海委政務協同基礎平臺與CA 系統集成方案研究

張 洋，劉福春

（1.水利部海河水利委員會，天津 300170；2.天津市水利勘測設計院，天津 300204）

1 政務協同基礎平臺簡介

在國家大力推行電子政務的新形勢下，為實現各級水行政主管部門及應用系統之間的互聯互通、信息資源共享、協同辦公和政務公開，提高水利政務信息化整體水平，水利部信息辦于2002年開始籌劃啟動水利電子政務建設項目。海委電子政務項目建設總目標為：在水利部統一實施的應用支撐平臺的基礎上，構筑海委統一的政務協同基礎平臺，配合水利部相關司局完成綜合辦公、規劃計劃、人力資源、科技外事四大政務應用系統的開發部署和定制工作，組織開發適合海委相關部門需要的水政法規、財務經濟、檔案管理、黨群監察、機關服務五大政務應用系統，建立統一的政務信息門戶，完善海委機關和委屬各局的網絡傳輸系統，建設必需的安全保障體系，初步實現“政務資源數字化、內部辦公協同化、信息交流網絡化”。

目前，海委委機關及直屬各管理局的政務協同平臺已建成并應用多年，極大地提高了海委及其直屬各管理局的政務信息化整體水平。政務協同基礎平臺主要為整個系統的運行提供硬件、系統軟件以及網絡等運行環境；為各政務系統及門戶提供所需基礎功能的軟件環境，并支持跨平臺的應用和跨網段的目錄服務，實現數據自動的同步和復制；支持全網應用系統的統一身份認證、統一應用資源管理、集中分布式權限控制。海委政務協同基礎平臺系統功能，如圖1所示。

圖1 海委政務協同基礎平臺系統功能

目前政務協同基礎平臺外網部分及下屬局部分還是由平臺來提供統一的用戶管理和身份認證服務。通過政務協同基礎平臺2次開發實現用戶信息的統一管理，建立一個完整的、統一的用戶信息庫，主要存儲用戶的基本信息（如用戶名、密碼、個人信息、組織結構信息等），通過政務協同基礎平臺提供的統一用戶信息的接口，各政務應用系統可以獲得統一的用戶信息并在此基礎上實現統一的認證。用戶只需記憶一個用戶名、密碼，就可以登錄管理局內所有的政務應用系統。但這種使用用戶名和密碼登陸的方式已經無法滿足日益嚴峻的網絡安全的需求，國家相關政策也在逐步明確使用數字證書身份認證體系的必要性。國家相關政策列表，如圖2所示。

為了加強政務外網應用系統的安全性，海委外網將建立統一的CA認證系統。

2 CA認證簡介

圖2 國家相關政策列表

為了提高信息在網絡傳輸中的安全性，人們不斷提高網絡信息傳送中所使用加密算法的安全等級。除此之外，還需要在信息數據交互的雙方使用一個可以被認證的標識——數字證書，以建立一種信任及驗證機制。證書是一個包含身份信息和標識用戶特征公鑰的數據結構，可進行數字簽名。海委政務外網身份認證系統是水利信息系統的安全基礎設施，包括身份認證系統（公鑰基礎設施）PKI（Public Key Infrastructure）、應用安全組件、安全審計系統、目錄服務系統，為解決水利信息系統身份認證、數據保護等應用安全問題提供安全服務。證書認證中心CA（Certification Authority）是PKI系統的核心子系統，又稱認證機構，是發放、管理、廢除數字身份證書的機構，是保證數據在Internet中傳輸安全的一個重要環節，這里指海委政務外網身份認證系統的證書簽發子系統。數字證書DC（Digital Certificate）簡稱證書，是經一個證書認證中心（CA）數字簽名的包含擁有者公開密鑰信息和身份信息的數據文件。

輕型目錄訪問協議LDAP（Light Directory Access Protocol）適用于Internet的目錄訪問協議，是遵守LDAP協議的目錄服務系統，在X.509中定義為數字證書、CRL、屬性證書和ACRL的發布倉庫，通常被用來存儲網絡中的人員、設備和配置等基本信息（以下簡稱為目錄服務系統或LDAP）。密鑰管理中心KMC（Key Management Center）提供加密證書對密鑰生命周期實行全過程管理，包括密鑰生成、密鑰存儲、密鑰分發、密鑰備份、密鑰更新、密鑰撤消、密鑰歸檔、密鑰恢復以及安全管理等，這里指海委政務外網身份認證系統的密鑰管理子系統。注冊中心RA（Registration Authority）是證書的注冊機構，負責證書的申請、下載、注銷、更新業務，這里指海委政務外網身份認證系統的證書注冊子系統。統一用戶管理系統UMS（User Managerment System）提供用戶屬性管理服務。

3 集成方案分析

目前，海委外網已經部署了CA系統，可以實現系統與CA的結合。水文、防汛抗旱等外網系統已經實現了用密鑰登陸訪問，但是海委直屬各管理局還沒有進行CA系統的延伸部署，而且各管理局運行的門戶系統、綜合辦公系統、規劃計劃系統、檔案系統等多個業務系統與政務協同平臺集成，由平臺提供統一的用戶組織結構信息和單點登錄。如將現有各個系統與CA系統直接集成，協調管理難度非常大，系統開發和測試工作量巨大。最佳的解決方法是海委政務協同平臺與CA系統集成，在平臺層面進行完善和修改，從而不影響其他業務系統的接口調用和應用。海委政務協同平臺與CA系統集成，如圖3所示。

圖3 海委政務協同平臺與CA系統集成

通過在局機關部署RA、UMS、LDAP實現數據集中管理，屬地化服務。成功集成后用戶的使用流程如下：用戶在訪問業務系統時，部署在業務系統前端的身份認證網關要求用戶提交數字身份證書；用戶插入自己的USB KEY并選擇對應的數字身份證書，數字身份證書將被提交到網關上；網關在身份認證系統LDAP的支持下完成對證書有效性的檢查；在確定證書正確的前提下，網關將從統一用戶管理系統中獲取對應用戶的相關信息并將用戶唯一標識 （身份證號）傳遞給應用系統，應用系統根據獲取到的唯一標識，判斷用戶的身份及權限；另外，為了能保證業務使用的階段性，某些老應用系統在過渡期可設有2個入口，除證書訪問外，原有的用戶登錄業務的方式依然保留 （依然采取原先用戶名和密碼的登錄方式），過渡期結束后去掉用戶名和密碼的登錄方式；身份認證和入門訪問控制結束。

4 結語

目前，海委CA系統向直屬各管理局延伸的工作還沒有正式展開，但是財務NC系統、預算管理等需要使用數字證書的系統已經包含了直屬4個管理局的部分用戶，所以海委直屬各管理局政務協同基礎平臺升級改造與CA系統集成的工作迫在眉睫，計劃在2012年內通過政務協同基礎平臺層面的升級改造，實現與CA系統的集成，在不影響各個系統日常應用的基礎上實現無縫升級，以滿足系統安全性及用戶使用便捷性的需要。通過使用數字證書，用戶擁有一支KEY就可以實現桌面終端、網絡、應用、內容幾個層面的安全認證、單點登錄，同時可以實現關鍵信息的傳輸加密、關鍵操作的抗抵賴。