ICS35040

L80.

中華人民共和國密碼行業標準

GM/T0068—2019

開放的第三方資源授權協議框架

Openthirdpartyresourceauthorizationprotocolframework

2019-07-12發布2019-07-12實施

國家密碼管理局發布

GM/T0068—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

概述

5………………………3

協議流程

5.1……………3

協議通道要求

5.2………………………4

協議端點

5.3……………4

第三方應用程序及安全要求

6……………6

第三方應用程序類型

6.1………………6

第三方應用程序標識符

6.2……………7

第三方應用程序注冊要求

6.3…………7

第三方應用程序身份鑒別

6.4…………7

授權流程

7…………………8

授權許可

7.1……………8

授權碼許可流程

7.2……………………9

隱式許可流程

7.3………………………12

資源擁有者口令憑據許可流程

7.4……………………15

第三方應用程序身份憑據許可流程

7.5………………17

令牌

8………………………18

令牌類型

8.1……………18

訪問令牌發放

8.2………………………20

訪問令牌刷新

8.3………………………21

受保護資源訪問

9…………………………21

受保護資源訪問流程

9.1………………21

成功響應

9.2……………22

出錯響應

9.3……………22

附錄資料性附錄協議參數說明

A()……………………23

參考文獻

……………………25

Ⅰ

GM/T0068—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準參考國際互聯網工程任務組簡稱的

(TheInternetEngineeringTaskForce,IETF)RFC

文件進行制定按照我國相關密碼政策和法規結合

6749《TheOAuth2.0AuthorizationFramework》。,

我國實際應用需求及產品生產廠商的實踐經驗本標準在第三方應用程序身份鑒別部分增加了基于

,

國產密碼算法的數字證書鑒別方法在授權協議中的數據通信安全部分采用密碼行業標準

SM2,GM/T

技術規范中定義的安全通信協議取代協議在訪問令牌的保護部分增

0024—2014《SSLVPN》TLS,

加了采用等國家密碼管理局認可的算法對其進行簽名和加密的規定另外本標準去

SM2、SM3、SM4。,

除了文件中的安全考慮部分將安全考慮部分涉及的應采用的安全措施具體化到本標準的各

RFC6749,

個章條包括協議中傳輸的消息端點發放的令牌第三方應用程序身份鑒別等部分

,、、、。

本標準由密碼行業標準化技術委員會提出并歸口

。

本標準的主要起草單位中國科學院數據與通信保護研究教育中心北京數字認證股份有限公司

:、、

中國科學院軟件研究所中國電子技術標準化研究院北京信安世紀科技股份有限公司普華誠信信息

、、、

技術有限公司

。

本標準主要起草人劉麗敏李敏王鑫江偉玉高能劉宗斌荊繼武林雪焰張立武汪宗斌

:、、、、、、、、、、

彭佳屠晨陽劉澤藝錢文飛范科峰郝春亮梁佐泉

、、、、、、。

Ⅲ

GM/T0068—2019

引言

在提供了資源互訪接口的開放信息系統中利用桌面手機或其他智能設備應用程序實現互

,Web、、

聯已成為常態為了實現信息資源共享業務合作用戶可利用某個安全域中的應用程序被稱為第三

。、,(

方應用程序訪問另一個安全域中受保護的資源為了確保受保護的資源只被資源擁有者許可的實體

)。

訪問需要對實體進行鑒別與授權然而在傳統的授權模型中資源擁有者通常需要將其身份憑證共

,。,,

享給訪問者這種方式帶來了諸多安全隱患本標準引入授權層將第三方應用程序與資源擁有者的角

,。,

色進行分離在資源擁有者的授權下授權實體向第三方應用程序發放不同于身份憑據的令牌方式實

,,,

現開放的第三方資源授權

。

Ⅳ

GM/T0068—2019

開放的第三方資源授權協議框架

1范圍

本標準規定了第三方資源授權協議的流程不同類型的授權許可協議各端點的功能要求以及系統

、、

實體之間傳遞消息的格式和參數要求等

。

本標準適用于在互聯網跨安全域應用場景中身份鑒別與授權服務的開發測試評估和采購

,、、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術實體鑒別第部分采用數字簽名技術的機制

GB/T15843.3—20083:

信息安全技術密碼雜湊算法

GB/T32905—2016SM3

信息安全技術分組密碼算法

GB/T32907—2016SM4

信息安全技術橢圓曲線公鑰密碼算法第部分數字簽名算法

GB/T32918.2—2016SM22:

信息安全技術橢圓曲線公鑰密碼算法第部分公鑰加密算法

GB/T32918.4—2016SM24:

技術規范

GM/T0024—2014SSLVPN

中基于表單的文件上傳

RFC1867HTML(Form-basedFileUploadinHTML)

超文本傳輸協議

RFC2616HTTP1.1(HypertextTransferProtocol—HTTP/1.1)

鑒別基本訪問鑒別和摘要訪問鑒別

RFC2617HTTP:(HTTPAuthentication:BasicandDigest

AccessAuthentication)

統一資源標識符通用語法

RFC3986:(UniformResourceIdentifier(URI):GenericSyntax)

授權框