浅谈长江海事统一身份认证系统
2017-04-12毕洋
毕洋
摘 要 随着海事信息化水平的不断进步,海事业务目前已实现电子化办理,但各系统间自成一体的登录信息,分类繁多的登录方式已影响到海事一线工作人员的工作效率。长江海事局通过建设统一身份认证系统,实现了海事各业务系统间用户登录信息的唯一性,安全性。
关键词 统一身份认证 一数一源 数字认证
1 现状
长江海事局目前存在内河船员管理系统、船舶动态管理系统、船舶防污染管理系统、船舶载客管理系统、法规管理系统、长江海事局办公OA系统、长江海事业务系统系统、海船船员电子申报等共计10余个业务系统及1个海事业务数据中心。这些系统目前均采用的是单一口令登录方式,但各系统的用户登录信息并不存在明显的关联关系,各个系统自成一套用户登录名/密码,海事工作人员在使用各个业务系统时需要输入不同的用户名/密码进行登录操作。分类繁多的用户名/密码对工作人员记忆力是一种考验,同时单一的用户名/密码的登录方式也存在信息被盗取、篡改和非法操作等问题。是否存在一种方式能够解决上述问题呢?
2 解决方案
针对上述现状,长江海事局引入了统一身份认证系统进行解决。统一身份认证系统分为数字认证系统和统一身份管理系统两块,数字认证系统能够通过数字签名的方式提供给用户安全可靠的登录机制;统一用户管理系统可对长江海事局用户身份和访问权限进行管理和分配,并为用户提供单点登录功能,实现用户登录、账号、认证、审计的统一管理。本文重点介绍统一用户管理系统的设计及应用。
根据长江海事局日常业务系统的实际情况,我们确立了以统一身份管理系统作为长江海事局各个业务应用系统中用户信息的唯一生产源,按照“一数一源”的要求来解决一线职工登录海事业务系统的诸多难题。
按照长江局现有业务系统的人员信息我们在统一用户管理系统搭建oracle数据库,创建了属性信息表(ATTR _INFO)、属性值表(ATTR_VALUE)、机构信息表(ORGANIZATION_INFO)、用户表(USER_INFO)、用户凭证信息表(USER_CREDENCE_INFO)这5张表格,基本涵盖用户的姓名(USER_NAME),身份證号(USER_IDCARD_NUM),单位(UNIT_CODE),岗位(USER_ORG_CODE),电话号码(USER_PHONE)等信息,在各张表之间构建了用户和机构关联信息表(USER_TO_ORG)、用户扩展属性表(USER_EXT_INFO)、机构扩展属性表(ORG_EXT_INFO)三张表进行关联。长江海事局所有业务应用系统(含数据中心)的用户信息,全部从统一用户管理系统中录入维护,用户基础信息不涉及到各个业务应用系统的使用权限属性,只包含用户姓名,身份证号,单位,岗位,电话号码等。现存的长江海事局用户信息分为两类,一类是原OA系统中已存在的用户信息,另一类是每年新进公务员的用户信息,针对一老一新两种信息的录入我们做了如下界定:OA中已存在的用户信息,将按照统一用户管理系统的创建要求,提取相应的字段做成excel表,批量导入至统一用户管理系统;新进人员用户信息,将直接在统一用户管理系统界面中进行创建录入;
用户信息数据源在数据库收集整理录入完毕后,我们还需实现统一用户管理系统与海事各业务系统间的数据同步,这里我们根据长江局各业务应用系统的实际架构情况,沿用之前各业务应用系统与数据中心同步的机制,仅增加统一用户管理系统与数据中心的单向同步。具体流程为统一用户管理系统提供WebService服务将用户信息推送至数据中心,而后再由数据中心同步至各业务应用系统(如下图)。
上述方式的能实现长江海事局用户登录信息的唯一性,用户登录信息分发到各业务系统后,各业务系统管理员根据用户的实际需要自行分配系统权限,这些都可以在后台操作完成。海事工作人员今后仅需使用一套用户名/密码即可登录多个海事业务系统。同时通过与数字认证系统的关联,我们为每位用户制作了移动数字证书(ukey),今后用户登录系统时,仅需插入个人专属的ukey,输入密码即可登录海事业务系统,避免了其他用户冒用他人信息非法登录海事业务系统办理相关业务的情况出现。
在统一用户管理系统建成的基础上,我们进一步开发建立了长江海事局统一安全认证门户,用户仅需输入一次用户名密码,即可登录所有的业务系统,进一步提高用户的工作效率。举例来说即工作人员A需要登录法规管理系统、长江海事局办公系统、长江海事业务协同平台,在之前三个系统登录需要输入三次用户名和密码;有了统一认证门户网站后,用户仅需要插入ukey登录统一安全认证门户,页面会根据用户的访问权限自动跳转显示出法规管理系统、长江海事局办公系统、长江海事业务协同平台这三个系统的子图标,用户仅需鼠标左键点击相应的图标即可进入到相关系统中,无需再次登录其它系统。
3 建成效果
长江海事统一身份认证系统于2016年7月1日正式上线运行,累计发放用户ukey证书4500余份,已实现全局用户使用数字证书(ukey)登录长江海事OA系统,长江海事协同管理平台等海事业务系统,数字证书(ukey)已成为长江海事工作人员访问海事信息系统的唯一电子化身份标识。
4 结语
长江海事局统一身份认证系统的建成,实现了对长江海事局内部用户的统一管理,实现了海事人员数据的统一性、唯一性,为海事业务系统提供了统一的登录认证和信息安全支撑,使长江海事局的海事业务更加便捷化,规范化,流程化。
