改進Petri網下異構跨域用戶身份驗證方法

摘" 要： 在異構跨域用戶身份驗證時，由于用戶身份存在屬性特征難以捕捉、狀態描述誤差大等問題，導致驗證精準度較低，為有效解決這一問題，文中提出一種基于改進Petri網的用戶身份驗證算法。利用改進Petri網反映不同局域網中事物間依賴關系，將異構跨域用戶活動模型與Petri網模型轉換，采用同步用戶的狀態變化提取實時狀態特征值。通過建立云間身份認證中心，計算用戶不同身份代表性詞語在一定周期內出現的次數和頻率值。提取頻率最高的詞語，并計算該詞語在待驗證用戶全部代表詞語庫中的權重值，對比權重值與驗證熵值，將得到的驗證參數輸入到認證中心，輸出驗證結果。實驗結果表明，所提方法在先驗節點比例為8%時，驗證準確率達到0.9，且召回率和綜合指標均在0.6以上，具備一定的抗攻擊性，整體實用性能強、利用價值高。

關鍵詞： 改進Petri網； 異構跨域用戶； 身份驗證； 云間身份認證中心； 驗證熵值； 狀態特征

中圖分類號： TN915.08?34； TP393" " " " " " " " "文獻標識碼： A" " " " " " " " " " 文章編號： 1004?373X（2024）13?0082?05

Heterogeneous cross?domain user identity authentication method

under improved Petri network

LIU Feng1， JIANG Jiulei2

（1. Fenyang College of Shanxi Medical University， Fenyang 032200， China;

2. School of Computer Science and Engineering， North Minzu University， Yinchuan 750021， China）

Abstract： Due to the difficulties in capturing attribute features and large errors of state description， the accuracy of authentication is low in heterogeneous cross?domain user authentication. In view of this， an improved Petri net based user identity authentication algorithm is proposed. The improved Petri net is used to reflect the dependency relationships between things in different LANs， the heterogeneous cross?domain user activity model is transformed into a Petri net model， and real?time state feature values are extracted by synchronized user state changes. By establishing an inter?cloud based identity authentication center， the times and frequency of representative words with different identities of users in a certain period are calculated， and the word with the highest frequency is extracted. The weight value of the word in the database of all representative words for the user to be verified is calculated， and the weight value is contrasted with the verification entropy value. The obtained verification parameters are input into the authentication center and the verification results are output. The experimental results show that the proposed method achieves a validation accuracy of 0.9 when the proportion of prior nodes is 8%， and its recall rate and comprehensive indicators are above 0.6， so it has a certain degree of attack resistance， strong overall practical performance and high utilization value.

Keywords： improved Petri net; heterogeneous cross?domain user; identity authentication; inter?cloud identity authentication center; verification entropy value; state feature

0" 引" 言

為了提高網絡運行的安全性和用戶體驗感，針對不同的局域網絡采用不同驗證識別手段，通過對應密鑰對用戶身份進行識別和驗證，可大幅降低因盜取用戶身份導致的網絡安全風險問題。但由于網絡中的用戶身份類型較多、基數較大，并且還存在異構跨域的局域網絡類型，而單一驗證方法在身份驗證方面存在較大局限性，且用戶身份間差異過大，還容易存在身份驗證誤差。因此，用戶身份驗證成為研究的重點內容。

文獻[1]提出了一種基于主從區塊鏈容錯的跨域身份認證方法，并根據現場數據信息建立了主從區塊鏈身份認證模型。該方法在分階段共識過程中沒有考慮到用戶身份在網絡中的動態變更問題，導致結果存在一定的驗證誤差。文獻[2]則采用一種云環境下的去中心化跨域用戶身份認證方法，該方法針對每個用戶數據身份特征進行提取，然而其所需的運算量較大，增加了運算成本。

為解決上述問題，文中提出了一種基于改進Petri網的異構跨域用戶身份驗證方法。該方法能夠清晰反映事物間的依賴關系，將異構跨域用戶節點活動模型轉換為改進的Petri網模型，提取跨域用戶的活動特征，通過計算包含用戶身份特征的詞語出現頻率，求解驗證信息熵值，并與身份庫數據對比完成驗證。實驗結果表明，所提方法身份驗證的準確率較高，且驗證效果較優。

1" 異構跨域用戶活動模型轉換

利用改進Petri網反映不同局域網中事物間的依賴關系，以此得到模型內用戶節點的動態變換參數與身份狀態，并將此作為后續身份驗證的參照條件，從而可以有效提升驗證精準度，避免誤差。

考慮到異構跨域網絡用戶身份特征的相關信息數量較多，在驗證身份時容易產生混淆，因此文中采用改進Petri網模型將其與用戶活動模型節點進行轉換，并通過改進Petri網精準捕捉用戶身份信息的實時變更狀態和參數，以提高驗證精準度。改進Petri網是一種網狀信息流模型[3?5]，其包括庫所和變遷兩類節點，可分別用T_和S_表示。用戶身份動作節點轉換為Petri網的具體流程如圖1所示。

圖1為用戶節點活動模型轉換為改進Petri網的過程。由圖1可以看出，當一個用戶動作交叉分為兩個用戶活動元素時，轉換后的Petri網節點也會對應出現兩個用戶岔路，以此保證當待識別網絡中用戶節點存在狀態變動時，可以實時捕捉到用戶狀態。同理，當網絡中兩個用戶節點相結合時，對應的節點狀態也會隨之發生改變。由此可知，Petri網隨跨域用戶的狀態變化而實時變化，通過該方式可大幅降低驗證誤差。

2" 異構跨域用戶身份驗證

為保證在不同環境下異構跨域用戶身份的有效驗證[6?7]，結合得到的用戶異構跨域轉換特性，建立了云間身份認證中心[8?9]，以實現異構跨域往返的雙向身份驗證。

在利用改進Petri網對用戶實時節點狀態進行捕捉的基礎上，通過計算代表用戶身份的詞語在用戶數據庫中的占比權重，以此實現身份驗證[10]。設[fij]表示網絡文本中的逆文本出現頻率，該值的大小可以反映用戶身份屬性的短語在文檔中出現的次數[mij]，出現次數越多代表用戶身份權重越大；反之則為越小。[dfij]用來表示網絡正常文本出現的頻率，通過計算二者的數值大小來驗證用戶身份。

[fij]的計算公式為：

[fij=miji=1，j=1nmijkT]" "（1）

式中：[mij]表示代表用戶身份屬性[j]的短語[i]在文檔中出現的次數；[k]表示對應權重；[T]表示驗證的周期參數[11]；[i=1，j=1nmij]表示短語在網絡中出現的全部次數之和。

[dfij]的計算公式為：

[dfij=lgDj：di∈dj]" " （2）

式中：[D]表示詞語在數據庫中的總數量；[d]表示驗證次數；[j：di∈dj]表示數據庫中包含該詞語和相關次數的總數。

將[fij]和[dfij]整合，其表達式如式（3）所示：

[H=Tfij×dfij]" " （3）

式中[H]表示用戶身份詞庫中出現次數最多的詞語頻率。

在驗證異構跨域用戶的身份時，為了保證驗證精準度和算法的實際應用效果，本文將用戶身份的相關屬性數據歸一化[12]，并將屬性值映射規范到[0，1]之間，公式為：

[x″ij=xij-minx1j，x2j，…，xnjmaxx1j，x2j，…，xnj-minx1j，x2j，…，xnj] （4）

式中：[x″ij]表示歸一化后的數值；[xij]表示原始數值；[maxx1j，x2j，…，xnj]、[minx1j，x2j，…，xnj]表示屬性的最大值和最小值。

計算第[j]個用戶身份屬性所對應的驗證信息熵值[13?14][ej]的公式為：

[ξ=1ln n] （5）

[ej=ξj=1npijlnpij]" " "（6）

式中：[ej]表示第[j]個驗證屬性的信息熵值；[pij]表示第[j]個驗證屬性在用戶身份信息庫中的占比權重；[ξ]表示驗證對比參數；[ln n]表示對應密文[15?17]。當[pij=0]時，定義[limpij→0lnpij=0]。

為提高驗證算法在多種環境下的實用能力，建立云間身份認證中心，并將上述公式求得的所有用戶身份屬性信息和對比熵值輸入其中，最后，通過權重比對完成身份驗證。異構跨域用戶身份認證基本流程如圖2所示。

3" 實驗分析

3.1" 實驗設置

為了能夠有效驗證基于改進Petri網的異構跨域用戶身份驗證算法的精準性和高效性，本文以目前國外流行的社交平臺Tik Tok作為測試環境。已知該平臺的每日用戶流量達到10億以上，完全滿足所需異構跨域驗證的需求。為了能夠獲取到平臺涉及到的且包含基礎身份信息、IP屬地、興趣以及其他屬性信息的用戶數據，實驗提供了用戶在該社交網絡中的個人主頁賬號，共5 610個。其中，還包括了風險、病毒以及僵尸賬號，用于提高算法身份驗證的對比性。同時，賬號中還包含有用戶的各種屬性信息，例如轉發以及點贊等。將LAN局域網、CDMA、GPRS以及CDPD作為該軟件平臺的參與網絡。

實驗采用的測試指標為準確率[P]、召回率[R]以及綜合指標[C]，簡稱為PRC（Precision Recall Comprehensive）。三者的計算公式為：

[P=TPTP+FP]" （7）

[R=TPTP+FN]" "（8）

[C=2×P×RP+R]" "（9）

式中：FN表示未能驗證到的正確賬號個數；FP代表算法能夠識別到的錯誤賬號個數；TP表示算法能夠有效驗證的正確用戶賬號個數。其中，召回率也叫作查全率，用來反映驗證結果覆蓋所需用戶身份信息的值，[C]則是準確率和召回率的綜合值。

實驗分別采用文獻[1]中的主從區塊鏈容錯法和文獻[2]中的去中心化法作為對比方法。

3.2" 異構跨域身份驗證結果對比分析

為保證實驗結果的可靠性和可參考性，避免偶然性的發生，實驗所用的全部數據均在同等條件下反復進行了10次運算并取平均值，且實驗中涉及的用戶賬號在每個網絡中只存在一個。

將PRC綜合性數值作為驗證算法的有效因變量，將先驗節點比例作為測試自變量。通常情況下，算法驗證用戶身份時，需先選取其中部分節點作為先驗節點，即先于經驗的，包含歷史用戶驗證經驗的節點，也可看作進行后驗證的參照節點。若初始節點較小會出現冷啟動，即重新選取問題，因此選擇負載均衡度數大于驗證閾值的用戶節點作為先驗節點，節點數量為1 000，設定比例為0%～20%。

三種算法的PRC變化結果如圖3～圖5所示。

從圖3中可以看出，當先驗節點比例為2%時，算法的[P]、[R]均較低，其中[P]值僅為0.41。這是由于當先驗節點比例較小時，能夠用于識別用戶身份的信息也較少，故需要不斷查找用戶身份的興趣來增強辨識度，導致算法準確率較低；而當先驗節點比例為8%時，準確率達到峰值0.9，之后各值雖有下降但整體較為穩定。由此可以說明，本文所提方法可以較好地消化先驗節點，并能夠通過該方式準確查找用戶的相關身份信息，為驗證識別提供了有力幫助。

從圖4和圖5可以看出，兩種對比方法整體的PRC數值增長幅度均較低。其中，主從區塊鏈容錯法的準確率在占比為14%時才達到峰值。因此說明，該方法驗證所需節點數量較多，在同等條件下比本文方法超出6%，驗證效率較低，且準確率峰值低于本文方法，證明其捕捉用戶信息的性能較差。隨著節點數量的增加，兩種對比算法的準確率均出現了下降趨勢，且波動性較大。這是因為當先驗節點數量過多時，導致其與待驗證用戶身份的興趣發生了混淆，難以進行區分，從而對身份匹配造成了一定干擾。綜合上述結果可知，本文方法的PRC值均優于其他算法，其能更快速、準確地驗證用戶身份信息。

3.3" 用戶身份驗證綜合性能結果對比

為進一步驗證本文方法的有效性，將身份識別過程中的匿名追蹤、抗攻擊、加密以及同步等操作能力作為性能指標。其中，匿名追蹤可以側面反映出算法對信息的提取效果；抗攻擊可以反映出算法的環境適應能力。三種方法的綜合性能對比結果如表1所示。

從表1中可以看出，本文方法的綜合性能明顯優于其他方法，只有強有效替換攻擊操作無法完成。原因在于，本文方法考慮了異構跨域用戶的身份特性，能夠在短時間內捕捉到跨域用戶的關鍵點信息，并通過特征比對完成身份驗證。由于短時間內產生的用戶狀態轉換容易丟失驗證目標，因此本文方法無法完成替換操作。但綜合結果可以看出，本文方法依舊具備較強的驗證能力，其綜合性能最強、表現最佳。

4" 結" 語

針對目前異構跨域用戶身份驗證法存在驗證誤差大這一問題，本文提出了一種基于改進Petri網的身份驗證算法，提高了用戶信息安全和網絡運行的穩定性。該方法分析了異構跨域用戶身份信息的特點，利用改進Petri網描述異構跨域用戶節點活動模型，并運用兩種模型之間節點的變化同步性，高效地得到了跨域用戶的實時狀態。接著，通過建立的云間身份驗證中心，按照訪問請求、解密以及關鍵詞查找對比完成了對用戶身份的精準驗證。實驗數據證明，本文方法的驗證效率最佳、準確率最高，在多種環境下均能實現高效驗證，可以為用戶身份安全提供保障。

注：本文通訊作者為姜久雷。

參考文獻

[1] 趙平，王賾，李芳，等.主從區塊鏈容錯異構跨域身份認證方案[J].計算機工程與應用，2022，58（22）：79?88.

[2] 詹澤怡，陳晶，何琨，等.云環境下去中心化跨域身份認證方案[J].武漢大學學報（理學版），2021，67（3）：205?212.

[3] 余嘉偉，胡海洋.基于面向對象模糊Petri網的信息物理系統能耗模型[J].電子科技，2021，34（7）：19?25.

[4] 朱鋁芬，徐媛媛.改進Petri網故障診斷算法的信道故障診斷與處理[J].計算機測量與控制，2023，31（6）：6?11.

[5] 王宇，徐長寶，祝健楊，等.基于改進Petri網和Hilbert變換的多源信息融合電網故障診斷方法[J].電測與儀表，2021，58（6）：125?129.

[6] 張利華，劉季，曹宇，等.雙共識混合鏈跨異構域身份認證方案[J].應用科學學報，2022，40（4）：666?680.

[7] 趙平，王賾，李芳，等.主從區塊鏈容錯異構跨域身份認證方案[J].計算機工程與應用，2022，58（22）：79?88.

[8] 徐娟娟.云環境下基于密算的異構跨域身份認證方案[D].桂林：桂林電子科技大學，2021.

[9] 江澤濤，徐娟娟.云環境下基于代理盲簽名的高效異構跨域認證方案[J].計算機科學，2020，47（11）：60?67.

[10] 劉俊嶺，劉穎，馬晨旭，等.異構社交平臺中用戶身份解析[J].數據采集與處理，2022，37（5）：1101?1114.

[11] 趙麗坤，王于可.基于人工智能的社交網絡用戶行為數據周期推薦算法[J].科學技術與工程，2020，20（28）：11647?11652.

[12] 楊寒雨，趙曉永，王磊.數據歸一化方法綜述[J].計算機工程與應用，2023，59（3）：13?22.

[13] 張麗琴，徐士濤.信息熵原理探討及其在二元系統的應用[J].齊魯工業大學學報，2023，37（6）：70?76.

[14] 雷博，王寧寧，李金明.多目標輪換策略引導的信息熵閾值分割算法[J].西安郵電大學學報，2023，28（5）：27?39.

[15] 崔永杰，彭長根，丁紅發，等.一種支持多用戶的公平密文檢索方案[J].計算機技術與發展，2022，32（10）：100?107.

[16] 楊小東，田甜，王嘉琪，等.基于云邊協同的無證書多用戶多關鍵字密文檢索方案[J].通信學報，2022，43（5）：144?154.

[17] 高永強.密鑰共享下跨用戶密文數據去重挖掘方法[J].沈陽工業大學學報，2020，42（2）：203?207.