可信身份認證平臺在“互聯網+政務服務”單點登錄的應用

■ 文/ .北京中盾安信科技發(fā)展有限公司 .公安部第一研究所 朱可寧 蔣福興 鄧晨

關鍵字：可信身份認證平臺 互聯網+政務服務 單點登錄

1 引言

可信身份認證平臺（以下簡稱可信平臺）是公安部2016 年開始建設的重大工程基礎保障平臺，旨在為公安部門以及其他政府、企事業(yè)單位廣泛開展“互聯網+政務服務”以及“互聯網+”便民、益民、惠民業(yè)務，提供權威、統一、可信的身份認證服務，為網絡實名制實施及社會誠信體系建設提供基礎技術支撐。

十九大以來，政府工作報告中多次指出深入推進“互聯網+政務服務”，使更多事項在網上辦理，必須到現場辦的也要力爭做到“只進一扇門”“最多跑一次”。目前我國的政務服務由各地區(qū)、各行業(yè)自行規(guī)劃建設，條塊分割缺乏統籌，各政務服務平臺則是互不關聯的信息孤島，跨平臺間缺乏數據互通性使得各地各行業(yè)政務服務彼此不能有效互認，這是當前政務服務邁入“互聯網+”時代需要迫切解決的問題。

實現跨地區(qū)、跨行業(yè)打通業(yè)務平臺首先要打通不同平臺用戶的賬戶體系，在此基礎上用戶可成為連通各政務信息孤島的索引，這樣用戶在任意政務平臺登錄即可跨平臺訪問其他政務服務平臺，從而實現政務服務“一網通辦”的精神。

本文著重闡述如何通過可信平臺實現“互聯網+政務服務”的單點登錄功能，并就實際應用提供解決方案。

2 單點登錄

單點登錄（SSO，英文全稱Single Sign On）是一種統一認證的授權機制，它使得同一體系下訪問不同應用的同一用戶只需要登錄一次，即通過一個應用的安全驗證后，再訪問其他應用中的受保護資源時，不再需要重新登錄。單點登錄可形象的解釋成“單點登錄、全網漫游”。這樣用戶只需記錄一套用戶名和密碼，在登錄任意一個平臺后即可實現各應用系統的透明跳轉，大幅度提高工作效率，提升用戶體驗和友好度。

單點登錄的主要步驟如圖1 所示，用戶以未登錄的狀態(tài)訪問平臺A 時，會被平臺A 重定向到架設單點登錄服務的平臺。單點登錄平臺為該用戶分配令牌，用戶瀏覽器會將這個令牌寫入緩存。這時瀏覽器會帶著剛獲取的令牌訪問平臺A，平臺A 收到令牌后向單點登錄平臺發(fā)起令牌校驗。當單點登錄服務平臺驗證令牌合法性后，會將用戶信息返回給平臺A，進而實現用戶登錄過程，詳細步驟見第1 至第17 步。其中用戶僅能看見瀏覽器進度條增長，無需感知整個跳轉過程。

圖1 用戶首次登錄流程圖

用戶已在平臺A 登錄，跳轉至統一賬戶體系的平臺B的步驟如圖2 所示。平臺B 發(fā)現用戶未在其平臺登錄，將地址重定向至單點登錄服務平臺，此時用戶瀏覽器中依然緩存了之前單點登錄平臺簽發(fā)的令牌，單點登錄平臺會為該用戶訪問平臺B 重新分配新令牌。隨后用戶使用新令牌重新訪問平臺B，平臺B 會向單點登錄平臺驗證該信令牌合法性，待驗證成功后用戶即可登錄平臺B，其詳細過程見圖2 中第18 至第30 步。上述過程與“首次登錄”功能一樣屬于隱性操作，用戶對此無感知即可跨平臺登錄，大大提升了用戶友好性。

圖2 用戶跨平臺訪問流程圖

本章探討了在不實現統一賬戶體系的情況下，用戶跨平臺訪問時單點登錄服務引導用戶登錄的原理，在接下來的章節(jié)中將討論可信平臺作為身份認證平臺如何延展出單點登錄服務。

3 利用可信平臺實現單點登錄功能

可信平臺作為國家基礎設施核心服務，可向社會提供權威、可靠的身份認證服務。這是可信平臺深耕的核心服務，隨著今年“兩會”提出的深化“互聯網+政務服務”的方針，可信平臺業(yè)務升級為互聯網政務平臺推出了單點登錄服務。

圖3 中可信平臺分別已向三個政務平臺提供身份認證服務，這三個政務平臺所辦理的業(yè)務各不相同，在可信平臺提供的單點登錄服務的基礎上，可一起對同一用戶提供服務。其單點登錄原理如下：

圖3 可信平臺單點登錄原理圖

用戶登錄1 號政務平臺時，該政務平臺會調用可信平臺的身份認證服務認證用戶身份信息，進而用戶可登錄這個政務平臺辦理政務服務，過程如圖中的第1 至第4 步。這時如該用戶再訪問2 號政務平臺，則2 號政務平臺服務端收到用戶訪問請求后會直接去可信平臺確認用戶信息，可信平臺確認用戶身份信息后，用戶無需重新登錄即可辦理相應政務平臺業(yè)務，即圖中第5 至第8 步。同理，第9至第12 步是用戶訪問3 號政務平臺的跳轉流程，整個跳轉過程均是政務平臺服務端的工作，服務端的認證跳轉可極大減輕用戶切換平臺重新輸入身份信息的不友好體驗。

上述流程闡述了跨政務平臺使用可信平臺單點登錄服務簡化用戶登錄場景，出于安全考慮用戶登錄的緩存時間一般設定為三十分鐘，整個信息傳輸過程使用國家密碼局規(guī)定的國產密碼算法實現，確保用戶在享受便捷的同時數據安全也有國密級別的保證。

4 應用實例

在公安政務服務平臺之間已率先使用可信平臺成功實現單點登錄。以公安部“互聯網+政務服務”平臺（以下簡稱公安部政務平臺）和公安部互聯網交通安全綜合服務管理平臺（以下簡稱交管政務平臺）的賬戶互信體系為例，可信平臺提供的單點登錄服務如圖4 所示。

用戶登錄公安部政務平臺時，會通過可信對用戶進行實名、實人認證，從而向該用戶開發(fā)相應認證等級的政務服務，過程如圖4 中的第1 至4 步。公安部政務平臺與交管政務平臺在單點登錄服務的支撐下可實現賬戶互認，如圖中第5 步，用戶從公安部平臺訪問交管政務平臺時，交管平臺會直接訪問可信平臺確認用戶的認證記錄和認證等級，相關操作如圖中第6 至9 步。這部分操作是公安部政務平臺、交管政務平臺和可信平臺三方的服務端協同完成的，用戶所在的客戶端側對這些操作無感知，即可成功跳轉至交管政務平臺。

圖4 公安政務服務三方互認邏輯圖

4.1 單點登錄實際演示

公安部政務平臺首頁如圖5 所示，其網址為：http://zwfw.mps.gov.cn:9080，目前該網站正在試運行階段，因此域名訪問時仍掛著“9080”的端口號，待該平臺在電信運營商完成“80”端口備案正式上線后可直接使用域名訪問。公安部政務平臺雖然還處于試運行階段，但已向正式上線的交管政務平臺提供身份認證服務，這個身份認證服務是由可信平臺向公安部政務平臺支撐的。因各政務平臺直接與可信平臺對接需購買簽名驗簽服務器，但多數政務平臺已經上線，配置簽名驗簽服務器需額外申請經費和托管機柜，在實際環(huán)境中要求各政務平臺主管單位采購簽名驗簽服務器會,因設備采購流程繁瑣導致對接工作滯后無法按需上線。故公安部政務平臺統籌管理了各業(yè)務局、省、市公安政務平臺，代為采購了簽名驗簽服務器，這樣這些政務平臺只要跟公安部政務平臺對接，即可使用可信平臺的身份認證服務，進而順理成章使用可信平臺提供的單點登錄服務。

圖5 公安部政務服務平臺首頁圖

公安部政務平臺的核心服務是辦事中心、查詢中心和咨詢中心三個功能模塊，其中用戶辦理的業(yè)務均由公安行業(yè)各業(yè)務局以及省、市政務平臺提供。如圖5 所示，用戶辦理頻率較多的業(yè)務集中體現在首頁中部的“我能辦理”區(qū)域，相應的辦理業(yè)務也可從頁面右上的“辦理中心”模塊中通過地區(qū)和警種作為索引找到。圖6 公安部政務服務平臺業(yè)務辦理圖中標明了用戶從公安部政務平臺通過可信平臺的單點登錄服務跳轉至交管政務平臺的過程。

在圖6 左上角顯示當前頁面已使用用戶名登錄公安部政務平臺，其登錄流程使用可信平臺對用戶進行身份認證，體現在圖4 公安政務服務三方互認邏輯圖中的第1 至第4步。在“辦事中心”模塊中，用戶可通過所在地和警種找到待辦理的業(yè)務，如圖6 用戶通過選擇“北京”和“交管”選項可找到交管政務平臺向社會提供的20余項政務服務。這些政務服務是公安部交管局貫徹落實國務院全國深化“放管服”改革，提升交通管理服務便利化工作公布的簡捷快辦、網上通辦、就近可辦的政務服務事項。以廣大人民群眾經常使用的“罰款繳納”業(yè)務為例，以前用戶處理交管罰款繳納業(yè)務需前往各交管支隊受理網點，現在用戶在公安部政務平臺登錄后點擊圖6 中罰款繳納的辦理按鈕即可跳轉至相應地市的交管平臺處理繳費業(yè)務。

圖6 公安部政務服務平臺業(yè)務辦理圖

如圖7 所示用戶點擊完罰款繳納的辦理按鈕后，瀏覽器會直接彈出北京市的交管政務平臺頁面，其瀏覽器網址已變成http://bj.122.gov.cn，該跳轉的詳細過程即圖4 中的第5 至第10 步，其中可信平臺在這個跳轉過程中協助交管政務平臺驗證了用戶在公安部政務平臺登錄的身份從而完成單點登錄功能，而用戶在這個過程中大約僅需等待2 秒，無需再次輸入用戶名和密碼。跳轉完成后在圖7 右上角和左側均顯示了之前在公安政務平臺登錄的用戶名，該頁面中還顯示了用戶待辦的業(yè)務和交管處罰記分，以及辦理罰款繳納業(yè)務的用戶須知。

圖7 交管政務平臺罰款交費頁面

4.2 其他政務應用

如圖8 所示，在公安部政務平臺的“辦件動態(tài)”模塊中，可查詢到不同用戶在各級公安政務平臺上所辦理的業(yè)務，相關政務服務平臺均依托可信平臺核驗用戶身份。

圖8 中第二行的“辦理電子臨時乘機身份證明”服務是由公安部民航管理局下屬的北京首都國際機場公安分局于今年5 月上線的“放管服”政務服務。用戶可在蘋果應用商店和各大安卓應用商店通過關鍵字“國門公安”搜索到該應用，在忘記攜帶身份證乘機時使用該應用，可辦理電子臨時乘機身份證明，這項服務優(yōu)化了各民航機場需排長隊辦理紙質臨時乘機證明給用戶帶來的不便。該案例表明，可信平臺可跨windows 系統、ios 系統和安卓系統提供身份認證和單點登錄服務，用戶辦理完電子臨時乘機身份證明后可通過登錄公安政務平臺查看其辦結了相應服務，這是公安部政務平臺、可信平臺和國門公安應用跨操作系統的單點登錄三方互認案例。

在公安部政務平臺、可信平臺與交管政務平臺和國門公安應用的三方互認的案例中，用戶通過公安部政務平臺為入口，在可信平臺單點登錄服務的支撐下可訪問交管政務平臺和國門公安應用辦理業(yè)務，充分體現了可信平臺從身份認證服務衍生出單點登錄服務的高擴展能力以及助力國家“放管服”改革所起到的積極作用。

5 結語

可信平臺的核心服務將為我國億級規(guī)模的互聯網用戶提供在線身份認證功能。在此基礎上可信平臺深挖潛能，發(fā)揮自身優(yōu)勢為國家政務服務改革提供成熟的單點登錄解決方案，并在公安政務服務改革中率先落地，體現了其作為國家基礎設施應有的社會擔當。

圖8 單點登錄服務辦件動態(tài)

“互聯網+政務服務”是國家深化“放管服”改革后涌現的新興行業(yè)，可信平臺的高并發(fā)帶寬設計可支撐政務服務的并發(fā)訪問，此基礎上延展的單點登錄服務則是其在身份認證之外提供的附加服務。政務服務由可信平臺提供單點登錄服務可確保公民隱私數據由國家基礎設施保管，不會因商業(yè)利益泄露用戶隱私數據。

未來，隨著電信5G 業(yè)務的普及，通過網絡傳輸視頻流文件將不再被網絡環(huán)境制約，屆時可信平臺會繼續(xù)深挖自身潛能提供視頻身份認證服務，在此基礎上為“互聯網+政務”領域提供更加便民的服務，更好地落實國家“放管服”精神服務人民群眾。