杨旭东
(吕梁学院 计算机系,山西 离石 033000)
一种基于语义网络身份认证技术的研究
杨旭东
(吕梁学院 计算机系,山西 离石 033000)
随着当前网络迅速发展,身份认证越来越受到关注。介绍身份认证的概念及当前基本方式,对当前身份认证技术存在的问题深入分析,提出一种基于语义网络的身份认证,并进一步探讨其特点和优点,有助于当前身份认证技术的研究。
身份认证;语义网络;网络安全
随着互联网的不断发展,越来越多的人们开始尝试在线交易,但是由于病毒、黑客、网络钓鱼及网页仿冒诈骗等现象的存在,给人们的在线交易和使用带来了极大的风险。为了尽可能地避免安全问题,开发各种网络系统都需要进行各种身份认证和权限检查。
身份认证对于防护网络资产有着举足轻重的作用,是确保网络安全的第一道防线。身份认证主要是用于验证通信双方的真实身份,以防止一些非法用户利用欺骗手段,窃取一些敏感数据。在安全的网络通信中,为了验证用户的身份,正在通信的各方不管通过何种形式或何种手段,都必须验证它们的身份,然后才能实现对于不同用户的访问控制和记录。
当前流行的用户身份认证有多种,其中大多都是通过以下几种基本方式或其组合方式来实现。
2.1 用户名和密码验证方式
在身份认证方法中最简单也是最常用的一种主要方式就是用户名和密码验证方式,该方式的验证手段是“你知道什么”。在这里每个用户设定一个只有自己知道的密码,但是这种做法使得密码很容易就泄漏了。因为计算机中的木马或其他病毒程序的存在,使得这些密码仍然有被截获的危险,因此,用户名和密码验证方式是一种极不安全的身份认证方式。[1]
2.2 动态口令
动态口令技术是一种对用户密码根据某种人为操作比如时间或使用次数等进行不断变化的方法,而且每个密码只能被使用一次。这种技术主要采用一种专门的密码算法——即时密码方法,这种方法有效保证了用户身份的安全性。因为目前网络传输或计算机本身运作存在某些问题,使客户端与服务器端在时间或次数上不能保持良好的同步,而这个原因将会导致合法用户无法登录。而且,如果由于密码是一串规律的密码,用户每次登录都需要通过键盘输入,在这个过程中,或多或少存在输错的现象,如果输错就要重新操作,这样也给用户带来了极大的不方便。
2.3 智能卡认证
智能卡是一种不可复制的由专门厂商通过专门技术生产而得,它相当于是一种内置的集成电路组成的芯片,像计算机芯片一样能存储信息,主要存有用户本人的一些信息,从而能证明就是用户本人。一般情况下,当智能卡里的信息通过读卡器读取后,经过验证是合法用户,就可以登录以获取信息。所以这种方式仍然存在一些安全隐患的。[2]
2.4 UK或U盾认证
目前,中国建设银行的网上银行一般采用UK认证来确认用户身份,中国工商银行的网上银行采用的是U盾认证,原理都是一样的,这种方式相对来说是近年来比较安全方便的一种身份认证技术。这种方式是一种“即时密码”的强双因子认证模式,是通过硬件和软件有机结合,从而在某种程度上给用户带来了安全性和简单易用性。
2.5 基于多因素的身份认证
用户名和密码、动态口令、智能卡或UK等身份认证方式都是比较单一的、传统的身份认证。但是从安全角度出发,根据服务器的安全管理机制,我们应该在不同的应用服务器上应用不同的口令。
当前网络运行是电子政务和电子商务应用的基础平台,由于网络在可靠和安全方面的缺陷,使得商业应用软件天生具有缺陷。对于一些信息,特别是敏感数据的可靠性和完整性如果得不到保障,后果将会很严重。对于可信度主要涉及两方面:一是平台的配置和所有权可信度,也就是敏感信息受到保护,不会受到病毒侵袭,这需要操作系统和一些硬件支持,使运行过程在遵守一定规则的条件下拥有最小的权限,这是计算机安全领域多年来一直关注的问题;第二是平台配置必须确保平台之间交互是可信的,这一领域中的远程认证到目前为止是一个较新的概念。但在当前形势下远程认证仍存在以下几个严重的漏洞。
3.1 一次性验证方式。对于共享密钥和公钥,因为只存在一次性的静态验证,之后再无验证,本身就对于这个身份安全信任,但其实仍然存在危验性。
3.2 静态数据。现有的身份认证技术总是依赖于一个静态数据,或者是口令或者是密钥,或者是一个哈希码,都缺乏表现实体的即时信息的能力,一般没有办法传递实体的动态信息,而这些动态信息也许才是更需要验证的。
3.3 不基于行为。因为现有的身份认证技术都是基于静态的,经过一次验证后,不再对其他任何的行为负责,这本身就存在安全隐患。
3.4 与异构的计算环境冲突。封闭式的系统(比如ATMs系统)是较安全的系统,但是一般又与网络大规模普及的现状相矛盾。面对开放式系统迅速发展的现状,异构便理所当然得成为计算机网络环境的一大主要特征,而现有的身份认证技术大多都是针对单系统或少数几种系统开发的。同时只能进行简单通讯的异构系统已无法满足要求,所以开发跨平台,使身份认证适合更高的要求,适应各种各样的异构系统,成为目前身份认证开发的重大挑战。[3]
语义网络身份认证是一种基于语言安全和虚拟机的新思路,基于语言的安全被定义为“基于设计语言的理论与执行的一整套技术,包括语义、类型、优化和查证,这套技术用来负担安全问题,并通过平衡程序分析和程序重写来强迫执行安全策略”。对当前情况而言,最有希望的方法包括:proof-carrying code,typed assembly language(TAL),inlined execution monitors,and information flow type systems。语义网络身份认证是灵活的、动态、基于行为的,并且还是可以独立于平台的一种关于远程认证的方法。不同异构的系统突显出“通用平台”的意义并且促进了其发展(如.net虚拟机)。如果要对设计语义身份认证进行执行,并且执行在独立于系统的虚拟机中的话,则之前实现不了的好多功能可以实现,原因就是高层次的认证是没办法用底层的代码来实现,我们所说的代码层次是很低的。为了使身份认证能够更加灵活的执行,使高层次的行为特征能够验证实体,我们必须要建立一个平台,这个平台必须是独立于操作系统的,为了达到这种效果,最好的选择无疑就是虚拟机(如java、和.net虚拟机)。为了使认证程序的行为不单单是一些特殊的二进制数据,必须使得身份认证能够更具有表现力。
传统的认证认为语义认证是推理代码的行为,而并不是去推理特定的可执行的二进制字节,这一结论有很大的致命缺点,而语义网络身份认证相对于传统认证,它不是一次性的,是动态的。另外语义网络身份认证还是灵活的,因为它的实现基础是可信虚拟机,可以执行任意的代码分析和关于认证的结果。
总之,低技术含量的旧系统将慢慢消失,基于Smartcard的身份鉴定系统正在迅速发展,全球多个国家及地区的身份认证技术都在迅速发展,所以对于身份认证技术的研究具有必要性和现实性。
[1]史艳芬,葛燧和.一种P2P网络安全信任模型的设计与实现[J].计算机应用,2005,(3):36.
[2]林满山,郭荷清,尹剑飞,高学勤.基于信任度的网络应用对等单点登录[J].华南理工大学学报(自然科学版),2004,(10):87.
[3]郑东曦,唐韶华,黎绍发.Web服务统一身份认证协议[J].华南理工大学学报(自然科学版),2005,(2):90.
Research on a Kind of Identity Certification M ethod Based on Semantic Network
YANG Xu-dong
(Departmentof Computer Science Lvliang College,Lishi Shanxi 033000)
Along with the current network rapid development,identity authentication has been paid more and more attention.The concept and the basic identity authentication have been introduced in this paper.The problems of authentication technology has been analysed in-depth.Then a kind of identity certification method based on semantic network has been proposed,and further discussed its characteristics and advantages.This will contribute to the current identity authentication technology research.
identity authentication;semantic network;network security
TP393
A
1673-2014(2011)05-0052-03
2011—04—22
杨旭东(1979— ),男,山西柳林人,讲师,主要从事计算机应用技术研究。
(责任编辑 郝瑞宇)