一种公众网络统一身份认证服务架构

刘建华，王筱蕾

（1.西安邮电大学 信息中心，陕西 西安710121； 2.西安邮电大学 计算机学院，陕西 西安710121）

在当今的网络世界中，用户在登录不同的业务系统获取服务时，都要输入不同的认证信息，给用户带来了极大的不便。统一身份认证可以很好的解决这样的问题。行业和标准化组织对统一身份认证服务进行深入地研究，如国际电信联盟（ITU）［1－2］、自由 联盟 （Liberty Alliance）［3］、结构化信息标准促进组织（OASIS）、第3代合作伙伴计划（3GPP）、网际网路联盟（W3C）、欧洲电信标准委员会（ETSI）和Internet工程任务组（IETF）等，在其身份管理相关规范或标准中增加了统一身份认证相关的内容［4］。随着身份认证技术的不断发展，统一身份认证的应用遍布很多行业，如：教育、电信、金融、能源、物流、医疗等行业。

目前，统一身份认证的应用主要集中在企业及行业内部，在某一个特定的范围内实现了所谓的“统一身份认证”，而用户在登录不属于该范围的服务平台时仍然面临不同的身份认证问题［5］。如何将局部的认证服务推向更广阔的平台是统一身份认证亟需解决的问题，为此，提出一种公众网络统一身份认证服务的构想，以方便用户的身份认证与管理。

1 基本概念及架构

1.1 基本定义

定义1（身份）［6］身份即以一个或多个信息元素表示的实体，使实体足以在语境内得到区分。

在身份管理［7］中，术语“身份”被理解为语境下的身份（属性子集），即属性的多样性受限于实体存在和互动的边界条件（语境）框架。

定义2（统一身份认证）［8］统一身份认证指的是实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录、单点退出和统一的身份认证功能。

用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。

定义3（服务）［9］所谓服务，是指为他人做事，并使他人从中受益的一种有偿或无偿的活动。

服务不以实物形式而以提供活劳动的形式来满足他人某种特殊需要。

定义4（IT服务）［9］IT服务是指满足用户IT需求的服务产品与服务过程，其中服务产品包括硬件集成、软件集成、通用解决方案、行业解决方案和IT综合服务等。

统一身份认证服务是统一身份认证与IT服务的结合，实现身份管理服务和业务服务分离。

1.2 服务模式架构

按照统一身份认证与IT服务结合的思想，并且依据统一身份认证的服务模式架构，我们提出一种基于公众网络的统一身份认证的服务模式架构［10－12］，见图1。

图1 公众网络统一认证服务架构

统一身份认证由统一身份认证服务网提供，统一身份认证服务网则由认证评估自治系统、服务组织资源树、身份集成服务中心构成。认证评估自治系统由会话接入控制器、认证服务器组成，负责收集用户身份信息和记录用户对服务的可信评估，组成服务客户端的可信评估网络。服务资源组织树由身份联合管理、数据网关和属性服务器组成，根据服务可信度、服务质量和服务能力把服务资源组成服务联盟。服务联盟存储多个服务提供者的用户注册的身份信息，并进行合理的动态身份联合。不管单个的服务提供者如何变化，服务联盟总能提供最合适的身份信息，保证了服务的可靠性。身份集成服务中心由会话接入控制器、身份生存周期管理组成，负责身份信息（如标识、凭证和属性）的登记、注册、发布及撤销等，并且负责认证评估自治系统和服务资源组织树的分配、注册和维护。它们三者协同进行可信服务的组织和管理。

2 工作流程

2.1 用户的安全注册

用户的安全注册是指用户加入到区域代理认证评估自治系统中，以后享有可信监管、推荐及评估的流程。用户安全注册流程如图2所示，其中重复序号表示行为同步发生。

图2 用户的安全注册流程

首先，用户首次向服务提供商注册，提供一系列的身份信息。服务提供商将这些身份信息在本地进行记录后发布给身份集成服务中心，同时存储在服务资源树。身份集成服务中心根据用户身份信息，首先通过认证评估自治系统向服务资源组织树查询用户信息是否存在及合法，若存在且合法则向用户和服务提供者发送认证成功消息，用户和服务提供者可以直接绑定并提供服务。若不存在，则按照认证评估自治系统有关协议进行身份验证，同时认证评估自治系统记录用户安全级别并存储到服务资源组织树，并返回用户端的用户联盟ID号，以后用户端凭借此ID号与服务提供者进行绑定，进行可信服务请求、评估。

2.2 可信服务过程监管及评估反馈

可信统一身份认证服务过程监管、评估反馈是指可信的用户的查询、服务及可信评估流程。可信服务过程监管及评估反馈的流程如图3所示。

经过安全注册的用户直接向服务提供商发出服务请求，认证评估自治系统对用户安全认证后，用户凭借用户的联盟ID号查询身份服务集成中心，身份集成服务中心根据用户的请求，给出需要查询的区域服务资源组织树（首次负载均衡），服务资源组织树根据当时资源的利用情况、可信度和服务质量返回最优的身份服务提供商给认证评估自治系统（二次负载均衡），认证评估自治系统把查询结果告知用户，用户然后去绑定给定的服务提供商享受服务。等服务结束后，用户凭借自己的联盟ID号对这次服务进行可信性、服务质量评估，把结果告知认证评估自治系统，认证评估自治系统把结果反馈给服务资源组织树，服务资源组织树再对所辖资源进行动态优化。

图3 可信服务过程监管及评估反馈流程

2.3 服务提供者的安全注册

服务提供者的安全注册是指相关业务服务实体加入服务组织资源树中接受可信管理，可以对自己的状态、服务质量实时监控，从整个统一身份认证服务联盟保证服务的可信性。服务提供者的安全注册流程如图4所示。

当服务提供者第一次向身份集成服务中心注册时，身份集成服务注册完备后，还要向服务提供者所在当地的服务组织资源树发出安全注册指令，服务组织资源树接到指令后，主动向服务提供者发出"可信服务安全注册邀请"，如果服务提供者接受此邀请，则按照服务组织资源树协议的有关内容进行安全注册可信度首次评估，同时服务组织资源树对服务提供者进行树内资源定位，并返回给服务提供者安全注册的联盟ID号。以后服务提供者就凭借此联盟ID号进行服务提供、接受可信评估、或者进行服务合作等等。

图4 服务提供者的安全注册流程

3 部署框架

公众网络统一身份服务最关键的是身份的发现与定位，即将跨组织、跨网络和跨应用服务的用户身份服务提供商与唯一的商业身份关联起来。根据我国实际情况，提出与我国国情相适应的公众网络统一身份服务部署框架，如图5所示。

图5 公众网络统一身份服务部署框架

下级身份提供商以自己的统一身份标识向上级身份提供商注册，并提供自己所管理身份标识符区段等信息，从而组成统一身份认证服务网络。在每一级中，都包括了身份转换服务、桥接服务、身份关系服务以及身份与资源发现服务。

（1）身份转换以及桥接服务：提供连接不同级别身份提供商系统的机制，为不同级别的身份提供商系统身份信息的共享提供了条件。

（2）身份关系服务：用于访问、管理不同级别数字身份之间可能的关系，即完成用户在不同级别身份提供商的多数字身份的统一管理。

（3）身份与资源发现服务：主要负责发现不同级别的用户身份提供商，并将它们与唯一的商业身份关联起来。如何发现和查询用户的标识符和信任状由该服务负责。

4 应用扩展分析

当前的统一身份认证服务主要集中在企业及行业内部，在教育、电信、金融、能源、物流、医疗等行业有着广泛的应用。我们列举教育行业中的典型案例按照统一身份认证服务的模式架构来说明当前统一身份认证服务的具体应用。

某院校的“数字校园”的核心支撑系统［13］，统一了身份认证与授权，虽然很好的实现了校内身份认证的统一化，但是涉及范围较小，因此我们把这种统一身份认证扩大到公众网络中去。图6为该系统在公众网络中的扩展架构模式。

图6 某一卡通认证系统在公众网络中的扩展模型

图6 中的扩展模型是在该校内一卡通系统的框架结构的基础上，按照公众网络统一认证服务架构思想提出的。首先，服务提供者可提供的服务范围由校内扩大到了校外，持卡的在校师生可以享受更多校园外的服务。其次，用户的多重身份信息存储在服务组织资源树中，在统一身份认证网中进行统一的管理与认证。用户在享受不同的服务时只需认证对应的身份信息即可。再次，虽然一卡通的服务范围扩大，每个用户将拥有多个身份信息，但是身份提供者是不会改变的，仍然是校内的发卡机构，用户也仍然是校内的师生及工作人员。

5 结语

统一身份认证的建立和推广在实际应用以及学术研究中都具有很高的价值。在实际应用中不仅使用户更加方便的使用在线服务，而且提高了各个行业、企业的经济效益。在学术上，推动了基于生物特征识别的身份验证方式的发展，提高了硬件技术、软件技术以及安全认证产品的发展并且为云计算技术和物联网技术提供了一个很好的应用和测试方法。本文提出了公众网络的统一身份认证服务模式架构以及向公众网络扩展的部署框架，分析了当前统一身份认证应用现状并按照模式架构给出了向公众网络扩展的思路，为今后统一身份认证向公众网络发展奠定了基础。进一步完善和细化当前统一身份服务向公众网络扩展的具体措施以及应用前景是未来的研究方向。

［1］International Telecommunication Union.Baseline capabilities for enhanced global identity management and interoperability［R］.Geneva：ITU－T，2009.

［2］International Telecommunication Union.A framework for user control of digital identity［R］.Geneva：ITU－T，2009.

［3］Liberty Alliance Project.Liberty Architecture Overview［R］.California：Liberty Alliance，2003

［4］孙韩林，刘建华.公众网络统一身份认证服务及标准研究［J］.电信科学，2013，29（2）：89－94.

［5］刘建华，史军怀，王婧，等.公众网络统一身份认证服务标准研究报告［R］.西安：西安邮电大学，陕西省通信管理局，2012.

［6］International Telecommunication Union.Baseline identity management terms and definitions［R］.Geneva：ITU－T，2010.

［7］International Telecommunication Union.NGN identity management requirements and use cases［R］.Geneva：ITU－T，2010.

［8］Singh R.ITU－T Focus Group on Identity Management［EB／OL］.（2012－09－19）［2013－10－16］.http：／／www.itu.int／dms＿pub／itu－t／oth／15／04／T15040000030001PDFE.pdf.

［9］中国电子技术标准化研究所.IT服务管理标准理解与实施GB／T 24405.1（IDT ISO／IEC 20000－1）实用指南［M］.北京：电子工业出版社，2011：2－4.

［10］Erl T.Service－Oriented Architecture［M］.London：Prentice Hall PTR，2005：88－102.

［11］Newcomer Eric，Lomow Gerg.Understanding SOA with Web Services（中文版）［M］.徐涵，译.北京：电子工业出版社，2006：14－75.

［12］Susanti F，Sembiring J.The mapping of interconnected SOA governance and ITIL v3.0［C］／／International Conference on Electrical Engineering and Informatics.Bandung：ICEEI，2011：17－19.

［13］佚名.西安交通大学一卡通系统案例［EB／OL］.（2012－10－10）［2013－10－16］.http：／／www.yktw.cn／quote／2012－10－10／al228.html.