ICS35.040 L80 GM 中华人民共和国密码行业标准 GM/T0069-2019 开放的身份鉴别框架 Open identity authentication framework 2019-07-12发布 2019-07-12实施 国家密码管理局 发布 GM/T 0069—2019 目 次 前言 引言 1范围 1 2规范性引用文件 ..1 3术语和定义 2 4缩略语 4 5概述 4 6实体要求 .6 6.1身份服务提供方要求6 6.2依赖方要求 .7 7鉴别流程 8 7.1鉴别流程类型 .8 7.2授权码鉴别流程 9 7.3隐式鉴别流程 17 7.4混合鉴别流程 19 7.5访问令牌刷新机制23 8令牌 24 8.1令牌类型 .24 8.2JSON令牌 .26 8.3令牌安全保护要求 .27 9用户信息访间28 9.1声明的类型 .28 9.2语言和文字声明30 9.3用户信息端点 30 9.4 用户信息请求声明 .31 9.5声明的稳定性和唯一性 .33 10签名和加密要求 .34 10.1概述34 10.2签名 34 10.3加密 35 10.4对称密钥的熵 35 10.5签名和加密的顺序 35 附录A(规范性附录)规范性声明 .36 附录B(资料性附录)身份服务提供方的基础配置38 附录C(资料性附录)依赖方的注册信息 40 参考文献 .42 GM/T 0069—2019 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准由密码行业标准化技术委员会提出并归口. 本标准起草单位:中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、中国电 子技术标准化研究院、中国科学院软件研究所、北京天融信科技有限公司. 本标准主要起草人:高能、彭佳、刘泽艺、李敏、钱文飞、江伟玉、刘伟、李向锋、刘丽敏、屠晨阳、张立武、 景鸿理、郝春亮. GM/T 0069—2019 引言 互联网环境中,用户使用多个网络应用已经成为常态.身份鉴别技术呈现出开放性、易用性以及互 操作性的特点.本标准提出的身份鉴别框架使得网络应用可以便捷地使用身份服务提供方提供的鉴别 服务,由身份提供方对用户进行身份鉴别,验证用户的身份,并在用户授权之后可以提供用户身份相关 信息. GM/T0069—2019 开放的身份鉴别框架 1范围 本标准规定了依赖方(网络应用或服务)使用身份服务提供方提供的鉴别功能、对终端用户进行身 份鉴别的协议框架,定义了协议参与实体的要求、鉴别协议流程、用户信息的访问要求,以及协议消息的 加密和签名要求等. 本标准适用于终端用户访问网络应用的场景中,用户身份鉴别服务的开发、测试、评估和采购. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. GB/T32905一2016信息安全技术SM3密码杂凑算法 GB/T32907一2016信息安全技术SM4分组密码算法 GB/T32918.2一2016信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法 GB/T32918.4一2016信息安全技术SM2椭圆曲线公钥密码算法第4部分:公钥加密算法 GM/T0024一2014 SSL VPN技术规范 GM/T0068一2019开放的第三方资源授权协议框架 ISO639-1各种语言中名字的编码表示第1部分:Alpha-2编码(Codes for the representation of names of languages-Part 1:Alpha-2 code) ISO3166-1各个国家的名字和名字细分的编码表示第1部分:国家编码(Codes for the repre- sentation of names of countries and their subdivisions-Part 1:Country codes) ISO8601:2004数据元素与交换格式信息交换日期与时间格式(Data elements and inter- change formats-Informat...