基于指紋特征的網絡身份認證系統的開發是當前熱點研究之一。本文介紹了基于指紋特征的身份認證在電子商務中的應用,并為了保證指紋特征信息在網絡中安全傳輸,設計了一個安全有效的認證協議。
1引言
在電子商務和電子政務應用日益廣泛的今天,從某種意義上來說,身份認證技術可能比信息加密本身更加重要。身份認證技術是網絡安全和信息系統安全的第一道屏障,它是在信息安全時代備受關注的一個研究領域。但是目前都是以“用戶ID+口令”來進行用戶的身份認證,其中必然應用了密碼技術。這種方法具有明顯缺陷:一是難以記憶,二是容易被黑客破譯。隨著電子商務和電子政務的越來越廣泛的應用,必須有一個更好的系統來進行身份認證。啟發于人的身體特征具有不可復制的特點,人們開始把目光轉向了生物識別技術。因為人的指紋、面孔、聲音、虹膜、視網膜等都具有唯一性和穩定性的特征,為實現更安全、方便的用戶身份認證提供了有利的物理條件。因此以指紋特征為代表的生物識別技術代表著用戶身份認證技術的未來,有著廣闊的應用前景。如果將指紋識別技術和密碼體制有機地結合在一起,可以提供一種更加安全、便捷的用戶身份認證技術。
2 指紋識別——成熟的身份認證技術
2.1 個人身份認證技術
個人身份認證在當今社會經濟生活中如金融、醫療、保險、海關、電信、公安等領域起了舉足輕重的作用。隨著信息技術的飛速發展,電子商務、電子銀行、網絡安全等應用領域急需高效的自動身份認證技術。
分析現有的各種身份認證技術,就會發現一系列亟待解決的問題,可以概括如下:
(1)基于秘密消息的認證方式。該方式主要包括給予口令的認證方式和基于密碼體制的認證方式。
(2)令牌認證方式。常用的令牌卡是一種具有計算能力的智能卡,用戶登錄系統的口令由它計算得到,每次動態變化,增加了系統的安全性。
(3)生物特征認證方式。該認證方式根據個人不同的生物特征(如指紋、面部、視網膜等)來鑒定個人。生物認證適用于保密程度很高的場合。
2.2 生物認證技術分析與比較
近年來,隨著計算機技術和其他相關技術的發展創造的有利條件,生物識別技術得到了迅速發展。在網絡環境下的身份認證系統中,應用指紋作為身份確認依據是理想的,其好處有以上幾點:
(1)指紋是獨一無二的,不存在相同的指紋,這樣可以保證被認證對象與需要驗證的身份依據之間嚴格的一一對應關系 。
(2)指紋是相對固定的,很難發生變化,可以保證用戶安全信息的長期有效性。而人臉的特征則易受外界的影響而變化,如表情、眼鏡、胡須等,識別難度大;另外由于人臉的特征比較復雜,特征提取工作很難準確進行。
(3)掃描指紋的速度很快,使用非常方便,便于獲取指紋樣本,易于開發認證系統,實用性強,而且指紋儀也較易實現。而視網膜不僅難于采樣,也沒有形成標準的樣本庫供開發者使用。
(4)一個人的十指指紋皆不相同,可以方便地利用多個指紋,提高系統的安全性,也不會增加系統的設計負擔。
(5)指紋識別中使用的模板并非最初的指紋圖,而是從指紋圖中提取的關鍵特征,這樣可使系統模板庫的存儲量減小。另外,對輸入的指紋圖提取關鍵特征后,可以大大減少網絡傳輸的負擔,便于實現指紋異地匹配。
從以上的技術優缺點、可行性、實用性分析可以看出,用指紋作為認證的依據相對于其他方法不僅具有許多獨到的信息安全角度的優點,更重要的是還具有很高的實用性、可行性。隨著固體傳感器技術的發展。指紋傳感器的價格正逐漸下降,在許多應用中基于指紋的生物認證系統的成本是可以承受的。
2.3 指紋識別原理
指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、保存數據、特征值的比對和匹配等過程。首先,通過指紋讀取設備讀取到人體指紋圖像,并對原始圖像進行初步的處理,使之更清晰。然后,指紋辨識算法建立指紋的數字表示——特征數據,這是一種單方向的轉換,可以從指紋轉換成特征數據但不能從特征數據轉換成指紋,而且兩枚不同的指紋產生不同的特征數據。特征文件存儲從指紋上找到被稱為“細節點”(minutiae)的數據點,也就是那些指紋紋路的分叉點或末梢點。這些數據通常稱為模板(至今仍然沒有一種模板的標準,也沒有一種公布的抽象算法,而是各個廠商自行其是)。最后,通過計算機把兩個指紋的模板進行比較,計算出它們的相似程度,得到兩個指紋的匹配結果。
3基于指紋特征的電子商務身份認證系統解決方案
3.1方案設計要求
要確保基于指紋特征的用戶身份認證系統的整體安全性,必須對基于指紋特征的網絡身份認證方案設計一個安全的身份認證協議。良好的身份認證協議應該滿足以下幾個要求:
1、能夠準確識別被認證對象的身份;
2、能夠明確重要事件的責任人,并實現簽名,避免事后抵賴;
3、能夠保障數據在存儲和傳送時的安全。
3.2基于指紋特征的電子商務身份安全認證系統結構
基于指紋的電子商務身份認證系統與已經廣泛使用的指紋鎖和指紋登錄系統等應用在系統結構和認證方式上有很大不同。在一般的應用情況下,指紋圖像或模板實現存入本地指紋模板庫,在使用時用戶經指紋儀讀入指紋圖像,經處理后在本地匹配,匹配的結果決定用戶是否合法。在網絡環境下(B/S結構),用戶(客戶端)如果要訪問遠程服務器所管理的信息資源,在獲得相關資源訪問權限之前,必須通過指紋身份認證,所有的信息資源訪問權限都在身份認證系統(服務器端)管理之下,未通過身份認證的用戶不能訪問信息資源。為增強系統安全性,在客戶端和服務器之間傳輸的所有數據包括指紋模板、用戶的訪問請求、服務器的反饋信息都經過加密。同時,指紋模板及相關的用戶認證、注冊信息都保存在一個本地安全數據庫中,此數據庫只有本地進程能訪問,以防用戶信息泄漏。
當模板內置于服務器時,通過客戶端的指紋傳感器獲得用戶的指紋信息,該信息被加上數字簽名后傳送到服務器,在服務器首先校驗簽名是否有效,再與預先注冊的模板進行比較,并完成身份認證。
3.3 指紋身份認證步驟與協議
在該指紋認證系統中,為了保證指紋特征值這一重要信息不被非法用戶所獲得,采用數字簽名技術來解決的。為了方便描述,我們在此對協議中采用的符號做如下定義:A為用戶,AS為認證服務器,KUAS為認證服務器公鑰,TAS為認證服務器的時限,NA為A的現時數據,FA為A的指紋特征值,IDA為A的標識。還需說明的是這里采用的是單向認證協議。
基本協議如下:
(1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰,從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。
(2)認證服務器產生時限TAS,現時數據NA,并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。
(3)客戶端A接受到認證服務器公鑰、時限和現時數據NA,同時在客戶端的指紋傳感器讀取用戶的指紋灰度圖像,并獲得指紋特征FA,把元組{TAS,NA,FA}用認證服務器的公鑰KUAS加密后發送給認證服務器。
安全性、數據的完整性、抗否認性和信息保密性是網絡身份認證方案設計所必需考慮的問題。基于秘密信息的身份認證協議:保證通信認證可以防止第三方的重放攻擊,但由于客戶端密鑰存儲和管理存在問題(比如加密密鑰用的口令容易被人窺視到,通信用的多個密鑰管理難等)。基于生物特征的身份認證:能解決口令窺視和密鑰管理難等問題,但很難阻止第三方的重放攻擊。因而,本文提出的電子商務身份認證系統的解決方案,就是綜合了前面所述的指紋識別技術和加密技術(數字簽名)之后得到的。
4 結束語
在信息數字化日趨成為主流的今天,電子商務的業務已隨著互聯網的普及而飛速發展,但與此同時,電子商務的安全性也成為業界的一個熱點研究方向。筆者認為本方案設計將基于指紋特征的身份認證技術、數字簽名、電子商務三者相結合起來,具有一定的創新性和實用性。
