一種基于語義網絡身份認證技術的研究

楊旭東

（呂梁學院 計算機系，山西 離石 033000）

一種基于語義網絡身份認證技術的研究

楊旭東

（呂梁學院 計算機系，山西 離石 033000）

隨著當前網絡迅速發展，身份認證越來越受到關注。介紹身份認證的概念及當前基本方式，對當前身份認證技術存在的問題深入分析，提出一種基于語義網絡的身份認證，并進一步探討其特點和優點，有助于當前身份認證技術的研究。

身份認證；語義網絡；網絡安全

隨著互聯網的不斷發展，越來越多的人們開始嘗試在線交易，但是由于病毒、黑客、網絡釣魚及網頁仿冒詐騙等現象的存在，給人們的在線交易和使用帶來了極大的風險。為了盡可能地避免安全問題，開發各種網絡系統都需要進行各種身份認證和權限檢查。

1 身份認證概述

身份認證對于防護網絡資產有著舉足輕重的作用，是確保網絡安全的第一道防線。身份認證主要是用于驗證通信雙方的真實身份，以防止一些非法用戶利用欺騙手段，竊取一些敏感數據。在安全的網絡通信中，為了驗證用戶的身份，正在通信的各方不管通過何種形式或何種手段，都必須驗證它們的身份，然后才能實現對于不同用戶的訪問控制和記錄。

2 身份認證基本方式

當前流行的用戶身份認證有多種，其中大多都是通過以下幾種基本方式或其組合方式來實現。

2.1 用戶名和密碼驗證方式

在身份認證方法中最簡單也是最常用的一種主要方式就是用戶名和密碼驗證方式，該方式的驗證手段是“你知道什么”。在這里每個用戶設定一個只有自己知道的密碼，但是這種做法使得密碼很容易就泄漏了。因為計算機中的木馬或其他病毒程序的存在，使得這些密碼仍然有被截獲的危險，因此，用戶名和密碼驗證方式是一種極不安全的身份認證方式。[1]

2.2 動態口令

動態口令技術是一種對用戶密碼根據某種人為操作比如時間或使用次數等進行不斷變化的方法，而且每個密碼只能被使用一次。這種技術主要采用一種專門的密碼算法——即時密碼方法，這種方法有效保證了用戶身份的安全性。因為目前網絡傳輸或計算機本身運作存在某些問題，使客戶端與服務器端在時間或次數上不能保持良好的同步，而這個原因將會導致合法用戶無法登錄。而且，如果由于密碼是一串規律的密碼，用戶每次登錄都需要通過鍵盤輸入，在這個過程中，或多或少存在輸錯的現象，如果輸錯就要重新操作，這樣也給用戶帶來了極大的不方便。

2.3 智能卡認證

智能卡是一種不可復制的由專門廠商通過專門技術生產而得，它相當于是一種內置的集成電路組成的芯片，像計算機芯片一樣能存儲信息，主要存有用戶本人的一些信息，從而能證明就是用戶本人。一般情況下，當智能卡里的信息通過讀卡器讀取后，經過驗證是合法用戶，就可以登錄以獲取信息。所以這種方式仍然存在一些安全隱患的。[2]

2.4 UK或U盾認證

目前，中國建設銀行的網上銀行一般采用UK認證來確認用戶身份，中國工商銀行的網上銀行采用的是U盾認證，原理都是一樣的，這種方式相對來說是近年來比較安全方便的一種身份認證技術。這種方式是一種“即時密碼”的強雙因子認證模式，是通過硬件和軟件有機結合，從而在某種程度上給用戶帶來了安全性和簡單易用性。

2.5 基于多因素的身份認證

用戶名和密碼、動態口令、智能卡或UK等身份認證方式都是比較單一的、傳統的身份認證。但是從安全角度出發，根據服務器的安全管理機制，我們應該在不同的應用服務器上應用不同的口令。

3 當前身份認證技術存在的問題

當前網絡運行是電子政務和電子商務應用的基礎平臺，由于網絡在可靠和安全方面的缺陷，使得商業應用軟件天生具有缺陷。對于一些信息，特別是敏感數據的可靠性和完整性如果得不到保障，后果將會很嚴重。對于可信度主要涉及兩方面：一是平臺的配置和所有權可信度，也就是敏感信息受到保護，不會受到病毒侵襲，這需要操作系統和一些硬件支持，使運行過程在遵守一定規則的條件下擁有最小的權限，這是計算機安全領域多年來一直關注的問題；第二是平臺配置必須確保平臺之間交互是可信的，這一領域中的遠程認證到目前為止是一個較新的概念。但在當前形勢下遠程認證仍存在以下幾個嚴重的漏洞。

3.1 一次性驗證方式。對于共享密鑰和公鑰，因為只存在一次性的靜態驗證，之后再無驗證，本身就對于這個身份安全信任，但其實仍然存在危驗性。

3.2 靜態數據。現有的身份認證技術總是依賴于一個靜態數據，或者是口令或者是密鑰，或者是一個哈希碼，都缺乏表現實體的即時信息的能力，一般沒有辦法傳遞實體的動態信息，而這些動態信息也許才是更需要驗證的。

3.3 不基于行為。因為現有的身份認證技術都是基于靜態的，經過一次驗證后，不再對其他任何的行為負責，這本身就存在安全隱患。

3.4 與異構的計算環境沖突。封閉式的系統（比如ATMs系統）是較安全的系統，但是一般又與網絡大規模普及的現狀相矛盾。面對開放式系統迅速發展的現狀，異構便理所當然得成為計算機網絡環境的一大主要特征，而現有的身份認證技術大多都是針對單系統或少數幾種系統開發的。同時只能進行簡單通訊的異構系統已無法滿足要求，所以開發跨平臺，使身份認證適合更高的要求，適應各種各樣的異構系統，成為目前身份認證開發的重大挑戰。[3]

4 基于語義網絡的身份認證

語義網絡身份認證是一種基于語言安全和虛擬機的新思路,基于語言的安全被定義為“基于設計語言的理論與執行的一整套技術，包括語義、類型、優化和查證，這套技術用來負擔安全問題，并通過平衡程序分析和程序重寫來強迫執行安全策略”。對當前情況而言，最有希望的方法包括：proof-carrying code，typed assembly language（TAL），inlined execution monitors,and information flow type systems。語義網絡身份認證是靈活的、動態、基于行為的，并且還是可以獨立于平臺的一種關于遠程認證的方法。不同異構的系統突顯出“通用平臺”的意義并且促進了其發展（如.net虛擬機）。如果要對設計語義身份認證進行執行，并且執行在獨立于系統的虛擬機中的話，則之前實現不了的好多功能可以實現，原因就是高層次的認證是沒辦法用底層的代碼來實現，我們所說的代碼層次是很低的。為了使身份認證能夠更加靈活的執行，使高層次的行為特征能夠驗證實體，我們必須要建立一個平臺，這個平臺必須是獨立于操作系統的，為了達到這種效果，最好的選擇無疑就是虛擬機（如java、和.net虛擬機）。為了使認證程序的行為不單單是一些特殊的二進制數據，必須使得身份認證能夠更具有表現力。

傳統的認證認為語義認證是推理代碼的行為，而并不是去推理特定的可執行的二進制字節，這一結論有很大的致命缺點，而語義網絡身份認證相對于傳統認證，它不是一次性的，是動態的。另外語義網絡身份認證還是靈活的，因為它的實現基礎是可信虛擬機，可以執行任意的代碼分析和關于認證的結果。

5 結束語

總之，低技術含量的舊系統將慢慢消失，基于Smartcard的身份鑒定系統正在迅速發展，全球多個國家及地區的身份認證技術都在迅速發展，所以對于身份認證技術的研究具有必要性和現實性。

［1］史艷芬，葛燧和.一種P2P網絡安全信任模型的設計與實現［J］.計算機應用，2005，（3）：36.

［2］林滿山，郭荷清，尹劍飛，高學勤.基于信任度的網絡應用對等單點登錄［J］.華南理工大學學報（自然科學版），2004，（10）：87.

［3］鄭東曦，唐韶華，黎紹發.Web服務統一身份認證協議［J］.華南理工大學學報（自然科學版），2005，（2）：90.

Research on a Kind of Identity Certification M ethod Based on Semantic Network

YANG Xu-dong
（Departmentof Computer Science Lvliang College，Lishi Shanxi 033000）

Along with the current network rapid development，identity authentication has been paid more and more attention.The concept and the basic identity authentication have been introduced in this paper.The problems of authentication technology has been analysed in-depth.Then a kind of identity certification method based on semantic network has been proposed，and further discussed its characteristics and advantages.This will contribute to the current identity authentication technology research.

identity authentication；semantic network；network security

TP393

A

1673-2014（2011）05-0052-03

2011—04—22

楊旭東（1979— ），男，山西柳林人，講師，主要從事計算機應用技術研究。

（責任編輯 郝瑞宇）