摘" 要： 在異構(gòu)跨域用戶身份驗證時，由于用戶身份存在屬性特征難以捕捉、狀態(tài)描述誤差大等問題，導致驗證精準度較低，為有效解決這一問題，文中提出一種基于改進Petri網(wǎng)的用戶身份驗證算法。利用改進Petri網(wǎng)反映不同局域網(wǎng)中事物間依賴關(guān)系，將異構(gòu)跨域用戶活動模型與Petri網(wǎng)模型轉(zhuǎn)換，采用同步用戶的狀態(tài)變化提取實時狀態(tài)特征值。通過建立云間身份認證中心，計算用戶不同身份代表性詞語在一定周期內(nèi)出現(xiàn)的次數(shù)和頻率值。提取頻率最高的詞語，并計算該詞語在待驗證用戶全部代表詞語庫中的權(quán)重值，對比權(quán)重值與驗證熵值，將得到的驗證參數(shù)輸入到認證中心，輸出驗證結(jié)果。實驗結(jié)果表明，所提方法在先驗節(jié)點比例為8%時，驗證準確率達到0.9，且召回率和綜合指標均在0.6以上，具備一定的抗攻擊性，整體實用性能強、利用價值高。

關(guān)鍵詞： 改進Petri網(wǎng)； 異構(gòu)跨域用戶； 身份驗證； 云間身份認證中心； 驗證熵值； 狀態(tài)特征

中圖分類號： TN915.08?34； TP393" " " " " " " " "文獻標識碼： A" " " " " " " " " " 文章編號： 1004?373X（2024）13?0082?05

Heterogeneous cross?domain user identity authentication method

under improved Petri network

LIU Feng1， JIANG Jiulei2

（1. Fenyang College of Shanxi Medical University， Fenyang 032200， China;

2. School of Computer Science and Engineering， North Minzu University， Yinchuan 750021， China）

Abstract： Due to the difficulties in capturing attribute features and large errors of state description， the accuracy of authentication is low in heterogeneous cross?domain user authentication. In view of this， an improved Petri net based user identity authentication algorithm is proposed. The improved Petri net is used to reflect the dependency relationships between things in different LANs， the heterogeneous cross?domain user activity model is transformed into a Petri net model， and real?time state feature values are extracted by synchronized user state changes. By establishing an inter?cloud based identity authentication center， the times and frequency of representative words with different identities of users in a certain period are calculated， and the word with the highest frequency is extracted. The weight value of the word in the database of all representative words for the user to be verified is calculated， and the weight value is contrasted with the verification entropy value. The obtained verification parameters are input into the authentication center and the verification results are output. The experimental results show that the proposed method achieves a validation accuracy of 0.9 when the proportion of prior nodes is 8%， and its recall rate and comprehensive indicators are above 0.6， so it has a certain degree of attack resistance， strong overall practical performance and high utilization value.

Keywords： improved Petri net; heterogeneous cross?domain user; identity authentication; inter?cloud identity authentication center; verification entropy value; state feature

0" 引" 言

為了提高網(wǎng)絡運行的安全性和用戶體驗感，針對不同的局域網(wǎng)絡采用不同驗證識別手段，通過對應密鑰對用戶身份進行識別和驗證，可大幅降低因盜取用戶身份導致的網(wǎng)絡安全風險問題。但由于網(wǎng)絡中的用戶身份類型較多、基數(shù)較大，并且還存在異構(gòu)跨域的局域網(wǎng)絡類型，而單一驗證方法在身份驗證方面存在較大局限性，且用戶身份間差異過大，還容易存在身份驗證誤差。因此，用戶身份驗證成為研究的重點內(nèi)容。

文獻[1]提出了一種基于主從區(qū)塊鏈容錯的跨域身份認證方法，并根據(jù)現(xiàn)場數(shù)據(jù)信息建立了主從區(qū)塊鏈身份認證模型。該方法在分階段共識過程中沒有考慮到用戶身份在網(wǎng)絡中的動態(tài)變更問題，導致結(jié)果存在一定的驗證誤差。文獻[2]則采用一種云環(huán)境下的去中心化跨域用戶身份認證方法，該方法針對每個用戶數(shù)據(jù)身份特征進行提取，然而其所需的運算量較大，增加了運算成本。

為解決上述問題，文中提出了一種基于改進Petri網(wǎng)的異構(gòu)跨域用戶身份驗證方法。該方法能夠清晰反映事物間的依賴關(guān)系，將異構(gòu)跨域用戶節(jié)點活動模型轉(zhuǎn)換為改進的Petri網(wǎng)模型，提取跨域用戶的活動特征，通過計算包含用戶身份特征的詞語出現(xiàn)頻率，求解驗證信息熵值，并與身份庫數(shù)據(jù)對比完成驗證。實驗結(jié)果表明，所提方法身份驗證的準確率較高，且驗證效果較優(yōu)。

1" 異構(gòu)跨域用戶活動模型轉(zhuǎn)換

利用改進Petri網(wǎng)反映不同局域網(wǎng)中事物間的依賴關(guān)系，以此得到模型內(nèi)用戶節(jié)點的動態(tài)變換參數(shù)與身份狀態(tài)，并將此作為后續(xù)身份驗證的參照條件，從而可以有效提升驗證精準度，避免誤差。

考慮到異構(gòu)跨域網(wǎng)絡用戶身份特征的相關(guān)信息數(shù)量較多，在驗證身份時容易產(chǎn)生混淆，因此文中采用改進Petri網(wǎng)模型將其與用戶活動模型節(jié)點進行轉(zhuǎn)換，并通過改進Petri網(wǎng)精準捕捉用戶身份信息的實時變更狀態(tài)和參數(shù)，以提高驗證精準度。改進Petri網(wǎng)是一種網(wǎng)狀信息流模型[3?5]，其包括庫所和變遷兩類節(jié)點，可分別用T_和S_表示。用戶身份動作節(jié)點轉(zhuǎn)換為Petri網(wǎng)的具體流程如圖1所示。

圖1為用戶節(jié)點活動模型轉(zhuǎn)換為改進Petri網(wǎng)的過程。由圖1可以看出，當一個用戶動作交叉分為兩個用戶活動元素時，轉(zhuǎn)換后的Petri網(wǎng)節(jié)點也會對應出現(xiàn)兩個用戶岔路，以此保證當待識別網(wǎng)絡中用戶節(jié)點存在狀態(tài)變動時，可以實時捕捉到用戶狀態(tài)。同理，當網(wǎng)絡中兩個用戶節(jié)點相結(jié)合時，對應的節(jié)點狀態(tài)也會隨之發(fā)生改變。由此可知，Petri網(wǎng)隨跨域用戶的狀態(tài)變化而實時變化，通過該方式可大幅降低驗證誤差。

2" 異構(gòu)跨域用戶身份驗證

為保證在不同環(huán)境下異構(gòu)跨域用戶身份的有效驗證[6?7]，結(jié)合得到的用戶異構(gòu)跨域轉(zhuǎn)換特性，建立了云間身份認證中心[8?9]，以實現(xiàn)異構(gòu)跨域往返的雙向身份驗證。

在利用改進Petri網(wǎng)對用戶實時節(jié)點狀態(tài)進行捕捉的基礎(chǔ)上，通過計算代表用戶身份的詞語在用戶數(shù)據(jù)庫中的占比權(quán)重，以此實現(xiàn)身份驗證[10]。設[fij]表示網(wǎng)絡文本中的逆文本出現(xiàn)頻率，該值的大小可以反映用戶身份屬性的短語在文檔中出現(xiàn)的次數(shù)[mij]，出現(xiàn)次數(shù)越多代表用戶身份權(quán)重越大；反之則為越小。[dfij]用來表示網(wǎng)絡正常文本出現(xiàn)的頻率，通過計算二者的數(shù)值大小來驗證用戶身份。

[fij]的計算公式為：

[fij=miji=1，j=1nmijkT]" "（1）

式中：[mij]表示代表用戶身份屬性[j]的短語[i]在文檔中出現(xiàn)的次數(shù)；[k]表示對應權(quán)重；[T]表示驗證的周期參數(shù)[11]；[i=1，j=1nmij]表示短語在網(wǎng)絡中出現(xiàn)的全部次數(shù)之和。

[dfij]的計算公式為：

[dfij=lgDj：di∈dj]" " （2）

式中：[D]表示詞語在數(shù)據(jù)庫中的總數(shù)量；[d]表示驗證次數(shù)；[j：di∈dj]表示數(shù)據(jù)庫中包含該詞語和相關(guān)次數(shù)的總數(shù)。

將[fij]和[dfij]整合，其表達式如式（3）所示：

[H=Tfij×dfij]" " （3）

式中[H]表示用戶身份詞庫中出現(xiàn)次數(shù)最多的詞語頻率。

在驗證異構(gòu)跨域用戶的身份時，為了保證驗證精準度和算法的實際應用效果，本文將用戶身份的相關(guān)屬性數(shù)據(jù)歸一化[12]，并將屬性值映射規(guī)范到[0，1]之間，公式為：

[x″ij=xij-minx1j，x2j，…，xnjmaxx1j，x2j，…，xnj-minx1j，x2j，…，xnj] （4）

式中：[x″ij]表示歸一化后的數(shù)值；[xij]表示原始數(shù)值；[maxx1j，x2j，…，xnj]、[minx1j，x2j，…，xnj]表示屬性的最大值和最小值。

計算第[j]個用戶身份屬性所對應的驗證信息熵值[13?14][ej]的公式為：

[ξ=1ln n] （5）

[ej=ξj=1npijlnpij]" " "（6）

式中：[ej]表示第[j]個驗證屬性的信息熵值；[pij]表示第[j]個驗證屬性在用戶身份信息庫中的占比權(quán)重；[ξ]表示驗證對比參數(shù)；[ln n]表示對應密文[15?17]。當[pij=0]時，定義[limpij→0lnpij=0]。

為提高驗證算法在多種環(huán)境下的實用能力，建立云間身份認證中心，并將上述公式求得的所有用戶身份屬性信息和對比熵值輸入其中，最后，通過權(quán)重比對完成身份驗證。異構(gòu)跨域用戶身份認證基本流程如圖2所示。

3" 實驗分析

3.1" 實驗設置

為了能夠有效驗證基于改進Petri網(wǎng)的異構(gòu)跨域用戶身份驗證算法的精準性和高效性，本文以目前國外流行的社交平臺Tik Tok作為測試環(huán)境。已知該平臺的每日用戶流量達到10億以上，完全滿足所需異構(gòu)跨域驗證的需求。為了能夠獲取到平臺涉及到的且包含基礎(chǔ)身份信息、IP屬地、興趣以及其他屬性信息的用戶數(shù)據(jù)，實驗提供了用戶在該社交網(wǎng)絡中的個人主頁賬號，共5 610個。其中，還包括了風險、病毒以及僵尸賬號，用于提高算法身份驗證的對比性。同時，賬號中還包含有用戶的各種屬性信息，例如轉(zhuǎn)發(fā)以及點贊等。將LAN局域網(wǎng)、CDMA、GPRS以及CDPD作為該軟件平臺的參與網(wǎng)絡。

實驗采用的測試指標為準確率[P]、召回率[R]以及綜合指標[C]，簡稱為PRC（Precision Recall Comprehensive）。三者的計算公式為：

[P=TPTP+FP]" （7）

[R=TPTP+FN]" "（8）

[C=2×P×RP+R]" "（9）

式中：FN表示未能驗證到的正確賬號個數(shù)；FP代表算法能夠識別到的錯誤賬號個數(shù)；TP表示算法能夠有效驗證的正確用戶賬號個數(shù)。其中，召回率也叫作查全率，用來反映驗證結(jié)果覆蓋所需用戶身份信息的值，[C]則是準確率和召回率的綜合值。

實驗分別采用文獻[1]中的主從區(qū)塊鏈容錯法和文獻[2]中的去中心化法作為對比方法。

3.2" 異構(gòu)跨域身份驗證結(jié)果對比分析

為保證實驗結(jié)果的可靠性和可參考性，避免偶然性的發(fā)生，實驗所用的全部數(shù)據(jù)均在同等條件下反復進行了10次運算并取平均值，且實驗中涉及的用戶賬號在每個網(wǎng)絡中只存在一個。

將PRC綜合性數(shù)值作為驗證算法的有效因變量，將先驗節(jié)點比例作為測試自變量。通常情況下，算法驗證用戶身份時，需先選取其中部分節(jié)點作為先驗節(jié)點，即先于經(jīng)驗的，包含歷史用戶驗證經(jīng)驗的節(jié)點，也可看作進行后驗證的參照節(jié)點。若初始節(jié)點較小會出現(xiàn)冷啟動，即重新選取問題，因此選擇負載均衡度數(shù)大于驗證閾值的用戶節(jié)點作為先驗節(jié)點，節(jié)點數(shù)量為1 000，設定比例為0%～20%。

三種算法的PRC變化結(jié)果如圖3～圖5所示。

從圖3中可以看出，當先驗節(jié)點比例為2%時，算法的[P]、[R]均較低，其中[P]值僅為0.41。這是由于當先驗節(jié)點比例較小時，能夠用于識別用戶身份的信息也較少，故需要不斷查找用戶身份的興趣來增強辨識度，導致算法準確率較低；而當先驗節(jié)點比例為8%時，準確率達到峰值0.9，之后各值雖有下降但整體較為穩(wěn)定。由此可以說明，本文所提方法可以較好地消化先驗節(jié)點，并能夠通過該方式準確查找用戶的相關(guān)身份信息，為驗證識別提供了有力幫助。

從圖4和圖5可以看出，兩種對比方法整體的PRC數(shù)值增長幅度均較低。其中，主從區(qū)塊鏈容錯法的準確率在占比為14%時才達到峰值。因此說明，該方法驗證所需節(jié)點數(shù)量較多，在同等條件下比本文方法超出6%，驗證效率較低，且準確率峰值低于本文方法，證明其捕捉用戶信息的性能較差。隨著節(jié)點數(shù)量的增加，兩種對比算法的準確率均出現(xiàn)了下降趨勢，且波動性較大。這是因為當先驗節(jié)點數(shù)量過多時，導致其與待驗證用戶身份的興趣發(fā)生了混淆，難以進行區(qū)分，從而對身份匹配造成了一定干擾。綜合上述結(jié)果可知，本文方法的PRC值均優(yōu)于其他算法，其能更快速、準確地驗證用戶身份信息。

3.3" 用戶身份驗證綜合性能結(jié)果對比

為進一步驗證本文方法的有效性，將身份識別過程中的匿名追蹤、抗攻擊、加密以及同步等操作能力作為性能指標。其中，匿名追蹤可以側(cè)面反映出算法對信息的提取效果；抗攻擊可以反映出算法的環(huán)境適應能力。三種方法的綜合性能對比結(jié)果如表1所示。

從表1中可以看出，本文方法的綜合性能明顯優(yōu)于其他方法，只有強有效替換攻擊操作無法完成。原因在于，本文方法考慮了異構(gòu)跨域用戶的身份特性，能夠在短時間內(nèi)捕捉到跨域用戶的關(guān)鍵點信息，并通過特征比對完成身份驗證。由于短時間內(nèi)產(chǎn)生的用戶狀態(tài)轉(zhuǎn)換容易丟失驗證目標，因此本文方法無法完成替換操作。但綜合結(jié)果可以看出，本文方法依舊具備較強的驗證能力，其綜合性能最強、表現(xiàn)最佳。

4" 結(jié)" 語

針對目前異構(gòu)跨域用戶身份驗證法存在驗證誤差大這一問題，本文提出了一種基于改進Petri網(wǎng)的身份驗證算法，提高了用戶信息安全和網(wǎng)絡運行的穩(wěn)定性。該方法分析了異構(gòu)跨域用戶身份信息的特點，利用改進Petri網(wǎng)描述異構(gòu)跨域用戶節(jié)點活動模型，并運用兩種模型之間節(jié)點的變化同步性，高效地得到了跨域用戶的實時狀態(tài)。接著，通過建立的云間身份驗證中心，按照訪問請求、解密以及關(guān)鍵詞查找對比完成了對用戶身份的精準驗證。實驗數(shù)據(jù)證明，本文方法的驗證效率最佳、準確率最高，在多種環(huán)境下均能實現(xiàn)高效驗證，可以為用戶身份安全提供保障。

注：本文通訊作者為姜久雷。

參考文獻

[1] 趙平，王賾，李芳，等.主從區(qū)塊鏈容錯異構(gòu)跨域身份認證方案[J].計算機工程與應用，2022，58（22）：79?88.

[2] 詹澤怡，陳晶，何琨，等.云環(huán)境下去中心化跨域身份認證方案[J].武漢大學學報（理學版），2021，67（3）：205?212.

[3] 余嘉偉，胡海洋.基于面向?qū)ο竽：齈etri網(wǎng)的信息物理系統(tǒng)能耗模型[J].電子科技，2021，34（7）：19?25.

[4] 朱鋁芬，徐媛媛.改進Petri網(wǎng)故障診斷算法的信道故障診斷與處理[J].計算機測量與控制，2023，31（6）：6?11.

[5] 王宇，徐長寶，祝健楊，等.基于改進Petri網(wǎng)和Hilbert變換的多源信息融合電網(wǎng)故障診斷方法[J].電測與儀表，2021，58（6）：125?129.

[6] 張利華，劉季，曹宇，等.雙共識混合鏈跨異構(gòu)域身份認證方案[J].應用科學學報，2022，40（4）：666?680.

[7] 趙平，王賾，李芳，等.主從區(qū)塊鏈容錯異構(gòu)跨域身份認證方案[J].計算機工程與應用，2022，58（22）：79?88.

[8] 徐娟娟.云環(huán)境下基于密算的異構(gòu)跨域身份認證方案[D].桂林：桂林電子科技大學，2021.

[9] 江澤濤，徐娟娟.云環(huán)境下基于代理盲簽名的高效異構(gòu)跨域認證方案[J].計算機科學，2020，47（11）：60?67.

[10] 劉俊嶺，劉穎，馬晨旭，等.異構(gòu)社交平臺中用戶身份解析[J].數(shù)據(jù)采集與處理，2022，37（5）：1101?1114.

[11] 趙麗坤，王于可.基于人工智能的社交網(wǎng)絡用戶行為數(shù)據(jù)周期推薦算法[J].科學技術(shù)與工程，2020，20（28）：11647?11652.

[12] 楊寒雨，趙曉永，王磊.數(shù)據(jù)歸一化方法綜述[J].計算機工程與應用，2023，59（3）：13?22.

[13] 張麗琴，徐士濤.信息熵原理探討及其在二元系統(tǒng)的應用[J].齊魯工業(yè)大學學報，2023，37（6）：70?76.

[14] 雷博，王寧寧，李金明.多目標輪換策略引導的信息熵閾值分割算法[J].西安郵電大學學報，2023，28（5）：27?39.

[15] 崔永杰，彭長根，丁紅發(fā)，等.一種支持多用戶的公平密文檢索方案[J].計算機技術(shù)與發(fā)展，2022，32（10）：100?107.

[16] 楊小東，田甜，王嘉琪，等.基于云邊協(xié)同的無證書多用戶多關(guān)鍵字密文檢索方案[J].通信學報，2022，43（5）：144?154.

[17] 高永強.密鑰共享下跨用戶密文數(shù)據(jù)去重挖掘方法[J].沈陽工業(yè)大學學報，2020，42（2）：203?207.