YDT - 移动Web服务网络身份认证技术要求 第2部分：网络身份Web服务框架.docx

1、YDICS 33.030. M21中 华 人 民 共 和 国 通 信 行 业 标 准YD/T 移动 Web 服务网络身份技术要求第 2 部分：基于网络身份技术的 Web 服务 框架要求Technical requirements for mobile web services network identity Part 2：Network identity web service framework(报批稿)XXXX-发 布 XXXX-实 施中 华 人 民 共 和 国 工 业 和 信 息 化 部 发 布 1YD/T 目 次前 言 III1 范围 12 规 范 性 引 用 文 件 .13 术 语

2、 、 定 义 和 缩 略 语 .13.1 术 语 和 定 义 .13.2 缩略语 24 概述 24.1 无 OWSER网 络 身 份 的 OWSER核 心 Web服 务 .24.2 使 用 网 络 身 份 的 Web服 务 .3 4.2.1 概述 .34.2.2 访 问 用 户 的 身 份 属 性 34.2.3 基 于 Web服 务 环 境 中 的 单 点 登 录 45 功 能 元 素 的 描 述 .65.1 服 务 提 供 商 .65.2 身 份 提 供 商 .65.3 发现服务 65.4 属 性 提 供 商 .66 流程描述 66.1 属性查询 76.1.1 属 性 查 询 流 程 76.

3、1.2 使 用 PAOS的 属 性 查 询 .86.2 属性修改 86.3 使用指导 96.4 交互服务 .106.4.1 交 互 服 务 流 程 .106.4.2 交 互 重 定 向 .106.5 基 于 Web服 务 框 架 的 引 导 身 份 116.5.1 两 种 认 证 机 制 .116.5.2 发 现 服 务 引 导 .116.5.3 认 证 服 务 .116.5.4 单 点 登 录 服 务 .116.6 发现服务 .116.6.1 发 现 服 务 的 功 能 要 求 .116.6.2 发 现 查 找 .136.6.3 发 现 更 新 .136.7 用 户 代 理 和 设 备 (L

4、UAD) .146.7.1 作 为 WSC的 LUAD14IYD/T 6.7.2 作 为 WSP的 LUAD .146.8 安全 .146.8.1 认证 146.8.2 机 密 和 隐 私 .156.8.3 认证 156.8.4 消 息 相 关 性 .15参考文献 .16图 1 无 网 络 身 份 协 议 和 服 务 时 ， Web服 务 交 互 流 程 示 意 图 .2图 2 属 性 运 营 商 处 访 问 用 户 身 份 属 性 所 需 的 交 互 4图 3 S SOS与 认 证 服 务 5图 4 属 性 查 询 .7图 5 属 性 修 改 .9图 6 使 用 指 导 .10图 7 交 互

5、 服 务 .10图 8 交 互 重 定 向 .11图 9 持 有 不 同 用 户 日 历 资 源 的 日 历 服 务 例 子 的 说 明 12图 10 某 一 主 体 的 不 同 资 源 的 说 明 12图 11 发 现 查 找 .13图 12 发 现 更 新 .14II前 言YD/T XXXX 移 动 Web服 务 网 络 身 份 技 术 要 求 分 为 三 个 部 分 ：第 1部 分 ： 总 体 技 术 要 求 ；第 2部 分 ： 基 于 网 络 身 份 技 术 的 Web服 务 框 架 要 求 ；第 3部 分 ： 基 于 网 络 身 份 联 合 技 术 的 框 架 要 求 。 本 部 分

6、 为 YD/T XXXX的 第 2部 分 。 本部分由中国通信标准化协会提出并归口。本部分起草单位： 北京邮电大学、 中国普天信息产业股份有限公司、 中国联合网络通信集团有限公司、 华为技术有限公司。本 部 分 主 要 起 草 人 ： 张 勇 、 宋 俊 德 、 宋 梅 、 宋 美 娜 、 由 磊 、 鄂 海 红 、 蔡 杰 、 邱 琳 、 唐 显 莉 、 刘 博 、 郭 达、陈国乔、杨健、王雷。IIIYD/T YD/T 1移 动 Web 服 务 网 络 身 份 技 术 要 求第 2 部 分 ： 基 于 网 络 身 份 技 术 的 Web 服 务 框 架 要 求1 范围本 部 分 规 定 了

7、基 于 移 动 Web服 务 网 络 身 份 的 Web服 务 框 架 ， 规 定 了 在 不 同 环 境 下 ， 多 种 可 移 动 设 备（如：移动电话、PDA、掌上电脑等）与web服务提供商、属性提供商之间数据和信息交换的功能体和交 互流程。本 部 分 适 用 于 基 于 网 络 身 份 技 术 的 Web服 务 框 架 的 要 求 ， 包 括 了 为 了 实 现 该 框 架 的 终 端 与 服 务 提 供 商、属性提供商间的数据交流的方法和流程。2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。 凡是注日期的引用文件， 其随后所有的修 改 单 （ 不 包 括 勘 误

8、 的 内 容 ） 或 修 订 版 均 不 适 用 于 本 标 部 分 ， 然 而 ， 鼓 励 根 据 本 部 分 达 成 协 议 的 各 方 研 究 是 否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。ID-FF (2003) 自由 ID-FF 架构概述Liberty ID-FF Architecture OverviewID-WSF （ 2004） 自由 ID-WSF 网 络 服 务 框 架 概 述Liberty ID-WSF Web Service Framework Overview, Version 1.0Liberty-ID-WSF-DST (2005)

9、自由 ID-WSF 数 据 服 务 模 板 规 范Liberty ID-WSF Data Services Template SpecificationOMA OWSER NI AD (2006) OMA Web 服 务 网 络 身 份 引 擎 ： 架 构OMA Web Services Network Identity Enabler (OWSER NI): Architecture3 术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本部分。3.1.1数据服务模板 d ata service template见 ID-WSF 数据服务模板。3.1.2自由激活的用户代理和设备 Libe

10、rty enabled User and Devices指发送或使用ID-WSF（或ID-FF）规范声明的协议消息的用户代理和设备。LUAD的定义特性在于，它 与某个用户（或一些用户，比如一个家庭）紧密相连”。3.1.3资源参考 r esource offering资 源 与 服 务 实 例 的 结 合 。 这 种 结 合 是 必 需 的 ， 因 为 资 源 与 服 务 实 例 之 间 存 在 “多 对 多 ”的 关 系 。 一 个 单 独 的 服 务 实 例 可 能 为 多 个 资 源 服 务 。 比 如 ， 概 要 都 有 一 个 个 单 独 的 协 议 终 止 点 ， 服 务 提 供 商

11、 可 能 在 一 个 单 一的服务实例背后提供许多概要。3.1.4服 务 实 例 service instance在协议终止点运行的Web服务。YD/T 3.1.5Web 服 务 安 全 ws-security在SOAP消息包中添加安全机制，以保证消息的完整性、机密性和单个消息的认证。 这些机制支持多 种安全模式和加密技术。3.2 缩略语属性提供商身份提供商 身 份 联 合 框 架 身 份 Web服 务 框 架交互服务 网络身份APIdP ID-FFID-WSF ISNIAttribute Provider Identity ProviderIdentity Federation Framew

12、ork Identity Web Services Framework Interaction ServiceNetwork Identity2OMA Open Mobile Alliance 开 放 移 动 联 盟OSE OMA Service Environment OMA 服务环境OWSER OMA Web Services Enabler Release OMA Web服 务 EnablerSASL Simple Authentication and Security Layer 简 单 认 证 和 安 全 层SP Service Provider 服务提供商WSC Web Servi

13、ce Consumer Web服务消费者WSP Web Service Provider Web服 务 提 供 商WSR Web Service Requester Web服 务 请 求 者4 概述4.1 无 OWSER 网络身份的 OWSER 核心 Web 服务本 部 分 定 义 了 在 Web服 务 请 求 者 和 Web服 务 提 供 商 之 间 的 交 互 过 程 中 ， 所 使 用 的 标 准 协 议 ， 该 协 议 包 括 一 个 XML消 息 信 封 （ SOAP） 、 一 个 Web服 务 注 册 访 问 协 议 （ UDDI） ， 以 及 将 安 全 令 牌 封 装 为 SO

14、AP消 息信封中的头元素的机制（参见OASIS Web Services. S ecurity） 。图 1中 的 图 表 和 相 关 的 流 程 展 示 了 没 有 网 络 身 份 协 议 和 服 务 时 ， 由 此 部 分 规 范 支 持 的 Web服 务 交 互 过 程。执行流程如下：图 1 无 网 络 身 份 协 议 和 服 务 时 ， Web 服务交互流程示意图a）Web 服 务 请 求 者 决 定 如 何 确 定 Web 服 务 提 供 商 的 位 置 ， 以 及 如 何 与 其 交 互 。1） Web 服 务 请 求 者 使 用 带 外 （ out-of-band） 信 息 ， 比

15、 如 本 地 配 置 信 息 ， 来 识 别 某 个 特 定 的 Web服务提供商，或者YD/T 32） Web 服 务请求者使用 Web 服务 注册中心 （Web Serv ice Registry） 来定 位提供所需服务的 Web服务提供商。Web 服 务 请 求 者 使 用 带 外 信 息 ， 比 如 本 地 配 置 信 息 ， 来 识 别 某 个 特 定 的 Web 服务注册 中心;Web 服 务 请 求 者 生 成 一 个 UDDI 查询消息;Web 服 务 请 求 者 把 这 个 查 询 消 息 发 给 注 册 中 心 ;Web 服 务 注 册 中 心 返 回 一 个 响 应 消

16、息 ， 该 消 息 所 包 含 的 信 息 使 得 Web 服 务 请 求 者 得 以 对提供所需服务的 Web 服务提供商进行定位，并与之通信。b） Web 服 务 请 求 者 生 成 一 个 用 WSDL 描述的符合 SOAP/HTTP 内 容 描 述 的 消 息 ， 根 据 此 核 心 规 范 在SOAP 头中嵌入一个安全令牌以生成请求者的身份和证书。c）Web 服 务 请 求 者 把 消 息 发 送 给 Web 服 务 提 供 商 。d）Web 服 务 提 供 商 接 收 消 息 ， 分 析 后 处 理 安 全 头 中 的 安 全 令 牌 以 对 用 户 进 行 认 证 ， 执 行 其

17、 功 能 并 生 成包含属性信息的响应消息。e) 发 送 响 应 消 息 给 Web 服务请求者。 为 了 描 述 方 便 ， 上 文 的 例 子 经 过 了 简 化 ， 并 未 包 含 加 密 、 签 名 、 代 理 和 此 核 心 规 范 包 含 的 其 它 元 素 或功能。4.2 使用网络身份的 Web 服 务4.2.1 概述本部分基于自由联盟身份联合框架（ID-FF）提出的网络身份（Network Identity）的概念。自由联盟 身 份 联 合 框 架 定 义 了 一 个 明 确 的 服 务 提 供 商 即 身 份 提 供 商 （ Identity Provider） 以 及 相

18、关 协 议 （ 身 份 联 合 、 名 字 注 册 等 ） ， 它 们 共 同 实 现 在 一 个 信 任 圈 内 跨 越 多 个 服 务 提 供 商 的 对 联 合 用 户 身 份 的 管 理 ， 同 时 允 许 用 户管理和控制身份。 这些身份可以让它们在任一个服务提供商处都能被识别， 从而在跨越多个服务提供商 之间的多个独立的交互中保护用户的隐私数据， 属性提供商可以对服务提供商的属性查询请求进行安全认 证 ， 用 于 对 用 户 或 对 其 它 用 户 的 属 性 查 询 进 行 隐 私 保 护 。 本 网 络 身 份 规 范 还 定 义 了 单 点 登 录 服 务 ， 它 融 合 了

19、身份联合，允许基于web的应用服务提供商和用户在一个信任圈内的多个这种服务提供商处，通过在一 个信任团体（身份提供商）共享一个认证事件来进行身份认证。本 部 分 以 下 所 述 为 基 础 并 增 加 额 外 的 机 制 ， 基 于 自 由 联 盟 身 份 Web服 务 框 架 ， 符 合 OMA OWSER Core 规范， 后者在W SR和WSP 的Web服务交互中使用联合身份和单点登录， 并提供自由联盟激活的Web 服务环 境 中 以 隐 私 受 保 护 的 方 式 对 用 户 身 份 属 性 进 行 无 缝 接 入 和 切 换 。 本 规 范 定 义 了 一 类 Web服 务 提 供

20、商 、 一 个 属 性 提 供 商 ， 以 及 相 关 的 用 来 管 理 访 问 用 户 身 份 属 性 （ 在 用 户 允 许 的 前 提 下 ） 的 协 议 。 另 有 一 个 单 独 的 属 性 提 供 商 ， 即 ID-WSF发 现 服 务 ， 它 使 属 性 提 供 商 们 的 一 个 Web服 务 请 求 者 能 够 运 行 发 现 进 程 ， 这 些 属 性 提 供 商 能 够 在 用 户 允 许 的 前 提 下 提 供 与 某 个 特 定 用 户 相 关 的 身 份 属 性 ， 并 可 以 提 供 断 言 ， Web服 务 提 供 商 在 与 这 些 属 性 提 供 商 的

21、后 续 Web服 务 交 互 中 可 使 用 这 些 断 言 。4.2.2 访问用户的身份属性图 2的 图 表 和 流 程 说 明 了 在 一 个 AP处 访 问 用 户 的 身 份 属 性 所 需 的 交 互 过 程 。4YD/T 执行流程如下：图 2 属 性 运 营 商 处 访 问 用 户 身 份 属 性 所 需 的 交 互a） WSR 向 IdP 发起一个 ID-FF 认证请求，请求对用户的 SAML 断 言 进 行 认 证 。 ID-FF 认证请求使用对应 用客户端的重定向，具体细节见 OMA OWSER NI AD (2006)， 本 部 分 不 再 赘 述 。b） IdP 对 用

22、户 的 SAML 断 言 进 行 认 证 ， 当 认 证 通 过 时 ， 向 WSR 返 回 用 户 的 SAML 断 言 认 证 通 过 结 果 和 用 户的 ID-WSF 发现服务的资源参考，当认证不通过时，向 WSR 返 回 用 户 的 SAML 断 言 认 证 不 通 过 的 结果。c） WSR 根据 IdP 提供的资源参考请求对应的 ID-WSF 发现服务提供属性提供商的资源参考， 同时将用户 的 SAML 断言发送到 ID-WSF 发现服务。d） ID-WSF 发现服务将收到的用户的 SAML 断言发送到 IdP 进行认证，根据 IdP 所返回的认证结果生成 一个响应消息， 当认证

23、结果为通过时， 响应消息包含用户的 SAML 断言认证结果和 WSR 所需 属性提供 商的资源参考；当认证结果为不通过时，响应消息包含用户的 SAML 断言认证结果。e） ID-WSF 发现服务把上述响应消息发给 WSR。f） WSR 使用 ID-WSF 提供的资源参考，将用户的 SAML 断言发往对应的属性提供商，并向其请求所需 的属性信息。g） 属性提供商将收到的用户的 SAML 断言发送到 IdP 进 行 认 证 ， 根 据 IdP 所返回的认证结果生成一个响 应消息，当认证结果为通过时，响应消息包含用户的 SAML 断言认证结果和 WSR 所需属性；当认证 结果为不通过时，响应消息包含

24、用户的 SAML 断言认证结果。h） 属性提供商把上述响应消息发给 WSR。 为了描述方便， 本例进行了简化， 并未反映加密、 签名、 代理以及其他Liberty 规范所包含的其他元素。4.2.3 基于 Web 服 务 环 境 中 的 单 点 登 录IdP可 以 通 过 支 持 ID-WSF认 证 服 务 和 ID-WSF单 点 登 录 服 务 （ ID-WSF Single Sign-on Service），来给 WSR提 供 单 点 登 录 服 务 。 注 意 WSR不 能 直 接 使 用 本 规 范 单 点 登 录 服 务 ， 因 为 那 是 给 基 于 浏 览 器 的 环 境 的 。

25、在 基 于 浏 览 器 的 环 境 中 ， 对 服 务 提 供 商 （ Service Provider， SP） 的 单 点 登 录 是 通 过 认 证 请 求 的 浏 览 器 重 定 向来实现的。如果没有浏览器重定向，WSR直接在IdP处认证，并把这次认证事件的结果，传达给信任圈中与它交 互的任一SP（WSP）。IdP 接收用户携带终端标识的的认证请求，根据标识对终端进行认证，并向用户返 回终端认证响应。 IdP必须支持L iberty ID-WSF认 证服务， 这种服务使用标准的S ASL协议来完成认证交互。认 证 结 果 包 括 一 个 给 ID-WSF单 点 登 录 服 务 （ SS

26、OS） 的 资 源 参 考 。 然 后 WSR与 SSOS进 行 交 互 ， 来 获 取与信任圈中任一W SP相交互时可使用的证书 。 与S SOS交 互 中的认证请求/响应消息， 与基于浏览器的S SO 中的信息完全相同，不同的只是封装协议和传送机制。5YD/T 对于自由联盟激活的 WSR，一个可选项是主体属性的发现服务（ Discovery Serivce， DS） ， 也 就 是 SSOS把 指 定 WSP的 资 源 参 考 返 回 给 哪 里 。 这 个 DS反 过 来 也 应 能 够 为 某 特 定 属 性 资 源 的 WSP提 供 资 源 参 考。在 与 访 问 用 户 身 份 属

27、 性 无 关 的 交 互 中 ， ID-WSF认 证 服 务 和 SSOS对 任 意 WSR都 可 用 。 这一方案通过使用特定W SP处有效 的匿名或者假名等标识符来继续保护用户的隐私信息。 这些 识别符是在身份联合的时候设定的。 认 证 服 务 和 SSOS的 使 用 见 图 3。执行流程如下：图 3 SSOS 与 认 证 服 务a) WSR 决定如何定位一个 WSP 以及如何与其交互。1) 1A Web 服 务 请 求 者 使 用 带 外 信 息 （ out-of-band information） ， 如 本 地 配 置 信 息 ， 来 识 别特定的 WSP， 或 者2) 1B WSR

28、 使 用 Web 服 务 注 册 中 心 来 对 提 供 所 需 服 务 的 WSP 进行定位。3) 1B 中 的 交 互 细 节 与 4.2 中 1B 的 交 互 细 节 相 同 ， 此 处 不 再 赘 述 。b) WSR 使用带外信息，如本地配置信息，来识别 ID-WSF 认证服务。c) WSR 根据需要生成一个 ID-WSF 认证 服务请求 （Auth entication Service Request） 来请求一 个安全 令 牌 （ security token） ， 使 其 能 够 在 ID-WSF SSOS 服务处通过认证。d) WSR 把这个认证请求发送给 ID-WSF 认证服

29、务。e) ID-WSF 认 证 服 务 验 证 这 个 认 证 请 求 的 合 法 性 ， 并 生 成 一 个 认 证 响 应 消 息 （ Authentication Response） ， 内 容 包 括 一 个 能 使 WSR 在 ID-WSF SSOS 处通过认证的安全令牌。f) ID-WSF 认证服务把这个认证响应发给 WSR。g) WSR 生成 ID-WSF SSOS 请求，包含一个 SOAP 头和 SOAP 主体。前者含有从 ID-WSF 认证服务处获得的安全令牌，后者包含一个 ID-FF 认证请求。h) WSR 向 ID-WSF SSOS 发送请求，获取允许其与 WSP 交互的

30、断言。i) ID-WSF SSOS 验证收到请求的合法性，生成一个含有 ID-FF 认证响应的 SOAP 响应消息。j) ID-WSF SSOS 把响应消息发送给 WSR。6YD/T k) WSR 向 WSP 发送请求并接收响应。这一步交互的细节与 4.1 节中的 be 步相同，此处不作赘述。 为了描述方便，本例进行了简化，并未反映如加密、签名、代理等 Liberty 规范包含的元素。5 功能元素的描述5.1 服务提供商服务提供商是提供服务和（或）商品的实体。服 务 提 供 商 可 以 是 Web服 务 请 求 者 （ Web Service Requestor， WSR） ， 此 时 与 其

31、 交 互 的 属 性 提 供 商 相 当 于 Web服 务 提 供 商 （ Web Service Provider， WSP） 。 这 种 情 况 下 ， 当 服 务 提 供 商 接 收 到 用 户 发 送 的 属 性 查询请求后，服务提供商可以使用属性查询（Attribute Query）机制来向属性提供商请求属性。当属性提 供商收到用户使用元素进行属性查询的请求时，消息中包含一个头来携带终端 标识和指示处理属性的策略， 属性提供商根据其标识信息向用户查询请求进行响应 。 服务提供商也可以使 用属性修改机制在属性提供商处对某个主体的属性进行修改。如 果 服 务 提 供 商 位 于 自 由

32、用 户 代 理 和 设 备 （ Liberty User Agent and Device,LUAD） 内 ， 那 么 它 也 可 以 充 当 LUAD Web服 务 消 费 者 （ Web Service Consumer， WSC） 的 角 色 。服 务 提 供 商 也 是 一 个 从 属 服 务 商 （ affiliation） 。5.2 身份提供商身 份 提 供 商 是 “一 种 特 殊 的 服 务 提 供 商 ， 它 生 成 、 维 护 和 管 理 主 体 的 身 份 信 息 ， 并 且 能 够 为 某 认 证 域（甚至信任圈）中的其他服务提供商或主体提供认证断言以及访问主体发现服务

33、所需的引导信息”。 只有当在服务提供商和身份提供商之间发生了某个确定主体的身份联合后， 这个主体才可能使用单点登录。5.3 发现服务发现服务允许请求者发现资源参考。 当 服 务 提 供 商 想 要 确 定 究 竟 是 哪 个 （ 或 者 哪 些 ） 属 性 提 供 商 主 管 着 所 需 资 源 时 ， 它 根 据 所 获 取 的 引 导信 息 当 中 所 包 含 的 访 问 权 限 和 信 息 与 发 现 服 务 （ Discovery Service ， DS） 联 系 ， 以 获 得 所 需 资 源 的 信 息 。 发 现 服 务 以 给 进 行 查 询 的 服 务 提 供 商 提 供

34、访 问 这 个 （ 或 这 些 ） 属 性 提 供 商 时 所 必 需 的 证 书 ， 以 确 保 服 务 提 供商对这些属性的访问权限。为了获得适当的资源参考， 请求者需要在发现服务那里初始化一个发现查找 （disco very lookup） 进 程。 为了实现资源参考的插入、删除和修改，则需要在发现服务那里初始化发现更新（Discovery Update）进 程。5.4 属性提供商属性提供商是一种特殊的服务提供商，其服务就是提供某个用户的属性。 属 性 提 供 商 也 可 以 作 为 Web服 务 提 供 商 （ Web Service Provider， WSP） ， 此 时 与 它

35、交 互 的 服 务 提 供 商作 为 Web服 务 请 求 者 （ Web Service Requester， WSR） 。 这 种 情 况 下 ， 当 服 务 提 供 商 使 用 属 性 查 询 机 制 向 属性提供商请求用户或其它用户属性时， 属性提供商在用户有查询权限的情况下向用户返回属性信息。 判 断用户是否有权限查询依据查询方的身份标识与被查询方的相关属性访问权限列表比较的结果， 属于该列 表 则 为 有 权 限 查 询 。 查 询 方 可 与 被 查 询 方 协 商 认 证 ， 来 获 得 权 限 ， 被 查 询 方 可 为 查 询 方 配 置 相 关 属 性 访 问 列表，保存

36、在属性提供商设备中。当属性提供商使用 元素对服务提供商进行响应时，它 包 含 一 个 头 来 指 示 这 些 被 发 布 的 属 性 的 后 续 使 用 策 略 。属性提供商接收用户发送的携带用户当前使用的终端的标识的用户属性查询请求， 该属性提供商根据 终端标识获取终端属性， 并将终端属性携带在属性查询响应消息中返回给终端。 当服务提供商使用属性修 改机制在属性提供商处修改某个主体的属性时，该属性提供商用一个修改响应消息进行反馈。属性提供商所处的设备可能不支持HTTP服务器，可能无法与互联网连接或者在网络上无法寻址，在 这 种 情 况 下 ， 可 以 用 PAOS机 制 来 从 属 性 提

37、供 商 那 里 找 回 属 性 。6 流程描述7YD/T 6.1 属性查询6.1.1 属性查询流程服务提供商可使用自由数据服务模板（Data Service Template， DST） Liberty-ID-WSF-DST定 义 的 机 制来向属性提供商发起查询。在这种情况下，一个服务提供商应使用元素，且属性提供商在对服 务 提 供 者 的 响 应 中 应 使 用 元 素 。Liberty-ID-WSF-DST中 定义的D ST元素并非仅仅用作消息。 更重要的是D ST提供了可在W SDL中实 际 使用的XML模板来实现查询/ 修改语法。图 4说 明 了 消 息 的 交 互 过 程 。查 询

38、 （ Query）服务提供商 属性提供商查询响应（ Query Response）图 4 属 性 查 询元 素 的 使 用 应 遵 循 Liberty-ID-WSF-DST的 3.2.1小 节 。 元 素 的 使 用 应 遵 循 Liberty-ID-WSF-DST3.2.2 小 节 。 元 素 和 元 素 的 处 理 规 则 应 遵 循Liberty-ID-WSF-DST3.2.3小 节 。下 面 ， 我 们 举 一 个 元 素 的 例 子 。 其 资 源 由 资 源 ID http:/OWSER- 为 标 识 。 这 是 对 名 字 和 家 庭 地 址 的 查 询 ：http:/OWSER

39、-attribute- id-sis-pp:addrType:home“下 面 是 一 个 用 于 响 应 上 面 请 求 的 的 例 子 。 资 源 的 公 共 名 字 返 回 值 为 Dr.Genie Wunderkid， 另 一 个 可 选 的 公 共 名 字 为 Dr.Genie Wunder。 资 源 地 址 也 已 给 出 。Genie WunderkidGenieWunderkidDr.Genie Wunder8YD/T urn:liberty:id-sis-pp:addrType:homec/o Senthil Sengodan$12278 Scripps Summit Dri

40、ve92131-2341San Diegocaus服务提供商接收用户发送的携带用户当前使用的终端的标识的用户属性查询请求后， 可以首先向身份 提供商发送携带该终端标识的身份认证请求， 身份提供商对该标识对应的终端进行认证， 并返回携带认证 状态的认证响应。 服务提供商根据终端的认证状态确定终端合法后， 才根据该终端标识向属性提供商查询 终端属性， 属性提供商根据终端标识获取终端属性， 并将终端属性携带在属性查询响应消息中返回给终端。 如果认证响应中携带该终端对应用户的其他终端已登录的信息， 则服务提供商可以通知其他终端退出， 或 自动断开其他终端的登录。6.1.2 使用 PAOS 的属性查询按

41、 照 Liberty-Paos定 义 ， 属 性 查 询 可 使 用 反 向 HTTP绑 定 SOAP。 在 这 种 情 况 下 的 处 理 程 序 应 遵 循Liberty-Paos中 的 定 义 。 反 向 HTTP绑 定 SOAP的 应 用 场 景 举 例 如 下 ：- 由 一 个 支 持 HTTP 客 户 端 ， 而 不 是 HTTP 服 务 器 的 设 备 提 供 属 性 提 供 商 的 功 能 。 这 可 能 是 设 备 的 资 源 受 限时的应用场景。- 由 未 接 入 到 Internet 或 无 法 进 行 网 络 寻 址 的 设 备 提 供 属 性 提 供 商 功 能 。

42、按 照 Liberty-Paos第 7 章 中的定义，支持两种消息交互模式。- 在请求响应消息交互模式中， 支持 PAOS 的用户 代理发送一个 HTTP 请求到 HTTP 服 务器， 然 后 HTTP 服 务 器 在 HTTP 响 应 消 息 中 发 送 SOAP 请 求 。 用 户 代 理 在 第 二 个 HTTP 请 求 中 发 送 SOAP 响 应 。 应 遵 循 Liberty-Paos第 5 章 中 定 义 的 处 理 程 序 来 使 用 请 求 响 应 消 息 交 互 模 式 。- 在 响 应 消 息 交 互 模 式 中 ， 支 持 PAOS 的 用 户 代 理 发 送 一 个

43、HTTP 请 求 到 HTTP 服 务 器 ， 然 后 HTTP 服 务 器 在 HTTP 响 应 消 息 中 发 送 SOAP 响 应 。 应 遵 循 Liberty-Paos第 9 章中定义的处理程序来使用响应消息 交互模式。 请求响应模式对于查询用户属性具有同样应用场景。 例如在查询时需要携带查询方身份 信息，响应中携带被查询方属性信息。 请求响应消息交互模式举例如下。 一个移动设备中的用户代理发送一个H TTP请求到H TTP服务器去买某件商品。HTTP服务器在HTTP响应消息中，包括一个用来请求用户的信用卡号的SOAP请求。用户代 理作为该信用卡号属性的属性提供商， 发起一个新的H

44、TTP请求给该H TTP服务器， 此请求中含有包含信用 卡 号 的 SOAP响 应 消 息 ， 查 询 方 身 份 信 息 。 该 HTTP将 回 复 一 个 200OK消 息 。响应消息交互模式举例如下： 一个用户希望选取消息通知服务来确认消息的成功传输。 为了实现这一 目的，用户代理发送一个HTTP请求到提供消息通知服务的HTTP服务器，查询消息传输确认。HTTP服务 器 发 送 HTTP响 应 ， 它 包 含 SOAP响 应 消 息 ， 其 中 包 含 了 消 息 传 输 确 认 的 信 息 ， 查 询 到 的 属 性 信 息 。6.2 属性修改9YD/T 为 了 更 改 储 存 在 属

45、 性 提 供 商 处 的 属 性 ， 服 务 提 供 商 可 使 用 由 自 由 数 据 服 务 模 板 Liberty-ID-WSF-DST 定义的机制。 在这种情况下， 服务提供商应使用元素， 且属性提供商在对服务提供者的响应中应 使 用 元 素 。Liberty-ID-WSF-DST中 定义的D ST元素并非仅仅用作消息。 更重要的是D ST提供了可在W SDL中实 际 使用的XML模板来实现查询/ 修改语法。图 5说 明 了 消 息 的 交 互 。属性修改消息服务提供商 属 性 提 供 商修改响应消息图 5 属 性 修 改元 素 的 schema 定 义 和 使 用 方 法 应 遵 循

46、 Liberty-ID-WSF-DST3.3.1 小 节 中 定 义 。 的 使 用 应 遵 循 Liberty-ID-WSF-DST3.3.2小 节 中 的 定 义 。 和 元 素 的 处 理 规 则 应 遵 照 Liberty-ID-WSF-DST3.3.3小 节 中 的 描 述 。 下 面 的 例 子 描 述 了 如 何 对 存 储 在 profile.MobileO中 的 个 人 概 要 进 行 插 入 或 更 改 。http:/profile.MobileO urn:liberty:id-sis-pp:addrType:homeurn:liberty:id-sis-pp:addrTy

47、pe:homeSophie Wunderkid$1234 Wonderland Drive12345-1234OlympiaCAus6.3 使用指导当 一 个 服 务 提 供 商 使 用 元 素 向 属 性 提 供 商 进 行 属 性 查 询 时 ， 服 务 提 供 商 可 以 包 括 一 个头 ， 用 于 指 示 这 些 属 性 的 处 理 策 略 ， 用 户 和 其 它 用 户 身 份 信 息 。 属 性 提 供 商 可 以 根 据 这 些属性的处理策略及用户的查询权限列表， 将查询的属性结果返回给服务提供商。 这些属性的处理策略可 以包括用户或其它用户的属性访问权限， 以便属性提供商根据

48、该策略进行相应的处理。 当属性提供商使用来 响 应 服 务 提 供 商 时 ， 属 性 提 供 商 包 含 一 个 头 说 明 这 些 被 发 布 的 属 性 的 后 续 使 用 策 略 。 因 此 ， 元 素 中 的 头 描 述 了 对 这 些 属 性 预 想 的 用 法 ， 而 元 素 中 的 头 则 描 述 了 对 这 些 属 性 要 求 的 用 法 。 流程应用头时应遵循 Liberty-IDWSF-Soap-Binding6.6描述的处理程序。使用指导举例 请 见 Liberty-IDWSF-Soap-Binding6.6.3小 节 。10YD/T 图 6描 述 了 可 选 的 从 服 务 提 供 商 发 送 到 属 性 提 供 商 的 查 询 消 息 中 包 括 的 UsageDirective头 。 它 也 描 述 了 可 选 的 从 属 性 提 供 商 发 送 到 服 务 提 供 商 的 查 询 响 应 消 息 中 包 括 的 UsageDirective头 。图 6 使 用 指 导节选自Li berty-IDWSF-Soap-Bindi