面向垂直行業(yè)的服務(wù)使能架構(gòu)層安全技術(shù)要求

1面向垂直行業(yè)的服務(wù)使能架構(gòu)層安全技術(shù)要求本文件規(guī)定了在5G移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)中支持面向垂直行業(yè)的服務(wù)使能架構(gòu)層(SEAL)的安全功能和機(jī)制。主要包括用來(lái)在5G移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)中支持高效使用和部署垂直應(yīng)用的安全架構(gòu)、功能模型、SEAL相關(guān)接口(如SEAL-LU)的安全方面、密鑰管理流程、標(biāo)識(shí)管理流程和SEAL接入認(rèn)證和本文件適用于5G移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)中面向垂直行業(yè)的服務(wù)使能架構(gòu)層的安全設(shè)計(jì)和研發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。3GPPTR21.9053GPP規(guī)范詞匯表(Vocabularyfor3GPPSpecifications)forEvolvedUniversalTerres3GPPTS23.434面向垂直行業(yè)的服務(wù)使能架構(gòu)層(ServiceEnablerArchitectureLayerforVerticals(SEAL);Funetionalarchitecture3GPPTS33.2103G安全；網(wǎng)絡(luò)域安全(NDS);IP網(wǎng)絡(luò)層安全(3GSocurity(NDS):IPnot3GPPTS33.222v17.1.0通用認(rèn)證架構(gòu)(GenericAuthenticationArchitecture(GAA):AccesstonetworkapplicationfunctionsusingHypertextTransferProtocoloverTransport3GPPTS33.310v16.8.0網(wǎng)絡(luò)域安全性(NDS);(NDS);AuthenticationFranework3GPPTS33.5015G系統(tǒng)安全架構(gòu)和流程(Securityarchitectureandproceduresfor5GIETFRFC67500Auth2.0授權(quán)框架承載口令使用(OAuth2.0AuthorizationFramework:BearerIETFRFC75210Auth2.0客戶(hù)端身份驗(yàn)證和授權(quán)的使用框架(AssertionFrameworkforOAuth2.0ClientAuthenticationandAuthorizationGAuthenticationandAuthorizatIETFRFC7515JSONWeb簽名(JWS)(IETFRFC7797JSONWeb簽名：未編碼負(fù)載選項(xiàng)(JSONWebSignature(JWS)UnencodedPaylond20penIDConnect1.00penID鏈接要點(diǎn)1.0包含勘誤表集1(ConectCore1.0incorporating3術(shù)語(yǔ)、定義和縮略語(yǔ)3.1術(shù)語(yǔ)和定義3GPPTR21.905界定的術(shù)語(yǔ)和定義適用于本文件。下列縮略語(yǔ)適用于本文件DoS拒絕服務(wù)攻擊IM-UU標(biāo)識(shí)管理無(wú)線(xiàn)接口SEAL面向垂直行業(yè)的服務(wù)使能架構(gòu)層SIM-CSEAL標(biāo)識(shí)管理客戶(hù)端SIM-SSEAL標(biāo)識(shí)管理服務(wù)端SKM-CSEAL密鑰管理客戶(hù)端SKM-SSEAL密鑰管理服務(wù)端UE用戶(hù)設(shè)備UTC協(xié)調(diào)世界時(shí)間VAL垂直應(yīng)用層DenialofServiceServiceEnablerArchitectureLayerSEALIdentityManagementCUserFquipmentVerticalApplication4SEAL安全需求4.1服務(wù)使能架構(gòu)圖SEL客戶(hù)圖1服務(wù)使能架構(gòu)圖UE和服務(wù)器上的SEAL功能實(shí)體分別分為SEAL客戶(hù)端和SEAL服務(wù)器。SEAL由一組通用的服務(wù)(例如組管理、位置管理)和接口組成。SEAL為VAL提供服務(wù)。SEAL客戶(hù)端通過(guò)SEAL-U接口與SEAL服務(wù)器通信。SEAL-UU支持單播和多播兩種模式。SEAL客戶(hù)端通過(guò)SEAL-C接口向VAL客戶(hù)端提供服務(wù)使能層支持功能。YAL服務(wù)器通過(guò)SEAL-S接口與SEAL服務(wù)器通信。SEAL服務(wù)器可以使用由移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)指定的相應(yīng)3GPP接口與底層移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信34.2垂直應(yīng)用層用戶(hù)認(rèn)證和授權(quán)所有VAL服務(wù)的用戶(hù)都應(yīng)被認(rèn)證。在向VAL.UE提供VAL服務(wù)用戶(hù)配置文件和接入用戶(hù)特定服務(wù)之前，VAL.客戶(hù)端和VAL服務(wù)器應(yīng)相互認(rèn)證。網(wǎng)絡(luò)中授權(quán)的VAL服務(wù)器和VAL.UE之間的配置數(shù)據(jù)和用戶(hù)配置文件數(shù)據(jù)傳輸應(yīng)受到機(jī)密性保護(hù)完整性保護(hù)和防重放保護(hù)。VAL服務(wù)宜采取措施檢測(cè)和減輕DoS攻擊，以盡量減少對(duì)網(wǎng)絡(luò)和VAL用戶(hù)的影響VAL服務(wù)應(yīng)提供支持VAL用戶(hù)身份機(jī)密性保護(hù)的方法。VAL服務(wù)應(yīng)提供支持VAL信令機(jī)密性保護(hù)的方法。4.3域間安全VAL系統(tǒng)宜采取措施，保護(hù)自己免受系統(tǒng)邊界的外部攻擊。5.1.1應(yīng)用平面接口安全如3GPPTS23.434中所定義，SEAL-X1參考點(diǎn)用于密鑰管理服務(wù)器和組管理服務(wù)器之間，并使用3GPPTS23.434中所定義的HTTP-1接口將安全相關(guān)信息路由和傳輸?shù)浇M管理服務(wù)器。SEAL-X1施和使用的配置文件應(yīng)符合3GPPTS33.310v16.8.0附錄E中的規(guī)定。SEAL-X2參考點(diǎn)使得組管理服務(wù)器能夠與3GPPTS23.434中定義的位置管理服務(wù)器交互SEAL-X2應(yīng)使用IETFRFC6749、IETFRFC6750和0penIDConnect1.0中定義的HTTPS進(jìn)行保護(hù)。TLS實(shí)施和使用的配置文件應(yīng)符合3GPPTS33.310v16.8.0附錄E中的規(guī)定。IM-UU參考點(diǎn)用于標(biāo)識(shí)管理客戶(hù)端和標(biāo)識(shí)管理服務(wù)器之間。標(biāo)識(shí)管理客戶(hù)端和標(biāo)識(shí)管理服務(wù)器之間的IM-UU應(yīng)使用IETFRFC6749、IETFRFC6750和0penIDConnect1.0中定義的HTTPS進(jìn)行保護(hù)。TLS實(shí)施和使用的配置文件應(yīng)符合3GPPTS33.310v16.8.0附錄中的規(guī)定。KW-UU和KM-S是密鑰管理服務(wù)器和密鑰管理客戶(hù)端之間的直接HTTP連接，應(yīng)使用IETFRFC6749、IETFRFC6750和OpenIDConnec1.0中定義的HTTPoverTLS進(jìn)行保護(hù)。hs實(shí)施和使用的配置文件應(yīng)符合3GPPTS33.310vl6.8.0附錄E中的規(guī)定。SEAL客戶(hù)端通過(guò)3GPPTS23.434中定義的SEAL-UU參考點(diǎn)與SEAL服務(wù)器交互。該接口的保護(hù)4VAL客戶(hù)端通過(guò)3GPPTS23.434中定義的VAL-U參考點(diǎn)與VAL服務(wù)器交互。該接口的保護(hù)應(yīng)VAL客戶(hù)端通過(guò)3GPPTS23.434中定義的SEAL-C參考點(diǎn)與SEAL客戶(hù)端交互。此參考點(diǎn)完全位于UE內(nèi)，因此，此接口的安全性由制造商決定，不在本文件的范圍內(nèi)。VAL服務(wù)器通過(guò)3GPPTS23.434中定義的SEAL-S參考點(diǎn)與SEAL服務(wù)器交互。該接口的保護(hù)應(yīng)SEAL.服務(wù)器通過(guò)3GPPTS23.434中定義的SEAL-E參考點(diǎn)與另一個(gè)SEAL服務(wù)器交互。該接口的保護(hù)應(yīng)根據(jù)3GPPTS33.210中規(guī)定的NS/IP進(jìn)行支持。5.1.2信令控制平面HTTP接口安全為了認(rèn)證HTTP-1參考點(diǎn)，應(yīng)使用基于證書(shū)的認(rèn)證或基于預(yù)共享密鑰的認(rèn)證在HTTP客戶(hù)端和VAL.UE之間執(zhí)行認(rèn)證機(jī)制?；谧C書(shū)的認(rèn)證應(yīng)符合3GPPTS33.222v17.1.0附錄B和3GPPTS33.310中給出的配置文件?；陬A(yù)共享密鑰的密碼套件的使用在3GPPTS33.310v16.8.0,附錄E中給出的TLS配置文件中進(jìn)行了規(guī)定HTTP-1參考點(diǎn)存在于VALUE和HTTP代理之間。HTTP-2存在于HTTP代理和HTTPHTTP-3參考點(diǎn)存在于不同網(wǎng)絡(luò)中的HTTP代理之間。HTTP接口應(yīng)使用TLS進(jìn)行保護(hù)。TLS實(shí)施和使用的配置文件應(yīng)符合3GPPTS33.310v16.8.0附錄E中的規(guī)定5.1.3網(wǎng)絡(luò)域接口安全VAL.UE應(yīng)執(zhí)行3GPPTS33.501中規(guī)定的5G網(wǎng)絡(luò)接入安全的認(rèn)證和安全機(jī)制。為確保受信任域內(nèi)和受信任域之間的網(wǎng)絡(luò)實(shí)體之間的接口安全，除非另有規(guī)定，否則應(yīng)使用3GPPTS33.210來(lái)保護(hù)參考點(diǎn)上的信令消息。3GPPTS33.210中指定的SEG可在受信任域中用于終5.2用戶(hù)認(rèn)證和授權(quán)5.2.1VAL用戶(hù)認(rèn)證標(biāo)識(shí)管理功能模型如圖1所示，該模型由UE的SEAL標(biāo)識(shí)管理服務(wù)器(SIM-S)和SEAL標(biāo)識(shí)管理客戶(hù)端(SIM-C)組成。SIM-S和SIM-C之間的DM-UU參考點(diǎn)應(yīng)提供用于用戶(hù)認(rèn)證的接口，并應(yīng)支持OpConmect1.0和OAuth2.0,以獲得VALUE的訪(fǎng)問(wèn)令牌。應(yīng)按照附錄A進(jìn)行面向VAML的OpenID連接配置。5.2.2SEAL服務(wù)授權(quán)SEAL服務(wù)授權(quán)程序應(yīng)驗(yàn)證接入SEAL服務(wù)的VAL.用戶(hù)。為了獲得對(duì)SEAL服務(wù)的接入，SEAL客戶(hù)端應(yīng)為每個(gè)感興趣的服務(wù)向SEAL服務(wù)器提供訪(fǎng)問(wèn)令牌。如果訪(fǎng)問(wèn)令牌有效，則SEAL服務(wù)器應(yīng)授權(quán)客戶(hù)端使用該服務(wù)5.2.3標(biāo)識(shí)管理功能模型5SEAL標(biāo)識(shí)管理服務(wù)器(SIM-S)和SEAL標(biāo)識(shí)管理客戶(hù)端(SIM-C)是提供VAL用戶(hù)身份驗(yàn)證的端點(diǎn)，如圖2中的SEAL標(biāo)識(shí)管理功能模型所示。參考點(diǎn)M-UU使用3GPPTS23.401和3GPPTS23.501中所述的Uu參考點(diǎn)。IM-UU必須支持0penIDConnect1.0和0Auth2.0用于VAL用戶(hù)標(biāo)識(shí)管理服務(wù)器標(biāo)識(shí)管理客戶(hù)端圖2SEAL標(biāo)識(shí)管理功能模型為了支持YAL用戶(hù)認(rèn)證，應(yīng)為SIM-S提供YAL用戶(hù)ID和VAL服務(wù)ID(在3GPPTS23.434的第7節(jié)映射。當(dāng)VAL用戶(hù)希望為VAL服務(wù)進(jìn)行身份認(rèn)證時(shí)，通過(guò)UE標(biāo)識(shí)管理客戶(hù)端，并按照OpenIDConnect1.0將VAL用戶(hù)ID和憑據(jù)提供給SIM-s.SDM-S接收并應(yīng)驗(yàn)證VAL用戶(hù)ID和憑據(jù)。如果驗(yàn)證成功，SIM-s將ID令牌、刷新令牌和訪(fǎng)問(wèn)令牌返回給UE標(biāo)識(shí)管理客戶(hù)端。SIM-C應(yīng)從ID令牌中得到用戶(hù)的VAL服務(wù)ID。表1顯示了SEAL特定的令牌及其用法。表1VALUE認(rèn)證令牌傳遞UE標(biāo)識(shí)的短生命令膺(可在STM-S中定義),此令牌SIM-s《認(rèn)證服務(wù)器)-應(yīng)配置到SEAL標(biāo)識(shí)管理數(shù)據(jù)庫(kù)中，并映射到VALUEID。-應(yīng)配置到SEAL密鑰管理服務(wù)器(SRM-S)中，并映射到UE特定的密鑰材料。5.2.4認(rèn)證架構(gòu)圖3描述了使用0penIDConnect協(xié)議的VAL認(rèn)證框架。它描述了VALUE向SDM-S進(jìn)行認(rèn)證的步驟，從而產(chǎn)生交付給UE的一組唯一標(biāo)識(shí)VAL服務(wù)D的憑證。認(rèn)證框架立持基于VAL服務(wù)提供商策略的可擴(kuò)展用戶(hù)認(rèn)證解決方案(如步驟3所示)。本文件未定義可能支持步驟3的用戶(hù)認(rèn)證方法(例如生物識(shí)別、安全I(xiàn)D等)。75.2.6VAL服務(wù)授權(quán)允許VAL客戶(hù)端使用請(qǐng)求的VAL服務(wù)。為實(shí)現(xiàn)VAL服務(wù)的安全性，SEALKM客戶(hù)端(位于SEALUE或V向SEALKMS(SKM-S)提出密鑰管理用戶(hù)進(jìn)行認(rèn)證(見(jiàn)5.2)。此外，在收到任何相關(guān)密鑰管理請(qǐng)求之前，應(yīng)在SEAL客戶(hù)端與SKM-s (參考點(diǎn)XM-UW)和VA.服務(wù)器與SKMS(參考點(diǎn)KM-S)之間建立安全連接。牌隨每次密鑰管理請(qǐng)求一起提供給SKM-S。VAL服務(wù)器配備有SEAL密鑰管理服務(wù)范圍內(nèi)的訪(fǎng)問(wèn)令牌，并能夠?qū)ο騍KM-S發(fā)出的每個(gè)密鑰管理請(qǐng)求提供訪(fǎng)問(wèn)令牌。將此訪(fǎng)問(wèn)令牌設(shè)置到VAL服務(wù)器的方法不在本文件的范圍內(nèi)。圖5顯示了SEAL密鑰管理過(guò)程。SKM客戶(hù)端可以向SKM-S驗(yàn)證并處理該請(qǐng)求，并以SEALKMResponse消息響應(yīng)。響應(yīng)包含SEAL服務(wù)或VLL服務(wù)請(qǐng)求特定的密鑰管理材料。如果SKM-S遇到失敗條件，則包含錯(cuò)誤代碼9“Date/Tine”字段主要用作SEAL密鑰管理請(qǐng)求和響應(yīng)的防重放機(jī)制。如果“Date/Time”字段明顯超出范圍(超過(guò)數(shù)秒),這可能表示重放攻擊。在收到SEAL.KMReques一訪(fǎng)問(wèn)令牌有效-簽名有效；-SKnsUri是存儲(chǔ)密鑰信息的目標(biāo)SEAL.KMIS的SKM-SURI;和-Date/Time在最近的時(shí)間窗口內(nèi)(例如5秒)。如果驗(yàn)證通過(guò)，則請(qǐng)求由SKM-S接受井處理。SEALKMRequest消息中可能包含獨(dú)立的ServiceID或與ClientID、DeviceID或UserID組合的ServiceID。該組合可用于KMS識(shí)別特定密鑰材料記錄。每個(gè)密鑰管理記錄對(duì)于VAL應(yīng)用或VAL服務(wù)可以是唯一的。密鑰管理記錄的格式和內(nèi)容由VAL應(yīng)用程序或VAL服務(wù)所有者/運(yùn)營(yíng)商定義并安全地提供到SEALKUS。用于將VAL服務(wù)或VAL應(yīng)用密鑰材料提供到KMS的方法超出了本文的范圍。在KUS內(nèi)組織、管理和維護(hù)VAL服務(wù)或VAL應(yīng)用密鑰材料的方法不屬于本文件的范圍。SEALKMResponse消息被發(fā)送到SKM-C以響應(yīng)SEAL.KMRequest消息。SEALKMResponse消息通常包括Payload,該P(yáng)ayload包含唯一適用于請(qǐng)求的服務(wù)、客戶(hù)端或用戶(hù)的密鑰管理信息。如果發(fā)生錯(cuò)誤，可能在SEAL.KMResponse消息中返回錯(cuò)誤代碼SEALKMResponse消息應(yīng)通過(guò)HTIPS隧道進(jìn)行傳輸保護(hù)。SEALKM響應(yīng)消息中的Payload可以在SKM-C和SKM-S之間受到端到端的保護(hù)，這取決于底層的VAL服務(wù)。在SKM-C和SKM-S之間確保Payload端到端安全的方法不在本文件的范國(guó)內(nèi)。Payload中提供的密鑰材料內(nèi)容由底層VAL服務(wù)定義，不在本文件內(nèi)容范國(guó)之內(nèi)。SEALKMResponse消息的內(nèi)容如表3所示。VAL服務(wù)/應(yīng)用程序標(biāo)識(shí)。此字段與在SEAL.KDIReq日期和時(shí)間。此數(shù)字表示從1970-01-01T0:0:02開(kāi)始的秒數(shù)，以TC為基表3中列出的標(biāo)識(shí)在5.3.2中說(shuō)明。如果SKM-S在處理SEALKMRequest消息時(shí)沒(méi)有遇到錯(cuò)誤，SEALKMResponse消息中會(huì)攜帶一組安全參數(shù)，該安全參數(shù)包含在Payload中。如果SKM-S在處理SEAL.KMRequest消息時(shí)遇到錯(cuò)誤，則應(yīng)在SEALKMResponse消息的"ErrorCode"字段中返回表4中所述的錯(cuò)誤值，且“Payload”字段不存在。在錯(cuò)誤發(fā)生時(shí)，可以通知VAL服務(wù)的用戶(hù)和/或運(yùn)營(yíng)商、UE或客戶(hù)端3GPPTS29.122v17.4.3GPPTS29.122vl7.4.Hequest”或“403Forbidden”在SEALKMResponse消息的Payload中返回的密鑰材料的選擇由ServiceID和ClientID(可選)、服務(wù)請(qǐng)求特定的密鑰材料集。例如，如果SEALKURcquest消息中包含ClientID,KMS可能會(huì)返回Payload,其中包含一組適用于請(qǐng)求VAL服務(wù)(ServiceID)內(nèi)的ClientID的客戶(hù)端特定密鑰材料。如果包含DeviceID,則KMS可以在請(qǐng)求VAL服務(wù)(ServiceID)中返回包含適用于DeviceID的設(shè)備特定密鑰材料的Payload。如果包含UserID,則KIS可以在請(qǐng)求VAL服務(wù)(ServiceID)中返回包含適用于該UserID的用戶(hù)特定密鑰材料的Payload。5.4VAL系統(tǒng)互聯(lián)安全流程在3GPPIS23.434中指定了主VAL系統(tǒng)和合作VAL系統(tǒng)之間的互連。VAL客戶(hù)端只能對(duì)其自身VAL系統(tǒng)內(nèi)的VAL服務(wù)器執(zhí)行用戶(hù)授權(quán)。當(dāng)VAL客戶(hù)端需要從另一個(gè)互連的VAL系統(tǒng)進(jìn)行通信時(shí)，用戶(hù)授權(quán)在服務(wù)VAL系統(tǒng)中執(zhí)行5.2中定義的VAL用戶(hù)服務(wù)授權(quán)過(guò)程VAL系統(tǒng)應(yīng)在系統(tǒng)邊界上保護(hù)自己不受外部攻擊者的攻擊。面向VAL的OpenlD連接配置本附錄提供基于0penIDConnect1.0的身份驗(yàn)證和授權(quán)框架的規(guī)范說(shuō)明，規(guī)定了ID令牌、訪(fǎng)問(wèn)令牌、如何獲取令牌、如何驗(yàn)證令牌以及如何使用刷新令牌等相關(guān)特性。OpenIDConnect1.0為本附錄提供了來(lái)源。本附錄配置(profiles)0penIDConnect標(biāo)準(zhǔn)，其中包括D令牌和訪(fǎng)問(wèn)令牌，以及密鑰管理、VAL服務(wù)、配置管理和組管理等的VAL特定范圍。本配置文件符合OpenIDConnect1.0。ID令牌應(yīng)為JSONWeb令牌(JWT),并包含以下標(biāo)準(zhǔn)和VAL令牌聲明。令牌聲明提供與通過(guò)SIM-S對(duì)VAL客戶(hù)端進(jìn)行認(rèn)證相關(guān)的信息作為附加聲明。以下章節(jié)描述了VALConnect配置文件所需的標(biāo)準(zhǔn)標(biāo)準(zhǔn)聲明由0penIDConnect1.0定義，是VAL實(shí)現(xiàn)所必需的(RFQUIRED)。OpenIDConnect定義的其他聲明是可選的?；跇?biāo)準(zhǔn)聲明的VALConnectID令牌如表A.1所示。SD-C的Osuth2.0client_id.必選，實(shí)施方可以提供一些小的自由度，通常不超過(guò)幾分鐘，以說(shuō)明時(shí)VALConnect配置文件將0penIDConnect標(biāo)準(zhǔn)聲明擴(kuò)展為基于VAL服務(wù)的附加聲明。訪(fǎng)問(wèn)令牌對(duì)VAL客戶(hù)端不透明，并由VAL.資源服務(wù)器使用。訪(fǎng)問(wèn)令牌應(yīng)按照IETFRFC7797中定義的JS0NWeb令牌進(jìn)行編碼。訪(fǎng)問(wèn)令牌應(yīng)包括IETFRFC7515中定義的JS0NWeb數(shù)字簽名配置文件。A.2.2.2標(biāo)準(zhǔn)聲明VAL訪(fǎng)問(wèn)令牌應(yīng)傳遞IETFRFC7662中定義的以下基于標(biāo)準(zhǔn)的聲明(表A.2)。表A.2訪(fǎng)問(wèn)令牌標(biāo)準(zhǔn)聲明實(shí)施方可以提供一些小的回旋余地，通常不卻過(guò)幾分鐘，以解釋時(shí)鐘偏差(不超過(guò)30秒)包含與此令牌關(guān)聯(lián)的授權(quán)范國(guó)空間分隔列表的JS0N字符申。此處包含的范圍SD-C的標(biāo)識(shí)符，主要用于SIM-C向SIMVAL配置文件擴(kuò)展了IETFRFC7662中定義的標(biāo)準(zhǔn)聲明，同時(shí)擴(kuò)展了基于VAL服務(wù)的其他聲明。在SIM-C能獲取ID令牌和訪(fǎng)問(wèn)令牌(需要接入VAL資源服務(wù)器)之前，應(yīng)首先按照OpenIDConnect1.0的規(guī)定向服務(wù)提供商的SIM-S注冊(cè)。配置文件不規(guī)定執(zhí)行此操作的方法。對(duì)于原生的SIM-C,以下信息應(yīng)注冊(cè)；一客戶(hù)端的一個(gè)客戶(hù)端標(biāo)識(shí)符?？蛻?hù)端標(biāo)識(shí)符表示客戶(hù)端向授權(quán)服務(wù)器的注冊(cè)，并且當(dāng)SIM-C作為訪(fǎng)問(wèn)令牌時(shí)，使SDM-S能夠引用與該客戶(hù)端的注冊(cè)相關(guān)聯(lián)的參數(shù)。關(guān)于SDM-C的其他參數(shù)，例如：applicationname,website,description,logoimagtermstobeconsentedto等參數(shù)可以選擇性地注冊(cè)。A.4獲得令牌SIM-C向VAL服務(wù)提供商的SIM-S成功注冊(cè)后，SIM-C可請(qǐng)求ID令牌和訪(fǎng)問(wèn)令牌(如需要接入VAL服務(wù)服務(wù)器)。這里僅定義原生的SD-c.sD-C請(qǐng)求訪(fǎng)問(wèn)令牌的方法取決于客戶(hù)端配置文件。下面將說(shuō)明SIM-C配置文件及其獲得0Auth訪(fǎng)問(wèn)令牌所需的步驟。根據(jù)IETFRFC6749.這符合OAuth2.0的原生應(yīng)用配置文件。SIM-C符合原生應(yīng)用配置文件，利用具有PKCE擴(kuò)展的授權(quán)碼的授權(quán)類(lèi)型來(lái)增強(qiáng)安全性，如圖A.1所示。4.TokenRequest圖A.1授權(quán)碼流程A.4.2.2認(rèn)證請(qǐng)求請(qǐng)求URI。此配置文件需要表A.3中的標(biāo)準(zhǔn)參數(shù)。0penIDConnect1.0定義的其他參數(shù)是可選的。表A.3認(rèn)證請(qǐng)求中的標(biāo)準(zhǔn)化參數(shù)應(yīng)匹配在客戶(hù)端注冊(cè)階段向SIM-S注冊(cè)的重定向URI.注1:Seope參數(shù)中。其他VAL服務(wù)特定值由VAL服務(wù)規(guī)范定義，并且它不屬于本SIM-S上運(yùn)行的授權(quán)終端發(fā)出授權(quán)代碼并將其傳遞到SIM-C.SM-C使用該授權(quán)代碼從SIM-S獲得ID令牌、訪(fǎng)問(wèn)令牌和刷新令牌。使用“application/x-www-form-urlencoded”格式將授權(quán)碼添加到重定向URI的查詢(xún)組件中。授權(quán)碼標(biāo)準(zhǔn)化參數(shù)如表A.4所示。表A.4認(rèn)證響應(yīng)中的標(biāo)準(zhǔn)化參數(shù)A.4.2.4訪(fǎng)問(wèn)令牌請(qǐng)求“application/x-www-form-urlencoded”格式發(fā)送以下參數(shù)，并在HTTP請(qǐng)求實(shí)體正文中使用UTF-8的字符編碼，向授權(quán)服務(wù)器的令牌端點(diǎn)發(fā)出請(qǐng)求?？蛻?hù)端身份驗(yàn)證對(duì)于原生應(yīng)用是必需的(使用PKCE),以便交換訪(fǎng)問(wèn)令牌的授權(quán)代碼。假設(shè)使用客戶(hù)端機(jī)密，則在HTTP授權(quán)報(bào)頭中發(fā)送客戶(hù)端機(jī)密。訪(fǎng)問(wèn)令牌請(qǐng)求的標(biāo)準(zhǔn)化參數(shù)如表A.5所示。表A.5訪(fǎng)問(wèn)令牌請(qǐng)求的標(biāo)準(zhǔn)化參數(shù)授權(quán)碼，從SIM-S收到的授權(quán)請(qǐng)求中的認(rèn)證的結(jié)果取值應(yīng)與授權(quán)請(qǐng)求中包含的"redirect_urA.4.2.5訪(fǎng)問(wèn)令牌響應(yīng)如果訪(fǎng)問(wèn)令牌請(qǐng)求是有效的并且是授權(quán)的，則SIM-S在訪(fǎng)問(wèn)令牌響應(yīng)消息中向SIM-C返回ID令牌、訪(fǎng)問(wèn)令牌和刷新令牌，否則會(huì)返回錯(cuò)誤訪(fǎng)問(wèn)令牌響應(yīng)標(biāo)準(zhǔn)化參數(shù)如表A.6所示表A.6訪(fǎng)問(wèn)令牌響應(yīng)的標(biāo)準(zhǔn)化參數(shù)SIM-C可使用ID令牌驗(yàn)證用戶(hù)并為用戶(hù)配置(例如，從ID令牌提取VAL服務(wù)ID)。然后使用訪(fǎng)問(wèn)令牌來(lái)代表用戶(hù)向STM資源服務(wù)器發(fā)出授權(quán)請(qǐng)求A.5更新訪(fǎng)問(wèn)令牌為了防止泄漏或其他危害，訪(fǎng)問(wèn)令牌的生命周期通常是短暫的(盡管這最終取決于服務(wù)提供商的安全策略和配置)。某些客戶(hù)端類(lèi)型可以頒發(fā)時(shí)長(zhǎng)較長(zhǎng)的刷新令牌，使其能夠刷新訪(fǎng)問(wèn)令牌，并避免在訪(fǎng)問(wèn)令牌過(guò)期時(shí)再次提示用戶(hù)進(jìn)行認(rèn)證。刷新令牌僅對(duì)使用授權(quán)代碼授權(quán)類(lèi)型的客戶(hù)端可用。圖A.2顯示了原生SD-C如何將刷新令牌用作授權(quán)類(lèi)型以獲取新的訪(fǎng)問(wèn)令牌。圖A.2請(qǐng)求新訪(fǎng)問(wèn)令牌A.5.2訪(fǎng)問(wèn)令牌請(qǐng)求為了使用刷新令牌從STM-S獲得的訪(fǎng)問(wèn)令牌，SIM-C向STM-S的令牌端點(diǎn)提出訪(fǎng)問(wèn)令牌請(qǐng)求。SIM-C通過(guò)使用“application/x-www-form-urlencoded“格式添加以下參數(shù)，其中HTTP請(qǐng)求的字符編碼為UTF-8。訪(fǎng)問(wèn)令牌請(qǐng)求標(biāo)準(zhǔn)化參數(shù)如表A.7所示。表A.7訪(fǎng)問(wèn)令牌請(qǐng)求的標(biāo)準(zhǔn)化參數(shù)或公鑰私鑰對(duì))與SIM-S的令牌端點(diǎn)進(jìn)行認(rèn)證。A.5.3訪(fǎng)問(wèn)令牌響應(yīng)響應(yīng)訪(fǎng)問(wèn)令牌請(qǐng)求，SM-S