数字林业 信息安全与单点登陆.doc

目 次 前 言 II 1 范围 1 2 规范性引用文件 1 3 信息安全基础设施 1 4 单点登陆与统一授权管理 2 附 录A(资料性附录) 7 附 录B(资料性附录) 8 前 言 本标准附录A、附录B均为资料性附录。 本标准由辽宁省林业厅提出。 本由辽宁省林业厅信息中心、辽宁省林业调查规划院起草。 本主要起草人： 数字林业 信息安全与单点登陆用户通过数字证书登陆单点登陆与统一授权管理系统的流程如图5所示。流程描述如下： 用户打开应用系统客户端程序； 客户端程序调用PKI/CA客户端组件构建认证消息包； 产生随机数，调用数字证书的私钥和证书构建认证消息包； 返回认证消息包至应用系统客户端程序； 应用系统客户端程序发送认证消息包至应用系统服务器； 应用系统服务器调用PKI/CA服务器认证组件验证认证消息； 服务器认证组件校验认证消息的日期，并通过CAS系统(PKI安全代理服务器)获取用户临时属性； 返回用户临时属性至服务器认证组件； 验证用户认证消息包信息及用户证书，如上传为证书序列号，则需从CAS系统获取用户证书； 从用户证书获取信息后登陆CAS系统； 返回登陆后的 token至服务器端认证组件； 构建认证响应消息； 存储用户临时属性； 认证通过后，返回应用系统服务器响应消息； 应用系统服务器返回至应用系统客户端； 应用系统客户端将响应消息送至客户端认证组件； 客户端认证组件处理响应消息。 第三方应用系统要接入单点登陆与统一授权管理系统，需遵循以下规则流程： 第三方应用系统开发人员需在单点登陆与统一授权管理系统中注册相关的应用程序信息，经平台管理员审批后，返回唯一的应用程序授权号。 第三方应用系统开发人员需使用单点登陆与统一授权管理系统中提供的操作界面，自定义所需的权限规则，并将该权限规则与相关应用进行绑定。 第三方应用系统开发人员使用单点登陆与统一授权管理系统提供的二次开发接口进行相应的授权验证操作（二次开发接口详见附录）。 第三方应用系统的授权对象，可以是网内所有的组织、机构、用户、角色。通过单点登陆与统一授权管理系统，网内用户可以很便捷的访问到自己有权访问的应用、数据、资源。 身份认证过程由用户应用程序、单点登陆控件、单点登陆与统一授权管理服务器三方交互完成。交互过程如图2所示。 认证完成之后，第三方应用程序根据认证的返回信息决定是否进行和应用服务器端的交互，即是否让用户进行下一步的业务操作过程。 其中客户端(C/S模式为应用程序，B/S模式为IE浏览器)通过Active X控件提供的API与单点登陆与统一授权管理服务器进行交互，根据返回的结果来决定客户端和应用服务器端的交互。 操作过程是： 客户端和单点登陆与统一授权管理服务器的交互，实现用户身份认证； 客户端和应用服务器的交互，即具体的业务流程，实现用户业务处理。 本流程适用于以下场景：用户第一次登陆单点登陆与统一授权管理系统，尚未获得有效的UserToken。当用户请求登陆应用系统时，应用系统向单点登陆与统一授权管理系统提出认证请求。 流程如图3所示。流程描述如下： 用户访问单点客户端软件或应用系统； 客户端软件或应用系统经检测，发现该用户尚未登陆过，则弹出登陆窗口； 用户提交身份认证信息；客户端软件或应用系统通过Web Services方式向单点登陆与统一授权管理系统提交认证请求； 单点登陆与统一授权管理系统将认证结果返回给客户端软件或应用系统； 客户端软件或应用系统向用户返回系统主页面。 图3 首次登陆流程示意图 B.1.2 后续登陆 本流程适用于以下场景：用户已经获得有效的UserToken(即用户已经登陆过)，此时访问其它应用系统。流程如图4所示。 流程描述如下： 用户访问单点客户端软件或应用系统； 客户端软件或应用系统经检测，发现该用户已经登陆过； 客户端软件或应用系统向用户返回系统主页面。 用户请求退出单点登陆与统一授权管理系统后，其本次登陆所获得的临时身份凭证将立即失效，单点登陆与统一授权管理系统将回收为用户提供服务的系统资源。并且用户登陆后访问过的所有应用系统将接收到相应的注销消息，根据各自应用系统的情况，做出相应的处理。此时，所有对单点登陆与统一授权管理系统的系统资源的访问请求，都需要再次认证用户身份。 DB21/T1578—2008 2 1 DB21/T1578—2008 8 9 DB21/T1578—2008 辽宁省质量技术监督局发布 2008-03-01实施 2008-02-01发布 数字林业 信息安全与单点登 DB21/T1578－2008 DB21 辽宁省地方标准