DB21/T 3099-2018 CA安全平台体系架构及应用规范

ICS35.100.70

M10

DB21

辽宁省地方标准

DB21/T3099—2018

CA安全平台体系架构及应用规范

CASecurityplatformframeworkandapplicationspecification

2018-12-25发布2019-01-25实施

辽宁省质量技术监督局发布

DB21/T3099—2018

目次

前言.............................................................................III

引言..............................................................................IV

1范围.............................................................................1

2规范性引用文件...................................................................1

3术语、定义和缩略语...............................................................1

3.1术语和定义...................................................................1

3.2缩略语.......................................................................3

4概述.............................................................................3

4.1背景.........................................................................3

4.2主要目的.....................................................................4

4.3主要原则.....................................................................4

5总体技术框架.....................................................................5

5.1总体架构图...................................................................5

5.2应用安全平台逻辑结构.........................................................6

5.3区域逻辑结构.................................................................7

6应用安全平台建设规范.............................................................9

6.1CA系统建设规范..............................................................9

6.2身份管理系统建设规范........................................................12

7应用系统安全规范................................................................14

7.1基于CA系统建设规范.........................................................14

7.2基于身份管理系统建设规范....................................................14

附录A(资料性附录)证书申请使用管理规范............................................17

附录B(资料性附录)区域代码表......................................................18

附录C(资料性附录)证书读取接口....................................................19

附录D(资料性附录)组织机构信息规范................................................20

D.1存储结构....................................................................20

D.2组织机构人员属性表..........................................................20

D.3组织机构信息同步规范........................................................20

D.4用户身份信息模板............................................................21

D.5组织机构信息模板............................................................22

D.6提报信息模板................................................................23

附录E(资料性附录)地市应用安全平台建设方案........................................24

E.1集中部署....................................................................24

E.2分布式部署..................................................................26

附录F(资料性附录)票据接口........................................................28

F.1票据存储....................................................................28

F.2票据读取....................................................................28

I

DB21/T3099—2018

F.3票据验证....................................................................28

附录G(资料性附录)CA证书开发接口.................................................29

G.1签名接口....................................................................29

G.2验签接口....................................................................29

G.3加密接口....................................................................29

G.4解密接口....................................................................30

参考文献..........................................................................31

II

DB21/T3099—2018

前言

本规范按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由辽宁省工业和信息化委员会提出。

本文件由辽宁省工业和信息化委员会归口。

本文件起草单位：辽宁省重大技术装备战略基地建设工程中心。

本文件主要起草人：杨旭、孟娇、张印、孙宏志。

III

DB21/T3099—2018

引言

辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的，由于缺乏全局规划、缺乏统一

的标准体系，每个系统受自身格局所限，形成了一个个的孤岛，系统之间衔接困难，系统的可扩展性差，

存在着孤立的应用系统、中断的业务流程、分散的数据碎片和低效的信息资源等问题，难以满足业务不

断变化和发展需要。

在安全建设方面，原有的身份验证系统存在部分技术过时、对跨域访问的支持功能有限以及与应用

系统全面整合困难等，而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此，迫切

需要一个统一的平台来合理整合无线电管理的信息资源及应用，实现全局信息资源共享及人员协作。与

之相适应，对原有的应用安全平台（CA和身份验证系统）及安全规范需要升级，升级后的应用安全平台

是无线电管理一体化平台的重要组成部分，对一体化平台及各类无线电管理应用系统提供用户身份、接

入认证、单点登录、统一授权、日志审计和跨域访问等基础支撑服务。

为保障应用安全平台顺利升级成功，必须对应用安全平台进行统一的设计和验证，实现统一的技术

架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用接入方式、规范的分级授

权管理模式，形成相应的建设指导性规范文件。

IV

DB21/T3099—2018

CA安全平台体系架构及应用规范

1范围

本文件规定了无线电管理一体化平台建设信息系统涉及的有关统一目录管理、单点登录、

统一身份管理、统一认证、授权及审计管理等的应用安全体系建设的原则和方法，适用于辽

宁省各级无线电管理机构和辽宁省无线电管理信息系统中的应用安全平台及应用系统、网络

安全传输设备及其运行和管理软件等的开发和实施单位。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本

适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T13622无线电管理术语

3术语、定义和缩略语

GB/T13622界定的以及下列术语、定义和缩略语适用于本文。

1

2

3

3.1术语和定义

3.1.1

无线电管理一体化平台ITintegrationplatformforradiomanagement

无线电管理一体化平台是指以“平台+应用”为思想，以SOA为技术架构，以先进信息

化技术搭建的通用软件平台，包括物理资源，SOA中间件，通用支撑软件，数据处理平台等

系列平台化软件，即一体化平台是一体化战略的信息化具体体现。

1

2

3

3.1

3.1.1

3.1.2

省中心用户信息库Provincialuserdatabase

1

DB21/T3099—2018

省中心用户信息库包含了辽宁省无线电管理机构所有用户的身份信息、证书信息和组织

机构信息，存储在省中心的身份管理系统中。

3.1.1

3.1.2

3.1.3

市级用户信息库Municipaluserdatabase

市级用户信息库指各市无线电管理机构的用户身份信息、证书信息和组织机构信息，存

储在各市的身份管理系统中。

3.1.4

用户身份库UserIDdatabase

用户身份库指存储身份管理系统相关的账号、权限和审计等信息。

3.1.5

身份管理IDmanagement

身份管理是对用户身份的创建、修改、迁移、冻结、删除和同步等操作的管理。

3.1.6

账号Accountnumber

应用系统中用于登录的用户名叫做账号。

3.1.7

审计管理Auditmanagement

审计管理是对用户的登录和操作等行为进行记录，查询和系统分析的过程。

3.1.8

数字证书Digitalcetificates

数字证书是网络通讯中标志通信各方身份信息的一系列数据，提供了一种验证身份的方

式，其作用类似于身份证。它由权威机构--CA机构颁发，在相互通信中用它来识别双方的身

份。

3.1.9

单点登录Singlepointlogin

单点登录是指“登录一次，便可访问多个系统”。

3.1.10

证书注销列表Certificatelogoutlist

证书注销列表是在证书有效期之内，CA签发的终止使用证书的信息。

3.1.11

票据Userdocument

用户认证通过后，身份管理系统的认证服务器给用户签发一个用户认

2

DB21/T3099—2018

证通过凭证，这个凭证就是票据。

3.1.12

互信中心服务Trustcentreservices

互信中心服务由省中心身份管理系统提供，为跨域访问的用户提供票据验证的服务。

3.1.13

入口级授权Entranceauthorization

入口级授权是指用户是否有权访问应用系统，而对用户访问应用系统的具体内容不做控

制。

3.1.14

细粒度授权Refiningauthorization

细粒度授权是指对用户访问应用系统的具体内容，例如：菜单、功能模块、URL等进行

授权。

3.2缩略语

下列缩略语适用于本文件：

CA数字证书签发机构CertificationAuthority

LDAP轻量目录存取协议LightweightDirectoryAccessProtocol

LRA本地注册机构LocalRegistrationAuthority

OCSP在线证书状态协议OnlineCertificateStatusProtocol

CryptpAPI应用程序开发接口CryptographyApplicationProgrammingInterface

RADIUS远程用户拨号认证系统RemoteAuthenticationDialInUserService

Filter过滤器Filter

4概述

4.1背景

辽宁省无线电管理信息系统经过“十二五”建设，已经初具规模，先后建设了频率台站、

天馈线、设备检测、办公OA等应用系统。在信息安全基础建设方面，建设了以CA系统和身

份验证系统为基础的应用安全平台，提供了用户身份认证，业务单点登录访问、权限控制、

操作审计等功能。这些应用系统和信息安全基础设施的建设，很好满足了辽宁省无线电管理

机构信息化和信息安全的建设需要，为无线电管理工作起到了有力的业务支撑和安全支撑，

并为下一阶段辽宁省无线电管理信息化建设打下了坚实的基础。

但目前，辽宁省无线电管理信息系统建设基本以应用系统为单位进行建设的，由于缺乏

全局规划、缺乏统一的标准体系，每个系统受自身格局所限，形成了一个个的孤岛，系统之

间衔接困难，系统的可扩展性差，存在着孤立的应用系统、中断的业务流程、分散的数据碎

片和低效的信息资源等问题，难以满足业务不断变化和发展需要；而在安全建设方面，原有

的身份验证系统存在部分技术过时、对跨域访问的支持功能有限以及与应用系统全面整合困

难等，而无法满足无线电管理信息系统安全建设的变化和进一步发展需要。因此，迫切需要

一个统一的平台来合理整合无线电管理的信息资源及应用，实现全局信息资源共享及人员协

作。与之相适应，对原有的应用安全平台（CA和身份验证系统）及安全规范需要升级，升

级后的应用安全平台是无线电管理一体化平台的重要组成部分，对一体化平台及各类无线电

3

DB21/T3099—2018

管理应用系统提供用户身份、接入认证、单点登录、统一授权、日志审计和跨域访问等基础

支撑服务。

为了保障应用安全平台顺利升级成功，必须对应用安全平台进行统一的设计和验证，实

现统一的技术架构、统一的目录结构、规范的目录命名、统一的目录同步机制、统一的应用

接入方式、规范的分级授权管理模式，形成相应的建设指导性规范文件。

1

2

3

4

4.1

4.2主要目的

本文档作为辽宁省无线电管理信息系统应用安全平台（以下简称“应用安全平台”）

及其上应用的建设标准规范，一方面是规范无线电管理应用安全平台的升级，另一方面是

规范无线电管理应用系统的安全建设，具体内容包括：

1)规范应用安全平台的系统架构，满足“两级架构，多级管理”的总体要求；

2)规范应用安全平台的目录实体命名编码规则；

3)规范应用安全平台的统一认证及单点登录机制；

4)规范应用安全平台的省中心到各市分中心跨域认证机制；

5)规范应用安全平台的统一授权机制；

6)规范应用安全平台的统一审计机制；

7)规范应用安全平台的应用系统集成接口。

4.3主要原则

应用安全平台及应用的建设遵循如下原则：

1)统一性原则

应用安全平台的建设必须遵循统一原则，即统一规划、统一设计、统一验证和统一标

准的原则。

2)实用性原则

系统的建设将遵循实用性的原则，即切实解决辽宁省无线电管理信息系统的应用安全

需要，尽量采用简单明了的方案以降低系统成本。

3)利旧原则

应用安全平台的建设遵循利旧原则，合理考虑节约系统建设成本，在现有应用安全平

台的基础上进行升级改造。

4)先进性原则

应用安全平台的体系架构要采用国际先进的技术路线，基于先进的系统架构，结合国

内外成功案例的设计经验，从根本上保证系统运行的高效、稳定、安全。

5)易扩展性原则

应用安全平台的体系架构需要考虑现有的应用系统和未来需要建设的应用系统，以便

保证整个系统的不断发展。

6)高可用性原则

应用安全平台的技术架构必须要着重考虑系统运行的稳定性，对设计中的关键组件应

4

DB21/T3099—2018

灵活采用双机热备等高可用性方案，并提供较完善的备份恢复策略，较好地解决单点故障

和系统灾难问题。

7)安全性原则

应用安全平台的技术架构必须要充分考虑影响系统安全的各种因素，在数据通信、物

理部署等多个层面上落实系统的安全性原则。

8)标准化原则

应用安全平台在架构、服务、数据和接口等多个层面上形成各级无线电管理机构建设

的标准。

9)平滑过渡原则

应用安全平台的设计优先保证对核心需求、核心系统的实现，在此基础上渐次扩展覆

盖范围，尽量减少因系统建设对最终用户的影响。

5总体技术框架

5.1总体架构图

图1总体架构图

应用安全平台是无线电管理一体化平台的组成部分之一，应用安全平台由CA系统和

身份管理系统两部分组成。CA