数字身份认证系统的实用性

1海委数字证书身份认证系统介绍

为提高信息在网络传输中的安全性，在不断提高网络信息传送中所使用加密算法的安全等级外，还要在信息数据交互的双方使用一个可以被认证的标识——数字证书，以建立一种信任及验证机制。目前海委政务外网已遵照水利部政务外网数字证书身份认证系统的统一技术架构，建成海委数字证书身份认证系统，考虑对未来纵向和横向扩展的兼容性系统，主要由海委运营认证机构（CA）、证书注册系统（RA）、统一用户管理系统（UMS）和目录服务系统组成。海委运营CA是发放、管理、废除数字身份证书的机构[3]，与水利部根CA通过网络进行数据的同步，是保证数据在Internet中传输安全的一个重要环节；RA是证书的注册机构，负责证书的申请、下载、注销、更新业务[4]；UMS为用户提供统一的属性管理，采用树状方式进行管理[5]，在完成相应的管理后，自动把用户的相应属性、机构信息等同步到各个业务系统的中间库中；目录服务系统是遵守LDAP协议的目录服务系统[6]，在X.509中定义为数字证书、CRL（证书作废表）、属性证书和ACRL的仓库，也通常被用来存储网络中的人员、设备和配置等基本信息。身份认证网关负责身份认证，从统一用户管理获取用户的身份和相关属性等信息，以及用户能访问的业务系统描述，然后把以上信息传递给后台业务系统。整体系统结构如图3所示。目前，海委用户信息包括姓名、身份证号、组织机构、电子邮箱、应用授权信息等。用户信息统一采集统计，形成用户属性信息申请表，提交到审核机构审核，审核人员确认申请信息无误后，签字确认，并将申请表通过网络或人工方式传递给统一用户管理系统信息录入员，录入员将信息录入统一用户管理系统中。用户和证书的管理皆可以在UMS上进行操作，包括证书更新、注销、启用、停用等操作，真正实现统一用户管理。

2RTX系统与身份认证系统结合方案分析

为进一步增强系统的安全性，即时通讯系统需要与用户管理系统相结合，用户使用身份证号进行实名制登记申请RTX账号，这样可以很好地保证个人用户信息的安全，以及工作文件的安全与不外泄。RTX系统与身份认证系统的结合有2种方案可以选择，一种是RTX与UMS直接结合，采用用户名密码的方式进行登录；另一种是与海委运营CA系统深度结合，通过USBKey进行登录。

2.1用户名密码登录方式

这种登录方式属于原有系统的升级改造，使用方法和原有系统一致（采用用户名密码方式），开发工作量较小，只涉及服务器端SDK（软件开发工具包）的开发和整合。首先在统一用户管理系统中增加RTX应用设置，为RTX系统创建数据库或者目录。UMS实时把与RTX应用相关联的已授权的用户、机构数据，增量推至UMS为各应用系统所创建的数据库或者目录中。RTX应用需保证目标数据库或者目录可写，UMS保证用户和机构数据的实效性、安全性、稳定性、完整性。UMS将用户和组织机构的数据发送给RTX应用，RTX应用系统保证中间表中每条记录的变化，均对应用系统实际业务数据表产生相应的影响。当RTX系统有用户信息变更时，管理员只需要在UMS中进行相应的用户信息增加、删除、修改操作，无需登录RTX管理端二次进行修改。根据指定的同步策略，UMS将在策略中规定的时间将变化信息发送至RTX应用中间表中，RTX系统读取中间表中的数据进行用户信息的更改。用户登录RTX系统时，只有在统一用户管理系统中进行了授权的用户才能通过验证，输入用户名和密码登录系统。

2.2USBKey登录方式

腾讯通RTX通过文件RTX.EXE启动，不会读取USBKey中的证书。所以需要开发一个启动程序（RTX登录组件），用户读取RTX客户端PC机的USBKey中的证书，并提交腾讯通服务器的认证组件，该认证组件去CA认证系统的认证接口进行认证，认证成功后向腾讯通服务器获取会话密钥（SessionKey），并把该会话密钥发给客户端启动程序（RTX登录组件），然后RTX登录组件获得SessionKey，并把该key提交给RTX.EXE，腾讯通RTX登录成功。登陆及认证过程如图4所示。此种方式开发工作量较大，需要腾讯通服务器端和客户端开发工作。腾讯通的使用方式有所变化，用户插上USBKey，点击RTX图标可以实现登录。2.2.1针对海委运营CA系统的开发工作RTX系统在进行集中认证接入改造时，需要将原有的认证流程改造成网关集中认证业务流程，RTX客户端，RTX服务器及认证网关之间的交互关系，改造流程如图5所示。2.2.2针对腾讯通的开发工作腾讯通必须使用SessionKey的非密码验证方式，方便与第三方应用集成，实现单点登录，原理如图6如示。根据图6所示，开发工作步骤如下：1）第三方应用客户端（如IE）登录应用服务器；2）验证通过后，应用服务器访问RTXServer，获取SessionKey；3）应用服务器将SessionKey传递给应用客户端；4）应用客户端将SessionKey作为参数，调用RTXClient的验证API；5）RTXClient使用SessionKey登录RTXServer；6）RTX服务端验证SessionKey算法；7）RTXServer向RTXClient发送成功登录与否的消息，如正确则成功登录，否则提示错误信息。第1种方式，RTX系统与统一用户管理系统直接结合的优点：开发成本低，沿用原腾讯通的开发方式；便于升级，整体上对腾讯通的客户端没有进行开发工作。第2种方式，RTX系统与海委运营CA集成的优点：完全融入CA体系，结合USBKey实现CA认证；安全性高。第2种方式需要对RTX的客户端程序进行二次开发，客户端程序无法自动在线升级，用户必须使用USBKey进行登录，对于使用范围覆盖全委、用户超过1400人的RTX系统来说，让所有用户使用USBKey进行登录，增加了用户的使用难度，和用户之前的使用习惯有一定差别，无法预知用户的接受能力。而第1种方式，延续以前RTX系统使用用户名密码的登录方式，符合大部分用户的使用习惯，而且通过与统一用户管理系统的结合，用户使用身份证号申请RTX账号，登录时系统会验证身份信息，一样可以满足系统安全性方面的要求。

3RTX升级方案的选择和实施

通过分析，选择RTX系统与第三方统一用户管理系统相结合，通过用户名/密码方式登录进行此次海委系统的RTX升级工作。此方式需要开发用户同步程序，利用RTX开放的SDK接口编程，涉及到RTXAPI的调用，定时器的使用，数据库的连接等。采用RTXSDK实现数据库同步，首先从统一用户管理系统提供的源数据库取出文本格式的数据，然后对其进行处理，处理后插入腾讯通数据库中。直接调用数据库方法的任务包括，完成同步数据库功能存储过程、定时器、日志管理等的设计。系统用2种方法实现Oracle数据库到Access数据库的同步，并提供给用户直观简洁的操作界面，以及定时自动同步数据库的设置。用户使用身份证号通过统一用户管理系统申请RTX账号，登录时系统会验证身份信息，通过输入统一用户管理系统中设置的用户名和密码登录RTX系统。在以后的工作中如果需要进一步增强系统的安全性，用户使用USBKey进行登录时，只需要在数字身份认证系统中的身份认证网关及RTX客户端的安装程序进行修改即可实现，具体过程如下：1）在身份认证网关的应用列表中加入RTX应用信息，包括RTX应用的访问地址、标识。2）通过对RTX客户端安装程序进行二次打包，需要开发一个启动程序，以读取用户USBKey中的信息，通过RTX服务器向身份认证网关提交认证信息。

4结语

经过多年的使用，海委即时通讯系统大大提高了海委办公效率，已成为海委综合办公系统的有益补充。目前进行的系统升级，完善了离线文件处理稳定性、组织机构排序灵活性等功能，系统使用情况良好。即时通讯系统的成功升级使相隔数百千米远的用户可以在海委政务外网范围内进行点对点的消息、语音及视频对话，百兆级别的数据传输仅需几秒钟；升级后的系统使用实名制管理，并采用数字身份认证技术，极大地保障了用户个人信息及工作文件的安全与不外泄。从一定程度上对提高海委办公效率，节约办公成本做出了贡献。

作者：黄锐 张洋 刘福春 单位：水利部海河水利委员会信息中心 天津市水利勘测设计院