统一身份认证系统技术方案

1、智慧海事一期统一身份认证系统技术方案北京数字证I可认证中央BEIJING CEH I II- ICATE AI：THOK1TY精选目录目 录I1. 总体设计 21.1 设计原那么21.2 设计目标 31.3 设计实现31.4 系统部署 42. 方案产品介绍62.1 统一认证治理系统 62.1.1 系统详细架构设计 62.1.2 身份认证效劳设计72.1.3 授权治理效劳设计 102.1.4 单点登录效劳设计 132.1.5 身份信息共享与同步设计 152.1.6 后台治理设计192.1.7 平安审计设计212.1.8 业务系统接入设计232.2 数字证书认证系统 232.2.1 产品介绍232

2、.2.2 系统框架242.2.3 软件功能清单252.2.4 技术标准263. 数字证书运行效劳方案 283.1 运行效劳体系 283.2 证书效劳方案 293.2.1 证书效劳方案概述 293.2.2 效劳交付方案303.2.3 效劳支持方案 363.3 CA根底设施运维方案 383.3.1 运维方案概述 383.3.2 CA系统运行治理383.3.3 CA系统访问治理393.3.4 业务可持续性治理 393.3.5 CA审计391 .总体设计1.1 设计原那么一、标准化原那么系统的整体设计要求基于国家密码治理局?商用密码治理条例?、公安部计算机系统 平安等级要求和?中华人民共和国计算机信息

3、系统平安保护条例?的有关规定.数字证 书认证系统的平安根底设施的设计和实现将遵循相关的国际、国内技术和行业标准.二、平安性原那么系统所采用的产品技术和部署方式必须具有足够的平安性,针对可能的平安威胁和 风险,并制定相应的对策.关键数据具有可靠的备份与恢复举措.三、可用性原那么系统具有足够的容量和良好的性能,能够支撑百万级或千万级用户数量,并能够在 海量用户和大并发访问压力的条件下,保持功能和性能的可用性.四、健壮性原那么系统的根底平台成熟、稳定、可靠,能够提供不间断的效劳,相关产品均具有很强 的健壮性、良好的容错处理水平和抗干扰水平.五、模块化原那么系统的设计和实现采用模块化结构,各个模块具有

4、相对独立的功能和开放的接口. 可以根据系统的需要进行功能模块的增加或减少,而不必改变原来的程序构架；针对不 同的应用定制实施模块.六、可扩展原那么随着业务的开展,对未来系统的功能和性能将会提出更高的要求.系统在设计和实 现上,应具有良好的可扩展性.可以通过对硬件平台、软件模块的扩展和升级,实现系 统功能和性能的平滑地扩展和升级.七、方便开发原那么系统提供丰富的二次开发工具和接口,便于应用系统调用,能够方便的与现有和将 来的应用系统进行集成.八、兼容性原那么系统具备良好的兼容性,能够与多种硬件系统、根底软件系统,以及其它第三方软 硬件系统相互兼容.1.2 设计目标根据招标文件的具体技术要求,基于

5、现有信息系统现状、数字证书应用现状以及未 来在信息平安方面的技术性要求,本方案提出以下建设目标.(1)在海事局内部部署统一认证治理系统,具体目标是：提供数据统一、维护统一、 用户统一的平安可靠的认证与授权效劳；实现全局相关业务系统全面统一的用户 治理、可靠的身份认证与平安审计、有效的分级授权、平安的单点登录、便捷的 信息共享(2)在海事局内部部署数字证书认证系统(CA认证中央),具备10万级数字证书的 发放水平,满足海事局内部用户以及应用系统的对数字证书的使用需求.(3)广东海事局内部其它业务系统(包括：船舶远程电子签证、船舶动态2.0系统)与统一身份认证系统的进行技术集成,实现统一的身份认证

6、与单点登录功能.1.3 设计实现本方案由统一认证治理系统和数字证书认证系统两局部组成,其统一认证治理系统 实现统一的用户治理、身份认证、单点登录、授权治理、平安审计等功能；数字证书认 证系统实现海事局全国用户的数字证书发放和数字证书治理.统一认证治理系统与数字证书认证系统集成,实现新增用户信息同步,证书治理员 只需要登录数字证书认证系统,查出用户信息,直接制作证书.二级云中央(直属局)统一认证治理系统定时将用户、机构、授权等信息同步给一 级云中央统一认证治理系统.本期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态2.0系统的单点登录功能.1.4 系统部署一级云中央：一台身份认证效劳器,

7、一台加密机,两台统一认证效劳器基于 ORACLE 一体机实现负载,两台统一认证数据库效劳器基于 ORACLE数据库 体机实现负载.五个二级云中央直属局：一台统一认证数据库效劳器,两台统一认证效劳器 双机冷备,二级云中央统一认证效劳器能访问一级云中央统一认证效劳器.2 .方案产品介绍2.1 统一认证治理系统2.1.1 系统详细架构设计国家海事局统一认证治理系统详细架构设计如下列图所示：应用系统单位警比关身份认江承声:m.门步写 w -认江期芳信息邮务*根限期据库平安集略管建平安治理管建?曾争机构看谩 用口管连 拉捏治理 资源治理*二皴掖一认疏海事局内 I前明户平安审计后自管那动怎胁雇平台直属分局

8、在国家海事局部署一级统一身份认证系统,可治理全部的系统用户,用户可通过统 一身份认证系统进行身份认证、业务系统单点登录；二级单位根据具体情况可部署二级 统一身份认证系统,系统用户信息治理与一级统一身份认证系统同步,当网络出现故障 时,二级单位用户可登录各自单位的二级统一身份认证系统,不影响正常的业务处理.国家海事局统一认证治理系统的主要效劳功能模块包括：身份认证模块、单点登录 模块、信息同步模块、后台治理模块、数据效劳模块及平安治理模块,其中后台用户管 理包括用户、角色、应用等相关信息治理,另外,平安治理模块为维护好系统效劳功能的平安性,提供系统自身所有操作的平安审计功能,以及各个应用系统用户

9、信息的监控 功能.2.1.2 身份认证效劳设计身份认证效劳为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户 资料治理及销毁、登录认证功能.2.1.2.1 总体设计证书用户CA中央I1务器证书B怫英铐证书A上行系野一费约一认证系今用脚本|门令目卢无证书题发朋芳器济书平安组件, 认证揍口平安组件.| 名证青口 |颁发客户证书国家后U海事局服芬假设证本D平安sa件, 认证接口直属局 地方省局平安组件, 认证接口服案卷证书E二级统一认证系统业.务泰费认证治理的结构如上图所示,主要包括以下几个局部:CA认证中央：海事局CA认证中央为数字证书用户提供身份认证效劳,签发数字证 书,实现证书与现实

10、中的实体个人、单位或效劳器的绑定.CA认证中央除了为最终用户方法数字证书外,还需要为统一认证效劳器和业务系统的效劳器签发效劳器身份 证书,用于客户与效劳器之间的双向认证.统一认证效劳器：统一认证系统效劳器的数据库中集中存放所有业务系统的用户信 息和权限信息,所有业务系统和统一认证系统都需要部署效劳器证书、平安组件和认证 接口,用于业务系统与客户端,或业务系统之间的身份认证.证书用户：证书用户根据经过严格的身份信息鉴证,从CA认证中央领取数字证书,然后通过访问各级统一认证系统,进行单点登录,就可以很方便地访问自己权限范围内 的应用系统.用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一

11、致关键信息为：姓名、证件类型和证件号,只有信息一致的前提下,才可实现可靠的身份 认证.口令用户：口令用户不需要经过 CA中央身份认证和签发数字证书,直接由单位管 理员根据用户信息注册即可.用户本人可在获得初始密码后修改登陆密码和注册信息.2.1.2.2 身份认证方式统一认证系统可以对不同的系统进行分级认证,也可以对系统内的不同用户分级认 证.系统应同时支持口令方式和数字证书两种方式的身份认证机制.另外,系统应具有 扩展接口,可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式.身 份认证技术支持 PKI、LDAP、NDS、NIS、AD等标准认证技术.对于平安性较低的系统,可以采用最低

12、认证等级：用户名/口令方式；对于平安性较高的系统,最低认证等级那么需要设置为数字证书方式.系统的认证等级和用户的认证方 式都可以在统一认证系统后台进行动态配置.用户使用数字证书可以登录平安性较低的系统,但是用户名/口令认证方式不允许进入等级为数字证书的业务系统.2.1.2.3 基于数字证书的身份认证数字证书用户登录业务系统的身份认证流程如下列图所示：流程说明:(1)提供证书：在登录门户页面(或统一认证首页)中嵌入证书控件和组件,效劳器 端产生随即数并进行数字签名,客户端实现即插即用的登录认证模式, 只要插入 UsbKey自动歹U举Key内的数字证书；(2)握手认证：用户输入证书密码、点击登录提

13、交按钮后,页面调用证书控件的运行 脚本,校验证书密码后对效劳器端产生的随即数和数字签名进行验证；客户端对随即数进行数字签名,提交认证信息给效劳器验证；认证信息主要包括：随即数、 客户证书、客户的签名等信息.效劳器后台程序验证客户端的证书有效性和数字 签名的有效性.(3)获取访问信息：统一认证效劳器从认证信息中提取客户端数字证书,并从证书中解析出证书的唯一标识,在后台数据库中进行比对,进行访问限制；(4)返回登录票据：效劳器认证通过后,形成标准格式的登录票据,返回客户端.(5)选择业务系统：系统根据登录票据,显示可登录的系统,用户选择系统.(6)传递票据：客户端浏览器将登录票据传递到对应的系统地

14、址上.(7)票据验证：业务系统根据接收到的登录票据,通过部署的平安组件进行验证.(8)进入系统：验证通过,允许进入,根据用户权限信息,授予对应的操作权限.否 那么,拒绝登录.系统采用数字证书,平安组件、密码运算、数字签名、数字信封等技术来保证用户 身份的真实性,可以有效预防身份冒充、身份抵赖、重放、中间人攻击的风险,从而在 一定程度上保证认证的平安性.数据加密可采用标准SSL协议,在WEB效劳器上配置SSL效劳器证书,即可实现数据在网络传输过程中的加密.2.1.2.4 基于口令方式的身份认证用户身份唯一性设计：系统采用集中数据库治理模式,用户名作为用户信息表中的 主键,在系统中不允许重复.另外

15、,系统中应根据用户类型和注册的根本信息生成一个 具有用户特征码,用于识别一个人或单位在系统中的身份唯一性.特征码的编码标准例如：个人用户的特征码=证件类型编码+证件号+真实姓名 +登录名单位用户的特征码=组织机构代码+对应单位名称+登录名用户名方式的身份认证业务流程与证书方式类似,与证书方式的主要区别在于以下 几点：(1)客户端不进行数字签名；(2)提交给效劳器的认证信息不包括客户端数字签名,而是加密后的登录口令；(3)效劳器端接收到认证信息后,不再验证签名,而是将加密的口令与数据库中的 加密口令进行比照核对；(4)平安登录票据中的登录方式不同；(5)其他流程没有区别.2.1.3 授权治理效劳

16、设计2.1.3.1 授权治理的系统框架为保证信息资源访问的可控性,预防信息资源被非授权访问,需要在用户身份真实可信的前提下,提供可信的授权治理效劳,实现对各类用户的有效治理和访问限制,保 护各种信息资源不被非法或越权访问,预防信息泄漏.统一认证治理系统应提供信息资源治理、用户角色定义和划分、权限分配和治理、 权限认证等功能.权限治理主要是由治理员进行资源分类配置、用户角色定义及授权等 操作；权限认证主要是根据用户身份对其进行权限判断,以决定该用户是否具有访问相 应资源的权限.由于统一认证治理系统要解决各个应用系统内部的细粒度资源权限限制,需要与应 用系统紧密结合,因此统一认证治理系统应在统一身

17、份认证系统粗粒度访问限制的根底 之上,由各个应用系统结合本地资源授权方式,进行定制集成开发.由于采取分布式的RBAC授权治理模型,首先应对用户进行严格的身份认证,保证 用户身份的真实性,在此根底之上再由综合各个应用系统内部资源权限分配的统一授权 治理系统对用户进行严格的权限认证,实现各个应用系统内部资源细粒度的授权访问控 制.用户访问限制总体框架如下列图所示：用户注册登录在此框架下,整个授权限制的工作流程如下:(1)统一认证治理系统的初始化,添加并配置系统治理员;(2)由系统治理员添加并配置下级治理员或用户；(3)治理员添加受控访问资源,并设置每个用户的权限；(4)用户访问各应用系统,首先由统

18、一认证系统验证该用户的身份；(5)认证通过后根据用户身份,对用户进行权限认证；(6)如果用户通过权限认证,那么说明该用户可以进入相应的应用系统,访问权限许可内的资源；否那么,拒绝用户访问.2.1.3.2 授权治理模型(基于角色的授权)基于角色的访问限制(RBAC)授权模型：通过角色定义,将应用系统的业务权限授 予某个角色,然后将用户与这些角色关联,从而将业务权限赋予该用户.如下列图所示：基于角色的访问限制方法的思想就是把对用户的授权分成两部份,用角色来充当用 户行驶权限的中介.这样,用户与角色之间以及角色与权限之间就形成了两个多对多的 关系.系统提供角色定义工具允许用户根据自己的需要(职权、职

19、位以及分担的权利和 责任)定义相应的角色.角色是一组访问权限的集合,一个用户可以是很多角色的成员,一个角色也可以有 很多个权限,而一个权限也可以重复配置于多个角色.权限配置工作是组织角色的权限 的工作步骤之一,只有角色具有相应的权限后用户委派才能具有实际意义.基于角色授权模型的优点基于角色的策略实现了用户与访问权限的逻辑别离,极大的方便了权限治理.例如, 如果一个用户的职位发生变化,只要将用户当前的角色去掉,参加代表新职务或新任务 的角色即可.一般,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并 且委派用户到角色不需要很多技术,可以由行政治理人员来执行,而配置权限到角色的 工作

20、比拟复杂,需要一定的技术,可以由专门的技术人员来承当,但是不给他们委派用 户的权限,这与现实中情况正好一致.除了方便权限治理之外,基于角色的访问限制方法还可以很好的地描述角色层次关系,实现最少权限原那么和责任别离的原那么.基于角色授权的流程以下面的授权目标举例说明基于角色的授权流程：用户张三-角色预算处处长-权限预算系统的审核1、生成一个角色：预算处处长；2、选择预算系统的预算审批业务权限授予预算处处长角色；3、将预算处处长角色授予用户张三.通过将预算系统的审核的业务权限授予预算处处长角色,然后将此角色与用户张三 关联,最后用户拥有了该权限.2.1.3.3 分级授权治理分级授权实现的是权限继承

21、：当上级治理员对下级治理员进行授权时,所授予的业 务权限将被下级继承,下级治理员拥有这些权限,并可以将这些权限授予其管辖的用户.分级授权通过治理员授权实现.通过一步步的权限传递,可以实现多级授权.授权 可以基于角色,如例子中利用预算审核角色,也可以直接基于业务权限.根据5个直属局调研反应,初步确定直属局按二级进行分级治理分级授权,即各直 属局下属分局或海事处添加一级治理员,负责本分局或海事处的用户信息治理及授权.2.1.4 单点登录效劳设计2.1.4.1 实现原理平安的单点登录具体实现机制如下：采用基于数字签名的平安票据技术,封装用户 登录后的认证状态信息,并以平安方式传递到各个相关系统中,通

22、过对票据的解密、验 证、解析,从而实现方便、快捷、平安的单点登录.针对江苏省海事局办公系统已与内部几个业务系统集成,实现单点登录,建议本项 目建设统一认证治理系统只与江苏省海事局办公系统集成,保持现有业务系统单点登录,另外统一认证治理系统与部局统一建设的船舶远程电子签证、船舶动态2.0系统集成实现单点登录；江苏省海事局以后新建设业务系统,可以参照统一认证治理系统集成,集 成到统一认证治理系统中.针对深圳市海事局所有业务系统都基于 AD域实现单点登录,现有的业务系统集成 模式不变.在用户已经登录 AD域,直接进入统一认证治理系统认证门户,访问部局统 一建设的船舶远程电子签证、船舶动态 2.0系统

23、,不需要再登录；深圳市海事局以后新 建设业务系统,可以参照统一认证治理系统集成,集成到统一认证治理系统中.单点登录票据格式如下：票抠的格式1 .票据版本号Version2用户认证一类型AuthType4.角色类型llserlyiie3.用户根本信息Baselnft)足票据有效时间段TicketLIfo使01应用系统证节进行加密6.笙名 Signature使用整科技术保证单点登录过程:1,机密性；2.完整性.工不可伪造工通过对单点登录票据的加密、签名等技术保证票据的机密性、完整性以及抗否认性, 并且在票据中包含票据的有效时间段信息,利用时间有效期从一定程度上减少重放、中 问人攻击的风险.单点登录

24、系统维护一张票据流水号临时表,票据使用一次以后就失效, 也可以有效预防重放攻击的风险.通过采用以上的这些平安举措以及平安流程,可以有 效地保证单点登录系统的平安性.2.1.4.2 工作流程平安单点登录流程如下列图所示：2.1.5 身份信息共享与同步设计统一认证系统建立统一的权威机构数据、用户数据、用户授权数据等资源库并可作 为所有应用系统的数据源.机构数据、用户数据、用户授权数据是海事局核心数据,需 要绝对的平安和保密.统一认证治理系统对数据的治理应该是平安的和封闭的,任何未 授权应用系统均无法从系统治理层面、系统效劳层面和数据库层面获取这些数据,应用 系统必须通过信息共享效劳和数据同步的方式

25、获取这些数据.信息共享效劳和数据同步有两种体系结构:(1) 一级统一认证治理系统和国家海事局应用系统的同步如下列图所示:一级统一认证治理平台一级统一认证治理系统仅需要和国家海事局本地的应用系统作数据同步.(2)国家海事局统一认证治理系统和直属局/地方局统一认证治理系统同步如下列图所示：国家海事局直属局/地方省局一级统一认证治理系统不仅需要和国家海事局本地的应用系统作数据同步,还需要 和直属局/地方省局的二级级统一认证治理系统作数据同步.2.1.5.2同步机制信息共享效劳和数据同步机制如下：与基于关系型数据库DB 的应用系统同步采用webservices技术SOAP协议实现与这类应用系统作数据同

26、步.数据通过 同步引擎、事务机制和SOAP协议实现与应用系统之间的同步.同步的成功和失败都进 行记录,同步的成功信息以报告形式方便于治理人员查看,同步的失败信息通过定时器 机制自动完成,直至同步成功.与基于目录LDAP 的应用系统同步采用LDAP协议和JNDI技术实现与这类应用系统作数据同步.支持的 LDAP包括: apacheDS , openLdap , sunONE 等,另外也包括域限制器(windows AD、Linux NIS、 Unix NFS )0统一认证治理系统和应用系统之间以 JNDI/LDAP方式建立通信.数据通过同步引 擎、事务机制和JNDI与LDAP协议实现与应用系统之

27、间的同步.同步的成功和失败都 进行记录,同步的成功信息以报告形式方便于治理人员查看,同步的失败信息通过定时 器机制自动完成,直至同步成功.与基于域限制器的应用同步采用LDAP协议和JNDI技术实现与这类应用系统数据同步.域限制器包括：windows AD、Linux (Unix) NIS.对域限制器的同步,根本与对 LDAP的同步类似,因此,与基 于域限制器的应用同步可以采用基于 LDAP协议来实现同步.但是windows还提供了一 套ADSI接口,也能够实现与 windows AD的数据同步.统一认证系统通过 JNI实现对 windowsAD的数据同步.2.1.5.3同步策略同步策略有三种,

28、包括：操作及时同步、操作批量同步和事后同步.1、及时同步该策略实现了：对用户信息、机构信息操作(增加并授权、删除、修改)时,系统 自动完成同步.同步失败时,系统监控提示同步失败,后台使用定时器定时继续进行同 步.同步定时器还能够设置同步的时间和周期.2、林最同步该策略实现了：根据“角色选择用户,完成用户同步；根据“机构选择用户, 完成用户同步；根据“应用系统选择对应的角色,完成角色的同步.3、事后同步该策略实现了：当用户信息、机构信息操作(增加、删除、修改)时或者同步失败 时,用户可根据需要进行事后再次同步.当新系统接入时,单独同步信息.当系统需要 更新数据时,再次同步用户信息.2.1.6 后

29、台治理设计2.1.6.1 用户数据的获取身份信息由各应用系统聚集,统一认证治理系统提供批量操作(导入、导出、迁移) 工具,如采用用户数据EXCEL的导入导出,以满足海事局大量用户维护的需求.2.1.6.2 治理模式系统提供分级治理分级授权.2.1.6.2.1 分级治理分级授权用户身份信息和用户的访问限制相关的授权信息均分级治理.设有三类治理员角色：(1)系统治理员：进行单位治理员治理、机构治理、角色治理、应用系统治理等日常 治理.(2)平安审计员：进行平安审计,日志治理等工作,对系统治理员的工作进行监督.(3)单位治理员：进行本单位的用户的授权治理.单位治理员根据系统治理员定义的 本单位的访问

30、角色,为最终用户进行授权.海事局统一认证治理系统的用户及系统级授权治理建议采用：分级治理、分级授权 模式,如下列图所示：工产生卜端治理胃平安审计员系统治理员统一身份认证系统克金宦计J 单位治理员o下桀单位治理员用户痘一海事局单位治理员：负责海事局本部的用户信息治理及系统级授权治理.下级单位治理员：负责本单位及下级单位的用户信息治理及系统级授权治理.海事局单位治理员及下级单位治理员对各自单位进行：机构信息治理、用户信息管 理、授权治理、证书治理以及平安审计.单位治理员的权限由一级统一认证治理系统管 理员统一分配.通过信息同步效劳实现数据的同步.2.1.6.3 账号平安策略治理统一认证治理系统的账

31、号平安策略治理功能包括：重置多个用户帐户的密码设置用户下次登录时必须更改密码设置永不到期的密码如果用户的密码过期,启用、禁用或删除他们配置用户无法更改由治理员设置的密码2.1.6.4 后台治理功能框架统一认证治理系统的后台用户治理的功能如下:统一认证治理系统的总体功能包括：用户治理、角色治理、信息系统治理、机构管 理、根底数据治理和平安审计.2.1.7 平安审计设计统一认证治理系统应具有较完善的应用层日志记录功能,可以通过平安治理模块下 的系统日志子模块查看审计日志信息,审计日志包括：序号、治理员名称、操作类别、 操作日期、操作描述.日志内容可以记录用户不成功登录的信息,可以记录用户的重要业务

32、操作行为,如: 对用户、角色的增加、删除、修改和授权关系的调整等操作.所有日志根据标准结构化数据记录,便于审计.日志中备注信息可填写一些详细信 息.日志可以提供查询、备份等治理功能.各单位治理员可查询本机构日志；系统治理员可查询所有日志；平安审计员可以备份、删除日志只能以时间段备份及删除；备份/删除日志操作时间有记录,备份/删除的记录不删除；可设置备份提醒,在治理员登陆时提醒.2.1.7.2日志审计检查某个用户一段时间内的缺勤情况.检查当前访问网络的用户数量.识别通过远程计算机访问的用户检查所有用户的顶峰登录时间.查看上次访问重要资源的用户.发现试图登录不具访问权限的计算机的用户.查看任一个用

33、户登录的全部历史.同一个用户在短时间内从不同地方登陆情况,全面了解用户活动的平安情况.实时预警功能,提供关注重要事件的实时告警.支持方案报表,提供自动发送用户选择的相关报表到治理员邮箱功能.提供自定义报表,要求提供基于用户、计算机、组策略、组织单元等内容定制各种 报表.支持导出PDF、CSV、XLS和HTML等格式.提供自定义活动目录事件数据的保存周期,按设置周期清理数据库过期事件数据功 能.提供日志自动归档功能：即基于用户设定的时间间隔对日志进行自动存档,存于指 定目录.2.1.8 业务系统接入设计2.1.8.1 业务系统接入条件应用系统海事业务中报客户端、客户端要接入统一身份治理系统,进行

34、单点登 录,需根据提供的接入标准对登录模块进行改造,具体技术实现方式详见第2.1.2和第2.1.4章节.2.1.8.2业务系统接入步骤根据以上内容的介绍,各个业务系统接入统一认证治理系统的步骤必须根据标准和以下步骤完成：1、首先把业务系统中的用户信息全部导入统一身份认证系统中,统一用户数据汇总 初始化是实现集成认证的前提.2、业务系统的原有登录方式取消,统一采用统一登录入口,需要各个业务系统根据 统一认证的接口标准要求进行相应的开发改造3、各个业务系统可以有选择的把权限治理数据放到统一身份认证系统中来,也可以 选择保存原有业务系统的权限治理方式；4、统一认证系统启用后,禁用已经接入的业务系统用

35、户数据录入的操作,保证整个 系统的数据一致性,预防数据冲突发生.2.2数字证书认证系统2.2.1 产品介绍本方案将采用BJCA的信天行数字证书认证系统为海事局提供建设CA中央.信大行数字证书认证系统依照国家有关证书认证系统的技术标准设计,包括?证书 认证系统密码及其相关平安技术标准?、?数字证书认证系统密码协议标准?、?GBT 20518-2006信息平安技术公钥根底设施数字证书格式?等.系统提供数字证书发放 和治理功能,包括数字证书申请、证书发放、证书更新、证书废除、密钥恢复等.同时 还提供如证书目录发布效劳,OCSP证书查询效劳等一系列方便用户使用证书的效劳.系统提供了完善的日志记录和详细

36、的审计功能, 保证了对操作人员的操作行为进行审计.信大行数字证书认证系统具有以下技术特点：(1)支持基于SM2算法的ECC证书的签发.(2)可以统一治理和发放各类证书,包括邮件证书、个人身份证书、企业证书、效劳 器证书等.(3)具有高扩展性,可以灵活配置认证体系.系统支持多级 CA,支持交叉证书认证, 支持多级受理点.可以根据用户的需要,对系统进行配置和扩展.(4)具有高平安性和可靠性.(5)易于部署和使用.系统所有用户、治理员界面主要是B/S模式,策略配置和系统定制以及用户证书治理等都通过界面进行.(6)采用灵活的证书模板技术和动态扩展机制,容易满足多种内容格式证书签发要 求.(7)系统环境

37、方面,支持主流操作系统、多种主流加密设备、多种数据库、多种证书 存储介质等.信天行数字证书认证系统在设计时充分考虑了体系结构的完整性、全面的证书治理功能和自身安全性以及运行保证等因素.系统通过利用公开密钥算法、对称密钥算法和散列算法等技术,提供了信息加密、数字签名和数字信封等保护举措,实现信息系统中数据的完整性、机密性、抗抵赖性,并提 供身份认证、访问限制等功能.可以为电子政务和电子商务领域提供信息化应用平安根底平台.2.2.2 系统框架数字证书认证系统主要分成：核心层、治理层和效劳层三层架构.核心层包括：根CA系统、运行CA系统和KMC密钥治理系统三大子系统.其中, 运行CA系统又分成CA签

38、发系统、CA治理系统、CA数据库和主LDAP目录效劳系统 等组成局部.KMC密钥治理系统包括密钥治理系统和 KM数据库.治理层包括：RA注册系统.RA注册系统由注册治理系统和 RA数据库组成.注册 治理系统需要与CA治理系统进行平安通信.效劳层包括：证书效劳系统和证书/证书状态查询系统.证书效劳系统又细分为受理 点效劳系统、用户效劳系统.受理点效劳系统是海事局的证书受理点的证书治理员操作的证书效劳系统；用户效劳系统是证书用户通过海事局内网进行自助效劳的系统.证书 / 证书状态查询系统包括从LDAP目录效劳系统和OCSP效劳系统.终端包括受理点治理终端和用户终端,支持 PC机+USBKey.数字

39、证书认证系统软件构架设计如下列图所示：核心层注耕审板子系纭 (RA匕艮二直询卜载服假设 /证书状态查询效劳PC咚端自劭效劳受理点现场服备青理层效劳层最用户2.2.3 软件功能清单身份认证系统采用B/S架构,所有治理工作通过浏览器完成.系统主要功能如下表所示：系统模块系统主要功能说明CA签发系统(CSS完成证书生命周期治理效劳,包括：签发用户证书、更新证书、重签发证书、冻结、解冻、撤消证书签发 CRL发布证 书和CR导等.与KM RA等模块进行平安通信,进行证书业务调度,实现 整个身份认证系统业务、权限以及策略治理、查询统计、安 全审计；实现用户证书生命周期治理.密钥治理系统用户加密密钥生产、密

40、钥分发、密钥归档、密钥更新、密钥(KMC撤销、密钥备份与恢复、平安审计等密钥生命周期治理效劳.证书注册系统(RA用户信息注册治理、RA业务策略治理、配置治理、平安审计 等等.证书在线查询系统(OCSP提供用户证书状态在线查询效劳.2.2.4技术标准(1)数字证书认证系统遵循的标准?证书认证系统密码及其相关平安技术标准?数字证书认证系统密码协议标准?数字证书认证系统检测标准? ?证书认证密钥治理系统检测标准?商用密码治理条例? ?中华人民共和国计算机信息系统平安保护条例?(2)数字证书格式遵循的标准GB/T 20518-2006信息平安技术公钥根底设施数字证书格式ITU-T X.509 V3 (

41、数字证书)ITU-T X.509 V2 (CRL 数字证书应用接口遵循的标准公钥密码根底设施应用技术体系证书应用综合效劳接口标准公钥密码根底设施应用技术体系框架标准公钥密码根底设施应用技术体系密码设备应用接口标准公钥密码根底设施应用技术体系通用密码效劳接口标准智能IC卡及智能密码钥匙密码应用接口标准CSP范PKCS#1标准上述标准为国家密码局关于数字证书应用体系的最新技术标准.BJCA作为国家密码根底设施成员单位,是最先遵循国家最新技术标准标准的PKI厂商.支持的密码算法公钥密码算法：RSA SM2其中RSA密钥长度1024/2048/4096比特可选SM2J持256比特；哈希函数算法：支持S

42、HA1 SHA256 SM3对称密码算法：SSF33 SM1/SM舒.LDAP目录协议支持轻量型目录协议第三版LDAPv3,具体如下：RFC 2251:轻型目录效劳访问协议RFC 2252属性语法定义RFC 2253分辨名的UTF-8字符串表示RFC 2254:查询过滤器的字符串表示RFC 2255 LDAP URI式RFC 2256 X.500 用户 SchemaE总RFC 2829 LDAPU证方法RFC 283.传输层平安TLS扩展OCS曲、议：RFC25603.数字证书运行效劳方案3.1 运行效劳体系海事局CA中央的建设目标是面向全国范围内10万规模的用户群提供CA认证效劳, 不仅仅需

43、要建设一个CA系统,而且需要建设一个完善的效劳体系.海事局CA运行效劳体系将以数字证书效劳平台为技术手段,为局领导、治理人员和 用户提供方便、快捷、高效的数字证书全生命周期效劳.辅以数字证书效劳方案以及CA根底设施的运维方案,结合电子认证效劳体系培训, 保证CA根底设施的正常运转.主要 建设内容包括：(1)建立海事局数字证书效劳平台,为全国用户提供方便、快捷、高效的数字证书全 生命周期效劳；(2)设计数字证书效劳方案,包括效劳交付和效劳支持等方面；(3)设计CA根底设施的运21方案,保证 CA根底设施的正常运转；(4)开展电子认证效劳体系的培训,保证电子认证效劳体系的应用效果.3.2 证书效劳

44、方案SSI直属局效劳网点全部局证书效劳人员按三级体系,即部局、直属局、分局及海事处.直属局的证书 效劳人员只负责机关人员的证书全生命周期治理,分局或海事处工作人员的证书全生命 周期治理由分局或海事处的证书效劳人员负责.证书效劳人员的证书及介质由部局统一 采购并配发3.2.1 证书效劳方案概述证书效劳方案包括效劳交付和效劳支持两局部,其中：效劳交付方案将针对面对证书用户提供的证书生命周期效劳和面对系统治理员提供的证书业务查询统计效劳作出详细阐述；效劳支持方案将明确阐述面向证书用户和受理点治理员的效劳支持方式和支持内容3.2.2 效劳交付方案3.2.2.1效劳交付内容CA效劳交付是指将证书及相关效

45、劳交付给用户.作为应用平安保证体系根底设施, 建设一个平安、方便、快捷的 CA效劳交付体系,是十分重要的.CA效劳交付的内容包括三个方面：1、 面对最终用户提供的证书生命周期效劳2、 面对业务治理者提供的证书业务查询统计效劳3、 面向应用提供者提供的证书应用集成等效劳.计对业驾管傅齐的服方计时悔用提供力的效劳予 r力广予 ,证书微稍列恚 反惯鉴证目录证书亶询.:GP在线证 书状态直道TSA3寸间散服用|*证书他第宣i期充计证书业假设审后一治理点/注期中央系统建设哥理点/注神中央运雹治理一J证书应用建成1 电子认证安至咨询电子泱证平安培训CA效劳交付图表1 CA认证效劳交付内容其中,最重要的是面

46、向证书最终用户的证书生命周期的效劳交付,包括证书申请发 放、证书撤消、证书更新、证书重签发、密钥恢复、证书介质解锁等等.3.2.2.2效劳交付模式证书效劳的交付模式,主要包括受理点交付、在线效劳交付两种主要模式,以及结 合受理点和在线的混合交付模式.图表3证书效劳的交付模式受理点交付模式海事局将在全国各地区分局分批建设数字证书受理点,已建设证书受理点的分支机 构,证书效劳可采取受理点交付模式.对于应用系统中已有的用户支持批量制证、发证,对于新注册用户,由用户自己提 交用户信息到所在单位信息中央治理人员,通过所在单位信息中央治理员审核信息内容的正确性,核实正确后由所在单位治理人员负责制证、交付在

47、线交付模式用户除可以通过受理点获取证书全生命周期的效劳外,还可以通过登录用户效劳系统台获取在线的证书效劳.在证书更新、撤消、重签发、介质解锁阶段,通过 Web自助 获取效劳.3.2.2.3效劳交付流程受理点集中证书申请流程海事局内部证书采用证书受理点集中证书申请模式.集中申请是指由单位证书治理 员集中收集、整理和审查用户证书申请的真实可靠后,通过文件方式将证书申请信息批 量传入CA系统,由CA中央集中制作数字证书后发放给证书治理员,再由证书治理员集 中将数字证书分发到用户手中.图表5受理点集中证书申请流程具体流程如下:(1)单位治理员收集用户信息,并鉴证,然后将批量证书申请信息文件上传海事局C

48、A系统并使用制证员证书对申请进行数字签名；(2)作为可选,由上级治理部门证书治理员审批证书申请；(3)海事局CA中央集中组织生产数字证书并写入 USB KEYJ,做好用户标识,然后 将USB KEYF发到受理点治理员；(4)单位治理员将USB KES发给用户使用.证书更新流程为了用户更新的方便,建议全部采取在线更新方式.用户在证书即将到期时,应用系统将提前 30天提醒用户进行证书更新.用户使用自 己当前手中的证书登录用户效劳系统, 进行更新申请.在获得CA中央后台治理人员的授 权后,用户可立即通过网络下载新证书.图表6证书更新流程证书更新的具体流程如下：(1)受理点治理员查询系统即将到期用户名

49、单,提交证书更新申请(也可是系统自动提交证书更新名单)；(2)治理员对更新申请信息进行授权；(可选)(3)证书用户使用旧证书登录证书用户效劳系统；(4)系统验证旧证书的有效性后,直接向用户的 usbkey内下载新证书,完成更新业 务.证书撤销流程当证书丧失或人员岗位变动时,应撤消用户的证书使其不可再用.证书撤消的发起人可以是证书治理员,也可以是证书持有者本身.证书治理员可以 使用自己的治理员证书,直接向CA提出撤消其管辖范围内的用户证书；证书持有者可以 通过提交鉴证材料,证实其证书持有人身份后,提交证书撤消申请,由系统将证书序列 号签发到黑名单中.用户自助撤消：用户登录在线效劳平台,选择证书撤

50、消,通过身份鉴证确认后即可撤消登录的证书；治理员撤消：用户到治理员处申请撤消证书,治理员审核用户身份信息后登录证书效劳治理系统,根据用户信息查询对应证书,进行撤消；USBKey密码解锁证书介质USBKe狂放证书的私钥,用口令进行保护(称为PIN 口令).为了保护UsbKey 拥有者的平安,预防被盗用或攻击的风险,USBKey艮制PIN 口令出错时的重试次数,当连续使用错误口令重试10次后,Usbkey将自动锁死.这时,用户如果仍想继续使用, 需要CA认证中央进行USBKeyq令解锁.USBKeyS锁具体流程如下：4、 ) USBKe濒死的用户在数字证书效劳平台提交解锁申请；(2)受理点治理员确

51、认用户的证书解锁申请(鉴证)；(3)总部治理员给予USBKeyff锁申请授权；(可选)(4)证书用户使用USBKey录解锁网站,设置新密码,完成 USBKe州锁.密钥恢复如果证书应用过程中存在使用证书加密的操作,一旦出现证书介质损坏或丧失的情 况,加密后的信息便无法进行解密.这时,用户可以提出密钥恢复的申请,由工作人员 在证书效劳系统中进行密钥恢复的操作.密钥恢复具体流程如下：(1)用户加密证书丧失或损坏后,可申请密钥恢复(填写申请表) ；(2)受理点治理员鉴证用户身份；(3)受理点治理员提交证书密钥恢复；(4)总部治理员审批.(5)受理点治理员为用户分配新的 usbkey,选择密钥恢复,为用

52、户恢复加密密钥和加 密证书；(6)用尸领取恢复后的加密证书3.2.2.4证书业务查询统计效劳效劳交付将为业务治理者提供详尽的证书查询统计效劳,其中查询可依据发放、使 用和到期进行分别查询,证书统计可依据使用情况、办理情况进行统计,统计还依据月 统计、使用单位和业务应用情况分别统计,统计信息可导出 EXCELS格输出.证书查询统计图表7证书查询统计功能图按使用单位情况统计W证书办理情况月统计 证书使用办理情况证书使用情况证书到期情况证书使用情况证书发放情况_ 2.人.也上什|修,刖金制.1咕网*尊号的k工*不亳孤44 RZ ：图表8按证书办理单位查询截图图表9按证书类型查询截图证书奖31 ：业暑状毒;证件号礴：图表4按业务类型查询截图业落国： 江仲号月:证融at：愉有契si 二Egg证羽*i赤面稼 壶待申僧所腿道道 证搭申调授职遇近 EE和制作中 或将制怅完毕 证书中酒鲜止图表5按业务状态查询截图： 证书办过老特证阳春91途算日题图表6