1、喧嚣ICS 35.040 L 80 和国国家标准圭f二、中华人民GB/T 31504-2015 信息安全技术鉴别与授权数字身份信怠服务框架规范E Information SCIU让ytechnology-Authentication and authorization一Digital identity information service framework specification 2016-01-01实施2015-05-15发布发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会飞,。/Tf时川 GB/T 31504-2015 目次前言. . . m 引言. . N 1
2、范围. . . 2 规范性引用文件-3 术语和定义. 4 缩略语. . . . . . . . . . . 2 5 符合性. . . . . 2 6 命名空间和通用概念. . . . . . . 2 6.1 命名空间. . . . . 2 6.2 通用概念. . . . 3 7 参考模型7.1 数字身份信息服务. . . 7.2 数字身份信息服务参考模型. 7.3 数字身份信息服务安全模型. . . . . .川. . . 5 8 数字身份信息数据XMLschema框架. . 8.1 概述. . 8.2 Schemata指导方针. 8.3 扩展服务. . . . . . . . . 川. .川
3、. .川. . . . . . 7 8.4 时间值和同步. . . 8 8.5 通用的XML属性 . 8 8.6 通用的数据类型. . . . 10 9 数字身份信息服务访问框架. . 11 9.1 概述. . . . 11 9.2 多请求响应事件支持. . . 12 9.3 idS属性及处理规则. . . . . 12 9.4 timeStamp XML属性及处理规则. . . 12 9.5 状态和出错报告. . . . . 13 9.6 通用错误处理规则. . . . 15 9.7 资源标识. . . . . . . 16 9.8 选择操作. . . . . . 16 9.9 选择操作的通
4、用处理规则. . . . 17 9.10 请求元数据和附加数据. . . . 18 9.11 请求元数据和附加数据的通用处理规则. . . 19 10 查询数据. . . . 20 10.1 概述. . 20 GB/T 31504-2015 10.2 (Qucry)元素. . . . . 20 10.3 (QucryResponse)元素. . . . . . . . . . . . . 24 10.4 附有条件的(ResultQuery)及(Queryltem)元素. . . . . . . . . . 24 10.5 查询处理规则. . . . . . . . . . . . . 24 1
5、0.6 查询处理规则示例. . . . . . . . . . . . . . 29 11 创建数据对象. . . . . . . . . 29 11.1 概述. . . . . . . . . . . . . . . . . 29 11.2 (Create)元素. . . . . . . . . . . . . . . . . . . . 29 11.3 (CrcateRcsponse)元素. . . . . . . . . . . . . . . . . . . 30 11.4 创建数据对象的处理规则. . . . . . . . . . 30 12 删除数据对象. . . . . . .
6、 . . . 32 12.1 (Delete)元素. . . . . . . . . . . . . . . . 32 12.2 (DeleteResponsc)元素. . . . . . . . . . . . 33 12.3 删除操作的处理规则.mu 修改数据. . . . . . . . . . . . . . . . . 35 13.1 (Modify)元素. . . . . . . . . . . . . . . . . 35 13.2 (ModifyResponse)元素. . 36 13.3 修改的处理规则. . . . . . . . . . . . . . . . . . .
7、 . . . 36 13.4 修改规则处理示例. . . . . . . . . . . . . . . . 39 14 服务说明. . . . . . . . . . . . . . . . . . . . 39 附录A(资料性附录)查询处理规则示例. . . . . . . . . . . . . . . . . 42 附录B(资料性附录)修改处理规则示例. . . . . . . . . . 49 参考文献. . . . . . 52 E GB/T 31504-2015 前本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些
8、专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位z中国科学院软件研究所、中兴通讯股份有限公司、北京信息科学技术研究院。本标准主要起草人=冯登同、张敏、张立武、张班、付艳艳、段美妓、张严、李强,阳皿GB/T 31504-2015 sl 数字身份作为主体的虚拟标识,是其进行各种网络活动的支撑手段。数字身份管理是数字世界安全事务的核心,为鉴别、授权、访问控制、账户访问以及其他各种与用户属性应用提供支持。然而目前数字身份由各种服务提供方自行管理,不仅格式多样、管理混乱,而且不同服务提供方之间的身份信息难以交互,安全与隐私性也无法得到足够保障。因此迫切需要
9、对我国数字身份管理技术进行规范化管理,使数字身份信息使用者可以准确地访问数字身份信息,身份提供方可以正确维护和管理数字身份信息,确保用户数字身份信息的安全和隐私,本标准是数字身份管理规范化的基础性标准,致力于规范各种数字身份信息服务。本标准定义一种通用的可扩展的数字身份信息XMLSchema框架与数字身份信息访问消息格式,支持多种类型的数字身份表示和访问,允许用户自定义格式扩展。支持数字身份信息的定义和访问过程的标准化,为各种类型的数字身份信息服务建立统一的服务框架规范。本标准参考了LibertyAlliance的文件LibertyID-WSF Data Services Template v
10、2.1。在原文件的基础上增加了对标准范围的说明以及数字身份信息参考模型部分。lV 1 范围信息安全技术鉴别与授权数字身份信息服务框架规范GB/T 31504-2015 本标准定义了数字身份信息服务参考模型、XMLSchema的框架、命名空间、扩展方式以及通用的数字身份信息对象属性类型,还定义了通用的数字身份信息创建、查询、修改和删除的交换消息格式以及处理规则。本标准适用于数字身份信息服务的开发,并可指导对该类系统的检测及相关应用的开发。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本包括所有的修改单)适
11、用于本文件。GB/T 25069-2010信总安全技术术语3 术语和定义GBjT 25069-2010中界定的以及下列术语和定义适用于本文件。3.1 胀户account 一个正式的商业协议,用于处理主体与一个服务提供方之间的交易和服务。3.2 已鉴别身份authenticated identity 一个已经被断言通过鉴别的主体的身份,可代表此主体。3.3 鉴到authentication 一个在指定级别的可信度下确定某主体声称的身份的过程。3.4 鉴别权威authentication authority 是鉴别身份提供方。一个可以鉴别某主体的身份提供方。3.5 提极authorization
12、根据对主体数字身份信息的评估,确定一个主体是否可以对资源实施指定类型的访问的过程。一旦某个主体被鉴别,就可能拥有某些类型的访问权限。3.6 数字身份digital identity 主体在互联网中的虚拟身份表示,关联了与该主体相关的属性信息,通常由一个账户标识其唯一性。GB/T 31504-2015 3.7 3.8 3.9 3.10 3.11 数字身份信息digital identity information 与数字身份关联的主体相关的属性信息.数字身份请求与使用者digiidentity requ副erand consumer 交互过程中需要对方提供数字身份信息的实体。包括服务提供方与普通
13、用户两类。身份提供方identity provider 替主体管理数字身份及相关数字身份信息的系统实体,为其他服务提供方提供主体的鉴别断言。服务提供方service provider 一个提供在线服务和/或实体商品的系统实体。主体subject 一个身份可以被鉴别的实体。主体可以是自然人或者系统实体,其多个身份之间具有内在联系。典型的主体的例子为t单个个体、多个个体的群组、公司、网站等。3.12 可信身份权威trusted identity autbority 存储和管理用户真实身份信息,提供网络真实身份的鉴别服务的机构。由国家指定主管机构担任。4 缩暗语下列缩略语适用于本文件。XML:可扩展
14、置标语言(eXtensibleMarkup Language) DST:数字身份服务框架(DigitalIdentity Service Framcwork Tcmplate) SOAP:简单对象访问协议(SimpleObject Access Protocol) SAML:安全断言置标语言CSecurityAssertion Markup Language) idS:数字身份CidentityS)5 符合性对于一个特定的应用,并非必须涉及数字身份服务框架的所有特征。鉴于此,本标准提供了一种通过对置标语言的特征进行选择以适用特定应用的方法。本标准中所定义的所有必需的核心特征集合都采用显式的必需
15、进行标注,其他可选的特征集合则会采用可选进行标注,以方便使用者针对特定的应用进行选择。6 命名空间和通用慨念6.1 命名空间本标准使用的命名空间关联如表1中描述。2 GB/T 31504-2015 表1引用XML名空间前缀URI 描述dst: urn: liberty: dst: 2006-08 DST使用schema的目标名空间dstref: urn:liberty: dst:2006-08: ref DST参考模型的目标名空间xml: http:/www. w3.org!XML!1998!namespace W3CXML xs: http:/www.w3.org/2001/XMLSchem
16、a W3C XML Schema定义语言ds: urn: liberty: disco: 2006-08 ID-WSF发现服务lu: urn: liberty : util : 2006-08 特许使用schem且目标名空间- 6.2 垣用慨念本标准遵守以下排版规则: (/xs,compl四Type)10 ntent)(xs:缸t四sionbase= n1u:ResponseTypen) (xs:attribute n四e=ntimeSta皿.puse = optional type = xs:由.teTime/) (/xs:自t四sion)(/xs:complexCont四t)(/固:co皿
17、.plexType)9.2 多需求晌应事件支持如果服务标准允许,所有的请求和响应元素可能在消息中发生多次(例如,如果SOAP被捆绑,则SOAP(body)被使用)。这种机制可以用作批量优化或者服务标准,选择添加一些时间的语句到这个结构中。9.3 idS属性及处理规则不同类型的idXML属性被用作连接查询、响应、提示和确认(如图5所示)。相关的SOAP头应当被定义来联系响应消息与请求消息。在响应消息中itemID和itmeIDRefXML属性用作指示请求消息中的相关元素细节和提示消息。在所有消息中一些元素有idXML属性xs:ID,当这些消息中的一部分指向这些元素时,这些idXML属性是必须的。
18、例如,如果用到使用指示,则必须指向正确的元素。信息中的一些部分可能被签名,idXML属性有必要用来表明哪些元素被签名所覆盖。某种类型的查询项需要与数据项相关联。ItemID和itemIDRefXML属性在这个目的下被使用。它们与名字空间中通常的XMLID属性不同,可以在每一个Item类型中各出现一次。例如,相同的itemID可以在(Testltem和(Query Item)中显示,没有任何混淆的危险。9.4 timeStamp XML属性及处理规则一个响应和通知信息可能包含一个时间戳。通过这个时间戳,接受方可以随后接收到一个回复或者通知后服务方是否有任何修改,只有在收到时间戳之后没有任何修改才
19、是成功的。如果RequestElement的处理是成功的,且数字身份提供方支持changeSinceXML属性或notChangedSince XML属性,或者两者都支持,数字身份提供方必须在ResponseElement中加入time-GB/T 31504-2015 stamp. TimeStamp XML属性必须有一个也可以用作changeSinceXML属性的值,也必须可以被用作notChangedSinceXML属性值,当在时间戳之后做出修改,修改是不成功的。9.5 状态和出错报告9.5.1 概述本标准定义了两种机制用来回答请求者一个请求是处理成功,失败,还是处于两者之间。正常的响应中
20、,一个普通的ID-缝消息被用来返回应用状态,包括普遍的出错条件,当应用检测到一个出错条件,作为部分的正常处理,例如,依据本标准中的处理规则来处理。从数字身份信息服务模板看,下面的例子中需要使用D铃出错消息za) 当数字身份提供方没有识别出任何在SOAPBody中的RequestElement时,必须返回1D-铸出错消息,并使用1DStarMsgNot U nderstood作为codeXML属性的值。这个错误可能被应用到执行或实施不支持的特定类型的请求中如只读服务。b) 类似地,当数字身份请求与使用者接收到一个空的或出错提示时,必须返回D祷出错消息,并用IDStarMsgNot U nders
21、tood作为codeXML属性值。c) 如果基于请求部分的数字身份提供方提示不允许发出任何请求,必须返回1D-铃出错消息,使用ActionNotAuthorized作为codcXML属性值。d) 接收部分在处理信息体失败也会产生异常错误,必须返回1D-铃出错消息,并使用UncxpectedError作为codeXML属性值。一个服务标准可以定义使用1D-择出错消息的多种情况。即使处理消息中发生错误,数字身份提供方应该依据特殊的处理规则处理消息体,返回正常消息来说明在statuscode中出错的部分。因为一个消息可能包含多个工作请求,每个工作都是有意义的,除非说明在第一个部分处理失败后整个消息失
22、败,否则需要继续执行。RequestElement可能包含大量的工作请求(例如,在(Query)中有多个(Query1tem)元素)。因此,不能完成请求工作时,除非服务指定的处理规则进行说明,否则数字身份提供方应该完成这些消息中其他的部分。9.5.2 1Ji层(Stat田元素ResponseElement元素包含一个顶层(Status)元素来表示处理一个RequestElement是否成功。一个(Status)状态可能包含其他(Status)元素,提供了更多关于状态细节信息。一个(status)元素有一个XML属性code,其值为返回的状态,以字符串的形式出现。这些代码的定义也将本标准中说明,
23、在顶层(Status)元素中的codeXML属性必须包含如下的一些值,OK,Partial或Failed。OK:状态OK代表处理RequestElement成功。第二级状态码可能被用来表示对RequestElement处理成功,但是存在的特殊情况。Partial: Partial值代表处理部分成功,部分失败。例如在(Query)元素处理中,一些(Queryltem)元素被成功处理,但是其他(Query 1 tem)元素处理失败。当Partial被在(Status)元素的codeXML属性时,高级(Status)元素必须用第二级(Status)元素来表明RequestElement中失败的部分。
24、处理过程并不表示第二级(Status)元素中每个处理必须成功。数字身份提供方如果还没有处理整个RequestElement,不能用Partial值。修改请求中,当一个失败的(Modify1tem)元素没有合法的itemIDXML属性时,数字身份提供方不能使用Partial值,例如,一个数字身份提供方不能表明失败的(Modifyltem)元素。在这些情况下,数字身份提供方必须使用Failed值并且已经处理部分的任何改变必须回滚。当部分RequestElement元素处理可能失败时,如果失败的部分没有有效的itemIDXML属性,数GB/T 31504-2015 字身份提供方可以选择Request
25、Element的其他类型。当高级元素值因为一个或多个丢失的itemIDXML属性Failed,而不是Partial,次级状态码MissingltemID必须加到其他次级状态码中。在一些情况下,大部分第二级状态码不能使用,例如,可能威胁标准的隐私的部分。在这些情况下,当部分失败时需要使用UnspecifiedError值被用作次级状态码表明失败部分。Failed: RequestElement处理失败时使用Failed。处理整个RequestElement完全失败或部分成功是,数字身份提供方都认为是完全失败,一个服务的标准中,即使部分成功,也可能拒绝使用部分失败来表示。次级状态码应该被用来表明失
26、败的原因。9.5.3 次级(Status)元素在次级(Status)元素的XML属性code中,使用如下次级状态码sActionNotAuthorized 且ggregationNotSupportedAIIReturned ChangeHistoryNotSupported ChangedSinceReturns且11DataTooLong DoesNotExist EmptyRequest ExistsAlready ExtensionNotSupported Failed FormatNotSupported InvalidData Invalic坦xpiresInvalid工te皿ID
27、RefInvalidObjectType InvalidPredefined InvalidSelect InvalidSetID InvalidSetReq InvalidSort ItemIDDuplicated ResultQueryNotSupported issingCred四tialsissingDataEl回lentMissingExpiration MissingIte皿工DMissingNewDataElement MissingObjectType MissingSecurityMechIDEle皿entMissingSelect ModifiedSince NewOr E
28、xisting 14 GB/T 31504-2015 ,G e st eho deep mu址呻sooms tsIsst ntle-o m民ddtdde-114spo -bppey- Ei-TTt1 1巳etthtaarr11cen- oouuue-lt MMMMS-gr ooooobkaa MUMMMUMUMHnunuDDL RequestedAggregationNotSupported RequestedPaginationNotSupported RequestedSortingNotSupported RequestedTriggerNotSupported SecurityMech
29、IDNotAccepted SetOrNewQuery SortNotSupported StaticNotSupported TimeOut TriggerNotSupported UnexpectedError UnspecifiedError UnsupportedObjectType UnsupportedPredefined 如果一个请求或提示因为一些原因失败,(Status)元素的refXML属性应该包含请求消息中失败元素的itemIDXML属性的值。当失败的元素没有itemIDXML属性时,应该通过idXML属性来指向它。如果不能标识失败元素例如没有id或itemIDXML属性)
30、,ref属性应当包含与该元素最接近的且拥有标识xml属性的父元素的标识。当数字身份请求与使用者生成一个访问消息,应该避免任何两个标识XML属性用同样的值,以便在返回状态中可以指出正确的位置。如果两个XML属性有相同值,当遇到问题,数字身份提供方需要指出它们中的任何一个,数字身份提供方可能考虑全部信息是失败的或者使用那个值(如果要指出的元素的标识别比另一个优先)。优先级顺序是itemID,id.例如,itemID和id有相同值,则itemIDXML 属性等于此值。9.6 通用错误处理规则数字身份提供方可能注册一个相关的选项关键字来表示它不支持一定类型的请求。定义如下选项关键宇=U口l:liber
31、ty:dst:noQueryUrn:liberty:dst:noCreate U口l:liberty:dst:noDeleteU口l:liberty:dst:noModify除了收到的消息中的错误以外,一个数字身份提供方可能遇到各种问题za) 如果处理时间过长(例如一些后端系统响应不够快),请求没有在数字身份提供方所需的时间GB/T 31504-2015 内处理完成,次级statuscode Timeout被用来说明此情况。处理时间依据数字身份提供方进行判断,是不可见的,只有Timeout状态码被返回。b) 除了服务标准中提及的出错条件,其他条件也可能发生。这里有两个状态码定义这些情况。当数字
32、身份提供方(或者数字身份请求与使用者接到一个提示)可以正常处理,但是并没有特殊的状态码来说明他的状态,可以启用次级状态码UnspecifiedError。对于其他没有预料的情况,次级状态码UnexpectedError应该被使用。9.7 资酒标识若没有显式的ResourceID,如l资源通过如下机制进行标识za) 隐式的例如PAOS交换hb)从(TargetIdentity)SOAP头zc) 使用提供的证书z证书持有者的资源被访问zd) 端点。一个服务对每个访问的资惊可能提供不同的访问端点。最简单的例子是将资源作为查询的一部分。如果被访问的资源需要机密性保护,如(T argetIdenti t
33、y )或者证书,则(wss:Security)头内的SAML断言应该包括一个加密的SAML断言。9.8 选择操作第二级的选择在RequestElement元素中说明。请求消息必须对希望访问的目标进行更详细的描述。这可以通过两种方式进行描述:请求访问的数字身份请求与使用者可以在请求中显式的选择要访问的数据,或者使用预先定义的selection.若支持理先定义的selection,数字身份服务提供方需要在服务标准中提前定义,或者通过带外传输来声明。数字身份请求与使用者通过将标识符加入到请求中,指明它想要使用的提前定义的selection.标识符通过提前定义的XML属性值进行说明。而当数字身份请求与
34、使用者显式的选择数据时,同样需要首先指出数据对象的类型,然后选择正确的对象和数据,XML属性objectType和元素(Select)是为显式的选择方式面定义的。示倒g(xs:clement na皿e:Ch皿geFormat)(xs:si皿.ple巧.pe)(xs:restriction base = xs:string) (xsI enumeration value = Cha吨edEl阻四ts/)(xs : enumeration value = CUrr回回1回回ts/)(/xs:restriction) (/xs:si皿.pleType)(xs :attribute ref = 由t:
35、obj配t巧pe国e= optional / (xs: attribute ref = n dst: predef in四四e= n optional n / (/xs:attributeGroup GB/T 31504-2015 对象根元素的名字被用作对象类型的标识符(如XML属性objectType)。每个服务标准必须列出支持的对象类型并提供的名字、schemata和语义。所有用字符(飞勺开始的对象类型为符合本标准规范的定义类型。除此之外,对象类型的名字也需要满足各服务类型自行定义的标准。当一个服务类型仅支持一种对象类型.objectTypeXML属性可以从请求信息中省去。同样,一个服务可能指定一个默认的对象类型,假设objectTypeXML属性没有显示。例如,若资源是个人信息的轮廓.(Select)可以指向家庭地址。当在(Query)中使用时,意味着需要完全的家庭地址信息,或者在(Modify)中使用时意味着全部的地址信息在被修改等。如果家庭地址空间中只有一部分需要被访问.
