智能小區(qū)網(wǎng)絡(luò)中基于agen的用戶身份認證模型_第1頁
智能小區(qū)網(wǎng)絡(luò)中基于agen的用戶身份認證模型_第2頁
智能小區(qū)網(wǎng)絡(luò)中基于agen的用戶身份認證模型_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

智能小區(qū)網(wǎng)絡(luò)中基于agen的用戶身份認證模型

作為一個平臺,智能網(wǎng)絡(luò)承擔著信息網(wǎng)絡(luò)系統(tǒng)、安全對策系統(tǒng)、社區(qū)管理系統(tǒng)等許多應(yīng)用程序系統(tǒng)。這些應(yīng)用程序不僅是傳統(tǒng)的客戶端服務(wù)器模型(客戶端服務(wù)器模型)開發(fā)的,而且基于標準瀏覽器服務(wù)器模型(黑客服務(wù)器模型)的開發(fā)。無論采用何種類型的應(yīng)用程序系統(tǒng),用戶都必須在進入應(yīng)用程序系統(tǒng)時獲得id認證,只有經(jīng)過驗證的用戶才能使用系統(tǒng)。智能小區(qū)網(wǎng)絡(luò)中,用戶接入設(shè)備是多種多樣的,可以是計算機,也可以是存儲容量和運算能力都很小的數(shù)字設(shè)備(如:數(shù)字電視、PDA等).由于傳統(tǒng)的認證模型在認證過程中需要進行大量的運算,難以適應(yīng)智能小區(qū)網(wǎng)絡(luò)環(huán)境,本文設(shè)計一個基于Agent的輕量級的用戶身份認證模型,既能滿足智能小區(qū)網(wǎng)絡(luò)的安全需求,又能適應(yīng)用戶接入設(shè)備多樣化的環(huán)境.1軟件agent的概念A(yù)gent的概念是從分布式人工智能技術(shù)發(fā)展來的,它是一種具有自主性、交互性、反應(yīng)性的高度自治的軟件實體,每個Agent可以獨立完成各自的工作,并通過相互之間的通信與協(xié)調(diào)完成系統(tǒng)整體的目標.軟件Agent是一個反應(yīng)的、自治的、內(nèi)部驅(qū)動的實體;能以主動服務(wù)方式完成一組操作;具有智能性、自主性、交互性和可移動性;能作用于自身和環(huán)境,并能對環(huán)境做出反應(yīng).多Agent系統(tǒng)MAS(Multi-AgentSystem)是一組彼此間既相互獨立又協(xié)同工作的Agent構(gòu)成的計算系統(tǒng),Agent是其基本組成單元,各Agent之間可以相互通訊,以協(xié)調(diào)完成某一共同任務(wù).在多Agent系統(tǒng)中,Agent應(yīng)能夠認識變化的過程并進行相應(yīng)的自適應(yīng)調(diào)整.在理想情況下,系統(tǒng)的Agent應(yīng)能夠動態(tài)重配置自身以適應(yīng)負載的變化,因此,Agent具有易擴展、易維護、可重用等優(yōu)點.2認證模型設(shè)計網(wǎng)絡(luò)資源的安全訪問有3層含義:①網(wǎng)絡(luò)物理接入安全性,換句話說,用戶設(shè)備必須經(jīng)授權(quán)后才能物理接入網(wǎng)絡(luò);②授權(quán)用戶的設(shè)備物理接入網(wǎng)絡(luò)后,用戶必須經(jīng)過身份驗證后,才能訪問網(wǎng)絡(luò)資源;③用戶必須按照預(yù)先分配的權(quán)限訪問網(wǎng)絡(luò)資源,不得越權(quán)訪問.大多數(shù)認證系統(tǒng),僅考慮了網(wǎng)絡(luò)資源的安全訪問后兩層含義,本系統(tǒng)則把3層含義全部蘊含在認證模型中.必須附加有效的措施,使得非授權(quán)用戶設(shè)備的物理接入是無效的,也就是說,即使設(shè)備物理接入到網(wǎng)絡(luò)了,但是無法使用網(wǎng)絡(luò).用戶在進入應(yīng)用系統(tǒng)時,都需要進行身份認證,只有通過驗證的用戶才能使用系統(tǒng).簡單的認證機制是基于用戶賬號和密碼設(shè)計的,并且用戶賬號和密碼以明文方式在網(wǎng)絡(luò)上傳輸.如果采用這種簡單的認證機制,將是非常不安全的.本文設(shè)計的認證模型,既能保證網(wǎng)絡(luò)物理接入安全性,又能保證網(wǎng)絡(luò)資源的訪問安全性,認證模型如圖1所示.對模型的說明如下:(1)用戶設(shè)備物理接入網(wǎng)絡(luò)后,并不能使用網(wǎng)絡(luò);主機認證代理向網(wǎng)段認證服務(wù)器發(fā)送接入請求(包括主機的MAC地址和IP地址信息),通過網(wǎng)段認證服務(wù)器驗證后,用戶設(shè)備的物理接入才真正有效;(2)對用戶的身份進行認證,只有授權(quán)用戶才能使用網(wǎng)絡(luò);(3)對合法用戶的訪問權(quán)限進行驗證,生成合法用戶本次訪問ID(包含用戶權(quán)限信息),用戶使用訪問ID訪問應(yīng)用系統(tǒng).用戶只能按照自己的權(quán)限訪問,不能越權(quán)訪問.3獲得合法用戶的驅(qū)動在上面描述的認證模型中:主機認證代理一般由安裝在用戶設(shè)備上的主機Agent充當?shù)?網(wǎng)段認證服務(wù)器是由安裝在網(wǎng)段服務(wù)器上的網(wǎng)段Agent充當?shù)?網(wǎng)絡(luò)認證服務(wù)器是由安裝在網(wǎng)絡(luò)服務(wù)器上的中心Agent充當?shù)?基于上面的認證模型,設(shè)計的算法如下:①默認狀態(tài)下,網(wǎng)段Agent把所在網(wǎng)段中的交換機接入端口關(guān)閉;②用戶設(shè)備啟動時,嵌入用戶設(shè)備系統(tǒng)的主機Agent被加載并運行;③主機Agent測出本地主機的MAC地址和IP地址,并把這些信息送到網(wǎng)段Agent,請求驗證該用戶設(shè)備是否被授權(quán)接入;④網(wǎng)段Agent在自己的驗證數(shù)據(jù)庫,查找該條MAC地址和IP地址的映射關(guān)系記錄,若沒找到(非授權(quán)接入),則轉(zhuǎn)到(13);⑤網(wǎng)段Agent隨機生成一個數(shù)值,并把該數(shù)值作為哈希運算的參數(shù)傳送給主機Agent;⑥主機Agent提示用戶輸入自己的用戶賬號和密碼,然后利用接收到的參數(shù)對用戶賬號和密碼進行哈希運算(加密),并把加密后的信息傳送給網(wǎng)段Agent,請求對用戶進行身份驗證;⑦網(wǎng)段Agent對收到的信息進行逆哈希運算(解密),把得到用戶賬號和密碼與驗證數(shù)據(jù)庫中的信息進行匹配,如果匹配成功(合法用戶),則打開主機Agent所在主機的接入端口(打開網(wǎng)絡(luò)連接);⑧網(wǎng)段Agent向中心Agent發(fā)送驗證該用戶權(quán)限的請求;⑨中心Agent在自己的權(quán)限數(shù)據(jù)庫中查找該用戶的權(quán)限,生成該用戶的本次訪問ID,把該用戶的本次訪問ID傳給網(wǎng)段Agent,并轉(zhuǎn)告給各個應(yīng)用服務(wù)器;(10)網(wǎng)段Agent向主機Agent發(fā)送該用戶本次訪問ID;(11)該用戶使用本次訪問ID訪問各個應(yīng)用服務(wù)器;(12)用戶關(guān)機時,主機Agent向網(wǎng)段Agent傳送一個請求關(guān)閉端口的請求;(13)網(wǎng)段Agent關(guān)閉該主機Agent所在主機的接入端口.4情境下的安全需求情景1:非授權(quán)用戶直接把自己的設(shè)備接入到樓宇交換機端口上,由于默認狀態(tài)下,端口是關(guān)閉的,非授權(quán)設(shè)備物理接入無效.情景2:假若非授權(quán)用戶通過某種手段在自己的設(shè)備上也安裝了主機Agent程序,并偷偷接入到樓宇交換機端口上,則由于該主機Agent實體向網(wǎng)段Agent傳送的認證請求(MAC地址和IP地址),在網(wǎng)段Agent的認證數(shù)據(jù)庫中找不到,導(dǎo)致認證失敗,此時非授權(quán)設(shè)備物理接入仍然無效.以上兩種情景基本保證了物理接入安全性.情景3:再假設(shè)在情景2的前提下,非授權(quán)用戶通過黑客工具盜用了某授權(quán)用戶的MAC地址和IP地址,可以通過第1關(guān)驗證(即通過設(shè)備接入驗證).但是由于不知道用戶賬號和密碼,導(dǎo)致第2關(guān)驗證(即用戶身份驗證)失敗.情景4:如果非法用戶通過第1關(guān)驗證后,利用黑客工具監(jiān)聽網(wǎng)上傳輸?shù)挠脩糍~號和密碼信息,但由于該信息是加密的,即使監(jiān)聽到也沒有用.另外,每次加密的參數(shù)不同,增加了解密的難度.以上兩種情景基本保證了只有合法的用戶才能使用網(wǎng)絡(luò)情景5:假設(shè)非法用戶通過第1關(guān)和第2關(guān)驗證,但是由于在第3關(guān)中,用戶訪問權(quán)限是無法更改的(權(quán)限數(shù)據(jù)庫是只讀的),該非法用戶只能使用他所冒充的用戶的權(quán)限訪問網(wǎng)絡(luò)資源,而一般用戶對網(wǎng)絡(luò)資源的訪問權(quán)限是很小的(瀏覽權(quán)限),這極大地降低了其對網(wǎng)絡(luò)資源的破壞能力.這種情形保證了用戶只能按照自己的權(quán)限訪問網(wǎng)絡(luò)資源.綜上所述,該認證算法是非常有效的,能夠滿足智能小區(qū)網(wǎng)絡(luò)的安全需求.當然,該認證算法尚不能完全保證網(wǎng)絡(luò)資源的安全訪問,但是如果黑客訪問網(wǎng)絡(luò)所付出的代價遠大于他的收益,那他們就失去了惡意訪問的動機.事實上,該算法可以改進為:在PKI公鑰體系的基礎(chǔ)上,提供用戶身份驗證時的一套完美的加密機制,確保用戶身份信息不被竊取.但這樣一來,就大大增加了用戶設(shè)備的負荷,因為采用PKI公鑰體系后加密過程的運算量是很大的.智能小區(qū)網(wǎng)絡(luò)中,用戶上網(wǎng)設(shè)備是多樣化的,而有些上網(wǎng)設(shè)備(如:數(shù)字電視、PDA等)的存儲容量和計算能力都有限,復(fù)雜的認證算法是不可取的.5基于agent的非授權(quán)認證模型本文提出的基于Agent的認證模型,并根據(jù)模型設(shè)計了相應(yīng)的認證算法,經(jīng)過模擬環(huán)境下的試驗數(shù)據(jù)表明,盡管該認證算法不能完全防御非授權(quán)用戶的非法訪問,但

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論