ICS 35.240.01 L 70 GB 中华人民共和国国家标准 GB/T 31072—2014 科技平台 统一身份认证 General science and technology infrastructure- Unique identity authentication 2014-12-22发布 2015-06-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T31072—2014 目 次 前言 引言 范围 规范性引用文件 2 术语、定义和缩略语 3 3.1术语和定义 3.2缩略语 4统一身份认证的基本要求 4.1 身份信息管理的统 4.2 权限分配的统 4.3 身份认证的统 4.4 用户身份不可伪造和不可抵赖性 4.5 平台登录的统 5统一身份认证及其基本流程 5.1 概述 5.2 基本流程 6 统 -身份认证的基本功能 6.1 概述 用户管理 6.2 6.3 认证管理 6.4 授权管理 6.5 审批管理 6.6 单点登录 6.7 数据同步 7统一身份认证的实现方式 附录A（资料性附录）基于数字证书和cookie的统一身份认证管理系统解决方案 附录B（资料性附录）基于SAML的统一身份认证管理系统解决方案 参考文献 图1统一身份认证的基本流程· 图A.1基于数字证书和cookie的统一身份认证管理系统 图B.1基于SAML的统一身份认证管理系统 GB/T 31072—2014 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国科技平台标准化技术委员会（SAC/TC486）提出并归口。 本标准起草单位：中国标准化研究院、国家科技基础条件平台中心、北京航空航天大学、中科院网络 中心。 本标准主要起草人：王志强、杨青海、陈志辉、周琼琼、南凯、程女范、范治成、胡永健、程苹、刘守华、 干德庆， 521 I GB/T 31072—2014 引言 随着我国科技平台建设、运行和服务的开展，相继开发了平台系统及其门户，但由于各自为政，用户 身份信息不能共享，导致平台用户重复登录，资源访问权限不统一，影响了平台资源共享效率和信息安 全。统一身份认证可规范身份认证的基本流程、基本要求和基本功能，为实现单点登录奠定基础。 本标准基于这种需求开发，本标准的实施将有利于实现科技平台总门户与各个子门户平台及资源 站点之间的统一身份认证。 Ⅱ GB/T31072—2014 科技平台纟 统一身份认证 1范围 本标准规定了科技平台的用户统一身份认证的基本要求、基本流程和基本功能，并给出了统一身份 认证实现技术。 本标准主要适用于科技平台统一身份认证系统的建设、服务和管理。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25064一2010信息安全技术公钥基础设施电子签名格式规范 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 统一身份认证 unique identityauthentication 用户通过使用同一套认证凭证，可访问所有科技平台上与该用户身份对应的授权网络应用的过程。 3.1.2 单点登录 single sign-on 在多个应用系统中，平台用户只需要登录一次就可以访问所有相互信任平台应用系统的过程。 3.1.3 角色role 用户权限的集合。 3.1.4 用户凭证 credential 通过门户认证的用户身份的合法标识。 3.2 2缩略语 下列缩略语适用于本文件。 ACL：访问控制列表（AccessControl List) LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol) PKI：公钥基础设施（PublicKeyInfrastructure) RBAC：基于角色访问控制（RoleBasedAccessControl） SAML：安全断言标记语（SecurityAssertionMarkupLanguage） SOAP：简单对象访问协议（SimpleObjectAccessProtocol) 1