ICS35.040 L80 中华人民共和国国家标准 GB/T29242—2012 信 息安全技术 鉴别与授权 安全断言置标语言 Informationsecuritytechnology—Authenticationandauthorization— Securityassertionmarkuplanguage 2012-12-31发布 2013-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布中华人民共和国 国家标准 信息安全技术 鉴别与授权 安全断言置标语言 GB/T29242—2012 * 中国标准出版社出版发行 北京市朝阳区和平里西街甲2号(100013) 北京市西城区三里河北街16号(100045) 网址:www.gb168.cn 服务热线:010-51780168 010-68522006 2013年5月第一版 * 书号:155066·1-46985 版权专有 侵权必究 目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 一致性 2 …………………………………………………………………………………………………… 6 SAML断言 2 ……………………………………………………………………………………………… 6.1 概述 2 ………………………………………………………………………………………………… 6.2 方案头与命名空间声明 3 …………………………………………………………………………… 6.3 名称标识符 4 ………………………………………………………………………………………… 6.4 断言 6 ………………………………………………………………………………………………… 6.5 主体 8 ………………………………………………………………………………………………… 6.6 条件 11 ………………………………………………………………………………………………… 6.7 建议 15 ………………………………………………………………………………………………… 6.8 声明 16 ………………………………………………………………………………………………… 7 SAML协议 23 …………………………………………………………………………………………… 7.1 概述 23 ………………………………………………………………………………………………… 7.2 方案头与命名空间声明 23 …………………………………………………………………………… 7.3 请求与响应 24 ………………………………………………………………………………………… 7.4 断言查询和请求协议 29 ……………………………………………………………………………… 7.5 认证请求协议 34 ……………………………………………………………………………………… 7.6 假名解析协议 40 ……………………………………………………………………………………… 7.7 名称标识符管理协议 42 ……………………………………………………………………………… 7.8 单点登出协议 44 ……………………………………………………………………………………… 7.9 名称标识符映射协议 47 ……………………………………………………………………………… 8 SAML版本 48 …………………………………………………………………………………………… 8.1 概述 48 ………………………………………………………………………………………………… 8.2 SAML规范集版本 48 ……………………………………………………………………………… 8.3 SAML命名空间版本 50 …………………………………………………………………………… 9 SAML和XML签名句法与处理 51 ……………………………………………………………………… 9.1 概述 51 ………………………………………………………………………………………………… 9.2 签名断言 51 …………………………………………………………………………………………… 9.3 请求/响应签名 51 …………………………………………………………………………………… 9.4 签名的继承 51 ………………………………………………………………………………………… 9.5 XML签名机制 51 …………………………………………………………………………………… ⅠGB/T29242—2012 10 SAML和XML加密句法与处理 52 …………………………………………………………………… 10.1 概述 52 ……………………………………………………………………………………………… 10.2 签名和加密的组合 53 ……………………………………………………………………………… 11 SAML扩展性 53 ………………………………………………………………………………………… 11.1 概述 53 ……………………………………………………………………………………………… 11.2 方案扩展 53 ………………………………………………………………………………………… 11.3 方案通配符扩展点 54 ……………………………………………………………………………… 11.4 标识符扩展 54 ……………………………………………………………………………………… 12 SAML定义标识符 54 …………………………………………………………………………………… 12.1 概述 54 ……………………………………………………………………………………………… 12.2 行为命名空间标识符 55 …………………………………………………………………………… 12.3 属性名称格式标识符 56 …………………………………………………………………………… 12.4 名称标识符格式标识符 56 ………………………………………………………………………… 12.5 许可标识符 58 ……………………………………………………………………………………… 附录A(规范性附录) 部分定义和格式要求 60 …………………………………………………………… A.1 方案组织和命名空间 schemaorganizationandnamespaces 60 ……………………………… A.2 字符串值 stringvalues 60 ……………………………………………………………………… A.3 URI值 URIvalues 61 …………………………………………………………………………… A.4 时间值 timevalues 61 …………………………………………………………………………… A.5 ID及ID引用值 idandidreferencevalues 61 ………………………………………………… 附录B(资料性附录) 签名响应的示例 62 ………………………………………………………………… 参考文献 65 …………………………………………………………………………………………………… ⅡGB/T29242—2012 前 言 本标准依据GB/T1.1—2009给出的规则起草,在制定过程中参考了信息标准促进组织(OASIS: OrganizationfortheAdvancementofStructuredInformationStandards)的saml-core-2.0-os。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院软件研究所、工业和信息化部电信研究院。 本标准主要起草人:陈驰、冯登国、付艳艳、张立武、荆继武、聂秀英、毕立波、薛宁、江浩洁、武静。 ⅢGB/T29242—2012 引 言 近年来,越来越多的信息系统通过Web服务、门户和集成化应用程序等方式实现互联,彼此间的安 全信息共享需求日益强烈。但在互联网跨安全领域应用场景中,缺乏关于认证、属性和授权信息传输格 式和协议的规范,信息安全产品之间互操作困难的情况,仍没有得到很好的解决。本标准通过定义一整 套严格的、遵从XML编码格式的、关于安全断言的语法和语义规范以及标准的协议集合来缓解这种 状况。 本标准参考了结构化信息标准促进组织(OASIS)的文件SecurityAssertionMarkupLanguage (SAML)v2.0。在原文件的基础上增加了“术语和定义”部分,增加了对标准范围的说明,修改了原文 件的简介部分并增设了附录说明。同时新增了协议关系图说明各SAML协议间的关系。 ⅣGB/T29242—2012 信息安全技术 鉴别与授权 安全断言置标语言 1 范围 本标准定义了一系列遵从XML编码格式的关于安全断言的语法、语义规范、系统实体间传递和