科研人生:在通往真实的道路上, ...分享 http://blog.sciencenet.cn/u/zwresearch 青岛理工大学计算机学院教师, 研究方向: 社交认证、认证、计算机安全、信任模型、普适计算。我的小站http://weizhou.coding.me/weizhou/intro/

博文

社交认证简介

已有 3554 次阅读 2015-9-13 11:55 |个人分类:社交认证|系统分类:科研笔记

现在在做的一个研究方向介绍,希望着这方面感兴趣或者相关的同仁相互联系,愿能有所帮助~

随着互联网新媒体及新型应用技术的发展,社交网络应用迅速涌现并占据了人们信息生活的重要组成部分,如今QQFacebook、人人网、TwitterFlickr、微博和微信等社交网络工具的使用极大加快了社会行为向网络行为、现实社会关系向网络社交关系的迅速转化。

社交网络(SocialNetworks, SN)或社交网络网站(Social Networks Site, SNS)[1]是源于社会网络关系系统思想的网络应用形式,旨在帮助人们建立社会性网络的网络应用服务。该网络中的节点代表不同个人或团体,节点中的边表示实体间的关系。社交网络可以为使用者提供如下主要功能:(1)在某个系统范围内构建公开或者半公开的用户信息;(2)构建一个与当前使用者具有联系的用户列表;(3)基于当前用户及系统中其他用户的联系列表,实现浏览、访问和其他方面的应用。

社交认证是一种基于社交网络的新型认证方式。传统的安全系统主要通过三种方式实现用户认证:用户所知的,如密码;用户所拥有的,如硬件令牌卡;用户所是的,如用户指纹等生物特性。社交认证通过第四种方式,用户所认识的人,实现系统身份认证[2]。当前社交认证主要作为备用或者紧急认证方式,如当用户忘记系统口令时,向社交网络系统提起备用认证请求,系统向用户的若干友人发出确认验证码,用户从友人处获得确认验证码后可以临时登陆社交系统并修改密码,从而完成了一次社交认证。

当前的备用认证方式有邮件确认、手机短信确认、安全问题确认或者是人工帮助确认,而这些方式都有缺点和一定的适用范围。邮件确认可能由于邮箱密码的遗忘或邮箱失效(如服务器问题或离开某单位)而失败,另外很少邮件是经过加密发送的,这也为监听窃取信息提供了可能。手机短信确认是当前比较流行也较为有效的一种确认方式,但也可能由于手机的遗失或手机换号等原因失败。安全问题认证属于用户所知的方式,同密码一样,安全问题也可能会被钓鱼网站窃取,此外,有文献研究显示对公共数据库信息的挖掘[3]和日常生活中的促销调查[4]都可能获得安全问题的答案。人工帮助是指用户同网站或系统的客服人员联系,通过对基本信息或者关键信息(如交易凭证)的认定对用户进行身份认证,这种方式的问题主要在于一方面网站认证所依凭的信息往往由用户提供,而其中某些信息对入侵者而言也是可获得的,更重要的是这种方式成本较高,无法应对大规模的认证请求。

社交认证将现实社会中的社交信息与操作作为担保性的确认信息来实施对用户身份的认证,社交认证的确认信息来源于社交关系,而最重要最亲密的社交关系(如家庭和好朋友)的有效期更长,可靠性也更大。社交认证的这些特点是以往备用认证方式所不具有的。基于以上原因,现实中的社交网站,如Facebook,已经开始使用社交认证作为备用认证方式[5],相关研究也实现了微软WindowsLive ID的社交认证[6]。微信作为中国新兴的社交通讯软件由于具有与手机紧密绑定的特性,所以当用户在新手机登陆微信账号时,微信会要求其通过选择好友头像或者通知好友发送约定信息的方式完成社交认证以实现在新手机上的身份认证

随着社交网络系统的进一步应用,更多现实生活中的社交行为和社交关系会实现信息化与网络化,而基于社交网络系统的社交认证必将得到更为广泛的研究和应用。

2.国内外研究现状、水平和发展趋势

随着社交网络的广泛应用,社交网络的安全问题也逐渐突出。当前社交网络的安全和隐私方面的研究开展的比较多[7-9],但这些研究大多集中在社交网络系统自身的安全和隐私问题,在基于社交网络的认证及其安全性方面展开的研究并不充分。

   当前社交认证的研究主要分成两类,一种是基于社交凭证的社交认证,用户由信托人(trustee)给予的社交凭证证明两者之间发生过社交活动,依据若干社交凭证完成社交认证过程。其中,信托人即负责协助的友人,是社交网络中可信任的联系人。另一种是基于(社交)知识的社交认证,用户通过回答有关友人的信息(如识别照片中的友人)完成认证,友人或信托人并不参与到认证过程中。

基于社交凭证的社交认证方面,RSA实验室[2]第一次提出社交认证的概念,将社交认证看作一个担保系统。该系统中请求者正常登陆系统需要同时提供两种信息:PIN码和令牌卡产生的动态密码。在令牌卡遗失的情况下,请求者求助于一位信托人,信托人可在请求者注册账号时由请求者的管理人或者请求者本人指定。信托人使用自己的PIN码和动态密码登陆系统进行认证后获取系统产生的担保确认码,该确认码为包含20位熵的数字与字母的组合。确认码通过安全途径传递给请求者,请求者通过PIN码和确认码实现系统的临时认证并指定一个临时密码,作为重新获得令牌卡之前的替代密码。文献考虑了攻击者假装请求者、攻击者假装信托人、未注册请求者参与攻击、请求者攻击信托人和信托人攻击请求者等多种情况,形式化的证明了系统所具有的正确性、安全性和入侵检测特性。

文献[6]也实现了同文献[2]相似的社交认证过程,并且在现实生活中进行了关于WindowsLive ID备用认证的测试。实际测试结果表明用户很多时候无法记起自己指定的信托人,此外,通过邮件伪装用户的成功率很低,但与用户具有亲密关系的人(如家庭成员)却很容易获得本应由用户本人获取的确认码。该文献指出通过采取一定的防护措施,社交认证作为备用认证具有很大的应用前景。当前社交网站Facebook也实现了基于信托人的社交认证[5]

与前面研究从个体角度考察社交认证不同,文献[10]从系统的角度来研究社交认证,提出了一种名为森林火(ForestFire)的攻击。该攻击从一小部分被破解或勾结的种子用户开始,依据一定的优先次序,不断通过诈骗信息伪装成合法用户以概率性的方式破解社交认证网络中更多的用户。由于从社交网络中选择最优的种子用户以及攻击优先次序都是NP-C问题,作者探讨了几种选取种子用户和攻击优先次序的策略,并从隐藏信任网络、减少诈骗攻击影响和限制信任用户的选择三个方面讨论了防御策略。

随着移动设备在社交网络中作用的不断增强,基于移动端的社交认证也有所开展。文献[11]基于MIT RealityMining项目的数据集论证了使用蓝牙连接作为首要社交认证的可行性。文献[12]提出了一种基于移动手机的社交认证,超过一定时长的用户间通话记录和蓝牙连接被看作是一次社交活动,会自动产生社交双方互相担保的令牌,用户然后使用若干数量的令牌和PIN进行服务登陆。基于智能手机的社交认证方式中社交凭证是在用户现实社交活动的基础上自动产生,因此具有一定的便捷性。文献[13]提出了一种基于云计算的智能手机社交系统,该系统基于PKI运行,每个用户和好友互相拥有对方的公钥,当双方依据通信行为(如通话、短信、蓝牙及红外的接入等信息)判断可以信任对方后,通过私钥生成包含认证权重的认证票据,认证服务器依据手机用户所有的认证票据并计算权重决定是否认证成功。文献[14]使用对称式Kerberos协议进行社交认证并使用BAN逻辑对协议安全性进行了形式化分析,实验结果表明所提出的协议在智能手机上运行速度快、资源需求量少且终端续航时间长。

在基于知识的社交认证方面,文献[15]提出了基于图片测试的社交认证用于测试某个用户是否属于所要访问的小组。此外,文中还提出了针对社交认证的DoS攻击,通过给照片加错误的标签实现其攻击目的。

Facebook2011年正式启用了基于知识的社交认证[16],即让用户通过识别7位照片中的好友来进行认证。文献[17]从理论上论证了Facebook的基于照片的社交认证易遭受与用户关系较近的圈里人攻击,此外脸部识别工具和统计性猜测攻击也容易破解基于照片的社交认证。作者建议将社交网络划分成不同的团体,社交认证中需识别的朋友应同时从多个团体中加以选择。此外,删除知名的及容易识别的朋友和更改朋友的抽样方法都有助于提高社交认证的安全性。文献[18]通过对Facebook系统进行实际的攻击测试来研究社交认证的安全性。作者通过爬虫软件搜集或与目标友人建立朋友关系的方式获取目标友人的照片信息并建立脸部模型。实验表明仅通过公共途径获得的信息就可以获得不错的攻击效果,如果目标友人接受好友邀请,获得的信息可以成功实现近22%的自动攻击,并在其他56%的攻击案例中可以为攻击者提供显著有效的帮助。文献[19]提出了另一种针对图片中人物识别的社交认证的攻击,即图片比对法。该方法通过公开的可允许采集的照片及对应标签信息建立离线库,通过应用简单的像素比对法进行图片比对并依据对应标签识别友人,该方法在40000张离线库的基础上对Facebook系统中的社交认证进行了100次测试,测试中照片的识别成功率高达98.4%。此外,作者提出基于标签选择和图像变换的照片处理方法,研究发现用户几乎可以全部识别经变换处理过照片中的友人,但这些友人几乎完全不能被基于脸部识别和图片比对的方法辨认出。

综上所述,社交认证方面的研究才刚刚开展,基于社交凭证方面的社交认证在凭证产生的方法、时效性和安全性方面还需要进一步研究,基于知识的社交认证往往仅基于图片所包含的信息开展,其他方面的社交知识还有待发掘利用,更多结合两种社交认证方式并具有防御措施的社交认证系统也有待进一步的研究。

[1]. Ellison, N.B., Social network sites:Definition, history, and scholarship. Journal of ComputerMediatedCommunication, 2007. 13(1): p. 210-230.

[2].       Brainard,J., et al. Fourth-factor authentication: somebody you know. in ACM conferenceon computer and communications security. 2006.

[3].       Griffith,V. and M. Jakobsson. Messinwith texas deriving mothers maiden names using publicrecords. in Applied Cryptography and Network Security. 2005: Springer.

[4].       Eazel,W., Live phishing'experiment nets consumers hook, line, and sinker. SCMagazine, 2005. 8.

[5].       Facebook'strusted Contacts, inhttps://www.facebook.com/notes/facebook-security/introducing-trusted-contacts/10151362774980766.2013.

[6].       Schechter,S., S. Egelman and R.W. Reeder. Its Not What You Know, But Who YouKnow. in Proceedings of the 27th ACM SIGCHI Conference on Human Factors inComputing Systems (CHI). 2009.

[7].       李阳等, 基于社交网络的安全关系研究. 计算机研究与发展, 2012. 2.

[8].       罗亦军, 刘强与王宇, 社会网络的隐私保护研究综述. 计算机应用研究, 2010(10): 3601-3604.

[9].       刘建伟, 李为宇与孙钰, 社交网络安全问题及其解决方案. 中国科学技术大学学报, 2011. 41(7): 565-575.

[10].     Gong, N.Z. and D. Wang, On the Security of Trustee-based SocialAuthentications. IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY, 2014.9(8): p. 1251-1263.

[11].     Frankel, A.D. and M. Maheswaran. Feasibility of a socially awareauthentication scheme. in Consumer Communications and Networking Conference,2009. CCNC 2009. 6th IEEE. 2009: IEEE.

[12].     Soleymani, B. and M. Maheswaran. Social authentication protocolfor mobile phones. in Computational Science and Engineering, 2009. CSE'09.International Conference on. 2009: IEEE.

[13].     刘宴兵与刘飞飞, 基于云计算的智能手机社交认证系统. 通信学报, 2012. 33(1): 28-34.

[14].     刘飞飞与刘宴兵, 基于社交网络的智能手机轻型安全认证协议设计. 重庆邮电大学学报 (自然科学版) ISTIC, 2013. 25(1).

[15].     S. Yardi, N.F.A.B., Photo-based authentication using socialnetworks, in Proc. 1st Workshop Online Social Network. (WOSN). 2008.

[16].     Rice, A., A Continued Commitment to Security, inhttps://www.facebook.com/notes/facebook/a-continued-commitment-to-security/486790652130.2011.

[17].     Kim, H., J. Tang and R. Anderson, Social authentication: harderthan it looks, in Financial Cryptography and Data Security. 2012, Springer. p.1-15.

[18].     Polakis, I., et al. All your face are belong to us: breakingFacebook's social authentication. in Proceedings of the 28th Annual ComputerSecurity Applications Conference. 2012: ACM.

[19].    Polakis, I., et al., Faces in the Distorting Mirror: RevisitingPhoto-based Social Authentication. 2014.




https://blog.sciencenet.cn/blog-453771-920527.html

上一篇:中国海洋大学2011年博士论文latex模板(含幻灯片)

0

该博文允许注册用户评论 请点击登录 评论 (0 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2021-12-6 12:56

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部