【正文】 一系列功能的集合或者崗位職務(wù)的概念，符合日常管理的思維方式。系統(tǒng)權(quán)限按照角色進行分級劃分，保證適當(dāng)?shù)挠脩粼L問到適當(dāng)?shù)馁Y源和操作。統(tǒng)一的組織和角色管理能夠與將來的 CA 中心集成，實現(xiàn) CA 中心中的單位、組織、部門一般與組織結(jié)構(gòu)實現(xiàn)直接對應(yīng)關(guān)系。 統(tǒng)一身份和權(quán)限管理統(tǒng)一身份及權(quán)限管理系統(tǒng)的目標(biāo)主要包括：? 統(tǒng)一湖南 XX 綜合信息門戶系統(tǒng)的授權(quán)和安全模型，提供統(tǒng)一的、完善的、易用的管理平臺；? 為現(xiàn)存的和即將開發(fā)的各應(yīng)用系統(tǒng)提供一個跨平臺的授權(quán)信息管理接口，解決目前權(quán)限管理混亂、用戶使用不便、安全性差等問題；? 利用 Active Directory、CA 認(rèn)證中心、SmartCard 等技術(shù)，在完善用戶管理、授權(quán)等功能的同時，提高統(tǒng)一政務(wù)信息平臺的安全性，抵御潛在的安全風(fēng)險。? 在和多個外部子系統(tǒng)進行信息交換的過程中提供安全控制。 功能結(jié)構(gòu)27整個統(tǒng)一身份及權(quán)限管理系統(tǒng)功能結(jié)構(gòu)如下圖所示：在統(tǒng)一身份及權(quán)限管理系統(tǒng)中， “存儲服務(wù)” 、 “企業(yè)目錄服務(wù) LDAP”作為兩個主要組成部分，實現(xiàn)的是系統(tǒng)的核心功能，即通過整合資源，將用戶信息、終端信息、機構(gòu)信息以及應(yīng)用信息集中進行整合和存儲；并且提供信息系統(tǒng)應(yīng)用中共性的服務(wù)，包括通用認(rèn)證管理和通用授權(quán)管理。通用認(rèn)證系統(tǒng)主要包括兩部分功能：? 用戶身份管理：存放和管理用戶信息，并提供用戶身份認(rèn)證服務(wù)。? 用戶證書管理：存放和管理用戶證書信息，支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。通用授權(quán)系統(tǒng)主要包括三部分功能：? 授權(quán)數(shù)據(jù)庫：存放授權(quán)信息。? 授權(quán)管理模塊： 主要包括組織結(jié)構(gòu)及用戶管理、應(yīng)用程序權(quán)限設(shè)置、用戶授權(quán)管理 3 部分組成。? 應(yīng)用程序權(quán)限控制：供應(yīng)用程序查詢當(dāng)前用戶是否有權(quán)限使用指定功能。對外接口部分向信息系統(tǒng)應(yīng)用提供對企業(yè)目錄 LDAP 的訪問方式，這部分將在后續(xù)的系統(tǒng)標(biāo)準(zhǔn)中進行詳細介紹。對外展現(xiàn)是提供存儲信息的內(nèi)容展現(xiàn)。一般給管理人員使用。 功能詳細說明28訊飛已經(jīng)在多個電子政務(wù)系統(tǒng)中成功實施了統(tǒng)一身份及權(quán)限管理系統(tǒng)，根據(jù)本需求書的建議，可以圓滿實現(xiàn)本次建設(shè)的需求，在此就其中比較重要和用戶比較關(guān)心的功能進行說明。統(tǒng)一授權(quán)管理系統(tǒng)的實施之后，各應(yīng)用系統(tǒng)不再獨立管理用戶信息和授權(quán)信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設(shè)置的權(quán)限范圍，訪問合肥市統(tǒng)一政務(wù)信息處理平臺的所有資源。系統(tǒng)能夠通過企業(yè)目錄 LDAP 支持密碼同步的功能，具體流程見下圖所示： 人事系統(tǒng) ： 設(shè)定新賬號和初始密碼企業(yè)目錄1A D 系統(tǒng) ：創(chuàng)建 A D 賬號和初始口令創(chuàng)建新員工郵箱協(xié)同辦公系統(tǒng) ： 同步新的用戶口令23門戶系統(tǒng) ： 與 A D系統(tǒng)進行同步系統(tǒng)對于所有的認(rèn)證和授權(quán)事件都會進行記錄，并可以提供接口以供查詢。系統(tǒng)支持多種協(xié)議的認(rèn)證，包括包括明文認(rèn)證、Windows 集成認(rèn)證、Kerberos 認(rèn)證、證書認(rèn)證等。對于 C/S 認(rèn)證可以提供標(biāo)準(zhǔn)的 LDAP 和 ADSL 認(rèn)證接口。系統(tǒng)本身支持協(xié)議多種多樣，對于 B/S 和 C/S 的認(rèn)證過程中可以提供 SSL 的加密。通過和協(xié)同辦公系統(tǒng)客戶端的結(jié)合可以實現(xiàn)自動保存、輸入密碼等便利功能。通過 Windows Server 2022 對智能卡安全的內(nèi)在支持，系統(tǒng)可以實現(xiàn) SmartCard 的認(rèn)證。通過和 Windows Server2022 的結(jié)合，系統(tǒng)可以提供完善的管理控制機制，能夠?qū)挄r間、口令復(fù)雜度、口令期限、口令修改歷史等進行靈活管理。系統(tǒng)授權(quán)系統(tǒng)是根據(jù)角色來定義的，可以靈活的對用戶賦予角色，實現(xiàn)權(quán)限的管理。29系統(tǒng)功能能夠適應(yīng)新的系統(tǒng)認(rèn)證授權(quán)需要。系統(tǒng)支持多種靈活的接口，并且借助 J2EE 的開發(fā)平臺對于網(wǎng)絡(luò)服務(wù)的支持可以靈活的進行擴展。11, 通過 WebService 接口允許跨平臺交換信息并進一步增強其功能。 統(tǒng)一身份及權(quán)限管理系統(tǒng) 基本訪問接 口 高級編程接 口 應(yīng)用程序 應(yīng)用程序 x m l / h t t p W e b S e r v i c e 統(tǒng)一身份認(rèn)證平臺的拓展——單點登錄（Single SignOn，SSO）當(dāng)我們建立了統(tǒng)一身份認(rèn)證平臺之后，今后會逐漸針對用戶的需求、安全性的需求對平臺的功能進行拓展。統(tǒng)一授權(quán)管理系統(tǒng)的實施之后，各應(yīng)用系統(tǒng)不再獨立管理用戶信息和授權(quán)信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設(shè)置的權(quán)限范圍，訪問統(tǒng)一電子政務(wù)平臺的所有資源。 單一點登錄的優(yōu)勢在于：? 實現(xiàn)一次登錄，可以訪問所有資源；? 減少用戶身份的副本，增加安全性；? 采用較為安全的用戶身份信息，避免常見的攻擊方法；? 根據(jù)情況，單一登錄可以用不同的方法實現(xiàn)：? 服務(wù)器端為 Windows 平臺，并且用 JBOSSAS 作為 Web Server，則可以使用集成認(rèn)證的方式，在瀏覽器訪問 Web 頁面的時候，會自動將登錄到域的用戶名和密碼送到服務(wù)器端，無需用戶錄入。30? 利用 Cookie 技術(shù)，每一個通過驗證的用戶將獲得一個唯一的、有時間期限的訪問令牌，該令牌經(jīng)過加密后放在 Cookie 中。繼續(xù)訪問應(yīng)用系統(tǒng)頁面的時候，瀏覽器會將該 Cookie 送到服務(wù)器端，由服務(wù)器端通過 Web Service 與通用授權(quán)管理系統(tǒng)通信以決定本次訪問是否合法。此方法可以適用于任何服務(wù)器平臺。? 對于使用 SmartCard 的用戶，首先由 CA 發(fā)放證書，并由管理員對此證書與 AD中的用戶帳號進行關(guān)聯(lián)，這樣用戶可以用 SmartCard 來登錄 Windows。 單點登錄統(tǒng)一授權(quán)管理系統(tǒng)的實施之后，各應(yīng)用系統(tǒng)不再獨立管理用戶信息和授權(quán)信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設(shè)置的權(quán)限范圍，訪問合肥市統(tǒng)一政務(wù)信息平臺的所有資源。 單一點登錄的優(yōu)勢在于：? 實現(xiàn)一次登錄，可以訪問所有資源? 減少用戶身份的副本，增加安全性? 采用較為安全的用戶身份信息，避免常見的攻擊方法根據(jù)情況，單一登錄可以用不同的方法實現(xiàn)：? 服務(wù)器端為 Windows 平臺，并且用 JBOSSAS 作為 Web Server，則可以使用集成認(rèn)證的方式，在瀏覽器訪問 Web 頁面的時候，會自動將登錄到域的用戶名和密碼送到服務(wù)器端，無需用戶錄入。? 利用 Cookie 技術(shù)，每一個通過驗證的用戶將獲得一個唯一的、有時間期限的訪問令牌，該令牌經(jīng)過加密后放在 Cookie 中。 繼續(xù)訪問應(yīng)用系統(tǒng)頁面的時候，瀏覽器會將該Cookie 送到服務(wù)器端，由服務(wù)器端通過 Web Service 與通用授權(quán)管理系統(tǒng)通信以決定本次訪問是否合法。 此方法可以適用于任何服務(wù)器平臺。 日志與報警根據(jù)需要，系統(tǒng)可以記錄下來用戶的每一次或重要操作的日志，并提供對日志的分析功能。系統(tǒng)同時具有自動預(yù)警功能，系統(tǒng)會根據(jù)設(shè)定的操作級別采用設(shè)定的形式自動報警（比如給系統(tǒng)管理員發(fā)送電子郵件、短消息、在線消息） 。31 認(rèn)證集成系統(tǒng)(CA)于網(wǎng)絡(luò)上所面臨的對系統(tǒng)安全的嚴(yán)峻挑戰(zhàn)，不僅要考慮傳統(tǒng)的防火墻、病毒防護，還需結(jié)合數(shù)字簽名和身份認(rèn)證的基于 PKIPublic Key Infrastructure (公共密鑰體系)的強安全策略解決 Inter 的服務(wù)安全問題。在基于 Inter 技術(shù)的電子政務(wù)和電子商務(wù)場景下，應(yīng)用系統(tǒng)對安全性的需求在技術(shù)上最終都歸于以下四個方面：(1) 提供用戶身份合法性驗證(Authentication)機制；(2) 保證敏感數(shù)據(jù)通過公用網(wǎng)絡(luò)傳輸時的保密性(Confidentiality)；(3) 保證數(shù)據(jù)完整性(Integrity)；(4) 提供不可否認(rèn)性(NonRepudiation)支持。PKI 采用公鑰和私鑰對信息進行加解密和身份認(rèn)證的。認(rèn)證機構(gòu) CA（Certificate Authority）是 PKI 的信任基礎(chǔ)，它管理公鑰的整個生命周期，其作用包括簽發(fā)證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表(CRL)來確保必要時可以廢除證書。注冊審核機構(gòu) RA（Registry Authority）提供用戶和 CA 之間的接口，主要完成收集用戶信息和確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證機構(gòu)(即 CA)申請數(shù)字證書的客戶，可以是個人，也可以是集團或團體、某政府機構(gòu)等。RA 接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意 CA 給其簽發(fā)數(shù)字證書。注冊機構(gòu)并不給用戶簽發(fā)證書，而只是對用戶進行資格審查。因此，RA 可以設(shè)置在直接面對用戶的業(yè)務(wù)部門。32證書機構(gòu)和注冊審核機構(gòu)(CA/RA)示意圖用戶需要基于 PKI 的強安全策略時，可以利用 CA 中心對用戶進行認(rèn)證和授權(quán)以實現(xiàn)各種安全應(yīng)用。Microsoft Windows XP Professional 和 Microsoft Windows Server 2022 提供了一個集成的公鑰基礎(chǔ)結(jié)構(gòu) (PKI)，使您能夠在 Inter、extra、intra 和應(yīng)用程序間安全地交換信息。限定從屬是對證書頒發(fā)機構(gòu)層次結(jié)構(gòu)執(zhí)行交叉認(rèn)證的過程，該認(rèn)證過程使用基本約束、策略約束、命名約束和應(yīng)用程序約束來限制應(yīng)從合作伙伴 CA 層次結(jié)構(gòu)處或同一組織內(nèi)的次要層次結(jié)構(gòu)處接受哪些證書。通過使用限定從屬，CA 管理員可以明確定義 CA 管理員組織信任的合作伙伴 PKI 所頒發(fā)的證書。限定從屬還提供了在組織中根據(jù)策略規(guī)范劃分和控制證書頒發(fā)的方法。本描述所用到的術(shù)語應(yīng)用程序約束 限制限定從屬配置中證書用途的約束。提供的證書中必須包含要求合作伙伴組織接受的應(yīng)用程序約束。頒發(fā)機構(gòu)信息訪問 (AIA) 包含可在其中檢索頒發(fā) CA 證書的 URL 位置的證書擴展。AIA 擴展可以包含 HTTP、FTP、LDAP 或 FILE URL。頒發(fā)機構(gòu)密鑰標(biāo)識符 (AKI) 供證書鏈接引擎使用的證書擴展，證書鏈接引擎可以使用該證書擴展來確定應(yīng)使用哪個證書來簽名所提交的證書。AKI 可以包含頒發(fā)者名稱和序列號、公共密鑰信息，或根本不包含任何信息。將證書 AKI 擴展中的信息與 CA 證書使用者密鑰標(biāo)識符 (SKI) 擴展中的信息進行匹配，即可以構(gòu)建證書鏈。 一個配置文件，存儲在 %SystemRoot% 文件夾中，在安裝證書和續(xù)訂 CA 證書時需用該文件定義 CA 的配置設(shè)置。CRL 分發(fā)點 (CDP) 指示可從何處檢索 CA 證書吊銷列表的證書擴展。該擴展可包含多個 HTTP、FTP、File 或 LDAP URL，用于 CRL 的檢索。證書信任列表 (CTL) 限制證書使用的一種方法，該方法限制與指定 CA 相鏈接的證書僅可在一段時間內(nèi)使用，或僅可用于特定用途。這種方法在 Windows 2022 網(wǎng)絡(luò)中使用較33為廣泛。在 Windows Server 2022 環(huán)境中，限制組織間證書用途的首選方法是限定從屬。證書吊銷列表 (CRL) 由 CA 頒發(fā)的數(shù)字簽名列表，其中包含該 CA 頒發(fā)的已被吊銷的證書的列表。此列表包含證書的序列號、證書吊銷日期和吊銷原因。應(yīng)用程序可以執(zhí)行 CRL 檢查，以確定所提交證書的吊銷狀態(tài)。交叉認(rèn)證 為與兩個根 CA 相鏈接的 CA 頒發(fā)從屬 CA 證書的過程。交叉證書頒發(fā)機構(gòu)證書 一個 CA 為另一個 CA 的簽名密鑰對（也就是為另一個 CA 的公共驗證密鑰）頒發(fā)的證書。名稱約束 名稱約束，用于限制向 CA 所提交的證書申請中允許或排除的名稱。頒發(fā)策略約束 策略約束，用于定義受組織信任的證書所必須遵循的頒發(fā)實踐。組織中的頒發(fā)策略對象標(biāo)識符 (OID) 將被映射到合作伙伴組織中相匹配的對象標(biāo)識符，以便于您的 PKI 能夠識別所提交證書中的對象標(biāo)識符。 一個配置文件，在定義限定從屬時需用該文件來定義要對 CA 證書應(yīng)用的約束。公鑰基礎(chǔ)結(jié)構(gòu) (PKI) PKI 為組織提供了在公共網(wǎng)絡(luò)上使用公鑰加密安全交換數(shù)據(jù)的能力。PKI 由頒發(fā)數(shù)字證書的 CA、存儲證書的目錄（包括 Windows 2022 和 Windows Server 2022 中的 Active Directory）以及頒發(fā)給網(wǎng)絡(luò)上安全實體的 證書組成。PKI 提供了基于證書的憑據(jù)驗證，并確保憑據(jù)不會被吊銷、破壞或修改。限定從屬 用基本約束、名稱約束、應(yīng)用程序約束和頒發(fā)策略約束配置交叉認(rèn)證，以控制合作伙伴組織可以信任的證書的過程。 Active Directory 集成可以兩種模式 — 企業(yè)/ 政府模式（或集成的 Active Directory）或獨立模式 — 之一安裝 CA。這兩種模式之間的主要區(qū)別是：企業(yè)/政府 CA 依靠 Active Directory 存儲配置信息，可以將 Active Directory 用作注冊頒發(fā)機構(gòu)，且可以自動將已頒發(fā)的證書發(fā)布到該目錄中。獨立 CA 可以將證書和 CRL 發(fā)布到該目錄，但是依賴于 Active Directory 的存在。有關(guān)提供詳細解釋的資源，請參閱本模塊結(jié)尾處“其他信息”一節(jié)。由于處于脫機狀態(tài)，根 CA 只能配置為獨立 CA，所以這里不做任何決定。如果計劃在您的環(huán)境中部署脫機中間 CA，這同樣適用于它們。34出于下列原因，頒發(fā) CA 將配置為企業(yè)/政府 CA：解決方案中使用的證書類型需要證書自動注冊和自動審批。解決方案中需要證書模板 — 它們通過簡化對多種證書類型的管理（通?？缍鄠€ CA）而產(chǎn)生可觀的效益。IAS 需要 Active Directory 執(zhí)行受信任證書映射，以便對無線客戶端進行身份驗證。必須在 NTAuth 存儲中注冊 CA，