摘　要：

　　隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和人工智能等現(xiàn)代信息技術(shù)的飛速發(fā)展， 傳統(tǒng)身份認證模式已不能滿足新一代智慧移動警務系統(tǒng)應用需求，統(tǒng)一認證已成為大勢所趨。首先 , 分析了國內(nèi)智慧警務和移動警務的研究現(xiàn)狀，結(jié)合移動警務身份認證的應用需求和技   術(shù)特點，介紹了智慧移動警務統(tǒng)一認證系統(tǒng)的總體構(gòu)成和技術(shù)框架。其次，從跨區(qū)域和跨平   臺兩個角度出發(fā)，提出了智慧移動警務統(tǒng)一認證的實現(xiàn)方案。最后，對移動警務統(tǒng)一認證的   智慧化發(fā)展進行了總結(jié)和展望。

　　00

　　引  言

　　黨的十九大對建設(shè)網(wǎng)絡強國、數(shù)字中國、 智慧社會作出了整體規(guī)劃。在這種新形勢、新 挑戰(zhàn)下， 云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián) 和人工智能等現(xiàn)代 IT 技術(shù)發(fā)展突飛猛進。有 了現(xiàn)代信息技術(shù)的加持， 全國的警務工作者在 推進公安大數(shù)據(jù)戰(zhàn)略、打造智慧警務、科技 興警的道路上闊步前行，智慧警務時代已經(jīng) 來臨。

　　近年來，包括移動警務在內(nèi)的多種警務模 式向智能化階段大踏步邁進?！爸腔劬瘎铡备?念應運而生，這順應了智能化的時代潮流，智 慧警務逐漸成為警務智能化的一種重要形態(tài)。

　　目前業(yè)界公認的智慧警務概念是以互聯(lián)網(wǎng)、移  動互聯(lián)網(wǎng)、云計算、智能引擎、數(shù)據(jù)挖掘、物聯(lián)網(wǎng)、 視頻技術(shù)以及知識管理等新一代信息技術(shù)為支 撐， 以警務信息化為核心， 通過“四化”（物聯(lián)化、 可視化、互聯(lián)化、智能化） 的方式， 促進警務 信息化系統(tǒng)各個功能模塊之間的高度集成和協(xié) 調(diào)運作， 實現(xiàn)警務信息“強度整合、高度共享、  深度應用”的發(fā)展目標，以及警務發(fā)展新理念 和新模式 。

　　以統(tǒng)一的云端平臺和移動警務終端為支撐 是智慧警務的核心，它集聚了與公安工作有關(guān) 的數(shù)據(jù)信息，使得民警和云端平臺之間能夠?qū)崿F(xiàn)快速的信息交互，打破層級和時空等因素所造成的信息不暢，使群眾能夠享受到公安機關(guān) 提供的點對點以及全流程的服務，平衡了地域 之間警務信息化發(fā)展的差異 。

　　隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展和智慧警務工 作的不斷推進，移動警務的工作模式也在發(fā)生 著日新月異的變化。面對海量數(shù)據(jù)處理和智慧 移動警務辦公辦案需求，傳統(tǒng)的移動警務工作 模式和工作手段已經(jīng)不能滿足信息化條件下公 安業(yè)務移動處理的迫切要求。因此，在公安部 領(lǐng)導下，各省市公安機關(guān)和相關(guān)單位正在積極 推進智慧移動警務建設(shè)，全面支撐移動執(zhí)法辦 案、現(xiàn)場化信息采集、可視化勤務指揮和便捷 化服務管理等公安移動業(yè)務，并逐漸在實戰(zhàn)應 用中發(fā)揮越來越重要的作用。

　　為全面落實智慧警務發(fā)展戰(zhàn)略，更好地發(fā) 揮移動警務的優(yōu)勢，在各地現(xiàn)有移動警務平臺  建設(shè)基礎(chǔ)上， 如何適應信息資源深整合、高共享、 寬應用的發(fā)展趨勢，解決全國移動警務用戶的  跨區(qū)域和跨平臺認證問題，提升移動警務對公  安業(yè)務的服務支撐能力， 實現(xiàn)專業(yè)化、智能化、  精準化移動應用，創(chuàng)新警務模式和警務運行機 制，打造智慧警務提供可靠技術(shù)支撐，已成為必須進行研究解決的重要課題。

　　本文在分析國內(nèi)智慧警務研究現(xiàn)狀的基礎(chǔ) 上，研究了移動警務統(tǒng)一身份認證體系的總體架構(gòu)和技術(shù)框架，提出了跨區(qū)域、跨平臺統(tǒng)一認證的實現(xiàn)方案。

　　01

　　國內(nèi)研究現(xiàn)狀

　　在現(xiàn)代信息技術(shù)的推動下，智慧警務和移 動警務的技術(shù)研究方興未艾。文獻 [3] 以 CNKI 數(shù)據(jù)庫刊載的主題為智慧警務的文章為基礎(chǔ)數(shù) 據(jù)， 結(jié)合地方公安機關(guān)對智慧警務的實踐探索，  厘清了智慧警務的時代內(nèi)涵，分析了目前智慧 警務建設(shè)取得的成效和存在的不足。為走出智 慧警務建設(shè)誤區(qū)，提升智慧警務建設(shè)水平，更 新警務理念、加強頂層設(shè)計、推動警務體制機 制創(chuàng)新、創(chuàng)造新型警民關(guān)系、構(gòu)建現(xiàn)代化保障 體系是必然的選擇。文獻 [4] 著眼技術(shù)可兼容、 能力可塑造、應用可拓展、硬件可升級，從強 化警務能力建設(shè)、破解傳統(tǒng)瓶頸桎梏、加強技 術(shù)裝備升級、打通融合發(fā)展路徑 4 個方面，探 索智慧警務的創(chuàng)新實踐。文獻 [5] 主要研究 5G 在智慧警務方面的創(chuàng)新應用，分別從 5G 技術(shù)分 析、5G 技術(shù)警務創(chuàng)新應用、5G 警務應用的實戰(zhàn) 效果以及 5G 智慧警務創(chuàng)新應用成果等方面進行 論述，通過融合創(chuàng)新，借助 5G 技術(shù)高帶寬、低 時延、切片網(wǎng)絡的能力，將 5G“智慧警務”運 用于實戰(zhàn)中，實現(xiàn)數(shù)據(jù)聯(lián)動賦能預防、智慧應 用賦能預警、信息共享賦能預知等目標，打造 警情全域化、勤務可視化、防控無感化、處置 一體化、治理現(xiàn)代化的 5G 智慧警務創(chuàng)新模式。文獻 [6] 提出“智慧警務”模式下警察法授權(quán)體 系的基礎(chǔ)應當是《中華人民共和國人民警察法》 中的任務概括條款， 針對數(shù)據(jù)收集分析等智慧警 務中的典型干預手段構(gòu)建標準授權(quán)條款，針對危險預防措施建立概括授權(quán)條款并依據(jù)干預強度確立該條款的適用“門檻”，同時針對查處 措施建立與現(xiàn)有警察法規(guī)范的銜接條款。文獻 [7] 介紹了吉林省公安廳規(guī)劃建設(shè)的移動警務系統(tǒng)， 對傳統(tǒng)移動警務系統(tǒng)存在的主要問題進行分析， 介紹了移動警務系統(tǒng)的建設(shè)內(nèi)容、安全接入體 系和主要業(yè)務功能，總結(jié)該系統(tǒng)在吉林省應用 和推廣以來產(chǎn)生的成效，并展望了移動警務市 場的發(fā)展前景。文獻 [8] 結(jié)合新一代移動警務終 端標準，從終端分類、基礎(chǔ)要求、安全性要求 等幾個方面介紹了終端新的技術(shù)要求，預測了  移動警務終端的發(fā)展趨勢。文獻 [9] 針對目前移 動警務終端安全隱患嚴重、信息孤島問題突出、  資源利用率低、可持續(xù)保障能力弱等問題，通 過將基礎(chǔ)設(shè)施資源云化、移動終端安全加固、  終端接入統(tǒng)一安全管理等措施，探索基于“云 + 端”的移動警務安全架構(gòu)，為移動警務的持續(xù) 發(fā)展提供新的思路。

　　經(jīng)調(diào)研發(fā)現(xiàn)，目前在學術(shù)界尚缺乏移動警 務統(tǒng)一認證方面的論文。在已運營的移動警務 平臺中，已具備基本的身份認證功能，但大多 數(shù)未實現(xiàn)統(tǒng)一認證。少數(shù)已實現(xiàn)統(tǒng)一認證的地 區(qū)，認證部署方式不統(tǒng)一，有的采用獨立統(tǒng)一 認證組件實現(xiàn)，有的與終端門戶、應用市場、 設(shè)備管控集成實現(xiàn)。這一現(xiàn)狀無法應對公安系 統(tǒng)內(nèi)部以及與互聯(lián)網(wǎng)之間海量的信息交互，阻 礙了公安系統(tǒng)的辦事效率。筆者認為，統(tǒng)一認 證系統(tǒng)應能同時實現(xiàn)對本地應用和漫游應用的 認證及單點登錄，實現(xiàn)基于數(shù)字證書的全鏈路 認證，對本地非漫游應用不能造成使用影響， 在保證安全的前提下提高移動警務系統(tǒng)效能，本文將對此進行研究分析。

　　02

　　統(tǒng)一認證體系的總體框架

　　本章節(jié)將從總體構(gòu)成、技術(shù)框架和互聯(lián) 結(jié)構(gòu) 3 個方面對統(tǒng)一認證體系的總體情況進行 闡述。

　　2.1  總體構(gòu)成

　　智慧移動警務身份認證技術(shù)總體框架由Ⅰ 類、Ⅱ類、Ⅲ類區(qū)域身份認證以及多個平臺組成， 如圖 1 所示， 系統(tǒng)及區(qū)域分類應按 GA/T 1561—2019 《移動警務系統(tǒng) 總體技術(shù)要求》  進行規(guī)定。  各區(qū)域內(nèi)身份認證均由對應的認證實體對象、  認證技術(shù)、認證服務構(gòu)成，為避免重復，圖 1 中僅顯示Ⅱ類區(qū)域身份認證詳情。平臺之間可進行跨平臺認證， 區(qū)域之間可進行跨區(qū)域認證。

　　圖 1  智慧移動警務身份認證技術(shù)總體構(gòu)成

　　I類區(qū)域應提供終端接入、互聯(lián)網(wǎng)邊界防護、 Ⅰ類區(qū)域應用支撐和安全管控等功能；Ⅱ類區(qū)  域應提供終端接入控制、密碼基礎(chǔ)服務、Ⅱ類 區(qū)域應用支撐和安全管控等功能；Ⅲ類區(qū)域應提供移動安全接入、密碼基礎(chǔ)服務、Ⅲ類區(qū)域應用支撐、安全管控和集中管控等功能。

　　2.2  技術(shù)框架

　　智慧移動警務身份認證技術(shù)框架包括認證 管理、認證對象、認證服務和認證因子 4 個部分， 如圖 2 所示。

　　圖 2  智慧移動警務身份認證技術(shù)框架

　　其中， 認證管理關(guān)聯(lián)認證對象與認證技術(shù)， 對其進行認證方式管理，同時對認證、驗證過 程中身份憑證 /票據(jù)的維護策略進行管理；認證 對象是移動警務訪問控制的目標實體，包括用 戶、機構(gòu)、設(shè)備和應用等；認證服務是移動警 務身份信任、權(quán)限管理、訪問控制等安全保護 的關(guān)鍵，為認證對象提供認證服務，為訪問控 制部件提供驗證服務；認證因子是移動警務身 份認證的基礎(chǔ)，以數(shù)字證書為主，口令、生物 因子、物理因子等多種認證因子為輔。

　　認證對象的管理，可由統(tǒng)一認證以外的系 統(tǒng)實現(xiàn)，為統(tǒng)一認證關(guān)鍵信息資產(chǎn)實體提供身 份來源。認證管理依照不同訪問主體的認證方 式，為這些主體生成訪問憑證 /票據(jù)，結(jié)合相應 認證技術(shù)，為各類訪問控制節(jié)點提供身份信息 驗證和認證服務，為后續(xù)客體對象的訪問提供 全局統(tǒng)一的身份認證服務。

　　2.3  互聯(lián)結(jié)構(gòu)

　　應用支撐縱向級聯(lián)配置管理由部省兩級組成。部級管理中心統(tǒng)一配置和管理全國各省級平臺服務地址參數(shù)。各省分中心配置本地平臺 提供的應用發(fā)布、統(tǒng)一認證 /實名認證、統(tǒng)一授 權(quán) /鑒權(quán)、服務總線和運行監(jiān)控等服務地址參數(shù)， 并通過部級中心節(jié)點獲取其他省級平臺的服務 地址參數(shù)。

　　單個平臺的服務配置管理由一個配置管理 中心和 3 個尋址服務組成，配置管理中心部署 在Ⅲ類區(qū)，統(tǒng)一配置平臺Ⅰ類、Ⅱ類、Ⅲ類 3 個區(qū)域的應用發(fā)布、統(tǒng)一認證 /實名認證、統(tǒng)一 授權(quán) /鑒權(quán)、服務總線和運行監(jiān)控等服務地址， 尋址服務分別部署在Ⅰ類、Ⅱ類、Ⅲ類 3 個區(qū) 域中，為本區(qū)域的應用漫游、資源共享提供上 述服務尋址。

　　03

　　統(tǒng)一認證實現(xiàn)方案

　　統(tǒng)一認證服務既是移動警務應用支撐平臺 給所有各網(wǎng)移動應用乃至 PC、可穿戴設(shè)備等應 用提供的基礎(chǔ)支撐服務，也是服務總線登錄授 權(quán)的基礎(chǔ)能力要求，是移動警務最為重要的基 礎(chǔ)服務之一，同時，還是所有基礎(chǔ)應用、特色 應用、警種專業(yè)應用等一次登錄及安全通行的 關(guān)鍵。統(tǒng)一認證服務要能支持 PC 端、移動設(shè)備 端和 Web 之間的登錄驗證要求。關(guān)于如何實現(xiàn) 跨區(qū)域認證、跨平臺認證， 可從以下方面考慮。

　　3.1  跨區(qū)域認證

　?、耦悺ⅱ蝾?、Ⅲ類區(qū)域之間存在跨區(qū)域認

　　證的需求，可分類進行討論。

　?。?）Ⅰ類應用跨區(qū)域訪問Ⅱ類系統(tǒng)信息資 源時，由服務總線傳遞身份信息。

　　（2） Ⅱ類應用跨區(qū)域訪問Ⅰ類信息資源時，

　　由Ⅱ類系統(tǒng)服務總線經(jīng)過Ⅰ類系統(tǒng)服務總線傳遞身份信息。Ⅱ類應用跨區(qū)域訪問Ⅲ類信息資 源時，由Ⅱ類系統(tǒng)服務總線經(jīng)過Ⅲ類系統(tǒng)服務 總線傳遞身份信息。

　?。?）Ⅲ類應用不涉及跨區(qū)域認證。

　?。?）服務總線之間應采用數(shù)字證書進行身 份認證。

　　3.2  跨平臺認證

　　為了滿足應用和資源跨地域、跨平臺漫游 共享的需求，各平臺應預留跨平臺認證接口。部與省、省與省等多個平臺之間跨平臺認證時， 應通過跨平臺認證接口和統(tǒng)一認證客戶端，按 照部省級聯(lián)認證的相關(guān)技術(shù)要求來執(zhí)行。其認 證流程和身份識別證據(jù)的生成管理如下。

　　3.2.1  跨平臺認證流程

　　跨平臺認證流程分為以下 6 個步驟：

　　（1）跨平臺認證應通過統(tǒng)一認證實現(xiàn)，統(tǒng) 一認證客戶端的應用調(diào)用模式、調(diào)用流程及憑 證格式統(tǒng)一，保證全國應用漫游、資源共享對 接模式一致；

　?。?）應用開啟時，調(diào)用統(tǒng)一認證客戶端接 口， 通過應用標識信息獲取用戶憑證、應用憑證；

　?。?）在用戶具備該應用使用權(quán)限時，統(tǒng)一 認證客戶端將用戶憑證、應用憑證交給應用；

　　（4）應用獲得用戶憑證后，轉(zhuǎn)交給自己的 應用服務端；

　?。?）應用服務端調(diào)用其歸屬地統(tǒng)一認證服 務端憑證驗證接口驗證登錄憑證，并得到用戶 身份信息，而后結(jié)合用戶身份信息進行鑒權(quán)， 完成移動應用登錄；

　?。?）統(tǒng)一認證服務端識別非本地用戶憑證時，可本地驗證憑證簽名，也可協(xié)同異地統(tǒng)一 認證驗證用戶憑證，結(jié)合異地返回用戶信息及 本地留存的用戶信息及權(quán)限進行鑒權(quán)。

　　3.2.2  身份識別證據(jù)的類別與管理

　　平臺中實體對象的身份識別證據(jù)信息主要包括 3 類，分別應用于不同場景。

　?。?）身份原始信息：身份原始信息代表對 象身份的私密信息，這些信息不應在網(wǎng)絡中傳 輸。身份原始信息在對象生命周期內(nèi)永久代表 對象身份。

　　（2）身份憑證：身份憑證代表對象身份的 重要信息，由數(shù)字證書簽名、生物特征摘要等 原始身份證明產(chǎn)生，并經(jīng)統(tǒng)一認證服務驗證后 追加統(tǒng)一認證應用簽名及相關(guān)信息，可唯一代 表用戶身份的信息。身份憑證在對象某個時間 階段中代表對象身份。

　?。?）訪問票據(jù)：訪問票據(jù)代表對象身份在 某次訪問過程的許可信息， 從身份憑證中獲取， 可唯一代表某次訪問過程的令牌，不包含對象 身份信息。訪問票據(jù)在對象某個訪問過程中代 表對象身份及其具備的權(quán)限。一般情況下不同 的訪問過程應使用不同的訪問票據(jù)， 在本階段， 為了簡化票據(jù)生成的開銷，合并訪問票據(jù)到身 份憑證中。

　　3.2.3  身份認證與驗證功能

　　身份認證與驗證功能的實現(xiàn)主要包括原始 身份證明、身份憑證和訪問票據(jù)的生成及使用 4個階段。

　?。?）原始身份證明的生成：對象原始身份 證明信息，包括身份詳細信息、對象私密標識信息（PKI 公私鑰對、口令、生物特征等） ，可 以由對象發(fā)起申請或由認證服務進行注冊，經(jīng) 認證服務及管理機構(gòu)認可后生成。生成后由身 份對象妥善保管，可由認證服務備份。

　?。?）身份憑證的生成：身份憑證由客體對 象通過攜帶原始證明信息向統(tǒng)一認證服務遞交 請求，經(jīng)認證服務鑒別比對后產(chǎn)生，并由客體 對象及認證服務按照憑證的有效期要求，各自 保存。對象身份憑證過期前，須由對象發(fā)起憑 證刷新請求重新獲取憑證（攜帶原有憑證）。

　?。?）訪問票據(jù)的生成：一般情況下，訪問 票據(jù)由主體對象通過攜帶身份憑證向服務總線 遞交請求， 經(jīng)認證服務驗證后由服務總線產(chǎn)生， 并由主體對象及服務總線按照票據(jù)的訪問過程 要求，各自緩存。每次會話須由對象發(fā)起票據(jù) 請求重新獲取票據(jù)（攜帶對象憑證）。

　　在本階段， 訪問票據(jù)與身份憑證一同產(chǎn)生，并包含在身份憑證中。

　?。?）訪問票據(jù)的使用：后續(xù)業(yè)務流程中客 體對象應攜帶訪問票據(jù)進行資源服務的訪問。

　　04

　　結(jié)  語

　　本文探討了在現(xiàn)代信息技術(shù)迅猛發(fā)展的大 背景下，智慧移動警務身份認證體系的總體架 構(gòu)、技術(shù)框架等內(nèi)容，提出了移動警務在統(tǒng)一 認證模式下跨區(qū)域和跨平臺認證的實現(xiàn)方案?！盎ヂ?lián)網(wǎng) + 警務”和“智慧警務”大潮已來， 公安機關(guān)一線執(zhí)法工作所涉及的業(yè)務范圍將越 來越廣，移動警務認證體系的各個方面必將被 不斷賦予“大智慧”，取得大發(fā)展、新突破，如終端可信安全感知、完善數(shù)字證書驗證等。

　　如何借助移動互聯(lián)網(wǎng)、人工智能和大數(shù)據(jù)的力 量，做好公安科技信息基礎(chǔ)支撐工作，是全國 警務系統(tǒng)工作人員乃至整個社會相關(guān)行業(yè)的科 技工作者所需要不斷認真思考和解決的問題。