GM_T 0068-2019 清晰版 开放的第三方资源授权协议框架.docxVIP

ICS35.040L80

中华人民共和国密码行业标准

GM／T0068—2019

开放的第三方资源授权协议框架openthirdpartyresourceauthorizationprotocolframework

2019-07-12发布2019-07-12实施

国家密码管理局发布

Ⅰ

GM／T0068—2019

目次

前言 Ⅲ

引言 Ⅳ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5概述 3

5.1协议流程 3

5.2协议通道要求 4

5.3协议端点 4

6第三方应用程序及安全要求 6

6.1第三方应用程序类型 6

6.2第三方应用程序标识符 7

6.3第三方应用程序注册要求 7

6.4第三方应用程序身份鉴别 7

7授权流程 8

7.1授权许可 8

7.2授权码许可流程 9

7.3隐式许可流程 12

7.4资源拥有者口令凭据许可流程 15

7.5第三方应用程序身份凭据许可流程 17

8令牌 18

8.1令牌类型 18

8.2访问令牌发放 20

8.3访问令牌刷新 21

9受保护资源访问 21

9.1受保护资源访问流程 21

9.2成功响应 22

9.3出错响应 22

附录A（资料性附录）协议参数说明 23

参考文献 25

Ⅲ

GM／T0068—2019

前言

本标准按照GB/T1.1—2009给出的规则起草。

本标准参考国际互联网工程任务组(TheInternetEngineeringTaskForce,简称IETF)的RFC6749文件《TheOAuth2.0AuthorizationFramework》进行制定。按照我国相关密码政策和法规，结合

我国实际应用需求及产品生产厂商的实践经验，本标准在第三方应用程序身份鉴别部分增加了基于SM2国产密码算法的数字证书鉴别方法，在授权协议中的数据通信安全部分采用密码行业标准GM/T0024—2014《SSLVPN技术规范》中定义的安全通信协议取代TLS协议，在访问令牌的保护部分增加了采用SM2、SM3、SM4等国家密码管理局认可的算法对其进行签名和加密的规定。另外，本标准去除了RFC6749文件中的安全考虑部分，将安全考虑部分涉及的应采用的安全措施具体化到本标准的各个章条，包括协议中传输的消息、端点、发放的令牌、第三方应用程序身份鉴别等部分。

本标准由密码行业标准化技术委员会提出并归口。

本标准的主要起草单位：中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、中国科学院软件研究所、中国电子技术标准化研究院、北京信安世纪科技股份有限公司、普华诚信信息技术有限公司。

本标准主要起草人：刘丽敏、李敏、王鑫、江伟玉、高能、刘宗斌、荆继武、林雪焰、张立武、汪宗斌、彭佳、屠晨阳、刘泽艺、钱文飞、范科峰、郝春亮、梁佐泉。

Ⅳ

GM／T0068—2019

引

言

在提供了资源互访接口的开放信息系统中，利用Web、桌面、手机或其他智能设备应用程序实现互联已成为常态。为了实现信息资源共享、业务合作，用户可利用某个安全域中的应用程序（被称为第三方应用程序）访问另一个安全域中受保护的资源。为了确保受保护的资源只被资源拥有者许可的实体访问，需要对实体进行鉴别与授权。然而，在传统的授权模型中，资源拥有者通常需要将其身份凭证共享给访问者，这种方式带来了诸多安全隐患。本标准引入授权层，将第三方应用程序与资源拥有者的角色进行分离，在资源拥有者的授权下，授权实体向第三方应用程序发放不同于身份凭据的令牌方式，实现开放的第三方资源授权。

1

GM／T0068—2019

开放的第三方资源授权协议框架

1