【正文】 一系列功能的集合或者崗位職務的概念，符合日常管理的思維方式。系統(tǒng)權限按照角色進行分級劃分，保證適當?shù)挠脩粼L問到適當?shù)馁Y源和操作。統(tǒng)一的組織和角色管理能夠與將來的 CA 中心集成，實現(xiàn) CA 中心中的單位、組織、部門一般與組織結構實現(xiàn)直接對應關系。 統(tǒng)一身份和權限管理統(tǒng)一身份及權限管理系統(tǒng)的目標主要包括：? 統(tǒng)一湖南 XX 綜合信息門戶系統(tǒng)的授權和安全模型，提供統(tǒng)一的、完善的、易用的管理平臺；? 為現(xiàn)存的和即將開發(fā)的各應用系統(tǒng)提供一個跨平臺的授權信息管理接口，解決目前權限管理混亂、用戶使用不便、安全性差等問題；? 利用 Active Directory、CA 認證中心、SmartCard 等技術，在完善用戶管理、授權等功能的同時，提高統(tǒng)一政務信息平臺的安全性，抵御潛在的安全風險。? 在和多個外部子系統(tǒng)進行信息交換的過程中提供安全控制。 功能結構27整個統(tǒng)一身份及權限管理系統(tǒng)功能結構如下圖所示：在統(tǒng)一身份及權限管理系統(tǒng)中， “存儲服務” 、 “企業(yè)目錄服務 LDAP”作為兩個主要組成部分，實現(xiàn)的是系統(tǒng)的核心功能，即通過整合資源，將用戶信息、終端信息、機構信息以及應用信息集中進行整合和存儲；并且提供信息系統(tǒng)應用中共性的服務，包括通用認證管理和通用授權管理。通用認證系統(tǒng)主要包括兩部分功能：? 用戶身份管理：存放和管理用戶信息，并提供用戶身份認證服務。? 用戶證書管理：存放和管理用戶證書信息，支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。通用授權系統(tǒng)主要包括三部分功能：? 授權數(shù)據(jù)庫：存放授權信息。? 授權管理模塊： 主要包括組織結構及用戶管理、應用程序權限設置、用戶授權管理 3 部分組成。? 應用程序權限控制：供應用程序查詢當前用戶是否有權限使用指定功能。對外接口部分向信息系統(tǒng)應用提供對企業(yè)目錄 LDAP 的訪問方式，這部分將在后續(xù)的系統(tǒng)標準中進行詳細介紹。對外展現(xiàn)是提供存儲信息的內(nèi)容展現(xiàn)。一般給管理人員使用。 功能詳細說明28訊飛已經(jīng)在多個電子政務系統(tǒng)中成功實施了統(tǒng)一身份及權限管理系統(tǒng)，根據(jù)本需求書的建議，可以圓滿實現(xiàn)本次建設的需求，在此就其中比較重要和用戶比較關心的功能進行說明。統(tǒng)一授權管理系統(tǒng)的實施之后，各應用系統(tǒng)不再獨立管理用戶信息和授權信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設置的權限范圍，訪問合肥市統(tǒng)一政務信息處理平臺的所有資源。系統(tǒng)能夠通過企業(yè)目錄 LDAP 支持密碼同步的功能，具體流程見下圖所示： 人事系統(tǒng) ： 設定新賬號和初始密碼企業(yè)目錄1A D 系統(tǒng) ：創(chuàng)建 A D 賬號和初始口令創(chuàng)建新員工郵箱協(xié)同辦公系統(tǒng) ： 同步新的用戶口令23門戶系統(tǒng) ： 與 A D系統(tǒng)進行同步系統(tǒng)對于所有的認證和授權事件都會進行記錄，并可以提供接口以供查詢。系統(tǒng)支持多種協(xié)議的認證，包括包括明文認證、Windows 集成認證、Kerberos 認證、證書認證等。對于 C/S 認證可以提供標準的 LDAP 和 ADSL 認證接口。系統(tǒng)本身支持協(xié)議多種多樣，對于 B/S 和 C/S 的認證過程中可以提供 SSL 的加密。通過和協(xié)同辦公系統(tǒng)客戶端的結合可以實現(xiàn)自動保存、輸入密碼等便利功能。通過 Windows Server 2022 對智能卡安全的內(nèi)在支持，系統(tǒng)可以實現(xiàn) SmartCard 的認證。通過和 Windows Server2022 的結合，系統(tǒng)可以提供完善的管理控制機制，能夠對會話時間、口令復雜度、口令期限、口令修改歷史等進行靈活管理。系統(tǒng)授權系統(tǒng)是根據(jù)角色來定義的，可以靈活的對用戶賦予角色，實現(xiàn)權限的管理。29系統(tǒng)功能能夠適應新的系統(tǒng)認證授權需要。系統(tǒng)支持多種靈活的接口，并且借助 J2EE 的開發(fā)平臺對于網(wǎng)絡服務的支持可以靈活的進行擴展。11, 通過 WebService 接口允許跨平臺交換信息并進一步增強其功能。 統(tǒng)一身份及權限管理系統(tǒng) 基本訪問接 口 高級編程接 口 應用程序 應用程序 x m l / h t t p W e b S e r v i c e 統(tǒng)一身份認證平臺的拓展——單點登錄（Single SignOn，SSO）當我們建立了統(tǒng)一身份認證平臺之后，今后會逐漸針對用戶的需求、安全性的需求對平臺的功能進行拓展。統(tǒng)一授權管理系統(tǒng)的實施之后，各應用系統(tǒng)不再獨立管理用戶信息和授權信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設置的權限范圍，訪問統(tǒng)一電子政務平臺的所有資源。 單一點登錄的優(yōu)勢在于：? 實現(xiàn)一次登錄，可以訪問所有資源；? 減少用戶身份的副本，增加安全性；? 采用較為安全的用戶身份信息，避免常見的攻擊方法；? 根據(jù)情況，單一登錄可以用不同的方法實現(xiàn)：? 服務器端為 Windows 平臺，并且用 JBOSSAS 作為 Web Server，則可以使用集成認證的方式，在瀏覽器訪問 Web 頁面的時候，會自動將登錄到域的用戶名和密碼送到服務器端，無需用戶錄入。30? 利用 Cookie 技術，每一個通過驗證的用戶將獲得一個唯一的、有時間期限的訪問令牌，該令牌經(jīng)過加密后放在 Cookie 中。繼續(xù)訪問應用系統(tǒng)頁面的時候，瀏覽器會將該 Cookie 送到服務器端，由服務器端通過 Web Service 與通用授權管理系統(tǒng)通信以決定本次訪問是否合法。此方法可以適用于任何服務器平臺。? 對于使用 SmartCard 的用戶，首先由 CA 發(fā)放證書，并由管理員對此證書與 AD中的用戶帳號進行關聯(lián)，這樣用戶可以用 SmartCard 來登錄 Windows。 單點登錄統(tǒng)一授權管理系統(tǒng)的實施之后，各應用系統(tǒng)不再獨立管理用戶信息和授權信息。 每個用戶可以在單一點登錄之后，按系統(tǒng)設置的權限范圍，訪問合肥市統(tǒng)一政務信息平臺的所有資源。 單一點登錄的優(yōu)勢在于：? 實現(xiàn)一次登錄，可以訪問所有資源? 減少用戶身份的副本，增加安全性? 采用較為安全的用戶身份信息，避免常見的攻擊方法根據(jù)情況，單一登錄可以用不同的方法實現(xiàn)：? 服務器端為 Windows 平臺，并且用 JBOSSAS 作為 Web Server，則可以使用集成認證的方式，在瀏覽器訪問 Web 頁面的時候，會自動將登錄到域的用戶名和密碼送到服務器端，無需用戶錄入。? 利用 Cookie 技術，每一個通過驗證的用戶將獲得一個唯一的、有時間期限的訪問令牌，該令牌經(jīng)過加密后放在 Cookie 中。 繼續(xù)訪問應用系統(tǒng)頁面的時候，瀏覽器會將該Cookie 送到服務器端，由服務器端通過 Web Service 與通用授權管理系統(tǒng)通信以決定本次訪問是否合法。 此方法可以適用于任何服務器平臺。 日志與報警根據(jù)需要，系統(tǒng)可以記錄下來用戶的每一次或重要操作的日志，并提供對日志的分析功能。系統(tǒng)同時具有自動預警功能，系統(tǒng)會根據(jù)設定的操作級別采用設定的形式自動報警（比如給系統(tǒng)管理員發(fā)送電子郵件、短消息、在線消息） 。31 認證集成系統(tǒng)(CA)于網(wǎng)絡上所面臨的對系統(tǒng)安全的嚴峻挑戰(zhàn)，不僅要考慮傳統(tǒng)的防火墻、病毒防護，還需結合數(shù)字簽名和身份認證的基于 PKIPublic Key Infrastructure (公共密鑰體系)的強安全策略解決 Inter 的服務安全問題。在基于 Inter 技術的電子政務和電子商務場景下，應用系統(tǒng)對安全性的需求在技術上最終都歸于以下四個方面：(1) 提供用戶身份合法性驗證(Authentication)機制；(2) 保證敏感數(shù)據(jù)通過公用網(wǎng)絡傳輸時的保密性(Confidentiality)；(3) 保證數(shù)據(jù)完整性(Integrity)；(4) 提供不可否認性(NonRepudiation)支持。PKI 采用公鑰和私鑰對信息進行加解密和身份認證的。認證機構 CA（Certificate Authority）是 PKI 的信任基礎，它管理公鑰的整個生命周期，其作用包括簽發(fā)證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表(CRL)來確保必要時可以廢除證書。注冊審核機構 RA（Registry Authority）提供用戶和 CA 之間的接口，主要完成收集用戶信息和確認用戶身份的功能。這里指的用戶，是指將要向認證機構(即 CA)申請數(shù)字證書的客戶，可以是個人，也可以是集團或團體、某政府機構等。RA 接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意 CA 給其簽發(fā)數(shù)字證書。注冊機構并不給用戶簽發(fā)證書，而只是對用戶進行資格審查。因此，RA 可以設置在直接面對用戶的業(yè)務部門。32證書機構和注冊審核機構(CA/RA)示意圖用戶需要基于 PKI 的強安全策略時，可以利用 CA 中心對用戶進行認證和授權以實現(xiàn)各種安全應用。Microsoft Windows XP Professional 和 Microsoft Windows Server 2022 提供了一個集成的公鑰基礎結構 (PKI)，使您能夠在 Inter、extra、intra 和應用程序間安全地交換信息。限定從屬是對證書頒發(fā)機構層次結構執(zhí)行交叉認證的過程，該認證過程使用基本約束、策略約束、命名約束和應用程序約束來限制應從合作伙伴 CA 層次結構處或同一組織內(nèi)的次要層次結構處接受哪些證書。通過使用限定從屬，CA 管理員可以明確定義 CA 管理員組織信任的合作伙伴 PKI 所頒發(fā)的證書。限定從屬還提供了在組織中根據(jù)策略規(guī)范劃分和控制證書頒發(fā)的方法。本描述所用到的術語應用程序約束 限制限定從屬配置中證書用途的約束。提供的證書中必須包含要求合作伙伴組織接受的應用程序約束。頒發(fā)機構信息訪問 (AIA) 包含可在其中檢索頒發(fā) CA 證書的 URL 位置的證書擴展。AIA 擴展可以包含 HTTP、FTP、LDAP 或 FILE URL。頒發(fā)機構密鑰標識符 (AKI) 供證書鏈接引擎使用的證書擴展，證書鏈接引擎可以使用該證書擴展來確定應使用哪個證書來簽名所提交的證書。AKI 可以包含頒發(fā)者名稱和序列號、公共密鑰信息，或根本不包含任何信息。將證書 AKI 擴展中的信息與 CA 證書使用者密鑰標識符 (SKI) 擴展中的信息進行匹配，即可以構建證書鏈。 一個配置文件，存儲在 %SystemRoot% 文件夾中，在安裝證書和續(xù)訂 CA 證書時需用該文件定義 CA 的配置設置。CRL 分發(fā)點 (CDP) 指示可從何處檢索 CA 證書吊銷列表的證書擴展。該擴展可包含多個 HTTP、FTP、File 或 LDAP URL，用于 CRL 的檢索。證書信任列表 (CTL) 限制證書使用的一種方法，該方法限制與指定 CA 相鏈接的證書僅可在一段時間內(nèi)使用，或僅可用于特定用途。這種方法在 Windows 2022 網(wǎng)絡中使用較33為廣泛。在 Windows Server 2022 環(huán)境中，限制組織間證書用途的首選方法是限定從屬。證書吊銷列表 (CRL) 由 CA 頒發(fā)的數(shù)字簽名列表，其中包含該 CA 頒發(fā)的已被吊銷的證書的列表。此列表包含證書的序列號、證書吊銷日期和吊銷原因。應用程序可以執(zhí)行 CRL 檢查，以確定所提交證書的吊銷狀態(tài)。交叉認證 為與兩個根 CA 相鏈接的 CA 頒發(fā)從屬 CA 證書的過程。交叉證書頒發(fā)機構證書 一個 CA 為另一個 CA 的簽名密鑰對（也就是為另一個 CA 的公共驗證密鑰）頒發(fā)的證書。名稱約束 名稱約束，用于限制向 CA 所提交的證書申請中允許或排除的名稱。頒發(fā)策略約束 策略約束，用于定義受組織信任的證書所必須遵循的頒發(fā)實踐。組織中的頒發(fā)策略對象標識符 (OID) 將被映射到合作伙伴組織中相匹配的對象標識符，以便于您的 PKI 能夠識別所提交證書中的對象標識符。 一個配置文件，在定義限定從屬時需用該文件來定義要對 CA 證書應用的約束。公鑰基礎結構 (PKI) PKI 為組織提供了在公共網(wǎng)絡上使用公鑰加密安全交換數(shù)據(jù)的能力。PKI 由頒發(fā)數(shù)字證書的 CA、存儲證書的目錄（包括 Windows 2022 和 Windows Server 2022 中的 Active Directory）以及頒發(fā)給網(wǎng)絡上安全實體的 證書組成。PKI 提供了基于證書的憑據(jù)驗證，并確保憑據(jù)不會被吊銷、破壞或修改。限定從屬 用基本約束、名稱約束、應用程序約束和頒發(fā)策略約束配置交叉認證，以控制合作伙伴組織可以信任的證書的過程。 Active Directory 集成可以兩種模式 — 企業(yè)/ 政府模式（或集成的 Active Directory）或獨立模式 — 之一安裝 CA。這兩種模式之間的主要區(qū)別是：企業(yè)/政府 CA 依靠 Active Directory 存儲配置信息，可以將 Active Directory 用作注冊頒發(fā)機構，且可以自動將已頒發(fā)的證書發(fā)布到該目錄中。獨立 CA 可以將證書和 CRL 發(fā)布到該目錄，但是依賴于 Active Directory 的存在。有關提供詳細解釋的資源，請參閱本模塊結尾處“其他信息”一節(jié)。由于處于脫機狀態(tài)，根 CA 只能配置為獨立 CA，所以這里不做任何決定。如果計劃在您的環(huán)境中部署脫機中間 CA，這同樣適用于它們。34出于下列原因，頒發(fā) CA 將配置為企業(yè)/政府 CA：解決方案中使用的證書類型需要證書自動注冊和自動審批。解決方案中需要證書模板 — 它們通過簡化對多種證書類型的管理（通?？缍鄠€ CA）而產(chǎn)生可觀的效益。IAS 需要 Active Directory 執(zhí)行受信任證書映射，以便對無線客戶端進行身份驗證。必須在 NTAuth 存儲中注冊 CA，