增量數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)身份認(rèn)證量化評(píng)估框架

李思斯 韓偉力

(復(fù)旦大學(xué)軟件學(xué)院 上海 201203)

0 引 言

身份認(rèn)證被廣泛應(yīng)用于網(wǎng)絡(luò)服務(wù)中對(duì)用戶所瀏覽內(nèi)容的訪問控制。從網(wǎng)站管理者的角度，身份認(rèn)證應(yīng)當(dāng)保障其網(wǎng)站以及所提供的服務(wù)不被未經(jīng)授權(quán)的用戶訪問，因而安全性在身份認(rèn)證方式的選擇中通常是最重要甚至唯一重要的因素。但是僅考慮安全性可能導(dǎo)致過(guò)度保護(hù)或保護(hù)不足，諸如易用性、可靠性、可訪問性以及成本等其他因素也至關(guān)重要。綜合考慮這五個(gè)維度，需要利用量化評(píng)估框架來(lái)確定滿足應(yīng)用場(chǎng)景要求并能在五個(gè)因素中保持平衡的身份認(rèn)證方法?，F(xiàn)有的研究缺乏綜合且定量的評(píng)估框架。

為此，本文提出了基于專家經(jīng)驗(yàn)和貝葉斯概率模型的通用型量化評(píng)估框架以定量地評(píng)估單因子和多因子身份認(rèn)證方法。該框架將從安全性、可靠性、易用性、可訪問性以及成本這五個(gè)維度來(lái)進(jìn)行綜合的量化評(píng)估。針對(duì)每一個(gè)維度，框架會(huì)根據(jù)身份認(rèn)證方法能提供的保障程度或優(yōu)良程度打分，并根據(jù)五個(gè)維度的打分結(jié)果給出一個(gè)綜合的雷達(dá)圖用以直觀的展示。在此基礎(chǔ)上，本文還提出了增量數(shù)據(jù)驅(qū)動(dòng)的動(dòng)態(tài)自適應(yīng)量化評(píng)估結(jié)果更新模型，根據(jù)實(shí)時(shí)收集的認(rèn)證數(shù)據(jù)更新對(duì)應(yīng)身份認(rèn)證方法的評(píng)估結(jié)果。利用給出的量化評(píng)估和數(shù)據(jù)展示，網(wǎng)站管理者可以更直觀地為其所管理的網(wǎng)站或服務(wù)選擇最合適的身份認(rèn)證方案。

1 相關(guān)工作

對(duì)于身份認(rèn)證方法的通用型評(píng)估有美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所NIST為電子身份認(rèn)證方法以及針對(duì)不同的安全保障需求如何選擇身份認(rèn)證方法提供的指導(dǎo)標(biāo)準(zhǔn)SP 800-63[1]，以及NIST于2015年提出的針對(duì)基于生物識(shí)別的認(rèn)證系統(tǒng)[2]的安全性評(píng)估討論稿[3]。此外，Bonneau等[4]針對(duì)用戶口令可能的替代品從安全性、易用性和成本三個(gè)方面進(jìn)行了定性比較分析；Sollie[5]為研究多因子身份認(rèn)證在安全性和易用性方面的影響提出定性分析方法；Gorma[6]對(duì)比了基于知識(shí)的、基于設(shè)備的和基于身份的認(rèn)證方法在安全性方面的區(qū)別。

此外，針對(duì)特定認(rèn)證方法的安全性評(píng)估有：用戶口令強(qiáng)度的度量工具[7-8]；對(duì)基于生物識(shí)別的認(rèn)證方法[9]和指紋識(shí)別方案的強(qiáng)度評(píng)估[10]；對(duì)基于設(shè)備的身份認(rèn)證方法(如K寶口令[11]等)的強(qiáng)度評(píng)估。針對(duì)認(rèn)證方法的易用性評(píng)估，Mare等[12]進(jìn)行了用戶研究來(lái)觀察在面對(duì)諸如口令、PIN碼、基于設(shè)備的認(rèn)證因子、生物識(shí)別的認(rèn)證方法等不同身份認(rèn)證因子時(shí)，用戶在使用時(shí)的學(xué)習(xí)難度和感知層面的使用體驗(yàn)。

然而，現(xiàn)有的研究或僅針對(duì)單因子身份認(rèn)證方法，或僅針對(duì)安全性和易用性等某一維度進(jìn)行分析，且大多僅能給出定性分析結(jié)果，這些研究并不能提供量化的評(píng)估結(jié)果和直觀的比較。

2 身份認(rèn)證量化評(píng)估框架

2.1 安全性

安全性指身份認(rèn)證方法能在多大程度上抵御可能存在的安全性威脅并保護(hù)系統(tǒng)不被未經(jīng)授權(quán)的用戶訪問。本框架以身份認(rèn)證方法被破解的概率作為評(píng)估其安全性的標(biāo)準(zhǔn)。首先將可能存在的攻擊總結(jié)并歸納為十二種類型：客戶端破解攻擊、服務(wù)端破解攻擊、通信信道竊聽、離線猜測(cè)攻擊、在線猜測(cè)攻擊、釣魚攻擊或域欺騙、社會(huì)工程學(xué)攻擊、肩窺攻擊、仿冒攻擊、偷竊攻擊、復(fù)制攻擊和測(cè)信道攻擊，如表1所示。評(píng)估身份認(rèn)證方法的安全性時(shí)，先評(píng)估其中的每一個(gè)身份認(rèn)證因子防御這十二種攻擊的安全等級(jí)，再將等級(jí)通過(guò)模糊函數(shù)轉(zhuǎn)化為在該攻擊下該認(rèn)證因子被破解的概率。

表1 身份認(rèn)證因子的攻擊分類及描述

對(duì)單因子的身份認(rèn)證方法，其在十二種攻擊下被破解的概率的加和即為其在最壞情況下的被破解概率。而對(duì)多因子身份認(rèn)證方法，加和的方案無(wú)法體現(xiàn)其綜合的被破解概率。為了更好的表示不同身份認(rèn)證方法在組合成多因子身份認(rèn)證時(shí)綜合的安全性強(qiáng)度，本框架建立基于專家經(jīng)驗(yàn)的貝葉斯網(wǎng)絡(luò)模型來(lái)評(píng)估多因子身份認(rèn)證方法的綜合被破解概率，對(duì)于一個(gè)由n個(gè)因子組成的身份認(rèn)證方法，其被破解的概率P[X]在本文建立的貝葉斯網(wǎng)絡(luò)模型中可由式(1)計(jì)算，其中pa(xi)表示第i個(gè)身份認(rèn)證因子對(duì)應(yīng)的節(jié)點(diǎn)xi的父節(jié)點(diǎn)集合。

(1)

為計(jì)算式(1)，需要對(duì)每個(gè)因子節(jié)點(diǎn)計(jì)算其概率P[xi|pa(xi)]。在本框架提出的貝葉斯網(wǎng)絡(luò)中，pa(xi)包含兩種類型的節(jié)點(diǎn)：攻擊節(jié)點(diǎn)和因子節(jié)點(diǎn)。攻擊節(jié)點(diǎn)對(duì)應(yīng)上述十二種攻擊類型并表示攻擊是否發(fā)生，用a1,a2,…,am表示。因子節(jié)點(diǎn)對(duì)應(yīng)需要被評(píng)估的身份認(rèn)證方法中的每一種認(rèn)證因子，用x1,x2,…,xn表示，其中(i∈{1,2,…,n},j∈{1,2,…,m)}。圖1展示了一個(gè)三因子身份認(rèn)證方法的示例貝葉斯網(wǎng)絡(luò)，其中方框節(jié)點(diǎn)表示攻擊節(jié)點(diǎn)，圓形節(jié)點(diǎn)表示因子節(jié)點(diǎn)。

圖1 示例三因子身份認(rèn)證方法的貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)圖

計(jì)算因子節(jié)點(diǎn)的概率P[xi|pa(xi)]可分兩種情況：第一種是因子節(jié)點(diǎn)的所有父節(jié)點(diǎn)均為攻擊節(jié)點(diǎn)，如圖1中的“口令”節(jié)點(diǎn)；第二種情況是因子節(jié)點(diǎn)的父節(jié)點(diǎn)既有攻擊節(jié)點(diǎn)又有因子節(jié)點(diǎn)，如圖1中的“RSA令牌”節(jié)點(diǎn)。在具體的概率計(jì)算前，首先說(shuō)明因子節(jié)點(diǎn)不同父節(jié)點(diǎn)類型對(duì)應(yīng)到安全性評(píng)估的含義。若因子節(jié)點(diǎn)的父節(jié)點(diǎn)為攻擊節(jié)點(diǎn)，表明該攻擊節(jié)點(diǎn)對(duì)應(yīng)的攻擊類型有概率破解該因子節(jié)點(diǎn)。假設(shè)因子節(jié)點(diǎn)表示為xi，攻擊節(jié)點(diǎn)表示為aj，則此破解概率可表示為P[xi|aj]。這一概率可以通過(guò)表1列舉的評(píng)估標(biāo)準(zhǔn)根據(jù)設(shè)定的模糊函數(shù)得出。若某因子節(jié)點(diǎn)的父節(jié)點(diǎn)為因子節(jié)點(diǎn)類型，則意味著這兩種因子節(jié)點(diǎn)對(duì)應(yīng)的身份認(rèn)證因子類型可以同時(shí)被某個(gè)攻擊類型破解。

為得到一個(gè)通用的安全性評(píng)估計(jì)算公式，需同時(shí)考慮上文提到的兩種情況，因此可以將每個(gè)因子節(jié)點(diǎn)的被破解概率P[xi|pa(xi)]依據(jù)不同父節(jié)點(diǎn)類型拆分為兩部分計(jì)算。令G(xi)表示節(jié)點(diǎn)xi的所有攻擊類型的父節(jié)點(diǎn)組成的集合，令Y(xi)表示節(jié)點(diǎn)的所有因子類型的父節(jié)點(diǎn)組成的集合，則pa(xi)可表示為這兩個(gè)集合的并集，亦即pa(xi)=G(xi)∪Y(xi)，且這兩個(gè)集合互斥。因此對(duì)每個(gè)節(jié)點(diǎn)的被破解概率P[xi|pa(xi)]可計(jì)算為P[xi|G(xi)]+P[xi|Y(xi)]。

P[xi|Y(xi)]=P[xi|Y(xi),Ai]=P[xi|xi-1,

…,x1,∪at∈Aiat]

(2)

P[xi|xi-1,…,x1,∪at∈Aiat]≤

(3)

綜合兩種情況，身份認(rèn)證方法綜合的被破解概率的計(jì)算如式(4)所示,其不僅適用于多因子身份認(rèn)證方法，也適用于單因子身份認(rèn)證方法。

(4)

在計(jì)算得到貝葉斯網(wǎng)絡(luò)的聯(lián)合概率之后，為了能更直觀且更友好的展示結(jié)果，同時(shí)能與其他維度的度量結(jié)果保持一致，采用如式(5)所示的負(fù)對(duì)數(shù)函數(shù)將概率值轉(zhuǎn)化到區(qū)間為[0,100]的分?jǐn)?shù)值。

(5)

本框架提出的安全性評(píng)估可以通用的適配任何一種身份認(rèn)證方法并能得出標(biāo)準(zhǔn)統(tǒng)一的量化評(píng)估結(jié)果，即給出一個(gè)在[0,100]區(qū)間內(nèi)的打分值，這是現(xiàn)有研究工作所不具備的。

2.2 可靠性

可靠性是指身份認(rèn)證系統(tǒng)錯(cuò)誤地拒絕合法用戶的頻率，本框架將基于身份認(rèn)證系統(tǒng)錯(cuò)誤地拒絕合法用戶的概率對(duì)可靠性進(jìn)行量化評(píng)估。這里包含兩種情況：一種是身份認(rèn)證系統(tǒng)本身的不可靠性使得合法用戶的正確認(rèn)證過(guò)程被錯(cuò)誤地識(shí)別為非法用戶；另一種是合法用戶在認(rèn)證過(guò)程中未按照正確的流程或輸錯(cuò)了密碼使得系統(tǒng)判斷出錯(cuò)。在第二種情況中，用戶錯(cuò)誤的頻率不可預(yù)知，只能通過(guò)歷史登錄數(shù)據(jù)來(lái)估計(jì)。因此，在初始階段的量化評(píng)估中，本框架將只考慮認(rèn)證系統(tǒng)本身的可靠性。在收集到實(shí)時(shí)用戶認(rèn)證數(shù)據(jù)后，可以利用數(shù)據(jù)驅(qū)動(dòng)的更新模型來(lái)估計(jì)并實(shí)時(shí)更新可靠性評(píng)估結(jié)果。

單因子身份認(rèn)證方法錯(cuò)誤拒絕合法用戶的概率就是該身份認(rèn)證方法所采用的方案或者算法本身的誤拒絕率。而對(duì)于多因子組合成的身份認(rèn)證方法，任何一個(gè)因子的誤拒絕都會(huì)導(dǎo)致整個(gè)認(rèn)證機(jī)制的誤拒絕。因此多因子身份認(rèn)證方法誤拒絕的概率是其中每一個(gè)因子的誤拒絕概率的并集。對(duì)于初始的評(píng)估本身就未考慮到用戶誤操作而導(dǎo)致的誤拒絕概率，可以用系統(tǒng)誤拒絕率的加和來(lái)表示最壞情況下的系統(tǒng)誤拒絕率，其中的概率誤差可以彌補(bǔ)未考慮到的用戶誤差。令FRi表示合法用戶被第i個(gè)認(rèn)證因子錯(cuò)誤拒絕的認(rèn)證，則整體的概率為：

(6)

最后，利用負(fù)對(duì)數(shù)的形式將結(jié)果映射到[0，100]的區(qū)間內(nèi)作為可靠性的量化結(jié)果打分值：

R=-log(Pr[FFR])

(7)

2.3 易用性

易用性指認(rèn)證方法的便利程度和用戶的使用體驗(yàn)。針對(duì)下述標(biāo)準(zhǔn)，本框架通過(guò)衡量不同身份認(rèn)證方式能為用戶提供的便利程度來(lái)評(píng)估其易用性。

(1) 設(shè)置時(shí)間 用戶在使用身份認(rèn)證方法前需要初始化認(rèn)證秘密，例如設(shè)定口令、輸入指紋、錄入人臉圖像等。不同的身份認(rèn)證方法對(duì)應(yīng)不同的設(shè)定步驟，因而帶來(lái)不同的使用復(fù)雜程度。本框架用設(shè)置時(shí)間衡量身份認(rèn)證方法在初始化階段的易用性。由于初始化通常只需要進(jìn)行一次，因此可以對(duì)其設(shè)置非常小的權(quán)重。

(2) 交互時(shí)間 用戶在進(jìn)行身份認(rèn)證時(shí)，針對(duì)不同的認(rèn)證機(jī)制需要不同的交互方式，例如輸入口令、接觸指紋識(shí)別器、掃臉、插入額外的第三方設(shè)備等。此處用交互時(shí)間來(lái)衡量身份認(rèn)證機(jī)制在使用時(shí)對(duì)用戶的友好程度。交互時(shí)間的計(jì)算從用戶開啟認(rèn)證到認(rèn)證機(jī)制給出認(rèn)證通過(guò)或認(rèn)證失敗的反饋結(jié)果為止。多因子身份認(rèn)證方法的交互時(shí)間將涵蓋用戶完成其中每一個(gè)認(rèn)證因子的認(rèn)證步驟所耗費(fèi)的時(shí)間。

(3) 用戶維護(hù)其認(rèn)證秘密需要的操作 對(duì)于單因子身份認(rèn)證方法如口令認(rèn)證，用戶需要記憶一串文本密碼；對(duì)于由第三方設(shè)備生成的一次性驗(yàn)證碼，用戶在認(rèn)證時(shí)需要攜帶額外的設(shè)備；對(duì)于基于生物識(shí)別的認(rèn)證方案，用戶通常不需要額外的操作就能維護(hù)認(rèn)證所需的秘密。對(duì)于多因子身份認(rèn)證方式，其整體所需要耗費(fèi)的用戶操作是其中每一個(gè)認(rèn)證因子所耗費(fèi)的用戶操作的交集。同時(shí)，不同的用戶操作對(duì)應(yīng)的用戶成本和用戶體驗(yàn)也有差別。因此，框架將綜合考慮為維護(hù)認(rèn)證對(duì)應(yīng)的秘密需要的操作數(shù)量和每一種操作對(duì)應(yīng)的用戶體驗(yàn)友好程度，其數(shù)量越多，或者操作對(duì)用戶的負(fù)擔(dān)感更重，則易用性越差。

(4) 認(rèn)證方式的可重用性 可重用性是指認(rèn)證方式是否可以同時(shí)被用于多個(gè)網(wǎng)站或服務(wù)。若身份認(rèn)證方法可以做到跨服務(wù)通用，則其對(duì)用戶帶來(lái)的整體友好度會(huì)更佳。對(duì)于多因子身份認(rèn)證方法，如果其中的某個(gè)認(rèn)證因子是不可重用的，那么整個(gè)多因子認(rèn)證方案也是不可重用的。

(5) 用戶滿意度 用戶滿意程度表示用戶本身對(duì)不同身份認(rèn)證方法的使用體驗(yàn)和感受。當(dāng)用戶的評(píng)價(jià)數(shù)量足夠多時(shí)，此維度將是權(quán)重占比最高的度量維度。

上述五個(gè)維度依次給出評(píng)級(jí)，最后將五個(gè)維度的度量結(jié)果加權(quán)平均即為易用性評(píng)估結(jié)果。此結(jié)果只是初始的模糊評(píng)估結(jié)果，在用戶使用過(guò)程中，本文提出的數(shù)據(jù)驅(qū)動(dòng)的更新框架可以根據(jù)用戶給出的易用性反饋來(lái)動(dòng)態(tài)調(diào)整易用性的評(píng)估結(jié)果。

對(duì)于上述五個(gè)維度，用ui表示第i個(gè)維度的評(píng)估結(jié)果；令Uui、Wui分別表示對(duì)第i個(gè)維度的打分和權(quán)重值，其中Uui∈[0，100]，Wui∈[0,1]并且∑Wui=1。整體的易用性評(píng)估結(jié)果可以表示為:

U=∑(Uui×Wui)i∈{1,2,…,5}

(8)

2.4 可訪問性

可訪問性指目標(biāo)用戶是否能無(wú)障礙地根據(jù)其意愿和偏好來(lái)訪問身份認(rèn)證方法，其評(píng)估取決于身份認(rèn)證方法要求用戶與之交互的方式。本框架主要考慮如下五種交互機(jī)制：

1) 說(shuō)出一些短語(yǔ)或單詞，如語(yǔ)音識(shí)別;

2) 與可視屏幕信息交互;

3) 用鍵盤打字或用鼠標(biāo)點(diǎn)擊;

4) 提供身體部位的生物識(shí)別信息;

5) 接聽電話或電話代碼。

單個(gè)認(rèn)證因子可以同時(shí)支持幾種不同的交互機(jī)制。因此，其可訪問性是支持的交互方式的集合。在判斷某用戶是否可以無(wú)障礙地使用某種身份認(rèn)證方法時(shí)，只需要確定該身份認(rèn)證因子支持的交互方式集合與用戶意愿的交互方式集合之間是否存在交集。對(duì)于多因子身份認(rèn)證方法則需要先確定其中每個(gè)認(rèn)證因子支持的交互機(jī)制集合與用戶意愿的交互機(jī)制集合之間是否存在交集。如果其中有任何一個(gè)認(rèn)證因子是該用戶無(wú)法訪問的，那么整個(gè)認(rèn)證機(jī)制對(duì)該用戶的可訪問性將為零。如果用戶對(duì)于其中的某些交互機(jī)制是可以進(jìn)行但不愿意采用的，則該認(rèn)證方法將是可訪問的，但可訪問性的評(píng)分將比較低。因此每種身份認(rèn)證方法都用三種等級(jí)來(lái)評(píng)估其可訪問性。

令向量μ=(μ1,μ2,μ3,μ4,μ5)表示用戶對(duì)上述五種交互機(jī)制的偏好程度，其中μi∈{0,1,2}。令向量υJ=(υ1,υ2,υ3,υ4,υ5)表示身份認(rèn)證因子對(duì)上述五種交互機(jī)制是否支持，其中υi∈{0,1}。首先分別計(jì)算向量μ和每一個(gè)因子的向量υJ的點(diǎn)積，然后取結(jié)果中的最大值即aj=max(μ,υJ)作為認(rèn)證因子j的可訪問性分值。最后利用式(9)計(jì)算身份認(rèn)證方法整體的可訪問性度量:

(9)

2.5 成 本

本框架將評(píng)估身份認(rèn)證方法所需要購(gòu)買的設(shè)備和部署身份驗(yàn)證系統(tǒng)的費(fèi)用作為成本的度量。具體的評(píng)估標(biāo)準(zhǔn)包括身份認(rèn)證因子帶來(lái)的額外部署成本，超出正常服務(wù)部署、額外運(yùn)營(yíng)成本，需要的支持服務(wù)成本和設(shè)備成本。對(duì)每個(gè)維度將給出評(píng)估等級(jí)，并將所有維度評(píng)估結(jié)果的加權(quán)和作為總體評(píng)估結(jié)果。

(1) 額外部署成本 部署整個(gè)身份認(rèn)證系統(tǒng)的成本，包括購(gòu)買認(rèn)證技術(shù)或特殊服務(wù)(如短信驗(yàn)證碼服務(wù))以及部署輔助設(shè)備和軟件組件的費(fèi)用。

(2) 運(yùn)營(yíng)成本 在認(rèn)證系統(tǒng)的工作和維護(hù)期間產(chǎn)生的操作成本。這可以通過(guò)身份認(rèn)證系統(tǒng)在通信開銷方面消耗的帶寬成本，對(duì)特殊服務(wù)如短信驗(yàn)證碼服務(wù)的成本等反映出來(lái)。

(3) 幫助和支持服務(wù)成本 某些身份認(rèn)證方法很難設(shè)置或恢復(fù)，用戶在使用過(guò)程中可能會(huì)遇到麻煩。此時(shí)，身份認(rèn)證服務(wù)提供者需要為用戶維護(hù)支持團(tuán)隊(duì)。

(4) 設(shè)備成本 對(duì)于例如基于設(shè)備等的特殊身份認(rèn)證方法，用戶需要持有額外的物理設(shè)備才能完成認(rèn)證，這會(huì)導(dǎo)致用戶和身份認(rèn)證提供商需要采購(gòu)額外的物理設(shè)備。對(duì)于多因子身份認(rèn)證方案，其綜合的設(shè)備成本將是每一種認(rèn)證因子引入的設(shè)備成本的交集的總和。

3 數(shù)據(jù)驅(qū)動(dòng)的更新模型

基于專家經(jīng)驗(yàn)的初始量化評(píng)估模型，本文提出了數(shù)據(jù)驅(qū)動(dòng)的量化評(píng)估結(jié)果的更新模型，針對(duì)安全性、可靠性和易用性進(jìn)行實(shí)時(shí)更新。

首先構(gòu)建監(jiān)控用戶認(rèn)證記錄的監(jiān)測(cè)模型來(lái)鑒別惡意認(rèn)證請(qǐng)求、合法用戶的成功認(rèn)證請(qǐng)求和合法用戶的失敗認(rèn)證請(qǐng)求，并根據(jù)這三類數(shù)據(jù)動(dòng)態(tài)的更新量化評(píng)估結(jié)果，其基本結(jié)構(gòu)如圖2所示。其中基于規(guī)則的檢測(cè)模型和基于數(shù)據(jù)的檢測(cè)模型用于檢測(cè)惡意認(rèn)證請(qǐng)求并鑒別被破解的用戶賬號(hào)。在未收集到足夠多用戶數(shù)據(jù)的初始階段使用基于規(guī)則的檢測(cè)模型。隨著用戶認(rèn)證數(shù)據(jù)的累積，基于數(shù)據(jù)的檢測(cè)模型將訓(xùn)練一個(gè)鑒別惡意認(rèn)證請(qǐng)求的增量數(shù)據(jù)驅(qū)動(dòng)模型，并逐漸取代基于規(guī)則的檢測(cè)模型?；谝?guī)則和基于數(shù)據(jù)的兩種模型可能對(duì)同一認(rèn)證請(qǐng)求給出相反的檢測(cè)結(jié)果，或者兩種模型都無(wú)法得出檢測(cè)結(jié)果。這時(shí)將引入管理員與用戶標(biāo)記模型，即對(duì)于未被標(biāo)記的或標(biāo)記沖突的認(rèn)證請(qǐng)求，由用戶在查看認(rèn)證記錄時(shí)標(biāo)記該認(rèn)證請(qǐng)求是否由該用戶發(fā)起，并由網(wǎng)站管理者進(jìn)行輔助判斷。最后的決策模型將綜合基于規(guī)則的檢測(cè)模型、基于數(shù)據(jù)的檢測(cè)模型和管理員與用戶標(biāo)記模型這三個(gè)模塊的標(biāo)記結(jié)果，給出綜合的認(rèn)證請(qǐng)求的標(biāo)記結(jié)果。

圖2 認(rèn)證請(qǐng)求的審計(jì)與惡意認(rèn)證請(qǐng)求檢測(cè)模型

利用上述檢測(cè)模型可以評(píng)估身份認(rèn)證方法對(duì)應(yīng)的總用戶數(shù)量以及其中賬號(hào)被破解的用戶數(shù)量。兩者的商即為該身份認(rèn)證方法被破解的估計(jì)概率，由此能實(shí)時(shí)更新安全性得分。通過(guò)計(jì)算合法認(rèn)證請(qǐng)求的數(shù)量和失敗的合法認(rèn)證請(qǐng)求的數(shù)量，可以估計(jì)身份認(rèn)證方法的錯(cuò)誤拒絕概率并改進(jìn)其可靠性得分。由于觀察到的安全性和可靠性結(jié)果可能隨時(shí)間而變化，本模型采用標(biāo)量卡爾曼濾波器來(lái)濾除觀察誤差和概率本身的誤差從而得到自適應(yīng)的動(dòng)態(tài)更新結(jié)果。

本文提供示例平臺(tái)收集用戶的使用反饋用于易用性評(píng)估的更新。類似的反饋平臺(tái)可以作為身份認(rèn)證提供者站點(diǎn)的一部分進(jìn)行部署。用戶就其使用過(guò)的身份認(rèn)證方法給出五星評(píng)級(jí)和反饋。通過(guò)將初始量化框架給出的可用性評(píng)估結(jié)果也轉(zhuǎn)換為五星評(píng)級(jí)結(jié)果，可以利用貝葉斯平均來(lái)綜合專家評(píng)估結(jié)果和用戶使用反饋，從而得出數(shù)據(jù)驅(qū)動(dòng)的易用性評(píng)估結(jié)果。

通常有兩種情況表明帳戶已被盜用：一種是攻擊者獲取了密碼，然后通過(guò)其他設(shè)備嘗試登錄；另一種是攻擊者直接控制用戶的設(shè)備并通過(guò)受感染的設(shè)備登錄。僅從服務(wù)器端很難判斷第二種情況為合法用戶或攻擊者，但可以通過(guò)登錄次數(shù)和成功率檢測(cè)暴力破解。當(dāng)多于20次登錄請(qǐng)求且認(rèn)證成功率低于95%時(shí)，則該賬戶很可能正在被暴力攻擊[13]，因此首先構(gòu)建暴力攻擊檢測(cè)模塊來(lái)監(jiān)測(cè)認(rèn)證請(qǐng)求次數(shù)及其成功率。為了檢測(cè)從其他設(shè)備發(fā)起認(rèn)證請(qǐng)求的攻擊，本模型提出基于規(guī)則的檢測(cè)模型來(lái)區(qū)分合法的和惡意的認(rèn)證請(qǐng)求。

每個(gè)新注冊(cè)的用戶將被分配一個(gè)為期五天的啟動(dòng)階段，其間發(fā)起認(rèn)證請(qǐng)求且成功登錄的設(shè)備和IP將被添加為可信IP地址和設(shè)備組。此后的認(rèn)證請(qǐng)求如果來(lái)源IP未知且不在可信列表中，將檢查從最近一次成功認(rèn)證的請(qǐng)求IP到當(dāng)前IP的轉(zhuǎn)換是否可能，稱為IP一致性檢測(cè)。通過(guò)獲取IP地址對(duì)應(yīng)的經(jīng)緯度、國(guó)家和地區(qū)、網(wǎng)絡(luò)服務(wù)提供商等信息來(lái)計(jì)算兩個(gè)IP地址的物理位置的距離；再根據(jù)兩次認(rèn)證請(qǐng)求之間的時(shí)間間隔，判讀該物理移動(dòng)是否是可能從而輔助判斷未知IP地址對(duì)應(yīng)的認(rèn)證請(qǐng)求是否合法。然而IP的不一致不一定代表惡意攻擊，還需要解析發(fā)起認(rèn)證請(qǐng)求的用戶代理(User Agent)，稱為客戶端一致性檢測(cè)。通過(guò)分析用戶代理，檢查認(rèn)證請(qǐng)求來(lái)源的瀏覽器名稱和版本以及操作系統(tǒng)信息，并與啟動(dòng)階段保留的可信設(shè)備比對(duì)來(lái)輔助判斷認(rèn)證請(qǐng)求是否由合法用戶發(fā)起。本模型還利用Javed[14]提出的方法來(lái)檢查某個(gè)未知用戶代理是否只是對(duì)瀏覽器或操作系統(tǒng)的升級(jí)。此外，合法用戶的正常認(rèn)證請(qǐng)求通常在分鐘和秒鐘兩個(gè)維度上均勻分布[13]，而自動(dòng)化的登錄請(qǐng)求則在分鐘和秒鐘的分布上存在明顯特征。因此，模型將抽取認(rèn)證請(qǐng)求的時(shí)間戳并利用皮爾斯卡方檢測(cè)評(píng)估其時(shí)間分布是否滿足均勻分布，稱為時(shí)間戳一致性檢測(cè)，并且此檢測(cè)可以從用戶和IP地址兩個(gè)維度分別進(jìn)行。如果認(rèn)證請(qǐng)求能同時(shí)通過(guò)暴力攻擊檢測(cè)、IP一致性檢測(cè)、客戶端一致性檢測(cè)以及時(shí)間戳一致性檢測(cè)這四種檢測(cè)，則認(rèn)為該認(rèn)證請(qǐng)求合法。若IP是可信的且認(rèn)證請(qǐng)求的時(shí)間滿足均勻分布，則認(rèn)為該請(qǐng)求合法。如果時(shí)間戳一致性檢測(cè)沒有通過(guò)且客戶端和IP檢測(cè)有一項(xiàng)沒有通過(guò)，則標(biāo)記為惡意請(qǐng)求。對(duì)于其余的情況，模型將檢測(cè)任務(wù)轉(zhuǎn)至管理員和用戶標(biāo)記模塊和基于數(shù)據(jù)的檢測(cè)模塊做進(jìn)一步的判斷。

4 案例分析

本節(jié)以某網(wǎng)站的身份驗(yàn)證方法為例介紹本基于專家經(jīng)驗(yàn)的量化評(píng)估框架的合理性和有效性。某網(wǎng)站為不同的操作提供不同的認(rèn)證流程。對(duì)于查看余額等操作，網(wǎng)站只需要基于短信驗(yàn)證碼的身份認(rèn)證。對(duì)于修改套餐等操作，則需要6位PIN碼和短信驗(yàn)證碼組成的雙因子身份認(rèn)證。首先利用貝葉斯網(wǎng)絡(luò)評(píng)估身份認(rèn)證方法的安全性，對(duì)短信驗(yàn)證碼的貝葉斯網(wǎng)絡(luò)如圖3(a)左所示，其在五個(gè)評(píng)估維度上的綜合量化評(píng)估結(jié)果如圖3(a)右的雷達(dá)圖所示。對(duì)于短信驗(yàn)證碼和6位PIN碼組成的多因子身份認(rèn)證方法，其貝葉斯網(wǎng)絡(luò)如圖3(b)左所示，綜合量化評(píng)估結(jié)果如圖3(b)右所示。評(píng)估結(jié)果顯示兩種身份驗(yàn)證方法均能夠匹配對(duì)應(yīng)服務(wù)的安全性要求。但這兩種認(rèn)證方案都僅剛好滿足安全性需求，若該網(wǎng)站要部署涉及到更多資金安全或風(fēng)險(xiǎn)更高的服務(wù)時(shí)，其對(duì)應(yīng)的身份認(rèn)證方法需要提高。

(a)

(b)圖3 針對(duì)某網(wǎng)站的兩種認(rèn)證類型的示例評(píng)估

此外，本文提出的框架還能列出所有滿足安全性要求的認(rèn)證方法。此處預(yù)設(shè)了口令、RSA令牌和圖形口令等其他幾種身份認(rèn)證因子用于演示。仍以該網(wǎng)站為例，對(duì)于普通登錄服務(wù)，有四種單因子認(rèn)證方法滿足安全性要求，結(jié)果如圖4(a)所示。這四種可選項(xiàng)在五個(gè)維度上的對(duì)比如圖4(a)的雷達(dá)圖所示。對(duì)于套餐修改服務(wù)，圖4(b)的右半部分展示了在示例系統(tǒng)中可供選擇的身份認(rèn)證方案。圖4(b)的雷達(dá)圖比較了所有可選項(xiàng)中有最佳易用性和更低成本的兩種方案。這兩種方案在易用性和成本方面有同樣優(yōu)秀的表現(xiàn)，但口令與短信驗(yàn)證碼的組合比短信驗(yàn)證碼與6位PIN碼的組合有更強(qiáng)的安全性。

(a)(b)圖4 根據(jù)安全性需求的可選身份認(rèn)證方式系統(tǒng)示例

5 結(jié) 語(yǔ)

本文提出了數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)身份認(rèn)證量化評(píng)估框架，從安全性、可靠性、易用性、可訪問性、和成本五個(gè)維度進(jìn)行綜合的量化分析和評(píng)估，并將評(píng)估結(jié)果以雷達(dá)圖的形式展示。本文還提出了基于增量數(shù)據(jù)驅(qū)動(dòng)的動(dòng)態(tài)更新模型用于根據(jù)用戶的實(shí)際認(rèn)證數(shù)據(jù)改進(jìn)量化評(píng)估結(jié)果。利用本文框架，網(wǎng)站管理員可以綜合量化評(píng)估對(duì)所選擇的身份認(rèn)證方案，并能根據(jù)網(wǎng)站或服務(wù)的安全性等選擇合適的身份認(rèn)證方案。