劉建華，王筱蕾

（1.西安郵電大學(xué) 信息中心，陜西 西安710121； 2.西安郵電大學(xué) 計(jì)算機(jī)學(xué)院，陜西 西安710121）

在當(dāng)今的網(wǎng)絡(luò)世界中，用戶在登錄不同的業(yè)務(wù)系統(tǒng)獲取服務(wù)時(shí)，都要輸入不同的認(rèn)證信息，給用戶帶來(lái)了極大的不便。統(tǒng)一身份認(rèn)證可以很好的解決這樣的問(wèn)題。行業(yè)和標(biāo)準(zhǔn)化組織對(duì)統(tǒng)一身份認(rèn)證服務(wù)進(jìn)行深入地研究，如國(guó)際電信聯(lián)盟（ITU）［1－2］、自由 聯(lián)盟 （Liberty Alliance）［3］、結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）、第3代合作伙伴計(jì)劃（3GPP）、網(wǎng)際網(wǎng)路聯(lián)盟（W3C）、歐洲電信標(biāo)準(zhǔn)委員會(huì)（ETSI）和Internet工程任務(wù)組（IETF）等，在其身份管理相關(guān)規(guī)范或標(biāo)準(zhǔn)中增加了統(tǒng)一身份認(rèn)證相關(guān)的內(nèi)容［4］。隨著身份認(rèn)證技術(shù)的不斷發(fā)展，統(tǒng)一身份認(rèn)證的應(yīng)用遍布很多行業(yè)，如：教育、電信、金融、能源、物流、醫(yī)療等行業(yè)。

目前，統(tǒng)一身份認(rèn)證的應(yīng)用主要集中在企業(yè)及行業(yè)內(nèi)部，在某一個(gè)特定的范圍內(nèi)實(shí)現(xiàn)了所謂的“統(tǒng)一身份認(rèn)證”，而用戶在登錄不屬于該范圍的服務(wù)平臺(tái)時(shí)仍然面臨不同的身份認(rèn)證問(wèn)題［5］。如何將局部的認(rèn)證服務(wù)推向更廣闊的平臺(tái)是統(tǒng)一身份認(rèn)證亟需解決的問(wèn)題，為此，提出一種公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)的構(gòu)想，以方便用戶的身份認(rèn)證與管理。

1 基本概念及架構(gòu)

1.1 基本定義

定義1（身份）［6］身份即以一個(gè)或多個(gè)信息元素表示的實(shí)體，使實(shí)體足以在語(yǔ)境內(nèi)得到區(qū)分。

在身份管理［7］中，術(shù)語(yǔ)“身份”被理解為語(yǔ)境下的身份（屬性子集），即屬性的多樣性受限于實(shí)體存在和互動(dòng)的邊界條件（語(yǔ)境）框架。

定義2（統(tǒng)一身份認(rèn)證）［8］統(tǒng)一身份認(rèn)證指的是實(shí)現(xiàn)網(wǎng)上應(yīng)用系統(tǒng)的用戶、角色和組織機(jī)構(gòu)統(tǒng)一化管理，實(shí)現(xiàn)各種應(yīng)用系統(tǒng)間跨域的單點(diǎn)登錄、單點(diǎn)退出和統(tǒng)一的身份認(rèn)證功能。

用戶登錄到一個(gè)系統(tǒng)后，再轉(zhuǎn)入到其他應(yīng)用系統(tǒng)時(shí)不需要再次登錄，簡(jiǎn)化了用戶的操作，也保證了同一用戶在不同的應(yīng)用系統(tǒng)中身份的一致性。

定義3（服務(wù)）［9］所謂服務(wù)，是指為他人做事，并使他人從中受益的一種有償或無(wú)償?shù)幕顒?dòng)。

服務(wù)不以實(shí)物形式而以提供活勞動(dòng)的形式來(lái)滿足他人某種特殊需要。

定義4（IT服務(wù)）［9］IT服務(wù)是指滿足用戶IT需求的服務(wù)產(chǎn)品與服務(wù)過(guò)程，其中服務(wù)產(chǎn)品包括硬件集成、軟件集成、通用解決方案、行業(yè)解決方案和IT綜合服務(wù)等。

統(tǒng)一身份認(rèn)證服務(wù)是統(tǒng)一身份認(rèn)證與IT服務(wù)的結(jié)合，實(shí)現(xiàn)身份管理服務(wù)和業(yè)務(wù)服務(wù)分離。

1.2 服務(wù)模式架構(gòu)

按照統(tǒng)一身份認(rèn)證與IT服務(wù)結(jié)合的思想，并且依據(jù)統(tǒng)一身份認(rèn)證的服務(wù)模式架構(gòu)，我們提出一種基于公眾網(wǎng)絡(luò)的統(tǒng)一身份認(rèn)證的服務(wù)模式架構(gòu)［10－12］，見(jiàn)圖1。

圖1 公眾網(wǎng)絡(luò)統(tǒng)一認(rèn)證服務(wù)架構(gòu)

統(tǒng)一身份認(rèn)證由統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)提供，統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)則由認(rèn)證評(píng)估自治系統(tǒng)、服務(wù)組織資源樹(shù)、身份集成服務(wù)中心構(gòu)成。認(rèn)證評(píng)估自治系統(tǒng)由會(huì)話接入控制器、認(rèn)證服務(wù)器組成，負(fù)責(zé)收集用戶身份信息和記錄用戶對(duì)服務(wù)的可信評(píng)估，組成服務(wù)客戶端的可信評(píng)估網(wǎng)絡(luò)。服務(wù)資源組織樹(shù)由身份聯(lián)合管理、數(shù)據(jù)網(wǎng)關(guān)和屬性服務(wù)器組成，根據(jù)服務(wù)可信度、服務(wù)質(zhì)量和服務(wù)能力把服務(wù)資源組成服務(wù)聯(lián)盟。服務(wù)聯(lián)盟存儲(chǔ)多個(gè)服務(wù)提供者的用戶注冊(cè)的身份信息，并進(jìn)行合理的動(dòng)態(tài)身份聯(lián)合。不管單個(gè)的服務(wù)提供者如何變化，服務(wù)聯(lián)盟總能提供最合適的身份信息，保證了服務(wù)的可靠性。身份集成服務(wù)中心由會(huì)話接入控制器、身份生存周期管理組成，負(fù)責(zé)身份信息（如標(biāo)識(shí)、憑證和屬性）的登記、注冊(cè)、發(fā)布及撤銷等，并且負(fù)責(zé)認(rèn)證評(píng)估自治系統(tǒng)和服務(wù)資源組織樹(shù)的分配、注冊(cè)和維護(hù)。它們?nèi)邊f(xié)同進(jìn)行可信服務(wù)的組織和管理。

2 工作流程

2.1 用戶的安全注冊(cè)

用戶的安全注冊(cè)是指用戶加入到區(qū)域代理認(rèn)證評(píng)估自治系統(tǒng)中，以后享有可信監(jiān)管、推薦及評(píng)估的流程。用戶安全注冊(cè)流程如圖2所示，其中重復(fù)序號(hào)表示行為同步發(fā)生。

圖2 用戶的安全注冊(cè)流程

首先，用戶首次向服務(wù)提供商注冊(cè)，提供一系列的身份信息。服務(wù)提供商將這些身份信息在本地進(jìn)行記錄后發(fā)布給身份集成服務(wù)中心，同時(shí)存儲(chǔ)在服務(wù)資源樹(shù)。身份集成服務(wù)中心根據(jù)用戶身份信息，首先通過(guò)認(rèn)證評(píng)估自治系統(tǒng)向服務(wù)資源組織樹(shù)查詢用戶信息是否存在及合法，若存在且合法則向用戶和服務(wù)提供者發(fā)送認(rèn)證成功消息，用戶和服務(wù)提供者可以直接綁定并提供服務(wù)。若不存在，則按照認(rèn)證評(píng)估自治系統(tǒng)有關(guān)協(xié)議進(jìn)行身份驗(yàn)證，同時(shí)認(rèn)證評(píng)估自治系統(tǒng)記錄用戶安全級(jí)別并存儲(chǔ)到服務(wù)資源組織樹(shù)，并返回用戶端的用戶聯(lián)盟ID號(hào)，以后用戶端憑借此ID號(hào)與服務(wù)提供者進(jìn)行綁定，進(jìn)行可信服務(wù)請(qǐng)求、評(píng)估。

2.2 可信服務(wù)過(guò)程監(jiān)管及評(píng)估反饋

可信統(tǒng)一身份認(rèn)證服務(wù)過(guò)程監(jiān)管、評(píng)估反饋是指可信的用戶的查詢、服務(wù)及可信評(píng)估流程?？尚欧?wù)過(guò)程監(jiān)管及評(píng)估反饋的流程如圖3所示。

經(jīng)過(guò)安全注冊(cè)的用戶直接向服務(wù)提供商發(fā)出服務(wù)請(qǐng)求，認(rèn)證評(píng)估自治系統(tǒng)對(duì)用戶安全認(rèn)證后，用戶憑借用戶的聯(lián)盟ID號(hào)查詢身份服務(wù)集成中心，身份集成服務(wù)中心根據(jù)用戶的請(qǐng)求，給出需要查詢的區(qū)域服務(wù)資源組織樹(shù)（首次負(fù)載均衡），服務(wù)資源組織樹(shù)根據(jù)當(dāng)時(shí)資源的利用情況、可信度和服務(wù)質(zhì)量返回最優(yōu)的身份服務(wù)提供商給認(rèn)證評(píng)估自治系統(tǒng)（二次負(fù)載均衡），認(rèn)證評(píng)估自治系統(tǒng)把查詢結(jié)果告知用戶，用戶然后去綁定給定的服務(wù)提供商享受服務(wù)。等服務(wù)結(jié)束后，用戶憑借自己的聯(lián)盟ID號(hào)對(duì)這次服務(wù)進(jìn)行可信性、服務(wù)質(zhì)量評(píng)估，把結(jié)果告知認(rèn)證評(píng)估自治系統(tǒng)，認(rèn)證評(píng)估自治系統(tǒng)把結(jié)果反饋給服務(wù)資源組織樹(shù)，服務(wù)資源組織樹(shù)再對(duì)所轄資源進(jìn)行動(dòng)態(tài)優(yōu)化。

圖3 可信服務(wù)過(guò)程監(jiān)管及評(píng)估反饋流程

2.3 服務(wù)提供者的安全注冊(cè)

服務(wù)提供者的安全注冊(cè)是指相關(guān)業(yè)務(wù)服務(wù)實(shí)體加入服務(wù)組織資源樹(shù)中接受可信管理，可以對(duì)自己的狀態(tài)、服務(wù)質(zhì)量實(shí)時(shí)監(jiān)控，從整個(gè)統(tǒng)一身份認(rèn)證服務(wù)聯(lián)盟保證服務(wù)的可信性。服務(wù)提供者的安全注冊(cè)流程如圖4所示。

當(dāng)服務(wù)提供者第一次向身份集成服務(wù)中心注冊(cè)時(shí)，身份集成服務(wù)注冊(cè)完備后，還要向服務(wù)提供者所在當(dāng)?shù)氐姆?wù)組織資源樹(shù)發(fā)出安全注冊(cè)指令，服務(wù)組織資源樹(shù)接到指令后，主動(dòng)向服務(wù)提供者發(fā)出"可信服務(wù)安全注冊(cè)邀請(qǐng)"，如果服務(wù)提供者接受此邀請(qǐng)，則按照服務(wù)組織資源樹(shù)協(xié)議的有關(guān)內(nèi)容進(jìn)行安全注冊(cè)可信度首次評(píng)估，同時(shí)服務(wù)組織資源樹(shù)對(duì)服務(wù)提供者進(jìn)行樹(shù)內(nèi)資源定位，并返回給服務(wù)提供者安全注冊(cè)的聯(lián)盟ID號(hào)。以后服務(wù)提供者就憑借此聯(lián)盟ID號(hào)進(jìn)行服務(wù)提供、接受可信評(píng)估、或者進(jìn)行服務(wù)合作等等。

圖4 服務(wù)提供者的安全注冊(cè)流程

3 部署框架

公眾網(wǎng)絡(luò)統(tǒng)一身份服務(wù)最關(guān)鍵的是身份的發(fā)現(xiàn)與定位，即將跨組織、跨網(wǎng)絡(luò)和跨應(yīng)用服務(wù)的用戶身份服務(wù)提供商與唯一的商業(yè)身份關(guān)聯(lián)起來(lái)。根據(jù)我國(guó)實(shí)際情況，提出與我國(guó)國(guó)情相適應(yīng)的公眾網(wǎng)絡(luò)統(tǒng)一身份服務(wù)部署框架，如圖5所示。

圖5 公眾網(wǎng)絡(luò)統(tǒng)一身份服務(wù)部署框架

下級(jí)身份提供商以自己的統(tǒng)一身份標(biāo)識(shí)向上級(jí)身份提供商注冊(cè)，并提供自己所管理身份標(biāo)識(shí)符區(qū)段等信息，從而組成統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)絡(luò)。在每一級(jí)中，都包括了身份轉(zhuǎn)換服務(wù)、橋接服務(wù)、身份關(guān)系服務(wù)以及身份與資源發(fā)現(xiàn)服務(wù)。

（1）身份轉(zhuǎn)換以及橋接服務(wù)：提供連接不同級(jí)別身份提供商系統(tǒng)的機(jī)制，為不同級(jí)別的身份提供商系統(tǒng)身份信息的共享提供了條件。

（2）身份關(guān)系服務(wù)：用于訪問(wèn)、管理不同級(jí)別數(shù)字身份之間可能的關(guān)系，即完成用戶在不同級(jí)別身份提供商的多數(shù)字身份的統(tǒng)一管理。

（3）身份與資源發(fā)現(xiàn)服務(wù)：主要負(fù)責(zé)發(fā)現(xiàn)不同級(jí)別的用戶身份提供商，并將它們與唯一的商業(yè)身份關(guān)聯(lián)起來(lái)。如何發(fā)現(xiàn)和查詢用戶的標(biāo)識(shí)符和信任狀由該服務(wù)負(fù)責(zé)。

4 應(yīng)用擴(kuò)展分析

當(dāng)前的統(tǒng)一身份認(rèn)證服務(wù)主要集中在企業(yè)及行業(yè)內(nèi)部，在教育、電信、金融、能源、物流、醫(yī)療等行業(yè)有著廣泛的應(yīng)用。我們列舉教育行業(yè)中的典型案例按照統(tǒng)一身份認(rèn)證服務(wù)的模式架構(gòu)來(lái)說(shuō)明當(dāng)前統(tǒng)一身份認(rèn)證服務(wù)的具體應(yīng)用。

某院校的“數(shù)字校園”的核心支撐系統(tǒng)［13］，統(tǒng)一了身份認(rèn)證與授權(quán)，雖然很好的實(shí)現(xiàn)了校內(nèi)身份認(rèn)證的統(tǒng)一化，但是涉及范圍較小，因此我們把這種統(tǒng)一身份認(rèn)證擴(kuò)大到公眾網(wǎng)絡(luò)中去。圖6為該系統(tǒng)在公眾網(wǎng)絡(luò)中的擴(kuò)展架構(gòu)模式。

圖6 某一卡通認(rèn)證系統(tǒng)在公眾網(wǎng)絡(luò)中的擴(kuò)展模型

圖6 中的擴(kuò)展模型是在該校內(nèi)一卡通系統(tǒng)的框架結(jié)構(gòu)的基礎(chǔ)上，按照公眾網(wǎng)絡(luò)統(tǒng)一認(rèn)證服務(wù)架構(gòu)思想提出的。首先，服務(wù)提供者可提供的服務(wù)范圍由校內(nèi)擴(kuò)大到了校外，持卡的在校師生可以享受更多校園外的服務(wù)。其次，用戶的多重身份信息存儲(chǔ)在服務(wù)組織資源樹(shù)中，在統(tǒng)一身份認(rèn)證網(wǎng)中進(jìn)行統(tǒng)一的管理與認(rèn)證。用戶在享受不同的服務(wù)時(shí)只需認(rèn)證對(duì)應(yīng)的身份信息即可。再次，雖然一卡通的服務(wù)范圍擴(kuò)大，每個(gè)用戶將擁有多個(gè)身份信息，但是身份提供者是不會(huì)改變的，仍然是校內(nèi)的發(fā)卡機(jī)構(gòu)，用戶也仍然是校內(nèi)的師生及工作人員。

5 結(jié)語(yǔ)

統(tǒng)一身份認(rèn)證的建立和推廣在實(shí)際應(yīng)用以及學(xué)術(shù)研究中都具有很高的價(jià)值。在實(shí)際應(yīng)用中不僅使用戶更加方便的使用在線服務(wù)，而且提高了各個(gè)行業(yè)、企業(yè)的經(jīng)濟(jì)效益。在學(xué)術(shù)上，推動(dòng)了基于生物特征識(shí)別的身份驗(yàn)證方式的發(fā)展，提高了硬件技術(shù)、軟件技術(shù)以及安全認(rèn)證產(chǎn)品的發(fā)展并且為云計(jì)算技術(shù)和物聯(lián)網(wǎng)技術(shù)提供了一個(gè)很好的應(yīng)用和測(cè)試方法。本文提出了公眾網(wǎng)絡(luò)的統(tǒng)一身份認(rèn)證服務(wù)模式架構(gòu)以及向公眾網(wǎng)絡(luò)擴(kuò)展的部署框架，分析了當(dāng)前統(tǒng)一身份認(rèn)證應(yīng)用現(xiàn)狀并按照模式架構(gòu)給出了向公眾網(wǎng)絡(luò)擴(kuò)展的思路，為今后統(tǒng)一身份認(rèn)證向公眾網(wǎng)絡(luò)發(fā)展奠定了基礎(chǔ)。進(jìn)一步完善和細(xì)化當(dāng)前統(tǒng)一身份服務(wù)向公眾網(wǎng)絡(luò)擴(kuò)展的具體措施以及應(yīng)用前景是未來(lái)的研究方向。

［1］International Telecommunication Union.Baseline capabilities for enhanced global identity management and interoperability［R］.Geneva：ITU－T，2009.

［2］International Telecommunication Union.A framework for user control of digital identity［R］.Geneva：ITU－T，2009.

［3］Liberty Alliance Project.Liberty Architecture Overview［R］.California：Liberty Alliance，2003

［4］孫韓林，劉建華.公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)及標(biāo)準(zhǔn)研究［J］.電信科學(xué)，2013，29（2）：89－94.

［5］劉建華，史軍懷，王婧，等.公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)研究報(bào)告［R］.西安：西安郵電大學(xué)，陜西省通信管理局，2012.

［6］International Telecommunication Union.Baseline identity management terms and definitions［R］.Geneva：ITU－T，2010.

［7］International Telecommunication Union.NGN identity management requirements and use cases［R］.Geneva：ITU－T，2010.

［8］Singh R.ITU－T Focus Group on Identity Management［EB／OL］.（2012－09－19）［2013－10－16］.http：／／www.itu.int／dms＿pub／itu－t／oth／15／04／T15040000030001PDFE.pdf.

［9］中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所.IT服務(wù)管理標(biāo)準(zhǔn)理解與實(shí)施GB／T 24405.1（IDT ISO／IEC 20000－1）實(shí)用指南［M］.北京：電子工業(yè)出版社，2011：2－4.

［10］Erl T.Service－Oriented Architecture［M］.London：Prentice Hall PTR，2005：88－102.

［11］Newcomer Eric，Lomow Gerg.Understanding SOA with Web Services（中文版）［M］.徐涵，譯.北京：電子工業(yè)出版社，2006：14－75.

［12］Susanti F，Sembiring J.The mapping of interconnected SOA governance and ITIL v3.0［C］／／International Conference on Electrical Engineering and Informatics.Bandung：ICEEI，2011：17－19.

［13］佚名.西安交通大學(xué)一卡通系統(tǒng)案例［EB／OL］.（2012－10－10）［2013－10－16］.http：／／www.yktw.cn／quote／2012－10－10／al228.html.