統(tǒng)一身份認(rèn)證系統(tǒng)技術(shù)方案

1、智慧海事一期統(tǒng)一身份認(rèn)證系統(tǒng)技術(shù)方案北京數(shù)字證I可認(rèn)證中央BEIJING CEH I II- ICATE AI：THOK1TY精選目錄目 錄I1. 總體設(shè)計(jì) 21.1 設(shè)計(jì)原那么21.2 設(shè)計(jì)目標(biāo) 31.3 設(shè)計(jì)實(shí)現(xiàn)31.4 系統(tǒng)部署 42. 方案產(chǎn)品介紹62.1 統(tǒng)一認(rèn)證治理系統(tǒng) 62.1.1 系統(tǒng)詳細(xì)架構(gòu)設(shè)計(jì) 62.1.2 身份認(rèn)證效勞設(shè)計(jì)72.1.3 授權(quán)治理效勞設(shè)計(jì) 102.1.4 單點(diǎn)登錄效勞設(shè)計(jì) 132.1.5 身份信息共享與同步設(shè)計(jì) 152.1.6 后臺治理設(shè)計(jì)192.1.7 平安審計(jì)設(shè)計(jì)212.1.8 業(yè)務(wù)系統(tǒng)接入設(shè)計(jì)232.2 數(shù)字證書認(rèn)證系統(tǒng) 232.2.1 產(chǎn)品介紹232

2、.2.2 系統(tǒng)框架242.2.3 軟件功能清單252.2.4 技術(shù)標(biāo)準(zhǔn)263. 數(shù)字證書運(yùn)行效勞方案 283.1 運(yùn)行效勞體系 283.2 證書效勞方案 293.2.1 證書效勞方案概述 293.2.2 效勞交付方案303.2.3 效勞支持方案 363.3 CA根底設(shè)施運(yùn)維方案 383.3.1 運(yùn)維方案概述 383.3.2 CA系統(tǒng)運(yùn)行治理383.3.3 CA系統(tǒng)訪問治理393.3.4 業(yè)務(wù)可持續(xù)性治理 393.3.5 CA審計(jì)391 .總體設(shè)計(jì)1.1 設(shè)計(jì)原那么一、標(biāo)準(zhǔn)化原那么系統(tǒng)的整體設(shè)計(jì)要求基于國家密碼治理局?商用密碼治理?xiàng)l例?、公安部計(jì)算機(jī)系統(tǒng) 平安等級要求和?中華人民共和國計(jì)算機(jī)信息

3、系統(tǒng)平安保護(hù)條例?的有關(guān)規(guī)定.數(shù)字證 書認(rèn)證系統(tǒng)的平安根底設(shè)施的設(shè)計(jì)和實(shí)現(xiàn)將遵循相關(guān)的國際、國內(nèi)技術(shù)和行業(yè)標(biāo)準(zhǔn).二、平安性原那么系統(tǒng)所采用的產(chǎn)品技術(shù)和部署方式必須具有足夠的平安性,針對可能的平安威脅和 風(fēng)險(xiǎn),并制定相應(yīng)的對策.關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復(fù)舉措.三、可用性原那么系統(tǒng)具有足夠的容量和良好的性能,能夠支撐百萬級或千萬級用戶數(shù)量,并能夠在 海量用戶和大并發(fā)訪問壓力的條件下,保持功能和性能的可用性.四、健壯性原那么系統(tǒng)的根底平臺成熟、穩(wěn)定、可靠,能夠提供不間斷的效勞,相關(guān)產(chǎn)品均具有很強(qiáng) 的健壯性、良好的容錯處理水平和抗干擾水平.五、模塊化原那么系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)采用模塊化結(jié)構(gòu),各個模塊具有

4、相對獨(dú)立的功能和開放的接口. 可以根據(jù)系統(tǒng)的需要進(jìn)行功能模塊的增加或減少,而不必改變原來的程序構(gòu)架；針對不 同的應(yīng)用定制實(shí)施模塊.六、可擴(kuò)展原那么隨著業(yè)務(wù)的開展,對未來系統(tǒng)的功能和性能將會提出更高的要求.系統(tǒng)在設(shè)計(jì)和實(shí) 現(xiàn)上,應(yīng)具有良好的可擴(kuò)展性.可以通過對硬件平臺、軟件模塊的擴(kuò)展和升級,實(shí)現(xiàn)系 統(tǒng)功能和性能的平滑地?cái)U(kuò)展和升級.七、方便開發(fā)原那么系統(tǒng)提供豐富的二次開發(fā)工具和接口,便于應(yīng)用系統(tǒng)調(diào)用,能夠方便的與現(xiàn)有和將 來的應(yīng)用系統(tǒng)進(jìn)行集成.八、兼容性原那么系統(tǒng)具備良好的兼容性,能夠與多種硬件系統(tǒng)、根底軟件系統(tǒng),以及其它第三方軟 硬件系統(tǒng)相互兼容.1.2 設(shè)計(jì)目標(biāo)根據(jù)招標(biāo)文件的具體技術(shù)要求,基于

5、現(xiàn)有信息系統(tǒng)現(xiàn)狀、數(shù)字證書應(yīng)用現(xiàn)狀以及未 來在信息平安方面的技術(shù)性要求,本方案提出以下建設(shè)目標(biāo).(1)在海事局內(nèi)部部署統(tǒng)一認(rèn)證治理系統(tǒng),具體目標(biāo)是：提供數(shù)據(jù)統(tǒng)一、維護(hù)統(tǒng)一、 用戶統(tǒng)一的平安可靠的認(rèn)證與授權(quán)效勞；實(shí)現(xiàn)全局相關(guān)業(yè)務(wù)系統(tǒng)全面統(tǒng)一的用戶 治理、可靠的身份認(rèn)證與平安審計(jì)、有效的分級授權(quán)、平安的單點(diǎn)登錄、便捷的 信息共享(2)在海事局內(nèi)部部署數(shù)字證書認(rèn)證系統(tǒng)(CA認(rèn)證中央),具備10萬級數(shù)字證書的 發(fā)放水平,滿足海事局內(nèi)部用戶以及應(yīng)用系統(tǒng)的對數(shù)字證書的使用需求.(3)廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)(包括：船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0系統(tǒng))與統(tǒng)一身份認(rèn)證系統(tǒng)的進(jìn)行技術(shù)集成,實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證

6、與單點(diǎn)登錄功能.1.3 設(shè)計(jì)實(shí)現(xiàn)本方案由統(tǒng)一認(rèn)證治理系統(tǒng)和數(shù)字證書認(rèn)證系統(tǒng)兩局部組成,其統(tǒng)一認(rèn)證治理系統(tǒng) 實(shí)現(xiàn)統(tǒng)一的用戶治理、身份認(rèn)證、單點(diǎn)登錄、授權(quán)治理、平安審計(jì)等功能；數(shù)字證書認(rèn) 證系統(tǒng)實(shí)現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書治理.統(tǒng)一認(rèn)證治理系統(tǒng)與數(shù)字證書認(rèn)證系統(tǒng)集成,實(shí)現(xiàn)新增用戶信息同步,證書治理員 只需要登錄數(shù)字證書認(rèn)證系統(tǒng),查出用戶信息,直接制作證書.二級云中央(直屬局)統(tǒng)一認(rèn)證治理系統(tǒng)定時將用戶、機(jī)構(gòu)、授權(quán)等信息同步給一 級云中央統(tǒng)一認(rèn)證治理系統(tǒng).本期工程將率先在廣東海事局搭建起船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0系統(tǒng)的單點(diǎn)登錄功能.1.4 系統(tǒng)部署一級云中央：一臺身份認(rèn)證效勞器,

7、一臺加密機(jī),兩臺統(tǒng)一認(rèn)證效勞器基于 ORACLE 一體機(jī)實(shí)現(xiàn)負(fù)載,兩臺統(tǒng)一認(rèn)證數(shù)據(jù)庫效勞器基于 ORACLE數(shù)據(jù)庫 體機(jī)實(shí)現(xiàn)負(fù)載.五個二級云中央直屬局：一臺統(tǒng)一認(rèn)證數(shù)據(jù)庫效勞器,兩臺統(tǒng)一認(rèn)證效勞器 雙機(jī)冷備,二級云中央統(tǒng)一認(rèn)證效勞器能訪問一級云中央統(tǒng)一認(rèn)證效勞器.2 .方案產(chǎn)品介紹2.1 統(tǒng)一認(rèn)證治理系統(tǒng)2.1.1 系統(tǒng)詳細(xì)架構(gòu)設(shè)計(jì)國家海事局統(tǒng)一認(rèn)證治理系統(tǒng)詳細(xì)架構(gòu)設(shè)計(jì)如下列圖所示：應(yīng)用系統(tǒng)單位警比關(guān)身份認(rèn)江承聲:m.門步寫 w -認(rèn)江期芳信息郵務(wù)*根限期據(jù)庫平安集略管建平安治理管建?曾爭機(jī)構(gòu)看謾 用口管連 拉捏治理 資源治理*二皴掖一認(rèn)疏海事局內(nèi) I前明戶平安審計(jì)后自管那動怎脅雇平臺直屬分局

8、在國家海事局部署一級統(tǒng)一身份認(rèn)證系統(tǒng),可治理全部的系統(tǒng)用戶,用戶可通過統(tǒng) 一身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證、業(yè)務(wù)系統(tǒng)單點(diǎn)登錄；二級單位根據(jù)具體情況可部署二級 統(tǒng)一身份認(rèn)證系統(tǒng),系統(tǒng)用戶信息治理與一級統(tǒng)一身份認(rèn)證系統(tǒng)同步,當(dāng)網(wǎng)絡(luò)出現(xiàn)故障 時,二級單位用戶可登錄各自單位的二級統(tǒng)一身份認(rèn)證系統(tǒng),不影響正常的業(yè)務(wù)處理.國家海事局統(tǒng)一認(rèn)證治理系統(tǒng)的主要效勞功能模塊包括：身份認(rèn)證模塊、單點(diǎn)登錄 模塊、信息同步模塊、后臺治理模塊、數(shù)據(jù)效勞模塊及平安治理模塊,其中后臺用戶管 理包括用戶、角色、應(yīng)用等相關(guān)信息治理,另外,平安治理模塊為維護(hù)好系統(tǒng)效勞功能的平安性,提供系統(tǒng)自身所有操作的平安審計(jì)功能,以及各個應(yīng)用系統(tǒng)用戶

9、信息的監(jiān)控 功能.2.1.2 身份認(rèn)證效勞設(shè)計(jì)身份認(rèn)證效勞為海事局各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊、憑證發(fā)布、用戶 資料治理及銷毀、登錄認(rèn)證功能.2.1.2.1 總體設(shè)計(jì)證書用戶CA中央I1務(wù)器證書B怫英銬證書A上行系野一費(fèi)約一認(rèn)證系今用腳本|門令目盧無證書題發(fā)朋芳器濟(jì)書平安組件, 認(rèn)證揍口平安組件.| 名證青口 |頒發(fā)客戶證書國家后U海事局服芬假設(shè)證本D平安sa件, 認(rèn)證接口直屬局 地方省局平安組件, 認(rèn)證接口服案卷證書E二級統(tǒng)一認(rèn)證系統(tǒng)業(yè).務(wù)泰費(fèi)認(rèn)證治理的結(jié)構(gòu)如上圖所示,主要包括以下幾個局部:CA認(rèn)證中央：海事局CA認(rèn)證中央為數(shù)字證書用戶提供身份認(rèn)證效勞,簽發(fā)數(shù)字證 書,實(shí)現(xiàn)證書與現(xiàn)實(shí)

10、中的實(shí)體個人、單位或效勞器的綁定.CA認(rèn)證中央除了為最終用戶方法數(shù)字證書外,還需要為統(tǒng)一認(rèn)證效勞器和業(yè)務(wù)系統(tǒng)的效勞器簽發(fā)效勞器身份 證書,用于客戶與效勞器之間的雙向認(rèn)證.統(tǒng)一認(rèn)證效勞器：統(tǒng)一認(rèn)證系統(tǒng)效勞器的數(shù)據(jù)庫中集中存放所有業(yè)務(wù)系統(tǒng)的用戶信 息和權(quán)限信息,所有業(yè)務(wù)系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)都需要部署效勞器證書、平安組件和認(rèn)證 接口,用于業(yè)務(wù)系統(tǒng)與客戶端,或業(yè)務(wù)系統(tǒng)之間的身份認(rèn)證.證書用戶：證書用戶根據(jù)經(jīng)過嚴(yán)格的身份信息鑒證,從CA認(rèn)證中央領(lǐng)取數(shù)字證書,然后通過訪問各級統(tǒng)一認(rèn)證系統(tǒng),進(jìn)行單點(diǎn)登錄,就可以很方便地訪問自己權(quán)限范圍內(nèi) 的應(yīng)用系統(tǒng).用戶數(shù)字證書的身份信息要與統(tǒng)一認(rèn)證系統(tǒng)中注冊的用戶信息保持一

11、致關(guān)鍵信息為：姓名、證件類型和證件號,只有信息一致的前提下,才可實(shí)現(xiàn)可靠的身份 認(rèn)證.口令用戶：口令用戶不需要經(jīng)過 CA中央身份認(rèn)證和簽發(fā)數(shù)字證書,直接由單位管 理員根據(jù)用戶信息注冊即可.用戶本人可在獲得初始密碼后修改登陸密碼和注冊信息.2.1.2.2 身份認(rèn)證方式統(tǒng)一認(rèn)證系統(tǒng)可以對不同的系統(tǒng)進(jìn)行分級認(rèn)證,也可以對系統(tǒng)內(nèi)的不同用戶分級認(rèn) 證.系統(tǒng)應(yīng)同時支持口令方式和數(shù)字證書兩種方式的身份認(rèn)證機(jī)制.另外,系統(tǒng)應(yīng)具有 擴(kuò)展接口,可快速實(shí)現(xiàn)動態(tài)口令認(rèn)證、指紋認(rèn)證和和人像等其它身份憑證認(rèn)證模式.身 份認(rèn)證技術(shù)支持 PKI、LDAP、NDS、NIS、AD等標(biāo)準(zhǔn)認(rèn)證技術(shù).對于平安性較低的系統(tǒng),可以采用最低

12、認(rèn)證等級：用戶名/口令方式；對于平安性較高的系統(tǒng),最低認(rèn)證等級那么需要設(shè)置為數(shù)字證書方式.系統(tǒng)的認(rèn)證等級和用戶的認(rèn)證方 式都可以在統(tǒng)一認(rèn)證系統(tǒng)后臺進(jìn)行動態(tài)配置.用戶使用數(shù)字證書可以登錄平安性較低的系統(tǒng),但是用戶名/口令認(rèn)證方式不允許進(jìn)入等級為數(shù)字證書的業(yè)務(wù)系統(tǒng).2.1.2.3 基于數(shù)字證書的身份認(rèn)證數(shù)字證書用戶登錄業(yè)務(wù)系統(tǒng)的身份認(rèn)證流程如下列圖所示：流程說明:(1)提供證書：在登錄門戶頁面(或統(tǒng)一認(rèn)證首頁)中嵌入證書控件和組件,效勞器 端產(chǎn)生隨即數(shù)并進(jìn)行數(shù)字簽名,客戶端實(shí)現(xiàn)即插即用的登錄認(rèn)證模式, 只要插入 UsbKey自動歹U舉Key內(nèi)的數(shù)字證書；(2)握手認(rèn)證：用戶輸入證書密碼、點(diǎn)擊登錄提

13、交按鈕后,頁面調(diào)用證書控件的運(yùn)行 腳本,校驗(yàn)證書密碼后對效勞器端產(chǎn)生的隨即數(shù)和數(shù)字簽名進(jìn)行驗(yàn)證；客戶端對隨即數(shù)進(jìn)行數(shù)字簽名,提交認(rèn)證信息給效勞器驗(yàn)證；認(rèn)證信息主要包括：隨即數(shù)、 客戶證書、客戶的簽名等信息.效勞器后臺程序驗(yàn)證客戶端的證書有效性和數(shù)字 簽名的有效性.(3)獲取訪問信息：統(tǒng)一認(rèn)證效勞器從認(rèn)證信息中提取客戶端數(shù)字證書,并從證書中解析出證書的唯一標(biāo)識,在后臺數(shù)據(jù)庫中進(jìn)行比對,進(jìn)行訪問限制；(4)返回登錄票據(jù)：效勞器認(rèn)證通過后,形成標(biāo)準(zhǔn)格式的登錄票據(jù),返回客戶端.(5)選擇業(yè)務(wù)系統(tǒng)：系統(tǒng)根據(jù)登錄票據(jù),顯示可登錄的系統(tǒng),用戶選擇系統(tǒng).(6)傳遞票據(jù)：客戶端瀏覽器將登錄票據(jù)傳遞到對應(yīng)的系統(tǒng)地

14、址上.(7)票據(jù)驗(yàn)證：業(yè)務(wù)系統(tǒng)根據(jù)接收到的登錄票據(jù),通過部署的平安組件進(jìn)行驗(yàn)證.(8)進(jìn)入系統(tǒng)：驗(yàn)證通過,允許進(jìn)入,根據(jù)用戶權(quán)限信息,授予對應(yīng)的操作權(quán)限.否 那么,拒絕登錄.系統(tǒng)采用數(shù)字證書,平安組件、密碼運(yùn)算、數(shù)字簽名、數(shù)字信封等技術(shù)來保證用戶 身份的真實(shí)性,可以有效預(yù)防身份冒充、身份抵賴、重放、中間人攻擊的風(fēng)險(xiǎn),從而在 一定程度上保證認(rèn)證的平安性.數(shù)據(jù)加密可采用標(biāo)準(zhǔn)SSL協(xié)議,在WEB效勞器上配置SSL效勞器證書,即可實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的加密.2.1.2.4 基于口令方式的身份認(rèn)證用戶身份唯一性設(shè)計(jì)：系統(tǒng)采用集中數(shù)據(jù)庫治理模式,用戶名作為用戶信息表中的 主鍵,在系統(tǒng)中不允許重復(fù).另外

15、,系統(tǒng)中應(yīng)根據(jù)用戶類型和注冊的根本信息生成一個 具有用戶特征碼,用于識別一個人或單位在系統(tǒng)中的身份唯一性.特征碼的編碼標(biāo)準(zhǔn)例如：個人用戶的特征碼=證件類型編碼+證件號+真實(shí)姓名 +登錄名單位用戶的特征碼=組織機(jī)構(gòu)代碼+對應(yīng)單位名稱+登錄名用戶名方式的身份認(rèn)證業(yè)務(wù)流程與證書方式類似,與證書方式的主要區(qū)別在于以下 幾點(diǎn)：(1)客戶端不進(jìn)行數(shù)字簽名；(2)提交給效勞器的認(rèn)證信息不包括客戶端數(shù)字簽名,而是加密后的登錄口令；(3)效勞器端接收到認(rèn)證信息后,不再驗(yàn)證簽名,而是將加密的口令與數(shù)據(jù)庫中的 加密口令進(jìn)行比照核對；(4)平安登錄票據(jù)中的登錄方式不同；(5)其他流程沒有區(qū)別.2.1.3 授權(quán)治理效勞

16、設(shè)計(jì)2.1.3.1 授權(quán)治理的系統(tǒng)框架為保證信息資源訪問的可控性,預(yù)防信息資源被非授權(quán)訪問,需要在用戶身份真實(shí)可信的前提下,提供可信的授權(quán)治理效勞,實(shí)現(xiàn)對各類用戶的有效治理和訪問限制,保 護(hù)各種信息資源不被非法或越權(quán)訪問,預(yù)防信息泄漏.統(tǒng)一認(rèn)證治理系統(tǒng)應(yīng)提供信息資源治理、用戶角色定義和劃分、權(quán)限分配和治理、 權(quán)限認(rèn)證等功能.權(quán)限治理主要是由治理員進(jìn)行資源分類配置、用戶角色定義及授權(quán)等 操作；權(quán)限認(rèn)證主要是根據(jù)用戶身份對其進(jìn)行權(quán)限判斷,以決定該用戶是否具有訪問相 應(yīng)資源的權(quán)限.由于統(tǒng)一認(rèn)證治理系統(tǒng)要解決各個應(yīng)用系統(tǒng)內(nèi)部的細(xì)粒度資源權(quán)限限制,需要與應(yīng) 用系統(tǒng)緊密結(jié)合,因此統(tǒng)一認(rèn)證治理系統(tǒng)應(yīng)在統(tǒng)一身

17、份認(rèn)證系統(tǒng)粗粒度訪問限制的根底 之上,由各個應(yīng)用系統(tǒng)結(jié)合本地資源授權(quán)方式,進(jìn)行定制集成開發(fā).由于采取分布式的RBAC授權(quán)治理模型,首先應(yīng)對用戶進(jìn)行嚴(yán)格的身份認(rèn)證,保證 用戶身份的真實(shí)性,在此根底之上再由綜合各個應(yīng)用系統(tǒng)內(nèi)部資源權(quán)限分配的統(tǒng)一授權(quán) 治理系統(tǒng)對用戶進(jìn)行嚴(yán)格的權(quán)限認(rèn)證,實(shí)現(xiàn)各個應(yīng)用系統(tǒng)內(nèi)部資源細(xì)粒度的授權(quán)訪問控 制.用戶訪問限制總體框架如下列圖所示：用戶注冊登錄在此框架下,整個授權(quán)限制的工作流程如下:(1)統(tǒng)一認(rèn)證治理系統(tǒng)的初始化,添加并配置系統(tǒng)治理員;(2)由系統(tǒng)治理員添加并配置下級治理員或用戶；(3)治理員添加受控訪問資源,并設(shè)置每個用戶的權(quán)限；(4)用戶訪問各應(yīng)用系統(tǒng),首先由統(tǒng)

18、一認(rèn)證系統(tǒng)驗(yàn)證該用戶的身份；(5)認(rèn)證通過后根據(jù)用戶身份,對用戶進(jìn)行權(quán)限認(rèn)證；(6)如果用戶通過權(quán)限認(rèn)證,那么說明該用戶可以進(jìn)入相應(yīng)的應(yīng)用系統(tǒng),訪問權(quán)限許可內(nèi)的資源；否那么,拒絕用戶訪問.2.1.3.2 授權(quán)治理模型(基于角色的授權(quán))基于角色的訪問限制(RBAC)授權(quán)模型：通過角色定義,將應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限授 予某個角色,然后將用戶與這些角色關(guān)聯(lián),從而將業(yè)務(wù)權(quán)限賦予該用戶.如下列圖所示：基于角色的訪問限制方法的思想就是把對用戶的授權(quán)分成兩部份,用角色來充當(dāng)用 戶行駛權(quán)限的中介.這樣,用戶與角色之間以及角色與權(quán)限之間就形成了兩個多對多的 關(guān)系.系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要(職權(quán)、職

19、位以及分擔(dān)的權(quán)利和 責(zé)任)定義相應(yīng)的角色.角色是一組訪問權(quán)限的集合,一個用戶可以是很多角色的成員,一個角色也可以有 很多個權(quán)限,而一個權(quán)限也可以重復(fù)配置于多個角色.權(quán)限配置工作是組織角色的權(quán)限 的工作步驟之一,只有角色具有相應(yīng)的權(quán)限后用戶委派才能具有實(shí)際意義.基于角色授權(quán)模型的優(yōu)點(diǎn)基于角色的策略實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯別離,極大的方便了權(quán)限治理.例如, 如果一個用戶的職位發(fā)生變化,只要將用戶當(dāng)前的角色去掉,參加代表新職務(wù)或新任務(wù) 的角色即可.一般,角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多,并 且委派用戶到角色不需要很多技術(shù),可以由行政治理人員來執(zhí)行,而配置權(quán)限到角色的 工作

20、比擬復(fù)雜,需要一定的技術(shù),可以由專門的技術(shù)人員來承當(dāng),但是不給他們委派用 戶的權(quán)限,這與現(xiàn)實(shí)中情況正好一致.除了方便權(quán)限治理之外,基于角色的訪問限制方法還可以很好的地描述角色層次關(guān)系,實(shí)現(xiàn)最少權(quán)限原那么和責(zé)任別離的原那么.基于角色授權(quán)的流程以下面的授權(quán)目標(biāo)舉例說明基于角色的授權(quán)流程：用戶張三-角色預(yù)算處處長-權(quán)限預(yù)算系統(tǒng)的審核1、生成一個角色：預(yù)算處處長；2、選擇預(yù)算系統(tǒng)的預(yù)算審批業(yè)務(wù)權(quán)限授予預(yù)算處處長角色；3、將預(yù)算處處長角色授予用戶張三.通過將預(yù)算系統(tǒng)的審核的業(yè)務(wù)權(quán)限授予預(yù)算處處長角色,然后將此角色與用戶張三 關(guān)聯(lián),最后用戶擁有了該權(quán)限.2.1.3.3 分級授權(quán)治理分級授權(quán)實(shí)現(xiàn)的是權(quán)限繼承

21、：當(dāng)上級治理員對下級治理員進(jìn)行授權(quán)時,所授予的業(yè) 務(wù)權(quán)限將被下級繼承,下級治理員擁有這些權(quán)限,并可以將這些權(quán)限授予其管轄的用戶.分級授權(quán)通過治理員授權(quán)實(shí)現(xiàn).通過一步步的權(quán)限傳遞,可以實(shí)現(xiàn)多級授權(quán).授權(quán) 可以基于角色,如例子中利用預(yù)算審核角色,也可以直接基于業(yè)務(wù)權(quán)限.根據(jù)5個直屬局調(diào)研反應(yīng),初步確定直屬局按二級進(jìn)行分級治理分級授權(quán),即各直 屬局下屬分局或海事處添加一級治理員,負(fù)責(zé)本分局或海事處的用戶信息治理及授權(quán).2.1.4 單點(diǎn)登錄效勞設(shè)計(jì)2.1.4.1 實(shí)現(xiàn)原理平安的單點(diǎn)登錄具體實(shí)現(xiàn)機(jī)制如下：采用基于數(shù)字簽名的平安票據(jù)技術(shù),封裝用戶 登錄后的認(rèn)證狀態(tài)信息,并以平安方式傳遞到各個相關(guān)系統(tǒng)中,通

22、過對票據(jù)的解密、驗(yàn) 證、解析,從而實(shí)現(xiàn)方便、快捷、平安的單點(diǎn)登錄.針對江蘇省海事局辦公系統(tǒng)已與內(nèi)部幾個業(yè)務(wù)系統(tǒng)集成,實(shí)現(xiàn)單點(diǎn)登錄,建議本項(xiàng) 目建設(shè)統(tǒng)一認(rèn)證治理系統(tǒng)只與江蘇省海事局辦公系統(tǒng)集成,保持現(xiàn)有業(yè)務(wù)系統(tǒng)單點(diǎn)登錄,另外統(tǒng)一認(rèn)證治理系統(tǒng)與部局統(tǒng)一建設(shè)的船舶遠(yuǎn)程電子簽證、船舶動態(tài)2.0系統(tǒng)集成實(shí)現(xiàn)單點(diǎn)登錄；江蘇省海事局以后新建設(shè)業(yè)務(wù)系統(tǒng),可以參照統(tǒng)一認(rèn)證治理系統(tǒng)集成,集 成到統(tǒng)一認(rèn)證治理系統(tǒng)中.針對深圳市海事局所有業(yè)務(wù)系統(tǒng)都基于 AD域?qū)崿F(xiàn)單點(diǎn)登錄,現(xiàn)有的業(yè)務(wù)系統(tǒng)集成 模式不變.在用戶已經(jīng)登錄 AD域,直接進(jìn)入統(tǒng)一認(rèn)證治理系統(tǒng)認(rèn)證門戶,訪問部局統(tǒng) 一建設(shè)的船舶遠(yuǎn)程電子簽證、船舶動態(tài) 2.0系統(tǒng)

23、,不需要再登錄；深圳市海事局以后新 建設(shè)業(yè)務(wù)系統(tǒng),可以參照統(tǒng)一認(rèn)證治理系統(tǒng)集成,集成到統(tǒng)一認(rèn)證治理系統(tǒng)中.單點(diǎn)登錄票據(jù)格式如下：票摳的格式1 .票據(jù)版本號Version2用戶認(rèn)證一類型AuthType4.角色類型llserlyiie3.用戶根本信息Baselnft)足票據(jù)有效時間段TicketLIfo使01應(yīng)用系統(tǒng)證節(jié)進(jìn)行加密6.笙名 Signature使用整科技術(shù)保證單點(diǎn)登錄過程:1,機(jī)密性；2.完整性.工不可偽造工通過對單點(diǎn)登錄票據(jù)的加密、簽名等技術(shù)保證票據(jù)的機(jī)密性、完整性以及抗否認(rèn)性, 并且在票據(jù)中包含票據(jù)的有效時間段信息,利用時間有效期從一定程度上減少重放、中 問人攻擊的風(fēng)險(xiǎn).單點(diǎn)登錄

24、系統(tǒng)維護(hù)一張票據(jù)流水號臨時表,票據(jù)使用一次以后就失效, 也可以有效預(yù)防重放攻擊的風(fēng)險(xiǎn).通過采用以上的這些平安舉措以及平安流程,可以有 效地保證單點(diǎn)登錄系統(tǒng)的平安性.2.1.4.2 工作流程平安單點(diǎn)登錄流程如下列圖所示：2.1.5 身份信息共享與同步設(shè)計(jì)統(tǒng)一認(rèn)證系統(tǒng)建立統(tǒng)一的權(quán)威機(jī)構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權(quán)數(shù)據(jù)等資源庫并可作 為所有應(yīng)用系統(tǒng)的數(shù)據(jù)源.機(jī)構(gòu)數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權(quán)數(shù)據(jù)是海事局核心數(shù)據(jù),需 要絕對的平安和保密.統(tǒng)一認(rèn)證治理系統(tǒng)對數(shù)據(jù)的治理應(yīng)該是平安的和封閉的,任何未 授權(quán)應(yīng)用系統(tǒng)均無法從系統(tǒng)治理層面、系統(tǒng)效勞層面和數(shù)據(jù)庫層面獲取這些數(shù)據(jù),應(yīng)用 系統(tǒng)必須通過信息共享效勞和數(shù)據(jù)同步的方式

25、獲取這些數(shù)據(jù).信息共享效勞和數(shù)據(jù)同步有兩種體系結(jié)構(gòu):(1) 一級統(tǒng)一認(rèn)證治理系統(tǒng)和國家海事局應(yīng)用系統(tǒng)的同步如下列圖所示:一級統(tǒng)一認(rèn)證治理平臺一級統(tǒng)一認(rèn)證治理系統(tǒng)僅需要和國家海事局本地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步.(2)國家海事局統(tǒng)一認(rèn)證治理系統(tǒng)和直屬局/地方局統(tǒng)一認(rèn)證治理系統(tǒng)同步如下列圖所示：國家海事局直屬局/地方省局一級統(tǒng)一認(rèn)證治理系統(tǒng)不僅需要和國家海事局本地的應(yīng)用系統(tǒng)作數(shù)據(jù)同步,還需要 和直屬局/地方省局的二級級統(tǒng)一認(rèn)證治理系統(tǒng)作數(shù)據(jù)同步.2.1.5.2同步機(jī)制信息共享效勞和數(shù)據(jù)同步機(jī)制如下：與基于關(guān)系型數(shù)據(jù)庫DB 的應(yīng)用系統(tǒng)同步采用webservices技術(shù)SOAP協(xié)議實(shí)現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同

26、步.數(shù)據(jù)通過 同步引擎、事務(wù)機(jī)制和SOAP協(xié)議實(shí)現(xiàn)與應(yīng)用系統(tǒng)之間的同步.同步的成功和失敗都進(jìn) 行記錄,同步的成功信息以報(bào)告形式方便于治理人員查看,同步的失敗信息通過定時器 機(jī)制自動完成,直至同步成功.與基于目錄LDAP 的應(yīng)用系統(tǒng)同步采用LDAP協(xié)議和JNDI技術(shù)實(shí)現(xiàn)與這類應(yīng)用系統(tǒng)作數(shù)據(jù)同步.支持的 LDAP包括: apacheDS , openLdap , sunONE 等,另外也包括域限制器(windows AD、Linux NIS、 Unix NFS )0統(tǒng)一認(rèn)證治理系統(tǒng)和應(yīng)用系統(tǒng)之間以 JNDI/LDAP方式建立通信.數(shù)據(jù)通過同步引 擎、事務(wù)機(jī)制和JNDI與LDAP協(xié)議實(shí)現(xiàn)與應(yīng)用系統(tǒng)之

27、間的同步.同步的成功和失敗都 進(jìn)行記錄,同步的成功信息以報(bào)告形式方便于治理人員查看,同步的失敗信息通過定時 器機(jī)制自動完成,直至同步成功.與基于域限制器的應(yīng)用同步采用LDAP協(xié)議和JNDI技術(shù)實(shí)現(xiàn)與這類應(yīng)用系統(tǒng)數(shù)據(jù)同步.域限制器包括：windows AD、Linux (Unix) NIS.對域限制器的同步,根本與對 LDAP的同步類似,因此,與基 于域限制器的應(yīng)用同步可以采用基于 LDAP協(xié)議來實(shí)現(xiàn)同步.但是windows還提供了一 套ADSI接口,也能夠?qū)崿F(xiàn)與 windows AD的數(shù)據(jù)同步.統(tǒng)一認(rèn)證系統(tǒng)通過 JNI實(shí)現(xiàn)對 windowsAD的數(shù)據(jù)同步.2.1.5.3同步策略同步策略有三種,

28、包括：操作及時同步、操作批量同步和事后同步.1、及時同步該策略實(shí)現(xiàn)了：對用戶信息、機(jī)構(gòu)信息操作(增加并授權(quán)、刪除、修改)時,系統(tǒng) 自動完成同步.同步失敗時,系統(tǒng)監(jiān)控提示同步失敗,后臺使用定時器定時繼續(xù)進(jìn)行同 步.同步定時器還能夠設(shè)置同步的時間和周期.2、林最同步該策略實(shí)現(xiàn)了：根據(jù)“角色選擇用戶,完成用戶同步；根據(jù)“機(jī)構(gòu)選擇用戶, 完成用戶同步；根據(jù)“應(yīng)用系統(tǒng)選擇對應(yīng)的角色,完成角色的同步.3、事后同步該策略實(shí)現(xiàn)了：當(dāng)用戶信息、機(jī)構(gòu)信息操作(增加、刪除、修改)時或者同步失敗 時,用戶可根據(jù)需要進(jìn)行事后再次同步.當(dāng)新系統(tǒng)接入時,單獨(dú)同步信息.當(dāng)系統(tǒng)需要 更新數(shù)據(jù)時,再次同步用戶信息.2.1.6 后

29、臺治理設(shè)計(jì)2.1.6.1 用戶數(shù)據(jù)的獲取身份信息由各應(yīng)用系統(tǒng)聚集,統(tǒng)一認(rèn)證治理系統(tǒng)提供批量操作(導(dǎo)入、導(dǎo)出、遷移) 工具,如采用用戶數(shù)據(jù)EXCEL的導(dǎo)入導(dǎo)出,以滿足海事局大量用戶維護(hù)的需求.2.1.6.2 治理模式系統(tǒng)提供分級治理分級授權(quán).2.1.6.2.1 分級治理分級授權(quán)用戶身份信息和用戶的訪問限制相關(guān)的授權(quán)信息均分級治理.設(shè)有三類治理員角色：(1)系統(tǒng)治理員：進(jìn)行單位治理員治理、機(jī)構(gòu)治理、角色治理、應(yīng)用系統(tǒng)治理等日常 治理.(2)平安審計(jì)員：進(jìn)行平安審計(jì),日志治理等工作,對系統(tǒng)治理員的工作進(jìn)行監(jiān)督.(3)單位治理員：進(jìn)行本單位的用戶的授權(quán)治理.單位治理員根據(jù)系統(tǒng)治理員定義的 本單位的訪問

30、角色,為最終用戶進(jìn)行授權(quán).海事局統(tǒng)一認(rèn)證治理系統(tǒng)的用戶及系統(tǒng)級授權(quán)治理建議采用：分級治理、分級授權(quán) 模式,如下列圖所示：工產(chǎn)生卜端治理胃平安審計(jì)員系統(tǒng)治理員統(tǒng)一身份認(rèn)證系統(tǒng)克金宦計(jì)J 單位治理員o下桀單位治理員用戶痘一海事局單位治理員：負(fù)責(zé)海事局本部的用戶信息治理及系統(tǒng)級授權(quán)治理.下級單位治理員：負(fù)責(zé)本單位及下級單位的用戶信息治理及系統(tǒng)級授權(quán)治理.海事局單位治理員及下級單位治理員對各自單位進(jìn)行：機(jī)構(gòu)信息治理、用戶信息管 理、授權(quán)治理、證書治理以及平安審計(jì).單位治理員的權(quán)限由一級統(tǒng)一認(rèn)證治理系統(tǒng)管 理員統(tǒng)一分配.通過信息同步效勞實(shí)現(xiàn)數(shù)據(jù)的同步.2.1.6.3 賬號平安策略治理統(tǒng)一認(rèn)證治理系統(tǒng)的賬

31、號平安策略治理功能包括：重置多個用戶帳戶的密碼設(shè)置用戶下次登錄時必須更改密碼設(shè)置永不到期的密碼如果用戶的密碼過期,啟用、禁用或刪除他們配置用戶無法更改由治理員設(shè)置的密碼2.1.6.4 后臺治理功能框架統(tǒng)一認(rèn)證治理系統(tǒng)的后臺用戶治理的功能如下:統(tǒng)一認(rèn)證治理系統(tǒng)的總體功能包括：用戶治理、角色治理、信息系統(tǒng)治理、機(jī)構(gòu)管 理、根底數(shù)據(jù)治理和平安審計(jì).2.1.7 平安審計(jì)設(shè)計(jì)統(tǒng)一認(rèn)證治理系統(tǒng)應(yīng)具有較完善的應(yīng)用層日志記錄功能,可以通過平安治理模塊下 的系統(tǒng)日志子模塊查看審計(jì)日志信息,審計(jì)日志包括：序號、治理員名稱、操作類別、 操作日期、操作描述.日志內(nèi)容可以記錄用戶不成功登錄的信息,可以記錄用戶的重要業(yè)務(wù)

32、操作行為,如: 對用戶、角色的增加、刪除、修改和授權(quán)關(guān)系的調(diào)整等操作.所有日志根據(jù)標(biāo)準(zhǔn)結(jié)構(gòu)化數(shù)據(jù)記錄,便于審計(jì).日志中備注信息可填寫一些詳細(xì)信 息.日志可以提供查詢、備份等治理功能.各單位治理員可查詢本機(jī)構(gòu)日志；系統(tǒng)治理員可查詢所有日志；平安審計(jì)員可以備份、刪除日志只能以時間段備份及刪除；備份/刪除日志操作時間有記錄,備份/刪除的記錄不刪除；可設(shè)置備份提醒,在治理員登陸時提醒.2.1.7.2日志審計(jì)檢查某個用戶一段時間內(nèi)的缺勤情況.檢查當(dāng)前訪問網(wǎng)絡(luò)的用戶數(shù)量.識別通過遠(yuǎn)程計(jì)算機(jī)訪問的用戶檢查所有用戶的頂峰登錄時間.查看上次訪問重要資源的用戶.發(fā)現(xiàn)試圖登錄不具訪問權(quán)限的計(jì)算機(jī)的用戶.查看任一個用

33、戶登錄的全部歷史.同一個用戶在短時間內(nèi)從不同地方登陸情況,全面了解用戶活動的平安情況.實(shí)時預(yù)警功能,提供關(guān)注重要事件的實(shí)時告警.支持方案報(bào)表,提供自動發(fā)送用戶選擇的相關(guān)報(bào)表到治理員郵箱功能.提供自定義報(bào)表,要求提供基于用戶、計(jì)算機(jī)、組策略、組織單元等內(nèi)容定制各種 報(bào)表.支持導(dǎo)出PDF、CSV、XLS和HTML等格式.提供自定義活動目錄事件數(shù)據(jù)的保存周期,按設(shè)置周期清理數(shù)據(jù)庫過期事件數(shù)據(jù)功 能.提供日志自動歸檔功能：即基于用戶設(shè)定的時間間隔對日志進(jìn)行自動存檔,存于指 定目錄.2.1.8 業(yè)務(wù)系統(tǒng)接入設(shè)計(jì)2.1.8.1 業(yè)務(wù)系統(tǒng)接入條件應(yīng)用系統(tǒng)海事業(yè)務(wù)中報(bào)客戶端、客戶端要接入統(tǒng)一身份治理系統(tǒng),進(jìn)行

34、單點(diǎn)登 錄,需根據(jù)提供的接入標(biāo)準(zhǔn)對登錄模塊進(jìn)行改造,具體技術(shù)實(shí)現(xiàn)方式詳見第2.1.2和第2.1.4章節(jié).2.1.8.2業(yè)務(wù)系統(tǒng)接入步驟根據(jù)以上內(nèi)容的介紹,各個業(yè)務(wù)系統(tǒng)接入統(tǒng)一認(rèn)證治理系統(tǒng)的步驟必須根據(jù)標(biāo)準(zhǔn)和以下步驟完成：1、首先把業(yè)務(wù)系統(tǒng)中的用戶信息全部導(dǎo)入統(tǒng)一身份認(rèn)證系統(tǒng)中,統(tǒng)一用戶數(shù)據(jù)匯總 初始化是實(shí)現(xiàn)集成認(rèn)證的前提.2、業(yè)務(wù)系統(tǒng)的原有登錄方式取消,統(tǒng)一采用統(tǒng)一登錄入口,需要各個業(yè)務(wù)系統(tǒng)根據(jù) 統(tǒng)一認(rèn)證的接口標(biāo)準(zhǔn)要求進(jìn)行相應(yīng)的開發(fā)改造3、各個業(yè)務(wù)系統(tǒng)可以有選擇的把權(quán)限治理數(shù)據(jù)放到統(tǒng)一身份認(rèn)證系統(tǒng)中來,也可以 選擇保存原有業(yè)務(wù)系統(tǒng)的權(quán)限治理方式；4、統(tǒng)一認(rèn)證系統(tǒng)啟用后,禁用已經(jīng)接入的業(yè)務(wù)系統(tǒng)用

35、戶數(shù)據(jù)錄入的操作,保證整個 系統(tǒng)的數(shù)據(jù)一致性,預(yù)防數(shù)據(jù)沖突發(fā)生.2.2數(shù)字證書認(rèn)證系統(tǒng)2.2.1 產(chǎn)品介紹本方案將采用BJCA的信天行數(shù)字證書認(rèn)證系統(tǒng)為海事局提供建設(shè)CA中央.信大行數(shù)字證書認(rèn)證系統(tǒng)依照國家有關(guān)證書認(rèn)證系統(tǒng)的技術(shù)標(biāo)準(zhǔn)設(shè)計(jì),包括?證書 認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)標(biāo)準(zhǔn)?、?數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議標(biāo)準(zhǔn)?、?GBT 20518-2006信息平安技術(shù)公鑰根底設(shè)施數(shù)字證書格式?等.系統(tǒng)提供數(shù)字證書發(fā)放 和治理功能,包括數(shù)字證書申請、證書發(fā)放、證書更新、證書廢除、密鑰恢復(fù)等.同時 還提供如證書目錄發(fā)布效勞,OCSP證書查詢效勞等一系列方便用戶使用證書的效勞.系統(tǒng)提供了完善的日志記錄和詳細(xì)

36、的審計(jì)功能, 保證了對操作人員的操作行為進(jìn)行審計(jì).信大行數(shù)字證書認(rèn)證系統(tǒng)具有以下技術(shù)特點(diǎn)：(1)支持基于SM2算法的ECC證書的簽發(fā).(2)可以統(tǒng)一治理和發(fā)放各類證書,包括郵件證書、個人身份證書、企業(yè)證書、效勞 器證書等.(3)具有高擴(kuò)展性,可以靈活配置認(rèn)證體系.系統(tǒng)支持多級 CA,支持交叉證書認(rèn)證, 支持多級受理點(diǎn).可以根據(jù)用戶的需要,對系統(tǒng)進(jìn)行配置和擴(kuò)展.(4)具有高平安性和可靠性.(5)易于部署和使用.系統(tǒng)所有用戶、治理員界面主要是B/S模式,策略配置和系統(tǒng)定制以及用戶證書治理等都通過界面進(jìn)行.(6)采用靈活的證書模板技術(shù)和動態(tài)擴(kuò)展機(jī)制,容易滿足多種內(nèi)容格式證書簽發(fā)要 求.(7)系統(tǒng)環(huán)境

37、方面,支持主流操作系統(tǒng)、多種主流加密設(shè)備、多種數(shù)據(jù)庫、多種證書 存儲介質(zhì)等.信天行數(shù)字證書認(rèn)證系統(tǒng)在設(shè)計(jì)時充分考慮了體系結(jié)構(gòu)的完整性、全面的證書治理功能和自身安全性以及運(yùn)行保證等因素.系統(tǒng)通過利用公開密鑰算法、對稱密鑰算法和散列算法等技術(shù),提供了信息加密、數(shù)字簽名和數(shù)字信封等保護(hù)舉措,實(shí)現(xiàn)信息系統(tǒng)中數(shù)據(jù)的完整性、機(jī)密性、抗抵賴性,并提 供身份認(rèn)證、訪問限制等功能.可以為電子政務(wù)和電子商務(wù)領(lǐng)域提供信息化應(yīng)用平安根底平臺.2.2.2 系統(tǒng)框架數(shù)字證書認(rèn)證系統(tǒng)主要分成：核心層、治理層和效勞層三層架構(gòu).核心層包括：根CA系統(tǒng)、運(yùn)行CA系統(tǒng)和KMC密鑰治理系統(tǒng)三大子系統(tǒng).其中, 運(yùn)行CA系統(tǒng)又分成CA簽

38、發(fā)系統(tǒng)、CA治理系統(tǒng)、CA數(shù)據(jù)庫和主LDAP目錄效勞系統(tǒng) 等組成局部.KMC密鑰治理系統(tǒng)包括密鑰治理系統(tǒng)和 KM數(shù)據(jù)庫.治理層包括：RA注冊系統(tǒng).RA注冊系統(tǒng)由注冊治理系統(tǒng)和 RA數(shù)據(jù)庫組成.注冊 治理系統(tǒng)需要與CA治理系統(tǒng)進(jìn)行平安通信.效勞層包括：證書效勞系統(tǒng)和證書/證書狀態(tài)查詢系統(tǒng).證書效勞系統(tǒng)又細(xì)分為受理 點(diǎn)效勞系統(tǒng)、用戶效勞系統(tǒng).受理點(diǎn)效勞系統(tǒng)是海事局的證書受理點(diǎn)的證書治理員操作的證書效勞系統(tǒng)；用戶效勞系統(tǒng)是證書用戶通過海事局內(nèi)網(wǎng)進(jìn)行自助效勞的系統(tǒng).證書 / 證書狀態(tài)查詢系統(tǒng)包括從LDAP目錄效勞系統(tǒng)和OCSP效勞系統(tǒng).終端包括受理點(diǎn)治理終端和用戶終端,支持 PC機(jī)+USBKey.數(shù)字

39、證書認(rèn)證系統(tǒng)軟件構(gòu)架設(shè)計(jì)如下列圖所示：核心層注耕審板子系紜 (RA匕艮二直詢卜載服假設(shè) /證書狀態(tài)查詢效勞PC咚端自劭效勞受理點(diǎn)現(xiàn)場服備青理層效勞層最用戶2.2.3 軟件功能清單身份認(rèn)證系統(tǒng)采用B/S架構(gòu),所有治理工作通過瀏覽器完成.系統(tǒng)主要功能如下表所示：系統(tǒng)模塊系統(tǒng)主要功能說明CA簽發(fā)系統(tǒng)(CSS完成證書生命周期治理效勞,包括：簽發(fā)用戶證書、更新證書、重簽發(fā)證書、凍結(jié)、解凍、撤消證書簽發(fā) CRL發(fā)布證 書和CR導(dǎo)等.與KM RA等模塊進(jìn)行平安通信,進(jìn)行證書業(yè)務(wù)調(diào)度,實(shí)現(xiàn) 整個身份認(rèn)證系統(tǒng)業(yè)務(wù)、權(quán)限以及策略治理、查詢統(tǒng)計(jì)、安 全審計(jì)；實(shí)現(xiàn)用戶證書生命周期治理.密鑰治理系統(tǒng)用戶加密密鑰生產(chǎn)、密

40、鑰分發(fā)、密鑰歸檔、密鑰更新、密鑰(KMC撤銷、密鑰備份與恢復(fù)、平安審計(jì)等密鑰生命周期治理效勞.證書注冊系統(tǒng)(RA用戶信息注冊治理、RA業(yè)務(wù)策略治理、配置治理、平安審計(jì) 等等.證書在線查詢系統(tǒng)(OCSP提供用戶證書狀態(tài)在線查詢效勞.2.2.4技術(shù)標(biāo)準(zhǔn)(1)數(shù)字證書認(rèn)證系統(tǒng)遵循的標(biāo)準(zhǔn)?證書認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)標(biāo)準(zhǔn)?數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議標(biāo)準(zhǔn)?數(shù)字證書認(rèn)證系統(tǒng)檢測標(biāo)準(zhǔn)? ?證書認(rèn)證密鑰治理系統(tǒng)檢測標(biāo)準(zhǔn)?商用密碼治理?xiàng)l例? ?中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?(2)數(shù)字證書格式遵循的標(biāo)準(zhǔn)GB/T 20518-2006信息平安技術(shù)公鑰根底設(shè)施數(shù)字證書格式ITU-T X.509 V3 (

41、數(shù)字證書)ITU-T X.509 V2 (CRL 數(shù)字證書應(yīng)用接口遵循的標(biāo)準(zhǔn)公鑰密碼根底設(shè)施應(yīng)用技術(shù)體系證書應(yīng)用綜合效勞接口標(biāo)準(zhǔn)公鑰密碼根底設(shè)施應(yīng)用技術(shù)體系框架標(biāo)準(zhǔn)公鑰密碼根底設(shè)施應(yīng)用技術(shù)體系密碼設(shè)備應(yīng)用接口標(biāo)準(zhǔn)公鑰密碼根底設(shè)施應(yīng)用技術(shù)體系通用密碼效勞接口標(biāo)準(zhǔn)智能IC卡及智能密碼鑰匙密碼應(yīng)用接口標(biāo)準(zhǔn)CSP范PKCS#1標(biāo)準(zhǔn)上述標(biāo)準(zhǔn)為國家密碼局關(guān)于數(shù)字證書應(yīng)用體系的最新技術(shù)標(biāo)準(zhǔn).BJCA作為國家密碼根底設(shè)施成員單位,是最先遵循國家最新技術(shù)標(biāo)準(zhǔn)標(biāo)準(zhǔn)的PKI廠商.支持的密碼算法公鑰密碼算法：RSA SM2其中RSA密鑰長度1024/2048/4096比特可選SM2J持256比特；哈希函數(shù)算法：支持S

42、HA1 SHA256 SM3對稱密碼算法：SSF33 SM1/SM舒.LDAP目錄協(xié)議支持輕量型目錄協(xié)議第三版LDAPv3,具體如下：RFC 2251:輕型目錄效勞訪問協(xié)議RFC 2252屬性語法定義RFC 2253分辨名的UTF-8字符串表示RFC 2254:查詢過濾器的字符串表示RFC 2255 LDAP URI式RFC 2256 X.500 用戶 SchemaE總RFC 2829 LDAPU證方法RFC 283.傳輸層平安TLS擴(kuò)展OCS曲、議：RFC25603.數(shù)字證書運(yùn)行效勞方案3.1 運(yùn)行效勞體系海事局CA中央的建設(shè)目標(biāo)是面向全國范圍內(nèi)10萬規(guī)模的用戶群提供CA認(rèn)證效勞, 不僅僅需

43、要建設(shè)一個CA系統(tǒng),而且需要建設(shè)一個完善的效勞體系.海事局CA運(yùn)行效勞體系將以數(shù)字證書效勞平臺為技術(shù)手段,為局領(lǐng)導(dǎo)、治理人員和 用戶提供方便、快捷、高效的數(shù)字證書全生命周期效勞.輔以數(shù)字證書效勞方案以及CA根底設(shè)施的運(yùn)維方案,結(jié)合電子認(rèn)證效勞體系培訓(xùn), 保證CA根底設(shè)施的正常運(yùn)轉(zhuǎn).主要 建設(shè)內(nèi)容包括：(1)建立海事局?jǐn)?shù)字證書效勞平臺,為全國用戶提供方便、快捷、高效的數(shù)字證書全 生命周期效勞；(2)設(shè)計(jì)數(shù)字證書效勞方案,包括效勞交付和效勞支持等方面；(3)設(shè)計(jì)CA根底設(shè)施的運(yùn)21方案,保證 CA根底設(shè)施的正常運(yùn)轉(zhuǎn)；(4)開展電子認(rèn)證效勞體系的培訓(xùn),保證電子認(rèn)證效勞體系的應(yīng)用效果.3.2 證書效勞

44、方案SSI直屬局效勞網(wǎng)點(diǎn)全部局證書效勞人員按三級體系,即部局、直屬局、分局及海事處.直屬局的證書 效勞人員只負(fù)責(zé)機(jī)關(guān)人員的證書全生命周期治理,分局或海事處工作人員的證書全生命 周期治理由分局或海事處的證書效勞人員負(fù)責(zé).證書效勞人員的證書及介質(zhì)由部局統(tǒng)一 采購并配發(fā)3.2.1 證書效勞方案概述證書效勞方案包括效勞交付和效勞支持兩局部,其中：效勞交付方案將針對面對證書用戶提供的證書生命周期效勞和面對系統(tǒng)治理員提供的證書業(yè)務(wù)查詢統(tǒng)計(jì)效勞作出詳細(xì)闡述；效勞支持方案將明確闡述面向證書用戶和受理點(diǎn)治理員的效勞支持方式和支持內(nèi)容3.2.2 效勞交付方案3.2.2.1效勞交付內(nèi)容CA效勞交付是指將證書及相關(guān)效

45、勞交付給用戶.作為應(yīng)用平安保證體系根底設(shè)施, 建設(shè)一個平安、方便、快捷的 CA效勞交付體系,是十分重要的.CA效勞交付的內(nèi)容包括三個方面：1、 面對最終用戶提供的證書生命周期效勞2、 面對業(yè)務(wù)治理者提供的證書業(yè)務(wù)查詢統(tǒng)計(jì)效勞3、 面向應(yīng)用提供者提供的證書應(yīng)用集成等效勞.計(jì)對業(yè)駕管傅齊的服方計(jì)時悔用提供力的效勞予 r力廣予 ,證書微稍列恚 反慣鑒證目錄證書亶詢.:GP在線證 書狀態(tài)直道TSA3寸間散服用|*證書他第宣i期充計(jì)證書業(yè)假設(shè)審后一治理點(diǎn)/注期中央系統(tǒng)建設(shè)哥理點(diǎn)/注神中央運(yùn)雹治理一J證書應(yīng)用建成1 電子認(rèn)證安至咨詢電子泱證平安培訓(xùn)CA效勞交付圖表1 CA認(rèn)證效勞交付內(nèi)容其中,最重要的是面

46、向證書最終用戶的證書生命周期的效勞交付,包括證書申請發(fā) 放、證書撤消、證書更新、證書重簽發(fā)、密鑰恢復(fù)、證書介質(zhì)解鎖等等.3.2.2.2效勞交付模式證書效勞的交付模式,主要包括受理點(diǎn)交付、在線效勞交付兩種主要模式,以及結(jié) 合受理點(diǎn)和在線的混合交付模式.圖表3證書效勞的交付模式受理點(diǎn)交付模式海事局將在全國各地區(qū)分局分批建設(shè)數(shù)字證書受理點(diǎn),已建設(shè)證書受理點(diǎn)的分支機(jī) 構(gòu),證書效勞可采取受理點(diǎn)交付模式.對于應(yīng)用系統(tǒng)中已有的用戶支持批量制證、發(fā)證,對于新注冊用戶,由用戶自己提 交用戶信息到所在單位信息中央治理人員,通過所在單位信息中央治理員審核信息內(nèi)容的正確性,核實(shí)正確后由所在單位治理人員負(fù)責(zé)制證、交付在

47、線交付模式用戶除可以通過受理點(diǎn)獲取證書全生命周期的效勞外,還可以通過登錄用戶效勞系統(tǒng)臺獲取在線的證書效勞.在證書更新、撤消、重簽發(fā)、介質(zhì)解鎖階段,通過 Web自助 獲取效勞.3.2.2.3效勞交付流程受理點(diǎn)集中證書申請流程海事局內(nèi)部證書采用證書受理點(diǎn)集中證書申請模式.集中申請是指由單位證書治理 員集中收集、整理和審查用戶證書申請的真實(shí)可靠后,通過文件方式將證書申請信息批 量傳入CA系統(tǒng),由CA中央集中制作數(shù)字證書后發(fā)放給證書治理員,再由證書治理員集 中將數(shù)字證書分發(fā)到用戶手中.圖表5受理點(diǎn)集中證書申請流程具體流程如下:(1)單位治理員收集用戶信息,并鑒證,然后將批量證書申請信息文件上傳海事局C

48、A系統(tǒng)并使用制證員證書對申請進(jìn)行數(shù)字簽名；(2)作為可選,由上級治理部門證書治理員審批證書申請；(3)海事局CA中央集中組織生產(chǎn)數(shù)字證書并寫入 USB KEYJ,做好用戶標(biāo)識,然后 將USB KEYF發(fā)到受理點(diǎn)治理員；(4)單位治理員將USB KES發(fā)給用戶使用.證書更新流程為了用戶更新的方便,建議全部采取在線更新方式.用戶在證書即將到期時,應(yīng)用系統(tǒng)將提前 30天提醒用戶進(jìn)行證書更新.用戶使用自 己當(dāng)前手中的證書登錄用戶效勞系統(tǒng), 進(jìn)行更新申請.在獲得CA中央后臺治理人員的授 權(quán)后,用戶可立即通過網(wǎng)絡(luò)下載新證書.圖表6證書更新流程證書更新的具體流程如下：(1)受理點(diǎn)治理員查詢系統(tǒng)即將到期用戶名

49、單,提交證書更新申請(也可是系統(tǒng)自動提交證書更新名單)；(2)治理員對更新申請信息進(jìn)行授權(quán)；(可選)(3)證書用戶使用舊證書登錄證書用戶效勞系統(tǒng)；(4)系統(tǒng)驗(yàn)證舊證書的有效性后,直接向用戶的 usbkey內(nèi)下載新證書,完成更新業(yè) 務(wù).證書撤銷流程當(dāng)證書喪失或人員崗位變動時,應(yīng)撤消用戶的證書使其不可再用.證書撤消的發(fā)起人可以是證書治理員,也可以是證書持有者本身.證書治理員可以 使用自己的治理員證書,直接向CA提出撤消其管轄范圍內(nèi)的用戶證書；證書持有者可以 通過提交鑒證材料,證實(shí)其證書持有人身份后,提交證書撤消申請,由系統(tǒng)將證書序列 號簽發(fā)到黑名單中.用戶自助撤消：用戶登錄在線效勞平臺,選擇證書撤

50、消,通過身份鑒證確認(rèn)后即可撤消登錄的證書；治理員撤消：用戶到治理員處申請撤消證書,治理員審核用戶身份信息后登錄證書效勞治理系統(tǒng),根據(jù)用戶信息查詢對應(yīng)證書,進(jìn)行撤消；USBKey密碼解鎖證書介質(zhì)USBKe狂放證書的私鑰,用口令進(jìn)行保護(hù)(稱為PIN 口令).為了保護(hù)UsbKey 擁有者的平安,預(yù)防被盜用或攻擊的風(fēng)險(xiǎn),USBKey艮制PIN 口令出錯時的重試次數(shù),當(dāng)連續(xù)使用錯誤口令重試10次后,Usbkey將自動鎖死.這時,用戶如果仍想繼續(xù)使用, 需要CA認(rèn)證中央進(jìn)行USBKeyq令解鎖.USBKeyS鎖具體流程如下：4、 ) USBKe瀕死的用戶在數(shù)字證書效勞平臺提交解鎖申請；(2)受理點(diǎn)治理員確

51、認(rèn)用戶的證書解鎖申請(鑒證)；(3)總部治理員給予USBKeyff鎖申請授權(quán)；(可選)(4)證書用戶使用USBKey錄解鎖網(wǎng)站,設(shè)置新密碼,完成 USBKe州鎖.密鑰恢復(fù)如果證書應(yīng)用過程中存在使用證書加密的操作,一旦出現(xiàn)證書介質(zhì)損壞或喪失的情 況,加密后的信息便無法進(jìn)行解密.這時,用戶可以提出密鑰恢復(fù)的申請,由工作人員 在證書效勞系統(tǒng)中進(jìn)行密鑰恢復(fù)的操作.密鑰恢復(fù)具體流程如下：(1)用戶加密證書喪失或損壞后,可申請密鑰恢復(fù)(填寫申請表) ；(2)受理點(diǎn)治理員鑒證用戶身份；(3)受理點(diǎn)治理員提交證書密鑰恢復(fù)；(4)總部治理員審批.(5)受理點(diǎn)治理員為用戶分配新的 usbkey,選擇密鑰恢復(fù),為用

52、戶恢復(fù)加密密鑰和加 密證書；(6)用尸領(lǐng)取恢復(fù)后的加密證書3.2.2.4證書業(yè)務(wù)查詢統(tǒng)計(jì)效勞效勞交付將為業(yè)務(wù)治理者提供詳盡的證書查詢統(tǒng)計(jì)效勞,其中查詢可依據(jù)發(fā)放、使 用和到期進(jìn)行分別查詢,證書統(tǒng)計(jì)可依據(jù)使用情況、辦理情況進(jìn)行統(tǒng)計(jì),統(tǒng)計(jì)還依據(jù)月 統(tǒng)計(jì)、使用單位和業(yè)務(wù)應(yīng)用情況分別統(tǒng)計(jì),統(tǒng)計(jì)信息可導(dǎo)出 EXCELS格輸出.證書查詢統(tǒng)計(jì)圖表7證書查詢統(tǒng)計(jì)功能圖按使用單位情況統(tǒng)計(jì)W證書辦理情況月統(tǒng)計(jì) 證書使用辦理情況證書使用情況證書到期情況證書使用情況證書發(fā)放情況_ 2.人.也上什|修,刖金制.1咕網(wǎng)*尊號的k工*不亳孤44 RZ ：圖表8按證書辦理單位查詢截圖圖表9按證書類型查詢截圖證書獎31 ：業(yè)暑狀毒;證件號礴：圖表4按業(yè)務(wù)類型查詢截圖業(yè)落國： 江仲號月:證融at：愉有契si 二Egg證羽*i赤面稼 壺待申僧所腿道道 證搭申調(diào)授職遇近 EE和制作中 或?qū)⒅茞澩戤?證書中酒鮮止圖表5按業(yè)務(wù)狀態(tài)查詢截圖： 證書辦過老特證陽春91途算日題圖表6