邵敏

（南昌大学共青学院 江西省共青城市 332020）

1 引言

1.1 大数据环境下通过口令认证进行身份交叉认证的相关研究

付永贵、朱建明（2015）建立运用用户数据画像思想的系统用户身份交叉认证模型，使得通过口令认证但不符合用户数据画像特征的使用者进一步接受对其的身份交叉认证，并以邮箱系统为例进行模拟实验，验证了该模型的可靠性。[1]

韩霖、张烨青、金健宇等（2016）就口令安全问题提出了对口令运用哈希加盐与挑战应答的动态混合加密策略的安全方案，可以作为本研究中就口令本身安全性方面的一种方案参考。[2]该技术方案实现了口令的密文存储安全和攻击者因破译口令的成本过高而无法破译。

1.2 用户数据画像及应用的相关研究

为提高高校学生管理的效率与针对性，实现学生成绩波动和心理障碍情况等问题的及时预警，将学生问题消除于实际发生之前，杨浩（2019）研究设计了高校学生画像系统。在采用模拟退火算法优化的模糊C均值算法对这些学生的学习和消费水平进行分析的基础上，研究者运用了多种数据挖掘算法。[3]从优化数据挖掘算法的角度，孙凯（2020）提出了一种基于TF-IDF-LD的多项朴素贝叶斯算法模型，该模型通过引入特征词位置影响因子和去中心化词频因子对TF-IDF算法进行改进，并结合经过拉普拉斯平滑处理的多项朴素贝叶斯算法对数据进行分类处理，生成用户画像。[4]

为解决传统多群体用户画像构建系统画像的结果准确率低的问题，郭娜，魏荣凯(2021)引用大数据技术设计了一种新的多群体用户画像构建系统，通过对系统硬件和软件进行有针对性的优化来达到研究目的。[5]该研究将系统硬件分成四个主要模块：数据采集模块、主体模块、数据分析模块和可视化模块。

1.3 CA认证体系的相关研究

周培源、彭凯锋（2010）研究构建了一个开放、共享、高安全性的虚拟实验共享平台，采用的是基于USB Key的三层CA认证体系，设计了虚拟实验网络的安全结构和试验平台的身份认证系统。[6]特别提到，首先需建立学生信息库，途径是教务员登录和将需要做实验的学生名单上报到后台服务器，后台服务器系统由此建立用户的信息数据库（账号）；其次，教师或实验室管理员 登陆系统，激活学生账号与设置实验内容、实验时间；第三，学生登陆试验平台。学生登陆时在登录界面输入学号、密码等相关信息，后台服务器将接受到的信息与数据库存储信息比对，正确则允许学生用户使用该平台。

综上，在大数据环境下，可以考虑结合用户数据画像技术于三层CA认证体系的各层级中，在用户基本身份信息泄露，造成与之相关的具有便利性特点的系统登录口令受到泄密威胁时，仍能根据其数据画像中的特征值，做进一步的身份交叉鉴别认证，中止口令非法冒充者对系统的继续访问。本研究称之为“用户身份双重交叉认证体系”，一重交叉认证基于所在CA层级与用户数据画像之间的交叉认证，另一重交叉认证位于三层CA认证体系结构内部的层次之间，该双重之间存在着一种嵌套关系，前者被后者嵌套于前后相继的CA认证层级内部，CA中前两层级作用于逐级的管理者角色用户，本研究中依次为教务员与任课教师，而不是将学生用户的身份鉴别压力高度集中于第三层级，即作用于最终服务对象角色的用户层级，这样，可依次降低后续CA认证层级的工作量与复杂度，同时也给平台提供灵活、多重而又更为可靠的安全性。

2 虚拟实验教学平台学生用户数据画像所需数据的收集与分析

进行用户数据画像，就要获得所需的数据，这些数据除了满足基本的共性要求外，还因具体的应用平台之不同而互有区别。所以，首先应确定平台用户数据画像所需数据的类型。

2.1 虚拟实验教学平台环境下学生用户数据画像所需数据的类型

按照数据的变化情况，用户数据可分为静态和动态两大类，大学生用户静态数据主要是学生个人的基本属性数据，动态数据则有生活行为数据、学习行为数据、社会行为数据等行为类数据等共四类数据。学生个人基本属性数据，包括学号、姓名、性别、身份证号、籍贯、兴趣爱好、课程名称、班级、系部等；互联网时代，行为数据都可分出相应的线上与线下两个子类，其中，学生生活行为的线下行为数据源自实体店中零售小商品的购买和其他常规课余生活行为，线上行为数据源自网上购物、网上游戏行为等；学习行为的线下学习数据源自实体教室上课、图书馆借书、课堂考试、竞赛和科研活动，线上学习行为则由网上相应的学习行为数据来反映；社会行为中的线下数据来自班干任职、参与合法社团和进行合法社会活动等，线上数据来自社交网络中的互动、自有网店的经营等行为。虚拟实验教学平台的学生用户为当学期需要用到该平台进行课程学习的学生，本研究将结合虚拟实验教学平台的应用环境特点，按上述四类数据类型，首先对这一类学生用户目标人群数据画像所需的数据进行科学合理的选择。

2.2 运用科学有效及人性化方法合理合法采集学生用户数据

一般而言，学生个人基本属性数据可从学校教务处最新的在校生学籍档案中获得；学生的学习行为数据可通过访问教务系统、图书馆管理系统获取课程信息、考试成绩、科研成果和借书信息，从学生考勤记录、课堂互动记录中，如教师的书面记录、学习通和本平台等教学系统记录中得到学生的上课情况，如线上学习的时长，学习内容及线上学习自测情况等；生活行为数据相对更繁杂，网络空间上有线下线下，物理位置上有校内校外，时间范围也更大，学生的日常消费数据可从校园学生卡和学生微信、支付宝等线上支付工具的消费记录中得到；社会活动数据可从其参加的社团活动记录获知，而学生在论坛上的活动记录是学生线上生活的重要数据源，可通过网络数据爬取方式得到。其中不易获得的数据，或采用前述方法仍未能获得的数据，可考虑用问卷调查或私聊、面谈方式获得。总之，本研究主要通过目标数据库采集、网络数据爬取、调查访谈等方法类型互补地获得尽可能完备和准确的学生用户画像所需数据。

2.3 本研究中的学生用户数据画像主要步骤

参考已有研究，根据实际，构建学生用户的数据画像主要经过三个步骤，第一步是获得学生用户数据，第二步是在所得数据集基础上生成学生用户的特征与标签，这两步密切联系。付永贵、朱建明(2015)的研究证明，降低数据分析成本是提高系统防御能力的途径之一，因此，本研究的生成算法采用较简易而又高效率的分类算法，将认证过程中的学生用户按身份类别分组为三个类型：合法登录者、身份待定者、不合法登录者。最后步骤是可视化学生用户的数据画像， 平台运用该“画像”，对照分析出进行登录操作的当前学生用户之身份类型，做出是否继续其身份认证的判断，而进行用户身份的交叉认证。在平台指定使用的学期内，合法学生用户数据画像的构建过程是个不断进行的动态更新过程，以精准地生成与使用合法学生用户的数据画像。

3 虚拟教学实验平台上用户身份双重交叉认证体系建构

在本开发平台中的用户登录/访问平台活动图如图1所示。

图1：用户登录/访问平台活动图

本研究拟设想的身份交叉认证融于CA三级认证体系的虚拟教学实验平台，其主要结构是，一级CA层（教务员层）、二级CA层（教师用户层）、三级CA层（学生用户层）依次分别嵌套对教务员用户、教师用户、学生用户的身份交叉认证，该三层级存在逐层递进的关系，共属于CA认证系统，并嵌套共享采用平台大数据分析子系统(用户数据画像系统)的 身份交叉认证系统对相应层用户身份的交叉认证，由此形成双重的身份交叉认证机制。该认证体系的总体结构如图2所示。

图2：用户注册与登录以及与之相关设置与操作的身份双重交叉认证体系总体结构图

4 结语

该平台认证体系是在同一信任域的采用层次模型的CA体系框架内，对于每一CA层级内主体用户的注册/登录，首先由CA系统对其公钥证书进行认证，合法则进行CA签名，之后，身份交叉认证系统运用平台大数据子系统通过用户画像进行进一步认证，且至少有三次循环深入的身份交叉认证来把关；通过所在相应层级的CA认证后，教务员用户方能对教师用户和学生用户的注册/登录平台的基本条件进行设置，教师用户才能对学生用户的注册/登录平台的时间与操作内容进行设置，学生用户也才可能在之前两层级中设定的条件与范围内登录平台和操作；并且，教师和学生用户的注册登录操作都必须在教务员的一级CA认证通过且执行完相应的设置后，而学生用户更要在教师用户的二级CA认证通过且执行完相关设置之后。如此共有三个层级的CA认证，再融合每个CA层级内部嵌套的身份交叉认证，即构成总体上为双重的身份交叉认证体系。对于认定为不合法的用户之身份信息，需在相应CA系统层级和身份交叉认证系统中做好信息备案，以利于下次可迅速地判定同一非法登录者的不合法身份。本研究设计了平台 安全性的概念模型，用户注册、用户基本属性数据和用户行为数据等自变量是前导性的，其中的用户注册与用户登录有着直接关联，未合法注册的用户登录首先就不能通过CA认证。这三个自变量经过对CA系统安全性、身份交叉认证系统安全性，以及二者组成的身份双重交叉认证系统安全性等中间变量的影响，最后影响到平台安全性这个结果因变量。其中，CA系统安全性又影响到其嵌套的身份交叉认证系统安全性。该模型共有变量8个，影响参数16个，自由度df=8×（8+1）/2-16=20，因此，变量个数并非不合适。由该模型可预测，整个虚拟实验教学平台的安全性，首先在于对用户注册、用户基本属性数据和用户行为数据等自变量数据值的真实性、可靠性提出高要求，对注册用户的通过条件必须做出严格规定，对注册用户本人也必须进行实名身份验证。

当前，本研究对于该概念模型仅做了初步的定性定量研究，也仅对学生用户的用户画像数据进行了探讨，对于教务员用户、教师用户等的用户画像数据还未做深入研究，另外，双重的身份交叉认证是否存在认证成本提高问题，以及如何克服这种成本提高问题，等等，这些都需要在后续的研究工作中加强。