1、ICS 35.240L67 DB5305保 山 市 地 方 标 准DB 5305/T 19.49 2019替 代 DG5305/T 19.492017保 山 市 信 息 惠 民 工 程 综 合 标 准第 49部 分 :权 限 管 理 与 登 录 技 术 标 准 2019 -10- 30发 布 2019- 11-01实 施保 山 市 市 场 监 督 管 理 局 发 布 DB5305/T 19.492019前 言本 标 准 按 照 GB/T 1.1 2009 标 准 化 工 作 导 则 第 1部 分 : 标 准 的 结 构 和 编 写 给 出 的 规 则 起 草 。本 标 准 中 附 录 A为 资
2、 料 性 附 录 、 附 录 B为 资 料 性 附 录 。本 标 准 由 保 山 市 大 数 据 管 理 局 提 出 。本 标 准 由 保 山 市 工 业 和 信 息 化 委 员 会 归 口 。本 标 准 起 草 单 位 : 保 山 市 大 数 据 管 理 局 。 本 标 准 主 要 起 草 人 : 刘 志 胡 、 王 明 超 、 李 祖 燕 、 丁 威 、 银 孟 璐 。本 标 准 替 代 DG5305/T 19.49 2017。 DB5305/T 19.492019 1 保 山 市 信 息 惠 民 工 程 综 合 标 准第 49部 分 权 限 管 理 与 登 录 技 术 标 准1 范 围本
3、 标 准 规 定 了 保 山 市 信 息 惠 民 工 程 权 限 管 理 与 登 录 技 术 规 范 的 术 语 和 定 义 、 缩 略 语 、 访 问 控 制 体 系框 架 、 身 份 认 证 与 登 录 机 制 、 权 限 管 理 基 础 设 施 、 访 问 控 制 , 本 标 准 适 用 于 保 山 市 信 息 惠 民 工 程 权 限 管理 与 登 录 技 术 规 范 建 设 。2 规 范 性 引 用 文 件下 列 文 件 中 的 条 款 通 过 本 标 准 的 引 用 而 成 为 本 标 准 的 条 款 。 凡 是 注 日 期 的 引 用 文 件 , 其 随 后 所 有 的 修 改 单
4、 ( 不 包 括 勘 误 的 内 容 ) 或 修 订 版 均 不 适 用 于 本 标 准 , 然 而 , 鼓 励 根 据 本 标 准 达 成 协 议 的 各 方 研 究是 否 可 使 用 这 些 文 件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 适 用 于 本 标 准 。DB5305/T 19.3-2019 保 山 市 信 息 惠 民 工 程 综 合 标 准 术 语DB5305/T 19.50-2019 保 山 市 信 息 惠 民 工 程 综 合 标 准 数 字 证 书 技 术 应 用 标 准3 术 语 和 定 义DB5305/T 19.3-2
5、019 确 立 的 以 及 下 列 术 语 和 定 义 适 用 于 本 标 准 。3.1 特 定 权 限 管 理 基 础 设 施特 定 权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施 , 与 公 钥 基 础 设 施 有 着 密 切 的 联 系 。3.2 属 性 证 书 属 性 证 书 指 属 性 授 权 机 构 进 行 数 字 签 名 的 数 据 结 构 , 把 持 有 者 的 身 份 信 息 与 一 些 属 性 值 绑 定 。3.3 属 性 授 权 机 构属 性 授 权 机 构 指 通 过 发 布 属 性 证 书 来 分 配 权 限 的 认 证 机 构
6、 , 也 称 属 性 管 理 机 构 。3.4 证 书 源 授 权 机 构证 书 源 授 权 机 构 指 为 资 源 的 特 定 权 限 验 证 者 所 信 任 的 , 位 于 顶 层 的 分 配 特 定 权 限 的 属 性 授 权 机 构 。3.5 属 性 证 书 撤 消 列 表属 性 证 书 撤 消 列 表 指 标 识 由 发 布 机 构 已 发 布 的 、 不 再 有 效 的 属 性 证 书 的 索 引 表 。3.6 属 性 注 册 机 构属 性 注 册 机 构 指 由 AA 委 派 和 授 权 , 采 用 公 钥 证 书 技 术 标 识 和 鉴 别 属 性 证 书 申 请 者 , 为
7、申 请 者 向 AA 提 供 属 性 证 书 签 发 申 请 , 处 理 属 性 证 书 的 业 务 请 求 , 为 AA 系 统 提 供 注 册 服 务 管 理 的 机 构 。3.7 根根 认 证 中 心 ( 根 CA) 是 一 种 特 殊 的 CA, 位 于 证 书 认 证 层 次 结 构 的 最 高 层 , 是 最 终 通 过 安 全 链 追 溯到 一 个 已 知 的 并 被 广 泛 认 为 是 安 全 、 权 威 、 足 以 信 赖 的 机 构 。 根 认 证 中 心 必 须 对 它 自 己 的 证 书 签 名 。 DB5305/T 19.49 2019 2 3.8 持 有 者持 有
8、者 指 由 源 授 权 机 构 直 接 授 权 的 或 由 其 他 属 性 授 权 机 构 间 接 授 权 的 实 体 。3.9 代 理 点代 理 点 是 受 ARA委 派 , 直 接 面 向 属 性 证 书 注 册 者 的 处 理 机 构 , 仅 提 供 属 性 信 息 与 ARA间 的 注 册 通 道 、手 段 和 方 法 , 以 及 部 分 提 供 相 应 的 属 性 证 书 体 最 终 下 载 处 理 机 制 。3.10 权 限 管 理 中 心权 限 管 理 中 心 指 提 供 属 性 证 书 申 请 和 管 理 、 权 限 分 配 和 管 理 、 属 性 证 书 发 布 和 管 理
9、的 认 证 机 构 。3.11 权 限 管 理 基 础 设 施权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施 , 与 公 钥 基 础 设 施 有 着 密 切 的 联 系 。 3.12 权 限 策 略权 限 策 略 是 一 种 策 略 , 它 描 述 了 权 限 检 验 者 提 供 敏 感 服 务 给 具 有 资 格 的 权 限 声 明 者 , 权 限 策 略 与 服务 相 连 的 属 性 相 关 , 也 和 与 权 限 声 明 者 相 连 的 属 性 相 关 。3.13 安 全 策 略安 全 策 略 指 由 管 理 使 用 和 提 供 安 全 服 务 和
10、 设 施 的 安 全 机 构 所 制 定 的 一 组 规 则 。3.14 源 机 构源 机 构 指 为 资 源 的 权 限 验 证 者 所 信 任 的 、 位 于 顶 层 的 分 配 权 限 的 属 性 授 权 机 构 。3.15 访 问 控 制访 问 控 制 指 为 信 息 系 统 所 属 资 源 在 遭 受 未 经 授 权 或 以 未 授 权 的 方 式 进 行 的 操 作 威 胁 时 提 供 适 当 的控 制 以 及 防 护 措 施 , 以 保 护 信 息 的 机 密 和 完 整 性 。 3.16 访 问 控 制 策 略访 问 控 制 策 略 指 定 义 可 发 生 访 问 控 制 条
11、件 的 规 则 集 。3.17 访 问 控 制 信 息访 问 控 制 信 息 指 用 于 访 问 控 的 任 何 信 息 , 其 中 包 括 上 下 文 信 息 。3.18 访 问 控 制 证 书访 问 控 制 证 书 指 包 含 ACI的 安 全 证 书 。3.19 访 问 控 制 判 决 信 息访 问 控 制 判 决 信 息 指 在 作 出 一 个 特 定 访 问 控 制 判 决 时 可 供 ADF使 用 的 部 分 或 全 部 ACI 。3.20 访 问 控 制 判 决 功 能 访 问 控 制 判 决 功 能 是 一 种 特 定 功 能 , 它 通 过 对 访 问 请 求 、 ADI(
12、发 起 者 的 、 目 标 的 、 访 问 请 求 的 或以 前 决 策 保 留 下 来 的 ADI) 以 及 该 访 问 请 求 的 上 下 文 , 使 用 访 问 控 制 策 略 规 则 而 做 出 访 问 控 制 判 决 。3.21 访 问 控 制 实 施 功 能访 问 控 制 实 施 功 能 是 一 种 特 定 功 能 , 它 是 每 一 访 问 请 求 中 发 起 者 和 目 标 之 间 访 问 路 径 的 一 部 分 , 并实 施 由 ADF做 出 的 决 策 。 DB5305/T 19.492019 3 3.22 角 色角 色 指 与 用 户 的 访 问 控 制 权 限 有 关
13、的 安 全 属 性 。 一 个 角 色 可 能 和 一 种 或 几 种 服 务 有 关 , 一 个 角 色 可能 对 应 着 一 个 或 多 个 用 户 , 一 个 用 户 可 能 承 担 者 一 种 或 多 种 角 色 。3.23 角 色 分 配 证 书角 色 分 配 证 书 是 一 种 证 书 , 它 包 含 角 色 属 性 , 为 证 书 对 象 /持 有 者 分 配 一 个 或 多 个 角 色 。3.24 角 色 规 范 证 书角 色 规 范 证 书 是 一 种 属 性 证 书 , 为 角 色 分 配 特 定 权 限 的 证 书 。4 缩 略 语下 列 缩 略 语 适 用 于 本 标
14、准 。 AA: Attribute Authority, 属 性 授 权 机 构AC: Attribute Certificate, 属 性 证 书ACL: Access Control List, 访 问 控 制 列 表ACI: Access Control Information, 访 问 控 制 信 息ACRL: Attribute Certificate Revocation List, 属 性 证 书 撤 消 列 表ADF: Access control Decision Function, 访 问 控 制 判 决 功 能ADI: Access control Decision In
15、formation, 访 问 控 制 判 决 信 息AEF: Access control Enforcement Function, 访 问 控 制 实 施 功 能ALDAP: Attribute Certificate lightweight directory access protocol, 属 性 证 书 轻 量 目录 访 问 协 议ARA: Attribute Registration Authority, 属 性 注 册 机 构ASN: Abstract Syntax Notation, 抽 象 语 法 表 示 法BER: Basic Encoding Rules, 基 本 编
16、码 规 则C: Country, 国 家 CA: Certification Authority, 证 书 认 证 机 构CN: Common Name, 通 用 名CRL: Certificate Revocation List, 证 书 吊 销 列 表DN: Distinguished Name, 甄 别 名L: Location, 本 地LDAP: Lightweight Directory Access Protocol, 轻 量 级 目 录 访 问 协 议O: Organization, 机 构PKI: Public Key Infrastructure, 公 钥 基 础 设 施PA
17、: Point of Agent, 代 理 点PKC: Public Key Certificate, 公 钥 证 书PMC: Privilege Management Center, 权 限 管 理 中 心PMI: Privilege Management Infrastructure, 权 限 管 理 基 础 设 施RA: Registration Authority, 注 册 中 心RA: role assignment certificate, 角 色 分 配 证 书 RSC: role specification certificate Role, 角 色 规 范 证 书SOA: S
18、ource of Authority, 源 机 构SDA: Security Domain Authority, 安 全 域 机 构SSO: Single Sign-On, 单 点 登 录5 访 问 控 制 体 系 框 架 DB5305/T 19.49 2019 4 5.1 访 问 控 制 整 体 框 架保 山 市 信 息 惠 民 工 程 访 问 控 制 的 整 体 框 架 如 图 1 所 示 。 在 保 山 市 信 息 惠 民 工 程 各 应 用 系 统 中 , 访 问控 制 的 基 础 是 登 录 机 制 和 授 权 管 理 。 其 中 , 登 录 机 制 在 有 些 场 合 下 不 是
19、必 须 的 。 访 问 控 制 整 体 框 架 以PMI作 为 网 络 信 任 体 系 基 础 设 施 , 采 用 基 于 角 色 的 访 问 控 制 模 型 , 向 用 户 或 应 用 程 序 提 供 登 录 服 务 和 权限 管 理 服 务 , 提 供 用 户 身 份 到 应 用 授 权 的 映 射 技 术 , 提 供 与 实 际 应 用 处 理 模 式 相 对 应 的 、 与 具 体 应 用 系统 开 发 和 管 理 无 关 的 授 权 访 问 控 制 机 制 , 简 化 具 体 应 用 系 统 的 开 发 与 维 护 。 保 山 市 信 息 惠 民 工 程 的 访 问控 制 由 应 用
20、 支 撑 平 台 的 权 限 管 理 系 统 向 用 户 或 应 用 程 序 提 供 统 一 的 登 录 服 务 和 权 限 管 理 服 务 。图 1 访 问 控 制 整 体 框 架 5.2 身 份 认 证 与 登 录 机 制应 根 据 各 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证 及 采 用 哪 种 身 份 认 证 方 法 。 在 保 山市 电 子 政 务 网 内 的 应 用 系 统 应 支 持 在 由 信 息 惠 民 工 程 应 用 支 撑 平 台 提 供 统 一 认 证 的 单 点 登 录 , 并 采 用 统一 的 身 份 认 证 方
21、 案 。 确 认 身 份 的 过 程 称 为 身 份 认 证 。 包 括 但 不 限 于 五 种 认 证 用 户 身 份 的 方 法 :用 户 知 道 的 , 如 口 令 、 个 人 识 别 号 ( PIN) 或 密 钥 ;用 户 拥 有 的 , 如 USB-KEY;用 户 本 身 的 生 物 特 征 , 如 语 音 特 征 、 笔 迹 特 征 、 视 网 膜 或 指 纹 ;接 受 一 个 经 认 证 的 可 信 第 三 方 已 经 确 定 用 户 身 份 的 结 果 ;上 下 文 , 如 根 据 申 请 的 源 地 址 。5.3 权 限 管 理权 限 管 理 体 系 框 架 如 图 2所 示
22、 ( ADF是 框 架 的 核 心 , 由 用 户 属 性 证 书 结 合 策 略 规 则 库 、 环 境 信 息 及登 录 信 息 生 成 访 问 控 制 信 息 , 并 执 行 访 问 控 制 决 策 。 ) 。 CAPMI权 限 管 理用 户 身 份 信 息 管 理身 份 认 证登 录 机 制 访 问 控 制 DB5305/T 19.492019 5 图 2 权 限 管 理 体 系 框 架访 问 请 求 访 问 控 制 执行 单 元 AEF 目 标资 源访 问 控 制 判 决 单 元 ADF 执 行 访 问 请 求 定 制 策 略签 发 属 性 证 书属 性 权 威 AA 环 境 信 息
23、 策 略 规 划 库 目 标 资 源 安 全 管 理属 性 证 书 库源 机 构 SOA权 限 委 托 委 托 AA进 行 权 限 管 理申 请 AA代 理 功 能6 身 份 认 证 与 登 录 机 制 6.1 身 份 认 证根 据 信 息 惠 民 工 程 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证 。 对 于 公 众 访 问 的 互 联 网上 的 应 用 系 统 , 不 强 制 格 式 采 用 身 份 认 证 登 录 。 在 电 子 政 务 网 内 的 应 用 系 统 应 直 接 或 通 过 单 点 登 录 支 持保 山 市 政 务 数 字
24、 证 书 的 认 证 。 详 见 DB5305/T 19.50-2019。 使 用 保 山 市 政 务 数 字 证 书 进 行 身 份 认 证 时 ,系 统 应 对 数 字 证 书 载 体 进 行 口 令 验 证 。6.2 登 录 机 制6.2.1 登 录 信 息集 成 到 信 息 惠 民 统 一 门 户 的 应 用 系 统 应 支 持 单 点 登 录 ( Single Sign-On, SSO) 。 单 点 登 录 由 综 合 服务 云 平 台 的 单 点 登 录 认 证 服 务 器 提 供 服 务 。 该 服 务 器 部 署 在 综 合 服 务 云 平 台 。 单 点 登 录 使 用 用
25、户 令 牌( User Token) 和 服 务 令 牌 ( Application Token) 为 临 时 的 身 份 凭 证 。 其 中 , User Token 由 SSO认 证服 务 器 生 成 并 颁 发 给 用 户 , 作 为 SSO 认 证 服 务 器 赋 予 用 户 的 临 时 身 份 凭 证 , 包 括 但 不 限 于 用 户 的 如 下 登录 信 息 : Application Id, 应 用 系 统 编 号 ;User Id, 用 户 ID;Profile User Code, 用 户 在 应 用 系 统 中 的 代 码 ;Profile Password, 用 户 在
26、 应 用 系 统 中 的 口 令 。6.2.2 接 入 凭 证 DB5305/T 19.49 2019 6 Application Token 由 接 入 应 用 系 统 根 据 SSO认 证 服 务 器 提 供 的 信 息 生 成 并 颁 发 给 用 户 , 作 为 接 入应 用 系 统 赋 予 用 户 的 临 时 身 份 凭 证 , 包 括 但 不 限 于 :用 户 的 上 述 登 录 信 息 ;用 户 在 该 应 用 系 统 上 的 权 限 信 息 ;密 码 策 略 , 字 符 串 。6.3 登 录 接 口6.3.1 请 求 认 证 接 口应 用 系 统 请 求 SSO 认 证 服 务
27、器 进 行 身 份 认 证 , 应 提 供 的 参 数 为 Application Request, 内 容 定 义 如下 : URLEncoding( CryptPolicy+“ $” +ApplicationId +“ $” +Base64( Encrypt( ReturnUrl +“ $”+TimeStamp + “ $” + Base64( Hash( ReturnUrl + “ $” + TimeStamp) ) ) ) ) 。 其 中 , Hash算 法 和 加 密算 法 采 用 国 家 密 码 管 理 委 员 会 认 可 的 算 法 , CryptPolicy为 7个 字 节 的
28、 字 符 串 , 依 次 表 示 为 B 7B6B5B4B3B2B1。其 中 , B7固 定 为 符 号 ” !” , 其 他 6 个 字 节 为 阿 拉 拍 数 字 , B6B5表 示 哈 希 算 法 , B4B3表 示 加 密 算 法 , B2B1表 示 认 证 算 法 。 当 CryptPolicy值 为 !000000 时 , 即 默 认 Hash算 法 为 SHA-1, 默 认 加 密 算 法 为 3DES,密 钥 为 SSO认 证 服 务 器 颁 发 给 应 用 系 统 的 密 钥 。 参 数 说 明 如 表 5-1 请 求 认 证 接 口 参 数 表 所 示 。表 1 请 求 认
29、 证 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 ( 字 节 )CryptPolicy 密 码 策 略 String 7ApplicationId 应 用 系 统 编 码 String 40TimeStamp 应 用 系 统 获 取 当 前 的 时 间 戳 , 从 2000年 1月1日 0时 开 始 的 毫 秒 数 String 18 ReturnUrl SSO 认 证 服 务 器 返 回 认 证 结 果 时 需 要 调 用 应用 系 统 的 URL String 1006.3.2 返 回 认 证 结 果 接 口SSO认 证 服 务 器 返 回 应 用 系 统 认 证 结 果 参
30、 数 为 ApplicationResponse, 内 容 定 义 如 下 :URLEncoding( CryptPolicy+“ $” +ApplicationId+“ $” + Base64( Encrypt( Result +“ $” +UserId+“ $” +UserType +“ $” + UserName+“ $” + OrgCode+“ $” + TimeStamp +“ $” + ExpireTime +“ $”+UserProfile +“ $” + Base64( Hash( Result + “ $” + UserId+ “ $” + TimeStamp +“ $” +
31、 ExpireTime+“ $” + UserProfile) ) ) ) ) 参 数 说 明 如 表 2 认 证 结 果 接 口 参 数 表 所 示 。表 2 认 证 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 ( 字 节 ) CryptPolicy 密 码 策 略 , 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40TimeStamp 统 一 认 证 平 台 生 成 当 时 的 时 间 戳 , 从 2000年1 月 1 日 0 时 开 始 的 毫 秒 数 。 String 18UserId 用 户 的 唯 一
32、标 识 , 即 活 动 目 录 中 登 录 帐 号 ,统 一 认 证 平 台 中 的 用 户 统 一 登 录 帐 号 String 20 DB5305/T 19.492019 7 表 2 认 证 结 果 接 口 参 数 表 ( 续 )名 称 说 明 数 据 类 型 长 度 ( 字 节 )UserType 用 户 类 型 ( 0: 注 册 用 户 , 1: 公 务 员 , 2: 市领 导 , 3: 有 更 详 细 的 权 限 信 息 , 见 属 性 证 书 ) IntUserName 用 户 的 真 实 姓 名 String 20OrgCode 组 织 单 位 统 一 编 码 String 20
33、ExpireTime 失 效 时 间 , 从 2000 年 1 月 1 日 0 时 开 始 的 毫秒 数 。 String 18UserProfile 用 户 在 该 应 用 系 统 的 的 映 射 帐 号 信 息 ( 帐 号 ,密 码 ) , 数 据 形 式 为 : 帐 号 ; 密 码 String 100 Result 结 果 :0: 用 户 认 证 通 过 并 有 权 使 用 此 系 统-1: 用 户 不 存 在-2: 用 户 状 态 不 正 常-1001: 用 户 /密 码 错 误-1002: 用 户 取 消 认 证-1003: 用 户 无 权 使 用 此 系 统-10001: 包 数
34、 据 格 式 不 正 确-10002: 数 据 校 验 不 正 确 IntPrivilege Cer 属 性 证 书 String 720Crypt Policy 密 码 策 略 , 同 上 表 String 76.3.3 注 销 接 口应 用 系 统 请 求 SSO 认 证 服 务 器 注 销 应 提 供 的 参 数 为 Application Request, 其 内 容 如 下 所 示 :ApplicationRequestValue= URLEncoding( ApplicationId + “ $” + Base64( Encrypt( ReturnUrl+ “ $” + TimeS
35、tamp + “ $” + Base64( Hash( ReturnUrl + “ $” + TimeStamp) ) ) ) 参 数 说 明 如 表 3注 销 接 口 参 数 表 所 示 。 表 3 注 销 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 ( 字 节 )Crypt Policy 密 码 策 略 , 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40Time Stamp 时 间 戳 , 从 2000年 1月 1日 0时 开 始 的 毫 秒数 。 String 18Return Url 统 一 认 证 平 台 返
36、回 注 销 结 果 时 需 要 调 用 的 应用 系 统 的 URL String 1006.3.4 返 回 注 销 结 果 接 口 DB5305/T 19.49 2019 8 SSO认 证 服 务 器 返 回 应 用 系 统 注 销 结 果 参 数 为 ApplicationResponseValue, 其 内 容 如 下 :ApplicationResponseValue = URLEncoding( ApplicationID + “ $” + Base64( Encrypt( Result+ “ $” + TimeStamp + “ $” + Base64( Hash( Result
37、+ “ $” + TimeStamp) ) ) ) )参 数 说 明 如 表 4 销 结 果 接 口 参 数 表 所 示 。表 4 注 销 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 ( 字 节 )Crypt Policy 密 码 策 略 , 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40Time Stamp 时 间 戳 , 从 2000 年 1 月 1 日 0时 开 始 的 毫 秒数 。 String 18 Result 结 果 :0: 用 户 注 销 通 过-1003: 用 户 未 经 过 认 证-10001
38、: 包 数 据 格 式 不 正 确-10002: 数 据 校 验 不 正 确 Int6.3.5 编 码 格 式在 实 现 以 上 功 能 时 , UserId、 UserName、 UserProfile、 OrgCode、 ApplicationId、 映 射 帐 号 信 息中 不 得 包 含 以 下 字 符 : $ 、 ; 、 ! 。7 权 限 管 理 基 础 设 施7.1 权 限 管 理 基 础 设 施 的 描 述权 限 管 理 基 础 设 施 PMI 以 资 源 管 理 为 核 心 , 对 资 源 的 访 问 控 制 权 交 由 权 限 管 理 机 构 统 一 处 理 , 即 由资 源
39、 的 所 有 者 来 进 行 访 问 控 制 。 PMI的 核 心 管 理 机 构 是 权 限 管 理 中 心 PMC, 其 主 要 功 能 是 用 来 实 现 权 限 管 理 和 属 性 证 书 的 生 成 、 管 理 、 存 储 、 发 布 、 应 用 、 验 证 和 撤 消 等 。 权 限 管 理 中 心 利 用 属 性 证 书 表 示 和容 纳 权 限 信 息 , 通 过 管 理 证 书 的 生 存 期 实 现 对 权 限 生 命 周 期 的 管 理 。7.2 源 机 构源 机 构 SOA 是 受 权 限 验 证 者 信 任 的 最 高 层 的 权 限 管 理 机 构 , 是 最 终
40、负 责 分 配 权 限 集 合 的 实 体 。 其 职责 主 要 包 括 制 定 权 限 管 理 策 略 、 制 定 访 问 控 制 策 略 、 审 核 AA 的 设 置 、 实 施 权 限 委 派 及 管 理 以 及 策 略 证书 的 签 发 和 管 理 等 。 本 标 准 支 持 采 用 权 限 委 托 机 制 。 SOA 可 将 权 限 分 配 给 一 个 实 体 , 并 允 许 该 实 体 行 使AA的 功 能 。 SOA包 括 但 不 限 于 提 供 如 下 服 务 :SOA签 发 服 务 ;策 略 管 理 服 务 ;资 源 管 理 服 务 ;密 码 服 务 ;属 性 证 书 库 ;
41、管 理 终 端 。 7.3 属 性 授 权 机 构属 性 授 权 机 构 AA, 是 权 限 管 理 中 心 的 核 心 服 务 节 点 , 负 责 签 发 与 管 理 属 性 证 书 。 各 资 源 管 理 与 应用 系 统 依 据 需 求 负 责 建 设 本 应 用 系 统 的 AA, 并 通 过 权 限 委 派 与 SOA中 心 建 立 相 互 信 任 关 系 。 AA的 职 责主 要 包 括 : 策 略 管 理 、 属 性 证 书 的 签 发 、 发 布 、 撤 消 和 管 理 , 以 及 对 设 立 AA 代 理 点 的 审 核 和 管 理 等 。 DB5305/T 19.49201
42、9 9 AA中 心 应 对 其 签 发 的 属 性 证 书 建 立 与 维 护 一 个 历 史 记 录 , 并 及 时 进 行 记 录 更 新 。 AA 包 括 但 不 限 于 提 供如 下 服 务 :AA签 发 服 务 ;密 码 服 务 ;属 性 证 书 LDAP目 录 发 布 服 务 ;属 性 证 书 库 ;策 略 管 理 服 务 ;资 源 管 理 服 务 ;属 性 证 书 历 史 库 ;ACRL属 性 证 书 撤 消 列 表 库 ;系 统 日 志 库 ;管 理 终 端 ;审 计 终 端 。7.4 属 性 注 册 机 构 属 性 注 册 机 构 ARA是 相 应 AA 的 附 属 机 构
43、, 是 用 户 申 请 属 性 证 书 的 注 册 机 构 , 是 直 接 为 用 户 服 务 的窗 口 。 各 个 AA负 责 建 设 所 属 的 ARA, 但 需 报 主 管 SOA 同 意 并 签 发 相 应 的 证 书 。 ARA 的 职 责 主 要 包 括 应 用授 权 注 册 服 务 、 应 用 授 权 审 核 服 务 、 应 用 授 权 变 更 服 务 等 , 负 责 对 具 体 的 用 户 属 性 证 书 申 请 、 审 核 、 提交 等 进 行 操 作 和 管 理 , 并 将 属 性 证 书 的 注 册 或 撤 消 请 求 提 交 到 授 权 服 务 中 心 AA 进 行 处
44、 理 。 ARA 包 括 但不 限 于 提 供 如 下 服 务 :ARA接 入 服 务 ;属 性 注 册 服 务 ;资 源 管 理 服 务策 略 管 理 服 务密 码 服 务 ;各 种 注 册 库 ;注 册 历 史 库 ;系 统 日 志 库 ;管 理 终 端 。 7.5 代 理 点代 理 点 PA, 是 相 应 ARA 的 下 属 机 构 。 由 各 个 ARA 负 责 建 设 , 是 权 限 管 理 中 心 的 用 户 代 理 注 册 最 终节 点 , 是 具 体 应 用 的 连 接 接 口 。 PA 的 设 立 地 点 和 数 目 应 由 各 ARA根 据 自 身 的 业 务 发 展 需
45、求 而 定 。 PA包括 但 不 限 于 提 供 如 下 服 务 :访 问 终 端 ;代 理 实 体 公 钥 证 书 认 证 载 体 , 该 载 体 内 带 有 密 码 算 法 ;待 签 发 实 体 证 书 认 证 载 体 , 该 载 体 内 带 有 密 码 算 法 。7.6 权 限 管 理 中 心 的 管 理 结 构7.6.1 集 中 式 管 理集 中 式 管 理 中 , CA 兼 有 AA的 功 能 , 公 钥 证 书 能 够 直 接 提 供 授 权 服 务 , 用 户 数 字 证 书 的 身 份 认 证 与属 性 证 书 的 权 限 验 证 服 务 一 起 使 用 。 公 钥 证 书 中
46、 可 包 含 一 个 subject Directory Attribute 扩 展 , 该 扩展 包 括 与 公 钥 证 书 的 主 体 相 联 系 的 权 限 。 此 机 制 适 合 于 发 布 公 钥 证 书 的 CA也 是 AA, 且 属 性 的 有 效 期 与 公 钥 证 书 的 有 效 期 相 符 合 的 场 合 。 集 中 式 管 理 的 另 一 种 模 式 是 AA 独 立 分 布 设 置 , 属 性 数 据 库 集 中 设 置 ,各 资 源 管 理 系 统 的 认 证 系 统 都 向 一 个 集 中 管 理 的 属 性 数 据 库 查 询 授 权 数 据 。7.6.2 分 布
47、 式 管 理 DB5305/T 19.49 2019 10 AA 独 立 签 发 属 性 证 书 , 进 行 权 限 管 理 与 证 书 管 理 。 权 限 分 配 认 证 机 构 不 同 于 公 钥 证 书 发 布 认 证 机构 。 不 同 的 权 限 可 由 不 同 的 AA分 配 。 实 体 属 性 证 书 的 生 命 期 和 公 钥 证 书 的 有 效 期 不 必 一 致 。 分 布 式 管理 可 在 临 时 环 境 中 分 配 权 限 , 权 限 特 征 的 “ 开 启 /关 闭 ” 可 以 异 步 于 公 钥 证 书 的 生 命 期 和 厂 或 异 步 于 不同 AA 发 布 的
48、实 体 权 限 。 在 分 布 式 管 理 中 , 认 证 系 统 用 来 认 证 属 性 证 书 中 发 布 者 和 持 有 者 的 身 份 。 一 个公 钥 证 书 的 主 体 可 具 有 多 个 相 关 属 性 证 书 。 属 性 证 书 可 由 不 同 AA 签 发 。 权 限 管 理 中 心 PMC的 授 权 方 式 ,可 依 据 资 源 特 点 和 应 用 的 实 际 需 要 , 采 用 直 接 授 权 方 式 或 委 托 授 权 方 式 。 直 接 授 权 方 式 是 权 限 管 理 直 接由 SOA通 过 AA 进 行 管 理 与 分 配 。 委 托 授 权 方 式 是 权 限
49、 管 理 源 机 构 将 权 限 管 理 委 托 给 一 个 实 体 , 该 实 体可 行 使 AA 的 功 能 , 并 具 有 进 行 进 一 步 委 托 的 权 限 , 直 至 不 再 符 合 委 托 条 件 为 止 。7.6.3 集 中 式 与 分 布 式 结 合 的 管 理 结 构保 山 市 电 子 政 务 网 内 的 应 用 系 统 和 资 源 访 问 的 权 限 管 理 中 心 采 用 集 中 式 与 分 布 式 结 合 的 管 理 结 构 。在 市 级 权 限 管 理 中 心 实 现 的 权 限 管 理 采 用 集 中 式 管 理 的 结 构 , CA 兼 有 AA( SOA) 的 功 能 , 通 过 subjectDirectory Attribute 扩 展 实 现 与 公 钥 证 书 的 主 体 相 联 系 的 权 限 ; 在 区 县 级 权 限 管 理 中 心 实 现 的 权 限 管理 可 根 据 实 际 情 况 , 由 下 级 AA 独 立 签 发 属 性 证 书 。 7.7 将 角 色 应 用 于 属 性 证 书保 山 市 电 子 政 务 网 内 的 应 用 系 统 和 资 源 访 问 的 权 限 控 制 宜 采 用 基 于 角 色 的 访 问 控 制 , 将 角 色 信 息 写入 属 性 证 书 中 。 当 角
