海委政務(wù)協(xié)同基礎(chǔ)平臺與CA 系統(tǒng)集成方案研究

張 洋，劉福春

（1.水利部海河水利委員會，天津 300170；2.天津市水利勘測設(shè)計(jì)院，天津 300204）

1 政務(wù)協(xié)同基礎(chǔ)平臺簡介

在國家大力推行電子政務(wù)的新形勢下，為實(shí)現(xiàn)各級水行政主管部門及應(yīng)用系統(tǒng)之間的互聯(lián)互通、信息資源共享、協(xié)同辦公和政務(wù)公開，提高水利政務(wù)信息化整體水平，水利部信息辦于2002年開始籌劃啟動水利電子政務(wù)建設(shè)項(xiàng)目。海委電子政務(wù)項(xiàng)目建設(shè)總目標(biāo)為：在水利部統(tǒng)一實(shí)施的應(yīng)用支撐平臺的基礎(chǔ)上，構(gòu)筑海委統(tǒng)一的政務(wù)協(xié)同基礎(chǔ)平臺，配合水利部相關(guān)司局完成綜合辦公、規(guī)劃計(jì)劃、人力資源、科技外事四大政務(wù)應(yīng)用系統(tǒng)的開發(fā)部署和定制工作，組織開發(fā)適合海委相關(guān)部門需要的水政法規(guī)、財(cái)務(wù)經(jīng)濟(jì)、檔案管理、黨群監(jiān)察、機(jī)關(guān)服務(wù)五大政務(wù)應(yīng)用系統(tǒng)，建立統(tǒng)一的政務(wù)信息門戶，完善海委機(jī)關(guān)和委屬各局的網(wǎng)絡(luò)傳輸系統(tǒng)，建設(shè)必需的安全保障體系，初步實(shí)現(xiàn)“政務(wù)資源數(shù)字化、內(nèi)部辦公協(xié)同化、信息交流網(wǎng)絡(luò)化”。

目前，海委委機(jī)關(guān)及直屬各管理局的政務(wù)協(xié)同平臺已建成并應(yīng)用多年，極大地提高了海委及其直屬各管理局的政務(wù)信息化整體水平。政務(wù)協(xié)同基礎(chǔ)平臺主要為整個系統(tǒng)的運(yùn)行提供硬件、系統(tǒng)軟件以及網(wǎng)絡(luò)等運(yùn)行環(huán)境；為各政務(wù)系統(tǒng)及門戶提供所需基礎(chǔ)功能的軟件環(huán)境，并支持跨平臺的應(yīng)用和跨網(wǎng)段的目錄服務(wù)，實(shí)現(xiàn)數(shù)據(jù)自動的同步和復(fù)制；支持全網(wǎng)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證、統(tǒng)一應(yīng)用資源管理、集中分布式權(quán)限控制。海委政務(wù)協(xié)同基礎(chǔ)平臺系統(tǒng)功能，如圖1所示。

圖1 海委政務(wù)協(xié)同基礎(chǔ)平臺系統(tǒng)功能

目前政務(wù)協(xié)同基礎(chǔ)平臺外網(wǎng)部分及下屬局部分還是由平臺來提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù)。通過政務(wù)協(xié)同基礎(chǔ)平臺2次開發(fā)實(shí)現(xiàn)用戶信息的統(tǒng)一管理，建立一個完整的、統(tǒng)一的用戶信息庫，主要存儲用戶的基本信息（如用戶名、密碼、個人信息、組織結(jié)構(gòu)信息等），通過政務(wù)協(xié)同基礎(chǔ)平臺提供的統(tǒng)一用戶信息的接口，各政務(wù)應(yīng)用系統(tǒng)可以獲得統(tǒng)一的用戶信息并在此基礎(chǔ)上實(shí)現(xiàn)統(tǒng)一的認(rèn)證。用戶只需記憶一個用戶名、密碼，就可以登錄管理局內(nèi)所有的政務(wù)應(yīng)用系統(tǒng)。但這種使用用戶名和密碼登陸的方式已經(jīng)無法滿足日益嚴(yán)峻的網(wǎng)絡(luò)安全的需求，國家相關(guān)政策也在逐步明確使用數(shù)字證書身份認(rèn)證體系的必要性。國家相關(guān)政策列表，如圖2所示。

為了加強(qiáng)政務(wù)外網(wǎng)應(yīng)用系統(tǒng)的安全性，海委外網(wǎng)將建立統(tǒng)一的CA認(rèn)證系統(tǒng)。

2 CA認(rèn)證簡介

圖2 國家相關(guān)政策列表

為了提高信息在網(wǎng)絡(luò)傳輸中的安全性，人們不斷提高網(wǎng)絡(luò)信息傳送中所使用加密算法的安全等級。除此之外，還需要在信息數(shù)據(jù)交互的雙方使用一個可以被認(rèn)證的標(biāo)識——數(shù)字證書，以建立一種信任及驗(yàn)證機(jī)制。證書是一個包含身份信息和標(biāo)識用戶特征公鑰的數(shù)據(jù)結(jié)構(gòu)，可進(jìn)行數(shù)字簽名。海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)是水利信息系統(tǒng)的安全基礎(chǔ)設(shè)施，包括身份認(rèn)證系統(tǒng)（公鑰基礎(chǔ)設(shè)施）PKI（Public Key Infrastructure）、應(yīng)用安全組件、安全審計(jì)系統(tǒng)、目錄服務(wù)系統(tǒng)，為解決水利信息系統(tǒng)身份認(rèn)證、數(shù)據(jù)保護(hù)等應(yīng)用安全問題提供安全服務(wù)。證書認(rèn)證中心CA（Certification Authority）是PKI系統(tǒng)的核心子系統(tǒng)，又稱認(rèn)證機(jī)構(gòu)，是發(fā)放、管理、廢除數(shù)字身份證書的機(jī)構(gòu)，是保證數(shù)據(jù)在Internet中傳輸安全的一個重要環(huán)節(jié)，這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的證書簽發(fā)子系統(tǒng)。數(shù)字證書DC（Digital Certificate）簡稱證書，是經(jīng)一個證書認(rèn)證中心（CA）數(shù)字簽名的包含擁有者公開密鑰信息和身份信息的數(shù)據(jù)文件。

輕型目錄訪問協(xié)議LDAP（Light Directory Access Protocol）適用于Internet的目錄訪問協(xié)議，是遵守LDAP協(xié)議的目錄服務(wù)系統(tǒng)，在X.509中定義為數(shù)字證書、CRL、屬性證書和ACRL的發(fā)布倉庫，通常被用來存儲網(wǎng)絡(luò)中的人員、設(shè)備和配置等基本信息（以下簡稱為目錄服務(wù)系統(tǒng)或LDAP）。密鑰管理中心KMC（Key Management Center）提供加密證書對密鑰生命周期實(shí)行全過程管理，包括密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤消、密鑰歸檔、密鑰恢復(fù)以及安全管理等，這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的密鑰管理子系統(tǒng)。注冊中心RA（Registration Authority）是證書的注冊機(jī)構(gòu)，負(fù)責(zé)證書的申請、下載、注銷、更新業(yè)務(wù)，這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的證書注冊子系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)UMS（User Managerment System）提供用戶屬性管理服務(wù)。

3 集成方案分析

目前，海委外網(wǎng)已經(jīng)部署了CA系統(tǒng)，可以實(shí)現(xiàn)系統(tǒng)與CA的結(jié)合。水文、防汛抗旱等外網(wǎng)系統(tǒng)已經(jīng)實(shí)現(xiàn)了用密鑰登陸訪問，但是海委直屬各管理局還沒有進(jìn)行CA系統(tǒng)的延伸部署，而且各管理局運(yùn)行的門戶系統(tǒng)、綜合辦公系統(tǒng)、規(guī)劃計(jì)劃系統(tǒng)、檔案系統(tǒng)等多個業(yè)務(wù)系統(tǒng)與政務(wù)協(xié)同平臺集成，由平臺提供統(tǒng)一的用戶組織結(jié)構(gòu)信息和單點(diǎn)登錄。如將現(xiàn)有各個系統(tǒng)與CA系統(tǒng)直接集成，協(xié)調(diào)管理難度非常大，系統(tǒng)開發(fā)和測試工作量巨大。最佳的解決方法是海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成，在平臺層面進(jìn)行完善和修改，從而不影響其他業(yè)務(wù)系統(tǒng)的接口調(diào)用和應(yīng)用。海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成，如圖3所示。

圖3 海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成

通過在局機(jī)關(guān)部署RA、UMS、LDAP實(shí)現(xiàn)數(shù)據(jù)集中管理，屬地化服務(wù)。成功集成后用戶的使用流程如下：用戶在訪問業(yè)務(wù)系統(tǒng)時，部署在業(yè)務(wù)系統(tǒng)前端的身份認(rèn)證網(wǎng)關(guān)要求用戶提交數(shù)字身份證書；用戶插入自己的USB KEY并選擇對應(yīng)的數(shù)字身份證書，數(shù)字身份證書將被提交到網(wǎng)關(guān)上；網(wǎng)關(guān)在身份認(rèn)證系統(tǒng)LDAP的支持下完成對證書有效性的檢查；在確定證書正確的前提下，網(wǎng)關(guān)將從統(tǒng)一用戶管理系統(tǒng)中獲取對應(yīng)用戶的相關(guān)信息并將用戶唯一標(biāo)識 （身份證號）傳遞給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)獲取到的唯一標(biāo)識，判斷用戶的身份及權(quán)限；另外，為了能保證業(yè)務(wù)使用的階段性，某些老應(yīng)用系統(tǒng)在過渡期可設(shè)有2個入口，除證書訪問外，原有的用戶登錄業(yè)務(wù)的方式依然保留 （依然采取原先用戶名和密碼的登錄方式），過渡期結(jié)束后去掉用戶名和密碼的登錄方式；身份認(rèn)證和入門訪問控制結(jié)束。

4 結(jié)語

目前，海委CA系統(tǒng)向直屬各管理局延伸的工作還沒有正式展開，但是財(cái)務(wù)NC系統(tǒng)、預(yù)算管理等需要使用數(shù)字證書的系統(tǒng)已經(jīng)包含了直屬4個管理局的部分用戶，所以海委直屬各管理局政務(wù)協(xié)同基礎(chǔ)平臺升級改造與CA系統(tǒng)集成的工作迫在眉睫，計(jì)劃在2012年內(nèi)通過政務(wù)協(xié)同基礎(chǔ)平臺層面的升級改造，實(shí)現(xiàn)與CA系統(tǒng)的集成，在不影響各個系統(tǒng)日常應(yīng)用的基礎(chǔ)上實(shí)現(xiàn)無縫升級，以滿足系統(tǒng)安全性及用戶使用便捷性的需要。通過使用數(shù)字證書，用戶擁有一支KEY就可以實(shí)現(xiàn)桌面終端、網(wǎng)絡(luò)、應(yīng)用、內(nèi)容幾個層面的安全認(rèn)證、單點(diǎn)登錄，同時可以實(shí)現(xiàn)關(guān)鍵信息的傳輸加密、關(guān)鍵操作的抗抵賴。