移动警务统一授权技术方案

移动警务统一授权技术方案
目录
一、前言 (5)
二、目标任务 (5)
三、总体设计 (6)
3.1 体系框架 (6)
3.2 授权实体 (7)
3.3 授权技术手段 (8)
3.4 总体要求 (8)
3.5 授权场景 (9)
3.5.1 I类系统 (9)
3.5.2 II类系统 (9)
3.5.3 Ⅲ类系统 (10)
四、Ⅲ类区域授权 (10)
4.1 技术要求 (10)
4.1.1 授权实体 (10)
4.1.2 授权方式 (12)
4.2 授权和鉴权流程 (13)
4.2.1 应用层面的授权和鉴权流程 (13)
4.2.2 API层面的授权和鉴权流程 (14)
4.2.3 数据层面的授权和鉴权流程 (14)
4.2.4 人员与数据的等级管理和鉴权流程 (14)
4.3 级联上报 (15)
4.4 管理要求 (15)
4.4.1 技术管理要求 (15)
五、II类区域授权 (15)
5.1 技术要求 (16)
5.1.1 授权实体 (16)
5.1.2 授权方式 (18)
5.2 授权和鉴权流程 (19)
5.2.1 应用层面的授权和鉴权流程 (19)
5.2.2 API层面的授权和鉴权流程 (20)
5.2.3 数据层面的授权和鉴权流程 (20)
5.2.4 人员与数据的管理和鉴权流程 (20)
5.3 级联上报 (21)
5.4 管理要求 (21)
5.4.1 技术管理要求 (21)
六、I类区域授权 (22)
6.1 技术要求 (22)
6.2 鉴权流程 (22)
6.2.1 应用层面的鉴权流程 (22)
6.2.2 API层面的鉴权流程 (22)
6.3 级联上报 (22)
6.4 管理要求 (23)
6.4.1 技术管理要求 (23)
七、附录 (24)
7.1 Ⅱ/Ⅲ区域统一授权的体系架构图 (24)
7.2 Ⅱ/Ⅲ区域统一授权的流程图 (24)
7.3 授权过程图 (25)
7.4 五大授权方式 (25)
7.4.1 集中授权 (25)
7.4.2 分级授权 (25)
7.4.3 用户组自动授权 (25)
7.4.4 权限申请审批 (26)
7.4.5 权限委托 (27)
一、前言
随着信息技术的快速发展和移动智能终端、4G移动通信网络技术的成熟，移动警务系统的深入应用，各警种民警提出了很多新的实际功能需求，移动警务安全性面临着巨大的挑战。

为适应新形势下公安移动警务信息化建设应用的需求，公安部制定下发《全国公安移动警务建设总体技术方案（2016版）》指导各地建设新一代移动警务系统。

在《全国公安移动警务建设总体技术方案（2016版）》中明确要求建设统一认证授权子系统实现实现用户统一身份认证、应用访问授权、单点登录等功能，和建设移动信息资源服务子系统实现统一的数据资源标准接口及数据授权访问。

由此可见建设统一授权系统是移动警务信息化发展的必然需求。

统一授权系统具体授权对象涉及到参与移动警务各个实体：人员、设备、应用、API、数据、网络等。

为明确新一代公安移动警务平台统一授权体系，需要对三个区域各个实体，分别从功能权限和数据权限两个层面进行规范定义，形成全国统一标准。

二、目标任务
按照《全国公安移动警务建设总体技术方案（2016版）》文件相关技术规范和标准，规范移动警务中应对用户进行基于角色的授权和访问控制。

用户的信息访问授权应遵循“最小权限原则”和“特权分散原则”。

统一授权管理最终实现对对象（人员、设备、应用、API、数据、
网络）的资源访问权限进行集中控制，要既可以实现对应用系统资源的访问控制，也可以实现对数据资源、基础资源、服务的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

三、总体设计
新一代移动警务认证技术方案涵盖三类区域，权限使用的实体涉及人员、设备、应用、API、数据、网络等，总体设计原则是基于角色的最小权限原则和特权分散原则的授权和访问控制，分别对各个实体进行分级（5级），默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。

注：五个等级分别对应：公开级，控制级，限制级，敏感级，专业级。

3.1体系框架
移动警务统一授权技术体系框架如下图所示：
移动警务统一授权技术体系包含人员、设备、应用、API、数据、网络等实体的基础信息管理、授权方式、授权对象、授权流程，鉴权流程，授权信息上报，鉴权信息上报。

3.2授权实体
在整个移动警务体系中，授权的实体包含人员、设备、应用、API、数据、网络等。

通过对实体的抽象可以归类为三个层面的授权：应用层、API层、数据层，如下图所示：
应用层：主要实现的是人员，设备与应用功能权限和应用数
据资源之间的授权工作。

授权的主体是人或设备，客体是应
用功能权限和应用数据资源。

⏹API层：主要实现的是应用系统与API接口之间的授权工作。

授权的主体是各个应用系统，客体是各个API接口。

⏹数据层：主要实现的是API接口与数据资源（如：数据资源
表或数据资源列等）之间的授权工作。

授权的主体时各个API
接口，授权的客体是数据资源。

3.3授权技术手段
在整个移动警务体系中，授权类型分为自动授权和手动授权。

⏹自动授权：为基于实体的身份信息（如人员的岗位，警种，
所在单位等）的自动授权方式。

⏹手动授权：为基于应用管理员手动授权和用户自主申请的一
类授权方式。

3.4总体要求
在符合规范，保证安全的前提下，对不同区域的授权实体，进行分类分级，采用符合实际业务场景的授权方式。

各个区域的授权信息与鉴权信息统一上报公安信息网总授权中心进行统一监管。

对于统一授权的实现方案可以进行分散实施，统一监管的模式进行。

如分别建设设备授权中心，人员授权中心，数据授权中心，API 授权中心等，其中授权和鉴权的结果统一上报，集中监管。

3.5授权场景
移动警务统一授权场景包含Ⅰ类系统的授权、Ⅱ类系统的授权、Ⅲ类系统的授权。

其中：
⏹Ⅰ类系统的授权为面向社会服务的移动互联网业务授权，服
务主体为协防员和公众。

⏹Ⅱ类系统的授权为面向公安服务的公安移动信息网业务域，
服务主体为民警和辅警。

⏹Ⅲ类系统的授权为面向公安服务的公安信息网业务域，服务
主体为民警和辅警。

统一授权系统分为授权和鉴权两部分。

授权解决对象身份到资源权限的映射管理，即资源权限的分配问题；鉴权解决权限鉴别和访问控制问题。

3.5.1I类系统
Ⅰ类区域不包含授权中心，只包含鉴权中心。

Ⅰ类区域的对象授权放在Ⅱ类区域的授权中心进行。

Ⅰ类区域的鉴权中心用于实现对Ⅰ类区域对象的鉴权工作，接收Ⅰ类区域鉴权分中心上报的鉴权信息，和对Ⅱ类的鉴权中心统一上报鉴权信息。

3.5.2II类系统
Ⅱ类区域包含授权中心和鉴权中心。

授权中心负责对Ⅰ类区域和Ⅱ类区域的对象进行授权管理、向Ⅲ
类区域的授权中心上报授权信息。

鉴权中心用于实现对Ⅱ类区域对象的鉴权工作，接收Ⅱ类区域鉴权分中心上报的鉴权信息，接收Ⅰ类区域鉴权中心上报的鉴权信息，向Ⅲ类区域的鉴权中心上报鉴权信息。

3.5.3Ⅲ类系统
Ⅲ类区域包含授权中心和鉴权中心。

授权中心负责对Ⅲ类区域的对象进行授权管理和接收Ⅱ类区域授权中心上报的授权信息。

鉴权中心用于实现对Ⅲ类区域对象的鉴权工作，接收Ⅲ类区域鉴权分中心上报的鉴权信息，接收Ⅱ类区域鉴权中心上报的鉴权信息。

四、Ⅲ类区域授权
Ⅲ类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，API接口等。

其中包含了对各个实体对象的等级划分。

4.1技术要求
4.1.1授权实体
Ⅲ类区域授权的实体主要有人员、设备、应用、API、数据、网络等。

实体授权抽象出来的三个层面的授权：应用层、API层、数据层，其中各个层面的实体均划分等级，相互之间访问需要校验等级是否匹配，默认按照就低原则，即高级别默认可以访问低级别的实体，低级
别访问高级别需要走申请审批流程。

4.1.1.1人员
Ⅲ类区域的人员主要是警员和辅警等接触公安信息网的内部人员。

人员基础信息由组织机构和人员基础信息库提供。

人员授权则是基于人员的身份信息进行授权，授权的客体为应用的功能资源权限和应用的数据资源权限。

同时需要对人员的等级进行划分，所有人员默认等级为最低等级，提升等级需要申请。

人员的等级分为日常等级和临时等级。

日常等级：为日常工作中根据其所在单位，岗位，职级等身份信息，又相关部门评定的长期等级。

临时等级：为参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，通过申请审批提升的临时性的等级。

4.1.1.2设备
Ⅲ类区域的设备是指用于访问或连接公安信息网专属设备，主要被Ⅲ类区域的人员所使用。

设备作为授权主体时，授权客体为网络或数据资源等。

Ⅲ类区域的应用信息由设备提供方提供或设备应用系统提供。

4.1.1.3应用
Ⅲ类区域的应用主要是向民警、辅警等提供的公安信息网信息服务的应用系统。

应用系统作为授权主体时，授权的客体则为API接口。

Ⅲ类区域的应用信息由Ⅲ类区域的各个应用系统提供，并且提供应用的功能资源信息作为人员授权的授权客体。

4.1.1.4API
Ⅲ类区域的API主要是向公安信息网应用系统开发的接口API API接口为作为授权主体，授权的客体为API所能访问的数据资源（如数据资源表或数据资源列等）。

Ⅲ类区域的API信息由API提供方提供或Ⅲ类区域的API市场提供。

4.1.1.5数据
Ⅲ类区域的数据主要为公安信息网的应用系统或设备产生的数据资源，用于供应用Ⅲ类区域的应用系统，API接口和设备使用。

数据在整个Ⅲ类区域授权体系中是作为授权的客体存在。

4.1.1.6网络
Ⅲ类区域的网络主要为公安信息网的主机、网络设备、网络地址段以及网络端口等。

网络在整个Ⅲ类区域授权体系中是作为授权的客体存在。

4.1.2授权方式
III类区域使用的授权方式主要为：集中授权、分级授权、用户组
自动授权、权限申请审批，权限委托。

其中的用户组自动授权即为基于人员身份信息的自动授权。

集中授权、分级授权、权限申请审批、权限委托为手动授权。

详细如下：集中授权：为几个应用的管理员对所有用户进行集中授权的授权方式。

分级授权：为通过对应用管理员进行分级管理，各级管理员按照下管一级的管理原则对管辖范围内的用户进行授权管理的授权方式。

用户组自动授权：为对人员身份信息（如岗位，职级，单位等）进行授权管理的授权方式。

当用户拥有某项身份信息或失去某项身份信息时，则权限会自动发生变更。

权限申请审批：为用户根据自己的实际工作需求，对所需要的应用权限通过在线申请审批的方式获得权限的授权方式。

权限委托：为某个拥有权限的用户，通过将自己的权限委托给另一个没有权限的用户使用的授权方式。

4.2授权和鉴权流程
Ⅲ类区域涉及的授权流程有应用层面的授权和鉴权流程、API层面的授权和鉴权流程、数据层面的授权和鉴权流程，人员与数据的等级管理和鉴权流程。

4.2.1应用层面的授权和鉴权流程
用户与应用授权流程包含：
1)用户与应用功能资源的授权。

2)用户与应用数据资源的授权。

用户与应用鉴权流程包含：
1)访问入口鉴权，若用户无权限，则访问默认按照就低原则，
即高等级用户可访问同等级或低等级应用。

若用户有权限按
实际权限进行访问鉴权。

2)用户访问应用的功能模块或数据资源时对用户进行访问鉴权。

4.2.2API层面的授权和鉴权流程
应用与API授权流程为：API接口提供方对应用可访问的API接口进行授权管理。

应用与API鉴权流程为：应用调用API接口时对应用是否可调用此API接口进行鉴权。

4.2.3数据层面的授权和鉴权流程
API接口与数据资源授权流程为：数据提供方对API接口可访问的数据资源表或数据资源列进行授权管理。

API接口与数据资源鉴权流程为：数据提供方对API是否可访问相关数据资源进行鉴权。

4.2.4人员与数据的等级管理和鉴权流程
1)Ⅱ类区域人员与数据的访问管理：
人员基础属性管理中对人员进行等级划分，分为1到5个日常等级，其中1级为最低等级，5级为最高等级。

若人员由于参与某项专
项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，可通过申请临时提升自己的等级，即临时等级。

数据（或数据表、数据项，根据实际的业务场景而定）也按照安全等级进行划分为1到5个等级，其中1级为最低等级，5级为最高等级。

2)Ⅱ类区域人员与数据的访问鉴权流程：
人员访问数据时，对人员的与数据的等级进行比较，按照就等原则，即低等级用户不能访问高等级的数据。

若用户拥有高等级的临时等级则可以访问与其临时等级相同或更低等级的数据。

4.3级联上报
Ⅲ类区域内可根据实际的使用需求按地理区域建设鉴权分中心，各个区域的应用到各自的区域的鉴权中心进行鉴权。

各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。

4.4管理要求
4.4.1技术管理要求
III类区域应建立统一的机构和人员管理系统，以实现权限对人员属性的准确实时联动，提高授权准确性和实时性。

五、II类区域授权
Ⅱ类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，API接口等。

其中包含了对各个实体对
象的等级划分。

Ⅱ类区域同时需要对Ⅰ类区域的人员、设备、应用、API等进行授权。

5.1技术要求
5.1.1授权实体
Ⅱ类区域授权的实体主要有人员、设备、应用、API、数据、网络等。

实体授权抽象出来的三个层面的授权：应用层、API层、数据层，其中各个层面的实体均划分等级，相互之间访问需要校验等级是否匹配，默认按照就低原则，即高级别默认可以访问低级别的实体，低级别访问高级别需要走申请审批流程。

同时Ⅱ类区域认证的实体具体包含Ⅰ/Ⅱ类区的人员、/Ⅱ类区的设备、Ⅰ/Ⅱ类区的应用、Ⅰ/Ⅱ类区的API。

5.1.1.1人员
Ⅱ类区域的人员主要是警员和辅警等接触公安移动信息网的内部人员。

人员基础信息由组织机构和人员基础信息库提供。

并且人员数据与III区域的人员信息保持同步。

Ⅰ类区域的人员主要是协防员和公众等接触移动互联网的人员。

人员授权则是基于人员的身份信息进行授权，授权的客体为应用的功能资源权限和应用的数据资源权限。

同时需要对人员的等级进行划分，所有人员默认等级为最低等级，提升等级需要申请。

人员的等级分为日常等级和临时等级。

日常等级：为日常工作中根据其所在单位，岗位，职级等身份信息，又相关部门评定的长期等级。

临时等级：为参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，通过申请审批提升的临时性的等级。

Ⅰ类区的人员作为外部人员在Ⅱ类区的人员信息库中进行管理。

5.1.1.2设备
Ⅱ类区域的设备是指用于访问或连接公安移动信息网专属设备。

Ⅰ类区域的设备是指用于访问或连接移动互联网专属设备。

设备作为授权主体时，授权客体为网络或数据资源等。

Ⅰ/Ⅱ类区域的应用信息由设备提供方提供或设备应用系统提供。

5.1.1.3应用
Ⅱ类区域的应用主要是向民警、辅警等提供的公安移动信息网信息服务的应用系统。

Ⅰ类区域的应用主要是向协防员、公众等提供的移动互联网信息服务的应用系统。

应用系统作为授权主体时，授权的客体则为API接口。

Ⅰ/Ⅱ类区域的应用信息由Ⅰ/Ⅱ类区域的各个应用系统提供，并且提供应用的功能资源信息作为人员授权的授权客体。

5.1.1.4API
Ⅱ类区域的API主要是向公安移动信息网应用系统开发的接口
API。

Ⅰ类区域的API主要是向移动互联网应用系统开发的接口API。

API接口为作为授权主体，授权的客体为API所能访问的数据资源（如数据资源表或数据资源列等）。

Ⅰ/Ⅱ类区域的API信息由API提供方提供或Ⅱ类区域的API市场提供。

5.1.1.5数据
Ⅱ类区域的数据主要为公安移动信息网和移动互联网的应用系统或设备产生的数据资源，用于供应用Ⅰ/Ⅱ类区域的应用系统，API 接口和设备使用。

数据在整个Ⅱ类区域授权体系中是作为授权的客体存在。

同时Ⅰ类区域的数据存储在Ⅱ类区域中。

5.1.1.6网络
Ⅱ类区域的网络主要为公安移动信息网的主机、网络设备、网络地址段以及网络端口等。

Ⅰ类区域的网络主要为移动互联网的主机、网络设备、网络地址段以及网络端口等。

网络在整个Ⅰ/Ⅱ类区域授权体系中是作为授权的客体存在。

5.1.2授权方式
Ⅰ/Ⅱ类区域使用的授权方式主要为：集中授权、分级授权、用户组自动授权、权限申请审批，权限委托。

其中的用户组自动授权即为基于人员身份信息的自动授权。

集中授权、分级授权、权限申请审批、权限委托为手动授权。

详细如下：集中授权：为几个应用的管理员对所有用户进行集中授权的授权方式。

分级授权：为通过对应用管理员进行分级管理，各级管理员按照下管一级的管理原则对管辖范围内的用户进行授权管理的授权方式。

用户组自动授权：为对人员身份信息（如岗位，职级，单位等）进行授权管理的授权方式。

当用户拥有某项身份信息或失去某项身份信息时，则权限会自动发生变更。

权限申请审批：为用户根据自己的实际工作需求，对所需要的应用权限通过在线申请审批的方式获得权限的授权方式。

权限委托：为某个拥有权限的用户，通过将自己的权限委托给另一个没有权限的用户使用的授权方式。

5.2授权和鉴权流程
Ⅰ/Ⅱ类区域涉及的授权流程有应用层面的授权和鉴权流程、API 层面的授权和鉴权流程、数据层面的授权和鉴权流程，人员与数据的等级管理和鉴权流程。

5.2.1应用层面的授权和鉴权流程
用户与应用授权流程包含：
1)用户与应用功能资源的授权。

2)用户与应用数据资源的授权。

用户与应用鉴权流程包含：
1)访问入口鉴权，若用户无权限，则访问默认按照就低原则，
即高等级用户可访问同等级或低等级应用。

若用户有权限按
实际权限进行访问鉴权。

2)用户访问应用的功能模块或数据资源时对用户进行访问鉴权。

5.2.2API层面的授权和鉴权流程
应用与API授权流程为：API接口提供方对应用可访问的API接口进行授权管理。

应用与API鉴权流程为：应用调用API接口时对应用是否可调用此API接口进行鉴权。

5.2.3数据层面的授权和鉴权流程
API接口与数据资源授权流程为：数据提供方对API接口可访问的数据资源表或数据资源列进行授权管理。

API接口与数据资源鉴权流程为：数据提供方对API是否可访问相关数据资源进行鉴权。

5.2.4人员与数据的管理和鉴权流程
1)Ⅱ类区域人员与数据的访问管理：
人员基础属性管理中对人员进行等级划分，分为1到5个日程等级，其中1级为最低等级，5级为最高等级。

若人员由于参与某项专项行动或特殊工作小组，工作需要涉及使用高于日常等级的应用时，
可通过申请临时提升自己的等级，即临时等级。

数据（或数据表、数据项，根据实际的业务场景而定）也按照安全等级进行划分为1到5个等级，其中1级为最低等级，5级为最高等级。

2)Ⅱ类区域人员与数据的访问鉴权流程：
人员访问数据时，对人员的与数据的等级进行比较，按照就等原则，即低等级用户不能访问高等级的数据。

若用户拥有高等级的临时等级则可以访问与其临时等级相同或更低等级的数据。

5.3级联上报
Ⅱ类区域内可根据实际的使用需求按地理区域建设鉴权分中心，各个区域的应用到各自的区域的鉴权中心进行鉴权。

各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。

同时Ⅱ类区域授权中心和鉴权中心需要将授权信息和鉴权信息级联上报到Ⅲ区域的授权中心和鉴权中心进行统一监管。

5.4管理要求
5.4.1技术管理要求
Ⅱ类区域应建立统一的机构和人员管理系统，以实现权限对人员属性的准确实时联动，提高授权准确性和实时性。

同时Ⅱ类区域的机构和人员管理系统中的信息应与Ⅲ区中的机构和人员管理系统保持实时同步。

Ⅱ类区的机构和人员管理系统负责维护Ⅰ类区域的外部单位和人
员数据。

六、I类区域授权
Ⅰ类区域授权的主体包含人员、设备、应用、API等，授权的客体包含设备，应用功能资源，API接口等。

Ⅰ类区域的授权工作均放在Ⅱ类区的授权管理系统中进行。

Ⅰ类区中仅包含针对Ⅰ类区域应用的鉴权中心。

6.1技术要求
6.2鉴权流程
Ⅰ类区域涉及的鉴权流程有应用层面的鉴权流程、API层面的鉴权流程。

6.2.1应用层面的鉴权流程
用户与应用鉴权流程：用户访问应用的功能模块或数据资源时对用户进行访问鉴权。

6.2.2API层面的鉴权流程
应用与API鉴权流程为：应用调用API接口时对应用是否可调用此API接口进行鉴权。

6.3级联上报
Ⅰ类区域内可根据实际的使用需求按地理区域建设鉴权分中心，
各个区域的应用到各自的区域的鉴权中心进行鉴权。

各个分中心会将各自的鉴权信息级联上报到总的鉴权中心进行统一的集中监管。

同时Ⅰ类区域的鉴权中心需要将鉴权信息级联上报到Ⅱ区域的鉴权中心进行统一监管。

6.4管理要求
6.4.1技术管理要求
Ⅰ类认证系统应该采取安全防范错误，避免存储在服务器中的用户和权限信息泄露。

七、附录
7.1Ⅱ/Ⅲ区域统一授权的体系架构图
数据层API层
应用层
统一授权管理平台
数据网关统一授权统一用户
统一身份认证
同步
同步
同步7.2Ⅱ/Ⅲ区域统一授权的流程图
7.3授权过程图
7.4五大授权方式
7.4.1集中授权
由应用主管单位集中管理授权。

适合于用户量小，几个授权管理员就能完成授权工作的系统。

例如：各地的短信平台，是以工作组，办公室的名义发通知。

通常一个厅机关内需要授权的人员很少。

一个管理员就可以维护。

7.4.2分级授权
由应用主管单位制定策略，逐级分配管理员，由各级管理员分别管理各自管辖范围内用户权限。

适用于综合等用户量大，授权粒度细的系统。

例如：综合查询之类的复杂的查询系统。

7.4.3用户组自动授权
由应用主管单位制定策略，部分权限自动授权给岗位等属性条线上的人员。

比如属于厅领导组内的人员自动授予一些系统的查询权限；比如邮箱等系统，入职后自动分配，离职后自动取消权限。

7.4.4权限申请审批
由应用主管单位制定策略，部分权限可以由人员根据工作需要自主发起权限申请，然后由相关领导审批。

适用于部分综合查询类系统，比如因案件需要临时申请查询某个系统，经领导同意后才能使用。