统一身份认证系统技术方案.doc

精选优质文档-倾情为你奉上智慧海事一期统一身份认证系统技术方案专心-专注-专业目 录1. 总体设计1.1 设计原则一、标准化原则系统的整体设计要求基于国家密码管理局商用密码管理条例、公安部计算机系统安全等级要求和中华人民共和国计算机信息系统安全保护条例的有关规定。数字证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。二、安全性原则系统所采用的产品技术和部署方式必须具有足够的安全性，针对可能的安全威胁和风险，并制定相应的对策。关键数据具有可靠的备份与恢复措施。三、可用性原则系统具有足够的容量和良好的性能，能够支撑百万级或千万级用户数量，并能够在海量用户和大并发访问压力的条件下，保持功能和性能的可用性。四、健壮性原则系统的基础平台成熟、稳定、可靠，能够提供不间断的服务，相关产品均具有很强的健壮性、良好的容错处理能力和抗干扰能力。五、模块化原则系统的设计和实现采用模块化结构，各个模块具有相对独立的功能和开放的接口。可以根据系统的需要进行功能模块的增加或减少，而不必改变原来的程序构架；针对不同的应用定制实施模块。六、可扩展原则随着业务的发展，对未来系统的功能和性能将会提出更高的要求。系统在设计和实现上，应具有良好的可扩展性。可以通过对硬件平台、软件模块的扩展和升级，实现系统功能和性能的平滑地扩展和升级。七、方便开发原则系统提供丰富的二次开发工具和接口，便于应用系统调用，能够方便的与现有和将来的应用系统进行集成。八、兼容性原则系统具备良好的兼容性，能够与多种硬件系统、基础软件系统，以及其它第三方软硬件系统相互兼容。1.2 设计目标根据招标文件的具体技术要求，基于现有信息系统现状、数字证书应用现状以及未来在信息安全方面的技术性要求，本方案提出以下建设目标。(1) 在海事局内部部署统一认证管理系统，具体目标是：提供数据统一、维护统一、用户统一的安全可靠的认证与授权服务；实现全局相关业务系统全面统一的用户管理、可靠的身份认证与安全审计、有效的分级授权、安全的单点登录、便捷的信息共享(2) 在海事局内部部署数字证书认证系统（CA认证中心），具备10万级数字证书的发放能力，满足海事局内部用户以及应用系统的对数字证书的使用需求。(3) 广东海事局内部其它业务系统（包括：船舶远程电子签证、船舶动态2.0系统）与统一身份认证系统的进行技术集成，实现统一的身份认证与单点登录功能。1.3 设计实现本方案由统一认证管理系统和数字证书认证系统两部分组成，其统一认证管理系统实现统一的用户管理、身份认证、单点登录、授权管理、安全审计等功能；数字证书认证系统实现海事局全国用户的数字证书发放和数字证书管理。统一认证管理系统与数字证书认证系统集成，实现新增用户信息同步，证书管理员只需要登录数字证书认证系统，查出用户信息，直接制作证书。二级云中心（直属局）统一认证管理系统定时将用户、机构、授权等信息同步给一级云中心统一认证管理系统。本期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态2.0系统的单点登录功能。1.4 系统部署一级云中心：一台身份认证服务器，一台加密机，两台统一认证服务器（基于ORACLE一体机实现负载），两台统一认证数据库服务器（基于ORACLE数据库一体机实现负载）。五个二级云中心（直属局）：一台统一认证数据库服务器，两台统一认证服务器（双机冷备），二级云中心统一认证服务器能访问一级云中心统一认证服务器。2. 方案产品介绍2.1 统一认证管理系统2.1.1 系统详细架构设计国家海事局统一认证管理系统详细架构设计如下图所示：在国家海事局部署一级统一身份认证系统，可管理全部的系统用户，用户可通过统一身份认证系统进行身份认证、业务系统单点登录；二级单位根据具体情况可部署二级统一身份认证系统，系统用户信息管理与一级统一身份认证系统同步，当网络出现故障时，二级单位用户可登录各自单位的二级统一身份认证系统，不影响正常的业务处理。国家海事局统一认证管理系统的主要服务功能模块包括：身份认证模块、单点登录模块、信息同步模块、后台管理模块、数据服务模块及安全管理模块，其中后台用户管理包括用户、角色、应用等相关信息管理，另外，安全管理模块为维护好系统服务功能的安全性，提供系统自身所有操作的安全审计功能，以及各个应用系统用户信息的监控功能。2.1.2 身份认证服务设计身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户资料管理及销毁、登录认证功能。2.1.2.1 总体设计认证管理的结构如上图所示，主要包括以下几个部分：CA认证中心：海事局CA认证中心为数字证书用户提供身份认证服务，签发数字证书，实现证书与现实中的实体（个人、单位或服务器）的绑定。CA认证中心除了为最终用户办法数字证书外，还需要为统一认证服务器和业务系统的服务器签发服务器身份证书，用于客户与服务器之间的双向认证。统一认证服务器：统一认证系统服务器的数据库中集中存放所有业务系统的用户信息和权限信息，所有业务系统和统一认证系统都需要部署服务器证书、安全组件和认证接口，用于业务系统与客户端，或业务系统之间的身份认证。证书用户：证书用户按照经过严格的身份信息鉴证，从CA认证中心领取数字证书，然后通过访问各级统一认证系统，进行单点登录，就可以很方便地访问自己权限范围内的应用系统。用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一致（关键信息为：姓名、证件类型和证件号码），只有信息一致的前提下，才可实现可靠的身份认证。口令用户：口令用户不需要经过CA中心身份认证和签发数字证书，直接由单位管理员根据用户信息注册即可。用户本人可在获得初始密码后修改登陆密码和注册信息。2.1.2.2 身份认证方式统一认证系统可以对不同的系统进行分级认证，也可以对系统内的不同用户分级认证。系统应同时支持口令方式和数字证书两种方式的身份认证机制。另外，系统应具有扩展接口，可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身份认证技术支持PKI、LDAP、NDS、NIS、AD等标准认证技术。对于安全性较低的系统，可以采用最低认证等级：用户名/口令方式；对于安全性较高的系统，最低认证等级则需要设置为数字证书方式。系统的认证等级和用户的认证方式都可以在统一认证系统后台进行动态配置。用户使用数字证书可以登录安全性较低的系统，但是用户名/口令认证方式不允许进入等级为数字证书的业务系统。2.1.2.3 基于数字证书的身份认证数字证书用户登录业务系统的身份认证流程如下图所示：流程说明：(1) 提供证书：在登录门户页面（或统一认证首页）中嵌入证书控件和组件，服务器端产生随即数并进行数字签名，客户端实现即插即用的登录认证模式，只要插入UsbKey自动列举Key内的数字证书；(2) 握手认证：用户输入证书密码、点击登录提交按钮后，页面调用证书控件的运行脚本，校验证书密码后对服务器端产生的随即数和数字签名进行验证；客户端对随即数进行数字签名，提交认证信息给服务器验证；认证信息主要包括：随即数、客户证书、客户的签名等信息。服务器后台程序验证客户端的证书有效性和数字签名的有效性。(3) 获取访问信息：统一认证服务器从认证信息中提取客户端数字证书，并从证书中解析出证书的唯一标识，在后台数据库中进行比对，进行访问控制；(4) 返回登录票据：服务器认证通过后，形成标准格式的登录票据，返回客户端。(5) 选择业务系统：系统根据登录票据，显示可登录的系统，用户选择系统。(6) 传递票据：客户端浏览器将登录票据传递到对应的系统地址上。(7) 票据验证：业务系统根据接收到的登录票据，通过部署的安全组件进行验证。(8) 进入系统：验证通过，允许进入，根据用户权限信息，授予对应的操作权限。否则，拒绝登录。系统采用数字证书，安全组件、密码运算、数字签名、数字信封等技术来保障用户身份的真实性，可以有效避免身份冒充、身份抵赖、重放、中间人攻击的风险，从而在一定程度上保证认证的安全性。数据加密可采用标准SSL协议，在WEB服务器上配置SSL服务器证书，即可实现数据在网络传输过程中的加密。2.1.2.4 基于口令方式的身份认证用户身份唯一性设计：系统采用集中数据库管理模式，用户名作为用户信息表中的主键，在系统中不允许重复。另外，系统中应根据用户类型和注册的基本信息生成一个具有用户特征码，用于识别一个人或单位在系统中的身份唯一性。特征码的编码规范示例：个人用户的特征码=证件类型编码证件号码真实姓名+登录名单位用户的特征码=组织机构代码对应单位名称+登录名用户名方式的身份认证业务流程与证书方式类似，与证书方式的主要区别在于以下几点：（1）客户端不进行数字签名；（2）提交给服务器的认证信息不包括客户端数字签名，而是加密后的登录口令；（3）服务器端接收到认证信息后，不再验证签名，而是将加密的口令与数据库中的加密口令进行对比核对；（4）安全登录票据中的登录方式不同；（5）其他流程没有区别。2.1.3 授权管理服务设计2.1.3.1 授权管理的系统框架为确保信息资源访问的可控性，防止信息资源被非授权访问，需要在用户身份真实可信的前提下，提供可信的授权管理服务，实现对各类用户的有效管理和访问控制，保护各种信息资源不被非法或越权访问，防止信息泄漏。统一认证管理系统应提供信息资源管理、用户角色定义和划分、权限分配和管理、权限认证等功能。权限管理主要是由管理员进行资源分类配置、用户角色定义及授权等操作；权限认证主要是根据用户身份对其进行权限判断，以决定该用户是否具有访问相应资源的权限。由于统一认证管理系统要解决各个应用系统内部的细粒度资源权限控制，需要与应用系统紧密结合，因此统一认证管理系统应在统一身份认证系统粗粒度访问控制的基础之上，由各个应用系统结合本地资源授权方式，进行定制集成开发。由于采取分布式的RBAC授权管理模型，首先应对用户进行严格的身份认证，保证用户身份的真实性，在此基础之上再由综合各个应用系统内部资源权限分配的统一授权管理系统对用户进行严格的权限认证，实现各个应用系统内部资源细粒度的授权访问控制。用户访问控制总体框架如下图所示：在此框架下，整个授权控制的工作流程如下：(1) 统一认证管理系统的初始化，添加并配置系统管理员；(2) 由系统管理员添加并配置下级管理员或用户；(3) 管理员添加受控访问资源，并设置每个用户的权限；(4) 用户访问各应用系统，首先由统一认证系统验证该用户的身份；(5) 认证通过后根据用户身份，对用户进行权限认证；(6) 如果用户通过权限认证，则说明该用户可以进入相应的应用系统，访问权限许可内的资源；否则，拒绝用户访问。2.1.3.2 授权管理模型（基于角色的授权）基于角色的访问控制（RBAC）授权模型：通过角色定义，将应用系统的业务权限授予某个角色，然后将用户与这些角色关联，从而将业务权限赋予该用户。如下图所示：基于角色的访问控制方法的思想就是把对用户的授权分成两部份，用角色来充当用户行驶权限的中介。这样，用户与角色之间以及角色与权限之间就形成了两个多对多的关系。系统提供角色定义工具允许用户根据自己的需要（职权、职位以及分担的权利和责任）定义相应的角色。角色是一组访问权限的集合，一个用户可以是很多角色的成员，一个角色也可以有很多个权限，而一个权限也可以重复配置于多个角色。权限配置工作是组织角色的权限的工作步骤之一，只有角色具有相应的权限后用户委派才能具有实际意义。基于角色授权模型的优点基于角色的策略实现了用户与访问权限的逻辑分离，极大的方便了权限管理。例如，如果一个用户的职位发生变化，只要将用户当前的角色去掉，加入代表新职务或新任务的角色即可。一般，角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，并且委派用户到角色不需要很多技术，可以由行政管理人员来执行，而配置权限到角色的工作比较复杂，需要一定的技术，可以由专门的技术人员来承担，但是不给他们委派用户的权限，这与现实中情况正好一致。除了方便权限管理之外，基于角色的访问控制方法还可以很好的地描述角色层次关系，实现最少权限原则和职责分离的原则。基于角色授权的流程以下面的授权目标举例说明基于角色的授权流程：用户（张三）<- 角色（预算处处长）<- 权限（预算系统的审核）1、生成一个角色：预算处处长；2、选择预算系统的预算审批业务权限授予预算处处长角色；3、将预算处处长角色授予用户张三。通过将预算系统的审核的业务权限授予预算处处长角色，然后将此角色与用户张三关联，最后用户拥有了该权限。2.1.3.3 分级授权管理分级授权实现的是权限继承：当上级管理员对下级管理员进行授权时，所授予的业务权限将被下级继承，下级管理员拥有这些权限，并可以将这些权限授予其管辖的用户。分级授权通过管理员授权实现。通过一步步的权限传递，可以实现多级授权。授权可以基于角色，（如例子中利用预算审核角色），也可以直接基于业务权限。根据5个直属局调研反馈，初步确定直属局按二级进行分级管理分级授权，即各直属局下属分局或海事处添加一级管理员，负责本分局或海事处的用户信息管理及授权。2.1.4 单点登录服务设计2.1.4.1 实现原理安全的单点登录具体实现机制如下：采用基于数字签名的安全票据技术，封装用户登录后的认证状态信息，并以安全方式传递到各个相关系统中，通过对票据的解密、验证、解析，从而实现方便、快捷、安全的单点登录。针对江苏省海事局办公系统已与内部几个业务系统集成，实现单点登录，建议本项目建设统一认证管理系统只与江苏省海事局办公系统集成，保持现有业务系统单点登录，另外统一认证管理系统与部局统一建设的船舶远程电子签证、船舶动态2.0系统集成实现单点登录；江苏省海事局以后新建设业务系统，可以参照统一认证管理系统集成，集成到统一认证管理系统中。针对深圳市海事局所有业务系统都基于AD域实现单点登录，现有的业务系统集成模式不变。在用户已经登录AD域，直接进入统一认证管理系统认证门户，访问部局统一建设的船舶远程电子签证、船舶动态2.0系统，不需要再登录；深圳市海事局以后新建设业务系统，可以参照统一认证管理系统集成，集成到统一认证管理系统中。单点登录票据格式如下：通过对单点登录票据的加密、签名等技术保证票据的机密性、完整性以及抗否认性，并且在票据中包含票据的有效时间段信息，利用时间有效期从一定程度上减少重放、中间人攻击的风险。单点登录系统维护一张票据流水号临时表，票据使用一次以后就失效，也可以有效防止重放攻击的风险。通过采用以上的这些安全措施以及安全流程，可以有效地保证单点登录系统的安全性。2.1.4.2 工作流程安全单点登录流程如下图所示：2.1.5 身份信息共享与同步设计统一认证系统建立统一的权威机构数据、用户数据、用户授权数据等资源库并可作为所有应用系统的数据源。机构数据、用户数据、用户授权数据是海事局核心数据，需要绝对的安全和保密。统一认证管理系统对数据的管理应该是安全的和封闭的，任何未授权应用系统均无法从系统管理层面、系统服务层面和数据库层面获取这些数据，应用系统必须通过信息共享服务和数据同步的方式获取这些数据。2.1.5.1 体系结构信息共享服务和数据同步有两种体系结构：(1) 一级统一认证管理系统和国家海事局应用系统的同步如下图所示：一级统一认证管理平台一级统一认证管理系统仅需要和国家海事局本地的应用系统作数据同步。(2) 国家海事局统一认证管理系统和直属局/地方局统一认证管理系统同步如下图所示：一级统一认证管理平台直属局/地方省局国家海事局二级统一认证管理平台一级统一认证管理系统不仅需要和国家海事局本地的应用系统作数据同步，还需要和直属局/地方省局的二级级统一认证管理系统作数据同步。2.1.5.2 同步机制信息共享服务和数据同步机制如下：与基于关系型数据库（DB）的应用系统同步采用webservices技术（SOAP协议）实现与这类应用系统作数据同步。数据通过同步引擎、事务机制和SOAP协议实现与应用系统之间的同步。同步的成功和失败都进行记录，同步的成功信息以报告形式方便于管理人员查看，同步的失败信息通过定时器机制自动完成，直至同步成功。与基于目录（LDAP）的应用系统同步采用LDAP协议和JNDI技术实现与这类应用系统作数据同步。支持的LDAP包括：apacheDS，openLdap，sunONE等，另外也包括域控制器（windows AD、Linux NIS、Unix NFS）。统一认证管理系统和应用系统之间以JNDI/LDAP方式建立通信。数据通过同步引擎、事务机制和JNDI与LDAP协议实现与应用系统之间的同步。同步的成功和失败都进行记录，同步的成功信息以报告形式方便于管理人员查看，同步的失败信息通过定时器机制自动完成，直至同步成功。与基于域控制器的应用同步采用LDAP协议和JNDI技术实现与这类应用系统数据同步。域控制器包括：windows AD、Linux（Unix）NIS。对域控制器的同步，基本与对LDAP的同步类似，因此，与基于域控制器的应用同步可以采用基于LDAP协议来实现同步。但是windows还提供了一套ADSI接口，也能够实现与windows AD的数据同步。统一认证系统通过JNI实现对windowsAD的数据同步。2.1.5.3 同步策略同步策略有三种，包括：操作及时同步、操作批量同步和事后同步。1、及时同步该策略实现了：对用户信息、机构信息操作（增加并授权、删除、修改）时，系统自动完成同步。同步失败时，系统监控提示同步失败，后台使用定时器定时继续进行同步。同步定时器还能够设置同步的时间和周期。2、批量同步该策略实现了：根据“角色”选择用户，完成用户同步；根据“机构”选择用户，完成用户同步；根据“应用系统”选择对应的角色，完成角色的同步。3、事后同步该策略实现了：当用户信息、机构信息操作（增加、删除、修改）时或者同步失败时，用户可根据需要进行事后再次同步。当新系统接入时，单独同步信息。当系统需要更新数据时，再次同步用户信息。2.1.6 后台管理设计2.1.6.1 用户数据的获取身份信息由各应用系统汇集，统一认证管理系统提供批量操作（导入、导出、迁移）工具，如采用用户数据EXCEL 的导入导出，以满足海事局大量用户维护的需求。2.1.6.2 管理模式系统提供分级管理分级授权。2.1.6.2.1 分级管理分级授权用户身份信息和用户的访问控制相关的授权信息均分级管理。设有三类管理员角色：(1) 系统管理员：进行单位管理员管理、机构管理、角色管理、应用系统管理等日常管理。(2) 安全审计员：进行安全审计，日志管理等工作，对系统管理员的工作进行监督。(3) 单位管理员：进行本单位的用户的授权管理。单位管理员根据系统管理员定义的本单位的访问角色，为最终用户进行授权。海事局统一认证管理系统的用户及系统级授权管理建议采用：分级管理、分级授权模式，如下图所示：海事局单位管理员：负责海事局本部的用户信息管理及系统级授权管理。下级单位管理员：负责本单位及下级单位的用户信息管理及系统级授权管理。海事局单位管理员及下级单位管理员对各自单位进行：机构信息管理、用户信息管理、授权管理、证书管理以及安全审计。单位管理员的权限由一级统一认证管理系统管理员统一分配。通过信息同步服务实现数据的同步。2.1.6.3 账号安全策略管理统一认证管理系统的账号安全策略管理功能包括：l 重置多个用户帐户的密码l 设置用户下次登录时必须更改密码l 设置永不到期的密码l 如果用户的密码过期，启用、禁用或删除他们l 配置用户无法更改由管理员设置的密码2.1.6.4 后台管理功能框架统一认证管理系统的后台用户管理的功能如下：统一认证管理系统的总体功能包括：用户管理、角色管理、信息系统管理、机构管理、基础数据管理和安全审计。2.1.7 安全审计设计统一认证管理系统应具有较完善的应用层日志记录功能，可以通过安全管理模块下的系统日志子模块查看审计日志信息，审计日志包括：序号、管理员名称、操作类别、操作日期、操作描述。日志内容可以记录用户不成功登录的信息，可以记录用户的重要业务操作行为，如：对用户、角色的增加、删除、修改和授权关系的调整等操作。所有日志按照标准结构化数据记录，便于审计。日志中备注信息可填写一些详细信息。2.1.7.1 日志管理日志可以提供查询、备份等管理功能。各单位管理员可查询本机构日志；系统管理员可查询所有日志；安全审计员可以备份、删除日志（只能以时间段备份及删除）；备份/删除日志操作时间有记录，备份/删除的记录不删除；可设置备份提醒，在管理员登陆时提醒。2.1.7.2 日志审计检查某个用户一段时间内的缺勤情况。检查当前访问网络的用户数量。识别通过远程计算机访问的用户检查所有用户的高峰登录时间。查看上次访问重要资源的用户。发现试图登录不具访问权限的计算机的用户。 查看任一个用户登录的全部历史。同一个用户在短时间内从不同地方登陆情况，全面了解用户活动的安全情况。实时预警功能，提供关注重要事件的实时告警。支持计划报表，提供自动发送用户选择的相关报表到管理员邮箱功能。提供自定义报表，要求提供基于用户、计算机、组策略、组织单元等内容定制各种报表。支持导出PDF、CSV、XLS和HTML等格式。提供自定义活动目录事件数据的保存周期，按设置周期清理数据库过期事件数据功能。提供日志自动归档功能：即基于用户设定的时间间隔对日志进行自动存档，存于指定目录。2.1.8 业务系统接入设计2.1.8.1 业务系统接入条件应用系统（海事业务申报客户端、客户端）要接入统一身份管理系统，进行单点登录，需按照提供的接入标准对登录模块进行改造，具体技术实现方式详见第2.1.2和第2.1.4章节。2.1.8.2 业务系统接入步骤根据以上内容的介绍，各个业务系统接入统一认证管理系统的步骤必须按照规范和以下步骤完成：1、首先把业务系统中的用户信息全部导入统一身份认证系统中，统一用户数据汇总初始化是实现集成认证的前提。2、业务系统的原有登录方式取消，统一采用统一登录入口，需要各个业务系统按照统一认证的接口规范要求进行相应的开发改造3、各个业务系统可以有选择的把权限管理数据放到统一身份认证系统中来，也可以选择保留原有业务系统的权限管理方式；4、统一认证系统启用后，禁用已经接入的业务系统用户数据录入的操作，保证整个系统的数据一致性，防止数据冲突发生。2.2 数字证书认证系统2.2.1 产品介绍本方案将采用BJCA的信天行数字证书认证系统为海事局提供建设CA中心。信天行数字证书认证系统依照国家有关证书认证系统的技术规范设计，包括证书认证系统密码及其相关安全技术规范、数字证书认证系统密码协议规范、GBT 20518-2006信息安全技术 公钥基础设施 数字证书格式等。系统提供数字证书发放和管理功能，包括数字证书申请、证书发放、证书更新、证书废除、密钥恢复等。同时还提供如证书目录发布服务， OCSP证书查询服务等一系列方便用户使用证书的服务。系统提供了完善的日志记录和详细的审计功能，保证了对操作人员的操作行为进行审计。信天行数字证书认证系统具有以下技术特点：(1) 支持基于SM2算法的ECC证书的签发。(2) 可以统一管理和发放各类证书,包括邮件证书、个人身份证书、企业证书、服务器证书等。(3) 具有高扩展性,可以灵活配置认证体系。系统支持多级CA，支持交叉证书认证,支持多级受理点。可以根据用户的需要，对系统进行配置和扩展。(4) 具有高安全性和可靠性。(5) 易于部署和使用。系统所有用户、管理员界面主要是 B/S 模式，策略配置和系统定制以及用户证书管理等都通过界面进行。(6) 采用灵活的证书模板技术和动态扩展机制，容易满足多种内容格式证书签发要求。(7) 系统环境方面，支持主流操作系统、多种主流加密设备、多种数据库、多种证书存储介质等。信天行数字证书认证系统在设计时充分考虑了体系结构的完整性、全面的证书管理功能和自身安全性以及运行保障等因素。系统通过利用公开密钥算法、对称密钥算法和散列算法等技术，提供了信息加密、数字签名和数字信封等保护措施，实现信息系统中数据的完整性、机密性、抗抵赖性，并提供身份认证、访问控制等功能。可以为电子政务和电子商务领域提供信息化应用安全基础平台。2.2.2 系统框架数字证书认证系统主要分成：核心层、管理层和服务层三层架构。核心层包括：根CA系统、运行CA系统和KMC密钥管理系统三大子系统。其中，运行CA系统又分成CA签发系统、CA管理系统、CA数据库和主LDAP目录服务系统等组成部分。KMC密钥管理系统包括密钥管理系统和KM数据库。管理层包括：RA注册系统。RA注册系统由注册管理系统和RA数据库组成。注册管理系统需要与CA管理系统进行安全通信。服务层包括：证书服务系统和证书/证书状态查询系统。证书服务系统又细分为受理点服务系统、用户服务系统。受理点服务系统是海事局的证书受理点的证书管理员操作的证书服务系统；用户服务系统是证书用户通过海事局内网进行自助服务的系统。证书/证书状态查询系统包括从LDAP目录服务系统和OCSP服务系统。终端包括受理点管理终端和用户终端，支持PC机+USBKey。数字证书认证系统软件构架设计如下图所示：2.2.3 软件功能清单身份认证系统采用B/S架构，所有管理工作通过浏览器完成。系统主要功能如下表所示：系统模块系统主要功能说明CA签发系统（CSS）完成证书生命周期管理服务，包括：签发用户证书、更新证书、重签发证书、冻结、解冻、吊销证书签发CRL、发布证书和CRL等等。与KM、RA、等模块进行安全通信，进行证书业务调度，实现整个身份认证系统业务、权限以及策略管理、查询统计、安全审计；实现用户证书生命周期管理。密钥管理系统（KMC）用户加密密钥生产、密钥分发、密钥归档、密钥更新、密钥撤销、密钥备份与恢复、安全审计等密钥生命周期管理服务。证书注册系统（RA）用户信息注册管理、RA业务策略管理、配置管理、安全审计等等。证书在线查询系统（OCSP）提供用户证书状态在线查询服务。2.2.4 技术标准(1) 数字证书认证系统遵循的标准l 证书认证系统密码及其相关安全技术规范l 数字证书认证系统密码协议规范l 数字证书认证系统检测规范l 证书认证密钥管理系统检测规范l 商用密码管理条例l 中华人民共和国计算机信息系统安全保护条例(2) 数字证书格式遵循的标准l GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式l ITU-T X.509 V3（数字证书）l ITU-T X.509 V2（CRL）(3) 数字证书应用接口遵循的标准l 公钥密码基础设施应用技术体系证书应用综合服务接口规范l 公钥密码基础设施应用技术体系框架规范l 公钥密码基础设施应用技术体系 密码设备应用接口规范l 公钥密码基础设施应用技术体系 通用密码服务接口规范l 智能IC卡及智能密码钥匙密码应用接口规范l CSP规范l PKCS#11规范上述规范为国家密码局关于数字证书应用体系的最新技术标准。BJCA作为国家密码基础设施成员单位，是最先遵循国家最新技术标准规范的PKI厂商。(4) 支持的密码算法l 公钥密码算法：RSA、SM2。其中RSA密钥长度1024/2048/4096比特可选。SM2支持256比特；l 哈希函数算法：支持SHA1、SHA256、SM3；l 对称密码算法：SSF33、SM1/SM4等。(5) LDAP目录协议l 支持轻量型目录协议第三版 (LDAPv3),具体如下：l RFC 2251：轻型目录服务访问协议l RFC 2252：属性语法定义l RFC 2253：分辨名的UTF-8字符串表示l RFC 2254：查询过滤器的字符串表示l RFC 2255：LDAP URL格式l RFC 2256：X.500用户Schema汇总l RFC 2829：LDAP认证方法l RFC 2830：传输层安全（TLS）扩展l OCSP协议：RFC25603. 数字证书运行服务方案3.1 运行服务体系海事局CA中心的建设目标是面向全国范围内10万规模的用户群提供CA认证服务，不仅仅需要建设一个CA系统，而且需要建设一个完善的服务体系。海事局CA运行服务体系将以数字证书服务平台为技术手段，为局领导、管理人员和用户提供方便、快捷、高效的数字证书全生命周期服务。辅以数字证书服务方案以及CA基础设施的运维方案，结合电子认证服务体系培训，保障CA基础设施的正常运转。主要建设内容包括：(1) 建立海事局数字证书服务平台，为全国用户提供方便、快捷、高效的数字证书全生命周期服务；(2) 设计数字证书服务方案，包括服务交付和服务支持等方面；(3) 设计CA基础设施的运维方案，保障CA基础设施的正常运转；(4) 开展电子认证服务体系的培训，确保电子认证服务体系的应用效果。3.2 证书服务方案全部局证书服务人员按三级体系，即部局、直属局、分局及海事处。直属局的证书服务人员只负责机关人员的证书全生命周期管理，分局或海事处工作人员的证书全生命周期管理由分局或海事处的证书服务人员负责。证书服务人员的证书及介质由部局统一采购并配发。3.2.1 证书服务方案概述证书服务方案包括服务交付和服务支持两部分，其中：l 服务交付方案将针对面对证书用户提供的证书生命周期服务和面对系统管理员提供的证书业务查询统计服务作出详细阐述；l 服务支持方案将明确阐述面向证书用户和受理点管理员的服务支持方式和支持内容。3.2.2 服务交付方案3.2.2.1 服务交付内容CA服务交付是指将证书及相关服务交付给用户。作为应用安全保障体系基础设施，建设一个安全、方便、快捷的CA服务交付体系，是十分重要的。CA服务交付的内容包括三个方面：一、 面对最终用户提供的证书生命周期服务二、 面对业务管理者提供的证书业务查询统计服务三、 面向应用提供者提供的证书应用集成等服务。图表 1 CA认证服务交付内容其中，最重要的是面向证书最终用户的证书生命周期的服务交付，包括证书申请发放、证书吊销、证书更新、证书重签发、密钥恢复、证书介质解锁等等。图表 2 证书生命周期服务3.2.2.2 服务交付模式证书服务的交付模式，主要包括受理点交付、在线服务交付两种主要模式，以及结合受理点和在线的混合交付模式。图表 3 证书服务的交付模式n 受理点交付模式海事局将在全国各地区分局分批建设数字证书受理点，已建设证书受理点的分支机构，证书服务可采取受理点交付模式。对于应用系统中已有的用户支持批量制证、发证，对于新注册用户，由用户自己提交用户信息到所在单位信息中心管理人员，通过所在单位信息中心管理员审核信息内容的正确性，核实正确后由所在单位管理人员负责制证、交付。n 在线交付模式用户除可以通过受理点获取证书全生命周期的服务外，还可以通过登录用户服务系统台获取在线的证书服务。在证书更新、吊销、重签发、介质解锁阶段，通过Web自助获取服务。3.2.2.3 服务交付流程n 受理点集中证书申请流程海事局内部证书采用证书受理点集中证书申请模式。集中申请是指由单位证书管理员集中收集、整理和审查用户证书申请的真实可靠后，通过文件方式将证书申请信息批量传入CA系统，由CA中心集中制作数字证书后发放给证书管理员，再由证书管理员集中将数字证书分发到用户手中。图表 5 受理点集中证书申请流程具体流程如下：(1) 单位管理员收集用户信息，并鉴证，然后将批量证书申请信息文件上传海事局CA系统并使用制证员证书对申请进行数字签名；(2) 作为可选，由上级管理部门证书管理员审批证书申请；(3) 海事局CA中心集中组织生产数字证书并写入USB KEY内，做好用户标识，然后将USB KEY下发到受理点管理员；(4) 单位管理员将USB KEY分发给用户使用。n 证书更新流程为了用户更新的方便，建议全部采取在线更新方式。用户在证书即将到期时，应用系统将提前30天提醒用户进行证书更新。用户使用自己当前手中的证书登录用户服务系统，进行更新申请。在获得CA中心后台管理人员的授权后，用户可立即通过网络下载新证书。图表 6 证书更新流程证书更新的具体流程如下： (1) 受理点管理员查询系统即将到期用户名单，提交证书更新申请（也可是系统自动提交证书更新名单）；(2) 管理员对更新申请信息进行授权；（可选）(3) 证书用户使用旧证书登录证书用户服务系统；(4) 系统验证旧证书的有效性后，直接向用户的usbkey内下载新证书，完成更新业务。n 证书撤销流程当证书丢失或人员岗位变动时，应吊销用户的证书使其不可再用。证书吊销的发起人可以是证书管理员，也可以是证书持有者本身。证书管理员可以使用自己的管理员证书，直接向CA提出吊销其管辖范围内的用户证书；证书持有者可以通过提交鉴证材料，证明其证书持有人身份后，提交证书吊销申请，由系统将证书序列号签发到黑名单中。用户自助吊销：用户登录在线服务平台，选择证书吊销，通过身份鉴证确认后即可吊销登录的证书；管理员吊销：用户到管理员处申请吊销证书，管理员审核用户身份信息后登录证书服务管理系统，根据用户信息查询对应证书，进行吊销；n USBKey密码解锁证书介质USBKey存放证书的私钥，用口令进行保护（称为PIN口令）。为了保护UsbKey拥有者的安全，防止被盗用或攻击的风险，USBKey限制PIN口令出错时的重试次数，当连续使用错误口令重试10次后，Usbkey将自动锁死。这时，用户如果仍想继续使用，需要CA认证中心进行USBKey口令解锁。USBKey解锁具体流程如下： (1) USBKey锁死的用户在数字证书服务平台提交解锁申请；(2) 受理点管理员确认用户的证书解锁申请（鉴证）；(3) 总部管理员给予USBKey解锁申请授权；（可选）(4) 证书用户使用USBKey登录解锁网站，设置新密码，完成USBKey解锁。n 密钥恢复如果证书应用过程中存在使用证书加密的操作，一旦出现证书介质损坏或丢失的情况，加密后的信息便无法进行解密。这时，用户可以提出密钥恢复的申请，由工作人员在证书服务系统中进行密钥恢复的操作。密钥恢复具体流程如下：(1) 用户加密证书丢失或损坏后，可申请密钥恢复（填写申请表）；(2) 受