2021年统一身份认证系统关键技术专项方案

智慧海事一期统一身份认证系统技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 目录TOC\o"1-3"\h\z\u目录i1.总体设计21.1设计 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 21.2设计目标31.3设计实现31.4系统布署42.方案产品介绍62.1统一认证管理系统62.1.1系统具体架构设计62.1.2身份认证服务设计72.1.3授权管理服务设计102.1.4单点登录服务设计132.1.5身份信息共享和同时设计152.1.6后台管理设计182.1.7安全审计设计202.1.8业务系统接入设计222.2数字证书认证系统222.2.1产品介绍222.2.2系统框架232.2.3软件功效清单242.2.4技术标准253.数字证书运行服务方案273.1运行服务体系273.2证书服务方案273.2.1证书服务方案概述273.2.2服务交付方案283.2.3服务支持方案353.3CA基础设施运维方案363.3.1运维方案概述363.3.2CA系统运行管理363.3.3CA系统访问管理373.3.4业务可连续性管理373.3.5CA审计381.总体设计1.1设计标准一、标准化标准系统整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中国计算机信息系统安全保护条例》相关要求。数字证书认证系统安全基础设施设计和实现将遵照相关国际、中国技术和行业标准。二、安全性标准系统所采取产品技术和布署方法必需含有足够安全性，针对可能安全威胁和风险，并制订对应对策。关键数据含有可靠备份和恢复方法。三、可用性标准系统含有足够容量和良好性能，能够支撑百万级或千万级用户数量，并能够在海量用户和大并发访问压力条件下，保持功效和性能可用性。四、健壮性标准系统基础平台成熟、稳定、可靠，能够提供不间断服务，相关产品均含有很强壮壮性、良好容错处理能力和抗干扰能力。五、模块化标准系统设计和实现采取模块化结构，各个模块含有相对独立功效和开放接口。能够依据系统需要进行功效模块增加或降低，而无须改变原来程序构架；针对不一样应用定制实施模块。六、可扩展标准伴随业务发展，对未来系统功效和性能将会提出更高要求。系统在设计和实现上，应含有良好可扩展性。能够经过对硬件平台、软件模块扩展和升级，实现系统功效和性能平滑地扩展和升级。七、方便开发标准系统提供丰富二次开发工具和接口，便于应用系统调用，能够方便和现有和未来应用系统进行集成。八、兼容性标准系统含有良好兼容性，能够和多个硬件系统、基础软件系统，和其它第三方软硬件系统相互兼容。1.2设计目标依据招标文件具体技术要求，基于现有信息系统现实状况、数字证书应用现实状况和未来在信息安全方面技术性要求，本方案提出以下建设目标。(1)在海事局内部布署统一认证管理系统，具体目标是：提供数据统一、维护统一、用户统一安全可靠认证和授权服务；实现全局相关业务系统全方面统一用户管理、可靠身份认证和安全审计、有效分级授权、安全单点登录、便捷信息共享(2)在海事局内部布署数字证书认证系统（CA认证中心），含有10万级数字证书发放能力，满足海事局内部用户和应用系统对数字证书使用需求。(3)广东海事局内部其它业务系统（包含：船舶远程电子签证、船舶动态2.0系统）和统一身份认证系统进行技术集成，实现统一身份认证和单点登录功效。1.3设计实现本方案由统一认证管理系统和数字证书认证系统两部分组成，其统一认证管理系统实现统一用户管理、身份认证、单点登录、授权管理、安全审计等功效；数字证书认证系统实现海事局全国用户数字证书发放和数字证书管理。统一认证管理系统和数字证书认证系统集成，实现新增用户信息同时，证书管理员只需要登录数字证书认证系统，查出用户信息，直接制作证书。二级云中心（直属局）统一认证管理系统定时将用户、机构、授权等信息同时给一级云中心统一认证管理系统。本期 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 将率先在广东海事局搭建起船舶远程电子签证、船舶动态2.0系统单点登录功效。1.4系统布署一级云中心：一台身份认证服务器，一台加密机，两台统一认证服务器（基于ORACLE一体机实现负载），两台统一认证数据库服务器（基于ORACLE数据库一体机实现负载）。五个二级云中心（直属局）：一台统一认证数据库服务器，两台统一认证服务器（双机冷备），二级云中心统一认证服务器能访问一级云中心统一认证服务器。2.方案产品介绍2.1统一认证管理系统2.1.1系统具体架构设计国家海事局统一认证管理系统具体架构设计以下图所表示：在国家海事局布署一级统一身份认证系统，可管理全部系统用户，用户可经过统一身份认证系统进行身份认证、业务系统单点登录；二级单位依据具体情况可布署二级统一身份认证系统，系统用户信息管理和一级统一身份认证系统同时，当网络出现故障时，二级单位用户可登录各自单位二级统一身份认证系统，不影响正常业务处理。国家海事局统一认证管理系统关键服务功效模块包含：身份认证模块、单点登录模块、信息同时模块、后台管理模块、数据服务模块及安全管理模块，其中后台用户管理包含用户、角色、应用等相关信息管理，另外，安全管理模块为维护好系统服务功效安全性，提供系统本身全部操作安全审计功效，和各个应用系统用户信息监控功效。2.1.2身份认证服务设计身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证公布、用户资料管理及销毁、登录认证功效。2.1.2.1总体设计认证管理结构如上图所表示，关键包含以下多个部分：CA认证中心：海事局CA认证中心为数字证书用户提供身份认证服务，签发数字证书，实现证书和现实中实体（个人、单位或服务器）绑定。CA认证中心除了为最终用户措施数字证书外，还需要为统一认证服务器和业务系统服务器签发服务器身份证书，用于用户和服务器之间双向认证。统一认证服务器：统一认证系统服务器数据库中集中存放全部业务系统用户信息和权限信息，全部业务系统和统一认证系统全部需要布署服务器证书、安全组件和认证接口，用于业务系统和用户端，或业务系统之间身份认证。证书用户：证书用户根据经过严格身份信息鉴证，从CA认证中心领取数字证书，然后经过访问各级统一认证系统，进行单点登录，就能够很方便地访问自己权限范围内应用系统。用户数字证书身份信息要和统一认证系统中注册用户信息保持一致（关键信息为：姓名、证件类型和证件号码），只有信息一致前提下，才可实现可靠身份认证。口令用户：口令用户不需要经过CA中心身份认证和签发数字证书，直接由单位管理员依据用户信息注册即可。用户本人可在取得初始密码后修改登陆密码和注册信息。2.1.2.2身份认证方法统一认证系统能够对不一样系统进行分级认证，也能够对系统内不一样用户分级认证。系统应同时支持口令方法和数字证书两种方法身份认证机制。另外，系统应含有扩展接口，可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身份认证技术支持PKI、LDAP、NDS、NIS、AD等标准认证技术。对于安全性较低系统，能够采取最低认证等级：用户名/口令方法；对于安全性较高系统，最低认证等级则需要设置为数字证书方法。系统认证等级和用户认证方法全部能够在统一认证系统后台进行动态配置。用户使用数字证书能够登录安全性较低系统，不过用户名/口令认证方法不许可进入等级为数字证书业务系统。2.1.2.3基于数字证书身份认证数字证书用户登录业务系统身份认证步骤以下图所表示：步骤说明：(1)提供证书：在登录门户页面（或统一认证首页）中嵌入证书控件和组件，服务器端产生随即数并进行数字署名，用户端实现即插即用登录认证模式，只要插入UsbKey自动列举Key内数字证书；(2)握手认证：用户输入证书密码、点击登录提交按钮后，页面调用证书控件运行脚本，校验证书密码后对服务器端产生随即数和数字署名进行验证；用户端对随即数进行数字署名，提交认证信息给服务器验证；认证信息关键包含：随即数、用户证书、用户署名等信息。服务器后台程序验证用户端证书有效性和数字署名有效性。(3)获取访问信息：统一认证服务器从认证信息中提取用户端数字证书，并从证书中解析出证书唯一标识，在后台数据库中进行比对，进行访问控制；(4)返回登录票据：服务器认证经过后，形成标准格式登录票据，返回用户端。(5)选择业务系统：系统依据登录票据，显示可登录系统，用户选择系统。(6)传输票据：用户端浏览器将登录票据传输到对应系统地址上。(7)票据验证：业务系统依据接收到登录票据，经过布署安全组件进行验证。(8)进入系统：验证经过，许可进入，依据用户权限信息，授予对应操作权限。不然，拒绝登录。系统采取数字证书，安全组件、密码运算、数字署名、数字信封等技术来保障用户身份真实性，能够有效避免身份冒充、身份抵赖、重放、中间人攻击风险，从而在一定程度上确保认证安全性。数据加密可采取标准SSL协议，在WEB服务器上配置SSL服务器证书，即可实现数据在网络传输过程中加密。2.1.2.4基于口令方法身份认证用户身份唯一性设计：系统采取集中数据库管理模式，用户名作为用户信息表中主键，在系统中不许可反复。另外，系统中应依据用户类型和注册基础信息生成一个含有用户特征码，用于识别一个人或单位在系统中身份唯一性。特征码编码规范示例：个人用户特征码=证件类型编码＋证件号码＋真实姓名+登录名单位用户特征码=组织机构代码＋对应单位名称+登录名用户名方法身份认证业务步骤和证书方法类似，和证书方法关键区分在于以下几点：（1）用户端不进行数字署名；（2）提交给服务器认证信息不包含用户端数字署名，而是加密后登录口令；（3）服务器端接收到认证信息后，不再验证署名，而是将加密口令和数据库中加密口令进行对比查对；（4）安全登录票据中登录方法不一样；（5）其它步骤没有区分。2.1.3授权管理服务设计2.1.3.1授权管理系统框架为确保信息资源访问可控性，预防信息资源被非授权访问，需要在用户身份真实可信前提下，提供可信授权管理服务，实现对各类用户有效管理和访问控制，保护多种信息资源不被非法或越权访问，预防信息泄漏。统一认证管理系统应提供信息资源管理、用户角色定义和划分、权限分配和管理、权限认证等功效。权限管理关键是由管理员进行资源分类配置、用户角色定义及授权等操作；权限认证关键是依据用户身份对其进行权限判定，以决定该用户是否含有访问对应资源权限。因为统一认证管理系统要处理各个应用系统内部细粒度资源权限控制，需要和应用系统紧密结合，所以统一认证管理系统应在统一身份认证系统粗粒度访问控制基础之上，由各个应用系统结合当地资源授权方法，进行定制集成开发。因为采取分布式RBAC授权管理模型，首先应对用户进行严格身份认证，确保用户身份真实性，在此基础之上再由综合各个应用系统内部资源权限分配统一授权管理系统对用户进行严格权限认证，实现各个应用系统内部资源细粒度授权访问控制。用户访问控制总体框架以下图所表示：在此框架下，整个授权控制工作步骤以下：(1)统一认证管理系统初始化，添加并配置系统管理员；(2)由系统管理员添加并配置下级管理员或用户；(3)管理员添加受控访问资源，并设置每个用户权限；(4)用户访问各应用系统，首先由统一认证系统验证该用户身份；(5)认证经过后依据用户身份，对用户进行权限认证；(6)假如用户经过权限认证，则说明该用户能够进入对应应用系统，访问权限许可内资源；不然，拒绝用户访问。2.1.3.2授权管理模型（基于角色授权）基于角色访问控制（RBAC）授权模型：经过角色定义，将应用系统业务权限授予某个角色，然后将用户和这些角色关联，从而将业务权限给予该用户。以下图所表示：基于角色访问控制方法思想就是把对用户授权分成两部份，用角色来充当用户行驶权限中介。这么，用户和角色之间和角色和权限之间就形成了两个多对多关系。系统提供角色定义工具许可用户依据自己需要（职权、职位和分担权利和责任）定义对应角色。角色是一组访问权限集合，一个用户能够是很多角色组员，一个角色也能够有很多个权限，而一个权限也能够反复配置于多个角色。权限配置工作是组织角色权限工作步骤之一，只有角色含有对应权限后用户委派才能含有实际意义。基于角色授权模型优点基于角色策略实现了用户和访问权限逻辑分离，极大方便了权限管理。比如，假如一个用户职位发生改变，只要将用户目前角色去掉，加入代表新职务或新任务角色即可。通常，角色/权限之间改变比角色/用户关系之间改变相对要慢得多，而且委派用户到角色不需要很多技术，能够由行政管理人员来实施，而配置权限到角色工作比较复杂，需要一定技术，能够由专门技术人员来负担，不过不给她们委派用户权限，这和现实中情况恰好一致。除了方便权限管理之外，基于角色访问控制方法还能够很好地描述角色层次关系，实现最少权限标准和职责分离标准。基于角色授权步骤以下面授权目标举例说明基于角色授权步骤：用户（张三）<-角色（预算四处长）<-权限（预算系统审核）1、生成一个角色：预算四处长；2、选择预算系统预算审批业务权限授予预算四处长角色；3、将预算四处长角色授予用户张三。经过将预算系统审核业务权限授予预算四处长角色，然后将此角色和用户张三关联，最终用户拥有了该权限。2.1.3.3分级授权管理分级授权实现是权限继承：当上级管理员对下级管理员进行授权时，所授予业务权限将被下级继承，下级管理员拥有这些权限，并能够将这些权限授予其管辖用户。分级授权经过管理员授权实现。经过一步步权限传输，能够实现多级授权。授权能够基于角色，（如例子中利用预算审核角色），也能够直接基于业务权限。依据5个直属局调研反馈，初步确定直属局按二级进行分级管理分级授权，即各直属局下属分局或海事处添加一级管理员，负责本分局或海事处用户信息管理及授权。2.1.4单点登录服务设计2.1.4.1实现原理安全单点登录具体实现机制以下：采取基于数字署名安全票据技术，封装用户登录后认证状态信息，并以安全方法传输到各个相关系统中，经过对票据解密、验证、解析，从而实现方便、快捷、安全单点登录。针对江苏省海事局办公系统已和内部多个业务系统集成，实现单点登录，提议本项目建设统一认证管理系统只和江苏省海事局办公系统集成，保持现有业务系统单点登录，另外统一认证管理系统和部局统一建设船舶远程电子签证、船舶动态2.0系统集成实现单点登录；江苏省海事局以后新建设业务系统，能够参考统一认证管理系统集成，集成到统一认证管理系统中。针对深圳市海事局全部业务系统全部基于AD域实现单点登录，现有业务系统集成模式不变。在用户已经登录AD域，直接进入统一认证管理系统认证门户，访问部局统一建设船舶远程电子签证、船舶动态2.0系统，不需要再登录；深圳市海事局以后新建设业务系统，能够参考统一认证管理系统集成，集成到统一认证管理系统中。单点登录票据格式以下：经过对单点登录票据加密、署名等技术确保票据机密性、完整性和抗否认性，而且在票据中包含票据有效时间段信息，利用时间使用期从一定程度上降低重放、中间人攻击风险。单点登录系统维护一张票据流水号临时表，票据使用一次以后就失效，也能够有效预防重放攻击风险。经过采取以上这些安全方法和安全步骤，能够有效地确保单点登录系统安全性。2.1.4.2工作步骤安全单点登录步骤以下图所表示：​�<流程名称>�<职能>�����单点登录认证流程业务系统浏览器认证系统�是否已登陆否是业务系统访问请求被认证系统客户端拦截返回给用户认证系统地址是否已登陆用户请求的页面是否收到认证系统地址登陆页面重定向输入用户凭证验证并记录用户提交返回业务系统地址及票据id收到业务系统地址及票据id认证系统客户端收到票据id重定向将票据票据id发送给认证系统验证验证票据id的合法性认证系统客户端接收用户基本信息返回用户的基本信息返回用户请求的页面​2.1.5身份信息共享和同时设计统一认证系统建立统一权威机构数据、用户数据、用户授权数据等资源库并可作为全部应用系统数据源。机构数据、用户数据、用户授权数据是海事局关键数据，需要绝正确安全和保密。统一认证管理系统对数据管理应该是安全和封闭，任何未授权应用系统均无法从系统管理层面、系统服务层面和数据库层面获取这些数据，应用系统必需经过信息共享服务和数据同时方法获取这些数据。2.1.5.1体系结构信息共享服务和数据同时有两种体系结构：(1)一级统一认证管理系统和国家海事局应用系统同时以下图所表示：一级统一认证管理系统仅需要和国家海事局当地应用系统作数据同时。(2)国家海事局统一认证管理系统和直属局/地方局统一认证管理系统同时以下图所表示：一级统一认证管理系统不仅需要和国家海事局当地应用系统作数据同时，还需要和直属局/地方省局二级级统一认证管理系统作数据同时。2.1.5.2同时机制信息共享服务和数据同时机制以下：和基于关系型数据库（DB）应用系统同时采取webservices技术（SOAP协议）实现和这类应用系统作数据同时。数据经过同时引擎、事务机制和SOAP协议实现和应用系统之间同时。同时成功和失败全部进行统计，同时成功信息以汇报形式方便于管理人员查看，同时失败信息经过定时器机制自动完成，直至同时成功。和基于目录（LDAP）应用系统同时采取LDAP协议和JNDI技术实现和这类应用系统作数据同时。支持LDAP包含：apacheDS，openLdap，sunONE等，另外也包含域控制器（windowsAD、LinuxNIS、UnixNFS）。统一认证管理系统和应用系统之间以JNDI/LDAP方法建立通信。数据经过同时引擎、事务机制和JNDI和LDAP协议实现和应用系统之间同时。同时成功和失败全部进行统计，同时成功信息以汇报形式方便于管理人员查看，同时失败信息经过定时器机制自动完成，直至同时成功。和基于域控制器应用同时采取LDAP协议和JNDI技术实现和这类应用系统数据同时。域控制器包含：windowsAD、Linux（Unix）NIS。对域控制器同时，基础和对LDAP同时类似，所以，和基于域控制器应用同时能够采取基于LDAP协议来实现同时。不过windows还提供了一套ADSI接口，也能够实现和windowsAD数据同时。统一认证系统经过JNI实现对windowsAD数据同时。2.1.5.3同时策略同时策略有三种，包含：操作立即同时、操作批量同时和事后同时。1、立即同时该策略实现了：对用户信息、机构信息操作（增加并授权、删除、修改）时，系统自动完成同时。同时失败时，系统监控提醒同时失败，后台使用定时器定时继续进行同时。同时定时器还能够设置同时时间和周期。2、批量同时该策略实现了：依据“角色”选择用户，完成用户同时；依据“机构”选择用户，完成用户同时；依据“应用系统”选择对应角色，完成角色同时。3、事后同时该策略实现了：当用户信息、机构信息操作（增加、删除、修改）时或同时失败时，用户可依据需要进行事后再次同时。当新系统接入时，单独同时信息。当系统需要更新数据时，再次同时用户信息。2.1.6后台管理设计2.1.6.1用户数据获取身份信息由各应用系统聚集，统一认证管理系统提供批量操作（导入、导出、迁移）工具，如采取用户数据EXCEL导入导出，以满足海事局大量用户维护需求。2.1.6.2管理模式系统提供分级管理分级授权。2.1.6.2.1分级管理分级授权用户身份信息和用户访问控制相关授权信息均分级管理。设有三类管理员角色：(1)系统管理员：进行单位管理员管理、机构管理、角色管理、应用系统管理等日常管理。(2)安全审计员：进行安全审计，日志管理等工作，对系统管理员工作进行监督。(3)单位管理员：进行本单位用户授权管理。单位管理员依据系统管理员定义本单位访问角色，为最终用户进行授权。海事局统一认证管理系统用户及系统级授权管理提议采取：分级管理、分级授权模式，以下图所表示：海事局单位管理员：负责海事局本部用户信息管理及系统级授权管理。下级单位管理员：负责本单位及下级单位用户信息管理及系统级授权管理。海事局单位管理员及下级单位管理员对各自单位进行：机构信息管理、用户信息管理、授权管理、证书管理和安全审计。单位管理员权限由一级统一认证管理系统管理员统一分配。经过信息同时服务实现数据同时。2.1.6.3账号安全策略管理统一认证管理系统账号安全策略管理功效包含：重置多个用户帐户密码设置用户下次登录时必需更改密码设置永不到期密码假如用户密码过期，启用、禁用或删除她们配置用户无法更改由管理员设置密码2.1.6.4后台管理功效框架统一认证管理系统后台用户管理功效以下：统一认证管理系统总体功效包含：用户管理、角色管理、信息系统管理、机构管理、基础数据管理和安全审计。2.1.7安全审计设计统一认证管理系统应含有较完善应用层日志统计功效，能够经过安全管理模块下系统日志子模块查看审计日志信息，审计日志包含：序号、管理员名称、操作类别、操作日期、操作描述。日志内容能够统计用户不成功登录信息，能够统计用户关键业务操作行为，如：对用户、角色增加、删除、修改和授权关系调整等操作。全部日志根据标准结构化数据统计，便于审计。日志中备注信息可填写部分具体信息。2.1.7.1日志管理日志能够提供查询、备份等管理功效。各单位管理员可查询本机构日志；系统管理员可查询全部日志；安全审计员能够备份、删除日志（只能以时间段备份及删除）；备份/删除日志操作时间有统计，备份/删除统计不删除；可设置备份提醒，在管理员登陆时提醒。2.1.7.2日志审计检验某个用户一段时间内缺勤情况。检验目前访问网络用户数量。识别经过远程计算机访问用户检验全部用户高峰登录时间。查看上次访问关键资源用户。发觉试图登录不具访问权限计算机用户。查看任一个用户登录全部历史。同一个用户在短时间内从不一样地方登陆情况，全方面了解用户活动安全情况。实时预警功效，提供关重视要事件实时告警。支持 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 报表，提供自动发送用户选择相关报表到管理员邮箱功效。提供自定义报表，要求提供基于用户、计算机、组策略、组织单元等内容定制多种报表。支持导出PDF、CSV、XLS和HTML等格式。提供自定义活动目录事件数据保留周期，按设置周期清理数据库过期事件数据功效。提供日志自动归档功效：即基于用户设定时间间隔对日志进行自动存档，存于指定目录。2.1.8业务系统接入设计2.1.8.1业务系统接入条件应用系统（海事业务申报用户端、用户端）要接入统一身份管理系统，进行单点登录，需根据提供接入标准对登录模块进行改造，具体技术实现方法详见第2.1.2和第2.1.4章节。2.1.8.2业务系统接入步骤依据以上内容介绍，各个业务系统接入统一认证管理系统步骤必需根据规范和以下步骤完成：1、首先把业务系统中用户信息全部导入统一身份认证系统中，统一用户数据汇总初始化是实现集成认证前提。2、业务系统原有登录方法取消，统一采取统一登录入口，需要各个业务系统根据统一认证接口规范要求进行对应开发改造3、各个业务系统能够有选择把权限管理数据放到统一身份认证系统中来，也能够选择保留原有业务系统权限管理方法；4、统一认证系统启用后，禁用已经接入业务系统用户数据录入操作，确保整个系统数据一致性，预防数据冲突发生。2.2数字证书认证系统2.2.1产品介绍本方案将采取BJCA信天行数字证书认证系统为海事局提供建设CA中心。信天行数字证书认证系统依据国家相关证书认证系统技术规范设计，包含《证书认证系统密码及其相关安全技术规范》、《数字证书认证系统密码协议规范》、《GBT20518-信息安全技术公钥基础设施数字证书格式》等。系统提供数字证书发放和管理功效，包含数字证书申请、证书发放、证书更新、证书废除、密钥恢复等。同时还提供如证书目录公布服务，OCSP证书查询服务等一系列方便用户使用证书服务。系统提供了完善日志统计和具体审计功效，确保了对操作人员操作行为进行审计。信天行数字证书认证系统含有以下技术特点：(1)支持基于SM2算法ECC证书签发。(2)能够统一管理和发放各类证书,包含邮件证书、个人身份证书、企业证书、服务器证书等。(3)含有高扩展性,能够灵活配置认证体系。系统支持多级CA，支持交叉证书认证,支持多级受理点。能够依据用户需要，对系统进行配置和扩展。(4)含有高安全性和可靠性。(5)易于布署和使用。系统全部用户、管理员界面关键是B/S模式，策略配置和系统定制和用户证书管理等全部经过界面进行。(6)采取灵活证书 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 技术和动态扩展机制，轻易满足多个内容格式证书签发要求。(7)系统环境方面，支持主流操作系统、多个主流加密设备、多个数据库、多个证书存放介质等。信天行数字证书认证系统在设计时充足考虑了体系结构完整性、全方面证书管理功效和本身安全性和运行保障等原因。系统经过利用公开密钥算法、对称密钥算法和散列算法等技术，提供了信息加密、数字署名和数字信封等保护方法，实现信息系统中数据完整性、机密性、抗抵赖性，并提供身份认证、访问控制等功效。能够为电子政务和电子商务领域提供信息化应用安全基础平台。2.2.2系统框架数字证书认证系统关键分成：关键层、管理层和服务层三层架构。关键层包含：根CA系统、运行CA系统和KMC密钥管理系统三大子系统。其中，运行CA系统又分成CA签发系统、CA管理系统、CA数据库和主LDAP目录服务系统等组成部分。KMC密钥管理系统包含密钥管理系统和KM数据库。管理层包含：RA注册系统。RA注册系统由注册管理系统和RA数据库组成。注册管理系统需要和CA管理系统进行安全通信。服务层包含：证书服务系统和证书/证书状态查询系统。证书服务系统又细分为受理点服务系统、用户服务系统。受理点服务系统是海事局证书受理点证书管理员操作证书服务系统；用户服务系统是证书用户经过海事局内网进行自助服务系统。证书/证书状态查询系统包含从LDAP目录服务系统和OCSP服务系统。终端包含受理点管理终端和用户终端，支持PC机+USBKey。数字证书认证系统软件构架设计以下图所表示：2.2.3软件功效清单身份认证系统采取B/S架构，全部管理工作经过浏览器完成。系统关键功效以下表所表示：系统模块系统关键功效说明CA签发系统（CSS）完成证书生命周期管理服务，包含：签发用户证书、更新证书、重签发证书、冻结、解冻、吊销证书签发CRL、公布证书和CRL等等。和KM、RA、等模块进行安全通信，进行证书业务调度，实现整个身份认证系统业务、权限和策略管理、查询统计、安全审计；实现用户证书生命周期管理。密钥管理系统（KMC）用户加密密钥生产、密钥分发、密钥归档、密钥更新、密钥撤销、密钥备份和恢复、安全审计等密钥生命周期管理服务。证书注册系统（RA）用户信息注册管理、RA业务策略管理、配置管理、安全审计等等。证书在线查询系统（OCSP）提供用户证书状态在线查询服务。2.2.4技术标准(1)数字证书认证系统遵照标准《证书认证系统密码及其相关安全技术规范》《数字证书认证系统密码协议规范》《数字证书认证系统检测规范》《证书认证密钥管理系统检测规范》《商用密码管理条例》《中国计算机信息系统安全保护条例》(2)数字证书格式遵照标准GB/T20518-信息安全技术公钥基础设施数字证书格式ITU-TX.509V3（数字证书）ITU-TX.509V2（CRL）(3)数字证书应用接口遵照标准公钥密码基础设施应用技术体系证书应用综合服务接口规范公钥密码基础设施应用技术体系框架规范公钥密码基础设施应用技术体系密码设备应用接口规范公钥密码基础设施应用技术体系通用密码服务接口规范智能IC卡及智能密码钥匙密码应用接口规范CSP规范PKCS#11规范上述规范为国家密码局相关数字证书应用体系最新技术标准。BJCA作为国家密码基础设施组员单位，是最先遵照国家最新技术标准规范PKI厂商。(4)支持密码算法公钥密码算法：RSA、SM2。其中RSA密钥长度1024/2048/4096比特可选。SM2支持256比特；哈希函数算法：支持SHA1、SHA256、SM3；对称密码算法：SSF33、SM1/SM4等。(5)LDAP目录协议支持轻量型目录协议第三版(LDAPv3),具体以下：RFC2251：轻型目录服务访问协议RFC2252：属性语法定义RFC2253：分辨名UTF-8字符串表示RFC2254：查询过滤器字符串表示RFC2255：LDAPURL格式RFC2256：X.500用户Schema汇总RFC2829：LDAP认证方法RFC2830：传输层安全（TLS）扩展OCSP协议：RFC25603.数字证书运行服务方案3.1运行服务体系海事局CA中心建设目标是面向全国范围内10万规模用户群提供CA认证服务，不仅仅需要建设一个CA系统，而且需要建设一个完善服务体系。海事局CA运行服务体系将以数字证书服务平台为技术手段，为局领导、管理人员和用户提供方便、快捷、高效数字证书全生命周期服务。辅以数字证书服务方案和CA基础设施运维方案，结合电子认证服务体系培训，保障CA基础设施正常运转。关键建设内容包含：(1)建立海事局数字证书服务平台，为全国用户提供方便、快捷、高效数字证书全生命周期服务；(2)设计数字证书服务方案，包含服务交付和服务支持等方面；(3)设计CA基础设施运维方案，保障CA基础设施正常运转；(4)开展电子认证服务体系培训，确保电子认证服务体系应用效果。3.2证书服务方案全部局证书服务人员按三级体系，即部局、直属局、分局及海事处。直属局证书服务人员只负责机关人员证书全生命周期管理，分局或海事处工作人员证书全生命周期管理由分局或海事处证书服务人员负责。证书服务人员证书及介质由部局统一采购并配发。3.2.1证书服务方案概述证书服务方案包含服务交付和服务支持两部分，其中：服务交付方案将针对面对证书用户提供证书生命周期服务和面对系统管理员提供证书业务查询统计服务作出具体叙述；服务支持方案将明确叙述面向证书用户和受理点管理员服务支持方法和支持内容。3.2.2服务交付方案3.2.2.1服务交付内容CA服务交付是指将证书及相关服务交付给用户。作为应用安全保障体系基础设施，建设一个安全、方便、快捷CA服务交付体系，是十分关键。CA服务交付内容包含三个方面：1、面对最终用户提供证书生命周期服务2、面对业务管理者提供证书业务查询统计服务3、面向应用提供者提供证书应用集成等服务。图表2CA认证服务交付内容其中，最关键是面向证书最终用户证书生命周期服务交付，包含证书申请发放、证书吊销、证书更新、证书重签发、密钥恢复、证书介质解锁等等。图表3证书生命周期服务3.2.2.2服务交付模式证书服务交付模式，关键包含受理点交付、在线服务交付两种关键模式，和结合受理点和在线混合交付模式。图表4证书服务交付模式受理点交付模式海事局将在全国各地域分局分批建设数字证书受理点，已建设证书受理点分支机构，证书服务可采取受理点交付模式。对于应用系统中已经有用户支持批量制证、发证，对于新注册用户，由用户自己提交用户信息到所在单位信息中心管理人员，经过所在单位信息中心管理员审核信息内容正确性，核实正确后由所在单位管理人员负责制证、交付。在线交付模式用户除能够经过受理点获取证书全生命周期服务外，还能够经过登录用户服务系统台获取在线证书服务。在证书更新、吊销、重签发、介质解锁阶段，经过Web自助获取服务。3.2.2.3服务交付步骤受理点集中证书申请步骤海事局内部证书采取证书受理点集中证书申请模式。集中申请是指由单位证书管理员集中搜集、整理和审查用户证书申请真实可靠后，经过文件方法将证书申请信息批量传入CA系统，由CA中心集中制作数字证书后发放给证书管理员，再由证书管理员集中将数字证书分发到用户手中。图表5受理点集中证书申请步骤具体步骤以下：(1)单位管理员搜集用户信息，并鉴证，然后将批量证书申请信息文件上传海事局CA系统并使用制证员证书对申请进行数字署名；(2)作为可选，由上级管理部门证书管理员审批证书申请；(3)海事局CA中心集中组织生产数字证书并写入USBKEY内，做好用户标识，然后将USBKEY下发到受理点管理员；(4)单位管理员将USBKEY分发给用户使用。证书更新步骤为了用户更新方便，提议全部采取在线更新方法。用户在证书立即到期时，应用系统将提前30天提醒用户进行证书更新。用户使用自己目前手中证书登录用户服务系统，进行更新申请。在取得CA中心后台管理人员授权后，用户可立即经过网络下载新证书。图表6证书更新步骤证书更新具体步骤以下：(1)受理点管理员查询系统立即到期用户名单，提交证书更新申请（也可是系统自动提交证书更新名单）；(2)管理员对更新申请信息进行授权；（可选）(3)证书用户使用旧证书登录证书用户服务系统；(4)系统验证旧证书有效性后，直接向用户usbkey内下载新证书，完成更新业务。证书撤销步骤当证书丢失或人员岗位变动时，应吊销用户证书使其不可再用。证书吊销提议人能够是证书管理员，也能够是证书持有者本身。证书管理员能够使用自己管理员证书，直接向CA提出吊销其管辖范围内用户证书；证书持有者能够经过提交鉴证材料，证实其证书持有些人身份后，提交证书吊销申请，由系统将证书序列号签发到黑名单中。用户自助吊销：用户登录在线服务平台，选择证书吊销，经过身份鉴证确定后即可吊销登录证书；管理员吊销：用户到管理员处申请吊销证书，管理员审核用户身份信息后登录证书服务管理系统，依据用户信息查询对应证书，进行吊销；USBKey密码解锁证书介质USBKey存放证书私钥，用口令进行保护（称为PIN口令）。为了保护UsbKey拥有者安全，预防被盗用或攻击风险，USBKey限制PIN口令犯错时重试次数，当连续使用错误口令重试10次后，Usbkey将自动锁死。这时，用户假如仍想继续使用，需要CA认证中心进行USBKey口令解锁。USBKey解锁具体步骤以下：(1)USBKey锁死用户在数字证书服务平台提交解锁申请；(2)受理点管理员确定用户证书解锁申请（鉴证）；(3)总部管理员给USBKey解锁申请授权；（可选）(4)证书用户使用USBKey登录解锁网站，设置新密码，完成USBKey解锁。密钥恢复假如证书应用过程中存在使用证书加密操作，一旦出现证书介质损坏或丢失情况，加密后信息便无法进行解密。这时，用户能够提出密钥恢复申请，由工作人员在证书服务系统中进行密钥恢复操作。密钥恢复具体步骤以下：(1)用户加密证书丢失或损坏后，可申请密钥恢复（填写申请表）；(2)受理点管理员鉴证用户身份；(3)受理点管理员提交证书密钥恢复；(4)总部管理员审批。(5)受理点管理员为用户分配新usbkey,选择密钥恢复，为用户恢复加密密钥和加密证书；(6)用户领取恢复后加密证书。3.2.2.4证书业务查询统计服务服务交付将为业务管理者提供详尽证书查询统计服务，其中查询可依据发放、使用和到期进行分别查询，证书统计可依据使用情况、办理情况进行统计，统计还依据月统计、使用单位和业务应用情况分别统计，统计信息可导出EXCEL表格输出。图表7证书查询统计功效图图表8按证书办理单位查询截图图表9按证书类型查询截图图表10按业务类型查询截图图表11按业务状态查询截图图表12按应用情况统计截图3.2.3服务支持方案3.2.3.1服务支持方法我们提议，可经过技术支持热线、现场服务等三种渠道为证书用户提供CA服务支持。【技术支持热线】：用户可经过电话、传真、电子邮件等和海事局证书管理部门联络，热线对用户支持请求进行分配，由热线支持人员针对证书最终用户进行技术支持，同时进行服务统计。【现场服务】：各级单位可指派对应专职责任人员，向各二级单位及其数字证书工作人员提供一对一支持服务。这些服务包含运行管理咨询、RA/受理点技术及运行支持和证书应用集成技术支持等服务。3.2.3.2服务支持内容服务支持是指数字证书服务相关各方，在取得证书及相关软件模块以后，提供合适支持服务，支撑基于数字证书业务活动开展。作为海事局，建设一个用户易于取得、并能够高效处理问题CA服务支持体系，是十分关键。服务支持内容包含三个方面：1、面对最终用户（内部工作人员）提供证书业务咨询，证书安装、使用帮助；2、面对业务管理者（信息化主管部门）提供运行管理咨询、RA/受理点技术及运行支持。图表13CA认证服务支持内容3.3CA基础设施运维方案3.3.1运维方案概述为加强海事局CA运维管理人员管理、确保系统物理安全、机房安全和设备管理，确保CA系统安全运行，依据海事局管理相关制度，需制订CA基础设施运维方案，方案关键内容包含：CA系统运行管理CA系统访问管理业务可连续性管理CA审计3.3.2CA系统运行管理海事局CA系统运行管理中，需要建立制度确保运行安全。具体方法包含：CA系统操作步骤需要文档化并进行维护。CA系统（包含软件、网络等方面）变更需经管理层同意，经同意变更实施前必需经过测试，并进行统计。可能对系统安全性有影响改动必需事先得进行风险评定，改动前应进行备份并得到管理层明确同意。CA中心测试系统、运行系统、网络设施等，含有专门操作维护人员，并有对应明确授权。操作维护人员需要定时检验系统及网络稳定性、安全性及容量，确定符合服务水平。建立检测和防护控制来预防病毒和恶意软件，并能提供合适报警信息。建立监控步骤，确保统计并汇报发觉或怀疑、对系统或服务有威胁安全缺点。建立并实施系统故障汇报、处理步骤。建立制度，对CA系统相关媒介（包含设备、证书介质、文档等）进行妥善保管，避免非授权访问。3.3.3CA系统访问管理海事局CA系统访问管理中，需要建立相关安全策略，具体包含：制订CA系统访问策略，内容包含：访问角色及相关权限，认证及判别方法，分权机制，特殊CA操作人数（密钥生成时m/n规则）等。制订CA系统访问人员角色职能定义，确保合理职责分割和权限控制，并明确授权及取消授权操作步骤和策略。制订网络安全策略，并制订访问网络控制策略。制订操作系统及CA软件安全访问策略。建立对多种对CA系统访问审计方法。3.3.4业务可连续性管理为确保海事局CA系统能够可靠运行，并能够应对危机，需要进行业务可连续性管理，具体方法包含：建立CA系统业务可连续性计划，并进行常常检验和更新，确保其连续有效。对CA系统中关键部件制订完善灾难恢复步骤，并日常进行演练，确保步骤操作有效性建立关键系统、数据、软件备份，并存放在符合CPS要求安全环境中，确保只有合理授权人员才可接触备份。定时测试备份设备、设施、后备电源等，确保其可用性。建立当CA署名密钥可信性受威胁时应变计划。3.3.5CA审计为确保海事局CA系统安全运行，应加强CA审计管理，具体方法包含：确定CA中心业务符合对CPS等法律文档中定义。CA中心管理人员需要定时对安全策略和操作步骤实施情况进行检验确定，进行运行风险评定。各类“日志”、“安全事件”统计应在机密和公正情况下以自动或手动方法产生，并定时归档。授权安全管理人员定时检阅统计和跟进相关事项。建立检测CA系统访问检测系统，确保非授权访问能够被发觉。一级统一认证管理平台一级统一认证管理平台直属局/地方省局国家海事局二级统一认证管理平台