楊旭東

（呂梁學(xué)院 計(jì)算機(jī)系，山西 離石 033000）

一種基于語(yǔ)義網(wǎng)絡(luò)身份認(rèn)證技術(shù)的研究

楊旭東

（呂梁學(xué)院 計(jì)算機(jī)系，山西 離石 033000）

隨著當(dāng)前網(wǎng)絡(luò)迅速發(fā)展，身份認(rèn)證越來(lái)越受到關(guān)注。介紹身份認(rèn)證的概念及當(dāng)前基本方式，對(duì)當(dāng)前身份認(rèn)證技術(shù)存在的問(wèn)題深入分析，提出一種基于語(yǔ)義網(wǎng)絡(luò)的身份認(rèn)證，并進(jìn)一步探討其特點(diǎn)和優(yōu)點(diǎn)，有助于當(dāng)前身份認(rèn)證技術(shù)的研究。

身份認(rèn)證；語(yǔ)義網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來(lái)越多的人們開(kāi)始嘗試在線交易，但是由于病毒、黑客、網(wǎng)絡(luò)釣魚及網(wǎng)頁(yè)仿冒詐騙等現(xiàn)象的存在，給人們的在線交易和使用帶來(lái)了極大的風(fēng)險(xiǎn)。為了盡可能地避免安全問(wèn)題，開(kāi)發(fā)各種網(wǎng)絡(luò)系統(tǒng)都需要進(jìn)行各種身份認(rèn)證和權(quán)限檢查。

1 身份認(rèn)證概述

身份認(rèn)證對(duì)于防護(hù)網(wǎng)絡(luò)資產(chǎn)有著舉足輕重的作用，是確保網(wǎng)絡(luò)安全的第一道防線。身份認(rèn)證主要是用于驗(yàn)證通信雙方的真實(shí)身份，以防止一些非法用戶利用欺騙手段，竊取一些敏感數(shù)據(jù)。在安全的網(wǎng)絡(luò)通信中，為了驗(yàn)證用戶的身份，正在通信的各方不管通過(guò)何種形式或何種手段，都必須驗(yàn)證它們的身份，然后才能實(shí)現(xiàn)對(duì)于不同用戶的訪問(wèn)控制和記錄。

2 身份認(rèn)證基本方式

當(dāng)前流行的用戶身份認(rèn)證有多種，其中大多都是通過(guò)以下幾種基本方式或其組合方式來(lái)實(shí)現(xiàn)。

2.1 用戶名和密碼驗(yàn)證方式

在身份認(rèn)證方法中最簡(jiǎn)單也是最常用的一種主要方式就是用戶名和密碼驗(yàn)證方式，該方式的驗(yàn)證手段是“你知道什么”。在這里每個(gè)用戶設(shè)定一個(gè)只有自己知道的密碼，但是這種做法使得密碼很容易就泄漏了。因?yàn)橛?jì)算機(jī)中的木馬或其他病毒程序的存在，使得這些密碼仍然有被截獲的危險(xiǎn)，因此，用戶名和密碼驗(yàn)證方式是一種極不安全的身份認(rèn)證方式。[1]

2.2 動(dòng)態(tài)口令

動(dòng)態(tài)口令技術(shù)是一種對(duì)用戶密碼根據(jù)某種人為操作比如時(shí)間或使用次數(shù)等進(jìn)行不斷變化的方法，而且每個(gè)密碼只能被使用一次。這種技術(shù)主要采用一種專門的密碼算法——即時(shí)密碼方法，這種方法有效保證了用戶身份的安全性。因?yàn)槟壳熬W(wǎng)絡(luò)傳輸或計(jì)算機(jī)本身運(yùn)作存在某些問(wèn)題，使客戶端與服務(wù)器端在時(shí)間或次數(shù)上不能保持良好的同步，而這個(gè)原因?qū)?huì)導(dǎo)致合法用戶無(wú)法登錄。而且，如果由于密碼是一串規(guī)律的密碼，用戶每次登錄都需要通過(guò)鍵盤輸入，在這個(gè)過(guò)程中，或多或少存在輸錯(cuò)的現(xiàn)象，如果輸錯(cuò)就要重新操作，這樣也給用戶帶來(lái)了極大的不方便。

2.3 智能卡認(rèn)證

智能卡是一種不可復(fù)制的由專門廠商通過(guò)專門技術(shù)生產(chǎn)而得，它相當(dāng)于是一種內(nèi)置的集成電路組成的芯片，像計(jì)算機(jī)芯片一樣能存儲(chǔ)信息，主要存有用戶本人的一些信息，從而能證明就是用戶本人。一般情況下，當(dāng)智能卡里的信息通過(guò)讀卡器讀取后，經(jīng)過(guò)驗(yàn)證是合法用戶，就可以登錄以獲取信息。所以這種方式仍然存在一些安全隱患的。[2]

2.4 UK或U盾認(rèn)證

目前，中國(guó)建設(shè)銀行的網(wǎng)上銀行一般采用UK認(rèn)證來(lái)確認(rèn)用戶身份，中國(guó)工商銀行的網(wǎng)上銀行采用的是U盾認(rèn)證，原理都是一樣的，這種方式相對(duì)來(lái)說(shuō)是近年來(lái)比較安全方便的一種身份認(rèn)證技術(shù)。這種方式是一種“即時(shí)密碼”的強(qiáng)雙因子認(rèn)證模式，是通過(guò)硬件和軟件有機(jī)結(jié)合，從而在某種程度上給用戶帶來(lái)了安全性和簡(jiǎn)單易用性。

2.5 基于多因素的身份認(rèn)證

用戶名和密碼、動(dòng)態(tài)口令、智能卡或UK等身份認(rèn)證方式都是比較單一的、傳統(tǒng)的身份認(rèn)證。但是從安全角度出發(fā)，根據(jù)服務(wù)器的安全管理機(jī)制，我們應(yīng)該在不同的應(yīng)用服務(wù)器上應(yīng)用不同的口令。

3 當(dāng)前身份認(rèn)證技術(shù)存在的問(wèn)題

當(dāng)前網(wǎng)絡(luò)運(yùn)行是電子政務(wù)和電子商務(wù)應(yīng)用的基礎(chǔ)平臺(tái)，由于網(wǎng)絡(luò)在可靠和安全方面的缺陷，使得商業(yè)應(yīng)用軟件天生具有缺陷。對(duì)于一些信息，特別是敏感數(shù)據(jù)的可靠性和完整性如果得不到保障，后果將會(huì)很嚴(yán)重。對(duì)于可信度主要涉及兩方面：一是平臺(tái)的配置和所有權(quán)可信度，也就是敏感信息受到保護(hù)，不會(huì)受到病毒侵襲，這需要操作系統(tǒng)和一些硬件支持，使運(yùn)行過(guò)程在遵守一定規(guī)則的條件下?lián)碛凶钚〉臋?quán)限，這是計(jì)算機(jī)安全領(lǐng)域多年來(lái)一直關(guān)注的問(wèn)題；第二是平臺(tái)配置必須確保平臺(tái)之間交互是可信的，這一領(lǐng)域中的遠(yuǎn)程認(rèn)證到目前為止是一個(gè)較新的概念。但在當(dāng)前形勢(shì)下遠(yuǎn)程認(rèn)證仍存在以下幾個(gè)嚴(yán)重的漏洞。

3.1 一次性驗(yàn)證方式。對(duì)于共享密鑰和公鑰，因?yàn)橹淮嬖谝淮涡缘撵o態(tài)驗(yàn)證，之后再無(wú)驗(yàn)證，本身就對(duì)于這個(gè)身份安全信任，但其實(shí)仍然存在危驗(yàn)性。

3.2 靜態(tài)數(shù)據(jù)?，F(xiàn)有的身份認(rèn)證技術(shù)總是依賴于一個(gè)靜態(tài)數(shù)據(jù)，或者是口令或者是密鑰，或者是一個(gè)哈希碼，都缺乏表現(xiàn)實(shí)體的即時(shí)信息的能力，一般沒(méi)有辦法傳遞實(shí)體的動(dòng)態(tài)信息，而這些動(dòng)態(tài)信息也許才是更需要驗(yàn)證的。

3.3 不基于行為。因?yàn)楝F(xiàn)有的身份認(rèn)證技術(shù)都是基于靜態(tài)的，經(jīng)過(guò)一次驗(yàn)證后，不再對(duì)其他任何的行為負(fù)責(zé)，這本身就存在安全隱患。

3.4 與異構(gòu)的計(jì)算環(huán)境沖突。封閉式的系統(tǒng)（比如ATMs系統(tǒng)）是較安全的系統(tǒng)，但是一般又與網(wǎng)絡(luò)大規(guī)模普及的現(xiàn)狀相矛盾。面對(duì)開(kāi)放式系統(tǒng)迅速發(fā)展的現(xiàn)狀，異構(gòu)便理所當(dāng)然得成為計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的一大主要特征，而現(xiàn)有的身份認(rèn)證技術(shù)大多都是針對(duì)單系統(tǒng)或少數(shù)幾種系統(tǒng)開(kāi)發(fā)的。同時(shí)只能進(jìn)行簡(jiǎn)單通訊的異構(gòu)系統(tǒng)已無(wú)法滿足要求，所以開(kāi)發(fā)跨平臺(tái)，使身份認(rèn)證適合更高的要求，適應(yīng)各種各樣的異構(gòu)系統(tǒng)，成為目前身份認(rèn)證開(kāi)發(fā)的重大挑戰(zhàn)。[3]

4 基于語(yǔ)義網(wǎng)絡(luò)的身份認(rèn)證

語(yǔ)義網(wǎng)絡(luò)身份認(rèn)證是一種基于語(yǔ)言安全和虛擬機(jī)的新思路,基于語(yǔ)言的安全被定義為“基于設(shè)計(jì)語(yǔ)言的理論與執(zhí)行的一整套技術(shù)，包括語(yǔ)義、類型、優(yōu)化和查證，這套技術(shù)用來(lái)負(fù)擔(dān)安全問(wèn)題，并通過(guò)平衡程序分析和程序重寫來(lái)強(qiáng)迫執(zhí)行安全策略”。對(duì)當(dāng)前情況而言，最有希望的方法包括：proof-carrying code，typed assembly language（TAL），inlined execution monitors,and information flow type systems。語(yǔ)義網(wǎng)絡(luò)身份認(rèn)證是靈活的、動(dòng)態(tài)、基于行為的，并且還是可以獨(dú)立于平臺(tái)的一種關(guān)于遠(yuǎn)程認(rèn)證的方法。不同異構(gòu)的系統(tǒng)突顯出“通用平臺(tái)”的意義并且促進(jìn)了其發(fā)展（如.net虛擬機(jī)）。如果要對(duì)設(shè)計(jì)語(yǔ)義身份認(rèn)證進(jìn)行執(zhí)行，并且執(zhí)行在獨(dú)立于系統(tǒng)的虛擬機(jī)中的話，則之前實(shí)現(xiàn)不了的好多功能可以實(shí)現(xiàn)，原因就是高層次的認(rèn)證是沒(méi)辦法用底層的代碼來(lái)實(shí)現(xiàn)，我們所說(shuō)的代碼層次是很低的。為了使身份認(rèn)證能夠更加靈活的執(zhí)行，使高層次的行為特征能夠驗(yàn)證實(shí)體，我們必須要建立一個(gè)平臺(tái)，這個(gè)平臺(tái)必須是獨(dú)立于操作系統(tǒng)的，為了達(dá)到這種效果，最好的選擇無(wú)疑就是虛擬機(jī)（如java、和.net虛擬機(jī)）。為了使認(rèn)證程序的行為不單單是一些特殊的二進(jìn)制數(shù)據(jù)，必須使得身份認(rèn)證能夠更具有表現(xiàn)力。

傳統(tǒng)的認(rèn)證認(rèn)為語(yǔ)義認(rèn)證是推理代碼的行為，而并不是去推理特定的可執(zhí)行的二進(jìn)制字節(jié)，這一結(jié)論有很大的致命缺點(diǎn)，而語(yǔ)義網(wǎng)絡(luò)身份認(rèn)證相對(duì)于傳統(tǒng)認(rèn)證，它不是一次性的，是動(dòng)態(tài)的。另外語(yǔ)義網(wǎng)絡(luò)身份認(rèn)證還是靈活的，因?yàn)樗膶?shí)現(xiàn)基礎(chǔ)是可信虛擬機(jī)，可以執(zhí)行任意的代碼分析和關(guān)于認(rèn)證的結(jié)果。

5 結(jié)束語(yǔ)

總之，低技術(shù)含量的舊系統(tǒng)將慢慢消失，基于Smartcard的身份鑒定系統(tǒng)正在迅速發(fā)展，全球多個(gè)國(guó)家及地區(qū)的身份認(rèn)證技術(shù)都在迅速發(fā)展，所以對(duì)于身份認(rèn)證技術(shù)的研究具有必要性和現(xiàn)實(shí)性。

［1］史艷芬，葛燧和.一種P2P網(wǎng)絡(luò)安全信任模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用，2005，（3）：36.

［2］林滿山，郭荷清，尹劍飛，高學(xué)勤.基于信任度的網(wǎng)絡(luò)應(yīng)用對(duì)等單點(diǎn)登錄［J］.華南理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2004，（10）：87.

［3］鄭東曦，唐韶華，黎紹發(fā).Web服務(wù)統(tǒng)一身份認(rèn)證協(xié)議［J］.華南理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2005，（2）：90.

Research on a Kind of Identity Certification M ethod Based on Semantic Network

YANG Xu-dong
（Departmentof Computer Science Lvliang College，Lishi Shanxi 033000）

Along with the current network rapid development，identity authentication has been paid more and more attention.The concept and the basic identity authentication have been introduced in this paper.The problems of authentication technology has been analysed in-depth.Then a kind of identity certification method based on semantic network has been proposed，and further discussed its characteristics and advantages.This will contribute to the current identity authentication technology research.

identity authentication；semantic network；network security

TP393

A

1673-2014（2011）05-0052-03

2011—04—22

楊旭東（1979— ），男，山西柳林人，講師，主要從事計(jì)算機(jī)應(yīng)用技術(shù)研究。

（責(zé)任編輯 郝瑞宇）