I C S 3 5.2 4 0L 6 7DB5305保 山 市 地 方 标 准D B 5 3 0 5/T 1 9.4 9 2 0 1 9替 代 D G 5 3 0 5/T 1 9.4 9 2 0 1 7保 山 市 信 息 惠 民 工 程 综 合 标 准第 4 9 部 分:权 限 管 理 与 登 录 技 术 标 准2 0 1 9-1 0-3 0 发 布 2 0 1 9-1 1-0 1 实 施保 山 市 市 场 监 督 管 理 局发 布D B 5 3 0 5/T 1 9.4 9 2 0 1 9前 言本 标 准 按 照 G B/T 1.1 2 0 0 9 标 准 化 工 作 导 则 第 1 部 分：标 准 的 结 构 和 编 写 给 出 的 规 则 起 草。本 标 准 中 附 录 A 为 资 料 性 附 录、附 录 B 为 资 料 性 附 录。本 标 准 由 保 山 市 大 数 据 管 理 局 提 出。本 标 准 由 保 山 市 工 业 和 信 息 化 委 员 会 归 口。本 标 准 起 草 单 位：保 山 市 大 数 据 管 理 局。本 标 准 主 要 起 草 人：刘 志 胡、王 明 超、李 祖 燕、丁 威、银 孟 璐。本 标 准 替 代 D G 5 3 0 5/T 1 9.4 9 2 0 1 7。D B 5 3 0 5/T 1 9.4 9 2 0 1 91保 山 市 信 息 惠 民 工 程 综 合 标 准第 4 9 部 分 权 限 管 理 与 登 录 技 术 标 准1 范 围本 标 准 规 定 了 保 山 市 信 息 惠 民 工 程 权 限 管 理 与 登 录 技 术 规 范 的 术 语 和 定 义、缩 略 语、访 问 控 制 体 系框 架、身 份 认 证 与 登 录 机 制、权 限 管 理 基 础 设 施、访 问 控 制，本 标 准 适 用 于 保 山 市 信 息 惠 民 工 程 权 限 管理 与 登 录 技 术 规 范 建 设。2 规 范 性 引 用 文 件下 列 文 件 中 的 条 款 通 过 本 标 准 的 引 用 而 成 为 本 标 准 的 条 款。凡 是 注 日 期 的 引 用 文 件，其 随 后 所 有 的修 改 单（不 包 括 勘 误 的 内 容）或 修 订 版 均 不 适 用 于 本 标 准，然 而，鼓 励 根 据 本 标 准 达 成 协 议 的 各 方 研 究是 否 可 使 用 这 些 文 件 的 最 新 版 本。凡 是 不 注 日 期 的 引 用 文 件，其 最 新 版 本 适 用 于 本 标 准。D B 5 3 0 5/T 1 9.3-2 0 1 9 保 山 市 信 息 惠 民 工 程 综 合 标 准 术 语D B 5 3 0 5/T 1 9.5 0-2 0 1 9 保 山 市 信 息 惠 民 工 程 综 合 标 准 数 字 证 书 技 术 应 用 标 准3 术 语 和 定 义D B 5 3 0 5/T 1 9.3-2 0 1 9 确 立 的 以 及 下 列 术 语 和 定 义 适 用 于 本 标 准。3.1 特 定 权 限 管 理 基 础 设 施特 定 权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施，与 公 钥 基 础 设 施 有 着 密 切 的 联 系。3.2 属 性 证 书属 性 证 书 指 属 性 授 权 机 构 进 行 数 字 签 名 的 数 据 结 构，把 持 有 者 的 身 份 信 息 与 一 些 属 性 值 绑 定。3.3 属 性 授 权 机 构属 性 授 权 机 构 指 通 过 发 布 属 性 证 书 来 分 配 权 限 的 认 证 机 构，也 称 属 性 管 理 机 构。3.4 证 书 源 授 权 机 构证 书 源 授 权 机 构 指 为 资 源 的 特 定 权 限 验 证 者 所 信 任 的，位 于 顶 层 的 分 配 特 定 权 限 的 属 性 授 权 机 构。3.5 属 性 证 书 撤 消 列 表属 性 证 书 撤 消 列 表 指 标 识 由 发 布 机 构 已 发 布 的、不 再 有 效 的 属 性 证 书 的 索 引 表。3.6 属 性 注 册 机 构属 性 注 册 机 构 指 由 A A 委 派 和 授 权，采 用 公 钥 证 书 技 术 标 识 和 鉴 别 属 性 证 书 申 请 者，为 申 请 者 向 A A提 供 属 性 证 书 签 发 申 请，处 理 属 性 证 书 的 业 务 请 求，为 A A 系 统 提 供 注 册 服 务 管 理 的 机 构。3.7 根根 认 证 中 心（根 C A）是 一 种 特 殊 的 C A，位 于 证 书 认 证 层 次 结 构 的 最 高 层，是 最 终 通 过 安 全 链 追 溯到 一 个 已 知 的 并 被 广 泛 认 为 是 安 全、权 威、足 以 信 赖 的 机 构。根 认 证 中 心 必 须 对 它 自 己 的 证 书 签 名。D B 5 3 0 5/T 1 9.4 9 2 0 1 923.8 持 有 者持 有 者 指 由 源 授 权 机 构 直 接 授 权 的 或 由 其 他 属 性 授 权 机 构 间 接 授 权 的 实 体。3.9 代 理 点代 理 点 是 受 A R A 委 派，直 接 面 向 属 性 证 书 注 册 者 的 处 理 机 构，仅 提 供 属 性 信 息 与 A R A 间 的 注 册 通 道、手 段 和 方 法，以 及 部 分 提 供 相 应 的 属 性 证 书 体 最 终 下 载 处 理 机 制。3.1 0 权 限 管 理 中 心权 限 管 理 中 心 指 提 供 属 性 证 书 申 请 和 管 理、权 限 分 配 和 管 理、属 性 证 书 发 布 和 管 理 的 认 证 机 构。3.1 1 权 限 管 理 基 础 设 施权 限 管 理 基 础 设 施 指 支 持 授 权 服 务 的 综 合 基 础 设 施，与 公 钥 基 础 设 施 有 着 密 切 的 联 系。3.1 2 权 限 策 略权 限 策 略 是 一 种 策 略，它 描 述 了 权 限 检 验 者 提 供 敏 感 服 务 给 具 有 资 格 的 权 限 声 明 者，权 限 策 略 与 服务 相 连 的 属 性 相 关，也 和 与 权 限 声 明 者 相 连 的 属 性 相 关。3.1 3 安 全 策 略安 全 策 略 指 由 管 理 使 用 和 提 供 安 全 服 务 和 设 施 的 安 全 机 构 所 制 定 的 一 组 规 则。3.1 4 源 机 构源 机 构 指 为 资 源 的 权 限 验 证 者 所 信 任 的、位 于 顶 层 的 分 配 权 限 的 属 性 授 权 机 构。3.1 5 访 问 控 制访 问 控 制 指 为 信 息 系 统 所 属 资 源 在 遭 受 未 经 授 权 或 以 未 授 权 的 方 式 进 行 的 操 作 威 胁 时 提 供 适 当 的控 制 以 及 防 护 措 施，以 保 护 信 息 的 机 密 和 完 整 性。3.1 6 访 问 控 制 策 略访 问 控 制 策 略 指 定 义 可 发 生 访 问 控 制 条 件 的 规 则 集。3.1 7 访 问 控 制 信 息访 问 控 制 信 息 指 用 于 访 问 控 的 任 何 信 息，其 中 包 括 上 下 文 信 息。3.1 8 访 问 控 制 证 书访 问 控 制 证 书 指 包 含 A C I 的 安 全 证 书。3.1 9 访 问 控 制 判 决 信 息访 问 控 制 判 决 信 息 指 在 作 出 一 个 特 定 访 问 控 制 判 决 时 可 供 A D F 使 用 的 部 分 或 全 部 A C I。3.2 0 访 问 控 制 判 决 功 能访 问 控 制 判 决 功 能 是 一 种 特 定 功 能，它 通 过 对 访 问 请 求、A D I（发 起 者 的、目 标 的、访 问 请 求 的 或以 前 决 策 保 留 下 来 的 A D I）以 及 该 访 问 请 求 的 上 下 文，使 用 访 问 控 制 策 略 规 则 而 做 出 访 问 控 制 判 决。3.2 1 访 问 控 制 实 施 功 能访 问 控 制 实 施 功 能 是 一 种 特 定 功 能，它 是 每 一 访 问 请 求 中 发 起 者 和 目 标 之 间 访 问 路 径 的 一 部 分，并实 施 由 A D F 做 出 的 决 策。D B 5 3 0 5/T 1 9.4 9 2 0 1 933.2 2 角 色角 色 指 与 用 户 的 访 问 控 制 权 限 有 关 的 安 全 属 性。一 个 角 色 可 能 和 一 种 或 几 种 服 务 有 关，一 个 角 色 可能 对 应 着 一 个 或 多 个 用 户，一 个 用 户 可 能 承 担 者 一 种 或 多 种 角 色。3.2 3 角 色 分 配 证 书角 色 分 配 证 书 是 一 种 证 书，它 包 含 角 色 属 性，为 证 书 对 象/持 有 者 分 配 一 个 或 多 个 角 色。3.2 4 角 色 规 范 证 书角 色 规 范 证 书 是 一 种 属 性 证 书，为 角 色 分 配 特 定 权 限 的 证 书。4 缩 略 语下 列 缩 略 语 适 用 于 本 标 准。A A：A t t r i b u t e A u t h o r i t y，属 性 授 权 机 构 A C：A t t r i b u t e C e r t i f i c a t e，属 性 证 书 A C L：A c c e s s C o n t r o l L i s t，访 问 控 制 列 表 A C I：A c c e s s C o n t r o l I n f o r m a t i o n，访 问 控 制 信 息 A C R L：A t t r i b u t e C e r t i f i c a t e R e v o c a t i o n L i s t，属 性 证 书 撤 消 列 表 A D F：A c c e s s c o n t r o l D e c i s i o n F u n c t i o n，访 问 控 制 判 决 功 能 A D I：A c c e s s c o n t r o l D e c i s i o n I n f o r m a t i o n，访 问 控 制 判 决 信 息 A E F：A c c e s s c o n t r o l E n f o r c e m e n t F u n c t i o n，访 问 控 制 实 施 功 能 A L D A P：A t t r i b u t e C e r t i f i c a t e l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c o l，属 性 证 书 轻 量 目录 访 问 协 议 A R A：A t t r i b u t e R e g i s t r a t i o n A u t h o r i t y，属 性 注 册 机 构 A S N：A b s t r a c t S y n t a x N o t a t i o n，抽 象 语 法 表 示 法 B E R：B a s i c E n c o d i n g R u l e s，基 本 编 码 规 则 C：C o u n t r y，国 家 C A：C e r t i f i c a t i o n A u t h o r i t y，证 书 认 证 机 构 C N：C o m m o n N a m e，通 用 名 C R L：C e r t i f i c a t e R e v o c a t i o n L i s t，证 书 吊 销 列 表 D N：D i s t i n g u i s h e d N a m e，甄 别 名 L：L o c a t i o n，本 地 L D A P：L i g h t w e i g h t D i r e c t o r y A c c e s s P r o t o c o l，轻 量 级 目 录 访 问 协 议 O：O r g a n i z a t i o n，机 构 P K I：P u b l i c K e y I n f r a s t r u c t u r e，公 钥 基 础 设 施 P A：P o i n t o f A g e n t，代 理 点 P K C：P u b l i c K e y C e r t i f i c a t e，公 钥 证 书 P M C：P r i v i l e g e M a n a g e m e n t C e n t e r，权 限 管 理 中 心 P M I：P r i v i l e g e M a n a g e m e n t I n f r a s t r u c t u r e，权 限 管 理 基 础 设 施 R A：R e g i s t r a t i o n A u t h o r i t y，注 册 中 心 R A：r o l e a s s i g n m e n t c e r t i f i c a t e，角 色 分 配 证 书 R S C：r o l e s p e c i f i c a t i o n c e r t i f i c a t e R o l e，角 色 规 范 证 书 S O A：S o u r c e o f A u t h o r i t y，源 机 构 S D A：S e c u r i t y D o m a i n A u t h o r i t y，安 全 域 机 构 S S O：S i n g l e S i g n-O n，单 点 登 录5 访 问 控 制 体 系 框 架D B 5 3 0 5/T 1 9.4 9 2 0 1 945.1 访 问 控 制 整 体 框 架保 山 市 信 息 惠 民 工 程 访 问 控 制 的 整 体 框 架 如 图 1 所 示。在 保 山 市 信 息 惠 民 工 程 各 应 用 系 统 中，访 问控 制 的 基 础 是 登 录 机 制 和 授 权 管 理。其 中，登 录 机 制 在 有 些 场 合 下 不 是 必 须 的。访 问 控 制 整 体 框 架 以P M I 作 为 网 络 信 任 体 系 基 础 设 施，采 用 基 于 角 色 的 访 问 控 制 模 型，向 用 户 或 应 用 程 序 提 供 登 录 服 务 和 权限 管 理 服 务，提 供 用 户 身 份 到 应 用 授 权 的 映 射 技 术，提 供 与 实 际 应 用 处 理 模 式 相 对 应 的、与 具 体 应 用 系统 开 发 和 管 理 无 关 的 授 权 访 问 控 制 机 制，简 化 具 体 应 用 系 统 的 开 发 与 维 护。保 山 市 信 息 惠 民 工 程 的 访 问控 制 由 应 用 支 撑 平 台 的 权 限 管 理 系 统 向 用 户 或 应 用 程 序 提 供 统 一 的 登 录 服 务 和 权 限 管 理 服 务。图 1 访 问 控 制 整 体 框 架5.2 身 份 认 证 与 登 录 机 制应 根 据 各 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证 及 采 用 哪 种 身 份 认 证 方 法。在 保 山市 电 子 政 务 网 内 的 应 用 系 统 应 支 持 在 由 信 息 惠 民 工 程 应 用 支 撑 平 台 提 供 统 一 认 证 的 单 点 登 录，并 采 用 统一 的 身 份 认 证 方 案。确 认 身 份 的 过 程 称 为 身 份 认 证。包 括 但 不 限 于 五 种 认 证 用 户 身 份 的 方 法：用 户 知 道 的，如 口 令、个 人 识 别 号（P I N）或 密 钥；用 户 拥 有 的，如 U S B-K E Y；用 户 本 身 的 生 物 特 征，如 语 音 特 征、笔 迹 特 征、视 网 膜 或 指 纹；接 受 一 个 经 认 证 的 可 信 第 三 方 已 经 确 定 用 户 身 份 的 结 果；上 下 文，如 根 据 申 请 的 源 地 址。5.3 权 限 管 理权 限 管 理 体 系 框 架 如 图 2 所 示（A D F 是 框 架 的 核 心，由 用 户 属 性 证 书 结 合 策 略 规 则 库、环 境 信 息 及登 录 信 息 生 成 访 问 控 制 信 息，并 执 行 访 问 控 制 决 策。）。C AP M I权 限 管 理用 户 身 份 信 息 管 理身 份 认 证登 录 机 制访 问 控 制D B 5 3 0 5/T 1 9.4 9 2 0 1 95图 2 权 限 管 理 体 系 框 架访问请求访问控制执行单元 A E F目标资源访问控制判决单元 A D F执行访问请求定制策略 签发属性证书属性权威 A A环境信息 策略规划库目标资源安全管理属性证书库源机构 S O A权限委托委托 A A 进行权限管理申请 A A 代理功能6 身 份 认 证 与 登 录 机 制6.1 身 份 认 证根 据 信 息 惠 民 工 程 应 用 系 统 的 安 全 性 格 式 确 定 登 录 机 制 是 否 采 用 身 份 认 证。对 于 公 众 访 问 的 互 联 网上 的 应 用 系 统，不 强 制 格 式 采 用 身 份 认 证 登 录。在 电 子 政 务 网 内 的 应 用 系 统 应 直 接 或 通 过 单 点 登 录 支 持保 山 市 政 务 数 字 证 书 的 认 证。详 见 D B 5 3 0 5/T 1 9.5 0-2 0 1 9。使 用 保 山 市 政 务 数 字 证 书 进 行 身 份 认 证 时，系 统 应 对 数 字 证 书 载 体 进 行 口 令 验 证。6.2 登 录 机 制6.2.1 登 录 信 息集 成 到 信 息 惠 民 统 一 门 户 的 应 用 系 统 应 支 持 单 点 登 录（S i n g l e S i g n-O n，S S O）。单 点 登 录 由 综 合 服务 云 平 台 的 单 点 登 录 认 证 服 务 器 提 供 服 务。该 服 务 器 部 署 在 综 合 服 务 云 平 台。单 点 登 录 使 用 用 户 令 牌（U s e r T o k e n）和 服 务 令 牌（A p p l i c a t i o n T o k e n）为 临 时 的 身 份 凭 证。其 中，U s e r T o k e n 由 S S O 认 证服 务 器 生 成 并 颁 发 给 用 户，作 为 S S O 认 证 服 务 器 赋 予 用 户 的 临 时 身 份 凭 证，包 括 但 不 限 于 用 户 的 如 下 登录 信 息：A p p l i c a t i o n I d，应 用 系 统 编 号；U s e r I d，用 户 I D；P r o f i l e U s e r C o d e，用 户 在 应 用 系 统 中 的 代 码；P r o f i l e P a s s w o r d，用 户 在 应 用 系 统 中 的 口 令。6.2.2 接 入 凭 证D B 5 3 0 5/T 1 9.4 9 2 0 1 96A p p l i c a t i o n T o k e n 由 接 入 应 用 系 统 根 据 S S O 认 证 服 务 器 提 供 的 信 息 生 成 并 颁 发 给 用 户，作 为 接 入应 用 系 统 赋 予 用 户 的 临 时 身 份 凭 证，包 括 但 不 限 于：用 户 的 上 述 登 录 信 息；用 户 在 该 应 用 系 统 上 的 权 限 信 息；密 码 策 略，字 符 串。6.3 登 录 接 口6.3.1 请 求 认 证 接 口应 用 系 统 请 求 S S O 认 证 服 务 器 进 行 身 份 认 证，应 提 供 的 参 数 为 A p p l i c a t i o n R e q u e s t，内 容 定 义 如下：U R L E n c o d i n g（C r y p t P o l i c y+“$”+A p p l i c a t i o n I d+“$”+B a s e 6 4（E n c r y p t（R e t u r n U r l+“$”+T i m e S t a m p+“$”+B a s e 6 4（H a s h（R e t u r n U r l+“$”+T i m e S t a m p）。其 中，H a s h 算 法 和 加 密算 法 采 用 国 家 密 码 管 理 委 员 会 认 可 的 算 法，C r y p t P o l i c y 为 7 个 字 节 的 字 符 串，依 次 表 示 为 B7B6B5B4B3B2B1。其 中，B7固 定 为 符 号”!”，其 他 6 个 字 节 为 阿 拉 拍 数 字，B6B5表 示 哈 希 算 法，B4B3表 示 加 密 算 法，B2B1表 示 认 证 算 法。当 C r y p t P o l i c y 值 为!0 0 0 0 0 0 时，即 默 认 H a s h 算 法 为 S H A-1，默 认 加 密 算 法 为 3 D E S，密 钥 为 S S O 认 证 服 务 器 颁 发 给 应 用 系 统 的 密 钥。参 数 说 明 如 表 5-1 请 求 认 证 接 口 参 数 表 所 示。表 1 请 求 认 证 接 口 参 数 表名 称 说 明 数 据 类 型 长 度（字 节）C r y p t P o l i c y 密 码 策 略 S t r i n g 7A p p l i c a t i o n I d 应 用 系 统 编 码 S t r i n g 4 0T i m e S t a m p应 用 系 统 获 取 当 前 的 时 间 戳，从 2 0 0 0 年 1 月1 日 0 时 开 始 的 毫 秒 数S t r i n g 1 8R e t u r n U r lS S O 认 证 服 务 器 返 回 认 证 结 果 时 需 要 调 用 应用 系 统 的 U R LS t r i n g 1 0 06.3.2 返 回 认 证 结 果 接 口S S O 认 证 服 务 器 返 回 应 用 系 统 认 证 结 果 参 数 为 A p p l i c a t i o n R e s p o n s e，内 容 定 义 如 下：U R L E n c o d i n g（C r y p t P o l i c y+“$”+A p p l i c a t i o n I d+“$”+B a s e 6 4（E n c r y p t（R e s u l t+“$”+U s e r I d+“$”+U s e r T y p e+“$”+U s e r N a m e+“$”+O r g C o d e+“$”+T i m e S t a m p+“$”+E x p i r e T i m e+“$”+U s e r P r o f i l e+“$”+B a s e 6 4（H a s h（R e s u l t+“$”+U s e r I d+“$”+T i m e S t a m p+“$”+E x p i r e T i m e+“$”+U s e r P r o f i l e）参 数 说 明 如 表 2 认 证 结 果 接 口 参 数 表 所 示。表 2 认 证 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度（字 节）C r y p t P o l i c y 密 码 策 略，同 上 表 S t r i n g 7A p p l i c a t i o n I d 应 用 系 统 统 一 编 码 S t r i n g 4 0T i m e S t a m p 统 一 认 证 平 台 生 成 当 时 的 时 间 戳，从 2 0 0 0 年1 月 1 日 0 时 开 始 的 毫 秒 数。S t r i n g 1 8U s e r I d用 户 的 唯 一 标 识，即 活 动 目 录 中 登 录 帐 号，统 一 认 证 平 台 中 的 用 户 统 一 登 录 帐 号S t r i n g 2 0D B 5 3 0 5/T 1 9.4 9 2 0 1 97表 2 认 证 结 果 接 口 参 数 表（续）名 称 说 明 数 据 类 型 长 度（字 节）U s e r T y p e用 户 类 型（0：注 册 用 户，1：公 务 员，2：市领 导，3：有 更 详 细 的 权 限 信 息，见 属 性 证 书）I n tU s e r N a m e 用 户 的 真 实 姓 名 S t r i n g 2 0O r g C o d e 组 织 单 位 统 一 编 码 S t r i n g 2 0E x p i r e T i m e失 效 时 间，从 2 0 0 0 年 1 月 1 日 0 时 开 始 的 毫秒 数。S t r i n g 1 8U s e r P r o f i l e用 户 在 该 应 用 系 统 的 的 映 射 帐 号 信 息（帐 号，密 码），数 据 形 式 为：帐 号；密 码S t r i n g 1 0 0R e s u l t结 果：0：用 户 认 证 通 过 并 有 权 使 用 此 系 统-1：用 户 不 存 在-2：用 户 状 态 不 正 常-1 0 0 1：用 户/密 码 错 误-1 0 0 2：用 户 取 消 认 证-1 0 0 3：用 户 无 权 使 用 此 系 统-1 0 0 0 1：包 数 据 格 式 不 正 确-1 0 0 0 2：数 据 校 验 不 正 确I n tP r i v i l e g e C e r 属 性 证 书 S t r i n g 7 2 0C r y p t P o l i c y 密 码 策 略，同 上 表 S t r i n g 76.3.3 注 销 接 口应 用 系 统 请 求 S S O 认 证 服 务 器 注 销 应 提 供 的 参 数 为 A p p l i c a t i o n R e q u e s t，其 内 容 如 下 所 示：A p p l i c a t i o n R e q u e s t V a l u e=U R L E n c o d i n g（A p p l i c a t i o n I d+“$”+B a s e 6 4（E n c r y p t（R e t u r n U r l+“$”+T i m e S t a m p+“$”+B a s e 6 4（H a s h（R e t u r n U r l+“$”+T i m e S t a m p）参 数 说 明 如 表 3注 销 接 口 参 数 表 所 示。表 3 注 销 接 口 参 数 表名 称 说 明 数 据 类 型 长 度（字 节）C r y p t P o l i c y 密 码 策 略，同 上 表 S t r i n g 7A p p l i c a t i o nI d应 用 系 统 统 一 编 码 S t r i n g 4 0T i m e S t a m p时 间 戳，从 2 0 0 0 年 1 月 1 日 0 时 开 始 的 毫 秒数。S t r i n g 1 8R e t u r n U r l统 一 认 证 平 台 返 回 注 销 结 果 时 需 要 调 用 的 应用 系 统 的 U R LS t r i n g 1 0 06.3.4 返 回 注 销 结 果 接 口D B 5 3 0 5/T 1 9.4 9 2 0 1 98S S O 认 证 服 务 器 返 回 应 用 系 统 注 销 结 果 参 数 为 A p p l i c a t i o n R e s p o n s e V a l u e，其 内 容 如 下：A p p l i c a t i o n R e s p o n s e V a l u e=U R L E n c o d i n g（A p p l i c a t i o n I D+“$”+B a s e 6 4（E n c r y p t（R e s u l t+“$”+T i m e S t a m p+“$”+B a s e 6 4（H a s h（R e s u l t+“$”+T i m e S t a m p）参 数 说 明 如 表 4 销 结 果 接 口 参 数 表 所 示。表 4 注 销 结 果 接 口 参 数 表名 称 说 明 数 据 类 型 长 度（字 节）C r y p t P o l i c y 密 码 策 略，同 上 表 S t r i n g 7A p p l i c a t i o nI d应 用 系 统 统 一 编 码S t r i n g 4 0T i m e S t a m p时 间 戳，从 2 0 0 0 年 1 月 1 日 0 时 开 始 的 毫 秒数。S t r i n g 1 8R e s u l t结 果：0：用 户 注 销 通 过-1 0 0 3：用 户 未 经 过 认 证-1 0 0 0 1：包 数 据 格 式 不 正 确-1 0 0 0 2：数 据 校 验 不 正 确I n t6.3.5 编 码 格 式在 实 现 以 上 功 能 时，U s e r I d、U s e r N a m e、U s e r P r o f i l e、O r g C o d e、A p p l i c a t i o n I d、映 射 帐 号 信 息中 不 得 包 含 以 下 字 符：$、；、!。7 权 限 管 理 基 础 设 施7.1 权 限 管 理 基 础 设 施 的 描 述权 限 管 理 基 础 设 施 P M I 以 资 源 管 理 为 核 心，对 资 源 的 访 问 控 制 权 交 由 权 限 管 理 机 构 统 一 处 理，即 由资 源 的 所 有 者 来 进 行 访 问 控 制。P M I 的 核 心 管 理 机 构 是 权 限 管 理 中 心 P M C，其 主 要 功 能 是 用 来 实 现 权 限管 理 和 属 性 证 书 的 生 成、管 理、存 储、发 布、应 用、验 证 和 撤 消 等。权 限 管 理 中 心 利 用 属 性 证 书 表 示 和容 纳 权 限 信 息，通 过 管 理 证 书 的 生 存 期 实 现 对 权 限 生 命 周 期 的 管 理。7.2 源 机 构源 机 构 S O A 是 受 权 限 验 证 者 信 任 的 最 高 层 的 权 限 管 理 机 构，是 最 终 负 责 分 配 权 限 集 合 的 实 体。其 职责 主 要 包 括 制 定 权 限 管 理 策 略、制 定 访 问 控 制 策 略、审 核 A A 的 设 置、实 施 权 限 委 派 及 管 理 以 及 策 略 证书 的 签 发 和 管 理 等。本 标 准 支 持 采 用 权 限 委 托 机 制。S O A 可 将 权 限 分 配 给 一 个 实 体，并 允 许 该 实 体 行 使A A 的 功 能。S O A 包 括 但 不 限 于 提 供 如 下 服 务：S O A 签 发 服 务；策 略 管 理 服 务；资 源 管 理 服 务；密 码 服 务；属 性 证 书 库；管 理 终 端。7.3 属 性 授 权 机 构属 性 授 权 机 构 A A，是 权 限 管 理 中 心 的 核 心 服 务 节 点，负 责 签 发 与 管 理 属 性 证 书。各 资 源 管 理 与 应用 系 统 依 据 需 求 负 责 建 设 本 应 用 系 统 的 A A，并 通 过 权 限 委 派 与 S O A 中 心 建 立 相 互 信 任 关 系。A A 的 职 责主 要 包 括：策 略 管 理、属 性 证 书 的 签 发、发 布、撤 消 和 管 理，以 及 对 设 立 A A 代 理 点 的 审 核 和 管 理 等。D B 5 3 0 5/T 1 9.4 9 2 0 1 99A A 中 心 应 对 其 签 发 的 属 性 证 书 建 立 与 维 护 一 个 历 史 记 录，并 及 时 进 行 记 录 更 新。A A 包 括 但 不 限 于 提 供如 下 服 务：A A 签 发 服 务；密 码 服 务；属 性 证 书 L D A P 目 录 发 布 服 务；属 性 证 书 库；策 略 管 理 服 务；资 源 管 理 服 务；属 性 证 书 历 史 库；A C R L 属 性 证 书 撤 消 列 表 库；系 统 日 志 库；管 理 终 端；审 计 终 端。7.4 属 性 注 册 机 构属 性 注 册 机 构 A R A 是 相 应 A A 的 附 属 机 构，是 用 户 申 请 属 性 证 书 的 注 册 机 构，是 直 接 为 用 户 服 务 的窗 口。各 个 A A 负 责 建 设 所 属 的 A R A，但 需 报 主 管 S O A 同 意 并 签 发 相 应 的 证 书。A R A 的 职 责 主 要 包 括 应 用授 权 注 册 服 务、应 用 授 权 审 核 服 务、应 用 授 权 变 更 服 务 等，负 责 对 具 体 的 用 户 属 性 证 书 申 请、审 核、提交 等 进 行 操 作 和 管 理，并 将 属 性 证 书 的 注 册 或 撤 消 请 求 提 交 到 授 权 服 务 中 心 A A 进 行 处 理。A R A 包 括 但不 限 于 提 供 如 下 服 务：A R A 接 入 服 务；属 性 注 册 服 务；资 源 管 理 服 务 策 略 管 理 服 务 密 码 服 务；各 种 注 册 库；注 册 历 史 库；系 统 日 志 库；管 理 终 端。7.5 代 理 点代 理 点 P A，是 相 应 A R A 的 下 属 机 构。由 各 个 A R A 负 责 建 设，是 权 限 管 理 中 心 的 用 户 代 理 注 册 最 终节 点，是 具 体 应 用 的 连 接 接 口。P A 的 设 立 地 点 和 数 目 应 由 各 A R A 根 据 自 身 的 业 务 发 展 需 求 而 定。P A 包括 但 不 限 于 提 供 如 下 服 务：访 问 终 端；代 理 实 体 公 钥 证 书 认 证 载 体，该 载 体 内 带 有 密 码 算 法；待 签 发 实 体 证 书 认 证 载 体，该 载 体 内 带 有 密 码 算 法。7.6 权 限 管 理 中 心 的 管 理 结 构7.6.1 集 中 式 管 理集 中 式 管 理 中，C A 兼 有 A A 的 功 能，公 钥 证 书 能 够 直 接 提 供 授 权 服 务，用 户 数 字 证 书 的 身 份 认 证 与属 性 证 书 的 权 限 验 证 服 务 一 起 使 用。公 钥 证 书 中 可 包 含 一 个 s u b j e c t D i r e c t o r y A t t r i b u t e 扩 展，该 扩展 包 括 与 公 钥 证 书 的 主 体 相 联 系 的 权 限。此 机 制 适 合 于 发 布 公 钥 证 书 的 C A 也 是 A A，且 属 性 的 有 效 期 与公 钥 证 书 的 有 效 期 相 符 合 的 场 合。集 中 式 管 理 的 另 一 种 模 式 是 A A 独 立 分 布 设 置，属 性 数 据 库 集 中 设 置，各 资 源 管 理 系 统 的 认 证 系 统 都 向 一 个 集 中 管 理 的 属 性 数 据 库 查 询 授 权 数 据。7.6.2 分 布