DB21T 3099-2018 CA安全平臺體系架構及應用規(guī)范

DB21CASecurityplatformframework遼寧省質量技術監(jiān)督局發(fā)布I 1 1 1 1 3 3 3 4 4 5 5 6 7 9 9 附錄B(資料性附錄)區(qū)域代碼表 附錄C(資料性附錄)證書讀取接口 附錄D(資料性附錄)組織機構信息規(guī)范 附錄E(資料性附錄)地市應用安全平臺建設方案 附錄F(資料性附錄)票據(jù)接口 附錄G(資料性附錄)CA證書開發(fā)接口 本規(guī)范按照GB/T1.1-2009給1CA安全平臺體系架構及應用規(guī)范2規(guī)范性引用文件3術語、定義和縮略語123無線電管理一體化平臺是指以“平臺+應用”為思想，以SOA為技術架構，以先進信息123省中心用戶信息庫Provincialuser2市級用戶信息庫Municipaluser用戶認證通過后，身份管理系統(tǒng)的認證服務器給用戶簽發(fā)3入口級授權Entranceauthoriz細粒度授權Refiningauth細粒度授權是指對用戶訪問應用系統(tǒng)的具體內容，例如：菜單、功能模塊、URL等進行CertificationAuthoLightweightDirectoryAccessProtLocalRegistrationAuthOnlineCertificateStatusProCryptographyApplicationProgrammingIntRemoteAuthenticationDialInUserSer天饋線、設備檢測、辦公OA等應用系統(tǒng)。在信息安全基礎建設方面，建設了以CA系統(tǒng)和身并為下一階段遼寧省無線電管理信息化建設打下了堅實的基作。與之相適應，對原有的應用安全平臺（CA和身份驗證系統(tǒng)）及安全規(guī)范需要升級，升4接入方式、規(guī)范的分級授權管理模式，形成相應的建設指導性規(guī)范文12344.2主要目的本文檔作為遼寧省無線電管理信息系統(tǒng)應用安全平臺（以下簡稱3)規(guī)范應用安全平臺的統(tǒng)一認證及單點登錄機制；4.3主要原則55.1總體架構圖身份管理系統(tǒng)兩部分組成。CA系統(tǒng)已由省中心建設完成，主要為遼寧省各6123455.2應用安全平臺邏輯結構CA系統(tǒng)為遼寧省無線電管理機構的所有用戶簽發(fā)數(shù)字證書，身5.2.3身份管理系統(tǒng)與一體化平臺關系線上，為用戶訪問應用系統(tǒng)提供統(tǒng)一的認證、可以為應用系統(tǒng)提供數(shù)字簽名、信息完整性和機密性等服務。CA證書5.2.5身份管理系統(tǒng)與應用系統(tǒng)7CA系統(tǒng)已由省中心統(tǒng)一建設，各市只需通過部署的遠程注冊系統(tǒng)提交至省中心進行審核，CA系統(tǒng)審核通過后為用戶簽發(fā)數(shù)字證書。證12345市只能同步具有本市區(qū)域代碼標識的用戶證書信息。例如：沈陽市只能同步用戶編碼為“0100XXXX”的用戶證書信息。具體的編碼規(guī)8各市如有用戶需要跨域訪問省中心資源，用戶身份信息同步應遵循省中心管理員審核通過后，從省中心庫中同步跨域訪問用戶12345對于需要進行跨域訪問的用戶，跨域訪問應遵循如下流9123455.3.2各市與地市關系6應用安全平臺建設規(guī)范123456證書簽發(fā)系統(tǒng)提供了對生命周期內的數(shù)字證書進行全過程的管理的功能，包括證書/證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢和密鑰證書/證書注銷列表生成與簽發(fā)系統(tǒng)負責生成、簽發(fā)數(shù)字證書和生成證書注銷CRL查詢：用戶或應用系統(tǒng)利用數(shù)字證書中標識的CRL地址，下載CRL，并檢驗證書證書管理系統(tǒng)是證書認證系統(tǒng)中實現(xiàn)對證書/證書注銷列表的申請、審核、生成、簽省中心應部署本地注冊管理系統(tǒng)；各市分中心應部署遠程注證書申請可采用在線方式：各市中心用戶通過專網(wǎng)登錄到用戶注冊管理系統(tǒng)申請證密鑰管理中心生成的非對稱密鑰對，經(jīng)硬件加密設備加密后存儲在數(shù)密鑰管理中心生成的非對稱密鑰對通過證書認證系統(tǒng)分發(fā)到用戶證書密鑰管理中心采用熱備份、冷備份和異地備份等措施實現(xiàn)密123456CA系統(tǒng)加密算法應符合國家相關法律和法規(guī)要求，并能對加密123456入用戶信息，支持和第三方應用業(yè)務（數(shù)據(jù)庫/LDAP）雙向同步用戶信息，支持以組織機身份認證應能實現(xiàn)用戶統(tǒng)一身份認證、單點登錄功能；用戶認證方式應能采用LN-SRRC-CA中心發(fā)布的數(shù)字證書123456開發(fā)和實施必須遵循如下規(guī)范。鑒于本次規(guī)范中只考慮CA系統(tǒng)提供的強身份認證功能，1234567已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需實現(xiàn)已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需實現(xiàn)已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需調用3)用戶數(shù)字證書有效期為10年區(qū)域代碼表省中心區(qū)域代碼為2100，其他中心區(qū)域代碼參照國家標準GB/T2260-1999。]組織(o=organization)下的子樹,就是按照“遼寧省無線電管理機構”的實際組織機構用戶身份信息模板填寫規(guī)范：1、粗體標*字段為必填項；3、性別可選值為：男/女；4、任職狀態(tài)可選值為：在職/離職；5、直接上級主管允許有多個，填寫上級主管用戶名，以英文輸入狀態(tài)的逗號分隔；通訊地址任職狀態(tài)入職時間注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。組織機構信息模板填寫規(guī)范：1、粗體標*字段為必填項；3、上級組織機構名稱為當前組織機構的上級組織機構全名；4、組織機構成員可有多個，填寫用戶編碼，以英文輸入狀態(tài)的逗號分隔；*組織機構名稱*組織機構職能描述*組織機構層級*上級組織機構名稱組織機構成員遼寧省無線電監(jiān)測中心遼寧省無線電監(jiān)測中心為……0信息管理處……遼寧省無線電監(jiān)測中心00001201,00001202注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。提報單位：提報時間：提報人：聯(lián)系電話：提報信息說明：應用系統(tǒng)4A系統(tǒng)應用系統(tǒng)4A系統(tǒng)省中心省中心地市用戶地市用戶內部專網(wǎng)地市米用戶應用系統(tǒng)內部專網(wǎng)地市米用戶應用系統(tǒng)地市地市用戶783)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返回用戶票據(jù)；1)用戶通登錄本地市的應用系統(tǒng)，應用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；2)應用系統(tǒng)將用戶訪問請求通過廣域網(wǎng)重定向到省中心的身份管理系統(tǒng)上；地市地市米米省中心 局域網(wǎng)省中心 局域網(wǎng)地市地市3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返回用戶票據(jù)；2)應用系統(tǒng)將用戶訪問請求重定向到各市中心的身份管理系統(tǒng)上；3)用戶在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返回用戶票據(jù)；2)不利用省中心對各市用戶的管理控制；3)各市級維護困難維護相對困難，需要有專業(yè)的人員來維護。票據(jù)接口類型：String類型定義：StringsaveServiceTi定義：StringvalidateSe