周　煒， 牛連強(qiáng)， 王　斌

(1. 青島理工大學(xué) 計(jì)算機(jī)工程學(xué)院， 山東 青島 266033； 2. 沈陽工業(yè)大學(xué) 軟件學(xué)院， 沈陽 110870)

?

面向社交網(wǎng)絡(luò)的認(rèn)證模型*

周煒1， 牛連強(qiáng)2， 王斌1

(1. 青島理工大學(xué) 計(jì)算機(jī)工程學(xué)院， 山東 青島 266033； 2. 沈陽工業(yè)大學(xué) 軟件學(xué)院， 沈陽 110870)

針對目前基于憑證的社交認(rèn)證系統(tǒng)中社交憑證產(chǎn)生方式匱乏和應(yīng)用場景單一以及基于知識的社交認(rèn)證系統(tǒng)存在社交知識種類缺乏等問題，提出了應(yīng)用短信、電話和數(shù)據(jù)連接等多種社交活動的基于憑證的社交認(rèn)證模型及應(yīng)用邊特性和節(jié)點(diǎn)特性多種類型的基于知識的社交認(rèn)證模型.結(jié)合傳統(tǒng)認(rèn)證方式提出一種多層次、多因子式的統(tǒng)一認(rèn)證模型.結(jié)果表明，結(jié)合線上線下兩種社交認(rèn)證場景，該統(tǒng)一認(rèn)證模型可以解決社交認(rèn)證信息只能為特定系統(tǒng)使用的問題并且能為其他認(rèn)證系統(tǒng)提供社交認(rèn)證服務(wù).

社交網(wǎng)絡(luò)； 身份認(rèn)證； 認(rèn)證模型； 社交憑證； 社交知識； 社交活動； 統(tǒng)一認(rèn)證模型； 信息安全

隨著互聯(lián)網(wǎng)新媒體及新型應(yīng)用技術(shù)的發(fā)展，社交網(wǎng)絡(luò)應(yīng)用迅速涌現(xiàn)并占據(jù)了人們信息生活的重要組成部分，如今QQ、Facebook、人人網(wǎng)、Twitter、Flickr、微博和微信等社交網(wǎng)絡(luò)工具的使用極大加快了社會行為向網(wǎng)絡(luò)行為、現(xiàn)實(shí)社會關(guān)系向網(wǎng)絡(luò)社交關(guān)系的迅速轉(zhuǎn)化.社交網(wǎng)絡(luò)(social networks，SN)或社交網(wǎng)絡(luò)網(wǎng)站(social networks site，SNS)[1]是源于社會網(wǎng)絡(luò)關(guān)系系統(tǒng)思想的網(wǎng)絡(luò)應(yīng)用形式，旨在幫助人們建立社會性網(wǎng)絡(luò)的網(wǎng)絡(luò)應(yīng)用服務(wù).傳統(tǒng)的身份認(rèn)證使用三種方式對用戶進(jìn)行識別，即用戶所知的、用戶所有的和用戶所是的，社交認(rèn)證是通過用戶所認(rèn)識的人完成身份認(rèn)證的第四種新型身份認(rèn)證方式[2].

現(xiàn)實(shí)的認(rèn)證系統(tǒng)往往同時(shí)應(yīng)用以上四種認(rèn)證方式中的若干種認(rèn)證方式，該認(rèn)證系統(tǒng)被稱作二因子認(rèn)證系統(tǒng)或多因子認(rèn)證系統(tǒng)[3].多因子認(rèn)證系統(tǒng)中平常使用的認(rèn)證方式被稱作首要認(rèn)證方式，在首要認(rèn)證方式失效時(shí)使用的認(rèn)證方式被稱作備用認(rèn)證方式.由于現(xiàn)有的備用認(rèn)證方式如手機(jī)短信確認(rèn)、郵件確認(rèn)、安全問題確認(rèn)和人工幫助確認(rèn)等都存在缺點(diǎn)和一定的適用范圍[4-5]，因此，當(dāng)前社交認(rèn)證主要作為其他認(rèn)證方式失效時(shí)的備用認(rèn)證方式使用.

社交認(rèn)證的實(shí)現(xiàn)方法主要包括基于社交憑證的社交認(rèn)證系統(tǒng)和基于社交知識的社交認(rèn)證系統(tǒng)兩種，前者依據(jù)若干社交憑證完成社交認(rèn)證過程，而社交憑證需要從信托人獲取以證明兩者之間存在過社交活動.與前者認(rèn)證過程中需要信托人參與的要求不同，后者在認(rèn)證過程中不需要友人或信托人的參與，只需要用戶回答有關(guān)友人的信息(如識別照片中的友人)即可完成認(rèn)證.

基于信托人的社交認(rèn)證方面，RSA實(shí)驗(yàn)室[2]第一次提出社交認(rèn)證的概念，將社交認(rèn)證看作一個擔(dān)保系統(tǒng).文獻(xiàn)中社交系統(tǒng)需要二因子認(rèn)證，即請求者需要同時(shí)提供PIN碼和令牌卡產(chǎn)生的動態(tài)密碼才能正常登陸社交系統(tǒng).社交認(rèn)證被應(yīng)用于社交系統(tǒng)認(rèn)證失效的情況，即在令牌卡遺失的情況下，請求者求助于一位信托人，信托人可在請求者注冊賬號時(shí)由請求者的管理人或者請求者本人指定.信托人使用自己的PIN碼和動態(tài)密碼登陸系統(tǒng)進(jìn)行認(rèn)證后獲取系統(tǒng)產(chǎn)生的擔(dān)保確認(rèn)碼，該確認(rèn)碼為包含20位熵的數(shù)字與字母的組合.確認(rèn)碼通過安全途徑傳遞給請求者，請求者通過PIN碼和確認(rèn)碼實(shí)現(xiàn)系統(tǒng)的臨時(shí)認(rèn)證并指定一個臨時(shí)密碼，作為重新獲得令牌卡之前的替代密碼.每次社交認(rèn)證過程都會在日志中記錄以備查閱.

文獻(xiàn)[6]實(shí)現(xiàn)了同文獻(xiàn)[2]相似的社交認(rèn)證過程，并且在現(xiàn)實(shí)生活中進(jìn)行了關(guān)于Windows Live ID備用認(rèn)證的測試.該文獻(xiàn)指出通過采取一定的防護(hù)措施，社交認(rèn)證作為備用認(rèn)證具有較大的應(yīng)用前景.

社交網(wǎng)站Facebook在2011年實(shí)現(xiàn)了名為Trusted Friends的基于信托人的社交認(rèn)證，對于具有100個以上公開友人的用戶，在他們選擇使用Email更改密碼但又無法訪問原有郵箱時(shí)就可能觸發(fā)Trusted Friends社交認(rèn)證.Facebook列出三組友人，用戶從每組中選出一位作為信托人.依靠從信托人獲得的3個4位安全碼，用戶可以重新設(shè)置密碼，社交認(rèn)證的信托人會通過郵件告知用戶.Facebook的Trusted Friends系統(tǒng)于2013年升級名為Trusted Contacts的社交認(rèn)證系統(tǒng)，主要改變在于用戶可以隨時(shí)預(yù)設(shè)自己的信托人.

文獻(xiàn)[7]提出了一種社交認(rèn)證身份系統(tǒng)以實(shí)現(xiàn)不依賴用戶真實(shí)姓名的真實(shí)身份追蹤.該系統(tǒng)中只有一部分根用戶通過實(shí)名系統(tǒng)進(jìn)行身份認(rèn)證，另外的用戶通過社交認(rèn)證完成身份認(rèn)證.該系統(tǒng)可以抵御Sybil攻擊并可探查出謠言制造者.

隨著移動設(shè)備在社交網(wǎng)絡(luò)中作用的不斷增強(qiáng)，基于移動端的社交認(rèn)證也有所開展.文獻(xiàn)[8]提出了一種基于移動手機(jī)的社交認(rèn)證，超過一定時(shí)長的用戶間通話記錄和藍(lán)牙連接被看作是一次社交活動，會自動產(chǎn)生社交雙方互相擔(dān)保的令牌，之后用戶使用若干數(shù)量的令牌和PIN進(jìn)行服務(wù)登陸.基于智能手機(jī)的社交認(rèn)證方式中社交憑證是在用戶現(xiàn)實(shí)社交活動的基礎(chǔ)上自動產(chǎn)生，因此具有一定的便捷性.文獻(xiàn)[9]提出了一種基于云計(jì)算的智能手機(jī)社交系統(tǒng)，該系統(tǒng)基于PKI運(yùn)行，每個用戶和好友互相擁有對方的公鑰，當(dāng)雙方依據(jù)通信行為(如通話、短信、藍(lán)牙及紅外的接入等信息)判斷可以信任對方后，通過私鑰生成包含認(rèn)證權(quán)重的認(rèn)證票據(jù)，認(rèn)證服務(wù)器依據(jù)手機(jī)用戶所有的認(rèn)證票據(jù)并計(jì)算權(quán)重決定是否認(rèn)證成功.文獻(xiàn)[10]使用對稱式Kerberos協(xié)議進(jìn)行社交認(rèn)證并使用BAN邏輯對協(xié)議安全性進(jìn)行了形式化分析，實(shí)驗(yàn)結(jié)果表明，所提出的協(xié)議在智能手機(jī)上運(yùn)行速度快、資源需求量少且終端續(xù)航時(shí)間長.微信作為中國新興的社交通訊軟件由于具有與手機(jī)緊密綁定的特性，因此當(dāng)用戶在新手機(jī)登陸微信賬號時(shí)，微信要求使用者以通知好友發(fā)送約定信息的方式完成社交認(rèn)證以實(shí)現(xiàn)在新手機(jī)上的身份認(rèn)證過程.

在基于知識的社交認(rèn)證方面，F(xiàn)acebook在2011年正式啟用了基于知識的社交認(rèn)證，對于有足夠多友人并有足夠數(shù)量的標(biāo)記過人臉照片的用戶，當(dāng)用戶遺忘密碼或者Facebook檢測到賬戶可疑(如從不同地方登陸)時(shí)，會觸發(fā)社交認(rèn)證.用戶有7次機(jī)會依據(jù)給出的3張友人照片從6個選項(xiàng)中選出真實(shí)的友人姓名，至少5次正確的選擇才能成功通過認(rèn)證.文獻(xiàn)[11]提出了除照片外其他方面的社交知識如社交活動中產(chǎn)生的隱私數(shù)據(jù)等，也可以看做社交知識被進(jìn)一步發(fā)掘利用.在微信號未綁定手機(jī)的情況下更換登錄手機(jī)時(shí)，微信支持以選擇好友頭像的方式完成社交認(rèn)證.

綜上所述，基于社交憑證方面的社交認(rèn)證在憑證產(chǎn)生的方法、時(shí)效性和安全性方面還需要進(jìn)一步研究，基于知識的社交認(rèn)證往往僅基于圖片所包含的信息開展，其他方面的社交知識還有待發(fā)掘利用，更多結(jié)合兩種社交認(rèn)證方式并具有防御措施的社交認(rèn)證系統(tǒng)也需要進(jìn)一步的研究.

1　社交認(rèn)證定義

本文基于上述分析，給出兩種社交認(rèn)證系統(tǒng)的形式化定義，以便更好地理解和表述相關(guān)系統(tǒng).

定義1社交關(guān)系(R)：指各種現(xiàn)實(shí)及虛擬世界中產(chǎn)生的社會關(guān)系，可分為各種類型，關(guān)系程度上有熟悉和陌生之分.

定義2社交者(P)：具有社交關(guān)系并參與社交活動的個體.

定義3社交活動(ACT)：社交者之間發(fā)生的線上或線下的交互活動.

定義4社交網(wǎng)絡(luò)網(wǎng)站(SNS)：是一種基于Web的服務(wù)，它允許個體構(gòu)建公開或半公開的個人檔案，允許構(gòu)建一個有關(guān)聯(lián)關(guān)系的用戶列表并查看和瀏覽自己和他人的關(guān)系列表.更廣義的社交網(wǎng)絡(luò)系統(tǒng)(SNS)指一切可以用于構(gòu)建個人檔案及關(guān)聯(lián)關(guān)系的系統(tǒng)，即SNS=G(P，R)，其中社交者為節(jié)點(diǎn)，社交關(guān)系為節(jié)點(diǎn)之間的連接.

定義5社交渠道(CH)：發(fā)生社交活動的方式，分為線上線下兩大類，每類又分為多種.

定義6社交記錄(RCD)：依據(jù)一定的社交渠道發(fā)生社交活動后產(chǎn)生的信息.

定義7信托人(T)：負(fù)責(zé)協(xié)助的友人，是社交網(wǎng)絡(luò)系統(tǒng)中可信任的社交者.

定義8社交憑證(CRD)：用于證明社交關(guān)系的數(shù)據(jù)，可由社交網(wǎng)絡(luò)系統(tǒng)直接產(chǎn)生也可由社交記錄產(chǎn)生.

定義9社交知識(SK)：指友人相關(guān)的信息或社交活動的相關(guān)信息，社交者對社交知識的正確辨識可以被視作變相的社交憑證.

定義10社交認(rèn)證(SA)：社交者利用社交系統(tǒng)通過已經(jīng)認(rèn)證的社交者作為信托人，依據(jù)社交憑證對他們之間的社交關(guān)系進(jìn)行證明，通過信托人對社交者社交擔(dān)保的方式所實(shí)施的用戶身份認(rèn)證過程.社交認(rèn)證的關(guān)鍵是對社交關(guān)系的證明.當(dāng)前證明社交關(guān)系存在的方式共有兩種：基于信托人和基于社交知識的方式.

定義11基于信托人的社交認(rèn)證系統(tǒng)：是一個四元組SASC=(SNS，RC，CG，SA)，其中SNS為社交網(wǎng)絡(luò)系統(tǒng)，記錄采集算法RC可以通過特定社交渠道發(fā)生的社交活動中獲得社交者P與信托人T的社交記錄，即RCDPT=RC(ACTPT).社交憑證生成算法CG可以通過社交記錄生成對應(yīng)的社交憑證，即CRDPT=CG(P，T，RCDPT).社交認(rèn)證算法SA依據(jù)社交憑證確定是否完成社交擔(dān)保，即VCRP=SA(P，CRDxt1，…，CRDxtn)，社交擔(dān)保是一個表示成功與否的二元值.

定義12基于知識的社交認(rèn)證系統(tǒng)：是一個三元組SASK=(SNS，KC，QA)，其中社交知識采集算法KC負(fù)責(zé)從社交記錄中獲得社交知識，即SK=KC(RCDPT).問答認(rèn)證算法QA通過對用戶有關(guān)社交知識的輸入答案和社交知識的比對完成社交認(rèn)證過程，即VCRP=QA(A，SK)，其中，A為用戶輸入的認(rèn)證測試答案.

2　基于多種社交憑證的社交認(rèn)證模型

本文提出一種基于多種社交憑證的社交認(rèn)證模型，該模型包括記錄采集算法、社交憑證生成算法和社交認(rèn)證算法，整體認(rèn)證模型如圖1所示.記錄采集算法可以針對多種社交活動類型，所包括的社交活動有電話通信、短信通信、藍(lán)牙連接、WiFi熱點(diǎn)連接和NFC連接，其中WiFi熱點(diǎn)連接指社交者使用智能手機(jī)創(chuàng)建的便于信托人連接的便攜式熱點(diǎn).并不是以上所有的社交活動都要予以記錄，只有符合要求的記錄才能被采納.對于通話活動，通話時(shí)長是最為重要的參數(shù)，只有該參數(shù)滿足一定的要求，通話活動才能被記錄，這樣就避免了攻擊者使用簡短通話攻擊社交認(rèn)證模型的可能.對于短信，應(yīng)該包含系統(tǒng)指定的內(nèi)容才能被采納.對于藍(lán)牙、WiFi和NFC連接活動，一是要對通信距離做進(jìn)一步的確認(rèn)，二是每種連接都需要使用者顯式確認(rèn)后才能被記錄.最后符合要求的社交活動被記錄存儲成為最終的社交記錄.

社交憑證生成算法利用多種社交活動的記錄生成社交憑證.為增強(qiáng)安全性，系統(tǒng)會要求社交者同時(shí)提供能表示通信的電話或短信活動記錄以及表示近距離接觸的某種數(shù)據(jù)連接活動記錄，憑證生成算法會依據(jù)多種活動記錄生成所需的社交憑證.社交憑證包括其內(nèi)容和具體的底層安全實(shí)現(xiàn).此外，研究社交憑證具有一定的有效性，超過有效閾值后即被作廢.

圖1　基于多種社交憑證的社交認(rèn)證模型Fig.1　Social authentication model based on multiple social credentials

社交認(rèn)證算法需要考慮社交憑證的傳遞問題，即如何安全地在信托人和社交者，以及社交者和認(rèn)證服務(wù)器之間傳遞.模型通過利用具有中心服務(wù)器的加密體系(如PKI)實(shí)現(xiàn)憑證的安全傳遞.中心認(rèn)證服務(wù)器收到社交者傳遞的多個信托人的社交憑證之后考慮各個憑證的權(quán)重問題，模型會對社交關(guān)系更親密或者更為可靠的(即可證明未被破解的)信托人所提供的社交憑證賦予更高的權(quán)重.最后，認(rèn)證結(jié)果的計(jì)算可以采取最簡單的閾值進(jìn)行比較，也可根據(jù)用戶要求實(shí)現(xiàn)更為復(fù)雜的計(jì)算方式.

基于多種社交憑證的社交認(rèn)證模型還需要選取合適的信托人，該模型結(jié)合信任模型解決信托人的選取問題.社交者的信托人主要采取系統(tǒng)分析推薦的方式進(jìn)行指派.由于需要同時(shí)考慮社交者同信托人之間的社交關(guān)系以及同信托人在社交網(wǎng)絡(luò)中體現(xiàn)的關(guān)系，因此，總體信任是由兩個信任值加權(quán)得出，即社交信任和網(wǎng)絡(luò)信任.其中，社交信任用以體現(xiàn)社交者與信托人之間的親密程度，可以通過社交活動發(fā)生的頻繁程度或社交活動的特性如通話時(shí)長等進(jìn)行計(jì)算.網(wǎng)絡(luò)信任主要由社交者同信托人在整個社交網(wǎng)絡(luò)或者在由全體信托人組成的信任網(wǎng)絡(luò)中的網(wǎng)絡(luò)關(guān)系計(jì)算得出.當(dāng)攻擊者破解一個社交者的賬戶后，往往會繼續(xù)通過社交認(rèn)證的方式盡可能地?cái)U(kuò)大破解的范圍，模型通過計(jì)算網(wǎng)絡(luò)關(guān)系信任值防止出現(xiàn)系統(tǒng)性的大規(guī)模賬戶破解問題.網(wǎng)絡(luò)信任值的計(jì)算由兩者共同具有的朋友數(shù)量的角度和整個網(wǎng)絡(luò)的特性得出.

3　基于多種社交知識的社交認(rèn)證模型

當(dāng)前社交知識主要指照片中朋友的姓名，這主要是因?yàn)镕acebook系統(tǒng)中人物圖片一般都附以姓名標(biāo)簽，因此，F(xiàn)acebook社交系統(tǒng)很容易產(chǎn)生針對此種社交知識的測試，但是人臉識別技術(shù)得到長足進(jìn)展并逐步實(shí)用化[12]，識別照片中人物也很容易遭受人臉識別和圖片比對等方式的攻擊.

本文提出一種應(yīng)用多種社交知識的社交認(rèn)證模型，該模型相關(guān)內(nèi)容如圖2所示.對于基于多種社交知識的社交認(rèn)證，涉及到的社交知識的信息類型可以分成兩類，一種指對社交友人相關(guān)的信息，由于是和社交網(wǎng)絡(luò)圖中作為節(jié)點(diǎn)的社交者相關(guān)的特性，將其稱為節(jié)點(diǎn)特性知識，如人物年齡和教育經(jīng)歷等.另一種是與社交活動相關(guān)的信息，由于社交活動在社交網(wǎng)絡(luò)圖中與邊相對應(yīng)，將其稱為邊特性知識，社交活動相關(guān)信息如時(shí)間、地點(diǎn)等信息.另外，承載社交知識的媒體類型不僅包括文字，還可以使用圖片和媒體.

在獲得多種社交知識的基礎(chǔ)上，需要通過問答的方式對用戶進(jìn)行社交知識的相關(guān)提問，并將用戶的答案同社交知識進(jìn)行匹配比對.因此，需要考慮問答認(rèn)證涉及到的問題類型.僅涉及節(jié)點(diǎn)特性知識的問題被稱作節(jié)點(diǎn)特性問題，涉及與社交活動相關(guān)的問題被稱作邊問題.問答認(rèn)證中問題的呈現(xiàn)方式，可以是選擇式也可以是文字輸入式，并且會依據(jù)應(yīng)用場景決定是否有如照片等信息提示.問題的呈現(xiàn)方式直接關(guān)系到模型的可用性以及安全性，文字輸入式問答的安全性顯然比選擇性的安全性要高，但可用性要低.

基于知識的社交認(rèn)證還要滿足包括可行性、可用性、安全性和隱私性等特性.可行性指涉及到的知識應(yīng)該能被用戶清楚地回憶，盡量避免用戶有記憶但卻因?yàn)閱柎鸬姆绞綗o法清晰準(zhǔn)確地回答.可用性指問題呈現(xiàn)方式的可用性，比如輸入友人姓名不夠準(zhǔn)確是否能夠順利識別.另外，可用性還包括社交知識獲取的方式，是需要用戶進(jìn)行顯式的指定(如用戶主動標(biāo)記圖片中人物的姓名標(biāo)簽)，還是可以通過社交活動的記錄自動產(chǎn)生.安全性要考慮各種不同類型的社交知識會由哪些人共同知曉及如何防止他們利用這些知識通過測試，此外，還考慮了惡意攻擊者通過挖掘公開信息或者通過成為好友后可以獲得的社交知識的范圍和程度，并防止他們利用這些信息展開攻擊.最后，模型需滿足的隱私性指用戶社交知識的隱私設(shè)置不能對社交認(rèn)證產(chǎn)生不利影響，以及用戶問答認(rèn)證過程中應(yīng)盡量避免對已有社交知識的隱私泄露.

圖2　基于多種社交知識的社交認(rèn)證模型Fig.2　Social authentication model based on multiple social knowledge

4　多層次多因子式的統(tǒng)一社交認(rèn)證模型

當(dāng)前社交認(rèn)證的應(yīng)用主要在線上社交活動和線下(現(xiàn)實(shí))社交活動兩種場景中.第一種在線社交網(wǎng)絡(luò)(OSNs)中，由于OSNs中發(fā)生的各項(xiàng)操作本身就可以被視作社交活動，因此，無論是社交憑證還是社交知識的獲取都非常容易，這樣構(gòu)建的社交認(rèn)證系統(tǒng)只能應(yīng)用在認(rèn)證系統(tǒng)所依憑的社交網(wǎng)絡(luò)系統(tǒng)中，作為首要認(rèn)證方式的備用方式使用.第二種在移動互聯(lián)網(wǎng)應(yīng)用中，基于可信息化和數(shù)字化的現(xiàn)實(shí)社交活動(如打電話、發(fā)短信和各種方式的數(shù)據(jù)連接)展開的社交認(rèn)證，這種方式構(gòu)建起的社交認(rèn)證系統(tǒng)可以通過Web服務(wù)的方式為其他社交網(wǎng)絡(luò)系統(tǒng)提供社交認(rèn)證服務(wù).

以往的社交認(rèn)證研究都只是集中在某一種場景中開展，本文提出一種結(jié)合兩種社交認(rèn)證場景的多層次多因子式的統(tǒng)一社交認(rèn)證模型，其中多層次是指綜合利用包括社交認(rèn)證在內(nèi)的四種認(rèn)證方式，多因子指綜合利用基于線上線下的社交憑證和社交知識的多種社交認(rèn)證.

多層次多因子式的統(tǒng)一社交認(rèn)證模型的內(nèi)容如圖3所示.該模型在提出的多種社交憑證的社交認(rèn)證模型的基礎(chǔ)之上實(shí)現(xiàn)，并且利用社交認(rèn)證外的其他認(rèn)證方式.統(tǒng)一社交認(rèn)證模型利用已有在線社交網(wǎng)絡(luò)系統(tǒng)或其他認(rèn)證系統(tǒng)身份驗(yàn)證的方式完成社交認(rèn)證.首先，社交者及信托人需要在中心服務(wù)器上記錄多種在線社交網(wǎng)絡(luò)系統(tǒng)的賬號名信息，這些信息都需要進(jìn)行確認(rèn)驗(yàn)證以便后續(xù)進(jìn)行比對確認(rèn).其次，當(dāng)社交者需要信托人進(jìn)行社交擔(dān)保時(shí)，信托人不必使用自己的手機(jī)通過打電話等方式生成社交憑證，而只要在社交者的手機(jī)上通過OAuth或IAM等技術(shù)向在線社交網(wǎng)絡(luò)請求授權(quán)認(rèn)證登陸，登陸后授權(quán)獲得用戶登陸名信息，該賬號名同服務(wù)器上的對應(yīng)賬號信息一致即可被認(rèn)作信托人使用密碼認(rèn)證的方式對社交者進(jìn)行了社交擔(dān)保.同樣的方式，統(tǒng)一社交認(rèn)證模型可以請求授權(quán)獲得在線社交網(wǎng)絡(luò)系統(tǒng)的社交知識，依據(jù)這些社交知識構(gòu)建基于知識的社交認(rèn)證.

統(tǒng)一社交認(rèn)證模型的認(rèn)證功能還可以通過SaaS等技術(shù)以Web服務(wù)的形式供其他沒有社交認(rèn)證功能的系統(tǒng)應(yīng)用以實(shí)現(xiàn)社交認(rèn)證.首先，仍然要求社交者在其他系統(tǒng)中的賬號名信息存儲在統(tǒng)一社交認(rèn)證模型的云服務(wù)器中以便實(shí)現(xiàn)賬號映射匹配.其次，其他系統(tǒng)在請求實(shí)施社交認(rèn)證時(shí)需要提供請求者與信托人的賬號名信息，統(tǒng)一認(rèn)證模型經(jīng)過賬號核對后依據(jù)這些信息向本模型中的請求者發(fā)起社交認(rèn)證，然后可以展開線下或線上的基于社交憑證的社交認(rèn)證或者是線上的基于社交知識的社交認(rèn)證，最后將社交認(rèn)證結(jié)果返回給請求系統(tǒng).

5　結(jié)　論

本文給出了社交認(rèn)證的形式化定義.針對缺乏社交憑證的生成方式問題，提出了基于多種社交憑證的社交認(rèn)證模型，針對社交知識類型單一的問題，提出了一種結(jié)合四種認(rèn)證基于多種社交知識的社交認(rèn)證模型，在此基礎(chǔ)上，提出了一種結(jié)合多種認(rèn)證方式，應(yīng)用線上和線下社交認(rèn)證的多層次多因子式統(tǒng)一認(rèn)證模型，該模型可以實(shí)現(xiàn)更為安全便捷的身份認(rèn)證.

圖3　多層次多因子式統(tǒng)一認(rèn)證模型Fig.3　Universal authentication model with multiple layers and factors

[1]Papacharissi Z.A networked self：identity，community，and culture on social network sites [M].New York：Routledge，2011.

[2]Brainard J，Juels A，Rivest R L，et al.Fourth-factor authentication：somebody you know [C]//13th ACM Conference on Computer and Communications Security.Virginia，USA，2006：168-178.

[3]Henk C A，van Tilborg，Jajodia S.Encyclopedia of cryptography and security [M].New York：Springer US，2011.

[4]al Abdulwahid A，Clarke N，F(xiàn)urnell S，et al.The current use of authentication technologies：an investigative review [C]//2015 IEEE International Conference on Cloud Computing.Riyadh，Saudi Arabia，2015：1-8.

[5]Javed A，Bletgen D，Kohlar F，et al.Secure fallback authentication and the trusted friend attack [C]//2014 IEEE 34th International Conference on Distributed Computing Systems Workshops.Madrid，Spain，2014：22-28.

[6]Schechter S，Egelman S，Reeder R W.It’s not what you know，but who you know [C]//Proceedings of the 27th ACM SIGCHI Conference on Human Factors in Computing Systems.Toronto，Canada，2009：172-181.

[7]Shao C，Chen L，F(xiàn)an S，et al.Social authentication identity：an alternate to internet real name system [C]//International Conference on Security and Privacy in Communication Systems.Beijing，China，2014：132-140.

[8]Soleymani B，Maheswaran M.Social authentication protocol for mobile phones [C]//2009 International Conference on Computational Science and Engineering.Vancouver，Canada，2009：436-441.

[9]劉宴兵，劉飛飛.基于云計(jì)算的智能手機(jī)社交認(rèn)證系統(tǒng) [J].通信學(xué)報(bào)，2012，33(1)：28-34.

(LIU Yan-bing，LIU Fei-fei.Cloud computing based smartphone social authentication system [J].Journal on Communications，2012，33(1)：28-34.)

[10]劉飛飛，劉宴兵.基于社交網(wǎng)絡(luò)的智能手機(jī)輕型安全認(rèn)證協(xié)議設(shè)計(jì) [J].重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版)，2013，25(1)：132-137.

(LIU Fei-fei，LIU Yan-bing.Lightweight smart phone security authentication protocol based on social network [J].Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition)，2013，25(1)：132-137.)

[11]Jain S，Lang J，Gong N Z，et al.New directions in social authentication [C]//2015 Workshop on Usable Security.San Diego，USA，2015：1-6.

[12]牛連強(qiáng)，趙子天，張勝男.基于 Gabor 特征融合與 LBP 直方圖的人臉表情特征提取方法 [J].沈陽工業(yè)大學(xué)學(xué)報(bào)，2016，38(1)：63-68.

(NIU Lian-qiang，ZHAO Zi-tian，ZHANG Sheng-nan.Extraction method for facial expression features based on Gabor feature fusion and LBP histogram [J].Journal of Shenyang University of Technology，2016，38(1)：63-68.)

(責(zé)任編輯：鐘媛英文審校：尹淑英)

Authentication models faced on social networks

ZHOU Wei1, NIU Lian-qiang2, WANG Bin1

(1. Computer Engineering Institute, Qingdao University of Technology, Qingdao 266033, China; 2. School of Software, Shenyang University of Technology, Shenyang 110870, China)

In order to solve the problem that the generation modes of social credentials are less and the application scenarios are simplex in the credential based social authentication systems, as well as the problem that the types of social knowledge are insufficient in the knowledge based social authentication systems, a credential based social authentication model, which adopted the multiple social activities such as short messages, calls and data connections, was proposed. Meanwhile, a knowledge based social authentication model, which adopted the multiple edge and node attributes, was also proposed. Furthermore, a universal authentication model with multiple layers and factors was proposed in combinatiaon with the conventional authentication modes. The results show that in combinatiaon with both online and offline social authentication scenarios, the proposed model can solve the problem that the social authentication information can only be utilized for certain system, and can provide social authentication service for other authentication systems.

social network; identity authentication; authentication model; social credential; social knowledge; social activity; universal authentication model; information security

2016-03-17.

國家自然科學(xué)基金資助項(xiàng)目(61502262)； 青島市科技計(jì)劃基礎(chǔ)研究項(xiàng)目(KJZD-13-31-JCH).

周煒(1981-)，男，山東青島人，講師，博士，主要從事普適計(jì)算和信息安全等方面的研究.

10.7688/j.issn.1000-1646.2016.05.12

TP 309.2

A

1000-1646(2016)05-0545-06

*本文已于2016-09-07 16∶10在中國知網(wǎng)優(yōu)先數(shù)字出版. 網(wǎng)絡(luò)出版地址：http：∥www.cnki.net/kcms/detail/21.1189.T.20160907.1610.060.html