劉建華， 梁俊杰

(1. 西安郵電大學(xué) 信息中心， 陜西 西安 710121； 2. 西安郵電大學(xué) 計(jì)算機(jī)學(xué)院， 陜西 西安 710121)

公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系研究

劉建華1， 梁俊杰2

(1. 西安郵電大學(xué) 信息中心， 陜西 西安 710121； 2. 西安郵電大學(xué) 計(jì)算機(jī)學(xué)院， 陜西 西安 710121)

為了公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)能夠高效、安全地實(shí)施及運(yùn)行，結(jié)合統(tǒng)一身份認(rèn)證服務(wù)框架，參照現(xiàn)有國(guó)際、國(guó)內(nèi)IT服務(wù)相關(guān)標(biāo)準(zhǔn)，提出公眾網(wǎng)絡(luò)的統(tǒng)一身份認(rèn)證服務(wù)的標(biāo)準(zhǔn)體系架構(gòu)及每項(xiàng)服務(wù)標(biāo)準(zhǔn)的基本內(nèi)容，以此來(lái)提升統(tǒng)一身份認(rèn)證服務(wù)質(zhì)量、優(yōu)化服務(wù)成本、強(qiáng)化服務(wù)效能和降低服務(wù)風(fēng)險(xiǎn)等方面，并規(guī)范和引導(dǎo)公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)行業(yè)的發(fā)展。

公眾網(wǎng)絡(luò)；統(tǒng)一身份認(rèn)證；IT服務(wù)；標(biāo)準(zhǔn)；標(biāo)準(zhǔn)體系

統(tǒng)一身份認(rèn)證指的是實(shí)現(xiàn)網(wǎng)上應(yīng)用系統(tǒng)的用戶、角色和組織機(jī)構(gòu)統(tǒng)一化管理，實(shí)現(xiàn)各種應(yīng)用統(tǒng)間跨域的單點(diǎn)登錄和單點(diǎn)退出和統(tǒng)一的身份認(rèn)證功能，用戶登錄到一個(gè)系統(tǒng)后，再轉(zhuǎn)入到其他應(yīng)用系統(tǒng)時(shí)不需要再次登錄，簡(jiǎn)化了用戶的操作，也保證了同一用戶在不同的應(yīng)用系統(tǒng)中身份的一致性[1]。ITU(International Telecommunications Union，國(guó)際電信聯(lián)盟)[2]、自由聯(lián)盟[3]、3GPP(The 3rd Generation Partnership Project)等眾多國(guó)際或區(qū)域標(biāo)準(zhǔn)化組織都致力于統(tǒng)一身份認(rèn)證研究,同時(shí)統(tǒng)一身份認(rèn)證的產(chǎn)品越來(lái)越多，應(yīng)用也越來(lái)越廣泛。但由于利益、觀點(diǎn)、關(guān)心問(wèn)題、優(yōu)先順序、技術(shù)、安全以及身份集成等諸多方面存在問(wèn)題，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證很復(fù)雜，不同的組織針對(duì)自己特定的需求各有側(cè)重。因此，統(tǒng)一身份認(rèn)證存在的問(wèn)題是，只是在局部或者一個(gè)企業(yè)、單位應(yīng)用，并未在更大范圍的互聯(lián)網(wǎng)上得到廣泛的應(yīng)用，究其原因服務(wù)標(biāo)準(zhǔn)缺失是一個(gè)重要原因。

本文結(jié)合公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)框架，重點(diǎn)參照ITIL(Information Technology Infrastructure Library，信息技術(shù)基礎(chǔ)架構(gòu)庫(kù))和ITSS(Information Technology Service Standards，信息技術(shù)服務(wù)標(biāo)準(zhǔn))等國(guó)際國(guó)內(nèi)的IT(Information Technology，信息技術(shù))服務(wù)標(biāo)準(zhǔn)，提出了公眾網(wǎng)絡(luò)的統(tǒng)一身份認(rèn)證服務(wù)的標(biāo)準(zhǔn)體系架構(gòu)及每項(xiàng)服務(wù)標(biāo)準(zhǔn)的基本內(nèi)容等。

1 公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)構(gòu)建

1.1 統(tǒng)一身份認(rèn)證服務(wù)的產(chǎn)生

公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)是統(tǒng)一身份認(rèn)證和IT服務(wù)的結(jié)合(圖1)，即統(tǒng)一身份認(rèn)證服務(wù)是在不同商業(yè)門(mén)戶之間，用戶的身份賬戶注冊(cè)信息可以在不同的系統(tǒng)之間進(jìn)行維護(hù)修改，用戶在單點(diǎn)登錄后就可以根據(jù)自己的權(quán)限等級(jí)享受相關(guān)的服務(wù)[4]。

圖1 統(tǒng)一身份認(rèn)證服務(wù)的產(chǎn)生

1.2 統(tǒng)一身份認(rèn)證服務(wù)模式

統(tǒng)一身份認(rèn)證服務(wù)實(shí)現(xiàn)了身份管理服務(wù)和業(yè)務(wù)服務(wù)的分離(圖2)，從面向應(yīng)用的角度來(lái)說(shuō)，統(tǒng)一身份認(rèn)證服務(wù)的基本架構(gòu)由服務(wù)提供者、用戶和統(tǒng)一身份服務(wù)提供商3個(gè)參與者和3個(gè)基本操作(發(fā)布、發(fā)現(xiàn)和綁定)構(gòu)成[5]。服務(wù)提供者將其服務(wù)發(fā)布到統(tǒng)一身份服務(wù)提供商的目錄上，當(dāng)用戶需要調(diào)用該服務(wù)時(shí)，首先利用統(tǒng)一身份服務(wù)提供商提供的目錄去搜索該服務(wù)，得到如何調(diào)用該服務(wù)的信息，然后根據(jù)這些信息去調(diào)用服務(wù)提供者發(fā)布的服務(wù)。當(dāng)用戶從統(tǒng)一身份服務(wù)提供商得到調(diào)用所需服務(wù)的信息之后，通信在用戶和服務(wù)提供者之間直接進(jìn)行，而無(wú)須經(jīng)過(guò)統(tǒng)一身份服務(wù)提供商。

圖2 統(tǒng)一身份認(rèn)證服務(wù)模式

1.3 IT服務(wù)框架

目前，我國(guó)IT服務(wù)領(lǐng)域的主要管理標(biāo)準(zhǔn)有國(guó)際上流行的ITIL標(biāo)準(zhǔn)和我國(guó)自主制定的ITSS[6]。

ITIL為企業(yè)的IT服務(wù)管理實(shí)踐提供了一個(gè)客觀、嚴(yán)謹(jǐn)、可量化的標(biāo)準(zhǔn)和規(guī)范[7]。在它的參考模型最新版2.0版中(圖3)，ITIL主要包括6個(gè)模塊，即業(yè)務(wù)管理、服務(wù)管理、ICT(Information Communication Technology，信息通信技術(shù))基礎(chǔ)架構(gòu)管理、IT服務(wù)管理規(guī)劃與實(shí)施、應(yīng)用管理和安全管理。

圖3 ITIL2.0參考模型

ITSS定義的信息技術(shù)服務(wù)核心要素包括：人員、過(guò)程、技術(shù)和資源[8]。信息技術(shù)服務(wù)的生命周期包括：規(guī)劃設(shè)計(jì)、部署實(shí)施、服務(wù)運(yùn)營(yíng)、持續(xù)改進(jìn)和監(jiān)督管理(圖4)。

圖4 IT服務(wù)的組成要素和生命周期

1.4 公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)

統(tǒng)一身份認(rèn)證服務(wù)作為一項(xiàng)IT服務(wù)，在公眾網(wǎng)絡(luò)上的具體實(shí)現(xiàn)就是要建立統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)絡(luò)(圖5)。統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)絡(luò)采用P2P Chord網(wǎng)絡(luò)模型，每個(gè)節(jié)點(diǎn)即是一個(gè)統(tǒng)一身份服務(wù)提供商，它們通過(guò)橋接服務(wù)彼此相連，并進(jìn)行身份信息互換，達(dá)到身份信息的不斷更新，以及服務(wù)網(wǎng)絡(luò)的負(fù)載均衡，當(dāng)某個(gè)節(jié)點(diǎn)異常退出時(shí)，P2P協(xié)議可保證服務(wù)網(wǎng)絡(luò)可自愈。身份數(shù)據(jù)災(zāi)備中心負(fù)責(zé)對(duì)身份服務(wù)網(wǎng)絡(luò)的身份信息進(jìn)行備份，當(dāng)服務(wù)網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)可以實(shí)現(xiàn)服務(wù)的軟切換，保證服務(wù)的繼續(xù)進(jìn)行。統(tǒng)一身份認(rèn)證服務(wù)是統(tǒng)一身份認(rèn)證和IT服務(wù)的結(jié)合，因此，每個(gè)身份服務(wù)提供商不僅要實(shí)現(xiàn)ITU全球兼容身份管理通用需求的幾乎所有服務(wù)，包括身份信息管理、身份信息關(guān)聯(lián)、身份信息認(rèn)證、身份服務(wù)發(fā)現(xiàn)和身份審計(jì)與追蹤等，而且要符合IT服務(wù)規(guī)范，即在業(yè)務(wù)管理、服務(wù)管理、應(yīng)用管理、規(guī)劃設(shè)計(jì)、部署實(shí)施、持續(xù)改進(jìn)和監(jiān)督管理等方面提出具體要求。

圖5 統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)絡(luò)

2 公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系

2.1 統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系框架

為了統(tǒng)一身份認(rèn)證服務(wù)能夠在公眾網(wǎng)絡(luò)上高效、安全地運(yùn)營(yíng)，參照統(tǒng)一身份認(rèn)證服務(wù)網(wǎng)絡(luò)架構(gòu)，結(jié)合ITIL服務(wù)管理的參考模型和ITSS中IT服務(wù)的核心要素和生命周期將公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)分為技術(shù)服務(wù)標(biāo)準(zhǔn)、管理服務(wù)標(biāo)準(zhǔn)、實(shí)施服務(wù)標(biāo)準(zhǔn)、檢測(cè)服務(wù)標(biāo)準(zhǔn)、評(píng)價(jià)服務(wù)標(biāo)準(zhǔn)5大類(lèi)，共有20項(xiàng)基本內(nèi)容(圖6)。

圖6 公眾網(wǎng)絡(luò)的統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系框架

2.2 統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)的基本內(nèi)容

根據(jù)IT服務(wù)標(biāo)準(zhǔn)和統(tǒng)一身份認(rèn)證的系列標(biāo)準(zhǔn)，可以得出公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系的標(biāo)準(zhǔn)的基本內(nèi)容如下。

(1)技術(shù)服務(wù)標(biāo)準(zhǔn)

技術(shù)服務(wù)標(biāo)準(zhǔn)包括系統(tǒng)建設(shè)，系統(tǒng)接入標(biāo)準(zhǔn)和關(guān)鍵技術(shù)，規(guī)定了統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng)建設(shè)的人員管理和軟硬件要求等[9]，服務(wù)系統(tǒng)的接口和相關(guān)協(xié)議標(biāo)準(zhǔn)以及其他關(guān)鍵技術(shù)的規(guī)定和指導(dǎo)。

(2)管理服務(wù)標(biāo)準(zhǔn)

管理服務(wù)標(biāo)準(zhǔn)包括運(yùn)營(yíng)商要求，口令、證書(shū)的管理，IT服務(wù)提供商從業(yè)規(guī)范，身份信息管理，安全管理要求和服務(wù)計(jì)費(fèi)。其中，口令、證書(shū)的管理規(guī)定了認(rèn)證過(guò)程中所使用的交互口令或證書(shū)的獲取、更新、交換和授予等詳細(xì)要求；身份信息管理規(guī)定了身份信息的登記、創(chuàng)建、保存、注銷(xiāo)以及實(shí)體的標(biāo)識(shí)信息與身份相關(guān)聯(lián)等方面的要求，是服務(wù)系統(tǒng)的重要組成部分；安全管理是每一項(xiàng)IT服務(wù)的基本要求，在統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng)中尤其要加強(qiáng)身份信息的存儲(chǔ)和傳輸過(guò)程中的安全要求，因此此標(biāo)準(zhǔn)規(guī)定了系統(tǒng)建設(shè)、人員管理、服務(wù)運(yùn)行過(guò)程中的軟硬件及身份信息的安全要求；公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)的核心是實(shí)現(xiàn)了身份管理服務(wù)和業(yè)務(wù)服務(wù)的分離，因此身份認(rèn)證服務(wù)的計(jì)費(fèi)采取的是按需付費(fèi)的模式，服務(wù)提供商向身份信息提供商申請(qǐng)用戶的某些身份信息，后者分級(jí)別、分層次地提供身份信息，費(fèi)用也相應(yīng)地不同。

(3)實(shí)施服務(wù)標(biāo)準(zhǔn)

實(shí)施服務(wù)標(biāo)準(zhǔn)包括實(shí)施指南，交付規(guī)范，應(yīng)急響應(yīng)，數(shù)據(jù)中心規(guī)范和服務(wù)模式。實(shí)施指南規(guī)定了實(shí)施步驟及每個(gè)步驟的工作內(nèi)容，同時(shí)提供了實(shí)施模板參考[10]。數(shù)據(jù)中心規(guī)范是實(shí)施服務(wù)的重要組成部分，也是保證用戶身份信息安全以及數(shù)據(jù)備份與恢復(fù)的主要一環(huán)，因此，此標(biāo)準(zhǔn)規(guī)定了身份信息數(shù)據(jù)中心運(yùn)維服務(wù)的對(duì)象、類(lèi)型、服務(wù)策略、服務(wù)內(nèi)容和服務(wù)報(bào)告的編制等要求。

(4)檢測(cè)服務(wù)標(biāo)準(zhǔn)

檢測(cè)服務(wù)標(biāo)準(zhǔn)包括身份搜集、發(fā)現(xiàn)和定位，業(yè)務(wù)連續(xù)性檢測(cè)和安全風(fēng)險(xiǎn)檢測(cè)。身份信息的搜集、發(fā)現(xiàn)和定位是身份認(rèn)證服務(wù)的必要前提和保證，主要負(fù)責(zé)發(fā)現(xiàn)跨組織、網(wǎng)絡(luò)和應(yīng)用服務(wù)的用戶身份信息，并完成用戶的多數(shù)字身份的唯一對(duì)應(yīng)和管理，此標(biāo)準(zhǔn)規(guī)定了身份搜集、發(fā)現(xiàn)和定位過(guò)程中的相關(guān)算法、協(xié)議、身份信息組成格式和存儲(chǔ)格式等要求。安全風(fēng)險(xiǎn)檢測(cè)規(guī)定了身份認(rèn)證服務(wù)過(guò)程中應(yīng)采取的安全檢測(cè)方法、接口、時(shí)間、頻率等要求。

(5)評(píng)價(jià)服務(wù)標(biāo)準(zhǔn)

評(píng)價(jià)服務(wù)標(biāo)準(zhǔn)包括服務(wù)等級(jí)劃分，績(jī)效評(píng)價(jià)和服務(wù)質(zhì)量評(píng)價(jià)。服務(wù)等級(jí)劃分標(biāo)準(zhǔn)規(guī)定了身份信息提供商根據(jù)身份信息需求者的社會(huì)屬性和業(yè)務(wù)屬性等劃分等級(jí)，并有區(qū)別地提供身份信息服務(wù)的要求。服務(wù)質(zhì)量評(píng)價(jià)標(biāo)準(zhǔn)建立了統(tǒng)一身份認(rèn)證服務(wù)質(zhì)量模型，規(guī)定了質(zhì)量評(píng)價(jià)指標(biāo)體系、評(píng)價(jià)方法，并給出了評(píng)價(jià)結(jié)果使用建議。

3 結(jié)束語(yǔ)

公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)標(biāo)準(zhǔn)體系的建設(shè)是一項(xiàng)系統(tǒng)工程，本文將統(tǒng)一身份認(rèn)證與IT服務(wù)結(jié)合，提出了統(tǒng)一身份認(rèn)證服務(wù)準(zhǔn)體系的架構(gòu)和基本內(nèi)容，對(duì)推動(dòng)這項(xiàng)IT服務(wù)的實(shí)施和發(fā)展提供了一定的標(biāo)準(zhǔn)基礎(chǔ)。同時(shí)，標(biāo)準(zhǔn)體系是動(dòng)態(tài)發(fā)展的，與IT服務(wù)相關(guān)的技術(shù)、服務(wù)模式和業(yè)態(tài)、產(chǎn)業(yè)發(fā)展緊密相關(guān)，同時(shí)也與服務(wù)標(biāo)準(zhǔn)的應(yīng)用需求、標(biāo)準(zhǔn)化工作的目標(biāo)和定位緊密相關(guān)，其更新將結(jié)合上述情況動(dòng)態(tài)調(diào)整。

[1] ITU-T Focus Group Identity Management. Unified Identity Authentication[EB/OL]. (2011-11-09)[2013-10-07].http://www.itu.int/ITU-T/studygroups/com17/fgidm/index.html.

[2] Liberty Alliance Project．Liberty architecture Overview, version 1.1[EB/OL].(2011-11-15)[2013-10-10]. http://www.projectliberty.org/specs/liberty-architecture-overview-v1.1.pdf.

[3] ITU-T Telecommunication Standardization Sector of ITU. ITU-T.X.1250.Baseline capabilities for enhanced global identity management and interoperability[R]. Switzerland: ITU Press, 2009.

[4] 孫韓林，劉建華.公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)及標(biāo)準(zhǔn)研究[J].電信科學(xué),2013，29(2):89-94.

[5] ITU-T Telecommunication Standardization Sector of ITU. Y.2722 NGN identity management mechanisms[R]. Switzerland: ITU Press, 2011.

[6] 劉颋，姚玉紅，潘純峰.ITSS/ITIL/ISO 2000對(duì)比分析[J].技術(shù)熱點(diǎn), 2011(8):17-20.

[7] 陳宏峰.翰緯ITIL V3白皮書(shū)[M].上海：翰緯IT管理研究咨詢(xún)中心出版社，2007:5-8.

[8] 工業(yè)和信息化部軟件服務(wù)業(yè)司.中國(guó)信息技術(shù)服務(wù)標(biāo)準(zhǔn)(ITSS)白皮書(shū)[R].北京：工業(yè)和信息化部,2010.

[9] 工業(yè)和信息化部賽迪研究院．電子認(rèn)證服務(wù)業(yè)發(fā)展情況及政策研究[J].工業(yè)和信息化研究, 2011,13(5)：20-24.

[10] 林寧.信息技術(shù)服務(wù)標(biāo)準(zhǔn)綜述[J].技術(shù)熱點(diǎn), 2011(7):27-30.

[責(zé)任編輯:汪湘]

On public network unified identity authentication service standard system

LIU Jianhua1, LIANG Junjie2

(1. Department of Information Center, Xi’an University of Posts and Telecommunications, Xi’an 710121, China;2. School of Computer Science and Technology, Xi’an University of Posts and Telecommunications, Xi’an 710121, China)

To run the public network unified identity authentication service efficiently and safely, a standard system framework of public network unified identity authentication service and basic content of each service standard are proposed in this paper by combining the framework of unified identity authentication service and consulting standards of existing international and domestic IT services. This framework and service standard can improve quality, optimize cost, strengthen efficiency, and reduce risk of unified identity authentication service. It can also standardize and guide the development of unified identity authentication service industry.

public network, unified identity authentication, IT service, standard, standard system

10.13682/j.issn.2095-6533.2014.01.023

2013-10-21

工業(yè)和信息化部軟科學(xué)研究基金資助項(xiàng)目(2012-R-57)

劉建華(1963-)，男，正高級(jí)工程師，從事信息安全研究。E-mail: xytx04@xupt.edu.cn 梁俊杰(1987-)，男，碩士研究生，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與多媒體通信。E-mail: liangjunjiexshj@163.com

TP393

A

2095-6533(2014)01-0111-04