可信身份認(rèn)證平臺在“互聯(lián)網(wǎng)+政務(wù)服務(wù)”單點(diǎn)登錄的應(yīng)用

■ 文/ .北京中盾安信科技發(fā)展有限公司 .公安部第一研究所 朱可寧 蔣福興 鄧晨

關(guān)鍵字：可信身份認(rèn)證平臺 互聯(lián)網(wǎng)+政務(wù)服務(wù) 單點(diǎn)登錄

1 引言

可信身份認(rèn)證平臺（以下簡稱可信平臺）是公安部2016 年開始建設(shè)的重大工程基礎(chǔ)保障平臺，旨在為公安部門以及其他政府、企事業(yè)單位廣泛開展“互聯(lián)網(wǎng)+政務(wù)服務(wù)”以及“互聯(lián)網(wǎng)+”便民、益民、惠民業(yè)務(wù)，提供權(quán)威、統(tǒng)一、可信的身份認(rèn)證服務(wù)，為網(wǎng)絡(luò)實(shí)名制實(shí)施及社會誠信體系建設(shè)提供基礎(chǔ)技術(shù)支撐。

十九大以來，政府工作報告中多次指出深入推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，使更多事項(xiàng)在網(wǎng)上辦理，必須到現(xiàn)場辦的也要力爭做到“只進(jìn)一扇門”“最多跑一次”。目前我國的政務(wù)服務(wù)由各地區(qū)、各行業(yè)自行規(guī)劃建設(shè)，條塊分割缺乏統(tǒng)籌，各政務(wù)服務(wù)平臺則是互不關(guān)聯(lián)的信息孤島，跨平臺間缺乏數(shù)據(jù)互通性使得各地各行業(yè)政務(wù)服務(wù)彼此不能有效互認(rèn)，這是當(dāng)前政務(wù)服務(wù)邁入“互聯(lián)網(wǎng)+”時代需要迫切解決的問題。

實(shí)現(xiàn)跨地區(qū)、跨行業(yè)打通業(yè)務(wù)平臺首先要打通不同平臺用戶的賬戶體系，在此基礎(chǔ)上用戶可成為連通各政務(wù)信息孤島的索引，這樣用戶在任意政務(wù)平臺登錄即可跨平臺訪問其他政務(wù)服務(wù)平臺，從而實(shí)現(xiàn)政務(wù)服務(wù)“一網(wǎng)通辦”的精神。

本文著重闡述如何通過可信平臺實(shí)現(xiàn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的單點(diǎn)登錄功能，并就實(shí)際應(yīng)用提供解決方案。

2 單點(diǎn)登錄

單點(diǎn)登錄（SSO，英文全稱Single Sign On）是一種統(tǒng)一認(rèn)證的授權(quán)機(jī)制，它使得同一體系下訪問不同應(yīng)用的同一用戶只需要登錄一次，即通過一個應(yīng)用的安全驗(yàn)證后，再訪問其他應(yīng)用中的受保護(hù)資源時，不再需要重新登錄。單點(diǎn)登錄可形象的解釋成“單點(diǎn)登錄、全網(wǎng)漫游”。這樣用戶只需記錄一套用戶名和密碼，在登錄任意一個平臺后即可實(shí)現(xiàn)各應(yīng)用系統(tǒng)的透明跳轉(zhuǎn)，大幅度提高工作效率，提升用戶體驗(yàn)和友好度。

單點(diǎn)登錄的主要步驟如圖1 所示，用戶以未登錄的狀態(tài)訪問平臺A 時，會被平臺A 重定向到架設(shè)單點(diǎn)登錄服務(wù)的平臺。單點(diǎn)登錄平臺為該用戶分配令牌，用戶瀏覽器會將這個令牌寫入緩存。這時瀏覽器會帶著剛獲取的令牌訪問平臺A，平臺A 收到令牌后向單點(diǎn)登錄平臺發(fā)起令牌校驗(yàn)。當(dāng)單點(diǎn)登錄服務(wù)平臺驗(yàn)證令牌合法性后，會將用戶信息返回給平臺A，進(jìn)而實(shí)現(xiàn)用戶登錄過程，詳細(xì)步驟見第1 至第17 步。其中用戶僅能看見瀏覽器進(jìn)度條增長，無需感知整個跳轉(zhuǎn)過程。

圖1 用戶首次登錄流程圖

用戶已在平臺A 登錄，跳轉(zhuǎn)至統(tǒng)一賬戶體系的平臺B的步驟如圖2 所示。平臺B 發(fā)現(xiàn)用戶未在其平臺登錄，將地址重定向至單點(diǎn)登錄服務(wù)平臺，此時用戶瀏覽器中依然緩存了之前單點(diǎn)登錄平臺簽發(fā)的令牌，單點(diǎn)登錄平臺會為該用戶訪問平臺B 重新分配新令牌。隨后用戶使用新令牌重新訪問平臺B，平臺B 會向單點(diǎn)登錄平臺驗(yàn)證該信令牌合法性，待驗(yàn)證成功后用戶即可登錄平臺B，其詳細(xì)過程見圖2 中第18 至第30 步。上述過程與“首次登錄”功能一樣屬于隱性操作，用戶對此無感知即可跨平臺登錄，大大提升了用戶友好性。

圖2 用戶跨平臺訪問流程圖

本章探討了在不實(shí)現(xiàn)統(tǒng)一賬戶體系的情況下，用戶跨平臺訪問時單點(diǎn)登錄服務(wù)引導(dǎo)用戶登錄的原理，在接下來的章節(jié)中將討論可信平臺作為身份認(rèn)證平臺如何延展出單點(diǎn)登錄服務(wù)。

3 利用可信平臺實(shí)現(xiàn)單點(diǎn)登錄功能

可信平臺作為國家基礎(chǔ)設(shè)施核心服務(wù)，可向社會提供權(quán)威、可靠的身份認(rèn)證服務(wù)。這是可信平臺深耕的核心服務(wù)，隨著今年“兩會”提出的深化“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的方針，可信平臺業(yè)務(wù)升級為互聯(lián)網(wǎng)政務(wù)平臺推出了單點(diǎn)登錄服務(wù)。

圖3 中可信平臺分別已向三個政務(wù)平臺提供身份認(rèn)證服務(wù)，這三個政務(wù)平臺所辦理的業(yè)務(wù)各不相同，在可信平臺提供的單點(diǎn)登錄服務(wù)的基礎(chǔ)上，可一起對同一用戶提供服務(wù)。其單點(diǎn)登錄原理如下：

圖3 可信平臺單點(diǎn)登錄原理圖

用戶登錄1 號政務(wù)平臺時，該政務(wù)平臺會調(diào)用可信平臺的身份認(rèn)證服務(wù)認(rèn)證用戶身份信息，進(jìn)而用戶可登錄這個政務(wù)平臺辦理政務(wù)服務(wù)，過程如圖中的第1 至第4 步。這時如該用戶再訪問2 號政務(wù)平臺，則2 號政務(wù)平臺服務(wù)端收到用戶訪問請求后會直接去可信平臺確認(rèn)用戶信息，可信平臺確認(rèn)用戶身份信息后，用戶無需重新登錄即可辦理相應(yīng)政務(wù)平臺業(yè)務(wù)，即圖中第5 至第8 步。同理，第9至第12 步是用戶訪問3 號政務(wù)平臺的跳轉(zhuǎn)流程，整個跳轉(zhuǎn)過程均是政務(wù)平臺服務(wù)端的工作，服務(wù)端的認(rèn)證跳轉(zhuǎn)可極大減輕用戶切換平臺重新輸入身份信息的不友好體驗(yàn)。

上述流程闡述了跨政務(wù)平臺使用可信平臺單點(diǎn)登錄服務(wù)簡化用戶登錄場景，出于安全考慮用戶登錄的緩存時間一般設(shè)定為三十分鐘，整個信息傳輸過程使用國家密碼局規(guī)定的國產(chǎn)密碼算法實(shí)現(xiàn)，確保用戶在享受便捷的同時數(shù)據(jù)安全也有國密級別的保證。

4 應(yīng)用實(shí)例

在公安政務(wù)服務(wù)平臺之間已率先使用可信平臺成功實(shí)現(xiàn)單點(diǎn)登錄。以公安部“互聯(lián)網(wǎng)+政務(wù)服務(wù)”平臺（以下簡稱公安部政務(wù)平臺）和公安部互聯(lián)網(wǎng)交通安全綜合服務(wù)管理平臺（以下簡稱交管政務(wù)平臺）的賬戶互信體系為例，可信平臺提供的單點(diǎn)登錄服務(wù)如圖4 所示。

用戶登錄公安部政務(wù)平臺時，會通過可信對用戶進(jìn)行實(shí)名、實(shí)人認(rèn)證，從而向該用戶開發(fā)相應(yīng)認(rèn)證等級的政務(wù)服務(wù)，過程如圖4 中的第1 至4 步。公安部政務(wù)平臺與交管政務(wù)平臺在單點(diǎn)登錄服務(wù)的支撐下可實(shí)現(xiàn)賬戶互認(rèn)，如圖中第5 步，用戶從公安部平臺訪問交管政務(wù)平臺時，交管平臺會直接訪問可信平臺確認(rèn)用戶的認(rèn)證記錄和認(rèn)證等級，相關(guān)操作如圖中第6 至9 步。這部分操作是公安部政務(wù)平臺、交管政務(wù)平臺和可信平臺三方的服務(wù)端協(xié)同完成的，用戶所在的客戶端側(cè)對這些操作無感知，即可成功跳轉(zhuǎn)至交管政務(wù)平臺。

圖4 公安政務(wù)服務(wù)三方互認(rèn)邏輯圖

4.1 單點(diǎn)登錄實(shí)際演示

公安部政務(wù)平臺首頁如圖5 所示，其網(wǎng)址為：http://zwfw.mps.gov.cn:9080，目前該網(wǎng)站正在試運(yùn)行階段，因此域名訪問時仍掛著“9080”的端口號，待該平臺在電信運(yùn)營商完成“80”端口備案正式上線后可直接使用域名訪問。公安部政務(wù)平臺雖然還處于試運(yùn)行階段，但已向正式上線的交管政務(wù)平臺提供身份認(rèn)證服務(wù)，這個身份認(rèn)證服務(wù)是由可信平臺向公安部政務(wù)平臺支撐的。因各政務(wù)平臺直接與可信平臺對接需購買簽名驗(yàn)簽服務(wù)器，但多數(shù)政務(wù)平臺已經(jīng)上線，配置簽名驗(yàn)簽服務(wù)器需額外申請經(jīng)費(fèi)和托管機(jī)柜，在實(shí)際環(huán)境中要求各政務(wù)平臺主管單位采購簽名驗(yàn)簽服務(wù)器會,因設(shè)備采購流程繁瑣導(dǎo)致對接工作滯后無法按需上線。故公安部政務(wù)平臺統(tǒng)籌管理了各業(yè)務(wù)局、省、市公安政務(wù)平臺，代為采購了簽名驗(yàn)簽服務(wù)器，這樣這些政務(wù)平臺只要跟公安部政務(wù)平臺對接，即可使用可信平臺的身份認(rèn)證服務(wù)，進(jìn)而順理成章使用可信平臺提供的單點(diǎn)登錄服務(wù)。

圖5 公安部政務(wù)服務(wù)平臺首頁圖

公安部政務(wù)平臺的核心服務(wù)是辦事中心、查詢中心和咨詢中心三個功能模塊，其中用戶辦理的業(yè)務(wù)均由公安行業(yè)各業(yè)務(wù)局以及省、市政務(wù)平臺提供。如圖5 所示，用戶辦理頻率較多的業(yè)務(wù)集中體現(xiàn)在首頁中部的“我能辦理”區(qū)域，相應(yīng)的辦理業(yè)務(wù)也可從頁面右上的“辦理中心”模塊中通過地區(qū)和警種作為索引找到。圖6 公安部政務(wù)服務(wù)平臺業(yè)務(wù)辦理圖中標(biāo)明了用戶從公安部政務(wù)平臺通過可信平臺的單點(diǎn)登錄服務(wù)跳轉(zhuǎn)至交管政務(wù)平臺的過程。

在圖6 左上角顯示當(dāng)前頁面已使用用戶名登錄公安部政務(wù)平臺，其登錄流程使用可信平臺對用戶進(jìn)行身份認(rèn)證，體現(xiàn)在圖4 公安政務(wù)服務(wù)三方互認(rèn)邏輯圖中的第1 至第4步。在“辦事中心”模塊中，用戶可通過所在地和警種找到待辦理的業(yè)務(wù)，如圖6 用戶通過選擇“北京”和“交管”選項(xiàng)可找到交管政務(wù)平臺向社會提供的20余項(xiàng)政務(wù)服務(wù)。這些政務(wù)服務(wù)是公安部交管局貫徹落實(shí)國務(wù)院全國深化“放管服”改革，提升交通管理服務(wù)便利化工作公布的簡捷快辦、網(wǎng)上通辦、就近可辦的政務(wù)服務(wù)事項(xiàng)。以廣大人民群眾經(jīng)常使用的“罰款繳納”業(yè)務(wù)為例，以前用戶處理交管罰款繳納業(yè)務(wù)需前往各交管支隊(duì)受理網(wǎng)點(diǎn)，現(xiàn)在用戶在公安部政務(wù)平臺登錄后點(diǎn)擊圖6 中罰款繳納的辦理按鈕即可跳轉(zhuǎn)至相應(yīng)地市的交管平臺處理繳費(fèi)業(yè)務(wù)。

圖6 公安部政務(wù)服務(wù)平臺業(yè)務(wù)辦理圖

如圖7 所示用戶點(diǎn)擊完罰款繳納的辦理按鈕后，瀏覽器會直接彈出北京市的交管政務(wù)平臺頁面，其瀏覽器網(wǎng)址已變成http://bj.122.gov.cn，該跳轉(zhuǎn)的詳細(xì)過程即圖4 中的第5 至第10 步，其中可信平臺在這個跳轉(zhuǎn)過程中協(xié)助交管政務(wù)平臺驗(yàn)證了用戶在公安部政務(wù)平臺登錄的身份從而完成單點(diǎn)登錄功能，而用戶在這個過程中大約僅需等待2 秒，無需再次輸入用戶名和密碼。跳轉(zhuǎn)完成后在圖7 右上角和左側(cè)均顯示了之前在公安政務(wù)平臺登錄的用戶名，該頁面中還顯示了用戶待辦的業(yè)務(wù)和交管處罰記分，以及辦理罰款繳納業(yè)務(wù)的用戶須知。

圖7 交管政務(wù)平臺罰款交費(fèi)頁面

4.2 其他政務(wù)應(yīng)用

如圖8 所示，在公安部政務(wù)平臺的“辦件動態(tài)”模塊中，可查詢到不同用戶在各級公安政務(wù)平臺上所辦理的業(yè)務(wù)，相關(guān)政務(wù)服務(wù)平臺均依托可信平臺核驗(yàn)用戶身份。

圖8 中第二行的“辦理電子臨時乘機(jī)身份證明”服務(wù)是由公安部民航管理局下屬的北京首都國際機(jī)場公安分局于今年5 月上線的“放管服”政務(wù)服務(wù)。用戶可在蘋果應(yīng)用商店和各大安卓應(yīng)用商店通過關(guān)鍵字“國門公安”搜索到該應(yīng)用，在忘記攜帶身份證乘機(jī)時使用該應(yīng)用，可辦理電子臨時乘機(jī)身份證明，這項(xiàng)服務(wù)優(yōu)化了各民航機(jī)場需排長隊(duì)辦理紙質(zhì)臨時乘機(jī)證明給用戶帶來的不便。該案例表明，可信平臺可跨windows 系統(tǒng)、ios 系統(tǒng)和安卓系統(tǒng)提供身份認(rèn)證和單點(diǎn)登錄服務(wù)，用戶辦理完電子臨時乘機(jī)身份證明后可通過登錄公安政務(wù)平臺查看其辦結(jié)了相應(yīng)服務(wù)，這是公安部政務(wù)平臺、可信平臺和國門公安應(yīng)用跨操作系統(tǒng)的單點(diǎn)登錄三方互認(rèn)案例。

在公安部政務(wù)平臺、可信平臺與交管政務(wù)平臺和國門公安應(yīng)用的三方互認(rèn)的案例中，用戶通過公安部政務(wù)平臺為入口，在可信平臺單點(diǎn)登錄服務(wù)的支撐下可訪問交管政務(wù)平臺和國門公安應(yīng)用辦理業(yè)務(wù)，充分體現(xiàn)了可信平臺從身份認(rèn)證服務(wù)衍生出單點(diǎn)登錄服務(wù)的高擴(kuò)展能力以及助力國家“放管服”改革所起到的積極作用。

5 結(jié)語

可信平臺的核心服務(wù)將為我國億級規(guī)模的互聯(lián)網(wǎng)用戶提供在線身份認(rèn)證功能。在此基礎(chǔ)上可信平臺深挖潛能，發(fā)揮自身優(yōu)勢為國家政務(wù)服務(wù)改革提供成熟的單點(diǎn)登錄解決方案，并在公安政務(wù)服務(wù)改革中率先落地，體現(xiàn)了其作為國家基礎(chǔ)設(shè)施應(yīng)有的社會擔(dān)當(dāng)。

圖8 單點(diǎn)登錄服務(wù)辦件動態(tài)

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”是國家深化“放管服”改革后涌現(xiàn)的新興行業(yè)，可信平臺的高并發(fā)帶寬設(shè)計可支撐政務(wù)服務(wù)的并發(fā)訪問，此基礎(chǔ)上延展的單點(diǎn)登錄服務(wù)則是其在身份認(rèn)證之外提供的附加服務(wù)。政務(wù)服務(wù)由可信平臺提供單點(diǎn)登錄服務(wù)可確保公民隱私數(shù)據(jù)由國家基礎(chǔ)設(shè)施保管，不會因商業(yè)利益泄露用戶隱私數(shù)據(jù)。

未來，隨著電信5G 業(yè)務(wù)的普及，通過網(wǎng)絡(luò)傳輸視頻流文件將不再被網(wǎng)絡(luò)環(huán)境制約，屆時可信平臺會繼續(xù)深挖自身潛能提供視頻身份認(rèn)證服務(wù)，在此基礎(chǔ)上為“互聯(lián)網(wǎng)+政務(wù)”領(lǐng)域提供更加便民的服務(wù)，更好地落實(shí)國家“放管服”精神服務(wù)人民群眾。