GB∕Z 24294.3-2017
基本信息
标准号:
GB∕Z 24294.3-2017
中文名称:信息安全技术 基于互联网电子政务信息安全实施指南 第3部分:身份认证与授权管理
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:11111KB
相关标签:
信息安全
技术
基于
互联网
电子政务
实施
指南
身份
认证
授权
管理
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕Z 24294.3-2017 信息安全技术 基于互联网电子政务信息安全实施指南 第3部分:身份认证与授权管理
GB∕Z24294.3-2017
标准压缩包解压密码:www.bzxz.net
标准内容
ICS35.040
中华人民共和国国家标准化指导性技术文件GB/Z24294.3—2017
部分代替GB/Z24294—2009
信息安全技术
基于互联网电子政务信息安全实施指南第3部分:身份认证与授权管理
Information security technologyGuide of implementation for Internet-based e-government information security-Part 3:Identity authentication and authorization2017-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2017-12-01实施
规范性引用文件
术语和定义
缩略语
一身份认证与授权管理安全功能统
统一身份认证功能
授权管理功能
系统部署要求
存储安全要求
身份认证技术规范
统一用户标识
身份认证方式
密码算法
认证协议
统一授权管理技术规范
角色管理
资源管理
权限管理操作
7.4授权管理系统服务模式
身份认证与授权管理系统应用示例附录A(资料性附录)
附录B(资料性附录)授权管理系统策略表示方式GB/Z24294.3—2017
GB/Z24294《信息安全技术
第1部分:总则;
GB/Z24294.3—2017
基于互联网电子政务信息安全实施指南》分为4个部分:第2部分:接人控制与安全交换:第3部分:身份认证与授权管理;第4部分:终端安全防护。
本部分为GB/Z24294的第3部分。本部分按照GB/T1.1—2009给出的规则起草本部分部分代替GB/Z24294—2009《信息安全技术基于互联网电子政务信息安全实施指南》,与GB/Z24294一2009相比,主要技术变化如下:新增了统一身份认证与授权管理的安全功能;新增了统一身份认证技术要求;新增了统一授权管理技术要求;针对信任体系建设,补充了身份认证与授权管理系统的部署示例。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:解放军信息工程大学、中国电子技术标准化研究所、北京天融信科技有限公司、郑州信大捷安信息技术股份有限公司本部分主要起草人:陈性元、杜学绘、孙奕、夏春涛、曹利峰、张东巍、任志宇、罗锋盈、上官晓丽、董国华。
本部分所代替标准的历次版本发布情况为:-GB/Z24294—2009。
GB/Z24294.3—2017
由于基于互联网电子政务具有网络开放性的特点,电子政务系统面临着身份假冒、信息泄漏、非授权访问等安全威胁,利用身份认证、授权管理等技术可有效提高互联网电子政务系统的安全性。为推进互联网在我国电子政务中的应用,指导基于互联网电子政务身份认证与授权管理技术规范工作,特制定本部分内容。
本部分首先对互联网电子政务中身份认证与授权管理的安全功能进行规范,之后分别针对身份认证和授权管理实施过程中的技术规范进行详细描述,并对互联网电子政务安全接口进行规范本部分主要规范在基于互联网电子政务系统中实施身份认证和授权管理所进行的技术活动及其相关的管理活动。
1范围
信息安全技术
基于互联网电子政务信息安全实施指南第3部分:身份认证与授权管理
GB/Z24294.3—2017
GB/Z24294的本部分给出了互联网电子政务中身份认证与授权管理的实施指南,明确其功能要求和安装部署要求,定义身份认证与授权管理技术规范。以依托互联网构建可信政务服务平台为目标,为建立可信、可管,可控的基于互联网电子政务信息系统提供技术指导。本部分适用于基于互联网电子政务系统中身份认证与授权管理系统的设计、研发与建设,为管理人员,工程技术人员、信息安全产品提供者构建统一身份认证与授权管理系统提供管理和技术参考。涉及国家秘密,或所存储,处理,传输信息汇聚后可能涉及国家秘密的,按照国家保密规定和标准执行。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GM/T0015一2012基于SM2密码算法的数字证书格式规范3术语和定义
下列术语和定义适用于本文件。3.1
attribute authority
属性授权机构
通过发布属性证书来分配权限的认证机构也称属性管理机构3.2
attribute certificate
属性证书
属性授权机构进行数字签名的数据结构,把持有者的身份信息与一些属性值绑定。3.3
特定权限管理基础设施privilegemanagementinfrastructure支持授权服务的综合基础设施,与公钥基础设施有着密切的联系4缩略语
下列缩略语适用于本文件。
轻量级目录访问协议(LightweightDirectoryAccessProtocol)授权管理系统(PrivilegeManagementSystem)1
GB/Z24294.3—2017
5统一身份认证与授权管理安全功能统一身份认证功能
统一身份认证系统要求域内统一部署,为多种应用系统提供认证服务:a)支持单点登录功能,避免重复认证,减少认证服务负担;b)根据应用的不同安全需求可采用不同的认证凭证以及多种凭证的组合,凭证的类型可分为口令、数字证书、生物特征等;
对用户身份信息进行安全存储,能够有效防止用户敏感信息泄漏:认证协议安全,能够有效防止篡改、重放、假冒等攻击;d)
支持统一的身份认证服务接口,便于与不同种类应用系统集成或二次开发,e)
5.2授权管理功能
授权管理在用户管理的基础之上,对用户访问资源的权限进行统一的标识与管理,是基于互联网电子政务系统的必选配置。授权管理系统主要功能如下:a)授权管理系统支持物理分级部署,既可实现分布式授权管理,还可支持单域环境内集中式的授权管理;
b)支持PMS内部的多管理员管理,通过为管理员划分管理范围,实现授权管理系统内部的分级管理;
采用基于角色的授权管理方式,支持跨域授权,可通过推荐角色的方式,也可通过用户跨域申请授权的方式来实现跨域授权;为用户授权支持无属性证书方式,或属性证书方式,若采用属性证书方式,则提供属性证书的d)
生成、更新、撤销、恢复等操作功能;提供人员信息同步接口、用户授权接口、角色授权接口等外部接口。e)bzxZ.net
5.3系统部署要求
统一身份认证系统由统一身份认证服务器和统一用户管理系统组成,统一身份认证服务器部署于互联网电子政务系统中的安全服务区域,统一用户管理系统部署于安全管理区域。统一授权管理系统作为安全管理中心的一部分,与统一用户管理系统一起部署于安全管理区域。系统的部署示例和工作流程参见附录A。
5.4存储安全要求
对统一用户管理系统中的用户的认证信息进行安全存储与管理,禁止明文存储,采用加密或哈希运算后存储,并使用数据库权限安全限制。统一授权管理系统中的授权信息存储于授权管理数据库中,与统一授权管理系统一起部署于安全管理区域,除管理员登录信息需加密或哈希后存放以外,其余信息可明文存放。
6统一身份认证技术规范
6.1统一用户标识
6.1.1统一用户身份信息
基于互联网电子政务系统需要根据政府部门的实际情况将用户信息进行统一管理。统一用户身份2
GB/Z24294.3—2017
信息是指采用统一的用户身份信息规范,以记录、存储和描述每一个用户的身份信息。用户身份信息包括统一用户编码、用户名称、用户基本信息、用户身份认证信息、用户身份扩展信息等。6.1.2统一用户编码
统一用户编码根据政府部门、人员编制情况,通过为每一个用户、部门进行统一编码,使其在互联网电子政务的身份认证系统中具有唯一的标识。系统利用树形结构组织部门与用户信息,对其进行分级管理。人员管理系统是树的根节点,下设的各一级部门是根节点的子节点;一级部门管理的用户和下级部门是其子节点:下级部门又可继续下设用户及子部门:以此类推,所有的部门节点与用户节点构成“用户树”,该树的非叶子节点(用户节点不能建立下级节点)构成“部门树”。依据上述树形结构,将信任域内的部门、人员身份按照统一的编码方案进行编码,树中每一节点由根开始编码。
回2闽
102@20
图例:A表示部门,①表示用户
图1统一用户编码方式
统一用户编码方式的示意图如图1所示的树形结构中,节点编号是由一个整数序列组成,代表部门或用户身份,整数之间以圆点分割,整数的个数决定了该节点的深度。例如根结点1代表用户管理中心A,1.1代表A下设的一级部门B,1.1.2代表B的下级部门F,1.1.2.1代表部门F的负责人,而1.1.2.2可表示该部门的第一副职领导。根据编码也可解析出对应节点的编号。在添加部门或用户时,编码由系统根据当前编码情况自动生成,编码一经生成,不能再修改,删除的编码不再重用。当编码空间加入到其他编码空间中时,为该编码空间加上统一前缴以实现扩展。6.1.3用户名称
用户名称表示此用户在互联网电子政务系统中的唯一名称6.1.4用户基本信息
用户基本信息表示用户个人基本情况信息。用户基本信息主要包括用户姓名、性别、年龄、民族、籍贯、出生日期、工作日期、政治面貌、人党(团)时间、职务、级别、职称、类别、证件类别、证件号码、住址、电话号码、邮箱等。
6.1.5用户身份认证信息
用户身份认证信息表示此用户在互联网电子政务系统中用于身份认证的相关特征信息。用户身份认证信息主要包括此用户的认证方式和每种认证方式对应的特征信息。认证方式包括口令认证、证书认证、指纹认证、人脸影像认证等多种认证方式,其中,口令认证、证书认证是较常用的认证方式,指纹认证、人脸影像认证等方式属于生物特征认证方式,用于安全级别较高的应用场景。认证方式对应的特征信息包括用户口令、证书信息、生物特征值等信息3
GB/Z24294.3—2017
6.1.6用户身份扩展信息
用户身份扩展信息表示此用户在互联网电子政务系统中与身份相关的扩展信息。用户身份扩展信息包括用户简历、工作履历、奖惩情况等信息。6.2身份认证方式
6.2.1口令认证
口令认证适用于基于互联网电子政务系统中政务服务应用。口令认证的基本过程是认证系统通过比较用户输人的口令与系统内部存储的口令是否一致来判断用户的身份。口令不能以明文形式传输和存储,必须以口令的散列值或加密后的密文传输和存储。用户进行口令方式认证时,除需要输入用户名和口令之外,还要输人校验码进行登录。6.2.2数字证书认证
数字证书认证通过数字证书获取用户的公钥信息,并利用公钥验证用户提交的消息签名值是否合法以鉴别用户身份。数字证书认证适用于互联网电子政务系统中政务办公应用6.2.3生物特征识别
生物特征认证利用人类本身所拥有且能标识其身份的生物特征进行身份认证。生物特征认证方式主要包括指纹鉴别、虹膜兼备、影像鉴别等,用于互联网电子政务系统中政务办公应用6.2.4面向信息分类防护的认证方式选择用户在进行访问时,认证服务器需根据用户所访问的资源类型,强制用户采用与其资源类别相适应的认证方式。
6.3密码算法
密码安全产品的使用以及产品所使用的密码算法应符合国家密码管理的有关规定。6.4认证协议
认证协议是通信参与者为完成相互的身份认证或识别而采用的规程、约定、约束和交换信息的总和。在认证系统对用户,终端、设备,装置等进行身份认证的过程中,应选用安全的认证协议,为其提供机密性,完整性,不可否认性保护,抵御消息重放,第三方假冒等攻击。7统一授权管理技术规范
7.1角色管理
7.1.1角色的层次结构
互联网电子政务系统中,角色可根据组织结构中的岗位职责进行定义,也可根据应用系统中的功能划分来进行定义。角色层次组织成树形结构,允许一个角色拥有多个子角色和至多一个父角色,7.1.2角色的编码原则
根据角色的层次关系,授权管理系统对角色进行统一的编码。角色的编码应遵循以下原则:a)在角色层次中,每一个角色的编码都是唯一的;4
b)子角色的编码应以其父角色的编码为前缀,体现角色的层次结构;c)根据角色的编码,能求出其父角色及所有祖先角色的编码。7.1.3基于信息分类防护的角色分类GB/Z24294.3—2017
按照信息分类防护要求,将角色分为公开角色、内部共享角色和内部受控角色3种类型。7.1.4角色的权限类型
角色的权限可分为公开权限、私有权限和继承权限:a)公开权限:直接分配给角色的可被上级角色继承的权限;b)
私有权限:直接分配给角色的但不可被任何角色继承的权限;c)继承权限:从下级角色继承而来的可继续被上级角色继承的权限角色之间的权限继承关系是可选的。当角色之间没有权限继承关系时,上级角色不继承下级角色的权限,角色的所有权限均为私有权限当角色之间存在权限继承关系时,上下级角色之间的权限继承仅限于在一个授权管理系统内部,不充许跨授权管理系统的权限继承。7.2资源管理
7.2.1资源分类
资源分类是互联网电子政务系统中资源种类的划分,主要包括:网页,文件系统,数据库,功能模块其中网页中包含了HTML代码段和脚本程序段,通常在脚本程序段中会包含应用组件,HTML代码段中可嵌套HTML代码段和脚本程序段,并使用相关控件资源,控件之间有时也存在嵌套关系,文件系统中通常包含文件和文件夹,文件夹中又包含文件资源;数据库资源由数据表组成,数据表由数据字段构成
根据信息分类防护要求,基于互联网电子政务系统中的信息资源可按其重要程度将其分为:敏感信息、内部公开信息和公开信息3种类型。7.2.2资源操作
互联网电子政务系统中资源操作是指用户对系统中资源的操作权限,根据资源的类型不同,操作种类也不相同。网页资源操作包括:读、写、本级读、本级写、遍历、拥有。文件系统操作包括:读、写、本级读、本级写、遍历、拥有。数据库操作包括:数据库的创建、修改、删除,数据表的创建、修改、删除,数据项查询、修改、删除、添加。功能模块操作包括:加载、删除、调用接口等操作。7.2.3资源编码
互联网电子政务系统中所有资源均有一个唯一编码,编码由系统自动生成,不能重复使用、重复分配和修改。
7.3权限管理操作
7.3.1角色操作流程
7.3.1.1添加下级角色
添加下级角色操作流程如下:
a)获得当前进行操作的角色节点位置:GB/Z24294.3—2017
b)添加角色信息,包括角色名称、限制用户数、角色类型,并自动为新添加角色生成角色编号、建立日期、子角色数,是否授权等信息,更新对应父角色的子角色个数7.3.1.2修改角色
修改角色的流程如下:
a)获得当前进行操作的角色节点位置;b)对角色名称、限制用户数进行修改。本操作仅允许对角色名称、限制用户数进行修改,其余角色信息不允许修改。7.3.1.3删除角色
删除角色的流程如下:
获得当前进行操作的角色节点位置,若为根节点,则退出,否则进行下一步;a
b)删除该角色及其所有子角色,以及它们所对应的所有权限,同时删除所有上级角色中从该角色处继承的权限,更新对应父角色的子角色个数,并从相关用户的权限中删除该角色,从相关互斥角色集中删除该角色。
7.3.2互斥角色集管理流程
7.3.2.1新建互斥角色集
新建互斥角色集流程如下:
a)为新建互斥角色集自动生成编号;在角色树中选择角色,添加到互斥角色集,查看已有互斥角色集,若已存在与新建互斥角色集b)
中的角色完全相同的互斥角色集,则退出,否则进行下一步;c)
设置互斥角色集的基数;
检查所有已授权用户,如存在违反新建互斥角色集的授权,则自动撤销用户角色集中存在互d)
关系的角色,并提示授权管理员调整用户授权。2修改互斥角色集
修改互斥角色集流程如下:
获得需进行修改操作的互斥角色集;a
对互斥角色集中的角色进行添加或删除,若修改后的互斥角色集中的角色个数为0,则删除该b)
互斥角色集并退出;
修改互斥角色集的基数;
检查所有已授权用户,如存在违反当前互床角色集的授权,则自动撒销用户角色集中存在互序关系的角色,并提示授权管理员调整用户授权。3删除互斥角色集
删除互斥角色集流程如下:
获得需进行删除操作的互斥角色集:a
b)删除互斥角色集。
7.3.3角色权限管理流程
7.3.3.1为角色分配权限
为角色分配权限的流程如下:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。