移动网络与云环境下的重认证和访问控制策略研究

来源:用户上传      作者:

　　摘要：随着手机、电脑等移动设备的普遍使用，人们越来越习惯于用智能设备存储个人信息。但近些年来，由于移动设备丢失导致的用户隐私泄露事件屡见不鲜，如何实现互联网云环境下身份认证以及信息安全性的提高已经成为人们极为关注的问题。基于这个问题本文提出了一种访问策略的更新，设计动态演化的隐式重认证方法，使得智能终端能够持续地识别用户是否合法，对抗恶意用户的模拟攻击，防止未授权用户造成数据泄露。通过分析及研究以期为相关工作者提供一定的帮助。
　　关键词：移动网络;云环境;访问策略;重认证方法
　　中图分类号：TP393        文献标识码：A
　　文章编号：1009-3044（2020）02-0035-02
　　Abstract： With the widespread use of mobile phones， computers and other mobile devices， people are more and more accustomed to using smart devices to store personal information. However， in recent years， user privacy disclosure incidents caused by the loss of mobile devices are not uncommon. How to achieve identity authentication and the improvement of information security in the Internet cloud environment has become an issue of great concern. Based on this problem， this paper proposes an update of access policy and designs an implicit re-authentication method with dynamic evolution， so that the intelligent terminal can continuously identify whether the user is legitimate and resist the simulation attack of malicious users. to prevent data disclosure caused by unauthorized users. Through analysis and research in order to provide some help for related workers.
　　Key words： mobile network; cloud environment; access policy; re-authentication method
　　1 概述
　　隨着互联网的发展及移动设备的广泛使用，在提供便利的同时也逐渐暴露了危害[1]。当移动设备丢失时，虽然可以通过发送命令锁定移动终端。但在用户发现设备被盗前的这段时间内，个人的隐私数据可能已经泄露[2]。移动终端在合理负荷下，可以判定当前用户的合法性，并抵抗模拟用户手势和操作习惯的攻击需使用动态演化情境感知隐式重认证技术。此外在多授权环境下，各个授权点独立的伪用户赋予相应属性，这造成了属性之间的关系难以权衡[3]。若属性关系过于脆弱，会受到共谋攻击（Collusion Attack）。但若关系过于复杂，会使得安全协议性能大大降低。基于此本文提出了一种基于自底向上设计思想的访问策略更新，利用智能移动终端的传感器，通过用户特征和情境特征，设计动态演化的隐式重认证方法，使得智能终端能够持续地识别用户是否合法，对抗恶意用户的模拟攻击。
　　2 相关知识及其研究现状
　　2.1 重认证方法
　　针对应用于移动终端的传统显式认证技术存在的攻击者易于破解认证口令的局限性，研究者们提出了多种隐式认证的方式，主要包括：滑动行为[4-5]、点击行为[6-7]、步伐[8]等。2012年De Luca等[4]探讨了利用画图解锁时的滑动行为来进行用户的区分，增强了系统的安全性。Cheng Bo等人[5]通过触屏行为和移动行为相结合的方式来对用户进行认证，给出了名为SilentSense的框架。在文献[6]中，作者分析了智能手机上击键过程中的六个特征，并借助优化的分类器进行分类。Moghaddam等[7]提出了一种基于传感器加强的键盘感知的动态方法。除了滑动和点击行为外，还提出了一些其他的隐式重认证方案如步伐[8]、手机使用方式[9-10]等，这些方法传感器对数据进行采集和分析，从而识别用户合法性。
　　2.2  访问控制方法
　　传统的访问控制协议通常假设数据所有者和存储服务器在同一个可信域中，但云服务器属于云存储服务提供商，因而这种假设在云辅助无线体域网中不成立。但研究者发现，基于属性的加密（Attribute-based Encryption，简称ABE）是一种以属性为公钥的加密算法，可以克服传统访问控制的缺陷。目前ABE机制有两类：由接收方制定访问策略的密钥策略ABE机制（KP-ABE）和由发送方规定密文访问策略的密文策略ABE机制（CP-ABE）。Song等[11]提出了第一个基于CP-ABE访问控制协议。文献[12]设计了一个去中心化的访问控制协议，然而他们的协议比较复杂也不支持属性的撤销。 陈等[13]提出了一种新的属性撤销方法，但是他们的方法通讯复杂度过高。由于CP-ABE中的用户私钥与一个属性集合相关，与访问控制模型更加接近，因此CP-ABE更适合来构造访问控制协议。 　　3 重认证和访问控制策略的技术支撑
　　3.1  移动互联网终端认证和数据防泄漏方法
　　移动终端已经成为用户通往互联网的首选入口，且为了便于重新访问都在移动终端上存储账户和口令等信息。此外手机中可能还会存储通讯录及照片等个人隐私数据。但由于智能手机丢失或被盗窃的比例逐渐增大，信息泄漏的问题时有发生。解决这个问题的关键在于重认证的方法。周期性的显式认证虽然设计简单、容易实施，但是容易被攻击者发现并绕过，而且严重影响用户体验。对于隐式重认证技术，也开始出现针对性的攻击方法。因此本文结合移动终端检测未授权用户的实际需求，设计轻量高效、不易察觉、不易绕过、动态演化的基于用户行为特征和情境感知的隐式重认证方法，从而解决由于设备丢失和被盗引起的数据泄露问题。
　　3.2  基于CP-ABE的访问控制协议
　　云辅助无线体域网中的数据是存储在不可信任的云服务器上。但CP-ABE机制可以赋予数据所有者更多对数据访问策略的直接控制权，是构造云辅助无线体域网中访问控制的最有效工具之一。所以本文设计基于属性的多授权中心访问控制协议，探索能提供前向及后向安全的属性撤销方法。进而设计安全高效的多授权中心;最后利用CP-ABE机制构造适合云辅助无线体域网的访问控制协议。
　　4  移动网络与云环境下的重认证和访问控制策略
　　4.1  重认证技术
　　针对移动终端易丢失、被盗的特点，设计高效的动态演化情境感知隐式重认证方法，防止用户隐私数据泄露。主体思路为：
　　1） 移动终端采集用户的特征数据并进行简单的预处理，将抽取的特征发送给服务器端。2）服务器端对这些特征数据进行分类训练并建立用户特征模型，移动终端定期下载该特征模型。3）移动终端采集各种环境信息，通过配对信息和安全协议进行配对。4）对于用户特征数据和情境感知数据，移动终端将根据用户所在的状态进行动态验证。如果通过验证，新的数据可以作为训练样本以演化用户特征和情境特征，否则，将提示移动终端拥有者并采取防御措施，如出现密码提示或者自动锁定等。
　　4.2  访问控制技术
　　采用“抽象系统架构、建立安全模型、研究CP-ABE机制”的技术路线来研究云辅助无线体域网中可证明安全的访问控制协议。
　　1） 抽象系统架构：在云辅助无线体域网中，用户的属性可能由多个授权中心产生，而数据所有者往往会允许来自不同授权中心的用户访问数据。根据这一个特点，抽象出云辅助无线体域网中访问控制协议的系统框架。2）建立安全模型：根据云辅助无线体域网的应用环境，建立KP-ABE的安全模型。3）研究CP-ABE机制：根据云辅助无线体域网的特点，设计安全高效的CP-ABE机制。在设计多授权中心的CP-ABE机制的过程中，最大的挑战是如何把不同的属性私钥关联起来，同时又能够抵抗共谋攻击。
　　5 结束语
　　综上所述，在对移动网络与云环境下的重认证和访问控制问题时，可以通过建立动态演化情境感知隐式重认证方法和基于CP-ABE机制设计的访问策略来实现。使得智能终端能够持续地识别用户是否合法，对抗恶意用户的模拟攻击，避免了因丢失移动设备而造成的信息泄露。
　　参考文献：
　　[1] 何蕾.移动通信信息安全问题与信息安全的维护方式[J].信息与电脑：理论版，2019（7）：223-224，227.
　　[2] 翟靖轩. 移动云计算中的认证协议研究[D].中国矿业大学，2019.
　　[3] 褚含冰.云计算访问控制技术研究综述[J].赤峰学院学报：自然科学版，2019，35（10）：38-40..
　　[4] De Luca A， Hang A， Brudy F， et al. Touch me once and i know it's you！： implicit authentication Based on touch screen patterns[C]//proceedings of the SIGCHI Conference on Human Factors in Computing Systems. ACM， 2012： 987-996.
　　[5] Bo C， Zhang L， Li X Y， et al. Silentsense： silent user identification via touch and movement behavioral biometrics[C]//Proceedings of the 19th annual international conference on Mobile computing & networking. ACM， 2013： 187-190.
　　[6] 劉英，莎仁高娃，张利文.移动无线网络的移动终端安全认证方案[J].重庆理工大学学报（自然科学），2019，33（10）：161-167.
　　[7] Moghaddam F F， Wieder P， Yahyapour R. A policy-based identity management schema for managing accesses in clouds[C]//2017 8th International Conference on the Network of the Future （NOF）. IEEE， 2017： 91-98.
　　[8] Amini S， Noroozi V， Pande A， et al. Deepauth： A framework for continuous user re-authentication in mobile apps[C]//Proceedings of the 27th ACM International Conference on Information and Knowledge Management. ACM， 2018： 2027-2035.
　　[9] Lim S Y， Kiah M L M， Ang T F. Security Issues and Future Challenges of Cloud Service Authentication[J]. Acta Polytechnica Hungarica， 2017， 14（2）：69-89.
　　[10] Dey S， Sampalli S， Ye Q. Security and privacy issues in mobile cloud computing[J]. International Journal of Business and Cyber Security， 2016， 1（1）.
　　[11] Yu S， Wang C， Ren K， et al. Attribute based data sharing with attribute revocation[C]// Proceedings of the 5th ACM symposium on information， computer and communications security. ACM， 2010： 261-270.
　　[12] 乔毛，秦岭.云存储服务中一种高效属性撤销的AB-ACCS方案[J].计算机科学，2019，46（07）：96-101.
　　[13] 陈成，努尔买买提·黑力力.基于CP-ABE的利益冲突数据集的访问控制[J].计算机科学，2018，45（11）：149-154.
　　【通联编辑：唐一东】
转载注明来源:https://www.xzbu.com/8/view-15128092.htm