论文部分内容阅读
随着网络技术的飞速发展,身份认证和鉴别作为确保网络安全的一种重要技术手段,受到广泛关注。众多主流厂家和研究机构为解决不同身份认证模式间缺乏互操作、互认证和集成困难等问题联合提出了 FIDO(Fast Identity Online)协议框架。该协议框架具有开放性、易集成、支持多种认证模式等特点,是目前多认证模式统一的主流框架之一。多认证模式集成和决策、跨域认证和隐私保护是FIDO协议框架应用于大规模互联网复杂环境急需解决的问题,本文在FIDO协议框架的基础上,提出了基于模糊判定理论的身份认证动态决策、跨域环境下的匿名认证和用户信息的隐私保护方法,设计了一种基于FIDO协议的多认证模式统一框架,并设计和初步实现了基于该框架的统一身份认证平台原型系统。本文的主要工作和创新点包括:(1)提出了一种基于FIDO协议的多认证模式集成方案本文在深入研究FIDO协议的基础上,针对多种应用系统对身份认证方式的不同需求,设计了一种基于FIDO协议的多认证模式集成方案,将原有FIDO协议框架下的本地认证进行优化,纳入统一的管理控制,降低了对用户终端的计算要求,提高了框架在终端资源受限环境的适用性。该方案能够集成口令、生物特征、数字证书等多种身份认证方式,满足不同安全需求的应用和用户对认证方式的选择。(2)提出了一种基于模糊判定理论的身份认证动态决策方法用户申请不同服务时,由于用户的环境属性、行为属性和安全需求不同,需要建立风险控制体系,动态进行认证方式选择。针对身份认证动态决策问题,本文提出了一种基于模糊判定理论的多认证方式动态决策方法,通过引入三角模糊数和权向量合成算法,解决了判断矩阵建立中数值精确表达困难以及决策过程中客观权重和主观权重难以平衡的问题。该方法支持根据网络风险、服务声誉、用户角色等多种因素进行身份认证方式决策,兼顾影响身份决策的静态因素和动态因素,同时考虑决策者的主观偏好,达到了科学合理地进行身份认证方式选择的目的。(3)提出了一种跨域环境下的匿名认证方案和数据隐私保护方法针对多认证模式统一框架中的跨域认证需求,提出了一种匿名跨域认证方案。通过对传统基于证书的签名(Certificate-Based Signature,CBS)方案进行改进,使其避免复杂的双线性对运算,有效降低计算开销;在此基础上构造了匿名跨域认证方案,从系统模型、方案设计、安全和性能分析三个方面对该方案进行了详细说明。分析表明,该方案在效率、安全性、匿名性、密钥更新等方面都有较大优势。针对跨域环境下用户信息共享带来的隐私泄露问题,提出了一种基于差分隐私的数据保护方法。通过将全序距离计算算法和混合距离计算算法引入到MDAV(Maximum Distance to Average Vector)聚类算法中,提出了满足执行差分隐私操作的ICMD(Insensitive clustering for mixed data)聚类算法;将ICMD和差分隐私结合,即在ICMD聚类算法的结果上执行差分隐私操作,使得输出的数据集在达到隐私保护的同时保留较高的可用性。最后,从信息披露和信息损失两个方面对该方法进行了仿真实验,验证了该方法的有效性。(4)对统一身份认证平台原型系统进行了初步实现通过上述关键技术的研究,提出了基于FIDO协议的多认证模式统一框架,并根据该框架设计了一种统一身份认证平台。设计了统一身份认证平台的功能结构和服务组成,给出了平台主要实体之间的业务关系、模块之间的调用关系以及接口的类型和定义等,并进行了原型系统实现与验证。