認(rèn)證技術(shù)在網(wǎng)絡(luò)信息安全中的研究與設(shè)計(jì)

趙 靜

（烏魯木齊職業(yè)大學(xué)信息工程學(xué)院，新疆烏魯木齊 830002）

1 引言

目前業(yè)界普遍認(rèn)為，我國(guó)的信息安全防護(hù)能力只處于發(fā)展的初級(jí)階段，許多計(jì)算機(jī)基本上處于不設(shè)防狀態(tài)。無(wú)論是防范意識(shí)、管理措施、核心技術(shù)，還是安全產(chǎn)品，都離信息安全的實(shí)際需要存在很大的差距，每年各種重要數(shù)據(jù)和文件的濫用、泄露、丟失、被盜，給國(guó)家、企業(yè)和個(gè)人造成的損失數(shù)以億計(jì)，這還不包括那些還沒有暴露出來的深層次的問題。計(jì)算機(jī)安全問題解決不好，不僅會(huì)造成巨大的經(jīng)濟(jì)損失，甚至?xí)＜皣?guó)家的安全和社會(huì)的穩(wěn)定。

目前在國(guó)際上采用的安全認(rèn)證技術(shù)有很多種，應(yīng)用的領(lǐng)域也很廣，但是，國(guó)內(nèi)在技術(shù)上還沒有達(dá)到這種水平，網(wǎng)絡(luò)信息安全系統(tǒng)還是存在很多漏洞，因此技術(shù)的加強(qiáng)是未來發(fā)展的必然趨勢(shì)，本文根據(jù)現(xiàn)有國(guó)內(nèi)的幾種成熟技術(shù)進(jìn)行分析，指出了以指紋識(shí)別認(rèn)證技術(shù)和密碼體制結(jié)合模式來解決現(xiàn)有的網(wǎng)絡(luò)信息安全性問題。信息認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個(gè)重要方面，它用于保證通信雙方的不可抵賴性和信息的完整性[1]。

2 幾種認(rèn)證技術(shù)分析

現(xiàn)今在國(guó)內(nèi)外使用最為廣泛的認(rèn)證技術(shù)主要分為以下幾個(gè)：

2.1 密碼體制

加密技術(shù)是信息安全系統(tǒng)常用的一種數(shù)據(jù)保護(hù)工具,交易雙方可根據(jù)需要在信息交換的階段使用。目前在加密體制分為兩大類一種是對(duì)稱加密體制還有一種是非對(duì)稱加密體制。

2.2 智能卡體制

智能卡本身的安全性很高，它既不允許非授權(quán)人士刪除卡中的數(shù)據(jù)，也不允許非授權(quán)數(shù)據(jù)被寫到卡里去。因?yàn)橹悄芸軌虼_保他人在沒有授權(quán)的情況下訪問不到其中的數(shù)據(jù)，較適用于安防或便攜式數(shù)據(jù)存儲(chǔ)目的。

2.3 生物認(rèn)證體制

生物認(rèn)證方法有很多，應(yīng)用的場(chǎng)合也不同，目前比較成熟的可用于計(jì)算機(jī)系統(tǒng)的主要有指紋身份認(rèn)證和聲紋身份認(rèn)證兩種認(rèn)證方法。

指紋認(rèn)證技術(shù)有著其特有的優(yōu)點(diǎn)，主要體現(xiàn)在以下幾個(gè)方面：

1）指紋認(rèn)證技術(shù)在生物結(jié)構(gòu)上是存在唯一性。每一個(gè)客戶的指紋都是獨(dú)一無(wú)二的，在算法上可以實(shí)現(xiàn)一一對(duì)應(yīng)的模式進(jìn)行識(shí)別。

2）指紋結(jié)構(gòu)具有相對(duì)固定的特性，因此存儲(chǔ)于數(shù)據(jù)庫(kù)中是不會(huì)發(fā)生變化?；旧媳ＷC了數(shù)據(jù)的安全性和永久性。

3）指紋在實(shí)現(xiàn)系統(tǒng)錄入方面具有簡(jiǎn)潔方便的特性易于獲取樣本。易于開發(fā)認(rèn)證系統(tǒng)，系統(tǒng)在使用過程中也方便使用指紋儀進(jìn)行指紋數(shù)據(jù)的錄入，具有很強(qiáng)的實(shí)用性，而且指紋儀也較易實(shí)現(xiàn)。

4）一個(gè)人的十指指紋皆不相同，可以方便地利用多個(gè)指紋，提高系統(tǒng)的安全性，也不會(huì)增加系統(tǒng)的設(shè)計(jì)負(fù)擔(dān)。

5）指紋認(rèn)證技術(shù)在實(shí)現(xiàn)指紋信息的采集過程中，主要是對(duì)指紋的關(guān)鍵值進(jìn)行特征提取，并載入系統(tǒng)，這樣在技術(shù)實(shí)現(xiàn)和數(shù)據(jù)量上可以減小難度。同時(shí)也減小了文件在網(wǎng)絡(luò)上傳輸?shù)呢?fù)擔(dān)。這樣可實(shí)現(xiàn)指紋的異地匹配。

從以上的技術(shù)優(yōu)缺點(diǎn)、可行性、實(shí)用性分析可以看出，用指紋作為認(rèn)證的依據(jù)相對(duì)于其他方法不僅具有許多獨(dú)到的信息安全角度的優(yōu)點(diǎn)，更重要的是還具有很高的實(shí)用性、可行性。隨著固體傳感器技術(shù)的發(fā)展。指紋傳感器的價(jià)格正逐漸下降，在許多應(yīng)用中基于指紋的生物認(rèn)證系統(tǒng)的成本是可以承受的。

3 指紋與密碼識(shí)別技術(shù)設(shè)計(jì)與實(shí)現(xiàn)

3.1 識(shí)別原理及總體設(shè)計(jì)

（1）識(shí)別原理

指紋圖像采集、處理、特征提取、保存數(shù)據(jù)、特征值的比對(duì)和匹配等過程是指紋識(shí)別技術(shù)的關(guān)鍵幾個(gè)環(huán)節(jié)。根據(jù)指紋認(rèn)證技術(shù)實(shí)現(xiàn)的幾個(gè)環(huán)節(jié)，我們可以很清楚的了解指紋識(shí)別原理，首先，通過指紋錄入儀對(duì)人體的指紋進(jìn)行掃描，指紋掃描儀實(shí)時(shí)將掃描的數(shù)據(jù)傳輸至認(rèn)證系統(tǒng)，系統(tǒng)收到數(shù)據(jù)以后對(duì)人體指紋數(shù)據(jù)進(jìn)行過濾處理，使之清晰，然后，根據(jù)指紋識(shí)別技術(shù)建立的算法將指紋中的關(guān)鍵性的數(shù)據(jù)進(jìn)行索引和標(biāo)記—稱為特征數(shù)據(jù)，可以從指紋轉(zhuǎn)換成特征數(shù)據(jù)但不能從特征數(shù)據(jù)轉(zhuǎn)換成指紋，而且兩枚不同的指紋產(chǎn)生不同的特征數(shù)據(jù)。特征文件存儲(chǔ)從指紋上找到被稱為“細(xì)節(jié)點(diǎn)”(minutiae)的數(shù)據(jù)點(diǎn)，也就是那些指紋紋路的分叉點(diǎn)或末梢點(diǎn)。這些數(shù)據(jù)通常稱為模板。最后，通過計(jì)算機(jī)把兩個(gè)指紋的模板進(jìn)行比較，計(jì)算出它們的相似程度，得到兩個(gè)指紋的匹配結(jié)果。

圖1 指紋識(shí)別基本原理

指紋識(shí)別的原理是以基本的流程性操作來實(shí)現(xiàn)的，每一個(gè)環(huán)節(jié)都做了相應(yīng)的處理和操作，為用戶提供信息和存儲(chǔ)用戶操作信息。

密碼技術(shù)是對(duì)存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛芙粨Q以防止第三者對(duì)信息竊取的技術(shù)。密碼技術(shù)分為加密和解密兩部分。加密是把需要加密的報(bào)文（簡(jiǎn)稱明文）按照密鑰參數(shù)進(jìn)行變換，產(chǎn)生密碼文件(簡(jiǎn)稱密文)。解密是按照密鑰把密文還原成明文的過程。密鑰是一個(gè)數(shù)值，它和加密算法一起生成特別的密文。密鑰本質(zhì)是非常大的數(shù)，密鑰尺寸用位（bit）表示，在公開密鑰加密方法中，密鑰尺寸越大，密文就越安全。利用密碼技術(shù)，在信源和通信信道之間對(duì)報(bào)文進(jìn)行加密，經(jīng)過信道傳輸，到信宿接收時(shí)進(jìn)行解密，以實(shí)現(xiàn)網(wǎng)絡(luò)通信保密。

（2）總體設(shè)計(jì)

指紋認(rèn)證技術(shù)的主體流程是以數(shù)據(jù)信息的采集、處理、和提取操作的。那么具體的過程如圖2所示：

圖 2 指紋認(rèn)證流程

根據(jù)指紋認(rèn)證的結(jié)果分析，本文融入了密碼體制，即加入了密碼技術(shù)，這樣用戶的指紋信息和客戶信息都將更加的安全可靠，總體方案設(shè)計(jì)流程圖如圖3所示：

圖3 總體流程圖

方案的總體設(shè)計(jì)思想是以信息安全為主，雙重認(rèn)證機(jī)制加強(qiáng)信息流動(dòng)中的安全性。每一個(gè)環(huán)節(jié)都需要對(duì)應(yīng)的關(guān)系函數(shù)才可以進(jìn)入。在此過程中采用IDEA算法進(jìn)行指紋信息的加密和解密，體現(xiàn)了生物認(rèn)證技術(shù)和密碼體制的有機(jī)結(jié)合的可行性。

3.2 指紋密碼算法設(shè)計(jì)

本文在認(rèn)證系統(tǒng)實(shí)現(xiàn)過程中，主要分為兩個(gè)過程實(shí)現(xiàn)，首先是實(shí)現(xiàn)了指紋讀取并進(jìn)行數(shù)據(jù)處理匹配算法，通過確認(rèn)以后再通過密碼匹配算法進(jìn)行校驗(yàn)，雙重認(rèn)證技術(shù)的疊加，確保了認(rèn)證系統(tǒng)在應(yīng)用過程中的安全性。下面重點(diǎn)介紹下兩種算法的實(shí)現(xiàn)過程：

（1）指紋認(rèn)證算法實(shí)現(xiàn)過程：本文實(shí)現(xiàn)過程采用了點(diǎn)模式匹配算法，系統(tǒng)在采集到指紋圖案以后，首先去除各種變形的影響，對(duì)齊兩個(gè)細(xì)節(jié)點(diǎn)模式，然后統(tǒng)計(jì)兩個(gè)細(xì)節(jié)點(diǎn)模式之間相對(duì)應(yīng)的細(xì)節(jié)點(diǎn)的個(gè)數(shù)，這種對(duì)應(yīng)只能是一種近似對(duì)應(yīng)，最后根據(jù)對(duì)應(yīng)細(xì)節(jié)點(diǎn)的數(shù)目得到一個(gè)衡量相似性的匹配分值，通過匹配分值與預(yù)先設(shè)定的閾值進(jìn)行比較來判斷這兩個(gè)細(xì)節(jié)點(diǎn)模式是否相同。

細(xì)節(jié)點(diǎn)模式中的每個(gè)細(xì)節(jié)點(diǎn)可以用以下特征向量表示：

Fk=(xk,yk,θk，Tk)，其中，(xk,yk)為細(xì)節(jié)點(diǎn)的平面坐標(biāo)，θk為細(xì)節(jié)點(diǎn)處紋線端點(diǎn)或分叉點(diǎn)。模板細(xì)節(jié)點(diǎn)模式中細(xì)節(jié)點(diǎn)和輸入細(xì)節(jié)點(diǎn)模式中細(xì)節(jié)點(diǎn)的特征向量分別表示為：

其中，模板細(xì)節(jié)點(diǎn)特征集合P包括M個(gè)細(xì)節(jié)點(diǎn)，輸入細(xì)節(jié)點(diǎn)特征集合Q包括 N個(gè)細(xì)節(jié)點(diǎn)，一般來說M≠N。搜索P和Q中的點(diǎn)之間的最佳對(duì)應(yīng)關(guān)系，根據(jù)在此對(duì)應(yīng)關(guān)系下對(duì)應(yīng)細(xì)節(jié)點(diǎn)的數(shù)目得到匹配分值MS，并與閾值T比較，如果MS≥T，則兩個(gè)細(xì)節(jié)點(diǎn)模式相匹配；否則，判定兩個(gè)細(xì)節(jié)點(diǎn)模式不匹配。

（2）本文設(shè)計(jì)的點(diǎn)模式匹配算法原理是采用相似變換的方法把兩個(gè)細(xì)節(jié)點(diǎn)集中相對(duì)應(yīng)的點(diǎn)匹配起來。當(dāng)實(shí)現(xiàn)此過程以后，認(rèn)證系統(tǒng)則進(jìn)入下一個(gè)技術(shù)認(rèn)證，即密碼體制認(rèn)證過程。當(dāng)?shù)谝浑A段認(rèn)證成功后，系統(tǒng)將執(zhí)行第二階段認(rèn)證。本文在設(shè)計(jì)密碼認(rèn)證技術(shù)過程中，主要采用了公鑰密碼技術(shù)，使用了應(yīng)用最為廣泛了RSA密碼匹配算法。

RSA密碼系統(tǒng)的安全性基于大數(shù)分解的困難性。其理論基礎(chǔ)是數(shù)論的歐拉定理，即尋求兩個(gè)大素?cái)?shù)容易，但將它們的乘積進(jìn)行因式分解極其困難。

基于這一原理，用戶秘密選擇兩個(gè)100位的十進(jìn)制大素?cái)?shù)p、q，計(jì)算出它們的乘積N＝pq，并將N公開；再計(jì)算出N的歐拉函數(shù)Φ(N)=(p一1)(q—1)，定義Φ(N)為小于等于N且與N互為素?cái)?shù)的個(gè)數(shù)；然后，用戶從[0，Φ(N)-1]中任選一個(gè)與其Φ(N)互為素?cái)?shù)的數(shù)e，同時(shí)由d＝e-1（modΦ(N)）得到另一個(gè)數(shù)d。

這樣就產(chǎn)生一對(duì)密鑰 ：PK=（e，N），SK=（d，N）

若用整數(shù)X為明文，Y為密文，則有：

加密 ：Y ＝ Xe（modN）；解密 ：X ＝ Yd（mod N）

在設(shè)計(jì)過程中，要求p，q為安全素?cái)?shù)，N的長(zhǎng)度大于512 bit，這主要是因?yàn)镽SA算法的安全性依賴于因子分解大數(shù)問題。

通過上述分析，本論文闡述了在認(rèn)證系統(tǒng)實(shí)現(xiàn)過程中主要采用了雙重認(rèn)證匹配算法來實(shí)現(xiàn)認(rèn)證技術(shù)。從而提高系統(tǒng)在網(wǎng)絡(luò)信息交互過程中的安全性。

3.3 指紋密碼驗(yàn)證機(jī)制設(shè)計(jì)

指紋密碼驗(yàn)證機(jī)制設(shè)計(jì)過程中，主要考慮到現(xiàn)有的成熟算法進(jìn)行結(jié)合，那么指紋比對(duì)算法方面主要包括兩種：辨識(shí)和驗(yàn)證，其中驗(yàn)證就是1:1算法，而辨識(shí)則是在群體中找到一個(gè)完全一致的信息，即所謂的1：N算法。

按驗(yàn)證的1:1算法來理解，就是將掃描進(jìn)入系統(tǒng)的一個(gè)指紋信息與系統(tǒng)庫(kù)中已存在的指紋進(jìn)行對(duì)比，通過這樣的配對(duì)可確認(rèn)身份的過程。作為驗(yàn)證的前提條件，他或她的指紋必須在指紋庫(kù)中已經(jīng)注冊(cè)。

按辨識(shí)的1:N算法來理解，就是將掃描進(jìn)入系統(tǒng)的一個(gè)指紋信息與數(shù)據(jù)庫(kù)中的所有指紋洗洗進(jìn)行一一對(duì)比，從中找到與已掃描進(jìn)入系統(tǒng)的指紋信息進(jìn)配對(duì)，完成身份辨識(shí)的過程，即“一對(duì)多匹配”。

密碼驗(yàn)證體制過程中主要實(shí)現(xiàn)的是以字符長(zhǎng)度和值對(duì)比，即在用戶進(jìn)入系統(tǒng)輸入登錄密碼時(shí)刻，所輸入的密碼與注冊(cè)過在數(shù)據(jù)庫(kù)中的密碼進(jìn)行長(zhǎng)度和字符值進(jìn)行比較，完全符合則進(jìn)入網(wǎng)絡(luò)系統(tǒng)。

本文設(shè)計(jì)過程主要采用的是指紋的辨識(shí)模式和密碼的校驗(yàn)體制。具體的操作流程如圖4所示：

圖4 辨識(shí)與密碼驗(yàn)證

通過以上雙重認(rèn)證技術(shù)的實(shí)現(xiàn)，完成用戶的準(zhǔn)確確認(rèn)，并登錄系統(tǒng)，完成系統(tǒng)的操作權(quán)限。

4 總結(jié)

在信息系統(tǒng)中，安全目標(biāo)的實(shí)現(xiàn)除了保密技術(shù)外，另外一個(gè)重要方面就是認(rèn)證技術(shù)。在本論文中綜述了已有的幾乎所有主流認(rèn)證技術(shù)，并對(duì)其中基于生物特征的認(rèn)證與識(shí)別技術(shù)和密碼體制技術(shù)進(jìn)行了較為詳細(xì)的介紹，然后對(duì)幾種認(rèn)證技術(shù)在網(wǎng)絡(luò)信息交互系統(tǒng)中的適用性做了分析，根據(jù)比較分析，本文提出了一種基于指紋加密的網(wǎng)絡(luò)身份認(rèn)證方案,利用指紋的惟一性和方便性,通過指紋加密對(duì)用戶的身份進(jìn)行確認(rèn)。設(shè)計(jì)了一種指紋認(rèn)證技術(shù)和密碼體制相結(jié)合的新方案，基于指紋特征的身份認(rèn)證技術(shù)、加密技術(shù)、網(wǎng)絡(luò)信息交互三者相結(jié)合起來，具有一定的創(chuàng)新性和實(shí)用性。

[1] 殷國(guó)宴.電子商務(wù)中的身份認(rèn)證技術(shù)研究：[碩士學(xué)位論文].西安：西安電子科技大學(xué),2006.1

[2] 羅雅麗.一種基于指紋加密的網(wǎng)絡(luò)身份認(rèn)證方案.現(xiàn)代電子技術(shù)，2007年第7期總第246期

[3] 段正敏.身份認(rèn)證技術(shù)研究與實(shí)現(xiàn)：[碩士學(xué)位論文].重慶：重慶大學(xué)軟件學(xué)院,2004.10

[4] 陳運(yùn)．信息加密原理[M]．成都：電子科技大學(xué)出版社，1990．

[5] 王舜燕，江紅.一種基于加密算法分析的PKI身份認(rèn)證方案.鄂州大學(xué)學(xué)報(bào).2005年，12（6）：P12-P15

[6] YeongGeun Choe and Soon-Ja Kim.Secure Password Authentication for Keystroke Dynamics.R.Khosla et al.(Eds.):KES 2005， LNAI 3683，pp.317-324,2005

[7] A Jones A framework for the management of information security risks BT Technology Journal.Vol 25 No 1.January 200730