ICS35.040 L80 GM 中华人民共和国密码行业标准 GM/T0068-2019 开放的第三方资源授权协议框架 Open third party resource authorization protocol framework 2019-07-12发布 2019-07-12实施 国家密码管理局 发布 GM/T 0068—2019 目 次 前言 Ⅲ 引言 N 1范围 444 1 2规范性引用文件 .1 3术语和定义 1 4缩略语 2 5概述 .3 5.1协议流程 3 5.2协议通道要求4 5.3协议端点 4 6第三方应用程序及安全要求 6 6.1第三方应用程序类型6 6.2第三方应用程序标识符 .7 6.3第三方应用程序注册要求 .7 6.4第三方应用程序身份鉴别7 7授权流程 .8 7.1授权许可 8 7.2授权码许可流程 9 7.3隐式许可流程 12 7.4资源拥有者口令凭据许可流程 15 7.5第三方应用程序身份凭据许可流程17 8令牌 18 8.1令牌类型 18 8.2访问令牌发放20 8.3访问令牌刷新 21 9受保护资源访问 21 9.1受保护资源访问流程 21 9.2成功响应 22 9.3出错响应 22 附录A(资料性附录)协议参数说明 23 参考文献 25 I GM/T 0068—2019 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准参考国际互联网工程任务组(The Internet Engineering Task Force 简称IETF)的RFC 6749文件《The OAuth2.0 Authorization Framework》进行制定.按照我国相关密码政策和法规,结合 我国实际应用需求及产品生产厂商的实践经验,本标准在第三方应用程序身份鉴别部分增加了基于 SM2国产密码算法的数字证书鉴别方法,在授权协议中的数据通信安全部分采用密码行业标准GM/T 0024一2014《SSL VPN技术规范》中定义的安全通信协议取代TLS协议,在访间令牌的保护部分增 加了采用SM2、SM3、SM4等国家密码管理局认可的算法对其进行签名和加密的规定.另外,本标准去 除了RFC6749文件中的安全考虑部分,将安全考虑部分涉及的应采用的安全措施具体化到本标准的各 个章条,包括协议中传输的消息、端点、发放的令牌、第三方应用程序身份鉴别等部分. 本标准由密码行业标准化技术委员会提出并归口. 本标准的主要起草单位:中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、 中国科学院软件研究所、中国电子技术标准化研究院、北京信安世纪科技股份有限公司、普华诚信信息 技术有限公司. 本标准主要起草人:刘丽敏、李敏、王鑫、江伟玉、高能、刘宗斌、荆继武、林雪焰、张立武、汪宗斌、 彭佳、屠晨阳、刘泽艺、钱文飞、范科峰、郝春亮、梁佐泉. GM/T 0068—2019 引言 在提供了资源互访接口的开放信息系统中,利用Web、桌面、手机或其他智能设备应用程序实现互 联已成为常态.为了实现信息资源共享、业务合作,用户可利用某个安全域中的应用程序(被称为第三 方应用程序)访问另一个安全域中受保护的资源.为了确保受保护的资源只被资源拥有者许可的实体 访问,需要对实体进行鉴别与授权.然而,在传统的授权模型中,资源拥有者通常需要将其身份凭证共 享给访问者,这种方式带来了诸多安全隐患.本标准引入授权层,将第三方应用程序与资源拥有者的角 色进行分离,在资源拥有者的授权下,授权实体向第三方应用程序发放不同于身份凭据的令牌方式,实 现开放的第三方资源授权. N GM/T0068—2019 开放的第三方资源授权协议框架 1范围 本标准规定了第三方资源授权协议的流程、不同类型的授权许可协议各端点的功能要求以及系统 实体之间传递消息的格式和参数要求等. 本标准适用于在互联网跨安全域应用场景中,身份鉴别与授权服务的开发、测试、评估和采购. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括...
GM/T 0068-2019 开放的第三方资源授权协议框架.pdf
