【正文】 ..(7)票據(jù)驗證：業(yè)務(wù)系統(tǒng)根據(jù)接收到的登錄票據(jù)，通過部署的安全組件進行驗證。服務(wù)器后臺程序驗證客戶端的證書有效性和數(shù)字簽名的有效性。對于安全性較低的系統(tǒng)，可以采用最低認證等級：用戶名/口令方式；對于安全性較高的系統(tǒng)，最低認證等級則需要設(shè)置為數(shù)字證書方式。統(tǒng)一認證系統(tǒng)可以對不同的系統(tǒng)進行分級認證，也可以對系統(tǒng)內(nèi)的不同用戶分級認證。證書用戶：證書用戶按照經(jīng)過嚴格的身份信息鑒證，從 CA認證中心領(lǐng)取數(shù)字證書，然后通過訪問各級統(tǒng)一認證系統(tǒng)，進行單點登錄，就可以很方便地訪問自己權(quán)限范圍內(nèi)的應用系統(tǒng)。身份認證服務(wù)為海事局各應用系統(tǒng)內(nèi)各類用戶提供身份信息注冊、憑證發(fā)布、用戶資料管理及銷毀、登錄認證功能。.. .. .. .. 統(tǒng) 部 署一級云中心：一臺身份認證服務(wù)器，一臺加密機，兩臺統(tǒng)一認證服務(wù)器（基于ORACLE一體機實現(xiàn)負載） ，兩臺統(tǒng)一認證數(shù)據(jù)庫服務(wù)器（基于 ORACLE數(shù)據(jù)庫一體機實現(xiàn)負載） 。 計 實 現(xiàn)本方案由統(tǒng)一認證管理系統(tǒng)和數(shù)字證書認證系統(tǒng)兩部分組成，其統(tǒng)一認證管理系統(tǒng)實現(xiàn)統(tǒng)一的用戶管理、身份認證、單點登錄、授權(quán)管理、安全審計等功能；數(shù)字證書認證系統(tǒng)實現(xiàn)海事局全國用戶的數(shù)字證書發(fā)放和數(shù)字證書管理。八、兼容性原則.. .. .. ..系統(tǒng)具備良好的兼容性，能夠與多種硬件系統(tǒng)、基礎(chǔ)軟件系統(tǒng)，以及其它第三方軟硬件系統(tǒng)相互兼容。六、可擴展原則隨著業(yè)務(wù)的發(fā)展，對未來系統(tǒng)的功能和性能將會提出更高的要求。三、可用性原則系統(tǒng)具有足夠的容量和良好的性能，能夠支撐百萬級或千萬級用戶數(shù)量，并能夠在海量用戶和大并發(fā)訪問壓力的條件下，保持功能和性能的可用性。.. .. .. ..智慧海事一期統(tǒng)一身份認證系統(tǒng)技術(shù)方案.. .. .. ..目 錄目 錄 ...........................................................................I1. 總體設(shè)計 .....................................................................2 設(shè)計原則 .................................................................2 設(shè)計目標 .................................................................3 設(shè)計實現(xiàn) .................................................................3 系統(tǒng)部署 .................................................................42. 方案產(chǎn)品介紹 .................................................................6 統(tǒng)一認證管理系統(tǒng) .........................................................6 系統(tǒng)詳細架構(gòu)設(shè)計 .....................................................6 身份認證服務(wù)設(shè)計 .....................................................7 授權(quán)管理服務(wù)設(shè)計 ....................................................10 單點登錄服務(wù)設(shè)計 ....................................................13 身份信息共享與同步設(shè)計 ..............................................15 后臺管理設(shè)計 ........................................................18 安全審計設(shè)計 ........................................................20 業(yè)務(wù)系統(tǒng)接入設(shè)計 ....................................................22 數(shù)字證書認證系統(tǒng) ........................................................22 產(chǎn)品介紹 ............................................................22 系統(tǒng)框架 ............................................................23 軟件功能清單 ........................................................24 技術(shù)標準 ............................................................253. 數(shù)字證書運行服務(wù)方案 ........................................................27 運行服務(wù)體系 ............................................................27 證書服務(wù)方案 ............................................................27 證書服務(wù)方案概述 ....................................................27 服務(wù)交付方案 ........................................................28 服務(wù)支持方案 ........................................................35 CA基礎(chǔ)設(shè)施運維方案 ......................................................36 運維方案概述 ........................................................36 CA系統(tǒng)運行管理 .......................................................36 CA系統(tǒng)訪問管理 .......................................................37 業(yè)務(wù)可持續(xù)性管理 ....................................................37 CA審計 ...............................................................38.. .. .. .. 計 原 則一、標準化原則系統(tǒng)的整體設(shè)計要求基于國家密碼管理局《商用密碼管理條例》 、公安部計算機系統(tǒng)安全等級要求和《中華人民共和國計算機信息系統(tǒng)安全保護條例 》的有關(guān)規(guī)定。關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復措施。可以根據(jù)系統(tǒng)的需要進行功能模塊的增加或減少，而不必改變原來的程序構(gòu)架；針對不同的應用定制實施模塊。七、方便開發(fā)原則系統(tǒng)提供豐富的二次開發(fā)工具和接口，便于應用系統(tǒng)調(diào)用，能夠方便的與現(xiàn)有和將來的應用系統(tǒng)進行集成。(3)廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)（包括：船舶遠程電子簽證、船舶動態(tài) ）與統(tǒng)一身份認證系統(tǒng)的進行技術(shù)集成，實現(xiàn)統(tǒng)一的身份認證與單點登錄功能。本期工程將率先在廣東海事局搭建起船舶遠程電子簽證、船舶動態(tài) 登錄功能。國家海事局統(tǒng)一認證管理系統(tǒng)的主要服務(wù)功能模塊包括：身份認證模塊、單點登錄模塊、信息同步模塊、后臺管理模塊、數(shù)據(jù)服務(wù)模塊及安全管理模塊，其中后臺用戶管理包括用戶、角色、應用等相關(guān)信息管理，另外，安全管理模塊為維護好系統(tǒng)服務(wù)功能.. .. .. ..的安全性，提供系統(tǒng)自身所有操作的安全審計功能，以及各個應用系統(tǒng)用戶信息的監(jiān)控功能。統(tǒng)一認證服務(wù)器：統(tǒng)一認證系統(tǒng)服務(wù)器的數(shù)據(jù)庫中集中存放所有業(yè)務(wù)系統(tǒng)的用戶信.. .. .. ..息和權(quán)限信息，所有業(yè)務(wù)系統(tǒng)和統(tǒng)一認證系統(tǒng)都需要部署服務(wù)器證書、安全組件和認證接口，用于業(yè)務(wù)系統(tǒng)與客戶端，或業(yè)務(wù)系統(tǒng)之間的身份認證。用戶本人可在獲得初始密碼后修改登陸密碼和注冊信息。身份認證技術(shù)支持 PKI、LDAP、NDS、NIS、AD 等標準認證技術(shù)。數(shù)字證書用戶登錄業(yè)務(wù)系統(tǒng)的身份認證流程如下圖所示：.. .. .. ..流程說明：(1)提供證書：在登錄門戶頁面（或統(tǒng)一認證首頁）中嵌入證書控件和組件，服務(wù)器端產(chǎn)生隨即數(shù)并進行數(shù)字簽名，客戶端實現(xiàn)即插即用的登錄認證模式，只要插入 UsbKey自動列舉 Key內(nèi)的數(shù)字證書；(2)握手認證：用戶輸入證書密碼、點擊登錄提交按鈕后，頁面調(diào)用證書控件的運行腳本，校驗證書密碼后對服務(wù)器端產(chǎn)生的隨即數(shù)和數(shù)字簽名進行驗證；客戶端對隨即數(shù)進行數(shù)字簽名，提交認證信息給服務(wù)器驗證；認證信息主要包括：隨即數(shù)、客戶證書、客戶的簽名等信息。(6)傳