統(tǒng)一身份認(rèn)證系統(tǒng)技術(shù)設(shè)計方案

1、 .wd. .wd. .wd.智慧海事一期統(tǒng)一身份認(rèn)證系統(tǒng)技術(shù)方案目 錄TOC o 1-3 h z uHYPERLINK l _Toc349663596目錄 PAGEREF _Toc349663596 h iHYPERLINK l _Toc3496635971.總體設(shè)計 PAGEREF _Toc349663597 h 2HYPERLINK l _Toc3496635981.1設(shè)計原那么 PAGEREF _Toc349663598 h 2HYPERLINK l _Toc3496635991.2設(shè)計目標(biāo) PAGEREF _Toc349663599 h 3HYPERLINK l _Toc349663

2、6001.3設(shè)計實現(xiàn) PAGEREF _Toc349663600 h 3HYPERLINK l _Toc3496636011.4系統(tǒng)部署 PAGEREF _Toc349663601 h 4HYPERLINK l _Toc3496636022.方案產(chǎn)品介紹 PAGEREF _Toc349663602 h 6HYPERLINK l _Toc3496636032.1統(tǒng)一認(rèn)證管理系統(tǒng) PAGEREF _Toc349663603 h 6HYPERLINK l _Toc3496636042.1.1系統(tǒng)詳細(xì)架構(gòu)設(shè)計 PAGEREF _Toc349663604 h 6HYPERLINK l _Toc34966

3、36052.1.2身份認(rèn)證服務(wù)設(shè)計 PAGEREF _Toc349663605 h 7HYPERLINK l _Toc3496636062.1.3授權(quán)管理服務(wù)設(shè)計 PAGEREF _Toc349663606 h 10HYPERLINK l _Toc3496636072.1.4單點登錄服務(wù)設(shè)計 PAGEREF _Toc349663607 h 13HYPERLINK l _Toc3496636082.1.5身份信息共享與同步設(shè)計 PAGEREF _Toc349663608 h 15HYPERLINK l _Toc3496636092.1.6后臺管理設(shè)計 PAGEREF _Toc349663609

4、h 18HYPERLINK l _Toc3496636102.1.7安全審計設(shè)計 PAGEREF _Toc349663610 h 20HYPERLINK l _Toc3496636112.1.8業(yè)務(wù)系統(tǒng)接入設(shè)計 PAGEREF _Toc349663611 h 22HYPERLINK l _Toc3496636122.2數(shù)字證書認(rèn)證系統(tǒng) PAGEREF _Toc349663612 h 22HYPERLINK l _Toc3496636132.2.1產(chǎn)品介紹 PAGEREF _Toc349663613 h 22HYPERLINK l _Toc3496636142.2.2系統(tǒng)框架 PAGEREF _

5、Toc349663614 h 23HYPERLINK l _Toc3496636152.2.3軟件功能清單 PAGEREF _Toc349663615 h 24HYPERLINK l _Toc3496636162.2.4技術(shù)標(biāo)準(zhǔn) PAGEREF _Toc349663616 h 25HYPERLINK l _Toc3496636173.數(shù)字證書運行服務(wù)方案 PAGEREF _Toc349663617 h 27HYPERLINK l _Toc3496636183.1運行服務(wù)體系 PAGEREF _Toc349663618 h 27HYPERLINK l _Toc3496636193.2證書服務(wù)方案

6、 PAGEREF _Toc349663619 h 27HYPERLINK l _Toc3496636203.2.1證書服務(wù)方案概述 PAGEREF _Toc349663620 h 27HYPERLINK l _Toc3496636213.2.2服務(wù)交付方案 PAGEREF _Toc349663621 h 28HYPERLINK l _Toc3496636223.2.3服務(wù)支持方案 PAGEREF _Toc349663622 h 35HYPERLINK l _Toc3496636233.3CA根基設(shè)施運維方案 PAGEREF _Toc349663623 h 36HYPERLINK l _Toc3

7、496636243.3.1運維方案概述 PAGEREF _Toc349663624 h 36HYPERLINK l _Toc3496636253.3.2CA系統(tǒng)運行管理 PAGEREF _Toc349663625 h 36HYPERLINK l _Toc3496636263.3.3CA系統(tǒng)訪問管理 PAGEREF _Toc349663626 h 37HYPERLINK l _Toc3496636273.3.4業(yè)務(wù)可持續(xù)性管理 PAGEREF _Toc349663627 h 37HYPERLINK l _Toc3496636283.3.5CA審計 PAGEREF _Toc349663628 h

8、38總體設(shè)計設(shè)計原那么一、標(biāo)準(zhǔn)化原那么系統(tǒng)的整體設(shè)計要求基于國家密碼管理局?商用密碼管理條例?、公安部計算機(jī)系統(tǒng)安全等級要求和?中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例?的有關(guān)規(guī)定。數(shù)字證書認(rèn)證系統(tǒng)的安全根基設(shè)施的設(shè)計和實現(xiàn)將遵循相關(guān)的國際、國內(nèi)技術(shù)和行業(yè)標(biāo)準(zhǔn)。二、安全性原那么系統(tǒng)所采用的產(chǎn)品技術(shù)和部署方式必須具有足夠的安全性，針對可能的安全威脅和風(fēng)險，并制定相應(yīng)的對策。關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復(fù)措施。三、可用性原那么系統(tǒng)具有足夠的容量和良好的性能，能夠支撐百萬級或千萬級用戶數(shù)量，并能夠在海量用戶和大并發(fā)訪問壓力的條件下，保持功能和性能的可用性。四、強(qiáng)健性原那么系統(tǒng)的根基平臺成熟、穩(wěn)定、可靠

9、，能夠提供不連續(xù)的服務(wù)，相關(guān)產(chǎn)品均具有很強(qiáng)的強(qiáng)健性、良好的容錯處理能力和抗干擾能力。五、模塊化原那么系統(tǒng)的設(shè)計和實現(xiàn)采用模塊化構(gòu)造，各個模塊具有相對獨立的功能和開放的接口。可以根據(jù)系統(tǒng)的需要進(jìn)展功能模塊的增加或減少，而不必改變原來的程序構(gòu)架；針對不同的應(yīng)用定制實施模塊。六、可擴(kuò)展原那么隨著業(yè)務(wù)的開展，對未來系統(tǒng)的功能和性能將會提出更高的要求。系統(tǒng)在設(shè)計和實現(xiàn)上，應(yīng)具有良好的可擴(kuò)展性。可以通過對硬件平臺、軟件模塊的擴(kuò)展和升級，實現(xiàn)系統(tǒng)功能和性能的平滑地擴(kuò)展和升級。七、方便開發(fā)原那么系統(tǒng)提供豐富的二次開發(fā)工具和接口，便于應(yīng)用系統(tǒng)調(diào)用，能夠方便的與現(xiàn)有和將來的應(yīng)用系統(tǒng)進(jìn)展集成。八、兼容性原那么系統(tǒng)具

10、備良好的兼容性，能夠與多種硬件系統(tǒng)、根基軟件系統(tǒng)，以及其它第三方軟硬件系統(tǒng)相互兼容。設(shè)計目標(biāo)根據(jù)招標(biāo)文件的具體技術(shù)要求，基于現(xiàn)有信息系統(tǒng)現(xiàn)狀、數(shù)字證書應(yīng)用現(xiàn)狀以及未來在信息安全方面的技術(shù)性要求，本方案提出以下建設(shè)目標(biāo)。在海事局內(nèi)部部署統(tǒng)一認(rèn)證管理系統(tǒng)，具體目標(biāo)是：提供數(shù)據(jù)統(tǒng)一、維護(hù)統(tǒng)一、用戶統(tǒng)一的安全可靠的認(rèn)證與授權(quán)服務(wù)；實現(xiàn)全局相關(guān)業(yè)務(wù)系統(tǒng)全面統(tǒng)一的用戶管理、可靠的身份認(rèn)證與安全審計、有效的分級授權(quán)、安全的單點登錄、便捷的信息共享在海事局內(nèi)部部署數(shù)字證書認(rèn)證系統(tǒng)CA認(rèn)證中心，具備10萬級數(shù)字證書的發(fā)放能力，滿足海事局內(nèi)部用戶以及應(yīng)用系統(tǒng)的對數(shù)字證書的使用需求。廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)包括：

11、船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0系統(tǒng)與統(tǒng)一身份認(rèn)證系統(tǒng)的進(jìn)展技術(shù)集成，實現(xiàn)統(tǒng)一的身份認(rèn)證與單點登錄功能。設(shè)計實現(xiàn)本方案由統(tǒng)一認(rèn)證管理系統(tǒng)和數(shù)字證書認(rèn)證系統(tǒng)兩局部組成，其統(tǒng)一認(rèn)證管理系統(tǒng)實現(xiàn)統(tǒng)一的用戶管理、身份認(rèn)證、單點登錄、授權(quán)管理、安全審計等功能；數(shù)字證書認(rèn)證系統(tǒng)實現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書管理。統(tǒng)一認(rèn)證管理系統(tǒng)與數(shù)字證書認(rèn)證系統(tǒng)集成，實現(xiàn)新增用戶信息同步，證書管理員只需要登錄數(shù)字證書認(rèn)證系統(tǒng)，查出用戶信息，直接制作證書。二級云中心直屬局統(tǒng)一認(rèn)證管理系統(tǒng)定時將用戶、機(jī)構(gòu)、授權(quán)等信息同步給一級云中心統(tǒng)一認(rèn)證管理系統(tǒng)。本期工程將率先在廣東海事局搭建起船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0

12、系統(tǒng)的單點登錄功能。系統(tǒng)部署一級云中心：一臺身份認(rèn)證服務(wù)器，一臺加密機(jī)，兩臺統(tǒng)一認(rèn)證服務(wù)器基于ORACLE一體機(jī)實現(xiàn)負(fù)載，兩臺統(tǒng)一認(rèn)證數(shù)據(jù)庫服務(wù)器基于ORACLE數(shù)據(jù)庫一體機(jī)實現(xiàn)負(fù)載。五個二級云中心直屬局：一臺統(tǒng)一認(rèn)證數(shù)據(jù)庫服務(wù)器，兩臺統(tǒng)一認(rèn)證服務(wù)器雙機(jī)冷備，二級云中心統(tǒng)一認(rèn)證服務(wù)器能訪問一級云中心統(tǒng)一認(rèn)證服務(wù)器。方案產(chǎn)品介紹統(tǒng)一認(rèn)證管理系統(tǒng)系統(tǒng)詳細(xì)架構(gòu)設(shè)計國家海事局統(tǒng)一認(rèn)證管理系統(tǒng)詳細(xì)架構(gòu)設(shè)計如以以下圖所示：在國家海事局部署一級統(tǒng)一身份認(rèn)證系統(tǒng)，可管理全部的系統(tǒng)用戶，用戶可通過統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)展身份認(rèn)證、業(yè)務(wù)系統(tǒng)單點登錄；二級單位根據(jù)具體情況可部署二級統(tǒng)一身份認(rèn)證系統(tǒng)，系統(tǒng)用戶信息管理與一

13、級統(tǒng)一身份認(rèn)證系統(tǒng)同步，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，二級單位用戶可登錄各自單位的二級統(tǒng)一身份認(rèn)證系統(tǒng)，不影響正常的業(yè)務(wù)處理。國家海事局統(tǒng)一認(rèn)證管理系統(tǒng)的主要服務(wù)功能模塊包括：身份認(rèn)證模塊、單點登錄模塊、信息同步模塊、后臺管理模塊、數(shù)據(jù)服務(wù)模塊及安全管理模塊，其中后臺用戶管理包括用戶、角色、應(yīng)用等相關(guān)信息管理，另外，安全管理模塊為維護(hù)好系統(tǒng)服務(wù)功能的安全性，提供系統(tǒng)自身所有操作的安全審計功能，以及各個應(yīng)用系統(tǒng)用戶信息的監(jiān)控功能。身份認(rèn)證服務(wù)設(shè)計身份認(rèn)證服務(wù)為海事局各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊、憑證發(fā)布、用戶資料管理及銷毀、登錄認(rèn)證功能。總體設(shè)計認(rèn)證管理的構(gòu)造如上圖所示，主要包括以下幾個局部：CA認(rèn)

14、證中心：海事局CA認(rèn)證中心為數(shù)字證書用戶提供身份認(rèn)證服務(wù)，簽發(fā)數(shù)字證書，實現(xiàn)證書與現(xiàn)實中的實體個人、單位或服務(wù)器的綁定。CA認(rèn)證中心除了為最終用戶方法數(shù)字證書外，還需要為統(tǒng)一認(rèn)證服務(wù)器和業(yè)務(wù)系統(tǒng)的服務(wù)器簽發(fā)服務(wù)器身份證書，用于客戶與服務(wù)器之間的雙向認(rèn)證。統(tǒng)一認(rèn)證服務(wù)器：統(tǒng)一認(rèn)證系統(tǒng)服務(wù)器的數(shù)據(jù)庫中集中存放所有業(yè)務(wù)系統(tǒng)的用戶信息和權(quán)限信息，所有業(yè)務(wù)系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)都需要部署服務(wù)器證書、安全組件和認(rèn)證接口，用于業(yè)務(wù)系統(tǒng)與客戶端，或業(yè)務(wù)系統(tǒng)之間的身份認(rèn)證。證書用戶：證書用戶按照經(jīng)過嚴(yán)格的身份信息鑒證，從CA認(rèn)證中心領(lǐng)取數(shù)字證書，然后通過訪問各級統(tǒng)一認(rèn)證系統(tǒng)，進(jìn)展單點登錄，就可以很方便地訪問自己權(quán)限

15、范圍內(nèi)的應(yīng)用系統(tǒng)。用戶數(shù)字證書的身份信息要與統(tǒng)一認(rèn)證系統(tǒng)中注冊的用戶信息保持一致關(guān)鍵信息為：姓名、證件類型和證件號碼，只有信息一致的前提下，才可實現(xiàn)可靠的身份認(rèn)證。口令用戶：口令用戶不需要經(jīng)過CA中心身份認(rèn)證和簽發(fā)數(shù)字證書，直接由單位管理員根據(jù)用戶信息注冊即可。用戶本人可在獲得初始密碼后修改登陸密碼和注冊信息。身份認(rèn)證方式統(tǒng)一認(rèn)證系統(tǒng)可以對不同的系統(tǒng)進(jìn)展分級認(rèn)證，也可以對系統(tǒng)內(nèi)的不同用戶分級認(rèn)證。系統(tǒng)應(yīng)同時支持口令方式和數(shù)字證書兩種方式的身份認(rèn)證機(jī)制。另外，系統(tǒng)應(yīng)具有擴(kuò)展接口，可快速實現(xiàn)動態(tài)口令認(rèn)證、指紋認(rèn)證和和人像等其它身份憑證認(rèn)證模式。身份認(rèn)證技術(shù)支持PKI、LDAP、NDS、NIS、AD

16、等標(biāo)準(zhǔn)認(rèn)證技術(shù)。對于安全性較低的系統(tǒng)，可以采用最低認(rèn)證等級：用戶名/口令方式；對于安全性較高的系統(tǒng)，最低認(rèn)證等級那么需要設(shè)置為數(shù)字證書方式。系統(tǒng)的認(rèn)證等級和用戶的認(rèn)證方式都可以在統(tǒng)一認(rèn)證系統(tǒng)后臺進(jìn)展動態(tài)配置。用戶使用數(shù)字證書可以登錄安全性較低的系統(tǒng)，但是用戶名/口令認(rèn)證方式不允許進(jìn)入等級為數(shù)字證書的業(yè)務(wù)系統(tǒng)?；跀?shù)字證書的身份認(rèn)證數(shù)字證書用戶登錄業(yè)務(wù)系統(tǒng)的身份認(rèn)證流程如以以下圖所示：流程說明：提供證書：在登錄門戶頁面或統(tǒng)一認(rèn)證首頁中嵌入證書控件和組件，服務(wù)器端產(chǎn)生隨即數(shù)并進(jìn)展數(shù)字簽名，客戶端實現(xiàn)即插即用的登錄認(rèn)證模式，只要插入UsbKey自動列舉Key內(nèi)的數(shù)字證書；握手認(rèn)證：用戶輸入證書密碼、

17、點擊登錄提交按鈕后，頁面調(diào)用證書控件的運行腳本，校驗證書密碼后對服務(wù)器端產(chǎn)生的隨即數(shù)和數(shù)字簽名進(jìn)展驗證；客戶端對隨即數(shù)進(jìn)展數(shù)字簽名，提交認(rèn)證信息給服務(wù)器驗證；認(rèn)證信息主要包括：隨即數(shù)、客戶證書、客戶的簽名等信息。服務(wù)器后臺程序驗證客戶端的證書有效性和數(shù)字簽名的有效性。獲取訪問信息：統(tǒng)一認(rèn)證服務(wù)器從認(rèn)證信息中提取客戶端數(shù)字證書，并從證書中解析出證書的唯一標(biāo)識，在后臺數(shù)據(jù)庫中進(jìn)展比對，進(jìn)展訪問控制；返回登錄票據(jù)：服務(wù)器認(rèn)證通過后，形成標(biāo)準(zhǔn)格式的登錄票據(jù)，返回客戶端。選擇業(yè)務(wù)系統(tǒng)：系統(tǒng)根據(jù)登錄票據(jù)，顯示可登錄的系統(tǒng)，用戶選擇系統(tǒng)。傳遞票據(jù)：客戶端瀏覽器將登錄票據(jù)傳遞到對應(yīng)的系統(tǒng)地址上。票據(jù)驗證：業(yè)務(wù)

18、系統(tǒng)根據(jù)接收到的登錄票據(jù)，通過部署的安全組件進(jìn)展驗證。進(jìn)入系統(tǒng)：驗證通過，允許進(jìn)入，根據(jù)用戶權(quán)限信息，授予對應(yīng)的操作權(quán)限。否那么，拒絕登錄。系統(tǒng)采用數(shù)字證書，安全組件、密碼運算、數(shù)字簽名、數(shù)字信封等技術(shù)來保障用戶身份的真實性，可以有效防止身份冒充、身份抵賴、重放、中間人攻擊的風(fēng)險，從而在一定程度上保證認(rèn)證的安全性。數(shù)據(jù)加密可采用標(biāo)準(zhǔn)SSL協(xié)議，在WEB服務(wù)器上配置SSL服務(wù)器證書，即可實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的加密。基于口令方式的身份認(rèn)證用戶身份唯一性設(shè)計：系統(tǒng)采用集中數(shù)據(jù)庫管理模式，用戶名作為用戶信息表中的主鍵，在系統(tǒng)中不允許重復(fù)。另外，系統(tǒng)中應(yīng)根據(jù)用戶類型和注冊的 基本信息生成一個具有用戶

19、特征碼，用于識別一個人或單位在系統(tǒng)中的身份唯一性。特征碼的編碼標(biāo)準(zhǔn)例如：個人用戶的特征碼=證件類型編碼證件號碼真實姓名+登錄名單位用戶的特征碼=組織機(jī)構(gòu)代碼對應(yīng)單位名稱+登錄名用戶名方式的身份認(rèn)證業(yè)務(wù)流程與證書方式類似，與證書方式的主要區(qū)別在于以下幾點：1客戶端不進(jìn)展數(shù)字簽名；2提交給服務(wù)器的認(rèn)證信息不包括客戶端數(shù)字簽名，而是加密后的登錄口令；3服務(wù)器端接收到認(rèn)證信息后，不再驗證簽名，而是將加密的口令與數(shù)據(jù)庫中的加密口令進(jìn)展比照核對；4安全登錄票據(jù)中的登錄方式不同；5其他流程沒有區(qū)別。授權(quán)管理服務(wù)設(shè)計授權(quán)管理的系統(tǒng)框架為確保信息資源訪問的可控性，防止信息資源被非授權(quán)訪問，需要在用戶身份真實可信

20、的前提下，提供可信的授權(quán)管理服務(wù)，實現(xiàn)對各類用戶的有效管理和訪問控制，保護(hù)各種信息資源不被非法或越權(quán)訪問，防止信息泄漏。統(tǒng)一認(rèn)證管理系統(tǒng)應(yīng)提供信息資源管理、用戶角色定義和劃分、權(quán)限分配和管理、權(quán)限認(rèn)證等功能。權(quán)限管理主要是由管理員進(jìn)展資源分類配置、用戶角色定義及授權(quán)等操作；權(quán)限認(rèn)證主要是根據(jù)用戶身份對其進(jìn)展權(quán)限判斷，以決定該用戶是否具有訪問相應(yīng)資源的權(quán)限。由于統(tǒng)一認(rèn)證管理系統(tǒng)要解決各個應(yīng)用系統(tǒng)內(nèi)部的細(xì)粒度資源權(quán)限控制，需要與應(yīng)用系統(tǒng)嚴(yán)密結(jié)合，因此統(tǒng)一認(rèn)證管理系統(tǒng)應(yīng)在統(tǒng)一身份認(rèn)證系統(tǒng)粗粒度訪問控制的根基之上，由各個應(yīng)用系統(tǒng)結(jié)合本地資源授權(quán)方式，進(jìn)展定制集成開發(fā)。由于采取分布式的RBAC授權(quán)管理模

21、型，首先應(yīng)對用戶進(jìn)展嚴(yán)格的身份認(rèn)證，保證用戶身份的真實性，在此根基之上再由綜合各個應(yīng)用系統(tǒng)內(nèi)部資源權(quán)限分配的統(tǒng)一授權(quán)管理系統(tǒng)對用戶進(jìn)展嚴(yán)格的權(quán)限認(rèn)證，實現(xiàn)各個應(yīng)用系統(tǒng)內(nèi)部資源細(xì)粒度的授權(quán)訪問控制。用戶訪問控制總體框架如以以下圖所示：在此框架下，整個授權(quán)控制的工作流程如下：統(tǒng)一認(rèn)證管理系統(tǒng)的初始化，添加并配置系統(tǒng)管理員；由系統(tǒng)管理員添加并配置下級管理員或用戶；管理員添加受控訪問資源，并設(shè)置每個用戶的權(quán)限；用戶訪問各應(yīng)用系統(tǒng)，首先由統(tǒng)一認(rèn)證系統(tǒng)驗證該用戶的身份；認(rèn)證通過后根據(jù)用戶身份，對用戶進(jìn)展權(quán)限認(rèn)證；如果用戶通過權(quán)限認(rèn)證，那么說明該用戶可以進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)，訪問權(quán)限許可內(nèi)的資源；否那么，拒絕

22、用戶訪問。授權(quán)管理模型基于角色的授權(quán)基于角色的訪問控制RBAC授權(quán)模型：通過角色定義，將應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限授予某個角色，然后將用戶與這些角色關(guān)聯(lián)，從而將業(yè)務(wù)權(quán)限賦予該用戶。如以以下圖所示：基于角色的訪問控制方法的思想就是把對用戶的授權(quán)分成兩部份，用角色來充當(dāng)用戶行駛權(quán)限的中介。這樣，用戶與角色之間以及角色與權(quán)限之間就形成了兩個多對多的關(guān)系。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要職權(quán)、職位以及分擔(dān)的權(quán)利和責(zé)任定義相應(yīng)的角色。角色是一組訪問權(quán)限的集合，一個用戶可以是很多角色的成員，一個角色也可以有很多個權(quán)限，而一個權(quán)限也可以重復(fù)配置于多個角色。權(quán)限配置工作是組織角色的權(quán)限的工作步驟之一，只有角

23、色具有相應(yīng)的權(quán)限后用戶委派才能具有實際意義。基于角色授權(quán)模型的優(yōu)點基于角色的策略實現(xiàn)了用戶與訪問權(quán)限的邏輯別離，極大的方便了權(quán)限管理。例如，如果一個用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，參加代表新職務(wù)或新任務(wù)的角色即可。一般，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，并且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承擔(dān)，但是不給他們委派用戶的權(quán)限，這與現(xiàn)實中情況正好一致。除了方便權(quán)限管理之外，基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系，實現(xiàn)最少權(quán)限原那么和職責(zé)別離的原那么?；?/p>

24、角色授權(quán)的流程以下面的授權(quán)目標(biāo)舉例說明基于角色的授權(quán)流程：用戶張三- 角色預(yù)算處處長- 權(quán)限預(yù)算系統(tǒng)的審核1、生成一個角色：預(yù)算處處長；2、選擇預(yù)算系統(tǒng)的預(yù)算審批業(yè)務(wù)權(quán)限授予預(yù)算處處長角色；3、將預(yù)算處處長角色授予用戶張三。通過將預(yù)算系統(tǒng)的審核的業(yè)務(wù)權(quán)限授予預(yù)算處處長角色，然后將此角色與用戶張三關(guān)聯(lián)，最后用戶擁有了該權(quán)限。分級授權(quán)管理分級授權(quán)實現(xiàn)的是權(quán)限繼承：當(dāng)上級管理員對下級管理員進(jìn)展授權(quán)時，所授予的業(yè)務(wù)權(quán)限將被下級繼承，下級管理員擁有這些權(quán)限，并可以將這些權(quán)限授予其管轄的用戶。分級授權(quán)通過管理員授權(quán)實現(xiàn)。通過一步步的權(quán)限傳遞，可以實現(xiàn)多級授權(quán)。授權(quán)可以基于角色，如例子中利用預(yù)算審核角色，也

25、可以直接基于業(yè)務(wù)權(quán)限。根據(jù)5個直屬局調(diào)研反響，初步確定直屬局按二級進(jìn)展分級管理分級授權(quán)，即各直屬局下屬分局或海事處添加一級管理員，負(fù)責(zé)本分局或海事處的用戶信息管理及授權(quán)。單點登錄服務(wù)設(shè)計實現(xiàn)原理安全的單點登錄具體實現(xiàn)機(jī)制如下：采用基于數(shù)字簽名的安全票據(jù)技術(shù)，封裝用戶登錄后的認(rèn)證狀態(tài)信息，并以安全方式傳遞到各個相關(guān)系統(tǒng)中，通過對票據(jù)的解密、驗證、解析，從而實現(xiàn)方便、快捷、安全的單點登錄。針對江蘇省海事局辦公系統(tǒng)已與內(nèi)部幾個業(yè)務(wù)系統(tǒng)集成，實現(xiàn)單點登錄，建議本工程建設(shè)統(tǒng)一認(rèn)證管理系統(tǒng)只與江蘇省海事局辦公系統(tǒng)集成，保持現(xiàn)有業(yè)務(wù)系統(tǒng)單點登錄，另外統(tǒng)一認(rèn)證管理系統(tǒng)與部局統(tǒng)一建設(shè)的船舶遠(yuǎn)程電子簽證、船舶動態(tài)

26、2.0系統(tǒng)集成實現(xiàn)單點登錄；江蘇省海事局以后新建設(shè)業(yè)務(wù)系統(tǒng)，可以參照統(tǒng)一認(rèn)證管理系統(tǒng)集成，集成到統(tǒng)一認(rèn)證管理系統(tǒng)中。針對深圳市海事局所有業(yè)務(wù)系統(tǒng)都基于AD域?qū)崿F(xiàn)單點登錄，現(xiàn)有的業(yè)務(wù)系統(tǒng)集成模式不變。在用戶已經(jīng)登錄AD域，直接進(jìn)入統(tǒng)一認(rèn)證管理系統(tǒng)認(rèn)證門戶，訪問部局統(tǒng)一建設(shè)的船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0系統(tǒng)，不需要再登錄；深圳市海事局以后新建設(shè)業(yè)務(wù)系統(tǒng)，可以參照統(tǒng)一認(rèn)證管理系統(tǒng)集成，集成到統(tǒng)一認(rèn)證管理系統(tǒng)中。單點登錄票據(jù)格式如下：通過對單點登錄票據(jù)的加密、簽名等技術(shù)保證票據(jù)的機(jī)密性、完整性以及抗否認(rèn)性，并且在票據(jù)中包含票據(jù)的有效時間段信息，利用時間有效期從一定程度上減少重放、中間人攻擊的風(fēng)險。

27、單點登錄系統(tǒng)維護(hù)一張票據(jù)流水號臨時表，票據(jù)使用一次以后就失效，也可以有效防止重放攻擊的風(fēng)險。通過采用以上的這些安全措施以及安全流程，可以有效地保證單點登錄系統(tǒng)的安全性。工作流程安全單點登錄流程如以以下圖所示：身份信息共享與同步設(shè)計統(tǒng)一認(rèn)證系統(tǒng)建設(shè)統(tǒng)一的權(quán)威機(jī)構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權(quán)數(shù)據(jù)等資源庫并可作為所有應(yīng)用系統(tǒng)的數(shù)據(jù)源。機(jī)構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權(quán)數(shù)據(jù)是海事局核心數(shù)據(jù)，需要絕對的安全和保密。統(tǒng)一認(rèn)證管理系統(tǒng)對數(shù)據(jù)的管理應(yīng)該是安全的和封閉的，任何未授權(quán)應(yīng)用系統(tǒng)均無法從系統(tǒng)管理層面、系統(tǒng)服務(wù)層面和數(shù)據(jù)庫層面獲取這些數(shù)據(jù)，應(yīng)用系統(tǒng)必須通過信息共享服務(wù)和數(shù)據(jù)同步的方式獲取這些數(shù)據(jù)。體系構(gòu)造信息共享

28、服務(wù)和數(shù)據(jù)同步有兩種體系構(gòu)造：一級統(tǒng)一認(rèn)證管理系統(tǒng)和國家海事局應(yīng)用系統(tǒng)的同步如以以下圖所示：一級統(tǒng)一認(rèn)證管理平臺一級統(tǒng)一認(rèn)證管理系統(tǒng)僅需要和國家海事局本地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步。國家海事局統(tǒng)一認(rèn)證管理系統(tǒng)和直屬局/地方局統(tǒng)一認(rèn)證管理系統(tǒng)同步如以以下圖所示：一級統(tǒng)一認(rèn)證管理平臺直屬局/地方省局國家海事局二級統(tǒng)一認(rèn)證管理平臺一級統(tǒng)一認(rèn)證管理系統(tǒng)不僅需要和國家海事局本地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步，還需要和直屬局/地方省局的二級級統(tǒng)一認(rèn)證管理系統(tǒng)作數(shù)據(jù)同步。同步機(jī)制信息共享服務(wù)和數(shù)據(jù)同步機(jī)制如下：與基于關(guān)系型數(shù)據(jù)庫DB的應(yīng)用系統(tǒng)同步采用webservices技術(shù)SOAP協(xié)議實現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同步。數(shù)據(jù)通

29、過同步引擎、事務(wù)機(jī)制和SOAP協(xié)議實現(xiàn)與應(yīng)用系統(tǒng)之間的同步。同步的成功和失敗都進(jìn)展記錄，同步的成功信息以報告形式方便于管理人員查看，同步的失敗信息通過定時器機(jī)制自動完成，直至同步成功。與基于目錄LDAP的應(yīng)用系統(tǒng)同步采用LDAP協(xié)議和JNDI技術(shù)實現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同步。支持的LDAP包括：apacheDS，openLdap，sunONE等，另外也包括域控制器windows AD、Linux NIS、Unix NFS。統(tǒng)一認(rèn)證管理系統(tǒng)和應(yīng)用系統(tǒng)之間以JNDI/LDAP方式建設(shè)通信。數(shù)據(jù)通過同步引擎、事務(wù)機(jī)制和JNDI與LDAP協(xié)議實現(xiàn)與應(yīng)用系統(tǒng)之間的同步。同步的成功和失敗都進(jìn)展記錄，同步的

30、成功信息以報告形式方便于管理人員查看，同步的失敗信息通過定時器機(jī)制自動完成，直至同步成功。與基于域控制器的應(yīng)用同步采用LDAP協(xié)議和JNDI技術(shù)實現(xiàn)與這類應(yīng)用系統(tǒng)數(shù)據(jù)同步。域控制器包括：windows AD、LinuxUnixNIS。對域控制器的同步， 基本與對LDAP的同步類似，因此，與基于域控制器的應(yīng)用同步可以采用基于LDAP協(xié)議來實現(xiàn)同步。但是windows還提供了一套ADSI接口，也能夠?qū)崿F(xiàn)與windows AD的數(shù)據(jù)同步。統(tǒng)一認(rèn)證系統(tǒng)通過JNI實現(xiàn)對windowsAD的數(shù)據(jù)同步。同步策略同步策略有三種，包括：操作及時同步、操作批量同步和事后同步。1、及時同步該策略實現(xiàn)了：對用戶信息、

31、機(jī)構(gòu)信息操作增加并授權(quán)、刪除、修改時，系統(tǒng)自動完成同步。同步失敗時，系統(tǒng)監(jiān)控提示同步失敗，后臺使用定時器定時繼續(xù)進(jìn)展同步。同步定時器還能夠設(shè)置同步的時間和周期。2、批量同步該策略實現(xiàn)了：根據(jù)“角色選擇用戶，完成用戶同步；根據(jù)“機(jī)構(gòu)選擇用戶，完成用戶同步；根據(jù)“應(yīng)用系統(tǒng)選擇對應(yīng)的角色，完成角色的同步。3、事后同步該策略實現(xiàn)了：當(dāng)用戶信息、機(jī)構(gòu)信息操作增加、刪除、修改時或者同步失敗時，用戶可根據(jù)需要進(jìn)展事后再次同步。當(dāng)新系統(tǒng)接入時，單獨同步信息。當(dāng)系統(tǒng)需要更新數(shù)據(jù)時，再次同步用戶信息。后臺管理設(shè)計用戶數(shù)據(jù)的獲取身份信息由各應(yīng)用系統(tǒng)聚集，統(tǒng)一認(rèn)證管理系統(tǒng)提供批量操作導(dǎo)入、導(dǎo)出、遷移工具，如采用用戶數(shù)

32、據(jù)EXCEL 的導(dǎo)入導(dǎo)出，以滿足海事局大量用戶維護(hù)的需求。管理模式系統(tǒng)提供分級管理分級授權(quán)。分級管理分級授權(quán)用戶身份信息和用戶的訪問控制相關(guān)的授權(quán)信息均分級管理。設(shè)有三類管理員角色：系統(tǒng)管理員：進(jìn)展單位管理員管理、機(jī)構(gòu)管理、角色管理、應(yīng)用系統(tǒng)管理等日常管理。安全審計員：進(jìn)展安全審計，日志管理等工作，對系統(tǒng)管理員的工作進(jìn)展監(jiān)視。單位管理員：進(jìn)展本單位的用戶的授權(quán)管理。單位管理員根據(jù)系統(tǒng)管理員定義的本單位的訪問角色，為最終用戶進(jìn)展授權(quán)。海事局統(tǒng)一認(rèn)證管理系統(tǒng)的用戶及系統(tǒng)級授權(quán)管理建議采用：分級管理、分級授權(quán)模式，如以以下圖所示：海事局單位管理員：負(fù)責(zé)海事局本部的用戶信息管理及系統(tǒng)級授權(quán)管理。下級單

33、位管理員：負(fù)責(zé)本單位及下級單位的用戶信息管理及系統(tǒng)級授權(quán)管理。海事局單位管理員及下級單位管理員對各自單位進(jìn)展：機(jī)構(gòu)信息管理、用戶信息管理、授權(quán)管理、證書管理以及安全審計。單位管理員的權(quán)限由一級統(tǒng)一認(rèn)證管理系統(tǒng)管理員統(tǒng)一分配。通過信息同步服務(wù)實現(xiàn)數(shù)據(jù)的同步。賬號安全策略管理統(tǒng)一認(rèn)證管理系統(tǒng)的賬號安全策略管理功能包括：重置多個用戶帳戶的密碼設(shè)置用戶下次登錄時必須更改密碼設(shè)置永不到期的密碼如果用戶的密碼過期，啟用、禁用或刪除他們配置用戶無法更改由管理員設(shè)置的密碼后臺管理功能框架統(tǒng)一認(rèn)證管理系統(tǒng)的后臺用戶管理的功能如下：統(tǒng)一認(rèn)證管理系統(tǒng)的總體功能包括：用戶管理、角色管理、信息系統(tǒng)管理、機(jī)構(gòu)管理、根基數(shù)

34、據(jù)管理和安全審計。安全審計設(shè)計統(tǒng)一認(rèn)證管理系統(tǒng)應(yīng)具有較完善的應(yīng)用層日志記錄功能，可以通過安全管理模塊下的系統(tǒng)日志子模塊查看審計日志信息，審計日志包括：序號、管理員名稱、操作類別、操作日期、操作描述。日志內(nèi)容可以記錄用戶不成功登錄的信息，可以記錄用戶的重要業(yè)務(wù)操作行為，如：對用戶、角色的增加、刪除、修改和授權(quán)關(guān)系的調(diào)整等操作。所有日志按照標(biāo)準(zhǔn)構(gòu)造化數(shù)據(jù)記錄，便于審計。日志中備注信息可填寫一些詳細(xì)信息。日志管理日志可以提供查詢、備份等管理功能。各單位管理員可查詢本機(jī)構(gòu)日志；系統(tǒng)管理員可查詢所有日志；安全審計員可以備份、刪除日志只能以時間段備份及刪除；備份/刪除日志操作時間有記錄，備份/刪除的記錄不

35、刪除；可設(shè)置備份提醒，在管理員登陸時提醒。日志審計檢查某個用戶一段時間內(nèi)的缺勤情況。檢查當(dāng)前訪問網(wǎng)絡(luò)的用戶數(shù)量。識別通過遠(yuǎn)程計算機(jī)訪問的用戶檢查所有用戶的頂峰登錄時間。查看上次訪問重要資源的用戶。發(fā)現(xiàn)試圖登錄不具訪問權(quán)限的計算機(jī)的用戶。 查看任一個用戶登錄的全部歷史。同一個用戶在短時間內(nèi)從不同地方登陸情況，全面了解用戶活動的安全情況。實時預(yù)警功能，提供關(guān)注重要事件的實時告警。支持方案報表，提供自動發(fā)送用戶選擇的相關(guān)報表到管理員郵箱功能。提供自定義報表，要求提供基于用戶、計算機(jī)、組策略、組織單元等內(nèi)容定制各種報表。支持導(dǎo)出PDF、CSV、XLS和HTML等格式。提供自定義活動目錄事件數(shù)據(jù)的保存周

36、期，按設(shè)置周期清理數(shù)據(jù)庫過期事件數(shù)據(jù)功能。提供日志自動歸檔功能：即基于用戶設(shè)定的時間間隔對日志進(jìn)展自動存檔，存于指定目錄。業(yè)務(wù)系統(tǒng)接入設(shè)計業(yè)務(wù)系統(tǒng)接入條件應(yīng)用系統(tǒng)海事業(yè)務(wù)申報客戶端、客戶端要接入統(tǒng)一身份管理系統(tǒng)，進(jìn)展單點登錄，需按照提供的接入標(biāo)準(zhǔn)對登錄模塊進(jìn)展改造，具體技術(shù)實現(xiàn)方式詳見第2.1.2和第2.1.4章節(jié)。業(yè)務(wù)系統(tǒng)接入步驟根據(jù)以上內(nèi)容的介紹，各個業(yè)務(wù)系統(tǒng)接入統(tǒng)一認(rèn)證管理系統(tǒng)的步驟必須按照標(biāo)準(zhǔn)和以下步驟完成：1、首先把業(yè)務(wù)系統(tǒng)中的用戶信息全部導(dǎo)入統(tǒng)一身份認(rèn)證系統(tǒng)中，統(tǒng)一用戶數(shù)據(jù)匯總初始化是實現(xiàn)集成認(rèn)證的前提。2、業(yè)務(wù)系統(tǒng)的原有登錄方式取消，統(tǒng)一采用統(tǒng)一登錄入口，需要各個業(yè)務(wù)系統(tǒng)按照統(tǒng)一

37、認(rèn)證的接口標(biāo)準(zhǔn)要求進(jìn)展相應(yīng)的開發(fā)改造3、各個業(yè)務(wù)系統(tǒng)可以有選擇的把權(quán)限管理數(shù)據(jù)放到統(tǒng)一身份認(rèn)證系統(tǒng)中來，也可以選擇保存原有業(yè)務(wù)系統(tǒng)的權(quán)限管理方式；4、統(tǒng)一認(rèn)證系統(tǒng)啟用后，禁用已經(jīng)接入的業(yè)務(wù)系統(tǒng)用戶數(shù)據(jù)錄入的操作，保證整個系統(tǒng)的數(shù)據(jù)一致性，防止數(shù)據(jù)沖突發(fā)生。數(shù)字證書認(rèn)證系統(tǒng)產(chǎn)品介紹本方案將采用BJCA的信天行數(shù)字證書認(rèn)證系統(tǒng)為海事局提供建設(shè)CA中心。信天行數(shù)字證書認(rèn)證系統(tǒng)依照國家有關(guān)證書認(rèn)證系統(tǒng)的技術(shù)標(biāo)準(zhǔn)設(shè)計，包括?證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)標(biāo)準(zhǔn)?、?數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議標(biāo)準(zhǔn)?、?GBT 20518-2006信息安全技術(shù) 公鑰根基設(shè)施 數(shù)字證書格式?等。系統(tǒng)提供數(shù)字證書發(fā)放和管理功能，

38、包括數(shù)字證書申請、證書發(fā)放、證書更新、證書廢除、密鑰恢復(fù)等。同時還提供如證書目錄發(fā)布服務(wù)， OCSP證書查詢服務(wù)等一系列方便用戶使用證書的服務(wù)。系統(tǒng)提供了完善的日志記錄和詳細(xì)的審計功能，保證了對操作人員的操作行為進(jìn)展審計。信天行數(shù)字證書認(rèn)證系統(tǒng)具有以下技術(shù)特點：支持基于SM2算法的ECC證書的簽發(fā)?？梢越y(tǒng)一管理和發(fā)放各類證書,包括郵件證書、個人身份證書、企業(yè)證書、服務(wù)器證書等。具有高擴(kuò)展性,可以靈活配置認(rèn)證體系。系統(tǒng)支持多級CA，支持穿插證書認(rèn)證,支持多級受理點。可以根據(jù)用戶的需要，對系統(tǒng)進(jìn)展配置和擴(kuò)展。具有高安全性和可靠性。易于部署和使用。系統(tǒng)所有用戶、管理員界面主要是 B/S 模式，策略配

39、置和系統(tǒng)定制以及用戶證書管理等都通過界面進(jìn)展。采用靈活的證書模板技術(shù)和動態(tài)擴(kuò)展機(jī)制，容易滿足多種內(nèi)容格式證書簽發(fā)要求。系統(tǒng)環(huán)境方面，支持主流操作系統(tǒng)、多種主流加密設(shè)備、多種數(shù)據(jù)庫、多種證書存儲介質(zhì)等。信天行數(shù)字證書認(rèn)證系統(tǒng)在設(shè)計時充分考慮了體系構(gòu)造的完整性、全面的證書管理功能和自身安全性以及運行保障等因素。系統(tǒng)通過利用公開密鑰算法、對稱密鑰算法和散列算法等技術(shù)，提供了信息加密、數(shù)字簽名和數(shù)字信封等保護(hù)措施，實現(xiàn)信息系統(tǒng)中數(shù)據(jù)的完整性、機(jī)密性、抗抵賴性，并提供身份認(rèn)證、訪問控制等功能?？梢詾殡娮诱?wù)和電子商務(wù)領(lǐng)域提供信息化應(yīng)用安全根基平臺。系統(tǒng)框架數(shù)字證書認(rèn)證系統(tǒng)主要分成：核心層、管理層和服務(wù)層

40、三層架構(gòu)。核心層包括：根CA系統(tǒng)、運行CA系統(tǒng)和KMC密鑰管理系統(tǒng)三大子系統(tǒng)。其中，運行CA系統(tǒng)又分成CA簽發(fā)系統(tǒng)、CA管理系統(tǒng)、CA數(shù)據(jù)庫和主LDAP目錄服務(wù)系統(tǒng)等組成局部。KMC密鑰管理系統(tǒng)包括密鑰管理系統(tǒng)和KM數(shù)據(jù)庫。管理層包括：RA注冊系統(tǒng)。RA注冊系統(tǒng)由注冊管理系統(tǒng)和RA數(shù)據(jù)庫組成。注冊管理系統(tǒng)需要與CA管理系統(tǒng)進(jìn)展安全通信。服務(wù)層包括：證書服務(wù)系統(tǒng)和證書/證書狀態(tài)查詢系統(tǒng)。證書服務(wù)系統(tǒng)又細(xì)分為受理點服務(wù)系統(tǒng)、用戶服務(wù)系統(tǒng)。受理點服務(wù)系統(tǒng)是海事局的證書受理點的證書管理員操作的證書服務(wù)系統(tǒng)；用戶服務(wù)系統(tǒng)是證書用戶通過海事局內(nèi)網(wǎng)進(jìn)展自助服務(wù)的系統(tǒng)。證書/證書狀態(tài)查詢系統(tǒng)包括從LDAP目錄

41、服務(wù)系統(tǒng)和OCSP服務(wù)系統(tǒng)。終端包括受理點管理終端和用戶終端，支持PC機(jī)+USBKey。數(shù)字證書認(rèn)證系統(tǒng)軟件構(gòu)架設(shè)計如以以下圖所示：軟件功能清單身份認(rèn)證系統(tǒng)采用B/S架構(gòu)，所有管理工作通過瀏覽器完成。系統(tǒng)主要功能如下表所示：系統(tǒng)模塊系統(tǒng)主要功能說明CA簽發(fā)系統(tǒng)CSS完成證書生命周期管理服務(wù)，包括：簽發(fā)用戶證書、更新證書、重簽發(fā)證書、凍結(jié)、解凍、撤消證書簽發(fā)CRL、發(fā)布證書和CRL等等。與KM、RA、等模塊進(jìn)展安全通信，進(jìn)展證書業(yè)務(wù)調(diào)度，實現(xiàn)整個身份認(rèn)證系統(tǒng)業(yè)務(wù)、權(quán)限以及策略管理、查詢統(tǒng)計、安全審計；實現(xiàn)用戶證書生命周期管理。密鑰管理系統(tǒng)KMC用戶加密密鑰生產(chǎn)、密鑰分發(fā)、密鑰歸檔、密鑰更新、密鑰

42、撤銷、密鑰備份與恢復(fù)、安全審計等密鑰生命周期管理服務(wù)。證書注冊系統(tǒng)RA用戶信息注冊管理、RA業(yè)務(wù)策略管理、配置管理、安全審計等等。證書在線查詢系統(tǒng)OCSP提供用戶證書狀態(tài)在線查詢服務(wù)。技術(shù)標(biāo)準(zhǔn)數(shù)字證書認(rèn)證系統(tǒng)遵循的標(biāo)準(zhǔn)?證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)標(biāo)準(zhǔn)?數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議標(biāo)準(zhǔn)?數(shù)字證書認(rèn)證系統(tǒng)檢測標(biāo)準(zhǔn)?證書認(rèn)證密鑰管理系統(tǒng)檢測標(biāo)準(zhǔn)?商用密碼管理條例?中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例?數(shù)字證書格式遵循的標(biāo)準(zhǔn)GB/T 20518-2006 信息安全技術(shù) 公鑰根基設(shè)施 數(shù)字證書格式ITU-T X.509 V3數(shù)字證書ITU-T X.509 V2CRL數(shù)字證書應(yīng)用接口遵循的標(biāo)準(zhǔn)公鑰密

43、碼根基設(shè)施應(yīng)用技術(shù)體系證書應(yīng)用綜合服務(wù)接口標(biāo)準(zhǔn)公鑰密碼根基設(shè)施應(yīng)用技術(shù)體系框架標(biāo)準(zhǔn)公鑰密碼根基設(shè)施應(yīng)用技術(shù)體系 密碼設(shè)備應(yīng)用接口標(biāo)準(zhǔn)公鑰密碼根基設(shè)施應(yīng)用技術(shù)體系 通用密碼服務(wù)接口標(biāo)準(zhǔn)智能IC卡及智能密碼鑰匙密碼應(yīng)用接口標(biāo)準(zhǔn)CSP標(biāo)準(zhǔn)PKCS#11標(biāo)準(zhǔn)上述標(biāo)準(zhǔn)為國家密碼局關(guān)于數(shù)字證書應(yīng)用體系的最新技術(shù)標(biāo)準(zhǔn)。BJCA作為國家密碼根基設(shè)施成員單位，是最先遵循國家最新技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)的PKI廠商。支持的密碼算法公鑰密碼算法：RSA、SM2。其中RSA密鑰長度1024/2048/4096比特可選。SM2支持256比特；哈希函數(shù)算法：支持SHA1、SHA256、SM3；對稱密碼算法：SSF33、SM1/SM4

44、等。LDAP目錄協(xié)議支持輕量型目錄協(xié)議第三版 (LDAPv3),具體如下：RFC 2251：輕型目錄服務(wù)訪問協(xié)議RFC 2252：屬性語法定義RFC 2253：分辨名的UTF-8字符串表示RFC 2254：查詢過濾器的字符串表示RFC 2255：LDAP URL格式RFC 2256：X.500用戶Schema匯總RFC 2829：LDAP認(rèn)證方法RFC 2830：傳輸層安全TLS擴(kuò)展OCSP協(xié)議：RFC2560數(shù)字證書運行服務(wù)方案運行服務(wù)體系海事局CA中心的建設(shè)目標(biāo)是面向全國范圍內(nèi)10萬規(guī)模的用戶群提供CA認(rèn)證服務(wù)，不僅僅需要建設(shè)一個CA系統(tǒng)，而且需要建設(shè)一個完善的服務(wù)體系。海事局CA運行服務(wù)

45、體系將以數(shù)字證書服務(wù)平臺為技術(shù)手段，為局領(lǐng)導(dǎo)、管理人員和用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務(wù)。輔以數(shù)字證書服務(wù)方案以及CA根基設(shè)施的運維方案，結(jié)合電子認(rèn)證服務(wù)體系培訓(xùn)，保障CA根基設(shè)施的正常運轉(zhuǎn)。主要建設(shè)內(nèi)容包括：建設(shè)海事局?jǐn)?shù)字證書服務(wù)平臺，為全國用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務(wù)；設(shè)計數(shù)字證書服務(wù)方案，包括服務(wù)交付和服務(wù)支持等方面；設(shè)計CA根基設(shè)施的運維方案，保障CA根基設(shè)施的正常運轉(zhuǎn)；開展電子認(rèn)證服務(wù)體系的培訓(xùn)，確保電子認(rèn)證服務(wù)體系的應(yīng)用效果。證書服務(wù)方案全部局證書服務(wù)人員按三級體系，即部局、直屬局、分局及海事處。直屬局的證書服務(wù)人員只負(fù)責(zé)機(jī)關(guān)人員的證書全生命周期

46、管理，分局或海事處工作人員的證書全生命周期管理由分局或海事處的證書服務(wù)人員負(fù)責(zé)。證書服務(wù)人員的證書及介質(zhì)由部局統(tǒng)一采購并配發(fā)。證書服務(wù)方案概述證書服務(wù)方案包括服務(wù)交付和服務(wù)支持兩局部，其中：服務(wù)交付方案將針對面對證書用戶提供的證書生命周期服務(wù)和面對系統(tǒng)管理員提供的證書業(yè)務(wù)查詢統(tǒng)計服務(wù)作出詳細(xì)闡述；服務(wù)支持方案將明確闡述面向證書用戶和受理點管理員的服務(wù)支持方式和支持內(nèi)容。服務(wù)交付方案服務(wù)交付內(nèi)容CA服務(wù)交付是指將證書及相關(guān)服務(wù)交付給用戶。作為應(yīng)用安全保障體系根基設(shè)施，建設(shè)一個安全、方便、快捷的CA服務(wù)交付體系，是十分重要的。CA服務(wù)交付的內(nèi)容包括三個方面：面對最終用戶提供的證書生命周期服務(wù)面對業(yè)

47、務(wù)管理者提供的證書業(yè)務(wù)查詢統(tǒng)計服務(wù)面向應(yīng)用提供者提供的證書應(yīng)用集成等服務(wù)。圖表 SEQ 圖表 * ARABIC2 CA認(rèn)證服務(wù)交付內(nèi)容其中，最重要的是面向證書最終用戶的證書生命周期的服務(wù)交付，包括證書申請發(fā)放、證書撤消、證書更新、證書重簽發(fā)、密鑰恢復(fù)、證書介質(zhì)解鎖等等。圖表 SEQ 圖表 * ARABIC3 證書生命周期服務(wù)服務(wù)交付模式證書服務(wù)的交付模式，主要包括受理點交付、在線服務(wù)交付兩種主要模式，以及結(jié)合受理點和在線的混合交付模式。圖表 SEQ 圖表 * ARABIC4 證書服務(wù)的交付模式受理點交付模式海事局將在全國各地區(qū)分局分批建設(shè)數(shù)字證書受理點，已建設(shè)證書受理點的分支機(jī)構(gòu)，證書服務(wù)可采

48、取受理點交付模式。對于應(yīng)用系統(tǒng)中已有的用戶支持批量制證、發(fā)證，對于新注冊用戶，由用戶自己提交用戶信息到所在單位信息中心管理人員，通過所在單位信息中心管理員審核信息內(nèi)容的正確性，核實正確后由所在單位管理人員負(fù)責(zé)制證、交付。在線交付模式用戶除可以通過受理點獲取證書全生命周期的服務(wù)外，還可以通過登錄用戶服務(wù)系統(tǒng)臺獲取在線的證書服務(wù)。在證書更新、撤消、重簽發(fā)、介質(zhì)解鎖階段，通過Web自助獲取服務(wù)。服務(wù)交付流程受理點集中證書申請流程海事局內(nèi)部證書采用證書受理點集中證書申請模式。集中申請是指由單位證書管理員集中收集、整理和審查用戶證書申請的真實可靠后，通過文件方式將證書申請信息批量傳入CA系統(tǒng)，由CA中心

49、集中制作數(shù)字證書后發(fā)放給證書管理員，再由證書管理員集中將數(shù)字證書分發(fā)到用戶手中。圖表 5 受理點集中證書申請流程具體流程如下：單位管理員收集用戶信息，并鑒證，然后將批量證書申請信息文件上傳海事局CA系統(tǒng)并使用制證員證書對申請進(jìn)展數(shù)字簽名；作為可選，由上級管理部門證書管理員審批證書申請；海事局CA中心集中組織生產(chǎn)數(shù)字證書并寫入USB KEY內(nèi)，做好用戶標(biāo)識，然后將USB KEY下發(fā)到受理點管理員；單位管理員將USB KEY分發(fā)給用戶使用。證書更新流程為了用戶更新的方便，建議全部采取在線更新方式。用戶在證書即將到期時，應(yīng)用系統(tǒng)將提前30天提醒用戶進(jìn)展證書更新。用戶使用自己當(dāng)前手中的證書登錄用戶服務(wù)

50、系統(tǒng)，進(jìn)展更新申請。在獲得CA中心后臺管理人員的授權(quán)后，用戶可立即通過網(wǎng)絡(luò)下載新證書。圖表 6 證書更新流程證書更新的具體流程如下： 受理點管理員查詢系統(tǒng)即將到期用戶名單，提交證書更新申請也可是系統(tǒng)自動提交證書更新名單；管理員對更新申請信息進(jìn)展授權(quán)；可選證書用戶使用舊證書登錄證書用戶服務(wù)系統(tǒng)；系統(tǒng)驗證舊證書的有效性后，直接向用戶的usbkey內(nèi)下載新證書，完成更新業(yè)務(wù)。證書撤銷流程當(dāng)證書喪失或人員崗位變動時，應(yīng)撤消用戶的證書使其不可再用。證書撤消的發(fā)起人可以是證書管理員，也可以是證書持有者本身。證書管理員可以使用自己的管理員證書，直接向CA提出撤消其管轄范圍內(nèi)的用戶證書；證書持有者可以通過提交

51、鑒證材料，證明其證書持有人身份后，提交證書撤消申請，由系統(tǒng)將證書序列號簽發(fā)到黑名單中。用戶自助撤消：用戶登錄在線服務(wù)平臺，選擇證書撤消，通過身份鑒證確認(rèn)后即可撤消登錄的證書；管理員撤消：用戶到管理員處申請撤消證書，管理員審核用戶身份信息后登錄證書服務(wù)管理系統(tǒng)，根據(jù)用戶信息查詢對應(yīng)證書，進(jìn)展撤消；USBKey密碼解鎖證書介質(zhì)USBKey存放證書的私鑰，用口令進(jìn)展保護(hù)稱為PIN口令。為了保護(hù)UsbKey擁有者的安全，防止被盜用或攻擊的風(fēng)險，USBKey限制PIN口令出錯時的重試次數(shù)，當(dāng)連續(xù)使用錯誤口令重試10次后，Usbkey將自動鎖死。這時，用戶如果仍想繼續(xù)使用，需要CA認(rèn)證中心進(jìn)展USBKey

52、口令解鎖。USBKey解鎖具體流程如下： USBKey鎖死的用戶在數(shù)字證書服務(wù)平臺提交解鎖申請；受理點管理員確認(rèn)用戶的證書解鎖申請鑒證；總部管理員給予USBKey解鎖申請授權(quán)；可選證書用戶使用USBKey登錄解鎖網(wǎng)站，設(shè)置新密碼，完成USBKey解鎖。密鑰恢復(fù)如果證書應(yīng)用過程中存在使用證書加密的操作，一旦出現(xiàn)證書介質(zhì)損壞或喪失的情況，加密后的信息便無法進(jìn)展解密。這時，用戶可以提出密鑰恢復(fù)的申請，由工作人員在證書服務(wù)系統(tǒng)中進(jìn)展密鑰恢復(fù)的操作。密鑰恢復(fù)具體流程如下：用戶加密證書喪失或損壞后，可申請密鑰恢復(fù)填寫申請表；受理點管理員鑒證用戶身份；受理點管理員提交證書密鑰恢復(fù)；總部管理員審批。受理點管理員為用戶分配新的usbkey,選擇密鑰恢復(fù)，為用戶恢復(fù)加密密鑰和加密證書；用戶領(lǐng)取恢復(fù)后的加密證書。證書業(yè)務(wù)查詢統(tǒng)計服務(wù)服務(wù)交付將為業(yè)務(wù)管理者提供詳盡的證書查詢統(tǒng)計服務(wù)，其中查詢可依據(jù)發(fā)放、使用和到期進(jìn)展分別查詢，證書統(tǒng)計可依據(jù)使用情況、辦理情況進(jìn)展統(tǒng)計，統(tǒng)計還依據(jù)月統(tǒng)計、使用單位和業(yè)務(wù)應(yīng)用情況分別統(tǒng)計，統(tǒng)計信息可導(dǎo)出EXCEL表格輸出。圖表 7 證書查詢統(tǒng)計功能