一種公眾網絡統一身份認證服務架構

劉建華，王筱蕾

（1.西安郵電大學 信息中心，陜西 西安710121； 2.西安郵電大學 計算機學院，陜西 西安710121）

在當今的網絡世界中，用戶在登錄不同的業務系統獲取服務時，都要輸入不同的認證信息，給用戶帶來了極大的不便。統一身份認證可以很好的解決這樣的問題。行業和標準化組織對統一身份認證服務進行深入地研究，如國際電信聯盟（ITU）［1－2］、自由 聯盟 （Liberty Alliance）［3］、結構化信息標準促進組織（OASIS）、第3代合作伙伴計劃（3GPP）、網際網路聯盟（W3C）、歐洲電信標準委員會（ETSI）和Internet工程任務組（IETF）等，在其身份管理相關規范或標準中增加了統一身份認證相關的內容［4］。隨著身份認證技術的不斷發展，統一身份認證的應用遍布很多行業，如：教育、電信、金融、能源、物流、醫療等行業。

目前，統一身份認證的應用主要集中在企業及行業內部，在某一個特定的范圍內實現了所謂的“統一身份認證”，而用戶在登錄不屬于該范圍的服務平臺時仍然面臨不同的身份認證問題［5］。如何將局部的認證服務推向更廣闊的平臺是統一身份認證亟需解決的問題，為此，提出一種公眾網絡統一身份認證服務的構想，以方便用戶的身份認證與管理。

1 基本概念及架構

1.1 基本定義

定義1（身份）［6］身份即以一個或多個信息元素表示的實體，使實體足以在語境內得到區分。

在身份管理［7］中，術語“身份”被理解為語境下的身份（屬性子集），即屬性的多樣性受限于實體存在和互動的邊界條件（語境）框架。

定義2（統一身份認證）［8］統一身份認證指的是實現網上應用系統的用戶、角色和組織機構統一化管理，實現各種應用系統間跨域的單點登錄、單點退出和統一的身份認證功能。

用戶登錄到一個系統后，再轉入到其他應用系統時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應用系統中身份的一致性。

定義3（服務）［9］所謂服務，是指為他人做事，并使他人從中受益的一種有償或無償的活動。

服務不以實物形式而以提供活勞動的形式來滿足他人某種特殊需要。

定義4（IT服務）［9］IT服務是指滿足用戶IT需求的服務產品與服務過程，其中服務產品包括硬件集成、軟件集成、通用解決方案、行業解決方案和IT綜合服務等。

統一身份認證服務是統一身份認證與IT服務的結合，實現身份管理服務和業務服務分離。

1.2 服務模式架構

按照統一身份認證與IT服務結合的思想，并且依據統一身份認證的服務模式架構，我們提出一種基于公眾網絡的統一身份認證的服務模式架構［10－12］，見圖1。

圖1 公眾網絡統一認證服務架構

統一身份認證由統一身份認證服務網提供，統一身份認證服務網則由認證評估自治系統、服務組織資源樹、身份集成服務中心構成。認證評估自治系統由會話接入控制器、認證服務器組成，負責收集用戶身份信息和記錄用戶對服務的可信評估，組成服務客戶端的可信評估網絡。服務資源組織樹由身份聯合管理、數據網關和屬性服務器組成，根據服務可信度、服務質量和服務能力把服務資源組成服務聯盟。服務聯盟存儲多個服務提供者的用戶注冊的身份信息，并進行合理的動態身份聯合。不管單個的服務提供者如何變化，服務聯盟總能提供最合適的身份信息，保證了服務的可靠性。身份集成服務中心由會話接入控制器、身份生存周期管理組成，負責身份信息（如標識、憑證和屬性）的登記、注冊、發布及撤銷等，并且負責認證評估自治系統和服務資源組織樹的分配、注冊和維護。它們三者協同進行可信服務的組織和管理。

2 工作流程

2.1 用戶的安全注冊

用戶的安全注冊是指用戶加入到區域代理認證評估自治系統中，以后享有可信監管、推薦及評估的流程。用戶安全注冊流程如圖2所示，其中重復序號表示行為同步發生。

圖2 用戶的安全注冊流程

首先，用戶首次向服務提供商注冊，提供一系列的身份信息。服務提供商將這些身份信息在本地進行記錄后發布給身份集成服務中心，同時存儲在服務資源樹。身份集成服務中心根據用戶身份信息，首先通過認證評估自治系統向服務資源組織樹查詢用戶信息是否存在及合法，若存在且合法則向用戶和服務提供者發送認證成功消息，用戶和服務提供者可以直接綁定并提供服務。若不存在，則按照認證評估自治系統有關協議進行身份驗證，同時認證評估自治系統記錄用戶安全級別并存儲到服務資源組織樹，并返回用戶端的用戶聯盟ID號，以后用戶端憑借此ID號與服務提供者進行綁定，進行可信服務請求、評估。

2.2 可信服務過程監管及評估反饋

可信統一身份認證服務過程監管、評估反饋是指可信的用戶的查詢、服務及可信評估流程。可信服務過程監管及評估反饋的流程如圖3所示。

經過安全注冊的用戶直接向服務提供商發出服務請求，認證評估自治系統對用戶安全認證后，用戶憑借用戶的聯盟ID號查詢身份服務集成中心，身份集成服務中心根據用戶的請求，給出需要查詢的區域服務資源組織樹（首次負載均衡），服務資源組織樹根據當時資源的利用情況、可信度和服務質量返回最優的身份服務提供商給認證評估自治系統（二次負載均衡），認證評估自治系統把查詢結果告知用戶，用戶然后去綁定給定的服務提供商享受服務。等服務結束后，用戶憑借自己的聯盟ID號對這次服務進行可信性、服務質量評估，把結果告知認證評估自治系統，認證評估自治系統把結果反饋給服務資源組織樹，服務資源組織樹再對所轄資源進行動態優化。

圖3 可信服務過程監管及評估反饋流程

2.3 服務提供者的安全注冊

服務提供者的安全注冊是指相關業務服務實體加入服務組織資源樹中接受可信管理，可以對自己的狀態、服務質量實時監控，從整個統一身份認證服務聯盟保證服務的可信性。服務提供者的安全注冊流程如圖4所示。

當服務提供者第一次向身份集成服務中心注冊時，身份集成服務注冊完備后，還要向服務提供者所在當地的服務組織資源樹發出安全注冊指令，服務組織資源樹接到指令后，主動向服務提供者發出"可信服務安全注冊邀請"，如果服務提供者接受此邀請，則按照服務組織資源樹協議的有關內容進行安全注冊可信度首次評估，同時服務組織資源樹對服務提供者進行樹內資源定位，并返回給服務提供者安全注冊的聯盟ID號。以后服務提供者就憑借此聯盟ID號進行服務提供、接受可信評估、或者進行服務合作等等。

圖4 服務提供者的安全注冊流程

3 部署框架

公眾網絡統一身份服務最關鍵的是身份的發現與定位，即將跨組織、跨網絡和跨應用服務的用戶身份服務提供商與唯一的商業身份關聯起來。根據我國實際情況，提出與我國國情相適應的公眾網絡統一身份服務部署框架，如圖5所示。

圖5 公眾網絡統一身份服務部署框架

下級身份提供商以自己的統一身份標識向上級身份提供商注冊，并提供自己所管理身份標識符區段等信息，從而組成統一身份認證服務網絡。在每一級中，都包括了身份轉換服務、橋接服務、身份關系服務以及身份與資源發現服務。

（1）身份轉換以及橋接服務：提供連接不同級別身份提供商系統的機制，為不同級別的身份提供商系統身份信息的共享提供了條件。

（2）身份關系服務：用于訪問、管理不同級別數字身份之間可能的關系，即完成用戶在不同級別身份提供商的多數字身份的統一管理。

（3）身份與資源發現服務：主要負責發現不同級別的用戶身份提供商，并將它們與唯一的商業身份關聯起來。如何發現和查詢用戶的標識符和信任狀由該服務負責。

4 應用擴展分析

當前的統一身份認證服務主要集中在企業及行業內部，在教育、電信、金融、能源、物流、醫療等行業有著廣泛的應用。我們列舉教育行業中的典型案例按照統一身份認證服務的模式架構來說明當前統一身份認證服務的具體應用。

某院校的“數字校園”的核心支撐系統［13］，統一了身份認證與授權，雖然很好的實現了校內身份認證的統一化，但是涉及范圍較小，因此我們把這種統一身份認證擴大到公眾網絡中去。圖6為該系統在公眾網絡中的擴展架構模式。

圖6 某一卡通認證系統在公眾網絡中的擴展模型

圖6 中的擴展模型是在該校內一卡通系統的框架結構的基礎上，按照公眾網絡統一認證服務架構思想提出的。首先，服務提供者可提供的服務范圍由校內擴大到了校外，持卡的在校師生可以享受更多校園外的服務。其次，用戶的多重身份信息存儲在服務組織資源樹中，在統一身份認證網中進行統一的管理與認證。用戶在享受不同的服務時只需認證對應的身份信息即可。再次，雖然一卡通的服務范圍擴大，每個用戶將擁有多個身份信息，但是身份提供者是不會改變的，仍然是校內的發卡機構，用戶也仍然是校內的師生及工作人員。

5 結語

統一身份認證的建立和推廣在實際應用以及學術研究中都具有很高的價值。在實際應用中不僅使用戶更加方便的使用在線服務，而且提高了各個行業、企業的經濟效益。在學術上，推動了基于生物特征識別的身份驗證方式的發展，提高了硬件技術、軟件技術以及安全認證產品的發展并且為云計算技術和物聯網技術提供了一個很好的應用和測試方法。本文提出了公眾網絡的統一身份認證服務模式架構以及向公眾網絡擴展的部署框架，分析了當前統一身份認證應用現狀并按照模式架構給出了向公眾網絡擴展的思路，為今后統一身份認證向公眾網絡發展奠定了基礎。進一步完善和細化當前統一身份服務向公眾網絡擴展的具體措施以及應用前景是未來的研究方向。

［1］International Telecommunication Union.Baseline capabilities for enhanced global identity management and interoperability［R］.Geneva：ITU－T，2009.

［2］International Telecommunication Union.A framework for user control of digital identity［R］.Geneva：ITU－T，2009.

［3］Liberty Alliance Project.Liberty Architecture Overview［R］.California：Liberty Alliance，2003

［4］孫韓林，劉建華.公眾網絡統一身份認證服務及標準研究［J］.電信科學，2013，29（2）：89－94.

［5］劉建華，史軍懷，王婧，等.公眾網絡統一身份認證服務標準研究報告［R］.西安：西安郵電大學，陜西省通信管理局，2012.

［6］International Telecommunication Union.Baseline identity management terms and definitions［R］.Geneva：ITU－T，2010.

［7］International Telecommunication Union.NGN identity management requirements and use cases［R］.Geneva：ITU－T，2010.

［8］Singh R.ITU－T Focus Group on Identity Management［EB／OL］.（2012－09－19）［2013－10－16］.http：／／www.itu.int／dms＿pub／itu－t／oth／15／04／T15040000030001PDFE.pdf.

［9］中國電子技術標準化研究所.IT服務管理標準理解與實施GB／T 24405.1（IDT ISO／IEC 20000－1）實用指南［M］.北京：電子工業出版社，2011：2－4.

［10］Erl T.Service－Oriented Architecture［M］.London：Prentice Hall PTR，2005：88－102.

［11］Newcomer Eric，Lomow Gerg.Understanding SOA with Web Services（中文版）［M］.徐涵，譯.北京：電子工業出版社，2006：14－75.

［12］Susanti F，Sembiring J.The mapping of interconnected SOA governance and ITIL v3.0［C］／／International Conference on Electrical Engineering and Informatics.Bandung：ICEEI，2011：17－19.

［13］佚名.西安交通大學一卡通系統案例［EB／OL］.（2012－10－10）［2013－10－16］.http：／／www.yktw.cn／quote／2012－10－10／al228.html.