徐 祺，崔久強(qiáng)

(上海市數(shù)字證書(shū)認(rèn)證中心有限公司，上海 200080)

個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)研究

徐 祺，崔久強(qiáng)

(上海市數(shù)字證書(shū)認(rèn)證中心有限公司，上海 200080)

針對(duì)目前身份認(rèn)證服務(wù)市場(chǎng)應(yīng)用不規(guī)范、身份信息非法或超需求收集、認(rèn)證流程繁冗、認(rèn)證手續(xù)復(fù)雜、多方重復(fù)認(rèn)證等問(wèn)題，提出開(kāi)展個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)研究，設(shè)計(jì)了可互操作的通用身份模型架構(gòu)、制定和完善身份認(rèn)證策略框架，試圖建立個(gè)人可信身份生態(tài)基礎(chǔ)設(shè)施，向用戶提供實(shí)名身份鑒別服務(wù)、應(yīng)用登錄認(rèn)證服務(wù)和應(yīng)用電子簽名服務(wù)等，為各類電子政務(wù)、電子商務(wù)等互聯(lián)網(wǎng)活動(dòng)提供統(tǒng)一的可信身份認(rèn)證服務(wù)。

個(gè)人；身份認(rèn)證；多源

0 引言

隨著“互聯(lián)網(wǎng)+”、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)與政府業(yè)務(wù)信息化的不斷融合，各地政府機(jī)構(gòu)開(kāi)始推動(dòng)政務(wù)服務(wù)云建設(shè)，用互聯(lián)網(wǎng)作為服務(wù)渠道推動(dòng)政務(wù)服務(wù)創(chuàng)新，成為各地主管部門(mén)建設(shè)服務(wù)型政府的重要抓手[1-3]。各地政府部門(mén)逐步推出了各類政務(wù)APP、微信自助服務(wù)，將資質(zhì)申請(qǐng)、行政審批、數(shù)據(jù)上報(bào)等業(yè)務(wù)逐步遷移到智能移動(dòng)終端上實(shí)現(xiàn)。與此同時(shí)，各大互聯(lián)網(wǎng)巨頭也紛紛啟動(dòng)“互聯(lián)網(wǎng)+城市服務(wù)”戰(zhàn)略，向社會(huì)公眾開(kāi)放自身的基礎(chǔ)服務(wù)能力，為各地政府提供“智慧城市”的一站式解決方案，形成開(kāi)放的城市公共服務(wù)平臺(tái)，為廣大市民提供更高效、便捷的線上服務(wù)。

1 個(gè)人網(wǎng)上身份多源認(rèn)證分析

據(jù)支付寶發(fā)布的《2015“互聯(lián)網(wǎng)+”城市服務(wù)報(bào)告》[4]顯示，截至2015年底，全國(guó)19個(gè)省份、124個(gè)城市入駐支付寶城市服務(wù)平臺(tái)，提供包括車主服務(wù)、政務(wù)辦事、醫(yī)療、交通出行、充值繳費(fèi)等9大類服務(wù)，共計(jì)4000多項(xiàng)業(yè)務(wù)，為超過(guò)1億的用戶提供簡(jiǎn)單便捷的服務(wù)體驗(yàn)。用戶通過(guò)支付寶、微博和手機(jī)淘寶三個(gè)入口，均可進(jìn)入“城市服務(wù)”平臺(tái)，在手機(jī)上完成交通違章查詢、路況及公交查詢、生活繳費(fèi)、醫(yī)院掛號(hào)、三金查詢、出入境辦理、結(jié)婚登記預(yù)約等事項(xiàng)。微信的城市服務(wù)也于 2014年 12月正式上線，微信用戶可以在“城市服務(wù)”下得到包含醫(yī)療、交管、交通、公安戶政、出入境、繳費(fèi)、教育、公積金等16項(xiàng)民生公共服務(wù)。

越來(lái)越多的大型電子商務(wù)、社交網(wǎng)絡(luò)平臺(tái)都紛紛加入智慧城市服務(wù)的隊(duì)伍中，他們利用自有的身份認(rèn)證方式、服務(wù)渠道為旗下用戶提供智慧生活服務(wù)。在眾多電子政務(wù)、電子商務(wù)、社會(huì)公共服務(wù)應(yīng)用逐步接入城市服務(wù)的大趨勢(shì)下，公眾進(jìn)入每一個(gè)移動(dòng)應(yīng)用前都需要進(jìn)行身份認(rèn)證[5-8]，然而目前身份認(rèn)證服務(wù)市場(chǎng)魚(yú)龍混雜，身份信息非法或超需求收集、買賣、身份信息批量竊取等個(gè)人信息保護(hù)不力現(xiàn)象十分嚴(yán)重。對(duì)于每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)要面對(duì)多個(gè)身份渠道供應(yīng)商，而對(duì)于每個(gè)身份渠道也需要用戶根據(jù)具體的身份認(rèn)證強(qiáng)度等級(jí)提供相應(yīng)的服務(wù)，面對(duì)跨地域、跨部門(mén)、跨業(yè)務(wù)領(lǐng)域的大規(guī)模渠道商，個(gè)人身份多源認(rèn)證面臨認(rèn)證次數(shù)重復(fù)、認(rèn)證流程繁冗、認(rèn)證手續(xù)復(fù)雜、多方重復(fù)認(rèn)證等問(wèn)題，造成了大量人力、財(cái)力和物力的浪費(fèi)。第一、缺乏身份認(rèn)證互信互認(rèn)機(jī)制，造成身份認(rèn)證渠道多樣，重復(fù)認(rèn)證現(xiàn)象明顯，不能實(shí)現(xiàn)不同數(shù)據(jù)源身份交叉應(yīng)用。第二、微博、社交網(wǎng)站等新型網(wǎng)絡(luò)應(yīng)用，為提供個(gè)性化的服務(wù)而涉及用戶敏感信息，身份渠道供應(yīng)商面臨身份管理和訪問(wèn)控制機(jī)制不健全情況下引發(fā)的一系列安全威脅。第三、對(duì)于終端用戶而言，需要記憶大量業(yè)務(wù)系統(tǒng)各自應(yīng)用賬號(hào)和密碼，造成管理不便。在多渠道、多源頭、多平臺(tái)環(huán)境下構(gòu)建安全可靠的身份管理和訪問(wèn)控制體系是智慧城市信息系統(tǒng)建設(shè)的重要任務(wù)。

2 個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)研究

隨著網(wǎng)絡(luò)規(guī)模的日益增長(zhǎng)，個(gè)人身份多源認(rèn)證需要支持上千萬(wàn)甚至數(shù)十億用戶的身份認(rèn)證與應(yīng)用授權(quán)。在分析可互操作的通用身份模型需求的基礎(chǔ)上，制定和完善身份認(rèn)證策略框架，建立個(gè)人可信身份生態(tài)基礎(chǔ)設(shè)施和服務(wù)架構(gòu)，加強(qiáng)身份認(rèn)證技術(shù)創(chuàng)新和應(yīng)用模式創(chuàng)新，建設(shè)個(gè)人網(wǎng)絡(luò)空間可信身份生態(tài)體系，以個(gè)人為中心確立網(wǎng)絡(luò)空間主體和現(xiàn)實(shí)生活中人與組織的關(guān)系對(duì)應(yīng)和歸屬，實(shí)現(xiàn)虛擬身份與社會(huì)身份的真實(shí)映射，在網(wǎng)絡(luò)空間為各主體構(gòu)建信任關(guān)系，為各類電子政務(wù)、電子商務(wù)等互聯(lián)網(wǎng)活動(dòng)提供統(tǒng)一的可信身份認(rèn)證服務(wù)[9,10]。

2.1 總體架構(gòu)

個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)總體架構(gòu)如圖1所示，包括身份信息源、平臺(tái)管理、業(yè)務(wù)應(yīng)用、標(biāo)準(zhǔn)規(guī)范與制度管理、安全與運(yùn)維保障體系等5個(gè)方面。

身份信息源包括目前市民常用的網(wǎng)上社交、移動(dòng)支付軟件（如微信、支付寶等）和現(xiàn)行通用的各類身份認(rèn)證方式（如銀行卡驗(yàn)證、身份證信息比對(duì)、公安三所eID認(rèn)證、公安一所身份證網(wǎng)上副本、三大電信運(yùn)營(yíng)商實(shí)名制手機(jī)號(hào)、駕駛證信息、社保賬號(hào)信息、公積金信息等）。平臺(tái)管理負(fù)責(zé)對(duì)個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)進(jìn)行管理和服務(wù)配置，主要包括身份標(biāo)識(shí)管理、認(rèn)證等級(jí)策略管理、訪問(wèn)控制策略管理、身份源管理、接入應(yīng)用管理、用戶管理、授權(quán)管理、審計(jì)管理、配置管理和服務(wù)管理等。通過(guò)多源認(rèn)證平臺(tái)認(rèn)證后，用戶可實(shí)現(xiàn)網(wǎng)上預(yù)約辦事、家庭賬單查詢與繳納、社保信息查詢與管理、公積金信息查詢與管理、納稅信息查詢與管理、個(gè)人信用報(bào)告查詢、在線圖書(shū)借閱、個(gè)人電子檔案管理、醫(yī)院門(mén)診掛號(hào)、網(wǎng)上政務(wù)在線辦事等服務(wù)。同時(shí)還要遵守國(guó)家及行業(yè)的標(biāo)準(zhǔn)規(guī)范與制度，為了保障用戶隱私安全，還需要加強(qiáng)安全與運(yùn)維保障體系。

圖1 個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)架構(gòu)圖

2.2 平臺(tái)功能

個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)主要為用戶提供實(shí)名身份鑒別服務(wù)、應(yīng)用登錄認(rèn)證服務(wù)和應(yīng)用電子簽名服務(wù)等。

圖2 個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)實(shí)名身份鑒別服務(wù)流程

1.實(shí)名身份鑒別服務(wù)查看公開(kāi)信息、使用姓名+身份證注冊(cè)的用戶可以使用基本功能、使用人臉識(shí)別認(rèn)證[11-12]的用戶可以在線辦理業(yè)務(wù)），不同的認(rèn)證渠道商認(rèn)證通過(guò)的用戶帶有不同的權(quán)限標(biāo)識(shí)，通過(guò)分級(jí)策略實(shí)現(xiàn)身份的映射互通。同時(shí)，該平臺(tái)還開(kāi)展基于大數(shù)據(jù)的身份糾錯(cuò)模式，在互聯(lián)互通的身份映射機(jī)制基礎(chǔ)上，會(huì)存在同一用戶在不同的電子商務(wù)平臺(tái)或社交網(wǎng)絡(luò)平臺(tái)具有不同的身份（如A用戶在支付寶認(rèn)證渠道下是代表用戶A，而在手機(jī)運(yùn)營(yíng)商渠道下可能代表用戶B），平臺(tái)針對(duì)此情況開(kāi)展基于大數(shù)據(jù)的身份糾錯(cuò)模式，增加其他身份認(rèn)證手段（人臉識(shí)別、銀行卡驗(yàn)證）保證同一用戶在多源認(rèn)證統(tǒng)一服務(wù)模式下具有同一身份標(biāo)識(shí)。

2.應(yīng)用登錄認(rèn)證服務(wù)

對(duì)于低頻應(yīng)用（如個(gè)人所得稅自主申報(bào)）進(jìn)行身份認(rèn)證時(shí)，應(yīng)用不需要建立和維護(hù)個(gè)人用戶的應(yīng)用賬戶信息，在每次交易時(shí)均需要對(duì)用戶進(jìn)行實(shí)名身份鑒別。對(duì)于高頻應(yīng)用初次注冊(cè)時(shí)由用戶選擇登陸方式，認(rèn)證通過(guò)后提示用戶進(jìn)行實(shí)名身份鑒別，通過(guò)后由平臺(tái)維護(hù)用戶的賬戶信息；若后續(xù)選擇同樣的認(rèn)證方式進(jìn)行認(rèn)證，不需要再次實(shí)名身份鑒別，由平臺(tái)返回對(duì)應(yīng)的實(shí)名信息；可以根據(jù)用戶需求更換認(rèn)證方式。

個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)集成在原有業(yè)務(wù)應(yīng)用系統(tǒng)中，當(dāng)應(yīng)用需要對(duì)用戶身份進(jìn)行確認(rèn)時(shí)，可跳轉(zhuǎn)至多源認(rèn)證服務(wù)平臺(tái)進(jìn)行身份鑒別，鑒別通過(guò)后由應(yīng)用系統(tǒng)根據(jù)實(shí)名結(jié)果為用戶創(chuàng)建并維護(hù)賬戶信息。其中，多源身份認(rèn)證平臺(tái)的實(shí)名鑒別服務(wù)一方面根據(jù)用戶自主選擇的認(rèn)證源渠道確定用戶身份，另一方面根據(jù)用戶選擇的應(yīng)用系統(tǒng)對(duì)實(shí)名認(rèn)證強(qiáng)度的要求進(jìn)行綜合認(rèn)證。通過(guò)該平臺(tái)能夠建立互聯(lián)互通的身份映射機(jī)制，實(shí)現(xiàn)不同身份認(rèn)證的手段對(duì)應(yīng)不同的權(quán)限級(jí)別（如使用短信認(rèn)證的用戶只能

圖3 個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)平臺(tái)應(yīng)用登錄認(rèn)證服務(wù)流程

3.應(yīng)用數(shù)字簽名服務(wù)

當(dāng)用戶選擇需要進(jìn)行電子簽名的應(yīng)用時(shí)，由多源認(rèn)證服務(wù)平臺(tái)調(diào)用數(shù)字證書(shū)和時(shí)間戳服務(wù)，實(shí)時(shí)簽發(fā)數(shù)字證書(shū)，為用戶提供后臺(tái)電子簽名服務(wù)，對(duì)每一筆交易均包含時(shí)間戳，便于日后的安全審計(jì)和責(zé)任認(rèn)定。

2.3 平臺(tái)應(yīng)用

個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)針對(duì)在軟件體系架構(gòu)和技術(shù)形態(tài)多樣化的環(huán)境下，用戶身份認(rèn)證統(tǒng)一管理中存在的量化身份模型難以建立、跨域身份鑒別機(jī)制難以形成、多種身份認(rèn)證方式難以融合、用戶個(gè)人敏感數(shù)據(jù)難以保護(hù)等關(guān)鍵問(wèn)題，攻克異源、異構(gòu)、異平臺(tái)海量用戶接入城市服務(wù)應(yīng)用中統(tǒng)一身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定、行為審計(jì)等技術(shù)難題，對(duì)用戶身份認(rèn)證、跨域鑒別、信息保護(hù)等影響身份管理功能有效實(shí)現(xiàn)和部署的關(guān)鍵問(wèn)題進(jìn)行深入研究，形成互聯(lián)互通、操作性較強(qiáng)的身份管理框架、身份標(biāo)識(shí)分類、身份鑒別標(biāo)準(zhǔn)、認(rèn)證分級(jí)規(guī)則、信息保護(hù)策略和責(zé)任認(rèn)定機(jī)制等。針對(duì)電子政務(wù)業(yè)務(wù)應(yīng)用場(chǎng)景建立實(shí)名認(rèn)證服務(wù)（如出入境辦理、結(jié)婚登記預(yù)約等）機(jī)制，針對(duì)電子商務(wù)業(yè)務(wù)應(yīng)用場(chǎng)景建立實(shí)名（如網(wǎng)上支付、物流快遞等）或匿名（如網(wǎng)上論壇、網(wǎng)上購(gòu)物等）服務(wù)機(jī)制，創(chuàng)新多渠道多源頭身份認(rèn)證服務(wù)模式、業(yè)務(wù)模式和應(yīng)用模式等，為智慧城市網(wǎng)絡(luò)服務(wù)提供完整、快速、安全、可靠、可控的電子認(rèn)證服務(wù)。

[1]嚴(yán)霄鳳.在智慧城市建設(shè)中推廣電子認(rèn)證服務(wù)[J].軟件, 2012, 33(3): 109-112.

[2]王云.互聯(lián)網(wǎng)+時(shí)代泰州智慧城市創(chuàng)新發(fā)展探討[J].軟件, 2015, 36(11): 09-11.

[3]崔久強(qiáng), 徐祺.移動(dòng)互聯(lián)網(wǎng)身份認(rèn)證技術(shù)研究[J].信息安全與技術(shù), 2015(7).

[4]《支付寶發(fā)布2015“互聯(lián)網(wǎng)＋”城市服務(wù)報(bào)告》[N].南方日?qǐng)?bào)2016-01-18.

[5]劉會(huì)議.移動(dòng)互聯(lián)網(wǎng)中身份認(rèn)證技術(shù)的研究[D].山東大學(xué), 2014.

[6]霍艷清.基于PKI技術(shù)的電子政務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué), 2014.

[7]張巖.基于PKI的多安全要素跨域身份認(rèn)證系統(tǒng)設(shè)計(jì)[D].太原理工大學(xué), 2015.

[8]范月, 許晉, 高宇童.eID移動(dòng)身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全, 2015(3).

[9]潛昕, 羅沙白, 盧康權(quán).構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].軟件, 2013, 34(1): 17-19.

[10]劉艷民, 鄂海紅.基于OpenID2.0的認(rèn)證授權(quán)系統(tǒng)的分析與設(shè)計(jì)[J].軟件, 2015, 36(10): 01-04.

[11]基于人臉識(shí)別的實(shí)名認(rèn)證方法及系統(tǒng)[P].李國(guó), 崔久強(qiáng),徐祺, 杜守國(guó), 陳犖祺, 劉承, 馮曄.中國(guó)專利: CN103-634120A.

[12]非現(xiàn)場(chǎng)個(gè)人數(shù)字證書(shū)申請(qǐng)方法及系統(tǒng)[P].崔久強(qiáng), 杜守國(guó),劉承, 徐祺, 陳犖祺, 馮曄, 王天華.中國(guó)專利: CN103825744A.

Research on Multiple-Source Authentication Service for Personal Online Identification

XU Qi, CUI Jiu-qiang
(Shanghai Electronic Certificate Authority Center Co., ltd, Shanghai 20080, China)

To address the current issues in the identity authentication service market regarding abnormal application, illicit information or excessive collection, burdensome authentication process, complicated certificate formalities, and multipart repetitive authentication, this paper proposed the research on personal identification and multiple-source authentication service.Through designing the interoperability and universal identity modular architecture, establishing and improving identification policy framework, it constructs the trusted identity ecological infrastructure.Providing services to customers, such as verify their real-name identities, login authentication, and electronic signature applications.Meanwhile, the credible identity certificate service can be applied to e-government affairs, e-commerce, and other Internet activities.

Personal; Authentication; Multiple-Source

TP391.1

A

10.3969/j.issn.1003-6970.2017.03.007

上海市信息化發(fā)展專項(xiàng)資金項(xiàng)目(201601071)。

徐祺(1985-)男，碩士，工程師，主要從事電子政務(wù)、電子商務(wù)和信息安全領(lǐng)域的研究；崔久強(qiáng)(1973-)，男，工程師，主要研究方向?yàn)殡娮诱J(rèn)證、信息安全、電子政務(wù)、電子商務(wù)和數(shù)字證書(shū)等。

本文著錄格式：徐祺，崔久強(qiáng).個(gè)人網(wǎng)上身份多源認(rèn)證服務(wù)研究[J].軟件，2017，38（3）：34-37