YDB 058-2011
基本信息
标准号:
YDB 058-2011
中文名称:下一代网络(NGN)身份管理功能架构要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2074701
相关标签:
下一代
网络
身份
管理
功能
架构
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 058-2011.Requirements of Next Generation Network Identity Management Framework.
1范围
YDB 058报告规定了NGN网络中有关IdM的基本概念、功能架构和能力。
YDB 058报告适用于下一代网络(NGN) 环境。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ITU-T E. 107应急通信服务和应急通信服务国家实现的互联互通功能框架
ITU-T Y. 2011 (2004) NGN 总则和通用参考模型
ITU-T Y. 2012 (2006) NGN 第一阶段的功能需求与架构
ITU-T Y. 2205下一代网络-应急通信技术考虑
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
匿名anonymity
允许匿名访问服务的能力,避免跟踪用户个人信息和用户行为,例如用户的位置、业务使用频率等。
3.1.2
认证authent ication
提供实体所声明的身份的保证。
3.1.3
授权author ization
授予权力,包括根据访问权限授予访问权力。
3. 1.4
保证assurance
一种信任度量,在依赖方和身份提供方之间准确的调解和执行安全策略的安全特性和身份管理体系架构能力。
3.1.5
证书credentia I
一组数据作为所声明的身份或者权利的证据。
3.1.6
委托de legation
向另一个对象分派权力、责任或者功能的活动。
标准内容
通信标准类技术报告
YDB058—2011
下一代网络(NGN)身份管理功能架构要求Requirements of Next Generation Network IdentityManagement Framework(ITU-TY.2720:2009,NGNidentitymanagementframework,MOD)2011-02-18印发
中国通信标准化协会
规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4IdM概述.
5NGN体系架构和参考模型中的IdM5.1与NGN体系架构和服务的关系5.2NGN功能体系架构与标识符的使用.5.3Y.2011参考模型.
6IdM功能架构
身份管理生命周期
身份管理操作、管理、维护、配置功能6.3
身份管理信令和控制功能
身份管理联盟身份功能
身份管理用户和订购用户功能
性能和可靠性
IdM安
参考文献
YDB058—2011
YDB058—2011
本技术报告是下一代网络(NGN)身份管理研究系列技术报告之一,该系列技术报告的结构及名称预计如下:
一《下一代网络(NGN)身份管理需求》:一《下一代网络(NGN)身份管理功能架构要求》:《下一代网络(NGN)身份管理实施机制》。本技术报告按照GB1.1-2009给出的规则起草。本技术报告使用重新起草法修改采用ITU-TY.2720:2009《下一代网络(NGN)身份管理功能架构》编制,与ITU-TY.2720:2009相比主要差异如下:将名称修改为《下一代网络(NGN)身份管理功能架构要求》:一删除了5.2和5.3章的内容:
一将5.4章节与第7章节内容合并为本技术报告第5章;将第6章与第8章内容合并为本技术报告的第6章。为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位:工业和信息化部电信研究院、华为技术有限公司、中兴通讯股份有限公司、上海贝尔股份有限公司。
本技术报告主要起草人:武静、郭大勇、罗鉴、顾方方。I
-iiKAoNni KAca
1范围
下一代网络(NGN)身份管理功能架构要求本技术报告规定了NGN网络中有关IdM的基本概念、功能架构和能力本技术报告适用于下一代网络(NGN)环境。2规范性引用文件
YDB058—2011
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-T E. 107
应急通信服务和应急通信服务国家实现的互联互通功能框架ITU-TY.2011(2004)
NGN总则和通用参考模型
ITU-TY.2012(2006)NGN第一阶段的功能需求与架构ITU-T Y.2205
术语、定义和缩略语
3.1术语和定义
下一代网络-应急通信-技术考虑下列术语和定义适用于本文件。3.1.1
匿名anonymity
允许匿名访问服务的能力,避免跟踪用户个人信息和用户行为,例如用户的位置、业务使用频率等。3.1.2
认证authentication
提供实体所声明的身份的保证。3.1.3
授权authorization
授予权力,包括根据访问权限授予访问权力。3.1.4
保证assurance
一种信任度量,在依赖方和身份提供方之间准确的调解和执行安全策略的安全特性和身份管理体系架构能力。
iiiKAoNiKAca
YDB 058—2011
证书credential
组数据作为所声明的身份或者权利的证据。3.1.6
委托delegation
向另一个对象分派权力、责任或者功能的活动。3.1.7
发现discovery
对机器可处理的网络相关的资源描述的定位活动,可能之前是未知的且满足一定的功能标准。发现包括匹配一系列功能和一系列资源描述标准。发现的自标是寻找合适的业务相关资源。3.1.8
实体entity
任何单独和截然不同的存在,能够被独立识别出来。在IdM上下文中,实体包括订购用户、用户、网元、网络、软件应用、服务和设备等。一个实体可以有多个标识符。3.1.9
应急通信emergencytelecommunications应急通信意味着任何与紧急情况相关的服务,要求NGN特殊处理,包括政府授权的应急服务和公众安全服务。
应急通信服务emergencytelecommunicationsservice种国家服务,在灾难和紧急情况下为ETS授权的用户提供优先通信权,3.1.11
联盟 federationwwW.bzxz.Net
在两个或者多个实体之间或者包括多个业务提供方和身份提供方的关联之间创建关系。3.1.12
联盟身份federationidentity
能够用于访问一组服务或应用的身份,由联盟的策略和条件进行范围限定。3.1.13
标识符identifier
标识符是一系列数字、字符和标志或者用于标识订购用户、用户、网元、功能、提供业务和应用的网络实体或其它物理或逻辑对象等实体的数据格式。3.1.14
身份identity
iiiKAoNikAca
YDB0582011
用一个或者多个属性形式表示实体,允许实体在上下文中足以与其它实体相区别。出于身份管理目的的身份可以理解为上下文身份(属性集),例如由定义好边界条件的功能架构限制的各种属性,实体在这个功能架构中存在和交互。3.1.15
身份保证identityassurance
在身份确认和核实过程中的信任等级被用手创建实体身份发出的证书以及实体使用证书的信任等级,信任等级是由实体或实体证书发布或分配的3.1.16
身份提供方identityprovider
创建、维护和管理其它实体(例如:用户、订购用户、组织机构、设备等)可信身份信息的实体提供建立在信任、商业和其它关系基础上的基于身份的服务。3.1.17
身份管理identitymanagement
用于下述下目的的一系列功能和能力(例如行政管理、管理和维护、发现、通信交互、关联与绑定、策略执行、认证、断言等):
身份信息(例如:标识符、证书、属性)保证;实体身份保证(例如:用户/订购用户、组群、用户设备、组织机构、网络和业务提供方、网元、各种虚拟或者物理对象);触发商业和安全应用。
模式pattern
来源于实体行为的结构化表达方式,有助于或提供实体识别,也可以包括实体的信誉。模式可以与一个实体唯一关联或者与一组实体关联。3.1.19
个人可识别信息personally identifiableinformation任何标识或能够用于标识、联系、定位某人的身份信息,或者从标识、联络信息中可以得出个人信息,或者能够直接或间接链接到自然人的信息。3.1.20
在线presence
一套说明实体当前状态的属性。3.1.21
主体principal
身份能够被认证的实体。
隐私privacy
iiKANiKAca
YDB058—2011
对个人可识别信息的保护。
依赖方relyingparty
依赖于身份表示方式或请求声明的实体。3.1.24
用户user
包括终端用户、个人、订购用户、系统、设备、终端(例如:传真、PC)、功能实体、进程、应用、提供方或协作网络。
信任trust
衡量信赖某人或某物的个性、能力、实力、或真实性的一种尺度。3.1.26
安全域 security domain
指一套元素、安全政策、安全授权和一组与安全相关的活动,其中有关元素须符合相关活动的安全政策,而安全政策则受到有关安全域中安全机构的管理。缩略语
下列缩略语适用于本文件。
Application-to-Network InterfaceApplication Programming InterfaceAbstract Syntax Notation OneCallSessionControlFunction
FunctionalRequirementsandArchitectureGeneral Bootstrapping ArchitectureIdentity Management
Identity Provider
Next Generation Network(s)
PersonalIdentification InformationPublic Switched Telephone NetworkQuality of Experience
Quality of Service
Relying Party
Security Assertion Markup LanguageSession Border Controller
Session Initiation Protocol
Service Provider
Signaling System No.7
应用与网络间接口
应用编程接口
简单句法符号1
呼叫会话控制功能
功能要求和体系架构
通用引导架构
身份管理
身份提供方
下一代网络
个人可识别信息
公共交互电话网络
体验质量
服务质量
依赖方
安全断言标记语言
会话边界控制器
会话初始协议
业务提供方
7号信令系统
iiiKANiKAca
IdM概述
UniformResourceIdentifier
Voice over Internet Protocol统一资源标识符
IP电话
YDB058—2011
实体身份信息(例如,标识符,证书和属性)的管理并不是新近出现的事物,然而随着网络趋于融合的发展,基于不同环境和角色随时随地的访问不同业务的需求愈发迫切,因而对于身份信息的保证、安全和管理变得更加复杂。由于各个业务系统的解决方案各不相同且相互独立,因此不同业务系统应实现互联互通。身份管理功能架构描述了一种结构化的方法用于设计、定义、实现异构环境中的互联互通。身份管理提供对实体身份进行管理的一套通用能力集,包括身份信息的保证,实体身份的保证以及实现业务和安全的应用,NGN网络应将身份管理(IdM)能力作为通信基础设施的一个重要组成部分。业务和安全应用
包括基于身份的服务
联邦服务
应用服务接入控制(如,多媒体和IPTV)单点登录退出
按角色接入信息、资源和资产
个人可识别信息的保护
网络基础设施信息的安全保护
IdM功能和能力
身份生命周期管理
身份信息相关和捆绑
身份信息认证、保证和声明
身份信息的发现和交流
标识符
(如,用户身份、电子邮件
身份信息一
地址、电话号码、URI、IP
地址)
(如,数字证书、令牌和生物
特征)
组织、商业企业、政府企业
使用者和用户
月户设备
1IdM总览图
(如,角色、声明、境
况、优势、位置)
网络和服务提供方
网元和对象
虚拟对象
身份管理结构包括一系列实体,每一个实体都有特定和唯一的身份信息。实体的范围从个人用户到机构组织和虚拟对象。实体的身份信息包括公共数据(例如:电话号码等),也包括高度敏感身份数据(例如:密码、数字证书或其它私有认证器)。一个实体可以有一个或者多个身份声明,这些声明包括涉及到商业或者社会活动中的多种角色(例如:公民、配偶、父母、客户、病人等)。自然人在不同上下文环境中可以与多个数字身份相关联。如图1所示,身份管理结构中包括实体、身份信息、身份功能与能力、商业和安全应用四个方面。a)实体可以包括:
用户、订购用户;
用户设备、网元和对象:
iiKAoNiKAca
YDB 058—2011
组织机构、组群、商业企业和政府企业:-网络和业务提供方:
虚拟对象。
与实体有关的身份信息可以划分为:b)
标识符,例如:UserID、email地址、电话号码、URI、IP地址:证书,例如:数字证书、安全令牌、生物测定:属性,例如:角色、声明、权限、认证方法、模式、位置。身份管理功能和能力用于保证身份信息、实体的身份、支持或加强商业和安全应用,包括基于c)
身份的服务。IdM功能和能力可包括:身份声明周期管理:
身份信息组织、关联和绑定:
认证、认证保证和断言:
发现和交互身份信息;
桥接不同IdM系统实现互操作的功能和能力。d)
商业和安全应用。支持和加强商业和安全应用的IdM功能和能力包括基于身份的服务。具体如下:
商业应用可包括:
联盟的服务,例如:跨不同联盟或NGN提供方的业务访问;单点登入或登出。
安全应用可包括:
网络和应用服务的访问控制:
基于角色的对信息,资源和资产的访问控制授权和权限管理;
安全保护服务:
个人可识别信息的保护。
基于身份的服务可包括:
标识符、证书、属性服务:
桥接服务,在混合网络环境中不同身份信息的映射和互通;模式信息服务。
5NGN体系架构和参考模型中的IdM5.1与NGN体系架构和服务的关系6
-iiiKAoNhikAca
订购配置文件
服务器
商业和安全应用(包括基于身份的服务)真触发
身份管理功能架构:
ldM服务、
功能和能力
使用NGN资源
NGN资源示例
位置服务器
在线服务器
政策服务器
本地订购用户
服务器(HSS)
图2IdM与NGN体系架构和业务之间的关系YDB058—2011
其它(如
CSCF和SBC)
图2说明了NGN网络环境中的IdM功能架构,该功能架构利用NGN网络中的资源,如订购信息、位置信息、策略信息、在线信息和本地订购服务器及其它网元(例如:呼叫控制功能(CSCF)和会话边界控制器(SBC))。在这个功能架构中提供的IdM服务、功能和能力用于触发商业和安全应用,如基于身份的服务等。
5.2NGN功能体系架构与标识符的使用根据ITU-TY.2012(2006)中描述,NGN包括多个实体使用标识符实现业务和应用功能的功能模块。图3描述的就是映射到NGN功能架构中不同身份的示例。YDB0582011
用户与终端
设备身份
用户身份
NACF中的
传线路求
产网练
终端用户功够
业务层面
Fungtion
应用层面
应用与业务支持的功能
NGNHE业务部件
PSTN ISON仿真
IMS业务部件
网路陶着壁神功能
一接入网络功能
边缘功能
资源与准入控制动施
(RACF)
核心传送功能
传输层面
图3NGN网络中的身份示例
应用层面的身份
IMSPES域内
及其它部件内
的身份
身份的可
互操作性
RACF中
的身份
网元身份
NGN网络环境中,一个实体可以对应多个身份属性。这些身份属性可以被不同的网元使用(例如,被位于不同的NGN提供方域或NGN不同层面中的网元)。IdM应提供在不同实体(例如:如依赖方、IdP)之间安全交换信息的能力。IdM信息交互是建立在这些实体之间创建的策略与信任基础上的。这种信任关系是建立在对分布式电信网络系统中各实体身份的断言和验证基础上的。IdM还提供实体信息的隐私保护能力,确保在跨电信网络环境中只有经过授权的信息才可以传播。5.3.2011参考模型
本节描述了在ITU-TY.2011(2004)中定义的NGN体系架构模型和参模型中的IdM业务,功能和能力。
IdM的范围
管理平面
控制平面
用户平面
NGN业务层
管理平面
控制平面
用户平面
NGN传送层
图4Y.2011中1dM的范围
YDB058—2011
图4为ITU-TY.2011(2004)图2定义的NGN参考架构模型中的IdM的范围,该图表明,与IdM相关的功能可能位于不同的平面(例如:用户平面、控制平面、管理平面)以及分布式架构中的不同的层(例如:业务层和传送层)。
IdM功能架构
6.1概述
业务和安全应用,
包括基于身份的服务
身份管理服务、功能和能力
身份管理(ldM)框架
身份生命周期
aM信令及控aM联盟身份
制功能
laM用户和订
购用户功能
IdM框架概览
IaM、性能、可
靠性和可扩展性
HM安全
laM法律和监
管规则
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。