1、 ICS 35.100.70 M 10 DB21 辽宁省地方标准 DB21/T 30992018 CA 安全平台体系架构及应用规范 CA Security platform framework and application specification 2018 - 12 - 25 发布 2019 - 01 - 25 实施 辽宁省质量技术监督局 发 布 DB21/T 30992018 I 目 次 前言 . III 引言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 3 4 概述 . 3 4.1 背景 .
2、3 4.2 主要目的 . 4 4.3 主要原则 . 4 5 总体技术框架 . 5 5.1 总体架构图 . 5 5.2 应用安全平台逻辑结构 . 6 5.3 区域逻辑结构 . 7 6 应用安全平台建设规范 . 9 6.1 CA 系统建设规范 . 9 6.2 身份管理系统建设规范 . 12 7 应用系统安全规范 . 14 7.1 基于 CA 系统建设规范 . 14 7.2 基于身份管理系统建设规范 . 14 附录 A(资料性附录) 证书申请使用管理规范 . 17 附录 B(资料性附录) 区域代码表 . 18 附录 C(资料性附录) 证书读取接口 . 19 附录 D(资料性附录) 组织机构信息规范
3、. 20 D.1 存储结构 . 20 D.2 组织机构人员属性表 . 20 D.3 组织机构信息同步规范 . 20 D.4 用户身份信息模板 . 21 D.5 组织机构信息模板 . 22 D.6 提报信息模板 . 23 附录 E(资料性附录) 地市应用安全平台建设方案 . 24 E.1 集中部署 . 24 E.2 分布式部署 . 26 附录 F(资料性附录) 票据接口 . 28 F.1 票据存储 . 28 F.2 票据读取 . 28 DB21/T 30992018 II F.3 票据验证 . 28 附录 G(资料性附录) CA 证书开发接口 . 29 G.1 签名接口 . 29 G.2 验签接
4、口 . 29 G.3 加密接口 . 29 G.4 解密接口 . 30 参考文献 . 31 DB21/T 30992018 III 前 言 本规范按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由辽宁省工业和信息化委员会提出。 本文件由辽宁省工业和信息化委员会归口。 本文件起草单位:辽宁省重大技术装备战略基地建设工程中心。 本文件主要起草人:杨旭、孟娇、张印、孙宏志。 DB21/T 30992018 IV 引 言 辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的, 由于缺乏全局规划、 缺乏统一的标准体
5、系, 每个系统受自身格局所限, 形成了一个个的孤岛, 系统之间衔接困难, 系统的可扩展性差,存在着孤立的应用系统、中断的业务流程、分散的数据碎片和低效的信息资源等问题,难以满足业务不断变化和发展需要。 在安全建设方面, 原有的身份验证系统存在部分技术过时、 对跨域访问的支持功能有限以及与应用系统全面整合困难等,而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此,迫切需要一个统一的平台来合理整合无线电管理的信息资源及应用, 实现全局信息资源共享及人员协作。 与之相适应,对原有的应用安全平台(CA和身份验证系统)及安全规范需要升级,升级后的应用安全平台是无线电管理一体化平台的重要组成
6、部分, 对一体化平台及各类无线电管理应用系统提供用户身份、 接入认证、单点登录、统一授权、日志审计和跨域访问等基础支撑服务。 为保障应用安全平台顺利升级成功, 必须对应用安全平台进行统一的设计和验证, 实现统一的技术架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用接入方式、规范的分级授权管理模式,形成相应的建设指导性规范文件。 DB21/T 30992018 1 CA 安全平台体系架构及应用规范 1 范围 本文件规定了无线电管理一体化平台建设信息系统涉及的有关统一目录管理、 单点登录、统一身份管理、统一认证、授权及审计管理等的应用安全体系建设的原则和方法,适用于辽宁省各级无
7、线电管理机构和辽宁省无线电管理信息系统中的应用安全平台及应用系统、 网络安全传输设备及其运行和管理软件等的开发和实施单位。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。 凡是不注日期的引用文件, 其最新版本 (包括所有的修改单) 适用于本文件。 GB/T 13622 无线电管理术语 3 术语、定义和缩略语 GB/T 13622 界定的以及下列术语、定义和缩略语适用于本文。 1 2 3 3.1 术语和定义 3.1.1 无线电管理一体化平台 IT integration platform for radio management
8、 无线电管理一体化平台是指以“平台+应用”为思想,以 SOA 为技术架构,以先进信息化技术搭建的通用软件平台,包括物理资源,SOA 中间件,通用支撑软件,数据处理平台等系列平台化软件,即一体化平台是一体化战略的信息化具体体现。 1 2 3 3.1 3.1.1 3.1.2 省中心用户信息库 Provincial user database DB21/T 30992018 2 省中心用户信息库包含了辽宁省无线电管理机构所有用户的身份信息、 证书信息和组织机构信息,存储在省中心的身份管理系统中。 3.1.1 3.1.2 3.1.3 市级用户信息库 Municipal user database 市级
9、用户信息库指各市无线电管理机构的用户身份信息、 证书信息和组织机构信息, 存储在各市的身份管理系统中。 3.1.4 用户身份库 User ID database 用户身份库指存储身份管理系统相关的账号、权限和审计等信息。 3.1.5 身份管理 ID management 身份管理是对用户身份的创建、修改、迁移、冻结、删除和同步等操作的管理。 3.1.6 账号 Account number 应用系统中用于登录的用户名叫做账号。 3.1.7 审计管理 Audit management 审计管理是对用户的登录和操作等行为进行记录,查询和系统分析的过程。 3.1.8 数字证书 Digital ceti
10、ficates 数字证书是网络通讯中标志通信各方身份信息的一系列数据, 提供了一种验证身份的方式,其作用类似于身份证。它由权威机构-CA机构颁发,在相互通信中用它来识别双方的身份。 3.1.9 单点登录 Single point login 单点登录是指“登录一次,便可访问多个系统”。 3.1.10 证书注销列表 Certificate logout list 证书注销列表是在证书有效期之内,CA签发的终止使用证书的信息。 3.1.11 票据 User document 用户认证通过后,身份管理系统的认证服务器给用户签发一个用户认 DB21/T 30992018 3 证通过凭证,这个凭证就是票
11、据。 3.1.12 互信中心服务 Trust centre services 互信中心服务由省中心身份管理系统提供,为跨域访问的用户提供票据验证的服务。 3.1.13 入口级授权 Entrance authorization 入口级授权是指用户是否有权访问应用系统, 而对用户访问应用系统的具体内容不做控制。 3.1.14 细粒度授权 Refining authorization 细粒度授权是指对用户访问应用系统的具体内容,例如:菜单、功能模块、URL等进行授权。 3.2 缩略语 下列缩略语适用于本文件: CA LDAP LRA OCSP CryptpAPIRADIUS Filter 数字证书签
12、发机构 轻量目录存取协议 本地注册机构 在线证书状态协议 应用程序开发接口 远程用户拨号认证系统 过滤器 Certification Authority Lightweight Directory Access Protocol Local Registration Authority Online Certificate Status Protocol Cryptography Application Programming Interface Remote Authentication Dial In User Service Filter 4 概述 4.1 背景 辽宁省无线电管理信息系统
13、经过 “十二五” 建设, 已经初具规模, 先后建设了频率台站、天馈线、设备检测、办公OA等应用系统。在信息安全基础建设方面,建设了以CA系统和身份验证系统为基础的应用安全平台,提供了用户身份认证,业务单点登录访问、权限控制、操作审计等功能。 这些应用系统和信息安全基础设施的建设, 很好满足了辽宁省无线电管理机构信息化和信息安全的建设需要,为无线电管理工作起到了有力的业务支撑和安全支撑,并为下一阶段辽宁省无线电管理信息化建设打下了坚实的基础。 但目前, 辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的, 由于缺乏全局规划、缺乏统一的标准体系,每个系统受自身格局所限,形成了一个个的孤岛,
14、系统之间衔接困难,系统的可扩展性差,存在着孤立的应用系统、中断的业务流程、分散的数据碎片和低效的信息资源等问题,难以满足业务不断变化和发展需要;而在安全建设方面,原有的身份验证系统存在部分技术过时、 对跨域访问的支持功能有限以及与应用系统全面整合困难等,而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此,迫切需要一个统一的平台来合理整合无线电管理的信息资源及应用, 实现全局信息资源共享及人员协作。与之相适应,对原有的应用安全平台(CA和身份验证系统)及安全规范需要升级,升级后的应用安全平台是无线电管理一体化平台的重要组成部分, 对一体化平台及各类无线电DB21/T 3099201
15、8 4 管理应用系统提供用户身份、接入认证、单点登录、统一授权、日志审计和跨域访问等基础支撑服务。 为了保障应用安全平台顺利升级成功, 必须对应用安全平台进行统一的设计和验证, 实现统一的技术架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用接入方式、规范的分级授权管理模式,形成相应的建设指导性规范文件。 1 2 3 4 4.1 4.2 主要目的 本文档作为辽宁省无线电管理信息系统应用安全平台(以下简称“应用安全平台”)及其上应用的建设标准规范, 一方面是规范无线电管理应用安全平台的升级, 另一方面是规范无线电管理应用系统的安全建设,具体内容包括: 1) 规范应用安全平台的系
16、统架构,满足“两级架构,多级管理”的总体要求; 2) 规范应用安全平台的目录实体命名编码规则; 3) 规范应用安全平台的统一认证及单点登录机制; 4) 规范应用安全平台的省中心到各市分中心跨域认证机制; 5) 规范应用安全平台的统一授权机制; 6) 规范应用安全平台的统一审计机制; 7) 规范应用安全平台的应用系统集成接口。 4.3 主要原则 应用安全平台及应用的建设遵循如下原则: 1) 统一性原则 应用安全平台的建设必须遵循统一原则,即统一规划、统一设计、统一验证和统一标准的原则。 2) 实用性原则 系统的建设将遵循实用性的原则, 即切实解决辽宁省无线电管理信息系统的应用安全需要,尽量采用简
17、单明了的方案以降低系统成本。 3) 利旧原则 应用安全平台的建设遵循利旧原则, 合理考虑节约系统建设成本, 在现有应用安全平台的基础上进行升级改造。 4) 先进性原则 应用安全平台的体系架构要采用国际先进的技术路线, 基于先进的系统架构, 结合国内外成功案例的设计经验,从根本上保证系统运行的高效、稳定、安全。 5) 易扩展性原则 应用安全平台的体系架构需要考虑现有的应用系统和未来需要建设的应用系统, 以便保证整个系统的不断发展。 6) 高可用性原则 应用安全平台的技术架构必须要着重考虑系统运行的稳定性, 对设计中的关键组件应DB21/T 30992018 5 灵活采用双机热备等高可用性方案,
18、并提供较完善的备份恢复策略, 较好地解决单点故障和系统灾难问题。 7) 安全性原则 应用安全平台的技术架构必须要充分考虑影响系统安全的各种因素, 在数据通信、 物理部署等多个层面上落实系统的安全性原则。 8) 标准化原则 应用安全平台在架构、 服务、 数据和接口等多个层面上形成各级无线电管理机构建设的标准。 9) 平滑过渡原则 应用安全平台的设计优先保证对核心需求、 核心系统的实现, 在此基础上渐次扩展覆盖范围,尽量减少因系统建设对最终用户的影响。 5 总体技术框架 5.1 总体架构图 图 1 总体架构图 应用安全平台是无线电管理一体化平台的组成部分之一,应用安全平台由 CA 系统和身份管理系
19、统两部分组成。CA 系统已由省中心建设完成,主要为辽宁省各级无线电管理机构的所有用户进行证书申请、 审核和签发等, 各地无线电管理机构主要负责向省中心提交证书申请信息。 身份管理系统需要省中心和各市分别建设, 身份管理系统提供统一的用户管理、认证管理、授权管理、审计管理和组织机构管理等,省中心的身份管理系统还提供一个互信中心服务, 为跨域访问的用户提供票据的验证服务。 应用安全平台的各个系统DB21/T 30992018 6 之间、应用安全平台与一体化平台之间的逻辑关系如图 1 所示。 1 2 3 4 5 5.1 5.2 应用安全平台逻辑结构 应用安全平台是由 CA 系统和身份管理系统两部分组
20、成。 CA 系统提供数字证书、 签名和加密等服务;身份管理系统提供统一的用户身份管理、身份认证、授权管理、审计管理和组织机构管理等服务。 5.2.1 CA 与身份管理系统关系 CA 系统为身份管理系统的身份认证服务提供证书 CA 系统为辽宁省无线电管理机构的所有用户签发数字证书,身份管理系统为用户提供统一的强身份认证。 身份管理系统从 CA 系统同步用户身份信息 省中心及各市中心的身份管理系统均需要从省中心用户信息库中读取用户证书信息,并基于证书信息生成用户账号信息。读取接口参见附录 C。 5.2.2 CA 与一体化平台关系 CA 系统作为一体化平台的一部分,为一体化平台提供数字证书。 5.2
21、.3 身份管理系统与一体化平台关系 身份管理系统提供的认证管理、 授权管理等功能被封装并注册到一体化平台的服务总线上,为用户访问应用系统提供统一的认证、授权等服务。 5.2.4 CA 与应用系统关系 CA 系统提供数字证书,证书格式采用 X.509 标准,满足应用系统的强身份认证;还可以为应用系统提供数字签名、信息完整性和机密性等服务。CA 证书的开发接口参见附录 G。 5.2.5 身份管理系统与应用系统 身份管理系统提供账号服务 身份管理系统为应用系统提供统一的账号管理服务, 新建设的应用系统不用建设账号信息,直接接受身份管理系统推送的账号信息;对于已建设的有账号的应用系统,身份管理系统需要
22、收集账号信息, 存储在身份管理系统的身份信息库中, 并与身份管理系统基于证书生成的账号进行映射,以便于实现单点登录。 身份管理系统提供认证授权和审计服务 身份管理系统为应用系统提供统一的用户管理、 认证管理、 授权管理和审计管理等功DB21/T 30992018 7 能。 身份管理系统提供组织机构信息 应用系统如果需要组织机构信息,可以直接从身份管理系统的用户信息库中读取。 5.3 区域逻辑结构 5.3.1 省中心与各市之间 5.3.1.1 CA 系统 CA 系统已由省中心统一建设,各市只需通过部署的远程注册系统,将用户注册信息提交至省中心进行审核,CA 系统审核通过后为用户签发数字证书。证书
23、申请规范详见附录 A。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5.3.1.1 5.3.1.2 身份管理系统 5.3.1.2.1 身份管理 省中心建立省中心用户信息库, 除了存储省中心的组织机构信息、 用户身份信息和全省的用户证书数据外, 还将存储由各市中心上报来的组织机构和用户身份数据, 今后将作为全网范围内最完整、准确的中央身份库。 各市中心建立本市范围内的市级用户信息库, 存储本市范围内的组织机构信息、 用户身份信息和用户证书数据。 其中用户证书数据需从省中心用户信息库中读取; 用户信息和组织机构信息如有变动,需提交给省中心,具体如下: 各市的身份管理系统从省中心用户信息
24、库中同步本市所有用户证书信息, 辽宁省无线电管理机构中的每个用户的唯一编码是由 4 位国标“区域代码”和“用户编号”组成;各市只能同步具有本市区域代码标识的用户证书信息。例如:沈阳市只能同步用户编码为“0100XXXX”的用户证书信息。具体的编码规范详见附录 B。 各市身份管理系统需要从省中心用户信息库中基于证书读取接口(详见附录 C)读取各市用户证书信息,基于证书信息生成用户身份信息,并按照用户身份信息模板(详见附录 D.3 的用户信息模板)将用户身份信息提交至省中心,由省中心人员审核后,同步至省中心用户信息库中。各市用户身份信息如有变动,各市需将变动的信息通过模板(详见附录 D.3 提报信
25、息模板)提交至省中心,由省中心将人员变动信息审核通过后,同步至省中DB21/T 30992018 8 心用户信息库中。 各市中心按照用户组织机构信息模板(详见附录 D.3 的组织机构信息模板) ,将本市用户组织机构信息提交至省中心,如果人员岗位、部门等信息有变动,各市将变动的信息通过模板(详见附录 D.3 提报信息模板)提交至省中心,由省中心将人员变动信息审核通过后,同步至省中心用户信息库中。 各市如有用户需要跨域访问省中心资源,用户身份信息同步应遵循如下流程: 首先由本市的管理员将本市需要进行跨域访问的用户进行统计, 向省中心的管理员提交申请; 省中心管理员审核通过后,从省中心库中同步跨域访
26、问用户的身份信息。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5.3.1.1 5.3.1.2 5.3.1.2.1 5.3.1.2.2 身份认证 如果某市有用户需要跨域访问省中心资源, 本市的身份管理系统的身份认证服务与省中心的身份认证服务必须互信,系统时间必须保持同步。 对于需要进行跨域访问的用户,跨域访问应遵循如下流程: 如果认证服务未从用户终端获取票据, 认证服务需要对跨域用户认证, 认证通过后为用户生成一个票据, 调用票据存储接口将票据存储在用户本地并存储至省中心身份管理系统的互信中心服务。 如果认证服务从用户终端读取票据, 并调用票据验证接口到省中心身份管理系统的互信中心
27、服务验证票据是否有效,如果有效,用户不用认证继续访问。反之,用户需要在应用系统所在地的认证服务进行身份认证。具体接口详见附录 F:票据接口。 5.3.1.2.3 授权管理 省中心和各市中心的授权服务应严格遵循“谁的资源谁管理、谁的资源谁授权”的原则。对于跨区域访问的用户,由资源所在地的管理员根据用户所属中心、身份信息等为用户授予相应的权限。 5.3.1.2.4 审计管理 DB21/T 30992018 9 省中心和各市中心的审计服务应严格遵循“谁的资源谁审计”的原则。对于跨域访问的用户,由资源所在地的审计服务对用户的所有访问进行审计。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5
28、.3.2 各市与地市关系 各地市可以根据情况, 选择建设身份管理系统或者使用各市中心建设的身份管理系统。具体的解决方案可以参考附录 E。 6 应用安全平台建设规范 6.1 CA 系统建设规范 6.1.1 CA 系统功能建设规范 CA 系统主要是对生命周期内的数字证书全过程管理的安全系统。CA 系统主要是由证书签发系统、RA 系统、密钥管理系统和 LRA 等组成。CA 系统(LN-SRRC-CA 中心)已由省中心统一建设。 1 2 3 4 5 6 6.1 6.1.1 6.1.1.1 证书签发系统 证书签发系统提供了对生命周期内的数字证书进行全过程的管理的功能,包括证书/证书注销列表的生成与签发、
29、证书/证书注销列表的存储与发布、证书状态的查询和密钥DB21/T 30992018 10 的生成与管理及安全管理等。 证书/证书注销列表生成与签发系统 证书/证书注销列表生成与签发系统负责生成、签发数字证书和生成证书注销列表。签发的证书类型支持人员证书、设备证书和机构证书;并支持双证书机制(加密证书和签名证书) 。 证书状态查询系统 证书状态查询系统应为用户和应用系统提供证书状态查询服务,包括: CRL 查询:用户或应用系统利用数字证书中标识的 CRL 地址,下载 CRL,并检验证书有效性; 在线证书状态查询:用户或应用系统按照 OCSP 协议,实时在线查询证书的状态。 证书管理系统 证书管理
30、系统是证书认证系统中实现对证书/证书注销列表的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。 安全管理系统 安全管理系统主要包括安全审计系统和安全防护系统。 安全审计系统提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。 安全防护系统提供访问控制、入侵检测、漏洞扫描、病毒防治等网络安全功能。 6.1.1.2 RA 注册管理系统 用户注册管理系统负责用户的证书申请、 身份审核和证书下载, 可分为本地注册管理系统和远程注册管理系统。 省中心应部署本地注册管理系统;各市分中心应部署远程注册管理系统。 证书申请 证书申请可采用在线方式: 各市中心用户
31、通过专网登录到用户注册管理系统申请证书; 身份审核 省中心审核人员通过用户注册管理系统,对证书申请者进行身份审核; 证书下载 证书下载可采用在线方式: 各市中心用户通过专网等登录到用户注册管理系统下载证书。 6.1.1.3 秘钥管理系统 密钥管理中心提供了对生命周期内的加密证书密钥对进行全过程管理的功能, 包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。 密钥生成 根据 CA 的请求为用户生成非对称密钥对,该密钥对由密钥管理中心的硬件加密设备生成。 密钥存储 密钥管理中心生成的非对称密钥对,经硬件加密设备加密后存储在数据库中。 密钥分发 密钥管
32、理中心生成的非对称密钥对通过证书认证系统分发到用户证书载体中。 密钥备份 DB21/T 30992018 11 密钥管理中心采用热备份、冷备份和异地备份等措施实现密钥备份。 密钥更新 当证书到期或用户需要时, 密钥管理中心根据 CA 请求为用户生成新的非对称密钥对。 密钥撤销 当证书到期、用户需要或管理机构认为必要时,密钥管理中心根据 CA 请求撤销用户当前使用的密钥。 密钥归档 密钥管理中心为到期或撤销的密钥提供安全长期的存储。 密钥恢复 密钥管理中心可为用户提供密钥恢复服务和为司法取证提供密钥恢复服务。 密钥恢复需按管理策略进行审批,一般用户只限于恢复自身密钥。 6.1.1.4 LRA 系
33、统 LRA 系统为本地申请证书的用户信息进行注册。 6.1.2 性能指标 6.1.2.1 系统容量 CA 系统能支持 50000 个以上的用户证书的签发和管理。 1 2 3 4 5 6 6.1 6.1.1 6.1.2 6.1.2.1 6.1.2.2 响应速度 CA 系统数字证书的签发时间不超过 1 秒。 6.1.2.3 加密算法 CA 系统加密算法应符合国家相关法律和法规要求,并能对加密算法的种类和强度进行扩充和替换。 6.1.2.4 密钥保存期 密钥保存期不少于 10 年。 DB21/T 30992018 12 6.2 身份管理系统建设规范 6.2.1 身份管理系统功能建设规范 身份管理系统
34、主要为用户访问应用系统提供统一的身份管理、认证管理、授权管理、审计管理和组织机构管理等功能。主要是由身份管理、认证管理、授权管理、审计管理和组织机构管理等模块组成。 身份管理系统应遵循三员管理, 身份管理系统应能支持多种操作系统平台,并且对用户终端的操作系统无限制。 身份管理系统与 LN-SRRC-CA 中心的关系、省中心身份管理系统与各市中心身份管理系统的关系及要求具体参见第 5 章。 1 2 3 4 5 6 6.1 6.2 6.2.1 6.2.1.1 身份管理 身份管理应支持从 LN-SRRC-CA 中心同步用户信息,支持从智能密码钥匙 Key 证书导入用户信息,支持和第三方应用业务(数据
35、库/LDAP)双向同步用户信息,支持以组织机构方式对用户进行分类管理,支持临时用户管理。 身份管理应能接管 BS 和 CS 应用系统账号信息,支持 Linux 主机、Windows 主机、数据库、LDAP、AD 域等多种账号同步方式,支持组、角色等多种账号授权方式。 用户信息库的存储建议采用 LDAP 方式,省级用户信息库与省中心用户信息库的关系参见 6.3.1.2.1。应以 WebService 服务方式为应用系统提供组织机构及用户信息查询和读取接口, 各市的应用系统如果需要读取组织机构及用户信息, 直接从各市级用户信息库中读取,由各市自行定义。各市的组织机构信息和人员属性信息存储可参考附录
36、 D 的 D.1和 D.2。 6.2.1.2 身份认证 身份认证应能实现用户统一身份认证、单点登录功能;用户认证方式应能采用LN-SRRC-CA 中心发布的数字证书认证方式,应支持对网段、时间、IP 等多种认证策略设置。 应调用省中心身份管理系统的互信中心服务提供的票据存储、 读取和验证接口, 实现5.3.1.2.2 中所要求的跨域访问。具体接口详见附录 F:票据接口。 6.2.1.3 授权管理 授权管理应支持入口级授权和细粒度授权;细粒度授权应支持资源的菜单级、URL 级DB21/T 30992018 13 的权限控制,应支持基于角色权限的配置管理;对于记录级、数据库字段级的授权可以由应用系
37、统自行定义。 6.2.1.4 审计管理 审计管理应提供审计接口, 支持其他应用系统的日志信息上报; 支持用户行为关联审计;支持基于用户名、用户 IP、资源、时间的访问统计;支持日志的告警、自动清理管理等。 6.2.2 网络部署 图 2 身份管理系统部署图 省中心和各市中心部署身份管理系统, 为本中心用户和跨区域访问的用户提供身份管理、认证管理、授权管理和审计管理等服务。部署方式可以采用与应用系统并联、与应用系统串联等方式。 各地市可以根据情况, 选择建设身份管理系统或者使用各市中心建设的身份管理系统。具体的解决方案可以参考附录 E。 6.2.3 性能建设规范 6.2.3.1 双机热备 应支持双
38、机热备,支持主从设备之间的数据同步、故障切换和恢复回切。主从设备之间的切换时间小于 15 秒。 1 2 DB21/T 30992018 14 3 4 5 6 6.1 6.2 6.2.1 6.2.2 6.2.3 6.2.3.1 6.2.3.2 备份策略 身份管理系统应能支持硬件、软件和数据库备份。 6.2.3.3 安全传输 用户终端与身份管理系统之间需建立起一个安全通道来保障数据传输的安全与完整。 6.2.3.4 运行稳定性 身份管理系统应能保证系统提供 724 小时不间断服务。MTBF100000 小时。 6.2.3.5 响应速度 身份管理系统造成的系统延时不超过 1 秒。 7 应用系统安全规
39、范 应用系统在实现应用安全平台提供的加解密、 编码、 数字签名、 数字证书、 安全协议、策略机制、审计服务、授权管理、访问控制、身份认证等服务的建设过程中,应用系统的开发和实施必须遵循如下规范。鉴于本次规范中只考虑 CA 系统提供的强身份认证功能, 7.1 基于 CA 系统建设规范 辽宁省的 CA 认证中心颁发的数字证书完全符合 X.509 标准。 应用系统要实现 CA 系统提供的身份认证、数据的完整性、机密性和不可抵赖性等功能,需要调用 CA 证书开发接口来完成服务,接口详见附录 G 的 CA 证书开发接口。 7.2 基于身份管理系统建设规范 7.2.1 身份管理规范 已建设未被原有身份验证
40、系统接管和已被身份验证系统接管的应用系统, 身份管理系统需要从应用系统上收集已有的用户账号,并进行账号映射授权,以实现单点登录功能。 新建的应用系统不需要新建账号, 开发时依照身份管理系统提供的接口, 直接调用身DB21/T 30992018 15 份管理系统提供的接口,接受身份管理系统推进的账号信息。 1 2 3 4 5 6 7 7.1 7.2 7.2.1 7.2.2 认证管理规范 已建设未被原有身份验证系统接管的和已被身份验证系统接管的应用系统, 应用厂商必须对应用系统进行改造, 调用身份管理系统提供的接口, 以实现用户认证和单点登录功能。 新建应用系统, 开发时应依据身份管理系统提供的认
41、证接口和单点登录接口, 直接调用身份管理系统提供的接口来完成用户认证和单点登录功能。 7.2.3 授权管理规范 已建设未被原有身份验证系统接管的和已被身份验证系统接管的应用系统如需实现统一授权,应用厂商必须对应用系统进行改造,调用身份管理系统提供的接口; 新建应用系统, 开发时应依据身份管理系统提供的授权接口, 接受身份管理系统推送过来的同名账号,基于同名账号进行统一授权。 7.2.4 审计管理规范 已建设未被原有身份验证系统接管的和已被身份验证系统接管的应用系统如需实现统一审计, 应用厂商必须对应用系统进行改造, 调用身份管理系统提供的审计接口将审计信息。 新建应用系统, 开发时应依据身份管
42、理系统提供的审计接口, 直接调用身份管理系统提供的接口来实现审计功能。 7.2.5 组织机构管理规范 已建设未被原有身份验证系统接管的和已被身份验证系统接管的应用系统如需调用统一的组织机构及用户信息, 应用厂商必须对应用系统进行改造, 调用身份管理系统提供的组织机构查询和读取接口。 新建应用系统, 开发时应依据身份管理系统提供的组织结构查询和读取接口。 各市可以按照上述要求, 在此基础上根据自身建设的身份管理系统出台相应的应用系统开发接口规范, 并在规范中明确新建应用系统、 已有应用系统的分别实现方式和接口服DB21/T 30992018 16 务等。DB21/T 30992018 17 附
43、录 A (资料性附录) 证书申请使用管理规范 辽宁省的 LN-SRRC-CA 中心将按照有关程序,统一对辽宁省无线电管理机构的工作人员、外单位的维护人员和各种安全实体对象(如 VPN 安全网关等)进行发证、认证。 1) 各市无线电管理机构用户证书及服务器证书应统一申请, 经主管领导批准后发放,由专人操作,不得移交他人擅自操作,申请时需仔细核实用户有关信息,不得一人申请多证书或多人共用一个证书。 2) 各市无线电管理机构在申请证书时,在申请界面“是否备份加密密钥”处选中,用来备份数字证书。备份数据应由专人负责管理。 3) 用户数字证书有效期为 10 年。如需增加、变更或注销证书的,尽量安排在同一
44、时间操作并电话或 E-MAIL 通知辽宁省无线电监测中心相关负责人。DB21/T 30992018 18 附 录 B (资料性附录) 区域代码表 省中心区域代码为 2100,其他中心区域代码参照国家标准 GB/T 2260-1999。DB21/T 30992018 19 附 录 C (资料性附录) 证书读取接口 接口名称:getCACerts 接口描述:根据区域编码获取 CA 证书列表 传入参数:regionCode 字符串类型 区域代码 传出参数:Json 格式 CA 证书列表 username:00000001,regioncode:0000,cacert:, username:00000
45、002,regioncode:0000,cacert: DB21/T 30992018 20 附 录 D (资料性附录) 组织机构信息规范 D.1 存储结构 组织(o=organization)下的子树, 就是按照“辽宁省无线电管理机构”的实际组织机构结构进行分级存储, 直观反映组织间的上下级关系。 组织子树下包含属于该组织的人员列表,这里每个人只是一个索引,指向人员子树下具体的某个人员。 D.2 组织机构人员属性表 LDAP 字段 字段说明 cn 组织编码 displayName 组织名称 description 组织机构职能 custLevelid 组织架构层次 custParentOrg
46、Code 上级组织编码 custParentOrgName 上级组织名称 member 组织成员(完整 dn) D.3 组织机构信息同步规范 各市的用户身份信息、 组织机构信息、 用户身份与组织机构关系都基于模板, 以 excel格式提交至省中心,由省中心审核通过后,将该 excel 中的数据同步至省中心用户信息库中。各市如果有用户信息修改,需要将修改信息提交至省中心,各个模板如下:DB21/T 30992018 21 D.4 用户身份信息模板 用户身份信息模板 填写规范: 1、粗体标*字段为必填项; 2、所有日期字段格式为:yyyy-mm-dd,例如:2013-09-17 3、性别可选值为:
47、男/女; 4、任职状态可选值为:在职/离职; 5、直接上级主管允许有多个,填写上级主管用户名,以英文输入状态的逗号分隔; *用户名 *用户姓名 *性别 出生日期 *电子邮件 办公电话 手机 通讯地址 *直接上级 任职状态 入职时间 离职时间 注:列表原有数据为示例数据,实际填写时请将其清除。 DB21/T 30992018 22 D.5 组织机构信息模板 组织机构信息模板 填写规范: 1、粗体标*字段为必填项; 2、组织机构层级可选值为 0/10/20/30/40,辽宁省无线电监测中心为 0,按行政组织机构递增; 3、上级组织机构名称为当前组织机构的上级组织机构全名; 4、组织机构成员可有多个
48、,填写用户编码,以英文输入状态的逗号分隔; *组织机构名称 *组织机构职能描述 *组织机构层级 *上级组织机构名称 组织机构成员 辽宁省无线电监测中心 辽宁省无线电监测中心为 0 信息管理处 10 辽宁省无线电监测中心 00001201,00001202 注:列表原有数据为示例数据,实际填写时请将其清除。 DB21/T 30992018 23 D.6 提报信息模板 提报单位: 提报时间: 提报人: 联系电话: 提报信息说明: DB21/T 30992018 24 附 录 E (资料性附录) 地市应用安全平台建设方案 E.1 集中部署 各市需要使用省中心部署的身份管理系统来完成用户账号管理、认证
49、、授权和审计等服务,如果各市有应用系统,也需要将各市的应用系统与身份管理系统做整合。网络部署结构如下: 内部专网内部专网内部专网用户用户地地市市 4A系统系统应用系统应用系统用户用户地地市市省中心省中心用户用户地地市市内部专网应用系统应用系统 图 E.1 身份管理系统集中部署图 E.1.1 应用场景 DB21/T 30992018 25 7 8 8.1 8.2 8.3 8.4 8.5 8.5.1 8.5.1.1 E.1.1.1 各市用户访问省中心的应用系统 1) 用户通过广域网首先登录省中心应用系统,应用系统发现用户没有合法的票据; 2) 应用系统将用户访问请求重定向到省中心的身份管理系统上;
50、 3) 用户通过广域网在身份管理系统上进行认证,认证通过后,身份管理系统返回用户票据; 4) 用户携带票据访问省中心应用系统,应用系统验证用户票据是否合法;如果票据合法,用户可以访问应用系统。 E.1.1.2 各市用户访问本地市应用系统 1) 用户通登录本地市的应用系统,应用系统发现用户没有合法的票据; 2) 应用系统将用户访问请求通过广域网重定向到省中心的身份管理系统上; 3) 用户通过广域网在身份管理系统上进行认证, 认证通过后, 身份管理系统通过广域网返回用户票据 4) 用户携带票据访问应用系统,应用系统验证用户票据是否合法;如果票据合法,用户可以访问应用系统。 E.1.2 集中式部署特
浙ICP备2021020529号-1 | 浙B2-20240490 
