YDB 057-2011
基本信息
标准号:
YDB 057-2011
中文名称:下一代网络(NGN)身份管理需求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2210126
相关标签:
下一代
网络
身份
管理
需求
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 057-2011.Next Generation Network Identity Management Requirements.
1范围
YDB 057报告规定了IdM在NGN网络环境和参考模型中的位置、IdM的基本管理目标、IdM基 本需求。
YDB 057报告适用于下一代网络(NGN) 环境。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仪所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ITU-T E. 107 应急通信服务和应急通信服务国家实现的互联互通功能框架
ITU-T Y. 2012 (2010)NGN的功能需求与架构
ITU-T Y. 2205下一代网络-应急通信技术考虑
ITU-T Y. 2720 (2009)NGN身份管理功能框架
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
匿名anonymity
允许匿名访问服务的能力,避免跟踪用户个人信息和用户行为,例如用户的位置、业务使用频率等。
3.1.2
认证authent ication
提供实体所声明的身份的保证。
3.1.3
授权author ization
授予权力,包括根据访问权限授予访问权力。
3.1.4
断言assertion
由实体提供的未经验证的声明。
3.1.5
保证assurance
一种信任度量,在依赖方和身份提供方之间准确的调解和执行安全策略的安全特性和身份管理体系架构能力。
标准内容
通信标准类技术报告
YDB057—2011
下一代网络(NGN)身份管理需求Next Generation Network Identity Management Requirements(ITU-T Y.2721:2010, NGN identity management requirementsand use cases,MOD)
2011-02-18印发
中国通信标准化协会
规范性引用文件
3术语、定义和缩略语。
3.1术语和定义
3.2缩略语
4IdM概述.
5NGN体系架构和参考模型中的IdM5.1与NGN功能体系架构的关系
5.2外部接口和IdM通信
5.3业务的模型
6IdM基本管理目标
IdM需求
基本需求
身份的生命周期管理需求
身份管理运行、管理、维护和配置功能7.4信令与控制功能
7.5身份管理联盟身份功能
7.6用户或订购用户功能和PII的保护IdM安全要求
附录A(资料性附录)
附录B(资料性附录)
参考文献。
NGN网络中IdM部署场景
IdM事务处理模型
YDB057—2011
YDB057-2011
本技术报告是下一代网络(NGN)身份管理研究系列技术报告之一,该系列技术报告的结构及名称预计如下:
一《下一代网络(NGN)身份管理需求》:一《下一代网络(NGN)身份管理功能架构要求》:《下一代网络(NGN)身份管理实施机制》。本技术报告按照GB1.1-2009给出的规则起草。本技术报告使用重新起草法修改采用ITU-TY.2721:2010《下一代网络(NGN)身份管理需求与用列》编制,与ITU-TY.2721:2010相比主要差异如下:将名称修改为《下一代网络(NGN)身份管理需求》:一删除附录I、II、III、IV的内容。为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位:工业和信息化部电信研究院、华为技术有限公司、中兴通讯股份有限公司、上海贝尔股份有限公司。
本技术报告主要起草人:武静、郭大勇、罗鉴、顾方方。I
-iiKAoNni KAca
1范围
下一代网络(NGN)身份管理需求YDB057—2011
本技术报告规定了IdM在NGN网络环境和参考模型中的位置、IdM的基本管理目标、IdM基本需求,本技术报告适用于下一代网络(NGN)环境2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-T E. 107
ITU-TY.2012(2010)
ITU-TY.2205
ITU-TY.2720(2009)
术语、定义和缩略语
3.1术语和定义
应急通信服务和应急通信服务国家实现的互联互通功能架NGN的功能需求与架构
下一代网络-应急通信-技术考虑NGN身份管理功能框架
下列术语和定义适用于本文件。3.1.1
匿名anonymity
允许匿名访问服务的能力,避免跟踪用户个人信息和用户行为,例如用户的位置、业务使用频率等3.1.2
认证authentication
提供实体所声明的身份的保证。3.1.3
授权authorization
授予权力,包括根据访问权限授予访问权力。3.1.4
断言assertion
由实体提供的未经验证的声明。3.1.5
保证assurance
iiiKAoNiKAca
YDB057-2011
种信任度量,在依赖方和身份提供方之间准确的调解和执行安全策略的安全特性和身份管理体系架构能力。
绑定binding
种明确建立的关联、结合或联结。3.1.7
声明claim
表达事实情况,而不能进行验证。3.1.8
上下文context
实体存在和交互的定义了边界条件的环境。3.1.9
证书credential
一组数据作为所声明的身份或者权利的证据。3.1.10
委托delegation
向另一个对象分派权力、责任或者功能的活动。3.1.11
发现discovery
对机器可处理的网络相关的资源描述的定位活动,可能之前是未知的且满足一定的功能标准。发现包括匹配一系列功能和一系列资源描述标准。发现的目标是寻找合适的业务相关资源。3.1.12
实体entity
任何单独和截然不同的存在,能够被独立识别出来。在IdM上下文中,实体包括订购用户,用户网元、网络、软件应用、服务和设备等。一个实体可以有多个标识符。3.1.13
应急通信emergencytelecommunications,ET应急通信意味着任何与紧急情况相关的服务,要求NGN特殊处理,包括政府授权的应急服务和公众安全服务。
应急通信服务emergencytelecommunications service,ETs种国家服务,在灾难和紧急情况下为ETS授权的用户提供优先通信权。3.1.15
iiiKAoNiKAca
联盟federation
YDB057—2011
在两个或者多个实体之间或者包括多个业务提供方和身份提供方的关联之间创建关系3.1.16
联盟身份federationidentity
能够用于访问一组服务或应用的身份,由联盟的策略和条件进行范围限定3.1.17
标识符identifier
标识符是一系列数字、字符和标志或者用于标识订购用户、用户、网元、功能、提供业务和应用的网络实体或其它物理或逻辑对象等实体的数据格式。3.1.18
身份identity
用一个或者多个属性形式表示实体,允许实体在上下文中足以与其它实体相区别。出于身份管理目的的身份可以理解为上下文身份(属性集),例如由定义好边界条件的功能架构限制的各种属性,实体在这个功能架构中存在和交互。3.1.19
身份保证identityassurance
在身份确认和核实过程中的信任等级被用于创建实体身份发出的证书以及实体使用证书的信任等级,信任等级是由实体或实体证书发布或分配的3.1.20
身份提供方identityprovider
创建、维护和管理其它实体(例如,用户、订购用户、组织机构、设备等)可信身份信息的实体,提供建立在信任、商业和其它关系基础上的基于身份的服务。3.1.21
身份管理identitymanagement
用于下述下目的的一系列功能和能力(例如行政管理、管理和维护、发现、通信交互、关联与绑定、策略执行、认证、断言等):
一身份信息(例如:标识符、证书、属性)保证;一一实体身份保证(例如:用户/订购用户、组群、用户设备、组织机构、网络和业务提供方、网元、各种虚拟或者物理对象):一触发商业和安全应用。
模式pattern
来源于实体行为的结构化表达方式,有助于或提供实体识别,也可以包括实体的信誉。模式可以与一个实体唯一关联或者与一组实体关联。3.1.23
iiKAONiKAca
YDB 057-2011
个人可识别信息personallyidentifiableinformation任何标识或能够用于标识、联系、定位某人的身份信息,或者从标识、联络信息中可以得出个人信息,或者能够直接或间接链接到自然人的信息。3.1.24
在线presence
套说明实体当前状态的属性。
主体principal
身份能够被认证的实体。
隐私privacy
对个人可识别信息的保护。
依赖方relyingparty
依赖于身份表示方式或请求声明的实体。3.1.28
用户user
包括终端用户、个人、订购用户、系统、设备、终端(例如,传真、PC)、功能实体、进程、应用、提供方或协作网络。
信任trust
衡量信赖某人或某物的个性、能力、实力、或真实性的一种尺度。2缩略语
下列缩略语适用于本文件。
Application-to-Network InterfaceExternal Application GatewayEmergency TelecommunicationsEmergencyTelecommunicationsServiceGeneric Bootstrapping ArchitectureIdentifier
Identity Management
Identity Provider
Internet Protocol TelevisionNext Generation Network(s)
Network-to-Network Interface应用与网络间接口
外部应用网关
应急通信
应急通信服务
通用引导架构
标识符
身份管理
身份提供方
互联网协议电视
下一代网络
网间接口
iiKANiKAca
IdM概述
PersonalIdentificationInformationRadio-FreguencyIdentificationRelying Party
SecurityAssertionMarkupLanguageSession Initiation Protocol
Service Provider
Use需求:to-NetworkInterfaceUniform Resource Identifier
VoiceoverInternetProtocol
Web Service Gateway
个人可识别信息
无线射频识别
依赖方
安全断言标记语言
会话初始协议
业务提供方
用户一网络接口
统一资源标识符
IP电话
Web服务网关
YDB057—2011
通信能力的增长和演变促进了各式各样的消费电子服务、商业电子服务和政府电子服务。新型网络技术不断涌现,网络能力持续演变给传统相对封闭的通信网络带来巨大变化。在过去,网络中的身份信息存储在相对封闭且可信的环境中,随着电信网络与互联网络的快速融合,通信网络的基础设施也从曾经的封闭环境向开放的网络环境演进,引入了更多的新型业务提供实体,因而网络中各种身份信息来源也不再是可信和确定的。同时,还伴随出现身份信息的安全保证、网络安全、隐私信息的保护以及对网络基础设施的保护等问题。身份管理(IdM)就是解决上述问题的,它提供对实体身份进行管理的一套通用能力集,包括身份信息的保证、实体身份的保证以及实现业务和安全的应用,NGN网络应将身份管理(IdM)能力作为通信基础设施的一个重要组成部分。业务和安全应用
包括基于身份的服务
联邦服务
应用服务接入控制(如,多媒体和IPTV)单点登录退出
按角色接入信息、资源和资产
个人可识别信息的保护
网络基础设施信息的安全保护
IdM功能和能力
身份生命周期管理
身份信息
身份信息相关和捆绑
身份信息认证、保证和声明
身份信息的发现和交流
标识符
(如,用户身份、电子邮件
地址、电话号码、URI、
地址)
(如,数字证书、令牌和生物
特征)
纽织、商业企业、政府企业
使用者和用户
(如,角色、声明、境
况、优势、位置)
网络和服务提供方
用户设备
IdM总览图
虚拟对象
网元和对象
HiiKAoNiKAca
YDB 057-2011
身份管理结构包括一系列实体,每一个实体都有特定和唯一的身份信息。实体的范围从个人用户到机构组织和虚拟对象。实体的身份信息包括公共数据(例如:电话号码等),也包括高度敏感身份数据(例如:密码、数字证书或其它私有认证器)。一个实体可以有一个或者多个身份声明,这些声明包括涉及到商业或者社会活动中的多种角色(例如:公民、配偶、交母、客户、病人等)。自然人在不同上下文环境中可以与多个数字身份相关联。如图1所示,身份管理结构中包括实体、身份信息、身份功能与能力、商业和安全应用四个方面:a)实体可以包括:此内容来自标准下载网
用户、订购用户;
用户设备、网元和对象;
组织机构、组群、商业企业和政府企业;网络和业务提供方:
虚拟对象。
b)与实体有关的身份信息可以划分为:标识符,例如:UserID、email地址、电话号码、URI、IP地址:证书,例如:数字证书、安全令牌、生物测定:·
属性,例如:角色、声明、权限、认证方法、模式、位置。身份管理功能和能力用于保证身份信息,实体的身份,支持或加强商业和安全应用,包括基于c)
身份的服务。IdM功能和能力可包括:身份生命周期管理;
身份信息组织、关联和绑定:
认证、认证保证和断言;
发现和交互身份信息:
桥接不同IdM系统实现互操作的功能和能力。商业和安全应用:支持和加强商业和安全应用的IdM功能和能力包括基于身份的服务。具体如d)
商业应用可包括:
联盟的服务,例如:跨不同联盟或NGN提供方的业务访问:单点登入或登出。
安全应用可包括:
网络和应用服务的访问控制;
基于角色的对信息,资源和资产的访问控制授权和权限管理;
安全保护服务:
个人可识别信息的保护。
基于身份的服务可包括:
标识符、证书、属性服务;
桥接服务,在混合网络环境中不同身份信息的映射和互通:模式信息服务。
5NGN体系架构和参考模型中的IdM5.1与NGN功能体系架构的关系
iiiKAoNiKAca
YDB057—2011
在ITU-TY.2012(2010)定义的NGN参考架构模型中,与IdM相关的功能可能位于不同的平面(例如:用户平面、控制平面、管理平面)和分布式架构中的层(例如:业务层和传送层)。从实现和实施角度,对IdM业务和能力的支持能够包括使用NGN环境中的已有网元或者一些第三方环境中的网元。如图2所示,ITU-TY.2012(2010)图7中所规定的NGN功能体系架构中包括了IdM功能块。图2描述支持IdM业务和能力的通用概念包括IdM功能块与特定功能实体交互以支持与身份服务有关的应用业务。为支持特定的IdM服务或能力,IdM功能块可以与下述功能模块进行交互:应用功能(applications):
业务层面:应用支持功能和业务支持功能、业务控制功能和内容交付功能:传送层面:传送控制功能和传送功能:终端用户功能:
管理功能。
应用支持功能和业务支持功能
IdM功能
业务控制和内容交付功能
业务用户配置文件
业务层面
网络附着和控制功能
转送用户配置文件
终端用户
5.2外部接口和1dM通信
传送层面
业务控制功能
移动性管理和
控制功能
传送控制功能
传送功能
内容交付功能
资源和管理控
制功能
图2ITU-TY.2012中NGN总体架构
其它业务
提供方的
其它网络
的功能模
使用ITU-TY.2012中定义的标准接口在不同管理域和联盟之间交换身份信息,可以包括下列适用的接口:
用户-网络接口(UNI):
网络-网络接口(NNI):
YDB057-2011
—一应用-网络接口(ANI):
一服务器-网络接口(SNI)。
接口方案将与特定的应用和业务需求(例如:实时业务或非实时业务)、协议(例如:SAML协议、diameter协议、radius协议、SIP协议)、机制和方法(例如:X.509、GBA、ID-WSF)等因素有关。5.3业务的模型
在NGN网络中部署IdM的示例参见附录A。ITU-TX.1250提供了涉及多个参与方的业务模型示例,参见附录B。
6IdM基本管理目标
IdM的基本目标如下:
a)NGN应支持IdM解决方案尽量减小对用户和订购用户的影响:涉及新型能力的解决方案应提供适当的过渡方案;b)
支持在一个NGN提供方域内的可互操作的IdM解决方案:c)
支持跨不同NGN提供方和业务提供方主域或基于适当的商业协定和关系建立的联盟之间的可d)
互操作的IdM解决方案:
支持混合IdM系统和联盟的桥接。例如,允许在适当的商业协议和关系的基础上,在NGN提供e)
方的IdM系统和其它类型的IdM系统(例如:web服务、内容和第三方提供方的IdM系统)之间的桥接能力
终端用户或订购用户在进行交互和使用应用服务的同时,在他们的身份生命周期内保持对个人f)
数据的控制,包括这些身份数据由谁使用,何时被使用,通过什么样的方式被使用等:终端用户或订购用户能够决定在基于适当的策略基础上建立双向信任和进行事务处理过程中g)
只透露最少的必要个人信息;
终端用户或订购用户应能够检验实体所请求的身份数据和PI的真实性。终端用户或订购用户可以使用多个标识符:
基于适当的应用上下文和策略,终端用户或订购用户应能够使用匿名身份、假名身份或已知身i)
份进行操作。
7IdM需求
7.1基本需求
需求1:NGN/IdP应支持对各种类型实体进行身份管理的能力,实体包括:安全管理实体身份的生命周期,包括注册、验证、撤销等过程:安全发现和交换与实体身份有关的身份信息。发现和交换过程可以包括位于NGN域内或者跨不同行政管理域的身份信息。
需求3:NGN/IdP应支持与实体身份或者身份信息相关的适用政策的执行需求4:NGN/IdP应同时支持实时应用(例如,VoIP、IPTV)和非实时应用(例如,web-based数据事务处理)IdM功能和能力。
需求5:NGN/IdP应在遵循适用政策的前提下,支持允许身份信息匿名断言的IdM功能和能力。需求6:NGN/IdP应支持在一个NGN提供方主域内的网元之间或者不同NGN提供方域间的IdM安全五通。需求7:NGN/IdP将支持终端用户易用的服务和特性,例如:8
一一用户、组群;
一机构组织、联盟、企业、业务提供方:一设备、网元、系统;对象,如各种应用进程、内容、数据等。需求2:NGN/IdP应支持:
多应用服务环境中单点登入/登出;融合业务,例如:固定和移动融合;控制和保护个人可识别信息(PII)。YDB0572011
需求8:建议NGN/IdP支持的IdM功能和能力不需要对客户端软件进行改动,或至少保证只做最小改7.2身份的生命周期管理需求
7.2.1概述
身份生命周期包括与登记、颁发身份、数据或者与实体身份有关的身份信息(例如,标识符、证书、属性)的相关进程和步骤。
需求9:NGN/IdP应创建且执行合适的策略进行身份生命周期管理,包括验证、登记、颁布、撤销身份的进程和步骤。
7.2.2验证与登记
创建实体(例如,订购用户、设备、组织、NGN提供方或对象)身份的第一步是身份或证书的验证和登记过程。这个过程可以在特定内容(角色)的基础上申请与特定实体相关的身份或证书。对于终端用户,这个过程是申请成为IdP或者NGN提供方订购用户的过程。这一过程旨在按照特定场景(如,角色)注册与某一实体相关的身份或证书。验证包括核实与身份有关的属性和声明,包括当实体在身份系统进行登记时对实体身份信息进行核实与验证的进程和步骤。
需求10:NGN/IdP应在登记和身份颁布过程对实体身份信息进行验证、核实。只有依据验证进程、步骤和策略对实体的登记请求进行核实后,才可以颁发身份(包括与实体相关的标识符、证书、属性)。需求11:身份验证过程可以包括公开确认可用信息与已颁布的证书。验证等级是建立在所使用身份的上下文基础上的。例如,验证进程与策略应建立在身份以及与未经授权实体获得和使用身份相关的风险所充许的资源(业务、事务处理、信息和权限)价值基础上。7.2.3颁发
成功完成登记和验证进程后,实体能够完成后续的认证。在IdP(或NGN提供商)处注册和颁发的证书是与实体的身份或者身份相关的属性(例如,权限或声明)相绑定的。这个阶段包括身份验证、安全令牌、证书注册以及安全令牌和证书的颁发与传送。需求12:只有在实体成功完成身份验证后,才可以发布实体的身份以及相关的标识符、证书和属性。在某些场景下会涉及到身份的电子证书(例如,与实体绑定的数字证书、安全令牌,有关身份的声明)注册和颁发。根据使用的安全令牌类型不同,NGN/IdP可以创建一个新安全令牌并向用户提供这个令牌,也可以要求用户注册一个(已申请或新创建的)令牌需求13:从令牌生成地点向其它实体传送令牌的机制应该是安全的,以保证新创建的令牌的机密性和完整性。
7.2.4维护与更新
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。