5),
other(6)
campFedPersonEntitlement
campFedPersonOrg
campFedPersonLocalID
ENUMERATED
UTF8String,
UTF8String,
UTF8String,
campFedPersonSurName
campFedPersonGivenName
campFedPersonFullName
campFedPersonDepartment
campFedPersonMailAddress
campFedPersonTelephone
campFedPersonMobile
campFedPersonEmail
campFedPersonDescription
campFedPersonOtherAttrs
UTF8String,
UTF8String,
UTF8String,
UTF8String,
UTF8String,
UTF8String,
UTF8String.
UTF8String
UTF8String
SEQUENCE OF AttrValueType
5.3.1campFedPersonPrincipalNamecampFedPersonPrincipalName定义为UTF8String。指园区网身份联盟中的用户网络标识。详细介绍见5.2。5.3.2campFedPersonAffiliationYD/T2706-2014
campFedPersonAffiliation定义为ENUMERATEDstudent,faculty,alum,staff,manager,member,other),指定用户在园区中的主要身份,如学生、教师、校友、员工、部门经理、普通成员等。member指除以上列出的几类外,园区中拥有身份的人员,他们共同拥有园区成员身份的一些基本权限,例如内部的电子邮件账户,member不包括student、faculty、alum、staff、manager、other。other为一个可扩展属性,身份管理员和应用管理员可以根据实际应用协商定义。5.3.3campFedPersonEntitlementcampFedPersonAffliation定义为UTF8String。指对特定资源的URL拥有权限。
campFedPersonEntitlement使用户有权限访问该URL指定的服务提供者。如果用户所属园区的目录允许声明这样的访问资格,则关于属性是否具有访问资格的决定在用户身份所在的园区进行。除了用户所具有的访问权利之外,服务提供者并不了解用户其他特征。两者之间的信任关系通过其他方式建立。例如服务提供者维护一张已订制该服务的机构列表,对不在列表中的机构所声明的访问权利则不予考虑。5.3.4campFedPersonOrg
campFedPersonOrg定义为UTF8String。指用户所属园区。campFedPersonPrincipalName中的园区网标识,“@\之后的部分,通常为园区域名。5.5.5campFedPersonLocallD
campFedPersonLocallD定义为UTF8String。指用户在园区内的标识。campFedPersonPrincipalName中\@\之前的部分,通常为用户在园区网身份管理系统中的本地标识。
5.3.6campFedPersonSurName
campFedPersonSurName定义为UTF8String。指用户姓氏。
YD/T2706-2014
5.3.7campFedPersonGivenName
campFedPersonGivenName定义为UTF8String。指用户名字。
5.3.8campFedPersonFullName
campFedPersonFuliName定义为UTF8String。指用户全名。由campFedPersonGivenName和campFedPersonSurName组成。campFedPersonGivenName在前。
5.3.9campFedPersonDepartmentcampFedPersonDepartment定义为UTF8String指用户在园区内所属部门。
5.3.10campFedPersonMailAddresscampFedPersonMailAddress定义为UTF8String。指用户邮寄通讯地址。
5.3.11campFedPersonTelephonecampFedPersonTelephone定义为UTF8String。指用户办公电话号码。
5.3.11campFedPersonMobile
campFedPersonMobile定义为UTF8String指用户移动电话号码。
5.3.12campFedPersonEmail
campFedPersonEmail定义为UTF8String指用户电子邮件地址。
5.3.13campFedPersonDescriptioncampFedPersonDescription定义为UTF8String。指关于用户的附加描述。
5.3.14campFedPersonOtherAttrsAttrValueType定义为SEQUENCE
attrNameUTF8String
attrValue UTF8String
指用户的属性名和属性值。其中,attrName是属性名,attrValue是属性值。campFedPersonOtherAttrs定义为SEQUENCEOFAttrValueType。指关于用户其他属性定义。
5.4用户属性发布控制和隐私保护身份提供者在向服务提供者分发属性断言之前,需要提供某种方式,使得用户可以选择是否将自己的属性信息发送给目标应用。
附录A
(资料性附录)
用户标识与属性举例
以下是SAML认证请求的例子,增加了断行以增强可读性。https://sp.tshhosting.com/shibbolethYD/T2706-2014

以下是SAML认证断音和属性断告的例子。增加了断行以增强可读性。
https:/idp2.pku6.edu.cn/idp/shibboleth/carsifed/saml:Issuer>

_49da4f3105de56ee3db0d732630b4555



https://sp.tshhosting.com/shibboleth7
YD/T2706-2014





urn:oasis:names.tc:SAML:2.O:ac:classes:PreviousSession




0093000

student



/saml:Assertion>
其中,是用户属性断言,1个用户属性断言中可以包含1个或者多个用户属性元素元素的Name属性是用户属性名,该属性名应符合本标准的规定。元素的子元素的值是用户属性的值。中华人民共和国
通信行业标准
园区网间用户标识与属性互通技术要求YD/T2706-2014
人民邮电出版社出版发行
北京市丰台区成寿寺路1号由电出版大厦邮政编码:100164
北京康利胶印厂印剧
不得翻印
版权所有
开本:880×12301/16bzxz.net
印张:1
字数:52千字
2015年9月第1版
2015年9月北京第1次印刷
15115·494
定价:10元
本书如有印装质量问题,请与本社联系电话:(010)81055492
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。