1、 .wd. .wd. .wd.智慧海事一期統(tǒng)一身份認證系統(tǒng)技術方案目 錄TOC o 1-3 h z uHYPERLINK l _Toc349663596目錄 PAGEREF _Toc349663596 h iHYPERLINK l _Toc3496635971.總體設計 PAGEREF _Toc349663597 h 2HYPERLINK l _Toc3496635981.1設計原那么 PAGEREF _Toc349663598 h 2HYPERLINK l _Toc3496635991.2設計目標 PAGEREF _Toc349663599 h 3HYPERLINK l _Toc349663

2、6001.3設計實現(xiàn) PAGEREF _Toc349663600 h 3HYPERLINK l _Toc3496636011.4系統(tǒng)部署 PAGEREF _Toc349663601 h 4HYPERLINK l _Toc3496636022.方案產品介紹 PAGEREF _Toc349663602 h 6HYPERLINK l _Toc3496636032.1統(tǒng)一認證管理系統(tǒng) PAGEREF _Toc349663603 h 6HYPERLINK l _Toc3496636042.1.1系統(tǒng)詳細架構設計 PAGEREF _Toc349663604 h 6HYPERLINK l _Toc34966

3、36052.1.2身份認證服務設計 PAGEREF _Toc349663605 h 7HYPERLINK l _Toc3496636062.1.3授權管理服務設計 PAGEREF _Toc349663606 h 10HYPERLINK l _Toc3496636072.1.4單點登錄服務設計 PAGEREF _Toc349663607 h 13HYPERLINK l _Toc3496636082.1.5身份信息共享與同步設計 PAGEREF _Toc349663608 h 15HYPERLINK l _Toc3496636092.1.6后臺管理設計 PAGEREF _Toc349663609

4、h 18HYPERLINK l _Toc3496636102.1.7安全審計設計 PAGEREF _Toc349663610 h 20HYPERLINK l _Toc3496636112.1.8業(yè)務系統(tǒng)接入設計 PAGEREF _Toc349663611 h 22HYPERLINK l _Toc3496636122.2數(shù)字證書認證系統(tǒng) PAGEREF _Toc349663612 h 22HYPERLINK l _Toc3496636132.2.1產品介紹 PAGEREF _Toc349663613 h 22HYPERLINK l _Toc3496636142.2.2系統(tǒng)框架 PAGEREF _

5、Toc349663614 h 23HYPERLINK l _Toc3496636152.2.3軟件功能清單 PAGEREF _Toc349663615 h 24HYPERLINK l _Toc3496636162.2.4技術標準 PAGEREF _Toc349663616 h 25HYPERLINK l _Toc3496636173.數(shù)字證書運行服務方案 PAGEREF _Toc349663617 h 27HYPERLINK l _Toc3496636183.1運行服務體系 PAGEREF _Toc349663618 h 27HYPERLINK l _Toc3496636193.2證書服務方案

6、 PAGEREF _Toc349663619 h 27HYPERLINK l _Toc3496636203.2.1證書服務方案概述 PAGEREF _Toc349663620 h 27HYPERLINK l _Toc3496636213.2.2服務交付方案 PAGEREF _Toc349663621 h 28HYPERLINK l _Toc3496636223.2.3服務支持方案 PAGEREF _Toc349663622 h 35HYPERLINK l _Toc3496636233.3CA根基設施運維方案 PAGEREF _Toc349663623 h 36HYPERLINK l _Toc3

7、496636243.3.1運維方案概述 PAGEREF _Toc349663624 h 36HYPERLINK l _Toc3496636253.3.2CA系統(tǒng)運行管理 PAGEREF _Toc349663625 h 36HYPERLINK l _Toc3496636263.3.3CA系統(tǒng)訪問管理 PAGEREF _Toc349663626 h 37HYPERLINK l _Toc3496636273.3.4業(yè)務可持續(xù)性管理 PAGEREF _Toc349663627 h 37HYPERLINK l _Toc3496636283.3.5CA審計 PAGEREF _Toc349663628 h

8、38總體設計設計原那么一、標準化原那么系統(tǒng)的整體設計要求基于國家密碼管理局?商用密碼管理條例?、公安部計算機系統(tǒng)安全等級要求和?中華人民共和國計算機信息系統(tǒng)安全保護條例?的有關規(guī)定。數(shù)字證書認證系統(tǒng)的安全根基設施的設計和實現(xiàn)將遵循相關的國際、國內技術和行業(yè)標準。二、安全性原那么系統(tǒng)所采用的產品技術和部署方式必須具有足夠的安全性，針對可能的安全威脅和風險，并制定相應的對策。關鍵數(shù)據(jù)具有可靠的備份與恢復措施。三、可用性原那么系統(tǒng)具有足夠的容量和良好的性能，能夠支撐百萬級或千萬級用戶數(shù)量，并能夠在海量用戶和大并發(fā)訪問壓力的條件下，保持功能和性能的可用性。四、強健性原那么系統(tǒng)的根基平臺成熟、穩(wěn)定、可靠

9、，能夠提供不連續(xù)的服務，相關產品均具有很強的強健性、良好的容錯處理能力和抗干擾能力。五、模塊化原那么系統(tǒng)的設計和實現(xiàn)采用模塊化構造，各個模塊具有相對獨立的功能和開放的接口。可以根據(jù)系統(tǒng)的需要進展功能模塊的增加或減少，而不必改變原來的程序構架；針對不同的應用定制實施模塊。六、可擴展原那么隨著業(yè)務的開展，對未來系統(tǒng)的功能和性能將會提出更高的要求。系統(tǒng)在設計和實現(xiàn)上，應具有良好的可擴展性。可以通過對硬件平臺、軟件模塊的擴展和升級，實現(xiàn)系統(tǒng)功能和性能的平滑地擴展和升級。七、方便開發(fā)原那么系統(tǒng)提供豐富的二次開發(fā)工具和接口，便于應用系統(tǒng)調用，能夠方便的與現(xiàn)有和將來的應用系統(tǒng)進展集成。八、兼容性原那么系統(tǒng)具

10、備良好的兼容性，能夠與多種硬件系統(tǒng)、根基軟件系統(tǒng)，以及其它第三方軟硬件系統(tǒng)相互兼容。設計目標根據(jù)招標文件的具體技術要求，基于現(xiàn)有信息系統(tǒng)現(xiàn)狀、數(shù)字證書應用現(xiàn)狀以及未來在信息安全方面的技術性要求，本方案提出以下建設目標。在海事局內部部署統(tǒng)一認證管理系統(tǒng)，具體目標是：提供數(shù)據(jù)統(tǒng)一、維護統(tǒng)一、用戶統(tǒng)一的安全可靠的認證與授權服務；實現(xiàn)全局相關業(yè)務系統(tǒng)全面統(tǒng)一的用戶管理、可靠的身份認證與安全審計、有效的分級授權、安全的單點登錄、便捷的信息共享在海事局內部部署數(shù)字證書認證系統(tǒng)CA認證中心，具備10萬級數(shù)字證書的發(fā)放能力，滿足海事局內部用戶以及應用系統(tǒng)的對數(shù)字證書的使用需求。廣東海事局內部其它業(yè)務系統(tǒng)包括：

11、船舶遠程電子簽證、船舶動態(tài)2.0系統(tǒng)與統(tǒng)一身份認證系統(tǒng)的進展技術集成，實現(xiàn)統(tǒng)一的身份認證與單點登錄功能。設計實現(xiàn)本方案由統(tǒng)一認證管理系統(tǒng)和數(shù)字證書認證系統(tǒng)兩局部組成，其統(tǒng)一認證管理系統(tǒng)實現(xiàn)統(tǒng)一的用戶管理、身份認證、單點登錄、授權管理、安全審計等功能；數(shù)字證書認證系統(tǒng)實現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書管理。統(tǒng)一認證管理系統(tǒng)與數(shù)字證書認證系統(tǒng)集成，實現(xiàn)新增用戶信息同步，證書管理員只需要登錄數(shù)字證書認證系統(tǒng)，查出用戶信息，直接制作證書。二級云中心直屬局統(tǒng)一認證管理系統(tǒng)定時將用戶、機構、授權等信息同步給一級云中心統(tǒng)一認證管理系統(tǒng)。本期工程將率先在廣東海事局搭建起船舶遠程電子簽證、船舶動態(tài)2.0

12、系統(tǒng)的單點登錄功能。系統(tǒng)部署一級云中心：一臺身份認證服務器，一臺加密機，兩臺統(tǒng)一認證服務器基于ORACLE一體機實現(xiàn)負載，兩臺統(tǒng)一認證數(shù)據(jù)庫服務器基于ORACLE數(shù)據(jù)庫一體機實現(xiàn)負載。五個二級云中心直屬局：一臺統(tǒng)一認證數(shù)據(jù)庫服務器，兩臺統(tǒng)一認證服務器雙機冷備，二級云中心統(tǒng)一認證服務器能訪問一級云中心統(tǒng)一認證服務器。方案產品介紹統(tǒng)一認證管理系統(tǒng)系統(tǒng)詳細架構設計國家海事局統(tǒng)一認證管理系統(tǒng)詳細架構設計如以以下圖所示：在國家海事局部署一級統(tǒng)一身份認證系統(tǒng)，可管理全部的系統(tǒng)用戶，用戶可通過統(tǒng)一身份認證系統(tǒng)進展身份認證、業(yè)務系統(tǒng)單點登錄；二級單位根據(jù)具體情況可部署二級統(tǒng)一身份認證系統(tǒng)，系統(tǒng)用戶信息管理與一

13、級統(tǒng)一身份認證系統(tǒng)同步，當網(wǎng)絡出現(xiàn)故障時，二級單位用戶可登錄各自單位的二級統(tǒng)一身份認證系統(tǒng)，不影響正常的業(yè)務處理。國家海事局統(tǒng)一認證管理系統(tǒng)的主要服務功能模塊包括：身份認證模塊、單點登錄模塊、信息同步模塊、后臺管理模塊、數(shù)據(jù)服務模塊及安全管理模塊，其中后臺用戶管理包括用戶、角色、應用等相關信息管理，另外，安全管理模塊為維護好系統(tǒng)服務功能的安全性，提供系統(tǒng)自身所有操作的安全審計功能，以及各個應用系統(tǒng)用戶信息的監(jiān)控功能。身份認證服務設計身份認證服務為海事局各應用系統(tǒng)內各類用戶提供身份信息注冊、憑證發(fā)布、用戶資料管理及銷毀、登錄認證功能。總體設計認證管理的構造如上圖所示，主要包括以下幾個局部：CA認

14、證中心：海事局CA認證中心為數(shù)字證書用戶提供身份認證服務，簽發(fā)數(shù)字證書，實現(xiàn)證書與現(xiàn)實中的實體個人、單位或服務器的綁定。CA認證中心除了為最終用戶方法數(shù)字證書外，還需要為統(tǒng)一認證服務器和業(yè)務系統(tǒng)的服務器簽發(fā)服務器身份證書，用于客戶與服務器之間的雙向認證。統(tǒng)一認證服務器：統(tǒng)一認證系統(tǒng)服務器的數(shù)據(jù)庫中集中存放所有業(yè)務系統(tǒng)的用戶信息和權限信息，所有業(yè)務系統(tǒng)和統(tǒng)一認證系統(tǒng)都需要部署服務器證書、安全組件和認證接口，用于業(yè)務系統(tǒng)與客戶端，或業(yè)務系統(tǒng)之間的身份認證。證書用戶：證書用戶按照經過嚴格的身份信息鑒證，從CA認證中心領取數(shù)字證書，然后通過訪問各級統(tǒng)一認證系統(tǒng)，進展單點登錄，就可以很方便地訪問自己權限

15、范圍內的應用系統(tǒng)。用戶數(shù)字證書的身份信息要與統(tǒng)一認證系統(tǒng)中注冊的用戶信息保持一致關鍵信息為：姓名、證件類型和證件號碼，只有信息一致的前提下，才可實現(xiàn)可靠的身份認證?？诹钣脩簦嚎诹钣脩舨恍枰涍^CA中心身份認證和簽發(fā)數(shù)字證書，直接由單位管理員根據(jù)用戶信息注冊即可。用戶本人可在獲得初始密碼后修改登陸密碼和注冊信息。身份認證方式統(tǒng)一認證系統(tǒng)可以對不同的系統(tǒng)進展分級認證，也可以對系統(tǒng)內的不同用戶分級認證。系統(tǒng)應同時支持口令方式和數(shù)字證書兩種方式的身份認證機制。另外，系統(tǒng)應具有擴展接口，可快速實現(xiàn)動態(tài)口令認證、指紋認證和和人像等其它身份憑證認證模式。身份認證技術支持PKI、LDAP、NDS、NIS、AD

16、等標準認證技術。對于安全性較低的系統(tǒng)，可以采用最低認證等級：用戶名/口令方式；對于安全性較高的系統(tǒng)，最低認證等級那么需要設置為數(shù)字證書方式。系統(tǒng)的認證等級和用戶的認證方式都可以在統(tǒng)一認證系統(tǒng)后臺進展動態(tài)配置。用戶使用數(shù)字證書可以登錄安全性較低的系統(tǒng)，但是用戶名/口令認證方式不允許進入等級為數(shù)字證書的業(yè)務系統(tǒng)。基于數(shù)字證書的身份認證數(shù)字證書用戶登錄業(yè)務系統(tǒng)的身份認證流程如以以下圖所示：流程說明：提供證書：在登錄門戶頁面或統(tǒng)一認證首頁中嵌入證書控件和組件，服務器端產生隨即數(shù)并進展數(shù)字簽名，客戶端實現(xiàn)即插即用的登錄認證模式，只要插入UsbKey自動列舉Key內的數(shù)字證書；握手認證：用戶輸入證書密碼、

17、點擊登錄提交按鈕后，頁面調用證書控件的運行腳本，校驗證書密碼后對服務器端產生的隨即數(shù)和數(shù)字簽名進展驗證；客戶端對隨即數(shù)進展數(shù)字簽名，提交認證信息給服務器驗證；認證信息主要包括：隨即數(shù)、客戶證書、客戶的簽名等信息。服務器后臺程序驗證客戶端的證書有效性和數(shù)字簽名的有效性。獲取訪問信息：統(tǒng)一認證服務器從認證信息中提取客戶端數(shù)字證書，并從證書中解析出證書的唯一標識，在后臺數(shù)據(jù)庫中進展比對，進展訪問控制；返回登錄票據(jù)：服務器認證通過后，形成標準格式的登錄票據(jù)，返回客戶端。選擇業(yè)務系統(tǒng)：系統(tǒng)根據(jù)登錄票據(jù)，顯示可登錄的系統(tǒng)，用戶選擇系統(tǒng)。傳遞票據(jù)：客戶端瀏覽器將登錄票據(jù)傳遞到對應的系統(tǒng)地址上。票據(jù)驗證：業(yè)務

18、系統(tǒng)根據(jù)接收到的登錄票據(jù)，通過部署的安全組件進展驗證。進入系統(tǒng)：驗證通過，允許進入，根據(jù)用戶權限信息，授予對應的操作權限。否那么，拒絕登錄。系統(tǒng)采用數(shù)字證書，安全組件、密碼運算、數(shù)字簽名、數(shù)字信封等技術來保障用戶身份的真實性，可以有效防止身份冒充、身份抵賴、重放、中間人攻擊的風險，從而在一定程度上保證認證的安全性。數(shù)據(jù)加密可采用標準SSL協(xié)議，在WEB服務器上配置SSL服務器證書，即可實現(xiàn)數(shù)據(jù)在網(wǎng)絡傳輸過程中的加密?；诳诹罘绞降纳矸菡J證用戶身份唯一性設計：系統(tǒng)采用集中數(shù)據(jù)庫管理模式，用戶名作為用戶信息表中的主鍵，在系統(tǒng)中不允許重復。另外，系統(tǒng)中應根據(jù)用戶類型和注冊的 基本信息生成一個具有用戶

19、特征碼，用于識別一個人或單位在系統(tǒng)中的身份唯一性。特征碼的編碼標準例如：個人用戶的特征碼=證件類型編碼證件號碼真實姓名+登錄名單位用戶的特征碼=組織機構代碼對應單位名稱+登錄名用戶名方式的身份認證業(yè)務流程與證書方式類似，與證書方式的主要區(qū)別在于以下幾點：1客戶端不進展數(shù)字簽名；2提交給服務器的認證信息不包括客戶端數(shù)字簽名，而是加密后的登錄口令；3服務器端接收到認證信息后，不再驗證簽名，而是將加密的口令與數(shù)據(jù)庫中的加密口令進展比照核對；4安全登錄票據(jù)中的登錄方式不同；5其他流程沒有區(qū)別。授權管理服務設計授權管理的系統(tǒng)框架為確保信息資源訪問的可控性，防止信息資源被非授權訪問，需要在用戶身份真實可信

20、的前提下，提供可信的授權管理服務，實現(xiàn)對各類用戶的有效管理和訪問控制，保護各種信息資源不被非法或越權訪問，防止信息泄漏。統(tǒng)一認證管理系統(tǒng)應提供信息資源管理、用戶角色定義和劃分、權限分配和管理、權限認證等功能。權限管理主要是由管理員進展資源分類配置、用戶角色定義及授權等操作；權限認證主要是根據(jù)用戶身份對其進展權限判斷，以決定該用戶是否具有訪問相應資源的權限。由于統(tǒng)一認證管理系統(tǒng)要解決各個應用系統(tǒng)內部的細粒度資源權限控制，需要與應用系統(tǒng)嚴密結合，因此統(tǒng)一認證管理系統(tǒng)應在統(tǒng)一身份認證系統(tǒng)粗粒度訪問控制的根基之上，由各個應用系統(tǒng)結合本地資源授權方式，進展定制集成開發(fā)。由于采取分布式的RBAC授權管理模

21、型，首先應對用戶進展嚴格的身份認證，保證用戶身份的真實性，在此根基之上再由綜合各個應用系統(tǒng)內部資源權限分配的統(tǒng)一授權管理系統(tǒng)對用戶進展嚴格的權限認證，實現(xiàn)各個應用系統(tǒng)內部資源細粒度的授權訪問控制。用戶訪問控制總體框架如以以下圖所示：在此框架下，整個授權控制的工作流程如下：統(tǒng)一認證管理系統(tǒng)的初始化，添加并配置系統(tǒng)管理員；由系統(tǒng)管理員添加并配置下級管理員或用戶；管理員添加受控訪問資源，并設置每個用戶的權限；用戶訪問各應用系統(tǒng)，首先由統(tǒng)一認證系統(tǒng)驗證該用戶的身份；認證通過后根據(jù)用戶身份，對用戶進展權限認證；如果用戶通過權限認證，那么說明該用戶可以進入相應的應用系統(tǒng)，訪問權限許可內的資源；否那么，拒絕

22、用戶訪問。授權管理模型基于角色的授權基于角色的訪問控制RBAC授權模型：通過角色定義，將應用系統(tǒng)的業(yè)務權限授予某個角色，然后將用戶與這些角色關聯(lián)，從而將業(yè)務權限賦予該用戶。如以以下圖所示：基于角色的訪問控制方法的思想就是把對用戶的授權分成兩部份，用角色來充當用戶行駛權限的中介。這樣，用戶與角色之間以及角色與權限之間就形成了兩個多對多的關系。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要職權、職位以及分擔的權利和責任定義相應的角色。角色是一組訪問權限的集合，一個用戶可以是很多角色的成員，一個角色也可以有很多個權限，而一個權限也可以重復配置于多個角色。權限配置工作是組織角色的權限的工作步驟之一，只有角

23、色具有相應的權限后用戶委派才能具有實際意義?；诮巧跈嗄Ｐ偷膬?yōu)點基于角色的策略實現(xiàn)了用戶與訪問權限的邏輯別離，極大的方便了權限管理。例如，如果一個用戶的職位發(fā)生變化，只要將用戶當前的角色去掉，參加代表新職務或新任務的角色即可。一般，角色/權限之間的變化比角色/用戶關系之間的變化相對要慢得多，并且委派用戶到角色不需要很多技術，可以由行政管理人員來執(zhí)行，而配置權限到角色的工作比較復雜，需要一定的技術，可以由專門的技術人員來承擔，但是不給他們委派用戶的權限，這與現(xiàn)實中情況正好一致。除了方便權限管理之外，基于角色的訪問控制方法還可以很好的地描述角色層次關系，實現(xiàn)最少權限原那么和職責別離的原那么。基于

24、角色授權的流程以下面的授權目標舉例說明基于角色的授權流程：用戶張三- 角色預算處處長- 權限預算系統(tǒng)的審核1、生成一個角色：預算處處長；2、選擇預算系統(tǒng)的預算審批業(yè)務權限授予預算處處長角色；3、將預算處處長角色授予用戶張三。通過將預算系統(tǒng)的審核的業(yè)務權限授予預算處處長角色，然后將此角色與用戶張三關聯(lián)，最后用戶擁有了該權限。分級授權管理分級授權實現(xiàn)的是權限繼承：當上級管理員對下級管理員進展授權時，所授予的業(yè)務權限將被下級繼承，下級管理員擁有這些權限，并可以將這些權限授予其管轄的用戶。分級授權通過管理員授權實現(xiàn)。通過一步步的權限傳遞，可以實現(xiàn)多級授權。授權可以基于角色，如例子中利用預算審核角色，也

25、可以直接基于業(yè)務權限。根據(jù)5個直屬局調研反響，初步確定直屬局按二級進展分級管理分級授權，即各直屬局下屬分局或海事處添加一級管理員，負責本分局或海事處的用戶信息管理及授權。單點登錄服務設計實現(xiàn)原理安全的單點登錄具體實現(xiàn)機制如下：采用基于數(shù)字簽名的安全票據(jù)技術，封裝用戶登錄后的認證狀態(tài)信息，并以安全方式傳遞到各個相關系統(tǒng)中，通過對票據(jù)的解密、驗證、解析，從而實現(xiàn)方便、快捷、安全的單點登錄。針對江蘇省海事局辦公系統(tǒng)已與內部幾個業(yè)務系統(tǒng)集成，實現(xiàn)單點登錄，建議本工程建設統(tǒng)一認證管理系統(tǒng)只與江蘇省海事局辦公系統(tǒng)集成，保持現(xiàn)有業(yè)務系統(tǒng)單點登錄，另外統(tǒng)一認證管理系統(tǒng)與部局統(tǒng)一建設的船舶遠程電子簽證、船舶動態(tài)

26、2.0系統(tǒng)集成實現(xiàn)單點登錄；江蘇省海事局以后新建設業(yè)務系統(tǒng)，可以參照統(tǒng)一認證管理系統(tǒng)集成，集成到統(tǒng)一認證管理系統(tǒng)中。針對深圳市海事局所有業(yè)務系統(tǒng)都基于AD域實現(xiàn)單點登錄，現(xiàn)有的業(yè)務系統(tǒng)集成模式不變。在用戶已經登錄AD域，直接進入統(tǒng)一認證管理系統(tǒng)認證門戶，訪問部局統(tǒng)一建設的船舶遠程電子簽證、船舶動態(tài)2.0系統(tǒng)，不需要再登錄；深圳市海事局以后新建設業(yè)務系統(tǒng)，可以參照統(tǒng)一認證管理系統(tǒng)集成，集成到統(tǒng)一認證管理系統(tǒng)中。單點登錄票據(jù)格式如下：通過對單點登錄票據(jù)的加密、簽名等技術保證票據(jù)的機密性、完整性以及抗否認性，并且在票據(jù)中包含票據(jù)的有效時間段信息，利用時間有效期從一定程度上減少重放、中間人攻擊的風險。

27、單點登錄系統(tǒng)維護一張票據(jù)流水號臨時表，票據(jù)使用一次以后就失效，也可以有效防止重放攻擊的風險。通過采用以上的這些安全措施以及安全流程，可以有效地保證單點登錄系統(tǒng)的安全性。工作流程安全單點登錄流程如以以下圖所示：身份信息共享與同步設計統(tǒng)一認證系統(tǒng)建設統(tǒng)一的權威機構數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權數(shù)據(jù)等資源庫并可作為所有應用系統(tǒng)的數(shù)據(jù)源。機構數(shù)據(jù)、用戶數(shù)據(jù)、用戶授權數(shù)據(jù)是海事局核心數(shù)據(jù)，需要絕對的安全和保密。統(tǒng)一認證管理系統(tǒng)對數(shù)據(jù)的管理應該是安全的和封閉的，任何未授權應用系統(tǒng)均無法從系統(tǒng)管理層面、系統(tǒng)服務層面和數(shù)據(jù)庫層面獲取這些數(shù)據(jù)，應用系統(tǒng)必須通過信息共享服務和數(shù)據(jù)同步的方式獲取這些數(shù)據(jù)。體系構造信息共享

28、服務和數(shù)據(jù)同步有兩種體系構造：一級統(tǒng)一認證管理系統(tǒng)和國家海事局應用系統(tǒng)的同步如以以下圖所示：一級統(tǒng)一認證管理平臺一級統(tǒng)一認證管理系統(tǒng)僅需要和國家海事局本地的應用系統(tǒng)作數(shù)據(jù)同步。國家海事局統(tǒng)一認證管理系統(tǒng)和直屬局/地方局統(tǒng)一認證管理系統(tǒng)同步如以以下圖所示：一級統(tǒng)一認證管理平臺直屬局/地方省局國家海事局二級統(tǒng)一認證管理平臺一級統(tǒng)一認證管理系統(tǒng)不僅需要和國家海事局本地的應用系統(tǒng)作數(shù)據(jù)同步，還需要和直屬局/地方省局的二級級統(tǒng)一認證管理系統(tǒng)作數(shù)據(jù)同步。同步機制信息共享服務和數(shù)據(jù)同步機制如下：與基于關系型數(shù)據(jù)庫DB的應用系統(tǒng)同步采用webservices技術SOAP協(xié)議實現(xiàn)與這類應用系統(tǒng)作數(shù)據(jù)同步。數(shù)據(jù)通

29、過同步引擎、事務機制和SOAP協(xié)議實現(xiàn)與應用系統(tǒng)之間的同步。同步的成功和失敗都進展記錄，同步的成功信息以報告形式方便于管理人員查看，同步的失敗信息通過定時器機制自動完成，直至同步成功。與基于目錄LDAP的應用系統(tǒng)同步采用LDAP協(xié)議和JNDI技術實現(xiàn)與這類應用系統(tǒng)作數(shù)據(jù)同步。支持的LDAP包括：apacheDS，openLdap，sunONE等，另外也包括域控制器windows AD、Linux NIS、Unix NFS。統(tǒng)一認證管理系統(tǒng)和應用系統(tǒng)之間以JNDI/LDAP方式建設通信。數(shù)據(jù)通過同步引擎、事務機制和JNDI與LDAP協(xié)議實現(xiàn)與應用系統(tǒng)之間的同步。同步的成功和失敗都進展記錄，同步的

30、成功信息以報告形式方便于管理人員查看，同步的失敗信息通過定時器機制自動完成，直至同步成功。與基于域控制器的應用同步采用LDAP協(xié)議和JNDI技術實現(xiàn)與這類應用系統(tǒng)數(shù)據(jù)同步。域控制器包括：windows AD、LinuxUnixNIS。對域控制器的同步， 基本與對LDAP的同步類似，因此，與基于域控制器的應用同步可以采用基于LDAP協(xié)議來實現(xiàn)同步。但是windows還提供了一套ADSI接口，也能夠實現(xiàn)與windows AD的數(shù)據(jù)同步。統(tǒng)一認證系統(tǒng)通過JNI實現(xiàn)對windowsAD的數(shù)據(jù)同步。同步策略同步策略有三種，包括：操作及時同步、操作批量同步和事后同步。1、及時同步該策略實現(xiàn)了：對用戶信息、

31、機構信息操作增加并授權、刪除、修改時，系統(tǒng)自動完成同步。同步失敗時，系統(tǒng)監(jiān)控提示同步失敗，后臺使用定時器定時繼續(xù)進展同步。同步定時器還能夠設置同步的時間和周期。2、批量同步該策略實現(xiàn)了：根據(jù)“角色選擇用戶，完成用戶同步；根據(jù)“機構選擇用戶，完成用戶同步；根據(jù)“應用系統(tǒng)選擇對應的角色，完成角色的同步。3、事后同步該策略實現(xiàn)了：當用戶信息、機構信息操作增加、刪除、修改時或者同步失敗時，用戶可根據(jù)需要進展事后再次同步。當新系統(tǒng)接入時，單獨同步信息。當系統(tǒng)需要更新數(shù)據(jù)時，再次同步用戶信息。后臺管理設計用戶數(shù)據(jù)的獲取身份信息由各應用系統(tǒng)聚集，統(tǒng)一認證管理系統(tǒng)提供批量操作導入、導出、遷移工具，如采用用戶數(shù)

32、據(jù)EXCEL 的導入導出，以滿足海事局大量用戶維護的需求。管理模式系統(tǒng)提供分級管理分級授權。分級管理分級授權用戶身份信息和用戶的訪問控制相關的授權信息均分級管理。設有三類管理員角色：系統(tǒng)管理員：進展單位管理員管理、機構管理、角色管理、應用系統(tǒng)管理等日常管理。安全審計員：進展安全審計，日志管理等工作，對系統(tǒng)管理員的工作進展監(jiān)視。單位管理員：進展本單位的用戶的授權管理。單位管理員根據(jù)系統(tǒng)管理員定義的本單位的訪問角色，為最終用戶進展授權。海事局統(tǒng)一認證管理系統(tǒng)的用戶及系統(tǒng)級授權管理建議采用：分級管理、分級授權模式，如以以下圖所示：海事局單位管理員：負責海事局本部的用戶信息管理及系統(tǒng)級授權管理。下級單

33、位管理員：負責本單位及下級單位的用戶信息管理及系統(tǒng)級授權管理。海事局單位管理員及下級單位管理員對各自單位進展：機構信息管理、用戶信息管理、授權管理、證書管理以及安全審計。單位管理員的權限由一級統(tǒng)一認證管理系統(tǒng)管理員統(tǒng)一分配。通過信息同步服務實現(xiàn)數(shù)據(jù)的同步。賬號安全策略管理統(tǒng)一認證管理系統(tǒng)的賬號安全策略管理功能包括：重置多個用戶帳戶的密碼設置用戶下次登錄時必須更改密碼設置永不到期的密碼如果用戶的密碼過期，啟用、禁用或刪除他們配置用戶無法更改由管理員設置的密碼后臺管理功能框架統(tǒng)一認證管理系統(tǒng)的后臺用戶管理的功能如下：統(tǒng)一認證管理系統(tǒng)的總體功能包括：用戶管理、角色管理、信息系統(tǒng)管理、機構管理、根基數(shù)

34、據(jù)管理和安全審計。安全審計設計統(tǒng)一認證管理系統(tǒng)應具有較完善的應用層日志記錄功能，可以通過安全管理模塊下的系統(tǒng)日志子模塊查看審計日志信息，審計日志包括：序號、管理員名稱、操作類別、操作日期、操作描述。日志內容可以記錄用戶不成功登錄的信息，可以記錄用戶的重要業(yè)務操作行為，如：對用戶、角色的增加、刪除、修改和授權關系的調整等操作。所有日志按照標準構造化數(shù)據(jù)記錄，便于審計。日志中備注信息可填寫一些詳細信息。日志管理日志可以提供查詢、備份等管理功能。各單位管理員可查詢本機構日志；系統(tǒng)管理員可查詢所有日志；安全審計員可以備份、刪除日志只能以時間段備份及刪除；備份/刪除日志操作時間有記錄，備份/刪除的記錄不

35、刪除；可設置備份提醒，在管理員登陸時提醒。日志審計檢查某個用戶一段時間內的缺勤情況。檢查當前訪問網(wǎng)絡的用戶數(shù)量。識別通過遠程計算機訪問的用戶檢查所有用戶的頂峰登錄時間。查看上次訪問重要資源的用戶。發(fā)現(xiàn)試圖登錄不具訪問權限的計算機的用戶。 查看任一個用戶登錄的全部歷史。同一個用戶在短時間內從不同地方登陸情況，全面了解用戶活動的安全情況。實時預警功能，提供關注重要事件的實時告警。支持方案報表，提供自動發(fā)送用戶選擇的相關報表到管理員郵箱功能。提供自定義報表，要求提供基于用戶、計算機、組策略、組織單元等內容定制各種報表。支持導出PDF、CSV、XLS和HTML等格式。提供自定義活動目錄事件數(shù)據(jù)的保存周

36、期，按設置周期清理數(shù)據(jù)庫過期事件數(shù)據(jù)功能。提供日志自動歸檔功能：即基于用戶設定的時間間隔對日志進展自動存檔，存于指定目錄。業(yè)務系統(tǒng)接入設計業(yè)務系統(tǒng)接入條件應用系統(tǒng)海事業(yè)務申報客戶端、客戶端要接入統(tǒng)一身份管理系統(tǒng)，進展單點登錄，需按照提供的接入標準對登錄模塊進展改造，具體技術實現(xiàn)方式詳見第2.1.2和第2.1.4章節(jié)。業(yè)務系統(tǒng)接入步驟根據(jù)以上內容的介紹，各個業(yè)務系統(tǒng)接入統(tǒng)一認證管理系統(tǒng)的步驟必須按照標準和以下步驟完成：1、首先把業(yè)務系統(tǒng)中的用戶信息全部導入統(tǒng)一身份認證系統(tǒng)中，統(tǒng)一用戶數(shù)據(jù)匯總初始化是實現(xiàn)集成認證的前提。2、業(yè)務系統(tǒng)的原有登錄方式取消，統(tǒng)一采用統(tǒng)一登錄入口，需要各個業(yè)務系統(tǒng)按照統(tǒng)一

37、認證的接口標準要求進展相應的開發(fā)改造3、各個業(yè)務系統(tǒng)可以有選擇的把權限管理數(shù)據(jù)放到統(tǒng)一身份認證系統(tǒng)中來，也可以選擇保存原有業(yè)務系統(tǒng)的權限管理方式；4、統(tǒng)一認證系統(tǒng)啟用后，禁用已經接入的業(yè)務系統(tǒng)用戶數(shù)據(jù)錄入的操作，保證整個系統(tǒng)的數(shù)據(jù)一致性，防止數(shù)據(jù)沖突發(fā)生。數(shù)字證書認證系統(tǒng)產品介紹本方案將采用BJCA的信天行數(shù)字證書認證系統(tǒng)為海事局提供建設CA中心。信天行數(shù)字證書認證系統(tǒng)依照國家有關證書認證系統(tǒng)的技術標準設計，包括?證書認證系統(tǒng)密碼及其相關安全技術標準?、?數(shù)字證書認證系統(tǒng)密碼協(xié)議標準?、?GBT 20518-2006信息安全技術 公鑰根基設施 數(shù)字證書格式?等。系統(tǒng)提供數(shù)字證書發(fā)放和管理功能，

38、包括數(shù)字證書申請、證書發(fā)放、證書更新、證書廢除、密鑰恢復等。同時還提供如證書目錄發(fā)布服務， OCSP證書查詢服務等一系列方便用戶使用證書的服務。系統(tǒng)提供了完善的日志記錄和詳細的審計功能，保證了對操作人員的操作行為進展審計。信天行數(shù)字證書認證系統(tǒng)具有以下技術特點：支持基于SM2算法的ECC證書的簽發(fā)。可以統(tǒng)一管理和發(fā)放各類證書,包括郵件證書、個人身份證書、企業(yè)證書、服務器證書等。具有高擴展性,可以靈活配置認證體系。系統(tǒng)支持多級CA，支持穿插證書認證,支持多級受理點?？梢愿鶕?jù)用戶的需要，對系統(tǒng)進展配置和擴展。具有高安全性和可靠性。易于部署和使用。系統(tǒng)所有用戶、管理員界面主要是 B/S 模式，策略配

39、置和系統(tǒng)定制以及用戶證書管理等都通過界面進展。采用靈活的證書模板技術和動態(tài)擴展機制，容易滿足多種內容格式證書簽發(fā)要求。系統(tǒng)環(huán)境方面，支持主流操作系統(tǒng)、多種主流加密設備、多種數(shù)據(jù)庫、多種證書存儲介質等。信天行數(shù)字證書認證系統(tǒng)在設計時充分考慮了體系構造的完整性、全面的證書管理功能和自身安全性以及運行保障等因素。系統(tǒng)通過利用公開密鑰算法、對稱密鑰算法和散列算法等技術，提供了信息加密、數(shù)字簽名和數(shù)字信封等保護措施，實現(xiàn)信息系統(tǒng)中數(shù)據(jù)的完整性、機密性、抗抵賴性，并提供身份認證、訪問控制等功能?？梢詾殡娮诱蘸碗娮由虅疹I域提供信息化應用安全根基平臺。系統(tǒng)框架數(shù)字證書認證系統(tǒng)主要分成：核心層、管理層和服務層

40、三層架構。核心層包括：根CA系統(tǒng)、運行CA系統(tǒng)和KMC密鑰管理系統(tǒng)三大子系統(tǒng)。其中，運行CA系統(tǒng)又分成CA簽發(fā)系統(tǒng)、CA管理系統(tǒng)、CA數(shù)據(jù)庫和主LDAP目錄服務系統(tǒng)等組成局部。KMC密鑰管理系統(tǒng)包括密鑰管理系統(tǒng)和KM數(shù)據(jù)庫。管理層包括：RA注冊系統(tǒng)。RA注冊系統(tǒng)由注冊管理系統(tǒng)和RA數(shù)據(jù)庫組成。注冊管理系統(tǒng)需要與CA管理系統(tǒng)進展安全通信。服務層包括：證書服務系統(tǒng)和證書/證書狀態(tài)查詢系統(tǒng)。證書服務系統(tǒng)又細分為受理點服務系統(tǒng)、用戶服務系統(tǒng)。受理點服務系統(tǒng)是海事局的證書受理點的證書管理員操作的證書服務系統(tǒng)；用戶服務系統(tǒng)是證書用戶通過海事局內網(wǎng)進展自助服務的系統(tǒng)。證書/證書狀態(tài)查詢系統(tǒng)包括從LDAP目錄

41、服務系統(tǒng)和OCSP服務系統(tǒng)。終端包括受理點管理終端和用戶終端，支持PC機+USBKey。數(shù)字證書認證系統(tǒng)軟件構架設計如以以下圖所示：軟件功能清單身份認證系統(tǒng)采用B/S架構，所有管理工作通過瀏覽器完成。系統(tǒng)主要功能如下表所示：系統(tǒng)模塊系統(tǒng)主要功能說明CA簽發(fā)系統(tǒng)CSS完成證書生命周期管理服務，包括：簽發(fā)用戶證書、更新證書、重簽發(fā)證書、凍結、解凍、撤消證書簽發(fā)CRL、發(fā)布證書和CRL等等。與KM、RA、等模塊進展安全通信，進展證書業(yè)務調度，實現(xiàn)整個身份認證系統(tǒng)業(yè)務、權限以及策略管理、查詢統(tǒng)計、安全審計；實現(xiàn)用戶證書生命周期管理。密鑰管理系統(tǒng)KMC用戶加密密鑰生產、密鑰分發(fā)、密鑰歸檔、密鑰更新、密鑰

42、撤銷、密鑰備份與恢復、安全審計等密鑰生命周期管理服務。證書注冊系統(tǒng)RA用戶信息注冊管理、RA業(yè)務策略管理、配置管理、安全審計等等。證書在線查詢系統(tǒng)OCSP提供用戶證書狀態(tài)在線查詢服務。技術標準數(shù)字證書認證系統(tǒng)遵循的標準?證書認證系統(tǒng)密碼及其相關安全技術標準?數(shù)字證書認證系統(tǒng)密碼協(xié)議標準?數(shù)字證書認證系統(tǒng)檢測標準?證書認證密鑰管理系統(tǒng)檢測標準?商用密碼管理條例?中華人民共和國計算機信息系統(tǒng)安全保護條例?數(shù)字證書格式遵循的標準GB/T 20518-2006 信息安全技術 公鑰根基設施 數(shù)字證書格式ITU-T X.509 V3數(shù)字證書ITU-T X.509 V2CRL數(shù)字證書應用接口遵循的標準公鑰密

43、碼根基設施應用技術體系證書應用綜合服務接口標準公鑰密碼根基設施應用技術體系框架標準公鑰密碼根基設施應用技術體系 密碼設備應用接口標準公鑰密碼根基設施應用技術體系 通用密碼服務接口標準智能IC卡及智能密碼鑰匙密碼應用接口標準CSP標準PKCS#11標準上述標準為國家密碼局關于數(shù)字證書應用體系的最新技術標準。BJCA作為國家密碼根基設施成員單位，是最先遵循國家最新技術標準標準的PKI廠商。支持的密碼算法公鑰密碼算法：RSA、SM2。其中RSA密鑰長度1024/2048/4096比特可選。SM2支持256比特；哈希函數(shù)算法：支持SHA1、SHA256、SM3；對稱密碼算法：SSF33、SM1/SM4

44、等。LDAP目錄協(xié)議支持輕量型目錄協(xié)議第三版 (LDAPv3),具體如下：RFC 2251：輕型目錄服務訪問協(xié)議RFC 2252：屬性語法定義RFC 2253：分辨名的UTF-8字符串表示RFC 2254：查詢過濾器的字符串表示RFC 2255：LDAP URL格式RFC 2256：X.500用戶Schema匯總RFC 2829：LDAP認證方法RFC 2830：傳輸層安全TLS擴展OCSP協(xié)議：RFC2560數(shù)字證書運行服務方案運行服務體系海事局CA中心的建設目標是面向全國范圍內10萬規(guī)模的用戶群提供CA認證服務，不僅僅需要建設一個CA系統(tǒng)，而且需要建設一個完善的服務體系。海事局CA運行服務

45、體系將以數(shù)字證書服務平臺為技術手段，為局領導、管理人員和用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務。輔以數(shù)字證書服務方案以及CA根基設施的運維方案，結合電子認證服務體系培訓，保障CA根基設施的正常運轉。主要建設內容包括：建設海事局數(shù)字證書服務平臺，為全國用戶提供方便、快捷、高效的數(shù)字證書全生命周期服務；設計數(shù)字證書服務方案，包括服務交付和服務支持等方面；設計CA根基設施的運維方案，保障CA根基設施的正常運轉；開展電子認證服務體系的培訓，確保電子認證服務體系的應用效果。證書服務方案全部局證書服務人員按三級體系，即部局、直屬局、分局及海事處。直屬局的證書服務人員只負責機關人員的證書全生命周期

46、管理，分局或海事處工作人員的證書全生命周期管理由分局或海事處的證書服務人員負責。證書服務人員的證書及介質由部局統(tǒng)一采購并配發(fā)。證書服務方案概述證書服務方案包括服務交付和服務支持兩局部，其中：服務交付方案將針對面對證書用戶提供的證書生命周期服務和面對系統(tǒng)管理員提供的證書業(yè)務查詢統(tǒng)計服務作出詳細闡述；服務支持方案將明確闡述面向證書用戶和受理點管理員的服務支持方式和支持內容。服務交付方案服務交付內容CA服務交付是指將證書及相關服務交付給用戶。作為應用安全保障體系根基設施，建設一個安全、方便、快捷的CA服務交付體系，是十分重要的。CA服務交付的內容包括三個方面：面對最終用戶提供的證書生命周期服務面對業(yè)

47、務管理者提供的證書業(yè)務查詢統(tǒng)計服務面向應用提供者提供的證書應用集成等服務。圖表 SEQ 圖表 * ARABIC2 CA認證服務交付內容其中，最重要的是面向證書最終用戶的證書生命周期的服務交付，包括證書申請發(fā)放、證書撤消、證書更新、證書重簽發(fā)、密鑰恢復、證書介質解鎖等等。圖表 SEQ 圖表 * ARABIC3 證書生命周期服務服務交付模式證書服務的交付模式，主要包括受理點交付、在線服務交付兩種主要模式，以及結合受理點和在線的混合交付模式。圖表 SEQ 圖表 * ARABIC4 證書服務的交付模式受理點交付模式海事局將在全國各地區(qū)分局分批建設數(shù)字證書受理點，已建設證書受理點的分支機構，證書服務可采

48、取受理點交付模式。對于應用系統(tǒng)中已有的用戶支持批量制證、發(fā)證，對于新注冊用戶，由用戶自己提交用戶信息到所在單位信息中心管理人員，通過所在單位信息中心管理員審核信息內容的正確性，核實正確后由所在單位管理人員負責制證、交付。在線交付模式用戶除可以通過受理點獲取證書全生命周期的服務外，還可以通過登錄用戶服務系統(tǒng)臺獲取在線的證書服務。在證書更新、撤消、重簽發(fā)、介質解鎖階段，通過Web自助獲取服務。服務交付流程受理點集中證書申請流程海事局內部證書采用證書受理點集中證書申請模式。集中申請是指由單位證書管理員集中收集、整理和審查用戶證書申請的真實可靠后，通過文件方式將證書申請信息批量傳入CA系統(tǒng)，由CA中心

49、集中制作數(shù)字證書后發(fā)放給證書管理員，再由證書管理員集中將數(shù)字證書分發(fā)到用戶手中。圖表 5 受理點集中證書申請流程具體流程如下：單位管理員收集用戶信息，并鑒證，然后將批量證書申請信息文件上傳海事局CA系統(tǒng)并使用制證員證書對申請進展數(shù)字簽名；作為可選，由上級管理部門證書管理員審批證書申請；海事局CA中心集中組織生產數(shù)字證書并寫入USB KEY內，做好用戶標識，然后將USB KEY下發(fā)到受理點管理員；單位管理員將USB KEY分發(fā)給用戶使用。證書更新流程為了用戶更新的方便，建議全部采取在線更新方式。用戶在證書即將到期時，應用系統(tǒng)將提前30天提醒用戶進展證書更新。用戶使用自己當前手中的證書登錄用戶服務

50、系統(tǒng)，進展更新申請。在獲得CA中心后臺管理人員的授權后，用戶可立即通過網(wǎng)絡下載新證書。圖表 6 證書更新流程證書更新的具體流程如下： 受理點管理員查詢系統(tǒng)即將到期用戶名單，提交證書更新申請也可是系統(tǒng)自動提交證書更新名單；管理員對更新申請信息進展授權；可選證書用戶使用舊證書登錄證書用戶服務系統(tǒng)；系統(tǒng)驗證舊證書的有效性后，直接向用戶的usbkey內下載新證書，完成更新業(yè)務。證書撤銷流程當證書喪失或人員崗位變動時，應撤消用戶的證書使其不可再用。證書撤消的發(fā)起人可以是證書管理員，也可以是證書持有者本身。證書管理員可以使用自己的管理員證書，直接向CA提出撤消其管轄范圍內的用戶證書；證書持有者可以通過提交

51、鑒證材料，證明其證書持有人身份后，提交證書撤消申請，由系統(tǒng)將證書序列號簽發(fā)到黑名單中。用戶自助撤消：用戶登錄在線服務平臺，選擇證書撤消，通過身份鑒證確認后即可撤消登錄的證書；管理員撤消：用戶到管理員處申請撤消證書，管理員審核用戶身份信息后登錄證書服務管理系統(tǒng)，根據(jù)用戶信息查詢對應證書，進展撤消；USBKey密碼解鎖證書介質USBKey存放證書的私鑰，用口令進展保護稱為PIN口令。為了保護UsbKey擁有者的安全，防止被盜用或攻擊的風險，USBKey限制PIN口令出錯時的重試次數(shù)，當連續(xù)使用錯誤口令重試10次后，Usbkey將自動鎖死。這時，用戶如果仍想繼續(xù)使用，需要CA認證中心進展USBKey

52、口令解鎖。USBKey解鎖具體流程如下： USBKey鎖死的用戶在數(shù)字證書服務平臺提交解鎖申請；受理點管理員確認用戶的證書解鎖申請鑒證；總部管理員給予USBKey解鎖申請授權；可選證書用戶使用USBKey登錄解鎖網(wǎng)站，設置新密碼，完成USBKey解鎖。密鑰恢復如果證書應用過程中存在使用證書加密的操作，一旦出現(xiàn)證書介質損壞或喪失的情況，加密后的信息便無法進展解密。這時，用戶可以提出密鑰恢復的申請，由工作人員在證書服務系統(tǒng)中進展密鑰恢復的操作。密鑰恢復具體流程如下：用戶加密證書喪失或損壞后，可申請密鑰恢復填寫申請表；受理點管理員鑒證用戶身份；受理點管理員提交證書密鑰恢復；總部管理員審批。受理點管理員為用戶分配新的usbkey,選擇密鑰恢復，為用戶恢復加密密鑰和加密證書；用戶領取恢復后的加密證書。證書業(yè)務查詢統(tǒng)計服務服務交付將為業(yè)務管理者提供詳盡的證書查詢統(tǒng)計服務，其中查詢可依據(jù)發(fā)放、使用和到期進展分別查詢，證書統(tǒng)計可依據(jù)使用情況、辦理情況進展統(tǒng)計，統(tǒng)計還依據(jù)月統(tǒng)計、使用單位和業(yè)務應用情況分別統(tǒng)計，統(tǒng)計信息可導出EXCEL表格輸出。圖表 7 證書查詢統(tǒng)計功能