【正文】 ..(7)票據(jù)驗(yàn)證：業(yè)務(wù)系統(tǒng)根據(jù)接收到的登錄票據(jù)，通過(guò)部署的安全組件進(jìn)行驗(yàn)證。服務(wù)器后臺(tái)程序驗(yàn)證客戶端的證書(shū)有效性和數(shù)字簽名的有效性。對(duì)于安全性較低的系統(tǒng)，可以采用最低認(rèn)證等級(jí)：用戶名/口令方式；對(duì)于安全性較高的系統(tǒng)，最低認(rèn)證等級(jí)則需要設(shè)置為數(shù)字證書(shū)方式。統(tǒng)一認(rèn)證系統(tǒng)可以對(duì)不同的系統(tǒng)進(jìn)行分級(jí)認(rèn)證，也可以對(duì)系統(tǒng)內(nèi)的不同用戶分級(jí)認(rèn)證。證書(shū)用戶：證書(shū)用戶按照經(jīng)過(guò)嚴(yán)格的身份信息鑒證，從 CA認(rèn)證中心領(lǐng)取數(shù)字證書(shū)，然后通過(guò)訪問(wèn)各級(jí)統(tǒng)一認(rèn)證系統(tǒng)，進(jìn)行單點(diǎn)登錄，就可以很方便地訪問(wèn)自己權(quán)限范圍內(nèi)的應(yīng)用系統(tǒng)。身份認(rèn)證服務(wù)為海事局各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊(cè)、憑證發(fā)布、用戶資料管理及銷毀、登錄認(rèn)證功能。.. .. .. .. 統(tǒng) 部 署一級(jí)云中心：一臺(tái)身份認(rèn)證服務(wù)器，一臺(tái)加密機(jī)，兩臺(tái)統(tǒng)一認(rèn)證服務(wù)器（基于ORACLE一體機(jī)實(shí)現(xiàn)負(fù)載） ，兩臺(tái)統(tǒng)一認(rèn)證數(shù)據(jù)庫(kù)服務(wù)器（基于 ORACLE數(shù)據(jù)庫(kù)一體機(jī)實(shí)現(xiàn)負(fù)載） 。 計(jì) 實(shí) 現(xiàn)本方案由統(tǒng)一認(rèn)證管理系統(tǒng)和數(shù)字證書(shū)認(rèn)證系統(tǒng)兩部分組成，其統(tǒng)一認(rèn)證管理系統(tǒng)實(shí)現(xiàn)統(tǒng)一的用戶管理、身份認(rèn)證、單點(diǎn)登錄、授權(quán)管理、安全審計(jì)等功能；數(shù)字證書(shū)認(rèn)證系統(tǒng)實(shí)現(xiàn)海事局全國(guó)用戶的數(shù)字證書(shū)發(fā)放和數(shù)字證書(shū)管理。八、兼容性原則.. .. .. ..系統(tǒng)具備良好的兼容性，能夠與多種硬件系統(tǒng)、基礎(chǔ)軟件系統(tǒng)，以及其它第三方軟硬件系統(tǒng)相互兼容。六、可擴(kuò)展原則隨著業(yè)務(wù)的發(fā)展，對(duì)未來(lái)系統(tǒng)的功能和性能將會(huì)提出更高的要求。三、可用性原則系統(tǒng)具有足夠的容量和良好的性能，能夠支撐百萬(wàn)級(jí)或千萬(wàn)級(jí)用戶數(shù)量，并能夠在海量用戶和大并發(fā)訪問(wèn)壓力的條件下，保持功能和性能的可用性。.. .. .. ..智慧海事一期統(tǒng)一身份認(rèn)證系統(tǒng)技術(shù)方案.. .. .. ..目 錄目 錄 ...........................................................................I1. 總體設(shè)計(jì) .....................................................................2 設(shè)計(jì)原則 .................................................................2 設(shè)計(jì)目標(biāo) .................................................................3 設(shè)計(jì)實(shí)現(xiàn) .................................................................3 系統(tǒng)部署 .................................................................42. 方案產(chǎn)品介紹 .................................................................6 統(tǒng)一認(rèn)證管理系統(tǒng) .........................................................6 系統(tǒng)詳細(xì)架構(gòu)設(shè)計(jì) .....................................................6 身份認(rèn)證服務(wù)設(shè)計(jì) .....................................................7 授權(quán)管理服務(wù)設(shè)計(jì) ....................................................10 單點(diǎn)登錄服務(wù)設(shè)計(jì) ....................................................13 身份信息共享與同步設(shè)計(jì) ..............................................15 后臺(tái)管理設(shè)計(jì) ........................................................18 安全審計(jì)設(shè)計(jì) ........................................................20 業(yè)務(wù)系統(tǒng)接入設(shè)計(jì) ....................................................22 數(shù)字證書(shū)認(rèn)證系統(tǒng) ........................................................22 產(chǎn)品介紹 ............................................................22 系統(tǒng)框架 ............................................................23 軟件功能清單 ........................................................24 技術(shù)標(biāo)準(zhǔn) ............................................................253. 數(shù)字證書(shū)運(yùn)行服務(wù)方案 ........................................................27 運(yùn)行服務(wù)體系 ............................................................27 證書(shū)服務(wù)方案 ............................................................27 證書(shū)服務(wù)方案概述 ....................................................27 服務(wù)交付方案 ........................................................28 服務(wù)支持方案 ........................................................35 CA基礎(chǔ)設(shè)施運(yùn)維方案 ......................................................36 運(yùn)維方案概述 ........................................................36 CA系統(tǒng)運(yùn)行管理 .......................................................36 CA系統(tǒng)訪問(wèn)管理 .......................................................37 業(yè)務(wù)可持續(xù)性管理 ....................................................37 CA審計(jì) ...............................................................38.. .. .. .. 計(jì) 原 則一、標(biāo)準(zhǔn)化原則系統(tǒng)的整體設(shè)計(jì)要求基于國(guó)家密碼管理局《商用密碼管理?xiàng)l例》 、公安部計(jì)算機(jī)系統(tǒng)安全等級(jí)要求和《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》的有關(guān)規(guī)定。關(guān)鍵數(shù)據(jù)具有可靠的備份與恢復(fù)措施?？梢愿鶕?jù)系統(tǒng)的需要進(jìn)行功能模塊的增加或減少，而不必改變?cè)瓉?lái)的程序構(gòu)架；針對(duì)不同的應(yīng)用定制實(shí)施模塊。七、方便開(kāi)發(fā)原則系統(tǒng)提供豐富的二次開(kāi)發(fā)工具和接口，便于應(yīng)用系統(tǒng)調(diào)用，能夠方便的與現(xiàn)有和將來(lái)的應(yīng)用系統(tǒng)進(jìn)行集成。(3)廣東海事局內(nèi)部其它業(yè)務(wù)系統(tǒng)（包括：船舶遠(yuǎn)程電子簽證、船舶動(dòng)態(tài) ）與統(tǒng)一身份認(rèn)證系統(tǒng)的進(jìn)行技術(shù)集成，實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證與單點(diǎn)登錄功能。本期工程將率先在廣東海事局搭建起船舶遠(yuǎn)程電子簽證、船舶動(dòng)態(tài) 登錄功能。國(guó)家海事局統(tǒng)一認(rèn)證管理系統(tǒng)的主要服務(wù)功能模塊包括：身份認(rèn)證模塊、單點(diǎn)登錄模塊、信息同步模塊、后臺(tái)管理模塊、數(shù)據(jù)服務(wù)模塊及安全管理模塊，其中后臺(tái)用戶管理包括用戶、角色、應(yīng)用等相關(guān)信息管理，另外，安全管理模塊為維護(hù)好系統(tǒng)服務(wù)功能.. .. .. ..的安全性，提供系統(tǒng)自身所有操作的安全審計(jì)功能，以及各個(gè)應(yīng)用系統(tǒng)用戶信息的監(jiān)控功能。統(tǒng)一認(rèn)證服務(wù)器：統(tǒng)一認(rèn)證系統(tǒng)服務(wù)器的數(shù)據(jù)庫(kù)中集中存放所有業(yè)務(wù)系統(tǒng)的用戶信.. .. .. ..息和權(quán)限信息，所有業(yè)務(wù)系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)都需要部署服務(wù)器證書(shū)、安全組件和認(rèn)證接口，用于業(yè)務(wù)系統(tǒng)與客戶端，或業(yè)務(wù)系統(tǒng)之間的身份認(rèn)證。用戶本人可在獲得初始密碼后修改登陸密碼和注冊(cè)信息。身份認(rèn)證技術(shù)支持 PKI、LDAP、NDS、NIS、AD 等標(biāo)準(zhǔn)認(rèn)證技術(shù)。數(shù)字證書(shū)用戶登錄業(yè)務(wù)系統(tǒng)的身份認(rèn)證流程如下圖所示：.. .. .. ..流程說(shuō)明：(1)提供證書(shū)：在登錄門戶頁(yè)面（或統(tǒng)一認(rèn)證首頁(yè)）中嵌入證書(shū)控件和組件，服務(wù)器端產(chǎn)生隨即數(shù)并進(jìn)行數(shù)字簽名，客戶端實(shí)現(xiàn)即插即用的登錄認(rèn)證模式，只要插入 UsbKey自動(dòng)列舉 Key內(nèi)的數(shù)字證書(shū)；(2)握手認(rèn)證：用戶輸入證書(shū)密碼、點(diǎn)擊登錄提交按鈕后，頁(yè)面調(diào)用證書(shū)控件的運(yùn)行腳本，校驗(yàn)證書(shū)密碼后對(duì)服務(wù)器端產(chǎn)生的隨即數(shù)和數(shù)字簽名進(jìn)行驗(yàn)證；客戶端對(duì)隨即數(shù)進(jìn)行數(shù)字簽名，提交認(rèn)證信息給服務(wù)器驗(yàn)證；認(rèn)證信息主要包括：隨即數(shù)、客戶證書(shū)、客戶的簽名等信息。(6)傳