英语原文共 13 页,剩余内容已隐藏,支付完成后下载完整资料
基于区块链的多因素认证方法
——利用Hydro Raindrop的多因素认证方法在动态博客网站上实现信息安全
摘要
目标:本工作旨在介绍在动态博客网站上开发的页面上使用区块链两因素身份验证解决方案,利用双因子验证如何维护用户身份验证的信息安全。
设计/方法:由于所有分析都是基于该主题的理论参考数据,因此采用的研究方法具有探索性。针对多因素身份验证插件Hydro Raindrop MFA的实施进行了现场研究,该插件使用了氢技术公司和网上的Project Hydro平台提供的区块链技术。因此,本文试图介绍和概念化所使用的一些技术,指出它们对信息安全的贡献。
结果:主要结果表明,使用去中心化技术(例如区块链和Hydro Raindrop插件)可以在用户身份验证过程中做出巨大贡献,这可以通过抑制或减少黑客攻击成功的可能性来加强对个人和组织的信息和资产的保护。该解决方案使用先进的区块链技术,因此在数据安全性方面处于创新的最前沿。它可能以令人满意的方式为关键数据和信息的保存做出了贡献,这些数据和信息是工业4.0许多组织的核心价值。
调查的局限性:这项研究仅限于分析如何在动态博客页面上实施Hydro Raindrop多因素身份验证解决方案来确保信息安全。
实际意义:这项研究的发现可能会有助于对网络安全感兴趣的实体。作为对未来工作的建议,对市场上不同类型的网站上可用的插件或类似解决方案进行分析,或者对它们进行性能比较,可能有助于科学研究。
原创性/价值:这项工作可以创新的方式为科学研究做出贡献,因为它解决了最近创建的解决方案,该解决方案使用区块链技术作为更安全的身份验证方法的基础。作为未来工作的建议,对市场上不同类型的网站上可用的插件或类似解决方案进行分析,或者对它们进行性能比较,可能有助于科学研究。
关键词:身份验证 双因子验证 区块链 信息安全 Hydro Raindrop。
目录
4.1 在智能手机上设置Hydro Raindrop XII
第一章 简介
信息技术的发展正在催生第四次工业革命,在这场革命中,实物商品不再是价值创造的主要来源,数字经济的作用日益增强,使得无形资产在商业流程和整个经济中发挥着至关重要的作用。因此,在新的数字经济中,保持多个来源的数据完整性是一个重要的挑战(Jeny, 2018)。
随著互联网所提供服务的扩展,我们有必要采用新技术,使我们的使用者在访问互联网网页或应用程序时,能体验到所发送和接收的信息的可靠性和完整性。访问应用程序或网站最常用的一种形式是用户名和密码认证,它确保只有经过正确识别的用户才能访问信息或服务。然而,正如所提供的服务有了发展,寻求获取敏感信息或导致服务不可用的恶意活动也在增加(Tiwari等人,2016)。
提供在线服务的公司尝试各种方法来保护自己,防止用户数据被非法获取,但即使使用了根据网络管理员要求设置的强密码,用户数据也可能存在风险。数据盗窃并不只是影响了使用互联网时的社交网络帐户或电子邮件服务,银行账户或机密业务数据也可以成为网络罪犯的目标,迫使机构使用工具,在他们的系统上验证登录过程(Wiśniewska, 2018)。
为了防止攻击,根据Claessens等人,有一些作品建议使用手机作为接收SMS消息的令牌,作为向客户端发送OTP(一次性口令)的一种方式。这种方法是有用的的,因为它使用单独的渠道,因此,攻击者更难取得控制。但是,这表示每个身份验证都需要额外的成本。本文的目的是分析基于区块链技术两因素身份验证(双因子验证)解决方案的优点和缺点,是在一个测试页面上实现基于动态博客网站的安全检查,来观察这个解决方案是否可以进行替代维护站点或应用程序的完整性和可靠性的方案。
第二章 理论框架
2.1 信息安全
根据Ferreira (2003, p. 1),“信息是一种资产,像任何其他重要资产一样,对组织有价值,因此需要充分和保护。信息安全保护信息。”一般来说,个人和敏感数据不应该信任的交给第三方,因为他们容易受到攻击和滥用(Zyskind等人,2015)。
在工业4.0的数字时代,企业不能忽视数字信托,因为数字生态系统只有在各方都能信任其数据和通信的安全性以及知识产权的保护时才能有效运行(Geissbauer et al., 2016)。
安全是实现工业4.0中最重要的问题之一,因为在制造过程中引入的漏洞(如硬件木马和后门)可能很难被检测到(Lin等人,2018)。
信息安全对于任何想要保护自己数据的行业来说都是至关重要的,不仅因为常见的损失,例如服务器的错误设置,还因为不同类型的人出于非法动机的外部威胁(Hajdarevic等人,2012;科雷亚,2018)。
信息安全可以定义为一个知识边缘领域,专门用于保护信息资产免受未经授权的访问、不当更改或不可用。安全性可能会受到用户的某些态度、环境或结构的影响,或受到以窃取、破坏或更改信息为目标的恶意个人的影响(Warkentin和Willison, 2009;科雷亚,2018)。
因此,为了保证信息的安全,提供最多样化服务类型的公司,特别是金融部门,最根本的就是使用先进的认证和加密方法。
身份验证是验证系统中出现的身份的过程,也就是说,系统验证会试图访问数据库中的有凭证的用户。如果成功,则允许访问系统,因为凭证已经通过验了证。身份验证分为两种方式,第一种是身份验证,这将作通过数据用户名和密码向系统表示身份,第二种是进行查证,将给定的身份与存储的数据进行比较(Fares, 2015)。
2.2 多因素身份验证
单因素验证是最流行的保护数据和帐户的方法只利用两种最简单的信息:用户名和密码。密码会让人进退两难:弱密码容易记住;然而,它们很容易被猜测。另一方面,强密码很难猜,但也很难记住(Donohue, 2014)。
使用密码仍然是在线验证或证明身份最常见 方式,但这种方法提供的保护越来越少,因为黑客可以使用各种钓鱼攻击、暴力攻击、对web应用程序的攻击,以及对销售点的入侵来窃取密码并造成相当大的损害(Mckeown, 2017)。
密码不能提供足够强的身份验证功能。事实上,任何获得密码的个人都可以登录该账户,并获得敏感数据。此外,帐户安全仅基于密码的强度,在许多情况下,密码的强度不够强,因为用户喜欢简单的方案,大多数时候不喜欢记住包含大写、数字和特殊字符的字符串(Dacanay, 2017)。
因此,用户通常会选择弱密码,在多个应用程序中使用相同的密码,并长时间保持相同的密码,从而为黑客活动提供便利。这些做法,虽然有助于他们记住自己的账户,但这相当于邀请黑客从前门进来(Mckeown, 2017)。
从这个意义上讲,为了保证信息安全,使用多因素认证(multi-factor authentication, MFA)方法是很重要的。MFA方法又称为:步进认证、高级认证、两步验证和双因素认证。这些安全系统需要不止一种独立于凭证类别的身份验证方法来验证登录或其他事务的用户身份(Rouse, 2015)。
与典型的单因素认证不同,MFA要求用户通过提供至少两件证据来证明自己的身份,这三大类主要是:用户知道什么,用户拥有什么,用户是什么(Mckeown, 2017)。如图1。
图1 多因素身份验证
来源:改编自Lambauer(2016)。
根据Wiśniewska(2018),“多因素身份验证(MFA)方法涉及使用之间至少有三个元素: 用户知道什么,用户拥有什么,用户是什么”:
a)用户知道的东西——它可以是一个符号或一个必须在适当窗口输入的典型PIN。这种类型因子的安全级别取决于长度和复杂性(使用不同类型的字母数字字符—包括1、2、3和XyZ)。
b)用户是什么——识别人脸或读取指纹的能力还没有被广泛使用,并且作为一种有效的安全方法已经受到部分质疑。碰巧指纹是可以伪造的,入侵者也可以用面具或照片欺骗面部识别工具。
c)用户拥有的东西——它可以是一个连接电脑的笔驱动器,一张开门的卡,一个通过短信接收代码的手机,或者其他允许用户访问它的东西。”(Wiśniewska, 2018)。
利用SMS服务的多因素认证方法被许多组织和服务机构采用;然而,手机短信扫描和独有码仍然容易受到黑客的钓鱼攻击,因为黑客可以克隆一个电话号码,拦截手机短信认证信息,允许未经授权的访问服务(Coldew- ey, 2016)。不幸的是,传统双因素认证系统生成的特殊密码通常由一串随机数组成,这使得它们很容易被网络钓鱼,因为黑客只需要诱骗用户披露他们的特殊密码(Kan, 2018)。
根据Rouse(2015)的说法,还有其他因素会给认证过程增加额外的安全层,例如:
位置因素——用户当前的位置通常被建议作为身份验证的第四个因素。再一次,无处不在的智能手机可以帮助减轻身份验证的负担:用户通常会携带手机,而且大多数智能手机都有GPS设备,可以合理地确认登录位置。时间因素——当前时间有时也被认为是身份验证的第四个因素,或者是第五个因素。在工作时间检查员工id可以防止某些类型的用户帐户攻击。例如,银行客户不能在美国使用借记卡,15分钟后再到俄罗斯使用。这些类型的逻辑锁可以防止许多情况下的网上银行诈骗”。(劳斯,2015)
MFA的原则是每一个因素都弥补了其他因素的弱点。例如,关于密码和PIN码等“用户知道的东西”的身份验证因素可能容易受到暴力破解(黑客强制登录)或社会工程攻击。因此,管理员可以通过添加一个不像通过移动设备验证用户身份或“他们是什么”(如生物特征指纹因子、虹膜或声音)那样容易猜测的“用户拥有什么”的自应激因素来补充资产的安全性。除非黑客拥有系统所要求的所有因素,否则他们将无法进入该账户(Dacanay, 2017)。
当公司要求其员工提供不止一个身份验证因素以允许访问他们的数据时,犯罪分子冒充员工就变得更加困难。仅靠盗取密码已经不足以获取数据和服务,如果没有额外的物理元素,网络罪犯将会遇到更多的挑战才能成功攻击(Ghiorzoe, 2014)。
因此,多因素身份验证的目的是创建一个额外的防御层,并减少未经授权的人能够访问目标的可行性,如物理位置,计算设备,网络,或数据库(Rouse, 2015)。如果其中一个因素被黑客或未经授权的用户破坏,另一个因素被破坏的机会会很低;因此,需要多种认证因素提供了对用户身份更高层次的保证(Dacanay, 2017)。
尽管传统双因子身份验证方案能够通过使用智能手机和短信添加一个额外的安全层,它们不是破坏安全,
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[259049],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
