（通信与信息系统专业论文）基于指纹识别的电子商务认证系统设计.pdf

武汉理工大学硕士学位论文 摘要 在电子商务和电子政务应用日益广泛的今天，安全和信任问题已成为电子 商务中最重要、最核心的问题。而身份认证技术是网络安全和信息系统安全的 第一道屏障，它是网络时代信息安全技术非常重要的一个研究领域。但是目前 大多是基于密码技术的身份认证方式，即通行字方式，也就是“用户i d + 口令 来进行用户身份的认证。这种方法具有明显的缺陷：一是难以记忆，二是难以抵 抗住字典式的攻击。 近年来，随着计算机技术和其他相关技术的发展创造的有利条件，生物识 别技术得到了迅速发展。在网络环境下的身份认证系统中，应用指纹作为身份 确认依据是比较理想的，如果将指纹识别技术和密码体制有机地结合在一起， 可以提供一种更加安全、便捷的用户身份认证技术。因此以指纹特征为代表的 生物识别技术代表着用户身份认证技术的未来，有着广阔的应用前景。 本论文主要完成了以下工作： ( 1 ) 指纹技术与电子商务安全认证的理论分析。通过分析指纹识别技术的 原理及指纹技术的特性，得出指纹识别技术在电子商务安全认证中的应用可行 性的结论；通过分析电子商务安全的威胁、电子商务安全的需求、现行的电子 商务安全的技术等，得出指纹识别技术应用在电子商务安全认证中的可能性的 结论。 ( 2 ) 本文针对电子商务的特点，分析设计了基于指纹识别的身份认证系统。 系统包括指纹注册、本地认证、远程认证子系统等模块。为了保证用户信息的 有效性和安全性，设计所有合法用户的注册过程集中在主系统的客户端进行。 远程认证子系统采用三层的c l i e n t s e r v e r 系统架构，使客户端负载降低，以适用 不同的应用环境中。对系统进行测试并分析了系统性能，显示系统性能良好。 关键字：身份认证，指纹识别，电子商务 a b s t r a c t a te - c o m m e l c ea n de - g o v e r n m e n ta p p l i c a t i o n si n c r e a s i n g l yw i d er a n g eo ft o d a y , s e c u r i t ya n dt r u s ti ne - c o m m e r c eh a sb e c o m et h em o s ti m p o r t a n ta n d t h ec o r e p r o b l e m w h i l et h ei d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g y a r en e t w o r ks e c u r i t ya n d i n f o r m a t i o ns y s t e ms e c u r i t yt h ef i r s tb a r r i e r , i ti st i m en e t w o r ki n f o r m a t i o ns e c u r i t y t e c h n o l o g yav e r yi m p o r t a n tr e s e a r c hf i e l d h o w e v e r , m o s t a r ep a s s w o r d b a s e d a u t h e n t i c a t i o nt e c h n o l o g y , t h a ti st h ew a yp a s s w o r di s u s e ri d + p a s s w o r d t ou s e r i d e n t i t ya u t h e n t i c a t i o n t h i sm e t h o dh a s o b v i o u ss h o r t c o m i n g s ：o n ec a l lh a r d l y r e m e m b e r , i ti sd i f f i c u l tt or e s i s tt w ol i v ed i c t i o n a r ya t t a c k s i nr e c e n ty e a r s ，w i t hc o m p u t e rt e c h n o l o g ya n do t h e rr e l a t e dt e c h n o l o g i e st o c r e a t ef a v o r a b l ec o n d i t i o n sf o rd e v e l o p m e n t ，b i o - r e c o g n i t i o nt e c h n o l o g yh a sb e e n d e v e l o p i n gr a p i d l y u n d e rt h en e t w o r ke n v i r o n m e n ta t t h ei d e n t i t ya u t h e n t i c a t i o n s y s t e m ，t h ea p p l i c a t i o no ff i n g e r p r i n ti d e n t i f i c a t i o na sa b a s i sf o ram o r es a t i s f a c t o r y , i ft h ef i n g e r p r i n ti d e n t i f i c a t i o nt e c h n o l o g ya n dp a s s w o r ds y s t e mc o m b i n a t i o nw o u l d p r o v i d eal l l o r es e c u r ea n dc o n v e n i e n tu s e ra u t h e n t i c a t i o nt e c h n o l o g y t h e r e f o r e r e p r e s e n t e db yf i n g e r p r i n t i n gb i o m e t r i c su s e ra u t h e n t i c a t i o nr e p r e s e n t st h ef u t u r eo f t e c h n o l o g y , w i t hw i d ea p p l i c a t i o np r o s p e c t s t h em a i nt h e s i sc o m p l e t e dt h ef o l l o w i n gw o r k ： 1 f i n g e r p r i n tt e c h n o l o g ya n de - c o m m e r c es e c u r i t yc e r t i f i c a t i o no f t h et h e o r e t i c a l a n a l y s i s b y a n a l y z i n gt h ep r i n c i p l eo ff i n g e r p r i n tr e c o g n i t i o nt e c h n o l o g y a n d f i n g e r p r i n tt e c h n o l o g yc h a r a c t e r i s t i c s ，d e r i v e df i n g e r p r i n tr e c o g n i t i o nt e c h n o l o g yi n e - c o n l m e r c es e c u r i t yc e r t i f i c a t i o n i nt h ec o n c l u s i o n so ft h ef e a s i b i l i t yo ft h e a p p l i c a t i o n ；t h r o u g ht h ea n a l y s i so fe - c o m m e r c es e c u r i t y , e o c o n l i n c t c es e c u r i t y n e e d s ， t h ee x i s t i n ge c o m m e r c es e c u r i t yt e c h n o l o g y , f i n g e r p r i n ti d e n t i f i c a t i o nt e c h n o l o g y a p p l i c a t i o n s a r r i v e i ne c o m m e r c es e c u r i t yc e r t i f i c a t i o n o ft h ep o s s i b i l i t yo f c o n c l u s i o n 2 i nt h i s p a p e r , w ea n a l y z e d a n dd e s i g n e da l li d e n t i t ya u t h e n t i c a t i o n f o r e - c o m m e r c es e c u r i t ys p e c i a l l y ac l i e n t s e r v e rm o d e li nt w o t i e rw a su s e da st h e i i i 武汉理工大学硕士学位论文 a r c h i t e c t u r eo ft h es y s t e m t h es y s t e mc o n t a i n ss e v e r a lm o d u l e ss u c ha sf i n g e r p r i n t i n f o r m a t i o ne n r o l l m e n tm o d u l e ，l o c a la u t h e n t i c a t i o nm o d u l ea n das u b s y s t e mf o r r e m o t eu s e ra u t h e n t i c a t i o n t oe n s u r et h ea v a i l a b i l i t yo fu s e r s i n f o r m a t i o n ，a l l l e g i t i m a t eb $ c r sm u s tb ee n r o l l e dc e n t r a l l y t h es u b s y s t e mo f3 - t i e ra r c h i t e c t u r ei s d e s i g nt o d e d u c el o a d so fc l i e n t s ，a n dt h e p r o c e s so ff i n g e r p r i n t sm a t c h i n gi s i m p l e m e n t e db ys e r v e r s t h ee x p e r i m e n t a lr e s u l t sr e v e a lt h a to u rs y s t e mc a na c h i e v e g o o dp e r f o r m a n c ea se x p e c t e d k e y w o r d s ：i d e n t i t ya u t h e n t i c a t i o n , f i n g e r p r i n tr e c o g n i t i o n ，e - c o m m e r c e i v 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特n j j i 以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得 武汉理工大学或其它教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 签名：多整堑!日期：超! 之：竖乡 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即： 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的 全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制 手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有 关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息 服务。 ( 保密的论文在解密后应遵守此规定) 研究生( 签名) ：墨塑 导师( 签名) ：2 茗曩- 日期 丝 里：兰：堆 武汉理t 大学硕士学位论文 1 1 研究背景及意义 第1 章引言 互联网已经深入到各个领域，传统的商品流通方式也正面临着诸多挑战。 如阿罩巴巴等知名企业都预言着电子商务浪潮的愈演愈烈。在我国，电子商务 的发展还因诸多原因而存在着各种问题，尤其是支付的安全，一直都是阻碍电 子商务更好发展的屏障。现在网上支付主要通过“用户d + 密码”的方式来实 现，有的加载了“u s bk e y ”数字签名技术，还有像支付宝等采用第三方中介。 但是因为账号信息易盗、易遗忘、易丢失等问题而给消费者带来很多困扰。基 于人体有不可复制等特点，我们逐渐注意到生物特征识别技术的应用。 相对于其它生物特征识别技术例如人脸识别及声纹识别等，自动指纹识别 是一种更为理想的身份确认技术。原因如下：每个人的指纹是独一无二且相当 固定；便于获取指纹样本，易于开发识别系统，实用性强：系统安全性高，一 个人的十指指纹皆不相同这样可以方便地利用多个指纹构成多重口令，同时并 不增加系统的设计负担；指纹识别中使用的模板并非最初的指纹图而是由指纹 图中提取的关键特征，使系统对模板库的存储量较小，而且对输入的指纹图提 取关键特征后可以大大减少网络传输的负担便于实现异地确认。综上所述，运 用自动指纹识别相对于其它方法不仅具有许多独到的信息安全角度的优点，更 重要的是还具有很高的实用性和可行性。 1 2 研究现状 生物识别技术目前已得到了迅猛的发展，用作识别的生物特征逐步地延拓。 目前主要包括：虹膜识别、面像识别、视网膜识别、掌型识别、语音识别、签 名识别、行为识别、气味识别等。其中，以虹膜识别、面像识别、视网膜识别、 掌型识别、语音识别、签名识别技术等较为成熟、应用较为广泛；而最为成熟， 应用最广，且最具有权威性的当属指纹识别技术，指纹识别是当前生物识别领 域的主角。 武汉理工大学硕士学位论文 近些年，指纹处理技术得到了很大的发展，这主要得益于现代电子集成制 造技术和快速可靠的算法研究。尽管指纹只是人体皮肤的一小部分，但用于识 别的数据量依然相当大，对这些数据进行比对也不是简单的相等与不相等的问 题，而是使用模糊匹配算法，这需要进行大量运算。现代电子集成制造技术使 得我们可以制造出相当小的指纹图像采集设备，同时，个人计算机运算速度飞 速发展，这又使得在微机甚至单片机上进行两个指纹的比对成为可能：另外， 匹配算法的可靠性也在提高。指纹识别是生物识别中的首选。 生物识别、特别是指纹技术处理在国内外取得了长足的发展与进步，在这 一过程中，以下机构做出了具有建设性的重要的工作。美国密歇根州立大学 ( m i c h i g a ns t a t eu n i v e r s i t y ，m s u ) 计算机系模式识别与图像处理实验室：在生物 识别，特别是指纹识别方面做了大量的工作，提出了很多重要的理论，在应用 中取得了明显的效果，并获得了多项专利；美国国家标准局( n a t i o n a li n s t i t u t eo f s t a n d a r d ，n i s t ) ：对指纹技术标准和相关的算法作了规范，做了很多卓有成效 的工作。意大利的b o l o g n a 大学的生物特征识别系统实验室在指纹与生物识别技 术方面也取得了很好的进展。 密歇根州立大学( m i c h i g a ns t a t eu n i v e r s i t y ) 和u n i v e r s i t yo fb o l o g n a 的专家联 合主持了f v c 2 0 0 2 ( f i n g e r p r i n tv e r i f i c a t i o nc o m p e t i t i o n ) ，推出了专门的免费的指 纹标准图库，供人们下载和使用，以对相关的指纹匹配算法进行验证、比较和 改进，这大大推进了指纹匹配算法的研究与发展。 在国内，生物识别特别是指纹信息处理的研究也开展得很广泛。众多的公 司和机构都参与了研发和应用工作。其中，中科院自动化研究所人工智能实验 室取得了最为突出的成果，获得了很多有自主知识产权的技术，他们是国内唯 一一家参与f v c 2 0 0 2 的机构：另外，北京大学，清华大学，四川大学都在指纹 识别上取得了一定的进展。 国内的应用研究与国外相比有一定的差距。目前，国外已有很多公司推出 了相当成熟而高效的算法( 从应用效果上看) ，取得了很好的经济效益。在美国较 有名的公司有v e r i d i c o m 、b i o a c c e s s 等，他们不仅开发出了精确指纹处理的硬件 设备，而且也推出了高效的匹配算法和软件，使得指纹处理更为方便和快捷， 但是，这些公司关于指纹图像预处理和匹配算法都是相当保密的。在国内从事 指纹处理研发的主要有：特中科，培富士公司，中控等数百家公司。不过，无 论是国内还是国外，指纹识别研究还基本上停留在算法层次上和本地应用上， 2 武汉理工大学硕十学位论文 用于网络的身份认证基本上停留在局域网上( 考勤系统) ，在更为广泛范围的网络 电子商务应用还没有成熟和完善，基本上处于萌芽阶段。 1 3 主要研究内容 ( 1 ) 研究目标和内容： 掌握指纹识别技术在网络电子商务身份安全认证应用方面的相关知识。 了解目前国内外指纹识别技术用于电子商务身份认证平台的常用方法。 设计一种用于电子商务的指纹识别身份认证系统的整体系统框架，分别 研究各模块化子系统的原理和实现方法。 ( 2 ) 研究解决的关键问题： 本课题针对电子商务环境对指纹识别认证系统的具体要求，解决了指纹特 征的获取，指纹特征的封装，指纹特征信息的传输，指纹模板数据的保存，指 纹特征的匹配( 验证) 等关键问题。 本论文设计了一种用于电子商务的指纹识别身份认证系统的整体系统框 架，对指纹识别、网络通信、数据库三个子系统进行了设计及方法上的研究。 指纹识别子系统部分主要从实现原理及采用的方法上进行详细阐述；网络通信 子系统部分主要介绍通信原理及实现方法，数据库子系统部分主要介绍如何实 现指纹数据的插入、查找、删除操作。采用模块化的编程方式，用客户端模块、 服务器模块、数据库模块及存储模块四个模块实现三个子系统的开发并对系统 进行了测试，提出了不足与改进方向。 武汉理工大学硕士学位论文 第2 章电子商务的安全问题和解决方案 2 1 电子商务面临的安全威胁 电子商务系统的安全需求可分为：交易环境的安全性，是指电子商务系统 所采用的软硬件环境的安全，包括系统平台、网络通讯、数据以及应用软件的 安全；交易对象的安全性，是指电子交易涉及的持卡人( 客户) 、发卡机构、商家、 收款行和支付网关等主体对象的真实性和可信性；交易过程的安全性，是指各 交易对象进行网上交易的可信性和不可抵赖性；支付手段的安全性，是指电子 资金转移的准确性、可靠性和及时性。 目前电子商务的交易环境安全，很大一部分也就是互联网的安全。概括起 来，互联网上存在的主要安全威胁有以下几种： ( 1 ) 客户端上的安全隐患 j a v a 应用程序、j a v a s c r i p t 、a c t i v e x 控件等活动内容以及插件和电子邮件的 附件中均可能带有黑客在其中安放的恶意代码。客户端用户如果启动带有这些 恶意代码的程序，则会造成包括信息泄漏和硬盘上的信息被修改等的安全威胁。 ( 2 ) 通讯信道上的安全隐患 在通讯信道上存在的安全威胁包括网络侦听、口令猜测、跟踪地址攻击等 形式。 ( 3 ) 服务器上的安全隐患 在服务器上存在的安全隐患包括操作系统的安全漏洞、数据库的安全漏洞等。 对于商务交易而言，交易对象和交易过程的安全性直接关系到交易成功与 否。电子交易活动进行的场所是因特网。但是因特网的安全性及交易双方的身 份认证还不完善，电子商务交易双方( 销售者和消费者) 都面临不同的安全威胁。 2 2 商务过程中使用的主要安全技术 针对电子商务过程所存在的各种安全隐患，人们使用了各种安全技术来保 障电子商务交易的安全。目前主要有以下技术。 4 武汉理工大学硕士学位论文 2 2 1 网络安全技术 网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全 的网络基础设施之上。网络安全涉及面比较广，如操作系统安全、各种反黑客 技术、防火墙技术、虚拟专用网v p n 技术和漏洞检测技术等。 防火墙建立在通信技术和信息安全技术之上，它用于在网络之间建立一个 安全屏障。v p n 是指在公共网络中建立一个专用网络，数据通过建立好的虚拟 安全通道在公共网络中传播。 2 2 2 加密技术 加密传输形式是一种将传送的内容变成一些不规则的数据，只有通过正确 的密钥才可以恢复原文的传输形式。现代密码体制其算法本身是公开的，原文 的保密性不再依赖于算法本身，而是依赖于密钥的保密性。在网络上，计算机 的数据以数据包的形式发送、为防止信息被窃取，应当对发送的全部信息进行 加密。 根据密钥的特点，加密算法可以分为对称密钥加密算法和非对称密钥加密 算法两类。 ( 1 ) 对称密钥加密算法是传统的加密手段。目前常用的对称密钥加密算法 有d e s 算法( d a t ae n c r y p t i o ns t a n d a r d ) 和i d e a 算法等。最著名的对称密钥加密 算法是由i b m 公司发展起来的，并经过政府的加密标准筛选后，于1 9 7 6 年1 1 月被美国政府采用。在该类算法中，信息的发送方和接收方用同一个秘密密钥 去加密和解密数据，一方用商定好的加密函数和秘密密钥加密明文，另一方用 加密函数的逆函数和同一个秘密密钥对密文解密，得到原始明文。这类加密算 法执行效率高、速度快，适合对大数据量进行加解密。但由于收发双方共享一 个秘密密钥，密钥的传递和管理很困难。 ( 2 ) 非对称密钥加密算法，又称公开密钥技术。常用的公开密钥算法有r s a 算法和e i g a m a l 算法等，其中的r s a 算法是公开密钥加密算法中比较优秀的算 法，已经得到广泛的应用。它需要使用一对密钥来分别完成加密和解密操作， 一个称为公开密钥( p u b l i c k e y ) ；另一个由用户自己秘密保存，称为私有密钥 ( p r i v a t e k e y ) 。经用户公开密钥加密的信息只能通过他的私有密钥来解密，反过 来，经用户私有密钥加密的信息也只能通过他的公开密钥来解密。当两用户通 讯时，双方都用公布的公开密钥加密而用自己的私有密钥解密，就可以实现信 武汉理工大学硕士学位论文 息的保密传输。公开密钥加密算法的优点是不需在用户之间传递私有密钥，可 以适应开放性的使用环境，但计算复杂度高，加密和解密速度都比对称密钥算 法慢得多。 ( 3 ) 混合密钥加密技术：为了充分利用公开密钥密码算法和私有密钥密码 算法的优点，解决每次传送更换密钥的问题，可以采用混合密码技术，即电子 信封技术。发送者自动生成对称密钥，用对称密钥加密发送的信息，将生成的 密文连同用接收方的公开密钥加密的对称密钥一起传送出去。收信者用自己的 私有密钥解密被加密的密钥来得到对称密钥，并用它来解密密文。这样保证每 次传送都可由发送方选定不同密钥进行，更好的保证了数据通讯的安全性。 混合密钥加密技术的加解密过程如下： 色加密方( 或发方) ；a ) 生成明文；b ) 用密钥生成算法产生特定长度的对称密 钥；使用对称密钥加密算法( d e s i d e a ) 和该对称密钥对明文进行加密，形成 密文；d ) 用收方( r s a ) 公开密钥加密对称密钥；e ) 把加密后的对称密钥和密文一 同发送给收方。 b 解密方( 或收方) ：a ) 用收方的密钥解密收到的己加密的密钥，得到未加密 的对称密钥；b ) 用a ) 中得到的对称密钥解密密文，得到明文。 从上面分析可以看出，把两者结合起来使用，就可以综合发挥两种加密体 制的优点，即d e s i d e a 高速简便性和r s a 密钥管理的方便性和安全性。也就 是说，既保证了数据安全，又提高了加密和解密的速度。 2 2 3 身份认证技术 身份认证指的是用户身份的确认技术，它是网络安全的第一道防线，也是 最重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确 认一个用户的合法性，然后确定这个用户的个人数据和特定权限。 对于身份认证系统来说，最重要的技术指标是，合法用户的身份是否易于 被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他 用户的利益。在计算机系统中，一般采用验证口令的方式来确认用户的合法性， 但是用户的口令可能由于各种原因被其它人得到，常见的途径有：( 1 ) 通过网 络窃听。很多传统的网络服务在询问和验证远程用户口令的过程中，用户口令 在网络中用明文传送，于是网络中的窃听者可以窃得用户口令；( 2 ) 通过用户 主机窃听。现在各种各样的木马程序非常多，用户一不小心，就可能将来自各 6 武汉理工大学硕士学位论文 种渠道的某个木马程序激活，然后远程的黑客通过木马程序记录用户的一举一 动，包括用户输入的口令；( 3 ) 通过简单猜测。很多用户在设置口令的时候， 为了方便自己记忆而选择过于简单的口令，攻击者通过简单猜测获得；( 4 ) 通 过系统漏洞泄漏。存放和验证口令的计算机系统可能存在其他方面的漏洞，黑 客利用这些漏洞进入系统，获取用户和口令文件，然后使用专门的工具强行破 译用户口令；( 5 ) 用户自己泄漏。用户自己可能将口令告诉别人，或者存放在 其他地方，被别人获取。 在计算机网络系统中，现有的用户身份认证基本技术基本可以分为以下三 类，即口令认证，安全物品认证和生物认证。 2 2 4c a 认证技术 c a 认证中心是一个确保信任的权威实体，它的主要职责是颁发证书、验证 用户身份的真实性。也可以把c a 看成是一个电子护照的颁发中心。由c a 签发 的网络用户电子身份证明，任何相信该以的人，按照第三方信任原则，也都应 该相信持有证明的用户。c a 注册机构是用户和c a 的接口，它所获得的用户标 识的准确性是c a 颁发证书的基础。用户通过向c a 注册登录，提供自己的个人 信息资料，获得c a 认可后由c a 生成此用户的标识符，提供给c a 生成唯一标 识此用户的数字证书。 密钥管理为了确保数据的安全性，自动更新密钥、恢复意外损坏( 比如硬盘 等物理介质突然损坏) 或丢失的密钥。有时也会出现一个已颁发证书不再有效的 情况。如果这个证书还没有到期，就需要进行证书撤销。 2 2 5 数字摘要技术、数字信封技术、数字签名技术、数字证书技术 公钥密码体制在实际应用中包含以下几种安全技术方式： ( 1 ) 数字摘要技术：就是单向哈希( h a s h ) i g i 数技术，它除了可用于前面所 讨论的数字签名之外，还可用于信息的完整性检验和各种协议的设计等。 ( 2 ) 数字信封技术：是利用数据接受者的公钥进行加密，保证只有规定的 收信人才能阅读信的内容。在数字信封中，信息发送方使用密码对信息进行加 密，再利用公开密钥加密算法( 如r s a ) 对该密码进行加密，被公开密钥加密算法 加密的密码部分称数字信封。 ( 3 ) 数字签名技术：发送者用自己的私有密钥加密数据传给接收者，接收 7 武汉理工大学硕士学位论文 者用发送者的公钥解开数据后，就可确定消息来自于谁。同时也是对发送者发 送的信息的真实性的一个证明，发送者对所发信息不能抵赖。数字签名能够实 现以下功能：1 ) 收方能够证实发方的真实身份；2 ) 发方事后不能否认所发送过的 报文；3 ) 收方和非法者均不能伪造、篡改报文；( 4 ) 数字证书技术：数字签名和 公开密钥加密技术都会面临一个公开密钥的分发问题，即如何把一个用户的公 钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统 必须是值得信赖的。 数字证书作为网上交易双方真实身份的依据，是一个经证书授权中心数字 签名的、包含证书申请者个人信息及其公开密钥的文件。基于公开密钥体制的 数字证书是电子商务安全体系的核心，并由可信任的、公正的权威机构c a 颁发。 2 2 6 智能卡技术 智能卡，即i c 卡，又称“集成电路卡一，英文名称为“i n t e g r a t e dc i r c u i tc a r d ， 是将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中制作而 成，它包含了微电子技术和计算机技术，是一种成熟的高技术产品。它可以在 浏览器下高速完成身份认证、安全通讯和数字签名等操作。使用智能卡方法是 当前国际上公认的网络信息安全中最好的用户端解决方案。 2 3 电子安全交易体系 2 3 1 公开密钥基础设施 公开密钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，简称p k i ) 是通过使用公开密钥 技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种 体系。 p k i 是一个利用现代密码学的公钥密码技术，并在开放的因特网网络环境中 提供数据加密以及数字签名服务的、统一的技术框架，是电子商务安全问题的 关键和基础技术。p k i 通过认证中心和数字证书管理用户的密钥，让用户可以在 多种应用环境下使用加密或数字签名，从而实现传输数据的安全。它能够有效 地解决电子商务中的机密性、真实性、完整性、不可否认性和存取控制等安全 问题。应用p k i 技术，可以建立一个可信任和足够安全的网络系统，达到了交 易之保密、身份认证、交易资料完整、交易的不可否认性四大需求。p k i 是一种 8 武汉理工大学硕士学位论文 采用非对称加密算法的密钥管理平台，它能够为所有网络应用提供加密和数字 签名等密码服务及所必需的密钥和证书管理。在p k i 技术中使用的非对称加密 算法有很多，但目前得到广泛使用的是r s a 算法。用r s a 算法进行数字签名传 统的数据加密方法只能防止第三者获得真实数据，而数字签名则可以解决否认、 伪造、篡改及冒充等问题。 签名和验证过程如下：发送方首先用公开的单向函数对报文进行一次变换， 得到数字签名，然后利用私有密钥对数字签名进行加密并附在报文之后一同发 出：接收方用发送方的公开密钥对数字签名进行解密变换，得到一个数字签名 的明文，发送方的公钥是由认证中心发布的；接收方将得到的明文通过单向函 数进行计算，同样得到一个数字签名。再将两个数字签名进行对比。如果相同， 则证明签名有效，否则无效。这种方法使任何拥有发送方公开密钥的人，都可 以验证数字签名的正确性。 p k i 由认证中心( c a ) 、数字证书库、密钥备份及恢复系统、证书作废系统、 应用接口等部分构成。c a 是p k i 的关键组成部分，负责数字证书的生成、分发 和撤消，通过认证过程将一个公钥与一个实体联系起来。p k i 的基本内容主要包 括以下几个方面：( 1 ) 认证机构，是p i g 的核心，主要的作用是发行数字证书 来证明用户一密钥对的合法性，同时还负责管理和维护证书数据库；( 2 ) 证书 和密钥的管理，其中包括证书的撤销和重新发放、密钥的备份和恢复、密钥的 自动更新等：( 3 ) 客户端软件：是满足客户提出的p k i 请求，让客户享受p 服务的必要条件。没有客户端软件，再好的p k i 系统对于用户而言都是毫无用 处的。 无论什么样的加密系统都有它脆弱的一面。整个p k i 体系的功能是非常强 大的，但是这都是建立在私钥必须保密的基础之上。一旦私钥泄露，那么整个 体系的安全基础将不复存在。 2 3 2s e t 体系 s e t 协议是世界上两家最大的信用卡公司m a s t e rc a r di n t e r n a t i o n a l 和v i s a i n t e r n a t i o n a l 合作开发的。由于它是专门针对电子交易设计的，能较好的解决了 认证和安全问题，所以很快被行业接受。在s e tc a 认证体系中，认证中心是整 个系统的安全核心。s e t 所颁发的数字证书主要有持卡人证书、商户证书和支 付网关证书。在证书中，利用x 5 0 0 来确定s e t 交易中所涉及的各参与方。s e t 9 武汉理工大学硕士学位论文 c a 是一套严密的认证体系，可保证b t o c 类型的电子商务安全顺利地进行。s e t 定义了个完备的电子交易流程，较好地解决了电子交易各方之间复杂的信任 关系和安全连接，确保了电子交易中信息的真实性、保密性、防抵赖性和不可 更改性。 s e t 支付系统参与者：( 1 ) 持卡者：在电子商务环境中，消费者通过计算机 与商家交互，持卡者使用一个发卡行发行的支付卡；( 2 ) 发卡行：指一个金融机 构，为持卡者建立一个帐户并发行支付卡；( 3 ) 商家：提供商品和服务，在s e t 中，商家与持卡者进行安全电子交易；( 4 ) 收单行：一个金融机构，为商家建立 一个帐户并处理支付卡授权和支付；( 5 ) 支付网关：一个由收单行操作的设备或 者指定的第三方，用于处理支付卡授权和支付；( 6 ) 第三方：发卡行和收单行有 时指定第三方来处理支付卡交易，对持卡人、商家和支付网关发放数字证书， 供交易中的所有成员作为身份证明。 一个完整的s e t 交易包括了以下步骤：( 1 ) 向提供s e t 交易服务的发卡行 提出申请，发卡行取得信用卡相关数据确认无误后，发“数字证书 给持卡人； ( 2 ) 同样的商店向其以取得数字证书，再通过s e t 测试取得“s e t 特约商店 商标；( 3 ) 持卡人进入商店w e b 站点选择所购货物，填写订单信息；( 4 ) 选择 完毕后结帐，把订单和信用卡信息加密传递给商店( 双重签字) ；( 5 ) 商店将信用 卡加密数据原样通过支付网关传洽收单行，以检查信用卡是否有效：( 6 ) 收单 行向发卡行确认信用卡数据无误后，向商店发出确认信息，此时商店可以放心 接下订单而向购物者发送订单成立信息；( 7 ) 到结帐日，发卡行向购物者发放 信用卡帐单，商家以信用卡授权码向收单行划款。 s e t 协议使用加密技术提供信息的机密性，保证支付的完整性，验证商家 和持卡者。 支付安全的目标是：验证持卡者、商家和收单行，为支付数据提供机密性； 保护支付数据的完整性；为这些安全服务定义算法和协议。s e t 的目标是通过 因特网采用安全方式与第三方支付机构建立联系。s e t 要求支付网关和商家采 用公钥和私钥对，建议持卡者也采用公钥和私钥对。 2 4 电子商务身份认证的几种实现方式 身份认证可以依靠三种基本途径：用户所知道的某个秘密信息、用户所拥 1 0 武汉理工大学硕士学位论文 有的东西、用户所具有的某些生物特征实现，也可以是上述三种方式的组合。 2 4 1 用户所知道的某个秘密信息 主要包括基于口令的认证和基于密码体制的身份认证。最传统的方法是系 统事先保存每个用户的二元组信息( i d x ，p w x ) ，进入系统时用户x 输入i d x 和 p w x ，系统根据保存的用户信息和用户输入的信息相比较，从而判断用户身份 的合法性。 这种方法操作十分简单，但同时又最不安全，因为其安全性仅仅基于用户 口令的保密性。缺点在于：用户口令如果较短则容易猜测，因此不能抵御口令 猜测攻击；如果过长，则使得用户记忆时不方便；口令的明文传输使得系统攻 击者很容易通过搭线窃听方法获取用户口令；由于系统保存的是口令的明文形 式，一方面需要系统管理员是可信赖的，另一方面，一旦攻击者能够访问口令 表，整个系统的安全性就受到了威胁。 2 4 2 认证令牌 认证令牌是一个用户随身携带的设备，用户使用这一设备来实施认证。认 证令牌属于“用户所拥有的东西”这类认证机制。当前常见的认证令牌的形式 是带磁片条的信用片。认证令牌缺点在于：每个访问点需要配置硬件( 读片器等) 以保证读取令牌信息；令牌可能丢失或被盗。为安全起见，令牌必须带有p i n 或口令。相应的，必须有方便的方法来解决忘记口令的问题；无法抵抗通信侦 听。 另一种认证令牌是智能片。智能片里面嵌入了一个c p u 和内存，当其插入 智能片读片器时，该片与读片器进行对话。目前主要有以下几种智能片：有p i n 值保护的内存片和密码挑战响应片。 2 4 3 生物特征认证 生物特征认证拥有传统密码认证和令牌认证所不具有的很多优势，生物特 征直接隶属于认证人，与认证人完全绑定，不会被遗忘，不可外借，在实践中 也不易伪造。在实际应用中，还需要考虑几个重要因素，包括：性能，指对 生物特征识别的准确度和速度；可接受性，指实际应用中使用者愿意接受生 物特征识别的程度；安全性，指系统抗拒欺骗手段的能力。 武汉理工大学硕士学位论文 第3 章指纹识别技术分析 3 1 指纹识别的历史与发展 1 9 世纪初，科学研究发现了至今仍然承认的指纹的两个重要特征，一是两个 不同手指的指纹纹脊的式样不同，另外一个是指纹纹脊的式样终生不变( 即指纹的 唯一性和不变性) 。这个研究成果使得指纹在犯罪事件的鉴别中得以正式应用。 2 0 世纪6 0 年代，由于计算机可以有效地处理图形，人们开始着手研究利用 计算机来处理指纹。从那时起，自动指纹识别系统a f i s 在法律实施方面的研究 和应用在世界许多国家展开。 到了2 0 世纪8 0 年代，个人电脑、光学扫描这两项技术的革新，使得它们 作为指纹取像的工具成为现实，从而使指纹识别可以在其他领域中得以应用。 现在；随着取像设备的引入及其飞速发展，生物指纹识别技术的逐渐成熟，可 靠的比对算法的发现都为指纹识别技术提供了更广阔的舞台。 对生物识别技术来说，被广泛应用意味着它能在影响亿万人的日常生活的 各个地方使用。通过取代个人识别码和口令，生物识别技术可以阻止非授权的 “访问，可以防止盗用a t m 、蜂窝电话、智能片、桌面p c 、工作站及其计算 机网络；在建筑物或工作场所生物识别技术可以取代钥匙、证件、图章等；在 通过电话、网络进行的金融交易时进行身份认证。 3 2 指纹的两个特性 指纹的两个重要特征：一是两个不同手指的指纹纹脊的式样不同，另外一 个是指纹纹脊的式样终生不变。 ( 1 ) 唯一性 指纹具有很明显的特定性。据指纹学理论，两枚指纹匹配上1 2 个特征的几 率为l o 一，至今尚找不出两个指纹完全相同的人。不仅人与人之间，就是同一个 人的十指之间，指纹也有明显的区别，指纹的这一特点，为指纹用于身份鉴定 提供客观根据。 1 2 武汉理工大学硕士学位论文 ( 2 ) 不变性 指纹具有很强的相对稳定性。尽管随着人体年龄的增大，指纹在外型大小， 脊纹粗细上会有变化，局部脊纹之间也可能出现新的细线，但从总体上看，同 一指的指纹脊纹类型、细节特征的总体布局等始终无明显变化。 正是指纹具有这两大原理：唯一性和不变性，才奠定了现代指纹识别的基 础，开创了利用指纹来进行科学识别人类个体的新纪元。 3 3 指纹识别技术的工作原理 3 3 1 指纹识别的基本原理 指纹识别技术主要涉及四个功能：读取指纹图像、提取特征、保存数据和 比对。 首先，通过指纹读取设备读取到人体指纹的图像，取到指纹图像之后，要 对原始图像进行初步的处理，使之更清晰。接下来，指纹辨识软件建立指纹的 数字表示特征数据，可以从指纹转换成特征数据。软件从指纹上找到被称 为“节点 的数据点，也就是那些指纹纹路的分叉、终止或打圈处的坐标位置， 这些点同时具有七种以上的唯一性特征。因为通常手指上平均具有7 0 个节点， 所以这种方法会产生大约4 9 0 个数据。有的算法把节点和方向信息组合产生了 更多的数据，这些方向信息表明了各个节点之间的关系，也有的算法还处理整 幅指纹图像。总之，这些数据，通常称为模板，保存为1 k 大小的记录。最后， 通过计算机模糊比较的方法，把两个指纹的模板进行比较，计算出它们的相似 程度，最终得到两个指纹的匹配结果。 3 3 2 取得指纹图像 取像设备分成两类：光学、硅晶体传感器和其他。光学取像设备依据的是 光的全反射原理。由于最近光学设备的革新，极大地降低了设备的体积。 应用晶体传感器是最近在市场上才出现的，这些含有微型晶体的平面通过 多种技术来绘制指纹图像。电容传感器通过电子度量被设计来捕捉指纹。电容 设备能结合大约1 0 0 ，0 0 0 导体金属阵列的传感器，其外面是绝缘的表面，当用户 的手指放在上面时，皮肤组成了电容阵列的另一面。电容器的电容值由于金属 间的距离而变化，这里指的是脊( 近的) 和谷( 远的) 之间的距离。压感式表面的顶 1 3 武汉理工大学硕士学位论文 层是具有弹性的压感介质材料，他们依照指纹的外表地形( 凹凸) 转化为相应的电 子信号。温度感应传感器被设计为感应压在设备上的脊和远离设备的谷温度的 不同。 超声波扫描被认为是指纹取像技术中非常好的一类。超声波扫描指纹的表 面，接收设备获取了其反射信号，测量他的范围，得到脊的深度。不像光学扫 描，积累在皮肤上的脏物和油脂对超声波获得的图像影响不大，所以这样的图 像是实际脊地形( 凹凸) 的真实反映。 在晶体传感器之前，一些没有用到的机能是局部调整、软件控制、自动获 取控制技术。光学扫描也有自己的优势。其中之一在较大的模型可以做较大指 纹取像区域。而制造较大的应用晶体传感器的指纹取像区域是非常昂贵的，所 以应用晶体传感器的指纹取像区域小于l 平方英寸，而光学扫描的指纹取像区 域等于或大于l 平方英寸。然而这个对于较小的光学扫描设备并不是优势。较 小的光学扫描也是较小指纹取像区域，这是因为较大的指纹取像区域需要较长 的焦点长度，所以要有较大包装，否则如果较大的取像区域使用较小的包