DB21 T 1578-2008 《数字林业信息安全与单点登陆》.pdf

上传人：刘芸

文档编号：1230742

上传时间：2019-08-21

格式：PDF

页数：13

大小：330.29KB

《DB21 T 1578-2008 《数字林业信息安全与单点登陆》.pdf》由会员分享，可在线阅读，更多相关《DB21 T 1578-2008 《数字林业信息安全与单点登陆》.pdf（13页珍藏版）》请在麦多课文档分享上搜索。

1、 DB21/T1578 2008 数字林业信息安全与单点登陆 2008-02-01 发布 2008-03-01 实施辽宁省质量技术监督局发布辽宁省地方标准 DB21 DB21/T1578 2008 I 目次前言 II 1 范围 . 1 2 规范性引用文件 . 1 3 信息安全基础设施 . 1 4 单点登陆与统一授权管理 . 2 附录 A(资料性附录 ) 7 附录 B(资料性附录 ) 8 DB21/T1578 2008 II 前言本标准附录 A、附录 B 均为资料性附录。本标准由辽宁省林业厅提出。本标准由辽宁省林业厅信息中心、辽宁省林业调查规划院起草。

2、本标准主要起草人：高彦王天玲冯琰陈鑫常颖王姗姗刘全来姜子良高明楣高洪升本标准于 2008 年 2 月首次发布。 DB21/T1578 2008 1 数字林业信息安全与单点登陆标准 1 范围本标准规定了信息安全基础设施、单点登陆与统一授权管理。本标准适用于各林业部门的林业信息化建设 . 2 规范性引用文件 3 信息安全基础设施 3.1 安全等级保护要求省级系统：达到四级安全等级保护要求。市级系统：需达到三级安全等级保护要求。县级：需达到二级安全等级保护要求。 3.2 防火墙体系及技术要求 3.2.1 防火墙

3、与 VPN硬件的选购数字林业信息网络由三级组成。具体参照 DB21/T1574-2008。 3.2.2 防火墙规则 3.2.2.1 省级核心防火墙 +边界防火墙 +虚拟网（ Vlan）分属于核心防护区和一般防护区核心防护区由核心防火墙安全区（ DMZ）和林业专网组成；一般防护区由边界防火墙和林业外网组成。确定安全规则（协议 +端口）和流量控制。核心交换机具备三层以上交换能力，根据业务性质和安全级别划分 Vlan，将访问控制与防火墙规则结合在一起。 3.2.2.2 市县级只划分出防火墙安全区（ DMZ），将服务器放置在安全区内。 3

4、.2.3 服务器加固 3.2.3.1 省级数字证书 +安全加固所有服务器都分发数字证书和有效的年限。打好系统补丁，配置不小于 7位的管理密码。关闭不必要的服务和端口。设置日志和审计规则 3.2.3.2 市县级安全加固打好系统补丁，配置不小于 7位的管理密码。关闭不必要的服务和端口。 DB21/T1578 2008 2 设置日志和审计规则 3.2.4 入侵检测与杀毒 3.2.4.1 省级入侵检测 +杀毒安置入侵检测设备，与防火墙联动。网络版的杀毒软件系统，每天升级病毒库。 3.2.4.2 市级网络版的杀毒软件系统，每天升级病毒库。 3.2.4.3 县级

5、安装单机版的防火墙和杀毒软件。 3.2.5 IP绑定将用户 MAC 地址、用户名与 IP 进行绑定。 4 单点登陆与统一授权管理 4.1 系统建设 4.1.1 功能要求 4.1.1.1 集中式用户管理避免用户信息的多点存储，安全性高，对用户信息变化能够快速反应。 4.1.1.2 集中式应用管理对区域内部运行的各应用系统进行有效的监督管理和升级部署。实现统一的应用系统权限管理模型，制定权限规则，权限分配策略。 4.1.1.3 统一授权管理制定应用系统统一的资源访问机制，规范应用系统的用户授权功能的开发。应用系统通过统一接口接入。 4.1.1

6、.4 单点接入全网服务分布于网络内的各应用系统接入单点登陆与统一授权管理系统，实现向所有网络内用户提供用户认证、授权管理和应用访问服务。 4.1.1.5 统一身份认证单点登陆，全网通行网络内用户在接入单点登陆与统一授权管理系统的应用系统中登陆，就可以直接访问所有网络内经授权的应用系统，享受应用系统提供的信息和业务服务。单点注销，全网退出网内用户在接入单点登陆与统一授权管理系统的应用系统中注销用户信息，就可以退出曾经或正在访问的所有应用系统。 4.1.1.6 日志管理单点登陆与统一授权管理系统能够详细记录用户使用单点登陆与统一授权管理系统的情况，包括

7、登陆时间，登陆用户名称，登陆的应用系统，登陆时使用的客户机 IP 地址、计算机名和 MAC 地址等。 4.1.2 平台构建 4.1.2.1 单点登陆及统一授权管理服务器提供统一的基础数据服务和认证授权服务，支撑各应用系统的接入。所有的功能模块以 Web Service 二次开发接口的形式向各应用系统提供服务。 DB21/T1578 2008 3 4.1.2.2 单点登陆客户端软件通过统一的用户界面 ,收集各应用系统的通讯信息，为用户提供相互讨论和交换信息的平台。 4.1.2.3 单点登陆控件封装用户账号 /密码与数字证书两种身份认证；通过

8、该控件和单点登陆与统一授权管理系统接入。 4.1.3 开发包与接口 4.1.3.1 客户端提供二次开发接口的组件，封装用户身份认证功能。 4.1.3.2 服务器端提供 Web Service 接口，封装机构管理、用户管理、角色管理、用户认证、授权管理和应用系统注册等功能。 4.2 接入要求所有接入单点登陆与统一授权管理系统的应用系统都必须遵循以下几点基本要求：保证应用系统与单点登陆与统一授权管理系统运行于同一网络；应用系统必须在单点登陆与统一授权管理系统上注册，填写相应的服务器地址、域名、应用程序名等信息，并由单点登陆与统一授权管理系统为其生成唯一的

9、密钥；用以验证应用系统身份和加密传输数据；应用系统必须遵循单点登陆与统一授权管理系统提供的开发接口规范，进行应用系统的开发接入；应用系统必须使用单点登陆与统一授权管理系统提供的客户端 ActiveX 控件，实现用户身份认证。 4.3 身份认证 4.3.1 规则描述用户只需要在任意一个接入单点登陆与统一授权管理系统的应用系统中登陆，就可以直接访问所有其他接入单点登陆与统一授权管理系统的应用系统而无需再次登陆；用户只需要在任意一个接入单点登陆与统一授权管理系统的应用系统中注销，就可以退出所有曾经或正在访问的接入应用系统。 4.3.2 单点认证介绍 4.3

10、.2.1 登陆方式用户可以通过以下方式登陆到单点登陆与统一授权管理系统：用户采用个人数字证书或用户名 /密码方式从单点登陆客户端软件登陆；用户采用个人数字证书或用户名 /密码方式从已接入单点登陆与统一授权管理系统的应用系统直接登陆。 4.3.2.2 认证令牌使用管理系统为用户生成并颁发的 UserToken(认证令牌 )实现单点登陆身份认证的功能。 4.3.2.3 认证令牌的有效期 UserToken 是一个临时的身份凭证，单点登陆客户端软件会定时向单点登陆与统一授权管理系统发送保持连接的通讯信息。只要用户还在使用中，自动更新

11、延长 UserToken 的有效期。 DB21/T1578 2008 4 4.3.2.4 数字证书认证流程用户通过数字证书登陆到单点登陆与统一授权管理系统的流程如图 5 所示。流程描述如下： 1) 用户打开应用系统客户端程序； 2) 客户端程序调用 PKI/CA 客户端组件构建认证消息包； 3) 产生随机数，调用数字证书的私钥和证书构建认证消息包； 4) 返回认证消息包至应用系统客户端程序； 5) 应用系统客户端程序发送认证消息包至应用系统服务器； 6) 应用系统服务器调用 PKI/CA 服务器认证组件验证认证消息； 7) 服务器认证组件校验认证消息的日期，并通过 CAS 系统

12、 (PKI 安全代理服务器 )获取用户临时属性； 8) 返回用户临时属性至服务器认证组件； 9) 验证用户认证消息包信息及用户证书，如上传为证书序列号，则需从 CAS 系统获取用户证书； 10) 从用户证书获取信息后登陆 CAS 系统； 11) 返回登陆后的 token 至服务器端认证组件； 12) 构建认证响应消息； 13) 存储用户临时属性； 14) 认证通过后，返回应用系统服务器响应消息； 15) 应用系统服务器返回至应用系统客户端； 16) 应用系统客户端将响应消息送至客户端认证组件； 17) 客户端认证组件处理响应消息。 DB21/T1578 2008 5 : 用户a p p

13、l i cat i o n cl i e n t客户端组件服务器认证组件: C A S 系统a p p l i cat i o n ser v e r1 : 打开 cl i e n t 程序2 : 请求构建认证消息4 : 返回认证消息包5 : 登录认证请求6 : 验证认证消息7 : 获取用户属性8 : 返回用户属性9 : 验证用户证书1 0 : 登录 C A S 系统1 1 : 返回 t o ken1 2 : 组建认证响应消息1 3 : 存储用户临时属性1 4 : 返回响应消息1 5 : 返回客户端1 6 : 返回响应消息3 : 调用私钥构建认证消息1 7 : 处理响应消息图 1 数字证书认

14、证流程 4.4 授权验证第三方应用系统要接入单点登陆与统一授权管理系统，需遵循以下规则流程： a) 第三方应用系统开发人员需在单点登陆与统一授权管理系统中注册相关的应用程序信息，经平台管理员审批后，返回唯一的应用程序授权号。 b) 第三方应用系统开发人员需使用单点登陆与统一授权管理系统中提供的操作界面，自定义所需的权限规则，并将该权限规则与相关应用进行绑定。 c) 第三方应用系统开发人员使用单点登陆与统一授权管理系统提供的二次开发接口进行相应的授权验证操作（二次开发接口详见附录）。 d) 第三方应用系统的授权对象，可以是网内所有的组织、机构、用户、角色。通过单点登陆与统

15、一授权管理系统，网内用户可以很便捷的访问到自己有权访问的应用、数据、资源。 DB21/T1578 2008 6 4.5 接口规范单点登陆与统一授权管理系统根据其预先保存的应用系统服务器 IP 地址以及颁发给应用系统的密钥来辨认应用系统的身份。其定义的接口需要遵循如下规定：接口的所有数据类型定义均遵循 XML 语言定义规范 (W3C2001 版规范 )；对于重定向接口中的字符串参数，必须进行控制码的转义。详细方法参见 RFC1738。对于重定向接口，定义 #为返回参数与 ReturnUrl 之间的连接符变量，如果ReturnUrl 中包含查询参数， #取值为“ &”，否则

16、取值为“ ?”。对于非重定向接口，通过 Web Services 实现。对 Web Services 的调用采用 SOAP调用方法。 SOAP 接口若无特殊说明，均承载在 HTTP 协议上。承载 SOAP 调用的 HTTP 请求头中使用 POST 命令。本规范不对其目的地址的 URL 作具体规定。对于 SOAP 调用接口，服务提供方必须首先检查服务请求方的 IP 地址合法性方可提供服务。所有 SOAP 调用的 XML 编码均采用 UTF-8 方式；所有 SOAP 调用方法的 URL 均作为 SOAP Action 的取值。接口描述中的斜体部分表示变量在系统运行中的实际取值。接口若无

17、特殊说明，均为同步调用接口。 ApplicationName 是指接入单点登陆与统一授权管理系统的应用系统的域名，该域名由应用系统指定。 DB21/T1578 2008 7 附录 A (资料性附录 ) A.1 基本认证过程身份认证过程由用户应用程序、单点登陆控件、单点登陆与统一授权管理服务器三方交互完成。交互过程如图 2 所示。认证完成之后，第三方应用程序根据认证的返回信息决定是否进行和应用服务器端的交互，即是否让用户进行下一步的业务操作过程。图 2 基本认证过程其中客户端 (C/S 模式为应用程序， B/S 模式为 IE 浏览器 )通过 Active X 控件提供

18、的 API与单点登陆与统一授权管理服务器进行交互，根据返回的结果来决定客户端和应用服务器端的交互。操作过程是： 1）客户端和单点登陆与统一授权管理服务器的交互，实现用户身份认证； 2）客户端和应用服务器的交互，即具体的业务流程，实现用户业务处理。 DB21/T1578 2008 8 附录 B (资料性附录 ) B.1 身份认证流程描述 B.1.1 用户首次登陆本流程适用于以下场景：用户第一次登陆单点登陆与统一授权管理系统，尚未获得有效的 UserToken。当用户请求登陆应用系统时，应用系统向单点登陆与统一授权管理系统提出认证请求。流程如图 3

19、所示。流程描述如下： 1) 用户访问单点客户端软件或应用系统； 2) 客户端软件或应用系统经检测，发现该用户尚未登陆过，则弹出登陆窗口； 3) 用户提交身份认证信息；客户端软件或应用系统通过 Web Services 方式向单点登陆与统一授权管理系统提交认证请求； 4) 单点登陆与统一授权管理系统将认证结果返回给客户端软件或应用系统； 5) 客户端软件或应用系统向用户返回系统主页面。应用系统单点登录系统请求用户身份验证返回验证结果本地验证输入用户信息返回系统页面返回登陆页面图 3 首次登陆流

20、程示意图 B.1.2 后续登陆本流程适用于以下场景：用户已经获得有效的 UserToken(即用户已经登陆过 )，此时访问其它应用系统。流程如图 4 所示。流程描述如下： 1) 用户访问单点客户端软件或应用系统； 2) 客户端软件或应用系统经检测，发现该用户已经登陆过； 3) 客户端软件或应用系统向用户返回系统主页面。 DB21/T1578 2008 9 应用系统单点登录系统1 ：请求2 ：本地验证3 ：返回系统页面图 4 后续登陆流程示意图 B.1.3 用户退出用户请求退出单点登陆与统一授权管理系统后，其本次登陆所获得的临时身份凭证将立即失效，单点登陆与统一授权管理系统将回收为用户提供服务的系统资源。并且用户登陆后访问过的所有应用系统将接收到相应的注销消息，根据各自应用系统的情况，做出相应的处理。此时，所有对单点登陆与统一授权管理系统的系统资源的访问请求，都需要再次认证用户身份。

下载提示：本站仅提供存储空间/不修改/不编辑