淺談長江海事統(tǒng)一身份認證系統(tǒng)

畢洋

摘 要 隨著海事信息化水平的不斷進步，海事業(yè)務目前已實現(xiàn)電子化辦理，但各系統(tǒng)間自成一體的登錄信息，分類繁多的登錄方式已影響到海事一線工作人員的工作效率。長江海事局通過建設統(tǒng)一身份認證系統(tǒng)，實現(xiàn)了海事各業(yè)務系統(tǒng)間用戶登錄信息的唯一性，安全性。

關鍵詞 統(tǒng)一身份認證 一數(shù)一源 數(shù)字認證

1 現(xiàn)狀

長江海事局目前存在內河船員管理系統(tǒng)、船舶動態(tài)管理系統(tǒng)、船舶防污染管理系統(tǒng)、船舶載客管理系統(tǒng)、法規(guī)管理系統(tǒng)、長江海事局辦公OA系統(tǒng)、長江海事業(yè)務系統(tǒng)系統(tǒng)、海船船員電子申報等共計10余個業(yè)務系統(tǒng)及1個海事業(yè)務數(shù)據(jù)中心。這些系統(tǒng)目前均采用的是單一口令登錄方式，但各系統(tǒng)的用戶登錄信息并不存在明顯的關聯(lián)關系，各個系統(tǒng)自成一套用戶登錄名/密碼，海事工作人員在使用各個業(yè)務系統(tǒng)時需要輸入不同的用戶名/密碼進行登錄操作。分類繁多的用戶名/密碼對工作人員記憶力是一種考驗，同時單一的用戶名/密碼的登錄方式也存在信息被盜取、篡改和非法操作等問題。是否存在一種方式能夠解決上述問題呢？

2 解決方案

針對上述現(xiàn)狀，長江海事局引入了統(tǒng)一身份認證系統(tǒng)進行解決。統(tǒng)一身份認證系統(tǒng)分為數(shù)字認證系統(tǒng)和統(tǒng)一身份管理系統(tǒng)兩塊，數(shù)字認證系統(tǒng)能夠通過數(shù)字簽名的方式提供給用戶安全可靠的登錄機制；統(tǒng)一用戶管理系統(tǒng)可對長江海事局用戶身份和訪問權限進行管理和分配，并為用戶提供單點登錄功能，實現(xiàn)用戶登錄、賬號、認證、審計的統(tǒng)一管理。本文重點介紹統(tǒng)一用戶管理系統(tǒng)的設計及應用。

根據(jù)長江海事局日常業(yè)務系統(tǒng)的實際情況，我們確立了以統(tǒng)一身份管理系統(tǒng)作為長江海事局各個業(yè)務應用系統(tǒng)中用戶信息的唯一生產源，按照“一數(shù)一源”的要求來解決一線職工登錄海事業(yè)務系統(tǒng)的諸多難題。

按照長江局現(xiàn)有業(yè)務系統(tǒng)的人員信息我們在統(tǒng)一用戶管理系統(tǒng)搭建oracle數(shù)據(jù)庫，創(chuàng)建了屬性信息表（ATTR _INFO）、屬性值表（ATTR_VALUE）、機構信息表（ORGANIZATION_INFO）、用戶表（USER_INFO）、用戶憑證信息表（USER_CREDENCE_INFO）這5張表格，基本涵蓋用戶的姓名（USER_NAME），身份證號（USER_IDCARD_NUM），單位（UNIT_CODE），崗位（USER_ORG_CODE），電話號碼（USER_PHONE）等信息，在各張表之間構建了用戶和機構關聯(lián)信息表（USER_TO_ORG）、用戶擴展屬性表（USER_EXT_INFO）、機構擴展屬性表（ORG_EXT_INFO）三張表進行關聯(lián)。長江海事局所有業(yè)務應用系統(tǒng)（含數(shù)據(jù)中心）的用戶信息，全部從統(tǒng)一用戶管理系統(tǒng)中錄入維護，用戶基礎信息不涉及到各個業(yè)務應用系統(tǒng)的使用權限屬性，只包含用戶姓名，身份證號，單位，崗位，電話號碼等。現(xiàn)存的長江海事局用戶信息分為兩類，一類是原OA系統(tǒng)中已存在的用戶信息，另一類是每年新進公務員的用戶信息，針對一老一新兩種信息的錄入我們做了如下界定：OA中已存在的用戶信息，將按照統(tǒng)一用戶管理系統(tǒng)的創(chuàng)建要求，提取相應的字段做成excel表，批量導入至統(tǒng)一用戶管理系統(tǒng)；新進人員用戶信息，將直接在統(tǒng)一用戶管理系統(tǒng)界面中進行創(chuàng)建錄入；

用戶信息數(shù)據(jù)源在數(shù)據(jù)庫收集整理錄入完畢后，我們還需實現(xiàn)統(tǒng)一用戶管理系統(tǒng)與海事各業(yè)務系統(tǒng)間的數(shù)據(jù)同步，這里我們根據(jù)長江局各業(yè)務應用系統(tǒng)的實際架構情況，沿用之前各業(yè)務應用系統(tǒng)與數(shù)據(jù)中心同步的機制，僅增加統(tǒng)一用戶管理系統(tǒng)與數(shù)據(jù)中心的單向同步。具體流程為統(tǒng)一用戶管理系統(tǒng)提供WebService服務將用戶信息推送至數(shù)據(jù)中心，而后再由數(shù)據(jù)中心同步至各業(yè)務應用系統(tǒng)（如下圖）。

上述方式的能實現(xiàn)長江海事局用戶登錄信息的唯一性，用戶登錄信息分發(fā)到各業(yè)務系統(tǒng)后，各業(yè)務系統(tǒng)管理員根據(jù)用戶的實際需要自行分配系統(tǒng)權限，這些都可以在后臺操作完成。海事工作人員今后僅需使用一套用戶名/密碼即可登錄多個海事業(yè)務系統(tǒng)。同時通過與數(shù)字認證系統(tǒng)的關聯(lián)，我們?yōu)槊课挥脩糁谱髁艘苿訑?shù)字證書（ukey），今后用戶登錄系統(tǒng)時，僅需插入個人專屬的ukey，輸入密碼即可登錄海事業(yè)務系統(tǒng)，避免了其他用戶冒用他人信息非法登錄海事業(yè)務系統(tǒng)辦理相關業(yè)務的情況出現(xiàn)。

在統(tǒng)一用戶管理系統(tǒng)建成的基礎上，我們進一步開發(fā)建立了長江海事局統(tǒng)一安全認證門戶，用戶僅需輸入一次用戶名密碼，即可登錄所有的業(yè)務系統(tǒng)，進一步提高用戶的工作效率。舉例來說即工作人員A需要登錄法規(guī)管理系統(tǒng)、長江海事局辦公系統(tǒng)、長江海事業(yè)務協(xié)同平臺，在之前三個系統(tǒng)登錄需要輸入三次用戶名和密碼；有了統(tǒng)一認證門戶網站后，用戶僅需要插入ukey登錄統(tǒng)一安全認證門戶，頁面會根據(jù)用戶的訪問權限自動跳轉顯示出法規(guī)管理系統(tǒng)、長江海事局辦公系統(tǒng)、長江海事業(yè)務協(xié)同平臺這三個系統(tǒng)的子圖標，用戶僅需鼠標左鍵點擊相應的圖標即可進入到相關系統(tǒng)中，無需再次登錄其它系統(tǒng)。

3 建成效果

長江海事統(tǒng)一身份認證系統(tǒng)于2016年7月1日正式上線運行，累計發(fā)放用戶ukey證書4500余份，已實現(xiàn)全局用戶使用數(shù)字證書（ukey）登錄長江海事OA系統(tǒng)，長江海事協(xié)同管理平臺等海事業(yè)務系統(tǒng)，數(shù)字證書（ukey）已成為長江海事工作人員訪問海事信息系統(tǒng)的唯一電子化身份標識。

4 結語

長江海事局統(tǒng)一身份認證系統(tǒng)的建成，實現(xiàn)了對長江海事局內部用戶的統(tǒng)一管理，實現(xiàn)了海事人員數(shù)據(jù)的統(tǒng)一性、唯一性，為海事業(yè)務系統(tǒng)提供了統(tǒng)一的登錄認證和信息安全支撐，使長江海事局的海事業(yè)務更加便捷化，規(guī)范化，流程化。