DB21-T 3099-2018遼寧省無線電管理一體化平臺應(yīng)用安全平臺體系架構(gòu)及應(yīng)用規(guī)范

ICS35.100.70

M10

備案號：62052-2019DB21

遼寧省地方標準

DB21/T3099—2018

CA安全平臺體系架構(gòu)及應(yīng)用規(guī)范

CASecurityplatformframeworkandapplicationspecification

DB21/T3099—2018

前言

本規(guī)范按照GB/T1.1-2009給出的規(guī)則起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。

本文件由遼寧省工業(yè)和信息化委員會提出。

本文件由遼寧省工業(yè)和信息化委員會歸口。

本文件起草單位：遼寧省重大技術(shù)裝備戰(zhàn)略基地建設(shè)工程中心。

本文件主要起草人：楊旭、孟嬌、張印、孫宏志。

III

DB21/T3099—2018

引言

遼寧省無線電管理信息系統(tǒng)建設(shè)基本以應(yīng)用系統(tǒng)為單位進行建設(shè)的，由于缺乏全局規(guī)劃、缺乏統(tǒng)一

的標準體系，每個系統(tǒng)受自身格局所限，形成了一個個的孤島，系統(tǒng)之間銜接困難，系統(tǒng)的可擴展性差，

存在著孤立的應(yīng)用系統(tǒng)、中斷的業(yè)務(wù)流程、分散的數(shù)據(jù)碎片和低效的信息資源等問題，難以滿足業(yè)務(wù)不

斷變化和發(fā)展需要。

在安全建設(shè)方面，原有的身份驗證系統(tǒng)存在部分技術(shù)過時、對跨域訪問的支持功能有限以及與應(yīng)用

系統(tǒng)全面整合困難等，而無法滿足無線電管理信息系統(tǒng)安全建設(shè)的變化和進一步發(fā)展需要。因此，迫切

需要一個統(tǒng)一的平臺來合理整合無線電管理的信息資源及應(yīng)用，實現(xiàn)全局信息資源共享及人員協(xié)作。與

之相適應(yīng)，對原有的應(yīng)用安全平臺（CA和身份驗證系統(tǒng)）及安全規(guī)范需要升級，升級后的應(yīng)用安全平臺

是無線電管理一體化平臺的重要組成部分，對一體化平臺及各類無線電管理應(yīng)用系統(tǒng)提供用戶身份、接

入認證、單點登錄、統(tǒng)一授權(quán)、日志審計和跨域訪問等基礎(chǔ)支撐服務(wù)。

為保障應(yīng)用安全平臺順利升級成功，必須對應(yīng)用安全平臺進行統(tǒng)一的設(shè)計和驗證，實現(xiàn)統(tǒng)一的技術(shù)

架構(gòu)、統(tǒng)一的目錄結(jié)構(gòu)、規(guī)范的目錄命名、統(tǒng)一的目錄同步機制、統(tǒng)一的應(yīng)用接入方式、規(guī)范的分級授

權(quán)管理模式，形成相應(yīng)的建設(shè)指導(dǎo)性規(guī)范文件。

IV

DB21/T3099—2018

CA安全平臺體系架構(gòu)及應(yīng)用規(guī)范

1范圍

本文件規(guī)定了無線電管理一體化平臺建設(shè)信息系統(tǒng)涉及的有關(guān)統(tǒng)一目錄管理、單點登錄、

統(tǒng)一身份管理、統(tǒng)一認證、授權(quán)及審計管理等的應(yīng)用安全體系建設(shè)的原則和方法，適用于遼

寧省各級無線電管理機構(gòu)和遼寧省無線電管理信息系統(tǒng)中的應(yīng)用安全平臺及應(yīng)用系統(tǒng)、網(wǎng)絡(luò)

安全傳輸設(shè)備及其運行和管理軟件等的開發(fā)和實施單位。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T13622無線電管理術(shù)語

3術(shù)語、定義和縮略語

GB/T13622界定的以及下列術(shù)語、定義和縮略語適用于本文。

3.1術(shù)語和定義

3.1.1

無線電管理一體化平臺ITintegrationplatformforradiomanagement

無線電管理一體化平臺是指以“平臺+應(yīng)用”為思想，以SOA為技術(shù)架構(gòu)，以先進信息

化技術(shù)搭建的通用軟件平臺，包括物理資源，SOA中間件，通用支撐軟件，數(shù)據(jù)處理平臺等

系列平臺化軟件，即一體化平臺是一體化戰(zhàn)略的信息化具體體現(xiàn)。

3.1.2

省中心用戶信息庫Provincialuserdatabase

省中心用戶信息庫包含了遼寧省無線電管理機構(gòu)所有用戶的身份信息、證書信息和組織

機構(gòu)信息，存儲在省中心的身份管理系統(tǒng)中。

3.1.3

市級用戶信息庫Municipaluserdatabase

市級用戶信息庫指各市無線電管理機構(gòu)的用戶身份信息、證書信息和組織機構(gòu)信息，存

儲在各市的身份管理系統(tǒng)中。

3.1.4

用戶身份庫UserIDdatabase

用戶身份庫指存儲身份管理系統(tǒng)相關(guān)的賬號、權(quán)限和審計等信息。

1

DB21/T3099—2018

3.1.5

身份管理IDmanagement

身份管理是對用戶身份的創(chuàng)建、修改、遷移、凍結(jié)、刪除和同步等操作的管理。

3.1.6

賬號Accountnumber

應(yīng)用系統(tǒng)中用于登錄的用戶名叫做賬號。

3.1.7

審計管理Auditmanagement

審計管理是對用戶的登錄和操作等行為進行記錄，查詢和系統(tǒng)分析的過程。

3.1.8

數(shù)字證書Digitalcetificates

數(shù)字證書是網(wǎng)絡(luò)通訊中標志通信各方身份信息的一系列數(shù)據(jù)，提供了一種驗證身份的方

式，其作用類似于身份證。它由權(quán)威機構(gòu)--CA機構(gòu)頒發(fā)，在相互通信中用它來識別雙方的身

份。

3.1.9

單點登錄Singlepointlogin

單點登錄是指“登錄一次，便可訪問多個系統(tǒng)”。

3.1.10

證書注銷列表Certificatelogoutlist

證書注銷列表是在證書有效期之內(nèi)，CA簽發(fā)的終止使用證書的信息。

3.1.11

票據(jù)Userdocument

用戶認證通過后，身份管理系統(tǒng)的認證服務(wù)器給用戶簽發(fā)一個用戶認

證通過憑證，這個憑證就是票據(jù)。

3.1.12

互信中心服務(wù)Trustcentreservices

互信中心服務(wù)由省中心身份管理系統(tǒng)提供，為跨域訪問的用戶提供票據(jù)驗證的服務(wù)。

3.1.13

入口級授權(quán)Entranceauthorization

入口級授權(quán)是指用戶是否有權(quán)訪問應(yīng)用系統(tǒng)，而對用戶訪問應(yīng)用系統(tǒng)的具體內(nèi)容不做控

制。

3.1.14

細粒度授權(quán)Refiningauthorization

2

DB21/T3099—2018

細粒度授權(quán)是指對用戶訪問應(yīng)用系統(tǒng)的具體內(nèi)容，例如：菜單、功能模塊、URL等進行

授權(quán)。

3.2縮略語

下列縮略語適用于本文件：

CA數(shù)字證書簽發(fā)機構(gòu)CertificationAuthority

LDAP輕量目錄存取協(xié)議LightweightDirectoryAccessProtocol

LRA本地注冊機構(gòu)LocalRegistrationAuthority

OCSP在線證書狀態(tài)協(xié)議OnlineCertificateStatusProtocol

CryptpAPI應(yīng)用程序開發(fā)接口CryptographyApplicationProgrammingInterface

RADIUS遠程用戶撥號認證系統(tǒng)RemoteAuthenticationDialInUserService

Filter過濾器Filter

4概述

4.1背景

遼寧省無線電管理信息系統(tǒng)經(jīng)過“十二五”建設(shè)，已經(jīng)初具規(guī)模，先后建設(shè)了頻率臺站、

天饋線、設(shè)備檢測、辦公OA等應(yīng)用系統(tǒng)。在信息安全基礎(chǔ)建設(shè)方面，建設(shè)了以CA系統(tǒng)和身

份驗證系統(tǒng)為基礎(chǔ)的應(yīng)用安全平臺，提供了用戶身份認證，業(yè)務(wù)單點登錄訪問、權(quán)限控制、

操作審計等功能。這些應(yīng)用系統(tǒng)和信息安全基礎(chǔ)設(shè)施的建設(shè)，很好滿足了遼寧省無線電管理

機構(gòu)信息化和信息安全的建設(shè)需要，為無線電管理工作起到了有力的業(yè)務(wù)支撐和安全支撐，

并為下一階段遼寧省無線電管理信息化建設(shè)打下了堅實的基礎(chǔ)。

但目前，遼寧省無線電管理信息系統(tǒng)建設(shè)基本以應(yīng)用系統(tǒng)為單位進行建設(shè)的，由于缺乏

全局規(guī)劃、缺乏統(tǒng)一的標準體系，每個系統(tǒng)受自身格局所限，形成了一個個的孤島，系統(tǒng)之

間銜接困難，系統(tǒng)的可擴展性差，存在著孤立的應(yīng)用系統(tǒng)、中斷的業(yè)務(wù)流程、分散的數(shù)據(jù)碎

片和低效的信息資源等問題，難以滿足業(yè)務(wù)不斷變化和發(fā)展需要；而在安全建設(shè)方面，原有

的身份驗證系統(tǒng)存在部分技術(shù)過時、對跨域訪問的支持功能有限以及與應(yīng)用系統(tǒng)全面整合困

難等，而無法滿足無線電管理信息系統(tǒng)安全建設(shè)的變化和進一步發(fā)展需要。因此，迫切需要

一個統(tǒng)一的平臺來合理整合無線電管理的信息資源及應(yīng)用，實現(xiàn)全局信息資源共享及人員協(xié)

作。與之相適應(yīng)，對原有的應(yīng)用安全平臺（CA和身份驗證系統(tǒng)）及安全規(guī)范需要升級，升

級后的應(yīng)用安全平臺是無線電管理一體化平臺的重要組成部分，對一體化平臺及各類無線電

管理應(yīng)用系統(tǒng)提供用戶身份、接入認證、單點登錄、統(tǒng)一授權(quán)、日志審計和跨域訪問等基礎(chǔ)

支撐服務(wù)。

為了保障應(yīng)用安全平臺順利升級成功，必須對應(yīng)用安全平臺進行統(tǒng)一的設(shè)計和驗證，實

現(xiàn)統(tǒng)一的技術(shù)架構(gòu)、統(tǒng)一的目錄結(jié)構(gòu)、規(guī)范的目錄命名、統(tǒng)一的目錄同步機制、統(tǒng)一的應(yīng)用

接入方式、規(guī)范的分級授權(quán)管理模式，形成相應(yīng)的建設(shè)指導(dǎo)性規(guī)范文件。

4.2主要目的

本文檔作為遼寧省無線電管理信息系統(tǒng)應(yīng)用安全平臺（以下簡稱“應(yīng)用安全平臺”）

及其上應(yīng)用的建設(shè)標準規(guī)范，一方面是規(guī)范無線電管理應(yīng)用安全平臺的升級，另一方面是

規(guī)范無線電管理應(yīng)用系統(tǒng)的安全建設(shè)，具體內(nèi)容包括：

1)規(guī)范應(yīng)用安全平臺的系統(tǒng)架構(gòu)，滿足“兩級架構(gòu)，多級管理”的總體要求；

2)規(guī)范應(yīng)用安全平臺的目錄實體命名編碼規(guī)則；

3)規(guī)范應(yīng)用安全平臺的統(tǒng)一認證及單點登錄機制；

3

DB21/T3099—2018

4)規(guī)范應(yīng)用安全平臺的省中心到各市分中心跨域認證機制；

5)規(guī)范應(yīng)用安全平臺的統(tǒng)一授權(quán)機制；

6)規(guī)范應(yīng)用安全平臺的統(tǒng)一審計機制；

7)規(guī)范應(yīng)用安全平臺的應(yīng)用系統(tǒng)集成接口。

4.3主要原則

應(yīng)用安全平臺及應(yīng)用的建設(shè)遵循如下原則：

1)統(tǒng)一性原則

應(yīng)用安全平臺的建設(shè)必須遵循統(tǒng)一原則，即統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一驗證和統(tǒng)一標

準的原則。

2)實用性原則

系統(tǒng)的建設(shè)將遵循實用性的原則，即切實解決遼寧省無線電管理信息系統(tǒng)的應(yīng)用安全

需要，盡量采用簡單明了的方案以降低系統(tǒng)成本。

3)利舊原則

應(yīng)用安全平臺的建設(shè)遵循利舊原則，合理考慮節(jié)約系統(tǒng)建設(shè)成本，在現(xiàn)有應(yīng)用安全平

臺的基礎(chǔ)上進行升級改造。

4)先進性原則

應(yīng)用安全平臺的體系架構(gòu)要采用國際先進的技術(shù)路線，基于先進的系統(tǒng)架構(gòu)，結(jié)合國

內(nèi)外成功案例的設(shè)計經(jīng)驗，從根本上保證系統(tǒng)運行的高效、穩(wěn)定、安全。

5)易擴展性原則

應(yīng)用安全平臺的體系架構(gòu)需要考慮現(xiàn)有的應(yīng)用系統(tǒng)和未來需要建設(shè)的應(yīng)用系統(tǒng)，以便

保證整個系統(tǒng)的不斷發(fā)展。

6)高可用性原則

應(yīng)用安全平臺的技術(shù)架構(gòu)必須要著重考慮系統(tǒng)運行的穩(wěn)定性，對設(shè)計中的關(guān)鍵組件應(yīng)

靈活采用雙機熱備等高可用性方案，并提供較完善的備份恢復(fù)策略，較好地解決單點故障

和系統(tǒng)災(zāi)難問題。

7)安全性原則

應(yīng)用安全平臺的技術(shù)架構(gòu)必須要充分考慮影響系統(tǒng)安全的各種因素，在數(shù)據(jù)通信、物

理部署等多個層面上落實系統(tǒng)的安全性原則。

8)標準化原則

應(yīng)用安全平臺在架構(gòu)、服務(wù)、數(shù)據(jù)和接口等多個層面上形成各級無線電管理機構(gòu)建設(shè)

的標準。

9)平滑過渡原則

應(yīng)用安全平臺的設(shè)計優(yōu)先保證對核心需求、核心系統(tǒng)的實現(xiàn)，在此基礎(chǔ)上漸次擴展覆

蓋范圍，盡量減少因系統(tǒng)建設(shè)對最終用戶的影響。

5總體技術(shù)框架

5.1總體架構(gòu)圖

4

DB21/T3099—2018

圖1總體架構(gòu)圖

應(yīng)用安全平臺是無線電管理一體化平臺的組成部分之一，應(yīng)用安全平臺由CA系統(tǒng)和

身份管理系統(tǒng)兩部分組成。CA系統(tǒng)已由省中心建設(shè)完成，主要為遼寧省各級無線電管理

機構(gòu)的所有用戶進行證書申請、審核和簽發(fā)等，各地無線電管理機構(gòu)主要負責向省中心提

交證書申請信息。身份管理系統(tǒng)需要省中心和各市分別建設(shè)，身份管理系統(tǒng)提供統(tǒng)一的用

戶管理、認證管理、授權(quán)管理、審計管理和組織機構(gòu)管理等，省中心的身份管理系統(tǒng)還提

供一個互信中心服務(wù)，為跨域訪問的用戶提供票據(jù)的驗證服務(wù)。應(yīng)用安全平臺的各個系統(tǒng)

之間、應(yīng)用安全平臺與一體化平臺之間的邏輯關(guān)系如圖1所示。

5.2應(yīng)用安全平臺邏輯結(jié)構(gòu)

應(yīng)用安全平臺是由CA系統(tǒng)和身份管理系統(tǒng)兩部分組成。CA系統(tǒng)提供數(shù)字證書、簽名

和加密等服務(wù)；身份管理系統(tǒng)提供統(tǒng)一的用戶身份管理、身份認證、授權(quán)管理、審計管理

和組織機構(gòu)管理等服務(wù)。

5.2.1CA與身份管理系統(tǒng)關(guān)系

CA系統(tǒng)為身份管理系統(tǒng)的身份認證服務(wù)提供證書

CA系統(tǒng)為遼寧省無線電管理機構(gòu)的所有用戶簽發(fā)數(shù)字證書，身份管理系統(tǒng)為用戶提

供統(tǒng)一的強身份認證。

身份管理系統(tǒng)從CA系統(tǒng)同步用戶身份信息

省中心及各市中心的身份管理系統(tǒng)均需要從省中心用戶信息庫中讀取用戶證書信息，

并基于證書信息生成用戶賬號信息。讀取接口參見附錄C。

5.2.2CA與一體化平臺關(guān)系

5

DB21/T3099—2018

CA系統(tǒng)作為一體化平臺的一部分，為一體化平臺提供數(shù)字證書。

5.2.3身份管理系統(tǒng)與一體化平臺關(guān)系

身份管理系統(tǒng)提供的認證管理、授權(quán)管理等功能被封裝并注冊到一體化平臺的服務(wù)總

線上，為用戶訪問應(yīng)用系統(tǒng)提供統(tǒng)一的認證、授權(quán)等服務(wù)。

5.2.4CA與應(yīng)用系統(tǒng)關(guān)系

CA系統(tǒng)提供數(shù)字證書，證書格式采用X.509標準，滿足應(yīng)用系統(tǒng)的強身份認證；還

可以為應(yīng)用系統(tǒng)提供數(shù)字簽名、信息完整性和機密性等服務(wù)。CA證書的開發(fā)接口參見附

錄G。

5.2.5身份管理系統(tǒng)與應(yīng)用系統(tǒng)

身份管理系統(tǒng)提供賬號服務(wù)

身份管理系統(tǒng)為應(yīng)用系統(tǒng)提供統(tǒng)一的賬號管理服務(wù)，新建設(shè)的應(yīng)用系統(tǒng)不用建設(shè)賬號

信息，直接接受身份管理系統(tǒng)推送的賬號信息；對于已建設(shè)的有賬號的應(yīng)用系統(tǒng)，身份管

理系統(tǒng)需要收集賬號信息，存儲在身份管理系統(tǒng)的身份信息庫中，并與身份管理系統(tǒng)基于

證書生成的賬號進行映射，以便于實現(xiàn)單點登錄。

身份管理系統(tǒng)提供認證授權(quán)和審計服務(wù)

身份管理系統(tǒng)為應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理、認證管理、授權(quán)管理和審計管理等功

能。

身份管理系統(tǒng)提供組織機構(gòu)信息

應(yīng)用系統(tǒng)如果需要組織機構(gòu)信息，可以直接從身份管理系統(tǒng)的用戶信息庫中讀取。

5.3區(qū)域邏輯結(jié)構(gòu)

5.3.1省中心與各市之間

5.3.1.1CA系統(tǒng)

CA系統(tǒng)已由省中心統(tǒng)一建設(shè)，各市只需通過部署的遠程注冊系統(tǒng)，將用戶注冊信息

提交至省中心進行審核，CA系統(tǒng)審核通過后為用戶簽發(fā)數(shù)字證書。證書申請規(guī)范詳見附

錄A。

5.3.1.2身份管理系統(tǒng)

5.3.1.2.1身份管理

省中心建立省中心用戶信息庫，除了存儲省中心的組織機構(gòu)信息、用戶身份信息和全

省的用戶證書數(shù)據(jù)外，還將存儲由各市中心上報來的組織機構(gòu)和用戶身份數(shù)據(jù)，今后將作

為全網(wǎng)范圍內(nèi)最完整、準確的中央身份庫。

各市中心建立本市范圍內(nèi)的市級用戶信息庫，存儲本市范圍內(nèi)的組織機構(gòu)信息、用戶

身份信息和用戶證書數(shù)據(jù)。其中用戶證書數(shù)據(jù)需從省中心用戶信息庫中讀??；用戶信息和

組織機構(gòu)信息如有變動，需提交給省中心，具體如下：

各市的身份管理系統(tǒng)從省中心用戶信息庫中同步本市所有用戶證書信息，遼寧省無線

電管理機構(gòu)中的每個用戶的唯一編碼是由4位國標“區(qū)域代碼”和“用戶編號”組成；各

市只能同步具有本市區(qū)域代碼標識的用戶證書信息。例如：沈陽市只能同步用戶編碼為

“0100XXXX”的用戶證書信息。具體的編碼規(guī)范詳見附錄B。

各市身份管理系統(tǒng)需要從省中心用戶信息庫中基于證書讀取接口（詳見附錄C）讀取

6

DB21/T3099—2018

各市用戶證書信息，基于證書信息生成用戶身份信息，并按照用戶身份信息模板（詳見附

錄D.3的用戶信息模板）將用戶身份信息提交至省中心，由省中心人員審核后，同步至省

中心用戶信息庫中。各市用戶身份信息如有變動，各市需將變動的信息通過模板（詳見附

錄D.3提報信息模板）提交至省中心，由省中心將人員變動信息審核通過后，同步至省中

心用戶信息庫中。

各市中心按照用戶組織機構(gòu)信息模板（詳見附錄D.3的組織機構(gòu)信息模板），將本市

用戶組織機構(gòu)信息提交至省中心，如果人員崗位、部門等信息有變動，各市將變動的信息

通過模板（詳見附錄D.3提報信息模板）提交至省中心，由省中心將人員變動信息審核通

過后，同步至省中心用戶信息庫中。

各市如有用戶需要跨域訪問省中心資源，用戶身份信息同步應(yīng)遵循如下流程：

首先由本市的管理員將本市需要進行跨域訪問的用戶進行統(tǒng)計，向省中心的管理員提

交申請；

省中心管理員審核通過后，從省中心庫中同步跨域訪問用戶的身份信息。

5.3.1.2.2身份認證

如果某市有用戶需要跨域訪問省中心資源，本市的身份管理系統(tǒng)的身份認證服務(wù)與省

中心的身份認證服務(wù)必須互信，系統(tǒng)時間必須保持同步。

對于需要進行跨域訪問的用戶，跨域訪問應(yīng)遵循如下流程：

如果認證服務(wù)未從用戶終端獲取票據(jù)，認證服務(wù)需要對跨域用戶認證，認證通過后為

用戶生成一個票據(jù)，調(diào)用票據(jù)存儲接口將票據(jù)存儲在用戶本地并存儲至省中心身份管理系

統(tǒng)的互信中心服務(wù)。

如果認證服務(wù)從用戶終端讀取票據(jù)，并調(diào)用票據(jù)驗證接口到省中心身份管理系統(tǒng)的互

信中心服務(wù)驗證票據(jù)是否有效，如果有效，用戶不用認證繼續(xù)訪問。反之，用戶需要在應(yīng)

用系統(tǒng)所在地的認證服務(wù)進行身份認證。具體接口詳見附錄F：票據(jù)接口。

5.3.1.2.3授權(quán)管理

省中心和各市中心的授權(quán)服務(wù)應(yīng)嚴格遵循“誰的資源誰管理、誰的資源誰授權(quán)”的原

則。對于跨區(qū)域訪問的用戶，由資源所在地的管理員根據(jù)用戶所屬中心、身份信息等為用

戶授予相應(yīng)的權(quán)限。

5.3.1.2.4審計管理

省中心和各市中心的審計服務(wù)應(yīng)嚴格遵循“誰的資源誰審計”的原則。對于跨域訪問

的用戶，由資源所在地的審計服務(wù)對用戶的所有訪問進行審計。

5.3.2各市與地市關(guān)系

各地市可以根據(jù)情況，選擇建設(shè)身份管理系統(tǒng)或者使用各市中心建設(shè)的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6應(yīng)用安全平臺建設(shè)規(guī)范

6.1CA系統(tǒng)建設(shè)規(guī)范

6.1.1CA系統(tǒng)功能建設(shè)規(guī)范

CA系統(tǒng)主要是對生命周期內(nèi)的數(shù)字證書全過程管理的安全系統(tǒng)。CA系統(tǒng)主要是由證

7

DB21/T3099—2018

書簽發(fā)系統(tǒng)、RA系統(tǒng)、密鑰管理系統(tǒng)和LRA等組成。CA系統(tǒng)（LN-SRRC-CA中心）已由省

中心統(tǒng)一建設(shè)。

6.1.1.1證書簽發(fā)系統(tǒng)

證書簽發(fā)系統(tǒng)提供了對生命周期內(nèi)的數(shù)字證書進行全過程的管理的功能，包括證書/

證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢和密鑰

的生成與管理及安全管理等。

證書/證書注銷列表生成與簽發(fā)系統(tǒng)

證書/證書注銷列表生成與簽發(fā)系統(tǒng)負責生成、簽發(fā)數(shù)字證書和生成證書注銷列表。

簽發(fā)的證書類型支持人員證書、設(shè)備證書和機構(gòu)證書；并支持雙證書機制（加密證書和簽

名證書）。

證書狀態(tài)查詢系統(tǒng)

證書狀態(tài)查詢系統(tǒng)應(yīng)為用戶和應(yīng)用系統(tǒng)提供證書狀態(tài)查詢服務(wù)，包括：

CRL查詢：用戶或應(yīng)用系統(tǒng)利用數(shù)字證書中標識的CRL地址，下載CRL，并檢驗證書

有效性；

在線證書狀態(tài)查詢：用戶或應(yīng)用系統(tǒng)按照OCSP協(xié)議，實時在線查詢證書的狀態(tài)。

證書管理系統(tǒng)

證書管理系統(tǒng)是證書認證系統(tǒng)中實現(xiàn)對證書/證書注銷列表的申請、審核、生成、簽

發(fā)、存儲、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)。

安全管理系統(tǒng)

安全管理系統(tǒng)主要包括安全審計系統(tǒng)和安全防護系統(tǒng)。

安全審計系統(tǒng)提供事件級審計功能，對涉及系統(tǒng)安全的行為、人員、時間等記錄進行

跟蹤、統(tǒng)計和分析。

安全防護系統(tǒng)提供訪問控制、入侵檢測、漏洞掃描、病毒防治等網(wǎng)絡(luò)安全功能。

6.1.1.2RA注冊管理系統(tǒng)

用戶注冊管理系統(tǒng)負責用戶的證書申請、身份審核和證書下載，可分為本地注冊管理

系統(tǒng)和遠程注冊管理系統(tǒng)。

省中心應(yīng)部署本地注冊管理系統(tǒng)；各市分中心應(yīng)部署遠程注冊管理系統(tǒng)。

證書申請

證書申請可采用在線方式：各市中心用戶通過專網(wǎng)登錄到用戶注冊管理系統(tǒng)申請證

書；

身份審核

省中心審核人員通過用戶注冊管理系統(tǒng)，對證書申請者進行身份審核；

證書下載

證書下載可采用在線方式：各市中心用戶通過專網(wǎng)等登錄到用戶注冊管理系統(tǒng)下載證

書。

6.1.1.3秘鑰管理系統(tǒng)

密鑰管理中心提供了對生命周期內(nèi)的加密證書密鑰對進行全過程管理的功能，包括密

鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤銷、密鑰歸檔、密鑰恢復(fù)以

及安全管理等。

密鑰生成

根據(jù)CA的請求為用戶生成非對稱密鑰對，該密鑰對由密鑰管理中心的硬件加密設(shè)備

8

DB21/T3099—2018

生成。

密鑰存儲

密鑰管理中心生成的非對稱密鑰對，經(jīng)硬件加密設(shè)備加密后存儲在數(shù)據(jù)庫中。

密鑰分發(fā)

密鑰管理中心生成的非對稱密鑰對通過證書認證系統(tǒng)分發(fā)到用戶證書載體中。

密鑰備份

密鑰管理中心采用熱備份、冷備份和異地備份等措施實現(xiàn)密鑰備份。

密鑰更新

當證書到期或用戶需要時，密鑰管理中心根據(jù)CA請求為用戶生成新的非對稱密鑰對。

密鑰撤銷

當證書到期、用戶需要或管理機構(gòu)認為必要時，密鑰管理中心根據(jù)CA請求撤銷用戶

當前使用的密鑰。

密鑰歸檔

密鑰管理中心為到期或撤銷的密鑰提供安全長期的存儲。

密鑰恢復(fù)

密鑰管理中心可為用戶提供密鑰恢復(fù)服務(wù)和為司法取證提供密鑰恢復(fù)服務(wù)。密鑰恢復(fù)

需按管理策略進行審批，一般用戶只限于恢復(fù)自身密鑰。

6.1.1.4LRA系統(tǒng)

LRA系統(tǒng)為本地申請證書的用戶信息進行注冊。

6.1.2性能指標

6.1.2.1系統(tǒng)容量

CA系統(tǒng)能支持50000個以上的用戶證書的簽發(fā)和管理。

6.1.2.2響應(yīng)速度

CA系統(tǒng)數(shù)字證書的簽發(fā)時間不超過1秒。

6.1.2.3加密算法

CA系統(tǒng)加密算法應(yīng)符合國家相關(guān)法律和法規(guī)要求，并能對加密算法的種類和強度進

行擴充和替換。

6.1.2.4密鑰保存期

密鑰保存期不少于10年。

6.2身份管理系統(tǒng)建設(shè)規(guī)范

6.2.1身份管理系統(tǒng)功能建設(shè)規(guī)范

身份管理系統(tǒng)主要為用戶訪問應(yīng)用系統(tǒng)提供統(tǒng)一的身份管理、認證管理、授權(quán)管理、

審計管理和組織機構(gòu)管理等功能。主要是由身份管理、認證管理、授權(quán)管理、審計管理和

組織機構(gòu)管理等模塊組成。身份管理系統(tǒng)應(yīng)遵循三員管理，身份管理系統(tǒng)應(yīng)能支持多種操

作系統(tǒng)平臺，并且對用戶終端的操作系統(tǒng)無限制。

身份管理系統(tǒng)與LN-SRRC-CA中心的關(guān)系、省中心身份管理系統(tǒng)與各市中心身份管理

系統(tǒng)的關(guān)系及要求具體參見第5章。

9

DB21/T3099—2018

6.2.1.1身份管理

身份管理應(yīng)支持從LN-SRRC-CA中心同步用戶信息，支持從智能密碼鑰匙Key證書導(dǎo)

入用戶信息，支持和第三方應(yīng)用業(yè)務(wù)（數(shù)據(jù)庫/LDAP）雙向同步用戶信息，支持以組織機

構(gòu)方式對用戶進行分類管理，支持臨時用戶管理。

身份管理應(yīng)能接管BS和CS應(yīng)用系統(tǒng)賬號信息，支持Linux主機、Windows主機、數(shù)

據(jù)庫、LDAP、AD域等多種賬號同步方式，支持組、角色等多種賬號授權(quán)方式。

用戶信息庫的存儲建議采用LDAP方式，省級用戶信息庫與省中心用戶信息庫的關(guān)系

參見6.3.1.2.1。應(yīng)以WebService服務(wù)方式為應(yīng)用系統(tǒng)提供組織機構(gòu)及用戶信息查詢和讀

取接口，各市的應(yīng)用系統(tǒng)如果需要讀取組織機構(gòu)及用戶信息，直接從各市級用戶信息庫中

讀取，由各市自行定義。各市的組織機構(gòu)信息和人員屬性信息存儲可參考附錄D的D.1

和D.2。

6.2.1.2身份認證

身份認證應(yīng)能實現(xiàn)用戶統(tǒng)一身份認證、單點登錄功能；用戶認證方式應(yīng)能采用

LN-SRRC-CA中心發(fā)布的數(shù)字證書認證方式，應(yīng)支持對網(wǎng)段、時間、IP等多種認證策略設(shè)

置。

應(yīng)調(diào)用省中心身份管理系統(tǒng)的互信中心服務(wù)提供的票據(jù)存儲、讀取和驗證接口，實現(xiàn)

5.3.1.2.2中所要求的跨域訪問。具體接口詳見附錄F：票據(jù)接口。

6.2.1.3授權(quán)管理

授權(quán)管理應(yīng)支持入口級授權(quán)和細粒度授權(quán)；細粒度授權(quán)應(yīng)支持資源的菜單級、URL級

的權(quán)限控制，應(yīng)支持基于角色權(quán)限的配置管理；對于記錄級、數(shù)據(jù)庫字段級的授權(quán)可以由

應(yīng)用系統(tǒng)自行定義。

6.2.1.4審計管理

審計管理應(yīng)提供審計接口，支持其他應(yīng)用系統(tǒng)的日志信息上報；支持用戶行為關(guān)聯(lián)審

計；支持基于用戶名、用戶IP、資源、時間的訪問統(tǒng)計；支持日志的告警、自動清理管理

等。

6.2.2網(wǎng)絡(luò)部署

10

DB21/T3099—2018

圖2身份管理系統(tǒng)部署圖

省中心和各市中心部署身份管理系統(tǒng)，為本中心用戶和跨區(qū)域訪問的用戶提供身份管

理、認證管理、授權(quán)管理和審計管理等服務(wù)。部署方式可以采用與應(yīng)用系統(tǒng)并聯(lián)、與應(yīng)用

系統(tǒng)串聯(lián)等方式。

各地市可以根據(jù)情況，選擇建設(shè)身份管理系統(tǒng)或者使用各市中心建設(shè)的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6.2.3性能建設(shè)規(guī)范

6.2.3.1雙機熱備

應(yīng)支持雙機熱備，支持主從設(shè)備之間的數(shù)據(jù)同步、故障切換和恢復(fù)回切。主從設(shè)備之

間的切換時間小于15秒。

6.2.3.2備份策略

身份管理系統(tǒng)應(yīng)能支持硬件、軟件和數(shù)據(jù)庫備份。

6.2.3.3安全傳輸

用戶終端與身份管理系統(tǒng)之間需建立起一個安全通道來保障數(shù)據(jù)傳輸?shù)陌踩c完整。

6.2.3.4運行穩(wěn)定性

身份管理系統(tǒng)應(yīng)能保證系統(tǒng)提供7×24小時不間斷服務(wù)。MTBF>100000小時。

6.2.3.5響應(yīng)速度

身份管理系統(tǒng)造成的系統(tǒng)延時不超過1秒。

11

DB21/T3099—2018

7應(yīng)用系統(tǒng)安全規(guī)范

應(yīng)用系統(tǒng)在實現(xiàn)應(yīng)用安全平臺提供的加解密、編碼、數(shù)字簽名、數(shù)字證書、安全協(xié)議、

策略機制、審計服務(wù)、授權(quán)管理、訪問控制、身份認證等服務(wù)的建設(shè)過程中，應(yīng)用系統(tǒng)的

開發(fā)和實施必須遵循如下規(guī)范。鑒于本次規(guī)范中只考慮CA系統(tǒng)提供的強身份認證功能，

7.1基于CA系統(tǒng)建設(shè)規(guī)范

遼寧省的CA認證中心頒發(fā)的數(shù)字證書完全符合X.509標準。應(yīng)用系統(tǒng)要實現(xiàn)CA系統(tǒng)

提供的身份認證、數(shù)據(jù)的完整性、機密性和不可抵賴性等功能，需要調(diào)用CA證書開發(fā)接

口來完成服務(wù)，接口詳見附錄G的CA證書開發(fā)接口。

7.2基于身份管理系統(tǒng)建設(shè)規(guī)范

7.2.1身份管理規(guī)范

已建設(shè)未被原有身份驗證系統(tǒng)接管和已被身份驗證系統(tǒng)接管的應(yīng)用系統(tǒng)，身份管理系

統(tǒng)需要從應(yīng)用系統(tǒng)上收集已有的用戶賬號，并進行賬號映射授權(quán)，以實現(xiàn)單點登錄功能。

新建的應(yīng)用系統(tǒng)不需要新建賬號，開發(fā)時依照身份管理系統(tǒng)提供的接口，直接調(diào)用身

份管理系統(tǒng)提供的接口，接受身份管理系統(tǒng)推進的賬號信息。

7.2.2認證管理規(guī)范

已建設(shè)未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應(yīng)用系統(tǒng)，應(yīng)用廠商

必須對應(yīng)用系統(tǒng)進行改造，調(diào)用身份管理系統(tǒng)提供的接口，以實現(xiàn)用戶認證和單點登錄功

能。

新建應(yīng)用系統(tǒng)，開發(fā)時應(yīng)依據(jù)身份管理系統(tǒng)提供的認證接口和單點登錄接口，直接調(diào)

用身份管理系統(tǒng)提供的接口來完成用戶認證和單點登錄功能。

7.2.3授權(quán)管理規(guī)范

已建設(shè)未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實現(xiàn)

統(tǒng)一授權(quán)，應(yīng)用廠商必須對應(yīng)用系統(tǒng)進行改造，調(diào)用身份管理系統(tǒng)提供的接口；

新建應(yīng)用系統(tǒng)，開發(fā)時應(yīng)依據(jù)身份管理系統(tǒng)提供的授權(quán)接口，接受身份管理系統(tǒng)推送

過來的同名賬號，基于同名賬號進行統(tǒng)一授權(quán)。

7.2.4審計管理規(guī)范

已建設(shè)未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實現(xiàn)

統(tǒng)一審計，應(yīng)用廠商必須對應(yīng)用系統(tǒng)進行改造，調(diào)用身份管理系統(tǒng)提供的審計接口將審計

信息。

新建應(yīng)用系統(tǒng)，開發(fā)時應(yīng)依據(jù)身份管理系統(tǒng)提供的審計接口，直接調(diào)用身份管理系統(tǒng)

提供的接口來實現(xiàn)審計功能。

7.2.5組織機構(gòu)管理規(guī)范

已建設(shè)未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應(yīng)用系統(tǒng)如需調(diào)用

統(tǒng)一的組織機構(gòu)及用戶信息，應(yīng)用廠商必須對應(yīng)用系統(tǒng)進行改造，調(diào)用身份管理系統(tǒng)提供

的組織機構(gòu)查詢和讀取接口。新建應(yīng)用系統(tǒng)，開發(fā)時應(yīng)依據(jù)身份管理系統(tǒng)提供的組織結(jié)構(gòu)

查詢和讀取接口。

各市可以按照上述要求，在此基礎(chǔ)上根據(jù)自身建設(shè)的身份管理系統(tǒng)出臺相應(yīng)的應(yīng)用系

12

DB21/T3099—2018

統(tǒng)開發(fā)接口規(guī)范，并在規(guī)范中明確新建應(yīng)用系統(tǒng)、已有應(yīng)用系統(tǒng)的分別實現(xiàn)方式和接口服

務(wù)等。

13

DB21/T3099—2018

附錄A

(資料性附錄)

證書申請使用管理規(guī)范

遼寧省的LN-SRRC-CA中心將按照有關(guān)程序，統(tǒng)一對遼寧省無線電管理機構(gòu)的工作人

員、外單位的維護人員和各種安全實體對象（如VPN安全網(wǎng)關(guān)等）進行發(fā)證、認證。

1)各市無線電管理機構(gòu)用戶證書及服務(wù)器證書應(yīng)統(tǒng)一申請，經(jīng)主管領(lǐng)導(dǎo)批準后發(fā)放，

由專人操作，不得移交他人擅自操作，申請時需仔細核實用戶有關(guān)信息，不得一

人申請多證書或多人共用一個證書。

2)各市無線電管理機構(gòu)在申請證書時，在申請界面“是否備份加密密鑰”處選中，

用來備份數(shù)字證書。備份數(shù)據(jù)應(yīng)由專人負責管理。

3)用戶數(shù)字證書有效期為10年。如需增加、變更或注銷證書的，盡量安排在同一

時間操作并電話或E-MAIL通知遼寧省無線電監(jiān)測中心相關(guān)負責人。

14

DB21/T3099—2018

附錄B

(資料性附錄)

區(qū)域代碼表

省中心區(qū)域代碼為2100，其他中心區(qū)域代碼參照國家標準GB/T2260-1999。

15

DB21/T3099—2018

附錄C

(資料性附錄)

證書讀取接口

接口名稱：getCACerts

接口描述：根據(jù)區(qū)域編碼獲取CA證書列表

傳入?yún)?shù)：regionCode字符串類型區(qū)域代碼

傳出參數(shù)：Json格式CA證書列表

[{username:00000001,regioncode:0000,cacert:<Base64的證書字符串信息1>},

{username:00000002,regioncode:0000,cacert:<Base64的證書字符串信息2>}

]

16

DB21/T3099—2018

附錄D

(資料性附錄)

組織機構(gòu)信息規(guī)范

D.1存儲結(jié)構(gòu)

組織(o=organization)下的子樹,就是按照“遼寧省無線電管理機構(gòu)”的實際組織機構(gòu)

結(jié)構(gòu)進行分級存儲，直觀反映組織間的上下級關(guān)系。組織子樹下包含屬于該組織的人員列

表，這里每個人只是一個索引，指向人員子樹下具體的某個人員。

D.2組織機構(gòu)人員屬性表

LDAP字段字段說明

cn組織編碼

displayName組織名稱

description組織機構(gòu)職能

custLevelid組織架構(gòu)層次

custParentOrgCode上級組織編碼

custParentOrgName上級組織名稱

member組織成員（完整dn）

D.3組織機構(gòu)信息同步規(guī)范

各市的用戶身份信息、組織機構(gòu)信息、用戶身份與組織機構(gòu)關(guān)系都基于模板，以excel

格式提交至省中心，由省中心審核通過后，將該excel中的數(shù)據(jù)同步至省中心用戶信息庫

中。各市如果有用戶信息修改，需要將修改信息提交至省中心，各個模板如下：

17

DB21/T3099—2018

D.4用戶身份信息模板

用戶身份信息模板

填寫規(guī)范：

1、粗體標*字段為必填項；

2、所有日期字段格式為：yyyy-mm-dd，例如：2013-09-17

3、性別可選值為：男/女；

4、任職狀態(tài)可選值為：在職/離職；

5、直接上級主管允許有多個，填寫上級主管用戶名，以英文輸入狀態(tài)的逗號分隔；

*用戶名*用戶姓名*性別出生日期*電子郵件辦公電話手機通訊地址*直接上級任職狀態(tài)入職時間離職時間

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。

18

DB21/T3099—2018

D.5組織機構(gòu)信息模板

組織機構(gòu)信息模板

填寫規(guī)范：

1、粗體標*字段為必填項；

2、組織機構(gòu)層級可選值為0/10/20/30/40，遼寧省無線電監(jiān)測中心為0，按行政組織機構(gòu)遞增；

3、上級組織機構(gòu)名稱為當前組織機構(gòu)的上級組織機構(gòu)全名；

4、組織機構(gòu)成員可有多個，填寫用戶編碼，以英文輸入狀態(tài)的逗號分隔；

*組織機構(gòu)名稱*組織機構(gòu)職能描述*組織機構(gòu)層級*上級組織機構(gòu)名稱組織機構(gòu)成員

遼寧省無線電監(jiān)測中心遼寧省無線電監(jiān)測中心為……0

信息管理處……10遼寧省無線電監(jiān)測中心00001201,00001202

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。

19

DB21/T3099—2018

D.6提報信息模板

提報單位：

提報時間：

提報人：

聯(lián)系電話：

提報信息說明：

20

DB21/T3099—2018

附錄E

(資料性附錄)

地市應(yīng)用安全平臺建設(shè)方案

E.1集中部署

各市需要使用省中心部署的身份管理系統(tǒng)來完成用戶賬號管理、認證、授權(quán)和審計等服務(wù)，如果

各市有應(yīng)用系統(tǒng)，也需要將各市的應(yīng)用系統(tǒng)與身份管理系統(tǒng)做整合。網(wǎng)絡(luò)部署結(jié)構(gòu)如下：

應(yīng)用系統(tǒng)

4A系統(tǒng)

省中心

網(wǎng)

地專

市部

內(nèi)

用戶內(nèi)

部

專

網(wǎng)

地應(yīng)用系統(tǒng)

內(nèi)部市

專網(wǎng)

用戶

網(wǎng)

專

部

內(nèi)

地

市

用戶

圖E.1身份管理系統(tǒng)集中部署圖

E.1.1應(yīng)用場景

E.1.1.1各市用戶訪問省中心的應(yīng)用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返回用戶票據(jù)；

4)用戶攜帶票據(jù)訪問省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)驗證用戶票據(jù)是否合法；如果票據(jù)合法，用戶

可以訪問應(yīng)用系統(tǒng)。

E.1.1.2各市用戶訪問本地市應(yīng)用系統(tǒng)

21

DB21/T3099—2018

1)用戶通登錄本地市的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請求通過廣域網(wǎng)重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)通過廣域網(wǎng)返回用

戶票據(jù)

4)用戶攜帶票據(jù)訪問應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)驗證用戶票據(jù)是否合法；如果票據(jù)合法，用戶可以訪

問應(yīng)用系統(tǒng)。

E.1.2集中式部署特點

E.1.2.1集中式部署優(yōu)點

1)節(jié)省費用，地市無需購買身份管理系統(tǒng)；

2)方便省中心對各市的業(yè)務(wù)、人員的管控；

3)各市級網(wǎng)絡(luò)管理員維護簡單。

E.1.2.2集中式部署缺點

1)各市用戶訪問容易受省中心和地市之間網(wǎng)絡(luò)的影響，如果一旦網(wǎng)絡(luò)有故障，各市用戶就無法

訪問；

2)訪問速度慢；

3)省級網(wǎng)絡(luò)管理員維護工作量大。

E.2分布式部署

各市可以建設(shè)身份管理系統(tǒng)來完成對本地市用戶的賬號管理、認證、授權(quán)和審計等服務(wù)。網(wǎng)絡(luò)部

署結(jié)構(gòu)如下：

22

DB21/T3099—2018

4A系統(tǒng)

地

市內(nèi)

部

應(yīng)用系統(tǒng)專

網(wǎng)

4A系統(tǒng)

用戶

局域網(wǎng)省

中

內(nèi)部

專網(wǎng)心

應(yīng)用系統(tǒng)

網(wǎng)

專

部用戶

內(nèi)

4A系統(tǒng)

地

市

應(yīng)用系統(tǒng)

用戶

圖E.2身份管理系統(tǒng)分布式部署圖

E.2.1應(yīng)用場景

E.2.1.1各市用戶訪問省中心的應(yīng)用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返