刘建华， 梁俊杰

(1. 西安邮电大学 信息中心， 陕西 西安 710121； 2. 西安邮电大学 计算机学院， 陕西 西安 710121)

公众网络统一身份认证服务标准体系研究

刘建华1， 梁俊杰2

(1. 西安邮电大学 信息中心， 陕西 西安 710121； 2. 西安邮电大学 计算机学院， 陕西 西安 710121)

为了公众网络统一身份认证服务能够高效、安全地实施及运行，结合统一身份认证服务框架，参照现有国际、国内IT服务相关标准，提出公众网络的统一身份认证服务的标准体系架构及每项服务标准的基本内容，以此来提升统一身份认证服务质量、优化服务成本、强化服务效能和降低服务风险等方面，并规范和引导公众网络统一身份认证服务行业的发展。

公众网络；统一身份认证；IT服务；标准；标准体系

统一身份认证指的是实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性[1]。ITU(International Telecommunications Union，国际电信联盟)[2]、自由联盟[3]、3GPP(The 3rd Generation Partnership Project)等众多国际或区域标准化组织都致力于统一身份认证研究,同时统一身份认证的产品越来越多，应用也越来越广泛。但由于利益、观点、关心问题、优先顺序、技术、安全以及身份集成等诸多方面存在问题，实现统一身份认证很复杂，不同的组织针对自己特定的需求各有侧重。因此，统一身份认证存在的问题是，只是在局部或者一个企业、单位应用，并未在更大范围的互联网上得到广泛的应用，究其原因服务标准缺失是一个重要原因。

本文结合公众网络统一身份认证服务框架，重点参照ITIL(Information Technology Infrastructure Library，信息技术基础架构库)和ITSS(Information Technology Service Standards，信息技术服务标准)等国际国内的IT(Information Technology，信息技术)服务标准，提出了公众网络的统一身份认证服务的标准体系架构及每项服务标准的基本内容等。

1 公众网络统一身份认证服务构建

1.1 统一身份认证服务的产生

公众网络统一身份认证服务是统一身份认证和IT服务的结合(图1)，即统一身份认证服务是在不同商业门户之间，用户的身份账户注册信息可以在不同的系统之间进行维护修改，用户在单点登录后就可以根据自己的权限等级享受相关的服务[4]。

图1 统一身份认证服务的产生

1.2 统一身份认证服务模式

统一身份认证服务实现了身份管理服务和业务服务的分离(图2)，从面向应用的角度来说，统一身份认证服务的基本架构由服务提供者、用户和统一身份服务提供商3个参与者和3个基本操作(发布、发现和绑定)构成[5]。服务提供者将其服务发布到统一身份服务提供商的目录上，当用户需要调用该服务时，首先利用统一身份服务提供商提供的目录去搜索该服务，得到如何调用该服务的信息，然后根据这些信息去调用服务提供者发布的服务。当用户从统一身份服务提供商得到调用所需服务的信息之后，通信在用户和服务提供者之间直接进行，而无须经过统一身份服务提供商。

图2 统一身份认证服务模式

1.3 IT服务框架

目前，我国IT服务领域的主要管理标准有国际上流行的ITIL标准和我国自主制定的ITSS[6]。

ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范[7]。在它的参考模型最新版2.0版中(图3)，ITIL主要包括6个模块，即业务管理、服务管理、ICT(Information Communication Technology，信息通信技术)基础架构管理、IT服务管理规划与实施、应用管理和安全管理。

图3 ITIL2.0参考模型

ITSS定义的信息技术服务核心要素包括：人员、过程、技术和资源[8]。信息技术服务的生命周期包括：规划设计、部署实施、服务运营、持续改进和监督管理(图4)。

图4 IT服务的组成要素和生命周期

1.4 公众网络统一身份认证服务

统一身份认证服务作为一项IT服务，在公众网络上的具体实现就是要建立统一身份认证服务网络(图5)。统一身份认证服务网络采用P2P Chord网络模型，每个节点即是一个统一身份服务提供商，它们通过桥接服务彼此相连，并进行身份信息互换，达到身份信息的不断更新，以及服务网络的负载均衡，当某个节点异常退出时，P2P协议可保证服务网络可自愈。身份数据灾备中心负责对身份服务网络的身份信息进行备份，当服务网络出现问题时可以实现服务的软切换，保证服务的继续进行。统一身份认证服务是统一身份认证和IT服务的结合，因此，每个身份服务提供商不仅要实现ITU全球兼容身份管理通用需求的几乎所有服务，包括身份信息管理、身份信息关联、身份信息认证、身份服务发现和身份审计与追踪等，而且要符合IT服务规范，即在业务管理、服务管理、应用管理、规划设计、部署实施、持续改进和监督管理等方面提出具体要求。

图5 统一身份认证服务网络

2 公众网络统一身份认证服务标准体系

2.1 统一身份认证服务标准体系框架

为了统一身份认证服务能够在公众网络上高效、安全地运营，参照统一身份认证服务网络架构，结合ITIL服务管理的参考模型和ITSS中IT服务的核心要素和生命周期将公众网络统一身份认证服务标准分为技术服务标准、管理服务标准、实施服务标准、检测服务标准、评价服务标准5大类，共有20项基本内容(图6)。

图6 公众网络的统一身份认证服务标准体系框架

2.2 统一身份认证服务标准的基本内容

根据IT服务标准和统一身份认证的系列标准，可以得出公众网络统一身份认证服务标准体系的标准的基本内容如下。

(1)技术服务标准

技术服务标准包括系统建设，系统接入标准和关键技术，规定了统一身份认证服务系统建设的人员管理和软硬件要求等[9]，服务系统的接口和相关协议标准以及其他关键技术的规定和指导。

(2)管理服务标准

管理服务标准包括运营商要求，口令、证书的管理，IT服务提供商从业规范，身份信息管理，安全管理要求和服务计费。其中，口令、证书的管理规定了认证过程中所使用的交互口令或证书的获取、更新、交换和授予等详细要求；身份信息管理规定了身份信息的登记、创建、保存、注销以及实体的标识信息与身份相关联等方面的要求，是服务系统的重要组成部分；安全管理是每一项IT服务的基本要求，在统一身份认证服务系统中尤其要加强身份信息的存储和传输过程中的安全要求，因此此标准规定了系统建设、人员管理、服务运行过程中的软硬件及身份信息的安全要求；公众网络统一身份认证服务的核心是实现了身份管理服务和业务服务的分离，因此身份认证服务的计费采取的是按需付费的模式，服务提供商向身份信息提供商申请用户的某些身份信息，后者分级别、分层次地提供身份信息，费用也相应地不同。

(3)实施服务标准

实施服务标准包括实施指南，交付规范，应急响应，数据中心规范和服务模式。实施指南规定了实施步骤及每个步骤的工作内容，同时提供了实施模板参考[10]。数据中心规范是实施服务的重要组成部分，也是保证用户身份信息安全以及数据备份与恢复的主要一环，因此，此标准规定了身份信息数据中心运维服务的对象、类型、服务策略、服务内容和服务报告的编制等要求。

(4)检测服务标准

检测服务标准包括身份搜集、发现和定位，业务连续性检测和安全风险检测。身份信息的搜集、发现和定位是身份认证服务的必要前提和保证，主要负责发现跨组织、网络和应用服务的用户身份信息，并完成用户的多数字身份的唯一对应和管理，此标准规定了身份搜集、发现和定位过程中的相关算法、协议、身份信息组成格式和存储格式等要求。安全风险检测规定了身份认证服务过程中应采取的安全检测方法、接口、时间、频率等要求。

(5)评价服务标准

评价服务标准包括服务等级划分，绩效评价和服务质量评价。服务等级划分标准规定了身份信息提供商根据身份信息需求者的社会属性和业务属性等划分等级，并有区别地提供身份信息服务的要求。服务质量评价标准建立了统一身份认证服务质量模型，规定了质量评价指标体系、评价方法，并给出了评价结果使用建议。

3 结束语

公众网络统一身份认证服务标准体系的建设是一项系统工程，本文将统一身份认证与IT服务结合，提出了统一身份认证服务准体系的架构和基本内容，对推动这项IT服务的实施和发展提供了一定的标准基础。同时，标准体系是动态发展的，与IT服务相关的技术、服务模式和业态、产业发展紧密相关，同时也与服务标准的应用需求、标准化工作的目标和定位紧密相关，其更新将结合上述情况动态调整。

[1] ITU-T Focus Group Identity Management. Unified Identity Authentication[EB/OL]. (2011-11-09)[2013-10-07].http://www.itu.int/ITU-T/studygroups/com17/fgidm/index.html.

[2] Liberty Alliance Project．Liberty architecture Overview, version 1.1[EB/OL].(2011-11-15)[2013-10-10]. http://www.projectliberty.org/specs/liberty-architecture-overview-v1.1.pdf.

[3] ITU-T Telecommunication Standardization Sector of ITU. ITU-T.X.1250.Baseline capabilities for enhanced global identity management and interoperability[R]. Switzerland: ITU Press, 2009.

[4] 孙韩林，刘建华.公众网络统一身份认证服务及标准研究[J].电信科学,2013，29(2):89-94.

[5] ITU-T Telecommunication Standardization Sector of ITU. Y.2722 NGN identity management mechanisms[R]. Switzerland: ITU Press, 2011.

[6] 刘颋，姚玉红，潘纯峰.ITSS/ITIL/ISO 2000对比分析[J].技术热点, 2011(8):17-20.

[7] 陈宏峰.翰纬ITIL V3白皮书[M].上海：翰纬IT管理研究咨询中心出版社，2007:5-8.

[8] 工业和信息化部软件服务业司.中国信息技术服务标准(ITSS)白皮书[R].北京：工业和信息化部,2010.

[9] 工业和信息化部赛迪研究院．电子认证服务业发展情况及政策研究[J].工业和信息化研究, 2011,13(5)：20-24.

[10] 林宁.信息技术服务标准综述[J].技术热点, 2011(7):27-30.

[责任编辑:汪湘]

On public network unified identity authentication service standard system

LIU Jianhua1, LIANG Junjie2

(1. Department of Information Center, Xi’an University of Posts and Telecommunications, Xi’an 710121, China;2. School of Computer Science and Technology, Xi’an University of Posts and Telecommunications, Xi’an 710121, China)

To run the public network unified identity authentication service efficiently and safely, a standard system framework of public network unified identity authentication service and basic content of each service standard are proposed in this paper by combining the framework of unified identity authentication service and consulting standards of existing international and domestic IT services. This framework and service standard can improve quality, optimize cost, strengthen efficiency, and reduce risk of unified identity authentication service. It can also standardize and guide the development of unified identity authentication service industry.

public network, unified identity authentication, IT service, standard, standard system

10.13682/j.issn.2095-6533.2014.01.023

2013-10-21

工业和信息化部软科学研究基金资助项目(2012-R-57)

刘建华(1963-)，男，正高级工程师，从事信息安全研究。E-mail: xytx04@xupt.edu.cn 梁俊杰(1987-)，男，硕士研究生，研究方向为计算机网络与多媒体通信。E-mail: liangjunjiexshj@163.com

TP393

A

2095-6533(2014)01-0111-04