GB/T31504-2015
信息安全技术鉴别与授权数字身份信息服务框架规范
Informationsecuritytechnology—Authenticationandauthorization—Digitalidentityinformationserviceframeworkspecification
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2016-01-01
- 文件格式PDF
- 文本页数57页
- 文件大小1,002.61KB
以图片形式预览信息安全技术鉴别与授权数字身份信息服务框架规范
信息安全技术鉴别与授权数字身份信息服务框架规范
国家标准 GB/T31504一2015 信息安全技术鉴别与授权 数字身份信息服务框架规范 lnformationsecuritytechnology一Authentieationandauthorization Digitalidentityinformationservieeframeworkspeeifieation 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I31504一2015 目 次 前言 引言 范围 规范性引用文件 术语和定义 缩略语 符合性 命名空间和通用概念 6,1命名空间 6.2通用概念 参考模型 7.1数字身份信息服务 7.2数字身份信息服务参考模型 7.3数字身份信息服务安全模型 schema框架 数字身份信息数据XML 8.1概述 8.2Sehemata指导方针 8.3扩展服务 8.4时间值和同步 8.5通用的XML属性 8.6通用的数据类型 数字身份信息服务访问框架 概述 9.1 9.2多请求响应事件支持 12 9.3ids属性及处理规则 12 imeStampXML属性及处理规则 12 9.4 9.5状态和出错报告 13 9.6通用错误处理规则 15 资源标识 6 9.7 9.8选择操作 9,9选择操作的通用处理规则 9.10请求元数据和附加数握 8 9.11请求元数据和附加数据的通用处理规则 20 10查询数据 20 10.l 概述
GB/I31504一2015 20 10.2Query)元素 24 10.3(QueryResponse)元素 24 10.4附有条件的(ResultQuery)及(Qu aueryIem)元索 22 10.5查询处理规则 29 10.6查询处理规则示例 2: 11 + 创建数据对象 2s 概述 11.1 2: 11.2Create)元素 36 l1.3CreateResponse》元素 36 11.4创建数据对象的处理规则 别除数据对象 12 32 12.1Delete》元素 32 12.2DeleteResponse)元素 33 12.3删除操作的处理规则 33 修改数据 13 35 13.1 Modify>元素 35 13.2ModifyResponse>)元素 36 13.3修改的处理规则 36 13.4修改规则处理示例 39 14服务说明 39 附录A(资料性附录)查询处理规则示例 42 附录B(资料性附录修改处理规则示例 49 参考文献 52
GB/T31504一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标淮起草单位;科学院软件研究所、中兴通讯股份有限公司、北京信息科学技术研究院
本标淮主要起草人;冯登国、张敏、张立武,张妍,付艳艳、段美蛟、张严、李强
m
GB/I31504一2015 引 言 数字身份作为主体的虚拟标识,是其进行各种网络活动的支撑手段
数字身份管理是数字世界安 全事务的核心,为鉴别、授权、访问控制、账户访问以及其他各种与用户属性应用提供支持
然而目前数 字身份由各种服务提供方自行管理,不仅格式多样、管理混乱,而且不同服务提供方之间的身份信息难 以交互,安全与隐私性也无法得到足够保障
因此迫切需要对我国数字身份管理技术进行规范化管理, 使数字身份信息使用者可以准确地访问数字身份信息,身份提供方可以正确维护和管理数字身份信息, 确保用户数字身份信息的安全和隐私
本标准是数字身份管理规范化的基础性标准,致力于规范各种数字身份信息服务
本标准定义 种通用的可扩展的数字身份信息XMISchema框架与数字身份信息访问消息格式,支持多种类型的数 字身份表示和访间.允许用户自定义格式扩展
支持数字身份信息的定义和访间过程的标准化,为各种 类型的数字身份信息服务建立统一的服务框架规范
本标准参考了LibertyAIlianee的文件LibertyIDwSFDataServieesTemplatev2.1
在原文件的 基础上增加了对标准范围的说明以及数字身份信息参考模型部分
GB/I31504一2015 信息安全技术鉴别与授权 数字身份信息服务框架规范 范围 本标准定义了数字身份信息服务参考模型,XMISchema的框架,命名空间、扩展方式以及通用的 数字身份信息对象属性类型,还定义了通用的数字身份信息创建,查询、修改和删除的交换消息格式以 及处理规则
本标准适用于数字身份信息服务的开发,并可指导对该类系统的检测及相关应用的开发
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069一2010信息安全技术术语 术语和定义 GB/T25069一2010中界定的以及下列术语和定义适用于本文件
3.1 账户account 个正式的商业协议,用于处理主体与一个服务提供方之间的交易和服务 3.2 已鉴别身份authenticatelidentity 个已经被断言通过鉴别的主体的身份,可代表此主体 3.3 鉴别authentication 个在指定级别的可信度下确定某主体声称的身份的过程 3.4 鉴别权威 authentieationauthority 是鉴别身份提供方
一个可以鉴别某主体的身份提供方
3.5 授权authorizationm 根据对主体数字身份信息的评估,确定一个主体是否可以对资源实施指定类型的访问的过程
旦某个主体被鉴别,就可能拥有某些类型的访问权限 3.6 数字身份digitalidentity 主体在互联网中的虚拟身份表示,关联了与该主体相关的属性信息,通常由一个账户标识其唯一性
GB/I31504一2015 数字身份信息digitalidentityinformation 与数字身份关联的主体相关的属性信息
3.8 数字身份请求与使用者dietaltdentity requesterandlconsumer 交互过程中需要对方提供数字身份信息的实体
包括服务提供方与普通用户两类 3.9 身份提供方identityprovider 替主体管理数字身份及相关数字身份信息的系统实体,为其他服务提供方提供主体的鉴别断言
3.10 服务提供方seritepoider .个提供在线服务和/或实体商品的系统实体
3.11 主体subjeet -个身份可以被鉴别的实体
主体可以是自然人或者系统实体,其多个身份之间具有内在联系
典型的主体的例子为;单个个体,多个个体的群组,公司、网站等
3.12 可信身份权威trustedidentityauthority 存储和管理用户真实身份信息,提供网络真实身份的鉴别服务的机构
由国家指定主管机构担任
缩略语 下列缩略语适用于本文件
XML.可扩展置标语言(eXtensibleMarkuplanguage) DST;数字身份服务框架(DigitalIdentityServiceFrameworkTemplate) sOAP;简单对象访问协议(SimpleObiectAcces、Protocol SAML;安全断言置标语言(SeeurityAssertion! MarkupLanguage ds;数字身份(identitys 符合性 对于一个特定的应用.并非必须涉及数字身份服务框架的所有特征
鉴于此,本标准提供了一种通 过对置标语言的特征进行选择以适用特定应用的方法
本标准中所定义的所有必需的核心特征集合都 采用显式的[必需]进行标注,其他可选的特征集合则会采用[可选]进行标注,以方便使用者针对特定的 应用进行选择
命名空间和通用概念 6.1命名空间 本标准使用的命名空间关联如表1中描述
GB/T31504一2015 表1引用XML名空间 前缀 URI 描述 DsT使用schenma的目标名空间 dst: urn:liberty:dst:2006-08 IDST 参考模型的目标名空间 dstref: urn;liberty;dst;2006-08;ref /XML/1998/ w3cXML xml http://www.w3.org /namespace /2001/XMISchema w3CcXML.Schema定义语言 xs; http://www.w3.org ds; urn;liberty;disco;2006-08 IDwSF发现服务 urm:liberty;util;:2006-08 特许使用schema目标名空间 lu 6.2 通用概念 本标准遵守以下排版规则:(Element)(ns;ForeignElement>,atribute,DataType,oherCode 为了便于阅读,本标准在实例中使用“1”和“0”描述XMLschema中xs,boolen类型的值,但其对应 的值应表述为“true”和“false”
参考模型 7.1数字身份信息服务 数字身份是一个真实主体在互联网中的虚拟身份表示.它可以被用于与其他机器或者主体进行必 互
一个数字身份关联了与该主体相关的属性信息,描述了该主体的各种特征,偏好或历史行为
基于 这些数字身份信息,主体可以在互联网上得到个性化的定制服务 数字身份信息服务是由管理主体数字身份的数字身份提供方向主体和其他网络实体抛供的主体数 字身份信息访问服务包括各种数字身份信息的创建、删除、查询和修改服务
根据数字身份信息类型 的不同.数字身份信息服务也分为多种类型,如提供个人轮廓信息、雇员身份信息.或提供个人空间地理 信息的数字身份信息服务等
本标准研究各种类型的数字身份信息服务均需要遵循的通用服务规范, 为各种类型的数字身份信息服务提供规范的服务框架模板
7.2数字身份信息服务参考模型 7.2.1概述 本标准给出了两种数字信息服务参考模型
-种基本模型中涉及的数字身份信息,仅包括身份 第一 提供方与用户交互过程中获得或生成的虚拟身份信息.适用于一般场景下的网络服务
第二种参考模 型可以实现网络中虚拟数字身份同自然人真实身份的有效关联,其中用户的真实身份必须经过可信身 份权威(如公安机关)的认证,该模型可适用于具有更高安全及信用需求的特殊的应用场景,如电子交 易、财产安全,政府民生服务等 7.2.2基本参考模型 在数字身份信息服务的基本参考模型中,主要参与者有三方:用户,数字身份提供方、数字身份请求 与使用者
其中,用户是拥有数字身份的主体;数字身份提供方是提供和管理用户数字身份的系统实 体;数字身份请求与使用者是访问用户数字身份的主体,包括服务提供方与用户两类
用户首先需要向身份提供方注册一个可用于鉴别的账户,随后身份提供方在与用户的交互过程中
GB/I31504一2015 获得或者生成各种关于该用户的数字身份信息,包括用户特征、偏好以及历史行为等,这些数字身份信 息均与该用户的账户相联系
数字身份提供方基于web服务向外界提供用户数字身份信息访问服务, 其中也包括鉴别服务
典型的数字身份请求与使用者包括 服务提供方;向用户提供各种资源和服务的网络实体,如提供在线订票服务的航空公司网站 提供在线诊断服务的医疗卫生网站等等
身份提供方也可以是一个服务提供方
其他用户;用户的数字身份信息在一些场景中也常被其他用户访问,如与朋友共享的照片
身份提供方 用户2 身份提供方 服务提供方 用户 用户 b 数字身份请求与使用者为服务提供方 数字身份请求与使用者为其他用户 图1数字身份基本参考模型 图1a)给出了针对第一种数字身份请求与使用者--服务提供方的数字身份参考模型
模型包括三 类交互;第一类是身份提供方与用户的交互,旨在管理用户的数字身份,包括数字身份的创建、维护,销 毁等生命周期管理过程,以及基于用户意愿的数字身份信息访问控制管理过程
第二类是用户与服务 提供方之间的交互,传递用户对服务的请求,以及服务提供方对请求的回复
第三类交互是服务提供方 与身份提供方之间的交互,服务提供方接收到用户请求后,调用身份提供方提供的数字身份信息访问服 务,获取对该用户的鉴别断言,若鉴别成功,则获取该用户的部分数字身份信息,根据本地策略判定是否 授予该用户服务访问权限,在此交互过程中,如有需要,依照用户意愿,与数字身份提供方进行增删查改 用户数字身份信息的交互
在这个模型中,服务提供方和身份提供方可以为同一实体,也可以为相异 实体 图1b)给出了针对第二种数字身份请求与使用者-其他用户的数字身份参考模型
在该模型中身 份挑供方挑供对用户1的数字身份信息管理,用户2的数字身份信息可以由它管理也可以由其他身份 提供方管理
用户2向身份提供方提出访同用户1身份信息的请求,身份提供方根据用户1的意愿,向 其提供适当的数字身份信息访问权限 7.2.3具有可信身份权威的参考模型 在具有可信身份权威的数字身份信息服务参考模型中,主要参与方包括用户、数字身份提供方、数 字身份请求与使用者以及可信身份权威
其中数字身份提供方为数字身份请求与使用者提供数字身份 信息访问服务和鉴别服务,与可信身份权威交互确认用户提供的身份信息或凭证的真实性
可信身份 权威负责存储和管理用户真实身份信息,包括姓名、性别、年龄等;提供网络真实身份的鉴别服务;由权 威部门,如公安机关担任
用户在向身份提供方注册账户之前,需要提供某些真实身份信息的凭证,如 是否合法公民、年龄是否大于18岁等;身份提供方与可信身份权威交互,确认用户信息的真实性;随后 身份提供方为用户注册账户,并在此后与用户的交互过程中获得、维护或生成关于该用户的账户信息
图2给出了具有可信身份权威的数字身份参考模型
该模型包括四类交互,第一类是身份提供方 与用户的交互,旨在注册前获取用户某些真实身份信息的凭证,管理用户注册后的数字身份,包括数字 身份的创建、维护,销毁等生命周期管理过程,以及基于用户意愿的数字身份信息访问控制管理过程
第二类是用户与数字身份请求与使用者之间的交互,此类交互与基本模型中相同
第三类交互是数字 身份请求与使用者与身份提供方之间的交互,此类交互与基本模型中相同
第四类交互是可信身份权 威与身份提供方之间的交互,旨在对用户某些真实身份信息进行鉴别,将用户在网络中的虚拟数字身份
GB/T31504一2015 与其真实身份关联,维护用户真实数字身份
可信身份权威 身份提供方 数字身份请求与使用者 用户 图2具有可信身份权威的数字身份参考模型 7.3数字身份信息服务安全模型 7.3.1概述 在数字身份信息服务的使用场景中,一个数字身份提供方可以为多个数字身份请求与使用者提供 身份信息
而对于同一个用户,网络上常常存在多个数字身份提供方为其管理不同的账号和不同类型 的数字身份信息,标识这些身份信息的身份账户可相互联合
当多个身份提供方提供的身份被联合后 用户可以使用其中任意一家身份提供方的鉴别凭证,访问其他身份提供方相关的服务提供方提供的服 务,即,身份的联合可以实现单点登录的功能
在身份联合的场景下,数字身份提供方维护的数字身份 信息被更多的数字身份请求与使用者所访问
数字身份信息的访问需要得到身份信息拥有者的许可和 信任,合法的数字身份信息访问者也需要保护数字身份信息的隐私性
可信身份权威可以分布式的存储用户身份信息,为多个数字身份提供方提供真实数字身份信息鉴 别服务
可信身份权威与身份提供方交互过程中需要保护数字身份信息的隐私性
7.3.2数字身份信息服务授权模型 基于用户的信任和许可实现数字身份信息服务访问授权的技术实施方式可以有多种,以下我们给 出其通用的抽象模型 在此模型中,数字身份提供方向数字身份请求与使用者提供基于web服务的数字身份信息访问服 务
用户,即身份信息拥有者,预先需要对数字身份提供方管理的数字身份信息设立访问控制许可与偏 好,该许可与偏好的形式可以由数字身份提供方依应用场景自行定义
日 一个数字身份服务被发现 数字身份请求与使用者需要从一个可信权威处获取足够的授权信息,递交给数字身份提供方,才可访问 该服务
可信权威可以是用户本身,也可以是用户信任的其他系统实体,如其他身份提供方,记录和发 布用户在各身份提供方处拥有何种身份信息的服务提供方等
授权信息可以为与用户交互后得到的许 可凭证,数字身份请求与使用者的身份信息等
图3展示了此模型的交互过程 使用安全凭证 数字身份请求与使用者 数字身份提供方 调用服务 创建安全凭证 设置许可和偏好 设置许可 可信权成 用户 建立信任 图3基于用户许可的数字身份信息服务授权模型
GB/I31504一2015 在有可信身份权威参与的数字身份信息服务中,可信身份权威也可以提供身份信息访问服务,涉及 如图4所示授权模型
在用户注册阶段数字身份提供者可能需要访问可信身份权威的特定查询服务
如果数字身份提供者在拥有用户许可和可信身份权威鉴别及授权,则可以访问可信身份权威提供的特 定的查询服务
数字身份请求与使用者没有权限访问可信身份权威提供的服务
用户完成注册后,数 字身份提供者向数字身份请求与使用者提供基于web服务的数字身份信息访问服务,其授权模型参照 图4所示
获得身份权成许可 可信身份权成 数字身份抛供方 查询特定信息 用户 图4具有可信身份权威的授权模型 7.3.3数字身份信息隐私保护模型 隐私约束描述了有关传播,使用、保留、存储和出示数字身份信息的基础约束
隐私权威和数字身 份请求与使用者可以使用隐私约束来描述对身份所必须的复合约束
隐私权威可以是访问授权模型中 的可信权威,数字身份提供方,或其他用户信任的权威机构
由隐私权威颁发的隐私约束可称为“义 务”,由数字身份请求与使用者声明的隐私约束通常绑定于数字身份信息请求消息上,可称为“承诺” 图5是数字身份信息隐私保护概念模型
数字身份提供方 十永道 黑易 数字身份诸求与使用者 隐私权成 图5数字身份信息服务隐私保护模型 数字身份信息数据XMLsehema框架 8.1概述 -个数字身份信息服务提供对数字身份信息数据的访问
数字身份信息数据由一个或多个对象构 成,而且多个对象可以具有相同的类型
不同类型的数字身份信息服务都需要对其支持对象进行定义
-种类型的数字身份信息服务可能只支持 个对象,可能支持相同类型的多个对象,也可能支持多种类 型的对象和相同类型的多实例对象
因此,每个服务类型都需要指定一个XMLschema
一种服务类 型可能包括多个XMLschemata,因为不同数据对象可能定义在不同schemata中 种服务类型的 xMIschema定义了该服务类型提供的数据,以及这些数据的结构
个数据对象有一个根元素,将数据包含在它的子元素中
这个根元素的名字是数据对象类型标 识
可以通过指定对象类型,并给出从指定类型的对象中筛选的准则,从而选定要访问的某个数据对 象
筛选准则可以是指定对象实例的标识,指定数据值,指定其他服务类型专有的参数值等等
在数据 对象内部的子数据元素也可以被单独挑出访问,比如访问一个身份证件中的名字信息
本标准给出了
GB/T31504一2015 对这些数据对象进行选择操作的一些通用的规则,但是实际的选择机制需通过今后具体的服务标准进 行定义 数据可能通过一些特定的方法进行存储,但是被遵循本标准和具体服务标准定义的XMLschema 5 的数字身份信息服务所处理
也就是说通过 aa定义的XML.文档是一个概念上的XML.文档
不 hema 涉及实际执行中的许多技术细节
不同服务类型的schemata可能有相同的特征
本章描述各种类型的服务都会使用到的共同的特 性,提供schema中通用的XML属性和数据类型,并提供一些指导
8.2sSehemata指导方针 指导方针的目的是在使用数字身份信息服务模板时,更方便的定义和实现服务
不同数字身份信 息服务的schemata应该遵照如下的指导方针: 每个关于主体的数据属性应当被定义为一种合适类型的xML.元素
b)XML属性应当只能被用来修饰定义为XYML元素的数据属性,并不能包含与主体相关的实际 数据值
XM元素应当要么包含其他xM元素,要么包含实际数据值
一个XML元素的包含内容 不应当是两者的混合,也就是既有值也有子元素
复杂类型all和choice不应当被使用
一旦一个数据属性在一个服务类型的文档中被发布,它的语法和语义不能被改变
如果语法 D 或语义需要改变,一个数据属性的任何新版本必须被赋予一个不同的名字,拥有新的语义,以 便与以前的属性定义区分开
所有的元素必须被定义为全局元素
当具有复杂类型的元素被定义,需要使用全局元素引用
这个方针的原因是一个服务提供的XMLschema不仅定义了服务支持数据的语法,同时定义 了解释语义
在许多情况下,应当可以查询和修改实例元素
当满足条件时,XMIschema提供的类型定义应当被使用
8.3扩展服务 通过标准和schema定义的一个服务,可能通过不同方法进行扩展
实际上支持哪些扩展必须通 过每种服务标准单独说明,或在本地的数字身份请求与使用者和数字身份提供方之间达成一致
扩展 服务应遵循以下规则: a)在执行过程中,可能增加新的元素和XML属性到已经规范过的对象,或者加到一个完全新的 对象中
新的数据必须使用其自身的名字空间,并加到官方服务标准和服务类型的 schema中
b 一个服务中新的特征被说明如新元素),应当用Option)元素来列出新的关键字
新的枚举类型的值可能作为一个特殊服务类型的标准中进行说明
特殊服务类型的标准必须 指出新的枚举类型的权威性
d 在 XMLschema中定义的一个XML元素可能包括一个〈xs;any)元素来支持任意的schema 扩展
当 ischema中包括了(xs;any)元素,某次执行可能支持这种类型的扩展,但是不是必须 力 的
xs;any)元素应当被放在(Extension)元素内
如果执行时支持这种类型的schema berty;dst:can:extend选项关键字
当一个服务支持并没有在 展,它可能注册un.lib schema 中定义的新的数据,而是运用这种扩展存储这种新数据,它就可能注册urn;liberty;dst: extend选项关键字 sension)元素不应该被 所有消息都可以有一个extension)元素,向服务提供更多的参数
(Ext 用在消息中,除非请求的服务已经规范了它的内容和相关的处理规则
如果接收方不支持 Extension)元素的使用,则必须忽略它
GB/I31504一2015 8.4 时间值和同步 普通XML中的一些属性是时间值
我们规定所有遵循此标准的数字身份信息服务使用的时间值 是dataTime的类型,遵循w3CXML.Schema数据类型标准中的定义 遵循此标准的所有请求者和接受者不应该依赖于任何其他时间分辨率优于秒级的应用程序,因为 具体实现可能忽略时间戳中低于一秒的部分
同时,任何实现在执行中都不能产生指定闺秒的时间 实例
用于DsTschemata a中的时间截只被用来实现数据的同步,不应该假设时钟已同步
由于时钟可 能未完全同步,数字身份请求与使用者应该检查在回复信息中的通用时间戳,并与其自身的时钟时间进 行比较
这将帮助数字身份请求与使用者更好地评估不同数据项中的时间戳
8.5通用的XM属性 8.5.1概述 在XMIschemata中为服务定义的XML元素,可能包含数据值或其他XMI.元素
因此一个 XM元素可以是一个叶子元素或一个容器
容器不能有除了xml元素和合法的xml属性以外的其他 数据内容
相反,叶子元素不包含其他的xML元素
这些叶子元素可以被进一步划分为两个不同种 类标准的(normal)和局部的(Iocalized)
标准的叶子元素包含一个字符串或URI实例
局部的叶子 冗素包含用本地写系统定义的文件 叶子和容器中的xMI.元素可以有专为单个服务定义的xML属性,但是也有可以用在所有的数字 身份信息服务中的xwL通用属性
这些通用的xML属性是技术属性.,通常被数字身份服务提供方在 数字身份信息服务中创建
这些技术属性并没有强制使用在所有的数字身份信息服务中,但是如果它 们被执行,则必须使用本标准的方法
每个服务应该分别指定一个或多个通用XML属性在该服务中 是否是强制的或可选的
除了通用的xML属性,我们定义了属性组包含这些通用的xML属性
这里 有三个属性组 commonAttribute主要为容器元素所使用,叶子元素使用leafAttribute、和localize dLeafAttributes
示例: "ie" "lu;IDrype" xs;attrbutenane tpe attrbute XS" modificationTime”type="xs;dateTime"八 rbutes" optional" ionTime”use="optional"八 xs;anyURI" xs:dateTime"/" ACccTime”type X5 string") "xs eafAttrbutes XS#aODC nmonAttributes'/ optiona use optional”/ dst;modifier"use="optional"八 X5 'script"type="xs;anyURI") "localizedL.eafAttributes" xS;attributeGroupname xs;attributeGroupref="dst;leafAttributes"
GB/T31504一2015 xs;attributeref="xml;lang"use="required"八 (xs;attributeref="dst;script”use="optional" /xs;attrbuteGrou refreshOnOrAfter”type="xs:dateTime"八 Xs:attr1butename xs;attributename destroyOnOrAfter”type="xs:dateTime"/ 8.5.2cmmonAttributeXML,属性组 本属性组包含两个通用的XM属性 Id[可选]id是文档内唯一的标识符
可以用来指明一个元素,尤其当多个XML元素拥有相同名 字时
如果数字身份信息服务的schema没有提供其他方式来区分两个XM1元素则需要这个函数、 idXML属性必须被使用
即在相同概念的XML文档中对XML元素进行区分
id不能作为一个全 局唯一的标识符,因为可能构成隐私问题
执行可能设置特定的长度来限制idXML,属性来执行
当 元素的内容被修改时,IdXML 属性应该保持相同,因此当不同时间查询相同元素时,idXM属性的相 同值可以被使用
ldXML属性不能被用来存储任何数据,而且应该保持短的
ModificationTinme[可选];modificationTime指出一个元素被修改的最后时间
修改包括改变元素 值,改变元素本身,或者其他子元素
当容器元素有nmodifieationTimeXML
属性,修改的时间必须递 归到根元素
如果根元素有modificationTimeXML
属性,它表明最后修改的时间
注意数字身份信 息服务可能只将有modificationTimeXML属性用在叶子元素中,甚至不是可选的
8.5.3leafAttributexL属性组 本属性组包括commonAttributesXMI属性组,并在叶子元素中定义了3个XML属性(XML元 素不包括其他XML元素).: Modifier[可选];modifier是最后修改数据元素的服务提供方的ProviderlD. Acc[可选];AcC是AttributeColectionContext的缩写,用来描述收集数据的上下文,从而为请 求者一些有用的信息,例如在搜集的时候是否做过验证
Acc常指当前数据值,因此当元素值发生改 变时,Acc的值必须更新,反应了新的情况
AcC是一种anyURI类型
下面是对AccXMI属性值的定义 Urn:liberty:dst:acc:unknown 代表这个值没有被验证过,或者是由用户自己输人的值
Acc可能在信息交换中被忽略,因为这 个值等价于没有提供任何AccxMI属性信息
Urn:liberty:dst:acc:incentive 收集数据时提供一些利益驱动,保证用户提供正确的输人 challenge Urm,lberty:dst;ace: 使用一个挑战机制用来验证收集的数据(例如,一个email发送和接受回复,或sMs信息发送到一 个移动电话包括一个WAPURL来完成数据的收集 Urn:liberty:dst;acc;secondarydocuments 这个值在二级文档中出现并验证过(例如从eleetriebill中收集地址 Urn:liberty:dst:acc:primarydocuments 这个值在一级文档中被验证过(例如,从一个护照中收集的名字和识别号),AcC允许其他的值,但 是本标准主要定义了以上定义的值的使用
当ACC包括在回复信息中,回复应该通过服务提供方保 证数字身份信息服务被签名
ACCTime[可选];该值定义了ACCXML属性值被赋予的时间
注意与modifieationTime不同
ACC包括与验证人口相关的信息
这样验证可能比人口产生和修改的发生时间晚
人口可以被验证
GB/I31504一2015 多次 8.5.4lealizelL.eafAttributeXML属性组 XML
属性组包括leafAtributeXML.属性组,并定义了两个XML属性来支持局部的数据
UTF 8是能够通过正确的形式来表述数据,但是很难通过正确的语言和写系统,对具有相同名字的XM元 素进行访问
这些XML属性应该被用在多种语言中,并且使用正确的语言和写系统也非常重要
Xmllang[必需] 定义了用作局部叶子元素值的语言
当(localizedLeafAttributes)XML属性组用在一个元素中,则 为强制XML
属性
Seript[可选] 有时,语言没有定义使用的写系统
在这种情况下,本XML
属性定义了更多写系统的细节
本标 准定义了如下的XML属性值urm,lherty;dstseript:kana和un.lberty;dst;seript;kanij 8.5.5个体通用XML属性 除了以前定义的XML属性组,更多的普通XML属性被定义并提供服务
XML属性在XML属 性组中,可以被单独使用,不需要考虑使用整个属性组,但是下面的XML
属性很少使用,因此并没有包 含在任何XML属性组中
refreshOnOrAfter:数字身份请求与使用者可能保存这个元素中的信息,如果选择在指定时间之外 使用数据,则应该更新数字身份提供方中的数据
如果数据没有被更新,数字身份请求与使用者可以继 续使用
这个参数没有放置数字身份提供方任务来保持数据静态值,因此可能在这段特殊时间中元素 发生改变
数字身份请求与使用者需要适时的数据请求更新数据,而不是存储数据 destroyOnOrAfter;即使数字身份请求与使用者不能更新信息,则应该破坏它,如果在信息中包含 的元素有XML属性destroyOnOrAfter,并且指定属性出现的时间
信息可能过时,而且不可用
8.6通用的数据类型 XMLschema提供的类型定义不能直接被数字身份信息服务使用,因为它们缺乏前面提到的通用 的XML
属性
本标准定义的数据类型是XMLSchema([XML])数据类型与前面所述的通用XML属 性的结合
对于字符串我们有两种类型定义,一种用于本地元素,另一种是通过Latinl字符集标准化 的元素,字符串,整型等通用的符合本标准的数据类型定义如下所示 示例: xs;complexTypename="DSTLocalizedString" Xs;simpleContent XSeXeOSOp base="xs;string" uteGroupref="dst;localizedL.eafAttributes") tent
"DsrString"y simpleContent base="xs;string" attributeGroupref=-"dst;leafAttributes") xsextens GB/T31504一2015 xs;complexTypename="DSTInteger" xs:simpleContent》 xs;extensionbase="xs;integer" xs;attributeGroupref="dst;leafAttributes" eXe0SOm Content exIYPe Typename="DsrURr" ,simpleContent -"xs;anygURr" base= buteGroupref="dstleafAttrbutes"/八 X4S ension simpleContent 2omplexIYpe exypename="DSDate e" simpleContent extensionbase="xs;date" XS ibuteGroupref="dst;leafAttributes") SmO leContent pename "DSTMonthDay" Content xs;extensionbase="xs;gMonthDay" ;attributeGroupref="dst;leafAttributes" /xs;extension /xs;simpleContent /xs;complexType 数字身份信息服务访问框架 9.1概述 本标准定义了用于数字身份信息服务的一些访问协议
这些协议主要依据请求响应信息交换格 式
唯一例外的是通知信息,可能无需获取回复
在本标准中指定的消息可以用在soAP中
文档中 不对sOAP头进行说明
表2例举了本标准中定义的协议元素
Create)和(Ddete)被用来创建新的对象并删除已经存在的对象
对象中的数据可以通过(Modify)进 行修改,包括删除对象中单独数据项
所有的对象或对象中的数据可以通过Query)进行查询 表2请求和响应 数字身份请求与使用者提出的请求 数字身份提供方做出的响应 Create CreateResponse》 Delete
GB/T31504一2015 s TimeS tampXML属性必须有一个也可以用作changeSinceXML属性的值,也必须可以被用 stamp. notChangedSinceXML.属性值,当在时间截之后做出修改,修改是不成功的 9.5状态和出错报告 9.5.1概述 本标准定义了两种机制用来回答请求者一个请求是处理成功,失败,还是处于两者之间
正常的响 应中,一个普通的lID*消息被用来返回应用状态,包括普遍的出错条件,当应用检测到一个出错条件, 作为部分的正常处理,例如,依据本标准中的处理规则来处理
从数字身份信息服务模板看,下面的例子中需要使用ID*出错消息 a)当数字身份提供方没有识别出任何在sOAPBody中的RequestElerment时,必须返回D关 出错消息,并使用IDStarMsgNotUnderstood作为codeXM属性的值
这个错误可能被应 用到执行或实施不支持的特定类型的请求中(如只读服务)
类似地,当数字身份请求与使用者接收到一个空的或出错提示时,必须返回I*出错消息 并用IDStarMsgNotUnderstood作为codeXML属性值
如果基于请求部分的数字身份提供方提示不允许发出任何请求,必须返回D*出错消息,使 用ActionNotAuthorized作为codeXxML属性值
接收部分在处理信息体失败也会产生异常错误,必须返回D*出错消息,并使用Unex Xpect edError作为codeXML属性值
个服务标准可以定义使用ID*出错消息的多种情况
即使处理消息中发生错误,数字身份提供方应该依据特殊的处理规则处理消息体,返回正常消息来 说明在statuscode中出错的部分
因为一个消息可能包含多个工作请求,每个工作都是有意义的,除 非说明在第一个部分处理失败后整个消息失败,否则需要继续执行
RequestElement可能包含大量的工作请求(例如,在(Query)中有多个(Queryltem)元素)
因此 不能完成请求工作时,除非服务指定的处理规则进行说明,否则数字身份提供方应该完成这些消息中其 他的部分 9.5.2顶层(Status)元素 ResponseElement元素包含一个顶层(Status)元素来表示处理一个RequestElement是否成功
个(Status)状态可能包含其他(Status)元素,提供了更多关于状态细节信息
一个(status)元素有 一个 XML属性code,其值为返回的状态,以字符串的形式出现
这些代码的定义也将本标准中说明
在顶层(Status)元素中的codeXML属性必须包含如下的一些值,OK,Parial或Failed (OK:状态OK代表处理ReguestElerment成功
第二级状态码可能被用来表示对RequestElement 处理成功,但是存在的特殊情况 Partial.Partial值代表处理部分成功,部分失败
例如在(Query)元素处理中,一些Queryltem)元 素被成功处理,但是其他(Queryltem)元索处理失败
当Partial被在(Status)元素的codeXMl属性 时,高级(Status)元素必须用第二级(Status)元素来表明RequestElement中失败的部分
处理过程并 不表示第二级(Status)元素中每个处理必须成功
数字身份提供方如果还没有处理整个ReuestEle t,不能用Partial值 ment 修改请求中,当一个失败的
GB/T31504一2015 NoMoreElements oMorcObjcts NoMltipleAllowed NoMultipleResources NoSuchTest 0bjectTypeMismatch 03 PaginationNotSupported RequestedAggregationNotSupported RequestedPaginationNotSupported ReguestedSortingNotSupported ttedTriggerNotsupportecd Regues SecurityMechIDNotAccepted SetOrNewOuery SortNotSupported StaticNotSupported TimeOut TriggerNotSupported UnexpectedError UnspecifiedError UnsupportedObjectType UnsupportedPredefined 如果一个请求或提示因为一些原因失败,(Status)元素的refXML属性应该包含请求消息中失败 元素的itemlDxXMI.属性的值
当失败的元素没有itemlDXM1属性时,应该通过idXML属性来指 向它
如果不能标识失败元素(例如没有id或itemlDXM1属性),ref属性应当包含与该元素最接近的 且拥有标识xnml属性的父元素的标识 当数字身份请求与使用者生成一个访问消息,应该避免任何两个标识XM属性用同样的值以便 在返回状态中可以指出正确的位置
如果两个XML属性有相同值,当遇到问题,数字身份提供方需要 指出它们中的任何一个,数字身份提供方可能考虑全部信息是失败的或者使用那个值(如果要指出的元 素的标识别比另一个优先)
优先级顺序是itemlD,id
例如,itemID和id有相同值,则itemlDXM1 属性等于此值
9.6通用错误处理规则 数字身份提供方可能注册一个相关的选项关键字来表示它不支持一定类型的请求
定义如下选项 关键字: libe Urn: erty;dst;noQuery Urn:lb berty:dst;noCreate Urn:libe berty;dst;noDelete liberty:dst;noModifsy Urn 除了收到的消息中的错误以外,一个数字身份提供方可能遇到各种问题 如果处理时间过长例如一些后端系统响应不够快),请求没有在数字身份提供方所需的时间 15
GB/I31504一2015 内处理完成,次级 Timeout被用来说明此情况
处理时间依据数字身份提供方进 statuscode 行判断,是不可见的,只有Timeout状态码被返回 b)除了服务标准中提及的出错条件,其他条件也可能发生
这里有两个状态码定义这些情况
当数字身份提供方(或者数字身份请求与使用者接到一个提示)可以正常处理,但是并没有特 对于其他没有预料的 殊的状态码来说明他的状态,可以启用次级状态码UnspecifiedError. 情况,次级状态码Une expectedError应该被使用
9.7 资源标识 若没有显式的ReourelD,朋资鄙通过如下机潮进行标识 a)隐式的例如PAOS交换) b从(TargetldentitysOAP头; 使用提供的证书;证书持有者的资源被访问 C d端点
一个服务对每个访问的资源可能提供不同的访问端点
最简单的例子是将资源作为查 询的一部分 如果被访问的资源需要机密性保护,如(Targetldentity)或者证书,则
GB/I31504一2015 态码lnvalidPredefined应该被加到高级状态码中 数字身份提供方必须满足提前定义的XML
属性服务标准处理规则
g.9.2onjeetIypeXM属性的处理规则 ObjeetTypeXML
属性应遵循以下处理规则: 如果RequestElement子元素中不存在objectTypeXML
属性,当使用时,子元素的处理必须 a 失败,状态码返回失败
更多的MissingSeleet状态码信息关于应该加人到高级状态码中
这 里子元素包括
GB/T31504一2015 xs;attributeGroupref="dst;selectQualif") al" xs;attrbuteref "lu;itemIDRef”"use="optional XSat1O1十emame optional"type="xs;boolean" contingencyuse CommonAttributes”use="optional”type="xs;boolean”default="0") ibutename changedSince”use="optional"type="xs;dateTime" X5a temID”use="optional") ame ItemDataAttributeGroup") eGroup use="optional") luitemIDRef" name XS 工OUle 'notSorted”use="optional" Xs;simpleType restrictionbase="xs:string" value="Now" Om "Never" value ction 中0ue "dst;changeFormat”use="optional"八 ttributeGroup XG
PPmn "select”type="dstref:SelectType") "dstref;Res aaltouery"ype") Resultuery”type- XS" OeOame "ResultQueryType" xs;extensionbase "dst;ResultQueryBaseType" XS
SO1eme "0" max0ccurs="1"八 ref='dstref;Select”min0ccurs= 1 elementname="sort"min0ccurs="0”nax0ccurs= S type="dstref;SortType" seguence xs;extension S complexContent) xs;complexType XS eLeepg O2Ie "ItemData"type="dstref;ItemDataType" "ItemDataType" xIypename ntent C naC "dstref:AppDataType" "dst:ItemDataAttributeGroup") buteGroupref xs:extension /xs:complexContent 《/xs;complexType》 注,建议服务标准定制者仔细学习合适允许请求额外数据,与分开的查询比提供足够的优势
9.11请求元数据和附加数据的通用处理规则 请求元数据和附加数据应遵循以下通用处理规则: ResultQuery)元素必须处理,作为Queryltem》元素和(Data)元素的回应,考虑到(Re- a sultQuery)元素通常失败的事实,同时ResultQuery〉和(ItemData>有很少的特征,用Ite tem Data)取代
见第7章
19
GB/I31504一2015 b如果(ResultQuery)元素处理失败,剩下的请求信息必须正常处理,除非在服务标准中进行说 明
合适的次级状态码应该被用来表明失败处理的原因,但是不能影响高级状态码的值,除非 服务标准中说明
如果数字身份提供方不支持在
GB/T31504一2015 xs;attributename="id"use="optional”type="xs;ID"八 xs;attributeref="lu:itemID”use="optional" XS :complexType "dst;TestResultType"八 "TestResult”type xs;complexTypename="TestResultType" Content base="xs:boolean" xsattrbuteref "lu:itemIDRef”use="required" /xs;extension /xs;simpleContent /xs;:complexT'ype) 示例2 xs;complexTypename="QueryType"》 xs:complexContent xs;extensionbase="dst;RequestType"y XSSeOee ref="dstref;TestItem”minOccurs="o" maxOccurs="unbounded") "dstref:QueryIten”minOccurs="o”max0ccurs="unbounded" Lementref lexContent COmO pe" "TestItem”type="dstref;TestItemType Unm "TestItenType")》 )ntent base="dst;TestItemBaseType" "TestOp”minOccurs="o”max0ccurs="1" type="dst pe" ref;TestOpType SedIUe ension complexContent》 "oueryItem”type="dstref:QueryItemType") xs;complexTypename="QueryItemType") Content "dstref,;ResultQueryype" attrbuteGroupref S "dst;PaginationAttributeGroup"> /xs;extension /xs:complexContent /xs;complexType 10.2.2 'T Istltem)元素 Tetlem)中包括适用于某些属性的(TestOp)
(TestopP)与objetType一起使用,用来表明 a 本测试所作用的数据; b用于测试1中数据的其他参考数据 测试的种类 TestOp)元素 21
GB/I31504一2015 TestOp)的内容TestOpType,必须通过各种与本标准一致的具体服务标准进行定义 例如,如果服务标准指定XPath为查询语言,数字身份请求与使用者希望查询是否负责人的年龄 在合法范围内,可以写为: 《TesllemobjeetType="profile" TestOp>//Age>='21'内容通过通过服务标准定义的Select Type决定
当(Seleet)定义一个或多个数据元素需要被返回,然后这些元素(包括它们的后代)被返回,除非服 务标准参数过滤出一些或全部数据
同样隐私策略可能不允许返回一些或全部请求的数据 Queryltenm>同样可以有一个(Sort)元素
这个元素的类型和可能的内容通过服务进行说明
(Sort)元素包含了依据数据相应进行排序的标准
例如,一个联系册中的地址可以基于名字进行分类, 使用升序或降序排列
假设服务标准中对资源的分类很仔细,且说明分类基于数据和需要的标准
在 多数情况下,服务分类并不需要
当需要分类时,只有一些有限的分类标准被定义 QuerylItem)可以使用(ChangeFormat)元素
这个元素值说明了数字服务使用者希望这个数据以 什么格式被返回
本标准定义了两种不同的格式
这些格式在处理规则中进行解释 Queryltem)元素有两个XML
属性用于说明更多查询细节 necludeCommon.Attributes[可选];ineludeCommonAttributes说明请求的响应类型
默认值是 False,意味着只有在服务定义的数据才能被返回
如果本标准定义的用于container和叶子元素的通 用的XML属性也需要被返回,i 1,ineludeCommonAttributesXML属性则被赋予True
如果idXML属 性被用作与区分其他服务的相似元素进行区分,则必须返回,即使incdludeCommonAttributes是Fal lse Xmllang和scriptXML属性存在时,通常都返回 dhangedlsineC[可选]chaneedsnexML属性应该在请求者需要获取在指定时间中改变的数据时 使用
改变的数据可以通过不同方式返回
数字身份请求与使用者应该指出通过元素 22
GB/T31504一2015 Ch: hangeFoarmat)的格式
请让意,使用ehangesinmeexML属性不需要支持普通xML属性的moadfie nTime服务
服务跟踪修改时间,不需要提供这些时间作为modifcationTimeXML
属性作为不同 tion 的数据元素
除了idXML属性,(ResultQuery)或者Queryltem)元素可以有itemlIDXML属性
ltemlDXML 属性与(Data)元素中itemlIDRefXML属性相关,是在响应(Queryltem)数据时产生
如果(Query)元 素包含多个(Queryltem)元素,这种关联性是很必然的
10.2.4分页 当在(Selet)中定义的查询准则与多个具有相同类型和名字的元素相匹配,数字身份请求与使用 本标准通过使用(Queryltem)中count.offsetsetD和setReq属性实 者可能希望分批返回少量数据
现这一点
最基本的xML属性是count和ofset Coun[可选].countXML属性定义在响应消息中应当返回多少元素
这是直接通过(Sdle)指明 的元素,如果没有其他说明,它们的后代会自动包含在响应消息中
O)ffset[可选];当查询更多数据时,offsetXM属性说明从哪个元素继续查询
默认值是0,表示 第一个元素
示例 xs;attributeGroup nm 'PaginationAttributeGroup" "xs;nonNegativeInteger"八 type 'optional”type="xs;nonNegpativeInteger”defaualt="o") xsattributename offsetuse XC
7n1e nAmO 'setID”use="optional"type="lu:IDType") setReg”use 'optional S ;simpleType PS十 ictionbase="xs;string"》 value="Static"八 enumerationvaalue="DeleteSet"/ estriction simpleType attrbute XS 'aainationResponseAttributeGroup" OuOl 11CO 'optional”type="xs;integer") optional"type="xs;nonNegativeInteger"default="0"> setID" 'optiona XS.a时脚 10lIC DS type="lu:IDType" /Xs;attributeGroup 小数据集数字身份请求与使用者请求进行的过程中服务器上的数据可能发生改变,因为这个请求 进行过程中数字身份请求与使用者发送多个(Query>)消息,并引起多个(QueryResponses》
对于许多 服务而言,请求过程中的改变并不是问题, ,但是一些服务可能引起问题,因为会引起返回给数字身份请 求与使用者的数据的不符合性
如果服务类型和数字身份提供方支持的话,数字身份请求与使用者可 能要求其他人的修改不能影响正在请求的数字身份请求与使用者
在第一个(Query>)消息中,请求的 XML属性值置为statie
第一个响应消息返回一个该集合的标识,包 数字身份请求与使用者将setReq 含在selDxML属性值中,并用之后的响应消息
在数字身份请求与使用者请求的最后,数字身份请 “De 求与使用者请求设置setReq= eleteSe!"来释放数字身份提供方中的资源
SetID[可选]:setIDXML属性包含数据集的标识
当数字身份请求与使用者希望其请求过程中其 他人不能对数据集做出任何改变,就要启用这个属性
SetReq[可选]数字身份请求与使用者使用setReqXML属性请求建立由SetID标识的符合性集 23
GB/I31504一2015 合(设置其值为Statie),和释放该集合(DeletesSse) -个服务标准必须说明分页支持的元素
分页并不是要适用于每个请求,只需对一些请求类型适 用
使用静态一致集合可能消耗更多服务资源,所以使用静态集必须经过认真考虑 10.3QueryResponse)元素 除了不同的标识,QueryResponse)中包含 (Status);查询完全成功或失败; TestResult)[可选];在
GB/T31504一2015 数字身份提供方必须支持含有一个(Queryltem)元素的Query>,而且应当可以支持有多个 a Queryltem)元素的(Query>)
如果数字身份提供方仅支持一个(Queryltem)元素,它收到 Q Query>中包含多个(Queryltem)元素,整个(Query)的处理失败,状态码表明失败并返回
多的细节状态码NoMulipleAllowed应该在高级别状态码中使用
如果数字身份提供方支持 urn:liber 一个Query)中可含多个Queryltem)元素,需要注册u tem 选 ery:dti;multiplcQueryie 项关键字
b)如果(Query)中包含多个(Queryltem)元素,数字身份请求与使用者必须增加itemlDXML.属 性到每个(Queryltem)元素
如果(Queryltem)元素存在itemlDXML
属性,而且在(Query 中有多个Queryltem)元素,数字身份提供方必须通过itemIDRefXMI属性将(Data)元素与 相应的Queryltem》元素对应
在
信息安全技术鉴别与授权数字身份信息服务框架规范GB/T31504-2015
数字身份信息是指包含个人身份、组织机构身份等涉及身份识别的信息。在数字化信息的背景下,数字身份信息的泄露和滥用风险日益增加,因此数字身份信息的安全性越来越受到重视。数字身份信息服务框架规范GB/T31504-2015是我国国家标准化管理委员会发布的一项标准,主要用于规范数字身份信息鉴别与授权过程中的服务框架和接口规范。
数字身份信息服务框架规范GB/T31504-2015标准主要定义了数字身份信息的认证、鉴别、授权等服务接口规范。该规范包含了数字身份信息服务的请求和响应消息格式、接口调用流程和安全机制等方面的内容,以确保数字身份信息的安全性和可靠性。
在数字身份信息服务框架规范GB/T31504-2015中,主要包含以下内容:
- 数字身份信息服务鉴别与授权服务的基本概念、功能、接口规范和通信协议等;
- 数字身份信息服务的生命周期管理和安全保护机制等;
- 数字身份信息服务的实现过程中所需的各种技术和工具。
数字身份信息服务框架规范GB/T31504-2015标准的应用可以提高数字身份信息服务的安全性和可靠性。在数字身份信息服务的实现过程中,需要根据具体应用场景选择相应的认证、鉴别、授权等服务,并遵循标准中定义的服务接口规范和安全机制。通过使用数字身份信息服务框架规范GB/T31504-2015,可以更好地保护数字身份信息的合法权益。
总之,数字身份信息服务框架规范GB/T31504-2015是我国数字身份信息服务领域的重要标准,它为数字身份信息服务的实现提供了标准化的技术和规范,对保障数字身份信息的安全性和可靠性具有重要意义。
