面向身份联盟的多粒度联合身份认证方法与流程

本发明属于信息安全技术领域，具体涉及一种面向身份联盟的多粒度联合身份认证方法。

背景技术：

随着网络应用和互联网服务渗透到人们生活的方方面面。网络在给人们带来便捷的同时也带来巨大的安全风险，尤其是网络身份的虚拟性给商业信用、国家安全和社会稳定带来新的挑战。身份联盟是未来大规模异构网络中身份管理的发展趋势。在身份联盟中，一个服务提供者为了实现用户对其服务的安全访问，基于自身效率和经济的考虑，接受另一个身份提供者维护的身份信息和认证操作。身份联盟为用户提供了一种简单的身份认证方式，降低了身份管理的代价，已经成为大规模异构网络中身份管理的主要方式。然而，身份联盟中一旦发生身份信息伪造或假冒，整个网络将面临巨大的安全风险。因此，如何实现可信的身份认证是身份联盟中身份管理的一个核心关键问题。具体而言，主要问题有以下3个方面：

身份信息的种类繁多，但对于具体的用户，并不是所有的身份信息都是可用的，比如一些特殊的人群可能不具有某些生物特征身份信息。并且，每种身份信息也不是在所有的时候都是可用的。

在身份联盟中，各应用系统对身份认证的可信度有不同的要求，即使是在同一个应用系统中，用户对不同服务的访问也可能提出不同可信度的身份认证需求。融合多种身份信息进行身份认证时，所使用的身份信息种类越多，身份认证的可信度一般越高，而相应的身份认证的代价也越高。

各种身份信息由于复杂程度不一样，相应的抗泄漏和防伪的能力也不同，其所能达到的身份认证的可信度也应有所区别。对具有不同复杂程度的身份信息如果不加区分，将不能体现各种身份信息对身份认证可信度贡献的差异。

因此，身份联盟虽然是一种新的身份认证方式，它可以实现跨域的访问，并且能够降低身份认证的代价。然而，身份联盟中一旦出现身份信息的伪造，其安全风险非常巨大。

在网络访问中，为了保证身份的可信，用户需要提供个人身份信息并通过身份认证。目前主要有以下几种方法：

(1)根据用户所知道的内容(比如密码、口令问答等)；

(2)根据用户所持有的东西(比如证件、钥匙、智能卡等)；

(3)利用用户的生物特征(比如人脸、指纹、虹膜、dna等)或行为特征(步态、签名等)。

然而，身份信息都存在被伪造或假冒的风险。为了提高身份认证的可信度，一种方法是采取身份信息的防伪、防泄漏技术，如manjunathswamybe等人提出的multimodelpersonalauthenticationusingfingerveinandirisimages(mpafii)以及syedsn等人提出的anovelhybridbiometricelectronicvotingsystem，这些方法通过更复杂的身份信息替代原来简单的身份信息，或者对现有身份信息进行加密。这些方法在一段时间内可以起到一定作用，但是随着身份信息伪造技术和解密技术的发展，其作用将逐渐失效。并且，这种方法需要较大的额外投入，比如新的身份信息采集设备与识别装置，因此代价相对较大。另一种方法是融合多种身份信息进行身份认证，如manjunathswamybe等人提出的multimodelpersonalauthenticationusingfingerveinandfaceimages(mpaffi)。这种融合多种身份信息进行身份认证的方法增加了伪造身份信息的难度，但是融合的身份信息仅有两种，不能发挥其他身份特征在身份认证中的作用。身份联盟为用户提供了一种简单的身份认证方式，从而能有效提升身份认证的可信度，并且额外投入较小，是当前身份认证的发展趋势。

技术实现要素：

基于现有技术存在的问题，本发明提出了一种面向身份联盟的多粒度联合身份认证方法，该方法基于多维身份信息，采用多粒度联合问题求解机制，构建一种多粒度联合身份认证模型，满足用户对身份认证的安全可靠性、自适应性和多样性需求。

一种面向身份联盟的多粒度联合认证方法，其包括以下几个步骤：

s1、对身份信息的可信度进行量化处理，应用系统根据用户认证请求给出相应的资源访问安全度；

s2、根据用户身份认证的可信度需求，以及用户身份信息的可用性需求得到候选身份认证方案；

s3、应用系统对各候选身份认证方案进行身份认证方案代价评估，以最小化访问代价为目标，从中确定出最终身份认证方案；

s4、采用多粒度联合身份认证方法进行多种身份信息联合认证；

s5、若访问行为对身份认证可信度提出新的需求，那么更新可信度需求，并返回步骤s1。

进一步的，身份认证的可信度量化处理的计算公式如下：

config(xi)＝anticonfig(xi)+classifier(xi)+attribute(xi)

其中，xi表示第i种身份信息；config(xi)表示第i种身份信息的可信度，i∈{1,2,...,n}；n表示身份信息种类数；anticonfig(xi)表示身份信息的防伪代价，classifier(xi)表示认证服务器的认证安全度，attribute(xi)表示身份信息属性。

进一步的，所述资源访问安全度的获取方式包括加权求和各种安全标准：

se＝a×美国标准+b×欧洲标准+c×中国标准；

se表示资源访问安全度；a表示美国标准的权重，b表示欧洲标准的权重，c表示中国标准的权重。本专利中，根据各地安全要求的不同，美国标准拟采用tcsec标准，欧洲标准采用itsec标准，中国标准采用gb/t5271标准。因为itsec的1～5级对应于tcsec的d到a级，所以取定a的值为0.1，b的值为0.2，c的值为0.7。

候选身份认证方案的求取方法包括针对满足可用性需求的身份认证信息，将这些信息的可信度按照从大到小进行降序排列，将满足资源访问安全度的可信度信息依次作为候选认证方案，若该可信度信息不满足资源访问安全度，则将该可信度信息及其后续的可信度信息形成加权组合，直至刚好满足资源访问安全度，从而形成候选认证方案；例如，作为一种可选方式，若按照可信度排列的信息都不满足资源访问安全度，则选择可信度最大的信息与其后续的可信度信息均作为权值加起来，形成加权组合，将这个组合作为一种候选认证方案。

进一步的，最小化访问代价表示为：

min(f(x))＝s-c＞0

其中，f(x)为提供身份信息组合可信度和资源访问安全度的差，用户提供信息的组合可信度要大于实体资源访问的安全度，即可进行访问，即f(x)＝(s-c)＞0用户才可进行实体访问；s为多种信息的组合可信度，c表示用户实体信息访问的认证安全度。

进一步的，以每种身份可信度作为权值，多种信息的组合可信度s的值为组合信息中各身份信息可信度加权之和；即xi表示第i中身份信息。

进一步的，所述多粒度联合身份认证包括：对n种身份信息认证采用决策融合中悲观粗糙集的方式进行融合；具体包括每种身份根据各自的认证服务器得到一个认证结果；根据用户资源访问的需求的不同，得到不同粒层的认证；将该粒层的身份信息组合中的n种身份信息分别进行认证，得到n种身份信息的认证结果；将n种认证结果，采取悲观粗糙集的方法进行决策融合；从而获得多粒度联合认证结果。

本发明的有益效果：

本专利针对大规模网络中身份认证的需求，基于身份联盟的身份认证框架，为提高身份认证的安全性和可信度，提出了一个多粒度的联合认证方案，本发明研究各种身份信息的可信程度，并将其作为各种身份信息多粒度联合的权值；以代价最小化为约束条件，面向用户需求的多粒度联合身份认证以及面向用户身份信息可用性的身份认证；当用户提出访问需求时，身份联盟根据应用系统对身份认证安全性的需求，进行身份认证方案的评估和筛选，提高了身份认证的安全性和可靠性。

附图说明

图1为本发明的身份认证方法流程图；

图2为本发明的采用的认证请求过程图；

图3为本发明采用的多种身份信息联合认证流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

本发明解决上述技术问题的技术方案是：

一种面向身份联盟的多粒度联合认证方法，如图1所示，其包括以下几个步骤：

s1、对身份信息的可信度进行量化处理，应用系统根据用户认证请求给出相应的资源访问安全度；

s2、根据用户身份认证的可信度需求，以及用户身份信息的可用性需求得到候选身份认证方案；

s3、应用系统对各候选身份认证方案进行身份认证方案代价评估，以最小化访问代价为目标，从中确定出最终身份认证方案；

s4、采用多粒度联合身份认证方法进行多种身份信息联合认证；

s5、若访问行为对身份认证可信度提出新的需求，那么更新可信度需求，并返回步骤s1。

实施例1

本实施例将对本发明采用的方案进行进一步的描述和解释：

根据用户请求确定用户需要提交的身份信息：用户根据要访问的实体信息，实体资源访问会给出一个信息的安全度，用于提高身份认证安全度，用户若要进行实体资源访问，需要提供自身身份信息进行认证。此时，在认证过程中为了达到实体访问的认证安全度，根据用户身份信息的可用性，会根据用户身份信息的可信度产生多组认证组合，根据最小化代价的优化方案，选取一组身份信息进行身份认证，身份组合信息的可信度为各个身份信息的可信度加权之和。

用户将所需要的身份信息提交：根据资源访问的需求，用户会提供一组身份信息用于身份认证，对身份信息进行集成处理，根据身份联盟分布式存储的特性，在此采用决策融合的方式进行处理，本专利中使用粗糙集中悲观粗糙集的思想进行决策融合，悲观粗糙集讲究“求同排异”的决策策略，即当所有决策都通过验证的时候，验证结果才为真。同理可知，在身份联盟中，只有各自的身份认证器都通过各自的身份认证，用户才能进行实体访问，信息的集成部分可参考图3。

将认证结果提交：用户进行身份认证后，将结果提交如果结果判断为真，用户就能进行实体访问，否则用户将不能进行实体访问。

实施例2

下面结合具体数据，对本发明进行进一步阐述，本发明采用的身份认证过程如图2所示，包括以下步骤：

假设身份联盟中有n个身份认证服务器，用户a向应用系统即应用服务器b提出认证请求，应用服务器b提出一个认证安全度为m的身份认证。此时，根据本专利提出的方法，如何进行身份认证的过程如下：

如图3所示，针对大规模异构网络的身份认证本发明以三种身份为例，分别为：人脸、指纹和口令。以orl_faces人脸数据集为例，以支持向量机svc算法求得数据集的分类效果为0.87，根据信息的防伪代价可知，在认证安全中，可以通过伪造人脸照片，使用用户的人脸视频和用户的三维人脸面具，由此可知本发明将人脸的防伪代价设为0.5，在人脸识别中，根据人脸属性，有长相相似或者存在双胞胎等情况，所以本发明将人脸的信息属性设为0.8，由此可知人脸的可信度为2.17；以fvc2004指纹数据库可得，用svc可得其分类效果为0.79，在日常指纹识别中本发明可以制作指模等方式伪造指纹信息，由此本发明将指纹的防伪代价设为0.7，从遗传学和概率学统计，两个人指纹重复率几乎为0，因此本发明将指纹属性设为1，由此可知指纹的可信度为2.49；在日常认证中口令认证的应用及其普遍，但口令存在信息被窃取和伪造容易的问题，因此本发明将口令的可信度设为1.5，如表1所示。

表1可信度与身份信息关系

用户进行实体资源访问，根据3中安全度值se的公式，根据tcsec中安全等级指定，需要达到的安全等级为b，则tcsec标准取值为3，根据itsec中的标准指定，同样itsec标准取值为3，根据中华人民共和国国家安全标准，假设用户需要进行身份识别和自主访问控制，那么需要达到安全级别为3，由此本发明设要资源访问的安全度值se＝0.1×3+0.2×3+0.7×3，由此可知认证安全度的值为3。为了实现访问的安全性和可靠性，用户需要提供安全等级大于等于3的身份认证组合。

用户的人脸信息和指纹信息为3，根据身份信息可信度排序，依次为口令信息，人脸信息和指纹信息，用户提供口令信息后的信息可信度值小于实体访问的安全度值，则需要增加信息认证的安全度，增加用户提供的人脸信息后，人脸和口令的加权可信度值为3.67，加权后的可信度值大于实体资源访问的安全值。

通过采用以上步骤，得到的认证信息组合为口令和人脸，根据身份数据的分布式存储特点，对两种信息认证采用决策融合的方式进行融合，决策融合方式采用悲观粗糙集的方法进行融合，当两种信息的认证结果都通过各自的认证服务器且合法时则用户可以进行实体资源访问，如果有一种认证信息不能通过认证则不能进行实体资源访问。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：rom、ram、磁盘或光盘等。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。