黃 銳，張 洋，劉福春

（1. 水利部海河水利委員會(huì)信息中心，天津 300170；

2. 天津市水利勘測(cè)設(shè)計(jì)院，天津 300204）

基于數(shù)字身份認(rèn)證系統(tǒng)的即時(shí)通訊系統(tǒng)應(yīng)用探討

黃 銳1，張 洋1，劉福春2

（1. 水利部海河水利委員會(huì)信息中心，天津 300170；

2. 天津市水利勘測(cè)設(shè)計(jì)院，天津 300204）

介紹海河水利委員會(huì)即時(shí)通訊、數(shù)字身份認(rèn)證等系統(tǒng)的技術(shù)架構(gòu)，對(duì)即時(shí)通訊系統(tǒng)升級(jí)的 2 種方案：即時(shí)通訊系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)結(jié)合通過用戶名/密碼方式進(jìn)行登錄，和即時(shí)通訊系統(tǒng)與認(rèn)證系統(tǒng)深度集成通過USB Key 登錄的方案，從原理、實(shí)現(xiàn)方法、實(shí)施步驟、開發(fā)工作量、系統(tǒng)安全性、用戶接受程度等方面進(jìn)行詳細(xì)分析，最終選擇即時(shí)通訊系統(tǒng)與第三方統(tǒng)一用戶管理系統(tǒng)結(jié)合，通過用戶名/密碼方式進(jìn)行登錄的方案對(duì)海河水利委員會(huì)即時(shí)通訊系統(tǒng)進(jìn)行升級(jí)改造，升級(jí)后的系統(tǒng)完善了離線文件處理穩(wěn)定性、組織機(jī)構(gòu)排序靈活性等功能，極大地保障用戶個(gè)人信息及工作文件的安全與不外泄。

數(shù)字身份認(rèn)證系統(tǒng)；即時(shí)通訊；CA；UMS

0 引言

海河水利委員會(huì)（以下簡(jiǎn)稱海委）即時(shí)通訊系統(tǒng)（騰訊通 RTX）于 2007年正式啟用，因功能齊全、運(yùn)行穩(wěn)定、操作便捷，已在海委政務(wù)外網(wǎng)得到廣泛應(yīng)用，為綜合網(wǎng)絡(luò)信息的傳遞、工作效率的提升起到了重要作用。目前因騰訊通 2007 版本功能存在問題，以及老版本一些無(wú)法修復(fù)的 bug 嚴(yán)重影響了整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)，同時(shí)為進(jìn)一步滿足用戶的使用需求、提升系統(tǒng)性能、豐富系統(tǒng)功能，海委信息中心于 2013年組織了系統(tǒng)升級(jí)工作。2013年5月，系統(tǒng)經(jīng)過部署和試運(yùn)行，已經(jīng)正式上線運(yùn)行。

1 RTX 技術(shù)介紹

RTX 是企業(yè)級(jí)實(shí)時(shí)通信平臺(tái)，是一種高度可管理、低成本、易部署的 IT 平臺(tái)。RTX 集成了豐富的溝通方式，包括文本會(huì)話、語(yǔ)音/視頻交流、手機(jī)短信、文件傳輸、IP 電話、網(wǎng)絡(luò)會(huì)議，以及應(yīng)用程序共享、電子白板等遠(yuǎn)程協(xié)作方式?？稍谄髽I(yè)內(nèi)部實(shí)現(xiàn) 2個(gè)或多個(gè)用戶之間的文字、語(yǔ)音、視頻和數(shù)據(jù)文檔的溝通[1]；員工之間可以隨時(shí)點(diǎn)對(duì)點(diǎn)進(jìn)行溝通，還可以方便快捷地進(jìn)行文字溝通，文件發(fā)送，甚至通過程序共享來討論工作，共同完成一項(xiàng)任務(wù)。

1.1 RTX 體系架構(gòu)

RTX 體系架構(gòu)主要包括 ConnectSvr，DBServer，GroupServer，AppServer 等 4個(gè)部分。ConnectSvr 是RTX 連接服務(wù)，用于 RTXClient（RTX 客戶端）進(jìn)行登錄；DBServer 是數(shù)據(jù)庫(kù)服務(wù)，用于連接數(shù)據(jù)庫(kù)，并讀取用戶資料驗(yàn)證用戶信息；GroupServer 是群組服務(wù)，用于建立 RTX 用戶群和組織架構(gòu)，AppServer是組件服務(wù)，用于 RTX 的二次開發(fā)，提供與第三方的接口服務(wù)。整體系統(tǒng)架構(gòu)如圖1 所示[2]。

RTX Server 提供的 API（應(yīng)用程序編程接口）主要包括服務(wù)端和代理端 2 部分，其中服務(wù)端安裝在 RTX Server 所在機(jī)器上，代理端安裝在調(diào)用 API的應(yīng)用服務(wù)器上。系統(tǒng)架構(gòu)如圖2 所示。

1.2 RTX 部署方式

RTX 系統(tǒng)的軟硬件部署主要包括 3個(gè)部分：RTX 用戶工作臺(tái)（安裝 RTXClient）、RTX 服務(wù)器（安裝 RTX 各類服務(wù)）、數(shù)據(jù)/文件服務(wù)器（安裝數(shù)據(jù)庫(kù)軟件/文件系統(tǒng)）。

圖1 RTX 應(yīng)用服務(wù)架構(gòu)圖

圖2 RTX SDK 系統(tǒng)結(jié)構(gòu)圖

海委 RTX 服務(wù)器與數(shù)據(jù)/文件服務(wù)器根據(jù)實(shí)際情況整合為 1 臺(tái)服務(wù)器，部署在海委政務(wù)外網(wǎng)機(jī)房?jī)?nèi)，主要用于 RTX 客戶端進(jìn)行文件消息收發(fā)，并存儲(chǔ)離線文件消息的數(shù)據(jù)。海委機(jī)關(guān)和委屬 4 局授權(quán)的 RTX 用戶在本地電腦上安裝 RTX 客戶端，通過局域網(wǎng)連接 RTX 服務(wù)器進(jìn)行消息和文件的發(fā)送。

2 海委數(shù)字證書身份認(rèn)證系統(tǒng)介紹

為提高信息在網(wǎng)絡(luò)傳輸中的安全性，在不斷提高網(wǎng)絡(luò)信息傳送中所使用加密算法的安全等級(jí)外，還要在信息數(shù)據(jù)交互的雙方使用一個(gè)可以被認(rèn)證的標(biāo)識(shí)——數(shù)字證書，以建立一種信任及驗(yàn)證機(jī)制。

目前海委政務(wù)外網(wǎng)已遵照水利部政務(wù)外網(wǎng)數(shù)字證書身份認(rèn)證系統(tǒng)的統(tǒng)一技術(shù)架構(gòu)，建成海委數(shù)字證書身份認(rèn)證系統(tǒng)，考慮對(duì)未來縱向和橫向擴(kuò)展的兼容性系統(tǒng)，主要由海委運(yùn)營(yíng)認(rèn)證機(jī)構(gòu)（CA）、證書注冊(cè)系統(tǒng)（RA）、統(tǒng)一用戶管理系統(tǒng)（UMS）和目錄服務(wù)系統(tǒng)組成。海委運(yùn)營(yíng) CA 是發(fā)放、管理、廢除數(shù)字身份證書的機(jī)構(gòu)[3]，與水利部根 CA 通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的同步，是保證數(shù)據(jù)在 Internet 中傳輸安全的一個(gè)重要環(huán)節(jié)； RA 是證書的注冊(cè)機(jī)構(gòu)，負(fù)責(zé)證書的申請(qǐng)、下載、注銷、更新業(yè)務(wù)[4]； UMS 為用戶提供統(tǒng)一的屬性管理，采用樹狀方式進(jìn)行管理[5]，在完成相應(yīng)的管理后，自動(dòng)把用戶的相應(yīng)屬性、機(jī)構(gòu)信息等同步到各個(gè)業(yè)務(wù)系統(tǒng)的中間庫(kù)中；目錄服務(wù)系統(tǒng)是遵守 LDAP 協(xié)議的目錄服務(wù)系統(tǒng)[6]，在 X.509中定義為數(shù)字證書、CRL（證書作廢表）、屬性證書和 ACRL 的發(fā)布倉(cāng)庫(kù)，也通常被用來存儲(chǔ)網(wǎng)絡(luò)中的人員、設(shè)備和配置等基本信息。身份認(rèn)證網(wǎng)關(guān)負(fù)責(zé)身份認(rèn)證，從統(tǒng)一用戶管理獲取用戶的身份和相關(guān)屬性等信息，以及用戶能訪問的業(yè)務(wù)系統(tǒng)描述，然后把以上信息傳遞給后臺(tái)業(yè)務(wù)系統(tǒng)。整體系統(tǒng)結(jié)構(gòu)如圖3 所示。

圖3 海委數(shù)字證書身份認(rèn)證系統(tǒng)結(jié)構(gòu)圖

目前，海委用戶信息包括姓名、身份證號(hào)、組織機(jī)構(gòu)、電子郵箱、應(yīng)用授權(quán)信息等。用戶信息統(tǒng)一采集統(tǒng)計(jì)，形成用戶屬性信息申請(qǐng)表，提交到審核機(jī)構(gòu)審核，審核人員確認(rèn)申請(qǐng)信息無(wú)誤后，簽字確認(rèn)，并將申請(qǐng)表通過網(wǎng)絡(luò)或人工方式傳遞給統(tǒng)一用戶管理系統(tǒng)信息錄入員，錄入員將信息錄入統(tǒng)一用戶管理系統(tǒng)中。用戶和證書的管理皆可以在 UMS上進(jìn)行操作，包括證書更新、注銷、啟用、停用等操作，真正實(shí)現(xiàn)統(tǒng)一用戶管理。

3 RTX 系統(tǒng)與身份認(rèn)證系統(tǒng)結(jié)合方案分析

為進(jìn)一步增強(qiáng)系統(tǒng)的安全性，即時(shí)通訊系統(tǒng)需要與用戶管理系統(tǒng)相結(jié)合，用戶使用身份證號(hào)進(jìn)行實(shí)名制登記申請(qǐng) RTX 賬號(hào)，這樣可以很好地保證個(gè)人用戶信息的安全，以及工作文件的安全與不外泄。RTX 系統(tǒng)與身份認(rèn)證系統(tǒng)的結(jié)合有 2 種方案可以選擇，一種是 RTX 與 UMS 直接結(jié)合，采用用戶名密碼的方式進(jìn)行登錄；另一種是與海委運(yùn)營(yíng) CA 系統(tǒng)深度結(jié)合，通過 USB Key 進(jìn)行登錄。

3.1 用戶名密碼登錄方式

這種登錄方式屬于原有系統(tǒng)的升級(jí)改造，使用方法和原有系統(tǒng)一致（采用用戶名密碼方式），開發(fā)工作量較小，只涉及服務(wù)器端 SDK（軟件開發(fā)工具包）的開發(fā)和整合。

首先在統(tǒng)一用戶管理系統(tǒng)中增加 RTX 應(yīng)用設(shè)置，為 RTX 系統(tǒng)創(chuàng)建數(shù)據(jù)庫(kù)或者目錄。UMS 實(shí)時(shí)把與 RTX 應(yīng)用相關(guān)聯(lián)的已授權(quán)的用戶、機(jī)構(gòu)數(shù)據(jù)，增量推至 UMS 為各應(yīng)用系統(tǒng)所創(chuàng)建的數(shù)據(jù)庫(kù)或者目錄中。RTX 應(yīng)用需保證目標(biāo)數(shù)據(jù)庫(kù)或者目錄可寫，UMS 保證用戶和機(jī)構(gòu)數(shù)據(jù)的實(shí)效性、安全性、穩(wěn)定性、完整性。

UMS 將用戶和組織機(jī)構(gòu)的數(shù)據(jù)發(fā)送給 RTX 應(yīng)用，RTX 應(yīng)用系統(tǒng)保證中間表中每條記錄的變化，均對(duì)應(yīng)用系統(tǒng)實(shí)際業(yè)務(wù)數(shù)據(jù)表產(chǎn)生相應(yīng)的影響。

當(dāng) RTX 系統(tǒng)有用戶信息變更時(shí)，管理員只需要在 UMS 中進(jìn)行相應(yīng)的用戶信息增加、刪除、修改操作，無(wú)需登錄 RTX 管理端二次進(jìn)行修改。根據(jù)指定的同步策略，UMS 將在策略中規(guī)定的時(shí)間將變化信息發(fā)送至 RTX 應(yīng)用中間表中，RTX 系統(tǒng)讀取中間表中的數(shù)據(jù)進(jìn)行用戶信息的更改。

用戶登錄 RTX 系統(tǒng)時(shí)，只有在統(tǒng)一用戶管理系統(tǒng)中進(jìn)行了授權(quán)的用戶才能通過驗(yàn)證，輸入用戶名和密碼登錄系統(tǒng)。

3.2 USB Key 登錄方式

騰訊通 RTX 通過文件 RTX.EXE 啟動(dòng)，不會(huì)讀取 USB Key 中的證書。所以需要開發(fā)一個(gè)啟動(dòng)程序（RTX 登錄組件），用戶讀取 RTX 客戶端 PC 機(jī)的 USB Key 中的證書，并提交騰訊通服務(wù)器的認(rèn)證組件，該認(rèn)證組件去 CA 認(rèn)證系統(tǒng)的認(rèn)證接口進(jìn)行認(rèn)證，認(rèn)證成功后向騰訊通服務(wù)器獲取會(huì)話密鑰（Session Key），并把該會(huì)話密鑰發(fā)給客戶端啟動(dòng)程序（RTX 登錄組件），然后 RTX 登錄組件獲得Session Key，并把該 key 提交給 RTX.EXE，騰訊通RTX 登錄成功。登陸及認(rèn)證過程如圖4 所示。

此種方式開發(fā)工作量較大，需要騰訊通服務(wù)器端和客戶端開發(fā)工作。騰訊通的使用方式有所變化，用戶插上 USB Key，點(diǎn)擊 RTX 圖標(biāo)可以實(shí)現(xiàn)登錄。

3.2.1 針對(duì)海委運(yùn)營(yíng) CA 系統(tǒng)的開發(fā)工作

RTX 系統(tǒng)在進(jìn)行集中認(rèn)證接入改造時(shí)，需要將原有的認(rèn)證流程改造成網(wǎng)關(guān)集中認(rèn)證業(yè)務(wù)流程，RTX 客戶端，RTX 服務(wù)器及認(rèn)證網(wǎng)關(guān)之間的交互關(guān)系，改造流程如圖5 所示。

圖4 USB Key 登陸認(rèn)證過程圖

圖5 改造流程圖

3.2.2 針對(duì)騰訊通的開發(fā)工作

騰訊通必須使用 Session Key 的非密碼驗(yàn)證方式，方便與第三方應(yīng)用集成，實(shí)現(xiàn)單點(diǎn)登錄，原理如圖6 如示。根據(jù)圖6 所示，開發(fā)工作步驟如下：

1）第三方應(yīng)用客戶端（如 IE）登錄應(yīng)用服務(wù)器；

2）驗(yàn)證通過后，應(yīng)用服務(wù)器訪問 RTX Server，獲取 Session Key；

3）應(yīng)用服務(wù)器將 Session Key 傳遞給應(yīng)用客戶端；

4）應(yīng)用客戶端將 Session Key 作為參數(shù)，調(diào)用RTXClient 的驗(yàn)證 API；

5）RTX Client 使用 Session Key 登錄 RTX Server；

6）RTX 服務(wù)端驗(yàn)證 Session Key 算法；

7）RTX Server 向 RTXClient 發(fā)送成功登錄與否的消息，如正確則成功登錄，否則提示錯(cuò)誤信息。

3.3 2 種開發(fā)方案優(yōu)缺點(diǎn)分析

第 1 種方式，RTX 系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)直接結(jié)合的優(yōu)點(diǎn)：開發(fā)成本低，沿用原騰訊通的開發(fā)方式；便于升級(jí)，整體上對(duì)騰訊通的客戶端沒有進(jìn)行開發(fā)工作。

圖6 騰訊通單點(diǎn)登陸改造原理圖

第 2 種方式，RTX 系統(tǒng)與海委運(yùn)營(yíng) CA 集成的優(yōu)點(diǎn)：完全融入 CA 體系，結(jié)合 USB Key 實(shí)現(xiàn) CA認(rèn)證；安全性高。

第 2 種方式需要對(duì) RTX 的客戶端程序進(jìn)行二次開發(fā)，客戶端程序無(wú)法自動(dòng)在線升級(jí)，用戶必須使用 USB Key 進(jìn)行登錄，對(duì)于使用范圍覆蓋全委、用戶超過 1 400 人的 RTX 系統(tǒng)來說，讓所有用戶使用 USB Key 進(jìn)行登錄，增加了用戶的使用難度，和用戶之前的使用習(xí)慣有一定差別，無(wú)法預(yù)知用戶的接受能力。而第 1 種方式，延續(xù)以前 RTX 系統(tǒng)使用用戶名密碼的登錄方式，符合大部分用戶的使用習(xí)慣，而且通過與統(tǒng)一用戶管理系統(tǒng)的結(jié)合，用戶使用身份證號(hào)申請(qǐng) RTX 賬號(hào)，登錄時(shí)系統(tǒng)會(huì)驗(yàn)證身份信息，一樣可以滿足系統(tǒng)安全性方面的要求。

4 RTX 升級(jí)方案的選擇和實(shí)施

通過分析，選擇 RTX 系統(tǒng)與第三方統(tǒng)一用戶管理系統(tǒng)相結(jié)合，通過用戶名/密碼方式登錄進(jìn)行此次海委系統(tǒng)的 RTX 升級(jí)工作。

此方式需要開發(fā)用戶同步程序，利用 RTX 開放的 SDK 接口編程，涉及到 RTX API 的調(diào)用，定時(shí)器的使用，數(shù)據(jù)庫(kù)的連接等。采用 RTX SDK 實(shí)現(xiàn)數(shù)據(jù)庫(kù)同步，首先從統(tǒng)一用戶管理系統(tǒng)提供的源數(shù)據(jù)庫(kù)取出文本格式的數(shù)據(jù)，然后對(duì)其進(jìn)行處理，處理后插入騰訊通數(shù)據(jù)庫(kù)中。直接調(diào)用數(shù)據(jù)庫(kù)方法的任務(wù)包括，完成同步數(shù)據(jù)庫(kù)功能存儲(chǔ)過程、定時(shí)器、日志管理等的設(shè)計(jì)。系統(tǒng)用 2 種方法實(shí)現(xiàn) Oracle 數(shù)據(jù)庫(kù)到 Access 數(shù)據(jù)庫(kù)的同步，并提供給用戶直觀簡(jiǎn)潔的操作界面，以及定時(shí)自動(dòng)同步數(shù)據(jù)庫(kù)的設(shè)置。用戶使用身份證號(hào)通過統(tǒng)一用戶管理系統(tǒng)申請(qǐng) RTX 賬號(hào)，登錄時(shí)系統(tǒng)會(huì)驗(yàn)證身份信息，通過輸入統(tǒng)一用戶管理系統(tǒng)中設(shè)置的用戶名和密碼登錄 RTX 系統(tǒng)。

在以后的工作中如果需要進(jìn)一步增強(qiáng)系統(tǒng)的安全性，用戶使用 USB Key 進(jìn)行登錄時(shí)，只需要在數(shù)字身份認(rèn)證系統(tǒng)中的身份認(rèn)證網(wǎng)關(guān)及 RTX 客戶端的安裝程序進(jìn)行修改即可實(shí)現(xiàn)，具體過程如下：

1）在身份認(rèn)證網(wǎng)關(guān)的應(yīng)用列表中加入 RTX 應(yīng)用信息，包括 RTX 應(yīng)用的訪問地址、標(biāo)識(shí)。

2）通過對(duì) RTX 客戶端安裝程序進(jìn)行二次打包，需要開發(fā)一個(gè)啟動(dòng)程序，以讀取用戶 USB Key中的信息，通過 RTX 服務(wù)器向身份認(rèn)證網(wǎng)關(guān)提交認(rèn)證信息。

5 結(jié)語(yǔ)

經(jīng)過多年的使用，海委即時(shí)通訊系統(tǒng)大大提高了海委辦公效率，已成為海委綜合辦公系統(tǒng)的有益補(bǔ)充。目前進(jìn)行的系統(tǒng)升級(jí)，完善了離線文件處理穩(wěn)定性、組織機(jī)構(gòu)排序靈活性等功能，系統(tǒng)使用情況良好。即時(shí)通訊系統(tǒng)的成功升級(jí)使相隔數(shù)百千米遠(yuǎn)的用戶可以在海委政務(wù)外網(wǎng)范圍內(nèi)進(jìn)行點(diǎn)對(duì)點(diǎn)的消息、語(yǔ)音及視頻對(duì)話，百兆級(jí)別的數(shù)據(jù)傳輸僅需幾秒鐘；升級(jí)后的系統(tǒng)使用實(shí)名制管理，并采用數(shù)字身份認(rèn)證技術(shù)，極大地保障了用戶個(gè)人信息及工作文件的安全與不外泄。從一定程度上對(duì)提高海委辦公效率，節(jié)約辦公成本做出了貢獻(xiàn)。

[1] 苗來柱. 騰訊通（RTX）在企業(yè)辦公系統(tǒng)中的應(yīng)用[J]. 自動(dòng)化與儀器儀表，2007 (6): 87-88.

[2] 騰訊科技（深圳）有限公司. RTX 2011 技術(shù)白皮書[EB/OL]. [2013-10-12]. http://rtx.tencent.com.

[3] 劉云，王茂才. 一種基于 ID 的移動(dòng)業(yè)務(wù)安全認(rèn)證系統(tǒng)模型[J]. 信息網(wǎng)絡(luò)安全，2012 (11): 37.

[4] 郭萍，李廉，王炳新. 基于校園網(wǎng) CA 系統(tǒng)的設(shè)計(jì)及分析[C]//第十九次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文. 北京：中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)，2004: 294-295.

[5] 趙保翠，劉崗. 基于 LDAP 的統(tǒng)一用戶管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J]. 微電子學(xué)與計(jì)算機(jī)，2005, 22 (11): 60-61.

[6] 于佳麗. 基于 USB-Key 的統(tǒng)一數(shù)字證書系統(tǒng)[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用，2012 (18): 169-170.

Application of Instant Messaging System Based on Digital Identity Authentication System

HUANG Rui1, ZHANG Yang1, LIU Fuchun2
（1. Water Information Center, Haihe River Water Conservancy Committee, Tianjin 300170, China;
2. Tianjin Survey and Design Institute of Water Conservancy, Tianjin 300204, China)

This article introduces the technical framework of instant messaging system and digital identity authentication system of Haihe River Water Conservancy Commission (HWCC). From the perspectives of theory, methods, steps, workload, system security and user acceptance, it gives a detail analysis on two solutions: one is a combination of the instant messaging system with the universal user management system by log in username/password, and another is to log in with a UKEY on the basis of a deep integration of the instant messaging system and the CA system. In the end, the solution of logging in by inputting username/password on the basis of a combination of the instant messaging system and a third-party universal user management system is chosen to upgrade the instant messaging system of HWCC. The upgraded system improved the function of the offline file handling stability and organization flexibility. It greatly guarantees the safety and no leak of users’ personal information and working file.

Digital identity authentication system; RTX(Real Time eXpert); CA(Certification Authority); UMS(User Managerment System)

TP311

A

1674-9405(2014)01-0043-04

2013-10-24

黃 銳（1975－），男，江蘇泰州人，高級(jí)工程師，主要從事水利信息化規(guī)劃、建設(shè)管理、信息系統(tǒng)運(yùn)維管理等工作。