ICS35.240.01 L70 中华人民共和国国家标准 GB/T31072-2014 科技平台 统一身份认证 Generalscienceandtechnologyinfrastructure- Uniqueidentity authentication 2014-12-22发布 2015-06-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会
GB/T 31072-2014 目次 1范围 2规范性引用文件 3术语、定义和缩略语.. 3.1术语和定义 3.2缩略语 4统一身份认证的基本要求 2 4.1身份信息管理的统一 2 4.2权限分配的统一 4.3身份认证的统一 4.4用户身份不可伪造和不可抵赖性 4.5平台登录的统一 5统一身份认证及其基本流程 5.1概述. 5.2基本流程 6统一身份认证的基本功能 6.1 概述 6.2 用户管理 3 6.3 认证管理 6.4 授权管理 6.5 审批管理 6.6 单点登录 6.7数据同步 7统一身份认证的实现方式 附录A(资料性附录)基于数字证书和cookie的统一身份认证管理系统解决方案 附录B(资料性附录)基于SAML的统一身份认证管理系统解决方案 参考文献 10 图1统一身份认证的基本流程 图A.1基于数字证书和cookie的统一身份认证管理系统 图B.1基于SAML的统一身份认证管理系统
GB/T31072-2014 引言 随着我国科技平台建设、运行和服务的开展,相继开发了平台系统及其门户,但由于各自为政,用户 身份信息不能共享,导致平台用户重复登录,资源访问权限不统一,影响了平台资源共享效率和信息安 全。
统一身份认证可规范身份认证的基本流程、基本要求和基本功能,为实现单点登录奠定基础。
本标准基于这种需求开发,本标准的实施将有利于实现科技平台总门户与各个子门户平台及资源 站点之间的统一身份认证。
GB/T 31072-2014 科技平台统一身份认证 1范围 本标准规定了科技平台的用户统一身份认证的基本要求、基本流程和基本功能,并给出了统一身份 认证实现技术。
本标准主要适用于科技平台统一身份认证系统的建设、服务和管理。
2规范性引用文件 下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文 件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
GB/T25064一2010信息安全技术公钥基础设施电子签名格式规范 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。
3.1.1 统一身份认证unique identity authentication 用户通过使用同一套认证凭证,可访问科技平台上与该用户身份对应的授权网络应用的过程。
3.1.2 单点登录single sign-on 在多个应用系统中,平台用户只需要登录一次就可以访问相互信任平台应用系统的过程。
3.1.3 角色role 用户权限的集合。
3.1.4 用户凭证credential 通过门户认证的用户身份的合法标识。
3.2缩略语 下列缩略语适用于本文件。
ACL:访问控制列表(AccessControlList) LDAP:轻型目录访问协议(Lightweight Directory Access Protocol) PKI:公钥基础设施(PublicKeyInfrastructure) RBAC:基于角色访问控制(RoleBasedAccessControl) SAML:安全断言标记语(SecurityAssertion MarkupLanguage) SOAP:简单对象访问协议(SimpleObjectAccessProtocol)
GB/T 31072-2014 SSO:单点登录(Single Sign-on) SSL:安全套接层(Secure Sockets Layer) 4统一身份认证的基本要求 4.1身份信息管理的统一 应集中存储和管理用户资料,保证用户信息的一致性。
4.2权限分配的统一 应集中控制和管理用户权限,根据系统中不同的用户,统一设置不同的权限。
4.3身份认证的统一 应对用户的身份进行集中统一认证。
4.4用户身份不可伪造和不可抵赖性 应明确科技平台成员职责,确保其身份的不可伪造性和不可抵赖性。
4.5平台登录的统一 应实现科技平台的单点登录。
5统一身份认证及其基本流程 5.1概述 统一身份认证系统采用的应用模式是统一认证模式,它是以统一身份认证服务为核心的服务模式。
统一身份认证服务负责管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理服务。
通过统一身份认证系统提供的用户统一的登录界面,在完成...