基于移動(dòng)應(yīng)用身份管理服務(wù)的研究

汪亞娟

（國(guó)家電網(wǎng)有限公司客戶服務(wù)中心信息運(yùn)維中心 江蘇省南京市 211161）

信息化的不斷發(fā)展，人們需要在越來(lái)越多的網(wǎng)站中注冊(cè)身份認(rèn)證，導(dǎo)致身份管理服務(wù)的需求量不斷增加，海量的身份信息對(duì)移動(dòng)應(yīng)用的服務(wù)水平提出了更高的要求，也隨之增加了身份管理服務(wù)成本。身份信息主要是由網(wǎng)絡(luò)用戶、可信機(jī)構(gòu)、驗(yàn)證者等各類用戶產(chǎn)生的信息構(gòu)成。身份管理服務(wù)是在異構(gòu)網(wǎng)絡(luò)服務(wù)環(huán)境中主流的信息安全技術(shù)，能夠通過(guò)授權(quán)身份的方式，保護(hù)用戶身份信息不被泄露[1]。身份管理的主要目的在于與相應(yīng)的服務(wù)綁定，形成完整的周期性管理服務(wù)?；谝苿?dòng)應(yīng)用本身具備的不可信性，通過(guò)身份管理服務(wù)能夠強(qiáng)化移動(dòng)應(yīng)用的口令認(rèn)證，進(jìn)而提高移動(dòng)應(yīng)用的安全性。在移動(dòng)應(yīng)用身份管理服務(wù)研究中，如何降低移動(dòng)應(yīng)用身份管理服務(wù)成本一直是近些年相關(guān)部門的熱門關(guān)注問(wèn)題。針對(duì)降低移動(dòng)應(yīng)用身份管理服務(wù)成本最直接有效的方式為提高移動(dòng)應(yīng)用身份管理服務(wù)效率，在限定的時(shí)間內(nèi)提供用戶更多的身份管理服務(wù)，從而降低身份管理服務(wù)成本。本文以此為研究基礎(chǔ)，提出基于移動(dòng)應(yīng)用身份管理服務(wù)的研究，致力于通過(guò)提高身份管理服務(wù)的效率，在確保身份信息安全性的同時(shí)，提高身份管理服務(wù)水平。

1 基于移動(dòng)應(yīng)用身份管理服務(wù)

1.1 身份信息安全存儲(chǔ)模式設(shè)計(jì)

在移動(dòng)應(yīng)用中，TCM 能夠通過(guò)自身的密鑰加密身份信息，并提供安全存儲(chǔ)功能，為移動(dòng)應(yīng)用身份管理服務(wù)提供可信任的網(wǎng)絡(luò)環(huán)境。本文采用TCM 可信機(jī)構(gòu)進(jìn)行身份信息備份，并上傳至云端，實(shí)現(xiàn)對(duì)身份信息的安全存儲(chǔ)[2]。通過(guò)用戶、可信機(jī)構(gòu)、數(shù)據(jù)擁有者、驗(yàn)證者以及云服務(wù)簇的相互關(guān)聯(lián)，設(shè)計(jì)身份信息安全存儲(chǔ)模式，如圖1所示。

在圖1中，A指的是文件初始化；B指的是數(shù)據(jù)信息存儲(chǔ)初始化；C 指的是校驗(yàn)；D 指的是反饋；E 指的是信息訪問(wèn)請(qǐng)求；F 指的是驗(yàn)證注冊(cè)。在存儲(chǔ)身份信息時(shí)，首先需要建立移動(dòng)應(yīng)用身份管理表，保護(hù)身份信息的安全性。

通過(guò)移動(dòng)應(yīng)用身份管理表分塊處理身份信息，在本文設(shè)計(jì)的身份信息安全存儲(chǔ)模式中，整體采用authentication 身份認(rèn)證方式，并以authorization 為身份標(biāo)志符認(rèn)證不同的身份信息[3]。在此基礎(chǔ)上，通過(guò)TCM 為身份標(biāo)志符加密，必須在驗(yàn)證通過(guò)后校驗(yàn)云服務(wù)簇。針對(duì)SRK 生成的密鑰，完成身份信息安全存儲(chǔ)，為后續(xù)的基于移動(dòng)應(yīng)用的匿名訪問(wèn)身份管理提供基礎(chǔ)數(shù)據(jù)。

1.2 基于移動(dòng)應(yīng)用的匿名訪問(wèn)身份管理

在完成身份信息安全存儲(chǔ)模式設(shè)計(jì)的基礎(chǔ)上，本文運(yùn)用身份信息安全存儲(chǔ)模式建立身份管理模型，實(shí)現(xiàn)基于移動(dòng)應(yīng)用的匿名訪問(wèn)身份管理[4]。匿名訪問(wèn)身份管理模型，如圖2所示。

圖1：身份信息安全存儲(chǔ)模式設(shè)計(jì)圖

圖2：匿名訪問(wèn)身份管理模型

結(jié)合圖2所示，本文采用屬性模糊分組方案，分配模糊標(biāo)識(shí)，并使用屬性模糊分組的匿名訪問(wèn)控制策略對(duì)具有模糊標(biāo)識(shí)的主客體執(zhí)行訪問(wèn)控制，以提高攻擊方對(duì)實(shí)體確切身份屬性信息的查找難度，保障身份信息的隱私安全。假設(shè)匿名訪問(wèn)身份管理的主體集合為K，操作集合為F、訪問(wèn)控制的客體集合為N，則其對(duì)應(yīng)的屬性集合分別為Kattr、Fattr、Nattr。本文以屬性集合Kattr為例，Kattr的集合表示為：Kattr={（ka1，ka2，ka3，…，kai）}其中kai屬于Dom（KAi），i=1,2,3，…，n，Dom（KAi）。其中，A 表示為主體某一屬性對(duì)應(yīng)的值域。該值域用于在身份信息匿名訪問(wèn)解讀中，驗(yàn)證身份信息請(qǐng)求，在保護(hù)身份信息的同時(shí)，隱藏身份的各類屬性信息。為進(jìn)一步實(shí)現(xiàn)基于移動(dòng)應(yīng)用的匿名訪問(wèn)身份管理，本文結(jié)合RBAC、PBAC等訪問(wèn)控制策略分別控制身份注冊(cè)、身份信息創(chuàng)建以及身份信息訪問(wèn)三個(gè)階段。利用TMP 中的屬性分組規(guī)則，對(duì)各個(gè)不同屬性劃分編組，針對(duì)不同組別的數(shù)據(jù)，必須保證其屬性值均勻，通過(guò)非線性計(jì)算，平均分配給每組數(shù)據(jù)一個(gè)專屬的屬性編組號(hào)碼。以此作為匿名訪問(wèn)身份管理的密鑰，確?；谝苿?dòng)應(yīng)用的匿名訪問(wèn)身份管理中的訪問(wèn)安全。

1.3 身份認(rèn)證協(xié)議選擇

表1：實(shí)驗(yàn)數(shù)據(jù)管理服務(wù)吞吐量對(duì)比表

完成基于移動(dòng)應(yīng)用的匿名訪問(wèn)身份管理后，為提供用戶更高效的身份管理服務(wù)，需要選擇身份認(rèn)證協(xié)議，創(chuàng)建自定義的訪問(wèn)權(quán)限。因此，在基于移動(dòng)應(yīng)用提供身份管理服務(wù)時(shí)，必須規(guī)范數(shù)據(jù)創(chuàng)建、數(shù)據(jù)訪問(wèn)階段，通過(guò)用戶、可信機(jī)構(gòu)、數(shù)據(jù)擁有者、驗(yàn)證者以及云服務(wù)簇的相互關(guān)聯(lián)，實(shí)現(xiàn)身份認(rèn)證信息交互。用戶需要在身份認(rèn)證協(xié)議選擇過(guò)程中，自定義該信息訪問(wèn)權(quán)限，保證身份認(rèn)證信息安全。針對(duì)身份信息訪問(wèn)階段，可以通過(guò)創(chuàng)建請(qǐng)求，實(shí)時(shí)響應(yīng)基于移動(dòng)應(yīng)用身份管理服務(wù)信號(hào)。

為方便本文身份認(rèn)證協(xié)議選擇的描述，在將協(xié)議引入到云計(jì)算環(huán)境中時(shí)，定義身份認(rèn)證協(xié)議選擇符號(hào)。本文通過(guò)建立身份認(rèn)證協(xié)議選擇符號(hào)定義對(duì)應(yīng)表，以符號(hào)的方式定義身份認(rèn)證信息。身份認(rèn)證協(xié)議選擇符號(hào)定義對(duì)應(yīng)表具體內(nèi)容。

身份認(rèn)證協(xié)議選擇的運(yùn)行過(guò)程可分為以下幾個(gè)步驟：首先，啟動(dòng)客戶終端，訪問(wèn)服務(wù)提供者；而后，建立SSL 會(huì)話，選擇認(rèn)證模式，解密密鑰；在此基礎(chǔ)上，以挑戰(zhàn)者身份發(fā)出配置請(qǐng)求，報(bào)告身份管理的完整性，輸入主密鑰，將身份管理信息發(fā)往下一節(jié)點(diǎn)；最后，通過(guò)SSL 解密后，并判斷該用戶是否具備讀用或?qū)懹玫臈l件，若通過(guò)判斷則向第三方直接發(fā)送經(jīng)過(guò)加密后得到的密文，若不通過(guò)則停止該用戶進(jìn)行對(duì)身份管理文件訪問(wèn)的操作，從而保護(hù)身份信息的安全性。在判斷通過(guò)后簽名，顯示認(rèn)證成功，提供移動(dòng)應(yīng)用身份管理服務(wù)。至此，完成身份認(rèn)證協(xié)議選擇符號(hào)定義對(duì)應(yīng)表。

2 實(shí)驗(yàn)

2.1 實(shí)驗(yàn)準(zhǔn)備階段

本文通過(guò)實(shí)驗(yàn)的形式測(cè)試移動(dòng)應(yīng)用身份管理服務(wù)的實(shí)用性，此次實(shí)驗(yàn)內(nèi)容為選擇iPhone11 作為此次實(shí)驗(yàn)的移動(dòng)應(yīng)用，提供移動(dòng)應(yīng)用身份管理服務(wù)。硬件設(shè)施包括：型號(hào)為TYR3583589 的上位機(jī)。此次實(shí)驗(yàn)環(huán)境設(shè)置的具體內(nèi)容及參數(shù)。

本次實(shí)驗(yàn)測(cè)試指標(biāo)為管理服務(wù)吞吐量，管理服務(wù)吞吐量能夠表示單位時(shí)間內(nèi)成功地傳送身份管理數(shù)據(jù)的數(shù)量，管理服務(wù)吞吐量越高證明該管理服務(wù)方法的管理服務(wù)效率越高。首先，采用本文提出的管理服務(wù)方法提供移動(dòng)應(yīng)用身份管理服務(wù)，通過(guò)Weapectl1.2.1 軟件獲取通過(guò)管理服務(wù)請(qǐng)求的吞吐量，設(shè)置其為實(shí)驗(yàn)組；再使用傳統(tǒng)的管理服務(wù)方法提供移動(dòng)應(yīng)用身份管理服務(wù)，將得到管理服務(wù)請(qǐng)求的吞吐量記為對(duì)照組，設(shè)置實(shí)驗(yàn)次數(shù)為10 次，記錄實(shí)驗(yàn)數(shù)據(jù)。

2.2 實(shí)驗(yàn)結(jié)果、結(jié)論

根據(jù)上述提出的實(shí)驗(yàn)步驟，將實(shí)驗(yàn)結(jié)果以表格的形式進(jìn)行展示。得出實(shí)驗(yàn)數(shù)據(jù)對(duì)比表，如表1所示。

通過(guò)表1 可知，本文設(shè)計(jì)的管理服務(wù)方法管理服務(wù)吞吐量最高為5.478 Mbps，而對(duì)照組僅為2.439 Mbps，設(shè)計(jì)的管理服務(wù)方法管理吞吐量明顯高于對(duì)照組近兩倍以上，管理服務(wù)效率更高，可以實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用身份管理服務(wù)的優(yōu)化。因此，設(shè)計(jì)的管理服務(wù)方法更具應(yīng)用價(jià)值，值得大力推廣。

3 結(jié)束語(yǔ)

通過(guò)基于移動(dòng)應(yīng)用身份管理服務(wù)的研究，能夠取得一定的研究成果，解決傳統(tǒng)移動(dòng)應(yīng)用身份管理服務(wù)中存在的問(wèn)題。由此可見，本文設(shè)計(jì)的管理服務(wù)方法是具有現(xiàn)實(shí)意義的，能夠指導(dǎo)移動(dòng)應(yīng)用身份管理服務(wù)優(yōu)化。在后期的發(fā)展中，應(yīng)加大本文設(shè)計(jì)方法在移動(dòng)應(yīng)用身份管理服務(wù)中的應(yīng)用力度。截至目前，國(guó)內(nèi)外針對(duì)移動(dòng)應(yīng)用身份管理服務(wù)研究仍存在一些問(wèn)題，在日后的研究中還需要進(jìn)一步對(duì)移動(dòng)應(yīng)用身份管理服務(wù)的優(yōu)化設(shè)計(jì)提出深入研究，為提高移動(dòng)應(yīng)用身份管理服務(wù)的綜合性能提供專業(yè)建議。