YD/T 3149-2016
基本信息
标准号: YD/T 3149-2016
中文名称:面向移动互联网的公共认证授权体系技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 面向 移动 互联网 公共 认证 授权 体系 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3149-2016.Requirement to internet oriented common authentication and authorization system.
1范围.
YD/T 3149规定了面向移动互联网的公共认证授权体系需求、适用范围、目标、架构模型以及相关技术用语、接口要求等。
YD/T 3149适用于移动互联网应用(包括客户端应用、Web或Wap应用)对用户的统一身份管理、 身份认证和对应用统一授权管理,基于应用身份的认证和授权、能力提供商的认证授权和跨域的互联互通。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注8期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YDB 136-2013移动应用软件商店信息安全技术要求
3术语和定义
下列术语和定义适用于本文件。
3.1
主体Subject
身份能够被独立识别的角色。在本体系架构中,主体包括移动互联网用户、移动互联网应用、身份提供商、能力提供商等。
3.2
移动互联网用户Mobile Internet User
移动互联网应用的使用者,包括个人及其终端设备(手机、pad等),以下简称用户。
3.3
浏览器Browser
用来浏览因特网上各种各样资源的一种客户端程序,用户通过其为媒介进行身份的认证及授权操作,可为单独的实体或内嵌于客户端中。
3.4
移动互联网应用Mobile Internet Application
为用户提供移动互联网服务,包括但不限于客户端应用、Web 或Wap类应用,以下简称应用。
1范围.
YD/T 3149规定了面向移动互联网的公共认证授权体系需求、适用范围、目标、架构模型以及相关技术用语、接口要求等。
YD/T 3149适用于移动互联网应用(包括客户端应用、Web或Wap应用)对用户的统一身份管理、 身份认证和对应用统一授权管理,基于应用身份的认证和授权、能力提供商的认证授权和跨域的互联互通。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注8期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YDB 136-2013移动应用软件商店信息安全技术要求
3术语和定义
下列术语和定义适用于本文件。
3.1
主体Subject
身份能够被独立识别的角色。在本体系架构中,主体包括移动互联网用户、移动互联网应用、身份提供商、能力提供商等。
3.2
移动互联网用户Mobile Internet User
移动互联网应用的使用者,包括个人及其终端设备(手机、pad等),以下简称用户。
3.3
浏览器Browser
用来浏览因特网上各种各样资源的一种客户端程序,用户通过其为媒介进行身份的认证及授权操作,可为单独的实体或内嵌于客户端中。
3.4
移动互联网应用Mobile Internet Application
为用户提供移动互联网服务,包括但不限于客户端应用、Web 或Wap类应用,以下简称应用。
标准图片预览
标准内容
ICS33.030
中华人民共和宝玉通信行标准
YD/T3149-2016
面向移动互联双的公共认证
授权体系技术要求
Requirementtointernetoriented commonauthenticationandauthorizationsystem2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件
术语和定义·
4功能需求·
5功能架构·
概述·
5.2功能描述·
5.3认证授权流程·
接口·
身份提供商
授权管理服务器
6.3能力提供商
YD/T3149-2016
YD/T3149-2016
本标准按照国标GB/T1.12009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、中讯邮电咨询设计院有限公司、中国信息通信研究院、中国电信集团公司。
本标准主要起草人:张鹏、王蓉、王志军、胡尼亚、刘晓靖、周伟昊
伟、刘伟。
iiKAoi KAca
1范围
面向移动互联网的公共认证授权体系技术要求YD/T3149-2016
本标准规定了面向移动互联网的公共认证授权体系需求、适用范围、自标、架构模型以及相关技术用语、接口要求等。
本标准适用于移动互联网应用(包括客户端应用、Web或Wap应用)对用户的统一身份管理、身份认证和对应用统一授权管理,基于应用身份的认证和授权、能力提供商的认证授权和跨域的互联互通。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YDB136-2013移动应用软件商店信息安全技术要求3术语和定义
下列术语和定义适用于本文件。3.1
主体Subject
身份能够被独立识别的角色。在本体系架构中,主体包括移动互联网用户、移动互联网应用、身份提供商、能力提供商等。
移动互联网用户MobileInternetUser移动互联网应用的使用者,包括个人及其终端设备(手机、pad等),以下简称用户。3.3
浏览器Browser
用来浏览因特网上各种各样资源的一种客户端程序,用户通过其为媒介进行身份的认证及授权操作,可为单独的实体或内嵌于客户端中。3.4
移动互联网应用MobileInternetApplication为用户提供移动互联网服务,包括但不限于客户端应用、Web或Wap类应用,以下简称应用。3.5
客户端应用ClientApplication
需要用户下载并安装特定软件才能提供服务的应用。3.6
Web应用WebApplication
用户直接通过浏览器访问的应用,使用HTTP作为传输协议。1
iiiKAoNiKAca
YD/T3149-2016
Wap应用WapApplicaton
一种特殊的Web应用,用户通过移动终端的浏览器访问,基于Wap作为传输协议。3.8
身份提供商IdentityProvider
用于创建、维持和管理主体身份信息,为其他主体提供身份认证的主体。3.9
能力提供商capabilityProvider维护管理用户属性信息(如位置、终端属性),完成特定功能,为应用服务。3.10
身份Identity
用于确定用户身份的唯一依据,一般一个用户拥有一个用户标识,不建议多个用户使用一个用户标识或者一个用户使用多个用户标识。3.11
认证Authentication
鉴别用户身份是否属实的活动。系统在允许用户访问系统提供的资源前一般必须进行鉴别过程。3.12
授权Authorization
某一系统实体获得的可访问某一系统资源的权利或许可,或者是授予此权利或许可的过程。3.13
授权管理服务器AuthorizationManagementServer提供用户对应用的授权服务,统一管理授权信息,为身份提供商或能力提供商提供授权信息认证服务。
访问控制AccessControl
一种安全保证手段,即数据处理系统的资源只能由被授权实体按授权方式进行访问。4功能需求
4.1概述
目前,用户在使用移动互联网应用的过程中通常需要验证用户的身份,使得用户需要到不同的业务中注册账号。随着移动互联网的不断发展和繁荣,面对海量的业务,记忆不同的账号成为用户沉重的负担。另外,维护大量的用户数据对应用来说不仅增大成本也会面临用户信息安全的风险。从而集中管理用户身份信息,简化用户操作,使应用开发者专注于业务创新,以提高用户体验并减少运营成本成为未来移动互联网发展的趋势。
同时,应用为完成其业务逻辑需要访问能力提供商维护的用户数据,而用户数据属于不同程度的个人隐私,不能毫无限制的任由应用使用。如何按照资源所有者的意愿安全可信的将用户数据或能力提供给应用也是急需解决的问题。
本标准从需求角度出发定义移动互联网中身份管理的目标架构,为整个移动互联网提供一套完整的2
HiiKAoNiKAca
YD/T3149-2016
基于身份的认证授权体系,统一管理身份信息,在互信的前提下将特定能力共享给各个业务使用,有助于用户对移动互联网业务的方便使用和统一体验以及各业务之间的互通,同时减少开发者和能力平台的开发及后期运营成本。
4.2整体目标
公共认证授权体系架构需达到以下基本目标:a)网络无关性:不局限用户采用何种方式接入网络,支持2G、3G、Wi-Fi等多种无线接入方式,无论采用何种方式接入都能提供相同的服务。b)应用无关性:不局限于何种应用类型,应用需满足一定的规格的基础上,不论用户使用B/S或C/S的应用,都能提供相同服务。c)访问控制:用户在使用应用时保持对个人数据的控制,个人数据可由身份提供商或能力提供商管理维护,包括哪些数据由谁使用、何时被使用、通过什么样的方式被使用等都需要得到用户的授权,保证用户能在基于适当的策略基础上使用应用中只透露必要的个人数据。d)数据分级控制:在身份提供商或能力提供商需要对用户或应用使用业务的合法性和有效性进行鉴权,包括应用具备的数据操作权限,用户具备的数据操作权限等。e)易用性:对未接入的用户、应用、能力提供商提供通用快速的接入方式。f)完整性:对接入的主体提供完整的管理方式。g)互通性:允许在适当的商业协议和关系的基础上,不同身份提供商域间的桥接和协同操作。4.3参考模型
参考模型中包含五个实体,分别是用户、应用、身份提供商、能力提供商和授权管理服务器,如图1所示。这个模型描述了用户通过一个从身份提供商在信任和安全政策基础上获得的身份和从能力提供商获得的个人属性(如位置、在线状态等),向应用请求服务的过程。应用
请求登陆
用户代理
请求验证用户身份
用户登录
身份提供商
颁发授权令牌给应用
请求访问(用户和应用)身份标识返回访问(访问(用户和应用)身份标识请求用户属性
返回用户属性
登录成功
参考模型
用户授权
能力提供商
对用户身份的认证结果
授权管理服务器
HiiKAoNiKAca
YD/T3149-2016
在图1所示的参考模型中,应用、身份提供商和能力提供商是逻辑上独立的主体。应用主要功能是验证从身份提供商的认证结果并根据认证结果从能力提供商获得用户的相关属性,从而向用户提供服务身份提供商是维护用户、应用和能力提供商的身份信息,并可向多个应用提供身份认证服务。能力提供商持有用户个性化数据如位置提供方保存有用户的当前位置或具备某种特殊功能,向应用提供服务,这些信息是需要获得用户授权才能访问的数据。身份标示是否与实名身份系统对接进行身份比对,根据应用需求以及服务的安全等级要求而定。流程简述:
a)用户使用某互联网业务,请求登陆。用户身份账号应用不管理,由身份提供商统一管理。b)应用将用户引导至身份提供商的登陆页面,用户输入账号和密码,登陆成功,c)身份提供商通知授权管理服务器用户身份认证结果,授权管理服务器向用户展示授权页面,询问用户是否授权。
d)用户同意授权,颁发访问令牌给应用。e)应用携带访问令牌请求身份提供商保存的用户信息,如用户名、ID等。f)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。g)应用完成对用户的认证,用户成功登录。4.4身份管理需求
身份提供商应支持对各类主体进行统一身份管理的能力,包括用户、应用和能力提供商。不同类型主体需要管理不同的身份数据,具备与实名身份系统对接的功能。身份提供商需提供接口或portal以使主体与之交互,进行身份信息的增加、删除、修改、查看操作。身份信息的变更,身份提供商都需保存并同步到相关主体中。身份的生命周期包括创建、维护和更新、注销。。创建:不同类型的主体在提交创建身份的申请,成为身份提供商管理的一员。提交申请后,身份提供商需按照流程对主体身份信息进行验证,审核通过后才可以颁发身份,身份信息包括身份ID、属性、令牌、证书等。从身份生成地点向其他实体返回身份的机制应该是安全的,以保证新创建的身份的机密性和完整性。支持根据所提交资料或其他方式,为不同身份划分等级,不同等级对应不同的服务。·维护和更新:身份创建完成后,身份提供商需负责安全的管理和维护相关数据(如身份ID、属性、令牌、证书)及其状态信息,保证数据不会丢失、泄露。在数据及其状态更新后,身份提供商需及时保存,并通知需要实时了解身份变更的主体,或主体周期性的查询变更结果。变更操作可由主体发起或身份提供商发起。
·注销:注销后身份提供商将废除该身份并删除相关数据,应防止无效身份的继续使用。在身份注销后后,身份提供商应及时通知需要实时了解身份注销的主体,或主体周期性的查询结果。注销操作可由主体发起或身份提供商发起。4.5身份认证与授权
在移动互联网的认证授权体系架构中,每一个主体都只负责各自域内安全的访问控制。在各自主体建立会话交互之前,双方都需通过令牌、证书及其他方式确认对方的身份信息,为控制访问提供依据。需要相互认证的双方包括:
a)用户与应用:
HiiKAoNiKAca
·应用需要向身份提供商发送用户身份认证请求,在请求中应标识应用身份:YD/T3149-2016
身份提供商需首先确认应用身份,然后发起对用户身份的认证,并将认证结果返回给应用:·根据应用所要求的安全等级、事物处理的敏感程度和价值以及错误风险的不同,需要提供不同强度的认证方式。
b)应用与能力提供商:
·能力提供商根据隐私保护的要求和访问控制的要求,访问控制策略进行配置:·应用需向能力提供商发送获得用户属性或使用某种能力的请求;·能力提供商需处理请求,返回应用需要的属性或提供某种服务;·如果能力提供商持有的数据与用户无关,则无需用户的授权。如果访问的数据涉及到用户隐私或利益则需要得到用户的授权:·用户授权需要用户、应用、身份提供商、能力提供商、授权管理服务器共同参与完成。·不同级别的用户和应用可访问的能力会有差异,如对金牌用户提供哪些能力,银牌用户提供哪些能力,能力提供商可根据自身情况定制不同的策略:·能力提供商与应用之间的身份认证需要通过身份提供商来完成该认证:·针对需要用户授权而未经授权或没有通过授权确认的请求,能力提供商需拒绝为其提供服务。4.6能力发现
在分布式的环境中能力来自于不同的提供方,对于应用来说,需要依据所需用户属性不同,搜索符合条件的能力提供商,并需了解如何调用。应用也可不使用能力发现功能,手动地确定需要调用的能力提供商。
4.7应用合规性审查
应用在创建身份时,应对其进行合规性审查,具体内容见YDB136-2013第5章“应用软件和数字内容安全要求”。
4.8跨域互联互通
不同身份提供商可以设置不同的格式来维护身份数据,相同的信息在不同的系统可以有不同的表示方式。身份提供商需要支持使用不同数据模型、数据结构的不同域之间进行桥接和互通,从而能绑定同一用户在不同域的账号,共享多个域的属性。对于应用只需在一个域中注册,通过域间统一标准接口,实现跨域认证该应用身份。
4.9安全
4.9.1数据安全
系统访问控制包括采用安全的方法防止未经授权访问到用户属性。有一些安全威胁与未经授权方的数据访问有关,因此应建立并且执行恰当的访问控制方法防止未经授权的访问请求。应为存储的身份信息和数据提供完整性保护以防止数据被毁坏或篡改而影响其完整性。4.9.2系统安全
向移动互联网应用提供认证服务,接口暴露在互联网上,所以自身的安全漏洞容易遭受来自于网络的各种安全威胁,大致有以下三种:·网络层面的非法IP、端口等入侵;·各种其他的入侵活动和攻击性网络流量等;5
HiiKANiKAca
YD/T3149-2016
●各种应用层面的攻击,如XSS、SQL注入、DOS(DDOS)、Cookie假冒等。4.9.3通道安全
各个主体之间传输的数据有应用的账号密码、用户的账号密码和个人隐私信息,在传输的过程中需要保证数据的完整性(不被篡改)和私密性(不被截获),可采用加密协议传输数据。5功能架构
5.1概述
第5章对从体系整体目标到具体功能都提出的需求,为满足以上需求本章提出公共认证授权体系的通用框架并给出各个主体的基本功能,如图2所示。用户
浏览器
授权令牌获取
授权令牌管理
授权管理服务器
授权信息管理
5.2功能描述
5.2.1用户
身份提供商
身份认证
访间控制
能力提供商
访间控制
身份信息管理
身份互通绑定
能力/属性管理
图2通用框架
实名身份系统
其他身份提供方
移动互联网应用使用者,身份标示、属性等信息由身份提供商或能力提供商负责维护,可在多个域中注册,按照自身意志决定是否对应用授权访问受限信息,通常情况下使用浏览器作为用户代理。5.2.2应用
5.2.2.1授权令牌获取
为用户提供互联网服务,须在身份提供商注册,才能获取授权令牌。触发授权流程,将用户代理重定向到当前用户所在域的身份提供商。解析结果,获取授权令牌。5.2.2.2授权令牌管理
负责授权令牌信息的维护,保存令牌、授权项、授权主体的对应关系以及令牌的有效期等。在需要访问受限资源时,携带令牌到相应的身份提供商或能力提供商请求用户信息,5.2.3身份提供商
HiiKAoNiKAca
5.2.3.1身份信息管理wwW.bzxz.Net
用户身份信息的创建、更新及删除。应用身份信息的创建、更新及删除。5.2.3.2身份认证
提供protal认证用户身份,提供接口认证应用身份。5.2.3.3访问控制
鉴权:将访问令牌发送到授权管理服务器请求鉴权,并处理结果。5.2.3.4身份互通绑定
绑定用户在多个域的账号,维护对应关系,实现信息共享。5.2.4能力提供商
5.2.4.1访问控制
鉴别应用身份:将应用身份信息发送到身份提供商请求鉴别,并处理结果。鉴权:将访问令牌发送到授权管理服务器请求鉴权,并处理结果。5.2.4.2能力管理
管理能力的生命周期:上线、更新、下线等。5.2.5授权管理服务器
5.2.5.1用户授权
YD/T3149-2016
验证用户身份,为用户提供授权应用的protal,需展示:授权主体即用户名、授权对象即应用名、授权项即应用可访问的用户信息。5.2.5.2授权信息管理
访问令牌生命周期管理即颁发、撤销及更新访问令牌,保存授权令牌、授权主体、授权对象,授权项的对应关系,使应用在用户授权下访问相应的资源。5.2.5.3鉴权
接收从身份提供商或能力提供商发来的访问令牌验证请求,验证访问令牌的有效性和正确性。5.3认证授权流程
5.3.1授权码流程
授权码流程图3所示,适用于移动互联网中有后台服务器端的业务,包括客户端应用、Web或Wap应用。
流程说明如下:
1)用户请求登录并使用某移动互联网业务2)应用返回重定向指令至身份提供商。3)用户代理(浏览器)访问身份提供商,请求认证用户身份。4)身份提供商返回登录页面
5)用户输入在身份提供商的账号和密码。6)若身份提供商认证用户身份成功,返回重定向指令至授权管理服务器,若失败则流程终止。7)用户代理(浏览器)访问授权管理服务器,请求授权应用访问资源。8)授权管理服务器返回授权确认页面,明确授权应用访问何种资源。7
YD/T3149-2016
9)用户同意授权或拒绝授权,
10)若用户同意,则返回重定向指令至应用,携带授权码,若拒绝则流程终止。11)浏览器按照10步重定向指令中的URL请求应用,应用获取授权码。12)应用携带授权码至授权管理服务器请求访问令牌。13)授权管理服务器给应用颁发访问令牌。14)应用携带访问令牌请求身份提供商保存的用户属性,如用户名、ID等。15)身份提供商返回用户属性。16)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。能力提供商携带应用标识至身份提供商请求验证应用身份。17)
身份提供商返回应用认证结果。18
能力提供商返回用户属性。
20)应用完成对用户的认证,用户成功登录。应用服务器
1请求登陆
2重定向到身份提供方
11获取授权码-
用户代理
3请求登陆
1登陆页面
5用户名/密码
6重定向到授权
管理服务器
身份提供商
7请求投权
8授权页面-
同意投权
能力提供商
-10重定向到应用,携带授权码
12获取访问会牌
13返回访间令牌
14携带访问令牌,请求访问(用户和应用)身份标识-15返回访问(访问(用户和应用)身份标识6携带访问令牌,请求用户属性
19返回用户属性
20登录成功
stoken
17请求验证应用身份
18返回认证结果
图3授权码流程
5.3.2隐式授权流程
授权管理服务器
隐式授权流程如图4所示,适用于移动互联网中无后台服务器端的业务,包括客户端应用、运行于浏览器内部的JavaScript、ActionScript应用。该情况下,应用客户端通过内嵌浏览器,触发浏览器请求至身份提供商,并捕提HTTP重定向获取访问令牌。
应用客户端
1请求登陆
2重定向到身份提供方
10获取访问令牌
用户代理
3请求登陆
4登陆页面
5用户名/密码
6重定向到授权
管理服务器
12携带访问令牌,请求访问(用户和应用)身份标识13返回访问(访问(用广和应用)身份标识身份提供商
7请求授权
8授权页面
9同意授权
能力提供商
10重定向到应用,携带访间令牌4携带访问令牌,请求用户属性
15请求验证应用身份
16返回验证结果
17返回用户属性
18登录成功
图4隐式授权流程
流程说明如下:
1)用户使用客户端应用,请求登录。2)客户端触发浏览器重定向指令至身份提供商。3)用户代理(浏览器)访问身份提供商,请求认证用户身份。4)身份提供商返回登录页面。
5)用户输入在身份提供商的账号和密码。YD/T3149-2016
授权管理服务器
6)若身份提供商认证用户身份成功,返回重定向指令至授权管理服务器。若失败则流程终止。7)用户代理(浏览器)访问授权管理服务器,请求授权应用访问资源。8)授权管理服务器返回授权确认页面,明确授权应用访问何种资源。9)用户同意授权或拒绝授权,
10)若用户同意,则返回重定向指令至应用,携带授权码。若拒绝则流程终止。11)应用捕捉浏览器中重定向指令,获取授权码。12)应用携带访问令牌请求身份提供商保存的用户属性,如用户名、ID等。13)身份提供商返回用户属性。14)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。15)能力提供商携带应用标识至身份提供商请求验证应用身份。16)身份提供商返回应用认证结果17)能力提供商返回用户属性。9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和宝玉通信行标准
YD/T3149-2016
面向移动互联双的公共认证
授权体系技术要求
Requirementtointernetoriented commonauthenticationandauthorizationsystem2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件
术语和定义·
4功能需求·
5功能架构·
概述·
5.2功能描述·
5.3认证授权流程·
接口·
身份提供商
授权管理服务器
6.3能力提供商
YD/T3149-2016
YD/T3149-2016
本标准按照国标GB/T1.12009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、中讯邮电咨询设计院有限公司、中国信息通信研究院、中国电信集团公司。
本标准主要起草人:张鹏、王蓉、王志军、胡尼亚、刘晓靖、周伟昊
伟、刘伟。
iiKAoi KAca
1范围
面向移动互联网的公共认证授权体系技术要求YD/T3149-2016
本标准规定了面向移动互联网的公共认证授权体系需求、适用范围、自标、架构模型以及相关技术用语、接口要求等。
本标准适用于移动互联网应用(包括客户端应用、Web或Wap应用)对用户的统一身份管理、身份认证和对应用统一授权管理,基于应用身份的认证和授权、能力提供商的认证授权和跨域的互联互通。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YDB136-2013移动应用软件商店信息安全技术要求3术语和定义
下列术语和定义适用于本文件。3.1
主体Subject
身份能够被独立识别的角色。在本体系架构中,主体包括移动互联网用户、移动互联网应用、身份提供商、能力提供商等。
移动互联网用户MobileInternetUser移动互联网应用的使用者,包括个人及其终端设备(手机、pad等),以下简称用户。3.3
浏览器Browser
用来浏览因特网上各种各样资源的一种客户端程序,用户通过其为媒介进行身份的认证及授权操作,可为单独的实体或内嵌于客户端中。3.4
移动互联网应用MobileInternetApplication为用户提供移动互联网服务,包括但不限于客户端应用、Web或Wap类应用,以下简称应用。3.5
客户端应用ClientApplication
需要用户下载并安装特定软件才能提供服务的应用。3.6
Web应用WebApplication
用户直接通过浏览器访问的应用,使用HTTP作为传输协议。1
iiiKAoNiKAca
YD/T3149-2016
Wap应用WapApplicaton
一种特殊的Web应用,用户通过移动终端的浏览器访问,基于Wap作为传输协议。3.8
身份提供商IdentityProvider
用于创建、维持和管理主体身份信息,为其他主体提供身份认证的主体。3.9
能力提供商capabilityProvider维护管理用户属性信息(如位置、终端属性),完成特定功能,为应用服务。3.10
身份Identity
用于确定用户身份的唯一依据,一般一个用户拥有一个用户标识,不建议多个用户使用一个用户标识或者一个用户使用多个用户标识。3.11
认证Authentication
鉴别用户身份是否属实的活动。系统在允许用户访问系统提供的资源前一般必须进行鉴别过程。3.12
授权Authorization
某一系统实体获得的可访问某一系统资源的权利或许可,或者是授予此权利或许可的过程。3.13
授权管理服务器AuthorizationManagementServer提供用户对应用的授权服务,统一管理授权信息,为身份提供商或能力提供商提供授权信息认证服务。
访问控制AccessControl
一种安全保证手段,即数据处理系统的资源只能由被授权实体按授权方式进行访问。4功能需求
4.1概述
目前,用户在使用移动互联网应用的过程中通常需要验证用户的身份,使得用户需要到不同的业务中注册账号。随着移动互联网的不断发展和繁荣,面对海量的业务,记忆不同的账号成为用户沉重的负担。另外,维护大量的用户数据对应用来说不仅增大成本也会面临用户信息安全的风险。从而集中管理用户身份信息,简化用户操作,使应用开发者专注于业务创新,以提高用户体验并减少运营成本成为未来移动互联网发展的趋势。
同时,应用为完成其业务逻辑需要访问能力提供商维护的用户数据,而用户数据属于不同程度的个人隐私,不能毫无限制的任由应用使用。如何按照资源所有者的意愿安全可信的将用户数据或能力提供给应用也是急需解决的问题。
本标准从需求角度出发定义移动互联网中身份管理的目标架构,为整个移动互联网提供一套完整的2
HiiKAoNiKAca
YD/T3149-2016
基于身份的认证授权体系,统一管理身份信息,在互信的前提下将特定能力共享给各个业务使用,有助于用户对移动互联网业务的方便使用和统一体验以及各业务之间的互通,同时减少开发者和能力平台的开发及后期运营成本。
4.2整体目标
公共认证授权体系架构需达到以下基本目标:a)网络无关性:不局限用户采用何种方式接入网络,支持2G、3G、Wi-Fi等多种无线接入方式,无论采用何种方式接入都能提供相同的服务。b)应用无关性:不局限于何种应用类型,应用需满足一定的规格的基础上,不论用户使用B/S或C/S的应用,都能提供相同服务。c)访问控制:用户在使用应用时保持对个人数据的控制,个人数据可由身份提供商或能力提供商管理维护,包括哪些数据由谁使用、何时被使用、通过什么样的方式被使用等都需要得到用户的授权,保证用户能在基于适当的策略基础上使用应用中只透露必要的个人数据。d)数据分级控制:在身份提供商或能力提供商需要对用户或应用使用业务的合法性和有效性进行鉴权,包括应用具备的数据操作权限,用户具备的数据操作权限等。e)易用性:对未接入的用户、应用、能力提供商提供通用快速的接入方式。f)完整性:对接入的主体提供完整的管理方式。g)互通性:允许在适当的商业协议和关系的基础上,不同身份提供商域间的桥接和协同操作。4.3参考模型
参考模型中包含五个实体,分别是用户、应用、身份提供商、能力提供商和授权管理服务器,如图1所示。这个模型描述了用户通过一个从身份提供商在信任和安全政策基础上获得的身份和从能力提供商获得的个人属性(如位置、在线状态等),向应用请求服务的过程。应用
请求登陆
用户代理
请求验证用户身份
用户登录
身份提供商
颁发授权令牌给应用
请求访问(用户和应用)身份标识返回访问(访问(用户和应用)身份标识请求用户属性
返回用户属性
登录成功
参考模型
用户授权
能力提供商
对用户身份的认证结果
授权管理服务器
HiiKAoNiKAca
YD/T3149-2016
在图1所示的参考模型中,应用、身份提供商和能力提供商是逻辑上独立的主体。应用主要功能是验证从身份提供商的认证结果并根据认证结果从能力提供商获得用户的相关属性,从而向用户提供服务身份提供商是维护用户、应用和能力提供商的身份信息,并可向多个应用提供身份认证服务。能力提供商持有用户个性化数据如位置提供方保存有用户的当前位置或具备某种特殊功能,向应用提供服务,这些信息是需要获得用户授权才能访问的数据。身份标示是否与实名身份系统对接进行身份比对,根据应用需求以及服务的安全等级要求而定。流程简述:
a)用户使用某互联网业务,请求登陆。用户身份账号应用不管理,由身份提供商统一管理。b)应用将用户引导至身份提供商的登陆页面,用户输入账号和密码,登陆成功,c)身份提供商通知授权管理服务器用户身份认证结果,授权管理服务器向用户展示授权页面,询问用户是否授权。
d)用户同意授权,颁发访问令牌给应用。e)应用携带访问令牌请求身份提供商保存的用户信息,如用户名、ID等。f)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。g)应用完成对用户的认证,用户成功登录。4.4身份管理需求
身份提供商应支持对各类主体进行统一身份管理的能力,包括用户、应用和能力提供商。不同类型主体需要管理不同的身份数据,具备与实名身份系统对接的功能。身份提供商需提供接口或portal以使主体与之交互,进行身份信息的增加、删除、修改、查看操作。身份信息的变更,身份提供商都需保存并同步到相关主体中。身份的生命周期包括创建、维护和更新、注销。。创建:不同类型的主体在提交创建身份的申请,成为身份提供商管理的一员。提交申请后,身份提供商需按照流程对主体身份信息进行验证,审核通过后才可以颁发身份,身份信息包括身份ID、属性、令牌、证书等。从身份生成地点向其他实体返回身份的机制应该是安全的,以保证新创建的身份的机密性和完整性。支持根据所提交资料或其他方式,为不同身份划分等级,不同等级对应不同的服务。·维护和更新:身份创建完成后,身份提供商需负责安全的管理和维护相关数据(如身份ID、属性、令牌、证书)及其状态信息,保证数据不会丢失、泄露。在数据及其状态更新后,身份提供商需及时保存,并通知需要实时了解身份变更的主体,或主体周期性的查询变更结果。变更操作可由主体发起或身份提供商发起。
·注销:注销后身份提供商将废除该身份并删除相关数据,应防止无效身份的继续使用。在身份注销后后,身份提供商应及时通知需要实时了解身份注销的主体,或主体周期性的查询结果。注销操作可由主体发起或身份提供商发起。4.5身份认证与授权
在移动互联网的认证授权体系架构中,每一个主体都只负责各自域内安全的访问控制。在各自主体建立会话交互之前,双方都需通过令牌、证书及其他方式确认对方的身份信息,为控制访问提供依据。需要相互认证的双方包括:
a)用户与应用:
HiiKAoNiKAca
·应用需要向身份提供商发送用户身份认证请求,在请求中应标识应用身份:YD/T3149-2016
身份提供商需首先确认应用身份,然后发起对用户身份的认证,并将认证结果返回给应用:·根据应用所要求的安全等级、事物处理的敏感程度和价值以及错误风险的不同,需要提供不同强度的认证方式。
b)应用与能力提供商:
·能力提供商根据隐私保护的要求和访问控制的要求,访问控制策略进行配置:·应用需向能力提供商发送获得用户属性或使用某种能力的请求;·能力提供商需处理请求,返回应用需要的属性或提供某种服务;·如果能力提供商持有的数据与用户无关,则无需用户的授权。如果访问的数据涉及到用户隐私或利益则需要得到用户的授权:·用户授权需要用户、应用、身份提供商、能力提供商、授权管理服务器共同参与完成。·不同级别的用户和应用可访问的能力会有差异,如对金牌用户提供哪些能力,银牌用户提供哪些能力,能力提供商可根据自身情况定制不同的策略:·能力提供商与应用之间的身份认证需要通过身份提供商来完成该认证:·针对需要用户授权而未经授权或没有通过授权确认的请求,能力提供商需拒绝为其提供服务。4.6能力发现
在分布式的环境中能力来自于不同的提供方,对于应用来说,需要依据所需用户属性不同,搜索符合条件的能力提供商,并需了解如何调用。应用也可不使用能力发现功能,手动地确定需要调用的能力提供商。
4.7应用合规性审查
应用在创建身份时,应对其进行合规性审查,具体内容见YDB136-2013第5章“应用软件和数字内容安全要求”。
4.8跨域互联互通
不同身份提供商可以设置不同的格式来维护身份数据,相同的信息在不同的系统可以有不同的表示方式。身份提供商需要支持使用不同数据模型、数据结构的不同域之间进行桥接和互通,从而能绑定同一用户在不同域的账号,共享多个域的属性。对于应用只需在一个域中注册,通过域间统一标准接口,实现跨域认证该应用身份。
4.9安全
4.9.1数据安全
系统访问控制包括采用安全的方法防止未经授权访问到用户属性。有一些安全威胁与未经授权方的数据访问有关,因此应建立并且执行恰当的访问控制方法防止未经授权的访问请求。应为存储的身份信息和数据提供完整性保护以防止数据被毁坏或篡改而影响其完整性。4.9.2系统安全
向移动互联网应用提供认证服务,接口暴露在互联网上,所以自身的安全漏洞容易遭受来自于网络的各种安全威胁,大致有以下三种:·网络层面的非法IP、端口等入侵;·各种其他的入侵活动和攻击性网络流量等;5
HiiKANiKAca
YD/T3149-2016
●各种应用层面的攻击,如XSS、SQL注入、DOS(DDOS)、Cookie假冒等。4.9.3通道安全
各个主体之间传输的数据有应用的账号密码、用户的账号密码和个人隐私信息,在传输的过程中需要保证数据的完整性(不被篡改)和私密性(不被截获),可采用加密协议传输数据。5功能架构
5.1概述
第5章对从体系整体目标到具体功能都提出的需求,为满足以上需求本章提出公共认证授权体系的通用框架并给出各个主体的基本功能,如图2所示。用户
浏览器
授权令牌获取
授权令牌管理
授权管理服务器
授权信息管理
5.2功能描述
5.2.1用户
身份提供商
身份认证
访间控制
能力提供商
访间控制
身份信息管理
身份互通绑定
能力/属性管理
图2通用框架
实名身份系统
其他身份提供方
移动互联网应用使用者,身份标示、属性等信息由身份提供商或能力提供商负责维护,可在多个域中注册,按照自身意志决定是否对应用授权访问受限信息,通常情况下使用浏览器作为用户代理。5.2.2应用
5.2.2.1授权令牌获取
为用户提供互联网服务,须在身份提供商注册,才能获取授权令牌。触发授权流程,将用户代理重定向到当前用户所在域的身份提供商。解析结果,获取授权令牌。5.2.2.2授权令牌管理
负责授权令牌信息的维护,保存令牌、授权项、授权主体的对应关系以及令牌的有效期等。在需要访问受限资源时,携带令牌到相应的身份提供商或能力提供商请求用户信息,5.2.3身份提供商
HiiKAoNiKAca
5.2.3.1身份信息管理wwW.bzxz.Net
用户身份信息的创建、更新及删除。应用身份信息的创建、更新及删除。5.2.3.2身份认证
提供protal认证用户身份,提供接口认证应用身份。5.2.3.3访问控制
鉴权:将访问令牌发送到授权管理服务器请求鉴权,并处理结果。5.2.3.4身份互通绑定
绑定用户在多个域的账号,维护对应关系,实现信息共享。5.2.4能力提供商
5.2.4.1访问控制
鉴别应用身份:将应用身份信息发送到身份提供商请求鉴别,并处理结果。鉴权:将访问令牌发送到授权管理服务器请求鉴权,并处理结果。5.2.4.2能力管理
管理能力的生命周期:上线、更新、下线等。5.2.5授权管理服务器
5.2.5.1用户授权
YD/T3149-2016
验证用户身份,为用户提供授权应用的protal,需展示:授权主体即用户名、授权对象即应用名、授权项即应用可访问的用户信息。5.2.5.2授权信息管理
访问令牌生命周期管理即颁发、撤销及更新访问令牌,保存授权令牌、授权主体、授权对象,授权项的对应关系,使应用在用户授权下访问相应的资源。5.2.5.3鉴权
接收从身份提供商或能力提供商发来的访问令牌验证请求,验证访问令牌的有效性和正确性。5.3认证授权流程
5.3.1授权码流程
授权码流程图3所示,适用于移动互联网中有后台服务器端的业务,包括客户端应用、Web或Wap应用。
流程说明如下:
1)用户请求登录并使用某移动互联网业务2)应用返回重定向指令至身份提供商。3)用户代理(浏览器)访问身份提供商,请求认证用户身份。4)身份提供商返回登录页面
5)用户输入在身份提供商的账号和密码。6)若身份提供商认证用户身份成功,返回重定向指令至授权管理服务器,若失败则流程终止。7)用户代理(浏览器)访问授权管理服务器,请求授权应用访问资源。8)授权管理服务器返回授权确认页面,明确授权应用访问何种资源。7
YD/T3149-2016
9)用户同意授权或拒绝授权,
10)若用户同意,则返回重定向指令至应用,携带授权码,若拒绝则流程终止。11)浏览器按照10步重定向指令中的URL请求应用,应用获取授权码。12)应用携带授权码至授权管理服务器请求访问令牌。13)授权管理服务器给应用颁发访问令牌。14)应用携带访问令牌请求身份提供商保存的用户属性,如用户名、ID等。15)身份提供商返回用户属性。16)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。能力提供商携带应用标识至身份提供商请求验证应用身份。17)
身份提供商返回应用认证结果。18
能力提供商返回用户属性。
20)应用完成对用户的认证,用户成功登录。应用服务器
1请求登陆
2重定向到身份提供方
11获取授权码-
用户代理
3请求登陆
1登陆页面
5用户名/密码
6重定向到授权
管理服务器
身份提供商
7请求投权
8授权页面-
同意投权
能力提供商
-10重定向到应用,携带授权码
12获取访问会牌
13返回访间令牌
14携带访问令牌,请求访问(用户和应用)身份标识-15返回访问(访问(用户和应用)身份标识6携带访问令牌,请求用户属性
19返回用户属性
20登录成功
stoken
17请求验证应用身份
18返回认证结果
图3授权码流程
5.3.2隐式授权流程
授权管理服务器
隐式授权流程如图4所示,适用于移动互联网中无后台服务器端的业务,包括客户端应用、运行于浏览器内部的JavaScript、ActionScript应用。该情况下,应用客户端通过内嵌浏览器,触发浏览器请求至身份提供商,并捕提HTTP重定向获取访问令牌。
应用客户端
1请求登陆
2重定向到身份提供方
10获取访问令牌
用户代理
3请求登陆
4登陆页面
5用户名/密码
6重定向到授权
管理服务器
12携带访问令牌,请求访问(用户和应用)身份标识13返回访问(访问(用广和应用)身份标识身份提供商
7请求授权
8授权页面
9同意授权
能力提供商
10重定向到应用,携带访间令牌4携带访问令牌,请求用户属性
15请求验证应用身份
16返回验证结果
17返回用户属性
18登录成功
图4隐式授权流程
流程说明如下:
1)用户使用客户端应用,请求登录。2)客户端触发浏览器重定向指令至身份提供商。3)用户代理(浏览器)访问身份提供商,请求认证用户身份。4)身份提供商返回登录页面。
5)用户输入在身份提供商的账号和密码。YD/T3149-2016
授权管理服务器
6)若身份提供商认证用户身份成功,返回重定向指令至授权管理服务器。若失败则流程终止。7)用户代理(浏览器)访问授权管理服务器,请求授权应用访问资源。8)授权管理服务器返回授权确认页面,明确授权应用访问何种资源。9)用户同意授权或拒绝授权,
10)若用户同意,则返回重定向指令至应用,携带授权码。若拒绝则流程终止。11)应用捕捉浏览器中重定向指令,获取授权码。12)应用携带访问令牌请求身份提供商保存的用户属性,如用户名、ID等。13)身份提供商返回用户属性。14)应用携带访问令牌请求能力提供商保存的用户信息,如爱好、经历、位置等。15)能力提供商携带应用标识至身份提供商请求验证应用身份。16)身份提供商返回应用认证结果17)能力提供商返回用户属性。9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。