版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳印 ;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。智慧海事一期統(tǒng)一身份認證系統(tǒng)技術(shù)方案北京數(shù)字證書認證中心BEIJINGCER
2、TIFICATEAUTHORITY目錄目錄I1. 總體設(shè)計21.1 設(shè)計原則21.2 設(shè)計目標(biāo)31.3 設(shè)計實現(xiàn)31.4 系統(tǒng)部署42. 方案產(chǎn)品介紹62.1 統(tǒng)一認證管理系統(tǒng)62.1.1 系統(tǒng)詳細架構(gòu)設(shè)計62.1.2 身份認證服務(wù)設(shè)計72.1.3 授權(quán)管理服務(wù)設(shè)計112.1.4 單點登錄服務(wù)設(shè)計132.1.5 身份信息共享與同步設(shè)計152.1.6 后臺管理設(shè)計192.1.7 安全審計設(shè)計212.1.8 業(yè)務(wù)系統(tǒng)接入設(shè)計232.2 數(shù)字證書認證系統(tǒng)232.2.1 產(chǎn)品介紹232.2.2 系統(tǒng)框架242.2.3 軟件功能清單252.2.4 技術(shù)標(biāo)準(zhǔn)263. 數(shù)字證書運行服務(wù)方案283.1 運行服
3、務(wù)體系283.2 證書服務(wù)方案293.2.1 證書服務(wù)方案概述293.2.2 服務(wù)交付方案303.2.3 服務(wù)支持方案373.3 CA基礎(chǔ)設(shè)施運維方案383.3.1 運維方案概述383.3.2 CA系統(tǒng)運行管理383.3.3 CA系統(tǒng)訪問管理393.3.4 業(yè)務(wù)可持續(xù)性管理393.3.5 CA審計40風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生
4、的四季走過,將給人生留下些什么?1 .總體設(shè)計1.1 設(shè)計原則一、標(biāo)準(zhǔn)化原則系統(tǒng)的整體設(shè)計要求基于國家密碼管理局商用密碼管理條例、公安部計算機系統(tǒng)安全等級要求和中華人民共和國計算機信息系統(tǒng)安全保護條例的有關(guān)規(guī)定。數(shù)字證書認證系統(tǒng)的安全基礎(chǔ)設(shè)施的設(shè)計和實現(xiàn)將遵循相關(guān)的國際、國內(nèi)技術(shù)和行業(yè)標(biāo)準(zhǔn)。二、安全性原則系統(tǒng)所采用的產(chǎn)品技術(shù)和部署方式必須具有足夠的安全性,針對可能的安全威脅和風(fēng)險,并制定相應(yīng)的對策。關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復(fù)措施。三、可用性原則系統(tǒng)具有足夠的容量和良好的性能,能夠支撐百萬級或千萬級用戶數(shù)量,并能夠在海量用戶和大并發(fā)訪問壓力的條件下,保持功能和性能的可用性。四、健壯性原則系統(tǒng)的
5、基礎(chǔ)平臺成熟、穩(wěn)定、可靠,能夠提供不間斷的服務(wù),相關(guān)產(chǎn)品均具有很強的健壯性、良好的容錯處理能力和抗干擾能力。五、模塊化原則系統(tǒng)的設(shè)計和實現(xiàn)采用模塊化結(jié)構(gòu),各個模塊具有相對獨立的功能和開放的接口??梢愿鶕?jù)系統(tǒng)的需要進行功能模塊的增加或減少,而不必改變原來的程序構(gòu)架;針對不同的應(yīng)用定制實施模塊。六、可擴展原則隨著業(yè)務(wù)的發(fā)展,對未來系統(tǒng)的功能和性能將會提出更高的要求。系統(tǒng)在設(shè)計和實現(xiàn)上,應(yīng)具有良好的可擴展性??梢酝ㄟ^對硬件平臺、軟件模塊的擴展和升級,實現(xiàn)系統(tǒng)功能和性能的平滑地擴展和升級。七、方便開發(fā)原則系統(tǒng)提供豐富的二次開發(fā)工具和接口,便于應(yīng)用系統(tǒng)調(diào)用,能夠方便的與現(xiàn)有和將來的應(yīng)用系統(tǒng)進行集成。八、
6、兼容性原則系統(tǒng)具備良好的兼容性,能夠與多種硬件系統(tǒng)、基礎(chǔ)軟件系統(tǒng),以及其它第三方軟硬件系統(tǒng)相互兼容。1.2 設(shè)計目標(biāo)根據(jù)招標(biāo)文件的具體技術(shù)要求,基于現(xiàn)有信息系統(tǒng)現(xiàn)狀、數(shù)字證書應(yīng)用現(xiàn)狀以及未來在信息安全方面的技術(shù)性要求,本方案提出以下建設(shè)目標(biāo)。(1)在海事局內(nèi)部部署統(tǒng)一認證管理系統(tǒng),具體目標(biāo)是:提供數(shù)據(jù)統(tǒng)一、維護統(tǒng)一、用戶統(tǒng)一的安全可靠的認證與授權(quán)服務(wù);實現(xiàn)全局相關(guān)業(yè)務(wù)系統(tǒng)全面統(tǒng)一的用戶管理、可靠的身份認證與安全審計、有效的分級授權(quán)、安全的單點登錄、便捷的信息共享(2)在海事局內(nèi)部部署數(shù)字證書認證系統(tǒng)(CA認證中心),具備10萬級數(shù)字證書的發(fā)放能力,滿足海事局內(nèi)部用戶以及應(yīng)用系統(tǒng)的對數(shù)字證書的使
7、用需求。(3)廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)(包括:船舶遠程電子簽證、船舶動態(tài)2.0系統(tǒng))與統(tǒng)一身份認證系統(tǒng)的進行技術(shù)集成,實現(xiàn)統(tǒng)一的身份認證與單點登錄功能。1.3 設(shè)計實現(xiàn)本方案由統(tǒng)一認證管理系統(tǒng)和數(shù)字證書認證系統(tǒng)兩部分組成,其統(tǒng)一認證管理系統(tǒng)實現(xiàn)統(tǒng)一的用戶管理、身份認證、單點登錄、授權(quán)管理、安全審計等功能;數(shù)字證書認證系統(tǒng)實現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書管理。統(tǒng)一認證管理系統(tǒng)與數(shù)字證書認證系統(tǒng)集成,實現(xiàn)新增用戶信息同步,證書管理員只需要登錄數(shù)字證書認證系統(tǒng),查出用戶信息,直接制作證書。二級云中心(直屬局)統(tǒng)一認證管理系統(tǒng)定時將用戶、機構(gòu)、授權(quán)等信息同步給一級云中心統(tǒng)一認證管理系統(tǒng)。本
8、期工程將率先在廣東海事局搭建起船舶遠程電子簽證、船舶動態(tài)2.0系統(tǒng)的單點登錄功能。用戶息同步二級統(tǒng)一認證二級云中心(直屬局)1.4 系統(tǒng)部署一級云中心:一臺身份認證服務(wù)器,一臺加密機,兩臺統(tǒng)一認證服務(wù)器(基于ORACLE一體機實現(xiàn)負載),兩臺統(tǒng)一認證數(shù)據(jù)庫服務(wù)器(基于ORACLE數(shù)據(jù)庫體機實現(xiàn)負載)。五個二級云中心(直屬局):一臺統(tǒng)一認證數(shù)據(jù)庫服務(wù)器,兩臺統(tǒng)一認證服務(wù)器(雙機冷備),二級云中心統(tǒng)一認證服務(wù)器能訪問一級云中心統(tǒng)一認證服務(wù)器。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的
9、飛瀉,但可以有泥土般的樸素與隨和。灣家屈辦必間埃一認證此一認迸統(tǒng)一認證數(shù)據(jù)水假若希田學(xué)署各機圖例以太網(wǎng)域路文接機2 .方案產(chǎn)品介紹2.1 統(tǒng)一認證管理系統(tǒng)2.1.1 系統(tǒng)詳細架構(gòu)設(shè)計國家海事局統(tǒng)一認證管理系統(tǒng)詳細架構(gòu)設(shè)計如下圖所示:應(yīng)用系統(tǒng)電子認證門戶身份認證服藥單點登錄服務(wù)隹息同步服勞一二級統(tǒng)一認證那班動態(tài)出同認證服務(wù)管理員系統(tǒng)管理員單位管理員安全管理員直屬分局LF身臨信息憑證信思張?zhí)栃畔?安王審計*安全第略管理 安全管理用戶日W根限數(shù)據(jù)庫在國家海事局部署一級統(tǒng)一身份認證系統(tǒng),可管理全部的系統(tǒng)用戶,用戶可通過統(tǒng)一身份認證系統(tǒng)進行身份認證、業(yè)務(wù)系統(tǒng)單點登錄;二級單位根據(jù)具體情況可部署二級統(tǒng)一身
10、份認證系統(tǒng),系統(tǒng)用戶信息管理與一級統(tǒng)一身份認證系統(tǒng)同步,當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時,二級單位用戶可登錄各自單位的二級統(tǒng)一身份認證系統(tǒng),不影響正常的業(yè)務(wù)處理。國家海事局統(tǒng)一認證管理系統(tǒng)的主要服務(wù)功能模塊包括:身份認證模塊、單點登錄模塊、信息同步模塊、后臺管理模塊、數(shù)據(jù)服務(wù)模塊及安全管理模塊,其中后臺用戶管風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,?花從春走過,留下縷縷花香;葉從夏走過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走
11、過,將給人生留下些什么?理包括用戶、角色、應(yīng)用等相關(guān)信息管理,另外,安全管理模塊為維護好系統(tǒng)服務(wù)功能的安全性,提供系統(tǒng)自身所有操作的安全審計功能,以及各個應(yīng)用系統(tǒng)用戶信息的監(jiān)控功能。2.1.2 身份認證服務(wù)設(shè)計身份認證服務(wù)為海事局各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊、憑證發(fā)布、用戶資料管理及銷毀、登錄認證功能。2.1.2.1總體設(shè)計CA中心激發(fā)服務(wù)器證書朋翱器證書A互聯(lián)展/專網(wǎng)證書用戶業(yè)務(wù)系統(tǒng)一級統(tǒng)一認證系統(tǒng)口令用戶優(yōu)證書)安全組件, 認證接口安全蛆件, 認證接口直屬局地方省局J國家 海事局服務(wù)器證書B頒發(fā)客戶證書/8,JS腳本I安全控件SSO朋務(wù)器證書e1二級統(tǒng)一認證系統(tǒng)服務(wù)器證書口安全組件
12、, 認證接口業(yè)務(wù)系統(tǒng)安全組件,認證接口認證管理的結(jié)構(gòu)如上圖所示,主要包括以下幾個部分:CA認證中心除了為最CA認證中心:海事局CA認證中心為數(shù)字證書用戶提供身份認證服務(wù),簽發(fā)數(shù)字證書,實現(xiàn)證書與現(xiàn)實中的實體(個人、單位或服務(wù)器)的綁定。終用戶辦法數(shù)字證書外,還需要為統(tǒng)一認證服務(wù)器和業(yè)務(wù)系統(tǒng)的服務(wù)器簽發(fā)服務(wù)器身份證書,用于客戶與服務(wù)器之間的雙向認證。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳
13、??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?統(tǒng)一認證服務(wù)器:統(tǒng)一認證系統(tǒng)服務(wù)器的數(shù)據(jù)庫中集中存放所有業(yè)務(wù)系統(tǒng)的用戶信息和權(quán)限信息,所有業(yè)務(wù)系統(tǒng)和統(tǒng)一認證系統(tǒng)都需要部署服務(wù)器證書、安全組件和認證接口,用于業(yè)務(wù)系統(tǒng)與客戶端,或業(yè)務(wù)系統(tǒng)之間的身份認證。證書用戶:證書用戶按照經(jīng)過嚴格的身份信息鑒證,從CA認證中心領(lǐng)取數(shù)字證書,然后通過訪問各級統(tǒng)一認證系統(tǒng),進行單點登錄,就可以很
14、方便地訪問自己權(quán)限范圍內(nèi)的應(yīng)用系統(tǒng)。用戶數(shù)字證書的身份信息要與統(tǒng)一認證系統(tǒng)中注冊的用戶信息保持一致(關(guān)鍵信息為:姓名、證件類型和證件號碼),只有信息一致的前提下,才可實現(xiàn)可靠的身份認證??诹钣脩簦嚎诹钣脩舨恍枰?jīng)過CA中心身份認證和簽發(fā)數(shù)字證書,直接由單位管理員根據(jù)用戶信息注冊即可。用戶本人可在獲得初始密碼后修改登陸密碼和注冊信息。2.1.2.2 身份認證方式統(tǒng)一認證系統(tǒng)可以對不同的系統(tǒng)進行分級認證,也可以對系統(tǒng)內(nèi)的不同用戶分級認證。系統(tǒng)應(yīng)同時支持口令方式和數(shù)字證書兩種方式的身份認證機制。另外,系統(tǒng)應(yīng)具有擴展接口,可快速實現(xiàn)動態(tài)口令認證、指紋認證和和人像等其它身份憑證認證模式。身份認證技術(shù)支持
15、PKI、LDAP、NDS、NIS、AD等標(biāo)準(zhǔn)認證技術(shù)。對于安全性較低的系統(tǒng),可以采用最低認證等級:用戶名/口令方式;對于安全性較高的系統(tǒng),最低認證等級則需要設(shè)置為數(shù)字證書方式。系統(tǒng)的認證等級和用戶的認證方式都可以在統(tǒng)一認證系統(tǒng)后臺進行動態(tài)配置。用戶使用數(shù)字證書可以登錄安全性較低的系統(tǒng),但是用戶名/口令認證方式不允許進入等級為數(shù)字證書的業(yè)務(wù)系統(tǒng)。2.1.2.3 基于數(shù)字證書的身份認證數(shù)字證書用戶登錄業(yè)務(wù)系統(tǒng)的身份認證流程如下圖所示:不統(tǒng)一認證“思理甄兇門戶網(wǎng)站用戶、提?2- 瀏覽耦5、顯示可登錄的系統(tǒng)單點赍求流程7、單點票據(jù)監(jiān)證 驗證通工:加人系統(tǒng)應(yīng)用系統(tǒng)1流程說明:(1)提供證書:在登錄門戶頁
16、面(或統(tǒng)一認證首頁)中嵌入證書控件和組件,服務(wù)器端產(chǎn)生隨即數(shù)并進行數(shù)字簽名,客戶端實現(xiàn)即插即用的登錄認證模式,只要插入UsbKey自動歹U舉Key內(nèi)的數(shù)字證書;(2)握手認證:用戶輸入證書密碼、點擊登錄提交按鈕后,頁面調(diào)用證書控件的運行腳本,校驗證書密碼后對服務(wù)器端產(chǎn)生的隨即數(shù)和數(shù)字簽名進行驗證;客戶端對隨即數(shù)進行數(shù)字簽名,提交認證信息給服務(wù)器驗證;認證信息主要包括:隨即數(shù)、客戶證書、客戶的簽名等信息。服務(wù)器后臺程序驗證客戶端的證書有效性和數(shù)字簽名的有效性。(3)獲取訪問信息:統(tǒng)一認證服務(wù)器從認證信息中提取客戶端數(shù)字證書,并從證書中解析出證書的唯一標(biāo)識,在后臺數(shù)據(jù)庫中進行比對,進行訪問控制;(
17、4)返回登錄票據(jù):服務(wù)器認證通過后,形成標(biāo)準(zhǔn)格式的登錄票據(jù),返回客戶端。(5)選擇業(yè)務(wù)系統(tǒng):系統(tǒng)根據(jù)登錄票據(jù),顯示可登錄的系統(tǒng),用戶選擇系統(tǒng)。(6)傳遞票據(jù):客戶端瀏覽器將登錄票據(jù)傳遞到對應(yīng)的系統(tǒng)地址上。(7)票據(jù)驗證:業(yè)務(wù)系統(tǒng)根據(jù)接收到的登錄票據(jù),通過部署的安全組件進行驗證。(8)進入系統(tǒng):驗證通過,允許進入,根據(jù)用戶權(quán)限信息,授予對應(yīng)的操作權(quán)限。否則,拒絕登錄。系統(tǒng)采用數(shù)字證書,安全組件、密碼運算、數(shù)字簽名、數(shù)字信封等技術(shù)來保障用戶身份的真實性,可以有效避免身份冒充、身份抵賴、重放、中間人攻擊的風(fēng)險,從而在一定程度上保證認證的安全性。數(shù)據(jù)加密可采用標(biāo)準(zhǔn)SSL協(xié)議,在WEB服務(wù)器上配置SSL
18、服務(wù)器證書,即可實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的加密。2.1.2.4 基于口令方式的身份認證用戶身份唯一性設(shè)計:系統(tǒng)采用集中數(shù)據(jù)庫管理模式,用戶名作為用戶信息表中的主鍵,在系統(tǒng)中不允許重復(fù)。另外,系統(tǒng)中應(yīng)根據(jù)用戶類型和注冊的基本信息生成一個具有用戶特征碼,用于識別一個人或單位在系統(tǒng)中的身份唯一性。特征碼的編碼規(guī)范示例:個人用戶的特征碼=證件類型編碼+證件號碼+真實姓名+登錄名單位用戶的特征碼=組織機構(gòu)代碼+對應(yīng)單位名稱+登錄名用戶名方式的身份認證業(yè)務(wù)流程與證書方式類似,與證書方式的主要區(qū)別在于以下幾點:(1)客戶端不進行數(shù)字簽名;(2)提交給服務(wù)器的認證信息不包括客戶端數(shù)字簽名,而是加密后的登錄口令
19、;(3)服務(wù)器端接收到認證信息后,不再驗證簽名,而是將加密的口令與數(shù)據(jù)庫中的加密口令進行對比核對;(4)安全登錄票據(jù)中的登錄方式不同;(5)其他流程沒有區(qū)別。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳?。簧邙潖奶炜诊w過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪
20、;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?用戶管理管理員身份一授權(quán)管理注冊登錄'應(yīng)用3應(yīng)用1 mu 22.1.3授權(quán)管理服務(wù)設(shè)計2.1.3.1授權(quán)管理的系統(tǒng)框架為確保信息資源訪問的可控性,防止信息資源被非授權(quán)訪問,需要在用戶身份真實可信的前提下,提供可信的授權(quán)管理服務(wù),實現(xiàn)對各類用戶的有效管理和訪問控制,保護各種信息資源不被非法或越權(quán)訪問,防止信息泄漏統(tǒng)一認證管理系統(tǒng)應(yīng)提供信息資源管理、用戶角色定義和劃分、權(quán)限分配和管理、權(quán)限認證等功能。權(quán)限管理主要是由管理員進行資源分類配置、用戶角色定義及授權(quán)等操作;權(quán)限認證主要是根據(jù)用戶身份對其進行權(quán)限判斷,以
21、決定該用戶是否具有訪問相應(yīng)資源的權(quán)限由于統(tǒng)一認證管理系統(tǒng)要解決各個應(yīng)用系統(tǒng)內(nèi)部的細粒度資源權(quán)限控制,需要與應(yīng)用系統(tǒng)緊密結(jié)合,因此統(tǒng)一認證管理系統(tǒng)應(yīng)在統(tǒng)一身份認證系統(tǒng)粗粒度訪問控制的基礎(chǔ)之上,由各個應(yīng)用系統(tǒng)結(jié)合本地資源授權(quán)方式,進行定制集成開發(fā)。由于采取分布式的RBAC授權(quán)管理模型,首先應(yīng)對用戶進行嚴格的身份認證,保證用戶身份的真實性,在此基礎(chǔ)之上再由綜合各個應(yīng)用系統(tǒng)內(nèi)部資源權(quán)限分配的統(tǒng)一授權(quán)管理系統(tǒng)對用戶進行嚴格的權(quán)限認證,實現(xiàn)各個應(yīng)用系統(tǒng)內(nèi)部資源細粒度的授權(quán)訪問控用戶訪問控制總體框架如下圖所示:在此框架下,整個授權(quán)控制的工作流程如下:權(quán)限管理認證服務(wù) .權(quán)限班各應(yīng)用系統(tǒng)業(yè)務(wù)系統(tǒng)(1)統(tǒng)一認證
22、管理系統(tǒng)的初始化,添加并配置系統(tǒng)管理員;(2)由系統(tǒng)管理員添加并配置下級管理員或用戶;(3)管理員添加受控訪問資源,并設(shè)置每個用戶的權(quán)限;(4)用戶訪問各應(yīng)用系統(tǒng),首先由統(tǒng)一認證系統(tǒng)驗證該用戶的身份;(5)認證通過后根據(jù)用戶身份,對用戶進行權(quán)限認證;(6)如果用戶通過權(quán)限認證,則說明該用戶可以進入相應(yīng)的應(yīng)用系統(tǒng),訪問權(quán)限許可內(nèi)的資源;否則,拒絕用戶訪問。2.1.3.2 授權(quán)管理模型(基于角色的授權(quán))基于角色的訪問控制(RBAC)授權(quán)模型:通過角色定義,將應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限授予某個角色,然后將用戶與這些角色關(guān)聯(lián),從而將業(yè)務(wù)權(quán)限賦予該用戶。如下圖所示:基于角色的訪問控制方法的思想就是把對用戶的授權(quán)
23、分成兩部份,用角色來充當(dāng)用戶行駛權(quán)限的中介。這樣,用戶與角色之間以及角色與權(quán)限之間就形成了兩個多對多的關(guān)系。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要(職權(quán)、職位以及分擔(dān)的權(quán)利和責(zé)任)定義相應(yīng)的角色。角色是一組訪問權(quán)限的集合,一個用戶可以是很多角色的成員,一個角色也可以有很多個權(quán)限,而一個權(quán)限也可以重復(fù)配置于多個角色。權(quán)限配置工作是組織角色的權(quán)限的工作步驟之一,只有角色具有相應(yīng)的權(quán)限后用戶委派才能具有實際意義?;诮巧跈?quán)模型的優(yōu)點沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,
24、但可以有泥土般的樸素與隨和?;诮巧牟呗詫崿F(xiàn)了用戶與訪問權(quán)限的邏輯分離,極大的方便了權(quán)限管理。例如,如果一個用戶的職位發(fā)生變化,只要將用戶當(dāng)前的角色去掉,加入代表新職務(wù)或新任務(wù)的角色即可。一般,角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多,并且委派用戶到角色不需要很多技術(shù),可以由行政管理人員來執(zhí)行,而配置權(quán)限到角色的工作比較復(fù)雜,需要一定的技術(shù),可以由專門的技術(shù)人員來承擔(dān),但是不給他們委派用戶的權(quán)限,這與現(xiàn)實中情況正好一致。除了方便權(quán)限管理之外,基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系,實現(xiàn)最少權(quán)限原則和職責(zé)分離的原則?;诮巧跈?quán)的流程以下面的授權(quán)目標(biāo)舉例說明基于
25、角色的授權(quán)流程:用戶(張三)-角色(預(yù)算處處長)-權(quán)限(預(yù)算系統(tǒng)的審核)1、生成一個角色:預(yù)算處處長;2、選擇預(yù)算系統(tǒng)的預(yù)算審批業(yè)務(wù)權(quán)限授予預(yù)算處處長角色;3、將預(yù)算處處長角色授予用戶張三。通過將預(yù)算系統(tǒng)的審核的業(yè)務(wù)權(quán)限授予預(yù)算處處長角色,然后將此角色與用戶張三關(guān)聯(lián),最后用戶擁有了該權(quán)限。2.1.3.3 分級授權(quán)管理分級授權(quán)實現(xiàn)的是權(quán)限繼承:當(dāng)上級管理員對下級管理員進行授權(quán)時,所授予的業(yè)務(wù)權(quán)限將被下級繼承,下級管理員擁有這些權(quán)限,并可以將這些權(quán)限授予其管轄的用戶。分級授權(quán)通過管理員授權(quán)實現(xiàn)。通過一步步的權(quán)限傳遞,可以實現(xiàn)多級授權(quán)。授權(quán)可以基于角色,(如例子中利用預(yù)算審核角色),也可以直接基于業(yè)
26、務(wù)權(quán)限。根據(jù)5個直屬局調(diào)研反饋,初步確定直屬局按二級進行分級管理分級授權(quán),即各直屬局下屬分局或海事處添加一級管理員,負責(zé)本分局或海事處的用戶信息管理及授權(quán)。2.1.4單點登錄服務(wù)設(shè)計2.1.4.1 實現(xiàn)原理安全的單點登錄具體實現(xiàn)機制如下:采用基于數(shù)字簽名的安全票據(jù)技術(shù),封裝用戶登錄后的認證狀態(tài)信息,并以安全方式傳遞到各個相關(guān)系統(tǒng)中,通過對票據(jù)的解密、驗證、解析,從而實現(xiàn)方便、快捷、安全的單點登錄。針對江蘇省海事局辦公系統(tǒng)已與內(nèi)部幾個業(yè)務(wù)系統(tǒng)集成,實現(xiàn)單點登錄,建議本項目建設(shè)統(tǒng)一認證管理系統(tǒng)只與江蘇省海事局辦公系統(tǒng)集成,保持現(xiàn)有業(yè)務(wù)系統(tǒng)單點登錄,另外統(tǒng)一認證管理系統(tǒng)與部局統(tǒng)一建設(shè)的船舶遠程電子簽
27、證、船舶動態(tài)2.0系統(tǒng)集成實現(xiàn)單點登錄;江蘇省海事局以后新建設(shè)業(yè)務(wù)系統(tǒng),可以參照統(tǒng)一認證管理系統(tǒng)集成,集成到統(tǒng)一認證管理系統(tǒng)中。針對深圳市海事局所有業(yè)務(wù)系統(tǒng)都基于AD域?qū)崿F(xiàn)單點登錄,現(xiàn)有的業(yè)務(wù)系統(tǒng)集成模式不變。在用戶已經(jīng)登錄AD域,直接進入統(tǒng)一認證管理系統(tǒng)認證門戶,訪問部局統(tǒng)一建設(shè)的船舶遠程電子簽證、船舶動態(tài)2.0系統(tǒng),不需要再登錄;深圳市海事局以后新建設(shè)業(yè)務(wù)系統(tǒng),可以參照統(tǒng)一認證管理系統(tǒng)集成,集成到統(tǒng)一認證管理系統(tǒng)中。單點登錄票據(jù)格式如下:票據(jù)的格式工票據(jù)版本號Version2用戶認證類型AuthType3,用戶基本信息Baselnfo4,角色類型LTserType5 .票據(jù)有效時間段Tic
28、ketLife6 .簽名 Signature *使用應(yīng)用系統(tǒng)證書進行加密使用密碼技術(shù)保證單點登錄過程,1 .機密性;2 .完整性;3 .不可偽造;通過對單點登錄票據(jù)的加密、簽名等技術(shù)保證票據(jù)的機密性、完整性以及抗否認性,并且在票據(jù)中包含票據(jù)的有效時間段信息,利用時間有效期從一定程度上減少重放、中問人攻擊的風(fēng)險。單點登錄系統(tǒng)維護一張票據(jù)流水號臨時表,票據(jù)使用一次以后就失效,也可以有效防止重放攻擊的風(fēng)險。通過采用以上的這些安全措施以及安全流程,可以有效地保證單點登錄系統(tǒng)的安全性。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅
29、與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。2.1.4.2工作流程安全單點登錄流程如下圖所示:2.1.5 身份信息共享與同步設(shè)計統(tǒng)一認證系統(tǒng)建立統(tǒng)一的權(quán)威機構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權(quán)數(shù)據(jù)等資源庫并可作風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳?。簧邙潖奶炜诊w過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?為所有應(yīng)用系統(tǒng)的數(shù)據(jù)源。機構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)
30、、用戶授權(quán)數(shù)據(jù)是海事局核心數(shù)據(jù),需要絕對的安全和保密。統(tǒng)一認證管理系統(tǒng)對數(shù)據(jù)的管理應(yīng)該是安全的和封閉的,任何未授權(quán)應(yīng)用系統(tǒng)均無法從系統(tǒng)管理層面、系統(tǒng)服務(wù)層面和數(shù)據(jù)庫層面獲取這些數(shù)據(jù),應(yīng)用系統(tǒng)必須通過信息共享服務(wù)和數(shù)據(jù)同步的方式獲取這些數(shù)據(jù)。2.1.5.1 體系結(jié)構(gòu)信息共享服務(wù)和數(shù)據(jù)同步有兩種體系結(jié)構(gòu):(1) 一級統(tǒng)一認證管理系統(tǒng)和國家海事局應(yīng)用系統(tǒng)的同步如下圖所示:一級統(tǒng)一認證管理系統(tǒng)僅需要和國家海事局本地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步。(2)國家海事局統(tǒng)一認證管理系統(tǒng)和直屬局/地方局統(tǒng)一認證管理系統(tǒng)同步如下圖所示:二級統(tǒng)一認證管理平臺國家海事局直屬局/地方省局一級統(tǒng)一認證管理系統(tǒng)不僅需要和國家海事局本
31、地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步,還需要和直屬局/地方省局的二級級統(tǒng)一認證管理系統(tǒng)作數(shù)據(jù)同步。2.1.5.2 同步機制信息共享服務(wù)和數(shù)據(jù)同步機制如下:與基于關(guān)系型數(shù)據(jù)庫(DB)的應(yīng)用系統(tǒng)同步采用webservices技術(shù)(SOAP協(xié)議)實現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同步。數(shù)據(jù)通過同步引擎、事務(wù)機制和SOAP協(xié)議實現(xiàn)與應(yīng)用系統(tǒng)之間的同步。同步的成功和失敗都進行記錄,同步的成功信息以報告形式方便于管理人員查看,同步的失敗信息通過定時器機制自動完成,直至同步成功。與基于目錄(LDAP)的應(yīng)用系統(tǒng)同步采用LDAP協(xié)議和JNDI技術(shù)實現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同步。支持的LDAP包括:apacheDS,openLdap,s
32、unONE等,另外也包括域控制器(windowsAD、LinuxNIS、UnixNFS)。統(tǒng)一認證管理系統(tǒng)和應(yīng)用系統(tǒng)之間以JNDI/LDAP方式建立通信。數(shù)據(jù)通過同步引擎、事務(wù)機制和JNDI與LDAP協(xié)議實現(xiàn)與應(yīng)用系統(tǒng)之間的同步。同步的成功和失敗都進行記錄,同步的成功信息以報告形式方便于管理人員查看,同步的失敗信息通過定時器機制自動完成,直至同步成功。與基于域控制器的應(yīng)用同步采用LDAP協(xié)議和JNDI技術(shù)實現(xiàn)與這類應(yīng)用系統(tǒng)數(shù)據(jù)同步。域控制器包括:windowsAD、Linux(Unix)NIS。對域控制器的同步,基本與對LDAP的同步類似,因此,與基于域控制器的應(yīng)用同步可以采用基于LDAP協(xié)議
33、來實現(xiàn)同步。但是windows還提供了一套ADSI接口,也能夠?qū)崿F(xiàn)與windowsAD的數(shù)據(jù)同步。統(tǒng)一認證系統(tǒng)通過JNI實現(xiàn)對windowsAD的數(shù)據(jù)同步。2.1.5.3 同步策略同步策略有三種,包括:操作及時同步、操作批量同步和事后同步。1、及時同步該策略實現(xiàn)了:對用戶信息、機構(gòu)信息操作(增加并授權(quán)、刪除、修改)時,系統(tǒng)自動完成同步。同步失敗時,系統(tǒng)監(jiān)控提示同步失敗,后臺使用定時器定時繼續(xù)進行同步。同步定時器還能夠設(shè)置同步的時間和周期。2、批量同步該策略實現(xiàn)了:根據(jù)“角色”選擇用戶,完成用戶同步;根據(jù)“機構(gòu)”選擇用戶,完成用戶同步;根據(jù)“應(yīng)用系統(tǒng)”選擇對應(yīng)的角色,完成角色的同步。3、事后同步
34、該策略實現(xiàn)了:當(dāng)用戶信息、機構(gòu)信息操作(增加、刪除、修改)時或者同步失敗時,用戶可根據(jù)需要進行事后再次同步。當(dāng)新系統(tǒng)接入時,單獨同步信息。當(dāng)系統(tǒng)需要更新數(shù)據(jù)時,再次同步用戶信息。2.1.6 后臺管理設(shè)計2.1.6.1 用戶數(shù)據(jù)的獲取身份信息由各應(yīng)用系統(tǒng)匯集,統(tǒng)一認證管理系統(tǒng)提供批量操作(導(dǎo)入、導(dǎo)出、遷移)工具,如采用用戶數(shù)據(jù)EXCEL的導(dǎo)入導(dǎo)出,以滿足海事局大量用戶維護的需求。2.1.6.2 管理模式系統(tǒng)提供分級管理分級授權(quán)。2.1.6.2.1 分級管理分級授權(quán)用戶身份信息和用戶的訪問控制相關(guān)的授權(quán)信息均分級管理。設(shè)有三類管理員角色:(1)系統(tǒng)管理員:進行單位管理員管理、機構(gòu)管理、角色管理、應(yīng)
35、用系統(tǒng)管理等日常管理。(2)安全審計員:進行安全審計,日志管理等工作,對系統(tǒng)管理員的工作進行監(jiān)督。(3)單位管理員:進行本單位的用戶的授權(quán)管理。單位管理員根據(jù)系統(tǒng)管理員定義的本單位的訪問角色,為最終用戶進行授權(quán)。海事局統(tǒng)一認證管理系統(tǒng)的用戶及系統(tǒng)級授權(quán)管理建議采用:分級管理、分級授權(quán)模式,如下圖所示:安全審計員統(tǒng)一身份認證系統(tǒng)系統(tǒng)初始化籍統(tǒng)管理員 (碉)安全審計角巳管理產(chǎn)生下級管理員單位管理員下被單位管理員胃詈理學(xué)管理海事局單位管理員:負責(zé)海事局本部的用戶信息管理及系統(tǒng)級授權(quán)管理。下級單位管理員:負責(zé)本單位及下級單位的用戶信息管理及系統(tǒng)級授權(quán)管理。海事局單位管理員及下級單位管理員對各自單位進行
36、:機構(gòu)信息管理、用戶信息管理、授權(quán)管理、證書管理以及安全審計。單位管理員的權(quán)限由一級統(tǒng)一認證管理系統(tǒng)管理員統(tǒng)一分配。通過信息同步服務(wù)實現(xiàn)數(shù)據(jù)的同步。2.1.6.3 賬號安全策略管理統(tǒng)一認證管理系統(tǒng)的賬號安全策略管理功能包括:重置多個用戶帳戶的密碼設(shè)置用戶下次登錄時必須更改密碼設(shè)置永不到期的密碼如果用戶的密碼過期,啟用、禁用或刪除他們配置用戶無法更改由管理員設(shè)置的密碼2.1.6.4 后臺管理功能框架統(tǒng)一認證管理系統(tǒng)的后臺用戶管理的功能如下:統(tǒng)一認證管理系統(tǒng)的總體功能包括:用戶管理、角色管理、信息系統(tǒng)管理、機構(gòu)管理、基礎(chǔ)數(shù)據(jù)管理和安全審計。2.1.7 安全審計設(shè)計統(tǒng)一認證管理系統(tǒng)應(yīng)具有較完善的應(yīng)用
37、層日志記錄功能,可以通過安全管理模塊下的系統(tǒng)日志子模塊查看審計日志信息,審計日志包括:序號、管理員名稱、操作類別、操作日期、操作描述。日志內(nèi)容可以記錄用戶不成功登錄的信息,可以記錄用戶的重要業(yè)務(wù)操作行為,如:對用戶、角色的增加、刪除、修改和授權(quán)關(guān)系的調(diào)整等操作。所有日志按照標(biāo)準(zhǔn)結(jié)構(gòu)化數(shù)據(jù)記錄,便于審計。日志中備注信息可填寫一些詳細信息。2.1.7.1 日志管理日志可以提供查詢、備份等管理功能。各單位管理員可查詢本機構(gòu)日志;系統(tǒng)管理員可查詢所有日志;安全審計員可以備份、刪除日志(只能以時間段備份及刪除);備份/刪除日志操作時間有記錄,備份/刪除的記錄不刪除;可設(shè)置備份提醒,在管理員登陸時提醒。2
38、.1.7.2 日志審計檢查某個用戶一段時間內(nèi)的缺勤情況。檢查當(dāng)前訪問網(wǎng)絡(luò)的用戶數(shù)量。識別通過遠程計算機訪問的用戶檢查所有用戶的高峰登錄時間。查看上次訪問重要資源的用戶。發(fā)現(xiàn)試圖登錄不具訪問權(quán)限的計算機的用戶。查看任一個用戶登錄的全部歷史。同一個用戶在短時間內(nèi)從不同地方登陸情況,全面了解用戶活動的安全情況。實時預(yù)警功能,提供關(guān)注重要事件的實時告警。支持計劃報表,提供自動發(fā)送用戶選擇的相關(guān)報表到管理員郵箱功能。提供自定義報表,要求提供基于用戶、計算機、組策略、組織單元等內(nèi)容定制各種報表。支持導(dǎo)出PDF、CSV、XLS和HTML等格式。提供自定義活動目錄事件數(shù)據(jù)的保存周期,按設(shè)置周期清理數(shù)據(jù)庫過期事
39、件數(shù)據(jù)功能。提供日志自動歸檔功能:即基于用戶設(shè)定的時間間隔對日志進行自動存檔,存于指定目錄。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人
40、生留下些什么?2.1.8 業(yè)務(wù)系統(tǒng)接入設(shè)計2.1.8.1 業(yè)務(wù)系統(tǒng)接入條件應(yīng)用系統(tǒng)(海事業(yè)務(wù)中報客戶端、客戶端)要接入統(tǒng)一身份管理系統(tǒng),進行單點登錄,需按照提供的接入標(biāo)準(zhǔn)對登錄模塊進行改造,具體技術(shù)實現(xiàn)方式詳見第2.1.2和第2.1.4章節(jié)。2.1.8.2業(yè)務(wù)系統(tǒng)接入步驟根據(jù)以上內(nèi)容的介紹,各個業(yè)務(wù)系統(tǒng)接入統(tǒng)一認證管理系統(tǒng)的步驟必須按照規(guī)范和以下步驟完成:1、首先把業(yè)務(wù)系統(tǒng)中的用戶信息全部導(dǎo)入統(tǒng)一身份認證系統(tǒng)中,統(tǒng)一用戶數(shù)據(jù)匯總初始化是實現(xiàn)集成認證的前提。2、業(yè)務(wù)系統(tǒng)的原有登錄方式取消,統(tǒng)一采用統(tǒng)一登錄入口,需要各個業(yè)務(wù)系統(tǒng)按照統(tǒng)一認證的接口規(guī)范要求進行相應(yīng)的開發(fā)改造3、各個業(yè)務(wù)系統(tǒng)可以有選擇
41、的把權(quán)限管理數(shù)據(jù)放到統(tǒng)一身份認證系統(tǒng)中來,也可以選擇保留原有業(yè)務(wù)系統(tǒng)的權(quán)限管理方式;4、統(tǒng)一認證系統(tǒng)啟用后,禁用已經(jīng)接入的業(yè)務(wù)系統(tǒng)用戶數(shù)據(jù)錄入的操作,保證整個系統(tǒng)的數(shù)據(jù)一致性,防止數(shù)據(jù)沖突發(fā)生。2.2數(shù)字證書認證系統(tǒng)2.2.1 產(chǎn)品介紹本方案將采用BJCA的信天行數(shù)字證書認證系統(tǒng)為海事局提供建設(shè)CA中心。信大行數(shù)字證書認證系統(tǒng)依照國家有關(guān)證書認證系統(tǒng)的技術(shù)規(guī)范設(shè)計,包括證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范、數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范、GBT20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式等。系統(tǒng)提供數(shù)字證書發(fā)放沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般
42、的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?和管理功能,包括數(shù)字證書申請、證書發(fā)放、證書更新、證書廢除、密鑰恢復(fù)等。同時還提供如證書目錄發(fā)布服務(wù),OCSP證書查詢服務(wù)等一系列方便用戶使用證書的服務(wù)
43、。系統(tǒng)提供了完善的日志記錄和詳細的審計功能,保證了對操作人員的操作行為進行審計。信大行數(shù)字證書認證系統(tǒng)具有以下技術(shù)特點:(1)支持基于SM2算法的ECC證書的簽發(fā)。(2)可以統(tǒng)一管理和發(fā)放各類證書,包括郵件證書、個人身份證書、企業(yè)證書、服務(wù)器證書等。(3)具有高擴展性,可以靈活配置認證體系。系統(tǒng)支持多級CA,支持交叉證書認證,支持多級受理點??梢愿鶕?jù)用戶的需要,對系統(tǒng)進行配置和擴展。(4)具有高安全性和可靠性。(5)易于部署和使用。系統(tǒng)所有用戶、管理員界面主要是B/S模式,策略配置和系統(tǒng)定制以及用戶證書管理等都通過界面進行。(6)采用靈活的證書模板技術(shù)和動態(tài)擴展機制,容易滿足多種內(nèi)容格式證書簽
44、發(fā)要求。(7)系統(tǒng)環(huán)境方面,支持主流操作系統(tǒng)、多種主流加密設(shè)備、多種數(shù)據(jù)庫、多種證書存儲介質(zhì)等。信天行數(shù)字證書認證系統(tǒng)在設(shè)計時充分考慮了體系結(jié)構(gòu)的完整性、全面的證書管理功能和自身安全性以及運行保障等因素。系統(tǒng)通過利用公開密鑰算法、對稱密鑰算法和散列算法等技術(shù),提供了信息加密、數(shù)字簽名和數(shù)字信封等保護措施,實現(xiàn)信息系統(tǒng)中數(shù)據(jù)的完整性、機密性、抗抵賴性,并提供身份認證、訪問控制等功能。可以為電子政務(wù)和電子商務(wù)領(lǐng)域提供信息化應(yīng)用安全基礎(chǔ)平臺。2.2.2 系統(tǒng)框架數(shù)字證書認證系統(tǒng)主要分成:核心層、管理層和服務(wù)層三層架構(gòu)。核心層包括:根CA系統(tǒng)、運行CA系統(tǒng)和KMC密鑰管理系統(tǒng)三大子系統(tǒng)。其中,運行CA
45、系統(tǒng)又分成CA簽發(fā)系統(tǒng)、CA管理系統(tǒng)、CA數(shù)據(jù)庫和主LDAP目錄服務(wù)系統(tǒng)等組成部分。KMC密鑰管理系統(tǒng)包括密鑰管理系統(tǒng)和KM數(shù)據(jù)庫。管理層包括:RA注冊系統(tǒng)。RA注冊系統(tǒng)由注冊管理系統(tǒng)和RA數(shù)據(jù)庫組成。注冊管理系統(tǒng)需要與CA管理系統(tǒng)進行安全通信。服務(wù)層包括:證書服務(wù)系統(tǒng)和證書/證書狀態(tài)查詢系統(tǒng)。證書服務(wù)系統(tǒng)又細分為受理點服務(wù)系統(tǒng)、用戶服務(wù)系統(tǒng)。受理點服務(wù)系統(tǒng)是海事局的證書受理點的證書管理員操作的證書服務(wù)系統(tǒng);用戶服務(wù)系統(tǒng)是證書用戶通過海事局內(nèi)網(wǎng)進行自助服務(wù)的系統(tǒng)。證書/證書狀態(tài)查詢系統(tǒng)包括從LDAP目錄服務(wù)系統(tǒng)和OCSP服務(wù)系統(tǒng)。終端包括受理點管理終端和用戶終端,支持PC機+USBKey。數(shù)字
46、證書認證系統(tǒng)軟件構(gòu)架設(shè)計如下圖所示:核心層管理層證書服哥證書簽發(fā)子系統(tǒng);密鑰管理子系統(tǒng)(KM)密鑰管理模塊注冊審核模塊數(shù)據(jù)庫注冊審核子系統(tǒng) (RR)數(shù)據(jù)庫一根G模塊運行£A模塊 CA管理模塊數(shù)據(jù)庫服務(wù)層證書.證書狀態(tài)查詢via .至丫口色廣二ORL查詢卜載服務(wù)最終用戶證書狀態(tài)查詢服務(wù)國終端自助服務(wù)受理點現(xiàn)場服務(wù)笑理點操作員2.2.3軟件功能清單身份認證系統(tǒng)采用B/S架構(gòu),所有管理工作通過瀏覽器完成。系統(tǒng)主要功能如下表所示:系統(tǒng)模塊系統(tǒng)主要功能說明CA簽發(fā)系統(tǒng)(CSS完成證書生命周期管理服務(wù),包括:簽發(fā)用戶證書、更新證書、重簽發(fā)證書、凍結(jié)、解凍、吊銷證書簽發(fā)CRL發(fā)布證書和CR導(dǎo)等。與
47、KMRA等模塊進行安全通信,進行證書業(yè)務(wù)調(diào)度,實現(xiàn)整個身份認證系統(tǒng)業(yè)務(wù)、權(quán)限以及策略管理、查詢統(tǒng)計、安全審計;實現(xiàn)用戶證書生命周期管理。密鑰管理系統(tǒng)(KMC用戶加密密鑰生產(chǎn)、密鑰分發(fā)、密鑰歸檔、密鑰更新、密鑰撤銷、密鑰備份與恢復(fù)、安全審計等密鑰生命周期管理服務(wù)。證書注冊系統(tǒng)(RA用戶信息注冊管理、RA業(yè)務(wù)策略管理、配置管理、安全審計等等。證書在線查詢系統(tǒng)(OCSP提供用戶證書狀態(tài)在線查詢服務(wù)。2.2.4技術(shù)標(biāo)準(zhǔn)(1)數(shù)字證書認證系統(tǒng)遵循的標(biāo)準(zhǔn)證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范數(shù)字證書認證系統(tǒng)檢測規(guī)范證書認證密鑰管理系統(tǒng)檢測規(guī)范商用密碼管理條例中華人民共和國計算機信
48、息系統(tǒng)安全保護條例(2)數(shù)字證書格式遵循的標(biāo)準(zhǔn)GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式ITU-TX.509V3(數(shù)字證書)ITU-TX.509V2(CRL(3)數(shù)字證書應(yīng)用接口遵循的標(biāo)準(zhǔn)公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系證書應(yīng)用綜合服務(wù)接口規(guī)范公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架規(guī)范公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系密碼設(shè)備應(yīng)用接口規(guī)范公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系通用密碼服務(wù)接口規(guī)范智能IC卡及智能密碼鑰匙密碼應(yīng)用接口規(guī)范CSP®范PKCS#1規(guī)范上述規(guī)范為國家密碼局關(guān)于數(shù)字證書應(yīng)用體系的最新技術(shù)標(biāo)準(zhǔn)。BJCA作為國家密碼基礎(chǔ)設(shè)施成員單位,是最先遵循國家最新技術(shù)標(biāo)準(zhǔn)規(guī)范的PK
49、I廠商。(4)支持的密碼算法公鑰密碼算法:RSASM2其中RSA密鑰長度1024/2048/4096比特可選。SM2s持256比特;哈希函數(shù)算法:支持SHA1SHA256SM3對稱密碼算法:SSF33SM1/SM舒。LDAP目錄協(xié)議支持輕量型目錄協(xié)議第三版(LDAPv3),具體如下:RFC2251:輕型目錄服務(wù)訪問協(xié)議RFC2252屬性語法定義RFC2253分辨名的UTF-8字符串表示RFC2254:查詢過濾器的字符串表示RFC2255LDAPURI式RFC2256X.500用戶SchemaE總RFC2829LDAFU證方法RFC283。傳輸層安全(TLS)擴展OCS曲、議:RFC25603.
50、數(shù)字證書運行服務(wù)方案3.1 運行服務(wù)體系海事局CA中心的建設(shè)目標(biāo)是面向全國范圍內(nèi)10萬規(guī)模的用戶群提供CA認證服務(wù),不僅僅需要建設(shè)一個CA系統(tǒng),而且需要建設(shè)一個完善的服務(wù)體系。海事局CA運行服務(wù)體系將以數(shù)字證書服務(wù)平臺為技術(shù)手段,為局領(lǐng)導(dǎo)、管理人員和用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務(wù)。輔以數(shù)字證書服務(wù)方案以及CA基礎(chǔ)設(shè)施的運維方案,結(jié)合電子認證服務(wù)體系培訓(xùn),保障CA基礎(chǔ)設(shè)施的正常運轉(zhuǎn)。主要建設(shè)內(nèi)容包括:(1)建立海事局數(shù)字證書服務(wù)平臺,為全國用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務(wù);(2)設(shè)計數(shù)字證書服務(wù)方案,包括服務(wù)交付和服務(wù)支持等方面;(3)設(shè)計CA基礎(chǔ)設(shè)施的運21方
51、案,保障CA基礎(chǔ)設(shè)施的正常運轉(zhuǎn);(4)開展電子認證服務(wù)體系的培訓(xùn),確保電子認證服務(wù)體系的應(yīng)用效果。沒有落日般的瑰麗,沒有流云般的飄逸,但可以有水晶般的清純與透明。沒有大山般的巍峨,沒有湖水般的輕柔,但可以有巖石般的堅毅與穩(wěn)重。沒有大海般的浩瀚,沒有瀑布般的飛瀉,但可以有泥土般的樸素與隨和。3.2 證書服務(wù)方案一級云中心CARA海事局證書服務(wù)平臺直屬局服務(wù)網(wǎng)點SSI受理點系統(tǒng)直屬局證書服若人員直屬局工作人員全部局證書服務(wù)人員按三級體系,即部局、直屬局、分局及海事處。直屬局的證書服務(wù)人員只負責(zé)機關(guān)人員的證書全生命周期管理,分局或海事處工作人員的證書全生命周期管理由分局或海事處的證書服務(wù)人員負責(zé)。證
52、書服務(wù)人員的證書及介質(zhì)由部局統(tǒng)一采購并配發(fā)。3.2.1 證書服務(wù)方案概述證書服務(wù)方案包括服務(wù)交付和服務(wù)支持兩部分,其中:服務(wù)交付方案將針對面對證書用戶提供的證書生命周期服務(wù)和面對系統(tǒng)管理員提供的證書業(yè)務(wù)查詢統(tǒng)計服務(wù)作出詳細闡述;服務(wù)支持方案將明確闡述面向證書用戶和受理點管理員的服務(wù)支持方式和支持內(nèi)容。3.2.2 服務(wù)交付方案3.2.2.1服務(wù)交付內(nèi)容CA服務(wù)交付是指將證書及相關(guān)服務(wù)交付給用戶。作為應(yīng)用安全保障體系基礎(chǔ)設(shè)施,建設(shè)一個安全、方便、快捷的CA服務(wù)交付體系,是十分重要的CA服務(wù)交付的內(nèi)容包括三個方面:1、 面對最終用戶提供的證書生命周期服務(wù)2、 面對業(yè)務(wù)管理者提供的證書業(yè)務(wù)查詢統(tǒng)計服務(wù)
53、3、 面向應(yīng)用提供者提供的證書應(yīng)用集成等服務(wù)。針對證H最終川戶的服務(wù) n r針對業(yè)務(wù)管理者的服務(wù) =1針對應(yīng)用提供者的服務(wù)身份鑒證(目錄證書直詢證書撤銷列表0 csp在線證書狀態(tài)直詢TSA時間戰(zhàn)服務(wù)證書業(yè)務(wù)查詢統(tǒng)計證書業(yè)務(wù)審計受理點,注冊中心系統(tǒng)建設(shè)受理點,注冊中心運營管理證書應(yīng)用集成* 電子認證安全史而I電子認證安全函口CA服務(wù)交付圖表1CA認證服務(wù)交付內(nèi)容其中,最重要的是面向證書最終用戶的證書生命周期的服務(wù)交付,包括證書申請發(fā)放、證書吊銷、證書更新、證書重簽發(fā)、密鑰恢復(fù)、證書介質(zhì)解鎖等等。風(fēng)從水上走過,留下粼粼波紋;駱駝從沙漠上走過,留下深深的腳??;哨鴿從天空飛過,留下串串歡韻;歲月從樹林
54、穿過,留下圈圈年輪。啊,朋友,我們從時代的舞臺走過,將給社會留下些什么?花從春走過,留下縷縷花香;葉從夏走過,留下片片蔭涼;風(fēng)從秋走過,留下陣陣金浪;雪從冬走過,留下種種希望。啊,朋友,我們從人生的四季走過,將給人生留下些什么?3.2.2.2服務(wù)交付模式證書服務(wù)的交付模式,主要包括受理點交付、在線服務(wù)交付兩種主要模式,以及結(jié)合受理點和在線的混合交付模式。用戶圖表3證書服務(wù)的交付模式受理點交付模式海事局將在全國各地區(qū)分局分批建設(shè)數(shù)字證書受理點,已建設(shè)證書受理點的分支機構(gòu),證書服務(wù)可采取受理點交付模式。對于應(yīng)用系統(tǒng)中已有的用戶支持批量制證、發(fā)證,對于新注冊用戶,由用戶自己提交用戶信息到所在單位信息中心管理人員,通過所在單位信息中心管理員審核信息內(nèi)容的正確性,核實正確后由所在單位管理人員負責(zé)制證、交付。在線交付模式用戶除可以通過受理點獲取證書全生命周期的服務(wù)外,還可以通過登錄用戶服務(wù)系統(tǒng)臺獲取在線的證書服務(wù)。在證書更新、吊銷、重簽發(fā)、介質(zhì)解鎖階段,通過Web自助獲取服務(wù)。3.2.2.3 服務(wù)交付流程受理點集中證書申請流程海事局內(nèi)部證書采用證書受理點集中證書申請模式。集中申請是指由單位證書管理員集中收集、整理和審查用戶證書申請的真實可靠后,通過文件方式將證書申請信息批量傳入CA系統(tǒng),由CA中心集中制作數(shù)字證書后發(fā)放給證書管理員,再由證書管理員集中將數(shù)字證書
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025版委托貸款合同(購車貸款)3篇
- 2025版民間借貸合同文本四種借款人法律義務(wù)解讀4篇
- 商鋪售后返租合同風(fēng)險評估與法律建議(2025年版)2篇
- 2025年度龍山區(qū)中醫(yī)院醫(yī)療廢物處理技術(shù)改造合同4篇
- 二零二五年度實木復(fù)合地板品牌代理銷售合同4篇
- 2025年物業(yè)管理責(zé)任服務(wù)協(xié)議書(含物業(yè)合同續(xù)簽)3篇
- 體育場館體育賽事現(xiàn)場安全保衛(wèi)措施與體系建設(shè)改進考核試卷
- 體育用品行業(yè)創(chuàng)新商業(yè)模式探索考核試卷
- 2025年農(nóng)村地房產(chǎn)租賃土地租賃協(xié)議
- 2025年度木材加工與木工安裝服務(wù)承包合同4篇
- 土地買賣合同參考模板
- 新能源行業(yè)市場分析報告
- 2025年天津市政建設(shè)集團招聘筆試參考題庫含答案解析
- 房地產(chǎn)運營管理:提升項目品質(zhì)
- 自愿斷絕父子關(guān)系協(xié)議書電子版
- 你劃我猜游戲【共159張課件】
- 專升本英語閱讀理解50篇
- 中餐烹飪技法大全
- 新型電力系統(tǒng)研究
- 滋補類用藥的培訓(xùn)
- 北師大版高三數(shù)學(xué)選修4-6初等數(shù)論初步全冊課件【完整版】
評論
0/150
提交評論