（计算机应用技术专业论文）指纹加密技术在网络身份认证中的研究.pdf

湖北工业大学硕士学位论文 摘要 网络安全是目前信息系统应用的一个重要研究方向，而身份认证技术是能够 对信息收发方进行真实身份鉴别的技术。因此，如何确定用户身份以控制用户对 信息资源的访问，是一个值得研究的问题。 在分析和比较了各种身份认证技术的优劣后发现，本文对网络加密体制与指 纹识别技术进行了深入的探讨，设计了一种基于指纹加密技术的网络身份认证协 议，构建了一个基于此协议的身份认证系统，具体工作内容如下： 1 研究了一种基于指纹中心点的指纹匹配算法，该算法将指纹的中心点来确 定指纹匹配时的参考点，指纹的中心方向为初始方向，在此基础上所有的特征点用 极坐标表示。该方法降低计算量，并提高了匹配的准确性； 2 设计了一种基于指纹加密技术的网络身份认证协议，并介绍了一个网络环 境下的身份认证系统的原理、体系结构。根据目前指纹自动识别系统的性能指标， 可以相信这种机制完全能够达到用户网络通信所要求的安全性与有效性。 3 阐述了指纹注册子系统、指纹认证子系统的身份认证协议，包括其协议要 求、协议描述和协议的安全性分析。 关键词：指纹识别，网络身份认证，加密，协议 湖北工业大学硕士学位论文 a b s t r a c t i n t e m e ts e c u r i t yi sv e r yl m p o r t a n ti ni n f o 咖a t i o ns y s t e n l ， w h i l e ，a u t h e n t i c a t i o n sa t e c l m o l o g yw h i c hc a nv 甜母m ev a l i db e t w e e ns e n d e ra n dr e c e i v e r i ti se x t r 锄e i m p o r t a n ti ns e c u r i t ys y s t e mw h i c hc o n t r o lu s e rt ov i s i tr e s o u r c e t h e r e f o r e ，h o wt o d e c i d et h ev a l i du s e ri sap r o b l e mw h i c hi su s e 如lt ob er e s e a r c h e do n a r e re v a l u a t i n gt h em e r i ta n dt h e d i s a d v a n t a g e s o fs o m ea u t h e n t i c a t i o n m e c h a n i s m ，“sp a p e rd i s c u s s e st h e e n c r y p t 撕t h m e t i ca n df i n g e 印r i n t b a s e d a u t h e n t i c a t i o nt e c t u l o l o g y ， d e s i 印saa u m e n t i c a t i o np r o t o c o l b a s e do nf i n g e 叩r i n t e n c r y p t i o na l g o r i t h m ， d e v e l o p sas o l u t i o nb a s e d o nm i sp r o t o c 0 1 t h ec o n t e n t so ft h e p 印e ra r e1 i s t e da sf o l l o w ： 1 r e s e a r c haf i n g e 印d n tm a t c l l i n ga l g o r i t h mb a s e do nt h ef i n g e 印r i n tc o r e a l l m i n u t e sa r ep r e s e n t e db yt h ep o l a rc o o r d i n a t i o n t h ea p p r o a c hd e c i d e st h ep o i n to f r e f e r e n c ea c c o r d i n gt ot h ec o r ea n dl o o k st h ec e n t e ro r i e n t a t i o n sa st h eo 百n a l o r i e n t a t i o n s t h i sa p p r o a c hc a na c c e l e r a t et h em a t c h i n gp r o c e s sa i l di m p r o v et h e m a t c h i n gp r e c i s i o n 2 d e s i g na na u t h e n t i c a t i o np r o t o c 0 1b a s e do nf i n g e 印r i n te n c r y p t i o n i n t l 。o d u c ea a u t h e n t i c a t i o nt h e o r yu n d e ri n t e m e t a c c o r d i n g t om e c 印a b i l i t y o fa u t o m a t i c f i n g e 叩r i n tv 谢f i c a t i o ns y s t e mn o w a d a y s ， w ec a nb e l i e v et h em e t h o dt h a tc a np r o v i d e t h es e c u r i t ya j l dv a l i dt ou s e r s 3 d e s 翻b et h ep r o t o c o lo ft h ef i n g e 叩r i n tr e 西s t e rs y s t 锄锄da u m e i l t i c a t i o n s y s t e m ，i n c l u d i n gp r o t o c o lr e q u i r e ，d e s 嘶p t i o na n da n a l y s to ft h es e c u r i t y k e y w o r d s ：f i n g e 删n ti d e n t i f i c a t i o n ，n e m o r ka u t h e n t i c a t i o nm e c h a i l i s m ， e n c r y p t i o n ， p r o t o c o l 湖班j 堂大謦 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体己经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 -， 学位论文作者签名：厉厶勿砟易芗 日期： 2 0 0 8年5 月1 6日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 lij 学位论文作者签名：弘勿哇纺指导教师签名：z 乒参乃 日期：2 0 0 8 年5 月1 6 日日期：2 0 0 8 年5月1 6 日 湖北工业大学硕士学位论文 1 1 研究背景及意义 第1 章引言 当前，随着计算机网络的广泛应用，其安全性越来越引起人们的高度重视， 近年来在世界范围内疯狂传播的计算机病毒及各种计算机犯罪，正是利用了系统 内一些不引人注目的漏洞或系统在安全性方面的缺陷进行的破坏性活动。因此， 计算机网络系统的安全性研究日益成为国内外学者和计算机用户共同关心的一 个问题。 按照现在通行的观点，网络安全涉及到五个方面的内容随1 ：网络硬件的安全、 操作系统的安全、用户的安全、应用程序的安全以及数据的安全。用户身份认证 是网络信息系统的第一道安全屏障，也是保证其他内容安全的重要手段，因此， 设计一种安全的网络身份认证机制具有十分重要的现实意义。 1 2 研究方向和现状 指纹识别应用在网络环境进行身份认证主要面临两个问题口1 ：指纹特征的获 取和身份认证协议的设计。获取指纹特征值的研究重点在于指纹预处理算法和特 征提取算法，另外，为了保证认证数据在网络上的安全传输，设计一种安全有效 的身份认证方案也是非常必要的。 为了避免指纹特征数据在网络上的明文传播，有人提出将指纹信息与随机密 钥生成相结合的解决方案啪1 ，但是如何在用户和认证服务器间实现密钥的共享， 仍是一个需要解决的问题。本文在深入的探讨了网络加密体制和指纹识别技术之 后，将指纹识别和网络公钥、对称加密技术结合起来，提出了一种基于指纹加密 技术的网络身份认证协议，保证了指纹特征信息在网络传输中安全性，并且构建 了一个基于此协议的网络身份认证系统。 目前比较成熟的指纹身份认证方式主要有：单机指纹身份认证( 考勤系统、计 算机登录认证等) ：局域网络指纹身份认证( 网路、数据库和文件的安全控制) ：公 众网上的指纹认证( 电子商务和网上银行的安全认证等) 。基于指纹的网络身份认 证技术目前主要应用在两个方面： 1 计算机网络安全管理中的应用。将指纹识别与其他认证技术结合起来，确 定用户身份，进行计算机网络安全管理，保证网络通信平台的安全。要保证指纹 湖北工业大学硕士学位论文 身份认证的安全性，主要是确保指纹认证特征信息数据库的安全以及传输途中的 指纹数据安全。目前多采用单向函数( h a s h ) 保护特征信息。 2 公开密钥、证书管理中的应用。k d c ( 密钥分配中心) 利用指纹作为身份认 证的依据对用户的公开密钥进行分配和管理：用户也可以通过指纹身份认证向证 书认证中心( c a ) 提出证书的申请。 1 3 作者的主要工作 网络安全是目前信息系统应用的一个重要研究方向，而身份认证技术是能够 对信息收发方进行真实身份鉴别的技术，是保护网络信息资源安全的第一道大 门，在安全系统中的地位极其重要，如何确定用户身份以控制用户对信息资源的 访问，是一个值得研究的问题。 然而，在现有的大多数基于生物特征的身份认证技术中，认证信息几乎都是 以明文形在网络上传播，指纹识别技术也不例外。从系统的角度看，指纹特征值 仅仅是一个比特串，与任何其他的密钥没有什么不同。在网络上，如果没有任何 保护措施，基于指纹的身份认证系统同样对重发攻击没有免疫力，而且极容易被 非法用户窃取。因此，本文对网络加密体制与指纹识别技术进行了深入的探讨， 提出利用指纹作为身份认证的依据并结合公钥、对称加密体制以实现网络信息安 全传输的认证方案，设计了一种基于指纹加密技术的网络身份认证协议，构建了 一个基于此协议的身份认证系统，具体工作内容如下： 1 在比较各种常用算法的基础上研究了一种基于指纹中心点的指纹匹配算 法，该算法将指纹的中心点来确定指纹匹配时的参考点，指纹的中心方向为初始 方向，在此基础上所有的特征点用极坐标表示。该方法降低计算量，并提高了匹 配的准确性； 2 设计了一种基于指纹加密技术的网络身份认证协议，并介绍了一个网络环 境下的身份认证系统的原理、体系结构、认证协议与用户认证、注册信息的安全 管理。根据目前指纹自动识别系统的性能指标，可以相信这种机制完全能够达到 用户网络通信所要求的安全性与有效性。 3 阐述了指纹注册子系统、指纹认证子系统的身份认证协议，包括其协议要 求、协议描述和协议的安全性分析。 1 4 本文的章节安排 在本人看来，真正安全可靠的网络个人身份认证，必须具有这样两个特性： ( 1 ) 确保客户端和服务端之间的网络通道安全可靠； 2 湖北工业大学硕士学位论文 ( 2 ) 基于安全网络通道之上，通过个体生物特征来鉴别客户端用户。 以这两个特性为目标，本文探讨了一种基于安全通道基础上，通过指纹来识 别客户端个体的网络身份认证方案，它能完美地实现网络个人身份认证。本文的 主要章节安排如下： 第二章对目前网络身份认证技术进行了比较，总结了现有的身份认证技术的 主要特点和存在的缺陷；第三章简单介绍指纹识别技术，并提出一种基于中心点 的指纹匹配算法；第四章概述了本文探讨的基于指纹识别的网络身份认证系统设 计及细节实现；第五章主要论述指纹注册子系统、指纹认证子系统的身份认证协 议，包括其协议要求、协议描述和协议的安全性分析。 3 湖北工业大学硕士学位论文 第2 章当前网络加密算法与身份认证技术 2 1 网络安全发展现状 随着信息的多元化及数字化的迅猛发展，信息安全技术越来越显示其重要地 位，而且信息安全技术应用水平的高低直接影响了信息高速公路建设的进一步发 展。近二十年来，由于计算机硬件处理能力的极大提高和密码学的迅速发展，信 息安全理论与技术也得到了丰富和逐步完善。计算机网络安全是指利用网络管理 控制和技术措施，保证在网络环境里信息数据的机密性、完整性及可使用性受到 保护。当前保护网络安全的主要方法和途径有阳川： 1 防火墙技术：采用隔离控制技术，在内部网和外部网之间构成一道屏障， 监测、限制、更改通过它的数据流，对外屏蔽内部网的信息、结构和运行状况， 防止发生网络入侵和攻击，实现对内部网的安全保护。 2 加密技术：加密是通过对信息的重新组合，使得只有收发双方才能解码还 原信息。在网络应用中一般采用两种加密方法，即对称加密和非对称加密。 3 数字签名：通过散列函数获取明文的消息摘要，用发送端私钥加密消息摘 要，形成数字签名，以此保证数据完整性和真实性。 4 身份认证：计算机系统的用户在进入系统或访问不同保护级别的系统资源 时，系统确认该用户的身份是否真实、合法和唯一。身份认证技术是网络安全理 论与技术的一个重要方面，它是系统的第一道防线，通过鉴别用户身份，限制非 法用户访问网络资源。本文集中针对网络安全中的身份认证技术及应用进行研 究。 2 2 网络加密算法概述 加密是一种主要的，也是最常用的安全保密措施。加密技术包括2 个元素： 算法和密钥。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法， 也就是将普通的文本与一串数字( 密钥) 相结合，产生不可理解的密文的步骤；密 钥是用来对数据进行编码和解码的一种算法。目前加密技术主要有2 大类：“对 称式”和“非对称式 口1 。 4 湖北工业大学硕士学位论文 2 2 1 对称式加密 “对称式 加密就是加密和解密使用同一个密钥，对称加密算法使用起来简 单快捷，这种加密技术目前被广泛采用，一般用于传送内容加密。此时，信息的 发送者和信息的接收者持有同一密码( 称为对称密码) 。对称密码体制加密算法简 便高效，密钥简短，破译极其困难。但是，由于系统的保密性主要取决于密钥的 安全性，所以在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。 如图2 1 所示。最常见的对称加密系统有：数据加密标准( d e s ) ，高级加密标准 ( a e s ) ，三重d e s ，国际数据加密算法( i d e a ) 等。 图2 1 对称加密系统 1 d e s ( u sf e d e r a ld a t ae n c r y p tio ns t a n d a r d ) d e s 算法是全世界最广泛使用的加密算法。作为美国政府的数据加密标准， 其应用范围非常广泛。d e s 是一种分组加密体制，它将明文按6 4 位一组分成若 干组，密钥长度为5 6 位。其基本思想是采用变换的组合与迭代，将明文中的各 组明文变成密文组。 2 三重d e s 三重d e s 算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到1 2 8 比特( 1 1 2 比特有效) 或1 9 2 比特( 1 6 8 比特有效) 。这种方法的缺点是系统花费是 原来的三倍，加密速度变慢。但经过优化的三重d e s 算法加密效率和d e s 差不多， 三重d e s 的1 1 2 位密钥长度是很“强壮”的加密方式了。 3 i d e a ( i n t e r n a t i o n a ld a t ae n c r y p t i o na 1 9 0 r i t h m ) i d e a 是在瑞士苏黎世开发的一种算法，这个算法被认为非常安全。这是目 前世界上最好的公丌的加密算法，也是一种比较新的算法。i d a e 的密钥长度是 1 2 8 位，比d e s 长了2 倍多。由于在设计时己经考虑到了如差分攻击等密码分析 的威胁，所以至今还未发现比较成功的攻击i d e a 的方法。从这点来看，i d e a 还 是很安全的。 4 a e s ( a d v a n c ee n c r y p t i o ns t a n d a r d ) a e s 算法是对称加密的迭代分组密码，它的输入分组、输出分组以及加解 密过程中的中间分组都是1 2 8 比特。密钥的长度为1 2 8 ，1 9 2 或2 5 6 比特。a e s 5 湖北工业大学硕士学位论文 的输出具有很高的随机性，对1 2 8 比特、轮数为7 的密文进行攻击时需要几乎整 个的密码本，对1 9 2 、2 5 6 比特加密的密文进行攻击不仅需要密码本，还需要知 道相关的但并不知道密钥的密文，具有很高的安全性。a e s 解密的密码表和加密 的密码表是分开的，支持子密钥加密，这种做法优于最初的用一个特殊的密钥解 密，很容易防护幂攻击和同步攻击，加密和解密的速度也很快。几种算法的性能 比较见表2 1 。 表2 1 对称加密算法的性能比较 2 2 2 非对称式加密 “非对称式 加密就是加密和解密所使用的是2 个不同的密钥，称为“公钥” 和“私钥”，它们2 个必需配对使用，否则不能打开加密文件，如图2 2 所示。 这里的“公钥是指可以对外公布的，“私钥”则不能，只能由持有人本人知道， 通信双方无需事先交换密钥就可以进行保密通信。这两个密钥之间存在着相互依 存的关系，即用其中任一个密钥加密的信息只能用另一个密钥进行解密。若以公 钥作为加密密钥，以用户专用密钥( 私钥) 作为解密密钥，则可实现多个用户加密 的信息只能由一个用户解读。反之，以用户私钥作为加密密钥而以公钥作为解密 密钥，则可以实现由一个用户加密的信息可由多个用户解读。前者可用于数字加 密，后者可用于数字签名。非对称加密算法的保密性比较好，它消除了最终用户 交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而 只适用于对少量数据进行加密。常用的公钥密码体制有r s a 和椭圆曲线公钥密码 体制等。 6 湖北工业大学硕士学位论文 图2 2 非对称加密系统 1 r s a ( r i v e s t s h a m i r a d l e m a n ) r s a 是使用最多的公开密钥算法，能够被应用在加密和数字签名中。它是由 美国麻省理工学院的r i v e s t 、s h a m i r ：和a d l e m a n 三人研究小组于1 9 7 8 年提出 的。r s a 算法的安全性基于数论中大素数分解的困难性，所以，r s a 需采用足够 大的整数。因子分解越困难，密码就越难以破译，加密强度就越高。r s a 体制是 一种分组密码，其明文和密文均是0 至，l l 之间的整数，通常刀的大小位1 0 2 4 位二进制数或3 0 9 位十进制数，也就是说，咒小于2 1 0 2 4 。 r s a 的加密解密表达式可以表示为： c = m 。m o d 刀 m = c d m o d 刀= ( 彳。) dm o d 刀= m dm o d 咒 其中m 为明文数据块，c 为密文数据块，收发双方均己知玎，发送方己知p ， 只有接收方已知d ，因此加密算法的公钥为p 【，= p ，以) ，私钥为艘= ，刀) 。该 算法作公钥加密，必须满足下列条件： 1 可以找到e ，d ，和以，使得对所有m 厅，有m 耐n l o d 甩= m 。 2 对所有m 刀，计算m 。m o d 厅和c 。m o d 刀是比较容易的。 3 由p 和，l 确定d 是不可行的。 r s a 算法如图2 3 所示： 7 湖北工业大学硕士学位论文 图2 3r s a 算法 r s a 的安全依赖于大整数分解的难度。因数分解的快速发展将导致r s a 出现 问题。不过，目前r s a 是世界上普遍应用的公开密钥算法。但是，r s a 对于c h o s e n p 1 a i nt e x ta t t a c k 非常脆弱，并且新近发展的t i m i n ga t t a c k 够用来破解很多 r s a 的具体实现。如果对r s a 进行正确的应用，可以缔造一个很安全的系统，但 是一定要注意避免上述这两类攻击。 2 d i f f i e h e l l m a n 该算法是一个被普遍应用在密钥交换的公开密钥算法，目的是使两个用户能 安全的交换密钥，以便在后续的通信中用该密码对信息加密，因此它只能用于密 钥交换，不能用来加密。 d i f f i e h e l l m a n 算法的有效性是建立在计算离散对数很困难的这一基础上 的。在这种方法中，素数g 和其本原根口是两个公开的整数。假定用户a 和用户 b 希望交换密钥，那么用户a 选择一个随机整数髟 g ，并计算匕= 口山m o d g 。 类似的，用户b 也独立地选择一个随机整数 g ，并计算匕= 口如m o d g ，a 和 b 保持x 是私有的，但对另一方而言，y 是可以公开访问的。用户a 计算 k = ( 匕) 以m o d g ，并将其作为密钥，用户b 计算k = ( 匕) 如m o d g 并将其作为密 8 湖北工业大学硕士学位论文 钥。这两种计算所得的结果是相同的。d i f f i e h e l l m a n 密钥交换算法如图2 4 所示： 图2 4d i 衔e h e l l m a n 密钥交换算法 当采用了足够长的密钥和合适的发生因子时，这个加密算法很安全。 d i f f i e h e l l m a n 算法依赖于离散对数的困难度( 这和大整数分解因数一样，都非 常困难) 。 在实际应用中，普遍采用对称加密与非对称加密相结合的方法口引，即用非对 称加密体系传送加密密钥，再采用对称加密体系传送信息。但是，不管用何种密 码体制，或者二者相结合的方式，都需要安全稳妥的保存密钥。 2 3 身份认证综述 2 3 1 认证的定义 认证就是确认实体是它所声明的n 。用于一个特定的通信过程，即在此过程 9 湖北工业大学硕士学位论文 中需要提交实体的身份。认证是最重要的安全服务之一，认证服务提供了关于某 个实体身份的保证，所有其它的安全服务都依赖于该服务。认证可以对抗假冒攻 击的危险。 2 3 2 认证的两种情形 1 实体认证 实体认证是某一实体确信与之打交道的实体正是所需要的实体，只是简单地 认证实体本身的身份，不会和实体想要进行何种活动相联系。身份由参与某次通 信连接或会话的远程参与者提交。这种服务在连接建立或在数据传送阶段的某些 时刻提供使用，使用这种服务可以在使用时间内确信，一个实体此时没有试图冒 充别的实体，或没有试图将先前的连接作非授权地重演。通常采用数字签字来实 现，但在身份识别中消息的语义是基本固定的，一般不是“终生”的，签字是长 期有效的。 实体认证实现安全目标的方式有：作为访问控制服务的一种必要支持，访 问控制服务的执行依赖于确知的身份( 访问控制服务直接对达到机密性、完整性、 可用性及合法使用目标提供支持) ；作为提供数据起源认证的一种可能方法( 当 它与数据完整性机制结合起来使用时) ；作为对责任原则的一种直接支持，例 如，在审计追踪过程中做记录时，提供与某一活动相联系的确知身份。 2 数据原发认证 数据原发认证是鉴定某个指定的数据是否来源于某个特定的实体。不是孤立 地认证一个实体，也不是为了允许实体执行下一步的操作而认证它的身份，而是 为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。身份和数 据项一起被提交，并且声称数据项来源于身份所代表的主体。这种服务对数据单 元的重复或篡改不提供保护。数据原发认证为声称者的身份是特定数据项的来源 提供了保障。它不同于实体认证： 实体认证一般都是实时的，消息认证一般不提供时间性； 数据项可能已经通过许多系统被重放，这些系统可能或没有被认证； 项可能在途中被存储相当的周期； 与完整性有关的数据原发认证必须确保自从数据项离开它的信源没有被 修改。然而，数据原发认证未必能免遭数据项的复制、重排序或丢失； 实体认证只证实实体的身份，消息认证除了消息的合法和完整外，还需要 知道消息的含义。 数据原发认证方法有： 加密：给数据项附加一个认证项，然后加密该结果； 1 0 湖北工业大学硕士学位论文 封装或数字签名； 实体认证扩展：通过完整性机制将数据项和认证交换联系起来。 2 3 3 对身份认证系统的要求及实现的途径 对身份认证系统的要求有： 验证者正确识别合法申请者的概率极大化。 不具有可传递性( t r a n s f e r a b i lit y ) 攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度 计算有效性 通信有效性 秘密参数能安全存储 交互识别 第三方的实时参与 第三方的可信赖性 可证明的安全性 实现身份认证的途径有三种途径之一或他们的组合： 所知( k n o w l e d g e ) ：密码、口令； 所有( p o s s e s s e s ) ：身份证、护照、信用卡、钥匙； 你做的事情( 如手写签名) 。 2 4 当前身份认证技术及其局限性 2 4 1 当前身份认证技术 目前人们己经提出了多种身份认证的方法，如果深入分析，就会发现一系列 亟待解决的问题，概括如下： 1 基于秘密信息的用户身份认证 该认证方法主要包括基于口令的认证和基于密码体制的身份认证。前者的安 全性仅仅依赖于用户口令的保密性，而用户口令一般较短且容易猜测，因此这种 方案不能抵御口令猜测攻击：另外，攻击者可能窃听通信信道或进行网络窥探 ( s n i f f i n g ) ，口令的明文传输使得攻击者只要能在口令传输过程中获得用户口 令，系统就会被攻破。尤其在网络环境下，明文传输的缺陷使得这种身份认证方 案变得极不安全。为了解决这些问题，人们引入密码体制将口令加密传输，但攻 击者仍可以采用离线方法对口令密文实施字典攻击，另外，加密密钥的交换也对 湖北工业大学硕士学位论文 系统造成了更加严重的计算丌销。 2 基于智能卡的用户身份认证哪! 基于智能卡的用户身份认证，认证方配备一个智能卡( 智能卡中存有秘密信 息，通常是一个随机数) ，只有持卡人才能被认证。这种认证方法可有效的防止 口令猜测，但又引入了一个严重的缺陷：系统只认卡不认人，而智能卡可能丢失， 拾到或窃得智能卡的人将很容易假冒持卡人的身份。 3s k e y 认证h 叫 s k e y 就是使用一次性口令。系统根据用户提供的信息和秘密口令，产生一 次性口令。每一次认证时系统产生的一次性口令不同，这样即使口令被窃听也无 关紧要。然而使用s k e y 的用户需要输入一次性口令，因而使用起来也比较烦琐。 2 4 2 当前认证机制的局限性 以上对当前的认证机制的比较分析，从中可以得它们各自的不足h 5 1 。 1 基于密码的局限性 基于密码认证机制最重要的缺陷是，一旦密码泄漏给攻击者，攻击者可以不 费劲地冒充用户的身份，进行各种与合法用户具有同样权限的操作。随着各种先 进仪器如摄像头和更具隐藏性的监听程序( 病毒、特洛伊木马等) 越来越为人们轻 易得到，用户在不轻易中泄漏自己密码的可能性大大增加。还有，目前网络用户 的防范意识还未增强，通常都使用弱口令( p o o rp a s s w o r d ) ，致使密码认证服务 器无法抵抗口令猜测攻击。这些都表明，基于密码的认证机制，并不适合对安全 性要求高的系统。 2 基于数字证书的局限性 基于数字证书的认证系统能很好地避免很多诸如监听、重放等攻击，然而， 单纯地依靠它，在认证用户这件事上，它也不是保靠的。这种系统在在线认证时， 验证的是用户持有的安装在计算机中的数字证书，而不是认证谁在使用数字证 书、谁在使用机器。因而，要是一个攻击者能够登录一个持有证书的用户a 的机 器，那么他就可以具有和用户a 一样的身份。因此，基于数字证书的认证系统， 还需要其他的安全措施，来提供额外的安全，只有这样才能真正地使认证系统更 具安全性。 2 5 基于生物信息的身份认证 现行的许多计算机身份认证和访问控制系统都是基于密码技术的，密码技术 在信息安全中处于核心地位，但由于现代密码学在理论上有着根本性的缺陷，它 1 2 湖北工业大学硕士学位论文 的应用无疑是有局限性的。上述身份认证方法尽管在原理上有很多不同，但他们 有一个共同的特点，就是只依赖于用户知道的某个秘密信息。与此对照，另一类 身份认证方案是依赖于用户特有的某些生物学信息乜1 。 现代生物识别技术始于2 0 世纪7 0 年代中期，由于早期的识别设备比较昂贵， 因而仅限于安全级别要求较高的原子能实验、生产基地等。现在，由于微处理器 及各种电子元器件成本不断下降，精度逐渐提高，生物识别系统逐渐应用到门禁、 企业考勤管理、安全认证等许多领域。 2 5 1 生物识别技术的特点 长期以来，在人类社会活动中需要验证个人身份时，传统的方法时验证该人 是否持有有效的证件或“信物 ，以“物”认人的方法漏洞时显而易见的，因此， 必须找一种认“人 不认“物”的直接验证方法，即“基于生物特征的身份认证 技术”。 基于生物特征的身份认证技术是利用人体生物特征进行身份认证的一种技 术。生物特征是指唯一的、可测量或可自动识别的生理特征或行为特征。生理特 征多为先天性的，如指纹、眼睛虹膜、脸像等：行为特征则多为后天性的，如笔 迹、步态等。世界上某两个人指纹相同的概率很小，而两个人的眼睛虹膜一模 一样的情况也几乎没有，能够成为独一无二的标识。和生活中的钥匙和密钥相比， 人的指纹或虹膜不易被修改、被盗和被人冒用，而且随时随地都可以使用，总之， 与传统身份验证方法相比，基于生物特征的身份认证技术具有一下优点引： 1 不易遗忘或丢失 2 防伪性能好，不易伪造和被盗 3 “随身携带”，随时随地可以使用 2 5 2 生物认证技术分析和比较 目前，大量生物特征识别技术或者是在广泛使用或者是在研究，已经有很多 生物特征识别技术可用于身份认证。除指纹识别外，这些技术还包括：虹膜识别、 视网膜识别、面部识别、签名识别、声音识别、手形识别、脸部温度记录图识别 等，这些识别技术各有其特点。当以上识别技术应用于身份认证时，要考虑到设备 成本、易用性、用户接受程度、对用户健康影响、对环境要求、识别速度、精确 性、生物特征的稳定性等各方面的因素，表2 2 对几种生物特征识别的性能作了 一个比较乜9 。，综合分析后我们认为，虽然指纹识别技术一般要求大量的计算资源， 但目前的计算机系统性能完全可以满足这一要求。另外，在网络环境下的身份认 1 3 湖北工业大学硕士学位论文 证系统中，应用指纹作为身份确认依据是理想的，其好处有以下几点。伯1 ： ( 1 ) 指纹是独一无二的，不存在相同的指纹，这样可以保证被认证对象与要 验证的身份依据之间严格的一一对应关系。 ( 2 ) 指纹是相当固定的，很难发生变化，可以保证用户安全信息的长期有效 性。 ( 3 ) 扫描指纹的速度很快，使用非常方便，便于获取指纹样本，易于开发认 证系统，实用性强，而且指纹仪较易实现。 ( 4 ) 一个人的十指指纹皆不相同，可以方便地利用多个指纹，提高系统的安 全性，也不会增加系统的设计负担。 ( 5 ) 指纹识别中使用的模板并非最初的指纹图，而是从指纹图中提取的关键 特征，这样可使系统模板库的存储量减小。另外，对输入的指纹图提取关键特征后， 可以大大减少网络传输的负担，便于实现指纹异地匹配。 从以上的技术优缺点、可行性、实用性分析可以看到，用指纹作为认证的依 据相对于其它方法不仅具有许多独到的信息安全角度的优点，更重要的是还具有 很高的实用性、可行性。随着固体传感器技术的发展，指纹传感器的价格正逐渐 下降，在许多应用中基于指纹的生物认证系统的成本是可以承受的。 表2 2 几种生物特征识别的性能比较 注：+ + 高，+ 中等，一低，f a r 误识率，f r r 拒真率，n a 不适用 2 6 小结 本章首先简述了网络安全的发展现状，然后对当前常用的网络加密算法进行 了概述，之后介绍了认证的相关知识，最后根据采用的认证方式不同，对目前网 络身份认证技术进行了比较，总结了现有的身份认证技术的主要特点和存在的缺 1 4 湖北工业大学硕士学位论文 陷。因此，本文提出了一种将指纹识别与网络加密技术相结合的身份认证方案。 1 5 湖北工业大学硕士学位论文 第3 章自动指纹识别技术 3 1 自动指纹识别技术的应用研究状况 据考古学家证实：公元前7 0 0 0 年到6 0 0 0 年以前，指纹作为身份鉴别的工具 已经在古叙利亚和中国开始应用。在那个时代，一些粘士陶器上留有陶艺匠人的 指纹，中国的一些文件上印有起草者的大拇指指纹，在j e r c h o 的古城市的房屋 留有砖匠的指纹等。由此可见，指纹的一些特征在当时己经被人们认识和接受。 1 9 世纪初，科学研究发现了至今仍然承认的指纹的两个重要特征：唯一性 和不变性。这个研究成果使得指纹在犯罪事件的鉴别中得以正式应用( 主要代表 性的事件有：1 8 9 6 年阿根廷首次应用，然后是1 9 0 1 年的苏格兰，2 0 世纪初其他 国家也相继应用到犯罪事情的鉴别中) 。2 0 世纪6 0 年代，由于计算机可以有效 地处理图形，人们开始着手研究利用计算机来处理指纹。从那时起，自动指纹识 别系统a f i s ( a u t o m a t i cf i n g e r p r i n ti d e n t i f i c a t i o ns y s t e m ) 在法律实施方 面的研究和应用在世界许多国家展开。 到了2 0 世纪8 0 年代，个人电脑、光学扫描这两项技术的革新，使得它们作 为指纹取像的工具成为现实，从而使指纹识别可以在其他领域中得以应用。现在， 随着取像设备的引入及其飞速发展，生物指纹识别技术的逐渐成熟，可靠的比对 算法的发现都为指纹识别技术提供了更广阔的舞台。 目前指纹识别技术发展迅速，指纹识别算法取得了突破性的进展，技术同益 成熟。从原先刑侦a f i s 应用扩大到民用，世界上许多i t 行业大公司涉足这一领 域，并致力于指纹识别技术的底层和应用的开发，国内指纹识别公司如雨后春笋， 以北大方正、熊猫电子等为代表的国内生物识别企业，正致力于推进生物识别技 术在中国的应用，相信不久的将来，随着计算机和大规模集成电路的迅速发展， 指纹采集设备成本降低，指纹识别技术将如现在的i c 卡、射频卡、密码锁等一 样，应用于社会各个领域。 2 指纹的两个重要特征 1 9 世纪初，科学研究发现了至今仍然承认的指纹的两个重要特征，一是两 个不同手指的指纹纹脊的式样不同，另外一个是指纹纹脊的式样终生不变口。 1 唯一性( 人各不同、指指相异) 1 6 湖北工业大学硕士学位论文 指纹具有很明显的特定性。据指纹学理论，两枚指纹匹配上1 2 个特征的几 率为1 0 ”。至今尚找不出两个指纹完全相同的人，即使是相貌酷似的孪生兄弟 姐妹，他们的指纹也各不相同。不仅人与人之间，就是同一个人的十指之间，指 纹也有明显的区别。指纹的这一特点，为指纹用于身份签订提供客观根据。 2 不变性( 终生基本不变) 指纹具有很强的相对稳定性。自胎儿六个月指纹完全形成到人体死亡腐败之 前，尽管随着年龄的增大，指纹在外型大小，脊纹粗细上会有变化，局部脊纹之 间也可能出现新的细线特征，但从总体上看，同一指的指纹脊纹类型、细节特征 的总体布局等始终无明显变化。即使手指皮肤受伤，只要不伤及真皮，伤愈后， 脊纹仍能恢复原状：如果伤及真皮，伤愈后形成伤疤。伤疤破坏了脊纹，但伤疤 本身为指纹增添了新的稳定的特征。 正是指纹具有这两大原理：唯一性和不变性，才奠定了现代指纹识别的基础， 开创了利用指纹来进行科学识别人类个体的新纪元。 3 3 自动指纹识别的基本过程 一般来讲，自动指纹识别系统主要涉及指纹图像输入、指纹图像增强、指纹 特征提取和指纹比对几个部分组成，该系统处理流程如图3 1 所示。它主要由图 像输入、图像预处理、特征提取和匹配等部分组成，其中预处理又可以分为图像 去噪、二值化和细化等几个步骤m 儿3 5 1 。一个优秀的身份识别系统要求：一方面， 能实时、迅速、高效，既要很好地完成该模块的功能，又要耗时足够短；另一方 面，系统的各个部分能很好的衔接起来，前一部分要为后面提供尽可能理想的数 据，后一部分要充分利用前面的处理结果，使整个系统的性能得到提高。因此， 实际的指纹识别系统往往由于应用环境、系统规模、实现思路以及具体算法的不 同，而在系统整体框架上有所出入。 1 7 湖北工业大学硕士学位论文 图3 1 指纹识别处理流程图 在开发指纹识别系统的过程中，需要解决以下几项关键技术问题： 1 指纹图像获取 传统的指纹采集方式是用手指蘸上墨水或印油在纸上按压，然后用扫描仪摄 取。由于其严重的不可靠性，该方法己被淘汰。随着光学仪器、传感器及数字技 术的发展，各种快速、精确、方便、小巧的采集设备得到应用。目前，主要是使 用光学扫描仪和固态阵列传感器进行采集。前者用激光照在手指上，然后用c c d 阵列摄取其反射光，由于反射光强随着指纹的脊和谷的深度不同而不同，因此可 以得到指纹的图像。后者是利用大量敏感元件组成的固态阵列芯片，它们采用电 容传感、热敏传感或其他传感技术，通过感受按压指纹的压力、热度等特征来提 取指纹。近年来，又出现了其他一些新型的指纹采集设备，如超声波指纹采集器， 它是基于指纹的脊和谷的深度对超声波的不同反射原理而工作的。几种采集设备 的比较入表3 1 所示。 1 8 湖北工业大学硕士学位论文 2 指纹预处理 采集到的指纹图像同真实指纹由于图像的变形会导致不同，其中许多畸变、 变形是由指纹图像获取时产生的： ( 1 ) 一致的接触。所获得的指纹图像是三维的手指映像在二维表面所成的像， 由于每次采集压力不同会使得采集到的指纹图像产生一定的畸变。一般说来，这 种映像过程是很难控制的。 ( 2 ) 不均匀接触。如果手指与采集设备完全接触，那么手指的脊结构信息将会 完全被采集，但是手指皮肤的干燥程度、汗渍、污渍、皮肤病等因素都会导致指 纹图像的失真，如部分脊结构信息与采集板接触，这样就会收到一些错误信息。 ( 3 ) 不可再现的接触。采用人工采集指纹、手指受伤等都会永久或暂时改变手 指的细节信息，从而导致采集到的信息是假信息。 ( 4 ) 采集设备本身的噪声干扰。 这些因素将导致待分析的指纹图像产生一定数量的可疑特征点，同时忽略大 量真实特征点，而进入大量错误信息。为确保细节特征比对算法的性能，需要进 行指纹图像增强。在指纹图像中，脊和谷清晰，可以正确提取出特征点的区域称 为良好区域；脊和谷信息被少数折痕和污渍破坏，但它们仍然可见且相邻区域可 以提供良好的脊和谷信息的区域称为被破坏可恢复区域；若脊和谷信息被大量噪 声破坏，并且相邻区域无法提供足够的脊和谷信息的区域称为不可恢复区域。前 二者一般称为可恢复区域。指纹图像增强的目的就在于提高可恢复区域的脊和谷 信息清晰度，同时删除不可恢复区域。 一般来说，图像的增强采用平滑、滤波、二值化、细化等数字处理方法来进 行。实际实现时，指纹图像增强一般采用以下几个环节：规格化、方向图估计、 频率估计、模板生成、滤波。一幅指纹图像经过规格化后，就可将该图的均值和 方差控制在给定范围内，以便后续处理。方向图估计则计算出指纹图像划分后的 1 9 湖北工业大学硕士学位论文 每个小区域脊和谷的方向。同时还要对指纹纹线进行频率估计并生成模板，最后 滤波，达到指纹图像的增强。指纹预处理流程如图3 2 所示。指纹图像增强的主 要问题足涉及合适的滤波器和取得合适的蒯值。 指纹 图3 2 指纹预处理流程 3 指纹特征提取 特征提取负责把指纹图像的纹线走向、纹线断点、交义点等能够充分表示该 指纹唯一性的特征用数值的形式表达出来。为了比对的准确性，要求特征提耿算 法尽可能多的提取有效特征，i 叫时滤除山各种原凶造成的虚假特征。 从不i 司的角度进行脱察，指纹图像中存住两类特征：令局特征和局洲特征。 令局特征指能够反映指纹整体形状的特征，通常川于指纹的分类，因此提取令局 特征的过程往往归于指纹分类步骤，常见指纹的三种纹型如幽文： 所示。局部特 征指能够反映指纹细1 ，特点的特征，通常 j 于指纹的比对。狭义的特征提取足指 局部特征的提取。两枚指纹经常会具有相同的令局特征，f h 足他们的局部特征点， 却不可能完全棚刊。在考虑局部特征的情况下，英n 学者f r h e r r y 认为，只要 比对l3 个特征，0 、i 重合，就r 叮以确认为是同+ 个指纹。 环型( 1 0 0 p )拱型( a r c h )漩涡型( w h o r l ) 图3 3 指纹的一i 种纹型 指纹纹线经常出现中断、分叉或打折，这些断点、分差点和折。t j 蠊尤称为“特 征点”，它们提供了指纹唯一i 生的确认信息。侄美阴联邦调务局( f rt ) 提h 的细 节点模型中，只利用了未梢点( e n ( 1 in g ) 分支点f i ji 厂u r c a l i 。n ) 这两种特征 点。：”1 。另外的两种重要特i i i 点是核心点( c o r c ) 和= 三角点( d e it a ) ，它们称为奇 2 0 湖北工业大学硕士学位论文 异点。核心点位于指纹纹线的渐进中心，它在读取指纹和比对指纹时作为参考点， 如图3 4 ( a ) 所示。本文的匹配算法就是基于核心点的。三角点位于从核心点 开始的第一个分差点或者断点、或者两条纹线会聚处、孤立点、转折处、或者指 向这些奇异点，如图3 4 (