YD_T 2127.1-2010移动Web服务网络身份认证技术要求 第1部分：总体技术要求.pdf

ICS 33.030M 21YD中华人民共和国通信行业标准YD/T 2127.1-2010第1部分：总体技术要求Technical requirements for mobile Web servicesnetwork identity authenticationPart 1: General technical requirements2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2127.1-2010目次前 言1范围2规范性引用文件3术语、定义和缩略语·3.1术语和定义3.2缩略语4　概述·5架构模型5.1框架模型定义·5.2功能模块和接口·5.3流程·6功能元素6.1服务提供商·166.2身份提供商·6.3发现服务·166.4属性提供商·7网络身份支持的功能167.1身份提供商的介绍167.2身份联合和单点登录·167.3名字注册7.4认证上下文·单点登出7.5:187.6联合终止通告·7.7安全考虑·188流程描述·188.1属性查询8.2属性修改188.3使用指导·8.4交互服务·8.5基于 Web 服务框架的引导身份8.6发现服务?8.7自由联盟用户代理和设备（LUAD）198.8安全9附录A（资料性附录）用例·附录B（资料性附录）需求·49参考文献·21 YD/T 2127.1-2010服务提供商NI-2cNI-3NI-1bNI-1aNI-2aNI-2bNI-2d属性提供商ID-WSF单点登陆资源发现安全认证资源注册认证服务服务服务服务服务身份提供商发现服务提供商图 高层 ID-WSF 架构5.2.2接口描述接口 NI-1：服务提供商-身份提供商NI-1接口支持SP与IdP之间的通信，它使用ID-FF定义的协议，以及增补所述，以支持 ID-WSF。本接口包括以下服务。参见图1。包括下列服务。.1NI-1a：单点登录服务本接口提供的功能有：a）SP 提取认证断言,该认证断言是关于个现存的在 SP 处的已鉴权会话，它包含一个特定主体的联盟身份；一客户和SP间的基于浏览器的交互参见网络身份联合框架规范；ID-WSF中为自由联盟 ID-WSF支持的网络服务客户的定义;b）设定与可接受的主体的认证断言相关的认证背景；c）单点登出(参见YD/T2127.3《移动Web服务网络身份技术认证要求第3部分：网络身份联合框架》）。为支持基于ID-WSF的交互，从身份提供商发送给服务提供商的带有认证断言的响应可能也包含引导信息，该引导信息包括一个SOAP端点，来使服务提供商定位用户的发现服务提供商。这一引导信息可能包含姓名标识符，IdP和DS通过该标识符识别用户。该姓名标识符可能受到保护而对于SP是不可见不可更改的。.2 NI-1b: ID-WSF 认证服务该接口为Web服务请求方提供了在Idp处创建一个认证会话的便利。一个无浏览器客户端或网络服务客户端使用关于这一认证会话的信息来激活单点登录服务。.3接口NI-2：服务提供商一发现服务NI-2接口支持服务提供商和发现服务之间的通信。NI-2接口使用ID-WSF中定义的协议。由下面服务组成。.4服务 NI-2a:发现给定用户的属性提供商。8 YD/T 2127.1-20.5服务 NI-2b:从某个用户的属性提供商那里获取认证标记令牌注：发现服务如何执行认证决策不属于YD/T2127《移动Web服务网络身份认证技术要求》定义的范围。.6服务 NI-2c:发现给定用户的属性提供商并可选的从某个用户的属性提供商那里获取认证标记令牌。服务NI-2c综合了NI-2a和NI-2b的服务，允许一个请求者发现属性提供商并用-一个简单的请求操作获得认证标记令牌。.7服务 NI-2d:为给定的用户提供属性服务（资源提供）的注册。.8接口NI-3：服务提供商-属性提供商此接口支持SP与任个属性提供商的通信，使用ID-WSF定义的协议。SP通过NI-3接口可以在属性提供商获得其他用户属性。它是：创建、读、写、更新和删除属性的服务；用户交互服务。通过它在属性共享之前请求用户的许可。例如可以是一个用户通过该接口对其他用户属性的查询。5.3 流程请求其服务提供商接口属性提供商认证证书核查服务提供属性/服务网络资源认证确认提供方认证确认接收方注：未标注箭头方向表示超出YD/T2127《移动Web服务网络身份认证技术要求》定义的范围。图 2 高层流程流程如下：a）实体（“用户/设备”）发起一个请求； YD/T 2127.1-2010b）在 SP 的应用向 IdP 核对主体的认证状态;c）IdP回复请求，内容包括一个描述用户认证状态的认证断言，可选包括访问主体发现服务所需的引导信息。注意IdP要生成认证断言并且要处理认证信息，这些信息用于确认强度和其他与认证事