張 洋，劉福春

（1.水利部海河水利委員會，天津 300170；2.天津市水利勘測設計院，天津 300204）

1 政務協(xié)同基礎平臺簡介

在國家大力推行電子政務的新形勢下，為實現(xiàn)各級水行政主管部門及應用系統(tǒng)之間的互聯(lián)互通、信息資源共享、協(xié)同辦公和政務公開，提高水利政務信息化整體水平，水利部信息辦于2002年開始籌劃啟動水利電子政務建設項目。海委電子政務項目建設總目標為：在水利部統(tǒng)一實施的應用支撐平臺的基礎上，構筑海委統(tǒng)一的政務協(xié)同基礎平臺，配合水利部相關司局完成綜合辦公、規(guī)劃計劃、人力資源、科技外事四大政務應用系統(tǒng)的開發(fā)部署和定制工作，組織開發(fā)適合海委相關部門需要的水政法規(guī)、財務經(jīng)濟、檔案管理、黨群監(jiān)察、機關服務五大政務應用系統(tǒng)，建立統(tǒng)一的政務信息門戶，完善海委機關和委屬各局的網(wǎng)絡傳輸系統(tǒng)，建設必需的安全保障體系，初步實現(xiàn)“政務資源數(shù)字化、內(nèi)部辦公協(xié)同化、信息交流網(wǎng)絡化”。

目前，海委委機關及直屬各管理局的政務協(xié)同平臺已建成并應用多年，極大地提高了海委及其直屬各管理局的政務信息化整體水平。政務協(xié)同基礎平臺主要為整個系統(tǒng)的運行提供硬件、系統(tǒng)軟件以及網(wǎng)絡等運行環(huán)境；為各政務系統(tǒng)及門戶提供所需基礎功能的軟件環(huán)境，并支持跨平臺的應用和跨網(wǎng)段的目錄服務，實現(xiàn)數(shù)據(jù)自動的同步和復制；支持全網(wǎng)應用系統(tǒng)的統(tǒng)一身份認證、統(tǒng)一應用資源管理、集中分布式權限控制。海委政務協(xié)同基礎平臺系統(tǒng)功能，如圖1所示。

圖1 海委政務協(xié)同基礎平臺系統(tǒng)功能

目前政務協(xié)同基礎平臺外網(wǎng)部分及下屬局部分還是由平臺來提供統(tǒng)一的用戶管理和身份認證服務。通過政務協(xié)同基礎平臺2次開發(fā)實現(xiàn)用戶信息的統(tǒng)一管理，建立一個完整的、統(tǒng)一的用戶信息庫，主要存儲用戶的基本信息（如用戶名、密碼、個人信息、組織結(jié)構信息等），通過政務協(xié)同基礎平臺提供的統(tǒng)一用戶信息的接口，各政務應用系統(tǒng)可以獲得統(tǒng)一的用戶信息并在此基礎上實現(xiàn)統(tǒng)一的認證。用戶只需記憶一個用戶名、密碼，就可以登錄管理局內(nèi)所有的政務應用系統(tǒng)。但這種使用用戶名和密碼登陸的方式已經(jīng)無法滿足日益嚴峻的網(wǎng)絡安全的需求，國家相關政策也在逐步明確使用數(shù)字證書身份認證體系的必要性。國家相關政策列表，如圖2所示。

為了加強政務外網(wǎng)應用系統(tǒng)的安全性，海委外網(wǎng)將建立統(tǒng)一的CA認證系統(tǒng)。

2 CA認證簡介

圖2 國家相關政策列表

為了提高信息在網(wǎng)絡傳輸中的安全性，人們不斷提高網(wǎng)絡信息傳送中所使用加密算法的安全等級。除此之外，還需要在信息數(shù)據(jù)交互的雙方使用一個可以被認證的標識——數(shù)字證書，以建立一種信任及驗證機制。證書是一個包含身份信息和標識用戶特征公鑰的數(shù)據(jù)結(jié)構，可進行數(shù)字簽名。海委政務外網(wǎng)身份認證系統(tǒng)是水利信息系統(tǒng)的安全基礎設施，包括身份認證系統(tǒng)（公鑰基礎設施）PKI（Public Key Infrastructure）、應用安全組件、安全審計系統(tǒng)、目錄服務系統(tǒng)，為解決水利信息系統(tǒng)身份認證、數(shù)據(jù)保護等應用安全問題提供安全服務。證書認證中心CA（Certification Authority）是PKI系統(tǒng)的核心子系統(tǒng)，又稱認證機構，是發(fā)放、管理、廢除數(shù)字身份證書的機構，是保證數(shù)據(jù)在Internet中傳輸安全的一個重要環(huán)節(jié)，這里指海委政務外網(wǎng)身份認證系統(tǒng)的證書簽發(fā)子系統(tǒng)。數(shù)字證書DC（Digital Certificate）簡稱證書，是經(jīng)一個證書認證中心（CA）數(shù)字簽名的包含擁有者公開密鑰信息和身份信息的數(shù)據(jù)文件。

輕型目錄訪問協(xié)議LDAP（Light Directory Access Protocol）適用于Internet的目錄訪問協(xié)議，是遵守LDAP協(xié)議的目錄服務系統(tǒng)，在X.509中定義為數(shù)字證書、CRL、屬性證書和ACRL的發(fā)布倉庫，通常被用來存儲網(wǎng)絡中的人員、設備和配置等基本信息（以下簡稱為目錄服務系統(tǒng)或LDAP）。密鑰管理中心KMC（Key Management Center）提供加密證書對密鑰生命周期實行全過程管理，包括密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤消、密鑰歸檔、密鑰恢復以及安全管理等，這里指海委政務外網(wǎng)身份認證系統(tǒng)的密鑰管理子系統(tǒng)。注冊中心RA（Registration Authority）是證書的注冊機構，負責證書的申請、下載、注銷、更新業(yè)務，這里指海委政務外網(wǎng)身份認證系統(tǒng)的證書注冊子系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)UMS（User Managerment System）提供用戶屬性管理服務。

3 集成方案分析

目前，海委外網(wǎng)已經(jīng)部署了CA系統(tǒng)，可以實現(xiàn)系統(tǒng)與CA的結(jié)合。水文、防汛抗旱等外網(wǎng)系統(tǒng)已經(jīng)實現(xiàn)了用密鑰登陸訪問，但是海委直屬各管理局還沒有進行CA系統(tǒng)的延伸部署，而且各管理局運行的門戶系統(tǒng)、綜合辦公系統(tǒng)、規(guī)劃計劃系統(tǒng)、檔案系統(tǒng)等多個業(yè)務系統(tǒng)與政務協(xié)同平臺集成，由平臺提供統(tǒng)一的用戶組織結(jié)構信息和單點登錄。如將現(xiàn)有各個系統(tǒng)與CA系統(tǒng)直接集成，協(xié)調(diào)管理難度非常大，系統(tǒng)開發(fā)和測試工作量巨大。最佳的解決方法是海委政務協(xié)同平臺與CA系統(tǒng)集成，在平臺層面進行完善和修改，從而不影響其他業(yè)務系統(tǒng)的接口調(diào)用和應用。海委政務協(xié)同平臺與CA系統(tǒng)集成，如圖3所示。

圖3 海委政務協(xié)同平臺與CA系統(tǒng)集成

通過在局機關部署RA、UMS、LDAP實現(xiàn)數(shù)據(jù)集中管理，屬地化服務。成功集成后用戶的使用流程如下：用戶在訪問業(yè)務系統(tǒng)時，部署在業(yè)務系統(tǒng)前端的身份認證網(wǎng)關要求用戶提交數(shù)字身份證書；用戶插入自己的USB KEY并選擇對應的數(shù)字身份證書，數(shù)字身份證書將被提交到網(wǎng)關上；網(wǎng)關在身份認證系統(tǒng)LDAP的支持下完成對證書有效性的檢查；在確定證書正確的前提下，網(wǎng)關將從統(tǒng)一用戶管理系統(tǒng)中獲取對應用戶的相關信息并將用戶唯一標識 （身份證號）傳遞給應用系統(tǒng)，應用系統(tǒng)根據(jù)獲取到的唯一標識，判斷用戶的身份及權限；另外，為了能保證業(yè)務使用的階段性，某些老應用系統(tǒng)在過渡期可設有2個入口，除證書訪問外，原有的用戶登錄業(yè)務的方式依然保留 （依然采取原先用戶名和密碼的登錄方式），過渡期結(jié)束后去掉用戶名和密碼的登錄方式；身份認證和入門訪問控制結(jié)束。

4 結(jié)語

目前，海委CA系統(tǒng)向直屬各管理局延伸的工作還沒有正式展開，但是財務NC系統(tǒng)、預算管理等需要使用數(shù)字證書的系統(tǒng)已經(jīng)包含了直屬4個管理局的部分用戶，所以海委直屬各管理局政務協(xié)同基礎平臺升級改造與CA系統(tǒng)集成的工作迫在眉睫，計劃在2012年內(nèi)通過政務協(xié)同基礎平臺層面的升級改造，實現(xiàn)與CA系統(tǒng)的集成，在不影響各個系統(tǒng)日常應用的基礎上實現(xiàn)無縫升級，以滿足系統(tǒng)安全性及用戶使用便捷性的需要。通過使用數(shù)字證書，用戶擁有一支KEY就可以實現(xiàn)桌面終端、網(wǎng)絡、應用、內(nèi)容幾個層面的安全認證、單點登錄，同時可以實現(xiàn)關鍵信息的傳輸加密、關鍵操作的抗抵賴。