CINMS2.0总体设计之信息层认证/授权技术
对于“中国公众多媒体通信网”的经营形式,各种信息源都是多媒体通信网信息服务体系和导航体系的一部分,邮电部做为网络的运营者,需要为全部用户和信息源提供完整、统一的解决方案,二次登录的方法并不适用。
为此,我们采用本地及全网两层“电子身份证”( LocCookie 和 GobCookie )技术解决此问题(《中国公众多媒体通信网技术体制(讨论稿)》对此有相应的技术解释)。它模拟现实生活中的“居民身份证”,使用户在跨域访问信息时,不需要进行频繁的二次登录:
通常各省在省中心设立自己的认证 / 授权中心,为用户发放网上“电子身份证”(即用户身分状态字 — Cookie )。
在用户身分状态字技术中,采用 2 个用户身分状态字进行用户身分认证,即 LocCookie 和 GobCookie 。其中 LocCookie 在省内有效, GobCookie 在全网有效。
用户访问信息时,用户端软件会根据访问目标信源自动选择携带本地或全网“电子身份证”,供系统验证和记录。由于根据访问不同目标信源递交“电子身份证”这个过程对用户是自动实现的,因此,用户领取到“电子身份证”后,不再需要多次登录(信息层登录),就可以方便地访问全网信息源。
信源收到用户的访问申请时,首先验证用户携带的“电子身份证”的合法性,根据用户的“电子身份证”确认用户的权限,同时记录用户访问信息条目的具体信息。
用户身分状态字 — Cookie 的格式:
LocCookie=
版本号:用户名:用户终端 IP 地址:有效期:主叫号码:签发 Cookie 的治理服务器主机域名:用户开户主机域名:用户开户主机域名:用户级别: MD5 字符串 .
GobCookie=
版本号:用户名:用户终端 IP 地址:有效期:主叫号码:签发 Cookie 的治理服务器主机域名:用户开户主机域名:用户级别: RSA 字符串
“电子身份证”上记录用户的身份(用户名,主叫号码)、权限级别等信息,可以作为信息网上用于标识身份和权限的有效证件。“电子身份证”有有效期,证件到期后可到认证 / 授权中心重新登录一次、获取新的“电子身份证”。有效期将减小“电子身份证”伪造的可能性,使系统更加安全。“电子身份证”采用 RSA 和 MD5 等算法实现防伪。
为实现上述“电子身份证”,我们选用 HTTP 协议的扩展 COOKIE 作为“电子身份证”的物理载体,即:用户信息存放于 COOKIE 中, COOKIE 作为“电子身份证”在网络上传递。这样,省认证 / 授权中心发放“电子身份证”实际就是制作含有用户信息的 COOKIE 的过程,信息源验证“电子身份证”就是提取 COOKIE 中的用户信息、并分析其真实性的过程。
选择 COOKIE 技术实现“电子身份证”的构想,主要是考虑到 COOKIE 技术与我们的“电子身份证”设想相近,都是要在 Web Server 端获取 Web Browser 的状态;同时 COOKIE 的通用性也是一个很重要的原因。由于“中国公众多媒体通信网”是一个全国范围的大型网络,假如采用专用的技术或产品,系统的日常维护量将是不可估量的,而 COOKIE 作为一种标准技术,为目前多数 Web Server 和 Web Browser 所支持,我们只需在 Web Server 端扩充对 COOKIE 分析的过程即可。因此,在目前情况下,我们认为采用 COOKIE 实现“电子身份证”是一种可行的解决方案。