劉文印 吳鴻文 李 昕 凡 帥 張啟翔 巫家宏 沈治恒

（廣東工業(yè)大學計算機學院 廣州 510006）

（廣東工業(yè)大學網(wǎng)絡身份安全實驗室 廣州 510006）（liuwy＠gdut．edu．cn）

網(wǎng)絡已日漸成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠郑c現(xiàn)實生活中的身份證、護照一樣，人們在使用各種網(wǎng)絡服務時，如收發(fā)郵件、網(wǎng)上購物、網(wǎng)上聊天等，都需要進行網(wǎng)絡身份的注冊、登錄、認證等操作，可以說，網(wǎng)絡身份已經(jīng)成為人們獲取個性化網(wǎng)絡服務的必備條件．

然而，隨著互聯(lián)網(wǎng)規(guī)模的擴張及用戶使用需求的增大，網(wǎng)絡空間發(fā)展給我們帶來方便快捷的同時，也為個人及國家安全和社會穩(wěn)定帶來新的挑戰(zhàn)，網(wǎng)絡身份也面臨著包括密碼疲勞、釣魚和撞庫等在內(nèi)的嚴重網(wǎng)絡安全問題，給廣大網(wǎng)絡用戶造成了嚴重的損失，成為社會關注的熱點問題之一．因此，如何安全地使用、管理、保護我們的網(wǎng)絡身份成為亟待解決的課題．

本文首先從網(wǎng)絡身份及網(wǎng)絡身份管理的基本概念著手，分析了網(wǎng)絡身份管理面臨的問題和現(xiàn)有的網(wǎng)絡身份認證管理技術，然后提出了一種創(chuàng)新的、但兼容傳統(tǒng)密碼的、基于可信用戶代理的、以用戶為中心［1－3］的多方閉環(huán)網(wǎng)絡身份認證管理機制，來實現(xiàn)既安全又方便地使用和管理網(wǎng)絡身份的目標．

1 相關工作及分析

1．1 網(wǎng)絡身份

在人類現(xiàn)實社會中的“身份”一般指的是誰、是怎樣的人、與他人處于什么關系，是個體成員交往中識別、區(qū)分、認定個體差異的標志和象征．“網(wǎng)絡身份”與之類似，是由人們在訪問和使用各種網(wǎng)絡服務時所使用的身份標識（通常是網(wǎng)絡賬號和密碼?口令）構成．網(wǎng)絡空間中的身份管理就是對各單個實體成員身份的生命周期進行管理，包括身份的建立、身份的描述與定義、身份的注銷等基本過程［4］．

1．2 網(wǎng)絡身份管理中存在的問題

傳統(tǒng)基于字符型“用戶名－密碼”的網(wǎng)絡身份認證管理機制因其使用簡單、可靠性強、易于部署、成本低廉而成為當前主流的網(wǎng)絡身份認證管理機制．然而如今單個用戶需要面對在多個網(wǎng)站上注冊網(wǎng)絡身份、同時管理多個網(wǎng)絡身份的場景，由此可能遭受到如密碼疲勞、釣魚詐騙、撞庫攻擊等一系列嚴重的網(wǎng)絡安全威脅．

例如，某用戶在多個網(wǎng)站上注冊了網(wǎng)絡身份，為了提高安全性，不同網(wǎng)絡身份需要設置不同的賬號（或用戶名）和密碼?口令．為此該用戶需同時記憶很多賬號、密碼，易造成多個賬號及密碼混淆不清，用戶體驗很差．這就是所謂密碼疲勞問題．

為方便起見，大多數(shù)用戶選擇相同的或近似的用戶名且共享1個密碼（密碼重用），或設置弱密碼．這樣雖然易于記憶，但安全性較低．一旦1個賬號被盜，所有賬號都有被泄露的風險．黑客可以通過嘗試使用已經(jīng)泄露的身份信息或常用密碼去登錄，非法獲得大量的用戶網(wǎng)絡身份信息．這就是所謂的撞庫攻擊．

即使用戶能夠記住自己設置的、安全性較強的密碼，泛濫的釣魚網(wǎng)站可以憑借幾可亂真的假冒網(wǎng)頁，誘騙用戶輸入自己的網(wǎng)絡身份信息，從而完成對用戶網(wǎng)絡身份信息的盜?。?/p>

1．3 研究現(xiàn)狀

由于基于傳統(tǒng)密碼的網(wǎng)絡身份認證管理機制受到了空前的挑戰(zhàn)，去密碼化（passwordless，即取消或減少使用輸入密碼）已然成為網(wǎng)絡身份認證管理機制的新趨勢．在此背景下，越來越多的新型身份認證方案問世．目前較成熟的去密碼化身份認證管理策略主要可分為以下幾大類：密碼管理器［5］、聯(lián) 合 （單 點）登 錄［6］、圖 形 密 碼［7］、硬 件 令牌［8］、生物特征［9］及安全密鑰［10］等．

1）圖形密碼

圖形密碼與傳統(tǒng)密碼不同，使用圖形作為認證媒介，通過用戶對圖形的點擊、識別、重現(xiàn)或與圖形進行互動等方式進行認證．由于圖形密碼的密碼空間較大，應用方式靈活，不使用單詞等特點，使得它對暴力破解和字典攻擊免疫，此外，一些圖形密碼系統(tǒng)可以完全防止肩窺［11］．

2）密碼管理器

密碼管理器可視為一種第三方網(wǎng)絡身份信息寄存軟件，它可以是智能移動終端上的應用（App），也可以是PC上的軟件，亦可是網(wǎng)絡瀏覽器插件．目前流行的密碼管理器有True Key，1Password等．McAfee公司推出的基于Android?iOS平臺的True Key軟件，及瀏覽器上同名插件（稱為瀏覽器擴展或上網(wǎng)終端擴展）［12］實現(xiàn)了對用戶網(wǎng)絡身份信息最基本的存儲功能．該軟件通過一個用戶自定義的主密碼（master password，MP）進行加密，用戶在該軟件中可個性化添加自己在某網(wǎng)站上已經(jīng)注冊好的身份信息，該軟件會自動加密保存和同步．用戶需要登錄該網(wǎng)站時，只需要點擊已經(jīng)錄入的其在該網(wǎng)站上的網(wǎng)絡身份信息，即可登錄到該網(wǎng)站．Silver等人［13］雖然指出了密碼管理器的一些安全方面的弱點，但也提出了補救措施．其在易用性方面總體有提高，且在很多方面能兼容傳統(tǒng)密碼（特別是服務器兼容性），因此，在市場上受到廣大用戶的歡迎．

3）聯(lián)合（單點）登錄

聯(lián)合（單點）登錄技術是目前比較流行的企業(yè)業(yè)務整合的解決方案之一，其核心思想是通過某種方式使得各種提供服務的網(wǎng)站事先建立起聯(lián)系，用戶只需要再在其中一個受認證的網(wǎng)站登錄之后，就可以實現(xiàn)全局登錄，即用戶的一次登錄能得到其他所有網(wǎng)站的信任．單點登錄一方面使得用戶不用記憶多個網(wǎng)站的不同用戶名和密碼，免除了多次登錄的困擾；另一方面為開發(fā)人員提供了一個通用的身份驗證框架，提高了開發(fā)人員的開發(fā)效率．

4）硬件令牌

硬件令牌存儲了一個“密碼種子”，并以此為基礎，結合其他因素（如時間戳等），根據(jù)專門的算法生成1個不可預測的隨機數(shù)字組合作為口令，1個口令至多使用1次．每個“密碼種子”都需要在服務器端注冊登記，以認證一特定口令是否由特定令牌生成．由我國“公安部公民網(wǎng)絡身份識別系統(tǒng)”簽發(fā)給公民的、以智能安全芯片為載體的網(wǎng)絡電子身份標識eID［14］，也屬于一種硬件令牌，能夠在不泄露身份信息的前提下在線遠程識別身份．eID不使用用戶名和密碼作為身份信息，而是使用用戶個人信息和隨機數(shù)計算出1個唯一的用戶標識符來進行網(wǎng)絡身份真實性和有效性的驗證核實．該標識符不包含任何個人身份信息，因此能夠有效保護公民身份信息．與eID類似，王鵑等人［1］提出了基于虛擬卡技術的移動互聯(lián)網(wǎng)身份認證系統(tǒng)ID－Vcar d，同樣不再依賴用戶名和密碼等身份信息，而是將虛擬卡作為一種身份管理的形式，從而更好地保護用戶的身份隱私．

硬件令牌不易被直接破解，因此被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子政務、企業(yè)等領域．雖然硬件口令是一種安全便捷的賬號防盜技術，可以有效保護交易和登錄的認證安全，但其安全性也不是絕對的．2011年就發(fā)生RSA的“密碼種子”被盜事件，黑客因此可以猜測其生成的所有密碼?口令［15］．同時其需要在所有網(wǎng)站注冊“密碼種子”（例如，每個銀行都給用戶發(fā)1個硬件令牌），在可用性及可部署性方面也是非常不方便的．

5）生物特征識別技術

生物特征識別技術使用了計算機及相關設備，利用人體特有的生物特征（如虹膜、指紋、人臉等）以及行為特征（如聲音、筆記、步態(tài)、擊鍵等），通過圖像處理和模式識別等方法進行身份識別認證．由于人的生物特征具有穩(wěn)定性和唯一性，目前最安全的身份認證技術是生物特征識別．但是仍然存在大量拒識的情況，近年破解指紋認證和刷臉認證的案例也越來越多．

6）安全密鑰（security key）

安全密鑰基于U2F開放標準構建，由線上快速身份驗證聯(lián)盟（fast identity online，F(xiàn)IDO）開發(fā)．它依賴實體USB key硬件，提供了一種更加安全的雙因子認證模式．其最新技術標準為由FIDO和萬維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）共同推出的 Web Authn［10］．Web Authn旨在消除口令?密碼，讓用戶無需輸入密碼，而是使用內(nèi)部?內(nèi)置身份驗證器（例如PC、筆記本電腦中的指紋或面部特征）或外部身份驗證器（如USB key或智能手機）作為第一因子或第二因子來認證登錄．

Bonneau等人［16］從易用性（usability，即認證策略是否便于用戶學習、使用）、可部署性（deployability，即認證策略是否具有低成本、兼容性高、可大規(guī)模投放等特點）和安全性（security，即認證策略是否對惡意攻擊、信息丟失、設備損毀等極端情況具有抵抗能力）這3方面共25個指標對現(xiàn)有的主流身份認證策略進行了全面的評估和比較，得出以下結論：

1）圖形密碼（包括其他基于感官認知方案）雖在安全性上比傳統(tǒng)密碼有一些提高，但在易用性及可部署性方面性能下降很多，在網(wǎng)絡身份認證領域暫不可能取代傳統(tǒng)密碼．

2）諸如密碼管理器和聯(lián)合登錄等類似（或?qū)儆趶V義）單點登錄方案在安全性和易用性方面比傳統(tǒng)密碼有較大提高，但可部署性指標顯著下降．

3）基于生物特征的認證策略在安全性和易用性上較傳統(tǒng)密碼沒有明顯優(yōu)勢，且可部署性很差．再加上用戶對個人隱私的擔憂，絕大部分用戶不會用自己的生物特征在所有（特別是可信度未知的）網(wǎng)站注冊．大部分網(wǎng)站限于成本及兼容性，亦不會提供相應認證接口，用戶規(guī)模受到極大限制．

4）硬件令牌的安全性雖好，但部分易用性及幾乎所有的可部署性指標都較差，難以單獨用作網(wǎng)絡身份認證機制．

5）以Web Authn為代表的安全密鑰方案易用性及安全性都較高，但要提高可部署性仍需完成大量工作．

總體來說，在不犧牲安全性的前提下，在易用性和可部署性方面，現(xiàn)在還沒有任何一個方案比傳統(tǒng)密碼更好，這也是密碼暫時還不能被取代的重要原因，故類似密碼管理器等能兼容傳統(tǒng)密碼的方案有可取之處．與Bonneau等人［16］的結論不同的是，我們認為聯(lián)合（單點）登錄（例如Microsoft Passport和 OpenID［17］等第三方認證）在安全性方面存在致命缺陷：聯(lián)合（單點）登錄不能解除（“de－link”）同一用戶在不同網(wǎng)站注冊的網(wǎng)絡身份之間的“關聯(lián)”關系（也屬于一種網(wǎng)絡身份隱私信息），因此容易遭到撞庫攻擊和釣魚攻擊．各種以手機號和郵箱作為用戶名的網(wǎng)站都面臨這些嚴重威脅．其次，類似 O’Gor man［8］的建議，我們認為結合多種方案的認證機制，取長補短，最有希望成為既方便又安全的網(wǎng)絡身份認證機制．

綜上所述，我們認為目前網(wǎng)絡身份認證的發(fā)展機制仍然是以用戶為中心和去密碼化．為了同時滿足既方便又安全的要求，多種機制協(xié)同“組合”也應該是新的發(fā)展趨勢．為了保護隱私和應對愈演愈烈的數(shù)據(jù)泄露威脅，應盡快采用“前臺匿名、后臺實名”的網(wǎng)絡身份管理策略．

2 基于可信用戶代理的多方閉環(huán)網(wǎng)絡身份認證管理機制

2．1 整體架構

為了應對當前網(wǎng)絡身份認證機制中存在的密碼疲勞、撞庫攻擊、釣魚欺詐這3個嚴重安全威脅，為找到一種既方便又安全的以用戶為中心的網(wǎng)絡身份認證機制，我們遵循“以用戶為中心”、“去密碼化”、“de－link”、“組合式”等趨勢展開研究．本文提出了“可信用戶代理”的概念，并以此為基礎設計了一種創(chuàng)新的、但兼容傳統(tǒng)“用戶名－密碼”機制的網(wǎng)絡身份注冊、登錄、認證及管理機制．我們?yōu)樵摍C制申請了國家發(fā)明專利并獲得批準．其整體結構如圖1（a）所示．與傳統(tǒng)身份認證機制中只包括上網(wǎng)終端（通常指瀏覽器）和網(wǎng)站服務器不同（即圖1（a）中虛線部分），該機制還增加了可信用戶代理、可信服務器代理這2個模塊．用戶的網(wǎng)絡身份信息由其用戶代理自動創(chuàng)建、存儲并直接發(fā)送至其目的網(wǎng)站服務器端進行認證，認證成功后授權給用戶的上網(wǎng)終端．這樣形成一個包含用戶、用戶代理、上網(wǎng)終端及服務器等多方參與、安全閉合的身份認證環(huán)路．

為了適應更加復雜的網(wǎng)站服務器后臺環(huán)境，如網(wǎng)站服務器不想因部署服務器代理而作任何改變，我們同時設計了該機制的變形，其整體結構如圖1（b）所示．在此結構中，我們移除了可信服務器代理這一模塊，取而代之的是上網(wǎng)終端擴展及擴展服務器（并命名為“插件版”）．上網(wǎng)終端擴展與擴展服務器不直接與網(wǎng)站服務器通信，因此能夠忽略網(wǎng)站服務器的影響，真正做到與傳統(tǒng)認證機制完美兼容．

圖1 多方閉環(huán)網(wǎng)絡身份認證機制整體結構

圖1的這2種結構可以根據(jù)網(wǎng)站服務器后臺環(huán)境單獨使用，也可以同時部署．

使用該機制后，用戶無需記憶眾多復雜的“用戶名－密碼”，避免了密碼疲勞．用戶代理幫用戶在不同網(wǎng)站注冊時自動生成不同的隨機復雜賬號?用戶名和密碼，從而可以規(guī)避被撞庫的風險．無需在上網(wǎng)終端輸入身份信息，大大降低網(wǎng)絡身份信息被釣魚網(wǎng)站或木馬竊取的風險，同時也避免了在輸入密碼時被偷窺或被日益智能的讀心術（腦電波分析）竊取．

下面重點介紹該機制中的2個重要模塊．

2．2 可信用戶代理

在網(wǎng)絡身份認證過程中，用戶永遠是主角．目前幾乎所有網(wǎng)站部署的網(wǎng)絡身份認證策略都需要用戶全程參與，包括使用前的身份?賬號信息注冊，使用中的賬號登錄、賬號信息記憶、賬號信息找回等等．我們認為密碼管理器、硬件令牌、生物特征、eID等在一定程度上都是用戶的代理（agent），都是以用戶為中心的．我們從緩解用戶使用網(wǎng)絡賬號時的壓力出發(fā)，在兼顧安全性的基礎上，提出可信用戶代理概念．可信用戶代理是一個由用戶授權信任的、可以替用戶完成賬號注冊、認證及管理其眾多網(wǎng)絡身份的計算機系統(tǒng)．可信用戶代理可以實現(xiàn)以下幾個主要功能：

1）實現(xiàn)用戶代理與用戶身份的綁定．用戶可以通過設置主密碼或利用生物特征（如指紋）實現(xiàn)用戶代理的激活，1位用戶可以對應多個用戶代理，但1個用戶代理只能為1位用戶服務．

2）實現(xiàn)網(wǎng)絡身份（用戶名和密碼等）自動注冊．用戶期望在目標網(wǎng)站注冊時，可信用戶代理可以通過調(diào)用自帶的信息捕獲設備（例如以掃碼或鼠標點擊推送的方式）獲取待注冊的目標網(wǎng)站信息，自動為用戶生成、存儲，并發(fā)送給該目標網(wǎng)站服務器1對隨機的、安全性強的、且符合該網(wǎng)站服務器要求的用戶名?密碼，從而自動為用戶完成注冊．

3）實現(xiàn)用戶在目標網(wǎng)站自動登錄．可信用戶代理可以存儲該用戶的所有網(wǎng)絡身份．用戶需要再次登錄某網(wǎng)站時，從上網(wǎng)終端上獲取目標網(wǎng)站信息后，可信用戶代理即可把存儲的相應用戶名和密碼自動發(fā)送給該網(wǎng)站服務器請求登錄認證．網(wǎng)站認證成功后，授權給用戶希望的上網(wǎng)終端，用戶即可在該上網(wǎng)終端成功登錄該網(wǎng)站并進行后續(xù)操作．用戶擁有一個可信用戶代理后，再也不需記憶和輸入眾多密碼就能在各種終端自動登錄各個網(wǎng)站，既方便又安全．

4）實現(xiàn)用戶已注冊的網(wǎng)絡身份的管理．用戶代理負責安全地存儲已經(jīng)注冊的網(wǎng)絡身份信息．用戶可以隨時添加新注冊的賬號或是刪除曾經(jīng)注冊過的舊賬號，并在云端及多個用戶代理之間備份和同步．

2．3 可信服務器代理

在用戶端，用戶代理代替用戶創(chuàng)建、管理網(wǎng)絡身份，減輕了用戶負擔．在服務器端，為了配合所提出的可信用戶代理，該機制引入與之相對應的可信服務器代理，用于代替服務器完成對用戶代理（或用戶本人）提交的注冊、登錄（甚至注銷賬戶）請求的核查與過濾，特別是對惡意（如撞庫）請求的自動監(jiān)測．

作為服務器與用戶代理之間的防火墻，可信服務器代理首先檢查并過濾來自用戶代理的注冊、登錄等請求，以此達到提高服務器效率，減輕服務器壓力的目的．某些登錄請求集中高發(fā)的網(wǎng)站（例如“12306”等）可能會存在某些用戶通過頻繁登錄、注冊多個賬號來從事不法行為（例如“黃?！彼⑵钡龋┑那闆r．此外，頻繁的登錄嘗試也是攻擊者實施撞庫攻擊的常用手段．在這些情況下，目標服務器會在短時間內(nèi)收到大量來自用戶代理的注冊、登錄請求．通過分析這些請求信息中自帶的信息源參數(shù)，服務器代理可辨別這些請求是否來自同一用戶代理．如果服務器代理發(fā)現(xiàn)同一個用戶代理在一定時間段內(nèi)多次請求在該站點服務器登錄或是創(chuàng)建新賬號，則服務器代理將會自動過濾掉來自該用戶代理的一切請求并暫時封禁該用戶代理．經(jīng)由服務器代理傳遞過來的注冊、登錄請求都將被服務器端視為合法有效的，并被服務器悉數(shù)響應處理．被處理后的請求結果將被反饋至用戶代理處和用戶上網(wǎng)終端供用戶進行下一步的操作．

相對于用戶和可信用戶代理這2個相互獨立的概念，服務器和可信服務器代理之間的關系更為緊密．可信服務器代理可以部署在已經(jīng)架設好的服務器群中或是與新的站點服務器一同部署．

2．4 多方閉環(huán)網(wǎng)絡身份認證機制

以上可信用戶代理和可信服務器代理應具備的核心功能的實現(xiàn)還需要一個創(chuàng)新的認證機制的支持和配合．圖2為該機制通信過程．

首次使用時，用戶激活可信用戶代理，包括設置主密碼（常規(guī)PIN或生物特征等密碼）及將其必要的身份信息登記在用戶代理中，用于后續(xù)在各個網(wǎng)站上自動注冊用．

圖2 多方閉環(huán)網(wǎng)絡身份認證機制通信過程

步驟1．用戶在上網(wǎng)終端（例如PC端瀏覽器或手機App）訪問想要登錄的目標網(wǎng)站，上網(wǎng)終端顯示該網(wǎng)站的登錄頁及以二維碼或其他形式顯示的該網(wǎng)站的身份信息，包括該網(wǎng)站的網(wǎng)址及當前的session信息；

步驟2．用戶代理從上網(wǎng)終端處掃碼（或通過其他形式，如鼠標點擊推送）獲取該網(wǎng)站的身份信息；

步驟3．用戶代理根據(jù)用戶需求及用戶的確認將自動注冊請求或登錄請求以及用戶在該網(wǎng)站的身份信息發(fā)送給服務器代理；

步驟4．服務器代理和服務器交互并將用戶代理傳過來的身份信息轉發(fā)給服務器；

步驟5．網(wǎng)站服務器對身份信息進行認證；

步驟6．服務器認證成功后，授權上網(wǎng)終端，上網(wǎng)終端頁面從登錄頁跳轉至登錄成功后的界面，用戶進行后續(xù)操作；如認證失敗，將認證失敗狀態(tài)返回給服務器代理和用戶代理．

由于涉及到網(wǎng)絡身份等敏感信息，數(shù)據(jù)存儲與傳輸?shù)陌踩杂葹橹匾?，以上各模塊之間的通信鏈路均采用HTTPS安全連接，并且使用雙向認證技術，從而保證用戶代理、服務器代理、網(wǎng)站服務器之間通信信道的安全性及各通信方身份的合法性．此外，用戶的網(wǎng)絡身份信息只保存在由用戶控制的可信用戶代理本地，并且通過SHA－256和加鹽哈希方法實施AES－256位及Bcrypt加密處理．

該創(chuàng)新機制需要與現(xiàn)有的基于傳統(tǒng)密碼的機制兼容，不需要對已經(jīng)部署好的服務器做大的改動．

2．5 網(wǎng)絡身份管理

可信用戶代理可以代替用戶自動完成網(wǎng)絡身份（用戶名和密碼）的生成、注冊是本機制的一個亮點，也是其區(qū)別其他密碼管理器的一項重要指標．其自動為用戶完成網(wǎng)絡身份的建立、注冊的流程如下：

1）用戶代理通過上網(wǎng)終端（例如通過掃描注冊頁上的二維碼）獲得服務器信息（包括網(wǎng)址及sessionID）；

2）服務器端需將注冊時所需的信息（如電子郵箱、手機號等）和對用戶名及密碼的規(guī)則要求以約定的（如JSON）格式告知用戶代理；

3）如有必要，用戶代理可以根據(jù)服務器端的要求從其他途徑獲取所需信息（可以包括用戶代理的軟硬件的序列號等），自動生成注冊表單；

4）用戶代理按服務器要求的規(guī)則生成用戶名和密碼，并自動填在注冊表單的相應位置，由用戶確認填寫完整的注冊表單并發(fā)送給服務器，服務器即為用戶注冊新的網(wǎng)絡身份．為了增加通信的安全性，用戶代理與服務器代理之間可以增加握手次數(shù)才建立安全的通信通道．

可信用戶代理還可以代替用戶自動完成網(wǎng)絡身份的登錄過程，流程如下：

1）用戶在上網(wǎng)終端打開網(wǎng)站的登錄頁，用戶代理（可以通過掃碼或點擊推送的方式）獲取該網(wǎng)站的身份信息（如網(wǎng)址及sessionID）；

2）用戶代理查找用戶在該網(wǎng)站的網(wǎng)絡身份，如果有，則把身份信息、sessionID和登錄請求信息一起發(fā)至可信服務器代理；

3）可信服務器代理分析處理并認為該登錄請求合法后，接受該請求，發(fā)給服務器進行認證，成功后，服務器授權給擁有該sessionID的上網(wǎng)終端，網(wǎng)頁重新加載，顯示登錄后的界面．

該機制提出的自動注冊及自動登錄方法，不僅解除了不同網(wǎng)絡賬號之間的關聯(lián)關系（de－link），使得用戶的各種網(wǎng)絡身份免于遭受撞庫攻擊，而且解決了密碼疲勞問題，將用戶從記憶、輸入賬號密碼信息的沉重負擔中解放出來，大大提高了用戶使用網(wǎng)絡資源的效率．

3 性能分析

我們在Android，iOS，Chrome平臺上開發(fā)了名為登錄易［18－19］的實用系統(tǒng)，實現(xiàn)了該機制．我們主要在可用性或效率方面（因為安全性及可部署性還不好客觀衡量，其實最主要的用戶體驗是登錄時不再“燒腦”）進行用戶體驗測試．我們選取了10位能熟練使用計算機和手機的用戶，收集了他們分別使用傳統(tǒng)人工輸入身份信息的方法和使用登錄易來登錄4個常用網(wǎng)站（體現(xiàn)在賬號密碼都記得住，輸入也流暢）和3個不常用網(wǎng)站（賬號密碼已經(jīng)記不住了，需要事先把賬戶密碼寫出來，書寫過程的耗時不算在內(nèi)，只記錄在網(wǎng)頁輸入賬號密碼的耗時．測試發(fā)現(xiàn)使用登錄易輔助登錄確實比傳統(tǒng)手工輸入用戶名－密碼的方式的效率有所提高．特別是在不常用網(wǎng)站上，使用登錄易登錄與手工輸入登錄對比優(yōu)勢更加明顯．

此外，根據(jù)Bonneau等人［16］提出的評價身份認證方案性能的標準，我們也為本文提出的認證機制在操作性、可部署性及安全性3方面的性能作了如下初步理論評估（見表1～3）：

表1 可信用戶代理操作性（usability）性能

表2 可信用戶代理可部署性（deployability）性能

表3 可信用戶代理安全性（security）性能

4 結 論

本文提出了一種基于可信用戶代理的多方閉環(huán)網(wǎng)絡身份認證機制，介紹了其系統(tǒng)結構、流程、核心模塊及主要功能，并且對該機制在操作性（可用性）、可部署性、安全性等方面進行了理論上評估分析，也實測了其可用性．該機制能夠在用戶授權下實現(xiàn)自動注冊及自動登錄網(wǎng)絡身份的功能，無需用戶記憶與輸入身份信息，避免了密碼疲勞與被撞庫的風險；去除了網(wǎng)絡身份之間的關聯(lián)關系，有效保護了用戶隱私；繞過上網(wǎng)終端、密碼直發(fā)網(wǎng)站服務器，從而無需在上網(wǎng)終端輸入身份信息，可以大大降低網(wǎng)絡身份信息被釣魚網(wǎng)站或木馬竊取的風險，同時也避免了在輸入密碼時被偷窺竊取，提升了服務器安全性．該機制對于提升我國網(wǎng)絡空間總體安全水平，對個人（提升用戶體驗，包括提高身份認證效率等便捷性和網(wǎng)絡身份安全性）、企業(yè)及網(wǎng)絡服務商（提升服務水平，包括信譽和總體系統(tǒng)安全，降低部署難度和費用）都將具有重大意義．

致謝感謝在登錄易系統(tǒng)的開發(fā)和測試過程中也作出了貢獻的下列人員：周小靜（開發(fā)）、梁達勇（開發(fā)）、李勇（用戶測試）、賴陽文（用戶測試）、陳超雄（滲透測試）、程天藝（滲透測試）、羅澤偉（滲透測試）、莫銘棋（滲透測試）、陳健航（滲透測試）．同時感謝參與用戶測試實驗的其他同事們和同學們．