申 石 岑榮偉 沈宇超 國(guó) 強(qiáng)

(國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

?

基于行為主動(dòng)權(quán)限識(shí)別的安全身份認(rèn)證技術(shù)

申 石 岑榮偉 沈宇超 國(guó) 強(qiáng)

(國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(shsh@cei.gov.cn)

針對(duì)云計(jì)算環(huán)境下的身份認(rèn)證方法進(jìn)行研究，分析了主流認(rèn)證方式存在的不足.結(jié)合行為與主動(dòng)權(quán)限識(shí)別技術(shù)，提出更為準(zhǔn)確、安全身份認(rèn)證方案.該方案可以實(shí)現(xiàn)基于行為的主動(dòng)權(quán)限識(shí)別，自適應(yīng)選擇是否采用高強(qiáng)度安全認(rèn)證，有效地防止黑客入侵，降低認(rèn)證環(huán)節(jié)的安全威脅.

云計(jì)算；身份認(rèn)證；大數(shù)據(jù)；權(quán)限識(shí)別；訪問(wèn)控制

時(shí)下云計(jì)算、大數(shù)據(jù)、能力開(kāi)放、掌上辦公等新技術(shù)、新業(yè)務(wù)、新模式的出現(xiàn)， 大量業(yè)務(wù)系統(tǒng)已經(jīng)或者即將遷入到云環(huán)境中，隨著云平臺(tái)的廣泛建設(shè)，云環(huán)境中如何進(jìn)行安全認(rèn)證已經(jīng)成為眾所關(guān)注之處.傳統(tǒng)IDM類產(chǎn)品采用賬號(hào)、密碼且單向認(rèn)證的身份認(rèn)證方式，身份鑒別方式單一.在云環(huán)境中的身份認(rèn)證需要更為智能，因?yàn)樵骗h(huán)境中包含了大量企業(yè)信息，一旦認(rèn)證環(huán)節(jié)出現(xiàn)問(wèn)題將會(huì)導(dǎo)致云中各個(gè)租戶的信息大量泄漏.

1 主要身份認(rèn)證技術(shù)

身份認(rèn)證主要是對(duì)實(shí)體進(jìn)行某種形式的鑒別，對(duì)實(shí)體進(jìn)行鑒別一般基于以下幾種形式:基于所知，如密鑰、口令等;基于所有，如智能卡、U盾等;基于某種特征，如人的語(yǔ)音、指紋等.

1.1 基于口令的認(rèn)證

以口令作為驗(yàn)證依據(jù)的認(rèn)證技術(shù)是最簡(jiǎn)單而又容易實(shí)現(xiàn)的，此種認(rèn)證方法的應(yīng)用也較為廣泛.口令認(rèn)證最大的特點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單、價(jià)格低廉、便于記憶且無(wú)須附加任何設(shè)備. 但與此同時(shí)，口令認(rèn)證的安全性也存在較大風(fēng)險(xiǎn)，因?yàn)闉槿藗儽阌谟洃浂鄠€(gè)口令會(huì)出現(xiàn)如口令簡(jiǎn)單、重復(fù)等問(wèn)題.攻擊者可通過(guò)口令猜測(cè)或窮舉攻擊等方法對(duì)口令進(jìn)行破解入侵系統(tǒng)[1].

1.2 基于智能卡的認(rèn)證

通過(guò)鑒別集成電路IC卡也是一種被采用較多的認(rèn)證方式，IC智能卡具有較高的安全性，其硬件具有加密功能.IC智能卡中存有持卡人的個(gè)人信息，相同的個(gè)人信息也存于驗(yàn)證服務(wù)器.認(rèn)證過(guò)程中，持卡人輸入正確PIN碼，驗(yàn)證成功后即可讀出卡中的秘密個(gè)人信息，之后該信息將與驗(yàn)證服務(wù)器之間進(jìn)行認(rèn)證.但是這種方法要求有讀卡設(shè)備才能完成整個(gè)驗(yàn)證，增加了硬件的成本[2].

1.3 基于實(shí)體特征的認(rèn)證

特征鑒別具有普遍性、唯一性、穩(wěn)定性和可比性等特點(diǎn)，通過(guò)采集人的終生可靠的、獨(dú)一無(wú)二的生物特征作為鑒別依據(jù).此種技術(shù)方法通過(guò)傳感器采集用戶的生物信息，提取相應(yīng)特征，并將此與數(shù)據(jù)庫(kù)中的特征進(jìn)行對(duì)比來(lái)實(shí)現(xiàn)身份的認(rèn)證.目前可識(shí)別的生物特征包括掌紋、面部、視網(wǎng)膜、虹膜、聲紋、指紋等.雖然生物特征具有唯一性，但是，留在傳感器上的指紋和掌紋存在被盜取復(fù)制的可能；面部識(shí)別會(huì)受到表情、化妝、姿態(tài)等的影響；語(yǔ)音識(shí)別會(huì)受到環(huán)境、情緒、狀態(tài)等因素的影響.再加上識(shí)別設(shè)備成本高昂的問(wèn)題，此種認(rèn)證技術(shù)的應(yīng)用只處于小范圍推廣階段[3].

公鑰基礎(chǔ)設(shè)施PKI一般由認(rèn)證權(quán)威機(jī)構(gòu)CA、注冊(cè)權(quán)威機(jī)構(gòu)RA、證書吊銷列表CRL和終端實(shí)體等部分組成.CA也稱數(shù)字證書管理中心，負(fù)責(zé)生成、發(fā)放和管理證書；RA又稱證書注冊(cè)中心，負(fù)責(zé)申請(qǐng)和審核數(shù)字證書.PKI 的核心部分是CA，數(shù)字證書是經(jīng)過(guò)CA簽名的包含有用戶個(gè)人信息和公鑰的數(shù)據(jù)體，它是CA認(rèn)證的依據(jù).PKICA認(rèn)證的鑒別機(jī)制具有很高的安全性，是目前應(yīng)用較為廣泛的認(rèn)證方法.但是也存在著一些問(wèn)題，比如，CA無(wú)法驗(yàn)證一個(gè)用戶所提供信息的真實(shí)性，證書廢止與證書吊銷列表CRL存在刷新的時(shí)間差等.這些問(wèn)題在技術(shù)上解決雖然容易，但是在具體實(shí)施過(guò)程中存在一定難度[4].

2 主流身份認(rèn)證應(yīng)用

2.1 亞馬遜

亞馬遜所采用的身份認(rèn)證系統(tǒng)稱為AWS IAM(AWS identity and access management)，在IAM中創(chuàng)建用戶并為他們分配數(shù)字證書或請(qǐng)求臨時(shí)數(shù)字證書，該認(rèn)證系統(tǒng)中包括密鑰管理與流轉(zhuǎn)、臨時(shí)安全證書、多因素認(rèn)證.亞馬遜平臺(tái)的認(rèn)證特點(diǎn)在于AWS IAM已經(jīng)與EC2實(shí)例構(gòu)建了良好的兼容性，賬號(hào)創(chuàng)建與管理方面基于角色實(shí)現(xiàn).

2.2 阿里云

用戶登錄阿里云的官網(wǎng)進(jìn)行用戶注冊(cè)或登錄操作時(shí)通過(guò)https協(xié)議進(jìn)行，相應(yīng)地，阿里云對(duì)云服務(wù)用戶進(jìn)行身份驗(yàn)證通過(guò)AccessId和AccessKey安全加密.

阿里云的維護(hù)人員對(duì)系統(tǒng)的訪問(wèn)經(jīng)過(guò)角色管理系統(tǒng)來(lái)定義和控制其訪問(wèn)權(quán)限，每個(gè)維護(hù)人員都有自己的唯一身份，經(jīng)過(guò)動(dòng)態(tài)令牌和數(shù)字證書雙因素認(rèn)證后再通過(guò)SSH連接到安全代理后進(jìn)行操作.

2.3 騰訊微信

微信用戶登錄一般有2種方式：一種是無(wú)需輸入密碼直接登錄；另一種是要求用戶輸入登錄名和密碼.

用戶分別輸入用戶名和密碼后，點(diǎn)擊登錄，完成登錄過(guò)程.IM服務(wù)器通過(guò)讀取用戶數(shù)據(jù)庫(kù)來(lái)驗(yàn)證用戶的身份，如果驗(yàn)證通過(guò)則會(huì)進(jìn)行后續(xù)的信息交互，包括獲取用戶列表、新信息、設(shè)備信息更新等.

2.4 Apple Pay認(rèn)證平臺(tái)

Apple Pay采用的是近場(chǎng)支付技術(shù)，當(dāng)用戶進(jìn)行支付操作時(shí)，把手機(jī)靠近帶有近場(chǎng)支付技術(shù)標(biāo)志或Apple Pay標(biāo)志的POS機(jī)后，再用蘋果終端自帶的指紋識(shí)別完成驗(yàn)證之后即可完成支付.

Apple Pay使用的是叫作“Tokenization”的技術(shù)，將關(guān)聯(lián)的銀行卡信息轉(zhuǎn)化為一個(gè)字符串(Token)存于手機(jī)或手表等智能終端中.當(dāng)用戶發(fā)起支付申請(qǐng)時(shí)，智能終端通過(guò)該Token生成一個(gè)隨機(jī)Token和一組動(dòng)態(tài)安全碼發(fā)給銀行，銀行再通過(guò)Token服務(wù)將其還原成銀行卡從而回傳授權(quán)完成支付.

通過(guò)對(duì)上述平臺(tái)的分析，我們發(fā)現(xiàn)Apple Pay認(rèn)證方式不適合電子政務(wù)環(huán)境的身份認(rèn)證，而亞馬遜、阿里云的認(rèn)證方式均為被動(dòng)方式，需要終端用戶提供相應(yīng)的憑證，但無(wú)法主動(dòng)判別終端用戶是否是真正的終端用戶，即無(wú)法判別“我就是我”.因此，需要一種增強(qiáng)型的認(rèn)證方式，能夠主動(dòng)判斷終端用戶身份的真實(shí)性.

3 一種系統(tǒng)安全身份認(rèn)證技術(shù)方案

基于現(xiàn)有的技術(shù)，我們提出了一種新的身份認(rèn)證解決方案，將賬號(hào)(account)管理、認(rèn)證(authentication)管理、授權(quán)(authorization)管理和安全審計(jì)(audit)4項(xiàng)功能集成在一個(gè)云平臺(tái)當(dāng)中，如圖1所示：

圖1 平臺(tái)整體框架圖

3.1 統(tǒng)一認(rèn)證門戶

門戶是應(yīng)用資源、系統(tǒng)資源的第1個(gè)登錄界面和集中訪問(wèn)入口.針對(duì)普通用戶在對(duì)接管資源(應(yīng)用資源、系統(tǒng)資源)單點(diǎn)登錄時(shí)，支持對(duì)資源連通性探測(cè)，并給出友好提示，探測(cè)結(jié)果如網(wǎng)絡(luò)時(shí)延、服務(wù)器響應(yīng).門戶提供一種對(duì)資源(系統(tǒng)資源、應(yīng)用資源)的可用性探測(cè)功能，便于個(gè)人用戶自行完成單點(diǎn)登錄可用性探測(cè).

3.2 賬號(hào)管理

系統(tǒng)根據(jù)規(guī)范要求實(shí)現(xiàn)從賬號(hào)全部綁定責(zé)任人管理，實(shí)現(xiàn)所有從賬號(hào)全部要綁定責(zé)任人.系統(tǒng)定期(周期可以設(shè)定)檢查無(wú)責(zé)任人的孤立從賬號(hào)情況，對(duì)存在的無(wú)責(zé)任人的孤立賬號(hào)給出提醒或告警.將大數(shù)據(jù)平臺(tái)的訪問(wèn)賬號(hào)納入4A集中管理，包括賬號(hào)的增、刪、改、查等功能，同一自然人訪問(wèn)任何接入的大數(shù)據(jù)平臺(tái)時(shí)，都可以使用固定的、唯一的賬號(hào).這些賬號(hào)統(tǒng)一存儲(chǔ)在kerberos中.

3.3 認(rèn)證管理

平臺(tái)支持終端和主賬號(hào)的綁定，限定主賬號(hào)只能在特定終端上登錄，實(shí)現(xiàn)MAC、硬盤序列號(hào)、CPU序列號(hào)等終端信息綁定.統(tǒng)一認(rèn)證管理通過(guò)對(duì)大數(shù)據(jù)平臺(tái)標(biāo)準(zhǔn)API接口進(jìn)行二次封裝，形成供運(yùn)維人員使用的大數(shù)據(jù)平臺(tái)維護(hù)工作臺(tái).用戶成功登錄大數(shù)據(jù)安全防護(hù)平臺(tái)后，在該工作臺(tái)便可看到其有權(quán)維護(hù)的大數(shù)據(jù)平臺(tái)，然后雙擊即可單點(diǎn)登錄到相應(yīng)的大數(shù)據(jù)平臺(tái)，從而進(jìn)行正常的維護(hù)工作.

3.4 權(quán)限管理

授權(quán)管理為維護(hù)人員設(shè)置訪問(wèn)大數(shù)據(jù)平臺(tái)時(shí)細(xì)粒度的操作權(quán)限.例如：支持Hadoop的文件、文件夾進(jìn)行瀏覽、查看、上傳、下載、創(chuàng)建、刪除、重命名操作的安全控制.平臺(tái)支持管理員可以查看其管轄范圍內(nèi)人員的所有權(quán)限信息，提供分類查詢功能.

3.5 堡壘機(jī)批量單點(diǎn)登錄管理

用戶登錄4A門戶之后，支持批量單點(diǎn)登錄到主機(jī)資源.4A門戶接收用戶訪問(wèn)主機(jī)的批量請(qǐng)求,認(rèn)證成功后應(yīng)進(jìn)行主機(jī)資源訪問(wèn)控制鑒權(quán)，并按照實(shí)體級(jí)、應(yīng)用級(jí)和命令級(jí)別訪問(wèn)控制策略直接批量登錄主機(jī)資源，不需要人工二次登錄認(rèn)證.用戶可以針對(duì)多臺(tái)主機(jī)進(jìn)行批量單點(diǎn)登錄，例如：CRT,SHELL.

批量單點(diǎn)登錄功能應(yīng)進(jìn)行權(quán)限控制，對(duì)沒(méi)有配置批量單點(diǎn)登錄權(quán)限的主賬號(hào)，無(wú)法使用批量單點(diǎn)登錄功能.

3.6 大數(shù)據(jù)平臺(tái)訪問(wèn)控制網(wǎng)關(guān)

大數(shù)據(jù)平臺(tái)訪問(wèn)控制通過(guò)新增大數(shù)據(jù)網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)大數(shù)據(jù)平臺(tái)鑒權(quán)控制.支持對(duì)大數(shù)據(jù)平臺(tái)中Hadoop,Hbase,Hive等組件的權(quán)限設(shè)置.審計(jì)管理會(huì)記錄用戶對(duì)生態(tài)系統(tǒng)的各種操作日志，并提供界面用于查詢，包括Hadoop日志、Hive日志、Hbase日志.

3.7 金庫(kù)模式管理

系統(tǒng)支持操作人對(duì)常用協(xié)同操作人的設(shè)置，觸發(fā)金庫(kù)后，常用協(xié)同操作人應(yīng)置頂顯示或默認(rèn)選中.當(dāng)操作人進(jìn)行金庫(kù)申請(qǐng)時(shí)，只能在限定的協(xié)同操作人范圍內(nèi)進(jìn)行人員選擇，該協(xié)同操作人員的主賬號(hào)不能是被刪除或加鎖狀態(tài)，也不允許出現(xiàn)申請(qǐng)人自己審批自己的情況以及A,B2人互審的情況.

3.8 審計(jì)管理

審計(jì)管理員日常工作的主要內(nèi)容是通過(guò)功能權(quán)限和數(shù)據(jù)權(quán)限的控制，每個(gè)審計(jì)管理員只能使用分配給自己的功能和屬于自己的數(shù)據(jù)范圍的日志.日志統(tǒng)一查詢提供原始日志、標(biāo)準(zhǔn)日志、策略結(jié)果和報(bào)表數(shù)據(jù)統(tǒng)一查詢?nèi)肟?，本次按照?guī)范要求進(jìn)行多條件查詢優(yōu)化.日志查詢提供基于日志屬性、標(biāo)準(zhǔn)化補(bǔ)全屬性的多條件組合.審計(jì)策略中心主要包括策略創(chuàng)建、策略修改、策略刪除、策略啟停、策略查詢等功能.

關(guān)鍵字分析根據(jù)策略要素對(duì)標(biāo)準(zhǔn)化日志或中間數(shù)據(jù)進(jìn)行匹配和比較，以發(fā)現(xiàn)異常和違規(guī)行為，并通過(guò)預(yù)警策略進(jìn)行預(yù)警提醒.關(guān)鍵字分析策略結(jié)果支持自動(dòng)生成審計(jì)任務(wù)中的待審數(shù)據(jù).統(tǒng)計(jì)分析基于標(biāo)準(zhǔn)化日志或中間數(shù)據(jù)，通過(guò)統(tǒng)計(jì)分析策略按照審計(jì)主體、審計(jì)客體、審計(jì)動(dòng)作中各屬性維度進(jìn)行分組次數(shù)統(tǒng)計(jì)，統(tǒng)計(jì)結(jié)果與設(shè)定閾值進(jìn)行分析比對(duì)，以發(fā)現(xiàn)異常違規(guī)行為，并進(jìn)行預(yù)警提醒.統(tǒng)計(jì)分析策略結(jié)果支持自動(dòng)生成審計(jì)任務(wù)中的待審數(shù)據(jù).

3.9 接口管理

對(duì)大數(shù)據(jù)平臺(tái)下的賬號(hào)進(jìn)行集中管理，并支持Hadoop平臺(tái)的賬號(hào)管理、統(tǒng)一認(rèn)證、授權(quán)管理與審計(jì).平臺(tái)提供的所有接口都需要經(jīng)過(guò)賬號(hào)+口令認(rèn)證才允許調(diào)用.如使用配置文件存儲(chǔ)接口認(rèn)證賬號(hào)及口令，必須對(duì)其進(jìn)行加密存儲(chǔ).

4 基于主動(dòng)權(quán)限識(shí)別的身份認(rèn)證技術(shù)

為了主動(dòng)判斷終端用戶身份的真實(shí)性，我們提出了一種基于Hadoop通過(guò)大數(shù)據(jù)分析識(shí)別云平臺(tái)中用戶的訪問(wèn)習(xí)慣，構(gòu)建數(shù)據(jù)分析模型，通過(guò)行為對(duì)終端用戶身份進(jìn)行鑒別，以鑒別結(jié)果作為判斷終端用戶的身份依據(jù).該方法通過(guò)人員檢索、行為檢索、時(shí)間檢索交叉關(guān)聯(lián)的方法，利用搜索技術(shù)對(duì)目前身份認(rèn)證系統(tǒng)中云資源環(huán)境下各系統(tǒng)中不同類型、不同格式的日志進(jìn)行關(guān)聯(lián)分析和匹配，通過(guò)長(zhǎng)時(shí)間數(shù)據(jù)積累構(gòu)建個(gè)人訪問(wèn)行為基線，積極主動(dòng)判斷訪問(wèn)者身份真實(shí)性.

采用的多類型日志關(guān)聯(lián)分析方法，主要分為日志采集、基于大數(shù)據(jù)存儲(chǔ)及建立索引、人員賬號(hào)檢索分析、行為檢索分析、時(shí)間檢索分析、關(guān)聯(lián)歸并六大關(guān)鍵步驟，其主要業(yè)務(wù)流程如圖2所示：

圖2 主動(dòng)識(shí)別認(rèn)證技術(shù)業(yè)務(wù)流程圖

首先，對(duì)云環(huán)境中的身份認(rèn)證日志信息進(jìn)行采集，采用監(jiān)視統(tǒng)一身份認(rèn)證與審計(jì)的云平臺(tái)登錄賬號(hào)進(jìn)行身份認(rèn)證日志信息采集.把采集來(lái)的不同格式、不同類型的日志文件進(jìn)行存儲(chǔ)處理，日志信息存儲(chǔ)不對(duì)采集來(lái)的日志作任何處理操作，采集來(lái)的日志文件按原有類型和格式進(jìn)行保存.同時(shí)日志存儲(chǔ)處理不僅支持存儲(chǔ)在統(tǒng)一的磁盤陣列中，也同時(shí)支持分布式存儲(chǔ)在不同主機(jī)的硬盤中，并支持對(duì)日志信息的多線程讀寫控制.在完成日志文件存儲(chǔ)處理后，系統(tǒng)針對(duì)所采集的不同格式、不同類型的登錄日志文件建立文件索引記錄，通過(guò)該操作來(lái)構(gòu)建個(gè)人登錄行為分析模型.

然后，使用從賬號(hào)作為關(guān)鍵字，對(duì)所采集的不同類型、不同格式的日志信息進(jìn)行全文檢索，在完成檢索操作輸出結(jié)果后，利用云系統(tǒng)中的主從賬號(hào)對(duì)應(yīng)關(guān)系來(lái)實(shí)現(xiàn)基于人員方面的日志關(guān)聯(lián)分析，把所采集的操作日志對(duì)應(yīng)到相關(guān)的操作人員(如圖3所示).使用IP地址、主機(jī)名稱、應(yīng)用系統(tǒng)訪問(wèn)頻次、位置信息作為關(guān)鍵字，對(duì)所采集的不同類型、不同格式的日志信息進(jìn)行全文檢索，來(lái)實(shí)現(xiàn)日志信息基于實(shí)體方面的日志關(guān)聯(lián)分析.再使用時(shí)間段、位置信息作為關(guān)鍵字，對(duì)新采集的不同類型、不同格式的登錄日志進(jìn)行檢索，來(lái)實(shí)現(xiàn)登錄日志信息基于時(shí)間段、位置信息方面的日志關(guān)聯(lián)分析，并且還在該步驟中實(shí)現(xiàn)人員在不同時(shí)間內(nèi)對(duì)不同資源的操作日志進(jìn)行基線建立，從而提升后續(xù)登錄行為分析的準(zhǔn)確性.

圖3 數(shù)據(jù)獲取示意圖

最后，對(duì)完成關(guān)聯(lián)匹配后的日志信息，進(jìn)行登錄行為分析和建模，判別登錄者的登錄習(xí)慣，如登錄位置、登錄后訪問(wèn)不同應(yīng)用系統(tǒng)的頻次、時(shí)間等等.通過(guò)登錄行為建模，與被動(dòng)身份認(rèn)證相結(jié)合，判別訪問(wèn)者登錄的身份認(rèn)證強(qiáng)度.

5 結(jié) 論

本方案通過(guò)大數(shù)據(jù)分析技術(shù)，構(gòu)建登錄行為分析并與云系統(tǒng)相結(jié)合，形成主動(dòng)與被動(dòng)相結(jié)合的身份認(rèn)證方式，對(duì)登錄行為發(fā)生較大變化的訪問(wèn)進(jìn)行強(qiáng)認(rèn)證，避免用戶信息被盜用造成的電子政務(wù)信息泄漏，有效地滿足了云計(jì)算環(huán)境下對(duì)訪問(wèn)者進(jìn)行安全身份認(rèn)證的需求.

[1]聶元銘, 丘平. 網(wǎng)絡(luò)信息安全技術(shù)[M]. 北京: 科學(xué)出版社, 2001

[2]Gaskell G, Looi M. International egrating smart cards into authentication systems[C]Advances in Cryptology—EUROCRYPT’1995. Berlin: Spring, 1995: 271-281

[3]戚文靜, 張素, 于承新, 等. 幾種身份認(rèn)證技術(shù)的比較及其發(fā)展方向[J]. 山東建筑工程學(xué)院學(xué)報(bào), 2004 (2): 84-87

[4]肖凌, 李之棠. 公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)結(jié)構(gòu)[J]. 計(jì)算機(jī)工程與應(yīng)用, 2002, 38(10): 137-139+251

申 石

碩士，工程師，主要研究方向?yàn)殡娮诱?wù)、信息安全.

shsh@cei.gov.cn

岑榮偉

博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、電子認(rèn)證技術(shù).

cenrw@cei.gov.cn

沈宇超

博士，高級(jí)工程師，主要研究方向?yàn)榘踩c電子認(rèn)證技術(shù).

shenyc@cei.gov.cn

國(guó) 強(qiáng)

碩士，工程師，主要研究方向?yàn)樾畔踩?、電子認(rèn)證技術(shù).

guoqiang@cei.gov.cn

Application Technology of Electronic Authentication Based on USBKey in Domestic Operating System

Shen Shi, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

This paper researches on electronic authentication in cloud computing and analyzes the deficiencies of mainstream authentication methods. We propose a more accurate and secure authentication solution using behavior and active privileges recognition technology. This solution can implement behavior-based active privileges recognition and choose adaptively whether to use high-strength safety certification. It also prevents hacking effectively and reduces the threats on security Certification.

cloud computing; electronic authentication; large data; privileges recognition; access control

2016-05-29

電子政務(wù)云集成與應(yīng)用國(guó)家工程實(shí)驗(yàn)室項(xiàng)目

TP309