YD/T 2917-2015
基本信息
标准号: YD/T 2917-2015
中文名称:智能型通信网络 支持开放标识(OpenID)和开放认证(OAuth)的技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2917-2015.Technical requiremnets to support of OpenID and OAuth inNetwork Intelligent Capability Enhancement (NICE).
1范围
YD/T 2917规定了智能型通信网络对OpenID认证和OAuth授权的支持,以及智能型通信网络支持OpenID认证和OAuth授权的参考模型。
YD/T 2917适用于智能型通信网络中基于开放标识(OpenID) 和开放认证(OAuth) 的业务。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2592-2013 身份管理(IdM)术语
ITU-T X.800(1991) 适用于CCITT应用的开放系统互连安全结构(Security architecture for Open Systems Interconnection for CCITT applications)
ITU-TX.1254 (2012) 实体认证安全保证框架(Entity authentication assurance framework)
ITU-TY.2012(2012) NGN 功能要求和架构(Functional requirements and architecture of the NGN)
ITU-TY.2701 (2007) NGN 版本1的安全要求(Security requirements for NGN release 1)
ITU-TY.2702 (2008) NGN 版本1的身份认证和授权要求(Authentication and authorization requirements for NGN release 1)
1范围
YD/T 2917规定了智能型通信网络对OpenID认证和OAuth授权的支持,以及智能型通信网络支持OpenID认证和OAuth授权的参考模型。
YD/T 2917适用于智能型通信网络中基于开放标识(OpenID) 和开放认证(OAuth) 的业务。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2592-2013 身份管理(IdM)术语
ITU-T X.800(1991) 适用于CCITT应用的开放系统互连安全结构(Security architecture for Open Systems Interconnection for CCITT applications)
ITU-TX.1254 (2012) 实体认证安全保证框架(Entity authentication assurance framework)
ITU-TY.2012(2012) NGN 功能要求和架构(Functional requirements and architecture of the NGN)
ITU-TY.2701 (2007) NGN 版本1的安全要求(Security requirements for NGN release 1)
ITU-TY.2702 (2008) NGN 版本1的身份认证和授权要求(Authentication and authorization requirements for NGN release 1)
标准图片预览
标准内容
ICs33.040.20
中华人民共和国通信行业标准
YD/T2917-2015
智能型通信网络
支持开放标识(OpenID)和
开放认证(OAuth)的技术要求
Technical requiremnets to support of OpenlD andOAuth inNetwork Intelligent Capability Enhancement (NICE)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部 发布前
1范围-
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义.
3.2缩略语.·
4智能型通信网络支持OpenID认证和OAuth授权的参考模型5智能型通信网络对OpenD的支持5.1OpenID的协议消息格式
通信类型.
生成签名·
智能型通信网络中的OpenID认证过程5.4
5.5安全考虑
智能型通信网络对OAuth的支持
6.1基于智能型通信网络安全要求的OAuth客户端类型的选择6.2
授权许可类型的选择。
智能型通信网络所支持的客户端的OAuth选项建议6.4
资源拥有者的身份认证
6.5安全性考虑
7智能型通信网络支持OAuth和OpenID的消息流.7.1消息流程涉及的实体
7.2OAuth和OpenID流程涉及的公共实体7.3OpenID流程涉及的特定实体
7.4OAuth流程涉及的特定实体
附录A(资料性附录)应用案例-YD/T2917-2015
YD/T2917-2015
本标准按照GB/T1.1-2009给出的规则起草。本标准是智能型通信网络系列标准之一。该系列标准的名称和结构预计如下:《智能型通信网络总体框架和要求》:《智能型通信网络策略管控能力开放需求》:《智能型通信网络策略管控能力开放架构与技术要求》:《智能型通信网络固定网络策略控制设备和策略执行设备技术要求》:《智能型通信网络策略控制系统技术要求》;《智能型通信网络支持云计算的技术要求》;《智能型通信网络支持云计算的产域网互联技术要求》:《智能型通信网络支持开放标识(OpenID)和开放认证(OAuth)的技术要求》。本标准参考了ITU-T建议Y.2723(2013)(在下一代网络(NGN)中支持OAuth)、Y.2724(2013)(在下一代网络中支持OAuth和OpenID的框架)和Y.2725(2014)(在下一代网络(NGN)中支持OpenID),并结合我国具体情况制定。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:上海贝尔股份有限公司、中国电信集团公司、中国信息通信研究院、中兴通讯股份有限公司。
本标准主要起草人:胡志远、周惠琴、栗雪、李海花、郝振武、沈蕾。智能型通信网络
YD/T2917-2015
支持开放标识(OpenlD)和开放认证(OAuth)的技术要求1范围
本标准规定了智能型通信网络对OpenID认证和OAuth授权的支持,以及智能型通信网络支持OpenID认证和OAuth授权的参考模型。
本标准适用于智能型通信网络中基于开放标识(OpenID)和开放认证(OAuth)的业务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2592-2013身份管理(IdM)术语ITU-TX.800(1991)适用于CCITT应用的开放系统互连安全结构(SecurityarchitectureforOpenSystemsInterconnectionforCCITTapplications)ITU-TX.1254(2012)实体认证安全保证框架(Entityauthenticationassuranceframework)ITU-TY.2012(2012)NGN功能要求和架构(Functionalrequirements andarchitectureoftheNGN)ITU-TY.2701(2007)NGN版本1的安全要求(SecurityrequirementsforNGNrelease1)ITU-TY.2702(2008)NGN版本1的身份认证和授权要求(Authenticationandauthorizationrequirements forNGN release1)ITU-TY.2720(2009)NGN身份管理架构(NGNidentitymanagementframework)ITU-TY.2721(2010)NGN身份管理需求和应用案例(NGNidentitymanagementrequirementsandusecases)ITU-TY.2722(2011)NGN身份管理机制(NGNidentitymanagementmechanisms)ITU-TY.2724(2013)在下一代网络中支持OAuth和OpenID的框架(FrameworkforsupportingOAuth and OpenlD in next generation networks)IETFRFC6749(2012)OAuth2.0授权框架(TheOAuth2.0AuthorizationFramework)IETFRFC6750(2012)OAuth2.0授权框架:承载令牌(TheOAuth2.0AuthorizationFramework:Bearer Token Usage)
IETFRFC6819(2013)OAuth2.0风险模型和安全考患(OAuth2.0ThreatModel andSecurityConsiderations)3GPPTR33.924(Version11.0.0)身份管理和3GPP安全互通;身份管理和一般鉴权架构(GAA)互通(Identity management and 3GPP security interworking; Identity management and Generic AuthenticationArchitecture (GAA)interworking)OASISXRISYNTAXV2.0可扩展资源标识符(XRI)语法2.0(ExtensibleResourceIdentifier(XRI)SyntaxV2.0)
OpenIDOpenID认证2.0(OpenIDAuthenticationV2.0)Yadis非集中的身份认证互通系统协议(YetAnotherDecentralizedIdentityInteroperabilitySystem(Yadis)protocol)
YD/T2917-2015
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
(实体)认证(Entity)Authentication一种用来对实体和其所呈现身份之间的绑定关系进行充分确认的过程。注1:术语“认证”在身份管理(IdM)环境中的用途是用来表示实体认证。3.1.2
授权Authorization
权利准许以及基于这些权利的访问准许。[ITU-TY.2720(2009),X.800(1991)]3.1.3
资源拥有者ResourceOwner
能为受保护的资源授予访问许可的实体。当资源所有者是一个人时,该资源所有者即为最终用户。3.1.4
资源服务器ResourceServer
托管受保护的资源的服务器,能够使用访问令牌接受和响应受保护的资源的访问请求。3.1.5
客户端Client
一个应用,在获得资源拥有者授权情况下代表资源拥有者访问其受保护的资源。术语“客户端”,不意味着任何特定的实现特性(例如,应用是否在服务器、桌面或其他设备上执行)。3.1.6
授权服务器AuthorizationServer在成功认证资源拥有者并获得授权后,服务器向客户端发放访问令牌。3.1.7
授权许可AuthorizationGrant
代表资源拥有者授权(访问其受保护资源)的一种信任凭证,客户端可以凭借授权许可获取一个访问令牌。
访问令牌AccessToken
用于访问受保护资源的信任凭证。访问令牌是一个字符串,代表发放给客户端的授权。该字符串通常对客户端不透明。令牌代表具体的访问范围和访间持续时间,这些范围值和令牌生命周期由资源拥有者授予,由资源服务器和授权服务器执行。3.1.9此内容来自标准下载网
机密类型客户端ConfidentialClients该类型的客户端能安全管理其认证凭证的机密性(例如,实现在安全服务器上的客户端,而且该服务器受限地访问客户端的凭证),或能使用其他方式对客户端进行安全认证。2
公开类型客户端PublicClients
YD/T2917-2015
该类型的客户端不能确保其认证凭证的机密性,(在资源拥有者的设备上执行,如本地应用或基于用户代理的应用),且不能使用其他方式执行客户端的安全认证。3.1.11
实体Entity
独立存在并在环境中能被识别的事物。注:实体可以是一个自然人、动物、法人、组织、主动或被动物、设备、软件应用、服务等,或一组这样的实体。在电信领域中,实体的范例包括访问点、用户、网元、网络、软件应用、服务、设备和接口等。3.1.12
身份服务提供商(身份服务提供方)ldentityServiceProvider(ldSP)一个验证、维护、管理且能为其他实体生成和分配身份信息的实体。3.1.13
身份提供者IdentityProvider(ldP)见身份服务提供商(身份服务提供方)。3.1.14
标识符Identifier
在环境中用来识别一个实体的一个或多个属性。3.1.15
更新令牌RefreshToken
由授权服务器下发到客户端,并在当前的访问令牌无效或过期时,用来获取新的访问令牌,或获得额外的具有相同或更窄的范围的访问令牌(相对资源拥有者的授权,访问令牌可能寿命较短,权限较少)下发更新令牌是根据授权服务器的判断灵活可选的。如果授权服务器下发更新令牌,会包括何时发出访问令牌。
3.2缩略语
下列缩略语适用于本文件。
Authentication and Key AgreementApplication-to-Network InterfaceApplication Programme InterfaceGeneric Bootstrapping ArchitectureKeyed-hashMessageAuthenticationCodeIdentity Management
Identity Provider
Identity Service Provider
Next Generation Networks
Network NetworkInterface
Open Authentication
认证和密钥协商
应用到网络接口
应用编程接口
通用自举架构
基于密钥的哈希消息认证码
身份管理
身份提供者
身份服务提供商
下一代网络
网络网络接口
开放认证
YD/T2917-2015
OpenID
OpenID Provider
Open Identification
Security Assertion Markup LanguageSecure Hash Algorithm
Service Network Interface
Transport Layer Security
User Network Interface
UniformResourceIdentifier
Uniform Resource Locator
eXtension Markup Language
Extensible Resource Descriptor SequenceExtensibleResourceIdentifierOpenID提供者
开放标识
安全断言标记语言
安全哈希算法
业务网络接口
传输层安全协议
用户网络接口
统一资源标识符
统一资源定位符
可扩展的标记语言
扩展资源描述符的顺序
可扩展资源标识符
YetAnotherDecentralizedIdentityInteroperabilitySystem非集中的身份认证互通系统协议4智能型通信网络支持OpenID认证和OAuth授权的参考模型智能型通信网络支持OpenID认证和OAuth授权的参考模型,如图1所示。智能型通信网络包含多个功能单元(具体描述见ITU-TY.2720(2009)。这些功能单元使用实体身份标识来实现用户身份的关联,为其他提供商提供开放式身份认证服务。功能实体Openld和OAuth与智能型通信网实体之间的接口,目前并没有相关的国际国内标准,该接口的实现由运营商定义。ANI
(依赖方)
智能通信网络提供商B
业务层
业务控制属
传输层
第三方提供者
OpenID-Idp
智能通信网络提供商B
业务层
业务控制层
传输层
图1智能型通信网络支持OpenlD认证和OAuth授权的参考模型接入
OpenD流程
OAuth灌程
智能型通信网络提供商可以使用OpenID和OAuth提供IdSP服务,并可与内容和应用提供商和/或其4
他服务提供商进行合作。
OpenID是一种通过URI来认证用户身份的技术。YD/T2917-2015
OAuth是一种能让第三方应用无需知道用户秘密信息(如用户名/密码)而申请访问用户资源的技术。智能型通信网络能支持话音、数据和多媒体等多种业务,具有开放的业务API接口以及对业务灵活的配置和客户化能力。
通过在智能型通信网络中使用OpenID和OAuth,更便于用户安全地访问业务;同时也能让网络提供商安全地以业务API接口方式开放其网络能力,以支持多服务提供商环境下的应用能快速地开发、部署及安全地投入运营。
5智能型通信网络对OpenlD的支持5.1OpenlD的协议消息格式
OpenID的协议应使用OpenID认证2.0。支持智能型通信网络的实体在发送一个协议消息时,应符合OpenID认证2.0中定义的键值形式的编码和HTTP编码两种协议消息格式的相关要求。5.2通信类型
支持智能型通信网络的实体在发送一个协议消息时,应符合OpenID认证2.0中定义的直接通信和间接通信相关要求。
5.3生成签名
OpenID认证支持两种签名算法:HMAC-SHA1-160比特密钥长度:
HMAC-SHA256-256比特密钥长度。本标准建议使用HMAC-SHA256。
5.4智能型通信网络中的OpenlD认证过程5.4.1认证请求
5.4.1.1发起OpenlD认证请求的相关规定本标准要求应用方(依赖方)在智能型通信网络中使用Yadis协议来发布其有效的返回到”(returnto)URL消息。
有关认证请求的规定见OpenID认证2.0的第9章。应用(依赖方)与最终用户交互时,应:发起OpenID认证:
。规范化用户提供的标识符:
为发起请求发现必要信息。
本标准要求应用(依赖方)实体在智能型通信网络中呈现的表单内列入openid_identifier字段,该字段定义见OpenID认证2.0的7.1节。5.4.1.2规范用户提供的标识符
本标准定义了三种类型的标识符:“http”或“https”、URI(在本文件中通常被称为一个“URL”,其相关定义见OpenID认证2.0的第7章),或XRI,其相关定义见OASISXRISYNTAXV2.05.4.1.3为发起请求发现必要信息5
YD/T2917-2015
本标准中的发现功能是应用(依赖方)使用标识符来为发起请求查找(发现”)必要信息的过程。本标准可通过三种手段来完成上述发现,其相关规定见OpenID认证2.0的7.3节。本标准定义了两种发现方法:基于XRDS的发现和基于HTML的发现。若使用的是XRI,见OASISXRISYNTAXV2.0或Yadis发现,则结果将为一份XRDS文档。这是一份XML文档,其中的条目所对应的服务与标识符相关,相关规定见OpenID认证2.0的7.3.2.1节。基于HTML的发现应得到各应用(依赖方)的支持。基于HTML的发现仅可用于声明标识符的发现。OP标识符应是XRI见OASISXRISYNTAX2.0或支持XRDS发现的URL。要使用基于HTML的发现,应在声明标识符的URL上提供一份HTML文档,相关规定见OpenID认证2.0的7.3.3节。
本标准要求应用(依赖方)在执行发现时宜采用标识符授予XRI或URL格式。5.4.2认证响应
5.4.2.1发起认证响应的相关规定本标准中,当认证请求来自借助间接沟通的用户代理时,则宣由OP确定经授权的最终用户是否希望完成认证。若经授权的最终用户希望完成认证,则宜由OP向应用(依赖方)发出一个肯定断言(positiveassertion),其相关描述见OpenID认证2.0的第10章。本标准要求在授权请求中列入“return_to”参数。注:识别经授权的最终用户以及获得批准以返回一个OpenID认证断言的方法已超出本标准的范围。5.4.2.2肯定断言(PositiveAssertions)肯定断言为间接响应,关于响应参数的信息见OpenID认证2.0的10.1节。本标准规定当OP通过用户代理与应用(依赖方)进行间接通信时,应:·进行验证,以确保return_toURL与应用(依赖方)的一个端点匹配:·确定经授权的最终用户是否希望完成认证;·生成响应随机数;
对肯定响应进行签名:
α通过用户代理向应用(依赖方)发送肯定断言。5.4.2.3否定断言(NegativeAssertions)若OP无法识别最终用户,或最终用户没有或不同意认证请求时,则OP向应用(依赖方)发送一个否定断言,并将其作为一种间接响应OpenID认证2.0。若响应中收到一个“checkid_immediate”模式请求的否定断言,则应用(依赖方)使用“checkid_setup”模式构造一个新的认证请求。
5.4.2.4对即时请求的响应
若请求为即时请求,最终用户将不能通过与OP上的网页进行交互,来提供认证凭证或对请求的批准。即时请求的否定断言应采用OpenID认证2.0的10.2.1节中规定的格式。5.4.2.5对非即时请求的响应
由于OP可向终端用户显示网页,并向最终用户请求获得认证凭证,因此对某一非即时请求的否定响应是确定的,且其应采用OpenID认证2.0的10.2.2节中规定的格式。若应用(依赖方)收到“取消”响应,则表明认证不成功,且应用(依赖方)必须将最终用户视为未经认证。
5.4.3验证断言
根据OpenID认证2.0,在收到肯定断言时,应用(依赖方)应:·验证返回的URL:
。验证所发现的信息:
·检查响应中相关随机数:
·验证签名。
YD/T2917-2015
在验证断言后,若断言包含一个声明标识符,即可认为用户已通过此标识符获得认证。5.5安全考虑
智能型通信网络应考虑用户代理、用户界面、HTTP和HTTPSURL标识符以及协议变种等带来的相关安全问题,
以上安全问题的解决方案应符合ITU-TY.2701(2007)第8章、ITU-TY.2720(2009)的8.7节、ITU-TY.2721(2010)的8.7节规定的安全要求。6智能型通信网络对OAuth的支持6.1基于智能型通信网络安全要求的OAuth客户端类型的选择OAuth有两种客户端类型:机密类型的和公开类型的客户端,具体见IETFRFC6749的2.1节。公开类型的客户端不符合智能型通信网络第三方应用提供商的认证要求,此认证要求见ITU-TY.2702第7、8章,因为公开类型客户端不能由智能型通信网络提供商对其进行身份认证。本标准中智能型通信网络仅支持机密类型客户端,其相关认证要求见ITU-TY.2724的6.2节。智能型通信网络支持的客户端应满足以下要求:
a)智能型通信网络的OAuth客户端在特定的安全保证级别应可认证,应符合ITU-TY.2702(2008)第7、8章,ITU-TX.1254(2012)第6章的规定;b)智能型通信网络的OAuth客户端必须在授权服务器注册,应符合IETFRFC6749中第2章的规定。智能型通信网络支持的客户端仅支持Web应用,其相关认证要求见IETFRFC6749的2.1节。6.2授权许可类型的选择
授权许可有以下4种类型:授权码许可、隐式的许可、资源拥有者口令凭证许可和客户端认证凭据许可。这4种类型的授权许可见IETFRFC6749。此外,关于OAuth2.0的SAML2.0断言许可类型的详细扩展见IETFRFC6750。当隐式许可过程中发出访问令牌时,授权服务器不需要认证客户端。在某些情况下,客户端的身份可以通过用于提供给客户端访问令牌的重定向URI来验证。访问令牌可能会暴露给资源拥有者或其它可访问资源拥有者的用户代理的应用,应用的相关认证见IETFRFC6749。因此,使用隐式许可类型的OAuth过程,不会产生符合智能型通信网络第三方应用提供商的认证要求,其认证要求见ITU-TY.2702第7.8章。智能型通信网络所支持的Web应用的机密型客户端能使用以下授权许可:。授权码(Authorization code);。资源拥有者口令认证(Resourceownerpasswordcredentials);·客户端证书(Clientcredentials):SAML2.0断言(SAML2.0assertion)。6.3智能型通信网络所支持的客户端的OAuth选项建议7
YD/T2917-2015
6.3.1客户端注册
本标准要求智能型通信网络支持的客户端向授权服务器注册其重定向的URI,能保证客户端具有更高的安全性,具体描述见IETFRFC6749的2.2节。6.3.2客户端重定向端点的消息的机密性保护当请求的应答类型是“授权码或“令牌”时,或当重定向请求会导致敏感凭据在公开网络传输时,重定向端点应按照IETFRFC6749的1.6节所述,要求使用TLS。本标准要求使用TLS传输所有敏感信息。6.3.3客户端身份验证
Web应用的客户端是机密类型客户端,因此,该客户端应向授权服务器进行认证。6.3.4授权过程
6.3.4.1授权许可类型
Web应用使用以下授权许可:
。授权码(Authorizationcode);。资源拥有者口令凭证(Resourceownerpasswordcredential);。客户端证书(Clientcredentials):SAML扩展(SAMLextension)。
6.3.4.2授权码
本标准规定了使用授权码的机密类型客户端的授权流程,要求把参数redirect_uri列入到授权请求中见IETFRFC6749的4.1节。
下列需求适用于授权服务器与使用授权码的Web应用客户端之间的交互。授权服务器应:认证发出授权请求的客户端:
●确保客户端的授权请求中的参数redirecturi的值,与客户端的注册值相匹配;仅对认证和授权成功的客户端下发授权码:在下发访问令牌前,确保授权码是有效的6.3.4.3资源拥有者口令认证
使用该许可类型的授权流程是对与资源所有者建立了信任的授权客户端进行了优化。客户端使用资源拥有者的口令凭证获取授权服务器发放的访问令牌。该流程能满足智能型通信网络的安全要求,具体规定见IETFRFC6749的4.3节。
注:IETFRFC6749中的2.1节允许公开客户端使用本流程。本标准只考虑机密类型的客户端,即这些客户端需要向授权服务器进行身份认证。
当授权服务器与使用授权类型为资源所有者口令认证的客户端交互时,应:?认证客户端身份:
验证客户端提供的资源拥有者口令凭证的有效性如果客户端已通过授权服务器认证并出示了有效的资源拥有者凭证,发放一个访问令牌。6.4资源拥有者的身份认证
IETFRFC6749没有规定授权服务器对资源拥有者(例如,最终用户)身份的认证。在智能型通信网络环境中,资源拥有者的身份认证机制,应满足ITU-TY.2702第7、8章的要求。6.5安全性考虑
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2917-2015
智能型通信网络
支持开放标识(OpenID)和
开放认证(OAuth)的技术要求
Technical requiremnets to support of OpenlD andOAuth inNetwork Intelligent Capability Enhancement (NICE)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部 发布前
1范围-
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义.
3.2缩略语.·
4智能型通信网络支持OpenID认证和OAuth授权的参考模型5智能型通信网络对OpenD的支持5.1OpenID的协议消息格式
通信类型.
生成签名·
智能型通信网络中的OpenID认证过程5.4
5.5安全考虑
智能型通信网络对OAuth的支持
6.1基于智能型通信网络安全要求的OAuth客户端类型的选择6.2
授权许可类型的选择。
智能型通信网络所支持的客户端的OAuth选项建议6.4
资源拥有者的身份认证
6.5安全性考虑
7智能型通信网络支持OAuth和OpenID的消息流.7.1消息流程涉及的实体
7.2OAuth和OpenID流程涉及的公共实体7.3OpenID流程涉及的特定实体
7.4OAuth流程涉及的特定实体
附录A(资料性附录)应用案例-YD/T2917-2015
YD/T2917-2015
本标准按照GB/T1.1-2009给出的规则起草。本标准是智能型通信网络系列标准之一。该系列标准的名称和结构预计如下:《智能型通信网络总体框架和要求》:《智能型通信网络策略管控能力开放需求》:《智能型通信网络策略管控能力开放架构与技术要求》:《智能型通信网络固定网络策略控制设备和策略执行设备技术要求》:《智能型通信网络策略控制系统技术要求》;《智能型通信网络支持云计算的技术要求》;《智能型通信网络支持云计算的产域网互联技术要求》:《智能型通信网络支持开放标识(OpenID)和开放认证(OAuth)的技术要求》。本标准参考了ITU-T建议Y.2723(2013)(在下一代网络(NGN)中支持OAuth)、Y.2724(2013)(在下一代网络中支持OAuth和OpenID的框架)和Y.2725(2014)(在下一代网络(NGN)中支持OpenID),并结合我国具体情况制定。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:上海贝尔股份有限公司、中国电信集团公司、中国信息通信研究院、中兴通讯股份有限公司。
本标准主要起草人:胡志远、周惠琴、栗雪、李海花、郝振武、沈蕾。智能型通信网络
YD/T2917-2015
支持开放标识(OpenlD)和开放认证(OAuth)的技术要求1范围
本标准规定了智能型通信网络对OpenID认证和OAuth授权的支持,以及智能型通信网络支持OpenID认证和OAuth授权的参考模型。
本标准适用于智能型通信网络中基于开放标识(OpenID)和开放认证(OAuth)的业务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2592-2013身份管理(IdM)术语ITU-TX.800(1991)适用于CCITT应用的开放系统互连安全结构(SecurityarchitectureforOpenSystemsInterconnectionforCCITTapplications)ITU-TX.1254(2012)实体认证安全保证框架(Entityauthenticationassuranceframework)ITU-TY.2012(2012)NGN功能要求和架构(Functionalrequirements andarchitectureoftheNGN)ITU-TY.2701(2007)NGN版本1的安全要求(SecurityrequirementsforNGNrelease1)ITU-TY.2702(2008)NGN版本1的身份认证和授权要求(Authenticationandauthorizationrequirements forNGN release1)ITU-TY.2720(2009)NGN身份管理架构(NGNidentitymanagementframework)ITU-TY.2721(2010)NGN身份管理需求和应用案例(NGNidentitymanagementrequirementsandusecases)ITU-TY.2722(2011)NGN身份管理机制(NGNidentitymanagementmechanisms)ITU-TY.2724(2013)在下一代网络中支持OAuth和OpenID的框架(FrameworkforsupportingOAuth and OpenlD in next generation networks)IETFRFC6749(2012)OAuth2.0授权框架(TheOAuth2.0AuthorizationFramework)IETFRFC6750(2012)OAuth2.0授权框架:承载令牌(TheOAuth2.0AuthorizationFramework:Bearer Token Usage)
IETFRFC6819(2013)OAuth2.0风险模型和安全考患(OAuth2.0ThreatModel andSecurityConsiderations)3GPPTR33.924(Version11.0.0)身份管理和3GPP安全互通;身份管理和一般鉴权架构(GAA)互通(Identity management and 3GPP security interworking; Identity management and Generic AuthenticationArchitecture (GAA)interworking)OASISXRISYNTAXV2.0可扩展资源标识符(XRI)语法2.0(ExtensibleResourceIdentifier(XRI)SyntaxV2.0)
OpenIDOpenID认证2.0(OpenIDAuthenticationV2.0)Yadis非集中的身份认证互通系统协议(YetAnotherDecentralizedIdentityInteroperabilitySystem(Yadis)protocol)
YD/T2917-2015
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
(实体)认证(Entity)Authentication一种用来对实体和其所呈现身份之间的绑定关系进行充分确认的过程。注1:术语“认证”在身份管理(IdM)环境中的用途是用来表示实体认证。3.1.2
授权Authorization
权利准许以及基于这些权利的访问准许。[ITU-TY.2720(2009),X.800(1991)]3.1.3
资源拥有者ResourceOwner
能为受保护的资源授予访问许可的实体。当资源所有者是一个人时,该资源所有者即为最终用户。3.1.4
资源服务器ResourceServer
托管受保护的资源的服务器,能够使用访问令牌接受和响应受保护的资源的访问请求。3.1.5
客户端Client
一个应用,在获得资源拥有者授权情况下代表资源拥有者访问其受保护的资源。术语“客户端”,不意味着任何特定的实现特性(例如,应用是否在服务器、桌面或其他设备上执行)。3.1.6
授权服务器AuthorizationServer在成功认证资源拥有者并获得授权后,服务器向客户端发放访问令牌。3.1.7
授权许可AuthorizationGrant
代表资源拥有者授权(访问其受保护资源)的一种信任凭证,客户端可以凭借授权许可获取一个访问令牌。
访问令牌AccessToken
用于访问受保护资源的信任凭证。访问令牌是一个字符串,代表发放给客户端的授权。该字符串通常对客户端不透明。令牌代表具体的访问范围和访间持续时间,这些范围值和令牌生命周期由资源拥有者授予,由资源服务器和授权服务器执行。3.1.9此内容来自标准下载网
机密类型客户端ConfidentialClients该类型的客户端能安全管理其认证凭证的机密性(例如,实现在安全服务器上的客户端,而且该服务器受限地访问客户端的凭证),或能使用其他方式对客户端进行安全认证。2
公开类型客户端PublicClients
YD/T2917-2015
该类型的客户端不能确保其认证凭证的机密性,(在资源拥有者的设备上执行,如本地应用或基于用户代理的应用),且不能使用其他方式执行客户端的安全认证。3.1.11
实体Entity
独立存在并在环境中能被识别的事物。注:实体可以是一个自然人、动物、法人、组织、主动或被动物、设备、软件应用、服务等,或一组这样的实体。在电信领域中,实体的范例包括访问点、用户、网元、网络、软件应用、服务、设备和接口等。3.1.12
身份服务提供商(身份服务提供方)ldentityServiceProvider(ldSP)一个验证、维护、管理且能为其他实体生成和分配身份信息的实体。3.1.13
身份提供者IdentityProvider(ldP)见身份服务提供商(身份服务提供方)。3.1.14
标识符Identifier
在环境中用来识别一个实体的一个或多个属性。3.1.15
更新令牌RefreshToken
由授权服务器下发到客户端,并在当前的访问令牌无效或过期时,用来获取新的访问令牌,或获得额外的具有相同或更窄的范围的访问令牌(相对资源拥有者的授权,访问令牌可能寿命较短,权限较少)下发更新令牌是根据授权服务器的判断灵活可选的。如果授权服务器下发更新令牌,会包括何时发出访问令牌。
3.2缩略语
下列缩略语适用于本文件。
Authentication and Key AgreementApplication-to-Network InterfaceApplication Programme InterfaceGeneric Bootstrapping ArchitectureKeyed-hashMessageAuthenticationCodeIdentity Management
Identity Provider
Identity Service Provider
Next Generation Networks
Network NetworkInterface
Open Authentication
认证和密钥协商
应用到网络接口
应用编程接口
通用自举架构
基于密钥的哈希消息认证码
身份管理
身份提供者
身份服务提供商
下一代网络
网络网络接口
开放认证
YD/T2917-2015
OpenID
OpenID Provider
Open Identification
Security Assertion Markup LanguageSecure Hash Algorithm
Service Network Interface
Transport Layer Security
User Network Interface
UniformResourceIdentifier
Uniform Resource Locator
eXtension Markup Language
Extensible Resource Descriptor SequenceExtensibleResourceIdentifierOpenID提供者
开放标识
安全断言标记语言
安全哈希算法
业务网络接口
传输层安全协议
用户网络接口
统一资源标识符
统一资源定位符
可扩展的标记语言
扩展资源描述符的顺序
可扩展资源标识符
YetAnotherDecentralizedIdentityInteroperabilitySystem非集中的身份认证互通系统协议4智能型通信网络支持OpenID认证和OAuth授权的参考模型智能型通信网络支持OpenID认证和OAuth授权的参考模型,如图1所示。智能型通信网络包含多个功能单元(具体描述见ITU-TY.2720(2009)。这些功能单元使用实体身份标识来实现用户身份的关联,为其他提供商提供开放式身份认证服务。功能实体Openld和OAuth与智能型通信网实体之间的接口,目前并没有相关的国际国内标准,该接口的实现由运营商定义。ANI
(依赖方)
智能通信网络提供商B
业务层
业务控制属
传输层
第三方提供者
OpenID-Idp
智能通信网络提供商B
业务层
业务控制层
传输层
图1智能型通信网络支持OpenlD认证和OAuth授权的参考模型接入
OpenD流程
OAuth灌程
智能型通信网络提供商可以使用OpenID和OAuth提供IdSP服务,并可与内容和应用提供商和/或其4
他服务提供商进行合作。
OpenID是一种通过URI来认证用户身份的技术。YD/T2917-2015
OAuth是一种能让第三方应用无需知道用户秘密信息(如用户名/密码)而申请访问用户资源的技术。智能型通信网络能支持话音、数据和多媒体等多种业务,具有开放的业务API接口以及对业务灵活的配置和客户化能力。
通过在智能型通信网络中使用OpenID和OAuth,更便于用户安全地访问业务;同时也能让网络提供商安全地以业务API接口方式开放其网络能力,以支持多服务提供商环境下的应用能快速地开发、部署及安全地投入运营。
5智能型通信网络对OpenlD的支持5.1OpenlD的协议消息格式
OpenID的协议应使用OpenID认证2.0。支持智能型通信网络的实体在发送一个协议消息时,应符合OpenID认证2.0中定义的键值形式的编码和HTTP编码两种协议消息格式的相关要求。5.2通信类型
支持智能型通信网络的实体在发送一个协议消息时,应符合OpenID认证2.0中定义的直接通信和间接通信相关要求。
5.3生成签名
OpenID认证支持两种签名算法:HMAC-SHA1-160比特密钥长度:
HMAC-SHA256-256比特密钥长度。本标准建议使用HMAC-SHA256。
5.4智能型通信网络中的OpenlD认证过程5.4.1认证请求
5.4.1.1发起OpenlD认证请求的相关规定本标准要求应用方(依赖方)在智能型通信网络中使用Yadis协议来发布其有效的返回到”(returnto)URL消息。
有关认证请求的规定见OpenID认证2.0的第9章。应用(依赖方)与最终用户交互时,应:发起OpenID认证:
。规范化用户提供的标识符:
为发起请求发现必要信息。
本标准要求应用(依赖方)实体在智能型通信网络中呈现的表单内列入openid_identifier字段,该字段定义见OpenID认证2.0的7.1节。5.4.1.2规范用户提供的标识符
本标准定义了三种类型的标识符:“http”或“https”、URI(在本文件中通常被称为一个“URL”,其相关定义见OpenID认证2.0的第7章),或XRI,其相关定义见OASISXRISYNTAXV2.05.4.1.3为发起请求发现必要信息5
YD/T2917-2015
本标准中的发现功能是应用(依赖方)使用标识符来为发起请求查找(发现”)必要信息的过程。本标准可通过三种手段来完成上述发现,其相关规定见OpenID认证2.0的7.3节。本标准定义了两种发现方法:基于XRDS的发现和基于HTML的发现。若使用的是XRI,见OASISXRISYNTAXV2.0或Yadis发现,则结果将为一份XRDS文档。这是一份XML文档,其中的条目所对应的服务与标识符相关,相关规定见OpenID认证2.0的7.3.2.1节。基于HTML的发现应得到各应用(依赖方)的支持。基于HTML的发现仅可用于声明标识符的发现。OP标识符应是XRI见OASISXRISYNTAX2.0或支持XRDS发现的URL。要使用基于HTML的发现,应在声明标识符的URL上提供一份HTML文档,相关规定见OpenID认证2.0的7.3.3节。
本标准要求应用(依赖方)在执行发现时宜采用标识符授予XRI或URL格式。5.4.2认证响应
5.4.2.1发起认证响应的相关规定本标准中,当认证请求来自借助间接沟通的用户代理时,则宣由OP确定经授权的最终用户是否希望完成认证。若经授权的最终用户希望完成认证,则宜由OP向应用(依赖方)发出一个肯定断言(positiveassertion),其相关描述见OpenID认证2.0的第10章。本标准要求在授权请求中列入“return_to”参数。注:识别经授权的最终用户以及获得批准以返回一个OpenID认证断言的方法已超出本标准的范围。5.4.2.2肯定断言(PositiveAssertions)肯定断言为间接响应,关于响应参数的信息见OpenID认证2.0的10.1节。本标准规定当OP通过用户代理与应用(依赖方)进行间接通信时,应:·进行验证,以确保return_toURL与应用(依赖方)的一个端点匹配:·确定经授权的最终用户是否希望完成认证;·生成响应随机数;
对肯定响应进行签名:
α通过用户代理向应用(依赖方)发送肯定断言。5.4.2.3否定断言(NegativeAssertions)若OP无法识别最终用户,或最终用户没有或不同意认证请求时,则OP向应用(依赖方)发送一个否定断言,并将其作为一种间接响应OpenID认证2.0。若响应中收到一个“checkid_immediate”模式请求的否定断言,则应用(依赖方)使用“checkid_setup”模式构造一个新的认证请求。
5.4.2.4对即时请求的响应
若请求为即时请求,最终用户将不能通过与OP上的网页进行交互,来提供认证凭证或对请求的批准。即时请求的否定断言应采用OpenID认证2.0的10.2.1节中规定的格式。5.4.2.5对非即时请求的响应
由于OP可向终端用户显示网页,并向最终用户请求获得认证凭证,因此对某一非即时请求的否定响应是确定的,且其应采用OpenID认证2.0的10.2.2节中规定的格式。若应用(依赖方)收到“取消”响应,则表明认证不成功,且应用(依赖方)必须将最终用户视为未经认证。
5.4.3验证断言
根据OpenID认证2.0,在收到肯定断言时,应用(依赖方)应:·验证返回的URL:
。验证所发现的信息:
·检查响应中相关随机数:
·验证签名。
YD/T2917-2015
在验证断言后,若断言包含一个声明标识符,即可认为用户已通过此标识符获得认证。5.5安全考虑
智能型通信网络应考虑用户代理、用户界面、HTTP和HTTPSURL标识符以及协议变种等带来的相关安全问题,
以上安全问题的解决方案应符合ITU-TY.2701(2007)第8章、ITU-TY.2720(2009)的8.7节、ITU-TY.2721(2010)的8.7节规定的安全要求。6智能型通信网络对OAuth的支持6.1基于智能型通信网络安全要求的OAuth客户端类型的选择OAuth有两种客户端类型:机密类型的和公开类型的客户端,具体见IETFRFC6749的2.1节。公开类型的客户端不符合智能型通信网络第三方应用提供商的认证要求,此认证要求见ITU-TY.2702第7、8章,因为公开类型客户端不能由智能型通信网络提供商对其进行身份认证。本标准中智能型通信网络仅支持机密类型客户端,其相关认证要求见ITU-TY.2724的6.2节。智能型通信网络支持的客户端应满足以下要求:
a)智能型通信网络的OAuth客户端在特定的安全保证级别应可认证,应符合ITU-TY.2702(2008)第7、8章,ITU-TX.1254(2012)第6章的规定;b)智能型通信网络的OAuth客户端必须在授权服务器注册,应符合IETFRFC6749中第2章的规定。智能型通信网络支持的客户端仅支持Web应用,其相关认证要求见IETFRFC6749的2.1节。6.2授权许可类型的选择
授权许可有以下4种类型:授权码许可、隐式的许可、资源拥有者口令凭证许可和客户端认证凭据许可。这4种类型的授权许可见IETFRFC6749。此外,关于OAuth2.0的SAML2.0断言许可类型的详细扩展见IETFRFC6750。当隐式许可过程中发出访问令牌时,授权服务器不需要认证客户端。在某些情况下,客户端的身份可以通过用于提供给客户端访问令牌的重定向URI来验证。访问令牌可能会暴露给资源拥有者或其它可访问资源拥有者的用户代理的应用,应用的相关认证见IETFRFC6749。因此,使用隐式许可类型的OAuth过程,不会产生符合智能型通信网络第三方应用提供商的认证要求,其认证要求见ITU-TY.2702第7.8章。智能型通信网络所支持的Web应用的机密型客户端能使用以下授权许可:。授权码(Authorization code);。资源拥有者口令认证(Resourceownerpasswordcredentials);·客户端证书(Clientcredentials):SAML2.0断言(SAML2.0assertion)。6.3智能型通信网络所支持的客户端的OAuth选项建议7
YD/T2917-2015
6.3.1客户端注册
本标准要求智能型通信网络支持的客户端向授权服务器注册其重定向的URI,能保证客户端具有更高的安全性,具体描述见IETFRFC6749的2.2节。6.3.2客户端重定向端点的消息的机密性保护当请求的应答类型是“授权码或“令牌”时,或当重定向请求会导致敏感凭据在公开网络传输时,重定向端点应按照IETFRFC6749的1.6节所述,要求使用TLS。本标准要求使用TLS传输所有敏感信息。6.3.3客户端身份验证
Web应用的客户端是机密类型客户端,因此,该客户端应向授权服务器进行认证。6.3.4授权过程
6.3.4.1授权许可类型
Web应用使用以下授权许可:
。授权码(Authorizationcode);。资源拥有者口令凭证(Resourceownerpasswordcredential);。客户端证书(Clientcredentials):SAML扩展(SAMLextension)。
6.3.4.2授权码
本标准规定了使用授权码的机密类型客户端的授权流程,要求把参数redirect_uri列入到授权请求中见IETFRFC6749的4.1节。
下列需求适用于授权服务器与使用授权码的Web应用客户端之间的交互。授权服务器应:认证发出授权请求的客户端:
●确保客户端的授权请求中的参数redirecturi的值,与客户端的注册值相匹配;仅对认证和授权成功的客户端下发授权码:在下发访问令牌前,确保授权码是有效的6.3.4.3资源拥有者口令认证
使用该许可类型的授权流程是对与资源所有者建立了信任的授权客户端进行了优化。客户端使用资源拥有者的口令凭证获取授权服务器发放的访问令牌。该流程能满足智能型通信网络的安全要求,具体规定见IETFRFC6749的4.3节。
注:IETFRFC6749中的2.1节允许公开客户端使用本流程。本标准只考虑机密类型的客户端,即这些客户端需要向授权服务器进行身份认证。
当授权服务器与使用授权类型为资源所有者口令认证的客户端交互时,应:?认证客户端身份:
验证客户端提供的资源拥有者口令凭证的有效性如果客户端已通过授权服务器认证并出示了有效的资源拥有者凭证,发放一个访问令牌。6.4资源拥有者的身份认证
IETFRFC6749没有规定授权服务器对资源拥有者(例如,最终用户)身份的认证。在智能型通信网络环境中,资源拥有者的身份认证机制,应满足ITU-TY.2702第7、8章的要求。6.5安全性考虑
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。