在以太坊区块链上实现认证、授权和计费功能（3）-认证描述

论文摘要和目录内容请点击 《在以太坊区块链上实现认证、授权和计费（AAA）功能（1）》

• 2AAA（认证、授权和计费）
  • 2.1认证
    • 2.1.1用户名和密码
    • 2.1.2公钥基础设施
    • 2.1.3生物识别
    • 2.1.4多因素

2.2 授权 
2.2.1 XACML 
2.2.2 OAuth2.0 
2.3 计费 
2.4 潜在的问题 
2.4.1 账户劫持 
2.4.2 DDOS攻击 
2.4.3 MITM攻击 
2.4.4 数据泄露
2.4.5 恶意的内部人员 
2.5 缺点

2AAA（认证、授权和计费）

  云提供商提供云资源，例如计算、网络、网络存储资源，可以用最少的操作快速配置应用程序，而且仅需要支付消耗的资源[55]。 美国国家科学和技术研究院（NIST）[55]将这些资源分成三种模型：软件即服务（SaaS），平台即服务（PaaS）和基础架构即服务（IaaS）。 云提供商必须具备五个关键特性：多租户或共享资源，大规模可扩展性，弹性，即用即付和自动配置资源[57,55]。
  认证，授权和计费（AAA）是云提供商用于控制云资源访问、执行策略、审计和测量资源使用率的框架[74]。 云提供商必须使用此框架来实现有效的资源、用户、网络和安全管理。 AAA基于客户端 - 服务器模型[65]，其中云用户与客户端和服务器交互，它具有云资源、用户、网络和安全管理所必需的业务逻辑。 认证是验证用户身份的过程，授权是决定用户是否有足够权利使用所请求的服务。 计费是跟踪统计用户对计费、审计和数据分析的资源使用情况的过程。

图1 AAA通用架构

  图1是具有客户机 - 服务器模型的通用AAA体系结构，其中客户机是Web或移动应用程序，服务器是主机提供认证，授权，计费的资源和服务。图1分为两部分，第一部分是云用户，第二部分是云提供商。提供者需要获取用户的认证和授权的私有资源数据。用户通过客户端应用程序与提供者进行交互，客户端应用程序将请求发送给具有认证和授权功能的服务器。如图1所示，认证服务的作用是验证用户，如果验证成功，则将请求转发给授权服务；否则，将返回错误，并将用户重定向到客户端。授权服务的作用是确定用户的权限，如果授权成功，则返回用户请求的资源的资源服务；否则，将返回错误并将用户重定向到客户端。计费服务的作用是拦截客户端和服务器之间的请求，并执行提供商提供的计算功能。 以下小节中详细描述AAA的功能。

2.1认证

2.1.1用户名和密码

  用户名和密码是最常用的身份验证方法。首先云用户使用用户数据（例如用户名、密码、电子邮件、电话号码以及信用卡详细信息等）向云提供商注册[30]账号。注册完成后，用户可以使用用户名和密码访问云资源。云提供商很容易实现这种功能，而且很多用户都很熟悉该注册登录流程。但是，它并不是非常安全的认证方法，因为这种方法的安全性取决于密码的长度和特性。即使密码很复杂，但是也可以通过猜测，蛮力偷取。例如，阿里巴巴电子商务网站TaoBao [71]大规模强力攻击账户包含约2100万账户。除此之外，复杂的密码很难记住，因此用户最终会对多个云提供商使用相同的密码或使用密码管理器，这又导致了密码被攻击的概率 。

2.1.2公钥基础设施

  公钥基础设施（PKI）认证基于云用户生成的加密私钥 - 公钥，其中私钥只通过云用户保留，而公钥则分发给云提供者[30]， 私钥用于证明用户的身份。 PKI还用于安全套接字层（SSL / TLS）和安全电子交易（SET）之类的安全协议，其目的是验证和数据机密性、完整性和不可否认性。 PKI认证与用户名密码认证相比，因为私钥和公钥密码生成并且不容易被破解，所以这种方法提供了更好的安全性。 因为它需要知道生成密钥对并分发给云提供商，对于大多数基本的云用户来说，这种方式并不简单。 除此之外，在许多部署中，黑客有机会窃取私钥，甚至能够破解它。

2.1.3生物识别

  生物识别认证是最先进的认证方法之一，它使用生物特征，例如可衡量的行为或用于用户真实性的生理特征[82]进行认证。 行为特征是签名识别、语音识别、击键情况和步态分析。 生理特征是指纹、虹膜和视网膜扫描脸部、手指或手部识别。 这些特征在每个人中都是独一无二的，因此真实性由私人证明。 除此之外，生物识别与其他身份验证方法相比非常安全，因为窃取或破解用户特征非常困难。 生物识别技术认证使用方便，而且不需要记密码，它不需要任何令牌并且能够减少用户身份被欺诈。它的不足之处在于实施起来很昂贵，因为它需要一套特定的硬件和软件，而且这种技术的准确性需要提高。

2.1.4多因素

  多因素身份验证是一种高级身份验证方法，它使用您所知道及拥有的或者您知道以及将提供用户真实性的组合[30]认证。 例如，用户可以使用PIN或指纹保护的ATM卡； 同样用户可能会使用链接硬件（移动）设备的密码和密码短语登录网站。 这种方法也称为双因素认证。 这是用户友好的，但需要更高的部署成本。

论文摘要和目录内容请点击 《在以太坊区块链上实现认证、授权和计费（AAA）功能（1）》

作者：Mukesh Thakur
文章地址： http://forum.360bchain.com/comments.php?DiscussionID=142
版权声明： 作者保留权利。文章为作者独立观点，不代表B链网立场。严禁修改，转载请注明原文链接。