DB21-T 3099-2018遼寧省無線電管理一體化平臺(tái)應(yīng)用安全平臺(tái)體系架構(gòu)及應(yīng)用規(guī)范

ICS35.100.70

M10

備案號(hào)：62052-2019DB21

遼寧省地方標(biāo)準(zhǔn)

DB21/T3099—2018

CA安全平臺(tái)體系架構(gòu)及應(yīng)用規(guī)范

CASecurityplatformframeworkandapplicationspecification

DB21/T3099—2018

前言

本規(guī)范按照GB/T1.1-2009給出的規(guī)則起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由遼寧省工業(yè)和信息化委員會(huì)提出。

本文件由遼寧省工業(yè)和信息化委員會(huì)歸口。

本文件起草單位：遼寧省重大技術(shù)裝備戰(zhàn)略基地建設(shè)工程中心。

本文件主要起草人：楊旭、孟嬌、張印、孫宏志。

III

DB21/T3099—2018

引言

遼寧省無線電管理信息系統(tǒng)建設(shè)基本以應(yīng)用系統(tǒng)為單位進(jìn)行建設(shè)的，由于缺乏全局規(guī)劃、缺乏統(tǒng)一

的標(biāo)準(zhǔn)體系，每個(gè)系統(tǒng)受自身格局所限，形成了一個(gè)個(gè)的孤島，系統(tǒng)之間銜接困難，系統(tǒng)的可擴(kuò)展性差，

存在著孤立的應(yīng)用系統(tǒng)、中斷的業(yè)務(wù)流程、分散的數(shù)據(jù)碎片和低效的信息資源等問題，難以滿足業(yè)務(wù)不

斷變化和發(fā)展需要。

在安全建設(shè)方面，原有的身份驗(yàn)證系統(tǒng)存在部分技術(shù)過時(shí)、對(duì)跨域訪問的支持功能有限以及與應(yīng)用

系統(tǒng)全面整合困難等，而無法滿足無線電管理信息系統(tǒng)安全建設(shè)的變化和進(jìn)一步發(fā)展需要。因此，迫切

需要一個(gè)統(tǒng)一的平臺(tái)來合理整合無線電管理的信息資源及應(yīng)用，實(shí)現(xiàn)全局信息資源共享及人員協(xié)作。與

之相適應(yīng)，對(duì)原有的應(yīng)用安全平臺(tái)（CA和身份驗(yàn)證系統(tǒng)）及安全規(guī)范需要升級(jí)，升級(jí)后的應(yīng)用安全平臺(tái)

是無線電管理一體化平臺(tái)的重要組成部分，對(duì)一體化平臺(tái)及各類無線電管理應(yīng)用系統(tǒng)提供用戶身份、接

入認(rèn)證、單點(diǎn)登錄、統(tǒng)一授權(quán)、日志審計(jì)和跨域訪問等基礎(chǔ)支撐服務(wù)。

為保障應(yīng)用安全平臺(tái)順利升級(jí)成功，必須對(duì)應(yīng)用安全平臺(tái)進(jìn)行統(tǒng)一的設(shè)計(jì)和驗(yàn)證，實(shí)現(xiàn)統(tǒng)一的技術(shù)

架構(gòu)、統(tǒng)一的目錄結(jié)構(gòu)、規(guī)范的目錄命名、統(tǒng)一的目錄同步機(jī)制、統(tǒng)一的應(yīng)用接入方式、規(guī)范的分級(jí)授

權(quán)管理模式，形成相應(yīng)的建設(shè)指導(dǎo)性規(guī)范文件。

IV

DB21/T3099—2018

CA安全平臺(tái)體系架構(gòu)及應(yīng)用規(guī)范

1范圍

本文件規(guī)定了無線電管理一體化平臺(tái)建設(shè)信息系統(tǒng)涉及的有關(guān)統(tǒng)一目錄管理、單點(diǎn)登錄、

統(tǒng)一身份管理、統(tǒng)一認(rèn)證、授權(quán)及審計(jì)管理等的應(yīng)用安全體系建設(shè)的原則和方法，適用于遼

寧省各級(jí)無線電管理機(jī)構(gòu)和遼寧省無線電管理信息系統(tǒng)中的應(yīng)用安全平臺(tái)及應(yīng)用系統(tǒng)、網(wǎng)絡(luò)

安全傳輸設(shè)備及其運(yùn)行和管理軟件等的開發(fā)和實(shí)施單位。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T13622無線電管理術(shù)語

3術(shù)語、定義和縮略語

GB/T13622界定的以及下列術(shù)語、定義和縮略語適用于本文。

3.1術(shù)語和定義

3.1.1

無線電管理一體化平臺(tái)ITintegrationplatformforradiomanagement

無線電管理一體化平臺(tái)是指以“平臺(tái)+應(yīng)用”為思想，以SOA為技術(shù)架構(gòu)，以先進(jìn)信息

化技術(shù)搭建的通用軟件平臺(tái)，包括物理資源，SOA中間件，通用支撐軟件，數(shù)據(jù)處理平臺(tái)等

系列平臺(tái)化軟件，即一體化平臺(tái)是一體化戰(zhàn)略的信息化具體體現(xiàn)。

3.1.2

省中心用戶信息庫(kù)Provincialuserdatabase

省中心用戶信息庫(kù)包含了遼寧省無線電管理機(jī)構(gòu)所有用戶的身份信息、證書信息和組織

機(jī)構(gòu)信息，存儲(chǔ)在省中心的身份管理系統(tǒng)中。

3.1.3

市級(jí)用戶信息庫(kù)Municipaluserdatabase

市級(jí)用戶信息庫(kù)指各市無線電管理機(jī)構(gòu)的用戶身份信息、證書信息和組織機(jī)構(gòu)信息，存

儲(chǔ)在各市的身份管理系統(tǒng)中。

3.1.4

用戶身份庫(kù)UserIDdatabase

用戶身份庫(kù)指存儲(chǔ)身份管理系統(tǒng)相關(guān)的賬號(hào)、權(quán)限和審計(jì)等信息。

1

DB21/T3099—2018

3.1.5

身份管理IDmanagement

身份管理是對(duì)用戶身份的創(chuàng)建、修改、遷移、凍結(jié)、刪除和同步等操作的管理。

3.1.6

賬號(hào)Accountnumber

應(yīng)用系統(tǒng)中用于登錄的用戶名叫做賬號(hào)。

3.1.7

審計(jì)管理Auditmanagement

審計(jì)管理是對(duì)用戶的登錄和操作等行為進(jìn)行記錄，查詢和系統(tǒng)分析的過程。

3.1.8

數(shù)字證書Digitalcetificates

數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種驗(yàn)證身份的方

式，其作用類似于身份證。它由權(quán)威機(jī)構(gòu)--CA機(jī)構(gòu)頒發(fā)，在相互通信中用它來識(shí)別雙方的身

份。

3.1.9

單點(diǎn)登錄Singlepointlogin

單點(diǎn)登錄是指“登錄一次，便可訪問多個(gè)系統(tǒng)”。

3.1.10

證書注銷列表Certificatelogoutlist

證書注銷列表是在證書有效期之內(nèi)，CA簽發(fā)的終止使用證書的信息。

3.1.11

票據(jù)Userdocument

用戶認(rèn)證通過后，身份管理系統(tǒng)的認(rèn)證服務(wù)器給用戶簽發(fā)一個(gè)用戶認(rèn)

證通過憑證，這個(gè)憑證就是票據(jù)。

3.1.12

互信中心服務(wù)Trustcentreservices

互信中心服務(wù)由省中心身份管理系統(tǒng)提供，為跨域訪問的用戶提供票據(jù)驗(yàn)證的服務(wù)。

3.1.13

入口級(jí)授權(quán)Entranceauthorization

入口級(jí)授權(quán)是指用戶是否有權(quán)訪問應(yīng)用系統(tǒng)，而對(duì)用戶訪問應(yīng)用系統(tǒng)的具體內(nèi)容不做控

制。

3.1.14

細(xì)粒度授權(quán)Refiningauthorization

2

DB21/T3099—2018

細(xì)粒度授權(quán)是指對(duì)用戶訪問應(yīng)用系統(tǒng)的具體內(nèi)容，例如：菜單、功能模塊、URL等進(jìn)行

授權(quán)。

3.2縮略語

下列縮略語適用于本文件：

CA數(shù)字證書簽發(fā)機(jī)構(gòu)CertificationAuthority

LDAP輕量目錄存取協(xié)議LightweightDirectoryAccessProtocol

LRA本地注冊(cè)機(jī)構(gòu)LocalRegistrationAuthority

OCSP在線證書狀態(tài)協(xié)議OnlineCertificateStatusProtocol

CryptpAPI應(yīng)用程序開發(fā)接口CryptographyApplicationProgrammingInterface

RADIUS遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RemoteAuthenticationDialInUserService

Filter過濾器Filter

4概述

4.1背景

遼寧省無線電管理信息系統(tǒng)經(jīng)過“十二五”建設(shè)，已經(jīng)初具規(guī)模，先后建設(shè)了頻率臺(tái)站、

天饋線、設(shè)備檢測(cè)、辦公OA等應(yīng)用系統(tǒng)。在信息安全基礎(chǔ)建設(shè)方面，建設(shè)了以CA系統(tǒng)和身

份驗(yàn)證系統(tǒng)為基礎(chǔ)的應(yīng)用安全平臺(tái)，提供了用戶身份認(rèn)證，業(yè)務(wù)單點(diǎn)登錄訪問、權(quán)限控制、

操作審計(jì)等功能。這些應(yīng)用系統(tǒng)和信息安全基礎(chǔ)設(shè)施的建設(shè)，很好滿足了遼寧省無線電管理

機(jī)構(gòu)信息化和信息安全的建設(shè)需要，為無線電管理工作起到了有力的業(yè)務(wù)支撐和安全支撐，

并為下一階段遼寧省無線電管理信息化建設(shè)打下了堅(jiān)實(shí)的基礎(chǔ)。

但目前，遼寧省無線電管理信息系統(tǒng)建設(shè)基本以應(yīng)用系統(tǒng)為單位進(jìn)行建設(shè)的，由于缺乏

全局規(guī)劃、缺乏統(tǒng)一的標(biāo)準(zhǔn)體系，每個(gè)系統(tǒng)受自身格局所限，形成了一個(gè)個(gè)的孤島，系統(tǒng)之

間銜接困難，系統(tǒng)的可擴(kuò)展性差，存在著孤立的應(yīng)用系統(tǒng)、中斷的業(yè)務(wù)流程、分散的數(shù)據(jù)碎

片和低效的信息資源等問題，難以滿足業(yè)務(wù)不斷變化和發(fā)展需要；而在安全建設(shè)方面，原有

的身份驗(yàn)證系統(tǒng)存在部分技術(shù)過時(shí)、對(duì)跨域訪問的支持功能有限以及與應(yīng)用系統(tǒng)全面整合困

難等，而無法滿足無線電管理信息系統(tǒng)安全建設(shè)的變化和進(jìn)一步發(fā)展需要。因此，迫切需要

一個(gè)統(tǒng)一的平臺(tái)來合理整合無線電管理的信息資源及應(yīng)用，實(shí)現(xiàn)全局信息資源共享及人員協(xié)

作。與之相適應(yīng)，對(duì)原有的應(yīng)用安全平臺(tái)（CA和身份驗(yàn)證系統(tǒng)）及安全規(guī)范需要升級(jí)，升

級(jí)后的應(yīng)用安全平臺(tái)是無線電管理一體化平臺(tái)的重要組成部分，對(duì)一體化平臺(tái)及各類無線電

管理應(yīng)用系統(tǒng)提供用戶身份、接入認(rèn)證、單點(diǎn)登錄、統(tǒng)一授權(quán)、日志審計(jì)和跨域訪問等基礎(chǔ)

支撐服務(wù)。

為了保障應(yīng)用安全平臺(tái)順利升級(jí)成功，必須對(duì)應(yīng)用安全平臺(tái)進(jìn)行統(tǒng)一的設(shè)計(jì)和驗(yàn)證，實(shí)

現(xiàn)統(tǒng)一的技術(shù)架構(gòu)、統(tǒng)一的目錄結(jié)構(gòu)、規(guī)范的目錄命名、統(tǒng)一的目錄同步機(jī)制、統(tǒng)一的應(yīng)用

接入方式、規(guī)范的分級(jí)授權(quán)管理模式，形成相應(yīng)的建設(shè)指導(dǎo)性規(guī)范文件。

4.2主要目的

本文檔作為遼寧省無線電管理信息系統(tǒng)應(yīng)用安全平臺(tái)（以下簡(jiǎn)稱“應(yīng)用安全平臺(tái)”）

及其上應(yīng)用的建設(shè)標(biāo)準(zhǔn)規(guī)范，一方面是規(guī)范無線電管理應(yīng)用安全平臺(tái)的升級(jí)，另一方面是

規(guī)范無線電管理應(yīng)用系統(tǒng)的安全建設(shè)，具體內(nèi)容包括：

1)規(guī)范應(yīng)用安全平臺(tái)的系統(tǒng)架構(gòu)，滿足“兩級(jí)架構(gòu)，多級(jí)管理”的總體要求；

2)規(guī)范應(yīng)用安全平臺(tái)的目錄實(shí)體命名編碼規(guī)則；

3)規(guī)范應(yīng)用安全平臺(tái)的統(tǒng)一認(rèn)證及單點(diǎn)登錄機(jī)制；

3

DB21/T3099—2018

4)規(guī)范應(yīng)用安全平臺(tái)的省中心到各市分中心跨域認(rèn)證機(jī)制；

5)規(guī)范應(yīng)用安全平臺(tái)的統(tǒng)一授權(quán)機(jī)制；

6)規(guī)范應(yīng)用安全平臺(tái)的統(tǒng)一審計(jì)機(jī)制；

7)規(guī)范應(yīng)用安全平臺(tái)的應(yīng)用系統(tǒng)集成接口。

4.3主要原則

應(yīng)用安全平臺(tái)及應(yīng)用的建設(shè)遵循如下原則：

1)統(tǒng)一性原則

應(yīng)用安全平臺(tái)的建設(shè)必須遵循統(tǒng)一原則，即統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計(jì)、統(tǒng)一驗(yàn)證和統(tǒng)一標(biāo)

準(zhǔn)的原則。

2)實(shí)用性原則

系統(tǒng)的建設(shè)將遵循實(shí)用性的原則，即切實(shí)解決遼寧省無線電管理信息系統(tǒng)的應(yīng)用安全

需要，盡量采用簡(jiǎn)單明了的方案以降低系統(tǒng)成本。

3)利舊原則

應(yīng)用安全平臺(tái)的建設(shè)遵循利舊原則，合理考慮節(jié)約系統(tǒng)建設(shè)成本，在現(xiàn)有應(yīng)用安全平

臺(tái)的基礎(chǔ)上進(jìn)行升級(jí)改造。

4)先進(jìn)性原則

應(yīng)用安全平臺(tái)的體系架構(gòu)要采用國(guó)際先進(jìn)的技術(shù)路線，基于先進(jìn)的系統(tǒng)架構(gòu)，結(jié)合國(guó)

內(nèi)外成功案例的設(shè)計(jì)經(jīng)驗(yàn)，從根本上保證系統(tǒng)運(yùn)行的高效、穩(wěn)定、安全。

5)易擴(kuò)展性原則

應(yīng)用安全平臺(tái)的體系架構(gòu)需要考慮現(xiàn)有的應(yīng)用系統(tǒng)和未來需要建設(shè)的應(yīng)用系統(tǒng)，以便

保證整個(gè)系統(tǒng)的不斷發(fā)展。

6)高可用性原則

應(yīng)用安全平臺(tái)的技術(shù)架構(gòu)必須要著重考慮系統(tǒng)運(yùn)行的穩(wěn)定性，對(duì)設(shè)計(jì)中的關(guān)鍵組件應(yīng)

靈活采用雙機(jī)熱備等高可用性方案，并提供較完善的備份恢復(fù)策略，較好地解決單點(diǎn)故障

和系統(tǒng)災(zāi)難問題。

7)安全性原則

應(yīng)用安全平臺(tái)的技術(shù)架構(gòu)必須要充分考慮影響系統(tǒng)安全的各種因素，在數(shù)據(jù)通信、物

理部署等多個(gè)層面上落實(shí)系統(tǒng)的安全性原則。

8)標(biāo)準(zhǔn)化原則

應(yīng)用安全平臺(tái)在架構(gòu)、服務(wù)、數(shù)據(jù)和接口等多個(gè)層面上形成各級(jí)無線電管理機(jī)構(gòu)建設(shè)

的標(biāo)準(zhǔn)。

9)平滑過渡原則

應(yīng)用安全平臺(tái)的設(shè)計(jì)優(yōu)先保證對(duì)核心需求、核心系統(tǒng)的實(shí)現(xiàn)，在此基礎(chǔ)上漸次擴(kuò)展覆

蓋范圍，盡量減少因系統(tǒng)建設(shè)對(duì)最終用戶的影響。

5總體技術(shù)框架

5.1總體架構(gòu)圖

4

DB21/T3099—2018

圖1總體架構(gòu)圖

應(yīng)用安全平臺(tái)是無線電管理一體化平臺(tái)的組成部分之一，應(yīng)用安全平臺(tái)由CA系統(tǒng)和

身份管理系統(tǒng)兩部分組成。CA系統(tǒng)已由省中心建設(shè)完成，主要為遼寧省各級(jí)無線電管理

機(jī)構(gòu)的所有用戶進(jìn)行證書申請(qǐng)、審核和簽發(fā)等，各地?zé)o線電管理機(jī)構(gòu)主要負(fù)責(zé)向省中心提

交證書申請(qǐng)信息。身份管理系統(tǒng)需要省中心和各市分別建設(shè)，身份管理系統(tǒng)提供統(tǒng)一的用

戶管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理和組織機(jī)構(gòu)管理等，省中心的身份管理系統(tǒng)還提

供一個(gè)互信中心服務(wù)，為跨域訪問的用戶提供票據(jù)的驗(yàn)證服務(wù)。應(yīng)用安全平臺(tái)的各個(gè)系統(tǒng)

之間、應(yīng)用安全平臺(tái)與一體化平臺(tái)之間的邏輯關(guān)系如圖1所示。

5.2應(yīng)用安全平臺(tái)邏輯結(jié)構(gòu)

應(yīng)用安全平臺(tái)是由CA系統(tǒng)和身份管理系統(tǒng)兩部分組成。CA系統(tǒng)提供數(shù)字證書、簽名

和加密等服務(wù)；身份管理系統(tǒng)提供統(tǒng)一的用戶身份管理、身份認(rèn)證、授權(quán)管理、審計(jì)管理

和組織機(jī)構(gòu)管理等服務(wù)。

5.2.1CA與身份管理系統(tǒng)關(guān)系

CA系統(tǒng)為身份管理系統(tǒng)的身份認(rèn)證服務(wù)提供證書

CA系統(tǒng)為遼寧省無線電管理機(jī)構(gòu)的所有用戶簽發(fā)數(shù)字證書，身份管理系統(tǒng)為用戶提

供統(tǒng)一的強(qiáng)身份認(rèn)證。

身份管理系統(tǒng)從CA系統(tǒng)同步用戶身份信息

省中心及各市中心的身份管理系統(tǒng)均需要從省中心用戶信息庫(kù)中讀取用戶證書信息，

并基于證書信息生成用戶賬號(hào)信息。讀取接口參見附錄C。

5.2.2CA與一體化平臺(tái)關(guān)系

5

DB21/T3099—2018

CA系統(tǒng)作為一體化平臺(tái)的一部分，為一體化平臺(tái)提供數(shù)字證書。

5.2.3身份管理系統(tǒng)與一體化平臺(tái)關(guān)系

身份管理系統(tǒng)提供的認(rèn)證管理、授權(quán)管理等功能被封裝并注冊(cè)到一體化平臺(tái)的服務(wù)總

線上，為用戶訪問應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證、授權(quán)等服務(wù)。

5.2.4CA與應(yīng)用系統(tǒng)關(guān)系

CA系統(tǒng)提供數(shù)字證書，證書格式采用X.509標(biāo)準(zhǔn)，滿足應(yīng)用系統(tǒng)的強(qiáng)身份認(rèn)證；還

可以為應(yīng)用系統(tǒng)提供數(shù)字簽名、信息完整性和機(jī)密性等服務(wù)。CA證書的開發(fā)接口參見附

錄G。

5.2.5身份管理系統(tǒng)與應(yīng)用系統(tǒng)

身份管理系統(tǒng)提供賬號(hào)服務(wù)

身份管理系統(tǒng)為應(yīng)用系統(tǒng)提供統(tǒng)一的賬號(hào)管理服務(wù)，新建設(shè)的應(yīng)用系統(tǒng)不用建設(shè)賬號(hào)

信息，直接接受身份管理系統(tǒng)推送的賬號(hào)信息；對(duì)于已建設(shè)的有賬號(hào)的應(yīng)用系統(tǒng)，身份管

理系統(tǒng)需要收集賬號(hào)信息，存儲(chǔ)在身份管理系統(tǒng)的身份信息庫(kù)中，并與身份管理系統(tǒng)基于

證書生成的賬號(hào)進(jìn)行映射，以便于實(shí)現(xiàn)單點(diǎn)登錄。

身份管理系統(tǒng)提供認(rèn)證授權(quán)和審計(jì)服務(wù)

身份管理系統(tǒng)為應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理、認(rèn)證管理、授權(quán)管理和審計(jì)管理等功

能。

身份管理系統(tǒng)提供組織機(jī)構(gòu)信息

應(yīng)用系統(tǒng)如果需要組織機(jī)構(gòu)信息，可以直接從身份管理系統(tǒng)的用戶信息庫(kù)中讀取。

5.3區(qū)域邏輯結(jié)構(gòu)

5.3.1省中心與各市之間

5.3.1.1CA系統(tǒng)

CA系統(tǒng)已由省中心統(tǒng)一建設(shè)，各市只需通過部署的遠(yuǎn)程注冊(cè)系統(tǒng)，將用戶注冊(cè)信息

提交至省中心進(jìn)行審核，CA系統(tǒng)審核通過后為用戶簽發(fā)數(shù)字證書。證書申請(qǐng)規(guī)范詳見附

錄A。

5.3.1.2身份管理系統(tǒng)

5.3.1.2.1身份管理

省中心建立省中心用戶信息庫(kù)，除了存儲(chǔ)省中心的組織機(jī)構(gòu)信息、用戶身份信息和全

省的用戶證書數(shù)據(jù)外，還將存儲(chǔ)由各市中心上報(bào)來的組織機(jī)構(gòu)和用戶身份數(shù)據(jù)，今后將作

為全網(wǎng)范圍內(nèi)最完整、準(zhǔn)確的中央身份庫(kù)。

各市中心建立本市范圍內(nèi)的市級(jí)用戶信息庫(kù)，存儲(chǔ)本市范圍內(nèi)的組織機(jī)構(gòu)信息、用戶

身份信息和用戶證書數(shù)據(jù)。其中用戶證書數(shù)據(jù)需從省中心用戶信息庫(kù)中讀取；用戶信息和

組織機(jī)構(gòu)信息如有變動(dòng)，需提交給省中心，具體如下：

各市的身份管理系統(tǒng)從省中心用戶信息庫(kù)中同步本市所有用戶證書信息，遼寧省無線

電管理機(jī)構(gòu)中的每個(gè)用戶的唯一編碼是由4位國(guó)標(biāo)“區(qū)域代碼”和“用戶編號(hào)”組成；各

市只能同步具有本市區(qū)域代碼標(biāo)識(shí)的用戶證書信息。例如：沈陽市只能同步用戶編碼為

“0100XXXX”的用戶證書信息。具體的編碼規(guī)范詳見附錄B。

各市身份管理系統(tǒng)需要從省中心用戶信息庫(kù)中基于證書讀取接口（詳見附錄C）讀取

6

DB21/T3099—2018

各市用戶證書信息，基于證書信息生成用戶身份信息，并按照用戶身份信息模板（詳見附

錄D.3的用戶信息模板）將用戶身份信息提交至省中心，由省中心人員審核后，同步至省

中心用戶信息庫(kù)中。各市用戶身份信息如有變動(dòng)，各市需將變動(dòng)的信息通過模板（詳見附

錄D.3提報(bào)信息模板）提交至省中心，由省中心將人員變動(dòng)信息審核通過后，同步至省中

心用戶信息庫(kù)中。

各市中心按照用戶組織機(jī)構(gòu)信息模板（詳見附錄D.3的組織機(jī)構(gòu)信息模板），將本市

用戶組織機(jī)構(gòu)信息提交至省中心，如果人員崗位、部門等信息有變動(dòng)，各市將變動(dòng)的信息

通過模板（詳見附錄D.3提報(bào)信息模板）提交至省中心，由省中心將人員變動(dòng)信息審核通

過后，同步至省中心用戶信息庫(kù)中。

各市如有用戶需要跨域訪問省中心資源，用戶身份信息同步應(yīng)遵循如下流程：

首先由本市的管理員將本市需要進(jìn)行跨域訪問的用戶進(jìn)行統(tǒng)計(jì)，向省中心的管理員提

交申請(qǐng)；

省中心管理員審核通過后，從省中心庫(kù)中同步跨域訪問用戶的身份信息。

5.3.1.2.2身份認(rèn)證

如果某市有用戶需要跨域訪問省中心資源，本市的身份管理系統(tǒng)的身份認(rèn)證服務(wù)與省

中心的身份認(rèn)證服務(wù)必須互信，系統(tǒng)時(shí)間必須保持同步。

對(duì)于需要進(jìn)行跨域訪問的用戶，跨域訪問應(yīng)遵循如下流程：

如果認(rèn)證服務(wù)未從用戶終端獲取票據(jù)，認(rèn)證服務(wù)需要對(duì)跨域用戶認(rèn)證，認(rèn)證通過后為

用戶生成一個(gè)票據(jù)，調(diào)用票據(jù)存儲(chǔ)接口將票據(jù)存儲(chǔ)在用戶本地并存儲(chǔ)至省中心身份管理系

統(tǒng)的互信中心服務(wù)。

如果認(rèn)證服務(wù)從用戶終端讀取票據(jù)，并調(diào)用票據(jù)驗(yàn)證接口到省中心身份管理系統(tǒng)的互

信中心服務(wù)驗(yàn)證票據(jù)是否有效，如果有效，用戶不用認(rèn)證繼續(xù)訪問。反之，用戶需要在應(yīng)

用系統(tǒng)所在地的認(rèn)證服務(wù)進(jìn)行身份認(rèn)證。具體接口詳見附錄F：票據(jù)接口。

5.3.1.2.3授權(quán)管理

省中心和各市中心的授權(quán)服務(wù)應(yīng)嚴(yán)格遵循“誰的資源誰管理、誰的資源誰授權(quán)”的原

則。對(duì)于跨區(qū)域訪問的用戶，由資源所在地的管理員根據(jù)用戶所屬中心、身份信息等為用

戶授予相應(yīng)的權(quán)限。

5.3.1.2.4審計(jì)管理

省中心和各市中心的審計(jì)服務(wù)應(yīng)嚴(yán)格遵循“誰的資源誰審計(jì)”的原則。對(duì)于跨域訪問

的用戶，由資源所在地的審計(jì)服務(wù)對(duì)用戶的所有訪問進(jìn)行審計(jì)。

5.3.2各市與地市關(guān)系

各地市可以根據(jù)情況，選擇建設(shè)身份管理系統(tǒng)或者使用各市中心建設(shè)的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6應(yīng)用安全平臺(tái)建設(shè)規(guī)范

6.1CA系統(tǒng)建設(shè)規(guī)范

6.1.1CA系統(tǒng)功能建設(shè)規(guī)范

CA系統(tǒng)主要是對(duì)生命周期內(nèi)的數(shù)字證書全過程管理的安全系統(tǒng)。CA系統(tǒng)主要是由證

7

DB21/T3099—2018

書簽發(fā)系統(tǒng)、RA系統(tǒng)、密鑰管理系統(tǒng)和LRA等組成。CA系統(tǒng)（LN-SRRC-CA中心）已由省

中心統(tǒng)一建設(shè)。

6.1.1.1證書簽發(fā)系統(tǒng)

證書簽發(fā)系統(tǒng)提供了對(duì)生命周期內(nèi)的數(shù)字證書進(jìn)行全過程的管理的功能，包括證書/

證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲(chǔ)與發(fā)布、證書狀態(tài)的查詢和密鑰

的生成與管理及安全管理等。

證書/證書注銷列表生成與簽發(fā)系統(tǒng)

證書/證書注銷列表生成與簽發(fā)系統(tǒng)負(fù)責(zé)生成、簽發(fā)數(shù)字證書和生成證書注銷列表。

簽發(fā)的證書類型支持人員證書、設(shè)備證書和機(jī)構(gòu)證書；并支持雙證書機(jī)制（加密證書和簽

名證書）。

證書狀態(tài)查詢系統(tǒng)

證書狀態(tài)查詢系統(tǒng)應(yīng)為用戶和應(yīng)用系統(tǒng)提供證書狀態(tài)查詢服務(wù)，包括：

CRL查詢：用戶或應(yīng)用系統(tǒng)利用數(shù)字證書中標(biāo)識(shí)的CRL地址，下載CRL，并檢驗(yàn)證書

有效性；

在線證書狀態(tài)查詢：用戶或應(yīng)用系統(tǒng)按照OCSP協(xié)議，實(shí)時(shí)在線查詢證書的狀態(tài)。

證書管理系統(tǒng)

證書管理系統(tǒng)是證書認(rèn)證系統(tǒng)中實(shí)現(xiàn)對(duì)證書/證書注銷列表的申請(qǐng)、審核、生成、簽

發(fā)、存儲(chǔ)、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)。

安全管理系統(tǒng)

安全管理系統(tǒng)主要包括安全審計(jì)系統(tǒng)和安全防護(hù)系統(tǒng)。

安全審計(jì)系統(tǒng)提供事件級(jí)審計(jì)功能，對(duì)涉及系統(tǒng)安全的行為、人員、時(shí)間等記錄進(jìn)行

跟蹤、統(tǒng)計(jì)和分析。

安全防護(hù)系統(tǒng)提供訪問控制、入侵檢測(cè)、漏洞掃描、病毒防治等網(wǎng)絡(luò)安全功能。

6.1.1.2RA注冊(cè)管理系統(tǒng)

用戶注冊(cè)管理系統(tǒng)負(fù)責(zé)用戶的證書申請(qǐng)、身份審核和證書下載，可分為本地注冊(cè)管理

系統(tǒng)和遠(yuǎn)程注冊(cè)管理系統(tǒng)。

省中心應(yīng)部署本地注冊(cè)管理系統(tǒng)；各市分中心應(yīng)部署遠(yuǎn)程注冊(cè)管理系統(tǒng)。

證書申請(qǐng)

證書申請(qǐng)可采用在線方式：各市中心用戶通過專網(wǎng)登錄到用戶注冊(cè)管理系統(tǒng)申請(qǐng)證

書；

身份審核

省中心審核人員通過用戶注冊(cè)管理系統(tǒng)，對(duì)證書申請(qǐng)者進(jìn)行身份審核；

證書下載

證書下載可采用在線方式：各市中心用戶通過專網(wǎng)等登錄到用戶注冊(cè)管理系統(tǒng)下載證

書。

6.1.1.3秘鑰管理系統(tǒng)

密鑰管理中心提供了對(duì)生命周期內(nèi)的加密證書密鑰對(duì)進(jìn)行全過程管理的功能，包括密

鑰生成、密鑰存儲(chǔ)、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤銷、密鑰歸檔、密鑰恢復(fù)以

及安全管理等。

密鑰生成

根據(jù)CA的請(qǐng)求為用戶生成非對(duì)稱密鑰對(duì)，該密鑰對(duì)由密鑰管理中心的硬件加密設(shè)備

8

DB21/T3099—2018

生成。

密鑰存儲(chǔ)

密鑰管理中心生成的非對(duì)稱密鑰對(duì)，經(jīng)硬件加密設(shè)備加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中。

密鑰分發(fā)

密鑰管理中心生成的非對(duì)稱密鑰對(duì)通過證書認(rèn)證系統(tǒng)分發(fā)到用戶證書載體中。

密鑰備份

密鑰管理中心采用熱備份、冷備份和異地備份等措施實(shí)現(xiàn)密鑰備份。

密鑰更新

當(dāng)證書到期或用戶需要時(shí)，密鑰管理中心根據(jù)CA請(qǐng)求為用戶生成新的非對(duì)稱密鑰對(duì)。

密鑰撤銷

當(dāng)證書到期、用戶需要或管理機(jī)構(gòu)認(rèn)為必要時(shí)，密鑰管理中心根據(jù)CA請(qǐng)求撤銷用戶

當(dāng)前使用的密鑰。

密鑰歸檔

密鑰管理中心為到期或撤銷的密鑰提供安全長(zhǎng)期的存儲(chǔ)。

密鑰恢復(fù)

密鑰管理中心可為用戶提供密鑰恢復(fù)服務(wù)和為司法取證提供密鑰恢復(fù)服務(wù)。密鑰恢復(fù)

需按管理策略進(jìn)行審批，一般用戶只限于恢復(fù)自身密鑰。

6.1.1.4LRA系統(tǒng)

LRA系統(tǒng)為本地申請(qǐng)證書的用戶信息進(jìn)行注冊(cè)。

6.1.2性能指標(biāo)

6.1.2.1系統(tǒng)容量

CA系統(tǒng)能支持50000個(gè)以上的用戶證書的簽發(fā)和管理。

6.1.2.2響應(yīng)速度

CA系統(tǒng)數(shù)字證書的簽發(fā)時(shí)間不超過1秒。

6.1.2.3加密算法

CA系統(tǒng)加密算法應(yīng)符合國(guó)家相關(guān)法律和法規(guī)要求，并能對(duì)加密算法的種類和強(qiáng)度進(jìn)

行擴(kuò)充和替換。

6.1.2.4密鑰保存期

密鑰保存期不少于10年。

6.2身份管理系統(tǒng)建設(shè)規(guī)范

6.2.1身份管理系統(tǒng)功能建設(shè)規(guī)范

身份管理系統(tǒng)主要為用戶訪問應(yīng)用系統(tǒng)提供統(tǒng)一的身份管理、認(rèn)證管理、授權(quán)管理、

審計(jì)管理和組織機(jī)構(gòu)管理等功能。主要是由身份管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理和

組織機(jī)構(gòu)管理等模塊組成。身份管理系統(tǒng)應(yīng)遵循三員管理，身份管理系統(tǒng)應(yīng)能支持多種操

作系統(tǒng)平臺(tái)，并且對(duì)用戶終端的操作系統(tǒng)無限制。

身份管理系統(tǒng)與LN-SRRC-CA中心的關(guān)系、省中心身份管理系統(tǒng)與各市中心身份管理

系統(tǒng)的關(guān)系及要求具體參見第5章。

9

DB21/T3099—2018

6.2.1.1身份管理

身份管理應(yīng)支持從LN-SRRC-CA中心同步用戶信息，支持從智能密碼鑰匙Key證書導(dǎo)

入用戶信息，支持和第三方應(yīng)用業(yè)務(wù)（數(shù)據(jù)庫(kù)/LDAP）雙向同步用戶信息，支持以組織機(jī)

構(gòu)方式對(duì)用戶進(jìn)行分類管理，支持臨時(shí)用戶管理。

身份管理應(yīng)能接管BS和CS應(yīng)用系統(tǒng)賬號(hào)信息，支持Linux主機(jī)、Windows主機(jī)、數(shù)

據(jù)庫(kù)、LDAP、AD域等多種賬號(hào)同步方式，支持組、角色等多種賬號(hào)授權(quán)方式。

用戶信息庫(kù)的存儲(chǔ)建議采用LDAP方式，省級(jí)用戶信息庫(kù)與省中心用戶信息庫(kù)的關(guān)系

參見6.3.1.2.1。應(yīng)以WebService服務(wù)方式為應(yīng)用系統(tǒng)提供組織機(jī)構(gòu)及用戶信息查詢和讀

取接口，各市的應(yīng)用系統(tǒng)如果需要讀取組織機(jī)構(gòu)及用戶信息，直接從各市級(jí)用戶信息庫(kù)中

讀取，由各市自行定義。各市的組織機(jī)構(gòu)信息和人員屬性信息存儲(chǔ)可參考附錄D的D.1

和D.2。

6.2.1.2身份認(rèn)證

身份認(rèn)證應(yīng)能實(shí)現(xiàn)用戶統(tǒng)一身份認(rèn)證、單點(diǎn)登錄功能；用戶認(rèn)證方式應(yīng)能采用

LN-SRRC-CA中心發(fā)布的數(shù)字證書認(rèn)證方式，應(yīng)支持對(duì)網(wǎng)段、時(shí)間、IP等多種認(rèn)證策略設(shè)

置。

應(yīng)調(diào)用省中心身份管理系統(tǒng)的互信中心服務(wù)提供的票據(jù)存儲(chǔ)、讀取和驗(yàn)證接口，實(shí)現(xiàn)

5.3.1.2.2中所要求的跨域訪問。具體接口詳見附錄F：票據(jù)接口。

6.2.1.3授權(quán)管理

授權(quán)管理應(yīng)支持入口級(jí)授權(quán)和細(xì)粒度授權(quán)；細(xì)粒度授權(quán)應(yīng)支持資源的菜單級(jí)、URL級(jí)

的權(quán)限控制，應(yīng)支持基于角色權(quán)限的配置管理；對(duì)于記錄級(jí)、數(shù)據(jù)庫(kù)字段級(jí)的授權(quán)可以由

應(yīng)用系統(tǒng)自行定義。

6.2.1.4審計(jì)管理

審計(jì)管理應(yīng)提供審計(jì)接口，支持其他應(yīng)用系統(tǒng)的日志信息上報(bào)；支持用戶行為關(guān)聯(lián)審

計(jì)；支持基于用戶名、用戶IP、資源、時(shí)間的訪問統(tǒng)計(jì)；支持日志的告警、自動(dòng)清理管理

等。

6.2.2網(wǎng)絡(luò)部署

10

DB21/T3099—2018

圖2身份管理系統(tǒng)部署圖

省中心和各市中心部署身份管理系統(tǒng)，為本中心用戶和跨區(qū)域訪問的用戶提供身份管

理、認(rèn)證管理、授權(quán)管理和審計(jì)管理等服務(wù)。部署方式可以采用與應(yīng)用系統(tǒng)并聯(lián)、與應(yīng)用

系統(tǒng)串聯(lián)等方式。

各地市可以根據(jù)情況，選擇建設(shè)身份管理系統(tǒng)或者使用各市中心建設(shè)的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6.2.3性能建設(shè)規(guī)范

6.2.3.1雙機(jī)熱備

應(yīng)支持雙機(jī)熱備，支持主從設(shè)備之間的數(shù)據(jù)同步、故障切換和恢復(fù)回切。主從設(shè)備之

間的切換時(shí)間小于15秒。

6.2.3.2備份策略

身份管理系統(tǒng)應(yīng)能支持硬件、軟件和數(shù)據(jù)庫(kù)備份。

6.2.3.3安全傳輸

用戶終端與身份管理系統(tǒng)之間需建立起一個(gè)安全通道來保障數(shù)據(jù)傳輸?shù)陌踩c完整。

6.2.3.4運(yùn)行穩(wěn)定性

身份管理系統(tǒng)應(yīng)能保證系統(tǒng)提供7×24小時(shí)不間斷服務(wù)。MTBF>100000小時(shí)。

6.2.3.5響應(yīng)速度

身份管理系統(tǒng)造成的系統(tǒng)延時(shí)不超過1秒。

11

DB21/T3099—2018

7應(yīng)用系統(tǒng)安全規(guī)范

應(yīng)用系統(tǒng)在實(shí)現(xiàn)應(yīng)用安全平臺(tái)提供的加解密、編碼、數(shù)字簽名、數(shù)字證書、安全協(xié)議、

策略機(jī)制、審計(jì)服務(wù)、授權(quán)管理、訪問控制、身份認(rèn)證等服務(wù)的建設(shè)過程中，應(yīng)用系統(tǒng)的

開發(fā)和實(shí)施必須遵循如下規(guī)范。鑒于本次規(guī)范中只考慮CA系統(tǒng)提供的強(qiáng)身份認(rèn)證功能，

7.1基于CA系統(tǒng)建設(shè)規(guī)范

遼寧省的CA認(rèn)證中心頒發(fā)的數(shù)字證書完全符合X.509標(biāo)準(zhǔn)。應(yīng)用系統(tǒng)要實(shí)現(xiàn)CA系統(tǒng)

提供的身份認(rèn)證、數(shù)據(jù)的完整性、機(jī)密性和不可抵賴性等功能，需要調(diào)用CA證書開發(fā)接

口來完成服務(wù)，接口詳見附錄G的CA證書開發(fā)接口。

7.2基于身份管理系統(tǒng)建設(shè)規(guī)范

7.2.1身份管理規(guī)范

已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)，身份管理系

統(tǒng)需要從應(yīng)用系統(tǒng)上收集已有的用戶賬號(hào)，并進(jìn)行賬號(hào)映射授權(quán)，以實(shí)現(xiàn)單點(diǎn)登錄功能。

新建的應(yīng)用系統(tǒng)不需要新建賬號(hào)，開發(fā)時(shí)依照身份管理系統(tǒng)提供的接口，直接調(diào)用身

份管理系統(tǒng)提供的接口，接受身份管理系統(tǒng)推進(jìn)的賬號(hào)信息。

7.2.2認(rèn)證管理規(guī)范

已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)，應(yīng)用廠商

必須對(duì)應(yīng)用系統(tǒng)進(jìn)行改造，調(diào)用身份管理系統(tǒng)提供的接口，以實(shí)現(xiàn)用戶認(rèn)證和單點(diǎn)登錄功

能。

新建應(yīng)用系統(tǒng)，開發(fā)時(shí)應(yīng)依據(jù)身份管理系統(tǒng)提供的認(rèn)證接口和單點(diǎn)登錄接口，直接調(diào)

用身份管理系統(tǒng)提供的接口來完成用戶認(rèn)證和單點(diǎn)登錄功能。

7.2.3授權(quán)管理規(guī)范

已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實(shí)現(xiàn)

統(tǒng)一授權(quán)，應(yīng)用廠商必須對(duì)應(yīng)用系統(tǒng)進(jìn)行改造，調(diào)用身份管理系統(tǒng)提供的接口；

新建應(yīng)用系統(tǒng)，開發(fā)時(shí)應(yīng)依據(jù)身份管理系統(tǒng)提供的授權(quán)接口，接受身份管理系統(tǒng)推送

過來的同名賬號(hào)，基于同名賬號(hào)進(jìn)行統(tǒng)一授權(quán)。

7.2.4審計(jì)管理規(guī)范

已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需實(shí)現(xiàn)

統(tǒng)一審計(jì)，應(yīng)用廠商必須對(duì)應(yīng)用系統(tǒng)進(jìn)行改造，調(diào)用身份管理系統(tǒng)提供的審計(jì)接口將審計(jì)

信息。

新建應(yīng)用系統(tǒng)，開發(fā)時(shí)應(yīng)依據(jù)身份管理系統(tǒng)提供的審計(jì)接口，直接調(diào)用身份管理系統(tǒng)

提供的接口來實(shí)現(xiàn)審計(jì)功能。

7.2.5組織機(jī)構(gòu)管理規(guī)范

已建設(shè)未被原有身份驗(yàn)證系統(tǒng)接管的和已被身份驗(yàn)證系統(tǒng)接管的應(yīng)用系統(tǒng)如需調(diào)用

統(tǒng)一的組織機(jī)構(gòu)及用戶信息，應(yīng)用廠商必須對(duì)應(yīng)用系統(tǒng)進(jìn)行改造，調(diào)用身份管理系統(tǒng)提供

的組織機(jī)構(gòu)查詢和讀取接口。新建應(yīng)用系統(tǒng)，開發(fā)時(shí)應(yīng)依據(jù)身份管理系統(tǒng)提供的組織結(jié)構(gòu)

查詢和讀取接口。

各市可以按照上述要求，在此基礎(chǔ)上根據(jù)自身建設(shè)的身份管理系統(tǒng)出臺(tái)相應(yīng)的應(yīng)用系

12

DB21/T3099—2018

統(tǒng)開發(fā)接口規(guī)范，并在規(guī)范中明確新建應(yīng)用系統(tǒng)、已有應(yīng)用系統(tǒng)的分別實(shí)現(xiàn)方式和接口服

務(wù)等。

13

DB21/T3099—2018

附錄A

(資料性附錄)

證書申請(qǐng)使用管理規(guī)范

遼寧省的LN-SRRC-CA中心將按照有關(guān)程序，統(tǒng)一對(duì)遼寧省無線電管理機(jī)構(gòu)的工作人

員、外單位的維護(hù)人員和各種安全實(shí)體對(duì)象（如VPN安全網(wǎng)關(guān)等）進(jìn)行發(fā)證、認(rèn)證。

1)各市無線電管理機(jī)構(gòu)用戶證書及服務(wù)器證書應(yīng)統(tǒng)一申請(qǐng)，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后發(fā)放，

由專人操作，不得移交他人擅自操作，申請(qǐng)時(shí)需仔細(xì)核實(shí)用戶有關(guān)信息，不得一

人申請(qǐng)多證書或多人共用一個(gè)證書。

2)各市無線電管理機(jī)構(gòu)在申請(qǐng)證書時(shí)，在申請(qǐng)界面“是否備份加密密鑰”處選中，

用來備份數(shù)字證書。備份數(shù)據(jù)應(yīng)由專人負(fù)責(zé)管理。

3)用戶數(shù)字證書有效期為10年。如需增加、變更或注銷證書的，盡量安排在同一

時(shí)間操作并電話或E-MAIL通知遼寧省無線電監(jiān)測(cè)中心相關(guān)負(fù)責(zé)人。

14

DB21/T3099—2018

附錄B

(資料性附錄)

區(qū)域代碼表

省中心區(qū)域代碼為2100，其他中心區(qū)域代碼參照國(guó)家標(biāo)準(zhǔn)GB/T2260-1999。

15

DB21/T3099—2018

附錄C

(資料性附錄)

證書讀取接口

接口名稱：getCACerts

接口描述：根據(jù)區(qū)域編碼獲取CA證書列表

傳入?yún)?shù)：regionCode字符串類型區(qū)域代碼

傳出參數(shù)：Json格式CA證書列表

[{username:00000001,regioncode:0000,cacert:<Base64的證書字符串信息1>},

{username:00000002,regioncode:0000,cacert:<Base64的證書字符串信息2>}

]

16

DB21/T3099—2018

附錄D

(資料性附錄)

組織機(jī)構(gòu)信息規(guī)范

D.1存儲(chǔ)結(jié)構(gòu)

組織(o=organization)下的子樹,就是按照“遼寧省無線電管理機(jī)構(gòu)”的實(shí)際組織機(jī)構(gòu)

結(jié)構(gòu)進(jìn)行分級(jí)存儲(chǔ)，直觀反映組織間的上下級(jí)關(guān)系。組織子樹下包含屬于該組織的人員列

表，這里每個(gè)人只是一個(gè)索引，指向人員子樹下具體的某個(gè)人員。

D.2組織機(jī)構(gòu)人員屬性表

LDAP字段字段說明

cn組織編碼

displayName組織名稱

description組織機(jī)構(gòu)職能

custLevelid組織架構(gòu)層次

custParentOrgCode上級(jí)組織編碼

custParentOrgName上級(jí)組織名稱

member組織成員（完整dn）

D.3組織機(jī)構(gòu)信息同步規(guī)范

各市的用戶身份信息、組織機(jī)構(gòu)信息、用戶身份與組織機(jī)構(gòu)關(guān)系都基于模板，以excel

格式提交至省中心，由省中心審核通過后，將該excel中的數(shù)據(jù)同步至省中心用戶信息庫(kù)

中。各市如果有用戶信息修改，需要將修改信息提交至省中心，各個(gè)模板如下：

17

DB21/T3099—2018

D.4用戶身份信息模板

用戶身份信息模板

填寫規(guī)范：

1、粗體標(biāo)*字段為必填項(xiàng)；

2、所有日期字段格式為：yyyy-mm-dd，例如：2013-09-17

3、性別可選值為：男/女；

4、任職狀態(tài)可選值為：在職/離職；

5、直接上級(jí)主管允許有多個(gè)，填寫上級(jí)主管用戶名，以英文輸入狀態(tài)的逗號(hào)分隔；

*用戶名*用戶姓名*性別出生日期*電子郵件辦公電話手機(jī)通訊地址*直接上級(jí)任職狀態(tài)入職時(shí)間離職時(shí)間

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實(shí)際填寫時(shí)請(qǐng)將其清除。

18

DB21/T3099—2018

D.5組織機(jī)構(gòu)信息模板

組織機(jī)構(gòu)信息模板

填寫規(guī)范：

1、粗體標(biāo)*字段為必填項(xiàng)；

2、組織機(jī)構(gòu)層級(jí)可選值為0/10/20/30/40，遼寧省無線電監(jiān)測(cè)中心為0，按行政組織機(jī)構(gòu)遞增；

3、上級(jí)組織機(jī)構(gòu)名稱為當(dāng)前組織機(jī)構(gòu)的上級(jí)組織機(jī)構(gòu)全名；

4、組織機(jī)構(gòu)成員可有多個(gè)，填寫用戶編碼，以英文輸入狀態(tài)的逗號(hào)分隔；

*組織機(jī)構(gòu)名稱*組織機(jī)構(gòu)職能描述*組織機(jī)構(gòu)層級(jí)*上級(jí)組織機(jī)構(gòu)名稱組織機(jī)構(gòu)成員

遼寧省無線電監(jiān)測(cè)中心遼寧省無線電監(jiān)測(cè)中心為……0

信息管理處……10遼寧省無線電監(jiān)測(cè)中心00001201,00001202

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實(shí)際填寫時(shí)請(qǐng)將其清除。

19

DB21/T3099—2018

D.6提報(bào)信息模板

提報(bào)單位：

提報(bào)時(shí)間：

提報(bào)人：

聯(lián)系電話：

提報(bào)信息說明：

20

DB21/T3099—2018

附錄E

(資料性附錄)

地市應(yīng)用安全平臺(tái)建設(shè)方案

E.1集中部署

各市需要使用省中心部署的身份管理系統(tǒng)來完成用戶賬號(hào)管理、認(rèn)證、授權(quán)和審計(jì)等服務(wù)，如果

各市有應(yīng)用系統(tǒng)，也需要將各市的應(yīng)用系統(tǒng)與身份管理系統(tǒng)做整合。網(wǎng)絡(luò)部署結(jié)構(gòu)如下：

應(yīng)用系統(tǒng)

4A系統(tǒng)

省中心

網(wǎng)

地專

市部

內(nèi)

用戶內(nèi)

部

專

網(wǎng)

地應(yīng)用系統(tǒng)

內(nèi)部市

專網(wǎng)

用戶

網(wǎng)

專

部

內(nèi)

地

市

用戶

圖E.1身份管理系統(tǒng)集中部署圖

E.1.1應(yīng)用場(chǎng)景

E.1.1.1各市用戶訪問省中心的應(yīng)用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請(qǐng)求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)返回用戶票據(jù)；

4)用戶攜帶票據(jù)訪問省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)驗(yàn)證用戶票據(jù)是否合法；如果票據(jù)合法，用戶

可以訪問應(yīng)用系統(tǒng)。

E.1.1.2各市用戶訪問本地市應(yīng)用系統(tǒng)

21

DB21/T3099—2018

1)用戶通登錄本地市的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請(qǐng)求通過廣域網(wǎng)重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)通過廣域網(wǎng)返回用

戶票據(jù)

4)用戶攜帶票據(jù)訪問應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)驗(yàn)證用戶票據(jù)是否合法；如果票據(jù)合法，用戶可以訪

問應(yīng)用系統(tǒng)。

E.1.2集中式部署特點(diǎn)

E.1.2.1集中式部署優(yōu)點(diǎn)

1)節(jié)省費(fèi)用，地市無需購(gòu)買身份管理系統(tǒng)；

2)方便省中心對(duì)各市的業(yè)務(wù)、人員的管控；

3)各市級(jí)網(wǎng)絡(luò)管理員維護(hù)簡(jiǎn)單。

E.1.2.2集中式部署缺點(diǎn)

1)各市用戶訪問容易受省中心和地市之間網(wǎng)絡(luò)的影響，如果一旦網(wǎng)絡(luò)有故障，各市用戶就無法

訪問；

2)訪問速度慢；

3)省級(jí)網(wǎng)絡(luò)管理員維護(hù)工作量大。

E.2分布式部署

各市可以建設(shè)身份管理系統(tǒng)來完成對(duì)本地市用戶的賬號(hào)管理、認(rèn)證、授權(quán)和審計(jì)等服務(wù)。網(wǎng)絡(luò)部

署結(jié)構(gòu)如下：

22

DB21/T3099—2018

4A系統(tǒng)

地

市內(nèi)

部

應(yīng)用系統(tǒng)專

網(wǎng)

4A系統(tǒng)

用戶

局域網(wǎng)省

中

內(nèi)部

專網(wǎng)心

應(yīng)用系統(tǒng)

網(wǎng)

專

部用戶

內(nèi)

4A系統(tǒng)

地

市

應(yīng)用系統(tǒng)

用戶

圖E.2身份管理系統(tǒng)分布式部署圖

E.2.1應(yīng)用場(chǎng)景

E.2.1.1各市用戶訪問省中心的應(yīng)用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應(yīng)用系統(tǒng)將用戶訪問請(qǐng)求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進(jìn)行認(rèn)證，認(rèn)證通過后，身份管理系統(tǒng)返