以下文章来源于信息安全与通信保密杂志社 ,作者Cismag
《信息安全与通信保密》杂志是经国家新闻出版署批准出版的我国第一家全面介绍信息安全与通信保密的大型综合指导性技术月刊,面向国内外公开发行。它以围绕网络空间的重大战略性、前瞻性和储备性为议题,从信息技术、经济管理、法律、政治、传播等学科,探索国内外网络空间重大理论和实践的发展。全国同类期刊中发行数量名列前茅,是业界权威杂志。
随着云计算、大数据、物联网、移动互联网和人工智能等现代信息技术的飞速发展,传统身份认证模式已不能满足新一代智慧移动警务系统应用需求,统一认证已成为大势所趋。格尔软件陈骁博士根据国内智慧警务和移动警务的研究现状,结合移动警务身份认证的应用需求和技术特点,提出智慧移动警务统一认证的实现方案,该方案已被国内权威《信息安全与通信保密》杂志收录。
以下内容为转载《信息安全与通信保密》杂志
摘 要:随着云计算、大数据、物联网、移动互联网和人工智能等现代信息技术的飞速发展,传统身份认证模式已不能满足新一代智慧移动警务系统应用需求,统一认证已成为大势所趋。首先,分析了国内智慧警务和移动警务的研究现状,结合移动警务身份认证的应用需求和技术特点,介绍了智慧移动警务统一认证系统的总体构成和技术框架。其次,从跨区域和跨平台两个角度出发,提出了智慧移动警务统一认证的实现方案。最后,对移动警务统一认证的智慧化发展进行了总结和展望。
内容目录:
0 引 言
1 国内研究现状
2 统一认证体系的总体框架
2.1 总体构成
2.2 技术框架
2.3 互联结构
3 统一认证实现方案
3.1 跨区域认证
3.2 跨平台认证
3.2.1 跨平台认证流程
3.2.2 身份识别证据的类别与管理
3.2.3 身份认证与验证功能
4 结 语
00
引 言
党的十九大对建设网络强国、数字中国、智慧社会作出了整体规划。在这种新形势、新挑战下,云计算、大数据、物联网、移动互联和人工智能等现代IT技术发展突飞猛进。有了现代信息技术的加持,全国的警务工作者在推进公安大数据战略、打造智慧警务、科技兴警的道路上阔步前行,智慧警务时代已经来临。
近年来,包括移动警务在内的多种警务模式向智能化阶段大踏步迈进。“智慧警务”概念应运而生,这顺应了智能化的时代潮流,智慧警务逐渐成为警务智能化的一种重要形态。目前业界公认的智慧警务概念是以互联网、移动互联网、云计算、智能引擎、数据挖掘、物联网、视频技术以及知识管理等新一代信息技术为支撑,以警务信息化为核心,通过“四化”(物联化、可视化、互联化、智能化)的方式,促进警务信息化系统各个功能模块之间的高度集成和协调运作,实现警务信息“强度整合、高度共享、深度应用”的发展目标,以及警务发展新理念和新模式。
以统一的云端平台和移动警务终端为支撑是智慧警务的核心,它集聚了与公安工作有关的数据信息,使得民警和云端平台之间能够实现快速的信息交互,打破层级和时空等因素所造成的信息不畅,使群众能够享受到公安机关提供的点对点以及全流程的服务,平衡了地域之间警务信息化发展的差异。
随着大数据技术的不断发展和智慧警务工作的不断推进,移动警务的工作模式也在发生着日新月异的变化。面对海量数据处理和智慧移动警务办公办案需求,传统的移动警务工作模式和工作手段已经不能满足信息化条件下公安业务移动处理的迫切要求。因此,在公安部领导下,各省市公安机关和相关单位正在积极推进智慧移动警务建设,全面支撑移动执法办案、现场化信息采集、可视化勤务指挥和便捷化服务管理等公安移动业务,并逐渐在实战应用中发挥越来越重要的作用。
为全面落实智慧警务发展战略,更好地发挥移动警务的优势,在各地现有移动警务平台建设基础上,如何适应信息资源深整合、高共享、宽应用的发展趋势,解决全国移动警务用户的跨区域和跨平台认证问题,提升移动警务对公安业务的服务支撑能力,实现专业化、智能化、精准化移动应用,创新警务模式和警务运行机制,打造智慧警务提供可靠技术支撑,已成为必须进行研究解决的重要课题。
本文在分析国内智慧警务研究现状的基础上,研究了移动警务统一身份认证体系的总体架构和技术框架,提出了跨区域、跨平台统一认证的实现方案。
01
国内研究现状
在现代信息技术的推动下,智慧警务和移动警务的技术研究方兴未艾。文献3以CNKI数据库刊载的主题为智慧警务的文章为基础数据,结合地方公安机关对智慧警务的实践探索,厘清了智慧警务的时代内涵,分析了目前智慧警务建设取得的成效和存在的不足。为走出智慧警务建设误区,提升智慧警务建设水平,更新警务理念、加强顶层设计、推动警务体制机制创新、创造新型警民关系、构建现代化保障体系是必然的选择。文献4着眼技术可兼容、能力可塑造、应用可拓展、硬件可升级,从强化警务能力建设、破解传统瓶颈桎梏、加强技术装备升级、打通融合发展路径4个方面,探索智慧警务的创新实践。文献5主要研究5G在智慧警务方面的创新应用,分别从5G技术分析、5G技术警务创新应用、5G警务应用的实战效果以及5G智慧警务创新应用成果等方面进行论述,通过融合创新,借助5G技术高带宽、低时延、切片网络的能力,将5G“智慧警务”运用于实战中,实现数据联动赋能预防、智慧应用赋能预警、信息共享赋能预知等目标,打造警情全域化、勤务可视化、防控无感化、处置一体化、治理现代化的5G智慧警务创新模式。文献6提出“智慧警务”模式下警察法授权体系的基础应当是《中华人民共和国人民警察法》中的任务概括条款,针对数据收集分析等智慧警务中的典型干预手段构建标准授权条款,针对危险预防措施建立概括授权条款并依据干预强度确立该条款的适用“门槛”,同时针对查处措施建立与现有警察法规范的衔接条款。文献7介绍了吉林省公安厅规划建设的移动警务系统,对传统移动警务系统存在的主要问题进行分析,介绍了移动警务系统的建设内容、安全接入体系和主要业务功能,总结该系统在吉林省应用和推广以来产生的成效,并展望了移动警务市场的发展前景。文献8结合新一代移动警务终端标准,从终端分类、基础要求、安全性要求等几个方面介绍了终端新的技术要求,预测了移动警务终端的发展趋势。文献9针对目前移动警务终端安全隐患严重、信息孤岛问题突出、资源利用率低、可持续保障能力弱等问题,通过将基础设施资源云化、移动终端安全加固、终端接入统一安全管理等措施,探索基于“云+端”的移动警务安全架构,为移动警务的持续发展提供新的思路。
经调研发现,目前在学术界尚缺乏移动警务统一认证方面的论文。在已运营的移动警务平台中,已具备基本的身份认证功能,但大多数未实现统一认证。少数已实现统一认证的地区,认证部署方式不统一,有的采用独立统一认证组件实现,有的与终端门户、应用市场、设备管控集成实现。这一现状无法应对公安系统内部以及与互联网之间海量的信息交互,阻碍了公安系统的办事效率。笔者认为,统一认证系统应能同时实现对本地应用和漫游应用的认证及单点登录,实现基于数字证书的全链路认证,对本地非漫游应用不能造成使用影响,在保证安全的前提下提高移动警务系统效能,本文将对此进行研究分析。
02
统一认证体系的总体框架
本章节将从总体构成、技术框架和互联结构3个方面对统一认证体系的总体情况进行阐述。
2.1 总体构成
智慧移动警务身份认证技术总体框架由Ⅰ类、Ⅱ类、Ⅲ类区域身份认证以及多个平台组成,如图1 所示,系统及区域分类应按GA/T 1561—2019 《移动警务系统总体技术要求》进行规定。各区域内身份认证均由对应的认证实体对象、认证技术、认证服务构成,为避免重复,图1 中仅显示Ⅱ类区域身份认证详情。平台之间可进行跨平台认证,区域之间可进行跨区域认证。
图 1 智慧移动警务身份认证技术总体构成
I类区域应提供终端接入、互联网边界防护、Ⅰ类区域应用支撑和安全管控等功能;Ⅱ类区域应提供终端接入控制、密码基础服务、Ⅱ类区域应用支撑和安全管控等功能;Ⅲ类区域应提供移动安全接入、密码基础服务、Ⅲ类区域应用支撑、安全管控和集中管控等功能。
2.2 技术框架
智慧移动警务身份认证技术框架包括认证管理、认证对象、认证服务和认证因子4 个部分,如图2 所示。
图 2 智慧移动警务身份认证技术框架
其中,认证管理关联认证对象与认证技术,对其进行认证方式管理,同时对认证、验证过程中身份凭证/票据的维护策略进行管理;认证对象是移动警务访问控制的目标实体,包括用户、机构、设备和应用等;认证服务是移动警务身份信任、权限管理、访问控制等安全保护的关键,为认证对象提供认证服务,为访问控制部件提供验证服务;认证因子是移动警务身份认证的基础,以数字证书为主,口令、生物因子、物理因子等多种认证因子为辅。
认证对象的管理,可由统一认证以外的系统实现,为统一认证关键信息资产实体提供身份来源。认证管理依照不同访问主体的认证方式,为这些主体生成访问凭证/票据,结合相应认证技术,为各类访问控制节点提供身份信息验证和认证服务,为后续客体对象的访问提供全局统一的身份认证服务。
2.3 互联结构
应用支撑纵向级联配置管理由部省两级组成。部级管理中心统一配置和管理全国各省级平台服务地址参数。各省分中心配置本地平台提供的应用发布、统一认证/实名认证、统一授权/鉴权、服务总线和运行监控等服务地址参数,并通过部级中心节点获取其他省级平台的服务地址参数。
单个平台的服务配置管理由一个配置管理中心和3个寻址服务组成,配置管理中心部署在Ⅲ类区,统一配置平台Ⅰ类、Ⅱ类、Ⅲ类3个区域的应用发布、统一认证/实名认证、统一授权/鉴权、服务总线和运行监控等服务地址,寻址服务分别部署在Ⅰ类、Ⅱ类、Ⅲ类3个区域中,为本区域的应用漫游、资源共享提供上述服务寻址。
03
统一认证实现方案
统一认证服务既是移动警务应用支撑平台给所有各网移动应用乃至PC、可穿戴设备等应用提供的基础支撑服务,也是服务总线登录授权的基础能力要求,是移动警务最为重要的基础服务之一,同时,还是所有基础应用、特色应用、警种专业应用等一次登录及安全通行的关键。统一认证服务要能支持PC端、移动设备端和Web之间的登录验证要求。关于如何实现跨区域认证、跨平台认证,可从以下方面考虑。
3.1 跨区域认证
Ⅰ类、Ⅱ类、Ⅲ类区域之间存在跨区域认证的需求,可分类进行讨论。
(1)Ⅰ类应用跨区域访问Ⅱ类系统信息资源时,由服务总线传递身份信息。
(2) Ⅱ类应用跨区域访问Ⅰ类信息资源时,由Ⅱ类系统服务总线经过Ⅰ类系统服务总线传递身份信息。Ⅱ类应用跨区域访问Ⅲ类信息资源时,由Ⅱ类系统服务总线经过Ⅲ类系统服务总线传递身份信息。
(3)Ⅲ类应用不涉及跨区域认证。
(4)服务总线之间应采用数字证书进行身份认证。
3.2 跨平台认证
为了满足应用和资源跨地域、跨平台漫游共享的需求,各平台应预留跨平台认证接口。部与省、省与省等多个平台之间跨平台认证时,应通过跨平台认证接口和统一认证客户端,按照部省级联认证的相关技术要求来执行。其认证流程和身份识别证据的生成管理如下。
3.2.1 跨平台认证流程
跨平台认证流程分为以下 6 个步骤:
(1)跨平台认证应通过统一认证实现,统一认证客户端的应用调用模式、调用流程及凭证格式统一,保证全国应用漫游、资源共享对接模式一致;
(2)应用开启时,调用统一认证客户端接口,通过应用标识信息获取用户凭证、应用凭证;
(3)在用户具备该应用使用权限时,统一认证客户端将用户凭证、应用凭证交给应用;
(4)应用获得用户凭证后,转交给自己的应用服务端;
(5)应用服务端调用其归属地统一认证服务端凭证验证接口验证登录凭证,并得到用户身份信息,而后结合用户身份信息进行鉴权,完成移动应用登录;
(6)统一认证服务端识别非本地用户凭证时,可本地验证凭证签名,也可协同异地统一认证验证用户凭证,结合异地返回用户信息及本地留存的用户信息及权限进行鉴权。
3.2.2 身份识别证据的类别与管理
平台中实体对象的身份识别证据信息主要包括3类,分别应用于不同场景。
(1)身份原始信息:身份原始信息代表对象身份的私密信息,这些信息不应在网络中传输。身份原始信息在对象生命周期内永久代表对象身份。
(2)身份凭证:身份凭证代表对象身份的重要信息,由数字证书签名、生物特征摘要等原始身份证明产生,并经统一认证服务验证后追加统一认证应用签名及相关信息,可唯一代表用户身份的信息。身份凭证在对象某个时间阶段中代表对象身份。
(3)访问票据:访问票据代表对象身份在某次访问过程的许可信息,从身份凭证中获取,可唯一代表某次访问过程的令牌,不包含对象身份信息。访问票据在对象某个访问过程中代表对象身份及其具备的权限。一般情况下不同的访问过程应使用不同的访问票据,在本阶段,为了简化票据生成的开销,合并访问票据到身份凭证中。
3.2.3 身份认证与验证功能
身份认证与验证功能的实现主要包括原始身份证明、身份凭证和访问票据的生成及使用4个阶段。
(1)原始身份证明的生成:对象原始身份证明信息,包括身份详细信息、对象私密标识信息(PKI公私钥对、口令、生物特征等),可以由对象发起申请或由认证服务进行注册,经认证服务及管理机构认可后生成。生成后由身份对象妥善保管,可由认证服务备份。
(2)身份凭证的生成:身份凭证由客体对象通过携带原始证明信息向统一认证服务递交请求,经认证服务鉴别比对后产生,并由客体对象及认证服务按照凭证的有效期要求,各自保存。对象身份凭证过期前,须由对象发起凭证刷新请求重新获取凭证(携带原有凭证)。
(3)访问票据的生成:一般情况下,访问票据由主体对象通过携带身份凭证向服务总线递交请求,经认证服务验证后由服务总线产生,并由主体对象及服务总线按照票据的访问过程要求,各自缓存。每次会话须由对象发起票据请求重新获取票据(携带对象凭证)。在本阶段,访问票据与身份凭证一同产生,并包含在身份凭证中。
(4)访问票据的使用:后续业务流程中客体对象应携带访问票据进行资源服务的访问。
04
结 语
本文探讨了在现代信息技术迅猛发展的大背景下,智慧移动警务身份认证体系的总体架构、技术框架等内容,提出了移动警务在统一认证模式下跨区域和跨平台认证的实现方案。“互联网+警务”和“智慧警务”大潮已来,公安机关一线执法工作所涉及的业务范围将越来越广,移动警务认证体系的各个方面必将被不断赋予“大智慧”,取得大发展、新突破,如终端可信安全感知、完善数字证书验证等。如何借助移动互联网、人工智能和大数据的力量,做好公安科技信息基础支撑工作,是全国警务系统工作人员乃至整个社会相关行业的科技工作者所需要不断认真思考和解决的问题。
引用本文: 陈骁 . 智慧移动警务统一认证模式研究 J. 信息安全与通信保密 ,2021(9):115-121.
作者简介 >>>
陈 骁,博士,中级工程师,主要研究方向为信息安全。
选自《信息安全与通信保密》**2021年第9期(为便于排版,已省去原文参考文献)**
