基于生物特征識別和數(shù)字簽名技術(shù)的電子商務(wù)身份安全認(rèn)證系統(tǒng)應(yīng)用研究

[摘要] 生物特征識別技術(shù)作為一種身份識別的手段，具有獨特的優(yōu)勢，近年來已逐漸成為研究熱點之一。本文闡述了如何將生物特征識別技術(shù)與數(shù)字簽名加密技術(shù)有機結(jié)合，應(yīng)用于電子商務(wù)身份安全認(rèn)證系統(tǒng)，達(dá)到有效提高電子商務(wù)交易的安全性的目的。并提出了簡潔易行的身份安全認(rèn)證系統(tǒng)解決方案結(jié)構(gòu)和步驟。

[關(guān)鍵詞] 生物特征識別 數(shù)字簽名 電子商務(wù) 身份安全認(rèn)證

一、引言

在電子商務(wù)應(yīng)用日益廣泛的今天，從某種角度看，身份認(rèn)證技術(shù)可能比信息加密本身更加重要。它是網(wǎng)絡(luò)安全和信息系統(tǒng)安全的第一道屏障，是在信息安全時代備受關(guān)注的一個研究領(lǐng)域。

目前的應(yīng)用主要是以“用戶ID+口令＋數(shù)字證書”來進(jìn)行用戶的身份認(rèn)證。從根本上說這種身份認(rèn)證不能解決訪問者的物理身份和電子身份的一致性問題，即無法確認(rèn)通過身份認(rèn)證的訪問者即獲授權(quán)者。

啟發(fā)于人的身體特征具有不可復(fù)制的特點，人們開始把目光轉(zhuǎn)向了生物識別技術(shù)。人的指紋、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)定性的特征，為實現(xiàn)更安全、方便的用戶身份認(rèn)證提供了有利的物理條件。

用戶最關(guān)注的問題是因特網(wǎng)的網(wǎng)絡(luò)安全性和保密性。保障網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩酝ǔＰ枰柚畔踩δ軄韺崿F(xiàn)。在開放系統(tǒng)中對具有重要價值的信息或私密信息進(jìn)行通信時，可使用數(shù)字簽名等密碼技術(shù)進(jìn)行加密。

生物識別技術(shù)代表著用戶身份認(rèn)證技術(shù)的未來，有著廣闊的應(yīng)用前景。如果將生物特征識別技術(shù)和數(shù)字簽名技術(shù)有機地結(jié)合在一起，可以提供一種更加安全、便捷的用戶身份認(rèn)證技術(shù)。

二、生物特征識別技術(shù)

生物特征識別技術(shù)是通過計算機與光學(xué)、聲學(xué)傳感器和生物統(tǒng)計學(xué)原理等高科技手段結(jié)合，利用人體固有的生理特性來進(jìn)行個人身份的鑒定。其核心在于如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息，存儲于計算機中，利用可靠的匹配算法來完成驗證與識別個人身份的過程。

1.指紋識別——成熟的身份認(rèn)證技術(shù)

在網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證系統(tǒng)中，應(yīng)用指紋作為身份確認(rèn)依據(jù)是理想的。

第一，理論上，每個人的指紋是獨一無二的。

第二，指紋樣本便于獲取，易于開發(fā)識別系統(tǒng)，實用性強。

第三，指紋識別中使用的模板而是由指紋圖中提取的關(guān)鍵特征，使系統(tǒng)對模板庫的存儲量較小。也可以大大減少網(wǎng)絡(luò)傳輸?shù)呢?fù)擔(dān)，便于支持網(wǎng)絡(luò)功能。

第四，指紋識別是生物特征識別中研究最早、技術(shù)最成熟、應(yīng)用最廣泛的技術(shù)，有著堅實的市場后盾。

指紋識別具有很高的實用性、可行性。隨著固體傳感器技術(shù)的發(fā)展。指紋傳感器的價格正逐漸下降，在許多應(yīng)用中基于指紋的生物認(rèn)證系統(tǒng)的成本是可以承受的。

指紋識別原理和過程如下：首先，通過指紋讀取設(shè)備讀取到人體指紋圖像，并對原始圖像進(jìn)行初步的處理，使之更清晰。然后，指紋辨識算法建立指紋的數(shù)字表示——特征數(shù)據(jù)。特征文件存儲從指紋上找到被稱為“細(xì)節(jié)點”(minutiae)的數(shù)據(jù)點，也就是那些指紋紋路的分叉點或末梢點。這些數(shù)據(jù)稱為模板（至今仍然沒有一種模板的標(biāo)準(zhǔn)，也沒有一種標(biāo)準(zhǔn)的抽象算法，各廠商自行其是）。最后，通過計算機把兩個指紋的模板進(jìn)行比較，計算出它們的相似程度，得到兩個指紋的匹配結(jié)果。

2.虹膜和視網(wǎng)膜——更準(zhǔn)確、更可靠的身份認(rèn)證技術(shù)

虹膜是一種在眼睛中瞳孔內(nèi)的織物狀各色環(huán)狀物，每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細(xì)絲、斑點、結(jié)構(gòu)、凹點、射線、皺紋和條紋等特征的結(jié)構(gòu)。世界上兩個指紋相同的幾率為1/109，而兩個虹膜圖像相同的幾率是1/1011，虹膜在人的一生中均保持穩(wěn)定不變。因此，利用虹膜來識別身份能夠成為獨一無二的標(biāo)識，其可靠性超過了指紋識別。

從直徑11mm的虹膜上，Dr. Daugman的算法用3.4個字節(jié)的數(shù)據(jù)來代表每平方毫米的虹膜信息，一個虹膜約有266個量化特征點，而指紋識別技術(shù)只有40多個特征點。266個量化特征點的虹膜識別算法在眾多虹膜識別技術(shù)資料中都有講述，在算法和人類眼部特征允許的情況下，Dr. Daugman指出，通過他的算法可獲得173個二進(jìn)制自由度的獨立特征點。這在生物識別技術(shù)中，所獲得特征點的數(shù)量是相當(dāng)大的。

關(guān)于虹膜的特征提取方面較有成效的主要有Daugman的利用多分辨率Gabor濾波器提取虹膜紋理的相位信息；Wildes的基于4種不同決策標(biāo)準(zhǔn)的拉普拉斯金字塔提取虹膜紋理特征；Boles和Boashash的基于小波變換過零檢測虹膜識別算法以及中科院采用Gabor濾波和aubechies-4小波變換相結(jié)合的紋理分析方法。

虹膜技術(shù)上有一些地方有待完善；當(dāng)前的虹膜識別系統(tǒng)只是用統(tǒng)計學(xué)原理進(jìn)行小規(guī)模的試驗，而沒有進(jìn)行過現(xiàn)實世界的惟一性認(rèn)證的試驗；目前圖像獲取設(shè)備相當(dāng)昂貴。

視網(wǎng)膜是一些位于眼球后部十分細(xì)小的神經(jīng)（一英寸的1/50），它是人眼感受光線并將信息通過視神經(jīng)傳給大腦的重要器官，用于生物識別的血管分布在神經(jīng)視網(wǎng)膜周圍，即視網(wǎng)膜四層細(xì)胞的最遠(yuǎn)處。

在20世紀(jì)30年代，通過研究就得出了人類眼球后部血管分布惟一性的理論，進(jìn)一步的研究的表明，即使是孿生子，這種血管分布也是具有唯一性的，視網(wǎng)膜的結(jié)構(gòu)形式在人的一生當(dāng)中都相當(dāng)穩(wěn)定。所以，同虹膜識別技術(shù)一樣，視網(wǎng)膜掃描可能是最可靠、最值得信賴的生物特征識別技術(shù)。視網(wǎng)膜掃描設(shè)備可以從使用者的視網(wǎng)膜上可以獲得400個特征點，創(chuàng)建模板和完成確認(rèn)。由此可見，視網(wǎng)膜掃描技術(shù)的錄入設(shè)備的認(rèn)假率低于0.0001%。但拒假率（FAR，指系統(tǒng)不正確地拒絕一個已經(jīng)獲得權(quán)限的用戶）比較高，相信在進(jìn)一步的研究中可以大大降低。

因為對視網(wǎng)膜難于采樣，也無標(biāo)準(zhǔn)的視網(wǎng)膜樣本庫供系統(tǒng)軟件開發(fā)使用，這就導(dǎo)致視網(wǎng)膜識別系統(tǒng)目前階段難以開發(fā)，可行性較低。

與指紋識別技術(shù)的主要步驟以及原理相似，虹膜識別與視網(wǎng)膜識別一般包括圖像采集、圖像處理、特征提取、保存數(shù)據(jù)、特征值的比對和匹配等過程。

圖 生物識別系統(tǒng)原理

綜上所述，指紋識別是最容易實現(xiàn)的；而虹膜識別與視網(wǎng)膜識別受到某些限制，目前除了一些高端應(yīng)用外很難普及應(yīng)用，但其有著巨大的技術(shù)優(yōu)勢和潛在的商業(yè)價值，必將是下一代生物特征識別技術(shù)的發(fā)展方向。

三、基于生物特征識別和數(shù)字簽名技術(shù)的電子商務(wù)身份認(rèn)證系統(tǒng)解決方案

1.方案設(shè)計要求

要確保基于指紋特征的用戶身份認(rèn)證系統(tǒng)的整體安全性，必須對基于指紋特征的網(wǎng)絡(luò)身份認(rèn)證方案設(shè)計一個安全的身份認(rèn)證協(xié)議。良好的身份認(rèn)證協(xié)議應(yīng)該滿足以下幾個要求：

(1)能夠準(zhǔn)確識別被認(rèn)證對象的身份；

(2)能夠明確重要事件的責(zé)任人，并實現(xiàn)簽名，避免事后抵賴；

(3)能夠保障數(shù)據(jù)在存儲和傳送時的安全。

2.基于生物特征和數(shù)字簽名技術(shù)的電子商務(wù)身份安全認(rèn)證系統(tǒng)結(jié)構(gòu)

基于秘密信息的身份認(rèn)證協(xié)議：保證通信認(rèn)證可以防止第三方的重放攻擊，但由于客戶端密鑰存儲和管理存在問題?；谏锾卣鞯纳矸菡J(rèn)證：能解決口令窺視和密鑰管理難等問題，但很難阻止第三方的重放攻擊。因而，筆者提出了綜合前述的生物特征識別技術(shù)和數(shù)字簽名后得到的電子商務(wù)身份認(rèn)證系統(tǒng)的解決方案。

在網(wǎng)絡(luò)環(huán)境下(B/S結(jié)構(gòu)），用戶（客戶端）如果要訪問遠(yuǎn)程服務(wù)器所管理的信息資源，在獲得相關(guān)資源訪問權(quán)限之前，必須通過生物特征身份認(rèn)證，所有的信息資源訪問權(quán)限都在身份認(rèn)證系統(tǒng)（服務(wù)器端）管理之下，未通過身份認(rèn)證的用戶不能訪問信息資源。當(dāng)模板內(nèi)置于服務(wù)器時，通過客戶端的生物特征獲取儀器獲得用戶的生物特征信息，該信息被加上數(shù)字簽名后傳送到服務(wù)器，在服務(wù)器首先校驗簽名是否有效，再與預(yù)先注冊的模板進(jìn)行比較，并完成身份認(rèn)證。

3.身份認(rèn)證步驟與協(xié)議

在生物認(rèn)證系統(tǒng)中，為了保證生物特征值這不被非法用戶所獲得，采用數(shù)字簽名技術(shù)。我們在此對協(xié)議中采用的符號做如下定義：A為用戶，AS為認(rèn)證服務(wù)器，KUAS為認(rèn)證服務(wù)器公鑰，TAS為認(rèn)證服務(wù)器的時限，NA為A的現(xiàn)時數(shù)據(jù)，F(xiàn)A為A的生物特征值，IDA為A的標(biāo)識。還需說明的是這里采用的是單向認(rèn)證協(xié)議?；緟f(xié)議如下：

(1)A用自己標(biāo)識的簽名向認(rèn)證服務(wù)器AS請求認(rèn)證。使用簽名技術(shù)能有效地阻止一個虛假認(rèn)證服務(wù)器對用戶A的欺騙性連接。因為只有合法的認(rèn)證服務(wù)器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認(rèn)證過程來使用。

(2)認(rèn)證服務(wù)器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。

(3)客戶端A接受到認(rèn)證服務(wù)器公鑰、時限和現(xiàn)時數(shù)據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組{TAS，NA，F(xiàn)A}用認(rèn)證服務(wù)器的公鑰KUAS加密后發(fā)送給認(rèn)證服務(wù)器。

(4)認(rèn)證服務(wù)器AS通過生物特征信息數(shù)據(jù)庫進(jìn)行比對，若匹配則A的身份通過認(rèn)證。

這個方案與現(xiàn)時使用的認(rèn)證體制基本類似，所以電子商務(wù)交易系統(tǒng)不必作重大改變。但因為引入了生物特征識別，安全性可以獲得有效的加強。

四、結(jié)束語

在信息化日趨成為主流的今天，電子商務(wù)的業(yè)務(wù)已隨著互聯(lián)網(wǎng)的普及而飛速發(fā)展，與此同時，電子商務(wù)的安全性也成為業(yè)界的一個熱點研究方向。本方案設(shè)計將基于生物特征的身份認(rèn)證技術(shù)和數(shù)字簽名相結(jié)合應(yīng)用于電子商務(wù)，加強系統(tǒng)安全性，具有一定的研究和實用意義。

參考文獻(xiàn)：

[1]DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independence[J]. Tran Pattern Analysis and Machine Intelligence. 1915(11): 1148-116

[2]MA Li， TAN Tieniu， WANG Yunhong. Efficient iris recognition by characterizing key local variations[J]. IEEE Transactions on Image Processing， 2004，13(6)739-750

[3]BOLES W W， BOASHASH B. A human identification technique using images of the iris and wavelet transform[J]. IEEE Transon Signal Processing. 1998，46(4): 1185-1188

[4]WILDS R P. Iris recognition: an emerging biometric technology[A]. Proceedings of the IEEE[C].Sanjuan Puertorico， 1997

[5]孟浩徐翠平：虹膜識別算法的研究[J].哈爾濱工程大學(xué)學(xué)報，2006，27(3): 400-403

[6]祝連慶穆婕馬龍:虹膜識別技術(shù)的研究[J]. 儀器儀表學(xué)報，2006，26(6): 753-755

[7]葉煒李恒華田捷:生物識別技術(shù)在網(wǎng)上銀行認(rèn)證安全體系的應(yīng)用[J].計算機工程，2003， 29(11): 192-194

[8]方昱春王展:YourNewKey:生物特征識別技術(shù)[J].自然雜志，2007， 29(4): 219-224

[9]賈聰智:指紋識別系統(tǒng)中的匹配算法研究與實現(xiàn)[D].成都: 電子科技大學(xué)，2004