DB42T451湖北省电子政务权限管理与登录技术规范.docx

1、DB42T451湖北省电子政务权限管理与登录技术规范湖北省质量技术监督局 发布2008-02-01实施2008-01-04发布湖北省电子政务权限管理与登录技术规范Specification of privilege management and sign-on for HuBei Province Electronic GovernmentDB42/T 4512008DB42湖北省地方标准ICS 35.240.60L 67isaISA目 次前 言 III引 言 IV1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 35 访问控制体系框架 45.1 访问控制整体框架 45.2 身份

2、认证与登录机制 45.3 权限管理 46 身份认证与登录机制 56.1 身份认证 56.2 登录机制 56.3 登录接口 66.3.1 请求认证接口 66.3.2 返回认证结果接口 66.3.3 注销接口 66.3.4 返回注销结果接口 66.3.5 编码要求 87 权限管理基础设施 87.1 权限管理基础设施的描述 87.2 源机构 87.3 属性授权机构 87.4 属性注册机构 97.5 代理点 97.6 权限管理中心的管理结构 97.6.1 集中式管理 97.6.2 分布式管理 97.6.3 集中式与分布式结合的管理结构 107.7 将角色应用于属性证书 107.8 属性证书格式 107

3、.8.1 基本结构 107.8.2 属性证书基本域 107.8.3 属性证书扩展域 107.8.4 签名算法域 117.8.5 签名值域 118 访问控制 118.1 基本描述 118.2 访问控制策略 118.3 访问控制信息 128.3.1 发起者的ACI 128.3.2 目标的ACI 128.3.3 访问请求的ACI 128.3.4 操作数的ACI 128.3.5 上下文信息 138.3.6 发起者绑定ACI 138.3.7 目标绑定ACI 138.3.8 访问请求绑定ACI 138.4 访问控制证书 138.5 访问控制机制 148.5.1 基于访问控制列表的机制 148.5.2 基于

4、权利的机制 148.5.3 基于标签的机制 148.5.4 基于上下文的机制 14附录A （资料性附录） 基于角色的属性管理 16A.1 基于角色权限应用模式结构 16A.2 角色分配证书与角色规范证书的关联 16A.3 属性证书的分发 18A.4 用户一角色一权限内容 18A.5 基于角色的属性管理的扩展 19A.6 权限管理系统的实现与工作流程 19附录B （资料性附录） 权限管理系统的体系结构 20B.1 权限管理系统的典型体系结构 20B.2 权限管理系统应用模型的工作流程 211前 言本标准由湖北省电子政务工作领导小组办公室提出。本标准由湖北省标准化协会电子政务专业委员会归口。本标准

5、主要起草单位：武汉大学计算机学院、湖北省标准化研究院。本标准主要起草人：涂航、张健、梁薇、吴永飞。本标准的附录A、附录B为资料性附录。2引 言为加强湖北省电子政务的总体安全，保证对全省电子政务资源权限管理的安全性和一致性，本标准依据GB/T 205182006信息安全技术 公钥基础设施 数字证书格式的要求，结合湖北省的实际应用经验，规范了权限管理系统和登录的技术框架。权限管理基础设施PMI（Privilege Management Infrastructure）是信息安全支撑平台的重要组成部分。本标准依据PMI的基本技术架构，结合基于角色的访问控制模型，为湖北省电子政务网络信任体系的访问控制系

6、统提供了权限管理和角色认证服务的规范。在本标准实施过程中，涉及到密码技术的具体应用时，按照国家密码管理局的有关规定和相关规范。本标准所引用的密码算法为举例性说明，具体使用时均须采用国家商用密码管理委员会批准的相应算法。湖北电子政务权限管理与登录技术规范21范围本标准规定了基于权限管理基础设施PMI的访问控制技术框架，并规定了相关服务的要求。本标准同时规定了登录湖北省电子政务应用系统的规范。本标准适用于权限管理系统的设计、建设和检测，对于特殊需求的应用系统，可根据具体的业务需求和情况进行灵活配置。22规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所

7、有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 DB42/T 3622006 电子政务术语DB42/T 4522008湖北省电子政务数字证书技术应用规范23术语和定义DB42/T 3622006确立的以及下列术语和定义适用于本标准。23.1特定权限管理基础设施 rivilege management infrastructure支持授权服务的综合基础设施，与公钥基础设施有着密切的联系。23.2属性证书attribute certificate属性授权机构进行数字签名的数

8、据结构，把持有者的身份信息与一些属性值绑定。23.3属性授权机构attribute authority通过发布属性证书来分配权限的认证机构，也称属性管理机构。23.4证书源授权机构 source of authority 为资源的特定权限验证者所信任的，位于顶层的分配特定权限的属性授权机构。23.5属性证书撤消列表attribute certificate revocatian list标识由发布机构已发布的、不再有效的属性证书的索引表。23.6属性注册机构attribute registration authority由AA委派和授权，采用公钥证书技术标识和鉴别属性证书申请者，为申请者向AA

9、提供属性证书签发申请，处理属性证书的业务请求，为AA系统提供注册服务管理的机构。23.7根CA root CA根认证中心是一种特殊的CA，位于证书认证层次结构的最高层，是最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构。根认证中心必须对它自己的证书签名。23.8持有者holder由源授权机构直接授权的或由其他属性授权机构间接授权的实体。23.9代理点point of agent是受ARA委派，直接面向属性证书注册者的处理机构，仅提供属性信息与ARA间的注册通道、手段和方法，以及部分提供相应的属性证书体最终下载处理机制。23.10权限管理中心privilege manage

10、ment center提供属性证书申请和管理、权限分配和管理、属性证书发布和管理的认证机构。23.11权限管理基础设施privilege management infrastructure支持授权服务的综合基础设施，与公钥基础设施有着密切的联系。23.12权限策略privilege policy一种策略，它描述了权限检验者提供敏感服务给具有资格的权限声明者，权限策略与服务相连的属性相关，也和与权限声明者相连的属性相关。23.13安全策略security policy由管理使用和提供安全服务和设施的安全机构所制定的一组规则。23.14源机构source of authority为资源的权限验证者

11、所信任的、位于顶层的分配权限的属性授权机构。23.15访问控制access control为电子政务系统所属资源在遭受XX或以未授权的方式进行的操作威胁时提供适当的控制以及防护措施，以保护信息的机密和完整性。23.16访问控制策略access control policy定义可发生访问控制条件的规则集。23.17访问控制信息Access Control Information用于访问控制目的的任何信息，其中包括上下文信息。23.18访问控制证书access control certificate包含ACI的安全证书。23.19访问控制判决信息Access control Decision In

12、formation（ADI）在作出一个特定访问控制判决时可供A DF使用的部分或全部ACI 。23.20访问控制判决功能Access control Decision Function（ADF）一种特定功能，它通过对访问请求、ADI（发起者的、目标的、访问请求的或以前决策保留下来的ADI）以及该访问请求的上下文，使用访问控制策略规则而做出访问控制判决。23.21访问控制实施功能Access control Enforcement Function（AEF）一种特定功能，它是每一访问请求中发起者和目标之间访问路径的一部分，并实施由ADF做出的决策。23.22角色Role 与用户的访问控制权限有关

13、的安全属性。一个角色可能和一种或几种服务有关，一个角色可能对应着一个或多个用户，一个用户可能承担者一种或多种角色。23.23角色分配证书Role Assignment Certificate（RAC） 一种证书，它包含角色属性，为证书对象/持有者分配一个或多个角色。23.24角色规范证书Role Specification CertificateRole（RSC） 一种属性证书，为角色分配特定权限的证书。24缩略语下列缩略语适用于本标准。 AA Attribute Authority 属性授权机构AC Attribute Certificate 属性证书ACL Access Control L

14、ist 访问控制列表ACI Access Control Information访问控制信息ACRL Attribute Certificate Revocation List 属性证书撤消列表ADF Access control Decision Function 访问控制判决功能ADI Access control Decision Information 访问控制判决信息AEF Access control Enforcement Function 访问控制实施功能ALDAP Attribute Certificate lightweight directory access proto

15、col 属性证书轻量目录访问协议ARA Attribute Registration Authority 属性注册机构ASN Abstract Syntax Notation 抽象语法表示法BER Basic Encoding Rules 基本编码规则C Country 国家CA Certification Authority 证书认证机构CN Common Name 通用名CRL Certificate Revocation List 证书吊销列表DN Distinguished Name 甄别名L Location 本地LDAP Lightweight Directory Access P

16、rotocol 轻量级目录访问协议O Organization 机构PKI Public Key Infrastructure 公钥基础设施PA Point of Agent 代理点PKC Public Key Certificate 公钥证书PMC Privilege Management Center 权限管理中心PMI Privilege Management Infrastructure 权限管理基础设施RA Registration Authority 注册中心SOA Source of Authority 源机构SDA Security Domain Authority 安全域机构

17、SSO Single Sign-On 单点登录25访问控制体系框架25.1访问控制整体框架湖北省电子政务访问控制的整体框架如图1所示：图1访问控制整体框架在湖北省电子政务中，访问控制的基础是登录机制和授权管理。其中，登录机制在有些场合下不是必须的。访问控制整体框架以PMI作为网络信任体系基础设施，采用基于角色的访问控制模型，向用户或应用程序提供登录服务和权限管理服务，提供用户身份到应用授权的映射技术，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权访问控制机制，简化具体应用系统的开发与维护。25.2身份认证与登录机制确认身份的过程称为身份认证。有五种认证用户身份的方法：a）用

18、户知道的，如口令、个人识别号（PIN）或密钥；b）用户拥有的，如USB-KEY；c）用户本身的生物特征，如语音特征、笔迹特征、视网膜或指纹；d）接受一个经认证的可信第三方已经确定用户身份的结果：e）上下文，如根据申请的源地址。应根据政务系统的安全性要求确定登录机制是否采用身份认证。在湖北省电子政务网内的应用系统应支持在省级或市州级统一认证的单点登录，并采用统一的身份认证方案。25.3权限管理权限管理体系框架如图2所示。图2权限管理体系框架ADF是框架的核心，由用户属性证书结合策略规则库、环境信息及登录信息生成访问控制信息，并执行访问控制决策。26身份认证与登录机制26.1身份认证根据政务系统的

19、安全性要求确定登录机制是否采用身份认证。对于公众访问的互联网上的电子政务应用系统，不强制要求采用身份认证登录。在政务外网内的应用系统应直接或通过单点登录支持湖北省公务员数字证书的认证。详见DB42/T 4522008。使用湖北省电子政务数字证书进行身份认证时，系统应对数字证书载体进行口令验证。26.2登录机制集成到各级政务门户的应用系统应支持单点登录（Single Sign-On，SSO）。单点登录由单点登录认证服务器提供服务。该服务器可单独部署，也可部署于省级或市级政务门户。单点登录使用用户令牌（UserToken）和服务令牌（ApplicationToken）为临时的身份凭证。其中，Use

20、rToken由SSO认证服务器生成并颁发给用户，作为SSO认证服务器赋予用户的临时身份凭证，包含但不限于用户的如下登录信息：ApplicationId，应用系统编号；UserId，用户ID；ProfileUserCode，用户在应用系统中的代码；ProfilePassword，用户在应用系统中的口令。ApplicationToken由接入应用系统根据SSO认证服务器提供的信息生成并颁发给用户，作为接入应用系统赋予用户的临时身份凭证，包含但不限于：用户的上述登录信息；用户在该应用系统上的权限信息；密码策略，字符串。应用系统被访问时，如果不能辨别用户的身份，则向SSO认证服务器提交身份验证请求，S

21、SO认证服务器通过CA对用户进行身份认证，判断用户拥有合法的UserToken，则将相关信息返回给应用系统，接入应用系统生成并向用户颁发ApplicationToken。当用户再次访问该应用系统时，应用系统通过判断用户是否拥有ApplicationToken，即可自行决定用户是否有权限使用此应用。26.3登录接口26.3.1请求认证接口应用系统请求SSO认证服务器进行身份认证，应提供的参数为ApplicationRequest，内容定义如下：URLEncoding（CryptPolicy+“$”+ApplicationId +“$”+Base64（Encrypt（ReturnUrl +“$”+

22、TimeStamp + “$”+ Base64（Hash（ReturnUrl + “$”+ TimeStamp）。参数说明如表1。表1名称说明数据类型长度（字节）CryptPolicy密码策略String7ApplicationId应用系统编码String40TimeStamp应用系统获取当前的时间戳，从2000年1月1日0时开始的毫秒数。String18ReturnUrlSSO认证服务器返回认证结果时需要调用应用系统的URLString100其中，Hash算法和加密算法采用国家密码管理委员会认可的算法，CryptPolicy为7个字节的字符串，依次表示为B7B6B5B4B3B2B1。其中，B

23、7固定为符号”!”，其他6个字节为阿拉拍数字，B6B5表示哈希算法，B4B3表示加密算法，B2B1表示认证算法。当CryptPolicy值为!000000时，即默认Hash算法为SHA-1，默认加密算法为3DES，密钥为SSO认证服务器颁发给应用系统的密钥。26.3.2返回认证结果接口SSO认证服务器返回应用系统认证结果参数为ApplicationResponse，内容定义如下：URLEncoding（CryptPolicy+“$”+ApplicationId +“$”+ Base64（Encrypt （Result +“$”+ UserId +“$” +UserType +“$” + Use

24、rName+“$”+ OrgCode+“$”+ TimeStamp +“$”+ ExpireTime +“$”+ UserProfile +“$”+ Base64（Hash（Result + “$”+ UserId + “$”+ TimeStamp +“$” + ExpireTime +“$”+ UserProfile）参数说明如表2。26.3.3注销接口应用系统请求SSO认证服务器注销应提供的参数为ApplicationRequest，其内容如下所示：ApplicationRequestValue = URLEncoding（ApplicationId + “$”+ Base64（Encry

25、pt（ReturnUrl + “$”+ TimeStamp + “$”+ Base64（Hash（ReturnUrl + “$”+ TimeStamp）参数说明如表3。26.3.4返回注销结果接口SSO认证服务器返回应用系统注销结果参数为ApplicationResponseValue，其内容如下：ApplicationResponseValue = URLEncoding（ApplicationID + “$”+ Base64（Encrypt （Result + “$” + TimeStamp + “$”+ Base64（Hash（Result + “$” + TimeStamp）参数说明如

26、表4。表2名称说明数据类型长度（字节）CryptPolicy密码策略，同上表String7ApplicationId应用系统统一编码String40TimeStamp统一认证平台生成当时的时间戳，从2000年1月1日0时开始的毫秒数。String18UserId用户的唯一标识，即活动目录中登录帐号，统一认证平台中的用户统一登录帐号String20UserType用户类型（0：注册用户，1：公务员，2：厅领导，3：省领导，4：有更详细的权限信息，见属性证书）IntUserName用户的真实姓名String20OrgCode组织单位统一编码String20ExpireTime失效时间，从2000年

27、1月1日0时开始的毫秒数。String18UserProfile用户在该应用系统的的映射帐号信息（帐号，密码），数据形式为：帐号；密码String100Result结果：0： 用户认证通过并有权使用此系统-1：用户不存在-2：用户状态不正常-1001：用户/密码错误-1002：用户取消认证-1003：用户无权使用此系统-10001：包数据格式不正确-10002：数据校验不正确IntPrivilegeCer属性证书String720CryptPolicy密码策略，同上表String7表3名称说明数据类型长度（字节）CryptPolicy密码策略，同上表String7ApplicationId应用

28、系统统一编码String40TimeStamp时间戳，从2000年1月1日0时开始的毫秒数。String18ReturnUrl统一认证平台返回注销结果时需要调用的应用系统的URLString100表4名称说明数据类型长度（字节）CryptPolicy密码策略，同上表String7ApplicationId应用系统统一编码String40TimeStamp时间戳，从2000年1月1日0时开始的毫秒数。String18Result结果：0： 用户注销通过-1003：用户未经过认证-10001：包数据格式不正确-10002：数据校验不正确Int26.3.5编码要求在实现以上功能时，UserId、Us

29、erName、UserProfile、OrgCode、ApplicationId、映射帐号信息中不得包含以下字符：$、；、!。27权限管理基础设施27.1权限管理基础设施的描述权限管理基础设施PMI以资源管理为核心，对资源的访问控制权交由权限管理机构统一处理，即由资源的所有者来进行访问控制。PMI的核心管理机构是权限管理中心PMC，其主要功能是用来实现权限管理和属性证书的生成、管理、存储、发布、应用、验证和撤消等。权限管理中心利用属性证书表示和容纳权限信息，通过管理证书的生存期实现对权限生命周期的管理。27.2源机构源机构SOA是受权限验证者信任的最高层的权限管理机构，是最终负责分配权限集合的

30、实体。其职责主要包括制定权限管理策略、制定访问控制策略、审核AA的设置、实施权限委派及管理以及策略证书的签发和管理等。SOA同PKI中的根CA类似。权限检验者信任SOA签发的属性证书。在许多环境中，SOA本身也是一种AA，所有的权限可以由单个AA即SOA直接分配给个体；本标准支持采用权限委托机制。SOA可将权限分配给一个实体，并允许该实体行使AA的功能。SOA提供如下服务：SOA签发服务；策略管理服务；资源管理服务；密码服务；属性证书库；管理终端。对于分布式管理结构，SOA作为AA的独立权威机构，可以设置LDAP目录发布服务、权限管理服务、属性证书历史记录、ACRL属性证书撤消列表记录、系统日志记录