【正文】 .. .. .. ..智慧海事一期統(tǒng)一身份認證系統(tǒng)技術(shù)方案.. .. .. ..目 錄目 錄 ...........................................................................I1. 總體設(shè)計 .....................................................................2 設(shè)計原則 .................................................................2 設(shè)計目標(biāo) .................................................................3 設(shè)計實現(xiàn) .................................................................3 系統(tǒng)部署 .................................................................42. 方案產(chǎn)品介紹 .................................................................6 統(tǒng)一認證管理系統(tǒng) .........................................................6 系統(tǒng)詳細架構(gòu)設(shè)計 .....................................................6 身份認證服務(wù)設(shè)計 .....................................................7 授權(quán)管理服務(wù)設(shè)計 ....................................................10 單點登錄服務(wù)設(shè)計 ....................................................13 身份信息共享與同步設(shè)計 ..............................................15 后臺管理設(shè)計 ........................................................18 安全審計設(shè)計 ........................................................20 業(yè)務(wù)系統(tǒng)接入設(shè)計 ....................................................22 數(shù)字證書認證系統(tǒng) ........................................................22 產(chǎn)品介紹 ............................................................22 系統(tǒng)框架 ............................................................23 軟件功能清單 ........................................................24 技術(shù)標(biāo)準(zhǔn) ............................................................253. 數(shù)字證書運行服務(wù)方案 ........................................................27 運行服務(wù)體系 ............................................................27 證書服務(wù)方案 ............................................................27 證書服務(wù)方案概述 ....................................................27 服務(wù)交付方案 ........................................................28 服務(wù)支持方案 ........................................................35 CA基礎(chǔ)設(shè)施運維方案 ......................................................36 運維方案概述 ........................................................36 CA系統(tǒng)運行管理 .......................................................36 CA系統(tǒng)訪問管理 .......................................................37 業(yè)務(wù)可持續(xù)性管理 ....................................................37 CA審計 ...............................................................38.. .. .. .. 計 原 則一、標(biāo)準(zhǔn)化原則系統(tǒng)的整體設(shè)計要求基于國家密碼管理局《商用密碼管理條例》 、公安部計算機系統(tǒng)安全等級要求和《中華人民共和國計算機信息系統(tǒng)安全保護條例 》的有關(guān)規(guī)定。數(shù)字證書認證系統(tǒng)的安全基礎(chǔ)設(shè)施的設(shè)計和實現(xiàn)將遵循相關(guān)的國際、國內(nèi)技術(shù)和行業(yè)標(biāo)準(zhǔn)。二、安全性原則系統(tǒng)所采用的產(chǎn)品技術(shù)和部署方式必須具有足夠的安全性，針對可能的安全威脅和風(fēng)險，并制定相應(yīng)的對策。關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復(fù)措施。三、可用性原則系統(tǒng)具有足夠的容量和良好的性能，能夠支撐百萬級或千萬級用戶數(shù)量，并能夠在海量用戶和大并發(fā)訪問壓力的條件下，保持功能和性能的可用性。四、健壯性原則系統(tǒng)的基礎(chǔ)平臺成熟、穩(wěn)定、可靠，能夠提供不間斷的服務(wù)，相關(guān)產(chǎn)品均具有很強的健壯性、良好的容錯處理能力和抗干擾能力。五、模塊化原則系統(tǒng)的設(shè)計和實現(xiàn)采用模塊化結(jié)構(gòu)，各個模塊具有相對獨立的功能和開放的接口?？梢愿鶕?jù)系統(tǒng)的需要進行功能模塊的增加或減少，而不必改變原來的程序構(gòu)架；針對不同的應(yīng)用定制實施模塊。六、可擴展原則隨著業(yè)務(wù)的發(fā)展，對未來系統(tǒng)的功能和性能將會提出更高的要求。系統(tǒng)在設(shè)計和實現(xiàn)上，應(yīng)具有良好的可擴展性?？梢酝ㄟ^對硬件平臺、軟件模塊的擴展和升級，實現(xiàn)系統(tǒng)功能和性能的平滑地擴展和升級。七、方便開發(fā)原則系統(tǒng)提供豐富的二次開發(fā)工具和接口，便于應(yīng)用系統(tǒng)調(diào)用，能夠方便的與現(xiàn)有和將來的應(yīng)用系統(tǒng)進行集成。八、兼容性原則.. .. .. ..系統(tǒng)具備良好的兼容性，能夠與多種硬件系統(tǒng)、基礎(chǔ)軟件系統(tǒng)，以及其它第三方軟硬件系統(tǒng)相互兼容。 計 目 標(biāo)根據(jù)招標(biāo)文件的具體技術(shù)要求，基于現(xiàn)有信息系統(tǒng)現(xiàn)狀、數(shù)字證書應(yīng)用現(xiàn)狀以及未來在信息安全方面的技術(shù)性要求，本方案提出以下建設(shè)目標(biāo)。(1)在海事局內(nèi)部部署統(tǒng)一認證管理系統(tǒng)，具體目標(biāo)是：提供數(shù)據(jù)統(tǒng)一、維護統(tǒng)一、用戶統(tǒng)一的安全可靠的認證與授權(quán)服務(wù)；實現(xiàn)全局相關(guān)業(yè)務(wù)系統(tǒng)全面統(tǒng)一的用戶管理、可靠的身份認證與安全審計、有效的分級授權(quán)、安全的單點登錄、便捷的信息共享(2)在海事局內(nèi)部部署數(shù)字證書認證系統(tǒng)（CA 認證中心） ，具備 10萬級數(shù)字證書的發(fā)放能力，滿足海事局內(nèi)部用戶以及應(yīng)用系統(tǒng)的對數(shù)字證書的使用需求。(3)廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)（包括：船舶遠程電子簽證、船舶動態(tài) ）與統(tǒng)一身份認證系統(tǒng)的進行技術(shù)集成，實現(xiàn)統(tǒng)一的身份認證與單點登錄功能。 計 實 現(xiàn)本方案由統(tǒng)一認證管理系統(tǒng)和數(shù)字證書認證系統(tǒng)兩部分組成，其統(tǒng)一認證管理系統(tǒng)實現(xiàn)統(tǒng)一的用戶管理、身份認證、單點登錄、授權(quán)管理、安全審計等功能；數(shù)字證書認證系統(tǒng)實現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書管理。統(tǒng)一認證管理系統(tǒng)與數(shù)字證書認證系統(tǒng)集成，實現(xiàn)新增用戶信息同步，證書管理員只需要登錄數(shù)字證書認證系統(tǒng)，查出用戶信息，直接制作證書。二級云中心（直屬局）統(tǒng)一認證管理系統(tǒng)定時將用戶、機構(gòu)、授權(quán)等信息同步給一級云中心統(tǒng)一認證管理系統(tǒng)。本期工程將率先在廣東海事局搭建起船舶遠程電子簽證、船舶動態(tài) 登錄功能。.. .. .. .. 統(tǒng) 部 署一級云中心：一臺身份認證服務(wù)器，一臺加密機，兩臺統(tǒng)一認證服務(wù)器（基于ORACLE一體機實現(xiàn)負載） ，兩臺統(tǒng)一認證數(shù)據(jù)庫服務(wù)器（基于 ORACLE數(shù)據(jù)庫一體機實現(xiàn)負載） 。五個二級云中心（直屬局）：一臺統(tǒng)一認證數(shù)據(jù)庫服務(wù)器，兩臺統(tǒng)一認證服務(wù)器（雙機冷備） ，二級云中心統(tǒng)一認證服務(wù)器能訪問一級云中心統(tǒng)一認證服務(wù)器。.. .. .. .... .. .. .. 一 認 證 管 理 系 統(tǒng)國家海事局統(tǒng)一認證管理系統(tǒng)詳細架構(gòu)設(shè)計如下圖所示：在國家海事局部署一級統(tǒng)一身份認證系統(tǒng)，可管理全部的系統(tǒng)用戶，用戶可通過統(tǒng)一身份認證系統(tǒng)進行身份認證、業(yè)務(wù)系統(tǒng)單點登錄；二級單位根據(jù)具體情況可部署二級統(tǒng)一身份認證系統(tǒng)，系統(tǒng)用戶信息管理與一級統(tǒng)一身份認證系統(tǒng)同步，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，二級單位用戶可登錄各自單位的二級統(tǒng)一身份認證系統(tǒng)，不影響正常的業(yè)務(wù)處理。國家海事局統(tǒng)一認證管理系統(tǒng)的主要服務(wù)功能模塊包括：身份認證模塊、單點登錄模塊、信息同步模塊、后臺管理模塊、數(shù)