摘　要：

　　随着云计算、大数据、物联网、移动互联网和人工智能等现代信息技术的飞速发展， 传统身份认证模式已不能满足新一代智慧移动警务系统应用需求，统一认证已成为大势所趋。首先 , 分析了国内智慧警务和移动警务的研究现状，结合移动警务身份认证的应用需求和技   术特点，介绍了智慧移动警务统一认证系统的总体构成和技术框架。其次，从跨区域和跨平   台两个角度出发，提出了智慧移动警务统一认证的实现方案。最后，对移动警务统一认证的   智慧化发展进行了总结和展望。

　　00

　　引  言

　　党的十九大对建设网络强国、数字中国、 智慧社会作出了整体规划。在这种新形势、新 挑战下， 云计算、大数据、物联网、移动互联 和人工智能等现代 IT 技术发展突飞猛进。有 了现代信息技术的加持， 全国的警务工作者在 推进公安大数据战略、打造智慧警务、科技 兴警的道路上阔步前行，智慧警务时代已经 来临。

　　近年来，包括移动警务在内的多种警务模 式向智能化阶段大踏步迈进。“智慧警务”概 念应运而生，这顺应了智能化的时代潮流，智 慧警务逐渐成为警务智能化的一种重要形态。

　　目前业界公认的智慧警务概念是以互联网、移  动互联网、云计算、智能引擎、数据挖掘、物联网、 视频技术以及知识管理等新一代信息技术为支 撑， 以警务信息化为核心， 通过“四化”（物联化、 可视化、互联化、智能化） 的方式， 促进警务 信息化系统各个功能模块之间的高度集成和协 调运作， 实现警务信息“强度整合、高度共享、  深度应用”的发展目标，以及警务发展新理念 和新模式 。

　　以统一的云端平台和移动警务终端为支撑 是智慧警务的核心，它集聚了与公安工作有关 的数据信息，使得民警和云端平台之间能够实现快速的信息交互，打破层级和时空等因素所造成的信息不畅，使群众能够享受到公安机关 提供的点对点以及全流程的服务，平衡了地域 之间警务信息化发展的差异 。

　　随着大数据技术的不断发展和智慧警务工 作的不断推进，移动警务的工作模式也在发生 着日新月异的变化。面对海量数据处理和智慧 移动警务办公办案需求，传统的移动警务工作 模式和工作手段已经不能满足信息化条件下公 安业务移动处理的迫切要求。因此，在公安部 领导下，各省市公安机关和相关单位正在积极 推进智慧移动警务建设，全面支撑移动执法办 案、现场化信息采集、可视化勤务指挥和便捷 化服务管理等公安移动业务，并逐渐在实战应 用中发挥越来越重要的作用。

　　为全面落实智慧警务发展战略，更好地发 挥移动警务的优势，在各地现有移动警务平台  建设基础上， 如何适应信息资源深整合、高共享、 宽应用的发展趋势，解决全国移动警务用户的  跨区域和跨平台认证问题，提升移动警务对公  安业务的服务支撑能力， 实现专业化、智能化、  精准化移动应用，创新警务模式和警务运行机 制，打造智慧警务提供可靠技术支撑，已成为必须进行研究解决的重要课题。

　　本文在分析国内智慧警务研究现状的基础 上，研究了移动警务统一身份认证体系的总体架构和技术框架，提出了跨区域、跨平台统一认证的实现方案。

　　01

　　国内研究现状

　　在现代信息技术的推动下，智慧警务和移 动警务的技术研究方兴未艾。文献 [3] 以 CNKI 数据库刊载的主题为智慧警务的文章为基础数 据， 结合地方公安机关对智慧警务的实践探索，  厘清了智慧警务的时代内涵，分析了目前智慧 警务建设取得的成效和存在的不足。为走出智 慧警务建设误区，提升智慧警务建设水平，更 新警务理念、加强顶层设计、推动警务体制机 制创新、创造新型警民关系、构建现代化保障 体系是必然的选择。文献 [4] 着眼技术可兼容、 能力可塑造、应用可拓展、硬件可升级，从强 化警务能力建设、破解传统瓶颈桎梏、加强技 术装备升级、打通融合发展路径 4 个方面，探 索智慧警务的创新实践。文献 [5] 主要研究 5G 在智慧警务方面的创新应用，分别从 5G 技术分 析、5G 技术警务创新应用、5G 警务应用的实战 效果以及 5G 智慧警务创新应用成果等方面进行 论述，通过融合创新，借助 5G 技术高带宽、低 时延、切片网络的能力，将 5G“智慧警务”运 用于实战中，实现数据联动赋能预防、智慧应 用赋能预警、信息共享赋能预知等目标，打造 警情全域化、勤务可视化、防控无感化、处置 一体化、治理现代化的 5G 智慧警务创新模式。文献 [6] 提出“智慧警务”模式下警察法授权体 系的基础应当是《中华人民共和国人民警察法》 中的任务概括条款， 针对数据收集分析等智慧警 务中的典型干预手段构建标准授权条款，针对危险预防措施建立概括授权条款并依据干预强度确立该条款的适用“门槛”，同时针对查处 措施建立与现有警察法规范的衔接条款。文献 [7] 介绍了吉林省公安厅规划建设的移动警务系统， 对传统移动警务系统存在的主要问题进行分析， 介绍了移动警务系统的建设内容、安全接入体 系和主要业务功能，总结该系统在吉林省应用 和推广以来产生的成效，并展望了移动警务市 场的发展前景。文献 [8] 结合新一代移动警务终 端标准，从终端分类、基础要求、安全性要求 等几个方面介绍了终端新的技术要求，预测了  移动警务终端的发展趋势。文献 [9] 针对目前移 动警务终端安全隐患严重、信息孤岛问题突出、  资源利用率低、可持续保障能力弱等问题，通 过将基础设施资源云化、移动终端安全加固、  终端接入统一安全管理等措施，探索基于“云 + 端”的移动警务安全架构，为移动警务的持续 发展提供新的思路。

　　经调研发现，目前在学术界尚缺乏移动警 务统一认证方面的论文。在已运营的移动警务 平台中，已具备基本的身份认证功能，但大多 数未实现统一认证。少数已实现统一认证的地 区，认证部署方式不统一，有的采用独立统一 认证组件实现，有的与终端门户、应用市场、 设备管控集成实现。这一现状无法应对公安系 统内部以及与互联网之间海量的信息交互，阻 碍了公安系统的办事效率。笔者认为，统一认 证系统应能同时实现对本地应用和漫游应用的 认证及单点登录，实现基于数字证书的全链路 认证，对本地非漫游应用不能造成使用影响， 在保证安全的前提下提高移动警务系统效能，本文将对此进行研究分析。

　　02

　　统一认证体系的总体框架

　　本章节将从总体构成、技术框架和互联 结构 3 个方面对统一认证体系的总体情况进行 阐述。

　　2.1  总体构成

　　智慧移动警务身份认证技术总体框架由Ⅰ 类、Ⅱ类、Ⅲ类区域身份认证以及多个平台组成， 如图 1 所示， 系统及区域分类应按 GA/T 1561—2019 《移动警务系统 总体技术要求》  进行规定。  各区域内身份认证均由对应的认证实体对象、  认证技术、认证服务构成，为避免重复，图 1 中仅显示Ⅱ类区域身份认证详情。平台之间可进行跨平台认证， 区域之间可进行跨区域认证。

　　图 1  智慧移动警务身份认证技术总体构成

　　I类区域应提供终端接入、互联网边界防护、 Ⅰ类区域应用支撑和安全管控等功能；Ⅱ类区  域应提供终端接入控制、密码基础服务、Ⅱ类 区域应用支撑和安全管控等功能；Ⅲ类区域应提供移动安全接入、密码基础服务、Ⅲ类区域应用支撑、安全管控和集中管控等功能。

　　2.2  技术框架

　　智慧移动警务身份认证技术框架包括认证 管理、认证对象、认证服务和认证因子 4 个部分， 如图 2 所示。

　　图 2  智慧移动警务身份认证技术框架

　　其中， 认证管理关联认证对象与认证技术， 对其进行认证方式管理，同时对认证、验证过 程中身份凭证 /票据的维护策略进行管理；认证 对象是移动警务访问控制的目标实体，包括用 户、机构、设备和应用等；认证服务是移动警 务身份信任、权限管理、访问控制等安全保护 的关键，为认证对象提供认证服务，为访问控 制部件提供验证服务；认证因子是移动警务身 份认证的基础，以数字证书为主，口令、生物 因子、物理因子等多种认证因子为辅。

　　认证对象的管理，可由统一认证以外的系 统实现，为统一认证关键信息资产实体提供身 份来源。认证管理依照不同访问主体的认证方 式，为这些主体生成访问凭证 /票据，结合相应 认证技术，为各类访问控制节点提供身份信息 验证和认证服务，为后续客体对象的访问提供 全局统一的身份认证服务。

　　2.3  互联结构

　　应用支撑纵向级联配置管理由部省两级组成。部级管理中心统一配置和管理全国各省级平台服务地址参数。各省分中心配置本地平台 提供的应用发布、统一认证 /实名认证、统一授 权 /鉴权、服务总线和运行监控等服务地址参数， 并通过部级中心节点获取其他省级平台的服务 地址参数。

　　单个平台的服务配置管理由一个配置管理 中心和 3 个寻址服务组成，配置管理中心部署 在Ⅲ类区，统一配置平台Ⅰ类、Ⅱ类、Ⅲ类 3 个区域的应用发布、统一认证 /实名认证、统一 授权 /鉴权、服务总线和运行监控等服务地址， 寻址服务分别部署在Ⅰ类、Ⅱ类、Ⅲ类 3 个区 域中，为本区域的应用漫游、资源共享提供上 述服务寻址。

　　03

　　统一认证实现方案

　　统一认证服务既是移动警务应用支撑平台 给所有各网移动应用乃至 PC、可穿戴设备等应 用提供的基础支撑服务，也是服务总线登录授 权的基础能力要求，是移动警务最为重要的基 础服务之一，同时，还是所有基础应用、特色 应用、警种专业应用等一次登录及安全通行的 关键。统一认证服务要能支持 PC 端、移动设备 端和 Web 之间的登录验证要求。关于如何实现 跨区域认证、跨平台认证， 可从以下方面考虑。

　　3.1  跨区域认证

　　Ⅰ类、Ⅱ类、Ⅲ类区域之间存在跨区域认

　　证的需求，可分类进行讨论。

　　（1）Ⅰ类应用跨区域访问Ⅱ类系统信息资 源时，由服务总线传递身份信息。

　　（2） Ⅱ类应用跨区域访问Ⅰ类信息资源时，

　　由Ⅱ类系统服务总线经过Ⅰ类系统服务总线传递身份信息。Ⅱ类应用跨区域访问Ⅲ类信息资 源时，由Ⅱ类系统服务总线经过Ⅲ类系统服务 总线传递身份信息。

　　（3）Ⅲ类应用不涉及跨区域认证。

　　（4）服务总线之间应采用数字证书进行身 份认证。

　　3.2  跨平台认证

　　为了满足应用和资源跨地域、跨平台漫游 共享的需求，各平台应预留跨平台认证接口。部与省、省与省等多个平台之间跨平台认证时， 应通过跨平台认证接口和统一认证客户端，按 照部省级联认证的相关技术要求来执行。其认 证流程和身份识别证据的生成管理如下。

　　3.2.1  跨平台认证流程

　　跨平台认证流程分为以下 6 个步骤：

　　（1）跨平台认证应通过统一认证实现，统 一认证客户端的应用调用模式、调用流程及凭 证格式统一，保证全国应用漫游、资源共享对 接模式一致；

　　（2）应用开启时，调用统一认证客户端接 口， 通过应用标识信息获取用户凭证、应用凭证；

　　（3）在用户具备该应用使用权限时，统一 认证客户端将用户凭证、应用凭证交给应用；

　　（4）应用获得用户凭证后，转交给自己的 应用服务端；

　　（5）应用服务端调用其归属地统一认证服 务端凭证验证接口验证登录凭证，并得到用户 身份信息，而后结合用户身份信息进行鉴权， 完成移动应用登录；

　　（6）统一认证服务端识别非本地用户凭证时，可本地验证凭证签名，也可协同异地统一 认证验证用户凭证，结合异地返回用户信息及 本地留存的用户信息及权限进行鉴权。

　　3.2.2  身份识别证据的类别与管理

　　平台中实体对象的身份识别证据信息主要包括 3 类，分别应用于不同场景。

　　（1）身份原始信息：身份原始信息代表对 象身份的私密信息，这些信息不应在网络中传 输。身份原始信息在对象生命周期内永久代表 对象身份。

　　（2）身份凭证：身份凭证代表对象身份的 重要信息，由数字证书签名、生物特征摘要等 原始身份证明产生，并经统一认证服务验证后 追加统一认证应用签名及相关信息，可唯一代 表用户身份的信息。身份凭证在对象某个时间 阶段中代表对象身份。

　　（3）访问票据：访问票据代表对象身份在 某次访问过程的许可信息， 从身份凭证中获取， 可唯一代表某次访问过程的令牌，不包含对象 身份信息。访问票据在对象某个访问过程中代 表对象身份及其具备的权限。一般情况下不同 的访问过程应使用不同的访问票据， 在本阶段， 为了简化票据生成的开销，合并访问票据到身 份凭证中。

　　3.2.3  身份认证与验证功能

　　身份认证与验证功能的实现主要包括原始 身份证明、身份凭证和访问票据的生成及使用 4个阶段。

　　（1）原始身份证明的生成：对象原始身份 证明信息，包括身份详细信息、对象私密标识信息（PKI 公私钥对、口令、生物特征等） ，可 以由对象发起申请或由认证服务进行注册，经 认证服务及管理机构认可后生成。生成后由身 份对象妥善保管，可由认证服务备份。

　　（2）身份凭证的生成：身份凭证由客体对 象通过携带原始证明信息向统一认证服务递交 请求，经认证服务鉴别比对后产生，并由客体 对象及认证服务按照凭证的有效期要求，各自 保存。对象身份凭证过期前，须由对象发起凭 证刷新请求重新获取凭证（携带原有凭证）。

　　（3）访问票据的生成：一般情况下，访问 票据由主体对象通过携带身份凭证向服务总线 递交请求， 经认证服务验证后由服务总线产生， 并由主体对象及服务总线按照票据的访问过程 要求，各自缓存。每次会话须由对象发起票据 请求重新获取票据（携带对象凭证）。

　　在本阶段， 访问票据与身份凭证一同产生，并包含在身份凭证中。

　　（4）访问票据的使用：后续业务流程中客 体对象应携带访问票据进行资源服务的访问。

　　04

　　结  语

　　本文探讨了在现代信息技术迅猛发展的大 背景下，智慧移动警务身份认证体系的总体架 构、技术框架等内容，提出了移动警务在统一 认证模式下跨区域和跨平台认证的实现方案。“互联网 + 警务”和“智慧警务”大潮已来， 公安机关一线执法工作所涉及的业务范围将越 来越广，移动警务认证体系的各个方面必将被 不断赋予“大智慧”，取得大发展、新突破，如终端可信安全感知、完善数字证书验证等。

　　如何借助移动互联网、人工智能和大数据的力 量，做好公安科技信息基础支撑工作，是全国 警务系统工作人员乃至整个社会相关行业的科 技工作者所需要不断认真思考和解决的问题。