论文部分内容阅读
随着3G时代的来临,智能手机逐渐普及,带给人们更好的移动上网的同时,手机的安全问题也极大地影响了用户的信息安全。例如恶意短信、垃圾短信、骚扰来电、手机病毒、木马后门、隐私泄露等,已经成为日益严重的社会问题。本文提出一种智能手机平台下的联合身份认证管理机制方案设计,用户在支付、服务订购以及个人敏感信息相关的应用时,必须由用户与服务提供商双方签名确认才能生效。
一、研究现状
智能手机就是安装了开放式操作系统的手机。具有无线接入互联网的能力,PDA的功能,即在GSM网络或CDMA网络中,可以根据个人的需求扩展机器功能,安装第三方应用程序,进行个人信息管理、日程记事、任务安排、多媒体应用、浏览网页等。由于智能手机具备开放性操作系统,用户可以在网络上自由的下载安装程序,从而给一些恶意程序带来了可乘之机,除此之外,智能机的基本通信功能的漏洞也可能会让一些病毒趁机作祟。
时至今日,突出的网络安全问题使得人们对“身份认证技术”越来越关注,而“身份认证技术”也逐渐被认为是网络安全的第一道防线。在传统互联网中,用户信息和账号信息分散在不同的网络站点上,安全运维成本较高。而基于智能手机的平台下,移动通信网和传统互联网相结合,用户对每个业务都必须进行身份信息注册才能使用。身份认证技术的两种方式数字签名技术,动态口令技术中的PKJ技术和信息推送技术已经相对成熟。然而在业务的不断切换过程中,用户不得不多次输入用户名和密码进行重复的认证和授权。与此同时,现有的智能手机终端总体处理能力较弱使得用户反复输入用户名和密码时产生不便,重复的输入过程容易带来更多的安全隐患。因此,使用联合身份认证的机制来管理和维护多个身份和账号值得进一步探讨。
二、方案设计
(一)联合身份创建和识别
用户联合身份管理就是用来解决将一个实体的多个身份或账号信息联合管理和维护的问题。这种身份管理机制提供的功能主要有身份联合、单点登录以及统一访问三部分。建立信任关系和信任域是进行身份联合、实现单点登录和统一访问的基础。
其中信任关系包括两种:一种是服务提供方(SP)与公证方(IDP)之间的信任关系,双方通过协商来确定两者之间相关的协议和进一步的扩展建立,建立信任关系以后,服务提供方才能进一步确认公证方对用户身份信息的真实,从而为用户提供相关服务。其中信任域就是通过服务提供方与公证方之间建立的信任关系而形成的信任区域。另一种是用户(User)和服务提供方之间的信任关系,它取决于用户对服务提供方所开放用户信息的种类和程度。用户可以通过参考服务提供方与IDP之间所形成的信任关系的程度来生成用户和服务提供方之间的信任关系。
在智能手機的工作平台中,各个服务节点的功能有所差异,从而导致用户的身份信息也会不相同。各个服务节点有可能会隶属于不同的安全域,这样就会存在多个面向不同职能领域的IDP。建立联合身份管理机制的目标是允许不同的安全域之间交换用户身份信息,而基础就是数据的信任、隐私和完整性。基于此条件,创建联合身份标识主要采用两种技术手段:一种是临时性标识。临时身份标识,就是指当用户登出或超时后,临时身份标识作废,联合关系自动终止。另外一种是持久化标识。采用持久化手段绑定用户身份关系,用户每次登录都可以重复使用。
用户创建联合身份标识后,公证方(IDP)先通过联合身份标识来识别用户身份,然后向安全域中的服务提供方提供用户身份证明。
(二)单点登录
在跨安全域的联合的身份认证技术中,需要通过对SAML2.0规范来实现不同安全域下用户身份的鉴别和交换;服务提供方与公证方(IDP)之间采用基于双向身份认证的安全传输通道来实现信息交换,用户与服务提供方则采用基于单向身份认证的安全传输通道。最终来实现单点登录来访问不同安全域的服务节点。简易的方案架构如图所示:
具体实现如下:
用户在没有建立信息安全环境下,首次访问某个安全域下的服务节点,则先向服务提供方1发送一个访问请求;服务提供方1查询并确定IDP1的位置,寻求身份确认,交换认证凭据;不同安全域下的IDP1和IDP2等通过联合身份管理技术交换用户的身份信息,从而建立IDP之间的互信。当用户再次访问不同安全域下的服务提供方2时,用户就不再需要进行身份的二次认证即可安全访问服务提供方2提供的服务资源,从而实现不同安全域的身份认证。
三、应用实例与展望
采用身份信息作为密钥的方法,更有利于服务提供商和用户使用。通过用户手机号和服务提供商存储一个公钥数据库,当智能手机用户订购某种服务时,用户将利用服务提供商的ID来加密私人信息和订购信息,可以有效保证信息的机密性。假设某非法的服务提供商向一种服务做广告,其就无法获得合法的服务提供商提供的ID私钥,因此非法的服务提供商即使获得信息,但缺少秘钥而无法解密信息,也就无法获得用户的私人信息,从而阻止了用户被非法的服务提供商订购服务。
2013年,国务院公布了机构改革和职能转变方案。提出在2014年建立以公民身份证号码集成一切的公共平台构成全社会的信用框架。实行实名上网,用身份证号可以追溯到个人的所有信用行为,为大势所趋。因此,联合身份管理的认证和安全需要早日完善。
作者简介:
刘衍,女,1986年7月8日,青海,本科,助教,计算机科学技术。
一、研究现状
智能手机就是安装了开放式操作系统的手机。具有无线接入互联网的能力,PDA的功能,即在GSM网络或CDMA网络中,可以根据个人的需求扩展机器功能,安装第三方应用程序,进行个人信息管理、日程记事、任务安排、多媒体应用、浏览网页等。由于智能手机具备开放性操作系统,用户可以在网络上自由的下载安装程序,从而给一些恶意程序带来了可乘之机,除此之外,智能机的基本通信功能的漏洞也可能会让一些病毒趁机作祟。
时至今日,突出的网络安全问题使得人们对“身份认证技术”越来越关注,而“身份认证技术”也逐渐被认为是网络安全的第一道防线。在传统互联网中,用户信息和账号信息分散在不同的网络站点上,安全运维成本较高。而基于智能手机的平台下,移动通信网和传统互联网相结合,用户对每个业务都必须进行身份信息注册才能使用。身份认证技术的两种方式数字签名技术,动态口令技术中的PKJ技术和信息推送技术已经相对成熟。然而在业务的不断切换过程中,用户不得不多次输入用户名和密码进行重复的认证和授权。与此同时,现有的智能手机终端总体处理能力较弱使得用户反复输入用户名和密码时产生不便,重复的输入过程容易带来更多的安全隐患。因此,使用联合身份认证的机制来管理和维护多个身份和账号值得进一步探讨。
二、方案设计
(一)联合身份创建和识别
用户联合身份管理就是用来解决将一个实体的多个身份或账号信息联合管理和维护的问题。这种身份管理机制提供的功能主要有身份联合、单点登录以及统一访问三部分。建立信任关系和信任域是进行身份联合、实现单点登录和统一访问的基础。
其中信任关系包括两种:一种是服务提供方(SP)与公证方(IDP)之间的信任关系,双方通过协商来确定两者之间相关的协议和进一步的扩展建立,建立信任关系以后,服务提供方才能进一步确认公证方对用户身份信息的真实,从而为用户提供相关服务。其中信任域就是通过服务提供方与公证方之间建立的信任关系而形成的信任区域。另一种是用户(User)和服务提供方之间的信任关系,它取决于用户对服务提供方所开放用户信息的种类和程度。用户可以通过参考服务提供方与IDP之间所形成的信任关系的程度来生成用户和服务提供方之间的信任关系。
在智能手機的工作平台中,各个服务节点的功能有所差异,从而导致用户的身份信息也会不相同。各个服务节点有可能会隶属于不同的安全域,这样就会存在多个面向不同职能领域的IDP。建立联合身份管理机制的目标是允许不同的安全域之间交换用户身份信息,而基础就是数据的信任、隐私和完整性。基于此条件,创建联合身份标识主要采用两种技术手段:一种是临时性标识。临时身份标识,就是指当用户登出或超时后,临时身份标识作废,联合关系自动终止。另外一种是持久化标识。采用持久化手段绑定用户身份关系,用户每次登录都可以重复使用。
用户创建联合身份标识后,公证方(IDP)先通过联合身份标识来识别用户身份,然后向安全域中的服务提供方提供用户身份证明。
(二)单点登录
在跨安全域的联合的身份认证技术中,需要通过对SAML2.0规范来实现不同安全域下用户身份的鉴别和交换;服务提供方与公证方(IDP)之间采用基于双向身份认证的安全传输通道来实现信息交换,用户与服务提供方则采用基于单向身份认证的安全传输通道。最终来实现单点登录来访问不同安全域的服务节点。简易的方案架构如图所示:
具体实现如下:
用户在没有建立信息安全环境下,首次访问某个安全域下的服务节点,则先向服务提供方1发送一个访问请求;服务提供方1查询并确定IDP1的位置,寻求身份确认,交换认证凭据;不同安全域下的IDP1和IDP2等通过联合身份管理技术交换用户的身份信息,从而建立IDP之间的互信。当用户再次访问不同安全域下的服务提供方2时,用户就不再需要进行身份的二次认证即可安全访问服务提供方2提供的服务资源,从而实现不同安全域的身份认证。
三、应用实例与展望
采用身份信息作为密钥的方法,更有利于服务提供商和用户使用。通过用户手机号和服务提供商存储一个公钥数据库,当智能手机用户订购某种服务时,用户将利用服务提供商的ID来加密私人信息和订购信息,可以有效保证信息的机密性。假设某非法的服务提供商向一种服务做广告,其就无法获得合法的服务提供商提供的ID私钥,因此非法的服务提供商即使获得信息,但缺少秘钥而无法解密信息,也就无法获得用户的私人信息,从而阻止了用户被非法的服务提供商订购服务。
2013年,国务院公布了机构改革和职能转变方案。提出在2014年建立以公民身份证号码集成一切的公共平台构成全社会的信用框架。实行实名上网,用身份证号可以追溯到个人的所有信用行为,为大势所趋。因此,联合身份管理的认证和安全需要早日完善。
作者简介:
刘衍,女,1986年7月8日,青海,本科,助教,计算机科学技术。