{ "title": "OpenID Connect for Agents (OIDC-A) 1.0 提案", "excerpt": "扩展 OpenID Connect Core 1.0 的技术提案,旨在为 OAuth 2.0 生态系统中基于 LLM 的代理提供表示、认证和授权框架。", "content_html": "

本文档提出了一个标准扩展,用于表示和验证基于 LLM 的代理的身份。它将核心提案与验证、证明和委托链的详细框架进行了整合。

\n\n

摘要

\n\n

OpenID Connect for Agents (OIDC-A) 1.0 是 OpenID Connect Core 1.0 的扩展,为 OAuth 2.0 生态系统中基于 LLM 的代理提供了表示、认证和授权框架。本规范定义了用于建立代理身份、验证代理证明、表示委托链以及基于代理属性实现细粒度授权的标准声明、端点和协议。

\n\n

1. 引言

\n\n

1.1 基本原理

\n\n

随着基于 LLM 的代理在数字生态系统中日益普及,对表示其身份和管理其授权的标准化方法的需求也在不断增长。传统的 OAuth 2.0 和 OpenID Connect 协议主要是为人类用户和常规应用程序设计的,缺乏表示自主代理独特特征所需的必要构造,例如:

\n\n

以不同程度的自主性代表用户行事
在委托链中运行
基于其底层模型拥有动态能力
需要对其完整性和来源进行证明

\n\n

本规范通过扩展 OpenID Connect 来解决这些差距,为代理身份和授权提供了一个全面的框架。

\n\n

1.2 术语

\n\n

本规范使用 OAuth 2.0 [RFC6749]、OpenID Connect Core 1.0 中定义的术语,以及以下附加术语:

\n\n

Agent(代理):基于 LLM 的软件实体,能够根据自然语言指令进行自主或半自主操作。
Agent Provider(代理提供商):负责创建、训练和/或托管代理的组织。
Agent Model(代理模型):驱动代理的特定 LLM 模型(例如 GPT-4、Claude 3)。
Agent Instance(代理实例):代理的特定运行实例,通常与特定任务或对话相关联。
Delegator(委托人):将权限委托给代理代表其行事的实体(通常是人类用户)。
Delegation Chain(委托链):从原始用户到可能多个代理的一系列委托步骤。
Attestation(证明):代理完整性、来源和/或属性的加密证明。
Attestation Evidence(证明证据):包含用于证明的证据的数据结构。
Relying Party (RP)(依赖方):在此上下文中,通常是需要验证代理身份和授权的资源服务器或客户端应用程序。

\n\n

1.3 概述

\n\n

OIDC-A 通过以下方式扩展 OpenID Connect:

\n\n

定义表示代理身份、委托和能力的新标准声明。
指定代理证明证据的机制和格式。
建立表示和验证委托链的协议。
提供代理能力和证明支持的发现机制。
定义适合代理特定用例的授权框架。
引入用于证明验证和能力发现的端点。

\n\n

2. 代理身份声明

\n\n

2.1 核心代理身份声明

\n\n

以下声明必须或应该包含在发给代理或关于代理的 ID Token 中:

\n\n\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

声明	类型	描述	要求
`agent_type`	string	标识代理的类型/类别(例如 \"assistant\"、\"retrieval\"、\"coding\")	必需
`agent_model`	string	标识特定模型(例如 \"gpt-4\"、\"claude-3-opus\"、\"gemini-pro\")	必需
`agent_version`	string	代理模型的版本标识符	推荐
`agent_provider`	string	提供/托管代理的组织(例如 \"openai.com\"、\"anthropic.com\")	必需
`agent_instance_id`	string	此特定代理实例的唯一标识符	必需

\n\n

2.2 委托和权限声明

\n\n\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

声明	类型	描述	要求
`delegator_sub`	string	最近将权限委托给此代理的实体的主体标识符	必需
`delegation_chain`	array	委托步骤的有序数组(见第 2.4.2 节)	可选
`delegation_purpose`	string	委托权限的目的/意图描述	推荐
`delegation_constraints`	object	委托人对代理施加的约束	可选

\n\n

2.3 能力、信任和证明声明

\n\n\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

声明	类型	描述	要求
`agent_capabilities`	array	表示代理能做什么的能力标识符数组	推荐
`agent_trust_level`	string	代理的信任分类(例如 \"verified\"、\"experimental\")	可选
`agent_attestation`	object	证明证据或引用(见第 2.4.4 节)	推荐
`agent_context_id`	string	对话/任务上下文的标识符	推荐

\n\n

2.4 声明格式和验证

\n\n

2.4.1 `agent_type`

\n

来自已定义代理类型集合的字符串值。实现者在适用时应使用以下值之一:

\n

assistant:通用助手代理
retrieval:专门从事信息检索的代理
coding:专门从事代码生成或分析的代理
domain_specific:针对特定领域专门化的代理
autonomous:具有高度自主性的代理
supervised:关键操作需要人工监督的代理

\n\n

可以使用自定义类型,但应遵循 vendor:type 格式(例如 acme:financial_advisor)。

\n\n

2.4.2 `delegation_chain`

\n

JSON 数组,包含表示委托链中每个步骤的对象,从原始用户到当前代理。每个对象必须包含:

\n

iss:必需。标识发布/验证此委托步骤的授权服务器或实体的字符串。
sub:必需。标识委托人(授予权限的实体)的字符串。
aud:必需。标识受托人(接收权限的代理)的字符串。
delegated_at:必需。表示委托发生时间的数字日期。
scope:必需。表示此委托步骤中授予的权限的空格分隔 OAuth 范围字符串。必须是委托人(sub)持有范围的子集。
purpose:可选。描述此委托步骤预期目的的字符串。
constraints:可选。指定委托约束的 JSON 对象(例如 {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]})。
jti:可选。此特定委托步骤的唯一标识符,对撤销或跟踪很有用。

\n\n

数组必须按时间顺序排列。

\n\n

delegation_chain 的验证规则(由依赖方执行):

\n

顺序验证:基于 delegated_at 确认时间顺序。
发行者信任:验证每个 iss 是否受信任。
受众匹配:确认步骤 N 的 aud 与步骤 N+1 的 sub 匹配。
范围减少:验证每个步骤中的 scope 是委托人可用范围的子集/等于。
约束执行:确保符合任何 constraints。
签名验证(如适用):如果步骤单独签名,则验证签名。
策略检查:根据授权策略评估已验证的链(例如最大长度)。

\n\n

2.4.3 `agent_capabilities`

\n

表示代理能力的字符串标识符数组。实现者在可用时应使用来自明确定义分类法的能力标识符。自定义能力应遵循 vendor:capability 格式(例如 acme:financial_analysis)。

\n\n

2.4.4 `agent_attestation`

\n

包含证明证据或其引用的 JSON 对象。必须包含指示证据类型的 format 字段。

\n\n

推荐格式:基于 JWT,可能与 IETF RATS Entity Attestation Token (EAT) 兼容。

\n\n

示例:

\n

\"agent_attestation\": {\n  \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n  \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\n

\n

可以使用其他格式(例如 \"format\": \"TPM2-Quote\"、\"format\": \"SGX-Quote\")。

\n\n

3. 协议流程

\n\n

3.1 代理认证流程

\n\n

OIDC-A 认证流程扩展了标准 OpenID Connect 认证流程:

\n\n

客户端注册:代表代理的客户端必须注册额外的元数据(见第 4 节)。
认证请求:代理应包含 agent 范围和可能的 delegation_context。
认证响应:授权服务器在 ID Token 中包含代理特定声明。
令牌验证:依赖方必须根据策略验证标准 OIDC 声明和相关的代理特定声明(包括证明和委托,如果存在)。

\n\n

3.2 委托流程

\n\n

当代理被委托权限时:

\n\n

委托人进行认证并授权委托。
授权服务器向代理发布新的 ID Token,包括 delegator_sub、delegation_chain(已更新)、delegation_purpose 和受约束的 scope。

\n\n

3.3 证明验证流程

\n\n

要验证代理的证明:

\n\n

代理在其 ID Token 中包含 agent_attestation 声明或单独提供证据。
依赖方根据指定的 format 验证证据:\n
- 使用受信任的密钥(通过发现获得)验证加密签名。
- 将平台测量结果与已知良好值进行比较。
- 验证随机数以防止重放攻击。
- 可选地,使用 agent_attestation_endpoint 获取验证帮助。
\n
授权决策纳入证明状态(例如 verified: true/false)。

\n\n

4. 客户端注册和发现

\n\n

4.1 代理客户端注册元数据

\n\n

扩展 OAuth 2.0 动态客户端注册 [RFC7591]:

\n\n\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

参数	类型	描述
`agent_provider`	string	代理提供商的标识符
`agent_models_supported`	array	支持的代理模型列表
`agent_capabilities`	array	代理能力列表
`attestation_formats_supported`	array	支持的证明格式列表
`delegation_methods_supported`	array	支持的委托方法列表

\n\n

4.2 发现元数据

\n\n

扩展 OpenID Connect Discovery 1.0:

\n\n\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

参数	类型	描述
`agent_attestation_endpoint`	string	证明端点的 URL
`agent_capabilities_endpoint`	string	能力发现端点的 URL
`agent_claims_supported`	array	支持的代理声明列表
`agent_types_supported`	array	支持的代理类型列表
`delegation_methods_supported`	array	支持的委托方法列表
`attestation_formats_supported`	array	支持的证明格式列表
`attestation_verification_keys_endpoint`	string	用于检索验证证明签名的公钥的 URL

\n\n

5. 端点

\n\n

5.1 代理证明端点

\n\n

一个 OAuth 2.0 保护的资源,返回关于代理的证明信息或协助验证提供的证据。URL 通过 agent_attestation_endpoint 发现参数公布。

\n\n

5.1.1 请求示例(获取信息)

\n\n

GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n

\n\n

5.1.2 响应示例

\n\n

{\n  \"verified\": true,\n  \"provider\": \"openai.com\",\n  \"model\": \"gpt-4\",\n  \"version\": \"2025-03\",\n  \"attestation_timestamp\": 1714348800,\n  \"attestation_signature\": \"...\"\n}\n

\n\n

5.2 代理能力端点

\n\n

提供关于代理能力的信息。URL 通过 agent_capabilities_endpoint 发现参数公布。

\n\n

5.2.1 请求示例

\n\n

GET /.well-known/agent-capabilities\n

\n\n

5.2.2 响应示例

\n\n

{\n  \"capabilities\": [\n    {\"id\": \"text_generation\", \"description\": \"...\"},\n    {\"id\": \"code_generation\", \"description\": \"...\"}\n  ],\n  \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\n

\n\n

6. 安全考虑

\n\n

6.1 代理认证

\n\n

代理应使用强非对称方法(JWT Client Auth [RFC7523]、mTLS [RFC8705]),可能与证明结合。不推荐使用共享密钥。

\n\n

6.2 委托安全

\n\n

系统必须验证整个委托链,强制执行范围减少,实施同意机制,并考虑时间限制。策略可能会限制链长度。需要强大的撤销机制。

\n\n

6.3 证明安全

\n\n

需要安全管理签名密钥,强大的随机数处理,值得信赖的已知良好测量值,安全的端点,以及防止重放攻击的保护。证明证据可能涉及隐私问题。

\n\n

6.4 令牌安全

\n\n

带有代理声明的 ID Token 应该被加密。Access Token 应具有有限的生命周期。代理的刷新令牌需要仔细考虑。

\n\n

7. 隐私考虑

\n\n

实现必须考虑代理身份的潜在关联、委托链的隐私影响、用户同意要求以及声明中的数据最小化。

\n\n

8. 兼容性和版本控制

\n\n

OIDC-A 1.0 设计为与 OAuth 2.0 [RFC6749]、OIDC Core 1.0、JWT [RFC7519] 和相关 RFC 兼容。未来版本将致力于向后兼容。

\n\n

9. 参考文献

\n\n

[RFC6749] The OAuth 2.0 Authorization Framework
[RFC7519] JSON Web Token (JWT)
[RFC7523] JWT Profile for OAuth 2.0 Client Authentication
[RFC7591] OAuth 2.0 Dynamic Client Registration
[RFC7662] OAuth 2.0 Token Introspection
[RFC8705] OAuth 2.0 Mutual-TLS Client Authentication
[OpenID Connect Core 1.0]
[OpenID Connect Discovery 1.0]
[IETF RATS] Remote Attestation Procedures Architecture

\n\n

附录 A: 带有代理声明的 ID Token 示例

\n\n

{\n  \"iss\": \"https://auth.example.com\",\n  \"sub\": \"agent_instance_789\",\n  \"aud\": \"client_123\",\n  \"exp\": 1714435200,\n  \"iat\": 1714348800,\n  \"auth_time\": 1714348800,\n  \"nonce\": \"n-0S6_WzA2Mj\",\n  \"agent_type\": \"assistant\",\n  \"agent_model\": \"gpt-4\",\n  \"agent_version\": \"2025-03\",\n  \"agent_provider\": \"openai.com\",\n  \"agent_instance_id\": \"agent_instance_789\",\n  \"delegator_sub\": \"user_456\",\n  \"delegation_purpose\": \"Email management assistant\",\n  \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n  \"agent_trust_level\": \"verified\",\n  \"agent_context_id\": \"conversation_123\",\n  \"agent_attestation\": {\n    \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n    \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n    \"timestamp\": 1714348800\n  },\n  \"delegation_chain\": [\n    {\n      \"iss\": \"https://auth.example.com\",\n      \"sub\": \"user_456\",\n      \"aud\": \"agent_instance_789\",\n      \"delegated_at\": 1714348700,\n      \"scope\": \"email profile calendar\"\n    }\n  ]\n}\n

\n\n

附录 B: 委托链示例(多步骤)

\n\n

\"delegation_chain\": [\n  {\n    \"iss\": \"https://auth.example.com\",\n    \"sub\": \"user_456\",\n    \"aud\": \"agent_instance_789\",\n    \"delegated_at\": 1714348800,\n    \"scope\": \"email calendar\",\n    \"purpose\": \"Manage my emails and calendar\"\n  },\n  {\n    \"iss\": \"https://auth.example.com\",\n    \"sub\": \"agent_instance_789\",\n    \"aud\": \"agent_instance_101\",\n    \"delegated_at\": 1714348830,\n    \"scope\": \"calendar:view\",\n    \"purpose\": \"Analyze available time slots\"\n  }\n]\n

\n\n", "source_hash": "sha256:73ea6cb5f87d953b8052cd05e0a127fa1a9cf036913230dc7e62c81ec066af98", "model": "claude-sonnet-4-5-20250929", "generated_at": "2026-01-02T01:18:49.208012+00:00" }