基于社會認(rèn)證的網(wǎng)絡(luò)身份模型＊

邵成成，姜新文，陳 侃，朱培棟

（國防科學(xué)技術(shù)大學(xué)計算機(jī)學(xué)院，湖南 長沙410073）

1 引言

在線社會網(wǎng)絡(luò)OSN（Online Social Network）近年來得到飛速發(fā)展。據(jù)Statistic Brain統(tǒng)計，F(xiàn)acebook注冊用戶已超過10 億，Twitter注冊用戶已達(dá)到500萬；QQ 的統(tǒng)計表明，中國區(qū)最高同時在線人數(shù)超1.7億。

OSN 在給人們生活帶來便利的同時，其匿名性卻導(dǎo)致水軍泛濫、謠言傳播、隱私侵犯等一系列問題。如淘寶上的惡意刷評、謠言所致的群體事件、人肉搜索事件等。為解決OSN 的匿名性，有人提出網(wǎng)絡(luò)實(shí)名制。網(wǎng)絡(luò)實(shí)名制是指將網(wǎng)絡(luò)用戶的身份與其個人真實(shí)身份建立一一對應(yīng)關(guān)系的網(wǎng)絡(luò)管理制度，實(shí)質(zhì)是將現(xiàn)實(shí)社會中的身份標(biāo)識引入網(wǎng)絡(luò)，使得每一個“網(wǎng)絡(luò)人”都能和“現(xiàn)實(shí)人”對應(yīng)起來。韓國作為世界第一個全面實(shí)行實(shí)名制的國家，雖因?qū)嵜畔⒌男孤┒兄梗泻芏鄬W(xué)者對其進(jìn)行了研究。Song D H 等人［1］重新評估韓國政府針對“燭光游行”采取的監(jiān)管措施所帶來的影響，反映出網(wǎng)絡(luò)實(shí)名制在言論自由上的嚴(yán)重障礙。而Cho D 等人［2，3］的數(shù)據(jù)分析表明，實(shí)名制對用戶的行為總的來看是積極的，明顯減少用戶不受約束的行為。Oh Y 等人［4］的分析表明，實(shí)名制易致用戶信息泄露并受釣魚網(wǎng)站威脅。

網(wǎng)絡(luò)實(shí)名制作為身份認(rèn)證手段，依賴實(shí)名信息將“現(xiàn)實(shí)人”與“網(wǎng)絡(luò)人”聯(lián)系起來。要從根本上解決實(shí)名信息泄漏的問題，需要改變身份認(rèn)證時所需要的依賴因素——不能依賴實(shí)名信息作為認(rèn)證因素。

在計算機(jī)領(lǐng)域，傳統(tǒng)的身份認(rèn)證因素主要依賴用戶名/密碼、第三方憑證和生物特征。這些因素都不太適OSN 上的輿論監(jiān)管。RSA 實(shí)驗室的Brainard J 等 人［5］提 出 第 四 種 可 以 依 賴 的 因素——somebody you know，即依賴于社會關(guān)系。在此基礎(chǔ)上，Microsoft Research Lab的Schechter S等人［6］利用社會認(rèn)證建立備用的認(rèn)證系統(tǒng)；Zhan J等人［7］進(jìn)一步細(xì)化社會網(wǎng)絡(luò)，將社會關(guān)系按強(qiáng)弱劃分級別，低級別要到達(dá)認(rèn)證級別，需更多擔(dān)保人。盡管上述結(jié)論依賴線下社會關(guān)系，然而研究表明社會關(guān)系的強(qiáng)弱，不依賴于線上和線下。如Ellison N B等人［8］認(rèn)為，絕大多數(shù)線上關(guān)系的建立基于已存在的線下關(guān)系；Ellison N 等人［9］甚至認(rèn)為Facebook更傾向被用于維護(hù)和鞏固線下關(guān)系而非認(rèn)識新人。在具體如何利用社會關(guān)系構(gòu)建網(wǎng)絡(luò)身份的研究上，Maheswaran M 等人［10］進(jìn)行初步探索。他們給OSN 增加一個虛根節(jié)點(diǎn)，利用其它節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑作為身份認(rèn)證的因素。但是，這一身份模型沒有考慮到社會關(guān)系的強(qiáng)弱之分，sybil節(jié)點(diǎn)的存在和網(wǎng)絡(luò)的動態(tài)變化等問題。

本文提出的基于社會認(rèn)證的網(wǎng)絡(luò)身份SANI（Social Authenticated Network Identity）模型，采用擔(dān)保形式的社會認(rèn)證，能保證節(jié)點(diǎn)的真實(shí)性、邊的牢固性和路徑的有效性，并在不依賴實(shí)名信息的情況下得到安全可靠的SANI。SANI如同節(jié)點(diǎn)的身份證，能實(shí)現(xiàn)身份認(rèn)證和行為溯源。

2 基于社會認(rèn)證的網(wǎng)絡(luò)身份模型

對OSN 進(jìn)行分析時，我們一般將OSN 看成一張圖，其中V為頂點(diǎn)集合，對應(yīng)于用戶集合，E為邊集合，對應(yīng)于關(guān)系的集合。另外，圖G中的路徑則對應(yīng)于關(guān)系的傳遞。我們分別從點(diǎn)、邊和路徑出發(fā)，論述在線社會網(wǎng)絡(luò)身份模型，并給出構(gòu)建SANI的系統(tǒng)框架。

2.1 在線社會網(wǎng)絡(luò)身份模型

我們討論的身份問題是指“個人實(shí)體與數(shù)據(jù)關(guān)聯(lián)的問題”，與Clarke R［11］所討論的身份意義相同。下面我們討論在OSN 中如何利用社會關(guān)系構(gòu)建身份。

（1）Ego－Identity身份模型。

在網(wǎng)絡(luò)中，以自己為中心，可繪制出一張以自我為中心的社會網(wǎng)絡(luò)圖，如圖1所示。

Figure 1 Example of Ego－Identity graph圖1 Ego－Identity圖示例

圖1中，d（x，Me）表示x和Me之間所有路徑長度的最小值。該網(wǎng)絡(luò)中，離自己越近的節(jié)點(diǎn)關(guān)系越親密，即d越小意味著節(jié)點(diǎn)x與節(jié)點(diǎn)Me的聯(lián)系越緊密。定義：

則在描述自中心的社會網(wǎng)絡(luò)身份時，可定義x的身份為：

現(xiàn)實(shí)世界中，每個人自中心的社會網(wǎng)絡(luò)是不同的，因此其可作為身份認(rèn)證的依據(jù)。如EgoIdentity（Me）＝｛A，B，C｝｛D，E，F(xiàn)，G，H｝｛I，J，K，L｝可作為Me的身份標(biāo)識。但是，在OSN 中，惡意用戶可創(chuàng)建大量假節(jié)點(diǎn)來保護(hù)自己。

（2）Path－Identity身份模型

在網(wǎng)絡(luò)中，增加虛擬根節(jié)點(diǎn)，其它節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑可作為該節(jié)點(diǎn)的身份，Maheswaran M 所提出的方案就是這一模型。該模型下，節(jié)點(diǎn)x的身份PathIdentity（x）＝［12，451］，為LandMark節(jié)點(diǎn)經(jīng)節(jié)點(diǎn)b到x的邊序列，如圖2所示。

路徑模型在一定程度上解決sybil節(jié)點(diǎn)問題，但仍存在其它問題。如路徑存在問題，對邊緣節(jié)點(diǎn)可能不存在到達(dá)Landmark 的路徑；路徑脆弱問題，OSN 中的節(jié)點(diǎn)間并非總是強(qiáng)關(guān)系，那么路徑上任意一條邊的脆弱都會導(dǎo)致整條路徑的脆弱；網(wǎng)絡(luò)動態(tài)變化問題，路徑上任意節(jié)點(diǎn)或者邊的失去，都會使路徑失效。

Figure 2 Example of Path－Identity圖2 Path－Identity示例

（3）基于社會認(rèn)證的網(wǎng)絡(luò)身份模型。

雖然Ego－Identity和Path－Identity都利用社會關(guān)系進(jìn)行身份認(rèn)證，但是它們都存在明顯的不足。SANI模型結(jié)合了兩者的優(yōu)點(diǎn)，對社會關(guān)系有更深入的發(fā)掘。其既利用Ego－Identity中直接相鄰節(jié)點(diǎn)間的社會關(guān)系最緊密的特性，又采用Path－Identity中路徑認(rèn)證抑制虛假節(jié)點(diǎn)的優(yōu)勢。另外，為解決OSN 中可能存在的虛假節(jié)點(diǎn)和弱關(guān)系問題，SANI采用擔(dān)保形式的社會認(rèn)證，使得參與身份構(gòu)建的節(jié)點(diǎn)、邊和路徑的可靠性得到保證。我們會在3.1節(jié)中詳細(xì)討論社會認(rèn)證和SANI的構(gòu)建。

2.2 系統(tǒng)框架設(shè)計

系統(tǒng)的主要思想是采用擔(dān)保方式完成對OSN中節(jié)點(diǎn)的社會認(rèn)證并構(gòu)建節(jié)點(diǎn)的身份。

圖3描述了系統(tǒng)的框架。SNS服務(wù)器是OSN的提供者，維護(hù)社會網(wǎng)絡(luò)的運(yùn)行。在社會認(rèn)證過程中，需要選擇部分節(jié)點(diǎn)作為根節(jié)點(diǎn)，并由擔(dān)保服務(wù)器進(jìn)行服務(wù)器端認(rèn)證，其它節(jié)點(diǎn)采用擔(dān)保方式，由擔(dān)保服務(wù)器完成擔(dān)保認(rèn)證。SANI服務(wù)器，依據(jù)SNS服務(wù)器和擔(dān)保服務(wù)器，構(gòu)建每個節(jié)點(diǎn)的SANI身份，并完成SANI的認(rèn)證和網(wǎng)絡(luò)監(jiān)管中的溯源。

3 關(guān)鍵機(jī)制

本節(jié)描述系統(tǒng)社會認(rèn)證、信任權(quán)值管理和行為溯源三大機(jī)制。社會認(rèn)證機(jī)制是SANI的構(gòu)建基礎(chǔ)，我們將從根節(jié)點(diǎn)集的選擇、層次化、擔(dān)保認(rèn)證和SANI構(gòu)建四個方面詳細(xì)論述。社會認(rèn)證中節(jié)點(diǎn)的可信度是變化的，信任權(quán)值管理介紹如何描述節(jié)點(diǎn)的信任權(quán)值。行為溯源是SANI的應(yīng)用，描述如何利用SANI中包含的社會認(rèn)證信息對惡意行為進(jìn)行溯源。

Figure 3 System framework圖3 系統(tǒng)框架

3.1 社會認(rèn)證

通常，個人實(shí)名信息PRNI（Personal Real Name Information），包含必須部分如用戶名和身份證和可選部分如個人其它信息描述。

實(shí)名認(rèn)證中前者為主要認(rèn)證，后者作為輔助驗證。相反，社會認(rèn)證中，更重要的是社會關(guān)系的描述。在擔(dān)保方式的社會認(rèn)證中，用戶的驗證信息將會發(fā)送給朋友，我們定義為：

當(dāng)然，這只是文本信息的驗證。更嚴(yán)格的驗證可采取語音、視頻、圖像等方式。用戶不需發(fā)送實(shí)名信息給服務(wù)器，但為實(shí)現(xiàn)對全局身份的管理，定義發(fā)送至服務(wù)器的信息為，

即，將用戶所加密的實(shí)名信息的必須部分的哈希值作為用戶的全局身份IDglobal。

在OSN 中進(jìn)行社會認(rèn)證的具體過程包括根節(jié)點(diǎn)集的選擇、層次化、擔(dān)保認(rèn)證和SANI的構(gòu)建四個部分。

（1）根節(jié)點(diǎn)集的選擇。

選擇OSN 中的很少部分用戶作為根節(jié)點(diǎn)集進(jìn)行服務(wù)器端認(rèn)證，記為SETroot。用戶作為社會認(rèn)證的起點(diǎn)和行為溯源的終點(diǎn)，其選擇原則是中間度大和全局分散。中間度大的節(jié)點(diǎn)可靠性高，社會認(rèn)證擴(kuò)散快；全局分散的原則也是使社會認(rèn)證擴(kuò)散快。具體實(shí)施時，可對OSN 上的節(jié)點(diǎn)進(jìn)行社區(qū)分析，選擇那些中間度高的節(jié)點(diǎn)。中間度，即Betweenness Centrality，常用于分析社會網(wǎng)絡(luò)中個體重要性，它表示所有的節(jié)點(diǎn)對之間通過該節(jié)點(diǎn)的最短路徑條數(shù)。它很好地描述了一個網(wǎng)絡(luò)中節(jié)點(diǎn)可能需要承載的流量。一個節(jié)點(diǎn)的中間度越大，流經(jīng)它的數(shù)據(jù)分組越多，在OSN 中意味著媒介作用越大。定義為：

其中，σst表示所有由節(jié)點(diǎn)s到節(jié)點(diǎn)t的最短路徑數(shù)量；σst（v）表示所有由節(jié)點(diǎn)s到節(jié)點(diǎn)t，經(jīng)過節(jié)點(diǎn)v的最短路徑數(shù)量。

（2）圖G層次化。

擔(dān)保認(rèn)證一般是按照由高層往低層次進(jìn)行的。層次化具體步驟為：

①定義SETroot中的節(jié)點(diǎn)在G中的層次為第1層I1；

②按照寬度優(yōu)先算法進(jìn)行掃描，忽略掃描過程中再次出現(xiàn)的節(jié)點(diǎn)；

③直至第In層結(jié)束，那么由I1，I2，…，In得到完全層次化的圖G1。

（3）擔(dān)保認(rèn)證。

對于（1）中的SETroot節(jié)點(diǎn)，采用服務(wù)器認(rèn)證（如實(shí)名認(rèn)證），記為SAserver，個人認(rèn)證信息需保存在服務(wù)器。其它的節(jié)點(diǎn)采用擔(dān)保認(rèn)證的方式，記為SAfriend，即用戶需定義朋友關(guān)系組SETfriends；然后向SETfriends提交驗證請求；最后由SETfriends驗證并告知服務(wù)器。為防止惡意節(jié)點(diǎn)隨意指定SETfriends，我們要求作為擔(dān)保者的節(jié)點(diǎn)須是已被認(rèn)證過的節(jié)點(diǎn)，記為SETsf，

如圖4所示，為擔(dān)保認(rèn)證過程，參與者有：

Unverified User：待驗證者，記為Userunverfied，是驗證請求的發(fā)起者；

Verifiers：表示驗證組，記為SETverifiers，對驗證請求進(jìn)行驗證；

Vouching Server：擔(dān)保服務(wù)器，記為Servervouching，維護(hù)全部節(jié)點(diǎn)的認(rèn)證狀態(tài)。

擔(dān)保認(rèn)證的具體過程：

①Userunverified，發(fā)送PRNItoFriends至SETverifiers，PRNItoServer至服務(wù)器；

②SETverifiers驗證PRNItoFriends；

③SETverifiers告知Servervouching驗證結(jié)果；

④Servervouching收集驗證結(jié)果，確定Userunverified是否通過驗證；若通過，則將Userunverified標(biāo)記為SAfriends。

（4）SANI的構(gòu)建。

Figure 4 Social authentication process by vouching圖4 擔(dān)保方式的社會認(rèn)證過程

在SANI構(gòu)造中，我們同時考慮節(jié)點(diǎn)的直接后繼和節(jié)點(diǎn)與根節(jié)點(diǎn)間的路徑。定義SANI為：

其中，

TypeSA為社會認(rèn)證的類型，服務(wù)器認(rèn)證或者擔(dān)保認(rèn)證；

Rootspath為所有認(rèn)證路徑的根節(jié)點(diǎn)集合；

Friendsfirstpass為首次達(dá)到社會認(rèn)證條件時，所有擔(dān)保節(jié)點(diǎn)的集合；

Friendsvoucher為朋友集合中，該節(jié)點(diǎn)擔(dān)保者的集合；

Friendsasker為朋友集合中，該節(jié)點(diǎn)作為擔(dān)保者的集合。

SANI中不直接保存所有的根路徑，因為可能存在很多路徑，而是提供足夠的信息以還原根路徑，我們設(shè)路徑方向指向Root，則：Rootpath指明所有路徑的根節(jié)點(diǎn)集合；Friendsvoucher指明所有路徑上本節(jié)點(diǎn)的后繼節(jié)點(diǎn)集合；Friendsasker指明所有路徑上本節(jié)點(diǎn)的前驅(qū)節(jié)點(diǎn)的集合。

3.2 信任權(quán)值管理

SAserver認(rèn)證的節(jié)點(diǎn)，其可信度最高；作為認(rèn)證的啟動過程，I2層上的節(jié)點(diǎn)，僅需SAserver認(rèn)證的節(jié)點(diǎn)擔(dān)保即可通過SAfriends認(rèn)證；但其信任權(quán)值降低，意味著I2層上的節(jié)點(diǎn)提供擔(dān)保時，需要更多的節(jié)點(diǎn)才能通過認(rèn)證。隨著信任層次傳遞，信任程度不斷降低，我們定義位于第k層的節(jié)點(diǎn)，其層信任權(quán)值wlk（Trust Weight of Node Level）如表1所示。但是，SETroot是初次選擇時已確定的，且數(shù)量很少。由于信任權(quán)值隨著層次不斷減小，下層節(jié)點(diǎn)的認(rèn)證可能需要很多節(jié)點(diǎn)的擔(dān)保，這可能導(dǎo)致某些節(jié)點(diǎn)無法滿足社會認(rèn)證條件。考慮到節(jié)點(diǎn)的可信程度除了與層次有關(guān)系外，還與節(jié)點(diǎn)的度有關(guān)系，特別是與節(jié)點(diǎn)的SETfriend的大小有關(guān)系。如果節(jié)點(diǎn)的度或節(jié)點(diǎn)的擔(dān)保人較多，我們可適當(dāng)增加其信任權(quán)值，定義節(jié)點(diǎn)k的度信任權(quán)值wdk（Trust Weight of Node Degree）。我們定義，Dk＝degree（k），表示節(jié)點(diǎn)k的度，這里的度必須是有雙向連結(jié)；AVGDlk＝average（degree（lk）），表示第k層節(jié)點(diǎn)集的平均節(jié)點(diǎn)度；NUMsa（k）＝number（｛y｜y∈SETFriends（k）∧y∈SAsf｝），表示節(jié)點(diǎn)k的親密關(guān)系組SETfriends（k）通過社會認(rèn)證的數(shù)量。這些變量與wdk的關(guān)系如表2和表3所示。

Table 1 Trust weight of node level表1 按層次為節(jié)點(diǎn)所賦予的層次信任權(quán)值

Table 2 Trust weigth incrementΔ1affected by Dk表2 Dk 對權(quán)值增量Δ1 的影響

Table 3 Trust weight incrementΔ2affected by NUMsa（k）表3 NUMsa（k）對權(quán)值增量Δ2 的影響

最終，節(jié)點(diǎn)k的信任權(quán)值wk為：

在擔(dān)保認(rèn)證過程中，節(jié)點(diǎn)x通過擔(dān)保認(rèn)證的條件是：

其中，wi是節(jié)點(diǎn)x的擔(dān)保節(jié)點(diǎn)信任權(quán)值。

3.3 行為溯源

行為溯源是指，當(dāng)惡性行為發(fā)生時，我們可通過節(jié)點(diǎn)的SANI來追溯其現(xiàn)實(shí)身份。SANI中包含認(rèn)證節(jié)點(diǎn)的路徑信息，我們可根據(jù)SANI中的路徑信息追溯到惡意節(jié)點(diǎn)對應(yīng)的現(xiàn)實(shí)人。如，通過節(jié)點(diǎn)A的SANI，可找到對應(yīng)的根節(jié)點(diǎn)和直接后繼節(jié)點(diǎn)。如圖5所示，節(jié)點(diǎn)A有三個擔(dān)保節(jié)點(diǎn)V1、V2、V3，它們是A的朋友且通過社會認(rèn)證（灰色節(jié)點(diǎn)），在圖中表現(xiàn)為A的直接后繼節(jié)點(diǎn)；虛線箭頭表示中間的節(jié)點(diǎn)SANI，可通過迭代獲得。

假設(shè)，節(jié)點(diǎn)A產(chǎn)生了惡意的行為，并且我們需要追溯A節(jié)點(diǎn)的現(xiàn)實(shí)身份，我們可以直接向V1、V2、V3詢問A的現(xiàn)實(shí)身份。當(dāng)然，根據(jù)V1、V2、V3的回復(fù)，又有不同的處理方式。

（1）回復(fù)一致。驗證節(jié)點(diǎn)A的現(xiàn)實(shí)身份，如果符合，則達(dá)到溯源的目標(biāo)；如果不符合，則V1、V2、V3的回復(fù)相當(dāng)于惡意行為，分別對其進(jìn)行溯源。

（2）回復(fù)不一致。對每個回復(fù)進(jìn)行驗證，如果符合，則該回復(fù)達(dá)到溯源目標(biāo)，并且對其他回復(fù)的節(jié)點(diǎn)進(jìn)行溯源；如果不符合，則對該節(jié)點(diǎn)進(jìn)行溯源。

（3）部分回復(fù)。對已回復(fù)的節(jié)點(diǎn)按照（1）、（2）流程處理；對于未回復(fù)的節(jié)點(diǎn)，暫停其社會認(rèn)證的標(biāo)識，其相應(yīng)的社交功能受到限制（比如無法發(fā)言），直至回復(fù)該詢問。

（4）全沒回復(fù)。同（3）。

Figure 5 Process of tracing real world identity圖5 行為溯源過程

溯源過程是一個遞歸過程，終止于頂層節(jié)點(diǎn)SAserver，因為此類節(jié)點(diǎn)，用戶的真實(shí)身份信息保存在服務(wù)器。針對節(jié)點(diǎn)的惡意行為及其擔(dān)保者的擔(dān)保活動，可以采取措施消減其信任權(quán)值。

4 社會認(rèn)證模擬與安全性討論

本節(jié)我們首先模擬社會認(rèn)證過程中SETroot節(jié)點(diǎn)集的選擇，然后對社會認(rèn)證和SANI的安全性進(jìn)行討論。

4.1 社會認(rèn)證模擬

限于實(shí)驗環(huán)境限制，我們暫時難以開展OSN上實(shí)際的社會認(rèn)證實(shí)驗，而采用分析模擬的方式取代。因為擔(dān)保過程需要節(jié)點(diǎn)間的相互交互，難以進(jìn)行分析模擬，所以我們主要對選擇過程和策略進(jìn)行分析模擬。SETroot是社會認(rèn)證過程的起點(diǎn)和行為溯源的終點(diǎn)，需要選擇可靠性高且社會認(rèn)證擴(kuò)散速度快的節(jié)點(diǎn)。

如圖6所示，是模擬的過程和結(jié)果。為便于可視化，我們選擇大規(guī)模的OSN 中的部分樣例。如圖6a所示，它是本次模擬的社交網(wǎng)絡(luò)拓?fù)鋱D，為實(shí)際社交網(wǎng)絡(luò)中極小的一部分，約330個節(jié)點(diǎn)，1 000條左右的邊。對圖6a進(jìn)行社區(qū)發(fā)現(xiàn)算法，找到其中的社區(qū)，如圖6b 所示。圖6b 是通過walktrap算法得到的社區(qū)結(jié)構(gòu)。每個社區(qū)中的節(jié)點(diǎn)關(guān)系相對緊密，便于社會認(rèn)證的條件易滿足。如果SETroot中的節(jié)點(diǎn)分散在每個社區(qū)，則會大大加速整個OSN 中社會認(rèn)證的擴(kuò)散。為了在每個社區(qū)選擇中間媒介度高的節(jié)點(diǎn)，我們需要分析每個節(jié)點(diǎn)的中間度，如圖6c所示，為所有節(jié)點(diǎn)的中間度分布。如果按照每個社區(qū)至少選擇一個SETroot節(jié)點(diǎn)的思想，應(yīng)該依據(jù)圖6c的中間度分別在圖6b每個社區(qū)中選擇中間度最大的節(jié)點(diǎn)。但是，實(shí)際上，walktrap算法發(fā)現(xiàn)的社區(qū)并不一定準(zhǔn)確，在本次模擬中，由于整個圖較小，算法計算出來的社區(qū)大部分很小，于是我們剔除這些較小的社區(qū)。最后，我們選擇中間度不小于3 000 的節(jié)點(diǎn)作為SETroot，如圖6d所示，圖中的大點(diǎn)即為我們選擇的節(jié)點(diǎn)。

在實(shí)際的OSN 上，除了采用數(shù)據(jù)分析的方法外，我們還可以直接選擇OSN 中的名人用戶。這些名人用戶，或為明星，或是領(lǐng)域?qū)＜遥蚴钦M織要員，其OSN 帳號的真實(shí)性能夠得到保證；同時名人的社交范圍廣，一般能起到中間媒介作用，能夠滿足社會認(rèn)證快速擴(kuò)散的作用。

Figure 6 Simulation results圖6 模擬過程和結(jié)果

4.2 安全性討論

系統(tǒng)核心安全有兩大部分：社會認(rèn)證的安全和SANI本身的安全。社會認(rèn)證的安全在文獻(xiàn)［5］中已經(jīng)有所討論，這里我們進(jìn)一步討論全局標(biāo)識IDglobal的安全性和SAserver節(jié)點(diǎn)的安全性。SANI的構(gòu)造依賴OSN 拓?fù)浣Y(jié)構(gòu)，我們將分析構(gòu)造過程的安全性。

（1）社會認(rèn)證安全性。

①全局標(biāo)識IDglobal的安全性。在同一SNS上用戶可能注冊了不同的賬號，假設(shè)用戶A在同一SNS下?lián)碛匈~戶A1、A2、A3，按照社會認(rèn)證的流程，賬號A1通過社會認(rèn)證，如果無IDglobal則會出現(xiàn)自我擔(dān)保和多賬號他人擔(dān)保的異常情況。在我們的設(shè)計中，惡意用戶確實(shí)可能擁有兩個以上的IDglobal，如果他們具有不同個人信息副本并與SETfriend共謀。但是，這種惡意行為產(chǎn)生的可能性極小且對系統(tǒng)核心安全無影響。首先，我們不收集用戶的實(shí)名信息，從根本上消除用戶因擔(dān)心信息泄露而欺騙的動機(jī)；其次，攻擊者并不能獲取好處，卻需付出相當(dāng)大代價，如偽造身份信息和共謀；最后，即使成功偽造IDglobal，行為溯源依然可有效進(jìn)行。因為行為溯源機(jī)制不關(guān)心擔(dān)保節(jié)點(diǎn)與被擔(dān)保者間依賴何種信息進(jìn)行身份認(rèn)證，而只關(guān)心他們之間是否存在強(qiáng)關(guān)系，而偽造IDglobal需要朋友共謀，這本身就說明兩者間具有強(qiáng)關(guān)系，所以依然可通過SANI進(jìn)行行為溯源。

②SAserver節(jié)點(diǎn)的安全性。SAserver節(jié)點(diǎn)作為社會認(rèn)證的頂層節(jié)點(diǎn)，既是社會認(rèn)證的起點(diǎn)，又是行為溯源的終點(diǎn)，為保證SAserver節(jié)點(diǎn)的真實(shí)性，我們需對其進(jìn)行服務(wù)器端的身份認(rèn)證。在采用實(shí)名認(rèn)證的時候，考慮到SAserver節(jié)點(diǎn)的數(shù)量有限，變動小，社會認(rèn)證時，實(shí)名信息不被使用等原因，可對實(shí)名信息物理隔離保護(hù)。另外，我們認(rèn)為即使SAserver節(jié)點(diǎn)的實(shí)名信息泄露也不會對系統(tǒng)產(chǎn)生威脅，因為擔(dān)保認(rèn)證中不依賴實(shí)名信息。但是，實(shí)名信息的泄露確實(shí)會影響到SAserver節(jié)點(diǎn)所對應(yīng)的現(xiàn)實(shí)人，但考慮泄露概率和數(shù)量，其造成的影響可忽略。

（2）SANI的安全性。

通常，攻擊者比較容易獲取OSN 上用戶的朋友列表，但是要以此分析出某個節(jié)點(diǎn)的SANI在計算上是不可行的。參考SANI的構(gòu)造，雖然攻擊者通過分析能縮小被攻擊節(jié)點(diǎn)的范圍，但是卻無法區(qū)分其前驅(qū)與后繼節(jié)點(diǎn)；更進(jìn)一步，攻擊者也難以知道全局的服務(wù)器認(rèn)證節(jié)點(diǎn)。下面，我們從被攻擊節(jié)點(diǎn)的類型作進(jìn)一步討論。

隨機(jī)節(jié)點(diǎn)的攻擊。首先，如果不能確定哪些節(jié)點(diǎn)是SAserver節(jié)點(diǎn)，是無法進(jìn)行有效攻擊的；其次，進(jìn)行隨機(jī)節(jié)點(diǎn)攻擊，要求知道所有的SAserver節(jié)點(diǎn)，這幾乎是不可能的；最后，即使知道SAserver節(jié)點(diǎn)列表，其組合可能性也是計算不可行的。如，設(shè)SAserver有1 000個，其組合情況為：

2×21000×K

其中，K為其它參數(shù)可能的組合，因此隨機(jī)節(jié)點(diǎn)攻擊是最無效的。

針對服務(wù)器認(rèn)證節(jié)點(diǎn)及其直接后繼節(jié)點(diǎn)的攻擊。如果攻擊者已知某個節(jié)點(diǎn)是SAserver節(jié)點(diǎn)，則該節(jié)點(diǎn)的TypeSA和Rootspath泄漏；同時，其直接后繼節(jié)點(diǎn)的TypeSA和Rootspath也泄漏。在這種最具威脅的情況下，我們認(rèn)為雙向連結(jié)BiTie的數(shù)量會很好地保證節(jié)點(diǎn)安全性。對于SAserver，在選擇時已經(jīng)保證其BiTie數(shù)量足夠大，例如，對于擁有Bi－Tie數(shù)量為300名的SA 節(jié)點(diǎn)來說，其組合可能性為，

1×1×4300＝2600

最后，為保證其安全性，我們將使用IDglobal來保存SANI的信息，IDglobal是無法通過簡單的社交網(wǎng)絡(luò)分析得到的，因此攻擊者無法通過數(shù)據(jù)分析和暴力破解得到SANI。

5 結(jié)束語

網(wǎng)絡(luò)實(shí)名制解決了OSN 匿名性帶來的實(shí)名信息泄漏的本質(zhì)缺陷。本文發(fā)掘OSN 中的社會關(guān)系，提出基于社會認(rèn)證的網(wǎng)絡(luò)身份模型來解決這一問題。社會認(rèn)證依賴的認(rèn)證因素是社會關(guān)系而非實(shí)名信息，這樣就從根本上消除了實(shí)名信息泄漏的隱患。在身份模型構(gòu)建的討論中，我們從點(diǎn)、邊和路徑角度分析如何利用社會關(guān)系去構(gòu)建節(jié)點(diǎn)的身份，并最終采用基于社會認(rèn)證的身份模型。在社會認(rèn)證過程中，通過選擇部分節(jié)點(diǎn)作為根節(jié)點(diǎn)，采用擔(dān)保認(rèn)證方式，使得OSN 中的節(jié)點(diǎn)都能通過其朋友節(jié)點(diǎn)的擔(dān)保而進(jìn)行社會認(rèn)證。進(jìn)一步，利用OSN 社會認(rèn)證過程中的拓?fù)浣Y(jié)構(gòu)，在不依賴實(shí)名信息的基礎(chǔ)上，構(gòu)建每個節(jié)點(diǎn)的SANI身份。SANI能夠唯一標(biāo)識OSN 中該節(jié)點(diǎn)的身份，同時其蘊(yùn)含社會認(rèn)證的路徑信息，使其具有行為溯源的功能。最后，我們對系統(tǒng)模型中的社會認(rèn)證部分進(jìn)行簡易的模型模擬并對系統(tǒng)的安全性進(jìn)行深入的討論。總之，利用社會關(guān)系進(jìn)行身份認(rèn)證，可有效防止個人實(shí)名信息的泄漏并可對惡意行為進(jìn)行溯源，在OSN 中具有重要現(xiàn)實(shí)應(yīng)用和理論研究意義。當(dāng)然，我們的研究還存在很多不足，比如社會認(rèn)證過程中，如何保證認(rèn)證的擴(kuò)散速度；如何應(yīng)對OSN中節(jié)點(diǎn)的新增和刪除所帶來的動態(tài)變化等，這將是以后工作的研究方向。

［1］ Song D H.Power struggles in Korean cyberspace and Korean cyber asylum seekers［J］.Cultural Policy，Criticism ＆ Management Research，2011，1（1）：47.

［2］ Cho D.Real name verification law on the Internet：A poison or cure for privacy？［M］∥Economics of Information Security and Privacy III，New York：Springer，2011：239－261.

［3］ Cho D，Kim S，Acquisti A.Empirical analysis of online anonymity and user behaviors：The impact of real name policy［C］∥Proc of the 45th Hawaii International Conference on System Science（HICSS），2012：3041－3050.

［4］ Oh Y，Obi T，Lee J S，et al.Empirical analysis of Internet identity misuse：Case study of South Korean real name system［C］∥Proc of the 6th ACM Workshop on Digital Identity Management，2010：27－34.

［5］ Brainard J，Juels A，Rivest R L，et al.Fourth－factor authentication：Somebody you know［C］∥Proc of the 13th ACM Conference on Computer and Communications Security，2006：168－178.

［6］ Schechter S，Egelman S，Reeder R W.It’s not what you know，but who you know［C］∥Proc of CHI’09，2009：1.

［7］ Zhan J，F(xiàn)ang X.Authentication using multi－level social networks［M］∥Knowledge Discovery，Knowlege Engineering and Knowledge Management，Berlin：Springer，2011：35－49.

［8］ Ellison N B.Social network sites：Definition，history，and scholarship［J］.Journal of Computer－Mediated Communication，2007，13（1）：210－230.

［9］ Ellison N，Steinfield C，Lampe C.The benefits of facebook“friends”：Exploring the relationship between college students’use of online social networks and social capital［J］.Journal of Computer－Mediated Communication，2007，12（4）：1143－1168.

［10］ Maheswaran M，Ali B，Ozguven H，et al.Online identities and social networking［M］∥Handbook of Social Network Technologies and Applications，New York：Springer，2010：241－267.

［11］ Clarke R.Human identification in information systems：Management challenges and public policy issues［J］.Information Technology ＆People，1994，7（4）：6－37.