GAT669.2安全技术要求.docx

监控报警联网系统技术标准第 2 局部：安全技术要求1 范围GAT 669 的本局部规定了城市监控报警联网系统简称联网系统的设计原则、系统构造、系统功能及性能要求、系统设备要求、信息传输要求、安全性要求、电磁兼容性要求、电源要求、环境与环境适应性要求、牢靠性要求、运行和维护要求等通用性技术要求， 是进展城市监控报警联网系统建设规划、方案设计、工程实施、系统检测、竣工验收以及与 之相关的系统设备研发、生产的依据。本局部适用于城市社会公共安全领域的监控报警联网系统，其他领域的监控报警联网系统可参考承受。2 标准性引用文件以下文件中的条款通过GAT 669 的本局部的引用而成为本局部的条款。但凡注日期的引用文件，其随后全部的修改单不包括订正的内容或均不适用于本局部，然而，鼓舞依据本局部达成协议的各方争论是否可使用这些文件的最版本。但凡不注日期的 引用文件，其最版本适用于本局部。GBT 22602023 中华人民共和国行政区划代码GBT 26592023 世界各国和地区名称代码eqv ISO 31661：1997 GB 49432023 信息技术设备的安全idt IEC 60950：1999GBT 74082023 数据元和交换格式信息交换日期和时间表示法ISO 8601： 2023，IDTGBT 202712023 信息安全技术信息系统通用安全技术要求GB 503482023 安全防范工程技术标准GAT 3672023 视频安防监控系统技术要求GAT 66912023 城市监控报警联网系统技术标准第 1 局部：通用技术要求GAT 66952023 城市监控报警联网系统技术标准第 5 局部：信息技术传输、交换、掌握技术要求GAT 66972023 城市监控报警联网系统技术标准第 7 局部：治理平台技术要求RFC 3280 X509 公钥证书和CRL 3 术语、定义和缩略语GAT 66912023 中确立的以及以下术语、定义和缩略语适用于本局部。3.1 术语和定义311公钥根底设施public key infrastructure包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制证书的产生、治理、存储、分发和撤销等功能。312公钥证书public key certificate用户的公钥连同其他信息，并由公布该证书的证书认证机构的私钥进展加密使其不行伪造。313证书认证机构certification authority负责创立和安排证书，受用户信任的权威机构。用户可以选择该机构为其创立密钥匙。314注册机构registration authority为用户办理证书申请、身份审核、证书下载、证书更、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。315证书撤销列表certificate revocationlist一个已标识的列表，它指定了一套证书公布者认为无效的证书。除了一般 CRL 外，还定义了一些特别的CRL 类型用于掩盖特别领域的CRL。316权限治理系统privilege management system为用户、角色安排权限，并保障其正确使用的系统。317安全治理系统security management system负责对用户信息及安全大事进展治理并完成安全审计等功能的系统。318安全支撑平台security supporting platform完成用户身份认证及单点登录、设备接入认证、数字签名、数据加密和访问掌握等功能的系统。319物理安全physical security联网系统设备所处的物理环境的安全，是整个系统安全运行的前提。3110运行安全operation security网络与信息系统的运行过程和运行状态的安全。3111信息安全information security信息在数据收集、存储、检索、传输、交换、显示、集中等过程中的安全，使得在数据处理层面保障信息依据授权使用，保护信息不被非法冒充、窃取、篡改、抵赖。3112安全子系统security subsystem联网系统的一局部，包括公钥根底设施、权限治理系统、安全治理系统及安全支撑平台软硬件。3113安全域security domain计算机网络中附属于单一安全策略、受单个授权机构治理的多个实体构成的集合。3.2 缩略语AESAdvanced Encryption Standard 高级加密标准CRLCertificate Revocation List 证书撤销列表DESData Encrypti013Standard 数据加密标准MD5Message Digest Algorithm 5 信息摘要 5NTPNetwork Timing Protocol 网络时间协议PKICA Public Key InfrastructureCertification Authority 公钥根底设施认证机构PMSPrivilege Management System 权限治理系统SHASecure Hash Algorithm 安全哈希算法SNTPSimple Network Time Protocol 简洁网络时间协议SSLSecure Socket Layer 安全套接字SMIME SecureMultipurpose Internet Mail Extensions安全多用途网际邮件扩大协议TSATime Stamp Authority 时间戳机构TLSTransport Layer Security 传输层安全URIUniform Resource Locator 统一资源定位符VPNVirtual Private Network 虚拟专用网络4 联网系统安全设计原则4.1 标准性原则联网系统安全设计应符合国家或行业相应的安全标准。4.2 先进性和有用性原则联网系统安全设计应承受先进的设计思想和方法，尽量承受国内、外先进技术例 如：主动防范技术等。所承受的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际状况；应合理设置系统功能，恰当进展系统配置和设备选型，保 证其具有较高的性价比，满足业务治理的需求。4.3 可扩展性原则联网系统安全设计应考虑通用性、敏捷性，以便利用现有资源及应用升级。4.4 开放性和兼容性原则对安全子系统的升级、扩大、更以及功能变化应有较强的适应力量。即当这些因素发生变化时，安全子系统可以不作修改或作少量修改就能在环境下运行。4.5 牢靠性原则联网系统安全设计应确保系统的正常运行和数据传输的正确性，在硬件的选型和配 置、软件的组织和设计方法的选择、数据的安全性和完整性以及系统的运行和治理等方面都 应实行必要的措施。防止由内在因素和硬件环境造成的错误和灾难性故障，确保系统牢靠性。4.6 系统性原则应承受系统优化设计，综合考虑安全子系统的整体性、相关性、目的性、有用性和环境适应性。另外，与应用系统的结合应相对简洁、独立。4.7 技术与治理相结台原则联网系统安全体系应遵循技术与治理相结合的原则进展设计和实施，各种安全技术应当与运行治理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会系统工程的角度综合考虑，最大限度发挥人防、物防、技防相结合的作用。4.8 等级保护原则应依据应用需求确定信息安全等级保护级别，并遵照信息安全等级保护原则，选择适合系统的安全保护措施。4.9 分层安全原则依据设备的使用范围以及层次性、多监控中心的构造，设计相应的安全域，安全域 内应进展安全认证和权限安排，保证相关业务和影响仅在有限范围内进展，掌握权限的集中。4.10 最小权限原则为设备或用户安排权限时，应在不影响业务的状况下，实现功能明确、设备明确、时段明确和“权限最小化”。以有效进展权限治理。5 联网系统安全技术体系总体框架和认证及权限治理构造5.1 总体框架联网系统安全技术体系总体框架如图1 所示，可以分为物理实体安全、通信和网络安全、运行安全以及信息数据安全四个层面。物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质安全六个方面。通信和网络安全主要包括网络传输安全、公安专网的接入安全、公安专网的输出安全三个方面。运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全治理六个方面。信息安全主要包括用户身份认证、接入设备认证、用户权限治理、访问掌握及业务审计、数据加密及数据完整性保护、安全域隔离六个方面。图 1安全技术体系总体框架5.2 认证及权限治理构造联网系统认证及权限治理构造如图2 所示。公钥根底设施PKI和权限治理系统PMs都通过安全治理系统为安全支撑平台供给根底效劳。公钥根底设施PKI为联网系统设备和用户发放数字证书，并供给对证书有效性以及证书撤销列表CRL的查询效劳。权限治理系统PMS保存系统权限策略和权限数据，为用户供给权限查询效劳。安全治理系统负责用户治理，并从公钥根底设施PKI猎取数字证书和 CRL 信息，从权限治理系统PMS猎取权限信息，为安全支撑平台供给根底效劳。安全支撑平台为联网系统供给用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问掌握等安全效劳，以保证应用系统的可用性、完整性和机密性。图 2认证及权限治理构造6 物理安全6.1 监控中心电源安全监控中心配电系统应满足GB 503482023 中 312 的要求。监控中心应配备用电源，备用电源应能保证对监控中心内关键设备延长供电不少于8 h。6.2 电磁兼容性安全联网系统抗电磁干扰性能应满足GAT 3672023 中 9l 的要求；传输线路的抗干扰设计应符合GB 503482023 中 362 的规定。联网系统电磁辐射防护性能应满足GAT 3672023 中 92 的要求。6.3 环境安全监控中心机房应满足GBT 202712023 中 4111 的要求，选择机房场地、实现机房内部安全防护、防火、防水、防潮、空调降温、防静电。通信线路的安全应依据GBT 202712023 中 4112 的要求对通信线路进展安全防护。6.4 设备安全主要指三类设备：联网系统前端设备、通讯设备路由器、交换机等和监控中心主机设备终端计算机、效劳器等。依据设备所处位置的不同，又可分为室内设备、室外设备和移动设备。应依据GBT 202712023 中 4121 的设备标记要求、计算中心防盗要求和机房外部设备防盗要求，实现设备的安全保护。应依据GBT 202712023 中 4122 的根本运行支持要求、安全可用要求和不问断运行要求设计和实现设备的可用程度。硬件设备应符合GB 49432023 中关于电击、火灾、发热、机械、辅射、化学等安全方面的要求。6.5 防雷接地应综合设计系统的防雷和接地。系统各组成局部的防雷和接地设计应符GB 50348 2023 中 39 的规定。6.6 记录介质安全应依据GBT 202712023 中 413 的公开数据介质保护、内部数据介质保护、重要数据介质保护、关键数据介质保护和核心数据介质保护的要求进展记录介质安全保护。7 通信和网络安全7.1 网络传输的安全当联网系统使用公安专网、公共网络、无线网络进展传输时，应分别符合相关部门对各个网络的安全治理规定或标准。公共网络、无线网络在条件允许的状况下宜承受虚拟专用网络VPN或者传输层安全TLS协议来保证传输的安全。7.2 公安专网的接入与输出安全公安专网应专网专用，当其他网络需要与公安专网进展数据变换时，应实行相应措施保障公安专网的安全。宜在如下方案中选择：a将模拟视频输出信号接入由公安部门认可的视频编码设备，然后接入公安监控系统。b） 社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时，应符合公安专用网的安全治理规定。经安全隔离设备前方可输出。c） 公安监控中心将数字图像输出给社会监控中心时，应依据公安专网的安全治理规定7.3 双网并存当不能解决公安专网与其他网络的隔离问题时，宜在公安监控中心设置两套完全物理隔离的监控系统，一套直接连接公安专网，另一套连接社会监控中心。8 运行安全8.1 安全监控应依据GBT 202712023 中 423 的要求，设置分布式探测器，实时监测网络数据流，监视和记录内、外部用户出入湖络的相关操作。宜使用防火墙、防毒软件、入侵检测系统、漏洞扫描工具来提高网络通信的安全性。8.2 安全审计应依据GBT 202712023 中 424 的要求，支持对审计功能的开启和关闭， 对身份鉴别、治理用户业务用户所实施的操作、其他与系统安全相关的大事等实施审计， 并做出相应的审计响应。安全审计日志宜承受统一的格式，数据项应包括： a操作人身份：用户身份标识； b操作：功能操作； c操作对象：操作的对象如DVR 设备；d操作类型：日志治理，用户治理，配置治理，任务治理等； e操作时间：年、月、日、时、分、秒；d操作结果：成功、失败。安全审计的日志记录信息应能够供给导入、导出、查询等功能。8.3 恶意代码防护应依据GBT 202712023 中 427 的要求，对包括计算机病毒在内的恶意代码进展有效的安全防护。8.4 备份与故障恢复8.4.1 联网系统应对系统的根本配置信息、用户信息、设备信息、权限信息、报警信息、巡检信息、与报警关联的视音频信息、重要大事的视频图像、系统重要操作日志等进展分类 并做相应的定期备份。8.4.2 关键存储部件宜承受冗余磁盘阵列技术并支持失效部件的在线更换；对重要的设备应进展冗余配置，以实现双机热备或者冷备。8.4.3 数据库效劳器宜承受双机冗余热备份的方式。进展定期在线维护，以实现当数据库遭到破坏时，缩短恢复所需时间。8.4.4 在条件具备的状况下，应在异地建立和维护一个重要数据的备份存储系统，利用地理上的分别来保证系统和数据对灾难性大事的抵挡力量。8.4.5 故障恢复前应制定具体合理的恢复工作打算，故障恢复方案应依据信息备份方案制定，数据恢复完成后应检测数据的完整性。8.5 应急处理应制定安全应急处理预案。并组织实施应急处置演习。对系统在正常工作中发生的 突发大事各类特别状况、安全大事、安全事故，应由值班人员或者维护人员依照顾急处理预案进展处置或系统自动降级处理。8.6 安全治理各级各类监控中心应建立完善的安全治理制度，对监控中心的工作人员应进展安全治理教育和定期技术培训。应对组成系统的各种设备定期进展安全检查和维护。 9 信息安全9.1 公钥根底设施9.1.1 证书认证机构CA联网系统应建立CA 机构。其主要职责如下： a为率辖区内用户、设备签发证书； b本级证书撤销到表CRI的创立和维护；c治理、维护所签发的证书。9.1.2 数字证书类型联网系统PKI 体系涉及三种证书类型：a用户证书；b设备证书，其中包括效劳器证书和其他设备证书；cCA 证书。用户是指公安用户及政府其他部门需要共享监控业务信息的用户；设备是指效劳器和其他设备；CA 认证书是指认证机构自身的证书。9.1.3 证书格式应支持X509 V3 标准证书，并支持全部 X，509 V3 标准定义的扩展。应支持 X509 V2 证书撤销列表CRL。统一的用户证书格式、设备证书格式见附录A1 和 A2；统一的 CRL 格式见附录B。9.1.4 证书载体联网系统所签发的证书应支持以下方式存储； a移动存储介质：如硬盘、U 盘、存储IC 卡等；b硬盘：通过文件的方式存储在硬盘上或通过证书治理器进展存储和治理l c智能卡：带有算法的IC 卡；dUSB Key：USB 接口的、带有算法的令牌； e专用加密设备：如加密机，通常用于产生、存储和治理密钥和公钥证书。9.2 系统时间校正联网系统应承受网络时间协议NTP来实现系统的时间校正。在时间精度要求不高 的状况下宜以系统中的一台主效劳器时间为基准实现全网时间校正；当时间精度要求较高时 宜承受GPS 授时技术猎取标准时间，承受简洁网络时间协议SNTP来实现系统时间校正。当时间戳做为可信依据时宜引入时间戳机构TSA，承受直接连接时间传输技术供给可信 赖的且不行抵赖的时间戳效劳。时间校正周期可依据实际状况设定。9.3 用户身份认证9.3.1 用户身份标识应对联网系统的全部用户进展统一的唯一标识，编码标准见GAT 66972023 中第 9 章的要求。9.3.2 用户身份认证机制联网系统应在以下方式中选择一种或者多种方式进展用户身份认证。a静态口令机制用户名密码方式；b动态口令机制；c基于智能卡的认证；d基于冲击响应的USB Key 认证；e基于PKICA 体系数字证书的USB Key 认证；f基于人体生物特征识别的认证。承受基于PKICA 体系数字证书的USB Key 认证方式时应承受统一的公钥证书格式。对系统治理员、超级治理员宜附加基于人体生物特征识别的认证。基于数字证书和静态口令两种方式的用户身份认证过程参见附录C。9.3.3 单点登录与全网漫游联网系统应支持授权用户单点登录与全网漫游的功能。9.3.3.1 单点登录功能要求： a联网系统应支持用户只经过一次身份认证，即可访问不同安全域的应用系统。b联网系统 Web 效劳器、应用效劳器应在用户身份认证成功后，保存用户的认证标识和身份标识。当用户访问不同的安全域时，Web 效劳器、应用效劳器后台应用程序应依据其身份标识来确定该用户的用户类型。9.3.3.2 全网漫游功能要求： a联网系统应承受统一的公钥证书格式，以保证在各级应用系统中均可被识别； b联网系统应承受统一的认证方式，以保证不同安全域之间用户的身份认证。9.4 接入设备认证9.4.1 应对接入联网系统的全部设备进展统一的唯一标识，编码标准见GAT 66972023 中第 9 章的要求。9.4.2 接入设备认证应依据不同状况承受不同的认证方式。对非 SIP 设备，宜通过设备代理来进展认证；对标准SIP 可信设备应承受数字证书的认证方式。设备认证的流程见GAT 66952023 中第 8 章、第 9 章的要求。9.5 用户授权策略与权限治理9.5.1 用户分类依据用户对联网系统使用性质的不同，将用户分为两大类：a） 业务用户：使用系统执行业务操作的用户例如访问实时视频、访问历史业务 信息、进展摄像机云台、镜头掌握等操作。b） 治理用户：能够对系统软硬件资源、系统运行状态以及安全配置等进展治理的用户。联网系统宜依据实际需求依据用户职责细化用户分类。业务用户通常可细化为操作员、值班员等；治理用户通常可细化为系统治理员、安全治理员等。用户宜赐予不同的优先级。联网系统宜接照肯定的规章将具有一样属性或特征的用户划分为一组，进展用户组治理。9.5.2 授权策略授权应遵循以下策略：a联网系统应制定符合实际状况的授权模型；b根底授权策略标准应统一；c各级监控中心各自对用户授权。9.5.3 权限治理用户权限分为两大类：业务权限和治理权限。业务用户不应具备治理权限。在监控中心内，权限治理应包括以下内容： a供给增加、修改、删除和查询用户权限等功能。b） 单独设立安全治理员，特地负责为本中心的每个合法用户安排相应的权限。除安全治理员外，任何用户不得擅自更改其权限、不得越权操作、不得将其权限转授给其 他用户。安全治理员除完成授权功能外，不能扫瞄、修改、删除系统中的任何其他数据。c） 高优先级用户可抢占低优先级用户所占用的资源。在监控中心间，用户极限治理应在各级监控中心授权的根底上进展。9.6 访问掌握与业务审计9.6.1 访问掌握联网系统应实现统一的用户治理和授权，在身份鉴别的根底上，系统宜承受某种访 问掌握模型对用户进展访问掌握例如基于角色的访问掌握或者基于属性证书的访问掌握。基于角色的访问掌握应供给对托付授权和角色继承功能的支持；角色治理应能供给角色的增 加、修改、删除等功能，并且对角色的操作供给审计接口。9.6.2 业务审计联网系统应对以下大事进展业务审计，并保存记录，以备查验。a用户登录和身份验证；b非法或特别大事； c用户越权行为； d持有权限变更操作。9.7 数据加密及数据完整性保护9.7.1 联网系统应对需要加密的数据在传输和存储过程中进展加密，存储时宜承受 IDES、密钥长度为 128 位的高级加密标准AES、SCB 2 算法等进展加密；传输过程中宜承受RSA1 024 位或 2048 位对会话密钥进展加密，传输内容宜承受数据加密标准DES、3DES、 AES128 位等算法加密。9.7.2 对信令数据的加密宜承受SIP 协议所支持的安全多用途网际邮件扩大协议SMIME 进展处理。9.7.3 联网系统宜承受数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏， 即防止恶意篡改系统数据。数字摘要宜承受信息摘要 5MD5、安全哈希算法 1SHA1、安全哈希算法 256SHA 256等算法。9.8 安全域隔离应将联网系统划分为不同的安全域，如监控中心局域刚、公安专网、公共网络等，不同 的安全域之间应进展相应的隔离。当需要在公脚和专网之间进展数据交换时，应承受国家、行业治理部门认可的安全隔离措施。附录 A标准性附录支持 X509 V3 的证书格式定义序号数据工程名称数据类型数据长度承受标准说明1 版本号2 序列号3 签名算法名称CN 区县L整型 字符型字符型字符型字符型1 字节32 字节16 字节8 字节2 字节RFC 3280RFC 3280RFC 3280GBT 2260 2023证书格式版本号，目前为 3证书序列号，用于证书治理，每一 CA 系统中，应为唯一值CA 中心签名该证书使用的算法4 签发单位城市L字符型2 字节省份S字符型2 字节国家C字符型2 字节GBT 2260 2023GBT 2260 2023GBT 2260 2023签发该证书的 CA 中心的信息5 有效期生效日期失效日期用户名称CN字符型19 字节字符型19 字节字符型48 字节GBT 7408 2023GBT 7408 2023证书生效日期，格式例如：20230812 12：23：34证书失效日期，格式例如：20230818 12：23：34姓名身份证明证书持有6区县L字符型2 字节GBT 2260 2023GBT 2260者信息城市L字符型2 字节2023省份S字符型2 字节国家C字符型2 字节GBT 2260 2023GBT 2659 20237证书持有者公钥信息字符型1024 位RFC 3280持证人的公开密钥信息CRL 分布点字符型128 字节RFC 3280证书持有者密钥标识符字符型20 字节RFC 32808扩展项签发单位的密钥标识符字符型20 字节RFC 3280密钥用途字符型64 字节RFC 3280预留字符型128 字节RFC 3280待以后扩大9签名项字符型1024 位RFC 3280CA 中心对该证书的签名A.1 用户证书格式用户证书格式见表A1。表 A1用户证书格式定义A.2 设备证书格式设备证书格式见表A2。表 A2 设备证书格式定义序号数据工程名称1 版本号数据类型数据长度整型1 字节承受标准RFC 3280说明证书格式版本号，目前为 3证书序列号，用于证书管2 序列号字符型32 字节RFC 3280理，每一 CA 系统中，应为唯一值3 签名算法字符型16 字节RFC 3280CA 中心签名该证书使用的算法名称CN字符型8 字节区县L字符型2 字节4签发单位城市L字符型2 字节省份S字符型2 字节国家C字符型2 字节生效日期字符型19 字节5有效期失效日期字符型19 字节GBT 2260 2023GBT 2260 2023GBT 2260 2023GBT 2260 2023GBT 7408 2023GBT 7408 2023签发该证书的 CA 中心的信息证书生效日期，格式例如： 20230812 12：23：34证书失效日期，格式例如： 20230812 12：23：34设备名称CN字符型48 字节姓名 身份证明证书持有6区县L字符型2 字节GBT 2260 2023GBT 2260者信息城市L字符型2 字节2023省份S字符型2 字节GBT 2260 2023国家C字符型2 字节GBT 2659 20237 证书持有者公钥信息CRL 分布点8 扩展项证书持有者密钥标识符字符型字符型字符型1024 位128 字节20 字节RFC 3280RFC 3280RFC 3280持证人的公开密钥信息签发单位的密钥标识符字符型20 字节RFC 3280密钥用途字符型64 字节RFC 3280预留字符型128 字节RFC 3280待以后扩大9签名项字符型1024 位RFC 3280CA 中心对该证书的签名附录 B标准性附录支持 X509 V2 的证书格式定义B.1 X509 V2 证书撤销列表CRL 格式X509 V2 证书撤销列表CRL 格式见表B1。序号数据工程名称数据类型数据长度承受标准说明1版本号整型1 字节RFC 3280CRL 的版本号名称CN字符型8 字节区县L字符型2 字节GBT 226020232签发单位城市L字符型2 字节GBT 22602023签发该证书的 CA 中心的信息省份S字符型2 字节GBT 22602023国家C字符型2 字节GBT 22602023生效时间字符型19 字节GBT 7408 该 CRL 公布时间，格式例如：202320230812 12：23：34公布时3间下次更的时间字符型19 字节下一个 CRL 公布时间，格式GBT 7408例如：20230818 12：23：202334CA 中心签名该CRL 使用的算4签名算法字符型16 字节RFC 3280签发单位的5扩展项密钥标识符CRL 分布点撤销证书的系列号6撤消列表包括撤消证 书 1N 个证书撤消日期字符型19 字节GBT 7408例如：20230812 12：23：202334表 B1X509 V2 证书撤销列表CRL 格式法字符型20 字节RFC3280签发单位的密钥标识符字符型128 字节RFC3280CRL 分布点字符型32 字节RFC3280该证书被撤消的时间，格式证书撤消原因整型1 字节RFC 3280证书注销缘由见表 B27签名项字符型1024 位RFC 3280CA 中心对该证书的签名B.2 X509 V2 证书撤销列表CRL 格式的证书注销缘由编码X509 V2 证书撤销列表CRL 格式的证书注销缘由编码表 B2证书注销缘由编码证书注销缘由名称证书注销缘由编码未指明缘由0密钥泄露1CA 泄露2附属关系转变3证书被取代4操作终止5证书冻结6附录 C资料性附录数字证书和静态口令两种方式下的用户身份认证流程C.1 用户身份认证流程图用户身份认证流程图C1：图 C1用户身份认证过程C.2 用户身份认证说明用户身份认证说明如下：a） 用户访问应用系统，用户恳求被应用系统前端的过滤器拦截，过滤器觉察用户 没有认证，将用户重定向到认证效劳器。b） 用户访问认证效劳器的登录页面，可以选择数字证书和静态口令两种方式登录。1静态口令方式：用户通过 P0ST 方式将用户名和密码提交到认证效劳器，认证效劳器通过查询用户治理系统验证用户信息包括口令策略等。2数字证书方式：用户扫瞄器被重定向到认证效劳器的双向安全套结字SSL端口，认证效劳器通过SSL 握手与用户建立取向SSL 通讯信道，并提取用户的公钥证书。认证效劳器从信任库中查询对应的CA 根证书进展校验。c） 当用户身份认证成功后，认证效劳器为用户创立一个用户令牌，保存用户认证 信息，并创立一个临时凭证与用户令牌关联。然后将用户重定向到之前访问的应用系统，并在统一资源定位符URL中附带该临时凭证。d） 应用系统前端的过滤器再次拦截到恳求，从 URL 中解析用户临时凭证，并与认证效劳器通信查询用户认证结果。e） 过滤器收到认证效劳器的返回结果，假设结果为真，确认本次认证成功。假设 结果为假，拒绝供给效劳。f） 在首次认证成功的状况下，之后用户每次访问应用系统，不需要再进展身份认 证过程，只需要验证用户令牌的有效性即可。直到用户令牌过期为止。应用系统可以依据用户的身份信息打算是否对用户供给效劳。