一種基于語義網(wǎng)絡身份認證技術(shù)的研究

楊旭東

（呂梁學院 計算機系，山西 離石 033000）

一種基于語義網(wǎng)絡身份認證技術(shù)的研究

楊旭東

（呂梁學院 計算機系，山西 離石 033000）

隨著當前網(wǎng)絡迅速發(fā)展，身份認證越來越受到關(guān)注。介紹身份認證的概念及當前基本方式，對當前身份認證技術(shù)存在的問題深入分析，提出一種基于語義網(wǎng)絡的身份認證，并進一步探討其特點和優(yōu)點，有助于當前身份認證技術(shù)的研究。

身份認證；語義網(wǎng)絡；網(wǎng)絡安全

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的人們開始嘗試在線交易，但是由于病毒、黑客、網(wǎng)絡釣魚及網(wǎng)頁仿冒詐騙等現(xiàn)象的存在，給人們的在線交易和使用帶來了極大的風險。為了盡可能地避免安全問題，開發(fā)各種網(wǎng)絡系統(tǒng)都需要進行各種身份認證和權(quán)限檢查。

1 身份認證概述

身份認證對于防護網(wǎng)絡資產(chǎn)有著舉足輕重的作用，是確保網(wǎng)絡安全的第一道防線。身份認證主要是用于驗證通信雙方的真實身份，以防止一些非法用戶利用欺騙手段，竊取一些敏感數(shù)據(jù)。在安全的網(wǎng)絡通信中，為了驗證用戶的身份，正在通信的各方不管通過何種形式或何種手段，都必須驗證它們的身份，然后才能實現(xiàn)對于不同用戶的訪問控制和記錄。

2 身份認證基本方式

當前流行的用戶身份認證有多種，其中大多都是通過以下幾種基本方式或其組合方式來實現(xiàn)。

2.1 用戶名和密碼驗證方式

在身份認證方法中最簡單也是最常用的一種主要方式就是用戶名和密碼驗證方式，該方式的驗證手段是“你知道什么”。在這里每個用戶設(shè)定一個只有自己知道的密碼，但是這種做法使得密碼很容易就泄漏了。因為計算機中的木馬或其他病毒程序的存在，使得這些密碼仍然有被截獲的危險，因此，用戶名和密碼驗證方式是一種極不安全的身份認證方式。[1]

2.2 動態(tài)口令

動態(tài)口令技術(shù)是一種對用戶密碼根據(jù)某種人為操作比如時間或使用次數(shù)等進行不斷變化的方法，而且每個密碼只能被使用一次。這種技術(shù)主要采用一種專門的密碼算法——即時密碼方法，這種方法有效保證了用戶身份的安全性。因為目前網(wǎng)絡傳輸或計算機本身運作存在某些問題，使客戶端與服務器端在時間或次數(shù)上不能保持良好的同步，而這個原因?qū)е潞戏ㄓ脩魺o法登錄。而且，如果由于密碼是一串規(guī)律的密碼，用戶每次登錄都需要通過鍵盤輸入，在這個過程中，或多或少存在輸錯的現(xiàn)象，如果輸錯就要重新操作，這樣也給用戶帶來了極大的不方便。

2.3 智能卡認證

智能卡是一種不可復制的由專門廠商通過專門技術(shù)生產(chǎn)而得，它相當于是一種內(nèi)置的集成電路組成的芯片，像計算機芯片一樣能存儲信息，主要存有用戶本人的一些信息，從而能證明就是用戶本人。一般情況下，當智能卡里的信息通過讀卡器讀取后，經(jīng)過驗證是合法用戶，就可以登錄以獲取信息。所以這種方式仍然存在一些安全隱患的。[2]

2.4 UK或U盾認證

目前，中國建設(shè)銀行的網(wǎng)上銀行一般采用UK認證來確認用戶身份，中國工商銀行的網(wǎng)上銀行采用的是U盾認證，原理都是一樣的，這種方式相對來說是近年來比較安全方便的一種身份認證技術(shù)。這種方式是一種“即時密碼”的強雙因子認證模式，是通過硬件和軟件有機結(jié)合，從而在某種程度上給用戶帶來了安全性和簡單易用性。

2.5 基于多因素的身份認證

用戶名和密碼、動態(tài)口令、智能卡或UK等身份認證方式都是比較單一的、傳統(tǒng)的身份認證。但是從安全角度出發(fā)，根據(jù)服務器的安全管理機制，我們應該在不同的應用服務器上應用不同的口令。

3 當前身份認證技術(shù)存在的問題

當前網(wǎng)絡運行是電子政務和電子商務應用的基礎(chǔ)平臺，由于網(wǎng)絡在可靠和安全方面的缺陷，使得商業(yè)應用軟件天生具有缺陷。對于一些信息，特別是敏感數(shù)據(jù)的可靠性和完整性如果得不到保障，后果將會很嚴重。對于可信度主要涉及兩方面：一是平臺的配置和所有權(quán)可信度，也就是敏感信息受到保護，不會受到病毒侵襲，這需要操作系統(tǒng)和一些硬件支持，使運行過程在遵守一定規(guī)則的條件下?lián)碛凶钚〉臋?quán)限，這是計算機安全領(lǐng)域多年來一直關(guān)注的問題；第二是平臺配置必須確保平臺之間交互是可信的，這一領(lǐng)域中的遠程認證到目前為止是一個較新的概念。但在當前形勢下遠程認證仍存在以下幾個嚴重的漏洞。

3.1 一次性驗證方式。對于共享密鑰和公鑰，因為只存在一次性的靜態(tài)驗證，之后再無驗證，本身就對于這個身份安全信任，但其實仍然存在危驗性。

3.2 靜態(tài)數(shù)據(jù)。現(xiàn)有的身份認證技術(shù)總是依賴于一個靜態(tài)數(shù)據(jù)，或者是口令或者是密鑰，或者是一個哈希碼，都缺乏表現(xiàn)實體的即時信息的能力，一般沒有辦法傳遞實體的動態(tài)信息，而這些動態(tài)信息也許才是更需要驗證的。

3.3 不基于行為。因為現(xiàn)有的身份認證技術(shù)都是基于靜態(tài)的，經(jīng)過一次驗證后，不再對其他任何的行為負責，這本身就存在安全隱患。

3.4 與異構(gòu)的計算環(huán)境沖突。封閉式的系統(tǒng)（比如ATMs系統(tǒng)）是較安全的系統(tǒng)，但是一般又與網(wǎng)絡大規(guī)模普及的現(xiàn)狀相矛盾。面對開放式系統(tǒng)迅速發(fā)展的現(xiàn)狀，異構(gòu)便理所當然得成為計算機網(wǎng)絡環(huán)境的一大主要特征，而現(xiàn)有的身份認證技術(shù)大多都是針對單系統(tǒng)或少數(shù)幾種系統(tǒng)開發(fā)的。同時只能進行簡單通訊的異構(gòu)系統(tǒng)已無法滿足要求，所以開發(fā)跨平臺，使身份認證適合更高的要求，適應各種各樣的異構(gòu)系統(tǒng)，成為目前身份認證開發(fā)的重大挑戰(zhàn)。[3]

4 基于語義網(wǎng)絡的身份認證

語義網(wǎng)絡身份認證是一種基于語言安全和虛擬機的新思路,基于語言的安全被定義為“基于設(shè)計語言的理論與執(zhí)行的一整套技術(shù)，包括語義、類型、優(yōu)化和查證，這套技術(shù)用來負擔安全問題，并通過平衡程序分析和程序重寫來強迫執(zhí)行安全策略”。對當前情況而言，最有希望的方法包括：proof-carrying code，typed assembly language（TAL），inlined execution monitors,and information flow type systems。語義網(wǎng)絡身份認證是靈活的、動態(tài)、基于行為的，并且還是可以獨立于平臺的一種關(guān)于遠程認證的方法。不同異構(gòu)的系統(tǒng)突顯出“通用平臺”的意義并且促進了其發(fā)展（如.net虛擬機）。如果要對設(shè)計語義身份認證進行執(zhí)行，并且執(zhí)行在獨立于系統(tǒng)的虛擬機中的話，則之前實現(xiàn)不了的好多功能可以實現(xiàn)，原因就是高層次的認證是沒辦法用底層的代碼來實現(xiàn)，我們所說的代碼層次是很低的。為了使身份認證能夠更加靈活的執(zhí)行，使高層次的行為特征能夠驗證實體，我們必須要建立一個平臺，這個平臺必須是獨立于操作系統(tǒng)的，為了達到這種效果，最好的選擇無疑就是虛擬機（如java、和.net虛擬機）。為了使認證程序的行為不單單是一些特殊的二進制數(shù)據(jù)，必須使得身份認證能夠更具有表現(xiàn)力。

傳統(tǒng)的認證認為語義認證是推理代碼的行為，而并不是去推理特定的可執(zhí)行的二進制字節(jié)，這一結(jié)論有很大的致命缺點，而語義網(wǎng)絡身份認證相對于傳統(tǒng)認證，它不是一次性的，是動態(tài)的。另外語義網(wǎng)絡身份認證還是靈活的，因為它的實現(xiàn)基礎(chǔ)是可信虛擬機，可以執(zhí)行任意的代碼分析和關(guān)于認證的結(jié)果。

5 結(jié)束語

總之，低技術(shù)含量的舊系統(tǒng)將慢慢消失，基于Smartcard的身份鑒定系統(tǒng)正在迅速發(fā)展，全球多個國家及地區(qū)的身份認證技術(shù)都在迅速發(fā)展，所以對于身份認證技術(shù)的研究具有必要性和現(xiàn)實性。

［1］史艷芬，葛燧和.一種P2P網(wǎng)絡安全信任模型的設(shè)計與實現(xiàn)［J］.計算機應用，2005，（3）：36.

［2］林滿山，郭荷清，尹劍飛，高學勤.基于信任度的網(wǎng)絡應用對等單點登錄［J］.華南理工大學學報（自然科學版），2004，（10）：87.

［3］鄭東曦，唐韶華，黎紹發(fā).Web服務統(tǒng)一身份認證協(xié)議［J］.華南理工大學學報（自然科學版），2005，（2）：90.

Research on a Kind of Identity Certification M ethod Based on Semantic Network

YANG Xu-dong
（Departmentof Computer Science Lvliang College，Lishi Shanxi 033000）

Along with the current network rapid development，identity authentication has been paid more and more attention.The concept and the basic identity authentication have been introduced in this paper.The problems of authentication technology has been analysed in-depth.Then a kind of identity certification method based on semantic network has been proposed，and further discussed its characteristics and advantages.This will contribute to the current identity authentication technology research.

identity authentication；semantic network；network security

TP393

A

1673-2014（2011）05-0052-03

2011—04—22

楊旭東（1979— ），男，山西柳林人，講師，主要從事計算機應用技術(shù)研究。

（責任編輯 郝瑞宇）