基于指纹特征的网络身份认证系统的开发是当前热点研究之一。本文介绍了基于指纹特征的身份认证在电子商务中的应用,并为了保证指纹特征信息在网络中安全传输,设计了一个安全有效的认证协议。
1引言
在电子商务和电子政务应用日益广泛的今天,从某种意义上来说,身份认证技术可能比信息加密本身更加重要。身份认证技术是网络安全和信息系统安全的第一道屏障,它是在信息安全时代备受关注的一个研究领域。但是目前都是以“用户ID+口令”来进行用户的身份认证,其中必然应用了密码技术。这种方法具有明显缺陷:一是难以记忆,二是容易被黑客破译。随着电子商务和电子政务的越来越广泛的应用,必须有一个更好的系统来进行身份认证。启发于人的身体特征具有不可复制的特点,人们开始把目光转向了生物识别技术。因为人的指纹、面孔、声音、虹膜、视网膜等都具有唯一性和稳定性的特征,为实现更安全、方便的用户身份认证提供了有利的物理条件。因此以指纹特征为代表的生物识别技术代表着用户身份认证技术的未来,有着广阔的应用前景。如果将指纹识别技术和密码体制有机地结合在一起,可以提供一种更加安全、便捷的用户身份认证技术。
2 指纹识别——成熟的身份认证技术
2.1 个人身份认证技术
个人身份认证在当今社会经济生活中如金融、医疗、保险、海关、电信、公安等领域起了举足轻重的作用。随着信息技术的飞速发展,电子商务、电子银行、网络安全等应用领域急需高效的自动身份认证技术。
分析现有的各种身份认证技术,就会发现一系列亟待解决的问题,可以概括如下:
(1)基于秘密消息的认证方式。该方式主要包括给予口令的认证方式和基于密码体制的认证方式。
(2)令牌认证方式。常用的令牌卡是一种具有计算能力的智能卡,用户登录系统的口令由它计算得到,每次动态变化,增加了系统的安全性。
(3)生物特征认证方式。该认证方式根据个人不同的生物特征(如指纹、面部、视网膜等)来鉴定个人。生物认证适用于保密程度很高的场合。
2.2 生物认证技术分析与比较
近年来,随着计算机技术和其他相关技术的发展创造的有利条件,生物识别技术得到了迅速发展。在网络环境下的身份认证系统中,应用指纹作为身份确认依据是理想的,其好处有以上几点:
(1)指纹是独一无二的,不存在相同的指纹,这样可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系 。
(2)指纹是相对固定的,很难发生变化,可以保证用户安全信息的长期有效性。而人脸的特征则易受外界的影响而变化,如表情、眼镜、胡须等,识别难度大;另外由于人脸的特征比较复杂,特征提取工作很难准确进行。
(3)扫描指纹的速度很快,使用非常方便,便于获取指纹样本,易于开发认证系统,实用性强,而且指纹仪也较易实现。而视网膜不仅难于采样,也没有形成标准的样本库供开发者使用。
(4)一个人的十指指纹皆不相同,可以方便地利用多个指纹,提高系统的安全性,也不会增加系统的设计负担。
(5)指纹识别中使用的模板并非最初的指纹图,而是从指纹图中提取的关键特征,这样可使系统模板库的存储量减小。另外,对输入的指纹图提取关键特征后,可以大大减少网络传输的负担,便于实现指纹异地匹配。
从以上的技术优缺点、可行性、实用性分析可以看出,用指纹作为认证的依据相对于其他方法不仅具有许多独到的信息安全角度的优点,更重要的是还具有很高的实用性、可行性。随着固体传感器技术的发展。指纹传感器的价格正逐渐下降,在许多应用中基于指纹的生物认证系统的成本是可以承受的。
2.3 指纹识别原理
指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、保存数据、特征值的比对和匹配等过程。首先,通过指纹读取设备读取到人体指纹图像,并对原始图像进行初步的处理,使之更清晰。然后,指纹辨识算法建立指纹的数字表示——特征数据,这是一种单方向的转换,可以从指纹转换成特征数据但不能从特征数据转换成指纹,而且两枚不同的指纹产生不同的特征数据。特征文件存储从指纹上找到被称为“细节点”(minutiae)的数据点,也就是那些指纹纹路的分叉点或末梢点。这些数据通常称为模板(至今仍然没有一种模板的标准,也没有一种公布的抽象算法,而是各个厂商自行其是)。最后,通过计算机把两个指纹的模板进行比较,计算出它们的相似程度,得到两个指纹的匹配结果。
3基于指纹特征的电子商务身份认证系统解决方案
3.1方案设计要求
要确保基于指纹特征的用户身份认证系统的整体安全性,必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求:
1、能够准确识别被认证对象的身份;
2、能够明确重要事件的责任人,并实现签名,避免事后抵赖;
3、能够保障数据在存储和传送时的安全。
3.2基于指纹特征的电子商务身份安全认证系统结构
基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下,指纹图像或模板实现存入本地指纹模板库,在使用时用户经指纹仪读入指纹图像,经处理后在本地匹配,匹配的结果决定用户是否合法。在网络环境下(B/S结构),用户(客户端)如果要访问远程服务器所管理的信息资源,在获得相关资源访问权限之前,必须通过指纹身份认证,所有的信息资源访问权限都在身份认证系统(服务器端)管理之下,未通过身份认证的用户不能访问信息资源。为增强系统安全性,在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都经过加密。同时,指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中,此数据库只有本地进程能访问,以防用户信息泄漏。
当模板内置于服务器时,通过客户端的指纹传感器获得用户的指纹信息,该信息被加上数字签名后传送到服务器,在服务器首先校验签名是否有效,再与预先注册的模板进行比较,并完成身份认证。
3.3 指纹身份认证步骤与协议
在该指纹认证系统中,为了保证指纹特征值这一重要信息不被非法用户所获得,采用数字签名技术来解决的。为了方便描述,我们在此对协议中采用的符号做如下定义:A为用户,AS为认证服务器,KUAS为认证服务器公钥,TAS为认证服务器的时限,NA为A的现时数据,FA为A的指纹特征值,IDA为A的标识。还需说明的是这里采用的是单向认证协议。
基本协议如下:
(1)A用自己标识的签名向认证服务器AS请求认证。使用签名技术能有效地阻止一个虚假认证服务器对用户A的欺骗性连接。因为只有合法的认证服务器才保存有用户的公钥,从而能验证这个签名来获得IDA来为下面的认证过程来使用。
(2)认证服务器产生时限TAS,现时数据NA,并将自己的公钥KUAS、NA和时限TAS用用户A的公钥KUA加密后返回给客户端的A用户。
(3)客户端A接受到认证服务器公钥、时限和现时数据NA,同时在客户端的指纹传感器读取用户的指纹灰度图像,并获得指纹特征FA,把元组{TAS,NA,FA}用认证服务器的公钥KUAS加密后发送给认证服务器。
安全性、数据的完整性、抗否认性和信息保密性是网络身份认证方案设计所必需考虑的问题。基于秘密信息的身份认证协议:保证通信认证可以防止第三方的重放攻击,但由于客户端密钥存储和管理存在问题(比如加密密钥用的口令容易被人窥视到,通信用的多个密钥管理难等)。基于生物特征的身份认证:能解决口令窥视和密钥管理难等问题,但很难阻止第三方的重放攻击。因而,本文提出的电子商务身份认证系统的解决方案,就是综合了前面所述的指纹识别技术和加密技术(数字签名)之后得到的。
4 结束语
在信息数字化日趋成为主流的今天,电子商务的业务已随着互联网的普及而飞速发展,但与此同时,电子商务的安全性也成为业界的一个热点研究方向。笔者认为本方案设计将基于指纹特征的身份认证技术、数字签名、电子商务三者相结合起来,具有一定的创新性和实用性。
