论文部分内容阅读
随着网络技术,特别是移动互联网和物联网的发展,越来越多的智能终端被接入网络,种类繁多的应用程序也随之应运而生。在移动互联网环境中,现有的身份认证方式没有对网络接入认证和应用服务认证进行一体化考虑。智能终端需要在接入网络时与网络运营商进行网络接入认证,当需要使用应用服务时与应用服务提供商进行应用服务认证。两种认证相互分离不仅造成功能的重复建设,同时也存在着严重的安全问题。对于用户而言,相对于针对不同应用使用不同密码这种比较安全的方式,用户更倾向于使用弱口令或者相同密码访问不同的应用服务。其原因在于大量的密码会给用户带来管理和记忆的负担。然而,使用弱口令和相同密码所带来的严重后果是攻击者可以轻易的获取用户密码,造成用户信息泄露或者财产损失。对于应用服务提供商而言,大量的用户信息也给应用的安全管理带来了挑战。一方面可能受限于自身的技术能力或者资金支持,导致密码管理不当造成用户信息泄露;另一方面新颖的网络攻击方法也在时刻考验着应用程序抵御攻击的能力,稍有不慎就会使得用户信息泄露。为了解决上述问题,本文设计了适用于移动互联网环境下的统一身份认证方案。其核心思想是将网络接入认证和应用服务认证统一考虑,把当前分布在各个应用服务提供商的认证系统整合成一种服务,由网络运营商提供。用户可以通过使用随身携带的智能终端设备实现用户身份认证或者实现对其他网络设备进行身份授权,从网络运营商处获得访问应用服务的票据方便快捷的使用应用服务提供商提供的应用服务。具体而言,本文的主要工作包括:1.本文阐述了适用于移动互联网环境下的统一身份认证框架以及统一身份认证中心所需的存储结构。针对于通过智能终端访问应用服务和通过PC机访问应用服务两种现实使用场景,本文重点描述了所设计的使用智能终端实现统一身份认证方案和使用PC机与智能终端配合使用实现统一身份认证方案的认证过程。2.本文对所设计的移动互联网环境下的统一身份认证方案进行了分析。首先,从安全性角度分析了其抵御现有攻击的能力。其次,从性能角度分析了本方案中认证参与者在认证过程中的性能提升。最后分析了本方案与Kerberos协议的不同以及方案的其他特点,如本方案可以兼顾“网络实名制”管理与用户隐私保护需求等。3.本文实现了所设计的统一身份认证方案并且进行了实验验证。通过搭建实验平台和开发环境,使用Freeradius服务器实现了对智能终端的EAP-SIM网络接入认证。在Windows、Ubuntu和Android操作系统上使用C语言和Java语言编码实现了所设计的方案。通过对实验结果的分析验证了所设计方案的安全性和可行性。