基于互联网电子政务系统需要根据政府部门的实际情况将用户信息进行统一管理。统一用户具

GB/Z24294 32017

6.1.6用户身份扩展信息

口令认证适用于基于互联网电子政务系统中政务服务应用。口令认证的基本过程是认证系统通运 比较用户输入的口令与系统内部存储的口令是否一致来判断用户的身份。 口令不能以明文形式传输和存储，必须以口令的散列值或加密后的密文传输和存储。用户进行口 令方式认证时，除需要输入用户名和口令之外，还要输入校验码进行登录

电力弱电设计、计算6.2.2数字证书认证

数字证书认证通过数字证书获取用户的公钥信息，并利用公钥验证用户提交的消息签名值是否合 法以鉴别用户身份。数字证书认证适用于互联网电子政务系统中政务办公应用

6.2.3生物特征识别

生物特征认证利用人类本 勿特征进行身份认证。生物特征认证方式 主要包括指纹鉴别、虹膜兼备、影像鉴另 务系统中政务办公应用

6.2.4面向信息分类防护的认证方式选择

用户在进行访问时，认证服务器需根据用户所访问的资源类型，强制用户采用与其资源类别相适应 的认证方式。

的使用以及产品所使用的密码算法应符合国家密

采用的规握、约定、约束和交换信息的息 和。在认证系统对用户、终端、设备、装置等进行身份认证的过程中，应选用安全的认证协议，为其提供 机密性、完整性、不可否认性保护，抵御消息重放、第三方假冒等攻击

7.1.1角色的层次结构

分来进行定义。角色层次组织成树形结构 个角色拥有多个子角色和至多一个父角色

7.1.2角色的编码原则

根据角色的层次关系，授权管理系统对角色进行统一的编码。角色的编码应遵循以下原则： a）在角色层次中，每一个角色的编码都是唯一的：

GB/Z24294.32017

b）子角色的编码应以其父角色的编码为前缀，体现角色的层次结构； c）根据角色的编码，能求出其父角色及所有祖先角色的编码

7.1.4角色的权限类型

角色的权限可分为公开权限、私有权限和继承权限： a）公开权限：直接分配给角色的可被上级角色继承的权限； b） 私有权限：直接分配给角色的但不可被任何角色继承的权限； 继承权限：从下级角色继承而来的可继续被上级角色继承的权限。 角色之间的权限继承关系是可选的。当角色之间没有权限继承关系时，上级角色不继承下级角色 的权限，角色的所有权限均为私有权限。 当角色之间存在权限继承关系时，上下级角色之间的权限继承仅限于在一个授权管理系统内部，不 允许跨授权管理系统的权限继承

资源分类是互联网电子政务系统中资源种类的划分，主要包括：网页、文件系统、数据库、功能模块， 其中网页中包含了HTML代码段和脚本程序段，通常在脚本程序段中会包含应用组件，HTML代码段 中可嵌套HTML代码段和脚本程序段，并使用相关控件资源，控件之间有时也存在嵌套关系；文件系 充中通常包含文件和文件夹，文件夹中文包含文件资源；数据库资源由数据表组成，数据表由数据字段 构成。 根据信息分类防护要求，基于互联网电子政务系统中的信息资源可按其重要程度将其分为：敏感信 息、内部公开信息和公开信息3种类型。

互联网电子政务系统中资源操作是指用户对系统中资源的操作权限，根据资源的类型不同，操作种 类也不相同。网页资源操作包括：读、写、本级读、本级写、遍历、拥有。文件系统操作包括：读、写、本级 卖、本级写、追历、拥有。数据库操作包括：数据库的创建、修改、删除，数据表的创建、修改、删除，数据项 查询、修改、删除、添加。功能模块操作包括：加载、删除、调用接口等操作

互联网电子政务系统中所有资源均有一个唯一编码，编码由系统自动生成，不能重复使用、重复分 配和修改。

7.3.1角色操作流程

添加下级角色操作流程如下 a）获得当前进行操作的角色节点位置

GB/Z24294.32017

b） 添加角色信息，包括角色名称、限制用户数、角色类型，并自动为新添加角色生成角色编号、建 立日期、子角色数、是否授权等信息，更新对应父角色的子角色个数

7.3.1.2修改角色

修改角色的流程如下： a）获得当前进行操作的角色节点位置； b）对角色名称、限制用户数进行修改。 本操作仅允许对角色名称、限制用户数进行修改，其余角色信息不允许修改

7.3.1.3删除角色

删除角色的流程如下： 获得当前进行操作的角色节点位置，若为根节点，则退出，否则进行下一步； b 删除该角色及其所有子角色，以及它们所对应的所有权限，同时删除所有上级角色中从该角色 处继承的权限，更新对应交角色的子角色个数，并从相关用户的权限中删除该角色，从相关互 压角色集中删除该角色

7.3.2.1新建互斥角色集

新建互斥角色集流程如下： a） 为新建互斥角色集自动生成编号； 在角色树中选择角色，添加到互斥角色集，查看已有互斥角色集，若已存在与新建互斥角色集 中的角色完全相同的互角色集，则退出，否则进行下一步； C） 设置互斥角色集的基数； d） 检查所有已授权用户，如存在违反新建互斥角色集的授权，则自动撤销用户角色集中存在互斥 关系的角色，并提示授权管理员调整用户授权

7.3.2.2修改互斥角色集

修改互斥角色集流程如下： a） 获得需进行修改操作的互斥角色集： b） 对互斥角色集中的角色进行添加或删除，若修改后的互斥角色集中的角色个数为0，则删除该 互斥角色集并退出； 修改互斥角色集的基数； 检查所有已授权用户，如存在违反当前互斥角色集的授权，则自动撤销用户角色集中存在互斥 关系的角色，并提示授权管理员调整用户授权

7.3.2.3删除互斥角色集

删除互斥角色集流程如下： a）获得需进行删除操作的互斥角色集； b）删除互斥角色集。

3.3角色权限管理流程

7.3.3.1为角色分配权限

为角色分配权限的流程如下：

GB/Z24294.3—2017

a 获得当前角色，按照信息分类保护要求，为其授予相应的权限集合，公开角色可被授予公开的 信息资源，内部共享角色可被授予内部共享和公开的信息资源，内部受控角色可被授予公开、 内部共享、内部受控的信息资源； b 指定所授权限的类别为公开权限或私有权限； c）权限继承深度策略所允许的上级角色可继承该角色的公开权限，并标记这些权限为继承权限。

7.3.3.2撤销角色权限

撤销角色权限的流程如下 a）获得当前角色和要撤销的权限， 从当前角色的权限集中删除要撤销的权限

7.3.4用户角色管理流程

7.3.4.1为用户分配角1

为用户分配角色的流程如下： a） 获得当前用户和将分配的角色； b 获得当前用户的已有角色集，若该角色已存在于用户的已有角色集中，则退出； 将该角色与用户已有角色集形成并集，若该并集与某一互斥角色集相交，并且交集的元素个数 大于该互角色集的基数，则退出； d）若该角色的用户数已达到最大值，则退出； e) 将该角色加人当前用户的角色集中

7.3.4.2撤销用户已有角色

撤销用户已有角色的流程如下： a）获得当前用户及其要撤销的角色，更新该角色对应的用户数； b）从当前用户的角色集中删除该角色

7.4授权管理系统服务

7.4.1用户授权服务方式

授权管理系统对用户的授权可提供两种服务方式，对未包含在下列内容中的服务方式，是否可以开 启，应根据实际网络环境和服务的功能、性质进行处理： a 属性证书方式：以属性证书作为用户的权限载体，授权管理系统将用户的权限即角色信息写人 属性证书中。属性证书可上传至LDAP服务器，认证服务器或应用系统通过拉模式获得属性 证书；也可直接交给用户，用户在进行访问时通过推模式提交给认证服务器或应用系统。 b 在线查询方式：由授权管理系统向认证服务器提供在线权限查询服务，授权管理系统权限策略 的表示方式参见附录B。无须生成属性证书，认证服务器在验证用户身份后，由认证服务器向 授权管理系统查询用户的权限，生成票据后交给用户，作为访间应用系统的凭证

7.4.2角色授权服务方式

授权管理系统对角色的授权可提供两种服务方式，对未包含在下列内容中的服务方式，是否可以

GB/Z24294.32017

启，应根据实际网络环境和服务的功能、性质进行处理： a）权限裁决服务方式：由授权管理系统向应用服务器提供在线的权限裁决服务，当用户进行访问 时，应用系统获得用户的角色和访问目标等信息，向授权管理系统发起权限裁决请求，授权管 理系统根据请求信息和角色权限作出裁决，将裁决结果返回给应用系统 b） 应用系统自主裁决方式：授权管理系统将角色的权限信息实时同步给应用系统，由应用系统进 行访问控制的裁决

GB/Z24294.3—2017附录A（资料性附录）身份认证与授权管理系统应用示例A.1身份认证与授权管理系统的示例部署身份认证与授权管理系统的应用部署示例如图A.1所示。权利证书查询与获取LDAP服务器用户权限查询认证服务器授权管理系统PMS.票权限裁决服务据份认款权限裁决取角色权限证请求/结果请求/获取访间用户应用系统1应用系统n图A.1身份认证与授权管理系统的应用部署示例在图A.1中包含以下实体：用户：对应用系统进行访问的实体：认证服务器：负责对用户的身份进行鉴别，保证对应用系统进行访问的用户均是合法用户；c)授权管理系统：在本例中，PMS负责用户的授权和角色的授权，以及用户属性证书的管理；LDAP服务器：证书目录服务器，可提供属性证书的在线查询服务；e)应用系统：用户访问的目标。A.2身份认证与授权管理系统工作流程示例如图A.1，基于角色的权限管理应用流程如下：a)PMS为用户分配角色，并为角色分配访问应用系统资源的权限；也可根据用户角色信息为用户签发属性证书并发布到目录服务器中；PMS启动权限裁决服务；c)用户访问应用系统，若用户未登录，则自动跳转到用户登录页面；d)用户在客户端登录粉煤灰标准，认证服务器验证用户身份，验证通过进行下一步，验证失败则中止用户访间；e)若采用属性证书方式，认证服务器从LDAP上获得用户属性证书，或由用户直接提交属性证书，验证属性证书的合法有效性，并从属性证书中获得用户角色信息；若不采用属性证书方式，直接根据用户身份信息向PMS查询用户角色信息；f)用户访问应用系统资源时，应用系统根据步骤g)和h)对用户访问进行控制；g)对每个访问请求，应用系统根据用户角色和对目标资源的访问需求，生成权限裁决请求，向9

GB/Z24294.32017

PMS发出权限裁决请求，PMS根据角色权限信息对请求进行判断，角色的类型与资源的类型 应满足信息分类防护要求，PMS将判决结果返回应用系统，应用系统根据判决结果决定是否 允许用户的访问； h 应用系统根据用户的访问请求从PMS得到的同步授权信息，进行访问控制裁决，由应用系统 自行决定是否允许用户对目标资源的访问，用户访问请求中的角色类型与目标资源类型应满 足信息分类防护要求

GB/Z24294.32017

景观标准规范范本GB/Z24294.32017

GB/Z24294.3—2017