张 洋，刘福春

（1.水利部海河水利委员会，天津 300170；2.天津市水利勘测设计院，天津 300204）

1 政务协同基础平台简介

在国家大力推行电子政务的新形势下，为实现各级水行政主管部门及应用系统之间的互联互通、信息资源共享、协同办公和政务公开，提高水利政务信息化整体水平，水利部信息办于2002年开始筹划启动水利电子政务建设项目。海委电子政务项目建设总目标为：在水利部统一实施的应用支撑平台的基础上，构筑海委统一的政务协同基础平台，配合水利部相关司局完成综合办公、规划计划、人力资源、科技外事四大政务应用系统的开发部署和定制工作，组织开发适合海委相关部门需要的水政法规、财务经济、档案管理、党群监察、机关服务五大政务应用系统，建立统一的政务信息门户，完善海委机关和委属各局的网络传输系统，建设必需的安全保障体系，初步实现“政务资源数字化、内部办公协同化、信息交流网络化”。

目前，海委委机关及直属各管理局的政务协同平台已建成并应用多年，极大地提高了海委及其直属各管理局的政务信息化整体水平。政务协同基础平台主要为整个系统的运行提供硬件、系统软件以及网络等运行环境；为各政务系统及门户提供所需基础功能的软件环境，并支持跨平台的应用和跨网段的目录服务，实现数据自动的同步和复制；支持全网应用系统的统一身份认证、统一应用资源管理、集中分布式权限控制。海委政务协同基础平台系统功能，如图1所示。

图1 海委政务协同基础平台系统功能

目前政务协同基础平台外网部分及下属局部分还是由平台来提供统一的用户管理和身份认证服务。通过政务协同基础平台2次开发实现用户信息的统一管理，建立一个完整的、统一的用户信息库，主要存储用户的基本信息（如用户名、密码、个人信息、组织结构信息等），通过政务协同基础平台提供的统一用户信息的接口，各政务应用系统可以获得统一的用户信息并在此基础上实现统一的认证。用户只需记忆一个用户名、密码，就可以登录管理局内所有的政务应用系统。但这种使用用户名和密码登陆的方式已经无法满足日益严峻的网络安全的需求，国家相关政策也在逐步明确使用数字证书身份认证体系的必要性。国家相关政策列表，如图2所示。

为了加强政务外网应用系统的安全性，海委外网将建立统一的CA认证系统。

2 CA认证简介

图2 国家相关政策列表

为了提高信息在网络传输中的安全性，人们不断提高网络信息传送中所使用加密算法的安全等级。除此之外，还需要在信息数据交互的双方使用一个可以被认证的标识——数字证书，以建立一种信任及验证机制。证书是一个包含身份信息和标识用户特征公钥的数据结构，可进行数字签名。海委政务外网身份认证系统是水利信息系统的安全基础设施，包括身份认证系统（公钥基础设施）PKI（Public Key Infrastructure）、应用安全组件、安全审计系统、目录服务系统，为解决水利信息系统身份认证、数据保护等应用安全问题提供安全服务。证书认证中心CA（Certification Authority）是PKI系统的核心子系统，又称认证机构，是发放、管理、废除数字身份证书的机构，是保证数据在Internet中传输安全的一个重要环节，这里指海委政务外网身份认证系统的证书签发子系统。数字证书DC（Digital Certificate）简称证书，是经一个证书认证中心（CA）数字签名的包含拥有者公开密钥信息和身份信息的数据文件。

轻型目录访问协议LDAP（Light Directory Access Protocol）适用于Internet的目录访问协议，是遵守LDAP协议的目录服务系统，在X.509中定义为数字证书、CRL、属性证书和ACRL的发布仓库，通常被用来存储网络中的人员、设备和配置等基本信息（以下简称为目录服务系统或LDAP）。密钥管理中心KMC（Key Management Center）提供加密证书对密钥生命周期实行全过程管理，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤消、密钥归档、密钥恢复以及安全管理等，这里指海委政务外网身份认证系统的密钥管理子系统。注册中心RA（Registration Authority）是证书的注册机构，负责证书的申请、下载、注销、更新业务，这里指海委政务外网身份认证系统的证书注册子系统。统一用户管理系统UMS（User Managerment System）提供用户属性管理服务。

3 集成方案分析

目前，海委外网已经部署了CA系统，可以实现系统与CA的结合。水文、防汛抗旱等外网系统已经实现了用密钥登陆访问，但是海委直属各管理局还没有进行CA系统的延伸部署，而且各管理局运行的门户系统、综合办公系统、规划计划系统、档案系统等多个业务系统与政务协同平台集成，由平台提供统一的用户组织结构信息和单点登录。如将现有各个系统与CA系统直接集成，协调管理难度非常大，系统开发和测试工作量巨大。最佳的解决方法是海委政务协同平台与CA系统集成，在平台层面进行完善和修改，从而不影响其他业务系统的接口调用和应用。海委政务协同平台与CA系统集成，如图3所示。

图3 海委政务协同平台与CA系统集成

通过在局机关部署RA、UMS、LDAP实现数据集中管理，属地化服务。成功集成后用户的使用流程如下：用户在访问业务系统时，部署在业务系统前端的身份认证网关要求用户提交数字身份证书；用户插入自己的USB KEY并选择对应的数字身份证书，数字身份证书将被提交到网关上；网关在身份认证系统LDAP的支持下完成对证书有效性的检查；在确定证书正确的前提下，网关将从统一用户管理系统中获取对应用户的相关信息并将用户唯一标识 （身份证号）传递给应用系统，应用系统根据获取到的唯一标识，判断用户的身份及权限；另外，为了能保证业务使用的阶段性，某些老应用系统在过渡期可设有2个入口，除证书访问外，原有的用户登录业务的方式依然保留 （依然采取原先用户名和密码的登录方式），过渡期结束后去掉用户名和密码的登录方式；身份认证和入门访问控制结束。

4 结语

目前，海委CA系统向直属各管理局延伸的工作还没有正式展开，但是财务NC系统、预算管理等需要使用数字证书的系统已经包含了直属4个管理局的部分用户，所以海委直属各管理局政务协同基础平台升级改造与CA系统集成的工作迫在眉睫，计划在2012年内通过政务协同基础平台层面的升级改造，实现与CA系统的集成，在不影响各个系统日常应用的基础上实现无缝升级，以满足系统安全性及用户使用便捷性的需要。通过使用数字证书，用户拥有一支KEY就可以实现桌面终端、网络、应用、内容几个层面的安全认证、单点登录，同时可以实现关键信息的传输加密、关键操作的抗抵赖。