登錄易，一種基于可信用戶代理的多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證及管理機(jī)制

劉文印 吳鴻文 李 昕 凡 帥 張啟翔 巫家宏 沈治恒

（廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 廣州 510006）

（廣東工業(yè)大學(xué)網(wǎng)絡(luò)身份安全實(shí)驗(yàn)室 廣州 510006）（liuwy＠gdut．edu．cn）

網(wǎng)絡(luò)已日漸成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠郑c現(xiàn)實(shí)生活中的身份證、護(hù)照一樣，人們?cè)谑褂酶鞣N網(wǎng)絡(luò)服務(wù)時(shí)，如收發(fā)郵件、網(wǎng)上購物、網(wǎng)上聊天等，都需要進(jìn)行網(wǎng)絡(luò)身份的注冊(cè)、登錄、認(rèn)證等操作，可以說，網(wǎng)絡(luò)身份已經(jīng)成為人們獲取個(gè)性化網(wǎng)絡(luò)服務(wù)的必備條件．

然而，隨著互聯(lián)網(wǎng)規(guī)模的擴(kuò)張及用戶使用需求的增大，網(wǎng)絡(luò)空間發(fā)展給我們帶來方便快捷的同時(shí)，也為個(gè)人及國(guó)家安全和社會(huì)穩(wěn)定帶來新的挑戰(zhàn)，網(wǎng)絡(luò)身份也面臨著包括密碼疲勞、釣魚和撞庫等在內(nèi)的嚴(yán)重網(wǎng)絡(luò)安全問題，給廣大網(wǎng)絡(luò)用戶造成了嚴(yán)重的損失，成為社會(huì)關(guān)注的熱點(diǎn)問題之一．因此，如何安全地使用、管理、保護(hù)我們的網(wǎng)絡(luò)身份成為亟待解決的課題．

本文首先從網(wǎng)絡(luò)身份及網(wǎng)絡(luò)身份管理的基本概念著手，分析了網(wǎng)絡(luò)身份管理面臨的問題和現(xiàn)有的網(wǎng)絡(luò)身份認(rèn)證管理技術(shù)，然后提出了一種創(chuàng)新的、但兼容傳統(tǒng)密碼的、基于可信用戶代理的、以用戶為中心［1－3］的多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制，來實(shí)現(xiàn)既安全又方便地使用和管理網(wǎng)絡(luò)身份的目標(biāo)．

1 相關(guān)工作及分析

1．1 網(wǎng)絡(luò)身份

在人類現(xiàn)實(shí)社會(huì)中的“身份”一般指的是誰、是怎樣的人、與他人處于什么關(guān)系，是個(gè)體成員交往中識(shí)別、區(qū)分、認(rèn)定個(gè)體差異的標(biāo)志和象征．“網(wǎng)絡(luò)身份”與之類似，是由人們?cè)谠L問和使用各種網(wǎng)絡(luò)服務(wù)時(shí)所使用的身份標(biāo)識(shí)（通常是網(wǎng)絡(luò)賬號(hào)和密碼?口令）構(gòu)成．網(wǎng)絡(luò)空間中的身份管理就是對(duì)各單個(gè)實(shí)體成員身份的生命周期進(jìn)行管理，包括身份的建立、身份的描述與定義、身份的注銷等基本過程［4］．

1．2 網(wǎng)絡(luò)身份管理中存在的問題

傳統(tǒng)基于字符型“用戶名－密碼”的網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制因其使用簡(jiǎn)單、可靠性強(qiáng)、易于部署、成本低廉而成為當(dāng)前主流的網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制．然而如今單個(gè)用戶需要面對(duì)在多個(gè)網(wǎng)站上注冊(cè)網(wǎng)絡(luò)身份、同時(shí)管理多個(gè)網(wǎng)絡(luò)身份的場(chǎng)景，由此可能遭受到如密碼疲勞、釣魚詐騙、撞庫攻擊等一系列嚴(yán)重的網(wǎng)絡(luò)安全威脅．

例如，某用戶在多個(gè)網(wǎng)站上注冊(cè)了網(wǎng)絡(luò)身份，為了提高安全性，不同網(wǎng)絡(luò)身份需要設(shè)置不同的賬號(hào)（或用戶名）和密碼?口令．為此該用戶需同時(shí)記憶很多賬號(hào)、密碼，易造成多個(gè)賬號(hào)及密碼混淆不清，用戶體驗(yàn)很差．這就是所謂密碼疲勞問題．

為方便起見，大多數(shù)用戶選擇相同的或近似的用戶名且共享1個(gè)密碼（密碼重用），或設(shè)置弱密碼．這樣雖然易于記憶，但安全性較低．一旦1個(gè)賬號(hào)被盜，所有賬號(hào)都有被泄露的風(fēng)險(xiǎn)．黑客可以通過嘗試使用已經(jīng)泄露的身份信息或常用密碼去登錄，非法獲得大量的用戶網(wǎng)絡(luò)身份信息．這就是所謂的撞庫攻擊．

即使用戶能夠記住自己設(shè)置的、安全性較強(qiáng)的密碼，泛濫的釣魚網(wǎng)站可以憑借幾可亂真的假冒網(wǎng)頁，誘騙用戶輸入自己的網(wǎng)絡(luò)身份信息，從而完成對(duì)用戶網(wǎng)絡(luò)身份信息的盜取．

1．3 研究現(xiàn)狀

由于基于傳統(tǒng)密碼的網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制受到了空前的挑戰(zhàn)，去密碼化（passwordless，即取消或減少使用輸入密碼）已然成為網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制的新趨勢(shì)．在此背景下，越來越多的新型身份認(rèn)證方案問世．目前較成熟的去密碼化身份認(rèn)證管理策略主要可分為以下幾大類：密碼管理器［5］、聯(lián) 合 （單 點(diǎn)）登 錄［6］、圖 形 密 碼［7］、硬 件 令牌［8］、生物特征［9］及安全密鑰［10］等．

1）圖形密碼

圖形密碼與傳統(tǒng)密碼不同，使用圖形作為認(rèn)證媒介，通過用戶對(duì)圖形的點(diǎn)擊、識(shí)別、重現(xiàn)或與圖形進(jìn)行互動(dòng)等方式進(jìn)行認(rèn)證．由于圖形密碼的密碼空間較大，應(yīng)用方式靈活，不使用單詞等特點(diǎn)，使得它對(duì)暴力破解和字典攻擊免疫，此外，一些圖形密碼系統(tǒng)可以完全防止肩窺［11］．

2）密碼管理器

密碼管理器可視為一種第三方網(wǎng)絡(luò)身份信息寄存軟件，它可以是智能移動(dòng)終端上的應(yīng)用（App），也可以是PC上的軟件，亦可是網(wǎng)絡(luò)瀏覽器插件．目前流行的密碼管理器有True Key，1Password等．McAfee公司推出的基于Android?iOS平臺(tái)的True Key軟件，及瀏覽器上同名插件（稱為瀏覽器擴(kuò)展或上網(wǎng)終端擴(kuò)展）［12］實(shí)現(xiàn)了對(duì)用戶網(wǎng)絡(luò)身份信息最基本的存儲(chǔ)功能．該軟件通過一個(gè)用戶自定義的主密碼（master password，MP）進(jìn)行加密，用戶在該軟件中可個(gè)性化添加自己在某網(wǎng)站上已經(jīng)注冊(cè)好的身份信息，該軟件會(huì)自動(dòng)加密保存和同步．用戶需要登錄該網(wǎng)站時(shí)，只需要點(diǎn)擊已經(jīng)錄入的其在該網(wǎng)站上的網(wǎng)絡(luò)身份信息，即可登錄到該網(wǎng)站．Silver等人［13］雖然指出了密碼管理器的一些安全方面的弱點(diǎn)，但也提出了補(bǔ)救措施．其在易用性方面總體有提高，且在很多方面能兼容傳統(tǒng)密碼（特別是服務(wù)器兼容性），因此，在市場(chǎng)上受到廣大用戶的歡迎．

3）聯(lián)合（單點(diǎn)）登錄

聯(lián)合（單點(diǎn)）登錄技術(shù)是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一，其核心思想是通過某種方式使得各種提供服務(wù)的網(wǎng)站事先建立起聯(lián)系，用戶只需要再在其中一個(gè)受認(rèn)證的網(wǎng)站登錄之后，就可以實(shí)現(xiàn)全局登錄，即用戶的一次登錄能得到其他所有網(wǎng)站的信任．單點(diǎn)登錄一方面使得用戶不用記憶多個(gè)網(wǎng)站的不同用戶名和密碼，免除了多次登錄的困擾；另一方面為開發(fā)人員提供了一個(gè)通用的身份驗(yàn)證框架，提高了開發(fā)人員的開發(fā)效率．

4）硬件令牌

硬件令牌存儲(chǔ)了一個(gè)“密碼種子”，并以此為基礎(chǔ)，結(jié)合其他因素（如時(shí)間戳等），根據(jù)專門的算法生成1個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合作為口令，1個(gè)口令至多使用1次．每個(gè)“密碼種子”都需要在服務(wù)器端注冊(cè)登記，以認(rèn)證一特定口令是否由特定令牌生成．由我國(guó)“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的、以智能安全芯片為載體的網(wǎng)絡(luò)電子身份標(biāo)識(shí)eID［14］，也屬于一種硬件令牌，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識(shí)別身份．eID不使用用戶名和密碼作為身份信息，而是使用用戶個(gè)人信息和隨機(jī)數(shù)計(jì)算出1個(gè)唯一的用戶標(biāo)識(shí)符來進(jìn)行網(wǎng)絡(luò)身份真實(shí)性和有效性的驗(yàn)證核實(shí)．該標(biāo)識(shí)符不包含任何個(gè)人身份信息，因此能夠有效保護(hù)公民身份信息．與eID類似，王鵑等人［1］提出了基于虛擬卡技術(shù)的移動(dòng)互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)ID－Vcar d，同樣不再依賴用戶名和密碼等身份信息，而是將虛擬卡作為一種身份管理的形式，從而更好地保護(hù)用戶的身份隱私．

硬件令牌不易被直接破解，因此被廣泛運(yùn)用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營(yíng)商、電子政務(wù)、企業(yè)等領(lǐng)域．雖然硬件口令是一種安全便捷的賬號(hào)防盜技術(shù)，可以有效保護(hù)交易和登錄的認(rèn)證安全，但其安全性也不是絕對(duì)的．2011年就發(fā)生RSA的“密碼種子”被盜事件，黑客因此可以猜測(cè)其生成的所有密碼?口令［15］．同時(shí)其需要在所有網(wǎng)站注冊(cè)“密碼種子”（例如，每個(gè)銀行都給用戶發(fā)1個(gè)硬件令牌），在可用性及可部署性方面也是非常不方便的．

5）生物特征識(shí)別技術(shù)

生物特征識(shí)別技術(shù)使用了計(jì)算機(jī)及相關(guān)設(shè)備，利用人體特有的生物特征（如虹膜、指紋、人臉等）以及行為特征（如聲音、筆記、步態(tài)、擊鍵等），通過圖像處理和模式識(shí)別等方法進(jìn)行身份識(shí)別認(rèn)證．由于人的生物特征具有穩(wěn)定性和唯一性，目前最安全的身份認(rèn)證技術(shù)是生物特征識(shí)別．但是仍然存在大量拒識(shí)的情況，近年破解指紋認(rèn)證和刷臉認(rèn)證的案例也越來越多．

6）安全密鑰（security key）

安全密鑰基于U2F開放標(biāo)準(zhǔn)構(gòu)建，由線上快速身份驗(yàn)證聯(lián)盟（fast identity online，F(xiàn)IDO）開發(fā)．它依賴實(shí)體USB key硬件，提供了一種更加安全的雙因子認(rèn)證模式．其最新技術(shù)標(biāo)準(zhǔn)為由FIDO和萬維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）共同推出的 Web Authn［10］．Web Authn旨在消除口令?密碼，讓用戶無需輸入密碼，而是使用內(nèi)部?內(nèi)置身份驗(yàn)證器（例如PC、筆記本電腦中的指紋或面部特征）或外部身份驗(yàn)證器（如USB key或智能手機(jī)）作為第一因子或第二因子來認(rèn)證登錄．

Bonneau等人［16］從易用性（usability，即認(rèn)證策略是否便于用戶學(xué)習(xí)、使用）、可部署性（deployability，即認(rèn)證策略是否具有低成本、兼容性高、可大規(guī)模投放等特點(diǎn)）和安全性（security，即認(rèn)證策略是否對(duì)惡意攻擊、信息丟失、設(shè)備損毀等極端情況具有抵抗能力）這3方面共25個(gè)指標(biāo)對(duì)現(xiàn)有的主流身份認(rèn)證策略進(jìn)行了全面的評(píng)估和比較，得出以下結(jié)論：

1）圖形密碼（包括其他基于感官認(rèn)知方案）雖在安全性上比傳統(tǒng)密碼有一些提高，但在易用性及可部署性方面性能下降很多，在網(wǎng)絡(luò)身份認(rèn)證領(lǐng)域暫不可能取代傳統(tǒng)密碼．

2）諸如密碼管理器和聯(lián)合登錄等類似（或?qū)儆趶V義）單點(diǎn)登錄方案在安全性和易用性方面比傳統(tǒng)密碼有較大提高，但可部署性指標(biāo)顯著下降．

3）基于生物特征的認(rèn)證策略在安全性和易用性上較傳統(tǒng)密碼沒有明顯優(yōu)勢(shì)，且可部署性很差．再加上用戶對(duì)個(gè)人隱私的擔(dān)憂，絕大部分用戶不會(huì)用自己的生物特征在所有（特別是可信度未知的）網(wǎng)站注冊(cè)．大部分網(wǎng)站限于成本及兼容性，亦不會(huì)提供相應(yīng)認(rèn)證接口，用戶規(guī)模受到極大限制．

4）硬件令牌的安全性雖好，但部分易用性及幾乎所有的可部署性指標(biāo)都較差，難以單獨(dú)用作網(wǎng)絡(luò)身份認(rèn)證機(jī)制．

5）以Web Authn為代表的安全密鑰方案易用性及安全性都較高，但要提高可部署性仍需完成大量工作．

總體來說，在不犧牲安全性的前提下，在易用性和可部署性方面，現(xiàn)在還沒有任何一個(gè)方案比傳統(tǒng)密碼更好，這也是密碼暫時(shí)還不能被取代的重要原因，故類似密碼管理器等能兼容傳統(tǒng)密碼的方案有可取之處．與Bonneau等人［16］的結(jié)論不同的是，我們認(rèn)為聯(lián)合（單點(diǎn)）登錄（例如Microsoft Passport和 OpenID［17］等第三方認(rèn)證）在安全性方面存在致命缺陷：聯(lián)合（單點(diǎn)）登錄不能解除（“de－link”）同一用戶在不同網(wǎng)站注冊(cè)的網(wǎng)絡(luò)身份之間的“關(guān)聯(lián)”關(guān)系（也屬于一種網(wǎng)絡(luò)身份隱私信息），因此容易遭到撞庫攻擊和釣魚攻擊．各種以手機(jī)號(hào)和郵箱作為用戶名的網(wǎng)站都面臨這些嚴(yán)重威脅．其次，類似 O’Gor man［8］的建議，我們認(rèn)為結(jié)合多種方案的認(rèn)證機(jī)制，取長(zhǎng)補(bǔ)短，最有希望成為既方便又安全的網(wǎng)絡(luò)身份認(rèn)證機(jī)制．

綜上所述，我們認(rèn)為目前網(wǎng)絡(luò)身份認(rèn)證的發(fā)展機(jī)制仍然是以用戶為中心和去密碼化．為了同時(shí)滿足既方便又安全的要求，多種機(jī)制協(xié)同“組合”也應(yīng)該是新的發(fā)展趨勢(shì)．為了保護(hù)隱私和應(yīng)對(duì)愈演愈烈的數(shù)據(jù)泄露威脅，應(yīng)盡快采用“前臺(tái)匿名、后臺(tái)實(shí)名”的網(wǎng)絡(luò)身份管理策略．

2 基于可信用戶代理的多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證管理機(jī)制

2．1 整體架構(gòu)

為了應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)身份認(rèn)證機(jī)制中存在的密碼疲勞、撞庫攻擊、釣魚欺詐這3個(gè)嚴(yán)重安全威脅，為找到一種既方便又安全的以用戶為中心的網(wǎng)絡(luò)身份認(rèn)證機(jī)制，我們遵循“以用戶為中心”、“去密碼化”、“de－link”、“組合式”等趨勢(shì)展開研究．本文提出了“可信用戶代理”的概念，并以此為基礎(chǔ)設(shè)計(jì)了一種創(chuàng)新的、但兼容傳統(tǒng)“用戶名－密碼”機(jī)制的網(wǎng)絡(luò)身份注冊(cè)、登錄、認(rèn)證及管理機(jī)制．我們?yōu)樵摍C(jī)制申請(qǐng)了國(guó)家發(fā)明專利并獲得批準(zhǔn)．其整體結(jié)構(gòu)如圖1（a）所示．與傳統(tǒng)身份認(rèn)證機(jī)制中只包括上網(wǎng)終端（通常指瀏覽器）和網(wǎng)站服務(wù)器不同（即圖1（a）中虛線部分），該機(jī)制還增加了可信用戶代理、可信服務(wù)器代理這2個(gè)模塊．用戶的網(wǎng)絡(luò)身份信息由其用戶代理自動(dòng)創(chuàng)建、存儲(chǔ)并直接發(fā)送至其目的網(wǎng)站服務(wù)器端進(jìn)行認(rèn)證，認(rèn)證成功后授權(quán)給用戶的上網(wǎng)終端．這樣形成一個(gè)包含用戶、用戶代理、上網(wǎng)終端及服務(wù)器等多方參與、安全閉合的身份認(rèn)證環(huán)路．

為了適應(yīng)更加復(fù)雜的網(wǎng)站服務(wù)器后臺(tái)環(huán)境，如網(wǎng)站服務(wù)器不想因部署服務(wù)器代理而作任何改變，我們同時(shí)設(shè)計(jì)了該機(jī)制的變形，其整體結(jié)構(gòu)如圖1（b）所示．在此結(jié)構(gòu)中，我們移除了可信服務(wù)器代理這一模塊，取而代之的是上網(wǎng)終端擴(kuò)展及擴(kuò)展服務(wù)器（并命名為“插件版”）．上網(wǎng)終端擴(kuò)展與擴(kuò)展服務(wù)器不直接與網(wǎng)站服務(wù)器通信，因此能夠忽略網(wǎng)站服務(wù)器的影響，真正做到與傳統(tǒng)認(rèn)證機(jī)制完美兼容．

圖1 多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證機(jī)制整體結(jié)構(gòu)

圖1的這2種結(jié)構(gòu)可以根據(jù)網(wǎng)站服務(wù)器后臺(tái)環(huán)境單獨(dú)使用，也可以同時(shí)部署．

使用該機(jī)制后，用戶無需記憶眾多復(fù)雜的“用戶名－密碼”，避免了密碼疲勞．用戶代理幫用戶在不同網(wǎng)站注冊(cè)時(shí)自動(dòng)生成不同的隨機(jī)復(fù)雜賬號(hào)?用戶名和密碼，從而可以規(guī)避被撞庫的風(fēng)險(xiǎn)．無需在上網(wǎng)終端輸入身份信息，大大降低網(wǎng)絡(luò)身份信息被釣魚網(wǎng)站或木馬竊取的風(fēng)險(xiǎn)，同時(shí)也避免了在輸入密碼時(shí)被偷窺或被日益智能的讀心術(shù)（腦電波分析）竊取．

下面重點(diǎn)介紹該機(jī)制中的2個(gè)重要模塊．

2．2 可信用戶代理

在網(wǎng)絡(luò)身份認(rèn)證過程中，用戶永遠(yuǎn)是主角．目前幾乎所有網(wǎng)站部署的網(wǎng)絡(luò)身份認(rèn)證策略都需要用戶全程參與，包括使用前的身份?賬號(hào)信息注冊(cè)，使用中的賬號(hào)登錄、賬號(hào)信息記憶、賬號(hào)信息找回等等．我們認(rèn)為密碼管理器、硬件令牌、生物特征、eID等在一定程度上都是用戶的代理（agent），都是以用戶為中心的．我們從緩解用戶使用網(wǎng)絡(luò)賬號(hào)時(shí)的壓力出發(fā)，在兼顧安全性的基礎(chǔ)上，提出可信用戶代理概念．可信用戶代理是一個(gè)由用戶授權(quán)信任的、可以替用戶完成賬號(hào)注冊(cè)、認(rèn)證及管理其眾多網(wǎng)絡(luò)身份的計(jì)算機(jī)系統(tǒng)．可信用戶代理可以實(shí)現(xiàn)以下幾個(gè)主要功能：

1）實(shí)現(xiàn)用戶代理與用戶身份的綁定．用戶可以通過設(shè)置主密碼或利用生物特征（如指紋）實(shí)現(xiàn)用戶代理的激活，1位用戶可以對(duì)應(yīng)多個(gè)用戶代理，但1個(gè)用戶代理只能為1位用戶服務(wù)．

2）實(shí)現(xiàn)網(wǎng)絡(luò)身份（用戶名和密碼等）自動(dòng)注冊(cè)．用戶期望在目標(biāo)網(wǎng)站注冊(cè)時(shí)，可信用戶代理可以通過調(diào)用自帶的信息捕獲設(shè)備（例如以掃碼或鼠標(biāo)點(diǎn)擊推送的方式）獲取待注冊(cè)的目標(biāo)網(wǎng)站信息，自動(dòng)為用戶生成、存儲(chǔ)，并發(fā)送給該目標(biāo)網(wǎng)站服務(wù)器1對(duì)隨機(jī)的、安全性強(qiáng)的、且符合該網(wǎng)站服務(wù)器要求的用戶名?密碼，從而自動(dòng)為用戶完成注冊(cè)．

3）實(shí)現(xiàn)用戶在目標(biāo)網(wǎng)站自動(dòng)登錄．可信用戶代理可以存儲(chǔ)該用戶的所有網(wǎng)絡(luò)身份．用戶需要再次登錄某網(wǎng)站時(shí)，從上網(wǎng)終端上獲取目標(biāo)網(wǎng)站信息后，可信用戶代理即可把存儲(chǔ)的相應(yīng)用戶名和密碼自動(dòng)發(fā)送給該網(wǎng)站服務(wù)器請(qǐng)求登錄認(rèn)證．網(wǎng)站認(rèn)證成功后，授權(quán)給用戶希望的上網(wǎng)終端，用戶即可在該上網(wǎng)終端成功登錄該網(wǎng)站并進(jìn)行后續(xù)操作．用戶擁有一個(gè)可信用戶代理后，再也不需記憶和輸入眾多密碼就能在各種終端自動(dòng)登錄各個(gè)網(wǎng)站，既方便又安全．

4）實(shí)現(xiàn)用戶已注冊(cè)的網(wǎng)絡(luò)身份的管理．用戶代理負(fù)責(zé)安全地存儲(chǔ)已經(jīng)注冊(cè)的網(wǎng)絡(luò)身份信息．用戶可以隨時(shí)添加新注冊(cè)的賬號(hào)或是刪除曾經(jīng)注冊(cè)過的舊賬號(hào)，并在云端及多個(gè)用戶代理之間備份和同步．

2．3 可信服務(wù)器代理

在用戶端，用戶代理代替用戶創(chuàng)建、管理網(wǎng)絡(luò)身份，減輕了用戶負(fù)擔(dān)．在服務(wù)器端，為了配合所提出的可信用戶代理，該機(jī)制引入與之相對(duì)應(yīng)的可信服務(wù)器代理，用于代替服務(wù)器完成對(duì)用戶代理（或用戶本人）提交的注冊(cè)、登錄（甚至注銷賬戶）請(qǐng)求的核查與過濾，特別是對(duì)惡意（如撞庫）請(qǐng)求的自動(dòng)監(jiān)測(cè)．

作為服務(wù)器與用戶代理之間的防火墻，可信服務(wù)器代理首先檢查并過濾來自用戶代理的注冊(cè)、登錄等請(qǐng)求，以此達(dá)到提高服務(wù)器效率，減輕服務(wù)器壓力的目的．某些登錄請(qǐng)求集中高發(fā)的網(wǎng)站（例如“12306”等）可能會(huì)存在某些用戶通過頻繁登錄、注冊(cè)多個(gè)賬號(hào)來從事不法行為（例如“黃牛”刷票等）的情況．此外，頻繁的登錄嘗試也是攻擊者實(shí)施撞庫攻擊的常用手段．在這些情況下，目標(biāo)服務(wù)器會(huì)在短時(shí)間內(nèi)收到大量來自用戶代理的注冊(cè)、登錄請(qǐng)求．通過分析這些請(qǐng)求信息中自帶的信息源參數(shù)，服務(wù)器代理可辨別這些請(qǐng)求是否來自同一用戶代理．如果服務(wù)器代理發(fā)現(xiàn)同一個(gè)用戶代理在一定時(shí)間段內(nèi)多次請(qǐng)求在該站點(diǎn)服務(wù)器登錄或是創(chuàng)建新賬號(hào)，則服務(wù)器代理將會(huì)自動(dòng)過濾掉來自該用戶代理的一切請(qǐng)求并暫時(shí)封禁該用戶代理．經(jīng)由服務(wù)器代理傳遞過來的注冊(cè)、登錄請(qǐng)求都將被服務(wù)器端視為合法有效的，并被服務(wù)器悉數(shù)響應(yīng)處理．被處理后的請(qǐng)求結(jié)果將被反饋至用戶代理處和用戶上網(wǎng)終端供用戶進(jìn)行下一步的操作．

相對(duì)于用戶和可信用戶代理這2個(gè)相互獨(dú)立的概念，服務(wù)器和可信服務(wù)器代理之間的關(guān)系更為緊密．可信服務(wù)器代理可以部署在已經(jīng)架設(shè)好的服務(wù)器群中或是與新的站點(diǎn)服務(wù)器一同部署．

2．4 多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證機(jī)制

以上可信用戶代理和可信服務(wù)器代理應(yīng)具備的核心功能的實(shí)現(xiàn)還需要一個(gè)創(chuàng)新的認(rèn)證機(jī)制的支持和配合．圖2為該機(jī)制通信過程．

首次使用時(shí)，用戶激活可信用戶代理，包括設(shè)置主密碼（常規(guī)PIN或生物特征等密碼）及將其必要的身份信息登記在用戶代理中，用于后續(xù)在各個(gè)網(wǎng)站上自動(dòng)注冊(cè)用．

圖2 多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證機(jī)制通信過程

步驟1．用戶在上網(wǎng)終端（例如PC端瀏覽器或手機(jī)App）訪問想要登錄的目標(biāo)網(wǎng)站，上網(wǎng)終端顯示該網(wǎng)站的登錄頁及以二維碼或其他形式顯示的該網(wǎng)站的身份信息，包括該網(wǎng)站的網(wǎng)址及當(dāng)前的session信息；

步驟2．用戶代理從上網(wǎng)終端處掃碼（或通過其他形式，如鼠標(biāo)點(diǎn)擊推送）獲取該網(wǎng)站的身份信息；

步驟3．用戶代理根據(jù)用戶需求及用戶的確認(rèn)將自動(dòng)注冊(cè)請(qǐng)求或登錄請(qǐng)求以及用戶在該網(wǎng)站的身份信息發(fā)送給服務(wù)器代理；

步驟4．服務(wù)器代理和服務(wù)器交互并將用戶代理傳過來的身份信息轉(zhuǎn)發(fā)給服務(wù)器；

步驟5．網(wǎng)站服務(wù)器對(duì)身份信息進(jìn)行認(rèn)證；

步驟6．服務(wù)器認(rèn)證成功后，授權(quán)上網(wǎng)終端，上網(wǎng)終端頁面從登錄頁跳轉(zhuǎn)至登錄成功后的界面，用戶進(jìn)行后續(xù)操作；如認(rèn)證失敗，將認(rèn)證失敗狀態(tài)返回給服務(wù)器代理和用戶代理．

由于涉及到網(wǎng)絡(luò)身份等敏感信息，數(shù)據(jù)存儲(chǔ)與傳輸?shù)陌踩杂葹橹匾陨细髂K之間的通信鏈路均采用HTTPS安全連接，并且使用雙向認(rèn)證技術(shù)，從而保證用戶代理、服務(wù)器代理、網(wǎng)站服務(wù)器之間通信信道的安全性及各通信方身份的合法性．此外，用戶的網(wǎng)絡(luò)身份信息只保存在由用戶控制的可信用戶代理本地，并且通過SHA－256和加鹽哈希方法實(shí)施AES－256位及Bcrypt加密處理．

該創(chuàng)新機(jī)制需要與現(xiàn)有的基于傳統(tǒng)密碼的機(jī)制兼容，不需要對(duì)已經(jīng)部署好的服務(wù)器做大的改動(dòng)．

2．5 網(wǎng)絡(luò)身份管理

可信用戶代理可以代替用戶自動(dòng)完成網(wǎng)絡(luò)身份（用戶名和密碼）的生成、注冊(cè)是本機(jī)制的一個(gè)亮點(diǎn)，也是其區(qū)別其他密碼管理器的一項(xiàng)重要指標(biāo)．其自動(dòng)為用戶完成網(wǎng)絡(luò)身份的建立、注冊(cè)的流程如下：

1）用戶代理通過上網(wǎng)終端（例如通過掃描注冊(cè)頁上的二維碼）獲得服務(wù)器信息（包括網(wǎng)址及sessionID）；

2）服務(wù)器端需將注冊(cè)時(shí)所需的信息（如電子郵箱、手機(jī)號(hào)等）和對(duì)用戶名及密碼的規(guī)則要求以約定的（如JSON）格式告知用戶代理；

3）如有必要，用戶代理可以根據(jù)服務(wù)器端的要求從其他途徑獲取所需信息（可以包括用戶代理的軟硬件的序列號(hào)等），自動(dòng)生成注冊(cè)表單；

4）用戶代理按服務(wù)器要求的規(guī)則生成用戶名和密碼，并自動(dòng)填在注冊(cè)表單的相應(yīng)位置，由用戶確認(rèn)填寫完整的注冊(cè)表單并發(fā)送給服務(wù)器，服務(wù)器即為用戶注冊(cè)新的網(wǎng)絡(luò)身份．為了增加通信的安全性，用戶代理與服務(wù)器代理之間可以增加握手次數(shù)才建立安全的通信通道．

可信用戶代理還可以代替用戶自動(dòng)完成網(wǎng)絡(luò)身份的登錄過程，流程如下：

1）用戶在上網(wǎng)終端打開網(wǎng)站的登錄頁，用戶代理（可以通過掃碼或點(diǎn)擊推送的方式）獲取該網(wǎng)站的身份信息（如網(wǎng)址及sessionID）；

2）用戶代理查找用戶在該網(wǎng)站的網(wǎng)絡(luò)身份，如果有，則把身份信息、sessionID和登錄請(qǐng)求信息一起發(fā)至可信服務(wù)器代理；

3）可信服務(wù)器代理分析處理并認(rèn)為該登錄請(qǐng)求合法后，接受該請(qǐng)求，發(fā)給服務(wù)器進(jìn)行認(rèn)證，成功后，服務(wù)器授權(quán)給擁有該sessionID的上網(wǎng)終端，網(wǎng)頁重新加載，顯示登錄后的界面．

該機(jī)制提出的自動(dòng)注冊(cè)及自動(dòng)登錄方法，不僅解除了不同網(wǎng)絡(luò)賬號(hào)之間的關(guān)聯(lián)關(guān)系（de－link），使得用戶的各種網(wǎng)絡(luò)身份免于遭受撞庫攻擊，而且解決了密碼疲勞問題，將用戶從記憶、輸入賬號(hào)密碼信息的沉重負(fù)擔(dān)中解放出來，大大提高了用戶使用網(wǎng)絡(luò)資源的效率．

3 性能分析

我們?cè)贏ndroid，iOS，Chrome平臺(tái)上開發(fā)了名為登錄易［18－19］的實(shí)用系統(tǒng)，實(shí)現(xiàn)了該機(jī)制．我們主要在可用性或效率方面（因?yàn)榘踩约翱刹渴鹦赃€不好客觀衡量，其實(shí)最主要的用戶體驗(yàn)是登錄時(shí)不再“燒腦”）進(jìn)行用戶體驗(yàn)測(cè)試．我們選取了10位能熟練使用計(jì)算機(jī)和手機(jī)的用戶，收集了他們分別使用傳統(tǒng)人工輸入身份信息的方法和使用登錄易來登錄4個(gè)常用網(wǎng)站（體現(xiàn)在賬號(hào)密碼都記得住，輸入也流暢）和3個(gè)不常用網(wǎng)站（賬號(hào)密碼已經(jīng)記不住了，需要事先把賬戶密碼寫出來，書寫過程的耗時(shí)不算在內(nèi)，只記錄在網(wǎng)頁輸入賬號(hào)密碼的耗時(shí)．測(cè)試發(fā)現(xiàn)使用登錄易輔助登錄確實(shí)比傳統(tǒng)手工輸入用戶名－密碼的方式的效率有所提高．特別是在不常用網(wǎng)站上，使用登錄易登錄與手工輸入登錄對(duì)比優(yōu)勢(shì)更加明顯．

此外，根據(jù)Bonneau等人［16］提出的評(píng)價(jià)身份認(rèn)證方案性能的標(biāo)準(zhǔn)，我們也為本文提出的認(rèn)證機(jī)制在操作性、可部署性及安全性3方面的性能作了如下初步理論評(píng)估（見表1～3）：

表1 可信用戶代理操作性（usability）性能

表2 可信用戶代理可部署性（deployability）性能

表3 可信用戶代理安全性（security）性能

4 結(jié) 論

本文提出了一種基于可信用戶代理的多方閉環(huán)網(wǎng)絡(luò)身份認(rèn)證機(jī)制，介紹了其系統(tǒng)結(jié)構(gòu)、流程、核心模塊及主要功能，并且對(duì)該機(jī)制在操作性（可用性）、可部署性、安全性等方面進(jìn)行了理論上評(píng)估分析，也實(shí)測(cè)了其可用性．該機(jī)制能夠在用戶授權(quán)下實(shí)現(xiàn)自動(dòng)注冊(cè)及自動(dòng)登錄網(wǎng)絡(luò)身份的功能，無需用戶記憶與輸入身份信息，避免了密碼疲勞與被撞庫的風(fēng)險(xiǎn)；去除了網(wǎng)絡(luò)身份之間的關(guān)聯(lián)關(guān)系，有效保護(hù)了用戶隱私；繞過上網(wǎng)終端、密碼直發(fā)網(wǎng)站服務(wù)器，從而無需在上網(wǎng)終端輸入身份信息，可以大大降低網(wǎng)絡(luò)身份信息被釣魚網(wǎng)站或木馬竊取的風(fēng)險(xiǎn)，同時(shí)也避免了在輸入密碼時(shí)被偷窺竊取，提升了服務(wù)器安全性．該機(jī)制對(duì)于提升我國(guó)網(wǎng)絡(luò)空間總體安全水平，對(duì)個(gè)人（提升用戶體驗(yàn)，包括提高身份認(rèn)證效率等便捷性和網(wǎng)絡(luò)身份安全性）、企業(yè)及網(wǎng)絡(luò)服務(wù)商（提升服務(wù)水平，包括信譽(yù)和總體系統(tǒng)安全，降低部署難度和費(fèi)用）都將具有重大意義．

致謝感謝在登錄易系統(tǒng)的開發(fā)和測(cè)試過程中也作出了貢獻(xiàn)的下列人員：周小靜（開發(fā)）、梁達(dá)勇（開發(fā)）、李勇（用戶測(cè)試）、賴陽文（用戶測(cè)試）、陳超雄（滲透測(cè)試）、程天藝（滲透測(cè)試）、羅澤偉（滲透測(cè)試）、莫銘棋（滲透測(cè)試）、陳健航（滲透測(cè)試）．同時(shí)感謝參與用戶測(cè)試實(shí)驗(yàn)的其他同事們和同學(xué)們．