基于指紋識別的云存儲身份認證系統(tǒng)設(shè)計

姚冰瑩 李傳芹 李超

（1.廣州華夏職業(yè)學院，廣東 廣州 510935；2.廣東科技學院，廣東 東莞 523083）

基于指紋識別的云存儲身份認證系統(tǒng)設(shè)計

姚冰瑩1李傳芹1李超2

（1.廣州華夏職業(yè)學院，廣東 廣州 510935；2.廣東科技學院，廣東 東莞 523083）

針對WEB云存儲系統(tǒng)現(xiàn)有"靜態(tài)口令+實時數(shù)據(jù)”的身份認證模式存在安全性能較低的問題，設(shè)計了基于指紋識別技術(shù)的身份認證系統(tǒng)。該設(shè)計方案采用指紋識別的認證模式對云存儲用戶進行身份認證，提高了身份認證的安全性、可靠性，解決了云存儲用戶賬號非法訪問、篡改等問題。提出了基于對稱加密算法、非對稱加密算法的混合加密算法，并將其作為身份認證協(xié)議，有效提高了認證的效率，實現(xiàn)了海量數(shù)據(jù)的高效傳輸。實驗結(jié)果表明，該方案在云存儲身份認證系統(tǒng)中得到很好的應(yīng)用。

云存儲；指紋識別；身份認證；SSL認證協(xié)議；混合加密；安全性

1 引言

云存儲是指利用網(wǎng)格技術(shù)、分布式文件系統(tǒng)和集群應(yīng)用等技術(shù)[1]，將網(wǎng)絡(luò)中大量不同類型的存儲設(shè)備集合起來協(xié)同工作，然后通過應(yīng)用軟件或接口為用戶提供在線數(shù)據(jù)存儲和業(yè)務(wù)訪問功能[2]。云存儲的本質(zhì)是服務(wù)而非存儲，用戶不需要自己建立數(shù)據(jù)中心，只需通過網(wǎng)絡(luò)與"云”相連接，向SSP（存儲服務(wù)提供商）申請存儲服務(wù)，即能對數(shù)據(jù)進行存儲、讀取、刪改等操作[3]。云存儲具有易于使用數(shù)據(jù)接口和極強的擴展性，以及低成本、透明的支持基礎(chǔ)能力和高峰負荷等特征。因此，云存儲正逐漸成為廣大機構(gòu)的存儲選擇，云存儲的研究成為熱點的問題之一。

然而云存儲安全問題阻礙了其推廣發(fā)展，要使云存儲得到真正的普及，云存儲安全是要解決的首要問題[8]。我們可以使用多種防范技術(shù)來保障系統(tǒng)安全，其中，身份認證是應(yīng)用系統(tǒng)安全防護的第一道防線。身份認證系統(tǒng)一旦被攻破，系統(tǒng)其他安全措施將形同虛設(shè)[2]。雖然當前WEB云存儲的認證模式能在一定程度上防止非法入侵，但是攻擊者仍然可以通過網(wǎng)絡(luò)數(shù)據(jù)竊聽、字典攻擊、重放攻擊等攻擊方式破壞靜態(tài)口令的安全[2]。

2 研究的原理

2.1 WEB云存儲系統(tǒng)結(jié)構(gòu)設(shè)計

(1)云存儲的基礎(chǔ)結(jié)構(gòu)模型

云存儲與傳統(tǒng)的存儲設(shè)備不同，并不是簡單的硬件集成，而是由存儲設(shè)備、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等構(gòu)成的一個復(fù)雜的系統(tǒng)，通過應(yīng)用軟件和接口為用戶提供服務(wù)。云存儲的架構(gòu)可分為四層：存儲層，基礎(chǔ)管理層，應(yīng)用接口層，訪問層。云存儲系統(tǒng)基本結(jié)構(gòu)如下圖1所示[6-7,9]。除了應(yīng)用接口層，其他三層對于用戶來說是完全透明的，用戶只需向SSP（存儲服務(wù)提供商）申請存儲服務(wù)，就能進行權(quán)限內(nèi)的操作。本文在應(yīng)用層與訪問層中采用指紋識別的身份認證模式和SSL通信技術(shù)保障在網(wǎng)絡(luò)傳輸中數(shù)據(jù)的安全。云存儲服務(wù)器與用戶之間進行雙方身份鑒別后，用戶代理通過安全應(yīng)用程序編程接口(API)和云存儲服務(wù)器連接進行數(shù)據(jù)存儲服務(wù)。

圖1 云存儲系統(tǒng)基本結(jié)構(gòu)圖

(2)基于WEB的B/S架構(gòu)云存儲系統(tǒng)結(jié)構(gòu)

指紋認證系統(tǒng)的核心包括數(shù)據(jù)庫、系統(tǒng)管理、應(yīng)用服務(wù)、用戶管理、管理員管理五大部分，主要操作包括確定輸入用戶登錄信息，獲取指紋圖像，指紋認證，批準訪問。服務(wù)器保存指紋信息，進行指紋認證，客戶進行指紋獲取，及用戶界面的應(yīng)用。在這個系統(tǒng)中，每個客戶都需要指紋傳感器提取指紋進行登記或登錄。指紋服務(wù)器包括指紋認證、指紋分類應(yīng)用和登錄平衡服務(wù)器。當用戶第一次訪問系統(tǒng)，客戶應(yīng)用需安裝WEB瀏覽器組件，B/S架構(gòu)的在線云存儲系統(tǒng)如圖2所示：

圖2 基于指紋身份認證的B/S云存儲系統(tǒng)

2.2 指紋識別

指紋識別的原理包括指紋采集，指紋特征提取，指紋匹配三大部分。通過指紋采集儀采集指紋，然后傳輸?shù)接嬎銠C經(jīng)過處理形成數(shù)字化的指紋圖案[5]。指紋特征提取是指提取指紋局部和總體特征的值，然后構(gòu)造成一個數(shù)字模板。指紋特征匹配是指結(jié)合指紋的局部特征和整體特征將指紋庫中的指紋模板與用戶輸入的指紋跟進行比對的過程，如果比對的結(jié)果達到預(yù)設(shè)的閾值，則兩者匹配，反之不匹配[4]。

3 主要研究內(nèi)容

3.1 指紋認證流程

用戶登錄到在線云存儲系統(tǒng)，若為注冊，則發(fā)送指令到認證服務(wù)器，將提取合格指紋模版進行分類處理后存儲，并發(fā)送與指紋模版對應(yīng)ID號給用戶；若為用戶登陸，則根據(jù)用戶的ID號，指紋認證服務(wù)器從指紋數(shù)據(jù)庫中提取出指紋模版和用戶輸入的指紋進行匹配（1：1），最后提供認證結(jié)果給客戶組件，客戶組件將申請結(jié)果通過WEB服務(wù)器返回給用戶。指紋認證流程如圖3：

圖3 指紋認證流程圖

3.2 指紋身份認證協(xié)議

混合加密機制的SSL協(xié)議技術(shù)采用非對稱加密算法（RAS)來建立WEB云存儲服務(wù)器端和客戶端之間的安全鏈接，采用對稱加密算法（DES）進行數(shù)據(jù)的安全傳輸。此協(xié)議克服了DES安全性能不高、RAS解碼復(fù)雜的缺點，既保證信道的安全性，又提高了數(shù)據(jù)傳輸?shù)男省?/p>

用戶在客戶端向WEB云存儲服務(wù)器請求進行注冊或登錄，數(shù)字認證中心驗證用戶的注冊或登錄信息后，分別給客戶端（公鑰PUA和密鑰PRA）和云存儲認證系統(tǒng)（公鑰KUAS和密鑰KRAS）分發(fā)一對公鑰和私鑰，同時公布公鑰。

客戶端選取一個隨機數(shù)x，通過等式(1)計算得到P1；用KUAS加密P1得到P2如等式（2）；用PRA加密P2得到P3如等式（3），發(fā)送P3給認證系統(tǒng)。云存儲系統(tǒng)先采用PUA對P3進行解密得到P2，如等式(4)；再用KRAS對P2進行解密得到P1，如等式（5）。只有合法的WEB云存儲服務(wù)器端才擁有KRAS，因此可驗證其合法性[2]。

云存儲系統(tǒng)選取一個隨機數(shù)Y，用KRAS加密后，再通過PUA加密后的數(shù)據(jù)發(fā)送到客戶端，加密算法公式同上。在客

戶端通過依次PRA和KUAS解密得到Y(jié)，解密算法的公式同上。只有合法的用戶才能獲得Y，從而驗證了客戶端的合法性。由式(6)計算得到共享密鑰SK。

SSL認證機制能有效地阻止用戶和云存儲系統(tǒng)之間的欺騙性連接，建立了WEB云存儲服務(wù)器端和客戶器端之間的安全信道。建立安全信道的過程如下圖4所示：

圖4 建立安全信道協(xié)議圖

4 認證系統(tǒng)測試

受到條件限制，本文只進行用戶登記和對比測試。使用指紋采集儀采集400多枚具有不同特征的指紋，通過交叉復(fù)制到2萬條，在客戶端測試指紋識別的性能。測試結(jié)果如下表1所示：

表1 指紋識別測試結(jié)果

從測試結(jié)果可知，隨著計算機技術(shù)的快速發(fā)展和指紋識別算法的優(yōu)化以及指紋采集儀性能的提高，指紋識別的拒真率、錯識率以及識別速度達到了相當好的程度。因此，可將指紋識別技術(shù)作為WEB云存儲的身份認證方式[2]。

5 結(jié)論

本文提出了基于指紋識別的云存儲身份認證和混合加密建立安全通信的方法，提高了云存儲身份認證和數(shù)據(jù)傳輸?shù)男省踩院头€(wěn)定性，并且此認證系統(tǒng)效率與性能達到要求，同時在云存儲系統(tǒng)中得到有效的應(yīng)用。指紋認證系統(tǒng)和云存儲系統(tǒng)的并發(fā)性和平衡以及系統(tǒng)嵌入問題，直接影響到云存儲身份認證的效率。將系統(tǒng)做到適度隔離和數(shù)據(jù)共享，以及指紋特征值作為用戶關(guān)聯(lián)的一組屬性來加密數(shù)據(jù)存儲是下一步要解決的問題。

[1]王永洲．基于HDFS的存儲技術(shù)的研究[D]．南京郵電大學，2013．

[2]姚冰瑩．指紋識別技術(shù)在WEB云存儲安全認證中的應(yīng)用研究[D]．廣東工業(yè)大學，2014．

[3]李三青．基于云存儲的PACS系統(tǒng)存儲擴展方案研究[J]．信息技術(shù)與信息化，2015(9)．

[4]李振汕．指紋識別技術(shù)在身份認證中的應(yīng)用與研究[J]．信息網(wǎng)絡(luò)安全，2015(3)．

[5]王國華，王伊莉．基于指紋識別技術(shù)的USBKey設(shè)計[J]．自動化與儀器儀表，2015(8)．

[6]許志龍，張飛飛．云存儲關(guān)鍵技術(shù)研究[J]．現(xiàn)代計算機：下半月版，2015(8)．

[7]朱杰．淺析“云計算”概念[J]．信息系統(tǒng)工程，2011(8)．

[8]石強，趙鵬遠．云存儲安全關(guān)鍵技術(shù)分析[J]．河北省科學院學報，2015(8)．

[9]于輝，李新虎，劉俊朋，等．云存儲安全模型研究[J]．信息技術(shù)與標準化，2015(6)．

Design of the Cloud Storage Authentication System Based on Fingerprint Identification

Yao Bingying1Li Chuanqing1Li Chao2
(1.Guangzhou Huaxia Vocational College,Guangzhou 510935,Guangdong; 2.Guangdong Institute of Science and Technology,Dongguan 523083,Guangdong)

For the lower safety problem in the"static password+real-time data"authentication modes of WEB cloud storage system,this paper designs an authentication system based on fingerprint identification technology.It uses the authentication model based on fingerprint identification for user identity authentication,improving the authentication security and reliability,and solving the issues of user account illegal access and tampering.It proposes the hybrid encryption algorithm based on symmetric encryption algorithm and asymmetric encryption algorithm which is used as a identity authentication protocol.This method effectively improves the certification efficiency,and realizes the effective transmission of huge amounts of data.The experimental results show that the scheme obtains very good application in the cloud storage identity authentication system.

cloud storage;fingerprint identification;identity authentication;SSL certification agreement;mixed encryption;security

TP391.41

A

1008-6609(2016)07-0015-03

姚冰瑩，女，湖北荊州人，碩士，研究方向：WEB系統(tǒng)開發(fā)，云計算。

廣東省高校特色創(chuàng)新項目專項資金資助，項目編號：2015KTSCX162，2015KTSCX163；2015年度院級科研項目，項目編號：GKY-2015KYYB-19。