基于移动应用身份管理服务的研究

汪亚娟

（国家电网有限公司客户服务中心信息运维中心 江苏省南京市 211161）

信息化的不断发展，人们需要在越来越多的网站中注册身份认证，导致身份管理服务的需求量不断增加，海量的身份信息对移动应用的服务水平提出了更高的要求，也随之增加了身份管理服务成本。身份信息主要是由网络用户、可信机构、验证者等各类用户产生的信息构成。身份管理服务是在异构网络服务环境中主流的信息安全技术，能够通过授权身份的方式，保护用户身份信息不被泄露[1]。身份管理的主要目的在于与相应的服务绑定，形成完整的周期性管理服务。基于移动应用本身具备的不可信性，通过身份管理服务能够强化移动应用的口令认证，进而提高移动应用的安全性。在移动应用身份管理服务研究中，如何降低移动应用身份管理服务成本一直是近些年相关部门的热门关注问题。针对降低移动应用身份管理服务成本最直接有效的方式为提高移动应用身份管理服务效率，在限定的时间内提供用户更多的身份管理服务，从而降低身份管理服务成本。本文以此为研究基础，提出基于移动应用身份管理服务的研究，致力于通过提高身份管理服务的效率，在确保身份信息安全性的同时，提高身份管理服务水平。

1 基于移动应用身份管理服务

1.1 身份信息安全存储模式设计

在移动应用中，TCM 能够通过自身的密钥加密身份信息，并提供安全存储功能，为移动应用身份管理服务提供可信任的网络环境。本文采用TCM 可信机构进行身份信息备份，并上传至云端，实现对身份信息的安全存储[2]。通过用户、可信机构、数据拥有者、验证者以及云服务簇的相互关联，设计身份信息安全存储模式，如图1所示。

在图1中，A指的是文件初始化；B指的是数据信息存储初始化；C 指的是校验；D 指的是反馈；E 指的是信息访问请求；F 指的是验证注册。在存储身份信息时，首先需要建立移动应用身份管理表，保护身份信息的安全性。

通过移动应用身份管理表分块处理身份信息，在本文设计的身份信息安全存储模式中，整体采用authentication 身份认证方式，并以authorization 为身份标志符认证不同的身份信息[3]。在此基础上，通过TCM 为身份标志符加密，必须在验证通过后校验云服务簇。针对SRK 生成的密钥，完成身份信息安全存储，为后续的基于移动应用的匿名访问身份管理提供基础数据。

1.2 基于移动应用的匿名访问身份管理

在完成身份信息安全存储模式设计的基础上，本文运用身份信息安全存储模式建立身份管理模型，实现基于移动应用的匿名访问身份管理[4]。匿名访问身份管理模型，如图2所示。

图1：身份信息安全存储模式设计图

图2：匿名访问身份管理模型

结合图2所示，本文采用属性模糊分组方案，分配模糊标识，并使用属性模糊分组的匿名访问控制策略对具有模糊标识的主客体执行访问控制，以提高攻击方对实体确切身份属性信息的查找难度，保障身份信息的隐私安全。假设匿名访问身份管理的主体集合为K，操作集合为F、访问控制的客体集合为N，则其对应的属性集合分别为Kattr、Fattr、Nattr。本文以属性集合Kattr为例，Kattr的集合表示为：Kattr={（ka1，ka2，ka3，…，kai）}其中kai属于Dom（KAi），i=1,2,3，…，n，Dom（KAi）。其中，A 表示为主体某一属性对应的值域。该值域用于在身份信息匿名访问解读中，验证身份信息请求，在保护身份信息的同时，隐藏身份的各类属性信息。为进一步实现基于移动应用的匿名访问身份管理，本文结合RBAC、PBAC等访问控制策略分别控制身份注册、身份信息创建以及身份信息访问三个阶段。利用TMP 中的属性分组规则，对各个不同属性划分编组，针对不同组别的数据，必须保证其属性值均匀，通过非线性计算，平均分配给每组数据一个专属的属性编组号码。以此作为匿名访问身份管理的密钥，确保基于移动应用的匿名访问身份管理中的访问安全。

1.3 身份认证协议选择

表1：实验数据管理服务吞吐量对比表

完成基于移动应用的匿名访问身份管理后，为提供用户更高效的身份管理服务，需要选择身份认证协议，创建自定义的访问权限。因此，在基于移动应用提供身份管理服务时，必须规范数据创建、数据访问阶段，通过用户、可信机构、数据拥有者、验证者以及云服务簇的相互关联，实现身份认证信息交互。用户需要在身份认证协议选择过程中，自定义该信息访问权限，保证身份认证信息安全。针对身份信息访问阶段，可以通过创建请求，实时响应基于移动应用身份管理服务信号。

为方便本文身份认证协议选择的描述，在将协议引入到云计算环境中时，定义身份认证协议选择符号。本文通过建立身份认证协议选择符号定义对应表，以符号的方式定义身份认证信息。身份认证协议选择符号定义对应表具体内容。

身份认证协议选择的运行过程可分为以下几个步骤：首先，启动客户终端，访问服务提供者；而后，建立SSL 会话，选择认证模式，解密密钥；在此基础上，以挑战者身份发出配置请求，报告身份管理的完整性，输入主密钥，将身份管理信息发往下一节点；最后，通过SSL 解密后，并判断该用户是否具备读用或写用的条件，若通过判断则向第三方直接发送经过加密后得到的密文，若不通过则停止该用户进行对身份管理文件访问的操作，从而保护身份信息的安全性。在判断通过后签名，显示认证成功，提供移动应用身份管理服务。至此，完成身份认证协议选择符号定义对应表。

2 实验

2.1 实验准备阶段

本文通过实验的形式测试移动应用身份管理服务的实用性，此次实验内容为选择iPhone11 作为此次实验的移动应用，提供移动应用身份管理服务。硬件设施包括：型号为TYR3583589 的上位机。此次实验环境设置的具体内容及参数。

本次实验测试指标为管理服务吞吐量，管理服务吞吐量能够表示单位时间内成功地传送身份管理数据的数量，管理服务吞吐量越高证明该管理服务方法的管理服务效率越高。首先，采用本文提出的管理服务方法提供移动应用身份管理服务，通过Weapectl1.2.1 软件获取通过管理服务请求的吞吐量，设置其为实验组；再使用传统的管理服务方法提供移动应用身份管理服务，将得到管理服务请求的吞吐量记为对照组，设置实验次数为10 次，记录实验数据。

2.2 实验结果、结论

根据上述提出的实验步骤，将实验结果以表格的形式进行展示。得出实验数据对比表，如表1所示。

通过表1 可知，本文设计的管理服务方法管理服务吞吐量最高为5.478 Mbps，而对照组仅为2.439 Mbps，设计的管理服务方法管理吞吐量明显高于对照组近两倍以上，管理服务效率更高，可以实现对移动应用身份管理服务的优化。因此，设计的管理服务方法更具应用价值，值得大力推广。

3 结束语

通过基于移动应用身份管理服务的研究，能够取得一定的研究成果，解决传统移动应用身份管理服务中存在的问题。由此可见，本文设计的管理服务方法是具有现实意义的，能够指导移动应用身份管理服务优化。在后期的发展中，应加大本文设计方法在移动应用身份管理服务中的应用力度。截至目前，国内外针对移动应用身份管理服务研究仍存在一些问题，在日后的研究中还需要进一步对移动应用身份管理服务的优化设计提出深入研究，为提高移动应用身份管理服务的综合性能提供专业建议。