DB5305 T 19.49-2019 保山市信息惠民工程综合标准第49部分：权限管理与登录技术标准.pdf

《DB5305 T 19.49-2019 保山市信息惠民工程综合标准第49部分：权限管理与登录技术标准.pdf》由会员分享，可在线阅读，更多相关《DB5305 T 19.49-2019 保山市信息惠民工程综合标准第49部分：权限管理与登录技术标准.pdf（22页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240L67 DB5305保 山 市 地 方 标 准DB 5305/T 19.49 2019替 代 DG5305/T 19.492017保 山 市 信 息 惠 民 工 程 综 合 标 准第 49部 分 :权 限 管 理 与 登 录 技 术 标 准 2019 -10- 30发 布 2019- 11-01实 施保 山 市 市 场 监 督 管 理 局 发 布 DB5305/T 19.492019前 言本 标 准 按 照 GB/T 1.1 2009 标 准 化 工 作 导 则 第 1部 分 ： 标 准 的 结 构 和 编 写 给 出 的 规 则 起 草 。本 标 准 中 附 录 A为 资

2、 料 性 附 录 、 附 录 B为 资 料 性 附 录 。本 标 准 由 保 山 市 大 数 据 管 理 局 提 出 。本 标 准 由 保 山 市 工 业 和 信 息 化 委 员 会 归 口 。本 标 准 起 草 单 位 ： 保 山 市 大 数 据 管 理 局 。 本 标 准 主 要 起 草 人 ： 刘 志 胡 、 王 明 超 、 李 祖 燕 、 丁 威 、 银 孟 璐 。本 标 准 替 代 DG5305/T 19.49 2017。 DB5305/T 19.492019 1 保 山 市 信 息 惠 民 工 程 综 合 标 准第 49部 分 权 限 管 理 与 登 录 技 术 标 准1 范 围本

3、 标 准 规 定 了 保 山 市 信 息 惠 民 工 程 权 限 管 理 与 登 录 技 术 规 范 的 术 语 和 定 义 、 缩 略 语 、 访 问 控 制 体 系框 架 、 身 份 认 证 与 登 录 机 制 、 权 限 管 理 基 础 设 施 、 访 问 控 制 ， 本 标 准 适 用 于 保 山 市 信 息 惠 民 工 程 权 限 管理 与 登 录 技 术 规 范 建 设 。2 规 范 性 引 用 文 件下 列 文 件 中 的 条 款 通 过 本 标 准 的 引 用 而 成 为 本 标 准 的 条 款 。 凡 是 注 日 期 的 引 用 文 件 ， 其 随 后 所 有 的 修 改 单

4、 （ 不 包 括 勘 误 的 内 容 ） 或 修 订 版 均 不 适 用 于 本 标 准 ， 然 而 ， 鼓 励 根 据 本 标 准 达 成 协 议 的 各 方 研 究是 否 可 使 用 这 些 文 件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 适 用 于 本 标 准 。DB5305/T 19.3-2019 保 山 市 信 息 惠 民 工 程 综 合 标 准 术 语DB5305/T 19.50-2019 保 山 市 信 息 惠 民 工 程 综 合 标 准 数 字 证 书 技 术 应 用 标 准3 术 语 和 定 义DB5305/T 19.3-2

5、019 确 立 的 以 及 下 列 术 语 和 定 义 适 用 于 本 标 准 。3.1 特 定 权 限 管 理 基 础 设 施特 定 权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施 ， 与 公 钥 基 础 设 施 有 着 密 切 的 联 系 。3.2 属 性 证 书 属 性 证 书 指 属 性 授 权 机 构 进 行 数 字 签 名 的 数 据 结 构 ， 把 持 有 者 的 身 份 信 息 与 一 些 属 性 值 绑 定 。3.3 属 性 授 权 机 构属 性 授 权 机 构 指 通 过 发 布 属 性 证 书 来 分 配 权 限 的 认 证 机 构

6、 ， 也 称 属 性 管 理 机 构 。3.4 证 书 源 授 权 机 构证 书 源 授 权 机 构 指 为 资 源 的 特 定 权 限 验 证 者 所 信 任 的 ， 位 于 顶 层 的 分 配 特 定 权 限 的 属 性 授 权 机 构 。3.5 属 性 证 书 撤 消 列 表属 性 证 书 撤 消 列 表 指 标 识 由 发 布 机 构 已 发 布 的 、 不 再 有 效 的 属 性 证 书 的 索 引 表 。3.6 属 性 注 册 机 构属 性 注 册 机 构 指 由 AA 委 派 和 授 权 ， 采 用 公 钥 证 书 技 术 标 识 和 鉴 别 属 性 证 书 申 请 者 ， 为

7、申 请 者 向 AA 提 供 属 性 证 书 签 发 申 请 ， 处 理 属 性 证 书 的 业 务 请 求 ， 为 AA 系 统 提 供 注 册 服 务 管 理 的 机 构 。3.7 根根 认 证 中 心 （ 根 CA） 是 一 种 特 殊 的 CA， 位 于 证 书 认 证 层 次 结 构 的 最 高 层 ， 是 最 终 通 过 安 全 链 追 溯到 一 个 已 知 的 并 被 广 泛 认 为 是 安 全 、 权 威 、 足 以 信 赖 的 机 构 。 根 认 证 中 心 必 须 对 它 自 己 的 证 书 签 名 。 DB5305/T 19.49 2019 2 3.8 持 有 者持 有

8、者 指 由 源 授 权 机 构 直 接 授 权 的 或 由 其 他 属 性 授 权 机 构 间 接 授 权 的 实 体 。3.9 代 理 点代 理 点 是 受 ARA委 派 ， 直 接 面 向 属 性 证 书 注 册 者 的 处 理 机 构 ， 仅 提 供 属 性 信 息 与 ARA间 的 注 册 通 道 、手 段 和 方 法 ， 以 及 部 分 提 供 相 应 的 属 性 证 书 体 最 终 下 载 处 理 机 制 。3.10 权 限 管 理 中 心权 限 管 理 中 心 指 提 供 属 性 证 书 申 请 和 管 理 、 权 限 分 配 和 管 理 、 属 性 证 书 发 布 和 管 理

9、的 认 证 机 构 。3.11 权 限 管 理 基 础 设 施权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施 ， 与 公 钥 基 础 设 施 有 着 密 切 的 联 系 。 3.12 权 限 策 略权 限 策 略 是 一 种 策 略 ， 它 描 述 了 权 限 检 验 者 提 供 敏 感 服 务 给 具 有 资 格 的 权 限 声 明 者 ， 权 限 策 略 与 服务 相 连 的 属 性 相 关 ， 也 和 与 权 限 声 明 者 相 连 的 属 性 相 关 。3.13 安 全 策 略安 全 策 略 指 由 管 理 使 用 和 提 供 安 全 服 务 和

10、 设 施 的 安 全 机 构 所 制 定 的 一 组 规 则 。3.14 源 机 构源 机 构 指 为 资 源 的 权 限 验 证 者 所 信 任 的 、 位 于 顶 层 的 分 配 权 限 的 属 性 授 权 机 构 。3.15 访 问 控 制访 问 控 制 指 为 信 息 系 统 所 属 资 源 在 遭 受 未 经 授 权 或 以 未 授 权 的 方 式 进 行 的 操 作 威 胁 时 提 供 适 当 的控 制 以 及 防 护 措 施 ， 以 保 护 信 息 的 机 密 和 完 整 性 。 3.16 访 问 控 制 策 略访 问 控 制 策 略 指 定 义 可 发 生 访 问 控 制 条

11、件 的 规 则 集 。3.17 访 问 控 制 信 息访 问 控 制 信 息 指 用 于 访 问 控 的 任 何 信 息 ， 其 中 包 括 上 下 文 信 息 。3.18 访 问 控 制 证 书访 问 控 制 证 书 指 包 含 ACI的 安 全 证 书 。3.19 访 问 控 制 判 决 信 息访 问 控 制 判 决 信 息 指 在 作 出 一 个 特 定 访 问 控 制 判 决 时 可 供 ADF使 用 的 部 分 或 全 部 ACI 。3.20 访 问 控 制 判 决 功 能 访 问 控 制 判 决 功 能 是 一 种 特 定 功 能 ， 它 通 过 对 访 问 请 求 、 ADI（

12、发 起 者 的 、 目 标 的 、 访 问 请 求 的 或以 前 决 策 保 留 下 来 的 ADI） 以 及 该 访 问 请 求 的 上 下 文 ， 使 用 访 问 控 制 策 略 规 则 而 做 出 访 问 控 制 判 决 。3.21 访 问 控 制 实 施 功 能访 问 控 制 实 施 功 能 是 一 种 特 定 功 能 ， 它 是 每 一 访 问 请 求 中 发 起 者 和 目 标 之 间 访 问 路 径 的 一 部 分 ， 并实 施 由 ADF做 出 的 决 策 。 DB5305/T 19.492019 3 3.22 角 色角 色 指 与 用 户 的 访 问 控 制 权 限 有 关

13、的 安 全 属 性 。 一 个 角 色 可 能 和 一 种 或 几 种 服 务 有 关 ， 一 个 角 色 可能 对 应 着 一 个 或 多 个 用 户 ， 一 个 用 户 可 能 承 担 者 一 种 或 多 种 角 色 。3.23 角 色 分 配 证 书角 色 分 配 证 书 是 一 种 证 书 ， 它 包 含 角 色 属 性 ， 为 证 书 对 象 /持 有 者 分 配 一 个 或 多 个 角 色 。3.24 角 色 规 范 证 书角 色 规 范 证 书 是 一 种 属 性 证 书 ， 为 角 色 分 配 特 定 权 限 的 证 书 。4 缩 略 语下 列 缩 略 语 适 用 于 本 标

14、准 。 AA： Attribute Authority， 属 性 授 权 机 构AC： Attribute Certificate， 属 性 证 书ACL： Access Control List， 访 问 控 制 列 表ACI： Access Control Information， 访 问 控 制 信 息ACRL： Attribute Certificate Revocation List， 属 性 证 书 撤 消 列 表ADF： Access control Decision Function， 访 问 控 制 判 决 功 能ADI： Access control Decision In

15、formation， 访 问 控 制 判 决 信 息AEF： Access control Enforcement Function， 访 问 控 制 实 施 功 能ALDAP： Attribute Certificate lightweight directory access protocol， 属 性 证 书 轻 量 目录 访 问 协 议ARA： Attribute Registration Authority， 属 性 注 册 机 构ASN： Abstract Syntax Notation， 抽 象 语 法 表 示 法BER： Basic Encoding Rules， 基 本 编

16、码 规 则C： Country， 国 家 CA： Certification Authority， 证 书 认 证 机 构CN： Common Name， 通 用 名CRL： Certificate Revocation List， 证 书 吊 销 列 表DN： Distinguished Name， 甄 别 名L： Location， 本 地LDAP： Lightweight Directory Access Protocol， 轻 量 级 目 录 访 问 协 议O： Organization， 机 构PKI： Public Key Infrastructure， 公 钥 基 础 设 施PA

17、： Point of Agent， 代 理 点PKC： Public Key Certificate， 公 钥 证 书PMC： Privilege Management Center， 权 限 管 理 中 心PMI： Privilege Management Infrastructure， 权 限 管 理 基 础 设 施RA： Registration Authority， 注 册 中 心RA： role assignment certificate， 角 色 分 配 证 书 RSC： role specification certificate Role， 角 色 规 范 证 书SOA： S

18、ource of Authority， 源 机 构SDA： Security Domain Authority， 安 全 域 机 构SSO： Single Sign-On， 单 点 登 录5 访 问 控 制 体 系 框 架 DB5305/T 19.49 2019 4 5.1 访 问 控 制 整 体 框 架保 山 市 信 息 惠 民 工 程 访 问 控 制 的 整 体 框 架 如 图 1 所 示 。 在 保 山 市 信 息 惠 民 工 程 各 应 用 系 统 中 ， 访 问控 制 的 基 础 是 登 录 机 制 和 授 权 管 理 。 其 中 ， 登 录 机 制 在 有 些 场 合 下 不 是

19、必 须 的 。 访 问 控 制 整 体 框 架 以PMI作 为 网 络 信 任 体 系 基 础 设 施 ， 采 用 基 于 角 色 的 访 问 控 制 模 型 ， 向 用 户 或 应 用 程 序 提 供 登 录 服 务 和 权限 管 理 服 务 ， 提 供 用 户 身 份 到 应 用 授 权 的 映 射 技 术 ， 提 供 与 实 际 应 用 处 理 模 式 相 对 应 的 、 与 具 体 应 用 系统 开 发 和 管 理 无 关 的 授 权 访 问 控 制 机 制 ， 简 化 具 体 应 用 系 统 的 开 发 与 维 护 。 保 山 市 信 息 惠 民 工 程 的 访 问控 制 由 应 用

20、 支 撑 平 台 的 权 限 管 理 系 统 向 用 户 或 应 用 程 序 提 供 统 一 的 登 录 服 务 和 权 限 管 理 服 务 。图 1 访 问 控 制 整 体 框 架 5.2 身 份 认 证 与 登 录 机 制应 根 据 各 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证 及 采 用 哪 种 身 份 认 证 方 法 。 在 保 山市 电 子 政 务 网 内 的 应 用 系 统 应 支 持 在 由 信 息 惠 民 工 程 应 用 支 撑 平 台 提 供 统 一 认 证 的 单 点 登 录 ， 并 采 用 统一 的 身 份 认 证 方

21、 案 。 确 认 身 份 的 过 程 称 为 身 份 认 证 。 包 括 但 不 限 于 五 种 认 证 用 户 身 份 的 方 法 ：用 户 知 道 的 ， 如 口 令 、 个 人 识 别 号 （ PIN） 或 密 钥 ；用 户 拥 有 的 ， 如 USB-KEY；用 户 本 身 的 生 物 特 征 ， 如 语 音 特 征 、 笔 迹 特 征 、 视 网 膜 或 指 纹 ；接 受 一 个 经 认 证 的 可 信 第 三 方 已 经 确 定 用 户 身 份 的 结 果 ；上 下 文 ， 如 根 据 申 请 的 源 地 址 。5.3 权 限 管 理权 限 管 理 体 系 框 架 如 图 2所 示

22、 （ ADF是 框 架 的 核 心 ， 由 用 户 属 性 证 书 结 合 策 略 规 则 库 、 环 境 信 息 及登 录 信 息 生 成 访 问 控 制 信 息 ， 并 执 行 访 问 控 制 决 策 。 ） 。 CAPMI权 限 管 理用 户 身 份 信 息 管 理身 份 认 证登 录 机 制 访 问 控 制 DB5305/T 19.492019 5 图 2 权 限 管 理 体 系 框 架访 问 请 求 访 问 控 制 执行 单 元 AEF 目 标资 源访 问 控 制 判 决 单 元 ADF 执 行 访 问 请 求 定 制 策 略签 发 属 性 证 书属 性 权 威 AA 环 境 信 息

23、 策 略 规 划 库 目 标 资 源 安 全 管 理属 性 证 书 库源 机 构 SOA权 限 委 托 委 托 AA进 行 权 限 管 理申 请 AA代 理 功 能6 身 份 认 证 与 登 录 机 制 6.1 身 份 认 证根 据 信 息 惠 民 工 程 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证 。 对 于 公 众 访 问 的 互 联 网上 的 应 用 系 统 ， 不 强 制 格 式 采 用 身 份 认 证 登 录 。 在 电 子 政 务 网 内 的 应 用 系 统 应 直 接 或 通 过 单 点 登 录 支 持保 山 市 政 务 数 字

24、 证 书 的 认 证 。 详 见 DB5305/T 19.50-2019。 使 用 保 山 市 政 务 数 字 证 书 进 行 身 份 认 证 时 ，系 统 应 对 数 字 证 书 载 体 进 行 口 令 验 证 。6.2 登 录 机 制6.2.1 登 录 信 息集 成 到 信 息 惠 民 统 一 门 户 的 应 用 系 统 应 支 持 单 点 登 录 （ Single Sign-On， SSO） 。 单 点 登 录 由 综 合 服务 云 平 台 的 单 点 登 录 认 证 服 务 器 提 供 服 务 。 该 服 务 器 部 署 在 综 合 服 务 云 平 台 。 单 点 登 录 使 用 用

25、户 令 牌（ User Token） 和 服 务 令 牌 （ Application Token） 为 临 时 的 身 份 凭 证 。 其 中 ， User Token 由 SSO认 证服 务 器 生 成 并 颁 发 给 用 户 ， 作 为 SSO 认 证 服 务 器 赋 予 用 户 的 临 时 身 份 凭 证 ， 包 括 但 不 限 于 用 户 的 如 下 登录 信 息 ： Application Id， 应 用 系 统 编 号 ；User Id， 用 户 ID；Profile User Code， 用 户 在 应 用 系 统 中 的 代 码 ；Profile Password， 用 户 在

26、 应 用 系 统 中 的 口 令 。6.2.2 接 入 凭 证 DB5305/T 19.49 2019 6 Application Token 由 接 入 应 用 系 统 根 据 SSO认 证 服 务 器 提 供 的 信 息 生 成 并 颁 发 给 用 户 ， 作 为 接 入应 用 系 统 赋 予 用 户 的 临 时 身 份 凭 证 ， 包 括 但 不 限 于 ：用 户 的 上 述 登 录 信 息 ；用 户 在 该 应 用 系 统 上 的 权 限 信 息 ；密 码 策 略 ， 字 符 串 。6.3 登 录 接 口6.3.1 请 求 认 证 接 口应 用 系 统 请 求 SSO 认 证 服 务

27、器 进 行 身 份 认 证 ， 应 提 供 的 参 数 为 Application Request， 内 容 定 义 如下 ： URLEncoding（ CryptPolicy+“ $” +ApplicationId +“ $” +Base64（ Encrypt（ ReturnUrl +“ $”+TimeStamp + “ $” + Base64（ Hash（ ReturnUrl + “ $” + TimeStamp） ） ） ） ） 。 其 中 ， Hash算 法 和 加 密算 法 采 用 国 家 密 码 管 理 委 员 会 认 可 的 算 法 ， CryptPolicy为 7个 字 节 的

28、 字 符 串 ， 依 次 表 示 为 B 7B6B5B4B3B2B1。其 中 ， B7固 定 为 符 号 ” !” ， 其 他 6 个 字 节 为 阿 拉 拍 数 字 ， B6B5表 示 哈 希 算 法 ， B4B3表 示 加 密 算 法 ， B2B1表 示 认 证 算 法 。 当 CryptPolicy值 为 !000000 时 ， 即 默 认 Hash算 法 为 SHA-1， 默 认 加 密 算 法 为 3DES，密 钥 为 SSO认 证 服 务 器 颁 发 给 应 用 系 统 的 密 钥 。 参 数 说 明 如 表 5-1 请 求 认 证 接 口 参 数 表 所 示 。表 1 请 求 认

29、 证 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 （ 字 节 ）CryptPolicy 密 码 策 略 String 7ApplicationId 应 用 系 统 编 码 String 40TimeStamp 应 用 系 统 获 取 当 前 的 时 间 戳 ， 从 2000年 1月1日 0时 开 始 的 毫 秒 数 String 18 ReturnUrl SSO 认 证 服 务 器 返 回 认 证 结 果 时 需 要 调 用 应用 系 统 的 URL String 1006.3.2 返 回 认 证 结 果 接 口SSO认 证 服 务 器 返 回 应 用 系 统 认 证 结 果 参

30、 数 为 ApplicationResponse， 内 容 定 义 如 下 ：URLEncoding（ CryptPolicy+“ $” +ApplicationId+“ $” + Base64（ Encrypt（ Result +“ $” +UserId+“ $” +UserType +“ $” + UserName+“ $” + OrgCode+“ $” + TimeStamp +“ $” + ExpireTime +“ $”+UserProfile +“ $” + Base64（ Hash（ Result + “ $” + UserId+ “ $” + TimeStamp +“ $” +

31、 ExpireTime+“ $” + UserProfile） ） ） ） ） 参 数 说 明 如 表 2 认 证 结 果 接 口 参 数 表 所 示 。表 2 认 证 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 （ 字 节 ） CryptPolicy 密 码 策 略 ， 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40TimeStamp 统 一 认 证 平 台 生 成 当 时 的 时 间 戳 ， 从 2000年1 月 1 日 0 时 开 始 的 毫 秒 数 。 String 18UserId 用 户 的 唯 一

32、标 识 ， 即 活 动 目 录 中 登 录 帐 号 ，统 一 认 证 平 台 中 的 用 户 统 一 登 录 帐 号 String 20 DB5305/T 19.492019 7 表 2 认 证 结 果 接 口 参 数 表 （ 续 ）名 称 说 明 数 据 类 型 长 度 （ 字 节 ）UserType 用 户 类 型 （ 0： 注 册 用 户 ， 1： 公 务 员 ， 2： 市领 导 ， 3： 有 更 详 细 的 权 限 信 息 ， 见 属 性 证 书 ） IntUserName 用 户 的 真 实 姓 名 String 20OrgCode 组 织 单 位 统 一 编 码 String 20

33、ExpireTime 失 效 时 间 ， 从 2000 年 1 月 1 日 0 时 开 始 的 毫秒 数 。 String 18UserProfile 用 户 在 该 应 用 系 统 的 的 映 射 帐 号 信 息 （ 帐 号 ，密 码 ） ， 数 据 形 式 为 ： 帐 号 ； 密 码 String 100 Result 结 果 ：0： 用 户 认 证 通 过 并 有 权 使 用 此 系 统-1： 用 户 不 存 在-2： 用 户 状 态 不 正 常-1001： 用 户 /密 码 错 误-1002： 用 户 取 消 认 证-1003： 用 户 无 权 使 用 此 系 统-10001： 包 数

34、 据 格 式 不 正 确-10002： 数 据 校 验 不 正 确 IntPrivilege Cer 属 性 证 书 String 720Crypt Policy 密 码 策 略 ， 同 上 表 String 76.3.3 注 销 接 口应 用 系 统 请 求 SSO 认 证 服 务 器 注 销 应 提 供 的 参 数 为 Application Request， 其 内 容 如 下 所 示 ：ApplicationRequestValue= URLEncoding（ ApplicationId + “ $” + Base64（ Encrypt（ ReturnUrl+ “ $” + TimeS

35、tamp + “ $” + Base64（ Hash（ ReturnUrl + “ $” + TimeStamp） ） ） ） 参 数 说 明 如 表 3注 销 接 口 参 数 表 所 示 。 表 3 注 销 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 （ 字 节 ）Crypt Policy 密 码 策 略 ， 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40Time Stamp 时 间 戳 ， 从 2000年 1月 1日 0时 开 始 的 毫 秒数 。 String 18Return Url 统 一 认 证 平 台 返

36、回 注 销 结 果 时 需 要 调 用 的 应用 系 统 的 URL String 1006.3.4 返 回 注 销 结 果 接 口 DB5305/T 19.49 2019 8 SSO认 证 服 务 器 返 回 应 用 系 统 注 销 结 果 参 数 为 ApplicationResponseValue， 其 内 容 如 下 ：ApplicationResponseValue = URLEncoding（ ApplicationID + “ $” + Base64（ Encrypt（ Result+ “ $” + TimeStamp + “ $” + Base64（ Hash（ Result

37、+ “ $” + TimeStamp） ） ） ） ）参 数 说 明 如 表 4 销 结 果 接 口 参 数 表 所 示 。表 4 注 销 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度 （ 字 节 ）Crypt Policy 密 码 策 略 ， 同 上 表 String 7ApplicationId 应 用 系 统 统 一 编 码 String 40Time Stamp 时 间 戳 ， 从 2000 年 1 月 1 日 0时 开 始 的 毫 秒数 。 String 18 Result 结 果 ：0： 用 户 注 销 通 过-1003： 用 户 未 经 过 认 证-10001

38、： 包 数 据 格 式 不 正 确-10002： 数 据 校 验 不 正 确 Int6.3.5 编 码 格 式在 实 现 以 上 功 能 时 ， UserId、 UserName、 UserProfile、 OrgCode、 ApplicationId、 映 射 帐 号 信 息中 不 得 包 含 以 下 字 符 ： $ 、 ； 、 ! 。7 权 限 管 理 基 础 设 施7.1 权 限 管 理 基 础 设 施 的 描 述权 限 管 理 基 础 设 施 PMI 以 资 源 管 理 为 核 心 ， 对 资 源 的 访 问 控 制 权 交 由 权 限 管 理 机 构 统 一 处 理 ， 即 由资 源

39、 的 所 有 者 来 进 行 访 问 控 制 。 PMI的 核 心 管 理 机 构 是 权 限 管 理 中 心 PMC， 其 主 要 功 能 是 用 来 实 现 权 限 管 理 和 属 性 证 书 的 生 成 、 管 理 、 存 储 、 发 布 、 应 用 、 验 证 和 撤 消 等 。 权 限 管 理 中 心 利 用 属 性 证 书 表 示 和容 纳 权 限 信 息 ， 通 过 管 理 证 书 的 生 存 期 实 现 对 权 限 生 命 周 期 的 管 理 。7.2 源 机 构源 机 构 SOA 是 受 权 限 验 证 者 信 任 的 最 高 层 的 权 限 管 理 机 构 ， 是 最 终

40、负 责 分 配 权 限 集 合 的 实 体 。 其 职责 主 要 包 括 制 定 权 限 管 理 策 略 、 制 定 访 问 控 制 策 略 、 审 核 AA 的 设 置 、 实 施 权 限 委 派 及 管 理 以 及 策 略 证书 的 签 发 和 管 理 等 。 本 标 准 支 持 采 用 权 限 委 托 机 制 。 SOA 可 将 权 限 分 配 给 一 个 实 体 ， 并 允 许 该 实 体 行 使AA的 功 能 。 SOA包 括 但 不 限 于 提 供 如 下 服 务 ：SOA签 发 服 务 ；策 略 管 理 服 务 ；资 源 管 理 服 务 ；密 码 服 务 ；属 性 证 书 库 ；

41、管 理 终 端 。 7.3 属 性 授 权 机 构属 性 授 权 机 构 AA， 是 权 限 管 理 中 心 的 核 心 服 务 节 点 ， 负 责 签 发 与 管 理 属 性 证 书 。 各 资 源 管 理 与 应用 系 统 依 据 需 求 负 责 建 设 本 应 用 系 统 的 AA， 并 通 过 权 限 委 派 与 SOA中 心 建 立 相 互 信 任 关 系 。 AA的 职 责主 要 包 括 ： 策 略 管 理 、 属 性 证 书 的 签 发 、 发 布 、 撤 消 和 管 理 ， 以 及 对 设 立 AA 代 理 点 的 审 核 和 管 理 等 。 DB5305/T 19.49201

42、9 9 AA中 心 应 对 其 签 发 的 属 性 证 书 建 立 与 维 护 一 个 历 史 记 录 ， 并 及 时 进 行 记 录 更 新 。 AA 包 括 但 不 限 于 提 供如 下 服 务 ：AA签 发 服 务 ；密 码 服 务 ；属 性 证 书 LDAP目 录 发 布 服 务 ；属 性 证 书 库 ；策 略 管 理 服 务 ；资 源 管 理 服 务 ；属 性 证 书 历 史 库 ；ACRL属 性 证 书 撤 消 列 表 库 ；系 统 日 志 库 ；管 理 终 端 ；审 计 终 端 。7.4 属 性 注 册 机 构 属 性 注 册 机 构 ARA是 相 应 AA 的 附 属 机 构

43、， 是 用 户 申 请 属 性 证 书 的 注 册 机 构 ， 是 直 接 为 用 户 服 务 的窗 口 。 各 个 AA负 责 建 设 所 属 的 ARA， 但 需 报 主 管 SOA 同 意 并 签 发 相 应 的 证 书 。 ARA 的 职 责 主 要 包 括 应 用授 权 注 册 服 务 、 应 用 授 权 审 核 服 务 、 应 用 授 权 变 更 服 务 等 ， 负 责 对 具 体 的 用 户 属 性 证 书 申 请 、 审 核 、 提交 等 进 行 操 作 和 管 理 ， 并 将 属 性 证 书 的 注 册 或 撤 消 请 求 提 交 到 授 权 服 务 中 心 AA 进 行 处

44、 理 。 ARA 包 括 但不 限 于 提 供 如 下 服 务 ：ARA接 入 服 务 ；属 性 注 册 服 务 ；资 源 管 理 服 务策 略 管 理 服 务密 码 服 务 ；各 种 注 册 库 ；注 册 历 史 库 ；系 统 日 志 库 ；管 理 终 端 。 7.5 代 理 点代 理 点 PA， 是 相 应 ARA 的 下 属 机 构 。 由 各 个 ARA 负 责 建 设 ， 是 权 限 管 理 中 心 的 用 户 代 理 注 册 最 终节 点 ， 是 具 体 应 用 的 连 接 接 口 。 PA 的 设 立 地 点 和 数 目 应 由 各 ARA根 据 自 身 的 业 务 发 展 需

45、求 而 定 。 PA包括 但 不 限 于 提 供 如 下 服 务 ：访 问 终 端 ；代 理 实 体 公 钥 证 书 认 证 载 体 ， 该 载 体 内 带 有 密 码 算 法 ；待 签 发 实 体 证 书 认 证 载 体 ， 该 载 体 内 带 有 密 码 算 法 。7.6 权 限 管 理 中 心 的 管 理 结 构7.6.1 集 中 式 管 理集 中 式 管 理 中 ， CA 兼 有 AA的 功 能 ， 公 钥 证 书 能 够 直 接 提 供 授 权 服 务 ， 用 户 数 字 证 书 的 身 份 认 证 与属 性 证 书 的 权 限 验 证 服 务 一 起 使 用 。 公 钥 证 书 中

46、 可 包 含 一 个 subject Directory Attribute 扩 展 ， 该 扩展 包 括 与 公 钥 证 书 的 主 体 相 联 系 的 权 限 。 此 机 制 适 合 于 发 布 公 钥 证 书 的 CA也 是 AA， 且 属 性 的 有 效 期 与 公 钥 证 书 的 有 效 期 相 符 合 的 场 合 。 集 中 式 管 理 的 另 一 种 模 式 是 AA 独 立 分 布 设 置 ， 属 性 数 据 库 集 中 设 置 ，各 资 源 管 理 系 统 的 认 证 系 统 都 向 一 个 集 中 管 理 的 属 性 数 据 库 查 询 授 权 数 据 。7.6.2 分 布

47、 式 管 理 DB5305/T 19.49 2019 10 AA 独 立 签 发 属 性 证 书 ， 进 行 权 限 管 理 与 证 书 管 理 。 权 限 分 配 认 证 机 构 不 同 于 公 钥 证 书 发 布 认 证 机构 。 不 同 的 权 限 可 由 不 同 的 AA分 配 。 实 体 属 性 证 书 的 生 命 期 和 公 钥 证 书 的 有 效 期 不 必 一 致 。 分 布 式 管理 可 在 临 时 环 境 中 分 配 权 限 ， 权 限 特 征 的 “ 开 启 /关 闭 ” 可 以 异 步 于 公 钥 证 书 的 生 命 期 和 厂 或 异 步 于 不同 AA 发 布 的

48、实 体 权 限 。 在 分 布 式 管 理 中 ， 认 证 系 统 用 来 认 证 属 性 证 书 中 发 布 者 和 持 有 者 的 身 份 。 一 个公 钥 证 书 的 主 体 可 具 有 多 个 相 关 属 性 证 书 。 属 性 证 书 可 由 不 同 AA 签 发 。 权 限 管 理 中 心 PMC的 授 权 方 式 ，可 依 据 资 源 特 点 和 应 用 的 实 际 需 要 ， 采 用 直 接 授 权 方 式 或 委 托 授 权 方 式 。 直 接 授 权 方 式 是 权 限 管 理 直 接由 SOA通 过 AA 进 行 管 理 与 分 配 。 委 托 授 权 方 式 是 权 限

49、 管 理 源 机 构 将 权 限 管 理 委 托 给 一 个 实 体 ， 该 实 体可 行 使 AA 的 功 能 ， 并 具 有 进 行 进 一 步 委 托 的 权 限 ， 直 至 不 再 符 合 委 托 条 件 为 止 。7.6.3 集 中 式 与 分 布 式 结 合 的 管 理 结 构保 山 市 电 子 政 务 网 内 的 应 用 系 统 和 资 源 访 问 的 权 限 管 理 中 心 采 用 集 中 式 与 分 布 式 结 合 的 管 理 结 构 。在 市 级 权 限 管 理 中 心 实 现 的 权 限 管 理 采 用 集 中 式 管 理 的 结 构 ， CA 兼 有 AA（ SOA） 的 功 能 ， 通 过 subjectDirectory Attribute 扩 展 实 现 与 公 钥 证 书 的 主 体 相 联 系 的 权 限 ； 在 区 县 级 权 限 管 理 中 心 实 现 的 权 限 管理 可 根 据 实 际 情 况 ， 由 下 级 AA 独 立 签 发 属 性 证 书 。 7.7 将 角 色 应 用 于 属 性 证 书保 山 市 电 子 政 务 网 内 的 应 用 系 统 和 资 源 访 问 的 权 限 控 制 宜 采 用 基 于 角 色 的 访 问 控 制 ， 将 角 色 信 息 写入 属 性 证 书 中 。 当 角