移动警务统一授权技术方案.docx

移动警务统一授权技术方案目录一、前言5二、目标任务5三、总体设计63.1 体系框架63.2 授权实体73.3 授权技术手段83.4 总体要求83.5 授权场景93.5.1 I类系统93.5.2 11类系统93.5.3 11I类系统10四、In类区域授权104.1 技术要求104.1.1 授权实体104.1.2 授权方式134.2 授权和鉴权流程134.2.1 应用层面的授权和鉴权流程134.2.3 数据层面的授权和鉴权流程144.2.4 人员与数据的等级管理和鉴权流程144.3 级联上报154.4 管理要求154.4.1 技术管理要求15五、II类区域授权155.1 技术要求165.1.1 授权实体165.1.2 授权方式185.2 授权和鉴权流程195.2.1 应用层面的授权和鉴权流程195.2.2 API层面的授权和鉴权流程205.2.3 数据层面的授权和鉴权流程205.2.4 人员与数据的管理和鉴权流程205.3 级联上报215.4 管理要求215.4.1 技术管理要求21六、I类区域授权226.1 技术要求226.2 鉴权流程226.2.1 应用层面的鉴权流程226.2.2 API层面的鉴权流程226.3 级联上报236.4 管理要求236.4.1 技术管理要求23七、附录247.1 1111I区域统一授权的体系架构图247.2 III11区域统一授权的流程图247.3 授权过程图257.4 五大授权方式257.4.1 集中授权257.4.2 分级授权257.4.3 用户组自动授权257.4.4 权限申请审批267.4.5 权限委托27一、前言随着信息技术的快速发展和移动智能终端、4G移动通信网络技术的成熟，移动警务系统的深入应用，各警种民警提出了很多新的实际功能需求，移动警务安全性面临着巨大的挑战。为适应新形势下公安移动警务信息化建设应用的需求，公安部制定下发全国公安移动警务建设总体技术方案（2016版）指导各地建设新一代移动警务系统。在全国公安移动警务建设总体技术方案（2016版）中明确要求建设统一认证授权子系统实现实现用户统一身份认证、应用访问授权、单点登录等功能，和建设移动信息资源服务子系统实现统一的数据资源标准接口及数据授权访问。由此可见建设统一授权系统是移动警务信息化发展的必然需求。统一授权系统具体授权对象涉及到参与移动警务各个实体：人员、设备、应用、APL数据、网络等。为明确新一代公安移动警务平台统一授权体系，需要对三个区域各个实体，分别从功能权限和数据权限两个层面进行规范定义，形成全国统一标准。二、目标任务按照全国公安移动警务建设总体技术方案（2016版）文件相关技术规范和标准，规范移动警务中应对用户进行基于角色的授权和访问控制。用户的信息访问授权应遵循“最小权限原则”和“特权分散原则”。统一授权管理最终实现对对象（人员、设备、应用、API、数据、网络）的资源访问权限进行集中控制，要既可以实现对应用系统资源的访问控制，也可以实现对数据资源、基础资源、服务的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。三、总体设计新一代移动警务认证技术方案涵盖三类区域，权限使用的实体涉及人员、设备、应用、APL数据、网络等，总体设计原则是基于角色的最小权限原则和特权分散原则的授权和访问控制，分别对各个实体进行分级（5级），默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。注：五个等级分别对应：公开级，控制级，限制级，敏感级，专业级。3体系框架移动警务统一授权技术体系框架如下图所示:移动互联网服务子平台联网i艮务子平台公安信息网服务子平台身份认证平台/9他认证平台_至碇SaR堂_ _:金二赢:二而 Uis系姣;I 理乐统鉴权分中心 曲 WfflAPP移动警务统一授权技术体系包含人员、设备、应用、APL数据、网络等实体的基础信息管理、授权方式、授权对象、授权流程，鉴权流程，授权信息上报，鉴权信息上报。3.2 授权实体在整个移动警务体系中，授权的实体包含人员、设备、应用、API、数据、网络等。通过对实体的抽象可以归类为三个层面的授权：应用层、APl层、数据层，如下图所示： 应用层：主要实现的是人员，设备与应用功能权限和应用数据资源之间的授权工作。授权的主体是人或设备，客体是应用功能权限和应用数据资源。 APl层：主要实现的是应用系统与APl接口之间的授权工作。授权的主体是各个应用系统，客体是各个APl接口。 数据层：主要实现的是API接口与数据资源（如：数据资源表或数据资源列等）之间的授权工作。授权的主体时各个APl接口，授权的客体是数据资源。3.3 授权技术手段在整个移动警务体系中，授权类型分为自动授权和手动授权。自动授权：为基于实体的身份信息（如人员的岗位，警种，所在单位等）的自动授权方式。手动授权：为基于应用管理员手动授权和用户自主申请的一类授权方式。3.4 总体要求在符合规范，保证安全的前提下，对不同区域的授权实体，进行分类分级，采用符合实际业务场景的授权方式。各个区域的授权信息与鉴权信息统一上报公安信息网总授权中心进行统一监管。对于统一授权的实现方案可以进行分散实施，统一监管的模式进行。如分别建设设备授权中心，人员授权中心，数据授权中心，API授权中心等，其中授权和鉴权的结果统一上报，集中监管。3.5 授权场景移动警务统一授权场景包含I类系统的授权、II类系统的授权、III类系统的授权。其中： I类系统的授权为面向社会服务的移动互联网业务授权，服务主体为协防员和公众。 II类系统的授权为面向公安服务的公安移动信息网业务域，服务主体为民警和辅警。 In类系统的授权为面向公安服务的公安信息网业务域，服务主体为民警和辅警。统一授权系统分为授权和鉴权两部分。授权解决对象身份到资源权限的映射管理，即资源权限的分配问题；鉴权解决权限鉴别和访问控制问题。3.5,1类系统I类区域不包含授权中心，只包含鉴权中心。I类区域的对象投权放在11类区域的授权中心进行。I类区域的鉴权中心用于实现对I类区域对象的鉴权工作，接收I类区域鉴权分中心上报的鉴权信息，和对11类的鉴权中心统一上报鉴权信息。35211类系统11类区域包含授权中心和鉴权中心。授权中心负责对I类区域和类区域的对象进行授权管理、向m类区域的授权中心上报授权信息。鉴权中心用于实现对类区域对象的鉴权工作，接收类区域鉴权分中心上报的鉴权信息，接收I类区域鉴权中心上报的鉴权信息,向类区域的鉴权中心上报鉴权信息Q35311I类系统HI类区域包含授权中心和鉴权中心。授权中心负责对m类区域的对象进行授权管理和接收类区域授权中心上报的授权信息。鉴权中心用于实现对HI类区域对象的鉴权工作，接收HI类区域鉴权分中心上报的鉴权信息，接收11类区域鉴权中心上报的鉴权信息。四、m类区域授权III类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，APl接口等。其中包含了对各个实体对象的等级划分。4技术要求4，授权实体III类区域授权的实体主要有人员、设备、应用、APL数据、网络等。实体授权抽象出来的三个层面的授权：应用层、API层、数据层，其中各个层面的实体均划分等级，相互之间访问需要校验等级是否匹配，默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。4.1.1.1 人员In类区域的人员主要是警员和辅警等接触公安信息网的内部人员。人员基础信息由组织机构和人员基础信息库提供。人员授权则是基于人员的身份信息进行授权，授权的客体为应用的功能资源权限和应用的数据资源权限。同时需要对人员的等级进行划分，所有人员默认等级为最低等级,提升等级需要申请。人员的等级分为日常等级和临时等级。日常等级：为日常工作中根据其所在单位，岗位，职级等身份信息，又相关部门评定的长期等级。临时等级：为参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，通过申请审批提升的临时性的等级。4.1.1.2 设备In类区域的设备是指用于访问或连接公安信息网专属设备，主要被11I类区域的人员所使用。设备作为授权主体时，授权客体为网络或数据资源等。In类区域的应用信息由设备提供方提供或设备应用系统提供。HI类区域的应用主要是向民警、辅警等提供的公安信息网信息服务的应用系统。应用系统作为授权主体时，授权的客体则为APl接口。III类区域的应用信息由III类区域的各个应用系统提供，并且提供应用的功能资源信息作为人员授权的授权客体。4.1.1.4 APIIn类区域的APl主要是向公安信息网应用系统开发的接口APIAPI接口为作为授权主体，授权的客体为API所能访问的数据资源（如数据资源表或数据资源列等）。In类区域的API信息由API提供方提供或m类区域的API市场提供。4.1.1.5 数据In类区域的数据主要为公安信息网的应用系统或设备产生的数据资源，用于供应用HI类区域的应用系统，APl接口和设备使用。数据在整个HI类区域授权体系中是作为授权的客体存在Q4.1.1.6 网络III类区域的网络主要为公安信息网的主机、网络设备、网络地址段以及网络端口等。网络在整个11I类区域授权体系中是作为授权的客体存在。4.1.1.7 式In类区域使用的授权方式主要为：集中授权、分级授权、用户组自动授权、权限申请审批，权限委托。其中的用户组自动授权即为基于人员身份信息的自动授权。集中授权、分级授权、权限申请审批、权限委托为手动授权。详细如下：集中授权：为几个应用的管理员对所有用户进行集中授权的授权方式。分级授权：为通过对应用管理员进行分级管理，各级管理员按照下管一级的管理原则对管辖范围内的用户进行授权管理的授权方式。用户组自动授权：为对人员身份信息（如岗位，职级，单位等）进行授权管理的授权方式。当用户拥有某项身份信息或失去某项身份信息时，则权限会自动发生变更。权限申请审批：为用户根据自己的实际工作需求，对所需要的应用权限通过在线申请审批的方式获得权限的授权方式。权限委托：为某个拥有权限的用户，通过将自己的权限委托给另一个没有权限的用户使用的授权方式。42授权和鉴权流程In类区域涉及的授权流程有应用层面的授权和鉴权流程、API层面的授权和鉴权流程、数据层面的授权和鉴权流程，人员与数据的等级管理和鉴权流程。421应用层面的授权和鉴权流程用户与应用授权流程包含：1）用户与应用功能资源的授权。2）用户与应用数据资源的授权。用户与应用鉴权流程包含：1）访问入口鉴权，若用户无权限，则访问默认按照就低原则，即高等级用户可访问同等级或低等级应用。若用户有权限按实际权限进行访问鉴权。2）用户访问应用的功能模块或数据资源时对用户进行访问鉴权4.2.2API层面的授权和鉴权流程应用与API授权流程为：APl接口提供方对应用可访问的API接口进行授权管理。应用与APl鉴权流程为：应用调用APl接口时对应用是否可调用此APl接口进行鉴权。42.3数据层面的授权和鉴权流程APl接口与数据资源授权流程为：数据提供方对APl接口可访问的数据资源表或数据资源列进行授权管理。APl接口与数据资源鉴权流程为：数据提供方对APl是否可访问相关数据资源进行鉴权。424人员与数据的等级管理和鉴权流程1） II类区域人员与数据的访问管理:人员基础属性管理中对人员进行等级划分，分为1到5个日常等级，其中1级为最低等级，5级为最高等级。若人员由于参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时,可通过申请临时提升自己的等级，即临时等级。数据（或数据表、数据项，根据实际的业务场景而定）也按照安全等级进行划分为1到5个等级，其中1级为最低等级，5级为最高等级。2） 11类区域人员与数据的访问鉴权流程：人员访问数据时，对人员的与数据的等级进行比较，按照就等原则，即低等级用户不能访问高等级的数据。若用户拥有高等级的临时等级则可以访问与其临时等级相同或更低等级的数据。4.3 级联上报HI类区域内可根据实际的使用需求按地理区域建设鉴权分中心，各个区域的应用到各自的区域的鉴权中心进行鉴权。各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。4.4 管理要求44.1技术管理要求III类区域应建立统一的机构和人员管理系统，以实现权限对人员属性的准确实时联动，提高授权准确性和实时性。11类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，APl接口等。其中包含了对各个实体对象的等级划分QII类区域同时需要对I类区域的人员、设备、应用、API等进行授权。5技术要求5,授权实体11类区域授权的实体主要有人员、设备、应用、APL数据、网络等。实体授权抽象出来的三个层面的授权：应用层、API层、数据层，其中各个层面的实体均划分等级，相互之间访问需要校验等级是否匹配，默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。同时11类区域认证的实体具体包含I/H类区的人员、11类区的设备、I11类区的应用、I/H类区的APL5.1.1.1 人员11类区域的人员主要是警员和辅警等接触公安移动信息网的内部人员。人员基础信息由组织机构和人员基础信息库提供。并且人员数据与In区域的人员信息保持同步。I类区域的人员主要是协防员和公众等接触移动互联网的人员。人员授权则是基于人员的身份信息进行授权，授权的客体为应用的功能资源权限和应用的数据资源权限。同时需要对人员的等级进行划分，所有人员默认等级为最低等级,提升等级需要申请。人员的等级分为日常等级和临时等级。日常等级：为日常工作中根据其所在单位，岗位，职级等身份信息，又相关部门评定的长期等级。临时等级：为参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，通过申请审批提升的临时性的等级。I类区的人员作为外部人员在11类区的人员信息库中进行管理。5.1.1.2 设备11类区域的设备是指用于访问或连接公安移动信息网专属设备。I类区域的设备是指用于访问或连接移动互联网专属设备。设备作为授权主体时，授权客体为网络或数据资源等。I11类区域的应用信息由设备提供方提供或设备应用系统提供。5.1.1.3 应用类区域的应用主要是向民警、辅警等提供的公安移动信息网信息服务的应用系统。I类区域的应用主要是向协防员、公众等提供的移动互联网信息服务的应用系统。应用系统作为授权主体时，授权的客体则为APl接口。I/II类区域的应用信息由I11类区域的各个应用系统提供，并且提供应用的功能资源信息作为人员授权的授权客体。5.1.1.4 API11类区域的API主要是向公安移动信息网应用系统开发的接口APIoI类区域的APl主要是向移动互联网应用系统开发的接口APLAPI接口为作为授权主体，授权的客体为API所能访问的数据资源（如数据资源表或数据资源列等）。I11类区域的API信息由API提供方提供或II类区域的API市场提供Q5.1.1.5 数据II类区域的数据主要为公安移动信息网和移动互联网的应用系统或设备产生的数据资源，用于供应用I/II类区域的应用系统，API接口和设备使用。数据在整个II类区域授权体系中是作为授权的客体存在。同时I类区域的数据存储在H类区域中。5.1.1.6 网络II类区域的网络主要为公安移动信息网的主机、网络设备、网络地址段以及网络端口等。I类区域的网络主要为移动互联网的主机、网络设备、网络地址段以及网络端口等。网络在整个I11类区域授权体系中是作为授权的客体存在。5.1.1.7 式I/H类区域使用的授权方式主要为：集中授权、分级授权、用户组自动授权、权限申请审批，权限委托。其中的用户组自动授权即为基于人员身份信息的自动授权。集中授权、分级授权、权限申请审批、权限委托为手动授权。详细如下：集中授权：为几个应用的管理员对所有用户进行集中授权的授权方式。分级授权：为通过对应用管理员进行分级管理，各级管理员按照下管一级的管理原则对管辖范围内的用户进行授权管理的授权方式。用户组自动授权：为对人员身份信息（如岗位，职级，单位等）进行授权管理的授权方式。当用户拥有某项身份信息或失去某项身份信息时，则权限会自动发生变更。权限申请审批：为用户根据自己的实际工作需求，对所需要的应用权限通过在线申请审批的方式获得权限的授权方式。权限委托：为某个拥有权限的用户，通过将自己的权限委托给另一个没有权限的用户使用的授权方式。5.2 授权和鉴权流程I11类区域涉及的授权流程有应用层面的授权和鉴权流程、API层面的授权和鉴权流程、数据层面的授权和鉴权流程，人员与数据的等级管理和鉴权流程。521应用层面的授权和鉴权流程用户与应用授权流程包含:1）用户与应用功能资源的授权。2）用户与应用数据资源的授权。用户与应用鉴权流程包含：1）访问入口鉴权，若用户无权限，则访问默认按照就低原则，即高等级用户可访问同等级或低等级应用。若用户有权限按实际权限进行访问鉴权。2）用户访问应用的功能模块或数据资源时对用户进行访问鉴权。5.2.2 API层面的授权和鉴权流程应用与API授权流程为：APl接口提供方对应用可访问的API接口进行授权管理。应用与APl鉴权流程为：应用调用APl接口时对应用是否可调用此APl接口进行鉴权。52.3数据层面的授权和鉴权流程APl接口与数据资源授权流程为：数据提供方对APl接口可访问的数据资源表或数据资源列进行授权管理。APl接口与数据资源鉴权流程为：数据提供方对APl是否可访问相关数据资源进行鉴权。5.2.4 人员与数据的管理和鉴权流程1） 11类区域人员与数据的访问管理：人员基础属性管理中对人员进行等级划分，分为1到5个日程等级，其中1级为最低等级，5级为最高等级。若人员由于参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时,可通过申请临时提升自己的等级，即临时等级。数据（或数据表、数据项，根据实际的业务场景而定）也按照安全等级进行划分为1到5个等级，其中1级为最低等级，5级为最高等级。2） H类区域人员与数据的访问鉴权流程：人员访问数据时，对人员的与数据的等级进行比较，按照就等原则，即低等级用户不能访问高等级的数据Q若用户拥有高等级的临时等级则可以访问与其临时等级相同或更低等级的数据。5.3 级联上报11类区域内可根据实际的使用需求按地理区域建设鉴权分中心，各个区域的应用到各自的区域的鉴权中心进行鉴权。各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。同时11类区域授权中心和鉴权中心需要将授权信息和鉴权信息级联上报到m区域的授权中心和鉴权中心进行统一监管。5.4 管理要求54技术管理要求11类区域应建立统一的机构和人员管理系统，以实现权限对人员属性的准确实时联动，提高授权准确性和实时性。同时11类区域的机构和人员管理系统中的信息应与III区中的机构和人员管理系统保持实时同步。11类区的机构和人员管理系统负责维护I类区域的外部单位和人员数据。六、I类区域授权I类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，APl接口等。I类区域的授权工作均放在11类区的授权管理系统中进行。I类区中仅包含针对I类区域应用的鉴权中心。6技术要求6.2 鉴权流程I类区域涉及的鉴权流程有应用层面的鉴权流程、API层面的鉴权流程。62应用层面的鉴权流程用户与应用鉴权流程：用户访问应用的功能模块或数据资源时对用户进行访问鉴权。6.2.2API层面的鉴权流程应用与APl鉴权流程为：应用调用APl接口时对应用是否可调用此APl接口进行鉴权。6.3 级联上报I类区域内可根据实际的使用需求按地理区域建设鉴权分中心，各个区域的应用到各自的区域的鉴权中心进行鉴权。各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。同时I类区域的鉴权中心需要将鉴权信息级联上报到11区域的鉴权中心进行统一监管。6.4 管理要求64.1技术管理要求I类认证系统应该采取安全防范错误，避免存储在服务器中的用户和权限信息泄露。七、附录7.11111I区域统一授权的体系架构图7.21111I区域统一授权的流程图1.1.1 过程图1.1.2 4五大授权方式7.4集中授权由应用主管单位集中管理授权。适合于用户量小，几个授权管理员就能完成授权工作的系统。例如：各地的短信平台，是以工作组，办公室的名义发通知。通常一个厅机关内需要授权的人员很少。一个管理员就可以维护。74.2分级授权由应用主管单位制定策略，逐级分配管理员，由各级管理员分别管理各自管辖范围内用户权限。适用于综合等用户量大，授权粒度细的系统。例如：综合查询之类的复杂的查询系统。1.1.3 用户组自动授权由应用主管单位制定策略，部分权限自动授权给岗位等属性条线上的人员。比如属于厅领导组内的人员自动授予一些系统的查询权限；比如邮箱等系统，入职后自动分配，离职后自动取消权限。按某个规则自动匹配的用户组0-©0-00-®4!4人员权限库1.1.4 权限申请审批由应用主管单位制定策略，部分权限可以由人员根据工作需要自主发起权限申请，然后由相关领导审批。适用于部分综合查询类系统，比如因案件需要临时申请查询某个系统，经领导同意后才能使用。1.1.5 权限委托由应用主管单位制定策略，部分权限可以由已经拥有权限的领导授权给需管辖范围内其他人员。例如：警员给辅助其工作的辅警授权。用户A的权限库用户B