摘 要:
隨著云計算、大數據、物聯網、移動互聯網和人工智能等現代信息技術的飛速發展, 傳統身份認證模式已不能滿足新一代智慧移動警務系統應用需求,統一認證已成為大勢所趨。首先 , 分析了國內智慧警務和移動警務的研究現狀,結合移動警務身份認證的應用需求和技 術特點,介紹了智慧移動警務統一認證系統的總體構成和技術框架。其次,從跨區域和跨平 臺兩個角度出發,提出了智慧移動警務統一認證的實現方案。最后,對移動警務統一認證的 智慧化發展進行了總結和展望。
00
引 言
黨的十九大對建設網絡強國、數字中國、 智慧社會作出了整體規劃。在這種新形勢、新 挑戰下, 云計算、大數據、物聯網、移動互聯 和人工智能等現代 IT 技術發展突飛猛進。有 了現代信息技術的加持, 全國的警務工作者在 推進公安大數據戰略、打造智慧警務、科技 興警的道路上闊步前行,智慧警務時代已經 來臨。
近年來,包括移動警務在內的多種警務模 式向智能化階段大踏步邁進。“智慧警務”概 念應運而生,這順應了智能化的時代潮流,智 慧警務逐漸成為警務智能化的一種重要形態。
目前業界公認的智慧警務概念是以互聯網、移 動互聯網、云計算、智能引擎、數據挖掘、物聯網、 視頻技術以及知識管理等新一代信息技術為支 撐, 以警務信息化為核心, 通過“四化”(物聯化、 可視化、互聯化、智能化) 的方式, 促進警務 信息化系統各個功能模塊之間的高度集成和協 調運作, 實現警務信息“強度整合、高度共享、 深度應用”的發展目標,以及警務發展新理念 和新模式 。
以統一的云端平臺和移動警務終端為支撐 是智慧警務的核心,它集聚了與公安工作有關 的數據信息,使得民警和云端平臺之間能夠實現快速的信息交互,打破層級和時空等因素所造成的信息不暢,使群眾能夠享受到公安機關 提供的點對點以及全流程的服務,平衡了地域 之間警務信息化發展的差異 。
隨著大數據技術的不斷發展和智慧警務工 作的不斷推進,移動警務的工作模式也在發生 著日新月異的變化。面對海量數據處理和智慧 移動警務辦公辦案需求,傳統的移動警務工作 模式和工作手段已經不能滿足信息化條件下公 安業務移動處理的迫切要求。因此,在公安部 領導下,各省市公安機關和相關單位正在積極 推進智慧移動警務建設,全面支撐移動執法辦 案、現場化信息采集、可視化勤務指揮和便捷 化服務管理等公安移動業務,并逐漸在實戰應 用中發揮越來越重要的作用。
為全面落實智慧警務發展戰略,更好地發 揮移動警務的優勢,在各地現有移動警務平臺 建設基礎上, 如何適應信息資源深整合、高共享、 寬應用的發展趨勢,解決全國移動警務用戶的 跨區域和跨平臺認證問題,提升移動警務對公 安業務的服務支撐能力, 實現專業化、智能化、 精準化移動應用,創新警務模式和警務運行機 制,打造智慧警務提供可靠技術支撐,已成為必須進行研究解決的重要課題。
本文在分析國內智慧警務研究現狀的基礎 上,研究了移動警務統一身份認證體系的總體架構和技術框架,提出了跨區域、跨平臺統一認證的實現方案。
01
國內研究現狀
在現代信息技術的推動下,智慧警務和移 動警務的技術研究方興未艾。文獻 [3] 以 CNKI 數據庫刊載的主題為智慧警務的文章為基礎數 據, 結合地方公安機關對智慧警務的實踐探索, 厘清了智慧警務的時代內涵,分析了目前智慧 警務建設取得的成效和存在的不足。為走出智 慧警務建設誤區,提升智慧警務建設水平,更 新警務理念、加強頂層設計、推動警務體制機 制創新、創造新型警民關系、構建現代化保障 體系是必然的選擇。文獻 [4] 著眼技術可兼容、 能力可塑造、應用可拓展、硬件可升級,從強 化警務能力建設、破解傳統瓶頸桎梏、加強技 術裝備升級、打通融合發展路徑 4 個方面,探 索智慧警務的創新實踐。文獻 [5] 主要研究 5G 在智慧警務方面的創新應用,分別從 5G 技術分 析、5G 技術警務創新應用、5G 警務應用的實戰 效果以及 5G 智慧警務創新應用成果等方面進行 論述,通過融合創新,借助 5G 技術高帶寬、低 時延、切片網絡的能力,將 5G“智慧警務”運 用于實戰中,實現數據聯動賦能預防、智慧應 用賦能預警、信息共享賦能預知等目標,打造 警情全域化、勤務可視化、防控無感化、處置 一體化、治理現代化的 5G 智慧警務創新模式。文獻 [6] 提出“智慧警務”模式下警察法授權體 系的基礎應當是《中華人民共和國人民警察法》 中的任務概括條款, 針對數據收集分析等智慧警 務中的典型干預手段構建標準授權條款,針對危險預防措施建立概括授權條款并依據干預強度確立該條款的適用“門檻”,同時針對查處 措施建立與現有警察法規范的銜接條款。文獻 [7] 介紹了吉林省公安廳規劃建設的移動警務系統, 對傳統移動警務系統存在的主要問題進行分析, 介紹了移動警務系統的建設內容、安全接入體 系和主要業務功能,總結該系統在吉林省應用 和推廣以來產生的成效,并展望了移動警務市 場的發展前景。文獻 [8] 結合新一代移動警務終 端標準,從終端分類、基礎要求、安全性要求 等幾個方面介紹了終端新的技術要求,預測了 移動警務終端的發展趨勢。文獻 [9] 針對目前移 動警務終端安全隱患嚴重、信息孤島問題突出、 資源利用率低、可持續保障能力弱等問題,通 過將基礎設施資源云化、移動終端安全加固、 終端接入統一安全管理等措施,探索基于“云 + 端”的移動警務安全架構,為移動警務的持續 發展提供新的思路。
經調研發現,目前在學術界尚缺乏移動警 務統一認證方面的論文。在已運營的移動警務 平臺中,已具備基本的身份認證功能,但大多 數未實現統一認證。少數已實現統一認證的地 區,認證部署方式不統一,有的采用獨立統一 認證組件實現,有的與終端門戶、應用市場、 設備管控集成實現。這一現狀無法應對公安系 統內部以及與互聯網之間海量的信息交互,阻 礙了公安系統的辦事效率。筆者認為,統一認 證系統應能同時實現對本地應用和漫游應用的 認證及單點登錄,實現基于數字證書的全鏈路 認證,對本地非漫游應用不能造成使用影響, 在保證安全的前提下提高移動警務系統效能,本文將對此進行研究分析。
02
統一認證體系的總體框架
本章節將從總體構成、技術框架和互聯 結構 3 個方面對統一認證體系的總體情況進行 闡述。
2.1 總體構成
智慧移動警務身份認證技術總體框架由Ⅰ 類、Ⅱ類、Ⅲ類區域身份認證以及多個平臺組成, 如圖 1 所示, 系統及區域分類應按 GA/T 1561—2019 《移動警務系統 總體技術要求》 進行規定。 各區域內身份認證均由對應的認證實體對象、 認證技術、認證服務構成,為避免重復,圖 1 中僅顯示Ⅱ類區域身份認證詳情。平臺之間可進行跨平臺認證, 區域之間可進行跨區域認證。
圖 1 智慧移動警務身份認證技術總體構成
I類區域應提供終端接入、互聯網邊界防護、 Ⅰ類區域應用支撐和安全管控等功能;Ⅱ類區 域應提供終端接入控制、密碼基礎服務、Ⅱ類 區域應用支撐和安全管控等功能;Ⅲ類區域應提供移動安全接入、密碼基礎服務、Ⅲ類區域應用支撐、安全管控和集中管控等功能。
2.2 技術框架
智慧移動警務身份認證技術框架包括認證 管理、認證對象、認證服務和認證因子 4 個部分, 如圖 2 所示。
圖 2 智慧移動警務身份認證技術框架
其中, 認證管理關聯認證對象與認證技術, 對其進行認證方式管理,同時對認證、驗證過 程中身份憑證 /票據的維護策略進行管理;認證 對象是移動警務訪問控制的目標實體,包括用 戶、機構、設備和應用等;認證服務是移動警 務身份信任、權限管理、訪問控制等安全保護 的關鍵,為認證對象提供認證服務,為訪問控 制部件提供驗證服務;認證因子是移動警務身 份認證的基礎,以數字證書為主,口令、生物 因子、物理因子等多種認證因子為輔。
認證對象的管理,可由統一認證以外的系 統實現,為統一認證關鍵信息資產實體提供身 份來源。認證管理依照不同訪問主體的認證方 式,為這些主體生成訪問憑證 /票據,結合相應 認證技術,為各類訪問控制節點提供身份信息 驗證和認證服務,為后續客體對象的訪問提供 全局統一的身份認證服務。
2.3 互聯結構
應用支撐縱向級聯配置管理由部省兩級組成。部級管理中心統一配置和管理全國各省級平臺服務地址參數。各省分中心配置本地平臺 提供的應用發布、統一認證 /實名認證、統一授 權 /鑒權、服務總線和運行監控等服務地址參數, 并通過部級中心節點獲取其他省級平臺的服務 地址參數。
單個平臺的服務配置管理由一個配置管理 中心和 3 個尋址服務組成,配置管理中心部署 在Ⅲ類區,統一配置平臺Ⅰ類、Ⅱ類、Ⅲ類 3 個區域的應用發布、統一認證 /實名認證、統一 授權 /鑒權、服務總線和運行監控等服務地址, 尋址服務分別部署在Ⅰ類、Ⅱ類、Ⅲ類 3 個區 域中,為本區域的應用漫游、資源共享提供上 述服務尋址。
03
統一認證實現方案
統一認證服務既是移動警務應用支撐平臺 給所有各網移動應用乃至 PC、可穿戴設備等應 用提供的基礎支撐服務,也是服務總線登錄授 權的基礎能力要求,是移動警務最為重要的基 礎服務之一,同時,還是所有基礎應用、特色 應用、警種專業應用等一次登錄及安全通行的 關鍵。統一認證服務要能支持 PC 端、移動設備 端和 Web 之間的登錄驗證要求。關于如何實現 跨區域認證、跨平臺認證, 可從以下方面考慮。
3.1 跨區域認證
Ⅰ類、Ⅱ類、Ⅲ類區域之間存在跨區域認
證的需求,可分類進行討論。
(1)Ⅰ類應用跨區域訪問Ⅱ類系統信息資 源時,由服務總線傳遞身份信息。
(2) Ⅱ類應用跨區域訪問Ⅰ類信息資源時,
由Ⅱ類系統服務總線經過Ⅰ類系統服務總線傳遞身份信息。Ⅱ類應用跨區域訪問Ⅲ類信息資 源時,由Ⅱ類系統服務總線經過Ⅲ類系統服務 總線傳遞身份信息。
(3)Ⅲ類應用不涉及跨區域認證。
(4)服務總線之間應采用數字證書進行身 份認證。
3.2 跨平臺認證
為了滿足應用和資源跨地域、跨平臺漫游 共享的需求,各平臺應預留跨平臺認證接口。部與省、省與省等多個平臺之間跨平臺認證時, 應通過跨平臺認證接口和統一認證客戶端,按 照部省級聯認證的相關技術要求來執行。其認 證流程和身份識別證據的生成管理如下。
3.2.1 跨平臺認證流程
跨平臺認證流程分為以下 6 個步驟:
(1)跨平臺認證應通過統一認證實現,統 一認證客戶端的應用調用模式、調用流程及憑 證格式統一,保證全國應用漫游、資源共享對 接模式一致;
(2)應用開啟時,調用統一認證客戶端接 口, 通過應用標識信息獲取用戶憑證、應用憑證;
(3)在用戶具備該應用使用權限時,統一 認證客戶端將用戶憑證、應用憑證交給應用;
(4)應用獲得用戶憑證后,轉交給自己的 應用服務端;
(5)應用服務端調用其歸屬地統一認證服 務端憑證驗證接口驗證登錄憑證,并得到用戶 身份信息,而后結合用戶身份信息進行鑒權, 完成移動應用登錄;
(6)統一認證服務端識別非本地用戶憑證時,可本地驗證憑證簽名,也可協同異地統一 認證驗證用戶憑證,結合異地返回用戶信息及 本地留存的用戶信息及權限進行鑒權。
3.2.2 身份識別證據的類別與管理
平臺中實體對象的身份識別證據信息主要包括 3 類,分別應用于不同場景。
(1)身份原始信息:身份原始信息代表對 象身份的私密信息,這些信息不應在網絡中傳 輸。身份原始信息在對象生命周期內永久代表 對象身份。
(2)身份憑證:身份憑證代表對象身份的 重要信息,由數字證書簽名、生物特征摘要等 原始身份證明產生,并經統一認證服務驗證后 追加統一認證應用簽名及相關信息,可唯一代 表用戶身份的信息。身份憑證在對象某個時間 階段中代表對象身份。
(3)訪問票據:訪問票據代表對象身份在 某次訪問過程的許可信息, 從身份憑證中獲取, 可唯一代表某次訪問過程的令牌,不包含對象 身份信息。訪問票據在對象某個訪問過程中代 表對象身份及其具備的權限。一般情況下不同 的訪問過程應使用不同的訪問票據, 在本階段, 為了簡化票據生成的開銷,合并訪問票據到身 份憑證中。
3.2.3 身份認證與驗證功能
身份認證與驗證功能的實現主要包括原始 身份證明、身份憑證和訪問票據的生成及使用 4個階段。
(1)原始身份證明的生成:對象原始身份 證明信息,包括身份詳細信息、對象私密標識信息(PKI 公私鑰對、口令、生物特征等) ,可 以由對象發起申請或由認證服務進行注冊,經 認證服務及管理機構認可后生成。生成后由身 份對象妥善保管,可由認證服務備份。
(2)身份憑證的生成:身份憑證由客體對 象通過攜帶原始證明信息向統一認證服務遞交 請求,經認證服務鑒別比對后產生,并由客體 對象及認證服務按照憑證的有效期要求,各自 保存。對象身份憑證過期前,須由對象發起憑 證刷新請求重新獲取憑證(攜帶原有憑證)。
(3)訪問票據的生成:一般情況下,訪問 票據由主體對象通過攜帶身份憑證向服務總線 遞交請求, 經認證服務驗證后由服務總線產生, 并由主體對象及服務總線按照票據的訪問過程 要求,各自緩存。每次會話須由對象發起票據 請求重新獲取票據(攜帶對象憑證)。
在本階段, 訪問票據與身份憑證一同產生,并包含在身份憑證中。
(4)訪問票據的使用:后續業務流程中客 體對象應攜帶訪問票據進行資源服務的訪問。
04
結 語
本文探討了在現代信息技術迅猛發展的大 背景下,智慧移動警務身份認證體系的總體架 構、技術框架等內容,提出了移動警務在統一 認證模式下跨區域和跨平臺認證的實現方案。“互聯網 + 警務”和“智慧警務”大潮已來, 公安機關一線執法工作所涉及的業務范圍將越 來越廣,移動警務認證體系的各個方面必將被 不斷賦予“大智慧”,取得大發展、新突破,如終端可信安全感知、完善數字證書驗證等。
如何借助移動互聯網、人工智能和大數據的力 量,做好公安科技信息基礎支撐工作,是全國 警務系統工作人員乃至整個社會相關行業的科 技工作者所需要不斷認真思考和解決的問題。
