專利名稱:一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法���,它用于解決社交網(wǎng)中 依賴成員之間關(guān)系實(shí)現(xiàn)訪問(wèn)控制的問(wèn)題�,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����。背景技術(shù):
隨著社交網(wǎng)的廣泛流行和用戶群的增多,社交網(wǎng)中的安全問(wèn)題引起了人們?cè)絹?lái)越 多的關(guān)注���。其中�����,訪問(wèn)控制問(wèn)題是社交網(wǎng)安全問(wèn)題中的一項(xiàng)重要內(nèi)容���。
在社交網(wǎng)中��,用戶創(chuàng)建數(shù)據(jù)資源并與他人分享�����,有些情況下�����,用戶可能希望所創(chuàng)建 的隱私數(shù)據(jù)資源只與特定關(guān)系的好友分享�。但問(wèn)題是�����,當(dāng)訪問(wèn)請(qǐng)求者與擁有者之間并不是 直接好友關(guān)系����,而是具有間接關(guān)系時(shí),我們?nèi)绾稳ヲ?yàn)證這種關(guān)系的真實(shí)性�����。
當(dāng)前的社交網(wǎng)站大多是基于中心化的設(shè)計(jì)模式�����,成員之間的關(guān)系一般是由網(wǎng)站服 務(wù)器根據(jù)用戶提供的屬性來(lái)為其建立���,但這樣的設(shè)計(jì)方法存在嚴(yán)重的安全隱患���。首先,用戶 難以對(duì)網(wǎng)站服務(wù)器的行為進(jìn)行監(jiān)督�;其次,這種方法從本質(zhì)上容易導(dǎo)致假冒攻擊�����,即當(dāng)不法 分子利用其掌握的被害人個(gè)人身份信息冒充被害人時(shí)��,用戶難以對(duì)不法分子的身份進(jìn)行識(shí) 別�����。
文獻(xiàn)“Lockr 為了實(shí)現(xiàn)社交網(wǎng)絡(luò)更好的隱私性”(Amin Tootoonchian, Stefan Saroiu, Yashar Ganjali, "Lockr :Better privacy for social networks,��,���,CoNEXT' 09, Decemberl-4,2009, Rome, Italy. “Lockr”為作者為其方案所取的名稱)中提出了一種基 于通行證思想的認(rèn)證方案���。該方案要求建立關(guān)系的雙方互相為對(duì)方頒發(fā)關(guān)系證明,通過(guò)關(guān) 系證明明確兩者的社會(huì)關(guān)系���。當(dāng)請(qǐng)求者申請(qǐng)?jiān)L問(wèn)目標(biāo)對(duì)象的資源時(shí)����,出示相應(yīng)的關(guān)系證明�, 訪問(wèn)控制執(zhí)行端對(duì)關(guān)系證明進(jìn)行驗(yàn)證,以確定請(qǐng)求者的身份��。該方案的不足之處在于����,只能 對(duì)直接好友的關(guān)系進(jìn)行驗(yàn)證,無(wú)法對(duì)與用戶之間具有間接關(guān)系的好友進(jìn)行關(guān)系認(rèn)證����。
發(fā)明內(nèi)容
1�����、目的為了克服以上問(wèn)題,實(shí)現(xiàn)對(duì)具有間接關(guān)系的用戶身份的認(rèn)證�����,本發(fā)明提供 了一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法����,它能解決社交網(wǎng)中依賴成員之間關(guān)系實(shí) 施訪問(wèn)控制時(shí)需要對(duì)訪問(wèn)請(qǐng)求者進(jìn)行關(guān)系認(rèn)證的問(wèn)題。
2���、技術(shù)方案本發(fā)明一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法���,該方法具體 步驟如下
步驟一頒發(fā)關(guān)系聲明
用戶首先為其直接好友頒發(fā)關(guān)系聲明,關(guān)系聲明中包含這幾個(gè)參數(shù){關(guān)系聲明 的發(fā)布者�,接收者,關(guān)系類型��,時(shí)間戳}����。其中�,關(guān)系聲明的發(fā)布者是指該關(guān)系聲明的頒布 者��;接收者是指關(guān)系聲明發(fā)布者與之聲明關(guān)系的對(duì)象�����;關(guān)系類型指關(guān)系聲明發(fā)布者與接收 者之間所具有的關(guān)系���;時(shí)間戳指示關(guān)系聲明簽署的時(shí)間�??蓴U(kuò)展標(biāo)示語(yǔ)言形式的關(guān)系聲明 如下
〈關(guān)系聲明〉
<發(fā)布者 > 發(fā)布者公鑰</發(fā)布者>
<接收者 > 接收者公鑰</接收者>
<關(guān)系類型 > 關(guān)系類型</關(guān)系類型>
<時(shí)間戳 > 當(dāng)前時(shí)間</時(shí)間戳>
</關(guān)系聲明〉
例如在圖2中,A想要對(duì)B頒發(fā)具有同事關(guān)系的關(guān)系聲明�����,此關(guān)系聲明可表述為 SigA(PA�,PB, CollegueOf, TS),其中TS指時(shí)間戳�。在本方案中,用戶為其所有直接好友頒發(fā) 關(guān)系聲明�,并對(duì)關(guān)系聲明結(jié)果進(jìn)行簽名,最后將關(guān)系聲明保存到關(guān)系服務(wù)器上���。關(guān)系服務(wù)器 為每個(gè)用戶預(yù)留一個(gè)關(guān)系聲明存儲(chǔ)目錄���,用來(lái)存放其頒發(fā)的關(guān)系聲明����。
步驟二 定義訪問(wèn)規(guī)則
我們利用關(guān)系類型來(lái)指定授權(quán)對(duì)象���,同時(shí)引入授權(quán)深度作為訪問(wèn)控制參數(shù)���。一個(gè) 訪問(wèn)控制規(guī)則也包括四個(gè)參數(shù){擁有者�����,資源標(biāo)識(shí)符�����,授權(quán)對(duì)象�,授權(quán)深度}。其中��,擁有者 是指資源的創(chuàng)建者���;資源標(biāo)識(shí)符表示某個(gè)資源對(duì)應(yīng)的資源id�,授權(quán)對(duì)象既可以是某種關(guān)系 也可以是某個(gè)個(gè)體,授權(quán)深度指用戶之間按照一定關(guān)系所建立起的路徑的距離����。比如A與 F之間按同事關(guān)系建立起來(lái)的路徑是A->C->F,則此時(shí)F與A之間的深度是2�����??蓴U(kuò)展標(biāo)示 語(yǔ)言形式的訪問(wèn)控制規(guī)則如下
〈訪問(wèn)規(guī)則〉
<擁有者 > 擁有者公鑰</擁有者>
<資源標(biāo)識(shí)符 > 資源標(biāo)識(shí)符</資源標(biāo)識(shí)符>
<授權(quán)對(duì)象 > 授權(quán)的關(guān)系類型或個(gè)體</授權(quán)對(duì)象>
<授權(quán)深度 > 授權(quán)的深度值</授權(quán)深度>
</訪問(wèn)規(guī)則〉
最后,用戶對(duì)定義好的資源訪問(wèn)規(guī)則進(jìn)行簽名����,并將簽名后的訪問(wèn)控制規(guī)則保存 在本地第三方服務(wù)器中。
步驟三實(shí)施關(guān)系認(rèn)證
例如用戶A創(chuàng)建了標(biāo)識(shí)符為rid的資源��,并設(shè)定該資源向同事分享����,分享深度為2。
我們假定用戶F想要訪問(wèn)該資源����,則認(rèn)證流程如圖3所示,各步驟說(shuō)明如下
1)F向A發(fā)出訪問(wèn)資源rid的申請(qǐng),并出示自己的公鑰�����;
2)A用F的公鑰加密一串隨機(jī)數(shù)和會(huì)話密鑰���,并返回給F ���;
3) F將解密出的隨機(jī)數(shù)用解密出的會(huì)話密鑰加密后發(fā)還給A ;
4)A向本地服務(wù)器調(diào)取該資源對(duì)應(yīng)的訪問(wèn)規(guī)則AR = SigA(PA, rid, CollegueOf, 2)��;
5) A根據(jù)訪問(wèn)規(guī)則向關(guān)系服務(wù)器提交路徑建立申請(qǐng)��,向關(guān)系服務(wù)器發(fā)送{自己 公鑰����、請(qǐng)求者公鑰�、要求的關(guān)系類型和深度},并用關(guān)系服務(wù)器的公鑰進(jìn)行加密�,可表示為 E7JPa,PF,CollegueOf ,2)',
6)關(guān)系服務(wù)器按照A的要求尋找路徑,找到A->C_>F這條路徑�����,對(duì)結(jié)果簽名后再用 A 的公鑰加密���。即�����,EPA{Sigcs{SigA(PA,Pc,CollegueOf) || Sigc(Pc,Pf,CollegueOf)))�;
7) A驗(yàn)證關(guān)系服務(wù)器返回的結(jié)果并決定是否授予F訪問(wèn)權(quán)限。
3�����、優(yōu)點(diǎn)及功效
本發(fā)明通過(guò)用戶為其直接好友頒發(fā)關(guān)系聲明來(lái)明確與被聲明者之間的關(guān)系����,而關(guān) 系服務(wù)器則依據(jù)用戶簽名認(rèn)同的關(guān)系聲明來(lái)為關(guān)系雙方建立路徑,使得這種關(guān)系路徑更加 牢固可信�。同時(shí),授權(quán)時(shí)引入訪問(wèn)深度作為參數(shù)也更好的契合了社交網(wǎng)絡(luò)的社交特性�。總 體來(lái)看����,本發(fā)明具有如下優(yōu)點(diǎn)
1)自主定制在本方案中,用戶自己對(duì)其直接好友進(jìn)行關(guān)系聲明及更新��,并定義 資源的訪問(wèn)控制策略,所有的關(guān)系聲明結(jié)果及訪問(wèn)控制規(guī)則由用戶簽名����,其他人無(wú)法更改。 社交網(wǎng)絡(luò)本身只作為網(wǎng)絡(luò)應(yīng)用服務(wù)提供商�,不參與用戶數(shù)據(jù)資源的管理,從而實(shí)現(xiàn)了用戶 數(shù)據(jù)資源管理與網(wǎng)絡(luò)服務(wù)相分離�,突出了用戶對(duì)自己資源的掌控。
2)方便驗(yàn)證關(guān)系服務(wù)器返回的路徑中����,每一個(gè)環(huán)節(jié)都由不同的關(guān)系聲明頒布者 進(jìn)行簽名,用戶可以使用關(guān)系聲明頒布者的公鑰對(duì)關(guān)系類型進(jìn)行驗(yàn)證���。
3)行為約束由于每個(gè)環(huán)節(jié)的關(guān)系都由關(guān)系發(fā)布者進(jìn)行簽名認(rèn)證����,最大程度的約 束了關(guān)系簽署者對(duì)這份直接關(guān)系的責(zé)任���。
4)操作簡(jiǎn)便用戶作為客戶端主要進(jìn)行兩項(xiàng)操作,即對(duì)直接好友進(jìn)行關(guān)系聲明 和對(duì)資源定義基于關(guān)系類型的訪問(wèn)控制策略��;訪問(wèn)請(qǐng)求者只需提供自己的公鑰和想要訪問(wèn) 的對(duì)象�����;其余大部分工作通過(guò)服務(wù)器來(lái)完成。
圖1本發(fā)明流程圖���。
圖2社交網(wǎng)成員關(guān)系示意圖����。
圖3 —次具體認(rèn)證流程示意圖�����。
圖中符號(hào)說(shuō)明如下
圖2中的A�、B、C��、D���、E�����、F��、G表示用戶��,箭頭表示兩個(gè)用戶之間關(guān)系的指向����,箭頭上 的文字指示兩者的關(guān)系類型。
圖3中的AR是指訪問(wèn)規(guī)則(Access Rule)���,nonce指一串隨機(jī)數(shù)�����,object指目標(biāo) 對(duì)象�,terminate指會(huì)話中止�����,CS是關(guān)系服務(wù)器的代號(hào)�,session key指會(huì)話密鑰,College Of指同事關(guān)系�,depth指深度,rid指資源的標(biāo)識(shí)符���,Px指用戶X的公鑰,Ex(Y)指用密鑰X 加密Y����,Sigx(Yι |z)指用戶χ對(duì)括號(hào)中的內(nèi)容進(jìn)行數(shù)字簽名����,11指將數(shù)據(jù)串接���。具體實(shí)施例方式
見(jiàn)圖1����,本發(fā)明是一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法�,該方法具體步驟 如下
步驟一頒發(fā)關(guān)系聲明
用戶首先為其直接好友頒發(fā)關(guān)系聲明,關(guān)系聲明中包含這幾個(gè)參數(shù){關(guān)系聲明 的發(fā)布者����,接收者,關(guān)系類型����,時(shí)間戳}。其中時(shí)間戳指示關(guān)系聲明簽署的時(shí)間����。可擴(kuò)展標(biāo)示 語(yǔ)言形式即XML形式的關(guān)系聲明如下
〈關(guān)系聲明〉
<發(fā)布者 > 發(fā)布者公鑰</發(fā)布者>
<接收者 > 接收者公鑰</接收者>
<關(guān)系類型 > 關(guān)系類型</關(guān)系類型>
<時(shí)間戳 > 當(dāng)前時(shí)間</時(shí)間戳>
</關(guān)系聲明〉
例如在圖2中��,A想要對(duì)B頒發(fā)具有同事關(guān)系的關(guān)系聲明,此關(guān)系聲明可表述為 SigA(PA�����,PB, CollegueOf, TS)�,其中TS指時(shí)間戳。在本方案中���,用戶為其所有直接好友頒發(fā) 關(guān)系聲明�,并對(duì)關(guān)系聲明結(jié)果進(jìn)行簽名��,最后將關(guān)系聲明保存到關(guān)系服務(wù)器上�����。關(guān)系服務(wù)器 為每個(gè)用戶預(yù)留一個(gè)關(guān)系聲明存儲(chǔ)目錄��,用來(lái)存放其頒發(fā)的關(guān)系聲明����。
步驟二 定義訪問(wèn)規(guī)則
我們利用關(guān)系類型來(lái)指定授權(quán)對(duì)象,同時(shí)引入授權(quán)深度作為訪問(wèn)控制參數(shù)�����。一個(gè) 訪問(wèn)控制規(guī)則也包括四個(gè)參數(shù){擁有者���,資源標(biāo)識(shí)符�����,授權(quán)對(duì)象�,授權(quán)深度}�����。其中���,資源標(biāo) 識(shí)符表示某個(gè)資源對(duì)應(yīng)的資源id�����,授權(quán)對(duì)象既可以是某種關(guān)系也可以是某個(gè)個(gè)體�,授權(quán)深 度指用戶之間按照一定關(guān)系所建立起的路徑的距離����。比如A與F之間按同事關(guān)系建立起來(lái) 的路徑是A->C->F,則此時(shí)F與A之間的深度是2�。XML形式的訪問(wèn)控制規(guī)則如下
〈訪問(wèn)規(guī)則〉
<擁有者 > 擁有者公鑰</擁有者>
<資源標(biāo)識(shí)符 > 資源標(biāo)識(shí)符</資源標(biāo)識(shí)符>
<授權(quán)對(duì)象 > 授權(quán)的關(guān)系類型或個(gè)體</授權(quán)對(duì)象>
<授權(quán)深度 > 授權(quán)的深度值</授權(quán)深度>
</訪問(wèn)規(guī)則〉
最后��,用戶對(duì)定義好的資源訪問(wèn)規(guī)則進(jìn)行簽名���,并將簽名后的訪問(wèn)控制規(guī)則保存 在本地第三方服務(wù)器中。
步驟三實(shí)施關(guān)系認(rèn)證
例如用戶A創(chuàng)建了標(biāo)識(shí)符為rid的資源�����,并設(shè)定該資源向同事分享���,分享深度為2�����。
我們假定用戶F想要訪問(wèn)該資源���,則認(rèn)證流程如圖3所示,各步驟說(shuō)明如下
1)F向A發(fā)出訪問(wèn)資源rid的申請(qǐng)��,并出示自己的公鑰�;
2)A用F的公鑰加密一串隨機(jī)數(shù)和會(huì)話密鑰,并返回給F ����;
3) F將解密出的隨機(jī)數(shù)用解密出的會(huì)話密鑰加密后發(fā)還給A ��;
4)A向本地服務(wù)器調(diào)取該資源對(duì)應(yīng)的訪問(wèn)規(guī)則AR = SigA(PA, rid, CollegueOf, 2)���;
5) A根據(jù)訪問(wèn)規(guī)則向關(guān)系服務(wù)器提交路徑建立申請(qǐng)��,向關(guān)系服務(wù)器發(fā)送{自己 公鑰�、請(qǐng)求者公鑰、要求的關(guān)系類型和深度}��,并用關(guān)系服務(wù)器的公鑰進(jìn)行加密��,可表示為 EFcs(PA,Pp,CollegueOf ,2);
6)關(guān)系服務(wù)器按照A的要求尋找路徑��,找到A->C_>F這條路徑���,對(duì)結(jié)果簽名后再用 A 的公鑰加密���。即,{SigA(P4,Pc,CollegueOf) || Sigc(Pc,Pf,CollegueOf)))�;
7) A驗(yàn)證關(guān)系服務(wù)器返回的結(jié)果并決定是否授予F訪問(wèn)權(quán)限。
權(quán)利要求
1. 一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法����,其特征在于該方法具體步驟如 下步驟一頒發(fā)關(guān)系聲明用戶首先為其直接好友頒發(fā)關(guān)系聲明��,關(guān)系聲明中包含這幾個(gè)參數(shù){關(guān)系聲明的發(fā) 布者��,接收者����,關(guān)系類型�,時(shí)間戳};其中�,關(guān)系聲明的發(fā)布者是指該關(guān)系聲明的頒布者;接 收者是指關(guān)系聲明發(fā)布者與之聲明關(guān)系的對(duì)象�����;關(guān)系類型指關(guān)系聲明發(fā)布者與接收者之間 所具有的關(guān)系��;時(shí)間戳指示關(guān)系聲明簽署的時(shí)間��;可擴(kuò)展標(biāo)示語(yǔ)言形式的關(guān)系聲明如下 〈關(guān)系聲明〉<發(fā)布者 > 發(fā)布者公鑰</發(fā)布者> <接收者 > 接收者公鑰</接收者> <關(guān)系類型 > 關(guān)系類型</關(guān)系類型> 〈時(shí)間戳〉當(dāng)前時(shí)間</時(shí)間戳〉 </關(guān)系聲明〉設(shè)A想要對(duì)B頒發(fā)具有同事關(guān)系的關(guān)系聲明�,此關(guān)系聲明可表述為SkA(PA,Pb, CollegueOf, TS)��,其中TS指時(shí)間戳�����,在此,用戶為其所有直接好友頒發(fā)關(guān)系聲明��,并對(duì)關(guān)系 聲明結(jié)果進(jìn)行簽名��,最后將關(guān)系聲明保存到關(guān)系服務(wù)器上��;關(guān)系服務(wù)器為每個(gè)用戶預(yù)留一 個(gè)關(guān)系聲明存儲(chǔ)目錄����,用來(lái)存放其頒發(fā)的關(guān)系聲明�����; 步驟二 定義訪問(wèn)規(guī)則我們利用關(guān)系類型來(lái)指定授權(quán)對(duì)象����,同時(shí)引入授權(quán)深度作為訪問(wèn)控制參數(shù);一個(gè)訪問(wèn) 控制規(guī)則也包括四個(gè)參數(shù){擁有者�,資源標(biāo)識(shí)符,授權(quán)對(duì)象��,授權(quán)深度}����;其中����,擁有者是指 資源的創(chuàng)建者���;資源標(biāo)識(shí)符表示某個(gè)資源對(duì)應(yīng)的資源id����,授權(quán)對(duì)象既可以是某種關(guān)系也可 以是某個(gè)個(gè)體��,授權(quán)深度指用戶之間按照一定關(guān)系所建立起的路徑的距離���;如A與F之間按 同事關(guān)系建立起來(lái)的路徑是A->C->F����,則此時(shí)F與A之間的深度是2 �;可擴(kuò)展標(biāo)示語(yǔ)言形式 的訪問(wèn)控制規(guī)則如下 〈訪問(wèn)規(guī)則〉<擁有者 > 擁有者公鑰</擁有者> <資源標(biāo)識(shí)符 > 資源標(biāo)識(shí)符</資源標(biāo)識(shí)符> <授權(quán)對(duì)象 > 授權(quán)的關(guān)系類型或個(gè)體</授權(quán)對(duì)象> <授權(quán)深度 > 授權(quán)的深度值</授權(quán)深度> </訪問(wèn)規(guī)則〉最后,用戶對(duì)定義好的資源訪問(wèn)規(guī)則進(jìn)行簽名�����,并將簽名后的訪問(wèn)控制規(guī)則保存在本 地第三方服務(wù)器中�����;步驟三實(shí)施關(guān)系認(rèn)證設(shè)用戶A創(chuàng)建了標(biāo)識(shí)符為rid的資源,并設(shè)定該資源向同事分享�,分享深度為2 ; 我們假定用戶F想要訪問(wèn)該資源���,則認(rèn)證流程即實(shí)現(xiàn)過(guò)程如下1)F向A發(fā)出訪問(wèn)資源rid的申請(qǐng)�����,并出示自己的公鑰����;2)A用F的公鑰加密一串隨機(jī)數(shù)和會(huì)話密鑰�,并返回給F����;3)F將解密出的隨機(jī)數(shù)用解密出的會(huì)話密鑰加密后發(fā)還給A ;4)A向本地服務(wù)器調(diào)取該資源對(duì)應(yīng)的訪問(wèn)規(guī)則AR = SigA(PA���,rid, CollegueOf, 2)����;5)A根據(jù)訪問(wèn)規(guī)則向關(guān)系服務(wù)器提交路徑建立申請(qǐng),向關(guān)系服務(wù)器發(fā)送{自己公鑰��、請(qǐng)求者公鑰��、要求的關(guān)系類型和深度}�����,并用關(guān)系服務(wù)器的公鑰進(jìn)行加密����,可表示為 EFcs(PA,Pp,CollegueOf ,2);6)關(guān)系服務(wù)器按照A的要求尋找路徑��,找到A->C->F這條路徑�����,對(duì)結(jié)果簽名后再用A的 公鑰加密�����;即��,EP4Sigcs{SigA(P4,Pc,CollegueOf) || Sigc(Pc,Pf,CollegueOf)))��;7)A驗(yàn)證關(guān)系服務(wù)器返回的結(jié)果并決定是否授予F訪問(wèn)權(quán)限。
全文摘要
本發(fā)明一種基于關(guān)系聲明的社交網(wǎng)用戶身份認(rèn)證方法��,該方法有三大步驟���;步驟一頒發(fā)關(guān)系聲明���;步驟二定義訪問(wèn)規(guī)則;步驟三實(shí)施關(guān)系認(rèn)證��。用戶通過(guò)為其直接關(guān)系好友頒發(fā)關(guān)系聲明來(lái)明確其與好友的關(guān)系類型����,關(guān)系服務(wù)器依據(jù)用戶頒發(fā)的關(guān)系聲明為用戶之間建立關(guān)系路徑;由于每級(jí)關(guān)系均由關(guān)系聲明發(fā)布者進(jìn)行簽名����,使得該級(jí)關(guān)系的可靠性得到有效保證,進(jìn)而從整體上提高了關(guān)系路徑的可靠性���。本發(fā)明操作簡(jiǎn)便,驗(yàn)證方便����,它在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域里具有較好的實(shí)用價(jià)值和廣闊的應(yīng)用前景���。
文檔編號(hào)H04L29/06GK102035846SQ201010601818
公開(kāi)日2011年4月27日 申請(qǐng)日期2010年12月22日 優(yōu)先權(quán)日2010年12月22日
發(fā)明者修春娣, 劉建偉, 劉靖, 尚濤, 毛劍, 鄭志明, 陳慶余 申請(qǐng)人:北京航空航天大學(xué)