Sun ONE平臺為Web應用鋪路
2007-3-17 15:57:00 來源:物流天下 編輯:lili8158 關注度:摘要:... ...
鐵道部電子信息中心從去年開始規劃數字證書管理系統和一體化用戶管理系統,2002年初,只用了一個多月的時間便完成了系統實施,目前運行狀況良好,而Sun ONE Identity Server、Dire ctory Server在系統中發揮了重要作用。
數字認證讓應用更安全
鐵道部的信息系統構架龐大而復雜,下屬14個部局,51個分局,2000多個車站,員工數量達百萬,并在此體系結構上部署了以鐵路運輸管理信息系統(TMIS)、全國鐵路客票發售和預訂系統(PMIS)和鐵路運輸調度指揮管理系統(DMIS)三大業務系統為主的多種應用。各個系統對不同用戶要求不同的權限,而不同用戶也要求訪問不同的系統,再加上系統有舊有新,加重了用戶管理工作的復雜程度。
因此,鐵道部希望通過建立統一用戶認證、授權及安全管理系統,即IM系統,對鐵道部數十萬的用戶進行統一的身份管理,并計劃將來與TMIS、PMIS、DMIS以及其他多種應用系統結合使用。
IEI科技(中國)有限公司經過與鐵道部的充分溝通和長期調研,并借助自身優秀的技術隊伍和多年的項目實施經驗,擔負了該項目的系統集成任務,并進行了“根證書管理中心”的實施。
在新系統使用之前,存在的突出問題是安全性和系統缺乏統一的管理。應用系統全部獨立,每訪問一個系統要重新登錄一次。同一用戶訪問多個應用系統,要使用不同的用戶名和口令,這顯然不利于應用系統的拓展。比如,鐵路的售票系統可以允許多個地方授權實施,但是如何實現統一的授權管理和保障安全都很難實施。以前,每一個新的應用系統都要通過單獨編程,用邏輯去完成授權管理。數字證書管理系統是一個科學的系統,它的管理功能很全面。新系統使用后,再加入新的應用時,完全由系統自動實現用戶的管理和認證,可大大方便應用的拓展。
經過多方比較,鐵道部電子信息中心選擇了Sun Enterprise 280R服務器作為硬件平臺,操作系統使用了Solaris 8,并采用Sun ONE Identity Server建設鐵道部數字認證中心,使用Sun ONE Directory Server作為鐵道部一體化用戶管理系統。目前,鐵道部還只是在其電子信息中心完成了中心節點服務,建立了“根證書系統”,下一步將在鄭州鐵路局和廣州鐵路局推廣,并最終實現全路局的應用。建成后的數字證書可被OA辦公系統、MIS系統等調用。
用戶管理系統和數字證書系統建成后,將為鐵道部提供統一的用戶數據庫,供所有應用使用,并為應用提供認證安全級別更高的方式,即數字證書。在關鍵業務中將使用加密機制傳輸數據,最終建立統一的用戶管理系統,為全局用戶提供集中的分級管理。
降低應用系統開發成本
鐵道部IM系統的近期目標是實現對用戶身份認證,利用它取代傳統的USERNAME和PASSWORD,提高認證效率。而遠景目標則是要建立一個統一的授權體系,也就是Sun提出的NI(Network Identity)的概念,只需一次登錄和授權,所有權限就已經定制好,從而簡化了用戶的使用和網管員的管理。今后,鐵道部傳統的應用系統,包括客票系統、TMIS系統、OA系統、分局調動系統等,都可隨時調用認證系統。
認證系統將成為鐵道部整個系統的一個基礎架構,也是一個底層應用平臺,以后再開發新的應用系統時就不必再單獨考慮認證系統,這將簡化應用系統的開發,加快開發速度,提高效率,降低成本。
現階段,鐵道部建立的全路系統內的信息安全認證中心,只是NI的一個部分。未來,當該系統在全國鐵路范圍內推廣后,對安全性要求最高的清算系統也要使用此認證系統。
IM系統除了滿足安全的需求外,還可以實現對用戶的統一管理。今后,全鐵路系統從鐵道部到路局、分局、段、車站都將被納入其中,任何一個用戶,無論身在何處,只要登錄就可使用這個系統進行認證、授權和管理。
開放平臺便于系統擴展
鐵道部電子信息中心的IM系統,總共投入只有126萬元人民幣。為什么一個復雜的項目,投入卻不大呢? IEI公司的銷售總監趙術求說:“我們只是做了一個模型,將來 隨著用戶數的增多,系統可以實現輕松擴展。”
目前的系統設計容量在10,000個用戶左右,只為鐵道部電子信息中心和北京、鄭州、廣州三個路局使用。理論上,該系統的用戶數是沒有限制的,現在只是一個模型,其使用的技術是通用的,架構也易于擴展。將來隨著用戶數量的增多,即使到了20萬或30萬,只要通過更換更高性能和配置的硬件和軟件資源,就可以滿足新增用戶的需求。而目前系統使用的Sun的軟硬件均具有良好的開放性和可擴展性,將來如果再融入Sun ONE Portal Server,輕松實現應用的擴展完全沒有問題。
在項目實施過程中,Sun ONE給人印象最深的就是開放性,它在管理上的伸縮性優于其他同類產品。Sun ONE的另一特點是全面,從NI到J2EE平臺,再到電子商務平臺,Sun能夠提供一個完整的解決方案。Sun是Internet和Intranet的領導者,使用Sun ONE構建的數字證書系統和用戶管理系統可以很方便地與應用相聯接。
Sun ONE不僅包括數字證書,還有目錄服務,作為一個整體來講更具優勢。它采用分布式結構,更加開放,形成的客戶資料全部由用戶自己掌握,增加了安全性。不同的用戶系統間還可進行數據交換和交叉認證,最終可以建立起全球的網狀結構。每個系統都有自己的用戶中心,用戶中心之間可交換數據、相互授權,建立信任機制,這也是NI能在許多項目中贏得用戶的重要原因之一。Sun ONE支持業界的開放標準,LDAP、數字認證方面的技術都遵循業界標準。
基于Sun ONE架構的認證系統可以與傳統的C/S整合在一起,但在實現了統一的用戶管理和權限控制后,這些應用都必須整合到Web Server、J2EE上去。數字證書是一個公用的平臺,前臺的各種應用系統都可以使用它。根據需要,數字證書還可嵌入到PDA等移動設備中,再加上Sun ONE Portal Server,在全球的任何一個地方,只要可以上網,通過數字認證后,你都可以訪問到自己的核心應用。
Sun ONE的NI包括了數字認證服務、目錄服務、代理服務、門戶服務、Web Server等,LDAP協議的查詢效率很高,即使是上百萬用戶,查詢速度也極快。據趙術求介紹,由于鐵道部屬于政府部門,它要求密碼產品必須國產化,因此,IEI與Sun一起開發了加密機部分,嵌入到Sun ONE的證書管理系統中,既滿足了性能需要,又滿足了用戶對安全性的特殊需求。同時,正因為Sun ONE是嚴格遵循工業標準的,所以在嵌入加密算法時沒有遇到困難。
為Web應用開路
現階段,鐵道部電子信息中心IM系統還只是局限于鐵道部內部,未來,他們有信心把它建成一個國家級的數字證書認證系統,并對社會開放,用戶只要有需求,就可以申請,隨著許多二級CA申請注冊點的建立,不論什么行業都可實現認證的管理。當然,要實現這一目標還需要一些客戶化的工作,但標準是一樣的,底層的東西是一樣的。從發展的眼光看,網絡就是一個虛擬的社會,它要依靠數字證書來識別身份。數字認證作為一個共用的平臺,構建于其上的各種應用系統可以不斷增加進來,只要擁有相應的權限,你就可以使用這些最新的應用,所謂的Web應用也就順理成章了,它可以促進IT的發展,是應用發展的一個主流方向。
在建設數字證書系統時有一點值得注意,那就是很多人在項目的實施過程中只注重了局部,忽略了NI其實是一個大項目,一個開放的全局性的認證系統有可能使整個行業的用戶從中受益。因此,在實施的過程中,要從系統和全局的角度去考慮整個行業的管理和信息安全認證工作,這不是某一個單位的事,而是整個行業,甚至是政府部門的事。
IM系統方興未艾
鐵道部電子信息中心IM系統的成功運行支持了電子政務及其他多種應用,并滿足內部專用系統的安全認證和安全傳輸的需要。該系統所頒發的數字證書能夠全面支持B2C、B2B以及其它復雜的業務模式。統一用戶認證、授權及安全管理系統提供7×24小時的不間斷服務,并具有檢錯、糾錯功能。系統能夠提供數據備份與數據恢復功能,確保數據正確、完整,并能抵御來自系統外部和內部的攻擊。IM系統可與國內外的CA進行交叉認證,以便于與國內外相關業務接軌,且系統的加密算法符合國家相關法律和法規的要求,便于對加密算法的種類和強度進行擴充。
IM系統在中國方興未艾。IM系統在鐵道部的實施必將為電子政府和電子政務的開展注入新的活力,而IM系統也將逐步深入到政府、銀行、證券、電力、電信等各個行業。中國的14億人口將迎來新的身份認證和鑒定模式,而IEI公司一整套成熟的本地化NI系統也將為更多用戶所使用。目前,IEI公司正在為國家電力公司、勝利油田、中國五金礦產進出口總公司等大型國有企業設計他們的IM方案。