ICS35.240.01 L70 中华人民共和国国家标准 GB/T31072—2014 科技平台 统一身份认证 Generalscienceandtechnologyinfrastructure— Uniqueidentityauthentication 2014-12-22发布 2015-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语、定义和缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 1 ……………………………………………………………………………………………… 4 统一身份认证的基本要求 2 ……………………………………………………………………………… 4.1 身份信息管理的统一 2 ……………………………………………………………………………… 4.2 权限分配的统一 2 …………………………………………………………………………………… 4.3 身份认证的统一 2 …………………………………………………………………………………… 4.4 用户身份不可伪造和不可抵赖性 2 ………………………………………………………………… 4.5 平台登录的统一 2 …………………………………………………………………………………… 5 统一身份认证及其基本流程 2 …………………………………………………………………………… 5.1 概述 2 ………………………………………………………………………………………………… 5.2 基本流程 2 …………………………………………………………………………………………… 6 统一身份认证的基本功能 3 ……………………………………………………………………………… 6.1 概述 3 ………………………………………………………………………………………………… 6.2 用户管理 3 …………………………………………………………………………………………… 6.3 认证管理 3 …………………………………………………………………………………………… 6.4 授权管理 4 …………………………………………………………………………………………… 6.5 审批管理 4 …………………………………………………………………………………………… 6.6 单点登录 4 …………………………………………………………………………………………… 6.7 数据同步 4 …………………………………………………………………………………………… 7 统一身份认证的实现方式 5 ……………………………………………………………………………… 附录A(资料性附录) 基于数字证书和cookie的统一身份认证管理系统解决方案 6 ………………… 附录B(资料性附录) 基于SAML的统一身份认证管理系统解决方案 8 ……………………………… 参考文献 10 …………………………………………………………………………………………………… 图1 统一身份认证的基本流程 3 …………………………………………………………………………… 图A.1 基于数字证书和cookie的统一身份认证管理系统 7 …………………………………………… 图B.1 基于SAML的统一身份认证管理系统 9 …………………………………………………………GB/T31072—2014 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国科技平台标准化技术委员会(SAC/TC486)提出并归口。 本标准起草单位:中国标准化研究院、国家科技基础条件平台中心、北京航空航天大学、中科院网络 中心。 本标准主要起草人:王志强、杨青海、陈志辉、周琼琼、南凯、程女范、范治成、胡永健、程苹、刘守华、 王德庆。 ⅠGB/T31072—2014 引 言 随着我国科技平台建设、运行和服务的开展,相继开发了平台系统及其门户,但由于各自为政,用户 身份信息不能共享,导致平台用户重复登录,资源访问权限不统一,影响了平台资源共享效率和信息安 全。统一身份认证可规范身份认证的基本流程、基本要求和基本功能,为实现单点登录奠定基础。 本标准基于这种需求开发,本标准的实施将有利于实现科技平台总门户与各个子门户平台及资源 站点之间的统一身份认证。 ⅡGB/T31072—2014 科技平台 统一身份认证 1 范围 本标准规定了科技平台的用户统一身份认证的基本要求、基本流程和基本功能,并给出了统一身份 认证实现技术。 本标准主要适用于科技平台统一身份认证系统的建设、服务和管理。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25064—2010 信息安全技术 公钥基础设施 电子签名格式规范 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 统一身份认证 uniqueidentityauthentication 用户通过使用同一套认证凭证,可访问所有科技平台上与该用户身份对应的授权网络应用的过程。 3.1.2 单点登录 singlesign-on 在多个应用系统中,平台用户只需要登录一次就可以访问所有相互信任平台应用系统的过程。 3.1.3 角色 role 用户权限的集合。 3.1.4 用户凭证 credential 通过门户认证的用户身份的合法标识。 3.2 缩略语 下列缩略语适用于本文件。 ACL:访问控制列表(AccessControlList) LDAP:轻型目录访问协议(LightweightDirectoryAccessProtocol) PKI:公钥基础设施(PublicKeyInfrastructure) RBAC:基于角色访问控制(RoleBasedAccessControl) SAML:安全断言标记语(SecurityAssertionMarkupLanguage) SOAP:简单对象访问协议(SimpleObjectAccessProtocol) 1GB/T31072—2014 SSO:单点登录(SingleSign-on) SSL:安全套接层(SecureSocketsLayer) 4 统一身份认证的基本要求 4.1 身份信息管理的统一 应集中存储和管理用户资料,保证用户信息的一致性。 4.2 权限分配的统一 应集中控制和管理用户权限,根据系统中不同的用户,统一设置不同的权限。 4.3 身份认证的统一 应对用户的身份进行集中统一认证。 4.4 用户身份不可伪造和不可抵赖性 应明确科技平台成员职责,确保其身份的不可伪造性和不可抵赖性。 4.5 平台登录的统一 应实现科技平台的单点登录。 5 统一身份认证及其基本流程 5.1 概述 统一身份认证系统采用的应用模式是统一认证模式,它是以统一身份认证服务为核心的服务模式。 统一身份认证服务负责管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理服务。 通过统一身份认证系统提供的用户统一的登录界面,在完成身份认证后无须再次登录就可以使用所有 支持统一身份认证服务的其他信息服务系统提供的服务。 5.2 基本流程 统一身份认证的基本流程如图1所示。 统一身份认证基本流程如下: a) 访问请求:用户通过浏览器发出访问某平台应用系统的请求,如图1中步骤①; b)HTTP重定向:平台应用系统通过HTTP重定向,将用户请求重定向至统一身份认证系统,如 图1中步骤②; c)认证请求:统一身份认证系统处理认证请求,如图1中步骤③; d)认证响应:统一认证服务器提供用户的数字身份,以访问某个支持统一身份认证服务的应用系 统,并将处理之后的响应返回给用户,如图1中步骤④; e)访问应用:根据统一身份认证系统的响应,用户访问平台应用系统,应用系统使用用户登录的 数字身份核实用户身份的合法性,防止非法用户登录,如图1中步骤⑤; f)返回结果:平台应用系统进行根据用户的相应权限进行处理,并返回结果,同时进行认证声明, 如图1中步骤⑥。 2GB/T31072—2014 图1 统一身份认证的基本流程 6 统一身份认证的基本功能 6.1 概述 科技平台用户身份统一认证管理基本功能主要包括:用户管理、认证管理、授权管理、审批管理、单 点登录管理和数据同步。 6.2 用户管理 用户管理应实现多应用环境下的统一用户身份管理,包括用户基本信息管理、组织机构信息管理、 认证凭证管理、账号生命周期管理等功能。 用户管理应具有以下功能: a) 支持用户集中管理和分级管理模式; b)实现对原有应用系统的用户信息进行整合,构建完整、统一、可信的新用户资源信息库,可根据 应用需要进行数据同步; c)支持用户凭证、角色、机构等相关信息的管理; d)提供用户凭证信息生命周期的管理,支持凭证的创建、注销、修改、删除等操作; e)提供用户