CMS4J_0904230940406870.pptVIP

* 根据以上的思路、原则和目标，起草了本标准，并将其分为12个大的内容。。。。 * * * * * * * * * * * * * * * * 制定该标准，主要是依据。。。。。 * * 根据以上的思路、原则和目标，起草了本标准，并将其分为12个大的内容。。。。 * * * * * * * * * * * * * * * * * 5、访问控制体系框架 －－整体框架 登录机制 身份认证 PMI 权限管理 访问控制 用户身份信息管理 CA 5、访问控制体系框架 －－整体框架 登录机制 身份认证 PMI 权限管理 访问控制 用户身份信息管理 CA 访问控制的基础是登录机制和授权管理。 访问控制整体框架以PMI作为网络信任体系基础设施， 采用基于角色的访问控制模型，向用户或应用程序提供登录服务和权限管理服务，提供用户身份到应用授权的映射技术，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权访问控制机制，简化具体应用系统的开发与维护。 5、访问控制体系框架 －－权限管理体系框架 访问请求 访问控制执 行单元AEF 目标 资源 访问控制判决单元ADF 执行访问请求 定制策略 签发属性证书 属性权威AA 环境信息 策略规划库 目标资源安全管理 属性证书库 源机构SOA 权限委托 委托AA进行权限管理 申请AA代理功能 6、身份认证与登录机制 6.1 身份认证 根据安全性要求确定登录机制是否采用身份认证。对于公众访问的互联网上的电子政务应用系统，不强制要求采用身份认证登录。 在政务外网内的应用系统应直接或通过单点登录支持湖北省公务员数字证书的认证。 6.2 登录机制 集成到各级政务门户的应用系统应支持单点登录（Single Sign-On，SSO）。 单点登录由单点登录认证服务器提供服务。该服务器可单独部署，也可部署于省级或市级政务门户。 6.3 登录接口 应用系统与单点登录认证服务器之间的接口标准、参数、格式等。 7、权限管理基础设施 权限管理基础设施PMI的描述 以资源管理为核心，对资源的访问控制权交由权限管理机构统一处理，即由资源的所有者来进行访问控制。 PMI的核心管理机构是权限管理中心PMC，其主要功能是用来实现权限管理和属性证书的生成、管理、存储、发布、应用、验证和撤消等。 权限管理中心利用属性证书表示和容纳权限信息。 权限管理系统的实现与工作流程 在典型的电子政务权限管理体系结构中，省级CA同时承担SOA的功能，在市州级权限管理中心建设AA，在市州和厅局委办的权限管理分中心建设ARA。 不同级别的应用系统在定义角色的基础上在相应级别的ARA为用户注册属性证书。 8、访问控制 基本描述 访问控制中涉及的基本实体和功能是发起者、访问控制实施功能（AEF）、访问决策功能（ADF）和目标。 访问控制信息 访问控制信息ACI包括发起者、目标、访问请求、操作、操作数和上下文信息等。 作为访问控制功能的组成部分，ACI可能需要在电子政务应用系统之间或与权限管理系统之间进行交换。 用户与角色 对允许一个用户在组织内执行的功能则用角色来表示其特征。一个给定的角色可适用于某一个人或几个个人。 与用户的访问控制权限有关的安全属性。一个角色可能和一种或几种服务有关，一个角色可能对应着一个或多个用户，一个用户可能承担者一种或多种角色。 用户2 角色2 应用2 用户1 用户3 角色1 应用1 角色3 应用3 用户、角色、权限三者之间逻辑关系 静态约束 用户访问 角色层次管理 角色集 动态约束 访问 用户 访问角色 用户委托 操作 对象 权限 权限委托 省级权限中心 省级SSO认证服务 用户库 资源库 角色库 用户登录 CA认证 超级管理员 部门管理员 后台管理 角色分配 资源管理 用户管理 角色分配 属性更新 部门资源管理 部门服务受权 内部权限分配 应用系统 权限过滤 应用系统管理员 角色分配 权限信息交换 用户管理 角色分配 属性更新管理 部门资源管理 部门服务受权 内部权限分配 市州权限管理员 子用户库、子角色库 应用系统 自主接口 子用户库、子角色库 普通用户 市州SSO认证服务 权限信息交换 应用系统 权限过滤 子用户库、子角色库 规则库 ...... 市州应用系统 市州权限中心 用户登录 省级权限管理系统体系结构 PMI 刘刚杰Email : lgj@TEL: 027-7278405 汇报完毕 ，谢谢! * 制定该标准，主要是