江西省財政身份認證與授權管理系

統二期項目

日常維護手冊2016年3月28日目錄TOC\o"1-5"\h\z\o"CurrentDocument"概述 2\o"CurrentDocument"編寫目的 2\o"CurrentDocument"術語定義 2\o"CurrentDocument"整體介紹 3\o"CurrentDocument"系統說明 3\o"CurrentDocument"網絡拓撲 4\o"CurrentDocument"應用部署表 4\o"CurrentDocument"日常維護 6\o"CurrentDocument"服務狀態查詢 6\o"CurrentDocument"UMS服務器 6\o"CurrentDocument"AQS服務器 6\o"CurrentDocument"簽名服務器 7\o"CurrentDocument"身份認證網關 7\o"CurrentDocument"系統關閉 7\o"CurrentDocument"UMS服務器 7\o"CurrentDocument"AQS服務器 7\o"CurrentDocument"系統啟動 8UMS服務器 8AQS服務器 8\o"CurrentDocument"簽名服務器 8\o"CurrentDocument"身份認證網關 8\o"CurrentDocument"各系統登錄URL 8\o"CurrentDocument"日常操作 10\o"CurrentDocument"添加應用 10\o"CurrentDocument"身份認證網關相關操作 10UMS相關操作 11\o"CurrentDocument"應用審計 12\o"CurrentDocument"添加應用字典 12\o"CurrentDocument"業務流程 16\o"CurrentDocument"證書管理 16\o"CurrentDocument"業務流程 16\o"CurrentDocument"授權管理 17\o"CurrentDocument"業務流程 18\o"CurrentDocument"證書應用 18業務流程 18\o"CurrentDocument"系統應急 21\o"CurrentDocument"負載均衡 21概述編寫目的財政身份認證與授權管理系統是一套技術先進的、安全的、遵循國際標準并具有強大并發處理能力的系統。本手冊是面向系統管理員的系統維護手冊，旨在指導義務財政系統管理員完成整個身份認證與授權管理系統的日常維護管理工作。術語定義PKI：PublicKeyInfrastructure，公鑰基礎設施，是采用非對稱密碼算法和技術來實現和提供安全服務，并具有通用性的安全基礎設施，是一種遵循既定標準的安全身份基礎管理平臺。LRA：LocalRegisterAuthority，證書注冊中心受理點系統，供本地進行證書申請、下載、注銷、更新等各項業務操作。UMS：UserManagermentSystem，用戶屬性管理系統，提供粗粒度的授權服務。AQS：AduitQuerySystem，安全審計系統，提供證書及應用訪問（證書方式訪問）的綜合查詢統計服務。整體介紹系統說明LRA本地證書注冊中心，相當于部署在各地市、區縣財政局的省廳RA的客戶端，主要用于申請制作數字證書。UMS（屬性管理系統）用于用戶屬性管理、應用賬號管理，配合身份認證網關完成用戶使用證書訪問應用系統時的身份認證。AQS（安全審計系統）用于證書發放情況和證書訪問情況的統計查詢。身份認證網關用于用戶使用證書訪問應用系統時的身份認證。簽名服務器用于基于數字證書的數字簽名、驗簽等信息安全保障，保證信息完整性、保密性和操作不可抵賴性。網絡拓撲縣級財政業務專網市級財政業務專網省廳財政業務專網LRA口PwlP?|口3D|口縣級財政業務專網市級財政業務專網省廳財政業務專網LRA口PwlP?|口3D|口口口|su-^-L[■BSA ?In 一心應用部署表名稱IPIP說明用途身份認證網關0Eth0身份認證、訪問控制（6臺）1Eth0

2Eth03Eth05Eth06Eth0簽名服務器（2臺）7Eth0數字簽名8Eth0屬性管理系統UMS（6臺）物理IP用戶屬性管理0物理IP4物理IP5物理IP6物理IP7物理IPUMS數據庫（2臺）3（集群IP）虛擬IPUMS數據庫1物理IP2映射IP綜合查詢系統AQS（4臺）8物理IP證書統計、應用訪問統計等9物理IP1物理IP2映射IPAQS數據庫（2臺）6（集群IP）虛擬IPAQS數據庫4物理IP5映射IP負載均衡0虛擬IP身份認證網關、簽名服務器負載日常維護以下各項操作都須登錄對應主機的操作系統進行操作，各主機的登錄用戶名、密碼請查看相關文檔。服務狀態查詢UMS服務器使用SSL工具登錄后，使用以下命令查看：UMSServer#ps-ef|grepjitums|grep-vgrep若服務正常，應返回以下的進程：root317131705420:00pts/000:00:07../jre/bin/jitums-Xss128k-Xms1024m-Xmx1024m.jit.startup.Main./lib.jit.sf.server.Mainstart1AQS服務器使用SSL工具登錄8后，使用以下命令查看：AQS服務#ps-ef|grepjitimp|grep-vgrep若服務正常，應返回以下的進程：root4094 11612:59pts/200:00:02../jre/bin/jitimp-Xms256m-Xmx1024m-XX:PermSize=64M-XX:MaxPermSize=256M-Dfile.encoding=UTF-8-DPKIToolConfig=./config/conf/pkitool.ini.jit.startup.Main./lib.jit.imp.IMPStartstart1root4096 11612:59pts/200:00:02../jre/bin/.jit.startup.Mainlib.jit.platform.virtual.gateway.Updateroot 4098 121 12:59pts/2 00:00:02/opt/JIT/IMP/selfguard/../jre/bin/jitimpselfguard.jit.platform.selfguard.App其中第一個進程是AQS主進程，第二個是在線升級進程，第三個是自保護服務進程。簽名服務器在業務專網的一臺機器上，采用以下命令進行測試：telnet78000若端口能連通，則表示簽名服務器服務正常。身份認證網關在業務專網的一臺機器上，采用以下命令進行測試：telnet06180若端口能連通，則表示身份認證網關服務正常。3.2系統關閉UMS服務器使用SSL工具登錄后，按照以下順序進行服務器的關閉。■停止UMS服務#cd/opt/JIT/ums5018/server/bin#./stop.sh■關機#shutdown-hnowAQS服務器使用SSL工具登錄8后，按照以下順序進行服務器的關閉。停止AQS服務#cd/opt/JIT/imp/server/bin#./stop.sh關機#shutdown-hnow3.3系統啟動UMS服務器開機后，待網絡連通后，使用SSL工具登錄。#cd/opt/JIT/ums5018/server/bin#./start.shAQS服務器開機后，待網絡連通后，使用SSL工具登錄8。#cd/opt/JIT/imp/server/bin#./start.sh簽名服務器接通電源，按下設備前面板的灰白色電源按鈕，即開啟此設備。開機后簽名服務會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看簽名服務器服務是否正常即可。身份認證網關接通電源，按下設備前面板的灰白色電源按鈕，即開啟此設備。開機后身份認證服務會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看身份認證服務是否正常即可。3.4各系統登錄URL系統名稱登錄URL管理證書/賬號身份認證網關0:6443系統管理員證書、安全保密管理員證書、審計管理員證書簽名服務器7:6443系統管理員證書、安全保密管理員證書、審計管理員證書AQS8：22443AQS業務管理員證書UMS：8001UMS超級管理員證書注：登錄時需要使用對應的管理員證書。日常操作4.1添加應用身份認證網關相關操作安裝隨機光盤中默認安全保密管理員證書，安裝密碼為“111111”。打開IE訪問：0:6443，選擇“安全保密管理員”證書登錄,進入I網關管理界面。3.在應用管理選項中，點擊配置應用，然后點擊右側的添加：選擇B/S或C/S應用類型（根據應用類型選擇）。單點登錄方式為：報文認證。應用名稱為：XXX系統（按實際情況填寫，如PORTAL）。應用標識為：xxx（按實際情況填寫，區分大小寫，如PORTAL）。配置應用服務器：域名或IP。應用服務器：應用訪問地址。如：應用通訊協議：默認明文（若應用本身為https訪問擇選擇密文）。保存配置。配置應用代碼。依次進入菜單相關產品配置>配置應用代碼，選擇剛添加的應用，填寫應用代碼：應用代碼為6位數字，由2位省編碼，2位地市編碼，2位應用編碼組成。如：360001表示江西省01號應用。6.保存配置。4.1.2UMS相關操作打開IE,并輸入UMS的管理地址：:8001，并選擇“UMS超級管理員“證書登錄。■添加字典1.點擊添加字典，安裝如下圖所示：屬性分類：XXX系統（選擇上一步中添加的屬性分類名稱）屬性字典名稱：xxxuid填寫方式：單行文本框是否唯一：唯一是否必選：必選填寫完畢后，點擊確定。4.2應用審計安裝身份認證網關隨機光盤中默認系統管理員證書，安裝密碼為“111111”。打開IE,并輸入AQS的管理地址：8:22443,并選擇“業務管理員”證書登錄。）添加應用字典添加應用字典有兩種方式：一種是以Excel表格的形式導入進去；一種是手動添加進去。■Excel表格方式

1.根據身份認證網關中配置的應用代碼編輯成Excel表格，導入到AQS應用字典中：吉穴正云身宦也證網天天津農發辦肖前貫理員.：.CN=財毆外盟：1網關去全宜理員,0=M0F,C=CNT田ETREP眈應用01000006-■創身份認證網關管理二）囲應用管理$目配置應用,±）罔服務器管理,±）圈認證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關產品設置$目UMS配置|＞目PMS配置t天津農發辦肖前貫理員.：.CN=財毆外盟：1網關去全宜理員,0=M0F,C=CNT田ETREP眈應用01000006-■創身份認證網關管理二）囲應用管理$目配置應用,±）罔服務器管理,±）圈認證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關產品設置$目UMS配置|＞目PMS配置t巨］UMS/PMS緩存配置|＞目配置應用代碼$目配置默認權限河北農發辦寧夏農發辦廣東農發辦江蘇農發辦四川農發辦山東農發辦國家農發辦浙江農發辦HENETREP廉應用01000007NXNETREP應用名稱 GDNET：JSNETREPSCNETREPSDNETREPNETREPZJNETREP眈應用眈應用眈應用廉應用啟應用眈應用廉應用AE1應用編碼應用名稱2*01000006天津農發蘇37)1000007河北農發辦4?)1000000寧夏農發辦■5*01000009廣東農發辦6?)iooooio江蘇農發辦7*01000011四川農發蘇S*01000012山東農發辦97)1000013國家農發辦■10*01000014：浙江農發蘇117)1000015內蒙古農發辦■內裁古農發辦眈應用NMNETREP01000008010000090100001001000011010000120100001301000014010000152.整理好Excel表格之后，點擊左側菜單中系統管理＞字典管理功能，選擇“應用字典”，點擊【導入】或在應用字典詳細頁面，點擊【導入】，跳轉到導入應用字典頁面；點擊【瀏覽】按鈕，選擇合理導入文件（*.xls文件）:點擊【上傳】，提示導入字典文件成功。4.點擊【確定】顯示如下：手動添加方式1.選擇“應用字典”，詳細頁面中點擊【添加】，跳轉到添加應用字典頁面，輸入對應的應用字典名稱（如：XXX系統）、應用字典編碼（如：33078201）。2.點擊【保存】完成添加。業務流程財政身份認證與授權管理系統的主要日常業務主要為證書管理、授權管理及證書應用三個方面，了解了這三方面的具體業務流程后，自然能分析、定位日常系統運行過程中出現的故障。證書管理業務流程RA中錄入申請信息進入RA數據庫用戶信息表（未審核狀態）RA連接CA進行審核請求，CA根據請求合法性判斷否是否合法申請駁回，需修改后重新提交或刪除 是r RA數據庫用戶信息表用戶狀態更改 i1連接CA進行證書管理申請否是否需要產生加密密鑰是“CA連接KMC申請密鑰否— 否— 流程結束是否需要將證書寫入KpY是證書寫入USB-KEY具體流程描述：1） 證書管理員在RA界面中錄入相關證書管理請求，主要有證書申請、證書更新、證書凍結/解凍、證書注銷等請求；2） RA系統將該請求信息保存在其數據庫的用戶信息表中，同時將該用戶信息標志為未審核；3） 證書管理員或系統自動進行請求審核，此時RA會連接CA進行審核信息判斷，例如證書申請有效期是否超出系統限制，證書是否已存在，證書狀態是否正常等；4） 若CA信息校驗通過，則RA會根據CA返回的信息將其數據庫中對應用戶信息的狀態改為已審核，同時連接CA進行下一步的證書申請（證書產生、凍結/解凍、更新、注銷等）；5） CA根據該請求類型判斷是否需要新的加密密鑰，若需要則連接KMC進行密鑰申請，否則進入下一步；6） CA根據請求進行對應的證書操作（證書產生、凍結/解凍、更新、注銷等）；7） CA處理成功后將處理結果返回給RA，若為證書申請或更新，則該結果中還會有對應的證書；8） RA根據CA返回的結果更新其數據庫中的證書表，并判斷是否需要將證書寫入到USB-Key中（證書申請、更新需要，證書凍結/解凍、注銷不需要），若需要則進入下一步，否則流程結束；9） RA將證書寫入USB-Key。5.2授權管理本處所指的授權管理為使用用戶屬性管理系統進行應用入門級訪問控制的粗顆粒授權管理。江西省財政身份認證與授權管理系統一期項目日常維護手冊5.2.1業務流程RA將新產生的證書用戶信息同步到UMS數據庫UMS首頁體現待辦信息管理員將用戶納入到正確的組織機構

管理員為該用戶分配對應的系統訪問權限

(填寫對應的屬性值)對應屬性信息寫入UMS數據庫,

以供網關調用具體流程描述：RA簽發新的證書后，因設置了RA與UMS的數據同步機制，RA會將新證書用戶的相關信息同步到UMS數據庫中；在UMS管理員登錄系統時，UMS首頁就會體現對應的待辦信息；此時管理員需要將這些同步過來的用戶納入到正確的組織機構下；應用管理員登錄UMS，并為這些用戶分配對應的系統訪問權限，即填寫對應的屬性值后提交；UMS將這些屬性信息寫入到其數據庫中，以供日后的查詢及網關訪問應用時調用。5.3證書應用業務流程根據財政業務系統高強度身份認證、防篡改、抗抵賴及數據完整性保護的需求，目前財政身份認證與授權管理的證書應用主要為身份認證及數字簽名兩種。下面的流程圖以在一