- 铁道部电子信息中心从去年开始规划数字证书管理系统和一体化用户管理系统,2002年初,只用了一个多月的时间便完成了系统实施,目前运行状况良好,而Sun ONE Identity Server、Dire ctory Server在系统中发挥了重要作
铁道部电子信息中心从去年开始规划数字证书管理系统和一体化用户管理系统,2002年初,只用了一个多月的时间便完成了系统实施,目前运行状况良好,而Sun ONE Identity Server、Dire ctory Server在系统中发挥了重要作用。
数字认证让应用更安全
铁道部的信息系统构架庞大而复杂,下属14个部局,51个分局,2000多个车站,员工数量达百万,并在此体系结构上部署了以铁路运输管理信息系统(TMIS)、全国铁路客票发售和预订系统(PMIS)和铁路运输调度指挥管理系统(DMIS)三大业务系统为主的多种应用。各个系统对不同用户要求不同的权限,而不同用户也要求访问不同的系统,再加上系统有旧有新,加重了用户管理工作的复杂程度。
因此,铁道部希望通过建立统一用户认证、授权及安全管理系统,即IM系统,对铁道部数十万的用户进行统一的身份管理,并计划将来与TMIS、PMIS、DMIS以及其他多种应用系统结合使用。
IEI科技(中国)有限公司经过与铁道部的充分沟通和长期调研,并借助自身优秀的技术队伍和多年的项目实施经验,担负了该项目的系统集成任务,并进行了“根证书管理中心”的实施。
在新系统使用之前,存在的突出问题是安全性和系统缺乏统一的管理。应用系统全部独立,每访问一个系统要重新登录一次。同一用户访问多个应用系统,要使用不同的用户名和口令,这显然不利于应用系统的拓展。比如,铁路的售票系统可以允许多个地方授权实施,但是如何实现统一的授权管理和保障安全都很难实施。以前,每一个新的应用系统都要通过单独编程,用逻辑去完成授权管理。数字证书管理系统是一个科学的系统,它的管理功能很全面。新系统使用后,再加入新的应用时,完全由系统自动实现用户的管理和认证,可大大方便应用的拓展。
经过多方比较,铁道部电子信息中心选择了Sun Enterprise 280R服务器作为硬件平台,操作系统使用了Solaris 8,并采用Sun ONE Identity Server建设铁道部数字认证中心,使用Sun ONE Directory Server作为铁道部一体化用户管理系统。目前,铁道部还只是在其电子信息中心完成了中心节点服务,建立了“根证书系统”,下一步将在郑州铁路局和广州铁路局推广,并最终实现全路局的应用。建成后的数字证书可被OA办公系统、MIS系统等调用。
用户管理系统和数字证书系统建成后,将为铁道部提供统一的用户数据库,供所有应用使用,并为应用提供认证安全级别更高的方式,即数字证书。在关键业务中将使用加密机制传输数据,最终建立统一的用户管理系统,为全局用户提供集中的分级管理。
降低应用系统开发成本
铁道部IM系统的近期目标是实现对用户身份认证,利用它取代传统的USERNAME和PASSWORD,提高认证效率。而远景目标则是要建立一个统一的授权体系,也就是Sun提出的NI(Network Identity)的概念,只需一次登录和授权,所有权限就已经定制好,从而简化了用户的使用和网管员的管理。今后,铁道部传统的应用系统,包括客票系统、TMIS系统、OA系统、分局调动系统等,都可随时调用认证系统。
认证系统将成为铁道部整个系统的一个基础架构,也是一个底层应用平台,以后再开发新的应用系统时就不必再单独考虑认证系统,这将简化应用系统的开发,加快开发速度,提高效率,降低成本。
现阶段,铁道部建立的全路系统内的信息安全认证中心,只是NI的一个部分。未来,当该系统在全国铁路范围内推广后,对安全性要求最高的清算系统也要使用此认证系统。
IM系统除了满足安全的需求外,还可以实现对用户的统一管理。今后,全铁路系统从铁道部到路局、分局、段、车站都将被纳入其中,任何一个用户,无论身在何处,只要登录就可使用这个系统进行认证、授权和管理。
开放平台便于系统扩展
铁道部电子信息中心的IM系统,总共投入只有126万元人民币。为什么一个复杂的项目,投入却不大呢? IEI公司的销售总监赵术求说:“我们只是做了一个模型,将来 随着用户数的增多,系统可以实现轻松扩展。”
目前的系统设计容量在10,000个用户左右,只为铁道部电子信息中心和北京、郑州、广州三个路局使用。理论上,该系统的用户数是没有限制的,现在只是一个模型,其使用的技术是通用的,架构也易于扩展。将来随着用户数量的增多,即使到了20万或30万,只要通过更换更高性能和配置的硬件和软件资源,就可以满足新增用户的需求。而目前系统使用的Sun的软硬件均具有良好的开放性和可扩展性,将来如果再融入Sun ONE Portal Server,轻松实现应用的扩展完全没有问题。
在项目实施过程中,Sun ONE给人印象最深的就是开放性,它在管理上的伸缩性优于其他同类产品。Sun ONE的另一特点是全面,从NI到J2EE平台,再到电子商务平台,Sun能够提供一个完整的解决方案。Sun是Internet和Intranet的领导者,使用Sun ONE构建的数字证书系统和用户管理系统可以很方便地与应用相联接。
Sun ONE不仅包括数字证书,还有目录服务,作为一个整体来讲更具优势。它采用分布式结构,更加开放,形成的客户资料全部由用户自己掌握,增加了安全性。不同的用户系统间还可进行数据交换和交叉认证,最终可以建立起全球的网状结构。每个系统都有自己的用户中心,用户中心之间可交换数据、相互授权,建立信任机制,这也是NI能在许多项目中赢得用户的重要原因之一。Sun ONE支持业界的开放标准,LDAP、数字认证方面的技术都遵循业界标准。
基于Sun ONE架构的认证系统可以与传统的C/S整合在一起,但在实现了统一的用户管理和权限控制后,这些应用都必须整合到Web Server、J2EE上去。数字证书是一个公用的平台,前台的各种应用系统都可以使用它。根据需要,数字证书还可嵌入到PDA等移动设备中,再加上Sun ONE Portal Server,在全球的任何一个地方,只要可以上网,通过数字认证后,你都可以访问到自己的核心应用。
Sun ONE的NI包括了数字认证服务、目录服务、代理服务、门户服务、Web Server等,LDAP协议的查询效率很高,即使是上百万用户,查询速度也极快。据赵术求介绍,由于铁道部属于政府部门,它要求密码产品必须国产化,因此,IEI与Sun一起开发了加密机部分,嵌入到Sun ONE的证书管理系统中,既满足了性能需要,又满足了用户对安全性的特殊需求。同时,正因为Sun ONE是严格遵循工业标准的,所以在嵌入加密算法时没有遇到困难。
为Web应用开路
现阶段,铁道部电子信息中心IM系统还只是局限于铁道部内部,未来,他们有信心把它建成一个国家级的数字证书认证系统,并对社会开放,用户只要有需求,就可以申请,随着许多二级CA申请注册点的建立,不论什么行业都可实现认证的管理。当然,要实现这一目标还需要一些客户化的工作,但标准是一样的,底层的东西是一样的。从发展的眼光看,网络就是一个虚拟的社会,它要依靠数字证书来识别身份。数字认证作为一个共用的平台,构建于其上的各种应用系统可以不断增加进来,只要拥有相应的权限,你就可以使用这些最新的应用,所谓的Web应用也就顺理成章了,它可以促进IT的发展,是应用发展的一个主流方向。
在建设数字证书系统时有一点值得注意,那就是很多人在项目的实施过程中只注重了局部,忽略了NI其实是一个大项目,一个开放的全局性的认证系统有可能使整个行业的用户从中受益。因此,在实施的过程中,要从系统和全局的角度去考虑整个行业的管理和信息安全认证工作,这不是某一个单位的事,而是整个行业,甚至是政府部门的事。
IM系统方兴未艾
铁道部电子信息中心IM系统的成功运行支持了电子政务及其他多种应用,并满足内部专用系统的安全认证和安全传输的需要。该系统所颁发的数字证书能够全面支持B2C、B2B以及其它复杂的业务模式。统一用户认证、授权及安全管理系统提供7×24小时的不间断服务,并具有检错、纠错功能。系统能够提供数据备份与数据恢复功能,确保数据正确、完整,并能抵御来自系统外部和内部的攻击。IM系统可与国内外的CA进行交叉认证,以便于与国内外相关业务接轨,且系统的加密算法符合国家相关法律和法规的要求,便于对加密算法的种类和强度进行扩充。
IM系统在中国方兴未艾。IM系统在铁道部的实施必将为电子政府和电子政务的开展注入新的活力,而IM系统也将逐步深入到政府、银行、证券、电力、电信等各个行业。中国的14亿人口将迎来新的身份认证和鉴定模式,而IEI公司一整套成熟的本地化NI系统也将为更多用户所使用。目前,IEI公司正在为国家电力公司、胜利油田、中国五金矿产进出口总公司等大型国有企业设计他们的IM方案。
- 每日推荐
- 热点资讯
