1、ICS 35.200CCS L 70DB3710威海市地方标准DB 3710/T 2122023城市大脑 统一身份认证接入规范Unified identity authentication system access specifications for city brain2023 - 11 - 17 发布2023 - 12 - 17 实施威海市市场监督管理局发 布前 言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由威海市大数据局提出、归口并组织实施和评估。本
2、文件起草单位:威海市大数据局、威海智慧北洋信息技术有限公司。本文件主要起草人:王璐、于治超、马欣惠、王强、郑秀文。引 言关于印发的通知(数字强省办发20234号)要求实施城市大脑建设提升行动,探索构建城市智能体,在业务应用建设与互联互通、强化平台支撑与赋能应用、基层覆盖与智慧社区联动、技术标准与管理规范应用、建立健全建设与运行机制五个方向开展试点工作。技术标准与管理规范应用试点要求完善制定标准规范,初步建立市域城市大脑技术标准和管理规范体系。城市大脑部分专题应用以部门自建为主,由于城市大脑和部门自建专题的用户体系不一致,城市大脑不能直接访问专题,需要频繁登录系统;同时部分融合专题应用只汇聚了共
3、性数据,还需要链接其他部门的业务系统作为辅助支撑;因此需要构建统一身份认证系统,实现各种应用系统间跨域的单点登录和单点退出,最终实现城市大脑可以直接访问部门业务系统,提升城市大脑效能。城市大脑 统一身份认证接入规范1 范围本文件定义了城市大脑统一身份认证平台的术语和定义、缩略语、统一身份认证接入流程、单点登录接口定义、输入安全。本文件适用于威海市各级各部门业务系统统一接入城市大脑的身份认证对接方案。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
4、文件。GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求3 术语和定义下列术语和定义适用于本文件。3.1城市大脑 city brain运用大数据、云计算、物联网、人工智能、区块链、数字孪生等技术,提升城市现代化治理能力和城市竞争力的新型基础设施。3.2身份认证 identity authentication确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问及使用权限。3.3单点登录 single sign on用户只需要登录一次就可以访问所有相互信任的应用系统。3.4令 牌 token用于第三方应用进行授权码认证成功后获取的安全认证信息,可以多次使用且具有时效性。
5、4 缩略语下列缩略语适用于本文件。AES:高级加密标准(Advanced Encryption Standard)HTTPS:超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer) IP地址:互联网协议地址(Internet Protocol Address)SM4:分组对称密码算法URL:统一资源定位符(Uniform Resource Locator)5 统一身份认证接入流程5.1 概述城市大脑统一身份认证平台部署在山东省电子政务外网行政服务域环境,以城市大脑用户体系为基石进行建设,指导各级政务部门(申请部门)应用系
6、统接入平台。接入流程主要包括接入申请、接入审核、系统改造、功能联调和运营维护等。5.2 接入申请申请部门应向大数据主管部门提交申请。申请部门提交申请后,应向技术开发人员提供应用名称、应用访问地址、应用描述等应用系统信息。应用系统信息应符合下列要求:a) 应用名称:应为中文名称,宜采用与应用功能相关的词汇,不应出现测试等宽泛字样;b) 应用访问地址:应用系统的访问地址;c) 应用描述:应简要描述应用功能,用于推荐宣传使用。5.3 接入审核大数据主管部门获取应用系统接入申请后,应对申请部门提供的相关信息进行审核,审核通过后, 由技术开发人员提供测试令牌。5.4 系统改造应用系统接入审核通过后,申请
7、部门应明确统一身份认证业务流程,按本文件中 6.4 提供的接口信息对应用系统进行开发或改造,以符合接入要求。5.5 功能联调申请部门在应用系统改造完成后,双方在联调环境中协同完成应用系统功能测试。测试通过后,由技术开发人员在城市大脑平台免密接入申请的服务。5.6 运营维护应用系统接入平台后,系统管理员与申请部门应组织相关工作人员协同完成运营维护工作。6 单点登录接口定义6.1 用户信息的获取与使用接入系统通过令牌获取个人用户的详细信息。将接入系统提供的url与令牌拼接成url?token= xxxxx,接入系统使用该接口解析获取用户信息,并进行对应系统的模拟登录,从而实现从城市大脑到第三方平台
8、的免密登录。6.2 效果测试由系统管理员配置统一身份认证用户的绑定之后,通过接口来获取令牌进行单点登录测试。6.3 接口地址6.4 接口 Json 格式msg: 操作成功, code: 200,data: searchValue: null, createBy: admin,createTime: 2022-11-21 09:32:36,updateBy: null, updateTime: null, remark: null, params: , userId: 102,deptId: 100, userName: whsdsj,nickName: 威海市大数据局, email: ,pho
9、nenumber: 15588418355,sex: 1,avatar: ,status: 0,delFlag: 0,loginIp: 221.2.162.89,loginDate: 2022-11-22T17:45:48.000+08:00,admin: false6.5 接口返参说明接口返参说明见表1。id: 102,表1 接口返参说明序号字段详细说明1datasearchValue 搜索createBy 创建者createTime 创建时间updateBy 更新者updateTime 更新手机号remark 备注params 备用参数userId 用 户 ID id 用户记录 ID de
10、ptId 单 位 id username 用户名nickname 昵称email 邮箱phonenumber 电话号码sex 性别 (1 男,2 女) avatar 头像status 账户状态(0 正常,1 停用) delFlag 删除标记loginIp 登陆iploginDate 最后登陆时间admin 是否是管理员2code请求状态码200 请求成功7 输入安全7.1 系统安全平台系统安全应符合 GB/T 22239-2019 第 8 章中第三级安全防护能力的要求。7.2 认证安全身份认证安全应符合下列要求:a) 设置会话时间:用户在登录平台后,页面长时间无操作时,应用系统应自动注销该用户
11、信息;b) 设置登录尝试次数:用户在登录尝试时,若输入密码次数达到应用系统设置的最大值,则在一定时间内不再允许该客户端继续尝试登录,并生成核查日志,记录到数据库;c) 应设置 IP 地址控制策略:通过限制用户访问 IP 地址的安全策略,当业务信息被篡改时,可以通过查找访问日志的方式来确认访问者;d) 密码设置:包含数字、大小写字母和特殊字符,且长度不少于 10 位。7.3 用户安全用户安全应符合下列要求:a) 设置用户安全级别,用户所能拥有的应用系统访问权限,取决于系统管理员授予用户的角色以及用户自身的安全级别;b) 设置用户账号的有效期限,用户在此期限之外不允许登录应用系统;c) 设置最大会话数,限定允许用户账号同时登录的客户端数量;d) 已删除的用户数据保留期限不少于 6 个月,保留期限内系统管理员可恢复用户信息。7.4 数据安全数据安全应符合下列要求:a) 对身份信息进行加密传输,加密方式包括但不限于 AES、SM4 加密方式;b) 关键应用系统模块的访问应使用 HTTPS 加密传输方式,保证通信信息的保密性;c) 配置备份设备,制定安全可靠的备份策略,定期自动对各应用系统的数据进行备份,并制定数据备份和恢复检查制度,定期对备份数据的有效性和可用性进行检查。