DB5305T 19.49-2019保山市信息惠民工程綜合標(biāo)準(zhǔn) 第49部分：權(quán)限管理與登錄技術(shù)標(biāo)準(zhǔn)

ICS35.240L67保山市DB5305地方標(biāo)準(zhǔn)DB5/T19.49—2019替代DG5305/T19.49—2017保山市市場(chǎng)監(jiān)督管理局發(fā)布DB5305/T19.49—2019前言本標(biāo)準(zhǔn)按照GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標(biāo)準(zhǔn)中附錄A為資料性附錄、附錄B為資料性附錄。本標(biāo)準(zhǔn)由保山市大數(shù)據(jù)管理局提出。本標(biāo)準(zhǔn)由保山市工業(yè)和信息化委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：保山市大數(shù)據(jù)管理局。本標(biāo)準(zhǔn)主要起草人：劉志胡、王明超、李祖燕、丁威、銀孟璐。本標(biāo)準(zhǔn)替代DG5305/T19.49—2017。1DB5305/T19.49—2019保山市信息惠民工程綜合標(biāo)準(zhǔn)限管理與登錄技術(shù)標(biāo)準(zhǔn)1范圍本標(biāo)準(zhǔn)規(guī)定了保山市信息惠民工程權(quán)限管理與登錄技術(shù)規(guī)范的術(shù)語和定義、縮略語、訪問控制體系框架、身份認(rèn)證與登錄機(jī)制、權(quán)限管理基礎(chǔ)設(shè)施、訪問控制，本標(biāo)準(zhǔn)適用于保山市信息惠民工程權(quán)限管理與登錄技術(shù)規(guī)范建設(shè)。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。DB5305/T19.3-2019保山市信息惠民工程綜合標(biāo)準(zhǔn)術(shù)語DB5305/T19.50-2019保山市信息惠民工程綜合標(biāo)準(zhǔn)數(shù)字證書技術(shù)應(yīng)用標(biāo)準(zhǔn)3術(shù)語和定義DB5305/T19.3-2019確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1特定權(quán)限管理基礎(chǔ)設(shè)施特定權(quán)限管理基礎(chǔ)設(shè)施指支持授權(quán)服務(wù)的綜合基礎(chǔ)設(shè)施，與公鑰基礎(chǔ)設(shè)施有著密切的聯(lián)系。3.2屬性證書屬性證書指屬性授權(quán)機(jī)構(gòu)進(jìn)行數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)，把持有者的身份信息與一些屬性值綁定。3.3屬性授權(quán)機(jī)構(gòu)屬性授權(quán)機(jī)構(gòu)指通過發(fā)布屬性證書來分配權(quán)限的認(rèn)證機(jī)構(gòu)，也稱屬性管理機(jī)構(gòu)。3.4證書源授權(quán)機(jī)構(gòu)證書源授權(quán)機(jī)構(gòu)指為資源的特定權(quán)限驗(yàn)證者所信任的，位于頂層的分配特定權(quán)限的屬性授權(quán)機(jī)構(gòu)。3.5屬性證書撤消列表屬性證書撤消列表指標(biāo)識(shí)由發(fā)布機(jī)構(gòu)已發(fā)布的、不再有效的屬性證書的索引表。3.6屬性注冊(cè)機(jī)構(gòu)屬性注冊(cè)機(jī)構(gòu)指由AA委派和授權(quán)，采用公鑰證書技術(shù)標(biāo)識(shí)和鑒別屬性證書申請(qǐng)者，為申請(qǐng)者向AA提供屬性證書簽發(fā)申請(qǐng)，處理屬性證書的業(yè)務(wù)請(qǐng)求，為AA系統(tǒng)提供注冊(cè)服務(wù)管理的機(jī)構(gòu)。3.7根根認(rèn)證中心(根CA)是一種特殊的CA，位于證書認(rèn)證層次結(jié)構(gòu)的最高層，是最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)。根認(rèn)證中心必須對(duì)它自己的證書簽名。2DB5305/T19.49—20193.8持有者持有者指由源授權(quán)機(jī)構(gòu)直接授權(quán)的或由其他屬性授權(quán)機(jī)構(gòu)間接授權(quán)的實(shí)體。3.9代理點(diǎn)點(diǎn)是受ARA委派，直接面向?qū)傩宰C書注冊(cè)者的處理機(jī)構(gòu)，僅提供屬性信息與ARA間的注冊(cè)通道、手段和方法，以及部分提供相應(yīng)的屬性證書體最終下載處理機(jī)制。3.10權(quán)限管理中心權(quán)限管理中心指提供屬性證書申請(qǐng)和管理、權(quán)限分配和管理、屬性證書發(fā)布和管理的認(rèn)證機(jī)構(gòu)。3.11權(quán)限管理基礎(chǔ)設(shè)施權(quán)限管理基礎(chǔ)設(shè)施指支持授權(quán)服務(wù)的綜合基礎(chǔ)設(shè)施，與公鑰基礎(chǔ)設(shè)施有著密切的聯(lián)系。3.12權(quán)限策略權(quán)限策略是一種策略，它描述了權(quán)限檢驗(yàn)者提供敏感服務(wù)給具有資格的權(quán)限聲明者，權(quán)限策略與服務(wù)相連的屬性相關(guān)，也和與權(quán)限聲明者相連的屬性相關(guān)。3.13安全策略安全策略指由管理使用和提供安全服務(wù)和設(shè)施的安全機(jī)構(gòu)所制定的一組規(guī)則。3.14源機(jī)構(gòu)源機(jī)構(gòu)指為資源的權(quán)限驗(yàn)證者所信任的、位于頂層的分配權(quán)限的屬性授權(quán)機(jī)構(gòu)。3.15訪問控制訪問控制指為信息系統(tǒng)所屬資源在遭受未經(jīng)授權(quán)或以未授權(quán)的方式進(jìn)行的操作威脅時(shí)提供適當(dāng)?shù)目刂埔约胺雷o(hù)措施，以保護(hù)信息的機(jī)密和完整性。3.16訪問控制策略訪問控制策略指定義可發(fā)生訪問控制條件的規(guī)則集。3.17訪問控制信息訪問控制信息指用于訪問控的任何信息，其中包括上下文信息。3.18訪問控制證書訪問控制證書指包含ACI的安全證書。3.19訪問控制判決信息訪問控制判決信息指在作出一個(gè)特定訪問控制判決時(shí)可供ADF使用的部分或全部ACI。3.20訪問控制判決功能訪問控制判決功能是一種特定功能，它通過對(duì)訪問請(qǐng)求、ADI(發(fā)起者的、目標(biāo)的、訪問請(qǐng)求的或以前決策保留下來的ADI)以及該訪問請(qǐng)求的上下文，使用訪問控制策略規(guī)則而做出訪問控制判決。3.21訪問控制實(shí)施功能訪問控制實(shí)施功能是一種特定功能，它是每一訪問請(qǐng)求中發(fā)起者和目標(biāo)之間訪問路徑的一部分，并實(shí)施由ADF做出的決策。3DB5305/T19.49—20193.22角色角色指與用戶的訪問控制權(quán)限有關(guān)的安全屬性。一個(gè)角色可能和一種或幾種服務(wù)有關(guān)，一個(gè)角色可能對(duì)應(yīng)著一個(gè)或多個(gè)用戶，一個(gè)用戶可能承擔(dān)者一種或多種角色。3.23角色分配證書角色分配證書是一種證書，它包含角色屬性，為證書對(duì)象/持有者分配一個(gè)或多個(gè)角色。3.24角色規(guī)范證書角色規(guī)范證書是一種屬性證書，為角色分配特定權(quán)限的證書。4縮略語下列縮略語適用于本標(biāo)準(zhǔn)?！狝A：AttributeAuthority，屬性授權(quán)機(jī)構(gòu)——AC：AttributeCertificate，屬性證書——ACL：AccessControlList，訪問控制列表——ACI：AccessControlInformation，訪問控制信息——ACRL：AttributeCertificateRevocationList，屬性證書撤消列表——ADF：AccesscontrolDecisionFunction，訪問控制判決功能——ADI：AccesscontrolDecisionInformation，訪問控制判決信息——AEF：AccesscontrolEnforcementFunction，訪問控制實(shí)施功能——ALDAP：AttributeCertificatelightweightdirectoryaccessprotocol，屬性證書輕量目錄訪問協(xié)議——ARA：AttributeRegistrationAuthority，屬性注冊(cè)機(jī)構(gòu)——ASN：AbstractSyntaxNotation，抽象語法表示法——BER：BasicEncodingRules，基本編碼規(guī)則——C：Country，國(guó)家——CA：CertificationAuthority，證書認(rèn)證機(jī)構(gòu)——CN：CommonName，通用名——CRL：CertificateRevocationList，證書吊銷列表——DN：DistinguishedName，甄別名——L：Location，本地——LDAP：LightweightDirectoryAccessProtocol，輕量級(jí)目錄訪問協(xié)議——O：Organization，機(jī)構(gòu)——PKI：PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施——PA：PointofAgent，代理點(diǎn)——PKC：PublicKeyCertificate，公鑰證書——PMC：PrivilegeManagementCenter，權(quán)限管理中心——PMI：PrivilegeManagementInfrastructure，權(quán)限管理基礎(chǔ)設(shè)施——RA：RegistrationAuthority，注冊(cè)中心——RA：roleassignmentcertificate，角色分配證書——RSC：rolespecificationcertificateRole，角色規(guī)范證書——SOA：SourceofAuthority，源機(jī)構(gòu)——SDA：SecurityDomainAuthority，安全域機(jī)構(gòu)——SSO：SingleSign-On，單點(diǎn)登錄5訪問控制體系框架4權(quán)限管理PMICADB5305/T19.49—2019權(quán)限管理PMICA5.1訪問控制整體框架保山市信息惠民工程訪問控制的整體框架如圖1所示。在保山市信息惠民工程各應(yīng)用系統(tǒng)中，訪問控制的基礎(chǔ)是登錄機(jī)制和授權(quán)管理。其中，登錄機(jī)制在有些場(chǎng)合下不是必須的。訪問控制整體框架以PMI作為網(wǎng)絡(luò)信任體系基礎(chǔ)設(shè)施，采用基于角色的訪問控制模型，向用戶或應(yīng)用程序提供登錄服務(wù)和權(quán)限管理服務(wù)，提供用戶身份到應(yīng)用授權(quán)的映射技術(shù)，提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)訪問控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。保山市信息惠民工程的訪問控制由應(yīng)用支撐平臺(tái)的權(quán)限管理系統(tǒng)向用戶或應(yīng)用程序提供統(tǒng)一的登錄服務(wù)和權(quán)限管理服務(wù)。圖1訪問控制整體框架訪問控制訪問控制登錄機(jī)登錄機(jī)制身身份認(rèn)證用用戶身份信息管理5.2身份認(rèn)證與登錄機(jī)制應(yīng)根據(jù)各應(yīng)用系統(tǒng)的安全性格式確定登錄機(jī)制是否采用身份認(rèn)證及采用哪種身份認(rèn)證方法。在保山市電子政務(wù)網(wǎng)內(nèi)的應(yīng)用系統(tǒng)應(yīng)支持在由信息惠民工程應(yīng)用支撐平臺(tái)提供統(tǒng)一認(rèn)證的單點(diǎn)登錄，并采用統(tǒng)一的身份認(rèn)證方案。確認(rèn)身份的過程稱為身份認(rèn)證。包括但不限于五種認(rèn)證用戶身份的方法：——用戶知道的，如口令、個(gè)人識(shí)別號(hào)(PIN)或密鑰；——用戶擁有的，如USB-KEY；——用戶本身的生物特征，如語音特征、筆跡特征、視網(wǎng)膜或指紋；——接受一個(gè)經(jīng)認(rèn)證的可信第三方已經(jīng)確定用戶身份的結(jié)果；——上下文，如根據(jù)申請(qǐng)的源地址。5.3權(quán)限管理權(quán)限管理體系框架如圖2所示(ADF是框架的核心，由用戶屬性證書結(jié)合策略規(guī)則庫、環(huán)境信息及登錄信息生成訪問控制信息，并執(zhí)行訪問控制決策。)。5資源訪問請(qǐng)求執(zhí)行訪問請(qǐng)求環(huán)境信息簽發(fā)屬性證書定制策略目標(biāo)資源安全管理委托AA進(jìn)行權(quán)限管理屬性權(quán)威AA權(quán)限委托機(jī)構(gòu)資源訪問請(qǐng)求執(zhí)行訪問請(qǐng)求環(huán)境信息簽發(fā)屬性證書定制策略目標(biāo)資源安全管理委托AA進(jìn)行權(quán)限管理屬性權(quán)威AA權(quán)限委托機(jī)構(gòu)SOA6身份認(rèn)證與登錄機(jī)制6.1身份認(rèn)證根據(jù)信息惠民工程應(yīng)用系統(tǒng)的安全性格式確定登錄機(jī)制是否采用身份認(rèn)證。對(duì)于公眾訪問的互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)，不強(qiáng)制格式采用身份認(rèn)證登錄。在電子政務(wù)網(wǎng)內(nèi)的應(yīng)用系統(tǒng)應(yīng)直接或通過單點(diǎn)登錄支持保山市政務(wù)數(shù)字證書的認(rèn)證。詳見DB5305/T19.50-2019。使用保山市政務(wù)數(shù)字證書進(jìn)行身份認(rèn)證時(shí)，系統(tǒng)應(yīng)對(duì)數(shù)字證書載體進(jìn)行口令驗(yàn)證。6.2登錄機(jī)制訪問控制判決單元ADF圖2權(quán)限管理體系框架訪問控制執(zhí)策策略規(guī)劃庫屬性證書庫6.2.1登錄信息集成到信息惠民統(tǒng)一門戶的應(yīng)用系統(tǒng)應(yīng)支持單點(diǎn)登錄(SingleSign-On，SSO)。單點(diǎn)登錄由綜合服務(wù)云平臺(tái)的單點(diǎn)登錄認(rèn)證服務(wù)器提供服務(wù)。該服務(wù)器部署在綜合服務(wù)云平臺(tái)。單點(diǎn)登錄使用用戶令牌 (UserToken)和服務(wù)令牌(ApplicationToken)為臨時(shí)的身份憑證。其中，UserToken由SSO認(rèn)證服務(wù)器生成并頒發(fā)給用戶，作為SSO認(rèn)證服務(wù)器賦予用戶的臨時(shí)身份憑證，包括但不限于用戶的如下登錄信息：——ApplicationId，應(yīng)用系統(tǒng)編號(hào)；——UserId，用戶ID；——ProfileUserCode，用戶在應(yīng)用系統(tǒng)中的代碼；——ProfilePassword，用戶在應(yīng)用系統(tǒng)中的口令。6.2.2接入憑證6DB5305/T19.49—2019ApplicationToken由接入應(yīng)用系統(tǒng)根據(jù)SSO認(rèn)證服務(wù)器提供的信息生成并頒發(fā)給用戶，作為接入應(yīng)用系統(tǒng)賦予用戶的臨時(shí)身份憑證，包括但不限于：——用戶的上述登錄信息；——用戶在該應(yīng)用系統(tǒng)上的權(quán)限信息；——密碼策略，字符串。6.3登錄接口6.3.1請(qǐng)求認(rèn)證接口應(yīng)用系統(tǒng)請(qǐng)求SSO認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，應(yīng)提供的參數(shù)為ApplicationRequest，內(nèi)容定義如下：URLEncoding(CryptPolicy+“$”+ApplicationId+“$”+Base64(Encrypt(ReturnUrl+“$”+TimeStamp+“$”+Base64(Hash(ReturnUrl+“$”+TimeStamp)))))。其中，Hash算法和加密家密碼管理委員會(huì)認(rèn)可的算法，CryptPolicy為7個(gè)字節(jié)的字符串，依次表示為B7B6B5B4B3B2B1。其中，B7固定為符號(hào)”!”，其他6個(gè)字節(jié)為阿拉拍數(shù)字，B6B5表示哈希算法，B4B3表示加密算法，B2B1yHashSHADES密鑰為SSO認(rèn)證服務(wù)器頒發(fā)給應(yīng)用系統(tǒng)的密鑰。參數(shù)說明如表5-1請(qǐng)求認(rèn)證接口參數(shù)表所示。表1請(qǐng)求認(rèn)證接口參數(shù)表名稱說明數(shù)據(jù)類型長(zhǎng)度(字節(jié))CryptPolicy密碼策略String7ApplicationId應(yīng)用系統(tǒng)編碼String≤40TimeStampStringReturnUrlSSO認(rèn)證服務(wù)器返回認(rèn)證結(jié)果時(shí)需要調(diào)用應(yīng)統(tǒng)的URLString6.3.2返回認(rèn)證結(jié)果接口SSO認(rèn)證服務(wù)器返回應(yīng)用系統(tǒng)認(rèn)證結(jié)果參數(shù)為ApplicationResponse，內(nèi)容定義如下：d+“$”+UserType+“$”+UserName+“$”+OrgCode+“$”+TimeStamp+“$”+ExpireTime+“$”e+“$”+UserProfile)))))參數(shù)說明如表2認(rèn)證結(jié)果接口參數(shù)表所示。表2認(rèn)證結(jié)果接口參數(shù)表名稱說明數(shù)據(jù)類型長(zhǎng)度(字節(jié))CryptPolicy密碼策略，同上表String7ApplicationId應(yīng)用系統(tǒng)統(tǒng)一編碼String0TimeStamp統(tǒng)一認(rèn)證平臺(tái)生成當(dāng)時(shí)的時(shí)間戳，從2000年String8UserId用戶的唯一標(biāo)識(shí)，即活動(dòng)目錄中登錄帳號(hào)，統(tǒng)一認(rèn)證平臺(tái)中的用戶統(tǒng)一登錄帳號(hào)String07-1：用戶不存在-2：用戶狀態(tài)不正常-1001：用戶/密碼錯(cuò)誤-1002：用戶取消認(rèn)證-1003：用戶無權(quán)使用此系統(tǒng)-10001：包數(shù)據(jù)格式不正確-10002：數(shù)據(jù)校驗(yàn)不正確Result-1：用戶不存在-2：用戶狀態(tài)不正常-1001：用戶/密碼錯(cuò)誤-1002：用戶取消認(rèn)證-1003：用戶無權(quán)使用此系統(tǒng)-10001：包數(shù)據(jù)格式不正確-10002：數(shù)據(jù)校驗(yàn)不正確ResultPrivilegeCer屬性證書String≤720CtPli密碼策略同上表Stirypocyrng7表2認(rèn)證結(jié)果接口參數(shù)表(續(xù))名稱說明數(shù)據(jù)類型長(zhǎng)度(字節(jié))UserType用戶類型(0：注冊(cè)用戶，1：公務(wù)員，2：市領(lǐng)導(dǎo)，3：有更詳細(xì)的權(quán)限信息，見屬性證書)UserName用戶的真實(shí)姓名String0OrgCode組織單位統(tǒng)一編碼String0ExpireTime秒數(shù)。String8UserProfile用戶在該應(yīng)用系統(tǒng)的的映射帳號(hào)信息(帳號(hào)，密碼)，數(shù)據(jù)形式為：帳號(hào)；密碼String≤100結(jié)果：0：用戶認(rèn)證通過并有權(quán)使用此系統(tǒng)6.3.3注銷接口應(yīng)用系統(tǒng)請(qǐng)求SSO認(rèn)證服務(wù)器注銷應(yīng)提供的參數(shù)為ApplicationRequest，其內(nèi)容如下所示：ApplicationRequestValue=URLEncoding(ApplicationId+“$”+Base64(Encrypt(ReturnUrl+“$”+TimeStamp+“$”+Base64(Hash(ReturnUrl+“$”+TimeStamp))))參數(shù)說明如表3注銷接口參數(shù)表所示。名稱說明數(shù)據(jù)類型長(zhǎng)度(字節(jié))CryptPolicy密碼策略，同上表String7Application應(yīng)用系統(tǒng)統(tǒng)一編碼String0TimeStamp。String8ReturnUrl統(tǒng)一認(rèn)證平臺(tái)返回注銷結(jié)果時(shí)需要調(diào)用的應(yīng)統(tǒng)的URLString≤1006.3.4返回注銷結(jié)果接口8DB5305/T19.49—2019SSO認(rèn)證服務(wù)器返回應(yīng)用系統(tǒng)注銷結(jié)果參數(shù)為ApplicationResponseValue，其內(nèi)容如下：ApplicationResponseValue=URLEncoding(ApplicationID+“$”+Base64(Encrypt(Result+“$”+TimeStamp+“$”+Base64(Hash(Result+“$”+TimeStamp)))))參數(shù)說明如表4銷結(jié)果接口參數(shù)表所示。表4注銷結(jié)果接口參數(shù)表名稱說明數(shù)據(jù)類型長(zhǎng)度(字節(jié))CryptPolicy密碼策略，同上表String7Application應(yīng)用系統(tǒng)統(tǒng)一編碼String≤40TimeStamp。StringResult結(jié)果：-1003：用戶未經(jīng)過認(rèn)證-10001：包數(shù)據(jù)格式不正確-10002：數(shù)據(jù)校驗(yàn)不正確6.3.5編碼格式在實(shí)現(xiàn)以上功能時(shí)，UserId、UserName、UserProfile、OrgCode、ApplicationId、映射帳號(hào)信息7權(quán)限管理基礎(chǔ)設(shè)施7.1權(quán)限管理基礎(chǔ)設(shè)施的描述權(quán)限管理基礎(chǔ)設(shè)施PMI以資源管理為核心，對(duì)資源的訪問控制權(quán)交由權(quán)限管理機(jī)構(gòu)統(tǒng)一處理，即由資源的所有者來進(jìn)行訪問控制。PMI的核心管理機(jī)構(gòu)是權(quán)限管理中心PMC，其主要功能是用來實(shí)現(xiàn)權(quán)限管理和屬性證書的生成、管理、存儲(chǔ)、發(fā)布、應(yīng)用、驗(yàn)證和撤消等。權(quán)限管理中心利用屬性證書表示和容納權(quán)限信息，通過管理證書的生存期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。7.2源機(jī)構(gòu)源機(jī)構(gòu)SOA是受權(quán)限驗(yàn)證者信任的最高層的權(quán)限管理機(jī)構(gòu)，是最終負(fù)責(zé)分配權(quán)限集合的實(shí)體。其職責(zé)主要包括制定權(quán)限管理策略、制定訪問控制策略、審核AA的設(shè)置、實(shí)施權(quán)限委派及管理以及策略證書的簽發(fā)和管理等。本標(biāo)準(zhǔn)支持采用權(quán)限委托機(jī)制。SOA可將權(quán)限分配給一個(gè)實(shí)體，并允許該實(shí)體行使AA的功能。SOA包括但不限于提供如下服務(wù)：——SOA簽發(fā)服務(wù)；——策略管理服務(wù)；——資源管理服務(wù)；——密碼服務(wù)；——屬性證書庫；——管理終端。7.3屬性授權(quán)機(jī)構(gòu)屬性授權(quán)機(jī)構(gòu)AA，是權(quán)限管理中心的核心服務(wù)節(jié)點(diǎn)，負(fù)責(zé)簽發(fā)與管理屬性證書。各資源管理與應(yīng)用系統(tǒng)依據(jù)需求負(fù)責(zé)建設(shè)本應(yīng)用系統(tǒng)的AA，并通過權(quán)限委派與SOA中心建立相互信任關(guān)系。AA的職責(zé)主要包括：策略管理、屬性證書的簽發(fā)、發(fā)布、撤消和管理，以及對(duì)設(shè)立AA代理點(diǎn)的審核和管理等。9DB5305/T19.49—2019AA中心應(yīng)對(duì)其簽發(fā)的屬性證書建立與維護(hù)一個(gè)歷史記錄，并及時(shí)進(jìn)行記錄更新。AA包括但不限于提供如下服務(wù)：——AA簽發(fā)服務(wù)；——密碼服務(wù)；——屬性證書LDAP目錄發(fā)布服務(wù)；——屬性證書庫；——策略管理服務(wù)；——資源管理服務(wù)；——屬性證書歷史庫；——ACRL屬性證書撤消列表庫；——系統(tǒng)日志庫；——管理終端；——審計(jì)終端。7.4屬性注冊(cè)機(jī)構(gòu)屬性注冊(cè)機(jī)構(gòu)ARA是相應(yīng)AA的附屬機(jī)構(gòu)，是用戶申請(qǐng)屬性證書的注冊(cè)機(jī)構(gòu)，是直接為用戶服務(wù)的窗口。各個(gè)AA負(fù)責(zé)建設(shè)所屬的ARA，但需報(bào)主管SOA同意并簽發(fā)相應(yīng)的證書。ARA的職責(zé)主要包括應(yīng)用授權(quán)注冊(cè)服務(wù)、應(yīng)用授權(quán)審核服務(wù)、應(yīng)用授權(quán)變更服務(wù)等，負(fù)責(zé)對(duì)具體的用戶屬性證書申請(qǐng)、審核、提交等進(jìn)行操作和管理，并將屬性證書的注冊(cè)或撤消請(qǐng)求提交到授權(quán)服務(wù)中心AA進(jìn)行處理。ARA包括但不限于提供如下服務(wù)：——ARA接入服務(wù)；——屬性注冊(cè)服務(wù)；——資源管理服務(wù)——策略管理服務(wù)——密碼服務(wù)；——各種注冊(cè)庫；——注冊(cè)歷史庫；——系統(tǒng)日志庫；——管理終端。7.5代理點(diǎn)代理點(diǎn)PA，是相應(yīng)ARA的下屬機(jī)構(gòu)。由各個(gè)ARA負(fù)責(zé)建設(shè)，是權(quán)限管理中心的用戶代理注冊(cè)最終節(jié)點(diǎn)，是具體應(yīng)用的連接接口。PA的設(shè)立地點(diǎn)和數(shù)目應(yīng)由各ARA根據(jù)自身的業(yè)務(wù)發(fā)展需求而定。PA包括但不限于提供如下服務(wù)：——訪問終端；——代理實(shí)體公鑰證書認(rèn)證載體，該載體內(nèi)帶有密碼算法；——待簽發(fā)實(shí)體證書認(rèn)證載體，該載體內(nèi)帶有密碼算法。7.6權(quán)限管理中心的管理結(jié)構(gòu)7.6.1集中式管理集中式管理中，CA兼有AA的功能，公鑰證書能夠直接提供授權(quán)服務(wù)，用戶數(shù)字證書的身份認(rèn)證與屬性證書的權(quán)限驗(yàn)證服務(wù)一起使用。公鑰證書中可包含一個(gè)subjectDirectoryAttribute擴(kuò)展，該擴(kuò)展包括與公鑰證書的主體相聯(lián)系的權(quán)限。此機(jī)制適合于發(fā)布公鑰證書的CA也是AA，且屬性的有效期與公鑰證書的有效期相符合的場(chǎng)合。集中式管理的另一種模式是AA獨(dú)立分布設(shè)置，屬性數(shù)據(jù)庫集中設(shè)置，各資源管理系統(tǒng)的認(rèn)證系統(tǒng)都向一個(gè)集中管理的屬性數(shù)據(jù)庫查詢授權(quán)數(shù)據(jù)。7.6.2分布式管理DB5305/T19.49—2019AA獨(dú)立簽發(fā)屬性證書，進(jìn)行權(quán)限管理與證書管理。權(quán)限分配認(rèn)證機(jī)構(gòu)不同于公鑰證書發(fā)布認(rèn)證機(jī)構(gòu)。不同的權(quán)限可由不同的AA分配。實(shí)體屬性證書的生命期和公鑰證書的有效期不必一致。分布式管理可在臨時(shí)環(huán)境中分配權(quán)限，權(quán)限特征的“開啟/關(guān)閉”可以異步于公鑰證書的生命期和廠或異步于不同AA發(fā)布的實(shí)體權(quán)限。在分布式管理中，認(rèn)證系統(tǒng)用來認(rèn)證屬性證書中發(fā)布者和持有者的身份。一個(gè)公鑰證書的主體可具有多個(gè)相關(guān)屬性證書。屬性證書可由不同AA簽發(fā)。權(quán)限管理中心PMC的授權(quán)方式，可依據(jù)資源特點(diǎn)和應(yīng)用的實(shí)際需要，采用直接授權(quán)方式或委托授權(quán)方式。直接授權(quán)方式是權(quán)限管理直接由SOA通過AA進(jìn)行管理與分配。委托授權(quán)方式是權(quán)限管理源機(jī)構(gòu)將權(quán)限管理委托給一個(gè)實(shí)體，該實(shí)體可行使AA的功能，并具有進(jìn)行進(jìn)一步委托的權(quán)限，直至不再符合委托條件為止。7.6.3集中式與分布式結(jié)合的管理結(jié)構(gòu)保山市電子政務(wù)網(wǎng)內(nèi)的應(yīng)用系統(tǒng)和資源訪問的權(quán)限管理中心采用集中式與分布式結(jié)合的管理結(jié)構(gòu)。在市級(jí)權(quán)限管理中心實(shí)現(xiàn)的權(quán)限管理采用集中式管理的結(jié)構(gòu)，CA兼有AA(SOA)的功能，通過subjectDirectoryAttribute擴(kuò)展實(shí)現(xiàn)與公鑰證書的主體相聯(lián)系的權(quán)限；在區(qū)縣級(jí)權(quán)限管理中心實(shí)現(xiàn)的權(quán)限管理可根據(jù)實(shí)際情況，由下級(jí)AA獨(dú)立簽發(fā)屬性證書。7.7將角色應(yīng)用于屬性證書保山市電子政務(wù)網(wǎng)內(nèi)的應(yīng)用系統(tǒng)和資源訪問的權(quán)限控制宜采用基于角色的訪問控制，將角色信息寫入屬性證書中。當(dāng)角色描述復(fù)雜時(shí)，可采用基于屬性的訪問控制方式。編制格式可參考附錄A，附錄B給出了典型的權(quán)限管理系統(tǒng)的體系結(jié)構(gòu)和工作流程。7.8屬性證書格式7.8.1基本結(jié)構(gòu)屬性證書的基本結(jié)構(gòu)由三部分組成：基本證書域TBSCertificate、簽名算法域SignatureAlgorithm、簽名值域SignatureValue?；咀C書域由基本域和擴(kuò)展域組成。屬性證書的結(jié)構(gòu)定義如AttributeCertificate：：=SIGNED{AttributeCertificateInfo}AttributeCertificateInfo：：=SEQUENCE{versionAttCertVersion；//版本號(hào)，一個(gè)整數(shù)，″0″表示版本1；holderHolder；//屬性證書持有者標(biāo)志符；issuerAttCertIssuer；//屬性證書簽發(fā)者標(biāo)志符，應(yīng)是X.500中規(guī)定可區(qū)分的、惟一標(biāo)志該權(quán)威的主體名；signatureAlgorithmIdentifier；//對(duì)該屬性證書簽名所使用的算法標(biāo)志符；SerialNumberCertificateSerialNumber；//屬性證書序列號(hào)，整型；attrCertValidityPeriodAttCertValidityPeriod；//屬性證書的有效期；attributesSEQUENCEOFAttribute；//屬性值序列，表明屬性證書持有者所具有的權(quán)力屬性；IssuerUniqueIDUniqueIdentifierOPTIONAL；//證書簽發(fā)者惟一標(biāo)識(shí)符；extensionsExtensionsOPTIONAL；//屬性證書擴(kuò)展部分；}7.8.2屬性證書基本域?qū)傩宰C書基本域的內(nèi)容包括但不限于：——Version版本號(hào)——holder持有人——issuer頒發(fā)者——signature簽名算法——serialNumber序列號(hào)DB5305/T19.49—2019——attCertValidityPeriod屬性證書有效期——attributes屬性——issuerUniqueIdentifier頒發(fā)者唯一標(biāo)識(shí)符——extensions擴(kuò)展域7.8.3屬性證書擴(kuò)展域?qū)傩宰C書使用擴(kuò)展域。屬性證書擴(kuò)展域可包含多項(xiàng)擴(kuò)展項(xiàng)，如表6-1所示。每項(xiàng)擴(kuò)展項(xiàng)由擴(kuò)展類型、擴(kuò)展關(guān)鍵度和擴(kuò)展項(xiàng)值組成。在一張證書中的每一擴(kuò)展可以是關(guān)鍵的或者非關(guān)鍵的。如果遇到一項(xiàng)不能識(shí)別的關(guān)鍵擴(kuò)展，那么權(quán)限管理系統(tǒng)應(yīng)拒絕接受此證書；但是，如果不被認(rèn)出的項(xiàng)是非關(guān)鍵擴(kuò)展則可被忽視。對(duì)基于角色的權(quán)限管理，roleSpecCertIdentifier擴(kuò)展項(xiàng)是角色定義的關(guān)鍵。域表序號(hào)擴(kuò)展類別擴(kuò)展名稱描述關(guān)鍵度1基本權(quán)限管理TimeSpecification時(shí)間限制關(guān)鍵2TargetInformation關(guān)鍵3UserNotice用戶通知非關(guān)鍵4AcceptablePrivilegePolicies可接受權(quán)限策略關(guān)鍵5權(quán)限撤消cRLDistributianPoin鍵，反之為非關(guān)鍵6NoRevAvail無撤消信息非關(guān)鍵7源授權(quán)機(jī)構(gòu)sOAIdentifier非關(guān)鍵8AttribureDescriptor屬性描述符用于自發(fā)證書9角色RoleSpecCertIdentif角色規(guī)范證書標(biāo)識(shí)符非關(guān)鍵授權(quán)basicAttConstraints基本屬性限制AA證書為關(guān)鍵DelegatedNameConstraints授權(quán)名稱限制非關(guān)鍵AcceptableCertPolic可接受證書策略關(guān)鍵AuthorityAttributeIdentifier授權(quán)機(jī)構(gòu)屬性標(biāo)識(shí)符非關(guān)鍵7.8.4簽名算法域該域包含CA頒發(fā)該證書所使用的密碼算法的標(biāo)識(shí)符，應(yīng)與基本證書域中的簽名算法所標(biāo)識(shí)的簽名算法相同?？蛇x參數(shù)的內(nèi)容完全依賴所標(biāo)識(shí)的具體算法。7.8.5簽名值域該域包含對(duì)基本證書域進(jìn)行數(shù)字簽名的結(jié)果。經(jīng)過ASN.1DER編碼的基本證書域作為數(shù)字簽名算法的輸入，簽名的結(jié)果按照ASN.1編碼成BITSTRING類型并保存在簽名值域。DB5305/T19.49—20198訪問控制8.1基本描述訪問控制中涉及的基本實(shí)體和功能是發(fā)起者、訪問控制實(shí)施功能(AEF)、訪問決策功能(ADF)和目標(biāo)。AEF和ADF可在發(fā)起者一端、目標(biāo)一端或者二者之間實(shí)現(xiàn)，即支持入訪問控制、出訪問控制和插入訪問控制。發(fā)起者代表訪問或試圖訪問目標(biāo)的人和基于計(jì)算機(jī)的實(shí)體。在一個(gè)實(shí)系統(tǒng)中，發(fā)起者由一個(gè)基于計(jì)算機(jī)的實(shí)體來代表，盡管基于計(jì)算機(jī)的實(shí)體代表該發(fā)起者所做的訪問請(qǐng)求可受到該基于計(jì)算機(jī)的實(shí)體的ACI的進(jìn)一步限制。目標(biāo)代表被發(fā)起者所訪問或試圖訪問的基于計(jì)算機(jī)或通信的實(shí)體。例如，目標(biāo)可能是一個(gè)電子政務(wù)應(yīng)用系統(tǒng)、一個(gè)文件或一個(gè)設(shè)備。訪問請(qǐng)求代表操作和操作數(shù)，它們構(gòu)成一個(gè)試圖進(jìn)行的訪問的基本成分。政務(wù)系統(tǒng)的登錄請(qǐng)求是一種特殊的訪問請(qǐng)求，為其他的訪問請(qǐng)求構(gòu)建上下文。訪問控制基于發(fā)起者和目標(biāo)之間共享的ACI，依賴于由發(fā)起者和目標(biāo)共同維護(hù)的ACI的機(jī)密性和傳8.2訪問控制策略本標(biāo)準(zhǔn)支持基于規(guī)則的訪問控制策略和基于身份的訪問控制策略。前者應(yīng)用于由安全域中任意發(fā)起者對(duì)任何目標(biāo)的所有訪問請(qǐng)求，后者則是基于一些特定的規(guī)則，針對(duì)單個(gè)發(fā)起者、一組發(fā)起者、代表發(fā)起者進(jìn)行行動(dòng)的實(shí)體、或扮演一個(gè)特定角色的發(fā)起者的。上下文能修改基于規(guī)則或基于身份的訪問控制策略；上下文規(guī)則可有效定義整體策略。按照發(fā)起者組或按照扮演特定角色的發(fā)起者來陳述的訪問控制策略，是基于身份策略的特殊類型。組是一群發(fā)起者，當(dāng)執(zhí)行一個(gè)特定的訪問控制策略時(shí)，認(rèn)為其成員是平等的。組允許一群發(fā)起者訪問特定的目標(biāo)，不必在目標(biāo)ACI中包括單個(gè)發(fā)起者的身份，也不必顯式地將相同的ACI分配給每個(gè)發(fā)起者。組的組成由管理行為確定，創(chuàng)建或修改組的能力必須取決于訪問控制?？赡苄枰部赡懿恍枰粎^(qū)分其成員而按組來審計(jì)訪問請(qǐng)求。對(duì)允許一個(gè)用戶在組織內(nèi)執(zhí)行的功能則用角色來表示其特征。一個(gè)給定的角色可適用于某一個(gè)人或幾個(gè)個(gè)人?？砂磳哟问褂媒M和角色以組合發(fā)起者身份、組和角色。按照安全標(biāo)簽表達(dá)的訪問控制策略是基于規(guī)則的安全策略的特殊類型。發(fā)起者和目標(biāo)分別與命名的安全標(biāo)簽相關(guān)聯(lián)。訪問決策則基于發(fā)起者與目標(biāo)安全標(biāo)簽的比較。這些策略通過規(guī)則來表達(dá)，而規(guī)則則描述在具有特定安全標(biāo)簽的發(fā)起者和目標(biāo)之間可以發(fā)生的訪問。訪問控制的策略管理采用如下三種方式：——固定的策略，指那些一直應(yīng)用且不能被更改的策略，例如，那些被構(gòu)建在政務(wù)系統(tǒng)內(nèi)的策略?！姓芾韽?qiáng)加的策略，指那些一直應(yīng)用，并且只有被適當(dāng)授權(quán)的人才可更改的策略?！脩暨x擇的策略，指那些可為發(fā)起者和目標(biāo)的請(qǐng)求所用的，并且只應(yīng)用于這樣的訪問請(qǐng)求：涉及發(fā)起者的，或者目標(biāo)的，或者發(fā)起者或目標(biāo)的資源的。8.3訪問控制信息8.3.1概述訪問控制信息ACI包括發(fā)起者、目標(biāo)、訪問請(qǐng)求、操作、操作數(shù)和上下文信息等。作為訪問控制功能的組成部分，ACI可能需要在信息惠民工程應(yīng)用系統(tǒng)之間或與權(quán)限管理系統(tǒng)之間進(jìn)行交換。8.3.2發(fā)起者的ACI發(fā)起者的ACI可包括但不限于：——個(gè)體的訪問控制身份，該身份宜來自于保山市政務(wù)數(shù)字證書，且在同一個(gè)安全域內(nèi)應(yīng)唯一；——用以認(rèn)定成員關(guān)系的層次組標(biāo)識(shí)符；——用以認(rèn)定成員關(guān)系的功能組標(biāo)識(shí)符；——可擔(dān)當(dāng)?shù)慕巧臉?biāo)識(shí)符；——敏感性標(biāo)記；——完整性標(biāo)記。8.3.3目標(biāo)的ACIDB5305/T19.49—2019——目標(biāo)訪問控制身份；——敏感性標(biāo)記；——完整性標(biāo)記；——包含一個(gè)目標(biāo)的容納者標(biāo)識(shí)符。8.3.4訪問請(qǐng)求的ACI訪問請(qǐng)求的ACI：——訪問請(qǐng)求的ACI可包括但不限于：——允許的操作種類，例如讀、寫；——使用操作的完整性等級(jí)；——操作的數(shù)據(jù)類型。8.3.5操作數(shù)的ACI操作數(shù)的ACI可包括但不限于：——敏感性標(biāo)記；——完整性標(biāo)記。8.3.6上下文信息上下文信息可包括但不限于：——有效期：僅在用天、周、月、年等指定的精確時(shí)期內(nèi)可準(zhǔn)許訪問；——路由：僅在使用的路由具有指定的特征時(shí)才準(zhǔn)許訪問；——位置：僅對(duì)在指定的系統(tǒng)、工作站或終端上的發(fā)起者，或僅對(duì)在指定的物理位置上的發(fā)起者，才準(zhǔn)許訪問；——系統(tǒng)狀態(tài)：僅當(dāng)系統(tǒng)處于一個(gè)特定狀態(tài)時(shí)(例如，災(zāi)難恢復(fù)期間)，對(duì)特定的ADI才準(zhǔn)許訪問；——鑒別強(qiáng)度：僅當(dāng)使用的鑒別機(jī)制至少具有一個(gè)給定的強(qiáng)度時(shí)才準(zhǔn)許訪間；——當(dāng)前為這些或其他發(fā)起者啟用的其他訪問。8.3.7發(fā)起者綁定ACI發(fā)起者綁定ACI可包括發(fā)起者ACI、某些目標(biāo)ACI和選擇的上下文信息，可包括但不限于：——發(fā)起者ACI；——目標(biāo)訪問控制身份和允許的對(duì)該目標(biāo)的訪問(即權(quán)力)；——發(fā)起者位置。8.3.8目標(biāo)綁定ACI目標(biāo)綁定ACI：ACIACI——個(gè)體發(fā)起者的訪問控制身份和他們被允許或拒絕對(duì)該目標(biāo)的訪問；——層次組成員的訪問控制身份和他們被允許或拒絕對(duì)該目標(biāo)的訪問；——功能組成員的訪問控制身份和他們被允許或拒絕對(duì)該目標(biāo)的訪問：——角色的訪問控制身份和他們被允許或拒絕對(duì)該目標(biāo)的訪問；——授權(quán)當(dāng)局和對(duì)他們授權(quán)的訪問。8.3.9訪問請(qǐng)求綁定ACI——允許參與訪問的發(fā)起者/目標(biāo)對(duì)；——允許參與訪問的目標(biāo)；DB5305/T19.49—2019——允許參與訪問的發(fā)起者。8.4訪問控制證書信息惠民應(yīng)用系統(tǒng)之間或與權(quán)限管理系統(tǒng)之間交換的ACI需要加以保護(hù)。發(fā)布ACI的機(jī)構(gòu)必須是能發(fā)布機(jī)構(gòu)所簽署或封印的安全證書里面，這樣的數(shù)據(jù)包稱為訪問控制證書。訪問控制證書可包含各種形式的信息。下述信息項(xiàng)是指定給發(fā)起者的：發(fā)起者ACI；證實(shí)方法，證實(shí)訪問控制證書綁定到一個(gè)指定的發(fā)起者已不可能被另一個(gè)發(fā)起者所使用；賬戶標(biāo)識(shí)符，能用來對(duì)訪問計(jì)費(fèi)；實(shí)體標(biāo)識(shí)符，追溯或?qū)徲?jì)需要時(shí)可用以審核其對(duì)訪問的責(zé)任；訪問控制證書可被一個(gè)特定發(fā)起者使用的次數(shù)。下述信息項(xiàng)是指定給目標(biāo)的：目標(biāo)ACI；證實(shí)方法，證實(shí)訪問控制證書綁定到一個(gè)指定的目標(biāo)已不可能被另一個(gè)目標(biāo)所使用；訪問控制證書可被一個(gè)特定發(fā)起者使用的次數(shù)。下述信息項(xiàng)是指定給訪問請(qǐng)求的：證實(shí)方法，證實(shí)訪問控制證書綁定到一個(gè)或多個(gè)指定的訪問請(qǐng)求已不可能被另一個(gè)訪問請(qǐng)求所使用；訪問控制證書可被用來訪問一個(gè)特定目標(biāo)的次數(shù)；訪問請(qǐng)求ACI。8.5訪問控制機(jī)制8.5.1基于訪問控制列表的機(jī)制基于訪問控制列表(ACL)的機(jī)制的基本特性是：訪問控制把<發(fā)起者限定符，操作限定符>對(duì)作為目標(biāo)綁定ACI列表，而個(gè)體、組或角色標(biāo)識(shí)符則作為發(fā)起者綁定ACI來進(jìn)行管理；該機(jī)制適合于需要很細(xì)的訪問控制粒度的場(chǎng)合；該機(jī)制較適合于以目標(biāo)而不是以發(fā)起者為基礎(chǔ)進(jìn)行訪問控制的場(chǎng)合；該機(jī)制較適合于目標(biāo)總數(shù)較多且動(dòng)態(tài)變化而發(fā)起者總數(shù)較少且相對(duì)固定的場(chǎng)合。在該機(jī)制中，ACL是初始的目標(biāo)綁定ACI，ACL是一個(gè)條目集或條目序列。每個(gè)條目都具有兩個(gè)字段：——發(fā)起者限定符，即發(fā)起者的辨別標(biāo)識(shí)符，可以不具體到能表示更為一般的發(fā)起者ACI，比如它的角色或組成員；——操作限定符，以描述在訪問請(qǐng)求中的操作、操作類或操作數(shù)。8.5.2基于權(quán)利的機(jī)制8.5.2.1權(quán)利的機(jī)制的基本特性基于權(quán)利的機(jī)制的基本特性包括但不限于：——訪問控制是用發(fā)起者綁定ACI來管理的，該ACI定義一個(gè)被識(shí)別的目標(biāo)集上允許的操作集；——該機(jī)制較適合于以發(fā)起者而不是以目標(biāo)為基礎(chǔ)進(jìn)行訪問控制的場(chǎng)合；——該機(jī)制較適合于發(fā)起者總數(shù)較多且動(dòng)態(tài)變化而目標(biāo)總數(shù)較少且相對(duì)固定的場(chǎng)合。8.5.2.2權(quán)利的組件該機(jī)制中，發(fā)起者綁定ACI是一個(gè)權(quán)力集。權(quán)力包括但不限于兩個(gè)主要組件：——目標(biāo)或目標(biāo)集的名字；——對(duì)目標(biāo)的授權(quán)操作的列表。8.5.2.3權(quán)利的主要組件權(quán)力可通過SDA機(jī)構(gòu)簽署或封印的訪問控制證書傳遞。目標(biāo)綁定ACI是一個(gè)條目集。每個(gè)條目包括但不限于兩個(gè)組件：——SDA的身份；——SDA可能授權(quán)的操作。8.5.3基于標(biāo)簽的機(jī)制發(fā)起者和目標(biāo)的綁定ACI為標(biāo)簽，這里的標(biāo)簽結(jié)構(gòu)可能較復(fù)雜。當(dāng)發(fā)起者是用戶或代表用戶的發(fā)起者進(jìn)程時(shí)，綁定于發(fā)起者的標(biāo)簽稱為許可權(quán)?？梢杂袠?biāo)簽綁定到訪問請(qǐng)求的操作數(shù)。加標(biāo)簽的操作數(shù)是加標(biāo)簽的數(shù)據(jù)的特例。應(yīng)確保加標(biāo)簽的數(shù)據(jù)的兩個(gè)安全特性：將標(biāo)簽綁定到數(shù)據(jù)的過程的完整性，以及發(fā)起者用該標(biāo)簽創(chuàng)建數(shù)據(jù)的權(quán)利。給定某種策略限制，安全標(biāo)簽可用來為一個(gè)安全域內(nèi)或不同安全域間的數(shù)據(jù)提供通用的訪問控制。加標(biāo)簽的數(shù)據(jù)可以是公文、普通文檔、消息、無連接數(shù)據(jù)單元、傳送中的文件等?；跇?biāo)簽的機(jī)制的基本特性包括但不限于：DB5305/T19.49—2019——該機(jī)制使用能分配給發(fā)起者、目標(biāo)以及傳輸于系統(tǒng)之間的數(shù)據(jù)的安全標(biāo)簽；——該機(jī)制較適合于在有很多發(fā)起者對(duì)很多目標(biāo)進(jìn)行訪問而又只需要粗粒度訪問控制時(shí)；——給定某種策略限制，這種方案能用于控制安全域內(nèi)的數(shù)據(jù)流。安全標(biāo)簽對(duì)提供安全域之間的訪問控制可能也很方便；——允許的操作并不顯式地包括在發(fā)起者綁定或目標(biāo)綁定ACI中，但作為部分安全策略進(jìn)行定義。8.5.4基于上下文的機(jī)制8.5.4.1基于上下文的機(jī)制在某些情況下，ADF可需要上下文信息來解釋ADI或安全策略規(guī)則。基于上下文的機(jī)制的基本特性包括但不限于：——訪問控制根據(jù)發(fā)起者綁定ACI或目標(biāo)綁定ACl進(jìn)行管理，或者作為ADF獲得的信息獨(dú)立地管理；——該機(jī)制便于迫使規(guī)則適用于所有的發(fā)起者。8.5.4.2條目的組成上下文控制列表是條目的集合或序列。每個(gè)條目包括但不限于兩個(gè)字段：——上下文限定符，它是一個(gè)上下文條件序列(如時(shí)間、路由、位置)，每個(gè)上下文條件單獨(dú)地與一個(gè)真或假的陳述相關(guān)聯(lián)；——操作限定符，它描述關(guān)聯(lián)的上下文限定符所允許的操作。角色層次管理用戶用戶委托權(quán)限委托角色集訪問角色用戶訪問DB5305/T19.49—2019角色層次管理用戶用戶委托權(quán)限委托角色集訪問角色用戶訪問附錄A(資料性附錄)基于角色的屬性管理A.1基于角色權(quán)限應(yīng)用模式結(jié)構(gòu)保山市信息惠民工程宜采用以角色管理為主的權(quán)限管理體系，也可以結(jié)合基于任務(wù)等其他權(quán)限管理方式。用戶、角色和權(quán)限三者之間的邏輯關(guān)系如圖A.1所示。圖A.1基于角色的權(quán)限應(yīng)用模式結(jié)構(gòu)靜態(tài)約束靜態(tài)約束操操作對(duì)象權(quán)限動(dòng)態(tài)約束訪問用戶是訪問發(fā)起者；角色是附有互斥關(guān)系的職責(zé)和責(zé)任，角色集是多種角色的集合，角色自身也存在不同等級(jí)的關(guān)系；權(quán)限是對(duì)特定關(guān)系、行為的許可，授權(quán)是權(quán)限定義建立的行為；角色與權(quán)限的關(guān)系是通過訪問策略實(shí)現(xiàn)的。用戶與角色以及角色集與授權(quán)之間都是雙箭頭，表示用戶角色委托分配和角色權(quán)限委托分配關(guān)系都是多對(duì)多的關(guān)系。用戶委托角色時(shí)應(yīng)遵照事先約定好的靜態(tài)約束關(guān)系進(jìn)行委托。用戶對(duì)系統(tǒng)資源進(jìn)行訪問，首先要建立訪問關(guān)系，每個(gè)訪問關(guān)系都是將一個(gè)用戶與其對(duì)應(yīng)的角色集中的一部分建立的映射關(guān)系。A.2角色分配證書與角色規(guī)范證書的關(guān)聯(lián)在保山市信息惠民工程各應(yīng)用系統(tǒng)中，角色分配證書既可以是屬性證書，也可以是X.509公鑰證書，但角色規(guī)范證書只能是屬性證書，而不能是公鑰證書。在角色規(guī)范證書不能用時(shí)，也可通過其他方法為角色進(jìn)行權(quán)限分配，如通過在本地服務(wù)器上進(jìn)行配置。角色分配證書的頒發(fā)者和角色規(guī)范證書的頒發(fā)者宜相互獨(dú)立。每個(gè)角色和名字被標(biāo)志為一屬性值和屬性類型對(duì)。在角色規(guī)范證書中，證書的持有者是角色，特權(quán)屬性是該角色擁有的權(quán)限；而在角色分配證書中，證書的持有者是用戶，權(quán)限屬性是分配給該用戶的角色。AA可定義的角色數(shù)目是不受限制的，角色本身和角色成員可被不同的AA定義和管理。角色的成員可以委托；角色和成員應(yīng)被指派有效期。角色規(guī)范證書可在內(nèi)部與角色分配證書關(guān)聯(lián)；角色規(guī)范證書不能向其他實(shí)體委托。如果角色分配證書為屬性證書，則角色屬性應(yīng)位于屬性證書的屬性域Attributes中，定義如下：WITHSYNTAXRoleSyntaxIDid-at-role}RoleSyntax：：=SEQUENCE{roleAuthority[0]GeneralNamesOPTIONAL，roleName[1]GeneralName}DB5305/T19.49—2019其中，roleAuthority為可選項(xiàng)，表示發(fā)布角色規(guī)范證書的AA。保山市信息惠民工程的權(quán)限管理宜采用該項(xiàng)，以表明權(quán)限驗(yàn)證通過角色規(guī)范證書進(jìn)行，相應(yīng)的角色規(guī)范規(guī)范證書應(yīng)至少包含一項(xiàng)與該項(xiàng)對(duì)應(yīng)的AA名。若該項(xiàng)不存在，對(duì)AA的識(shí)別通過系統(tǒng)自定義的方式進(jìn)行，例如角色分配證書中的roleSpecCertIdentifier擴(kuò)展域。roleName指明指派給包含該項(xiàng)屬性的角色分配證書持有人的角色，權(quán)限驗(yàn)證者通過角色規(guī)范證書進(jìn)行權(quán)限分配時(shí)，該項(xiàng)宜同時(shí)出現(xiàn)在角色規(guī)范證書的證書持有人域中。權(quán)限驗(yàn)證者在處理角色分配證書時(shí)，需該角色的權(quán)限集合以決定是否通過驗(yàn)證。若某權(quán)限已經(jīng)通過角色規(guī)范證書分配給某角色，AA或權(quán)限驗(yàn)證者可通過其中的角色規(guī)范證書標(biāo)識(shí)符擴(kuò)展域定位角色規(guī)范證書。該域定義如下：roleSpecCertIdentifierEXTENSION：：={SYNTAXRoleSpecCertIdentifierSyntaxIDENTIFIEDBY{id-ce-roleSpecCertIdentifier}}RoleSpecCertIdentifierSyntax：：=SEQUENCESIZE(1..MAX)OFRoleSpecCertIdentifierRoleSpecCertIdentifier：：=SEQUENCE{roleName[0]GeneralName，roleCertIssuer[1]GeneralName，roleCertSerialNumber[2]CertificateSerialNumberOPTIONAL，roleCertLocator[3]GeneralNamesOPTIONAL}其中，roleName應(yīng)與角色規(guī)范證書中相應(yīng)的角色名相同；roleCertIssuer用于指定發(fā)布相應(yīng)的角色規(guī)范證書的AA；roleCertSerialNumber為可選項(xiàng)，指角色規(guī)范證書的序列號(hào)，若分配給該角色的權(quán)限本身發(fā)生變化，應(yīng)分配給該角色新的角色規(guī)范證書。包含該擴(kuò)展項(xiàng)的證書，應(yīng)被關(guān)系到新序列號(hào)的證書所代替。roleCertLocator為可選項(xiàng)，可用于定位角色規(guī)范證書。如果角色分配證書為公鑰證書，則角色屬性應(yīng)位于公鑰證書的SubjectDirectoryAttributes擴(kuò)展域中。此情況下，包含在公鑰證書中的權(quán)限都是直接賦予證書持有者，而不是分配給某個(gè)角色。對(duì)角色權(quán)限的分配宜在權(quán)限管理基礎(chǔ)設(shè)施PMI中通過角色規(guī)范證書進(jìn)行，也可以不通過PMI在本地服務(wù)器上進(jìn)行配置。如角色權(quán)限屬性包含在角色規(guī)范證書中，則用于將該證書與相關(guān)的持有者角色分配證書相關(guān)聯(lián)的機(jī)制也應(yīng)包含在角色規(guī)范證書中。用戶進(jìn)行系統(tǒng)登錄時(shí)應(yīng)提交角色分配證書以證明其擁有某一特定角色。在經(jīng)過驗(yàn)證后，系統(tǒng)還需對(duì)該用戶使用對(duì)象的屬性證書進(jìn)行查詢，通過對(duì)比其中的角色，最后作出允許/拒絕的授權(quán)決定。RBAC模型中的角色約束特性，可以利用屬性證書擴(kuò)展項(xiàng)Extensions中的ExclusivedSubtrees條目來實(shí)現(xiàn)的。A.3屬性證書的分發(fā)屬性證書的分發(fā)有兩種模式：推模式和拉模式。在推模式中，用戶從證書庫中取出自己的屬性證書，而后把它連同身份認(rèn)證信息一起傳遞給驗(yàn)證服務(wù)器以獲得訪問權(quán)限；而在拉模式中用戶只需把身份認(rèn)證信息傳遞給驗(yàn)證服務(wù)器，服務(wù)器方在認(rèn)證了用戶身份后再從證書庫中取回所需用戶的屬性證書。A.4用戶一角色一權(quán)限內(nèi)容“用戶一角色一權(quán)限”三者間對(duì)實(shí)際應(yīng)用的影響與驗(yàn)證關(guān)系包括但不限于兩種類型：——在進(jìn)入應(yīng)用系統(tǒng)或門戶時(shí)，用戶將自己的身份提交給權(quán)限系統(tǒng)，并獲得所有權(quán)限屬性；應(yīng)用系統(tǒng)根據(jù)該權(quán)限屬性直接表明用戶被許可的行為。該方式主要適用于用戶權(quán)限有限且較為固定，訪問頻度較高的場(chǎng)合；——在對(duì)應(yīng)用系統(tǒng)或門戶中對(duì)象的每次訪問時(shí)，用戶將自己的身份直接提交給應(yīng)用系統(tǒng)，而應(yīng)用系統(tǒng)的最終對(duì)象擁有接受訪問的許可列表，如角色、操作列表，由被訪問對(duì)象直接接納或者拒絕訪問用戶。該方式中，用戶無需了解自身的權(quán)限，依靠被訪問對(duì)象對(duì)每個(gè)訪問者進(jìn)行權(quán)限確認(rèn)，適合于訪問頻度不高或者業(yè)務(wù)面不確定的用戶。對(duì)象與操作確定了權(quán)限控制的粒度，在應(yīng)用系統(tǒng)中，權(quán)限控制的最小粒度可以是系統(tǒng)的功能模塊，也可以是頁面、控件、表單。對(duì)于數(shù)據(jù)庫訪問的權(quán)限控制一般通過應(yīng)用系統(tǒng)的權(quán)限控制進(jìn)行，在對(duì)數(shù)據(jù)庫直接進(jìn)行操作的權(quán)限控制中，粒度可以是數(shù)據(jù)庫表、記錄，在需進(jìn)行字段級(jí)的訪問控制時(shí)，應(yīng)將有不同權(quán)限需求的字段通過關(guān)鍵字關(guān)聯(lián)后在不同的數(shù)據(jù)庫表中實(shí)現(xiàn)。用戶、角色、對(duì)象、操作和策略的結(jié)構(gòu)表A.1。DB5305/T19.49—2019表A.1用戶、角色、對(duì)象、操作和策略的結(jié)構(gòu)定義序號(hào)項(xiàng)目定義內(nèi)容1用戶結(jié)構(gòu)定義1)用戶標(biāo)識(shí)碼；3)所屬機(jī)構(gòu)；5)擁有的角色集合；7)電話號(hào)碼(可選)；9)郵件地址(可選)；2)用戶名稱；4)擁有的角色數(shù)量；6)用戶身份證號(hào)(可選)；8)手機(jī)號(hào)碼(可選)；10)最新更新時(shí)間(可選)。2角色結(jié)構(gòu)定義1)角色名稱；3)角色類別；5)父角色集；2)角色編碼；4)應(yīng)用類別；6)子角色集。3對(duì)象結(jié)構(gòu)定義1)對(duì)象編碼；3)許可角色集合；5)拒絕角色集合；2)對(duì)象名稱；4)許可訪問用戶集合；6)拒絕訪問用戶集合。4操作結(jié)構(gòu)定義1)操作編碼；3)許可角色集合；5)拒絕角色集合；2)操作名稱；4)許可訪問用戶集合；6)拒絕訪問用戶集合。5策略結(jié)構(gòu)定義1)角色編碼；3)對(duì)象編碼；5)操作編碼；7)系統(tǒng)類型；2)角色名稱；4)對(duì)