2.4.3 统一身份认证

1.统一身份认证需求分析

网络世界经过了互联网、移动互联网、产业互联网三个阶段，但密码输入方式一直没有改变。移动互联网向产业互联网转型的今天，密码输入面临着极大的安全挑战。万物互联时代，产业互联网渗透到生活诸多方面，智慧城市发展已初具规模。门锁、公共交通、医院就诊等不同的场合，需要不同的身份认证实体，即针对每一个设施都要带一把“钥匙”。随着产业互联网的深入实施，未来人们每天可能要随身携带好几百把“钥匙”。之所以产生这种情形，是因为不同设施的身份认证协议并没有一个统一的全国标准。未来如果可以通过技术实现不同产业互联网设施之间的统一身份认证，通过一把“钥匙”实现所有智能设备的身份认证，那将大大便利人们的生产生活。

2.统一身份认证应用场景

在被智能设备包围的未来世界，统一身份认证方案可满足用户在不同的生活场景下的鉴权需求，应用范围辐射制造、教育、交通、医疗、社区、公共服务等业务场景。

在日常生活动中，进入不同的大楼需要不同的身份识别设备，这给人们的生活和社区的管理都带来了一定的不便。结合生物识别、联网设备，利用统一身份认证方案可以解决身份交叉互信问题，协助物业更便捷高效准确地管理进入人员。

在交通领域，不同的小区、停车场采用不同的车辆身份信息（卡、车牌、公共ETC标签等）对车辆进行识别，这给管理和使用带来了很大的困难。基于统一身份认证方案，可以在全国范围内采用统一的汽车电子标识（如RFID），科学高效地管理车辆。

3.典型案例：腾讯公司腾讯用户安全基础设施（TUSI）解决方案

身份认证是产业互联网应用中必不可少的一个环节。通常的处理方式是，每个应用单独管理自己发行的身份证书、单独做身份认证。由于身份及其身份认证的方式不能互通，这种方式对数据的开放共享造成了一定的障碍。

互联网统一身份认证的基本思想是，在统一的技术框架下，各应用主体可以使用不同的CA中心发行标识及其证书，并用区块链来对已发行的标识及其证书进行验证。该方案兼顾了灵活性和可信性，为数据共享提供了统一身份认证使能。腾讯公司的腾讯用户安全基础设施（Tencent User Security Infrastructure, TUSI）是互联网统一身份认证的例子。腾讯TUSI方案的统一身份认证框架如图2-47所示。

· 物联节点、装置等装有TUSI下发的可信TUSI-ID，可以对设备的身份进行追溯及鉴权，通过现有物联网入口，将多维度的数据收集到TUSI前置。

· 通过TUSI身份区块链系统，把数据加密后上链，各个行业及相关管理部门有TUSI前置节点用于解密及数据上传、同步。

·通过TUSI-大数据汇聚平台，实现多维度多方面信息的筛选、汇聚、分类、清洗、建模等，输出可以供第三方使用的接口与能力。

· 相关的管理部门可以实时调取相应的物及装置的身份数据及敏感数据，如设备状态、信息、历史记录、操作权限、生命周期等。

TUSI可信身份区块链，借助区块链的特性，实现隐私保护、信任传递、身份索引、交叉认证等安全特性。

统一身份认证涉及4类利益相关者，如图2-48所示。

· CA中心，发行标识及其证书密钥等。

· 工业互联厂商，通过区块链身份验证平台，对接入的工业互联网设备进行认证。

·区块链身份验证平台，加密存储了CA中心发行的标识、证书等信息，为工业互联网厂商提供身份验证等服务。

· 工业互联设备，作为标识的载体，加载了CA中心认证的安全模块。

由于需要具备联网能力和计算能力，互联网统一身份认证的标识载体采用UICC或模组或MCU芯片。

TUSI身份区块链完成了从物联网设备到云端的安全闭环，其优势包括，TUSI身份区块链是联盟区块链，相比公链更高效、更可控；TUSI身份区块链通过TUSI协议形成设备端到云端的安全闭环；TUSI身份区块链部署灵活，可封装在硬件载体亦可作为云端服务；TUSI身份区块链高度重视用户隐私，只留存脱敏的身份索引；TUSI身份区块链为同一用户不同场景提供交叉认证服务。