淺談長江海事統(tǒng)一身份認(rèn)證系統(tǒng)

畢洋

摘 要 隨著海事信息化水平的不斷進(jìn)步，海事業(yè)務(wù)目前已實(shí)現(xiàn)電子化辦理，但各系統(tǒng)間自成一體的登錄信息，分類繁多的登錄方式已影響到海事一線工作人員的工作效率。長江海事局通過建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)了海事各業(yè)務(wù)系統(tǒng)間用戶登錄信息的唯一性，安全性。

關(guān)鍵詞 統(tǒng)一身份認(rèn)證 一數(shù)一源 數(shù)字認(rèn)證

1 現(xiàn)狀

長江海事局目前存在內(nèi)河船員管理系統(tǒng)、船舶動態(tài)管理系統(tǒng)、船舶防污染管理系統(tǒng)、船舶載客管理系統(tǒng)、法規(guī)管理系統(tǒng)、長江海事局辦公OA系統(tǒng)、長江海事業(yè)務(wù)系統(tǒng)系統(tǒng)、海船船員電子申報(bào)等共計(jì)10余個(gè)業(yè)務(wù)系統(tǒng)及1個(gè)海事業(yè)務(wù)數(shù)據(jù)中心。這些系統(tǒng)目前均采用的是單一口令登錄方式，但各系統(tǒng)的用戶登錄信息并不存在明顯的關(guān)聯(lián)關(guān)系，各個(gè)系統(tǒng)自成一套用戶登錄名/密碼，海事工作人員在使用各個(gè)業(yè)務(wù)系統(tǒng)時(shí)需要輸入不同的用戶名/密碼進(jìn)行登錄操作。分類繁多的用戶名/密碼對工作人員記憶力是一種考驗(yàn)，同時(shí)單一的用戶名/密碼的登錄方式也存在信息被盜取、篡改和非法操作等問題。是否存在一種方式能夠解決上述問題呢？

2 解決方案

針對上述現(xiàn)狀，長江海事局引入了統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行解決。統(tǒng)一身份認(rèn)證系統(tǒng)分為數(shù)字認(rèn)證系統(tǒng)和統(tǒng)一身份管理系統(tǒng)兩塊，數(shù)字認(rèn)證系統(tǒng)能夠通過數(shù)字簽名的方式提供給用戶安全可靠的登錄機(jī)制；統(tǒng)一用戶管理系統(tǒng)可對長江海事局用戶身份和訪問權(quán)限進(jìn)行管理和分配，并為用戶提供單點(diǎn)登錄功能，實(shí)現(xiàn)用戶登錄、賬號、認(rèn)證、審計(jì)的統(tǒng)一管理。本文重點(diǎn)介紹統(tǒng)一用戶管理系統(tǒng)的設(shè)計(jì)及應(yīng)用。

根據(jù)長江海事局日常業(yè)務(wù)系統(tǒng)的實(shí)際情況，我們確立了以統(tǒng)一身份管理系統(tǒng)作為長江海事局各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)中用戶信息的唯一生產(chǎn)源，按照“一數(shù)一源”的要求來解決一線職工登錄海事業(yè)務(wù)系統(tǒng)的諸多難題。

按照長江局現(xiàn)有業(yè)務(wù)系統(tǒng)的人員信息我們在統(tǒng)一用戶管理系統(tǒng)搭建oracle數(shù)據(jù)庫，創(chuàng)建了屬性信息表（ATTR _INFO）、屬性值表（ATTR_VALUE）、機(jī)構(gòu)信息表（ORGANIZATION_INFO）、用戶表（USER_INFO）、用戶憑證信息表（USER_CREDENCE_INFO）這5張表格，基本涵蓋用戶的姓名（USER_NAME），身份證號（USER_IDCARD_NUM），單位（UNIT_CODE），崗位（USER_ORG_CODE），電話號碼（USER_PHONE）等信息，在各張表之間構(gòu)建了用戶和機(jī)構(gòu)關(guān)聯(lián)信息表（USER_TO_ORG）、用戶擴(kuò)展屬性表（USER_EXT_INFO）、機(jī)構(gòu)擴(kuò)展屬性表（ORG_EXT_INFO）三張表進(jìn)行關(guān)聯(lián)。長江海事局所有業(yè)務(wù)應(yīng)用系統(tǒng)（含數(shù)據(jù)中心）的用戶信息，全部從統(tǒng)一用戶管理系統(tǒng)中錄入維護(hù)，用戶基礎(chǔ)信息不涉及到各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的使用權(quán)限屬性，只包含用戶姓名，身份證號，單位，崗位，電話號碼等。現(xiàn)存的長江海事局用戶信息分為兩類，一類是原OA系統(tǒng)中已存在的用戶信息，另一類是每年新進(jìn)公務(wù)員的用戶信息，針對一老一新兩種信息的錄入我們做了如下界定：OA中已存在的用戶信息，將按照統(tǒng)一用戶管理系統(tǒng)的創(chuàng)建要求，提取相應(yīng)的字段做成excel表，批量導(dǎo)入至統(tǒng)一用戶管理系統(tǒng)；新進(jìn)人員用戶信息，將直接在統(tǒng)一用戶管理系統(tǒng)界面中進(jìn)行創(chuàng)建錄入；

用戶信息數(shù)據(jù)源在數(shù)據(jù)庫收集整理錄入完畢后，我們還需實(shí)現(xiàn)統(tǒng)一用戶管理系統(tǒng)與海事各業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)同步，這里我們根據(jù)長江局各業(yè)務(wù)應(yīng)用系統(tǒng)的實(shí)際架構(gòu)情況，沿用之前各業(yè)務(wù)應(yīng)用系統(tǒng)與數(shù)據(jù)中心同步的機(jī)制，僅增加統(tǒng)一用戶管理系統(tǒng)與數(shù)據(jù)中心的單向同步。具體流程為統(tǒng)一用戶管理系統(tǒng)提供WebService服務(wù)將用戶信息推送至數(shù)據(jù)中心，而后再由數(shù)據(jù)中心同步至各業(yè)務(wù)應(yīng)用系統(tǒng)（如下圖）。

上述方式的能實(shí)現(xiàn)長江海事局用戶登錄信息的唯一性，用戶登錄信息分發(fā)到各業(yè)務(wù)系統(tǒng)后，各業(yè)務(wù)系統(tǒng)管理員根據(jù)用戶的實(shí)際需要自行分配系統(tǒng)權(quán)限，這些都可以在后臺操作完成。海事工作人員今后僅需使用一套用戶名/密碼即可登錄多個(gè)海事業(yè)務(wù)系統(tǒng)。同時(shí)通過與數(shù)字認(rèn)證系統(tǒng)的關(guān)聯(lián)，我們?yōu)槊课挥脩糁谱髁艘苿訑?shù)字證書（ukey），今后用戶登錄系統(tǒng)時(shí)，僅需插入個(gè)人專屬的ukey，輸入密碼即可登錄海事業(yè)務(wù)系統(tǒng)，避免了其他用戶冒用他人信息非法登錄海事業(yè)務(wù)系統(tǒng)辦理相關(guān)業(yè)務(wù)的情況出現(xiàn)。

在統(tǒng)一用戶管理系統(tǒng)建成的基礎(chǔ)上，我們進(jìn)一步開發(fā)建立了長江海事局統(tǒng)一安全認(rèn)證門戶，用戶僅需輸入一次用戶名密碼，即可登錄所有的業(yè)務(wù)系統(tǒng)，進(jìn)一步提高用戶的工作效率。舉例來說即工作人員A需要登錄法規(guī)管理系統(tǒng)、長江海事局辦公系統(tǒng)、長江海事業(yè)務(wù)協(xié)同平臺，在之前三個(gè)系統(tǒng)登錄需要輸入三次用戶名和密碼；有了統(tǒng)一認(rèn)證門戶網(wǎng)站后，用戶僅需要插入ukey登錄統(tǒng)一安全認(rèn)證門戶，頁面會根據(jù)用戶的訪問權(quán)限自動跳轉(zhuǎn)顯示出法規(guī)管理系統(tǒng)、長江海事局辦公系統(tǒng)、長江海事業(yè)務(wù)協(xié)同平臺這三個(gè)系統(tǒng)的子圖標(biāo)，用戶僅需鼠標(biāo)左鍵點(diǎn)擊相應(yīng)的圖標(biāo)即可進(jìn)入到相關(guān)系統(tǒng)中，無需再次登錄其它系統(tǒng)。

3 建成效果

長江海事統(tǒng)一身份認(rèn)證系統(tǒng)于2016年7月1日正式上線運(yùn)行，累計(jì)發(fā)放用戶ukey證書4500余份，已實(shí)現(xiàn)全局用戶使用數(shù)字證書（ukey）登錄長江海事OA系統(tǒng)，長江海事協(xié)同管理平臺等海事業(yè)務(wù)系統(tǒng)，數(shù)字證書（ukey）已成為長江海事工作人員訪問海事信息系統(tǒng)的唯一電子化身份標(biāo)識。

4 結(jié)語

長江海事局統(tǒng)一身份認(rèn)證系統(tǒng)的建成，實(shí)現(xiàn)了對長江海事局內(nèi)部用戶的統(tǒng)一管理，實(shí)現(xiàn)了海事人員數(shù)據(jù)的統(tǒng)一性、唯一性，為海事業(yè)務(wù)系統(tǒng)提供了統(tǒng)一的登錄認(rèn)證和信息安全支撐，使長江海事局的海事業(yè)務(wù)更加便捷化，規(guī)范化，流程化。