公眾網絡統一身份認證服務標準體系研究

劉建華， 梁俊杰

(1. 西安郵電大學 信息中心， 陜西 西安 710121； 2. 西安郵電大學 計算機學院， 陜西 西安 710121)

公眾網絡統一身份認證服務標準體系研究

劉建華1， 梁俊杰2

(1. 西安郵電大學 信息中心， 陜西 西安 710121； 2. 西安郵電大學 計算機學院， 陜西 西安 710121)

為了公眾網絡統一身份認證服務能夠高效、安全地實施及運行，結合統一身份認證服務框架，參照現有國際、國內IT服務相關標準，提出公眾網絡的統一身份認證服務的標準體系架構及每項服務標準的基本內容，以此來提升統一身份認證服務質量、優化服務成本、強化服務效能和降低服務風險等方面，并規范和引導公眾網絡統一身份認證服務行業的發展。

公眾網絡；統一身份認證；IT服務；標準；標準體系

統一身份認證指的是實現網上應用系統的用戶、角色和組織機構統一化管理，實現各種應用統間跨域的單點登錄和單點退出和統一的身份認證功能，用戶登錄到一個系統后，再轉入到其他應用系統時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應用系統中身份的一致性[1]。ITU(International Telecommunications Union，國際電信聯盟)[2]、自由聯盟[3]、3GPP(The 3rd Generation Partnership Project)等眾多國際或區域標準化組織都致力于統一身份認證研究,同時統一身份認證的產品越來越多，應用也越來越廣泛。但由于利益、觀點、關心問題、優先順序、技術、安全以及身份集成等諸多方面存在問題，實現統一身份認證很復雜，不同的組織針對自己特定的需求各有側重。因此，統一身份認證存在的問題是，只是在局部或者一個企業、單位應用，并未在更大范圍的互聯網上得到廣泛的應用，究其原因服務標準缺失是一個重要原因。

本文結合公眾網絡統一身份認證服務框架，重點參照ITIL(Information Technology Infrastructure Library，信息技術基礎架構庫)和ITSS(Information Technology Service Standards，信息技術服務標準)等國際國內的IT(Information Technology，信息技術)服務標準，提出了公眾網絡的統一身份認證服務的標準體系架構及每項服務標準的基本內容等。

1 公眾網絡統一身份認證服務構建

1.1 統一身份認證服務的產生

公眾網絡統一身份認證服務是統一身份認證和IT服務的結合(圖1)，即統一身份認證服務是在不同商業門戶之間，用戶的身份賬戶注冊信息可以在不同的系統之間進行維護修改，用戶在單點登錄后就可以根據自己的權限等級享受相關的服務[4]。

圖1 統一身份認證服務的產生

1.2 統一身份認證服務模式

統一身份認證服務實現了身份管理服務和業務服務的分離(圖2)，從面向應用的角度來說，統一身份認證服務的基本架構由服務提供者、用戶和統一身份服務提供商3個參與者和3個基本操作(發布、發現和綁定)構成[5]。服務提供者將其服務發布到統一身份服務提供商的目錄上，當用戶需要調用該服務時，首先利用統一身份服務提供商提供的目錄去搜索該服務，得到如何調用該服務的信息，然后根據這些信息去調用服務提供者發布的服務。當用戶從統一身份服務提供商得到調用所需服務的信息之后，通信在用戶和服務提供者之間直接進行，而無須經過統一身份服務提供商。

圖2 統一身份認證服務模式

1.3 IT服務框架

目前，我國IT服務領域的主要管理標準有國際上流行的ITIL標準和我國自主制定的ITSS[6]。

ITIL為企業的IT服務管理實踐提供了一個客觀、嚴謹、可量化的標準和規范[7]。在它的參考模型最新版2.0版中(圖3)，ITIL主要包括6個模塊，即業務管理、服務管理、ICT(Information Communication Technology，信息通信技術)基礎架構管理、IT服務管理規劃與實施、應用管理和安全管理。

圖3 ITIL2.0參考模型

ITSS定義的信息技術服務核心要素包括：人員、過程、技術和資源[8]。信息技術服務的生命周期包括：規劃設計、部署實施、服務運營、持續改進和監督管理(圖4)。

圖4 IT服務的組成要素和生命周期

1.4 公眾網絡統一身份認證服務

統一身份認證服務作為一項IT服務，在公眾網絡上的具體實現就是要建立統一身份認證服務網絡(圖5)。統一身份認證服務網絡采用P2P Chord網絡模型，每個節點即是一個統一身份服務提供商，它們通過橋接服務彼此相連，并進行身份信息互換，達到身份信息的不斷更新，以及服務網絡的負載均衡，當某個節點異常退出時，P2P協議可保證服務網絡可自愈。身份數據災備中心負責對身份服務網絡的身份信息進行備份，當服務網絡出現問題時可以實現服務的軟切換，保證服務的繼續進行。統一身份認證服務是統一身份認證和IT服務的結合，因此，每個身份服務提供商不僅要實現ITU全球兼容身份管理通用需求的幾乎所有服務，包括身份信息管理、身份信息關聯、身份信息認證、身份服務發現和身份審計與追蹤等，而且要符合IT服務規范，即在業務管理、服務管理、應用管理、規劃設計、部署實施、持續改進和監督管理等方面提出具體要求。

圖5 統一身份認證服務網絡

2 公眾網絡統一身份認證服務標準體系

2.1 統一身份認證服務標準體系框架

為了統一身份認證服務能夠在公眾網絡上高效、安全地運營，參照統一身份認證服務網絡架構，結合ITIL服務管理的參考模型和ITSS中IT服務的核心要素和生命周期將公眾網絡統一身份認證服務標準分為技術服務標準、管理服務標準、實施服務標準、檢測服務標準、評價服務標準5大類，共有20項基本內容(圖6)。

圖6 公眾網絡的統一身份認證服務標準體系框架

2.2 統一身份認證服務標準的基本內容

根據IT服務標準和統一身份認證的系列標準，可以得出公眾網絡統一身份認證服務標準體系的標準的基本內容如下。

(1)技術服務標準

技術服務標準包括系統建設，系統接入標準和關鍵技術，規定了統一身份認證服務系統建設的人員管理和軟硬件要求等[9]，服務系統的接口和相關協議標準以及其他關鍵技術的規定和指導。

(2)管理服務標準

管理服務標準包括運營商要求，口令、證書的管理，IT服務提供商從業規范，身份信息管理，安全管理要求和服務計費。其中，口令、證書的管理規定了認證過程中所使用的交互口令或證書的獲取、更新、交換和授予等詳細要求；身份信息管理規定了身份信息的登記、創建、保存、注銷以及實體的標識信息與身份相關聯等方面的要求，是服務系統的重要組成部分；安全管理是每一項IT服務的基本要求，在統一身份認證服務系統中尤其要加強身份信息的存儲和傳輸過程中的安全要求，因此此標準規定了系統建設、人員管理、服務運行過程中的軟硬件及身份信息的安全要求；公眾網絡統一身份認證服務的核心是實現了身份管理服務和業務服務的分離，因此身份認證服務的計費采取的是按需付費的模式，服務提供商向身份信息提供商申請用戶的某些身份信息，后者分級別、分層次地提供身份信息，費用也相應地不同。

(3)實施服務標準

實施服務標準包括實施指南，交付規范，應急響應，數據中心規范和服務模式。實施指南規定了實施步驟及每個步驟的工作內容，同時提供了實施模板參考[10]。數據中心規范是實施服務的重要組成部分，也是保證用戶身份信息安全以及數據備份與恢復的主要一環，因此，此標準規定了身份信息數據中心運維服務的對象、類型、服務策略、服務內容和服務報告的編制等要求。

(4)檢測服務標準

檢測服務標準包括身份搜集、發現和定位，業務連續性檢測和安全風險檢測。身份信息的搜集、發現和定位是身份認證服務的必要前提和保證，主要負責發現跨組織、網絡和應用服務的用戶身份信息，并完成用戶的多數字身份的唯一對應和管理，此標準規定了身份搜集、發現和定位過程中的相關算法、協議、身份信息組成格式和存儲格式等要求。安全風險檢測規定了身份認證服務過程中應采取的安全檢測方法、接口、時間、頻率等要求。

(5)評價服務標準

評價服務標準包括服務等級劃分，績效評價和服務質量評價。服務等級劃分標準規定了身份信息提供商根據身份信息需求者的社會屬性和業務屬性等劃分等級，并有區別地提供身份信息服務的要求。服務質量評價標準建立了統一身份認證服務質量模型，規定了質量評價指標體系、評價方法，并給出了評價結果使用建議。

3 結束語

公眾網絡統一身份認證服務標準體系的建設是一項系統工程，本文將統一身份認證與IT服務結合，提出了統一身份認證服務準體系的架構和基本內容，對推動這項IT服務的實施和發展提供了一定的標準基礎。同時，標準體系是動態發展的，與IT服務相關的技術、服務模式和業態、產業發展緊密相關，同時也與服務標準的應用需求、標準化工作的目標和定位緊密相關，其更新將結合上述情況動態調整。

[1] ITU-T Focus Group Identity Management. Unified Identity Authentication[EB/OL]. (2011-11-09)[2013-10-07].http://www.itu.int/ITU-T/studygroups/com17/fgidm/index.html.

[2] Liberty Alliance Project．Liberty architecture Overview, version 1.1[EB/OL].(2011-11-15)[2013-10-10]. http://www.projectliberty.org/specs/liberty-architecture-overview-v1.1.pdf.

[3] ITU-T Telecommunication Standardization Sector of ITU. ITU-T.X.1250.Baseline capabilities for enhanced global identity management and interoperability[R]. Switzerland: ITU Press, 2009.

[4] 孫韓林，劉建華.公眾網絡統一身份認證服務及標準研究[J].電信科學,2013，29(2):89-94.

[5] ITU-T Telecommunication Standardization Sector of ITU. Y.2722 NGN identity management mechanisms[R]. Switzerland: ITU Press, 2011.

[6] 劉颋，姚玉紅，潘純峰.ITSS/ITIL/ISO 2000對比分析[J].技術熱點, 2011(8):17-20.

[7] 陳宏峰.翰緯ITIL V3白皮書[M].上海：翰緯IT管理研究咨詢中心出版社，2007:5-8.

[8] 工業和信息化部軟件服務業司.中國信息技術服務標準(ITSS)白皮書[R].北京：工業和信息化部,2010.

[9] 工業和信息化部賽迪研究院．電子認證服務業發展情況及政策研究[J].工業和信息化研究, 2011,13(5)：20-24.

[10] 林寧.信息技術服務標準綜述[J].技術熱點, 2011(7):27-30.

[責任編輯:汪湘]

On public network unified identity authentication service standard system

LIU Jianhua1, LIANG Junjie2

(1. Department of Information Center, Xi’an University of Posts and Telecommunications, Xi’an 710121, China;2. School of Computer Science and Technology, Xi’an University of Posts and Telecommunications, Xi’an 710121, China)

To run the public network unified identity authentication service efficiently and safely, a standard system framework of public network unified identity authentication service and basic content of each service standard are proposed in this paper by combining the framework of unified identity authentication service and consulting standards of existing international and domestic IT services. This framework and service standard can improve quality, optimize cost, strengthen efficiency, and reduce risk of unified identity authentication service. It can also standardize and guide the development of unified identity authentication service industry.

public network, unified identity authentication, IT service, standard, standard system

10.13682/j.issn.2095-6533.2014.01.023

2013-10-21

工業和信息化部軟科學研究基金資助項目(2012-R-57)

劉建華(1963-)，男，正高級工程師，從事信息安全研究。E-mail: xytx04@xupt.edu.cn 梁俊杰(1987-)，男，碩士研究生，研究方向為計算機網絡與多媒體通信。E-mail: liangjunjiexshj@163.com

TP393

A

2095-6533(2014)01-0111-04