DB21-T 3099-2018遼寧省無線電管理一體化平臺應用安全平臺體系架構及應用規(guī)范

ICS35.100.70

M10

備案號：62052-2019DB21

遼寧省地方標準

DB21/T3099—2018

CA安全平臺體系架構及應用規(guī)范

CASecurityplatformframeworkandapplicationspecification

DB21/T3099—2018

前言

本規(guī)范按照GB/T1.1-2009給出的規(guī)則起草。

請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。

本文件由遼寧省工業(yè)和信息化委員會提出。

本文件由遼寧省工業(yè)和信息化委員會歸口。

本文件起草單位：遼寧省重大技術裝備戰(zhàn)略基地建設工程中心。

本文件主要起草人：楊旭、孟嬌、張印、孫宏志。

III

DB21/T3099—2018

引言

遼寧省無線電管理信息系統(tǒng)建設基本以應用系統(tǒng)為單位進行建設的，由于缺乏全局規(guī)劃、缺乏統(tǒng)一

的標準體系，每個系統(tǒng)受自身格局所限，形成了一個個的孤島，系統(tǒng)之間銜接困難，系統(tǒng)的可擴展性差，

存在著孤立的應用系統(tǒng)、中斷的業(yè)務流程、分散的數(shù)據(jù)碎片和低效的信息資源等問題，難以滿足業(yè)務不

斷變化和發(fā)展需要。

在安全建設方面，原有的身份驗證系統(tǒng)存在部分技術過時、對跨域訪問的支持功能有限以及與應用

系統(tǒng)全面整合困難等，而無法滿足無線電管理信息系統(tǒng)安全建設的變化和進一步發(fā)展需要。因此，迫切

需要一個統(tǒng)一的平臺來合理整合無線電管理的信息資源及應用，實現(xiàn)全局信息資源共享及人員協(xié)作。與

之相適應，對原有的應用安全平臺（CA和身份驗證系統(tǒng)）及安全規(guī)范需要升級，升級后的應用安全平臺

是無線電管理一體化平臺的重要組成部分，對一體化平臺及各類無線電管理應用系統(tǒng)提供用戶身份、接

入認證、單點登錄、統(tǒng)一授權、日志審計和跨域訪問等基礎支撐服務。

為保障應用安全平臺順利升級成功，必須對應用安全平臺進行統(tǒng)一的設計和驗證，實現(xiàn)統(tǒng)一的技術

架構、統(tǒng)一的目錄結構、規(guī)范的目錄命名、統(tǒng)一的目錄同步機制、統(tǒng)一的應用接入方式、規(guī)范的分級授

權管理模式，形成相應的建設指導性規(guī)范文件。

IV

DB21/T3099—2018

CA安全平臺體系架構及應用規(guī)范

1范圍

本文件規(guī)定了無線電管理一體化平臺建設信息系統(tǒng)涉及的有關統(tǒng)一目錄管理、單點登錄、

統(tǒng)一身份管理、統(tǒng)一認證、授權及審計管理等的應用安全體系建設的原則和方法，適用于遼

寧省各級無線電管理機構和遼寧省無線電管理信息系統(tǒng)中的應用安全平臺及應用系統(tǒng)、網(wǎng)絡

安全傳輸設備及其運行和管理軟件等的開發(fā)和實施單位。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T13622無線電管理術語

3術語、定義和縮略語

GB/T13622界定的以及下列術語、定義和縮略語適用于本文。

3.1術語和定義

3.1.1

無線電管理一體化平臺ITintegrationplatformforradiomanagement

無線電管理一體化平臺是指以“平臺+應用”為思想，以SOA為技術架構，以先進信息

化技術搭建的通用軟件平臺，包括物理資源，SOA中間件，通用支撐軟件，數(shù)據(jù)處理平臺等

系列平臺化軟件，即一體化平臺是一體化戰(zhàn)略的信息化具體體現(xiàn)。

3.1.2

省中心用戶信息庫Provincialuserdatabase

省中心用戶信息庫包含了遼寧省無線電管理機構所有用戶的身份信息、證書信息和組織

機構信息，存儲在省中心的身份管理系統(tǒng)中。

3.1.3

市級用戶信息庫Municipaluserdatabase

市級用戶信息庫指各市無線電管理機構的用戶身份信息、證書信息和組織機構信息，存

儲在各市的身份管理系統(tǒng)中。

3.1.4

用戶身份庫UserIDdatabase

用戶身份庫指存儲身份管理系統(tǒng)相關的賬號、權限和審計等信息。

1

DB21/T3099—2018

3.1.5

身份管理IDmanagement

身份管理是對用戶身份的創(chuàng)建、修改、遷移、凍結、刪除和同步等操作的管理。

3.1.6

賬號Accountnumber

應用系統(tǒng)中用于登錄的用戶名叫做賬號。

3.1.7

審計管理Auditmanagement

審計管理是對用戶的登錄和操作等行為進行記錄，查詢和系統(tǒng)分析的過程。

3.1.8

數(shù)字證書Digitalcetificates

數(shù)字證書是網(wǎng)絡通訊中標志通信各方身份信息的一系列數(shù)據(jù)，提供了一種驗證身份的方

式，其作用類似于身份證。它由權威機構--CA機構頒發(fā)，在相互通信中用它來識別雙方的身

份。

3.1.9

單點登錄Singlepointlogin

單點登錄是指“登錄一次，便可訪問多個系統(tǒng)”。

3.1.10

證書注銷列表Certificatelogoutlist

證書注銷列表是在證書有效期之內，CA簽發(fā)的終止使用證書的信息。

3.1.11

票據(jù)Userdocument

用戶認證通過后，身份管理系統(tǒng)的認證服務器給用戶簽發(fā)一個用戶認

證通過憑證，這個憑證就是票據(jù)。

3.1.12

互信中心服務Trustcentreservices

互信中心服務由省中心身份管理系統(tǒng)提供，為跨域訪問的用戶提供票據(jù)驗證的服務。

3.1.13

入口級授權Entranceauthorization

入口級授權是指用戶是否有權訪問應用系統(tǒng)，而對用戶訪問應用系統(tǒng)的具體內容不做控

制。

3.1.14

細粒度授權Refiningauthorization

2

DB21/T3099—2018

細粒度授權是指對用戶訪問應用系統(tǒng)的具體內容，例如：菜單、功能模塊、URL等進行

授權。

3.2縮略語

下列縮略語適用于本文件：

CA數(shù)字證書簽發(fā)機構CertificationAuthority

LDAP輕量目錄存取協(xié)議LightweightDirectoryAccessProtocol

LRA本地注冊機構LocalRegistrationAuthority

OCSP在線證書狀態(tài)協(xié)議OnlineCertificateStatusProtocol

CryptpAPI應用程序開發(fā)接口CryptographyApplicationProgrammingInterface

RADIUS遠程用戶撥號認證系統(tǒng)RemoteAuthenticationDialInUserService

Filter過濾器Filter

4概述

4.1背景

遼寧省無線電管理信息系統(tǒng)經(jīng)過“十二五”建設，已經(jīng)初具規(guī)模，先后建設了頻率臺站、

天饋線、設備檢測、辦公OA等應用系統(tǒng)。在信息安全基礎建設方面，建設了以CA系統(tǒng)和身

份驗證系統(tǒng)為基礎的應用安全平臺，提供了用戶身份認證，業(yè)務單點登錄訪問、權限控制、

操作審計等功能。這些應用系統(tǒng)和信息安全基礎設施的建設，很好滿足了遼寧省無線電管理

機構信息化和信息安全的建設需要，為無線電管理工作起到了有力的業(yè)務支撐和安全支撐，

并為下一階段遼寧省無線電管理信息化建設打下了堅實的基礎。

但目前，遼寧省無線電管理信息系統(tǒng)建設基本以應用系統(tǒng)為單位進行建設的，由于缺乏

全局規(guī)劃、缺乏統(tǒng)一的標準體系，每個系統(tǒng)受自身格局所限，形成了一個個的孤島，系統(tǒng)之

間銜接困難，系統(tǒng)的可擴展性差，存在著孤立的應用系統(tǒng)、中斷的業(yè)務流程、分散的數(shù)據(jù)碎

片和低效的信息資源等問題，難以滿足業(yè)務不斷變化和發(fā)展需要；而在安全建設方面，原有

的身份驗證系統(tǒng)存在部分技術過時、對跨域訪問的支持功能有限以及與應用系統(tǒng)全面整合困

難等，而無法滿足無線電管理信息系統(tǒng)安全建設的變化和進一步發(fā)展需要。因此，迫切需要

一個統(tǒng)一的平臺來合理整合無線電管理的信息資源及應用，實現(xiàn)全局信息資源共享及人員協(xié)

作。與之相適應，對原有的應用安全平臺（CA和身份驗證系統(tǒng)）及安全規(guī)范需要升級，升

級后的應用安全平臺是無線電管理一體化平臺的重要組成部分，對一體化平臺及各類無線電

管理應用系統(tǒng)提供用戶身份、接入認證、單點登錄、統(tǒng)一授權、日志審計和跨域訪問等基礎

支撐服務。

為了保障應用安全平臺順利升級成功，必須對應用安全平臺進行統(tǒng)一的設計和驗證，實

現(xiàn)統(tǒng)一的技術架構、統(tǒng)一的目錄結構、規(guī)范的目錄命名、統(tǒng)一的目錄同步機制、統(tǒng)一的應用

接入方式、規(guī)范的分級授權管理模式，形成相應的建設指導性規(guī)范文件。

4.2主要目的

本文檔作為遼寧省無線電管理信息系統(tǒng)應用安全平臺（以下簡稱“應用安全平臺”）

及其上應用的建設標準規(guī)范，一方面是規(guī)范無線電管理應用安全平臺的升級，另一方面是

規(guī)范無線電管理應用系統(tǒng)的安全建設，具體內容包括：

1)規(guī)范應用安全平臺的系統(tǒng)架構，滿足“兩級架構，多級管理”的總體要求；

2)規(guī)范應用安全平臺的目錄實體命名編碼規(guī)則；

3)規(guī)范應用安全平臺的統(tǒng)一認證及單點登錄機制；

3

DB21/T3099—2018

4)規(guī)范應用安全平臺的省中心到各市分中心跨域認證機制；

5)規(guī)范應用安全平臺的統(tǒng)一授權機制；

6)規(guī)范應用安全平臺的統(tǒng)一審計機制；

7)規(guī)范應用安全平臺的應用系統(tǒng)集成接口。

4.3主要原則

應用安全平臺及應用的建設遵循如下原則：

1)統(tǒng)一性原則

應用安全平臺的建設必須遵循統(tǒng)一原則，即統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一驗證和統(tǒng)一標

準的原則。

2)實用性原則

系統(tǒng)的建設將遵循實用性的原則，即切實解決遼寧省無線電管理信息系統(tǒng)的應用安全

需要，盡量采用簡單明了的方案以降低系統(tǒng)成本。

3)利舊原則

應用安全平臺的建設遵循利舊原則，合理考慮節(jié)約系統(tǒng)建設成本，在現(xiàn)有應用安全平

臺的基礎上進行升級改造。

4)先進性原則

應用安全平臺的體系架構要采用國際先進的技術路線，基于先進的系統(tǒng)架構，結合國

內外成功案例的設計經(jīng)驗，從根本上保證系統(tǒng)運行的高效、穩(wěn)定、安全。

5)易擴展性原則

應用安全平臺的體系架構需要考慮現(xiàn)有的應用系統(tǒng)和未來需要建設的應用系統(tǒng)，以便

保證整個系統(tǒng)的不斷發(fā)展。

6)高可用性原則

應用安全平臺的技術架構必須要著重考慮系統(tǒng)運行的穩(wěn)定性，對設計中的關鍵組件應

靈活采用雙機熱備等高可用性方案，并提供較完善的備份恢復策略，較好地解決單點故障

和系統(tǒng)災難問題。

7)安全性原則

應用安全平臺的技術架構必須要充分考慮影響系統(tǒng)安全的各種因素，在數(shù)據(jù)通信、物

理部署等多個層面上落實系統(tǒng)的安全性原則。

8)標準化原則

應用安全平臺在架構、服務、數(shù)據(jù)和接口等多個層面上形成各級無線電管理機構建設

的標準。

9)平滑過渡原則

應用安全平臺的設計優(yōu)先保證對核心需求、核心系統(tǒng)的實現(xiàn)，在此基礎上漸次擴展覆

蓋范圍，盡量減少因系統(tǒng)建設對最終用戶的影響。

5總體技術框架

5.1總體架構圖

4

DB21/T3099—2018

圖1總體架構圖

應用安全平臺是無線電管理一體化平臺的組成部分之一，應用安全平臺由CA系統(tǒng)和

身份管理系統(tǒng)兩部分組成。CA系統(tǒng)已由省中心建設完成，主要為遼寧省各級無線電管理

機構的所有用戶進行證書申請、審核和簽發(fā)等，各地無線電管理機構主要負責向省中心提

交證書申請信息。身份管理系統(tǒng)需要省中心和各市分別建設，身份管理系統(tǒng)提供統(tǒng)一的用

戶管理、認證管理、授權管理、審計管理和組織機構管理等，省中心的身份管理系統(tǒng)還提

供一個互信中心服務，為跨域訪問的用戶提供票據(jù)的驗證服務。應用安全平臺的各個系統(tǒng)

之間、應用安全平臺與一體化平臺之間的邏輯關系如圖1所示。

5.2應用安全平臺邏輯結構

應用安全平臺是由CA系統(tǒng)和身份管理系統(tǒng)兩部分組成。CA系統(tǒng)提供數(shù)字證書、簽名

和加密等服務；身份管理系統(tǒng)提供統(tǒng)一的用戶身份管理、身份認證、授權管理、審計管理

和組織機構管理等服務。

5.2.1CA與身份管理系統(tǒng)關系

CA系統(tǒng)為身份管理系統(tǒng)的身份認證服務提供證書

CA系統(tǒng)為遼寧省無線電管理機構的所有用戶簽發(fā)數(shù)字證書，身份管理系統(tǒng)為用戶提

供統(tǒng)一的強身份認證。

身份管理系統(tǒng)從CA系統(tǒng)同步用戶身份信息

省中心及各市中心的身份管理系統(tǒng)均需要從省中心用戶信息庫中讀取用戶證書信息，

并基于證書信息生成用戶賬號信息。讀取接口參見附錄C。

5.2.2CA與一體化平臺關系

5

DB21/T3099—2018

CA系統(tǒng)作為一體化平臺的一部分，為一體化平臺提供數(shù)字證書。

5.2.3身份管理系統(tǒng)與一體化平臺關系

身份管理系統(tǒng)提供的認證管理、授權管理等功能被封裝并注冊到一體化平臺的服務總

線上，為用戶訪問應用系統(tǒng)提供統(tǒng)一的認證、授權等服務。

5.2.4CA與應用系統(tǒng)關系

CA系統(tǒng)提供數(shù)字證書，證書格式采用X.509標準，滿足應用系統(tǒng)的強身份認證；還

可以為應用系統(tǒng)提供數(shù)字簽名、信息完整性和機密性等服務。CA證書的開發(fā)接口參見附

錄G。

5.2.5身份管理系統(tǒng)與應用系統(tǒng)

身份管理系統(tǒng)提供賬號服務

身份管理系統(tǒng)為應用系統(tǒng)提供統(tǒng)一的賬號管理服務，新建設的應用系統(tǒng)不用建設賬號

信息，直接接受身份管理系統(tǒng)推送的賬號信息；對于已建設的有賬號的應用系統(tǒng)，身份管

理系統(tǒng)需要收集賬號信息，存儲在身份管理系統(tǒng)的身份信息庫中，并與身份管理系統(tǒng)基于

證書生成的賬號進行映射，以便于實現(xiàn)單點登錄。

身份管理系統(tǒng)提供認證授權和審計服務

身份管理系統(tǒng)為應用系統(tǒng)提供統(tǒng)一的用戶管理、認證管理、授權管理和審計管理等功

能。

身份管理系統(tǒng)提供組織機構信息

應用系統(tǒng)如果需要組織機構信息，可以直接從身份管理系統(tǒng)的用戶信息庫中讀取。

5.3區(qū)域邏輯結構

5.3.1省中心與各市之間

5.3.1.1CA系統(tǒng)

CA系統(tǒng)已由省中心統(tǒng)一建設，各市只需通過部署的遠程注冊系統(tǒng)，將用戶注冊信息

提交至省中心進行審核，CA系統(tǒng)審核通過后為用戶簽發(fā)數(shù)字證書。證書申請規(guī)范詳見附

錄A。

5.3.1.2身份管理系統(tǒng)

5.3.1.2.1身份管理

省中心建立省中心用戶信息庫，除了存儲省中心的組織機構信息、用戶身份信息和全

省的用戶證書數(shù)據(jù)外，還將存儲由各市中心上報來的組織機構和用戶身份數(shù)據(jù)，今后將作

為全網(wǎng)范圍內最完整、準確的中央身份庫。

各市中心建立本市范圍內的市級用戶信息庫，存儲本市范圍內的組織機構信息、用戶

身份信息和用戶證書數(shù)據(jù)。其中用戶證書數(shù)據(jù)需從省中心用戶信息庫中讀??；用戶信息和

組織機構信息如有變動，需提交給省中心，具體如下：

各市的身份管理系統(tǒng)從省中心用戶信息庫中同步本市所有用戶證書信息，遼寧省無線

電管理機構中的每個用戶的唯一編碼是由4位國標“區(qū)域代碼”和“用戶編號”組成；各

市只能同步具有本市區(qū)域代碼標識的用戶證書信息。例如：沈陽市只能同步用戶編碼為

“0100XXXX”的用戶證書信息。具體的編碼規(guī)范詳見附錄B。

各市身份管理系統(tǒng)需要從省中心用戶信息庫中基于證書讀取接口（詳見附錄C）讀取

6

DB21/T3099—2018

各市用戶證書信息，基于證書信息生成用戶身份信息，并按照用戶身份信息模板（詳見附

錄D.3的用戶信息模板）將用戶身份信息提交至省中心，由省中心人員審核后，同步至省

中心用戶信息庫中。各市用戶身份信息如有變動，各市需將變動的信息通過模板（詳見附

錄D.3提報信息模板）提交至省中心，由省中心將人員變動信息審核通過后，同步至省中

心用戶信息庫中。

各市中心按照用戶組織機構信息模板（詳見附錄D.3的組織機構信息模板），將本市

用戶組織機構信息提交至省中心，如果人員崗位、部門等信息有變動，各市將變動的信息

通過模板（詳見附錄D.3提報信息模板）提交至省中心，由省中心將人員變動信息審核通

過后，同步至省中心用戶信息庫中。

各市如有用戶需要跨域訪問省中心資源，用戶身份信息同步應遵循如下流程：

首先由本市的管理員將本市需要進行跨域訪問的用戶進行統(tǒng)計，向省中心的管理員提

交申請；

省中心管理員審核通過后，從省中心庫中同步跨域訪問用戶的身份信息。

5.3.1.2.2身份認證

如果某市有用戶需要跨域訪問省中心資源，本市的身份管理系統(tǒng)的身份認證服務與省

中心的身份認證服務必須互信，系統(tǒng)時間必須保持同步。

對于需要進行跨域訪問的用戶，跨域訪問應遵循如下流程：

如果認證服務未從用戶終端獲取票據(jù)，認證服務需要對跨域用戶認證，認證通過后為

用戶生成一個票據(jù)，調用票據(jù)存儲接口將票據(jù)存儲在用戶本地并存儲至省中心身份管理系

統(tǒng)的互信中心服務。

如果認證服務從用戶終端讀取票據(jù)，并調用票據(jù)驗證接口到省中心身份管理系統(tǒng)的互

信中心服務驗證票據(jù)是否有效，如果有效，用戶不用認證繼續(xù)訪問。反之，用戶需要在應

用系統(tǒng)所在地的認證服務進行身份認證。具體接口詳見附錄F：票據(jù)接口。

5.3.1.2.3授權管理

省中心和各市中心的授權服務應嚴格遵循“誰的資源誰管理、誰的資源誰授權”的原

則。對于跨區(qū)域訪問的用戶，由資源所在地的管理員根據(jù)用戶所屬中心、身份信息等為用

戶授予相應的權限。

5.3.1.2.4審計管理

省中心和各市中心的審計服務應嚴格遵循“誰的資源誰審計”的原則。對于跨域訪問

的用戶，由資源所在地的審計服務對用戶的所有訪問進行審計。

5.3.2各市與地市關系

各地市可以根據(jù)情況，選擇建設身份管理系統(tǒng)或者使用各市中心建設的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6應用安全平臺建設規(guī)范

6.1CA系統(tǒng)建設規(guī)范

6.1.1CA系統(tǒng)功能建設規(guī)范

CA系統(tǒng)主要是對生命周期內的數(shù)字證書全過程管理的安全系統(tǒng)。CA系統(tǒng)主要是由證

7

DB21/T3099—2018

書簽發(fā)系統(tǒng)、RA系統(tǒng)、密鑰管理系統(tǒng)和LRA等組成。CA系統(tǒng)（LN-SRRC-CA中心）已由省

中心統(tǒng)一建設。

6.1.1.1證書簽發(fā)系統(tǒng)

證書簽發(fā)系統(tǒng)提供了對生命周期內的數(shù)字證書進行全過程的管理的功能，包括證書/

證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢和密鑰

的生成與管理及安全管理等。

證書/證書注銷列表生成與簽發(fā)系統(tǒng)

證書/證書注銷列表生成與簽發(fā)系統(tǒng)負責生成、簽發(fā)數(shù)字證書和生成證書注銷列表。

簽發(fā)的證書類型支持人員證書、設備證書和機構證書；并支持雙證書機制（加密證書和簽

名證書）。

證書狀態(tài)查詢系統(tǒng)

證書狀態(tài)查詢系統(tǒng)應為用戶和應用系統(tǒng)提供證書狀態(tài)查詢服務，包括：

CRL查詢：用戶或應用系統(tǒng)利用數(shù)字證書中標識的CRL地址，下載CRL，并檢驗證書

有效性；

在線證書狀態(tài)查詢：用戶或應用系統(tǒng)按照OCSP協(xié)議，實時在線查詢證書的狀態(tài)。

證書管理系統(tǒng)

證書管理系統(tǒng)是證書認證系統(tǒng)中實現(xiàn)對證書/證書注銷列表的申請、審核、生成、簽

發(fā)、存儲、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)。

安全管理系統(tǒng)

安全管理系統(tǒng)主要包括安全審計系統(tǒng)和安全防護系統(tǒng)。

安全審計系統(tǒng)提供事件級審計功能，對涉及系統(tǒng)安全的行為、人員、時間等記錄進行

跟蹤、統(tǒng)計和分析。

安全防護系統(tǒng)提供訪問控制、入侵檢測、漏洞掃描、病毒防治等網(wǎng)絡安全功能。

6.1.1.2RA注冊管理系統(tǒng)

用戶注冊管理系統(tǒng)負責用戶的證書申請、身份審核和證書下載，可分為本地注冊管理

系統(tǒng)和遠程注冊管理系統(tǒng)。

省中心應部署本地注冊管理系統(tǒng)；各市分中心應部署遠程注冊管理系統(tǒng)。

證書申請

證書申請可采用在線方式：各市中心用戶通過專網(wǎng)登錄到用戶注冊管理系統(tǒng)申請證

書；

身份審核

省中心審核人員通過用戶注冊管理系統(tǒng)，對證書申請者進行身份審核；

證書下載

證書下載可采用在線方式：各市中心用戶通過專網(wǎng)等登錄到用戶注冊管理系統(tǒng)下載證

書。

6.1.1.3秘鑰管理系統(tǒng)

密鑰管理中心提供了對生命周期內的加密證書密鑰對進行全過程管理的功能，包括密

鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤銷、密鑰歸檔、密鑰恢復以

及安全管理等。

密鑰生成

根據(jù)CA的請求為用戶生成非對稱密鑰對，該密鑰對由密鑰管理中心的硬件加密設備

8

DB21/T3099—2018

生成。

密鑰存儲

密鑰管理中心生成的非對稱密鑰對，經(jīng)硬件加密設備加密后存儲在數(shù)據(jù)庫中。

密鑰分發(fā)

密鑰管理中心生成的非對稱密鑰對通過證書認證系統(tǒng)分發(fā)到用戶證書載體中。

密鑰備份

密鑰管理中心采用熱備份、冷備份和異地備份等措施實現(xiàn)密鑰備份。

密鑰更新

當證書到期或用戶需要時，密鑰管理中心根據(jù)CA請求為用戶生成新的非對稱密鑰對。

密鑰撤銷

當證書到期、用戶需要或管理機構認為必要時，密鑰管理中心根據(jù)CA請求撤銷用戶

當前使用的密鑰。

密鑰歸檔

密鑰管理中心為到期或撤銷的密鑰提供安全長期的存儲。

密鑰恢復

密鑰管理中心可為用戶提供密鑰恢復服務和為司法取證提供密鑰恢復服務。密鑰恢復

需按管理策略進行審批，一般用戶只限于恢復自身密鑰。

6.1.1.4LRA系統(tǒng)

LRA系統(tǒng)為本地申請證書的用戶信息進行注冊。

6.1.2性能指標

6.1.2.1系統(tǒng)容量

CA系統(tǒng)能支持50000個以上的用戶證書的簽發(fā)和管理。

6.1.2.2響應速度

CA系統(tǒng)數(shù)字證書的簽發(fā)時間不超過1秒。

6.1.2.3加密算法

CA系統(tǒng)加密算法應符合國家相關法律和法規(guī)要求，并能對加密算法的種類和強度進

行擴充和替換。

6.1.2.4密鑰保存期

密鑰保存期不少于10年。

6.2身份管理系統(tǒng)建設規(guī)范

6.2.1身份管理系統(tǒng)功能建設規(guī)范

身份管理系統(tǒng)主要為用戶訪問應用系統(tǒng)提供統(tǒng)一的身份管理、認證管理、授權管理、

審計管理和組織機構管理等功能。主要是由身份管理、認證管理、授權管理、審計管理和

組織機構管理等模塊組成。身份管理系統(tǒng)應遵循三員管理，身份管理系統(tǒng)應能支持多種操

作系統(tǒng)平臺，并且對用戶終端的操作系統(tǒng)無限制。

身份管理系統(tǒng)與LN-SRRC-CA中心的關系、省中心身份管理系統(tǒng)與各市中心身份管理

系統(tǒng)的關系及要求具體參見第5章。

9

DB21/T3099—2018

6.2.1.1身份管理

身份管理應支持從LN-SRRC-CA中心同步用戶信息，支持從智能密碼鑰匙Key證書導

入用戶信息，支持和第三方應用業(yè)務（數(shù)據(jù)庫/LDAP）雙向同步用戶信息，支持以組織機

構方式對用戶進行分類管理，支持臨時用戶管理。

身份管理應能接管BS和CS應用系統(tǒng)賬號信息，支持Linux主機、Windows主機、數(shù)

據(jù)庫、LDAP、AD域等多種賬號同步方式，支持組、角色等多種賬號授權方式。

用戶信息庫的存儲建議采用LDAP方式，省級用戶信息庫與省中心用戶信息庫的關系

參見6.3.1.2.1。應以WebService服務方式為應用系統(tǒng)提供組織機構及用戶信息查詢和讀

取接口，各市的應用系統(tǒng)如果需要讀取組織機構及用戶信息，直接從各市級用戶信息庫中

讀取，由各市自行定義。各市的組織機構信息和人員屬性信息存儲可參考附錄D的D.1

和D.2。

6.2.1.2身份認證

身份認證應能實現(xiàn)用戶統(tǒng)一身份認證、單點登錄功能；用戶認證方式應能采用

LN-SRRC-CA中心發(fā)布的數(shù)字證書認證方式，應支持對網(wǎng)段、時間、IP等多種認證策略設

置。

應調用省中心身份管理系統(tǒng)的互信中心服務提供的票據(jù)存儲、讀取和驗證接口，實現(xiàn)

5.3.1.2.2中所要求的跨域訪問。具體接口詳見附錄F：票據(jù)接口。

6.2.1.3授權管理

授權管理應支持入口級授權和細粒度授權；細粒度授權應支持資源的菜單級、URL級

的權限控制，應支持基于角色權限的配置管理；對于記錄級、數(shù)據(jù)庫字段級的授權可以由

應用系統(tǒng)自行定義。

6.2.1.4審計管理

審計管理應提供審計接口，支持其他應用系統(tǒng)的日志信息上報；支持用戶行為關聯(lián)審

計；支持基于用戶名、用戶IP、資源、時間的訪問統(tǒng)計；支持日志的告警、自動清理管理

等。

6.2.2網(wǎng)絡部署

10

DB21/T3099—2018

圖2身份管理系統(tǒng)部署圖

省中心和各市中心部署身份管理系統(tǒng)，為本中心用戶和跨區(qū)域訪問的用戶提供身份管

理、認證管理、授權管理和審計管理等服務。部署方式可以采用與應用系統(tǒng)并聯(lián)、與應用

系統(tǒng)串聯(lián)等方式。

各地市可以根據(jù)情況，選擇建設身份管理系統(tǒng)或者使用各市中心建設的身份管理系統(tǒng)。

具體的解決方案可以參考附錄E。

6.2.3性能建設規(guī)范

6.2.3.1雙機熱備

應支持雙機熱備，支持主從設備之間的數(shù)據(jù)同步、故障切換和恢復回切。主從設備之

間的切換時間小于15秒。

6.2.3.2備份策略

身份管理系統(tǒng)應能支持硬件、軟件和數(shù)據(jù)庫備份。

6.2.3.3安全傳輸

用戶終端與身份管理系統(tǒng)之間需建立起一個安全通道來保障數(shù)據(jù)傳輸?shù)陌踩c完整。

6.2.3.4運行穩(wěn)定性

身份管理系統(tǒng)應能保證系統(tǒng)提供7×24小時不間斷服務。MTBF>100000小時。

6.2.3.5響應速度

身份管理系統(tǒng)造成的系統(tǒng)延時不超過1秒。

11

DB21/T3099—2018

7應用系統(tǒng)安全規(guī)范

應用系統(tǒng)在實現(xiàn)應用安全平臺提供的加解密、編碼、數(shù)字簽名、數(shù)字證書、安全協(xié)議、

策略機制、審計服務、授權管理、訪問控制、身份認證等服務的建設過程中，應用系統(tǒng)的

開發(fā)和實施必須遵循如下規(guī)范。鑒于本次規(guī)范中只考慮CA系統(tǒng)提供的強身份認證功能，

7.1基于CA系統(tǒng)建設規(guī)范

遼寧省的CA認證中心頒發(fā)的數(shù)字證書完全符合X.509標準。應用系統(tǒng)要實現(xiàn)CA系統(tǒng)

提供的身份認證、數(shù)據(jù)的完整性、機密性和不可抵賴性等功能，需要調用CA證書開發(fā)接

口來完成服務，接口詳見附錄G的CA證書開發(fā)接口。

7.2基于身份管理系統(tǒng)建設規(guī)范

7.2.1身份管理規(guī)范

已建設未被原有身份驗證系統(tǒng)接管和已被身份驗證系統(tǒng)接管的應用系統(tǒng)，身份管理系

統(tǒng)需要從應用系統(tǒng)上收集已有的用戶賬號，并進行賬號映射授權，以實現(xiàn)單點登錄功能。

新建的應用系統(tǒng)不需要新建賬號，開發(fā)時依照身份管理系統(tǒng)提供的接口，直接調用身

份管理系統(tǒng)提供的接口，接受身份管理系統(tǒng)推進的賬號信息。

7.2.2認證管理規(guī)范

已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)，應用廠商

必須對應用系統(tǒng)進行改造，調用身份管理系統(tǒng)提供的接口，以實現(xiàn)用戶認證和單點登錄功

能。

新建應用系統(tǒng)，開發(fā)時應依據(jù)身份管理系統(tǒng)提供的認證接口和單點登錄接口，直接調

用身份管理系統(tǒng)提供的接口來完成用戶認證和單點登錄功能。

7.2.3授權管理規(guī)范

已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需實現(xiàn)

統(tǒng)一授權，應用廠商必須對應用系統(tǒng)進行改造，調用身份管理系統(tǒng)提供的接口；

新建應用系統(tǒng)，開發(fā)時應依據(jù)身份管理系統(tǒng)提供的授權接口，接受身份管理系統(tǒng)推送

過來的同名賬號，基于同名賬號進行統(tǒng)一授權。

7.2.4審計管理規(guī)范

已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需實現(xiàn)

統(tǒng)一審計，應用廠商必須對應用系統(tǒng)進行改造，調用身份管理系統(tǒng)提供的審計接口將審計

信息。

新建應用系統(tǒng)，開發(fā)時應依據(jù)身份管理系統(tǒng)提供的審計接口，直接調用身份管理系統(tǒng)

提供的接口來實現(xiàn)審計功能。

7.2.5組織機構管理規(guī)范

已建設未被原有身份驗證系統(tǒng)接管的和已被身份驗證系統(tǒng)接管的應用系統(tǒng)如需調用

統(tǒng)一的組織機構及用戶信息，應用廠商必須對應用系統(tǒng)進行改造，調用身份管理系統(tǒng)提供

的組織機構查詢和讀取接口。新建應用系統(tǒng)，開發(fā)時應依據(jù)身份管理系統(tǒng)提供的組織結構

查詢和讀取接口。

各市可以按照上述要求，在此基礎上根據(jù)自身建設的身份管理系統(tǒng)出臺相應的應用系

12

DB21/T3099—2018

統(tǒng)開發(fā)接口規(guī)范，并在規(guī)范中明確新建應用系統(tǒng)、已有應用系統(tǒng)的分別實現(xiàn)方式和接口服

務等。

13

DB21/T3099—2018

附錄A

(資料性附錄)

證書申請使用管理規(guī)范

遼寧省的LN-SRRC-CA中心將按照有關程序，統(tǒng)一對遼寧省無線電管理機構的工作人

員、外單位的維護人員和各種安全實體對象（如VPN安全網(wǎng)關等）進行發(fā)證、認證。

1)各市無線電管理機構用戶證書及服務器證書應統(tǒng)一申請，經(jīng)主管領導批準后發(fā)放，

由專人操作，不得移交他人擅自操作，申請時需仔細核實用戶有關信息，不得一

人申請多證書或多人共用一個證書。

2)各市無線電管理機構在申請證書時，在申請界面“是否備份加密密鑰”處選中，

用來備份數(shù)字證書。備份數(shù)據(jù)應由專人負責管理。

3)用戶數(shù)字證書有效期為10年。如需增加、變更或注銷證書的，盡量安排在同一

時間操作并電話或E-MAIL通知遼寧省無線電監(jiān)測中心相關負責人。

14

DB21/T3099—2018

附錄B

(資料性附錄)

區(qū)域代碼表

省中心區(qū)域代碼為2100，其他中心區(qū)域代碼參照國家標準GB/T2260-1999。

15

DB21/T3099—2018

附錄C

(資料性附錄)

證書讀取接口

接口名稱：getCACerts

接口描述：根據(jù)區(qū)域編碼獲取CA證書列表

傳入?yún)?shù)：regionCode字符串類型區(qū)域代碼

傳出參數(shù)：Json格式CA證書列表

[{username:00000001,regioncode:0000,cacert:<Base64的證書字符串信息1>},

{username:00000002,regioncode:0000,cacert:<Base64的證書字符串信息2>}

]

16

DB21/T3099—2018

附錄D

(資料性附錄)

組織機構信息規(guī)范

D.1存儲結構

組織(o=organization)下的子樹,就是按照“遼寧省無線電管理機構”的實際組織機構

結構進行分級存儲，直觀反映組織間的上下級關系。組織子樹下包含屬于該組織的人員列

表，這里每個人只是一個索引，指向人員子樹下具體的某個人員。

D.2組織機構人員屬性表

LDAP字段字段說明

cn組織編碼

displayName組織名稱

description組織機構職能

custLevelid組織架構層次

custParentOrgCode上級組織編碼

custParentOrgName上級組織名稱

member組織成員（完整dn）

D.3組織機構信息同步規(guī)范

各市的用戶身份信息、組織機構信息、用戶身份與組織機構關系都基于模板，以excel

格式提交至省中心，由省中心審核通過后，將該excel中的數(shù)據(jù)同步至省中心用戶信息庫

中。各市如果有用戶信息修改，需要將修改信息提交至省中心，各個模板如下：

17

DB21/T3099—2018

D.4用戶身份信息模板

用戶身份信息模板

填寫規(guī)范：

1、粗體標*字段為必填項；

2、所有日期字段格式為：yyyy-mm-dd，例如：2013-09-17

3、性別可選值為：男/女；

4、任職狀態(tài)可選值為：在職/離職；

5、直接上級主管允許有多個，填寫上級主管用戶名，以英文輸入狀態(tài)的逗號分隔；

*用戶名*用戶姓名*性別出生日期*電子郵件辦公電話手機通訊地址*直接上級任職狀態(tài)入職時間離職時間

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。

18

DB21/T3099—2018

D.5組織機構信息模板

組織機構信息模板

填寫規(guī)范：

1、粗體標*字段為必填項；

2、組織機構層級可選值為0/10/20/30/40，遼寧省無線電監(jiān)測中心為0，按行政組織機構遞增；

3、上級組織機構名稱為當前組織機構的上級組織機構全名；

4、組織機構成員可有多個，填寫用戶編碼，以英文輸入狀態(tài)的逗號分隔；

*組織機構名稱*組織機構職能描述*組織機構層級*上級組織機構名稱組織機構成員

遼寧省無線電監(jiān)測中心遼寧省無線電監(jiān)測中心為……0

信息管理處……10遼寧省無線電監(jiān)測中心00001201,00001202

注：列表原有數(shù)據(jù)為示例數(shù)據(jù)，實際填寫時請將其清除。

19

DB21/T3099—2018

D.6提報信息模板

提報單位：

提報時間：

提報人：

聯(lián)系電話：

提報信息說明：

20

DB21/T3099—2018

附錄E

(資料性附錄)

地市應用安全平臺建設方案

E.1集中部署

各市需要使用省中心部署的身份管理系統(tǒng)來完成用戶賬號管理、認證、授權和審計等服務，如果

各市有應用系統(tǒng)，也需要將各市的應用系統(tǒng)與身份管理系統(tǒng)做整合。網(wǎng)絡部署結構如下：

應用系統(tǒng)

4A系統(tǒng)

省中心

網(wǎng)

地專

市部

內

用戶內

部

專

網(wǎng)

地應用系統(tǒng)

內部市

專網(wǎng)

用戶

網(wǎng)

專

部

內

地

市

用戶

圖E.1身份管理系統(tǒng)集中部署圖

E.1.1應用場景

E.1.1.1各市用戶訪問省中心的應用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應用系統(tǒng)，應用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應用系統(tǒng)將用戶訪問請求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返回用戶票據(jù)；

4)用戶攜帶票據(jù)訪問省中心應用系統(tǒng)，應用系統(tǒng)驗證用戶票據(jù)是否合法；如果票據(jù)合法，用戶

可以訪問應用系統(tǒng)。

E.1.1.2各市用戶訪問本地市應用系統(tǒng)

21

DB21/T3099—2018

1)用戶通登錄本地市的應用系統(tǒng)，應用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應用系統(tǒng)將用戶訪問請求通過廣域網(wǎng)重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)通過廣域網(wǎng)返回用

戶票據(jù)

4)用戶攜帶票據(jù)訪問應用系統(tǒng)，應用系統(tǒng)驗證用戶票據(jù)是否合法；如果票據(jù)合法，用戶可以訪

問應用系統(tǒng)。

E.1.2集中式部署特點

E.1.2.1集中式部署優(yōu)點

1)節(jié)省費用，地市無需購買身份管理系統(tǒng)；

2)方便省中心對各市的業(yè)務、人員的管控；

3)各市級網(wǎng)絡管理員維護簡單。

E.1.2.2集中式部署缺點

1)各市用戶訪問容易受省中心和地市之間網(wǎng)絡的影響，如果一旦網(wǎng)絡有故障，各市用戶就無法

訪問；

2)訪問速度慢；

3)省級網(wǎng)絡管理員維護工作量大。

E.2分布式部署

各市可以建設身份管理系統(tǒng)來完成對本地市用戶的賬號管理、認證、授權和審計等服務。網(wǎng)絡部

署結構如下：

22

DB21/T3099—2018

4A系統(tǒng)

地

市內

部

應用系統(tǒng)專

網(wǎng)

4A系統(tǒng)

用戶

局域網(wǎng)省

中

內部

專網(wǎng)心

應用系統(tǒng)

網(wǎng)

專

部用戶

內

4A系統(tǒng)

地

市

應用系統(tǒng)

用戶

圖E.2身份管理系統(tǒng)分布式部署圖

E.2.1應用場景

E.2.1.1各市用戶訪問省中心的應用系統(tǒng)

1)用戶通過廣域網(wǎng)首先登錄省中心應用系統(tǒng)，應用系統(tǒng)發(fā)現(xiàn)用戶沒有合法的票據(jù)；

2)應用系統(tǒng)將用戶訪問請求重定向到省中心的身份管理系統(tǒng)上；

3)用戶通過廣域網(wǎng)在身份管理系統(tǒng)上進行認證，認證通過后，身份管理系統(tǒng)返