移动警务统一授权技术方案.docx

移动警务统一授权技术方案目录一、前言5二、目标任务5三、总体设计63.1 体系框架63.2 授权实体73.3 授权技术手段83.4 总体要求83.5 授权场景93.5.1 I类系统93.5.2 11类系统93.5.3 11I类系统10四、In类区域授权104.1 技术要求104.1.1 授权实体104.1.2 授权方式134.2 授权和鉴权流程134.2.1 应用层面的授权和鉴权流程134.2.3 数据层面的授权和鉴权流程144.2.4 人员与数据的等级管理和鉴权流程144.3 级联上报154.4 管理要求154.4.1 技术管理要求15五、II类区域授权155.1 技术要求165.1.1 授权实体165.1.2 授权方式185.2 授权和鉴权流程195.2.1 应用层面的授权和鉴权流程195.2.2 API层面的授权和鉴权流程205.2.3 数据层面的授权和鉴权流程205.2.4 人员与数据的管理和鉴权流程205.3 级联上报215.4 管理要求215.4.1 技术管理要求21六、I类区域授权226.1 技术要求226.2 鉴权流程226.2.1 应用层面的鉴权流程226.2.2 API层面的鉴权流程226.3 级联上报236.4 管理要求236.4.1 技术管理要求23七、附录247.1 1111I区域统一授权的体系架构图247.2 III11区域统一授权的流程图247.3 授权过程图257.4 五大授权方式257.4.1 集中授权257.4.2 分级授权257.4.3 用户组自动授权257.4.4 权限申请审批267.4.5 权限委托27一、前言随着信息技术的快速发展和移动智能终端、4G移动通信网络技术的成熟，移动警务系统的深入应用，各警种民警提出了很多新的实际功能需求，移动警务安全性面临着巨大的挑战。为适应新形势下公安移动警务信息化建设应用的需求，公安部制定下发全国公安移动警务建设总体技术方案（2016版）指导各地建设新一代移动警务系统。在全国公安移动警务建设总体技术方案（2016版）中明确要求建设统一认证授权子系统实现实现用户统一身份认证、应用访问授权、单点登录等功能，和建设移动信息资源服务子系统实现统一的数据资源标准接口及数据授权访问。由此可见建设统一授权系统是移动警务信息化发展的必然需求。统一授权系统具体授权对象涉及到参与移动警务各个实体：人员、设备、应用、APL数据、网络等。为明确新一代公安移动警务平台统一授权体系，需要对三个区域各个实体，分别从功能权限和数据权限两个层面进行规范定义，形成全国统一标准。二、目标任务按照全国公安移动警务建设总体技术方案（2016版）文件相关技术规范和标准，规范移动警务中应对用户进行基于角色的授权和访问控制。用户的信息访问授权应遵循“最小权限原则”和“特权分散原则”。统一授权管理最终实现对对象（人员、设备、应用、API、数据、网络）的资源访问权限进行集中控制，要既可以实现对应用系统资源的访问控制，也可以实现对数据资源、基础资源、服务的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。三、总体设计新一代移动警务认证技术方案涵盖三类区域，权限使用的实体涉及人员、设备、应用、APL数据、网络等，总体设计原则是基于角色的最小权限原则和特权分散原则的授权和访问控制，分别对各个实体进行分级（5级），默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。注：五个等级分别对应：公开级，控制级，限制级，敏感级，专业级。3体系框架移动警务统一授权技术体系框架如下图所示:移动互联网服务子平台联网i艮务子平台公安信息网服务子平台身份认证平台/9他认证平台_至碇SaR堂_ _:金二赢:二而 Uis系姣;I 理乐统鉴权分中心 曲 WfflAPP移动警务统一授权技术体系包含人员、设备、应用、APL数据、网络等实体的基础信息管理、授权方式、授权对象、授权流程，鉴权流程，授权信息上报，鉴权信息上报。3.2 授权实体在整个移动警务体系中，授权的实体包含人员、设备、应用、API、数据、网络等。通过对实体的抽象可以归类为三个层面的授权：应用层、APl层、数据层，如下图所示： 应用层：主要实现的是人员，设备与应用功能权限和应用数据资源之间的授权工作。授权的主体是人或设备，客体是应用功能权限和应用数据资源。 APl层：主要实现的是应用系统与APl接口之间的授权工作。授权的主体是各个应用系统，客体是各个APl接口。 数据层：主要实现的是API接口与数据资源（如：数据资源表或数据资源列等）之间的授权工作。授权的主体时各个APl接口，授权的客体是数据资源。3.3 授权技术手段在整个移动警务体系中，授权类型分为自动授权和手动授权。自动授权：为基于实体的身份信息（如人员的岗位，警种，所在单位等）的自动授权方式。手动授权：为基于应用管理员手动授权和用户自主申请的一类授权方式。3.4 总体要求在符合规范，保证安全的前提下，对不同区域的授权实体，进行分类分级，采用符合实际业务场景的授权方式。各个区域的授权信息与鉴权信息统一上报公安信息网总授权中心进行统一监管。对于统一授权的实现方案可以进行分散实施，统一监管的模式进行。如分别建设设备授权中心，人员授权中心，数据授权中心，API授权中心等，其中授权和鉴权的结果统一上报，集中监管。3.5 授权场景移动警务统一授权场景包含I类系统的授权、II类系统的授权、III类系统的授权。其中： I类系统的授权为面向社会服务的移动互联网业务授权，服务主体为协防员和公众。 II类系统的授权为面向公安服务的公安移动信息网业务域，服务主体为民警和辅警。 In类系统的授权为面向公安服务的公安信息网业务域，服务主体为民警和辅警。统一授权系统分为授权和鉴权两部分。授权解决对象身份到资源权限的映射管理，即资源权限的分配问题；鉴权解决权限鉴别和访问控制问题。3.5,1类系统I类区域不包含授权中心，只包含鉴权中心。I类区域的对象投权放在11类区域的授权中心进行。I类区域的鉴权中心用于实现对I类区域对象的鉴权工作，接收I类区域鉴权分中心上报的鉴权信息，和对11类的鉴权中心统一上报鉴权信息。35211类系统11类区域包含授权中心和鉴权中心。授权中心负责对I类区域和类区域的对象进行授权管理、向m类区域的授权中心上报授权信息。鉴权中心用于实现对类区域对象的鉴权工作，接收类区域鉴权分中心上报的鉴权信息，接收I类区域鉴权中心上报的鉴权信息,向类区域的鉴权中心上报鉴权信息Q35311I类系统HI类区域包含授权中心和鉴权中心。授权中心负责对m类区域的对象进行授权管理和接收类区域授权中心上报的授权信息。鉴权中心用于实现对HI类区域对象的鉴权工作，接收HI类区域鉴权分中心上报的鉴权信息，接收11类区域鉴权中心上报的鉴权信息。四、m类区域授权III类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，APl接口等。其中包含了对各个实体对象的等级划分。4技术要求4，授权实体III类区域授权的实体主要有人员、设备、应用、APL数据、网络等。实体授权抽象出来的三个层面的授权：应用层、API层、数据层，其中各个层面的实体均划分等级，相互之间访问需要校验等级是否匹配，默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。4.1.1.1 人员In类区域的人员主要是警员和辅警等接触公安信息网的内部人员。人员基础信息由组织机构和人员基础信息库提供。人员授权则是基于人员的身份信息进行授权，授权的客体为应用的功能资源权限和应用的数据资源权限。同时需要对人员的等级进行划分，所有人员默认等级为最低等级,提升等级需要申请。人员的等级分为日常等级和临时等级。日常等级：为日常工作中根据其所在单位，岗位，职级等身份信息，又相关部门评定的长期等级。临时等级：为参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，通过申请审批提升的临时性的等级。4.1.1.2 设备In类区域的设备是指用于访问或连接公安信息网专属设备，主要被11I类区域的人员所使用。设备作为授权主体时，授权客体为网络或数据资源等。In类区域的应用信息由设备提供方提供或设备应用系统提供。HI类区域的应用主要是向民警、辅警等提供的公安信息网信息服务的应用系统。应用系统作为授权主体时，授权的客体则为APl接口。III类区域的应用信息由III类区域的各个应用系统提供，并且提供应用的功能资源信息作为人员授权的授权客体。4.1.1.4 APIIn类区域的APl主要是向公安信息网应用系统开发的接口APIAPI接口为作为授权主体，授权的客体为API所能访问的数据资源（如数据资源表或数据资源列等）。In类区域的API信息由API提供方提供或m类区域的API市场提供。4.1.1.5 数据In类区域的数据主要为公安信息网的应用系统或设备产生的数据资源，用于供应用HI类区域的应用系统，APl接口和设备使用。数据在整个HI类区域授权体系中是作为授权的客体存在Q4.1.1.6 网络III类区域的网络主要为公安信息网的主机、网络设备、网络地址段以及网络端口等。网络在整个11I类区域授权体系中是作为授权的客体存在。4.1.1.7 式In类区域使用的授权方式主要为：集中授权、分级授权、用户组自动授权、权限申请审批，权限委托。其中的用户组自动授权即为基于人员身份信息的自动授权。集中授权、分级授权、权限申请审批、权限委托为手动授权。详细如下：集中授权：为几个应用的管理员对所有用户进行集中授权的授权方式。分级授权：为通过对应用管理员进行分级管理，各级管理员按照下管一级的管理原则对管辖范围内的用户进行授权管理的授权方式。用户组自动授权：为对人员身份信息（如岗位，职级，单位等）进行授权管理的授权方式。当用户拥有某项身份信息或失去某项身份信息时，则权限会自动发生变更。权限申请审批：为用户根据自己的实际工作需求，对所需要的应用权限通过在线申请审批的方式获得权限的授权方式。权限委托：为某个拥有权限的用户，通过将自己的权限委托给另一个没有权限的用户使用的授权方式。42授权和鉴权流程In类区域涉及的授权流程有应用层面的授权和鉴权流程、API层面的授权和鉴权流程、数据层面的授权和鉴权流程，人员与数据的等级管理和鉴权流程。421应用层面的授权和鉴权流程用户与应用授权流程包含：1）用户与应用功能资源的授权。2）用户与应用数据资源的授权。用户与应用鉴权流程包含：1）访问入口鉴权，若用户无权限，则访问默认按照就低原则，即高等级用户可访问同等级或低等级应用。若用户有权限按实际权限进行访问鉴权。2）用户访问应用的功能模块或数据资源时对用户进行访问鉴权4.2.2API层面的授权和鉴权流程应用与API授权流程为：APl接口提供方对应用可访问的API接口进行授权管理。应用与APl鉴权流程为：应用调用APl接口时对应用是否可调用此APl接口进行鉴权。42.3数据层