《信息安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南 第3部分：身份認(rèn)證與授權(quán)管理》

GB/Z××××—2011

ICS3b5e.i0ji4n0g

L80GB

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z××××—××××

信息安全技術(shù)

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第3部分:身份認(rèn)證與授權(quán)管理

Informationsecuritytechnology–GuideofimplementationforInternet-based

e-governmentinformationsecurity-Part3:Identityauthenticationandauthorization

（征求意見稿）

××××-××-××發(fā)布××××-××-××實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

1發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/TXXXXX.1—XXXX

I

GB/TXXXXX.1—XXXX

引言

互聯(lián)網(wǎng)已成為重要的信息基礎(chǔ)設(shè)施，積極利用互聯(lián)網(wǎng)進(jìn)行我國(guó)電子政務(wù)建設(shè)，既能提高效率、擴(kuò)大

服務(wù)的覆蓋面，又能節(jié)約資源、降低成本。利用開放的互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)，面臨著計(jì)算機(jī)病毒、

網(wǎng)絡(luò)攻擊、信息泄漏、身份假冒等安全威脅和風(fēng)險(xiǎn)。為推進(jìn)互聯(lián)網(wǎng)在我國(guó)電子政務(wù)中的應(yīng)用，指導(dǎo)基于

互聯(lián)網(wǎng)電子政務(wù)信息安全保障工作，特制定本指導(dǎo)性技術(shù)文件。

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南標(biāo)準(zhǔn)由基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南總則、接入控

制與安全交換、身份認(rèn)證與授權(quán)管理、終端安全防護(hù)四部分組成?；诨ヂ?lián)網(wǎng)電子政務(wù)信息安全實(shí)施指

南總則，是基于互聯(lián)網(wǎng)電子政務(wù)信息安全建設(shè)的總攬,可指導(dǎo)政府部門建立基于互聯(lián)網(wǎng)電子政務(wù)信息安

全系統(tǒng)，構(gòu)建基于互聯(lián)網(wǎng)電子政務(wù)信息安全體系；接入控制與安全交換、身份認(rèn)證與授權(quán)管理與終端安

全防護(hù)三個(gè)規(guī)范，分別從互聯(lián)網(wǎng)電子政務(wù)中安全互聯(lián)與接入控制、政務(wù)辦公與政務(wù)服務(wù)安全、政務(wù)終端

安全防護(hù)三個(gè)關(guān)鍵實(shí)施點(diǎn)，對(duì)基于互聯(lián)網(wǎng)電子信息安全系統(tǒng)建設(shè)進(jìn)行規(guī)范。

本指導(dǎo)性技術(shù)文件主要適用于沒(méi)有電子政務(wù)外網(wǎng)專線或沒(méi)有租用通信網(wǎng)絡(luò)專線條件的組織機(jī)構(gòu)，開

展開展非涉及國(guó)家秘密的電子政務(wù)建設(shè)，當(dāng)建設(shè)需要時(shí)，可根據(jù)安全策略與電子政務(wù)外網(wǎng)進(jìn)行安全對(duì)接。

II

GB/TXXXXX.1—XXXX

信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第3部分：身份認(rèn)證與授權(quán)管理

1范圍

本部分根據(jù)信任體系構(gòu)建策略要求，明確相關(guān)的身份認(rèn)證及授權(quán)管理功能要求，定義身

份認(rèn)證與授權(quán)管理技術(shù)規(guī)范。

本部分適用于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中身份認(rèn)證與授權(quán)管理系統(tǒng)的設(shè)計(jì)、研發(fā)與建設(shè)。

2規(guī)范性引用文件

下列文件中的有關(guān)條款通過(guò)引用而成為本標(biāo)準(zhǔn)的條款。凡注日期或版次的引用文件，其后的

任何修改單（不包括勘誤的內(nèi)容）或修訂版本都不適用于本標(biāo)準(zhǔn)，但提倡使用本標(biāo)準(zhǔn)的各方探討

使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

GB/T162621－2006信息技術(shù)抽象語(yǔ)法記法－（ASN.1）第1部分：基本記法規(guī)范（ISO/IEC

8824-1:2002,IDT）

GB/T205181－2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T205191－2006公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范

GB/T16264.81－2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架

3術(shù)語(yǔ)和定義

3.1

特定權(quán)限管理基礎(chǔ)設(shè)施privilegemanagementinfrastructure

支持授權(quán)服務(wù)的綜合基礎(chǔ)設(shè)施，與公鑰基礎(chǔ)設(shè)施有著密切的聯(lián)系。

3.2

特定權(quán)限管理系統(tǒng)privilegemanagementsystem

提供屬性證書申請(qǐng)和管理、權(quán)限分配和管理、屬性證書發(fā)布和管理的認(rèn)證機(jī)構(gòu)，也稱授

權(quán)管理系統(tǒng)。

3.3

屬性證書attributecertificate

屬性授權(quán)機(jī)構(gòu)進(jìn)行數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)，把持有者的身份信息與一些屬性值綁定。

3.4

屬性授權(quán)機(jī)構(gòu)attributeauthority

通過(guò)發(fā)布屬性證書來(lái)分配權(quán)限的認(rèn)證機(jī)構(gòu)，也稱屬性管理機(jī)構(gòu)。

3.5

源授權(quán)機(jī)構(gòu)sourceofauthority

為資源的特定權(quán)限驗(yàn)證者所信任的，位于頂層的分配特定權(quán)限的屬性授權(quán)機(jī)構(gòu)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。

AAAttributeAuthority屬性授權(quán)機(jī)構(gòu)

ACAttributeCertificate屬性證書

1

GB/TXXXXX.1—XXXX

ACRLAttributeCertificateRevocationList屬性證書撤銷列表

CACertificationAuthority證書認(rèn)證機(jī)構(gòu)

CNCommonName通用名

CRLCertificateRevocationList證書吊銷列表

LDAPLightweightDirectoryAccessProtocol輕量級(jí)目錄訪問(wèn)協(xié)議

PKIPublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施

PKCPublicKeyCertificate公鑰證書

PMSPrivilegeManagementSystem授權(quán)管理系統(tǒng)

PMIPrivilegeManagementInfrastructure特權(quán)管理基礎(chǔ)設(shè)施

5統(tǒng)一身份認(rèn)證與授權(quán)管理安全功能

5.1統(tǒng)一身份認(rèn)證功能

統(tǒng)一身份認(rèn)證系統(tǒng)要求域內(nèi)統(tǒng)一部署，為多種應(yīng)用系統(tǒng)提供認(rèn)證服務(wù)。

a)支持單點(diǎn)登錄功能，避免重復(fù)認(rèn)證，減少認(rèn)證服務(wù)負(fù)擔(dān)；

b)根據(jù)應(yīng)用的不同安全需求可采用不同的認(rèn)證憑證以及多種憑證的組合，憑證的類型

可分為口令、證書、生物特征等；；

c)對(duì)用戶身份信息進(jìn)行安全存儲(chǔ)，能夠有效防止用戶敏感信息泄漏；

d)認(rèn)證協(xié)議安全，能夠有效防止篡改、重放、假冒等攻擊；

e)支持統(tǒng)一的身份認(rèn)證服務(wù)接口，便于與不同種類應(yīng)用系統(tǒng)集成或二次開發(fā)。

5.2授權(quán)管理功能

授權(quán)管理在用戶管理的基礎(chǔ)之上，對(duì)用戶訪問(wèn)資源的權(quán)限進(jìn)行統(tǒng)一的標(biāo)識(shí)與管理，是基

于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)的必選配置。

a)授權(quán)管理系統(tǒng)支持物理分級(jí)部署，既可實(shí)現(xiàn)分布式授權(quán)管理，還可支持單域環(huán)境內(nèi)

集中式的授權(quán)管理；

b)支持PMS內(nèi)部的多管理員管理，通過(guò)為管理員劃分管理范圍，實(shí)現(xiàn)授權(quán)管理系統(tǒng)內(nèi)

部的分級(jí)管理；

c)采用基于角色的授權(quán)管理方式，支持跨域授權(quán)，可通過(guò)推薦角色的方式，也可通過(guò)

用戶跨域申請(qǐng)授權(quán)的方式來(lái)實(shí)現(xiàn)跨域授權(quán)；

d)為用戶授權(quán)支持無(wú)屬性證書方式，也支持屬性證書方式，提供屬性證書的生成、更

新、撤銷、恢復(fù)等操作功能；

e)提供人員信息同步接口、用戶授權(quán)接口、角色授權(quán)接口等外部接口。

5.3系統(tǒng)部署要求

統(tǒng)一身份認(rèn)證系統(tǒng)由統(tǒng)一身份認(rèn)證服務(wù)器和統(tǒng)一用戶管理系統(tǒng)組成，統(tǒng)一身份認(rèn)證服務(wù)

器部署于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中的安全服務(wù)區(qū)域，統(tǒng)一用戶管理系統(tǒng)部署于安全管理區(qū)域。

統(tǒng)一授權(quán)管理系統(tǒng)作為安全管理中心的一部分，與統(tǒng)一用戶管理系統(tǒng)一起部署于安全管理區(qū)

域。

5.4存儲(chǔ)安全要求

對(duì)統(tǒng)一用戶管理系統(tǒng)中的用戶身份信息進(jìn)行安全存儲(chǔ)與管理，禁止明文存儲(chǔ)，采用加密

或哈希運(yùn)算后存儲(chǔ)，并使用數(shù)據(jù)庫(kù)權(quán)限安全限制。統(tǒng)一授權(quán)管理系統(tǒng)中的授權(quán)信息存儲(chǔ)于授

權(quán)管理數(shù)據(jù)庫(kù)中，與統(tǒng)一授權(quán)管理系統(tǒng)一起部署于安全管理區(qū)域，除管理員登錄信息需加密

或哈希后存放以外，其余信息可明文存放。

5.5安全接口要求

身份認(rèn)證系統(tǒng)、授權(quán)管理系統(tǒng)所提供的接口見《基于互聯(lián)網(wǎng)電子政務(wù)安全接口規(guī)范》。

6統(tǒng)一身份認(rèn)證技術(shù)規(guī)范

2

GB/TXXXXX.1—XXXX

6.1統(tǒng)一用戶標(biāo)識(shí)

6.1.1統(tǒng)一用戶身份信息

基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)需要根據(jù)政府部門的實(shí)際情況將用戶信息進(jìn)行統(tǒng)一管理。統(tǒng)一

用戶身份信息是指采用統(tǒng)一的用戶身份信息規(guī)范，以記錄、存儲(chǔ)和描述每一個(gè)用戶的身份信

息。用戶身份信息包括統(tǒng)一用戶編碼、用戶名稱、用戶基本信息、用戶身份認(rèn)證信息、用戶

身份擴(kuò)展信息等。

6.1.2統(tǒng)一用戶編碼

統(tǒng)一用戶編碼根據(jù)政府部門、人員編制情況，通過(guò)為每一個(gè)用戶、部門進(jìn)行統(tǒng)一編碼，

使其在互聯(lián)網(wǎng)電子政務(wù)的身份認(rèn)證系統(tǒng)中具有唯一的標(biāo)識(shí)。

系統(tǒng)利用樹形結(jié)構(gòu)組織部門與用戶信息，對(duì)其進(jìn)行分級(jí)管理。人員管理系統(tǒng)是樹的根節(jié)

點(diǎn)，下設(shè)的各一級(jí)部門是根節(jié)點(diǎn)的子節(jié)點(diǎn)；一級(jí)部門管理的用戶和下級(jí)部門是其子節(jié)點(diǎn)；下

級(jí)部門又可繼續(xù)下設(shè)用戶及子部門；以此類推，所有的部門節(jié)點(diǎn)與用戶節(jié)點(diǎn)構(gòu)成“用戶樹”，

該樹的非葉子節(jié)點(diǎn)（用戶節(jié)點(diǎn)不能建立下級(jí)節(jié)點(diǎn)）構(gòu)成“部門樹”。

依據(jù)上述樹形結(jié)構(gòu)，將信任域內(nèi)的部門、人員身份按照統(tǒng)一的編碼方案進(jìn)行編碼，樹中

每一節(jié)點(diǎn)由根開始編碼。

圖1統(tǒng)一用戶編碼方式

如圖1所示的樹形結(jié)構(gòu)中，節(jié)點(diǎn)編號(hào)是由一個(gè)整數(shù)序列組成，代表部門或用戶身份，整

數(shù)之間以圓點(diǎn)分割，整數(shù)的個(gè)數(shù)決定了該節(jié)點(diǎn)的深度。例如根結(jié)點(diǎn)1代表用戶管理中心A，

1.1代表A下設(shè)的一級(jí)部門B，1.1.2代表B的下級(jí)部門F，代表部門F的負(fù)責(zé)人，而

可表示該部門的第一副職領(lǐng)導(dǎo)。根據(jù)編碼也可解析出對(duì)應(yīng)節(jié)點(diǎn)的編號(hào)。

在添加部門或用戶時(shí)，編碼由系統(tǒng)根據(jù)當(dāng)前編碼情況自動(dòng)生成，編碼一經(jīng)生成，不能再

修改，刪除的編碼不再重用。當(dāng)編碼空間加入到其它編碼空間中時(shí)，為該編碼空間加上統(tǒng)一

前綴以實(shí)現(xiàn)擴(kuò)展。

6.1.3用戶名稱

用戶名稱表示此用戶在互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中的唯一名稱。

6.1.4用戶基本信息

用戶基本信息表示用戶個(gè)人基本情況信息。用戶基本信息主要包括用戶姓名、性別、年

齡、民族、籍貫、出生日期、工作日期、政治面貌、入黨（團(tuán)）時(shí)間、職務(wù)、級(jí)別、職稱、

類別、證件類別、證件號(hào)碼、住址、電話號(hào)碼、郵箱等。

6.1.5用戶身份認(rèn)證信息

用戶身份認(rèn)證信息表示此用戶在互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中用于身份認(rèn)證的相關(guān)特征信息。

用戶身份認(rèn)證信息主要包括此用戶的認(rèn)證方式和每種認(rèn)證方式對(duì)應(yīng)的特征信息。認(rèn)證方式包

括口令認(rèn)證、證書認(rèn)證、指紋認(rèn)證、人臉影像認(rèn)證等多種認(rèn)證方式，其中，口令認(rèn)證、證書

認(rèn)證是較常用的認(rèn)證方式，指紋認(rèn)證、人臉影像認(rèn)證等方式屬于生物特征認(rèn)證方式，用于安

3

GB/TXXXXX.1—XXXX

全級(jí)別較高的應(yīng)用場(chǎng)景。認(rèn)證方式對(duì)應(yīng)的特征信息包括用戶口令、證書信息、生物特征值等

信息。

6.1.6用戶身份擴(kuò)展信息

用戶身份擴(kuò)展信息表示此用戶在互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中與身份相關(guān)的擴(kuò)展信息。用戶身

份擴(kuò)展信息包括用戶簡(jiǎn)歷、工作履歷、獎(jiǎng)懲情況等信息。

6.2身份認(rèn)證方式

6.2.1口令認(rèn)證

口令認(rèn)證適用于基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中政務(wù)服務(wù)應(yīng)用。口令認(rèn)證的基本過(guò)程是認(rèn)證

系統(tǒng)通過(guò)比較用戶輸入的口令與系統(tǒng)內(nèi)部存儲(chǔ)的口令是否一致來(lái)判斷用戶的身份。

口令不能以明文形式傳輸和存儲(chǔ)，必須以口令的哈希值或加密后的密文傳輸和存儲(chǔ)。用

戶進(jìn)行口令方式認(rèn)證時(shí)，除需要輸入用戶名和口令之外，還要輸入校驗(yàn)碼進(jìn)行登錄。

6.2.2數(shù)字證書認(rèn)證

數(shù)字證書認(rèn)證通過(guò)數(shù)字證書獲取用戶的公鑰信息，并利用公鑰驗(yàn)證用戶提交的消息簽名

值是否合法以鑒別用戶身份。數(shù)字證書認(rèn)證適用于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中政務(wù)辦公應(yīng)用。

6.2.3生物特征認(rèn)證

生物特征認(rèn)證利用人類本身所擁有且能標(biāo)識(shí)其身份的生物特征進(jìn)行身份認(rèn)證。生物特征

認(rèn)證方式主要包括指紋認(rèn)證、虹膜認(rèn)證、人臉影像認(rèn)證、聲紋認(rèn)證等，用于互聯(lián)網(wǎng)電子政務(wù)

系統(tǒng)中政務(wù)辦公應(yīng)用。

6.2.4面向信息分類防護(hù)的認(rèn)證方式選擇

用戶在進(jìn)行訪問(wèn)時(shí)，認(rèn)證服務(wù)器需根據(jù)用戶所訪問(wèn)的資源類型，強(qiáng)制用戶采用與其資源

類別相適應(yīng)的認(rèn)證方式。

6.3密碼算法

密碼安全產(chǎn)品的使用以及產(chǎn)品所使用的密碼算法應(yīng)符合國(guó)家有關(guān)規(guī)定。

6.4認(rèn)證協(xié)議

認(rèn)證協(xié)議是通信參與者為完成相互的身份認(rèn)證或識(shí)別而采用的規(guī)程、約定、約束和交換

信息的總和。在認(rèn)證系統(tǒng)對(duì)用戶、終端、設(shè)備、裝置等進(jìn)行身份認(rèn)證的過(guò)程中，應(yīng)選用安全

的認(rèn)證協(xié)議，為其提供機(jī)密性、完整性、不可否認(rèn)性保護(hù)，抵御消息重放、第三方假冒等攻

擊。

7統(tǒng)一授權(quán)管理技術(shù)規(guī)范

7.1角色管理

7.1.1角色的層次結(jié)構(gòu)

互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中，角色可根據(jù)組織結(jié)構(gòu)中的崗位職責(zé)進(jìn)行定義，也可根據(jù)應(yīng)用系

統(tǒng)中的功能劃分來(lái)進(jìn)行定義。角色層次組織成樹形結(jié)構(gòu)，允許一個(gè)角色擁有多個(gè)子角色和至

多一個(gè)父角色。

7.1.2角色的編碼原則

根據(jù)角色的層次關(guān)系，授權(quán)管理系統(tǒng)對(duì)角色進(jìn)行統(tǒng)一的編碼。角色的編碼應(yīng)遵循以下原

則：

a)在角色層次中，每一個(gè)角色的編碼都是唯一的；

b)子角色的編碼應(yīng)以其父角色的編碼為前綴，體現(xiàn)角色的層次結(jié)構(gòu)；

c)根據(jù)角色的編碼，能求出其父角色及所有祖先角色的編碼。

7.1.3基于信息分類防護(hù)的角色分類

按照信息分類防護(hù)要求，將角色分為公開角色、內(nèi)部共享角色和內(nèi)部受控角色三種類型。

7.1.4角色的權(quán)限類型

4

GB/TXXXXX.1—XXXX

角色的權(quán)限可分為公開權(quán)限、私有權(quán)限和繼承權(quán)限：

a)公開權(quán)限：直接分配給角色的可被上級(jí)角色繼承的權(quán)限；

b)私有權(quán)限：直接分配給角色的但不可被任何角色繼承的權(quán)限；

c)繼承權(quán)限：從下級(jí)角色繼承而來(lái)的可繼續(xù)被上級(jí)角色繼承的權(quán)限。

角色之間的權(quán)限繼承關(guān)系是可選的。

當(dāng)角色之間沒(méi)有權(quán)限繼承關(guān)系時(shí)，上級(jí)角色不繼承下級(jí)角色的權(quán)限，角色的所有權(quán)限均為私

有權(quán)限。

當(dāng)角色之間存在權(quán)限繼承關(guān)系時(shí)，上下級(jí)角色之間的權(quán)限繼承僅限于在一個(gè)授權(quán)管理系

統(tǒng)內(nèi)部，不允許跨授權(quán)管理系統(tǒng)的權(quán)限繼承。

7.2資源管理

7.2.1資源分類

資源分類是互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中資源種類的劃分，主要包括：網(wǎng)頁(yè)、文件系統(tǒng)、數(shù)據(jù)

庫(kù)、功能模塊，其中網(wǎng)頁(yè)中包含了HTML代碼段和腳本程序段，通常在腳本程序段中會(huì)包含應(yīng)

用組件，HTML代碼段中可嵌套HTML代碼段和腳本程序段，并使用相關(guān)控件資源，控件之間有

時(shí)也存在嵌套關(guān)系；文件系統(tǒng)中通常包含文件和文件夾，文件夾中又包含文件資源；數(shù)據(jù)庫(kù)

資源由數(shù)據(jù)表組成，數(shù)據(jù)表由數(shù)據(jù)字段構(gòu)成。

根據(jù)信息分類防護(hù)要求，基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中的信息資源可按其重要程度將其分

為：敏感信息、內(nèi)部公開信息、和公開信息三種類型。

7.2.2資源操作

互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中資源操作是指用戶對(duì)系統(tǒng)中資源的操作權(quán)限，根據(jù)資源的類型不

同，操作種類也不相同。網(wǎng)頁(yè)資源操作包括：讀、寫、本級(jí)讀、本級(jí)寫、遍歷、擁有。文件

系統(tǒng)操作包括：讀、寫、本級(jí)讀、本級(jí)寫、遍歷、擁有。數(shù)據(jù)庫(kù)操作包括：數(shù)據(jù)庫(kù)的創(chuàng)建、

修改、刪除，數(shù)據(jù)表的創(chuàng)建、修改、刪除，數(shù)據(jù)項(xiàng)查詢、修改、刪除、添加。功能模塊操作

包括：加載、刪除、調(diào)用接口等操作。

7.2.3資源編碼

互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中所有資源均有一個(gè)唯一編碼，編碼由系統(tǒng)自動(dòng)生成，不能重復(fù)使

用、重復(fù)分配和修改。

7.3權(quán)限管理操作

7.3.1角色操作流程

添加下級(jí)角色

添加下級(jí)角色操作流程如下：

a)獲得當(dāng)前進(jìn)行操作的角色節(jié)點(diǎn)位置；

b)添加角色信息，包括角色名稱、限制用戶數(shù)、角色類型，并自動(dòng)為新添加角色生成

角色編號(hào)、建立日期、子角色數(shù)、是否授權(quán)等信息，更新對(duì)應(yīng)父角色的子角色個(gè)數(shù)。

修改角色

修改角色的流程如下：

a)獲得當(dāng)前進(jìn)行操作的角色節(jié)點(diǎn)位置；

b)對(duì)角色名稱、限制用戶數(shù)進(jìn)行修改。

本操作僅允許對(duì)角色名稱、限制用戶數(shù)進(jìn)行修改，其余角色信息不允許修改。

刪除角色

刪除角色的流程如下：

a)獲得當(dāng)前進(jìn)行操作的角色節(jié)點(diǎn)位置，若為根節(jié)點(diǎn)，則退出，否則進(jìn)行下一步；

5

GB/TXXXXX.1—XXXX

b)刪除該角色及其所有子角色，以及它們所對(duì)應(yīng)的所有權(quán)限，同時(shí)刪除所有上級(jí)角色

中從該角色處繼承的權(quán)限，更新對(duì)應(yīng)父角色的子角色個(gè)數(shù)，并從相關(guān)用戶的權(quán)限中

刪除該角色，從相關(guān)互斥角色集中刪除該角色。

恢復(fù)角色

恢復(fù)角色的流程如下：

a)在已刪除的角色集中選擇需恢復(fù)的角色；

b)若該角色的父角色未被刪除，則直接恢復(fù)該角色，修改其父角色的子角色個(gè)數(shù)，權(quán)

限繼承深度策略所允許的上級(jí)角色可繼承其公開權(quán)限，并標(biāo)記這些權(quán)限為繼承權(quán)限；

c)若該角色的父角色已被刪除，則提示先恢復(fù)父角色。

7.3.2互斥角色集管理流程

新建互斥角色集

新建互斥角色集流程如下：

a)為新建互斥角色集自動(dòng)生成編號(hào)；

b)在角色樹中選擇角色，添加到互斥角色集，查看已有互斥角色集，若已存在與新建

互斥角色集中的角色完全相同的互斥角色集，則退出，否則進(jìn)行下一步；

c)設(shè)置互斥角色集的基數(shù)；

d)檢查所有已授權(quán)用戶，如存在違反新建互斥角色集的授權(quán)，則自動(dòng)撤銷用戶角色集

中存在互斥關(guān)系的角色，并提示授權(quán)管理員調(diào)整用戶授權(quán)。

修改互斥角色集

修改互斥角色集流程如下：

a)獲得需進(jìn)行修改操作的互斥角色集；

b)對(duì)互斥角色集中的角色進(jìn)行添加或刪除，若修改后的互斥角色集中的角色個(gè)數(shù)為0，

則刪除該互斥角色集并退出；

c)修改互斥角色集的基數(shù)；

d)檢查所有已授權(quán)用戶，如存在違反當(dāng)前互斥角色集的授權(quán)，則自動(dòng)撤銷用戶角色集

中存在互斥關(guān)系的角色，并提示授權(quán)管理員調(diào)整用戶授權(quán)。

刪除互斥角色集

刪除互斥角色集流程如下：

a)獲得需進(jìn)行刪除操作的互斥角色集；

b)刪除互斥角色集。

7.3.3角色權(quán)限管理流程

為角色分配權(quán)限

為角色分配權(quán)限的流程如下：

a)獲得當(dāng)前角色，按照信息分類保護(hù)要求，為其授予相應(yīng)的權(quán)限集合，公開角色可被授

予公開的信息資源，內(nèi)部共享角色可被授予內(nèi)部共享和公開的信息資源，內(nèi)部受控角

色可被授予公開、內(nèi)部共享、內(nèi)部受控的信息資源；

b)指定所授權(quán)限的類別為公開權(quán)限或私有權(quán)限；

c)權(quán)限繼承深度策略所允許的上級(jí)角色可繼承該角色的公開權(quán)限，并標(biāo)記這些權(quán)限為繼

承權(quán)限。

撤銷角色權(quán)限

撤銷角色權(quán)限的流程如下：

a)獲得當(dāng)前角色和要撤銷的權(quán)限，從當(dāng)前角色的權(quán)限集中刪除要撤銷的權(quán)限；

b)若要撤銷的權(quán)限已被上級(jí)角色繼承，則從上級(jí)角色的繼承權(quán)限中刪除這些權(quán)限。

7.3.4用戶角色管理流程

為用戶分配角色

6

GB/TXXXXX.1—XXXX

為用戶分配角色的流程如下：

a)獲得當(dāng)前用戶和將分配的角色；

b)獲得當(dāng)前用戶的已有角色集，若該角色已存在于用戶的已有角色集中，則退出；

c)將該角色與用戶已有角色集形成并集，若該并集與某一互斥角色集相交，并且交集

的元素個(gè)數(shù)大于該互斥角色集的基數(shù)，則退出；

e)若該角色的用戶數(shù)已達(dá)到最大值，則退出；

f)將該角色加入當(dāng)前用戶的角色集中。

撤銷用戶已有角色

撤銷用戶已有角色的流程如下：

a)獲得當(dāng)前用戶及其要撤銷的角色，更新該角色對(duì)應(yīng)的用戶數(shù)；

b)從當(dāng)前用戶的角色集中刪除該角色。

7.4授權(quán)管理系統(tǒng)應(yīng)用部署

7.4.1基于角色的權(quán)限管理應(yīng)用示例部署

圖7.1所示的是基于角色的權(quán)限管理應(yīng)用示例的部署情況。

圖2基于角色的權(quán)限管理應(yīng)用示例部署圖

在圖2中包含以下實(shí)體：

a)用戶：對(duì)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)的實(shí)體；

b)認(rèn)證服務(wù)器：負(fù)責(zé)對(duì)用戶的身份進(jìn)行鑒別，保證對(duì)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)的用戶均是合

法用戶；

c)授權(quán)管理系統(tǒng)：在本例中，授權(quán)管理系統(tǒng)負(fù)責(zé)用戶的授權(quán)和角色的授權(quán)，以及用戶

屬性證書的管理；

d)LDAP服務(wù)器：證書目錄服務(wù)器，可提供屬性證書的在線查詢服務(wù)；

e)應(yīng)用系統(tǒng)：用戶訪問(wèn)的目標(biāo)。

7.4.2用戶授權(quán)服務(wù)方式

授權(quán)管理系統(tǒng)對(duì)用戶的授權(quán)可提供兩種服務(wù)方式：

a)屬性證書方式：以屬性證書作為用戶的權(quán)限載體，授權(quán)管理系統(tǒng)將用戶的權(quán)限即角

色信息寫入屬性證書中。屬性證書可上傳至LDAP服務(wù)器，認(rèn)證服務(wù)器或應(yīng)用系統(tǒng)通

過(guò)拉模式獲得屬性證書；也可直接交給用戶，用戶在進(jìn)行訪問(wèn)時(shí)通過(guò)推模式提交給

認(rèn)證服務(wù)器或應(yīng)用系統(tǒng)；

b)在線查詢方式：由授權(quán)管理系統(tǒng)向認(rèn)證服務(wù)器提供在線權(quán)限查詢服務(wù)，無(wú)須生成屬

性證書，認(rèn)證服務(wù)器在驗(yàn)證用戶身份后，由認(rèn)證服務(wù)器向授權(quán)管理系統(tǒng)查詢用戶的

權(quán)限，生成票據(jù)后交給用戶，作為訪問(wèn)應(yīng)用系統(tǒng)的憑證。

7

GB/TXXXXX.1—XXXX

7.4.3角色授權(quán)服務(wù)方式

授權(quán)管理系統(tǒng)對(duì)角色的授權(quán)可提供兩種服務(wù)方式:

a)權(quán)限裁決服務(wù)方式：由授權(quán)管理系統(tǒng)向應(yīng)用服務(wù)器提供在線的權(quán)限裁決服務(wù)，當(dāng)用

戶進(jìn)行訪問(wèn)時(shí)，應(yīng)用系統(tǒng)獲得用戶的角色和訪問(wèn)目標(biāo)等信息，向授權(quán)管理系統(tǒng)發(fā)起

權(quán)限裁決請(qǐng)求，授權(quán)管理系統(tǒng)根據(jù)請(qǐng)求信息和角色權(quán)限作出裁決，將裁決結(jié)果返回

給應(yīng)用系統(tǒng)；

b)應(yīng)用系統(tǒng)自主裁決方式：授權(quán)管理系統(tǒng)將角色的權(quán)限信息實(shí)時(shí)同步給應(yīng)用系統(tǒng)，由

應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)控制的裁決。

7.4.4基于角色的權(quán)限管理應(yīng)用流程

如圖7.1，基于角色的權(quán)限管理應(yīng)用流程如下：

a)授權(quán)管理系統(tǒng)為用戶分配角色，并為角色分配訪問(wèn)應(yīng)用系統(tǒng)資源的權(quán)限；也可根據(jù)

用戶角色信息為用戶簽發(fā)屬性證書并發(fā)布到目錄服務(wù)器中；

b)授權(quán)管理系統(tǒng)啟動(dòng)權(quán)限裁決服務(wù)；

c)用戶登錄時(shí)，認(rèn)證服務(wù)器驗(yàn)證用戶身份；

d)若采用屬性證書方式，認(rèn)證服務(wù)器從LDAP上獲得用戶屬性證書，或由用戶直接提

交屬性證書，驗(yàn)證屬性證書的合法有效性，并從屬性證書中獲得用戶角色信息；若

不采用屬性證書方式，直接根據(jù)用戶身份信息向授權(quán)管理系統(tǒng)查詢用戶角色信息；

e)用戶訪問(wèn)應(yīng)用系統(tǒng)資源時(shí)，應(yīng)用系統(tǒng)根據(jù)步驟f)或者g)對(duì)用戶訪問(wèn)進(jìn)行控制；

f)對(duì)每個(gè)訪問(wèn)請(qǐng)求，應(yīng)用系統(tǒng)根據(jù)用戶角色和對(duì)目標(biāo)資源的訪問(wèn)需求，生成權(quán)限裁決

請(qǐng)求，向授權(quán)管理系統(tǒng)發(fā)出權(quán)限裁決請(qǐng)求，授權(quán)管理系統(tǒng)根據(jù)角色權(quán)限信息對(duì)請(qǐng)求

進(jìn)行判斷，角色的類型與資源的類型必須滿足信息分類防護(hù)要求，授權(quán)管理系統(tǒng)將

判決結(jié)果返回應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)判決結(jié)果決定是否允許用戶的訪問(wèn)；

g)應(yīng)用系統(tǒng)根據(jù)用戶的訪問(wèn)請(qǐng)求從授權(quán)管理系統(tǒng)得到的同步授權(quán)信息，進(jìn)行訪問(wèn)控制

裁決，由應(yīng)用系統(tǒng)自行決定是否允許用戶對(duì)目標(biāo)資源的訪問(wèn)，用戶訪問(wèn)請(qǐng)求中的角

色類型與目標(biāo)資源類型必須滿足信息分類防護(hù)要求。

7.4.5策略表示方式

策略表示方式需采用標(biāo)準(zhǔn)格式進(jìn)行定義，建議采用XML文件格式表示。用戶權(quán)限查詢

結(jié)果格式定義方法如下：

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaid="XMLSchema"targetNamespace=/XMLSchema.xsd

elementFormDefault="qualified"

xmlns="/XMLSchema.xsd"

xmlns:mstns=/XMLSchema.xsd

xmlns:xs="/2001/XMLSchema">

<xs:simpleTypename="char">

<xs:restrictionbase="xs:string">

<xs:lengthvalue="1"/>

</xs:restriction>

</xs:simpleType>

<xs:elementname="用戶標(biāo)識(shí)"type="xs:string"/>

<xs:elementname="資源根"type="xs:string"/>

<xs:elementname="搜索深度"type="xs:int"/>

<xs:elementname="操作名稱"type="xs:string"/>

<xs:elementname="資源">

<xs:complexType>

<xs:sequence>

<xs:elementname="資源編碼"type="xs:ID"/>

8

GB/TXXXXX.1—XXXX

<xs:elementname="資源名稱"type="xs:string"/>

<xs:elementname="資源"type="xs:string"/>

<xs:elementname="資源屬性"type="xs:string"/>

<xs:elementname="資源類型"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

<xs:elementname="資源-操作列表"minOccurs="0"maxOccurs="unbounded">

<xs:complexType>

<xs:sequence>

<xs:elementref="資源"/>

<xs:elementref="操作名稱"minOccurs="0"maxOccurs="unbounded"/>

</xs:sequence>

</xs:complexType>

</xs:element>

<xs:elementname="用戶權(quán)限集">

<xs:complexType>

<xs:sequence>

<xs:elementref="用戶標(biāo)識(shí)"/>

<xs:elementref="資源根"/>

<xs:elementref="搜索深度"/>

<xs:elementref="資源-操作列表"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

角色權(quán)限查詢結(jié)果格式定義方法如下：

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaid="XMLSchema"targetNamespace=/XMLSchema.xsd

elementFormDefault="qualified"

xmlns="/XMLSchema.xsd"

xmlns:mstns=/XMLSchema.xsd