（计算机应用技术专业论文）基于数字水印与掌纹相结合的网络身份认证方法研究.pdf

摘要 身份认证技术是信息系统安全的第一道屏障，它是在信息安全时代备受关注的一个研 究领域。今天，随着网络化、信息化的不断深入和发展，身份认证己成为支撑开展应用的 基本服务，对身份认证提出了新的要求，传统的单一的认证手段已不适应应用需求，因此 需要构建综合的身份认证服务系统，这是目前身份认证技术的发展方向。 近年来，随着电子信息技术、计算机及网络技术的快速发展，生物识别受到了广泛的 关注。掌纹识别作为生物识别中种新兴的身份识别方法，其理论及应用研究受到了多方 的重视。以掌纹为代表的生物识别技术代表着用户身份认证技术的未来，有着广阔的应用 前景。 目前广泛应用的基于证件的身份认证方法正遭受着各种威胁，各种假证泛滥，给国家 和社会造成了巨大的损失。而数字水印技术为这个问题的解决提供了一种行之有效的途径。 数字水印技术作为多媒体数据版权保护和内容可靠性认证的一种新技术，从2 0 世纪9 0 年 代以来得到了迅速的发展，成为当前国内外研究的一个热门课题。数字水印是在不影响多 媒体产品( 如数字图像、文档、视频、音频等) 使用质量的前提下，将具有特定意义的标 记( 水印) ，按照某种给定算法嵌入到多媒体产品中，以实现对该产品的保护或认证。一直 以来，水印信号大多是数字，文本，图像等信息，加入这种水印的证件存在两个问题：一 是水印的唯一性问题，二是嵌入水印与证件持有者之间没有必然的联系。 本文提出了一种远程网络身份认证的新方法。该方法将数字水印和掌纹识别相结合， 通过向掌纹图像中嵌入脆弱水印来判断该图像在网络传输过程中是否遭受攻击；利用隐写 术将含水印的掌纹图像隐藏在公开传输的载体图像中以避免引起攻击者的注意；将小波矩 特征提取算法与b p 神经网络相结合，完成有监督的身份识别。 关键词：身份认证；掌纹识别；数字水印；小波矩：b p 神经网络 a b s t r a c t a u t h e n t i c a t i o ni st h ef i r s tb s m e to f t h ei n f o r m a t i o ns y s t e ms e c u r i t yf i e l d i ti sak e yf i e l di n t h ei n f o r m a t i o na g e i d e n t i t ya u t h e n t i c a t i o nh a sb e c o m et h eb a s i cs e r v i c ef o ri t sa p p l i c a t i o nw i t h t h ef a s tp r o g r e s s i n go fi n t e r n e ta n di n f o r m a t i o ng o i n g ，w h i c ht h ei d e n t i t ya u t h e n t i c a t i o nh a sg o t n e wr e q u i r e m e n tt od i s c a r dt h e o l dw a yo fa u t h e n t i c a t i o na n dd e s i g nt h ei n t e g r a t i v e a n t h e n t i c a t i o ns y s t e m w h i c ha l s oi st h ec u r r e n to fi d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g y w i t ht h ef a s td e v e l o p m e n to fe l e c t r o n i c s ，i n f o r m a t i o n 。c o m p u t e ra n dn e t w o r k s 。b i o m e t r i c s h a sd r a w nm o r ea n dm o l ea t t e n t i o n a so n co ft h em o s te x c e l l e n ti d e n t i f y i n gm e t h o d si n b i o m e t r i c s ，p a l m p r i n ti d e n t i f i c a t i o n 。st h e o r ya n da p p l i c a t i o na p p e a lal o to fi n t e r e s t b i o m e t r i c s c h a r a c t e r i z e db yp a l m p r i n ti sa l li n c r e a s i n gd e v e l o p m e n tt r e n do fu s e ra u t h e n t i c a t i o n a n dh a s p r o m i s i n ga p p l i c a t i o ni nf u t u r e b u ta tp r e s e n ti d e n t i f i c a t i o nd o c u m e n ti ss t i l lu s e dp o p u l a r l ya n dw i d e l y , t h o u g hi th a sl e s s a n dj 船ss e c u r i t ya f f r o n tm o ea n dm o r ea t t a d li tm a k e se n o r m o u sl o s i n gf o rt h ec o u n t r ya n d s o c i e t y s oi t i sn e c e s s a r ye n o u g ht op r o t e c tt h ei d e n t i f i c a t i o nd o c u m e n t t h e nt h et e c h n o l o g yo f d i g i t a lw a t e r m a r k i n gp r o v i d e san e ww a yt os o l v et h ep r o b l e m d i g i t a lw a t e r m a r k i n ga san e w m e a nt op r o v i d ec o p y r i g h tp r o t e c t i o na n da u t h e n t i c a t i o no fm u l t i m e d i ad a t ah a sb e e nd e v e l o p i n g r a p i d l ys i n c e1 9 9 0 s ，a n db e c o m e sa ni n t e r n a t i o n a l l yh o tt o p i ca tp r e s e n t ad i g i t a lw a t e r m a r k i n g t e c h n o l o g ya l l o w su s a r st oi m p e r c e p t i b l ye m b e das p e c i f i c a l l ys i g n a l ( t h ew a t e r m a r k ) i n t o m u l t i m e d i ad a t as u c ha si m a g e , t e x t ，v i d e oa n da u d i ob yac e r t a i np r o p o s e da l g o r i t h mi no r d e rt o p r o t e c tm u l t i m e d i ad a t aa n da u t h e n t i c a t i o n c u s t o m a r i l y , t h ew a t e r m a r ks i g n a li sn u m b e r , t e x to r p i c t u r ea t e 1 1 1 i sl c i n do f w a t e r m a r ke x i s t st w op r o b l e m s ：o n ei st h eu n i q u e n e s so f t l l ew a t e r m a r k ； a n o t h e ri st h a tt h e r ei sn oi n e v i t a b l ec o n t a c tb e t w e e nt h ew a t e r m a r ka n dt h eo w n e ro f t h ep a p e r t h i sp a p e rp r e s e n t san e wa p p m a c ho fr e m o t en e t w o r kv e r i f i c a t i o n t h em o d e lc o m b i n e d i g i t a lw a t e r m a r kw i t hh a n d p r i n tr e c o g n i t i o n ，b yi m b e d d i n gf r a g i l ew a t e r m a r kt or e c o g n i z et h e h a n d p r i n th a sb e e nd e s t r o y e dw h e t h e ro rn o t 。a n dt h ew a t e r m a r k e dh a n d p r i n ti sh i d d e ni nt h e g e n e r a lp u b l i ci m a g et ot r a n s m i ts e c r e t l yi nc a s eo fa t t a c kt h ea t t a c k e r s a t t e n t i o n w ec o m b i n e t h ew a v e l e tm o m e n t sw i t hb pn e u r a ln e t w o r kt of i n i s ht h es u p e r v i s e dp e r s o n a li d e n t i f i c a t i o n k e yw o r d s ：v e r i f i c a t i o n ；p a l m p r i n ti d e n t i f i c a t i o n ；d i g i t a lw a t e r m a r k i n g ；w a v e l e tm o m e n t s ；b p n e a r a jn e t w o r k 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。摄我所知，除了文中特别加以橱注矛珏致谢的地方外，论文中不包含其钝人已经 发表或撰写过的研究成果，也不包含为获得东北师范大学或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示谢意。 学位论文作者签字；五i 虿垂日期：幽 学位论文版权使用授权书 本学位论文作者完全了解东北师范大学有关保留、使用学位论文的规定，即： 东北师范大学有权保留并向国家有关部门或机构送交学位论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权东北师范大学可以将学位论文的全部或部分内容编入有 关数据库进行检索，可以采用影印、缩印或其它复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：霾i i 煎 指导教师签名 日 期：翩纽 日期 学位论文作者毕业后去向： 工作单位：二匠丝杰盈i 近躏 通讯地址：巧岛辱辛乒眸 电话： 邮编：z 生唑! 1 1 研究背景和意义 第一章引言 当今社会，经济全球化和信息网络化作为世界经济和社会发展的大趋势有力地推动着 人类社会的发展进步。信息已经成为重要的战略资源。国际上围绕信息的获取、使用和控 制的斗争愈演愈烈，信息化水平已成为衡量一个国家现代化和综合国力的重要标志。 随着我国电子政务、电子商务和整个社会信息化的发展，信息技术正不断深入社会的 各个层面，对我国的政治、经济、军事、文化等方面产生深刻的影响，各类信息资源( 包括 网络、系统和数据资源) 正成为社会运行和发展的重要支撑要素，因此信息资源的安全关系 到国家的经济发展，社会稳定和国防安全，信息安全已成为国家安全、社会安全、经济安 全的重要组成部分，保障信息安全成为推进信息化的重要任务。 按照现在通行的观点，信息安全包括以下内容：认证、操作系统安全、数据库安全、 计算机病毒防护、访问控制和数据加密等。认证通常分为实体认证和数据源认证或信息认 证。其中实体认证又叫身份认证，它是信息系统的第一道安全屏障，也是实施访问控制的 基础，因此具有十分重要的作用。 身份认证指的是信息系统对拥有身份的特殊个体提供的，他她是谁的证明进行判断的 处理过程。目前应用的身份认证方法可以概括为以下三种【l 叫： ( 1 ) 用本身特征进行认证。指的是基于他或她的独一无二的生理学与或行为特征来确 定身份，即生物特征认证。生物特征包括掌纹、面部特征、视网膜等。由于掌纹等生物特征 具有普遍性、唯一性、永久性和防伪性等特点，因而生物特征认证具有很高的安全性，适 用于保密程度要求很高的场合。 ( 2 ) 用所知道的事物进行认证。这就是基于知识的方法来确定身份。如口令或p i n 。这 种身份认证方法的安全性仅仅基于用户口令或p i n 的保密性。 ( 3 ) 用所拥有的物品进行认证。这就是基于令牌的方法来确定身份，如护照、驾驶证、 身份证、信用卡或钥匙等。但是令牌卡可能会丢失、被盗和被复制，在这种情况下，系统 的安全性无从保障。 其中，最理想的方法无疑是生物认证，因为人体生物信息具有唯一性和不变性的特征， 可以唯一的标识一个人，因而通过生物信息就可以安全有效的进行身份的识别。但是这种 认证方式有着它的局限性，因为要对生物信息进行识别，识别系统本身就应保存有相当量 的数据，而这个数据库会相当庞大，因而限制了这种技术的大范围使用。现实生活中使用 最多的方法还是第三种，主要是通过一些证件来进行身份的证明。 信息技术的发展和高质量图像输入输出设备的进步，特别是高精度彩色喷墨、激光打 印机和高精度扫描仪的普及，在为人们的工作和生活带来了许多便利的同时，也使身份证、 学生证、毕业证、工作证、护照、驾照等各种与身份有关的证件的伪造及篡改变得越来越 容易。利用假证件进行违法活动的案例屡见不鲜，有关资料【4 】显示，在美国，每年有约5 0 万人受害于假文件、假证件，直接或间接财政损失约有7 5 亿美元。国内证件造假的非法活 动也逐年呈上升趋势。我国政府在采取一系列措施打击假冒伪造的同时，也在大力发展多 种多样的防伪技术，如条码技术、激光打印和光刻、激光全息图、激光防伪、特制水印纸 防伪、荧光防伪、磁性防伪及各种油墨防伪等。这些防伪技术在一定程度上起到了防伪作 用。但由于现代新技术的飞速发展，伪造者的仿造技术水平也在不断提高，使仿造这些防 伪标识物成为可能。由此可见，印刷防伪技术必须突破材料、设计和专用印刷技术的局限 性，增加高科技含量，才能提高印刷品的防伪性能。 数字水印技术是一种新兴的信息隐藏技术，所谓数字水印技术就是将数字、序列号、 文字、图像标志等版权信息嵌入到多媒体数据中，以起到版权保护、秘密通信、数据的真 伪鉴别和产品标志等作用。自1 9 9 4 年v s c h y n d e l 等人发表了第一篇有关数字水印的文章至 今，随着多媒体技术和数字网络的快速发展，数字水印技术的应用从版权保护发展到数据 鉴别、数据监测、用户跟踪以及保密通信等领域，并收到了良好的效果。 1 2 研究现状 随着生物科学的发展，掌纹作为个人身份识别标志的作用已得到公认，它与生俱来、 不易丢失、不易受损、易于识别，是高安全级别应用中进行身份认证的理想手段。目前， 世界上许多公司和研究机构都在掌纹识别技术的研究中取得一些突破性进展，并推出了许 多实用新产品。这些产品已经开始在许多领域得以运用。在国内，哈尔滨工业大学和香港 理工大学已经研制出掌纹认证的实用产品，并在公安、司法等领域得到使用；国内其他的 一些小公司也利用专业掌纹公司提供的软件开发包开始进行民用方面的开发，如掌纹考勤 和门禁系统等，这已经在一定程度上给人们的实际生活带来了方便。在各种应用环境下， 掌纹识别的主要问题是用户活体掌纹特征的获取。用户活体掌纹特征的获取本质上是模式 识别，它面临的最大的问题就是掌纹获取后的预处理算法和特征提取算法。 数字水印技术是目前国际上的一个研究热点，它已经在版权保护、数据鉴别、数据监 测、用户跟踪以及保密通信等领域得到了广泛的应用。早期的水印技术在图像的空域进行， 但是这种技术缺乏鲁棒性研究表明，由于人类视觉对于图像的各种成分具有不同的敏感 性，为了提高承印的鲁棒性，应把水印加在图像的视觉重要部分低频部分。这就导致了 变换域水印技术的发展，目前的研究绝大部分集中在交换域水印。 很多种变换被应用在图像的水印算法中，包括离散余弦变换( d c t ) ，离散傅立叶变换 ( d f t ) ，小波变换( d w t ) 和分形变换等。在这些变换中，离散余弦变换得到了最多的应用， 2 一个重要的原因就是以前的静止图像压缩编码标准j p e g 和视频压缩标准肝e g ，都是采用了 离散余弦变换。其中最著名的算法就是1 9 9 7 年c o x 等人提出的基于d c t 的扩频水印算法【5 1 。 近来，小波变换由于其优良的多分辨率分析特性，使得小波变换越来越多的应用到图像处 理中。特别是新一代静止图像压缩编码标准j p e g 2 0 0 0 的公布和实行，在新标准中采用的是 离散小波变换。因而使得小波域水印算法t o - 1 0 l 的研究成为热点 另外，由于数字水印具有不可见性和鲁棒性这两个相互冲突的特性，为了平衡这二者 的矛盾，在保证不可见性的前提下尽量提高水印的鲁棒性，典型的方法是利用人类视觉系 统( h v s ) 模型来实现。因而基于人类视觉系统( h v s ) 的水印算法o4 】也是目前研究的一个 方向。 1 3 主要工作 本文从提高身份认证可靠性和安全性的角度出发，将数字水印与掌纹识别技术相结合， 提出了一种网络身份认证的新方法，实现了用户身份的双重认证，进一步保障了网络信息 的安全。这种网络双重身份认证方法采用两个物理认证因索；1 、用户的i d 和口令信息，2 、 用户的掌纹特征信息。这样就使得用户身份认证的确定性按指数级递增。是种强身份认 证方案。该网络身份认证系统框架如图l 所示。在传输端，首先截取掌纹图像的有效区域 ( r o i ) ，采用最低有效位替换方法嵌入水印，形成含水印r o i ，然后将其隐藏到载体图像 中，形成含密图像s 。在接收端，首先从接收的含密图像s 中提取出含有水印的r o i ，然 后从r o i 中提取出脆弱水印，评估提取的水印在传输过程中的受损程度，若受损程度小于 预先设定的阕值，则进入识别阶段，否则认为含密图像在传输过程中受到严重攻击，r o i 不进入识别阶段。在识别阶段，首先用小波矩方法提取r o i 的特征，根据脆弱水印信息， 查询特征库中该用户的识别模块，将r o i 的特征输入到此模块的b p 神经网络中进行识别， 最终输出结果。 1 4 论文结构 本文共由六章组成，主要内容如下： 第一章引言 论文研究背景、现状及意义，作者的主要工作以及全文的章节安排。 第二章身份认证技术概述 对用户身份认证技术进行了概述：根据用户身份认证技术的发展情况，从不同的角度 对其分类；并对现有的各种身份认证技术进行了介绍。 第三章掌纹识别技术概述 介绍了掌纹识别技术的特点，并对掌纹识别的基本原理和掌纹识别的基本过程进行了 分析，对目前掌纹识别技术的主要应用做了介绍。 第四章数字水印技术概述 介绍了数字水印技术的特征及分类，一般原理和通用模型，并列举了目前流行的几种 典型的数字水印算法，典型的水印攻击方法。 第五章本文关键技术方法 介绍了本文主要运用的数字水印方法一最低有效位( l s b ) 以及掌纹识别技术一小波距 的基本理论和运用，并说明了b p 神经网络结构合学习规则。 第六章实验和总结 详细阐述了本文提出的方法经过实验后得出的结果和结论。 第七章展望 对本文未来研究方向进行了展望。 1 5 论文主要工作 本文提出了一种新型的网络身份认证的方法，将数字水印和掌纹识别技术相结合，增强 了掌纹图像在不安全信道传输的安全性。脆弱水印的嵌入能够准确的判断经过网络传输的 掌纹图像是否遭受攻击，隐写采的应用提高了掌纹图像传输的隐蔽性。加密技术提高了传 送的安全性。小波矩特征和b p 网络的应用提高了身份认证的正确率。 4 第二章身份认证技术概述 2 1 身份认证技术的分类 身份认证指的是信息系统对拥有身份的特殊个体提供的，他她是谁的证明进行判断的 处理过程。本质是被认证方有一些信息( 无论是一些秘密的信息还是一些个人持有的特殊硬 件或个人特有的生物学信息) ，除被认证方自己外，该信息不能被任何第三方( 在有些需要 认证权威的方案中，认证权威除外) 伪造。如果被认证方能采用某种方法( 无论是将那些信 息出示给认证方或者采用零知识证明的方法) ，使认证方相信他确实拥有那些秘密，则他的 身份就得到了认证。 、 因此，如果根据被认证方赖以证明身份的秘密的不同，身份认证可以分为三大类：基 于秘密信息的身份认证技术、基于信物的身份认证技术和基于生物特征的身份认证技术。 基于秘密信息的身份认证技术包括基于账号和口令的身份认证、基于对称密钥的身份认证、 基于k d c 的身份认证、基于公开密钥的身份认证和基于数字证书的身份认证等：基于信物 的身份认证技术主要有基于智能卡的身份认证；基于生物特征的身份认证技术可分为基于 生理特征( 如指纹、声音和虹膜) 的身份认证和基于行为特征( 如签名) 的身份认证等。 如果根据认证的方法来划分，用户身份认证又可分为非密码用户身份认证技术和基于 密码的用户身份认证技术。非密码用户身份认证技术包括口令方式、一次口令方式和质询 响应方式等。基于密码的用户身份认证技术既可以利用对称密钥加密体制，也可以利用 公钥密钥加密体制。 以上用户身份认证技术可以单独使用，也可以综合使用。一个熟悉的例子就是“登录” 银行柜员机时的认证：用户需要出示磁卡( 基于信物的身份认证方法) 和口令( 基于口令的身 份认证方法) ，才能获得查看账户的权限。虽然综合使用多种认证方法使得恶意攻击变得十 分困难，但同时也加重了用户的负担( 在认证过程完成前做更多的工作) 。因此，如何有效 地将以上各种身份认证技术有机地结合起来，设计和开发出一种更安全、更便捷的身份认 证系统，显得至关重要。 2 2 基于秘密信息的身份认证技术 所谓的秘密消息指用户所拥有的秘密知识，如用户i d 、口令，密钥等。基于秘密消息 的用户身份认证技术就是利用以上秘密消息作为认证用户身份的唯一依据。下面详细介绍 5 几种基于秘密消息的身份认证技术。 2 2 1 基于账号和口令的用户身份认证 基于账号和口令的用户身份认证技术需要计算机系统分两步处理：标识( 询闯你是谁) 和认证( 要求你证实) 首先，计算机系统给每个用户分配一个唯一标识( i d ) ，每个用户洗 择一个供以后注册证实自己身份的口令( p w ) 。然后，计算机系统将所有用户的身份标识和 相应口令存入口令表。 口令表的各项是成对的信息( i d ，p w ) 。用户要注册进入系统时，必须先向系统提交 他的标识i d 和p w ，系统根据i d 检索口令表得到相应的口令p w 。如果两个p w 一致则用户是 合法用户，系统接受用户，否则用户将遭系统拒绝。 基于账号和口令的身份认证技术具有成本低、易实现、用户界面好等特点，所以目前 该技术被一般的计算机系统广泛采用。 2 2 2 基于对称密钥的用户身份认证 数据的机密性服务是通过加密机制实现的。为了确保用户标识符和口令在信道中的安 全传输，通常采用对称密钥密码体制和公开密钥密码体制。在对称密钥密码体制中，加密 与解密变换平等，而且加密与解密密钥相同。通常，基于对称密钥的用户身份认证方式分 为两种：单向认证和双向认证。 ( 1 ) 基于对称密钥的单向认证 基于对称密钥加密的方法是一次一密方法的变形。通常通信双方a 和b 共享一个对称密 钥，该对称密钥在身份认证之前已经协商好( 不经过网络) 。一个典型的基于对称密钥的单 向身份认证协议如下： 在a 方请求认证时，b 方向a 方发送一个随机数r 的密文形式，a 方使用同一密钥将其解 密后送还b ，b 方将其与原来的r 进行比较，进行认证。基于对称密钥的认证方式需要端系 统可靠，否则攻击者可从b 处获得a 的秘密信息来冒充a 。 ( 2 ) 基于对称密钥的双向认证 疑2 k - r l ab k r 2 ) 图2 1 基于对称密钥的双向认证 6 在单向认证方式中，总是由b ( 认证处理方) 提出一个信息交由a 方进行指定交换，以 验证其身份。双向认证则把这个原则用到a 、b 双方，即相互提出一个信息要求对方交换， 其过程如图2 1 所示的三次握手 2 2 3 基于妯c 的用户身份认证 在基于对称密钥加密的身份认证协议中，需要认证的双方共享一个对称密钥，而随着 系统中用户的增多，密钥的数量将变得非常庞大。设想一个网络系统中有疗个用户，如果每 个用户都需要与别的用户进行认证的话，那么每个用户都要与另外力一价用户有信任关系， 即每个用户就必须保存自己的一个密钥和另外力一价密钥，而整个系统需要的密钥数量为 伽一1 ) 2 当用户的数量较大时，密钥的数量增长很快，这就意味着增加了密钥管理的难度，并 且也降低了密钥的安全性，也就降低了身份认证的安全性。为了减轻密钥管理的难度和降 低密钥的安全风险，可以设置一个如密钥分配中一已, k d c ( k e yd i s t r i b u t e dc e n t e r ) 那样的可靠 的中介节点来保存和传递密钥。 k d c a鞑a ) ，隧 a )b 埘k 舢 圈2 2k d c 的工作原理 k d c 的工作原理如图2 2 所示，其中k a 是k d c 与a 之间使用的对称密钥，k b 是k d c 与 b 之间使用的对称密钥，k a b 是a 和b 之间使用的对称密钥，k d c 发出的k a ( k a b ，a ) 等称为 通知单( t i c k e t ) 。 常见的基于k d c 的身份认证协议有以下几种f 15 】：n e 烈l h a m s c h r o e d e r 协议、扩展的 n e c d h a m - s c h r o e d e r 协议和o t w a y - r e e s 认证方法等。 2 2 4 基于公开密钥的用户身份认证 在基于对称密钥的身份认证技术中，加密后的消息可以通过不安全的通信信道传输， 但是，秘密密钥绝对不能通过不安全的信道传输。也就是说，密钥管理问题是基于对称密 钥的身份认证技术所需解决的困难之一。而使用公开密钥的身份认证技术就可以减轻因密 钥管理不善而带来的安全威胁。 公开密钥密码体制1 6 】的加密和解密是由两个不同的密钥来实现。而且由任意一个密钥 7 推导出另一个密钥在计算上是不可行的。该密码体制的公开密钥公开，信息发送者用公开 密钥加密，接受者用自己的秘密密钥解密。理论上而言，公开密钥密码体制中的秘密密钥 可由公开密钥计算得出，但实际不可行，公开密钥密码体制就基于这一点。比如著名的r s a 算法，它的理论基础是建立在“素性检测和大数分解”这一著名数论难题的有关论断之上 的，即将两个大素数相乘在计算上是容易实现的，但将该乘积分解成两个大素数的计算量 相当巨大，大到在实际计算中不可能实现。其他的公开密钥算法还有使用d i f f i e - h e l l m a n 协 议的椭圆曲线算法。椭圆曲线算法是一个新的关注点，它的理论基础是基于椭圆曲线点群 上的离散对数问题的难解性。在提供相同安全性的前提下，与其他公钥体制相比，椭圆曲 线群上的密码体制的密钥比特数少，这对于许多应用来说是至关重要的，例如智能卡。椭 圆曲线的另一个优点是；当有限域选定后，系统内的用户可以共用一条椭圆曲线，也可每 个用户选择自己的椭圆曲线以增加安全性，但域上的运算完全相刚”j 。 基于公开密钥的身份认证技术同样有两种方式：单向认证和双向认证。使用公开密钥 进行单向身份认证的原理如图2 3 所示 r 甄 a -b 掰a 的私宵掰铜期密 圉2 3 基于公开密钥的单向认证 2 2 4 基于公开密钥的用户身份认证 选撵一个随机数r 用a 携公开德铜织鬻 在基于对称密钥的身份认证技术中，加密后的消息可以通过不安全的通信信道传输， 但是，秘密密钥绝对不能通过不安全的信道传输。也就是说，密钥管理问题是基于对称密 钥的身份认证技术所需解决的困难之一而使用公开密钥的身份认证技术就可以减轻因密 钥管理不善而带来的安全威胁。 一个解决的办法是采用数字证书的方式来保证实体的公开密钥的真实性，其认证原理 如图2 4 所示。证书由实体的身份标识、公开密钥、对身份标识和公开密钥的数字签名以 及其他附加信息组成【1 5 】，数字签名可由可信的第三方来完成。 p k d k c ab p k 积酗侥 圈2 4 基于数字证书的身份认证 ( 1 ) 进行身份认证时，a 取得占的证书c b ，并利用可信第三方的公开密钥对c b 进行验证， 然后生成会话密钥j o ，用占的公开密钥对自己的身份标识和缸进行加密p k b 似，k s ) ，然 后将结果e p k b ( a ，岛) = p k b ( a ，乓) 和自己的证书c b 发送给晚 ( 2 ) 占接收到信息后，利用可信第三方的公开密钥对证书c a 进行验证，然后对尸脚口，k s ) 进行解密，d s k b ( p k b ( a ，蚝) ) = ( a ，妊) ，利用4 的公开密钥对自己的身份标识b 和嵇进 行加密，e e k b ( b ，蚝) = p k b ( b ，繇) ，然后将结果p k a 佴k s ) 返回给a 。 ( 3 ) 彳接收到，j 酗，k s ) ，进行解密，d s k b ( p k b ( b ，k ) ) = ( b ，妊) ，验证厨，完成身 份认证，并建立会话密钥晒。 2 3 基于信物的用户身份认证技术 尽管前面提到的基于秘密信息的身份认证方法在原理上有很多不同，但他们有一个共 同的特点，就是只依赖于用户知道的口令和密钥等。与此对照，另一类身份认证技术是依 赖于用户所拥有的东西，如智能卡和磁卡等。 2 3 1 智能卡身份认证系统 智能卡也叫令牌卡，它实质上是i c 卡的一种。智能卡的组成部分与一台“正常”的电 脑是相同的：作为智能部件的微处理器( 即m p u ) 、存储器( 如e 2 p r o m 、r a m 、r o m ) 、 输入输出部分和软件资源。为了更好地提高性能，通常会有一个分离的加密协议处理器。 程序和通用的加密算法存放在r o m 中。 常用的智能卡用户身份认证系统将r s a 与d i f f i e - h e l l m a n 协议相结合，通过k d c 进行密 钥管理，而平时使用时不需要k d c 。智能卡系统有一个通信各方均使用的公开密钥，丽对 应的秘密密钥的保留在发卡方，用户持有的是该秘密密钥的一个变形需要通信进行身份 认证时，使用智能卡产生一个工作密钥。 2 3 2 令牌口令身份认证系统 基于智能卡的用户身份认证系统在认证时要求认证方有一个硬件一智能卡，只有持卡 9 人才能被认证。这样可以有效地防止口令猜测，但又引入了一个缺陷：系统只认卡不认人， 而且智能卡可能丢失，拾到或窃取智能卡的人将很容易假冒原持卡人的身份。 为解决丢卡的问题，令牌口令认证系统综合了基于账号和口令的身份认证方法，即认 证方既要求用户输入一个口令，又要求智能卡。这样，既不担心卡的丢失( 只要口令没有 泄漏) ，又不担心口令的泄漏( 只要卡没有丢) 。其具体实现方法主要有两种：“质询一响应” 和“时间一同步认证”【l 川。 2 4 基于生物特征的用户身份认证技术 长期以来，在人类社会活动中需要验证个人身份时，传统的方法是验证该人是否持有 有效的证件或信物，以“物”认人的办法的漏洞是显而易见的，因此必须寻找一种认“人” 不认“物”的直接验证方法，即“基于生物特征的用户身份认证技术”。 基于生物特征的用户身份认证技术是指通过计算机，利用人体所固有的生理特征或行 为特征来进行个人身份鉴定。人的生理特征与生俱来，多为先天性的；行为特征则是习惯 使然，多为后天形成。通常将生理和行为特征合称为生物特征，常见的生物特征包括指纹、 掌纹、虹膜、脸像、声音、笔迹等。世界上菜两个人指纹相同的概率极为微小，而两个人 的眼睛虹膜一模一样的情况也几乎没有。人的虹膜在两到三岁之后就不再发生变化，眼睛 瞳孔周围的虹膜具有复杂的结构，能够成为独一无二的标识。与生活中的钥匙和密码相比， 人的指纹或虹膜不易被修改、被盗和被人冒用，而且随时随地都可以使用。总之，与传统 的身份鉴别手段相比，基于生物特征的用户身份认证技术具有以下优点： ( 1 ) 不易遗忘或丢失； ( 2 ) 防伪性能好，不易伪造或被盗； ( 3 ) “随身携带”，随时随地可用。 2 5 小结 本章主要对用户身份认证技术进行了概述；根据用户身份认证技术的发展情况，从不 同的角度对其分类；并对现有的各种身份认证技术进行了介绍。 l o 3 1 掌纹研究的历史 第三章掌纹识别技术概述 手掌是手腕到手指根之间的掌心区域【1 虮。掌纹则是手掌皮肤所有纹路的统称，主要包括 乳突纹、主线和褶皱。人们对掌纹的研究有很长的历史。最初研究掌纹的目的是为了算命。 根据现在印度各地的遗迹和壁画中残留的古老记录及婆罗门教所传的口碑中，都可以了解 到手相在古代印度甚为流行。在中国。对掌纹的研究也有悠久的历史，远在3 0 0 0 年前的周 朝，手相学即已盛行。在西汉王朝，许负撰写了一本关于掌纹算命的书，可算是中国当时 最系统的手相著作，该书中包含了掌纹线的类型、线特征的分布、手掌颜色以及某些特征 点的定义等等，这些对于掌纹自动识别技术的研究具有很好的借鉴意义。同时，很早以前 人们也开始观察掌纹和疾病之间的关系，黄帝内经中就有关于掌纹诊病方面的内容。近 年来，医学界也兴起了掌纹诊病的研究热潮刚。同时。中国早在2 l o o 多年前就开始用掌纹 进行断案，在唐朝，掌纹被广泛地用来签署商业合同。在宋朝，掌纹则是法庭审判定案的 合法证据。 针对不同应用的掌纹研究为基于掌纹的身份识别研究提供了大量的参考知识，我们可以 借鉴或直接使用其中的某些知识和概念来进行掌纹识别的研究。 3 2 掌纹的形成 人的手掌上有三类纹线，分别称为屈肌线、皱褶线和乳突线，这些纹线主要是由于手 指的运动、组织结构合皮肤等原因形成的。手掌上的屈肌线是最深的线，主要是在手掌抓 握过程中，随着手掌、手指的张开、闭合而形成的。屈肌线也成为主线，按照手相学上的 定义，主线又分为生命线、智慧线和感情线。 1 主线( p r i n c i p a ll i n e s ) 尽管每个人手掌上主线的形成过程是相同的，但是，由于人们抓握东西的方式不同， 不同人的主线也有很大的区别。而且，每个人的手掌手指的大小、薄厚不同也进一步影响 了这些纹线的形成。文献【2 1 】认为，生命线是在人的胚胎时期最早形成的线，它主要是由于 大拇指的运动所产生的折痕。 2 皱褶( w r i n k l e ) 在人的整个身体中，由于一些部位的自然运动，导致皮肤在不同的方向上进行伸展， 如肘部和膝部表层皮肤。然而，皮肤经过很长时间的不断伸展和收缩会失去弹性，形成永 久的皱褶。事实上，显著的起皱现象是肌肉运动导致的。手掌上一些皱褶是天生的，而另 外一些是由于长时间手的抓握而引起的肌肉运动所导致的。 3 乳突纹( r i d g e ) 乳突纹是皮肤最外层表皮永久变厚形成的，它们高于皮肤的平均层面，只是分布在手 掌内侧和脚掌底部。手掌各部分乳突纹的粗糙程度不同，指尖部分最为细致，而手指其他 部分最为租糙，手掌上的乳突纹的粗糙程度适e e l 2 “，乳突纹通常是平行结构，或为曲线， 或为直线。 3 2 掌纹的特征 掌纹识别是用掌纹特征来进行身份鉴别的方法。人手掌上的掌纹特征非常丰富，包括 主线、皱褶、乳突纹、细节点和三角点等。 我们可以通过选择合适的算法来提取不同的掌纹特征，以区分不同的人，总的说来， 可用于身份识别的掌纹基本特征总结如下： ( 1 ) 几何特征( g e o m e t r i c a lf e a t u r e ) 这是反映手掌形状的特征，如手掌的宽度和手指的长度等。 ( 2 ) 主线特征( p r i n c i p a lp a l m - l i n e s ) 主线是手掌上最粗最强的几条线，大多数手掌上有三条主线，分别称为生命线、智慧 线和感情线。 ( 3 ) 皱褶特征( w r i n k l e s ) 除了主线外，手掌上还有许多皱褶线，一般来说这些线要比主线细、浅，并且很不规 则。 ( 4 ) 细节点特征( m i n u t i a e ) 由于手掌上布满了和指纹一样的乳突线，所以和指纹识别一样，在手掌上一样也可以 提取这些乳突线的细节点特征。 ( 5 ) 三角点特征( d e l t ap o i n t s ) 三角点是乳突纹在手掌上形成的三角区域的中心点。这些三角区域位于指根的下面以 及中指下方靠近手腕的位置。三角点和细节点是乳突纹形成的特征，只有在高分辨率、高 质量的图像中才能提取出来。 严格的说，在这些特征中几何特征不属于掌纹特征，而属于手形特征，这种特证简单， 但是唯一性很难满足，即具有相同几何特征的手掌较多，很难在身份鉴别中获得高的识别 精度，并且手掌的几何特征比较容易通过制作手掌模型的方法来伪造。 掌纹线包括主线和皱褶，可以从较低分辨率、较低质量的图像中提取出来，并且很稳 定，是掌纹识别中用到的重要特征之一。 以上这些都是掌纹的基本特征，由这些基本特征还可以形成很多其他的特征，比如由 乳突纹、皱褶和主线共同形成掌纹纹理特征( t e x t u r a lf e a t u r e ) 1 2 3 3 掌纹识别过程 和其他所有生物识别技术一样，掌纹识别主要由注册阶段和识别阶段两部分构成，如 图3 1 所示。在注册阶段，首先对获取的掌纹图像进行预处理，然后进行特征提取，最后 将提取的特征形成模板库，以备和测试样本进行匹配。在识别阶段，首先对获取的测试样 本经过与训练样本相同的预处理和特征提取操作，然后将提取的特征向量输入到分类器中 进行分类。 注册阶段 圈日回鸯囤日囤i ：= ：= 二：二：二：二：二：二：二：二：j ：二：二：二：二丑：二：= l 圈日回日圆日囤 识别阶段 图3 1 掌纹识别系统框图 掌纹采集主要是完成掌纹图像的获取功能，这是掌纹识别研究的基础，要求所获得的 图像清晰度高，受环境变化影响小，采集速度足够快，同时要求掌纹图像采集方便、易于 被用户接受。预处理主要完成掌纹图像的去噪、增强、分割、定位和归一化等操作，以利 于进一步的特征提取和匹配。特征提取定义和提取区分能力较强的掌纹特征。它是掌纹识 别最重要的部分，特征提取得好坏是影响掌纹识别系统性能的关键。特征匹配决定掌纹匹 配算法的设计和选取。掌纹匹配的算法与所提取的掌纹特征密切相关，不同的特征需要不 同的匹配算法。同时，根据具体的需求决定是进行一对多匹配还是一对一验证。 3 ，4 掌纹识别研究现状 尽管掌纹图像早已应用于刑侦领域，但自动掌纹识别作为一种生物识别技术则是近年 来发展起来的。国内外多所高校和研究机构纷纷加入到该领域，其中包括美国的密歇根州 立大学、台湾中华大学、香港科技大学、哈尔滨工业大学、清华大学、北京大学等。其中 香港理工大学生物识别研究中心根据前期的研究成果，设计和开发了世界上第一套民用联 机掌纹识别系统，建立了世界上最大的掌纹图像标准库【丑j 。 到目前为止，大多数的掌纹识别研究都集中在掌纹识别算法上，归纳起来，掌纹识别 算法主要可分为以下几类： 1 基于图像变换的识别算法 基于图像变换的识别算法是将掌纹图像进行某种变换。使得掌纹在变化域中可提取区 分性更好的特征。2 0 0 2 年，l 佣傅里叶变化( f o u r i e rt r a n s f o r m ) 将掌纹图像从空域变换到 频域，然后在频域中提取能反映掌纹线强度的特征和反映掌纹线方向的特征，并用这两种 特征实现了掌纹的联机识别田2 4 j 。2 0 0 3 年l u 在对掌纹图像进行k - l 变换的基础上对其进行j 了主成分分析( p r i n c i p a lc o m p o n e n ta n a l y s i s ，p c a ) ，获得了较好的识别结果。 2 0 0 4 年，z h a n g 酋先对掌纹图像进行了小波变换( w a v e l e tt r a n s f o r m ) ，然后对变化的 每一个子图进行了方向性的上下文建模，并在此基础上定义和计算了能反映主线和皱褶强 度的特征，最后用这些特征对掌纹图像进行了分类识别口5 l 。该方法在小波域内提取了能充 分反映掌纹线信息的特征，因此取得了较好的效果 2 基于掌纹结构特征的识别算法 如前所述。掌纹的基本构件是掌纹线( 包括主线和皱褶) 和乳突纹等。这些基本构件 可以形成不同的掌纹结构，如掌纹线可形成不同的形状，乳突纹具有很强的方向性等。这 些结构信息对于不同掌纹图像的区别具有很重要的作用。该类方法就是通过分析掌纹的这 些结构信息来实现身份识别的 1 9 9 8 年，f u n a d a 提出一种从高分辨率的墨迹掌纹图像中提取乳突纹的方法【捌。这种方 法不适用于低分辨率图像。1 9 9 9 年，z h 锄g 和s h u 用掌纹线特征实现了脱机掌纹验证【2 7 1 。2 0 0 0 年，黎明等用三条主线( 生命线、智慧线和感情线) 来进行身份识别郾1 。