DB12-T411-2-2009电子认证应用管理平台接入技术规范第2部分-信息应用系统接入

1、ICS35.240L67备案号：天DB12津 市 地 方 标 准DB12/T 411.22009电子认证应用管理平台接入技术规范 第2 部分： 信息应用系统接入Technical Specification for Access The Electronic-Authentication ApplicationManagement PlatformPart 2: The Access Standard of Information Application System2009-08-10 发 布2009-11-01 实 施天 津 市 质 量 技 术 监 督 局 发 布IDB12/T 411.2

2、2009目 次前言 I1 范围 HYPERLINK l _bookmark1 12 术语、定义和缩略语 HYPERLINK l _bookmark2 13 要求 HYPERLINK l _bookmark3 1附录A(资料性附录)应用系统接入概述 HYPERLINK l _bookmark4 5附录B(规范性附录)应用系统接入API描述 HYPERLINK l _bookmark5 6B.1开发平台及编程语言 HYPERLINK l _bookmark6 6B.2运行环境 HYPERLINK l _bookmark7 6B.3核心库 HYPERLINK l _bookmark8 6B.4支持库

3、 HYPERLINK l _bookmark9 6B.5配置文件说明 HYPERLINK l _bookmark10 6B.6应用授权、应用验证对外接口类 HYPERLINK l _bookmark11 7B.7应用审计信息对外接口类 HYPERLINK l _bookmark12 8IDB12/T 411.22009前 言本标准是DB12/T411 的第2部分。本标准由天津市经济与信息化委员会、天津市质量技术监督信息研究所提出。本标准由天津市经济与信息化委员会负责解释。本标准主要起草单位： 天津市经济与信息化委员会、天津市天正信息系统工程监理有限公司、长春 吉大正元信息技术股份有限公司、天津

4、市质量技术监督信息研究所。本标准于2009年8月首次发布。本部分主要起草人： 刘杰、鲍顿、王家祥、张博华、王德庆、林雪松、由方岚、杨帆。1DB12/T 411.22009电子认证应用管理平台接入技术规范第2 部分： 信息应用系统接入1 范围本部分规定了信息应用系统接入、信息应用系统注册、应用权限开通、应用权限验证、用户访问行 为审计等技术要求。本部分适用于接入天津市电子认证推广应用管理平台的信息应用系统。2 术语、定义和缩略语DB12/T 411.1确立的以及下列术语、定义和缩略语适用于本部分。2.1证书 Certificate本标准中所称证书均指接入管理平台的CA机构签发的在接入管理平台的信

5、息应用系统中所使用的 组织机构证书。2.2身份验证网关 Gateway for Verification of ldentity采用PKI技术，通过加密、认证等技术手段，实现用户身份的确认和访问控制，保证信息传输过程 中的机密性、完整性、抗抵赖性和可信性的硬件设备。2.3应用特征码 Application Characteristics Code应用特征码是证书用户在管理平台中的一项应用属性值，对应该用户在接入管理平台的信息应用系 统中的唯一标识。2.4LDAP轻型目录访问协议。2.5DN证书主体信息。2.6API应用程序编程接口。3 要求3.1 应用系统接入要求应用系统接入管理平台，指应用系

6、统在依赖电子签名认证证书应用的技术方式要纳入管理平台的统 一规范体系。3.1.1 应用系统在自身的用户管理功能中应使用组织机构代码、个人身份证号码等国家统一规范的编 码作为用户在应用系统中的唯一标识。2DB12/T 411.220093.1.2 对用户唯一标识有特殊要求的应用系统，应向市信息化主管部门备案。3.1.3 应用系统能够解析电子签名认证证书中所包含的相关信息，如证书主体信息(DN)等。并在应 用系统中存储用户唯一标识与证书主体信息(DN)和证书中组织机构代码或个人身份证号码等信息的 映射关系，该映射关系应是一一对应的。3.2 应用系统注册要求应用系统注册指一个信息应用系统在管理平台上

7、进行登记的过程。管理平台操作人员根据应用系统 主管单位与管理中心签署的接入协议为应用系统在管理平台上进行登记的操作。该操作具体可描述为管理平台操作人员为所有证书持有人添加一项应用属性，该属性包括：a) 应用名称;b) 开通状态; “0”代表未开通， “1”代表已开通，默认为“0”。c) 应用特征码。3.3 应用权限开通要求3.3.1 应用权限操作概述3.3.1.1 应用权限指管理平台中登记的证书持有人是否能够访问某个注册到管理平台中的应用系统。3.3.1.2 应用权限开通指管理平台根据应用系统的要求将证书持有人应用属性中的开通状态值设为 “1”,即表示该证书持有人具备访问该应用系统的权限。应用

8、权限的开通操作可由管理平台操作人员根据应用系统主管单位的书面授权及业务要求进行，也可由应用系统调用相应API接口(附录B2)完 成该操作。3.3.1.3 应用权限的开通操作包括单个开通、自助开通、批量开通三种类型。3.3.2 单个开通3.3.2.1 应用系统根据自身的用户管理功能检索出某一个待开通用户，并将该用户的证书DN信息与应 用特征码(如需要)及开通确认信息提交给应用授权接口，平台根据客户证书DN 信息查找对应的证书 持有人并将其对应的应用开通状态值置为“1”。平台在完成授权操作后通过相应的API接口(附录B2) 向应用系统返回操作信息。3.3.2.2 该类型的操作适合于证书持有人到应用

9、系统的服务窗口与工作人员进行面对面操作的业务场 景。3.3.2.3 如果应用系统使用自定义的规范编码作为用户唯一标识，那么这一类应用系统在应用开通操 作时就需要将用户的证书DN或证书中写入的国家有关规范编码与用户的应用特征码建立对应关系，单 个开通的业务场景方便实现这种对应关系的建立。3.3.3 自助开通3.3.3.1 证书持有人在具备网络接入的条件下，直接访问应用系统开通业务。此时应用系统需解析证 书获得客户证书DN 信息并根据自身业务逻辑判断该客户是否可以开通，确定可以开通后将客户证书DN 信息与应用特征码(如需要)及开通确认信息提交给应用授权接口，平台根据客户证书DN 信息查找对 应的证

10、书持有人并将其对应的应用开通状态设为“1”。平台在完成授权操作后通过相应的API接口向 应用系统返回操作信息。3.3.3.2 该类型的操作适合于证书持有人远程自助进行某一应用系统的业务开通。3.3.3.3 与单个开通类似，如果应用系统使用自定义的规范编码作为用户唯一标识，这一类应用系统 在应用开通操作时就需要将用户的证书DN或证书中写入的国家有关规范编码与用户的应用特征码建立 对应关系。3.3.4 批量开通3.3.4.1 应用系统通过自身用户管理功能，按照一定业务规则筛选出一批需要开通的客户，并将该批 用户的组织机构代码及开通确认信息向平台提交，平台根据组织机构代码信息查找对应的证书持有人并

11、将其对应的应用开通状态设为“1”。平台在完成授权操作后通过相应的API 接口(附录B2)向应用系 统返回操作信息。3DB12/T 411.220093.3.4.2 该类型操作的限制条件是仅能够支持采用组织机构代码作为用户唯一标识的应用系统。该类 型的操作为接入平台的应用系统提供一种以批量的方式处理用户访问权限的模式。3.3.5 开通后应用系统对于应用权限的处理首次开通后，应用系统可以对平台上的证书持有人以批量的方式进行权限的处理。应用系统通过自 身用户管理以组织机构代码作为用户唯一标识筛选出一批用户，将该批用户的组织机构代码及权限确认 信息(开通或关闭)提交到应用授权接口，平台在获取上述信息后

12、根据组织机构代码查找对应的证书持 有人变更其对应的应用开通状态值。3.4 应用权限验证应用权限验证指证书持有人在访问应用系统时，应用系统将该证书持有人相关信息(DN)提交到平 台，由平台确认其访问权限并返回确认结果及应用特征码(如需要)的交互行为。具体实现通过应用系 统调用相应的API(附录B.2)接口程序完成。实现方式分为在线验证和离线验证。3.4.1 在线验证3.4.1.1 在线验证指应用系统在用户发生访问行为时，调用相应的API(附录B.2)接口程序实时地将访 问用户的证书DN 提交到管理平台，由平台确认其访问权限并返回确认结果及应用特征码(如需要)。3.4.1.2 在线验证时，管理平台

13、根据应用系统提交的验证请求校验以下两项：a) 证书是否已领用;b) 证书主体单位是否有权限。3.4.1.3 完成应用权限验证后，应用系统需通过调用API(附录B.3)的方式向平台的行为审计管理系统 发送审计记录。3.4.2 离线验证离线验证指应用系统在用户发生访问行为时，先将访问用户的证书DN及访问时间存储保存在一个本 地文件或数据库中，在业务空闲时通过相应的API(附录B.2)提交到管理平台，管理平台接收并存储提交 的数据，但并不向应用系统返回实时的确认信息。3.4.3 应采取的验证当用户访问应用系统时，应经过三个验证： 身份合法性验证，应用权限验证，用户权限验证。 3.4.3.1 身份合法

14、性验证由CA 机构部署在应用系统前端的身份验证设备验证用户的电子签名认证证 书。3.4.3.2 应用权限验证由应用系统通过与管理平台的交互完成，验证具备合法身份的用户是否具有访 问该应用系统的权限。3.4.3.3 用户权限验证由应用系统根据自身用户权限管理业务逻辑对该用户作出是否允许其登录的判 断。3.4.3.4 身份合法性验证，应用权限验证，用户权限验证其中任一个验证操作失败时，都必须要向用 户反馈清晰、明确的信息，指导用户下一步的操作，告知用户应通过何种方式与何单位或人员联系解决。3.5 用户访问行为审计用户访问行为审计指应用系统对证书持有人的权限进行操作(包括应用权限的开通以及开通后的变

15、 更)和进行应用权限验证时，应用系统都须调用API(附录B.3)接口程序向管理平台提交相关数据。用户访问行为审计分为在线审计和离线审计两种实现方式。3.5.1 在线审计在线审计指应用系统在用户发生访问行为时，调用相应的API(附录B.3)接口程序实时地将以下信息提交到管理平台，管理平台接收并存储提交的数据：c) 证书持有人的证书主体信息(DN);d) 操作类型(应用权限开通或变更操作、应用权限验证操作);e) 应用系统的名称;f) 应用系统主管单位的名称。DB12/T 411.220093.5.2 离线审计离线审计指应用系统在用户发生访问行为时，先将以下信息存储保存在一个本地文件或数据库中，

16、在业务空闲时通过相应的API(附录B.3)提交到管理平台，管理平台接收并存储提交的数据。a) 证书持有人的证书主体信息(DN);b) 证书持有人的访问时间;c) 操作类型(应用权限开通或变更操作、应用权限验证操作);d) 应用系统的名称;e) 应用系统主管单位的名称。5DB12/T 411.22009附 录 A(资料性附录)应用系统接入概述管理平台通过CA的从目录服务获取证书持有人的相关信息，并存储于客户信息管理系统;应用系统 通过CA部署在应用系统前端的身份验证设备进行访问用户的身份合法性验证，并通过调用相应接口与管 理平台进行数据交互，获取应用授权、权限验证、用户行为审计等服务，三者之间有

17、机地联系，以CA 发布的目录服务为基础，形成管理平台对信息应用系统用户访问权限控制的有效技术支撑。管理平台、电子认证服务机构与信息应用系统之间的支撑关系如图A1:客户信息管理系统 行为记录审计系统爱 为 接 明身份验证设备图A1 管理平台、电子认证服务机构与信息应用系统接入逻辑关系图 信息应用系统接入管理平台的网络部署拓扑结构的一般情形如图A2:箕程开台客户信意 明务Internet二图A2 管理平台、电子认证服务机构与信息应用系统网络互联接入示意图6DB12/T 411.22009附 录 B(规范性附录)应用系统接入API 描述B.1 开发平台及编程语言B.1.1 开发平台： Windows

18、XP+SP2。B.1.2 编程语言： JAVA。B.2 运行环境软件环境：JDK 1.4或更高版本。B.3 核心库a)log4j-1.2.13.jar;b)jit-socket.jar;c)jit-util.jar;d)jit-exception.jar;e)dom4j-1.6.1.jar;f)commons-logging.jar;g)jaxen- 1. 1-beta-7.jar;h)jit-uimstk.jar;i)jit-umsapi.jar;j)jit-ldapbase.jar;k)jit-ldapcom.jar。B.4 支持库a)JDK1.4;b)JDK1.5。B.5 配置文件说明配

19、置文件名： uimstkconfig.xml172. 16.4.48802falsefalsecom.jit.pmi.srvfrm.controler.BusinessControler 7DB12/T 411.22009172. 16.4.4390C=CNB.6 应用授权、应用验证对外接口类B.6.1 User类B.6.1.1 B.6.1.2 B.6.1.3 B.6.1.4类名： User。包含路径： com.jit.pmi.ums.api。类描述： 用户数据对象。私有成员a)Map map;b)String dn。B.6.1.5 设置用户属性a)声明： public void set(St

20、ring key,String value);b)功能： 设置用户属性;c)参数： key: 用户属性的描述;value:用户属性的值。B.6.1.6 取得用户的属性值a)声明： public String get(String key);b)功能： 设置用户属性;c)参数： key: 用户属性的描述;d)返回值： 用户的属性值。B.6.2 UmsApi 类B.6.2.1 类名：|UmsApi。B.6.2.2 包含路径： com.jit.pmi.ums.api。B.6.2.3 类描述： 提供应用进行注册和权限验证的功能。B.6.2.4 设置配置文件路径a)声明： public void set

21、ConfigFile(String filepath);b)功能： 设置配置文件路径;c)参数： filepath: 配置文件全路径。B.6.2.5 控制用户权限a)声明： public boolean regedit(String dn,String appcode,boolean breg);b)功能： 控制用户使用应用系统的权限;c)参数： dn: 证书主体(DN);appcode: 应用标识;breg: 是否开通(true: 开通;false: 不开 通 ) ;d)返回值： true: 成功;false: 失败。B.6.2.6 判定用户的访问权限a)声明： public boolean validate(String dn,String appcode);b)功能： 根据客户身份信息、客户所访问的应用标识信息来判定用户的访问权限;c)参数： dn: 证书主体(DN);appcode: 应用标识;d)返回值： true: 有权限;false: 没有权限。B.6.2.7 批量开通用户8DB12/T 411.22009a)声明： public boolean regedit(List ls,String appcode,boolean breg); b)功能： 批量开通用户;c)参数： List: 每个