DB21T 3099-2018 CA安全平臺體系架構(gòu)及應(yīng)用規(guī)范

DB21CASecurityplatformframework遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布I 1 1 1 1 3 3 3 4 4 5 5 6 7 9 9 附錄B(資料性附錄)區(qū)域代碼表 附錄C(資料性附錄)證書讀取接口 附錄D(資料性附錄)組織機(jī)構(gòu)信息規(guī)范 附錄E(資料性附錄)地市應(yīng)用安全平臺建設(shè)方案 附錄F(資料性附錄)票據(jù)接口 附錄G(資料性附錄)CA證書開發(fā)接口 本規(guī)范按照GB/T1.1-2009給1CA安全平臺體系架構(gòu)及應(yīng)用規(guī)范2規(guī)范性引用文件3術(shù)語、定義和縮略語123無線電管理一體化平臺是指以“平臺+應(yīng)用”為思想，以SOA為技術(shù)架構(gòu)，以先進(jìn)信息123省中心用戶信息庫Provincialuser2市級用戶信息庫Municipaluser用戶認(rèn)證通過后，身份管理系統(tǒng)的認(rèn)證服務(wù)器給用戶簽發(fā)3入口級授權(quán)Entranceauthoriz細(xì)粒度授權(quán)Refiningauth細(xì)粒度授權(quán)是指對用戶訪問應(yīng)用系統(tǒng)的具體內(nèi)容，例如：菜單、功能模塊、URL等進(jìn)行CertificationAuthoLightweightDirectoryAccessProtLocalRegistrationAuthOnlineCertificateStatusProCryptographyApplicationProgrammingIntRemoteAuthenticationDialInUserSer天饋線、設(shè)備檢測、辦公OA等應(yīng)用系統(tǒng)。在信息安全基礎(chǔ)建設(shè)方面，建設(shè)了以CA系統(tǒng)和身并為下一階段遼寧省無線電管理信息化建設(shè)打下了堅(jiān)實(shí)的基作。與之相適應(yīng)，對原有的應(yīng)用安全平臺（CA和身份驗(yàn)證系統(tǒng)）及安全規(guī)范需要升級，升4接入方式、規(guī)范的分級授權(quán)管理模式，形成相應(yīng)的建設(shè)指導(dǎo)性規(guī)范文12344.2主要目的本文檔作為遼寧省無線電管理信息系統(tǒng)應(yīng)用安全平臺（以下簡稱3)規(guī)范應(yīng)用安全平臺的統(tǒng)一認(rèn)證及單點(diǎn)登錄機(jī)制；4.3主要原則55.1總體架構(gòu)圖身份管理系統(tǒng)兩部分組成。CA系統(tǒng)已由省中心建設(shè)完成，主要為遼寧省各6123455.2應(yīng)用安全平臺邏輯結(jié)構(gòu)CA系統(tǒng)為遼寧省無線電管理機(jī)構(gòu)的所有用戶簽發(fā)數(shù)字證書，身5.2.3身份管理系統(tǒng)與一體化平臺關(guān)系線上，為用戶訪問應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證、可以為應(yīng)用系統(tǒng)提供數(shù)字簽名、信息完整性和機(jī)密性等服務(wù)。CA證書5.2.5身份管理系統(tǒng)與應(yīng)用系統(tǒng)7CA系統(tǒng)已由省中心統(tǒng)一建設(shè)，各市只需通過部署的遠(yuǎn)程注冊系統(tǒng)提交至省中心進(jìn)行審核，CA系統(tǒng)審核通過后為用戶簽發(fā)數(shù)字證書。證12345市只能同步具有本市區(qū)域代碼標(biāo)識的用戶證書信息。例如：沈陽市只能同步用戶編碼為“0100XXXX”的用戶證書信息。具體的編碼規(guī)8各市如有用戶需要跨域訪問省中心資源，用戶身份信息同步應(yīng)遵循省中心管理員審核通過后，從省中心庫中同步跨域訪問用戶12345對于需要進(jìn)行跨域訪問的用戶，跨域訪問應(yīng)遵循如下流9123455.3.2各市與地市關(guān)系6應(yīng)用安全平臺建設(shè)規(guī)范123456證書簽發(fā)系統(tǒng)提供了對生命周期內(nèi)的數(shù)字證書進(jìn)行全過程的管理的功能，包括證書/證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢和密鑰證書/證書注銷列表生成與簽發(fā)系統(tǒng)負(fù)責(zé)生成、簽發(fā)數(shù)字證書和生成證書注銷CRL查詢：用戶或應(yīng)用系統(tǒng)利用數(shù)字證書中標(biāo)識的CRL地址，下載CRL，并檢驗(yàn)證書證書管理系統(tǒng)是證書認(rèn)證系統(tǒng)中實(shí)現(xiàn)對證書/證書注銷列表的申請、審核、生成、簽省中心應(yīng)部署本地注冊管理系統(tǒng)；各市分中心應(yīng)部署遠(yuǎn)程注證書申請可采用在線方式：各市中心用戶通過專網(wǎng)登錄到用戶注冊管理系統(tǒng)申請證密鑰管理中心生成的非對稱密鑰對，經(jīng)硬件加密設(shè)備加密后存儲在數(shù)密鑰管理中心生成的非對稱密鑰對通過證書認(rèn)證系統(tǒng)分發(fā)到用戶證書密鑰管理中心采用熱備份、冷備份和異地備份等措施實(shí)現(xiàn)密123456CA系統(tǒng)加密算法應(yīng)符合國家相關(guān)法律和法規(guī)要求，并能對加密123456入用戶信息，支持和第三方應(yīng)用業(yè)務(wù)（數(shù)據(jù)庫/LDAP）雙向同步用戶信息，支持以組織機(jī)身份認(rèn)證應(yīng)能實(shí)現(xiàn)用戶統(tǒng)一身份認(rèn)證、單點(diǎn)登錄功能；用戶認(rèn)證方式應(yīng)能采用LN-SRRC-CA中心發(fā)布的數(shù)字證書123456開發(fā)和實(shí)施必須遵循如下規(guī)范。鑒于本次規(guī)范中只考慮CA系統(tǒng)提供的強(qiáng)身份認(rèn)證功能，1234567已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實(shí)現(xiàn)已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實(shí)現(xiàn)已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需調(diào)用3)用戶數(shù)字證書有效期為10年區(qū)域代碼表省中心區(qū)域代碼為2100，其他中心區(qū)域代碼參照國家標(biāo)準(zhǔn)GB/T2260-1999。]組織(o=organization)下的子樹,就是按照“遼寧省無線電管理機(jī)構(gòu)”的實(shí)際組織機(jī)構(gòu)用戶身份信息模板填寫規(guī)范：1、粗體標(biāo)*字段為必填項(xiàng)；3、性別可選值為：男/女；4、任職狀態(tài)可選值為：在職/離職；5、直接上級主管允許有多個，填寫上級主管用戶名，以英文輸入狀態(tài)的逗號分隔；通訊地址任職狀態(tài)入職時間注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實(shí)際填寫時請將其清除。組織機(jī)構(gòu)信息模板填寫規(guī)范：1、粗體標(biāo)*字段為必填項(xiàng)；3、上級組織機(jī)構(gòu)名稱為當(dāng)前組織機(jī)構(gòu)的上級組織機(jī)構(gòu)全名；4、組織機(jī)構(gòu)成員可有多個，填寫用戶編碼，以英文輸入狀態(tài)的逗號分隔；*組織機(jī)構(gòu)名稱*組織機(jī)構(gòu)職能描述*組織機(jī)構(gòu)層級*上級組織機(jī)構(gòu)名稱組織機(jī)構(gòu)成員遼寧省無線電監(jiān)測中心遼寧省無線電監(jiān)測中心為……0信息管理處……遼寧省無線電監(jiān)測中心00001201,00001202注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實(shí)際填寫時請將其清除。提報(bào)單位：提報(bào)時間：提報(bào)人：聯(lián)系電話：提報(bào)信息說明：應(yīng)用系統(tǒng)4A系統(tǒng)應(yīng)用系統(tǒng)4A系統(tǒng)省中心省中心地市用戶地市用戶內(nèi)部專網(wǎng)地市米用戶應(yīng)用系統(tǒng)內(nèi)部專網(wǎng)地市米用戶應(yīng)用系統(tǒng)地市地市用戶783)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)返回用戶票據(jù)；1)用戶通登錄本地市的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；2)應(yīng)用系統(tǒng)將用戶訪問請求通過廣域網(wǎng)重定向到省中心的身份管理系統(tǒng)上；地市地市米米省中心 局域網(wǎng)省中心 局域網(wǎng)地市地市3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)返回用戶票據(jù)；2)應(yīng)用系統(tǒng)將用戶訪問請求重定向到各市中心的身份管理系統(tǒng)上；3)用戶在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)返回用戶票據(jù)；2)不利用省中心對各市用戶的管理控制；3)各市級維護(hù)困難維護(hù)相對困難，需要有專業(yè)的人員來維護(hù)。票據(jù)接口類型：String類型定義：StringsaveServiceTi定義：StringvalidateSe