鐵道部電子信息中心從去年開始規(guī)劃數(shù)字證書管理系統(tǒng)和一體化用戶管理系統(tǒng)，2002年初，只用了一個多月的時間便完成了系統(tǒng)實施，目前運行狀況良好，而Sun ONE Identity Server、Dire ctory Server在系統(tǒng)中發(fā)揮了重要作用。
    數(shù)字認(rèn)證讓應(yīng)用更安全
    鐵道部的信息系統(tǒng)構(gòu)架龐大而復(fù)雜，下屬14個部局，51個分局，2000多個車站，員工數(shù)量達(dá)百萬，并在此體系結(jié)構(gòu)上部署了以鐵路運輸管理信息系統(tǒng)(TMIS)、全國鐵路客票發(fā)售和預(yù)訂系統(tǒng)(PMIS)和鐵路運輸調(diào)度指揮管理系統(tǒng)(DMIS)三大業(yè)務(wù)系統(tǒng)為主的多種應(yīng)用。各個系統(tǒng)對不同用戶要求不同的權(quán)限，而不同用戶也要求訪問不同的系統(tǒng)，再加上系統(tǒng)有舊有新，加重了用戶管理工作的復(fù)雜程度。
    因此，鐵道部希望通過建立統(tǒng)一用戶認(rèn)證、授權(quán)及安全管理系統(tǒng)，即IM系統(tǒng)，對鐵道部數(shù)十萬的用戶進(jìn)行統(tǒng)一的身份管理，并計劃將來與TMIS、PMIS、DMIS以及其他多種應(yīng)用系統(tǒng)結(jié)合使用。
    IEI科技(中國)有限公司經(jīng)過與鐵道部的充分溝通和長期調(diào)研，并借助自身優(yōu)秀的技術(shù)隊伍和多年的項目實施經(jīng)驗，擔(dān)負(fù)了該項目的系統(tǒng)集成任務(wù)，并進(jìn)行了“根證書管理中心”的實施。
    在新系統(tǒng)使用之前，存在的突出問題是安全性和系統(tǒng)缺乏統(tǒng)一的管理。應(yīng)用系統(tǒng)全部獨立，每訪問一個系統(tǒng)要重新登錄一次。同一用戶訪問多個應(yīng)用系統(tǒng)，要使用不同的用戶名和口令，這顯然不利于應(yīng)用系統(tǒng)的拓展。比如，鐵路的售票系統(tǒng)可以允許多個地方授權(quán)實施，但是如何實現(xiàn)統(tǒng)一的授權(quán)管理和保障安全都很難實施。以前，每一個新的應(yīng)用系統(tǒng)都要通過單獨編程，用邏輯去完成授權(quán)管理。數(shù)字證書管理系統(tǒng)是一個科學(xué)的系統(tǒng)，它的管理功能很全面。新系統(tǒng)使用后，再加入新的應(yīng)用時，完全由系統(tǒng)自動實現(xiàn)用戶的管理和認(rèn)證，可大大方便應(yīng)用的拓展。
    經(jīng)過多方比較，鐵道部電子信息中心選擇了Sun Enterprise 280R服務(wù)器作為硬件平臺，操作系統(tǒng)使用了Solaris 8，并采用Sun ONE Identity Server建設(shè)鐵道部數(shù)字認(rèn)證中心，使用Sun ONE Directory Server作為鐵道部一體化用戶管理系統(tǒng)。目前，鐵道部還只是在其電子信息中心完成了中心節(jié)點服務(wù)，建立了“根證書系統(tǒng)”，下一步將在鄭州鐵路局和廣州鐵路局推廣，并最終實現(xiàn)全路局的應(yīng)用。建成后的數(shù)字證書可被OA辦公系統(tǒng)、MIS系統(tǒng)等調(diào)用。
    用戶管理系統(tǒng)和數(shù)字證書系統(tǒng)建成后，將為鐵道部提供統(tǒng)一的用戶數(shù)據(jù)庫，供所有應(yīng)用使用，并為應(yīng)用提供認(rèn)證安全級別更高的方式，即數(shù)字證書。在關(guān)鍵業(yè)務(wù)中將使用加密機制傳輸數(shù)據(jù)，最終建立統(tǒng)一的用戶管理系統(tǒng)，為全局用戶提供集中的分級管理。
    降低應(yīng)用系統(tǒng)開發(fā)成本
    鐵道部IM系統(tǒng)的近期目標(biāo)是實現(xiàn)對用戶身份認(rèn)證，利用它取代傳統(tǒng)的USERNAME和PASSWORD，提高認(rèn)證效率。而遠(yuǎn)景目標(biāo)則是要建立一個統(tǒng)一的授權(quán)體系，也就是Sun提出的NI(Network Identity)的概念，只需一次登錄和授權(quán)，所有權(quán)限就已經(jīng)定制好，從而簡化了用戶的使用和網(wǎng)管員的管理。今后，鐵道部傳統(tǒng)的應(yīng)用系統(tǒng)，包括客票系統(tǒng)、TMIS系統(tǒng)、OA系統(tǒng)、分局調(diào)動系統(tǒng)等，都可隨時調(diào)用認(rèn)證系統(tǒng)。
    認(rèn)證系統(tǒng)將成為鐵道部整個系統(tǒng)的一個基礎(chǔ)架構(gòu)，也是一個底層應(yīng)用平臺，以后再開發(fā)新的應(yīng)用系統(tǒng)時就不必再單獨考慮認(rèn)證系統(tǒng)，這將簡化應(yīng)用系統(tǒng)的開發(fā)，加快開發(fā)速度，提高效率，降低成本。
    現(xiàn)階段，鐵道部建立的全路系統(tǒng)內(nèi)的信息安全認(rèn)證中心，只是NI的一個部分。未來，當(dāng)該系統(tǒng)在全國鐵路范圍內(nèi)推廣后，對安全性要求最高的清算系統(tǒng)也要使用此認(rèn)證系統(tǒng)。
    IM系統(tǒng)除了滿足安全的需求外，還可以實現(xiàn)對用戶的統(tǒng)一管理。今后，全鐵路系統(tǒng)從鐵道部到路局、分局、段、車站都將被納入其中，任何一個用戶，無論身在何處，只要登錄就可使用這個系統(tǒng)進(jìn)行認(rèn)證、授權(quán)和管理。
    開放平臺便于系統(tǒng)擴展
    鐵道部電子信息中心的IM系統(tǒng)，總共投入只有126萬元人民幣。為什么一個復(fù)雜的項目，投入?yún)s不大呢？ IEI公司的銷售總監(jiān)趙術(shù)求說：“我們只是做了一個模型，將來 隨著用戶數(shù)的增多，系統(tǒng)可以實現(xiàn)輕松擴展�！�
    目前的系統(tǒng)設(shè)計容量在10,000個用戶左右，只為鐵道部電子信息中心和北京、鄭州、廣州三個路局使用。理論上，該系統(tǒng)的用戶數(shù)是沒有限制的，現(xiàn)在只是一個模型，其使用的技術(shù)是通用的，架構(gòu)也易于擴展。將來隨著用戶數(shù)量的增多，即使到了20萬或30萬，只要通過更換更高性能和配置的硬件和軟件資源，就可以滿足新增用戶的需求。而目前系統(tǒng)使用的Sun的軟硬件均具有良好的開放性和可擴展性，將來如果再融入Sun ONE Portal Server，輕松實現(xiàn)應(yīng)用的擴展完全沒有問題。
    在項目實施過程中，Sun ONE給人印象最深的就是開放性，它在管理上的伸縮性優(yōu)于其他同類產(chǎn)品。Sun ONE的另一特點是全面，從NI到J2EE平臺，再到電子商務(wù)平臺，Sun能夠提供一個完整的解決方案。Sun是Internet和Intranet的領(lǐng)導(dǎo)者，使用Sun ONE構(gòu)建的數(shù)字證書系統(tǒng)和用戶管理系統(tǒng)可以很方便地與應(yīng)用相聯(lián)接。
    Sun ONE不僅包括數(shù)字證書，還有目錄服務(wù)，作為一個整體來講更具優(yōu)勢。它采用分布式結(jié)構(gòu)，更加開放，形成的客戶資料全部由用戶自己掌握，增加了安全性。不同的用戶系統(tǒng)間還可進(jìn)行數(shù)據(jù)交換和交叉認(rèn)證，最終可以建立起全球的網(wǎng)狀結(jié)構(gòu)。每個系統(tǒng)都有自己的用戶中心，用戶中心之間可交換數(shù)據(jù)、相互授權(quán)，建立信任機制，這也是NI能在許多項目中贏得用戶的重要原因之一。Sun ONE支持業(yè)界的開放標(biāo)準(zhǔn)，LDAP、數(shù)字認(rèn)證方面的技術(shù)都遵循業(yè)界標(biāo)準(zhǔn)。
    基于Sun ONE架構(gòu)的認(rèn)證系統(tǒng)可以與傳統(tǒng)的C/S整合在一起，但在實現(xiàn)了統(tǒng)一的用戶管理和權(quán)限控制后，這些應(yīng)用都必須整合到Web Server、J2EE上去。數(shù)字證書是一個公用的平臺，前臺的各種應(yīng)用系統(tǒng)都可以使用它。根據(jù)需要，數(shù)字證書還可嵌入到PDA等移動設(shè)備中，再加上Sun ONE Portal Server，在全球的任何一個地方，只要可以上網(wǎng)，通過數(shù)字認(rèn)證后，你都可以訪問到自己的核心應(yīng)用。
    Sun ONE的NI包括了數(shù)字認(rèn)證服務(wù)、目錄服務(wù)、代理服務(wù)、門戶服務(wù)、Web Server等，LDAP協(xié)議的查詢效率很高，即使是上百萬用戶，查詢速度也極快。據(jù)趙術(shù)求介紹，由于鐵道部屬于政府部門，它要求密碼產(chǎn)品必須國產(chǎn)化，因此，IEI與Sun一起開發(fā)了加密機部分，嵌入到Sun ONE的證書管理系統(tǒng)中，既滿足了性能需要，又滿足了用戶對安全性的特殊需求。同時，正因為Sun ONE是嚴(yán)格遵循工業(yè)標(biāo)準(zhǔn)的，所以在嵌入加密算法時沒有遇到困難。
    為Web應(yīng)用開路
    現(xiàn)階段，鐵道部電子信息中心IM系統(tǒng)還只是局限于鐵道部內(nèi)部，未來，他們有信心把它建成一個國家級的數(shù)字證書認(rèn)證系統(tǒng)，并對社會開放，用戶只要有需求，就可以申請，隨著許多二級CA申請注冊點的建立，不論什么行業(yè)都可實現(xiàn)認(rèn)證的管理。當(dāng)然，要實現(xiàn)這一目標(biāo)還需要一些客戶化的工作，但標(biāo)準(zhǔn)是一樣的，底層的東西是一樣的。從發(fā)展的眼光看，網(wǎng)絡(luò)就是一個虛擬的社會，它要依靠數(shù)字證書來識別身份。數(shù)字認(rèn)證作為一個共用的平臺，構(gòu)建于其上的各種應(yīng)用系統(tǒng)可以不斷增加進(jìn)來，只要擁有相應(yīng)的權(quán)限，你就可以使用這些最新的應(yīng)用，所謂的Web應(yīng)用也就順理成章了，它可以促進(jìn)IT的發(fā)展，是應(yīng)用發(fā)展的一個主流方向。
    在建設(shè)數(shù)字證書系統(tǒng)時有一點值得注意，那就是很多人在項目的實施過程中只注重了局部，忽略了NI其實是一個大項目，一個開放的全局性的認(rèn)證系統(tǒng)有可能使整個行業(yè)的用戶從中受益。因此，在實施的過程中，要從系統(tǒng)和全局的角度去考慮整個行業(yè)的管理和信息安全認(rèn)證工作，這不是某一個單位的事，而是整個行業(yè)，甚至是政府部門的事。
    IM系統(tǒng)方興未艾
    鐵道部電子信息中心IM系統(tǒng)的成功運行支持了電子政務(wù)及其他多種應(yīng)用，并滿足內(nèi)部專用系統(tǒng)的安全認(rèn)證和安全傳輸?shù)男枰�。該系統(tǒng)所頒發(fā)的數(shù)字證書能夠全面支持B2C、B2B以及其它復(fù)雜的業(yè)務(wù)模式。統(tǒng)一用戶認(rèn)證、授權(quán)及安全管理系統(tǒng)提供7×24小時的不間斷服務(wù)，并具有檢錯、糾錯功能。系統(tǒng)能夠提供數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)功能，確保數(shù)據(jù)正確、完整，并能抵御來自系統(tǒng)外部和內(nèi)部的攻擊。IM系統(tǒng)可與國內(nèi)外的CA進(jìn)行交叉認(rèn)證，以便于與國內(nèi)外相關(guān)業(yè)務(wù)接軌，且系統(tǒng)的加密算法符合國家相關(guān)法律和法規(guī)的要求，便于對加密算法的種類和強度進(jìn)行擴充。
    IM系統(tǒng)在中國方興未艾。IM系統(tǒng)在鐵道部的實施必將為電子政府和電子政務(wù)的開展注入新的活力，而IM系統(tǒng)也將逐步深入到政府、銀行、證券、電力、電信等各個行業(yè)。中國的14億人口將迎來新的身份認(rèn)證和鑒定模式，而IEI公司一整套成熟的本地化NI系統(tǒng)也將為更多用戶所使用。目前，IEI公司正在為國家電力公司、勝利油田、中國五金礦產(chǎn)進(jìn)出口總公司等大型國有企業(yè)設(shè)計他們的IM方案。