1、 DB21/T1578 2008 数字林业 信息安全与单点登 陆 2008-02-01 发布 2008-03-01 实施 辽宁省质量技术监督局发布 辽宁 省 地方 标准 DB21 DB21/T1578 2008 I 目 次 前 言 II 1 范围 . 1 2 规范性引用文件 . 1 3 信息安全基础设施 . 1 4 单点 登陆 与统一授权管理 . 2 附 录 A(资料性附录 ) 7 附 录 B(资料性附录 ) 8 DB21/T1578 2008 II 前 言 本标准附录 A、附录 B 均为资料性附录。 本标准 由辽宁省林业厅提出。 本 标准 由辽宁省林业厅信息中心、辽宁省林业调查规划院起草。
2、本 标准 主要起草人 : 高 彦 王天玲 冯 琰 陈 鑫 常 颖 王姗姗 刘全来 姜子良 高明楣 高洪升 本标准于 2008 年 2 月首次发布。 DB21/T1578 2008 1 数字林业 信息安全与 单点 登陆 标准 1 范围 本标准规定了信息安全基础设施、 单点登陆与统一授权管理 。 本标准适用于各林业部门的林业信息化建设 . 2 规范性引用文件 3 信息安全基础设施 3.1 安全等级保护要求 省级 系统 :达到四级 安全 等级保护 要求 。 市级 系统 :需达到三级 安全 等级保护 要求 。 县级:需达到二级 安全 等级保护 要求 。 3.2 防火墙体系及技术要求 3.2.1 防火墙
3、 与 VPN硬件 的 选购 数字林业信息网络由三级 组 成 。 具体参照 DB21/T1574-2008。 3.2.2 防火墙规则 3.2.2.1 省级 核心防火墙 +边界防火墙 +虚拟网( Vlan) 分属于 核心防护区 和一般防护区 核心防护区由核心 防火墙 安全区( DMZ)和 林业专 网组成 ;一般防护区 由边界防火墙和 林业 外网组成。 确定安全规则(协议 +端口)和流量控制。 核心交换机具备三层 以上 交换能力,根据业务性质和安全级别划分 Vlan,将访问控制与防火墙规则结合在一起。 3.2.2.2 市 县 级 只划分出防火墙安全区 ( DMZ) ,将服务器放置在安全区 内 。 3
4、.2.3 服务器加固 3.2.3.1 省级 数字证书 +安全加固 所 有服务器都分发数字证书 和有效的年限。 打好 系统补丁,配置不小于 7位的 管理 密码。 关闭不必要的服务和端口。 设置日志和审计规则 3.2.3.2 市县级 安全加固 打 好系统补丁,配置不小于 7位的 管理 密码。 关闭不必要的服务和端口。 DB21/T1578 2008 2 设置日志和审计规则 3.2.4 入侵检测与杀毒 3.2.4.1 省级 入侵检测 +杀毒 安置入侵检测设备,与防火墙联动。 网络版的杀毒软件系统 ,每天升级病毒库。 3.2.4.2 市级 网络版的杀毒软件系统,每天升级病毒库。 3.2.4.3 县级
5、安装 单机 版的防火墙 和 杀毒软件。 3.2.5 IP绑定 将用户 MAC 地址 、用户名与 IP 进行 绑定 。 4 单点 登陆 与统一 授权 管理 4.1 系统 建设 4.1.1 功能 要求 4.1.1.1 集中 式 用户管理 避免用户信息的多点存储,安全性高, 对 用户信息变化 能够 快速反应。 4.1.1.2 集中 式 应用管理 对区域内部运行的各应用系统进行有效的监督管理和升级部署。实现统一的应用系统 权限管理模型,制定权限规则,权限分配策略。 4.1.1.3 统一授权管理 制定应用系统统一的资源访问机制,规范应用 系统的用户授权功能的开发。 应用系统通过统一接口接入。 4.1.1
6、.4 单点 接入 全网服务 分布于网络内的各应用系统接入单点 登陆 与统一授权管理系统,实现向所有网络内用户提供用户认证、授权管理和应用访问服务。 4.1.1.5 统一身份认证 单点 登陆 ,全网通行 网络内用户在接入单点 登陆 与统一授权管理系统的应用系统中 登陆 ,就可以直接访问所有网络内经授权的应用系统,享受应用系统提供的信息和业务服务。 单点注销,全网退出 网内用户在接入单点 登陆 与统一授权管理系统的应用系统中注销用户信息,就可以退出曾经或 正在访问的所有应用系统。 4.1.1.6 日志管理 单点 登陆 与统一授权管理系统能够详细记录用户使用单点 登陆 与统一授权管理系统的情况,包括
7、 登陆 时间, 登陆 用户名称, 登陆 的应用系统, 登陆 时使用的客户机 IP 地址、计算机名和 MAC 地址等。 4.1.2 平台 构建 4.1.2.1 单点 登陆 及统一授权管理服务器 提供统一的基础数据服务和认证授权服务,支撑 各 应用系统的接入。 所有的功能模块以 Web Service 二次开发接口的形式向各应用系统提供服务。 DB21/T1578 2008 3 4.1.2.2 单点 登陆 客户端软件 通过 统一的用户 界面 ,收集各应用系统的通讯信息, 为 用户 提供 相互讨论和交换信息的平台。 4.1.2.3 单点 登陆 控件 封装用户账号 /密码与数字证书两种身份认证; 通过
8、该控件和单点 登陆 与统一授权管理系统接入。 4.1.3 开发包与接口 4.1.3.1 客户端 提供二次开发接口的组件 ,封装用户身份认证功能。 4.1.3.2 服务器端 提供 Web Service 接口,封装机构管理、用户管理、角色管理、用户认证、授权管理和应用系统注册等功能。 4.2 接入要求 所有接入单点 登陆 与统一授权管理系统的应用系统都必须遵循以下 几点基本要求: 保证应用系统与 单点 登陆 与统一授权管理系统运行于同一网络; 应用系统必须在 单点 登陆 与统一授权管理系统 上注册,填写相应的服务器地址、域名、应用程序名等信息,并由 单点 登陆 与统一授权管理系统 为其生成唯一的
9、密钥;用以验证应用系统身份和加密传输数据; 应用系统必须遵循 单点 登陆 与统一授权管理系统 提供的开发接口规范,进行应用系统的开发接入; 应用系统必须使用 单点 登陆 与统一授权管理系统 提供的客户端 ActiveX 控件,实现用户身份认证。 4.3 身份认证 4.3.1 规则描述 用户只 需要在任意一个接入单点 登陆 与统一授权管理系统的应用系统中 登陆 ,就可以直接访问所有其他接入单点 登陆 与统一授权管理系统的应用系统而无需再次 登陆 ;用户只需要在任意一个接入单点 登陆 与统一授权管理系统的应用系统中注销,就可以退出所有曾经或正在访问的接入应用系统。 4.3.2 单点认证介绍 4.3
10、.2.1 登陆 方式 用户可以通过以下方式 登陆 到 单点 登陆 与统一授权管理系统 : 用户采用个人数字证书或用户名 /密码方式从 单点 登陆 客户端软件 登陆 ; 用户采用个人数字证书或用户名 /密码方式从已接入 单点 登陆 与统一授权管理系统的应用系统直接 登陆 。 4.3.2.2 认证令牌 使用 管理系统 为用户生成并颁发的 UserToken(认证令牌 )实现单点 登陆 身份 认证的功能。 4.3.2.3 认证令牌的有效期 UserToken 是一个临时的身份凭证,单点 登陆 客户端软件会定时向 单点 登陆 与统一授权管理系统 发送保持连接 的 通讯信息。只要用户还在使用中,自动更新
11、延长 UserToken 的有效期。 DB21/T1578 2008 4 4.3.2.4 数字证书认证流程 用户通过数字证书 登陆 到 单点 登陆 与统一授权管理系统的流程如图 5 所示。 流程描述如下: 1) 用户打开应用系统客户 端程序; 2) 客户端程序调用 PKI/CA 客户端组件构建认证消息包; 3) 产生随机数,调用数字证书的私钥和证书构建认证消息包; 4) 返回认证消息包至应用系统客户端程序; 5) 应用系统客户端程序发送认证消息包至应用系统服务器; 6) 应用系统服务器调用 PKI/CA 服务器认证组件验证认证消息; 7) 服务器认证组件校验认证消息的日期,并通过 CAS 系统
12、 (PKI 安全代理服务器 )获取用户临时属性; 8) 返回用户临时属性至服务器认证组件; 9) 验证用户认证消息包信息及用户证书,如上传为证书序列号,则需从 CAS 系统获取用户证书; 10) 从用户证书获取信息后 登陆 CAS 系统; 11) 返回 登陆 后的 token 至服务器端认证组件; 12) 构建认证响应消息; 13) 存储用户临时属性; 14) 认证通过后,返回应用系统服务器响应消息; 15) 应用系统服务器返回至应用系统客户端; 16) 应用系统客户端将响应消息送至客户端认证组件; 17) 客户端认证组件处理响应消息。 DB21/T1578 2008 5 : 用户a p p
13、l i cat i o n cl i e n t客户端组件 服务器认证组件: C A S 系统a p p l i cat i o n ser v e r1 : 打开 cl i e n t 程序2 : 请求构建认证消息4 : 返回认证消息包5 : 登录认证请求6 : 验证认证消息7 : 获取用户属性8 : 返回用户属性9 : 验证用户证书1 0 : 登录 C A S 系统1 1 : 返回 t o ken1 2 : 组建认证响应消息1 3 : 存储用户临时属性1 4 : 返回响应消息1 5 : 返回客户端1 6 : 返回响应消息3 : 调用私钥构建认证消息1 7 : 处理响应消息图 1 数字证书认
14、证流程 4.4 授权验证 第三方应用系统要接入单点 登陆 与统一授权管理系统,需遵循以下规则流程: a) 第三方应用系统开发人员需在单点 登陆 与统一授权管理系统中注册相关的应用程序信息,经平台管理员审批后,返回唯一的应用程序授权号。 b) 第三方应用系统开 发人员需使用单点 登陆 与统一授权管理系统中提供的操作界面,自定义所需的权限规则,并将该权限规则与相关应用进行绑定。 c) 第三方应用系统开发人员使用单点 登陆 与统一授权管理系统提供的二次开发接口进行相应的授权验证操作(二次开发接口详见附录)。 d) 第三方应用系统的授权对象,可以是网内所有的组织、机构、用户、角色。通过单点 登陆 与统
15、一授权管理系统,网内用户可以很便捷的访问到自己有权访问的应用、数据、资源。 DB21/T1578 2008 6 4.5 接口规范 单点 登陆 与统一授权管理系统 根据其预先保存的应用系统服务器 IP 地址以及颁发给应用系统的密钥来辨认应用系 统的身份。 其 定义的接口需要遵循如下规定: 接口的所有数据类型定义均遵循 XML 语言定义规范 (W3C2001 版规范 ); 对于重定向接口中的字符串参数,必须进行控制码的转义。 详细 方法参见 RFC1738。 对于重定向接口,定义 #为返回参数与 ReturnUrl 之间的连接符变量,如果ReturnUrl 中包含查询参数, #取值为“ &”,否则
16、取值为“ ?”。 对于非重定向接口,通过 Web Services 实现。对 Web Services 的调用采用 SOAP调用方法。 SOAP 接口若无特殊说明,均承载在 HTTP 协议上。承载 SOAP 调用的 HTTP 请求头中使用 POST 命令。本规范不对其目的地址的 URL 作具体规定。 对于 SOAP 调用接口,服务提供方必须首先检查服务请求方的 IP 地址合法性方可提供服务。 所有 SOAP 调用的 XML 编码均采用 UTF-8 方式; 所有 SOAP 调用方法的 URL 均作为 SOAP Action 的取值。 接口描述中的斜体部分表示变量在系统运行中的实际取值。 接口若无
17、特殊说明,均为同步调用接口。 ApplicationName 是指接入 单点 登陆 与统一授权管理系统 的应用系 统的域名,该域名由应用系统指定。 DB21/T1578 2008 7 附 录 A (资料性附录 ) A.1 基本认证过程 身份认证过程由用户应用程序、单点 登陆 控件、单点 登陆 与统一授权管理服务器三方交互完成。交互过程如图 2 所示。 认证完成之后,第三方应用程序根据认证的返回信息决定是否进行和应用服务器端的交互,即是否让用户进行下一步的业务操作过程。 图 2 基本认证过程 其中客户端 (C/S 模式为应用程序, B/S 模式为 IE 浏览器 )通过 Active X 控件提供
18、的 API与单点 登陆 与统一授权管理服务器进 行交互,根据返回的结果来决定客户端和应用服务器端的交互。 操作过程是: 1) 客户端和单点 登陆 与统一授权管理服务器的交互,实现用户身份认证; 2) 客户端和应用服务器的交互,即具体的业务流程,实现用户业务处理。 DB21/T1578 2008 8 附 录 B (资料性附录 ) B.1 身份认证 流程描述 B.1.1 用户首次 登陆 本流程适用于以下场景:用户第一次 登陆 单点 登陆 与统一授权管理系统, 尚未 获得有效的 UserToken。当用户请求 登陆 应用系统时,应用系统向 单点 登陆 与统一授权管理系统 提出认证请求。 流程如图 3
19、 所 示。 流程描述如下: 1) 用户访问单点客户端软件或应用系统; 2) 客户端软件或应用系统经检测,发现该用户尚未 登陆 过,则弹出登陆窗口; 3) 用户提交身份认证信息;客户端软件或应用系统通过 Web Services 方式向 单点 登陆与统一授权管理系统 提交认证请求; 4) 单点 登陆 与统一授权管理系统 将认证结果返回给客户端软件或应用系统; 5) 客户端软件或应用系统向用户返回系统主页面。 应 用 系 统 单 点 登 录 系 统请 求用 户 身 份 验 证返 回 验 证 结 果本 地 验 证输 入 用 户 信 息返 回 系 统 页 面返 回 登 陆 页 面图 3 首次 登陆 流
20、程示意图 B.1.2 后续 登陆 本流程适用于 以下 场景:用户已经获得有效的 UserToken(即用户已经登陆过 ),此时访问其它应用系统。流程如图 4 所示。 流程描述如下: 1) 用户访问单点客户端软件或应用系统; 2) 客户端软件或应用系统经检测,发现该用户已经 登陆 过; 3) 客户端软件或应用系统向用户返回系统主页面。 DB21/T1578 2008 9 应 用 系 统 单 点 登 录 系 统1 : 请 求2 : 本 地 验 证3 : 返 回 系 统 页 面图 4 后续 登陆 流程示意图 B.1.3 用户退出 用户请求退出 单点 登陆 与统一授权管理系统 后,其本次 登陆 所获得的临时身份凭证将立即失效, 单点 登陆 与统一授权管理系统 将回收为 用户 提供服务的系统资源。并且用户 登陆 后访问过的所有应用系统 将接收到相应的注销消息,根据各自应用系统的情况,做出相应的处理。此时,所有对 单点 登陆 与统一授权管理系统的系统资源的访问请求,都需要再次认证用户身份。
