DB21 T 3099-2018 CA安全平台体系架构及应用规范.pdf

《DB21 T 3099-2018 CA安全平台体系架构及应用规范.pdf》由会员分享，可在线阅读，更多相关《DB21 T 3099-2018 CA安全平台体系架构及应用规范.pdf（36页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.100.70 M 10 DB21 辽 宁 省 地 方 标 准 DB21/T 3099 2018 CA 安全平台体系架构及应用规范 CA Security platform framework and application specification 2018 - 12 - 25 发布 2019 - 01 - 25 实施 辽宁省质量技术监督局 发布 DB21/T 30992018 I 目 次 前言 . III 引言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 3 4 概述 . 3 4.1

2、 背景 . 3 4.2 主要目的 . 4 4.3 主要原则 . 4 5 总体技术框架 . 5 5.1 总体架构图 . 5 5.2 应用安全平台逻辑结构 . 6 5.3 区域逻辑结构 . 7 6 应用安全平台建设规范 . 9 6.1 CA 系统建设规范 . 9 6.2 身份管理系统建设规范 . 12 7 应用系统安全规范 . 14 7.1 基于 CA 系统建设规范 . 14 7.2 基于身份管理系统建设规范 . 14 附录 A(资料性附录 ) 证书申请使用管理规范 . 17 附录 B(资料性附录 ) 区域代码表 . 18 附录 C(资料性附录 ) 证书读取接口 . 19 附录 D(资料性附录 )

3、 组织机构信息规范 . 20 D.1 存储结构 . 20 D.2 组织机构人员属性表 . 20 D.3 组织机构信息同步规范 . 20 D.4 用户身份信息模板 . 21 D.5 组织机构信息模板 . 22 D.6 提报信息模板 . 23 附录 E(资料性附录 ) 地市应用安全平台建设方案 . 24 E.1 集中部署 . 24 E.2 分布式部署 . 26 附录 F(资料性附录 ) 票据接口 . 28 F.1 票据存储 . 28 F.2 票据读取 . 28 DB21/T 30992018 II F.3 票据验证 . 28 附录 G(资料性附录 ) CA 证书开发接口 . 29 G.1 签名接口

4、 . 29 G.2 验签接口 . 29 G.3 加密接口 . 29 G.4 解密接口 . 30 参考文献 . 31 DB21/T 30992018 III 前 言 本规范按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由辽宁省工业和信息化委员会提出。 本文件由辽宁省工业和信息化委员会归口。 本文件起草单位：辽宁省重大技术装备战略基地建设工程中心。 本文件主要起草人：杨旭、孟娇、张印、孙宏志 。 DB21/T 30992018 IV 引 言 辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的，由于缺乏

5、全局规划、缺乏统一 的标准体系，每个系统受自身格局所限，形成了一个个的孤岛，系统之间衔接困难，系统的可扩展性差， 存在着孤立的应用系统、中断的业务流程、分散的数据碎片和低效 的信息资源等问题，难以满足业务不 断变化和发展需要。 在安全建设方面，原有的身份验证系统存在部分技术过时、对跨域访问的支持功能有限以及与应用 系统全面整合困难等，而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此，迫切 需要一个统一的平台来合理整合无线电管理的信息资源及应用，实现全局信息资源共享及人员协作。与 之相适应，对原有的应用安全平台（ CA和身份验证系统）及安全规范需要升级，升级后的应用安全平台 是无

6、线电管理一体化平台的重要组成部分，对一体化平台及各类无线电管理应用系统提供用户身份、接 入认证、单点登录、统一授权、日志审计和跨域访问等基础支撑服务。 为保障应用安全平台顺利升级成功，必须对应用安全平台进行统一的设计和验证，实现统一的技术 架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用接入方式、规范的分级授 权管理模式，形成相应的建设指导性规范文件。 DB21/T 30992018 1 CA 安全平台体系架构及应用规范 1 范围 本文件规定了无线电管理一体化平台建设信息系统涉及的有关统一目录管理、单点登录、 统一身份管理、统一认证、授权及审计管理等的应用安全体系建设的原则

7、和方法，适用于辽 宁省各级无线电管理机构和辽宁省无线电管理信息系统中的应用安全平台及应用系统、网络 安全传输设备及其运行和管理软件等的开发和实施单位。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本 适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 13622 无线电管理术语 3 术语、定 义和缩略语 GB/T 13622 界定的以及下列术语、定义和缩略语适用于本文。 1 2 3 3.1 术语和定义 3.1.1 无线电管理一体化平台 IT integration platform for radio

8、management 无线电管理一体化平台是指以“平台 +应用”为思想，以 SOA 为技术架构，以先进信息 化技术搭建的通用软件平台，包括物理资源， SOA 中间件，通用支撑软件，数据处理平台等 系列平台化软件，即一体化平台是一体化战略的信息化具体体现。 1 2 3 3.1 3.1.1 3.1.2 省中心用户信息库 Provincial user database DB21/T 30992018 2 省中心用户信息库包含了辽宁省无线电管理机构所有用户的身份信息、证书信息和组织 机构信息，存储在省中心的身份管理系统中。 3.1.1 3.1.2 3.1.3 市级用户信息库 Municipal us

9、er database 市级用户信息库指各市无线电管理机构的用户身份信息、证书信息和组织机构信息，存 储在各市的身份管理系统中。 3.1.4 用户身份库 User ID database 用户身份库指存储身份管理系统相关的账号、权限和审计等信息。 3.1.5 身份管理 ID management 身份管理是对用户身份的创建、修改、迁移、冻结、删除和同步等操作的管理。 3.1.6 账号 Account number 应用系统中用于登录的用户名叫做账号。 3.1.7 审计管理 Audit management 审计管理是对用户的登录和操作等行为进行记录，查询和系统分析的过程。 3.1.8 数字证书

10、 Digital cetificates 数字证书是网络通讯中标志通信各方身份信息的一系列数据，提供了一种验证身份的方 式，其作用类似于身份证。它由权威机构 -CA机构颁发，在相互通信中用它来识别双方的身 份。 3.1.9 单点登录 Single point login 单点登录是指 “ 登录一次，便可访问多个系统 ” 。 3.1.10 证书注销列表 Certificate logout list 证书注销列表是在证书有效期之内， CA签发的终止使用证书的信息。 3.1.11 票据 User document 用户认证通过后，身份管理系统的认证服务器给用户签发一个用户认 DB21/T 3099

11、2018 3 证通过凭证，这个凭证就是票据。 3.1.12 互信中心服务 Trust centre services 互信中心服务由省中心身份管理系统提供，为跨域访问的用户提供票据验证的服务。 3.1.13 入口级授权 Entrance authorization 入口级授权是指用户是否有权访问应用系统，而对用户访问应用系统的具体内容不做控 制。 3.1.14 细粒度授权 Refining authorization 细粒度授权是指对用户访问应用系统的具体内容，例如：菜单、功能模块、 URL等进行 授权。 3.2 缩略语 下列缩略语适用于本文件： CA LDAP LRA OCSP Cryptp

12、API RADIUS Filter 数字证书签发机构 轻量目录存取协议 本地注册机构 在线证书状态协议 应用程序开发接口 远程用户 拨号认证系统 过滤器 Certification Authority Lightweight Directory Access Protocol Local Registration Authority Online Certificate Status Protocol Cryptography Application Programming Interface Remote Authentication Dial In User Service Filter

13、4 概述 4.1 背景 辽宁省无线电管理信息系统经过“十二五”建设，已经初具规模，先后建设了频率台站、 天馈线、设备检测、办公 OA等应用系统。在信息安全基础建设方面，建设了以 CA系统和身 份验证系统为基础的应用安全平台，提供了用户身份认证，业务单点登录访问、权限控制、 操作审计等功能。这些应用系统和信息安全基础设施的建设，很好满足了辽宁省无线电管理 机构信息化和信息安全的建设需要，为无线电管理工作起到了有力的业务支撑和安全支撑， 并为下一阶段辽宁省无线电管理信息化建设打下了坚实的基础。 但目前，辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的，由于缺乏 全局规划、缺乏统一的标准体

14、系，每个系统受自身格局所限，形成了一个个的孤岛，系统之 间衔接困难，系统的可扩展性差，存在着孤立的应用系统 、中断的业务流程、分散的数据碎 片和低效的信息资源等问题，难以满足业务不断变化和发展需要；而在安全建设方面，原有 的身份验证系统存在部分技术过时、对跨域访问的支持功能有限以及与应用系统全面整合困 难等，而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此，迫切需要 一个统一的平台来合理整合无线电管理的信息资源及应用，实现全局信息资源共享及人员协 作。与之相适应，对原有的应用安全平台（ CA和身份验证系统）及安全规范需要升级，升 级后的应用安全平台是无线电管理一体化平台的重要组

15、成部分，对一体化平台及各类无线电 DB21/T 30992018 4 管 理应用系统提供用户身份、接入认证、单点登录、统一授权、日志审计和跨域访问等基础 支撑服务。 为了保障应用安全平台顺利升级成功，必须对应用安全平台进行统一的设计和验证，实 现统一的技术架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用 接入方式、规范的分级授权管理模式，形成相应的建设指导性规范文件。 1 2 3 4 4.1 4.2 主要目的 本文档作为辽宁省无线电管理信息系统应用安全平台（以下简称“应用安全平台”） 及其上应用的建设标准规范，一方面是规范无线电管理应用安全平台的升级，另一方面是 规范无线电

16、管理应用系统的安全建设，具体内容包括： 1) 规范应用安全平台的系统架构，满足“两级架构，多级管理”的总体要求； 2) 规范应用安全平台的目录实体命名编码规则； 3) 规范应用安全平台的统一认证及单点登录机制； 4) 规范应用安全平台的省中心到各市分中心跨域认证机制； 5) 规范应用安全平台的统一授权机制； 6) 规范应用安全平台的统一审计机制； 7) 规范应用安全平台的应用系统集成接口。 4.3 主要原则 应用安全平台及应用的建设遵循如下原则： 1) 统一性原则 应用安全平台的建设必须遵循统一原则，即统一规划、统一设计、统一验证和统一标 准的原则。 2) 实用性原则 系统的建设将遵循实用性的

17、原则，即切实解决 辽宁省 无线电管理信息系统的应用安全 需要，尽量采用简单明了的方案以降低系统成本。 3) 利旧原则 应用安全平台的建设遵循利旧原则，合理考虑节约系统建设成本，在现有应用安全平 台的基础上进行升级改造。 4) 先进性原则 应用安全平台的体系架构要采用国际先进的技术路线，基于先进的系统架构，结合国 内外成功案例的设计经验， 从根本上保证系统运行的高效、稳定、安全。 5) 易扩展性原则 应用安全平台的体系架构需要考虑现有的应用系统和未来需要建设的应用系统，以便 保证整个系统的不断发展。 6) 高可用性原则 应用安全平台的技术架构必须要着重考虑系统运行的稳定性，对设计中的关键组件应

18、DB21/T 30992018 5 灵活采用双机热备等高可用性方案，并提供较完善的备份恢复策略，较好地解决单点故障 和系统灾难问题。 7) 安全性原则 应用安全平台的技术架构必须要充分考虑影响系统安全的各种因素，在数据通信、物 理部署等多个层面上落实系统的安全性原则。 8) 标准化原则 应用安全平台在架构、服务、数据和 接口等多个层面上形成各级无线电管理机构建设 的标准。 9) 平滑过渡原则 应用安全平台的设计优先保证对核心需求、核心系统的实现，在此基础上渐次扩展覆 盖范围，尽量减少因系统建设对最终用户的影响。 5 总体技术框架 5.1 总体架构图 图 1 总体架构图 应用安全平台是无线电管理

19、一体化平台的组成部分之一，应用安全平台由 CA 系统和 身份管理系统两部分组成。 CA 系统已由省中心建设完成，主要为辽宁省各级无线电管理 机构的所有用户进行证书申请、审核和签发等，各地无线电管理机构主要负责向省中心提 交证书申请信息。身份管理系统需要省中心和各市分别建设，身份管理系统提供统一的用 户管理、认证管理、授权管理、审计管理和组织机构管理等，省中心的身份管理系统还提 供一个互信中心服务，为跨域访问的用户提供票据的验证服务。应用安全平台的各个系统 DB21/T 30992018 6 之间、应用安全平台与一体化平台之间的逻辑关系如图 1 所示。 1 2 3 4 5 5.1 5.2 应用安

20、全平台逻辑结构 应用安全平台是由 CA 系统和身份管理系统两部分组成。 CA 系统 提供数字证书、签名 和加密等服务；身份管理系统提供统一的用户身份管理、身份认证、授权管理、审计管理 和组织机构管理等服务。 5.2.1 CA 与身份管理系统关系 CA 系统为身份管理系统的身份认证服务提供证书 CA 系统为辽宁省无线电管理机构的所有用户签发数字证书，身份管理系统为用户提 供统一的强身份认证。 身份管理系统从 CA 系统同步用户身份信息 省中心及各市中心的身份管理系统均需要从省中心用户信息库中读取用户证书信息， 并基于证书信息生成用户账号信息。读取接口参见附录 C。 5.2.2 CA 与一体化平台

21、关系 CA 系统作为一体化平台的一部分，为一体化平台提供数字证书。 5.2.3 身份管理系统与一体化平台关系 身份管理系统提供的认证管理、授权管理等功能被封装并注册到一体化平台的服务总 线上，为用户访问应用系统提供统一的认证、授权等服务。 5.2.4 CA 与应用系统关系 CA 系统提供数字证书，证书格式采用 X.509 标准，满足应用系统的强身份认证；还 可以为应用系统提供数字签名、信息完整性和机密性等服务。 CA 证书的开发接口参见附 录 G。 5.2.5 身份管理系统与应用系统 身份管理系统提供账号服务 身份管理系统为应用系统提供统一的账号管理服务，新建设的应用系统不 用建设账号 信息，

22、直接接受身份管理系统推送的账号信息；对于已建设的有账号的应用系统，身份管 理系统需要收集账号信息，存储在身份管理系统的身份信息库中，并与身份管理系统基于 证书生成的账号进行映射，以便于实现单点登录。 身份管理系统提供认证授权和审计服务 身份管理系统为应用系统提供统一的用户管理、认证管理、授权管理和审计管理等功 DB21/T 30992018 7 能。 身份管理系统提供组织机构信息 应用系统如果需要组织机构信息，可以直接从身份管理系统的用户信息库中读取。 5.3 区域逻辑结构 5.3.1 省中心与各市之间 5.3.1.1 CA 系统 CA 系统已由省中心统一建设，各市只需通 过部署的远程注册系统

23、，将用户注册信息 提交至省中心进行审核， CA 系统审核通过后为用户签发数字证书。证书申请规范详见附 录 A。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5.3.1.1 5.3.1.2 身份管理系统 5.3.1.2.1 身份管理 省中心建立省中心用户信息库， 除了存储省中心的 组织机构信息、 用户身份 信息和全 省的用户证书数据外 ，还将存储由各 市中心上报来 的 组织机构和 用户身份数据，今后将作 为全网范围内最完整、准确的中央身份库 。 各市中心建立本市范围内的市级用户信息库，存储本市范围内的组织机构信息、 用户 身份 信息和用户证书数据。其中用户证书数据需从省中心用户信息库

24、中读取；用户信息和 组织机构信息如有变动，需提交给省中心，具体如下： 各市的身份管理系统从省中心用户信息库中同步本市所有用户证书信息，辽宁省无线 电管理机构中的每个用户的唯一编码是由 4 位国标“区域代码”和“用户编号”组成；各 市只能同步具有本市区域代码标识的用户证书信息。例如：沈阳市只能同步用户编码为 “ 0100XXXX”的用户证书信息。具体的编码规范详见附录 B。 各市身份管理系统需要从省中心用户信息库中基于证书读取接口（详见附录 C）读取 各市用户证书信息，基于 证书信息生成用户身份信息，并按照用户身份信息模板（详见附 录 D.3 的用户信息模板）将用户身份信息提交至省中心，由省中心

25、人员审核后，同步至省 中心用户信息库中。各市用户身份信息如有变动，各市需将变动的信息通过模板（详见附 录 D.3 提报信息模板）提交至省中心，由省中心将人员变动信息审核通过后，同步至省中 DB21/T 30992018 8 心用户信息库中。 各市中心按照用户组织机构信息模板（详见附录 D.3 的组织机构信息模板），将本市 用户组织机构信息提交至省中心，如果人员岗位、部门等信息有变动，各市将变动的信息 通过模板（详见附录 D.3 提报信息模板）提交至省 中心，由省中心将人员变动信息审核通 过后，同步至省中心用户信息库中。 各市如有用户需要跨域访问省中心资源，用户身份信息同步应遵循如下流程： 首先

26、由本市的管理员将本市需要进行跨域访问的用户进行统计，向省中心的管理员提 交申请； 省中心管理员审核通过后，从省中心库中同步跨域访问用户的身份信息。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5.3.1.1 5.3.1.2 5.3.1.2.1 5.3.1.2.2 身份认证 如果某市有用户需要跨域访问省中心资源，本市的身份管理系统的身份认证服务与省 中心的身份认证服务必须互信，系统时间必须保持同步。 对于需要进行跨域访问的用户，跨域访问应遵循如下流程： 如果认证服务未从用户终端获取票据，认证服务需要对跨域用户认证，认证通过后为 用户生成一个票据，调用票据存储接口将票据存储在用户本地并

27、存储至省中心身份管理系 统的互信中心服务。 如果认证服务从用户终端读取票据，并调用票据验证接口到省中心身份管理系统的互 信中心服务验证票据是否有效，如果有效，用户不用认证继续访问。反之，用户需要在应 用系统所在地的认证服务进行身份认证。具体接口详见附录 F：票据接口。 5.3.1.2.3 授权管理 省中心和各市中心的授权服务应严格遵循“谁的资源谁管理、谁的资源谁授权”的原 则。对于跨区域访问的用户，由资源所在 地的管理员根据用户所属中心、身份信息等为用 户授予相应的权限。 5.3.1.2.4 审计管理 DB21/T 30992018 9 省中心和各市中心的审计服务应严格遵循“谁的资源谁审计”的

28、原则。对于跨域访问 的用户，由资源所在地的审计服务对用户的所有访问进行审计。 1 2 3 4 5 5.1 5.2 5.3 5.3.1 5.3.2 各市与地市关系 各地市可以根据情况，选择建设身份管理系统或者使用各市中心建设的身份管理系统。 具体的解决方案可以参考附录 E。 6 应用安全平台建设规范 6.1 CA 系统建设规范 6.1.1 CA 系统功能建设规范 CA 系统主要是对生命周期内的数字证书全过程管理的安全系统。 CA 系统主要是由证 书签发系统、 RA 系统、密钥管理系统和 LRA 等组成。 CA 系统（ LN-SRRC-CA 中心）已由省 中心统一建设。 1 2 3 4 5 6 6

29、.1 6.1.1 6.1.1.1 证书签发系统 证书签发系统提供了对生命周期内的数字证书进行全过程的管理的功能，包括证书 / 证书注销列表的生成与签发、证书 /证书注销列表的存储与发布、证书状态的查询和密钥 DB21/T 30992018 10 的生成与管理及安全管理等。 证书 /证书注销列表生成与签发系统 证书 /证书注销列表生成与签发系统负责生成、签发数字证书和生成证书注销列表。 签发的证书类型支持人员证书、设备证书和机构证书；并支持双证书机制（加密证书和签 名证书）。 证书状态查询系统 证书状态查询系统应为用户和应用系统提供证书状态查询服务，包括： CRL 查询：用户或应用系统利用数字证

30、书中标识的 CRL 地址，下载 CRL，并检验证书 有效性； 在线证书状态查询：用户或应用系统按照 OCSP 协议，实时在线查询证书的状态。 证书管理系统 证书管理系统是证书认证系统中实现对证书 /证书注销列表的申请、审核、生成、签 发、存储、发布、注销、归档等功能的管理控制系统。 安全管理系统 安全管理系统主要包括安全审计系统和安全防护系统。 安全审计系统提供事件级 审计功能，对涉及系统安全的行为、人员、时间等记录进行 跟踪、统计和分析。 安全防护系统提供访问控制、入侵检测、漏洞扫描、病毒防治等网络安全功能。 6.1.1.2 RA 注册管理系统 用户注册管理系统负责用户的证书申请、身份审核和

31、证书下载，可分为本地注册管理 系统和远程注册管理系统。 省中心应部署本地注册管理系统；各市分中心应部署远程注册管理系统。 证书申请 证书申请可采用在线方式： 各市中心用户通过专网登录到用户注册管理系统申请证 书； 身份审核 省中心审核人员通过用户注册管理系统，对证书申请者进行身份审核； 证书下载 证书下载可采用在线方式：各市中心用户通过专网等登录到用户注册管理系统下载证 书。 6.1.1.3 秘钥管理系统 密钥管理中心提供了对生命周期内的加密证书密钥对进行全过程管理的功能，包括密 钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以 及安全管理等。 密钥生成 根据 C

32、A 的请求为用户生成非对称密钥对，该密钥对由密钥管理中心的硬件加密设备 生成。 密钥存储 密钥管理中心生成的非对称密钥对，经硬件加密设备加密后存储在数据库中。 密钥分发 密钥管理中心生成的非对称密钥对通过证书认证系统分发到用户证书载体中。 密钥备份 DB21/T 30992018 11 密钥管理中心采用热备份、冷备份和异地备份等措施实现密钥备份。 密钥更新 当证书到期或用户需要时，密钥管理中心根据 CA 请求为用户生成新的非对称密钥对。 密钥撤销 当证书到期、用户需要或管理机构认为必要时，密钥管理中心根据 CA 请求撤销用户 当前使用的密钥。 密钥归档 密钥管理中心为到期或撤销的密钥提供安全长

33、期的存储。 密钥恢复 密钥管理中心可为用户提供密钥恢复服务和为司法取证提供密钥恢复服务。密钥恢复 需按管理策略进行审批，一般用户只限于恢复自身密钥。 6.1.1.4 LRA 系统 LRA 系统为本地申请证书的用户信息进行注册。 6.1.2 性能指标 6.1.2.1 系统容量 CA 系统能支持 50000 个以上的用户证书的签发和管理。 1 2 3 4 5 6 6.1 6.1.1 6.1.2 6.1.2.1 6.1.2.2 响应速度 CA 系统数字证书的签发时间不超过 1 秒。 6.1.2.3 加密算法 CA 系统加密算法应符合国家相关法律和法规要求，并能对加密算法的种类和强度进 行扩充和替换。

34、 6.1.2.4 密钥保存期 密钥保存期不少于 10 年。 DB21/T 30992018 12 6.2 身份管理系统建设规范 6.2.1 身份管理系统功能建设规范 身份管理系统主要为用户访问应用系统提供统一的身份管理、认证管理、授权管理、 审计管理和组织机构管理等功能。主要是由身份管理、认证管理、授权管理、审计管理和 组织机构管理等模块组成。身份管理系统应遵循三员管理，身份管理系统应能支持多种操 作系统平台，并且对用户终端的操作系统无限制。 身份管理系统与 LN-SRRC-CA 中心的关系、省中心身份管理系统与各市中心身份管理 系统的关系及要求具体参见第 5 章。 1 2 3 4 5 6 6

35、.1 6.2 6.2.1 6.2.1.1 身份管理 身份管理应支持从 LN-SRRC-CA 中心同步用户信息，支持从智能密码钥匙 Key 证书导 入用户信息，支持和第三方应用业务（数据库 /LDAP）双向同步用户信息，支持以组织机 构方式对用户进行分类管理，支持临时用户管理。 身份管理应能接管 BS 和 CS 应用系统账号信息，支持 Linux 主机、 Windows 主机、数 据库、 LDAP、 AD 域等多种账号同步方式，支持组、角色等多种账号授权方式。 用户信息库的存储建议采用 LDAP 方式，省级用户信息库与省中心用户信息库的关系 参见 6.3.1.2.1。应以 WebService

36、服务方式为应用系统提供组织机构及用户信息查询和读 取接口，各市的应用系统如果需要读取组织机构及 用户信息，直接从各市级用户信息库中 读取，由各市自行定义。各市的组织机构信息和人员属性信息存储可参考附录 D 的 D.1 和 D.2。 6.2.1.2 身份认证 身份认证应能实现用户统一身份认证、单点登录功能；用户认证方式应能采用 LN-SRRC-CA 中心发布的数字证书认证方式，应支持对网段、时间、 IP 等多种认证策略设 置。 应调用省中心身份管理系统的互信中心服务提供的票据存储、读取和验证接口，实现 5.3.1.2.2 中所要求的跨域访问。具体接口详见附录 F：票据接口。 6.2.1.3 授权

37、管理 授权管理应支持入口级授权和细粒度授权；细粒度授权应支持资源的菜 单级、 URL 级 DB21/T 30992018 13 的权限控制，应支持基于角色权限的配置管理；对于记录级、数据库字段级的授权可以由 应用系统自行定义。 6.2.1.4 审计管理 审计管理应提供审计接口，支持其他应用系统的日志信息上报；支持用户行为关联审 计；支持基于用户名、用户 IP、资源、时间的访问统计；支持日志的告警、自动清理管理 等。 6.2.2 网络部署 图 2 身份管理系统部署图 省中心和各市中心部署身份管理系统，为本中心用户和跨区域访问的用户提供身份管 理、认证管理、授权管理和审计管理等服务。部署方式可以采

38、用与应用系统并联、与应用 系统串联等方式。 各地市可以根据情况，选择建设身份管理系统或者使用各市中心建设的 身份管理系统 。 具体的解决方案可以参考附录 E。 6.2.3 性能建设规范 6.2.3.1 双机热备 应支持双机热备，支持主从设备之间的数据同步、故障切换和恢复回切。主从设备之 间的切换时间小于 15 秒。 1 2 DB21/T 30992018 14 3 4 5 6 6.1 6.2 6.2.1 6.2.2 6.2.3 6.2.3.1 6.2.3.2 备份策略 身份管理系统 应能支持硬件、软件和数据库备份。 6.2.3.3 安全传输 用户终端与 身份管理系统 之间需建立起一个安全 通道

39、来 保障数据传输的 安全 与完整 。 6.2.3.4 运行稳定性 身份管理系统应能保证系统提供 7 24 小时不间断服务。 MTBF100000 小时。 6.2.3.5 响应速度 身份管理系统 造成的系统延时不超过 1 秒。 7 应用系统安全规范 应用系统在实现应用安全平台提供的加解密、编码、数字签名、数字证书、安全协议、 策略机制、审计服务、授权管理、访问控制、身份认证等服务的建设过程中，应用系统的 开发和实施必须遵循如下规范。鉴于本次规范中只考虑 CA 系统提供的强身份认证功能， 7.1 基于 CA 系统建设规范 辽宁省的 CA 认证中心颁发的数字证书完全符合 X.509 标准。应用系统要实现 CA 系统 提供的身份认证、数据的完整性、机密性和不可抵赖性等功能，需要调用 CA 证书开发接 口来完成服务，接口详见附录 G 的 CA 证书开 发接口。 7.2 基于身份管理系统建设规范 7.2.1 身份管理规范 已建设未被原有身份验证系统接管和已被身份验证系统接管的应用系统，身份管理系 统需要从应用系统上收集已有的用户账