数字林业 信息安全与单点登陆.doc

DB21 T1578 2008 数字林业 信息安全与单点登陆 2008 02 01 发布2008 03 01 实施 辽宁省质量技术监督局发布 辽宁省地方标准 DB21 DB21 T1578 2008 I 目 次 前 言 II 1 范围 1 2 规范性引用文件 1 3 信息安全基础设施 1 4 单点登陆与统一授权管理 2 附 录 A 资料性附录 7 附 录 B 资料性附录 8 DB21 T1578 2008 II 前 言 本标准附录 A 附录 B 均为资料性附录 本标准由辽宁省林业厅提出 本标准由辽宁省林业厅信息中心 辽宁省林业调查规划院起草 本标准主要起草人 高 彦 王天玲 冯 琰 陈 鑫 常 颖 王姗姗 刘全来 姜子良 高明楣 高洪升 本标准于 2008 年 2 月首次发布 DB21 T1578 2008 1 数字林业 信息安全与单点登陆标准 1 范围 本标准规定了信息安全基础设施 单点登陆与统一授权管理 本标准适用于各林业部门的林业信息化建设 2 规范性引用文件 3 信息安全基础设施 3 1 安全等级保护要求 省级系统 达到四级安全等级保护要求 市级系统 需达到三级安全等级保护要求 县级 需达到二级安全等级保护要求 3 2 防火墙体系及技术要求 3 2 1 防火墙与VPN硬件的选购 数字林业信息网络由三级组成 具体参照DB21 T1574 2008 3 2 2 防火墙规则 3 2 2 1 省级 核心防火墙 边界防火墙 虚拟网 Vlan 分属于核心防护区和一般防护区 核心防护区由核心防火墙安全区 DMZ 和林 业专网组成 一般防护区由边界防火墙和林业外网组成 确定安全规则 协议 端口 和流 量控制 核心交换机具备三层以上交换能力 根据业务性质和安全级别划分Vlan 将访问 控制与防火墙规则结合在一起 3 2 2 2 市县级 只划分出防火墙安全区 DMZ 将服务器放置在安全区内 3 2 3 服务器加固 3 2 3 1 省级 数字证书 安全加固 所有服务器都分发数字证书和有效的年限 打好系统补丁 配置不小于7位的管理密码 关闭不必要的服务和端口 设置日志和审计规则 3 2 3 2 市县级 安全加固 打好系统补丁 配置不小于7位的管理密码 关闭不必要的服务和端口 DB21 T1578 2008 2 设置日志和审计规则 3 2 4 入侵检测与杀毒 3 2 4 1 省级 入侵检测 杀毒 安置入侵检测设备 与防火墙联动 网络版的杀毒软件系统 每天升级病毒库 3 2 4 2 市级 网络版的杀毒软件系统 每天升级病毒库 3 2 4 3 县级 安装单机版的防火墙和杀毒软件 3 2 5 IP绑定 将用户 MAC 地址 用户名与 IP 进行绑定 4 单点登陆与统一授权管理 4 1 系统建设 4 1 1 功能要求 4 1 1 1 集中式用户管理 避免用户信息的多点存储 安全性高 对用户信息变化能够快速反应 4 1 1 2 集中式应用管理 对区域内部运行的各应用系统进行有效的监督管理和升级部署 实现统一的应用系统权 限管理模型 制定权限规则 权限分配策略 4 1 1 3 统一授权管理 制定应用系统统一的资源访问机制 规范应用系统的用户授权功能的开发 应用系统通 过统一接口接入 4 1 1 4 单点接入 全网服务 分布于网络内的各应用系统接入单点登陆与统一授权管理系统 实现向所有网络内用户 提供用户认证 授权管理和应用访问服务 4 1 1 5 统一身份认证 单点登陆 全网通行 网络内用户在接入单点登陆与统一授权管理系统的应用系统中登陆 就可以直接访问所 有网络内经授权的应用系统 享受应用系统提供的信息和业务服务 单点注销 全网退出 网内用户在接入单点登陆与统一授权管理系统的应用系统中注销用户信息 就可以退出 曾经或正在访问的所有应用系统 4 1 1 6 日志管理 单点登陆与统一授权管理系统能够详细记录用户使用单点登陆与统一授权管理系统的情 况 包括登陆时间 登陆用户名称 登陆的应用系统 登陆时使用的客户机 IP 地址 计算 机名和 MAC 地址等 4 1 2 平台构建 4 1 2 1 单点登陆及统一授权管理服务器 提供统一的基础数据服务和认证授权服务 支撑各应用系统的接入 所有的功能模块以 Web Service 二次开发接口的形式向各应用系统提供服务 DB21 T1578 2008 3 4 1 2 2 单点登陆客户端软件 通过统一的用户界面 收集各应用系统的通讯信息 为用户提供相互讨论和交换信息的平 台 4 1 2 3 单点登陆控件 封装用户账号 密码与数字证书两种身份认证 通过该控件和单点登陆与统一授权管理 系统接入 4 1 3 开发包与接口 4 1 3 1 客户端 提供二次开发接口的组件 封装用户身份认证功能 4 1 3 2 服务器端 提供 Web Service 接口 封装机构管理 用户管理 角色管理 用户认证 授权管理和 应用系统注册等功能 4 2 接入要求 所有接入单点登陆与统一授权管理系统的应用系统都必须遵循以下几点基本要求 保证应用系统与单点登陆与统一授权管理系统运行于同一网络 应用系统必须在单点登陆与统一授权管理系统上注册 填写相应的服务器地址 域名 应用程序名等信息 并由单点登陆与统一授权管理系统为其生成唯一的密钥 用以验 证应用系统身份和加密传输数据 应用系统必须遵循单点登陆与统一授权管理系统提供的开发接口规范 进行应用 系统的开发接入 应用系统必须使用单点登陆与统一授权管理系统提供的客户端 ActiveX 控件 实 现用户身份认证 4 3 身份认证 4 3 1 规则描述 用户只需要在任意一个接入单点登陆与统一授权管理系统的应用系统中登陆 就可以直 接访问所有其他接入单点登陆与统一授权管理系统的应用系统而无需再次登陆 用户只需要 在任意一个接入单点登陆与统一授权管理系统的应用系统中注销 就可以退出所有曾经或正 在访问的接入应用系统 4 3 2 单点认证介绍 4 3 2 1 登陆方式 用户可以通过以下方式登陆到单点登陆与统一授权管理系统 用户采用个人数字证书或用户名 密码方式从单点登陆客户端软件登陆 用户采用个人数字证书或用户名 密码方式从已接入单点登陆与统一授权管理系统 的应用系统直接登陆 4 3 2 2 认证令牌 使用管理系统为用户生成并颁发的 UserToken 认证令牌 实现单点登陆身份认证的功能 4 3 2 3 认证令牌的有效期 UserToken 是一个临时的身份凭证 单点登陆客户端软件会定时向单点登陆与统一授权 管理系统发送保持连接的通讯信息 只要用户还在使用中 自动更新延长 UserToken 的有效 期 DB21 T1578 2008 4 4 3 2 4 数字证书认证流程 用户通过数字证书登陆到单点登陆与统一授权管理系统的流程如图 5 所示 流程描述如下 1 用户打开应用系统客户端程序 2 客户端程序调用 PKI CA 客户端组件构建认证消息包 3 产生随机数 调用数字证书的私钥和证书构建认证消息包 4 返回认证消息包至应用系统客户端程序 5 应用系统客户端程序发送认证消息包至应用系统服务器 6 应用系统服务器调用 PKI CA 服务器认证组件验证认证消息 7 服务器认证组件校验认证消息的日期 并通过 CAS 系统 PKI 安全代理服务器 获取 用户临时属性 8 返回用户临时属性至服务器认证组件 9 验证用户认证消息包信息及用户证书 如上传为证书序列号 则需从 CAS 系统获 取用户证书 10 从用户证书获取信息后登陆 CAS 系统 11 返回登陆后的 token 至服务器端认证组件 12 构建认证响应消息 13 存储用户临时属性 14 认证通过后 返回应用系统服务器响应消息 15 应用系统服务器返回至应用系统客户端 16 应用系统客户端将响应消息送至客户端认证组件 17 客户端认证组件处理响应消息 DB21 T1578 2008 5 临 临 application client 临 临 临 临 临临 临 临 临 临 临 临 CAS临 临 application server 1 临 临 client临 临 2 临 临 临 临 临 临 临 临 4 临 临 临 临 临 临 临 5 临 临 临 临 临 临 6 临 临 临 临 临 临 7 临 临 临 临 临 临 8 临 临 临 临 临 临 9 临 临 临 临 临 临 10 临 临 CAS临 临 11 临 临 token 12 临 临 临 临 临 临 临 临 13 临 临 临 临 临 临 临 临 14 临 临 临 临 临 临 15 临 临 临 临 临 16 临 临 临 临 临 临 3 临 临 临 临 临 临 临 临 临 临 17 临 临 临 临 临 临 图 1数字证书认证流程 4 4 授权验证 第三方应用系统要接入单点登陆与统一授权管理系统 需遵循以下规则流程 a 第三方应用系统开发人员需在单点登陆与统一授权管理系统中注册相关的应用程序 信息 经平台管理员审批后 返回唯一的应用程序授权号 b 第三方应用系统开发人员需使用单点登陆与统一授权管理系统中提供的操作界面 自定义所需的权限规则 并将该权限规则与相关应用进行绑定 c 第三方应用系统开发人员使用单点登陆与统一授权管理系统提供的二次开发接口进 行相应的授权验证操作 二次开发接口详见附录 d 第三方应用系统的授权对象 可以是网内所有的组织 机构 用户 角色 通过单 点登陆与统一授权管理系统 网内用户可以很便捷的访问到自己有权访问的应用 数据 资源 DB21 T1578 2008 6 4 5 接口规范 单点登陆与统一授权管理系统根据其预先保存的应用系统服务器 IP 地址以及颁发给应 用系统的密钥来辨认应用系统的身份 其定义的接口需要遵循如下规定 接口的所有数据类型定义均遵循 XML 语言定义规范 W3C2001 版规范 对于重定向接口中的字符串参数 必须进行控制码的转义 详细方法参见 RFC1738 对于重定向接口 定义 为返回参数与 ReturnUrl 之间的连接符变量 如果 ReturnUrl 中包含查询参数 取值为 否则取值为 对于非重定向接口 通过 Web Services 实现 对 Web Services 的调用采用 SOAP 调用方法 SOAP 接口若无特殊说明 均承载在 HTTP 协议上 承载 SOAP 调用的 HTTP 请求头 中使用 POST 命令 本规范不对其目的地址的 URL 作具体规定 对于 SOAP 调用接口 服务提供方必须首先检查服务请求方的 IP 地址合法性方可 提供服务 所有 SOAP 调用的 XML 编码均采用 UTF 8 方式 所有 SOAP 调用方法的 URL 均作为 SOAP Action 的取值 接口描述中的斜体部分表示变量在系统运行中的实际取值 接口若无特殊说明 均为同步调用接口 ApplicationName 是指接入单点登陆与统一授权管理系统的应用系统的域名 该域 名由应用系统指定 DB21 T1578 2008 7 附 录 A 资料性附录 A 1 基本认证过程 身份认证过程由用户应用程序 单点登陆控件 单点登陆与统一授权管理服务器三方交 互完成 交互过程如图 2 所示 认证完成之后 第三方应用程序根据认证的返回信息决定是否进行和应用服务器端的交 互 即是否让用户进行下一步的业务操作过程 图 2基本认证过程 其中客户端 C S 模式为应用程序 B S 模式为 IE 浏览器 通过 Active X 控件提供的 API 与单点登陆与统一授权管理服务器进行交互 根据返回的结果来决定客户端和应用服务器端 的交互 操作过程是 1 客户端和单点登陆与统一授权管理服务器的交互 实现用户身份认证 2 客户端和应用服务器的交互 即具体的业务流程 实现用户业务处理 DB21 T1578 2008 8 附 录 B 资料性附录 B 1 身份认证流程描述 B 1 1 用户首次登陆 本流程适用于以下场景 用户第一次登陆单点登陆与统一授权管理系统 尚未获得有效 的 UserToken 当用户请求登陆应用系统时 应用系统向单点登陆与统一授权管理系统提出 认证请求 流程如图 3 所示 流程描述如下 1 用户访问单点客户端软件或应用系统 2 客户端软件或应用系统经检测 发现该用户尚未登陆过 则弹出登陆窗口 3 用户提交身份认证信息 客户端软件或应用系统通过 Web Services 方式向单点登陆 与统一授权管理系统提交认证请求 4 单点登陆与统一授权管理系统将认证结果返回给客户端软件或应用系统 5 客户端软件或应用系统向用户返回系统主页面 应用系统单点登录系统 请求 用户身份验证 返回验证结果 本地验证 输入用户信息 返回系统页面 返回登陆页面 图 3首次登陆流程示意图 B 1 2 后续登陆 本流程适用于以下场景 用户已经获得有效的 UserToken 即用户已经登陆过 此时访 问其它应用系统 流程如图 4 所示 流程描述如下 1 用户访问单点客户端软件或应用系统 2 客户端