互联网资源日益丰富，而这些资源分属于不同的机构。为了在机构之间实现资源共享，建立跨机构的信息安全基础设施就成为越来越重要的问题。

　　目前，建立跨机构的信息安全基础设施的工作主要集中于实现跨机构的认证和授权。本文将对跨机构的认证和授权相关的工作进行概述，在此基础上，提出对跨机构的资源共享进行记账的问题。并论证了对跨机构的资源共享进行记账的必要性，以及对如何进行记账进行了讨论。

　　记账的重要性
　　为了保证计算机网络安全可靠地运行，开放系统必须拥有适当的安全保障。因此，国际标准化组织(OSI)在其制定的互联系统基本参考模型OSI/RM的基础上，进一步制定了该参考模型的第二部分，即安全体系结构，为开放系统之间的安全通信提供概念性和功能性的框架。OSI安全体系结构中规定，参与通信的开放系统必须提供5种安全服务，以保证系统间数据传输的安全性。这五种安全服务是认证、访问控制、数据机密性、数据完整性、不可否认。

　　实现跨机构资源共享与实现机构内资源共享的最大区别，就在于提供资源的机构需要依赖于其他机构对用户进行认证，同时根据其他机构提供的用户的身份信息来进行访问控制。这种情况对信息安全基础设施提供的各项安全服务均提出了更高的要求，其中，对于不可否认安全服务的要求尤其突出。信息安全基础设施必须保证，资源提供机构无法否认该用户曾访问过它的某些资源，更为重要的是，用户所在机构无法否认曾经对该用户进行认证，无法否认曾经提供过该用户的特定身份信息。

　　而为了保证系统间通信的不可否认性，信息安全基础设施不仅要解决认证和授权的问题，还要解决记账（Accounting）的问题。也就是说，信息安全基础设施要能够跟踪记录用户对资源的使用情况。这些资源使用信息可以用于系统管理、系统规划、计费以及其他目的。

　　因此，在实现跨机构的资源共享时，只有对于不同机构之间的通信进行详细的记账，才能保证资源共享的安全性。随着跨机构资源共享的进一步发展，共享资源的种类逐步增多，越来越多的商业机构加入进来，这些机构要求对资源的使用实施不同的计费策略，进行机构间结算，这时对资源共享进行记账的重要性会愈发突出。

　　基础设施架构
　　为了实现跨机构的认证、授权，并对跨机构的资源共享进行记账，需要在现有的跨机构通信机制中引入执行记账功能的模块。
　　从概念上来讲，跨机构资源共享时的通信包括两部分，一是机构之间的信息交换，即身份提供者向服务提供者提供的用户的身份信息，二是机构与用户之间的信息交换，即身份提供者和服务提供者向用户发出重定向指令，身份提供者对用户进行认证，服务提供者向用户提供服务。

　　为了对这两类信息进行记账，可以在每个机构内增加相应的记账模块，以完成相应的记账功能。参见图1。

　　加入记账模块后，进行机构间资源共享的典型场景如下：
　　第一，用户向服务提供者请求资源，该请求被记账模块3记录下来。
　　第二，服务提供者将用户重定向到用户所在机构的身份提供者，记账模块3记录服务提供者发出的重定向指令，身份提供者的记账模块1记录用户发出的请求。
　　第三，身份提供者对用户进行认证，记账模块1记录身份提供者与用户之间的交互。
　　第四，用户通过认证后，身份提供者向服务提供者提供用户的身份信息，身份提供者的记账模块2记录发出的身份信息，服务提供者的记账模块4记录收到的身份信息。同时，身份提供者把用户重定向到服务提供者，身份提供者的记账模块1记录发出的重定向指令，服务提供者的记账模块3记录收到的用户请求。
　　第五，服务提供者根据用户的身份信息，进行访问控制，如果用户可以访问相应的资源，则向用户提供相应资源，记账模块3记录服务提供者所提供的服务。

　　随后，用户向服务提供者所发出的所有资源请求，以及服务提供者所提供的所有服务，都要被记账模块3记录。

　　不同标准的融合
　　在IP网络记账方面，由IPDR组织提出的因特网数据记录标准（IPDR标准）已得到较为广泛的认可和支持。

　　IPDR标准提出了IPDR网络数据管理高层应用模型(IPDR NDM -U High-level Model)。

　　网络服务单元层包括所有网络节点和服务节点，如路由器和各种应用服务器。业务支撑系统层包含所有服务提供商或网络运营商的系统，如计费系统、网络管理系统等。中介层位于网络服务单元层和业务支撑系统层之间，从网络服务单元取得网络使用信息，并以统一的格式向业务支撑系统提供这些信息。

　　这些网络使用信息被封装在IPDR文档中。IPDR标准中包含一系列服务规范，针对不同的网络服务定义了相应的IPDR文档的格式。这些服务包括VoIP、视频点播、电子邮件、流媒体、应用服务提供等等。

　　IPDR参考模型没有强制规定服务单元和中介层系统之间信息传递的格式。如果服务单元，例如一些应用服务器，能够生成符合IPDR标准的网络使用信息，那么这些信息就无需经过中介层系统的转换而直接提供给业务支撑系统。

　　IPDR标准已在IP网络记账领域得到广泛认可，记账功能的标准化工作应当尽可能借鉴吸收现有IPDR标准中的相关内容，并在必要的情况下对现有IPDR标准进行扩充，以保证未来的跨机构信息安全基础设施标准与IPDR标准的兼容性。

　　引入记账功能后的跨机构信息安全基础设施架构中，记账功能将由不同的记账模块来执行，这些模块负责收集和处理网络使用信息。而在IPDR标准中，只有符合IPDR文档格式的网络使用信息才能提交给业务支撑系统。因此，为简化系统设计，在可能的情况下，各个记账模块应尽可能地以IPDR文档的格式输出记账信息。

　　对照现有的IPDR标准，可以记账功能分为两类：
　　第一，记账模块3对服务提供者提供的服务进行记账。由于IPDR标准针对不同的网络服务制定不同的服务规范，记账模块可以根据相应的服务规范的要求来产生记账信息。
　　第二，由用户所在机构的记账模块1、记账模块2，以及资源所属机构的记账模块3和记账模块4对用户进行跨机构的认证和授权所涉及的信息进行记账。为对用户进行跨机构认证和授权，身份提供者和服务提供者之间、身份提供者与用户之间、服务提供者与用户之间将进行通信，这些通信遵守跨机构认证和授权的相关标准，如自由联盟的系列标准和WS-*系列标准。因此，可以在IPDR标准中增加针对跨机构认证和授权的标准服务规范，记账模块根据制定的服务规范进行记账。

　　总之，鉴于IPDR标准作为IP网络记账的标准，已经获得了广泛的认可。将现有的跨机构认证和授权的标准与IPDR标准的相融合，形成未来的跨机构信息安全基础设施的标准，将是大势所趋。