[硕士论文精品]基于指纹识别的电子商务认证系统设计

武汉理工大学硕士学位论文摘要在电子商务和电子政务应用日益广泛的今天，安全和信任问题已成为电子商务中最重要、最核心的问题。而身份认证技术是网络安全和信息系统安全的第一道屏障，它是网络时代信息安全技术非常重要的一个研究领域。但是目前大多是基于密码技术的身份认证方式，即通行字方式，也就是“用户ID口令“来进行用户身份的认证。这种方法具有明显的缺陷一是难以记忆，二是难以抵抗住字典式的攻击。近年来，随着计算机技术和其他相关技术的发展创造的有利条件，生物识别技术得到了迅速发展。在网络环境下的身份认证系统中，应用指纹作为身份确认依据是比较理想的，如果将指纹识别技术和密码体制有机地结合在一起，可以提供一种更加安全、便捷的用户身份认证技术。因此以指纹特征为代表的生物识别技术代表着用户身份认证技术的未来，有着广阔的应用前景。本论文主要完成了以下工作1指纹技术与电子商务安全认证的理论分析。通过分析指纹识别技术的原理及指纹技术的特性，得出指纹识别技术在电子商务安全认证中的应用可行性的结论；通过分析电子商务安全的威胁、电子商务安全的需求、现行的电子商务安全的技术等，得出指纹识别技术应用在电子商务安全认证中的可能性的结论。2本文针对电子商务的特点，分析设计了基于指纹识别的身份认证系统。系统包括指纹注册、本地认证、远程认证子系统等模块。为了保证用户信息的有效性和安全性，设计所有合法用户的注册过程集中在主系统的客户端进行。远程认证子系统采用三层的CLIENTSERVER系统架构，使客户端负载降低，以适用不同的应用环境中。对系统进行测试并分析了系统性能，显示系统性能良好。关键字身份认证，指纹识别，电子商务ABSTRACTATECOMMELCEANDEGOVERNMENTAPPLICATIONSINCREASINGLYWIDERANGEOFTODAY,SECURITYANDTRUSTINECOMMERCEHASBECOMETHEMOSTIMPORTANTANDTHECOREPROBLEMWHILETHEIDENTITYAUTHENTICATIONTECHNOLOGYARENETWORKSECURITYANDINFORMATIONSYSTEMSECURITYTHEFIRSTBARRIER,ITISTIMENETWORKINFORMATIONSECURITYTECHNOLOGYAVERYIMPORTANTRESEARCHFIELDHOWEVER,MOSTAREPASSWORDBASEDAUTHENTICATIONTECHNOLOGY,THATISTHEWAYPASSWORDISUSERIDPASSWORDTOUSERIDENTITYAUTHENTICATIONTHISMETHODHASOBVIOUSSHORTCOMINGSONECALLHARDLYREMEMBER,ITISDIFFICULTTORESISTTWOLIVEDICTIONARYATTACKSINRECENTYEARS，WITHCOMPUTERTECHNOLOGYANDOTHERRELATEDTECHNOLOGIESTOCREATEFAVORABLECONDITIONSFORDEVELOPMENT，BIORECOGNITIONTECHNOLOGYHASBEENDEVELOPINGRAPIDLYUNDERTHENETWORKENVIRONMENTATTHEIDENTITYAUTHENTICATIONSYSTEM，THEAPPLICATIONOFFINGERPRINTIDENTIFICATIONASABASISFORAMORESATISFACTORY,IFTHEFINGERPRINTIDENTIFICATIONTECHNOLOGYANDPASSWORDSYSTEMCOMBINATIONWOULDPROVIDEALLLORESECUREANDCONVENIENTUSERAUTHENTICATIONTECHNOLOGYTHEREFOREREPRESENTEDBYFINGERPRINTINGBIOMETRICSUSERAUTHENTICATIONREPRESENTSTHEFUTUREOFTECHNOLOGY,WITHWIDEAPPLICATIONPROSPECTSTHEMAINTHESISCOMPLETEDTHEFOLLOWINGWORK1FINGERPRINTTECHNOLOGYANDECOMMERCESECURITYCERTIFICATIONOFTHETHEORETICALANALYSISBYANALYZINGTHEPRINCIPLEOFFINGERPRINTRECOGNITIONTECHNOLOGYANDFINGERPRINTTECHNOLOGYCHARACTERISTICS，DERIVEDFINGERPRINTRECOGNITIONTECHNOLOGYINECONLMERCESECURITYCERTIFICATIONINTHECONCLUSIONSOFTHEFEASIBILITYOFTHEAPPLICATION；THROUGHTHEANALYSISOFECOMMERCESECURITY,EOCONLINCTCESECURITYNEEDS，THEEXISTINGECOMMERCESECURITYTECHNOLOGY,FINGERPRINTIDENTIFICATIONTECHNOLOGYAPPLICATIONSARRIVEINECOMMERCESECURITYCERTIFICATIONOFTHEPOSSIBILITYOFCONCLUSION2INTHISPAPER,WEANALYZEDANDDESIGNEDALLIDENTITYAUTHENTICATIONFORECOMMERCESECURITYSPECIALLYACLIENTSERVERMODELINTWOTIERWASUSEDASTHEIII武汉理工大学硕士学位论文ARCHITECTUREOFTHESYSTEMTHESYSTEMCONTAINSSEVERALMODULESSUCHASFINGERPRINTINFORMATIONENROLLMENTMODULE，LOCALAUTHENTICATIONMODULEANDASUBSYSTEMFORREMOTEUSERAUTHENTICATIONTOENSURETHEAVAILABILITYOFUSERSINFORMATION，ALLLEGITIMATEBCRSMUSTBEENROLLEDCENTRALLYTHESUBSYSTEMOF3TIERARCHITECTUREISDESIGNTODEDUCELOADSOFCLIENTS，ANDTHEPROCESSOFFINGERPRINTSMATCHINGISIMPLEMENTEDBYSERVERSTHEEXPERIMENTALRESULTSREVEALTHATOURSYSTEMCANACHIEVEGOODPERFORMANCEASEXPECTEDKEYWORDSIDENTITYAUTHENTICATION,FINGERPRINTRECOGNITION，ECOMMERCEIV独创性声明本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特NJJI以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名多整堑日期超之竖乡学位论文使用授权书本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息服务。保密的论文在解密后应遵守此规定研究生签名墨塑导师签名2茗曩日期丝里兰堆武汉理T大学硕士学位论文11研究背景及意义第1章引言互联网已经深入到各个领域，传统的商品流通方式也正面临着诸多挑战。如阿罩巴巴等知名企业都预言着电子商务浪潮的愈演愈烈。在我国，电子商务的发展还因诸多原因而存在着各种问题，尤其是支付的安全，一直都是阻碍电子商务更好发展的屏障。现在网上支付主要通过“用户D密码”的方式来实现，有的加载了“USBKEY”数字签名技术，还有像支付宝等采用第三方中介。但是因为账号信息易盗、易遗忘、易丢失等问题而给消费者带来很多困扰。基于人体有不可复制等特点，我们逐渐注意到生物特征识别技术的应用。相对于其它生物特征识别技术例如人脸识别及声纹识别等，自动指纹识别是一种更为理想的身份确认技术。原因如下每个人的指纹是独一无二且相当固定；便于获取指纹样本，易于开发识别系统，实用性强系统安全性高，一个人的十指指纹皆不相同这样可以方便地利用多个指纹构成多重口令，同时并不增加系统的设计负担；指纹识别中使用的模板并非最初的指纹图而是由指纹图中提取的关键特征，使系统对模板库的存储量较小，而且对输入的指纹图提取关键特征后可以大大减少网络传输的负担便于实现异地确认。综上所述，运用自动指纹识别相对于其它方法不仅具有许多独到的信息安全角度的优点，更重要的是还具有很高的实用性和可行性。12研究现状生物识别技术目前已得到了迅猛的发展，用作识别的生物特征逐步地延拓。目前主要包括虹膜识别、面像识别、视网膜识别、掌型识别、语音识别、签名识别、行为识别、气味识别等。其中，以虹膜识别、面像识别、视网膜识别、掌型识别、语音识别、签名识别技术等较为成熟、应用较为广泛；而最为成熟，应用最广，且最具有权威性的当属指纹识别技术，指纹识别是当前生物识别领域的主角。武汉理工大学硕士学位论文近些年，指纹处理技术得到了很大的发展，这主要得益于现代电子集成制造技术和快速可靠的算法研究。尽管指纹只是人体皮肤的一小部分，但用于识别的数据量依然相当大，对这些数据进行比对也不是简单的相等与不相等的问题，而是使用模糊匹配算法，这需要进行大量运算。现代电子集成制造技术使得我们可以制造出相当小的指纹图像采集设备，同时，个人计算机运算速度飞速发展，这又使得在微机甚至单片机上进行两个指纹的比对成为可能另外，匹配算法的可靠性也在提高。指纹识别是生物识别中的首选。生物识别、特别是指纹技术处理在国内外取得了长足的发展与进步，在这一过程中，以下机构做出了具有建设性的重要的工作。美国密歇根州立大学MICHIGANSTATEUNIVERSITY，MSU计算机系模式识别与图像处理实验室在生物识别，特别是指纹识别方面做了大量的工作，提出了很多重要的理论，在应用中取得了明显的效果，并获得了多项专利；美国国家标准局NATIONALINSTITUTEOFSTANDARD，NIST对指纹技术标准和相关的算法作了规范，做了很多卓有成效的工作。意大利的BOLOGNA大学的生物特征识别系统实验室在指纹与生物识别技术方面也取得了很好的进展。密歇根州立大学MICHIGANSTATEUNIVERSITY和UNIVERSITYOFBOLOGNA的专家联合主持了FVC2002FINGERPRINTVERIFICATIONCOMPETITION，推出了专门的免费的指纹标准图库，供人们下载和使用，以对相关的指纹匹配算法进行验证、比较和改进，这大大推进了指纹匹配算法的研究与发展。在国内，生物识别特别是指纹信息处理的研究也开展得很广泛。众多的公司和机构都参与了研发和应用工作。其中，中科院自动化研究所人工智能实验室取得了最为突出的成果，获得了很多有自主知识产权的技术，他们是国内唯一一家参与FVC2002的机构另外，北京大学，清华大学，四川大学都在指纹识别上取得了一定的进展。国内的应用研究与国外相比有一定的差距。目前，国外已有很多公司推出了相当成熟而高效的算法从应用效果上看，取得了很好的经济效益。在美国较有名的公司有VERIDICOM、BIOACCESS等，他们不仅开发出了精确指纹处理的硬件设备，而且也推出了高效的匹配算法和软件，使得指纹处理更为方便和快捷，但是，这些公司关于指纹图像预处理和匹配算法都是相当保密的。在国内从事指纹处理研发的主要有特中科，培富士公司，中控等数百家公司。不过，无论是国内还是国外，指纹识别研究还基本上停留在算法层次上和本地应用上，2武汉理工大学硕十学位论文用于网络的身份认证基本上停留在局域网上考勤系统，在更为广泛范围的网络电子商务应用还没有成熟和完善，基本上处于萌芽阶段。13主要研究内容1研究目标和内容掌握指纹识别技术在网络电子商务身份安全认证应用方面的相关知识。了解目前国内外指纹识别技术用于电子商务身份认证平台的常用方法。设计一种用于电子商务的指纹识别身份认证系统的整体系统框架，分别研究各模块化子系统的原理和实现方法。2研究解决的关键问题本课题针对电子商务环境对指纹识别认证系统的具体要求，解决了指纹特征的获取，指纹特征的封装，指纹特征信息的传输，指纹模板数据的保存，指纹特征的匹配验证等关键问题。本论文设计了一种用于电子商务的指纹识别身份认证系统的整体系统框架，对指纹识别、网络通信、数据库三个子系统进行了设计及方法上的研究。指纹识别子系统部分主要从实现原理及采用的方法上进行详细阐述；网络通信子系统部分主要介绍通信原理及实现方法，数据库子系统部分主要介绍如何实现指纹数据的插入、查找、删除操作。采用模块化的编程方式，用客户端模块、服务器模块、数据库模块及存储模块四个模块实现三个子系统的开发并对系统进行了测试，提出了不足与改进方向。武汉理工大学硕士学位论文第2章电子商务的安全问题和解决方案21电子商务面临的安全威胁电子商务系统的安全需求可分为交易环境的安全性，是指电子商务系统所采用的软硬件环境的安全，包括系统平台、网络通讯、数据以及应用软件的安全；交易对象的安全性，是指电子交易涉及的持卡人客户、发卡机构、商家、收款行和支付网关等主体对象的真实性和可信性；交易过程的安全性，是指各交易对象进行网上交易的可信性和不可抵赖性；支付手段的安全性，是指电子资金转移的准确性、可靠性和及时性。目前电子商务的交易环境安全，很大一部分也就是互联网的安全。概括起来，互联网上存在的主要安全威胁有以下几种1客户端上的安全隐患JAVA应用程序、JAVASCRIPT、ACTIVEX控件等活动内容以及插件和电子邮件的附件中均可能带有黑客在其中安放的恶意代码。客户端用户如果启动带有这些恶意代码的程序，则会造成包括信息泄漏和硬盘上的信息被修改等的安全威胁。2通讯信道上的安全隐患在通讯信道上存在的安全威胁包括网络侦听、口令猜测、跟踪地址攻击等形式。3服务器上的安全隐患在服务器上存在的安全隐患包括操作系统的安全漏洞、数据库的安全漏洞等。对于商务交易而言，交易对象和交易过程的安全性直接关系到交易成功与否。电子交易活动进行的场所是因特网。但是因特网的安全性及交易双方的身份认证还不完善，电子商务交易双方销售者和消费者都面临不同的安全威胁。22商务过程中使用的主要安全技术针对电子商务过程所存在的各种安全隐患，人们使用了各种安全技术来保障电子商务交易的安全。目前主要有以下技术。4武汉理工大学硕士学位论文221网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全涉及面比较广，如操作系统安全、各种反黑客技术、防火墙技术、虚拟专用网VPN技术和漏洞检测技术等。防火墙建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障。VPN是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。222加密技术加密传输形式是一种将传送的内容变成一些不规则的数据，只有通过正确的密钥才可以恢复原文的传输形式。现代密码体制其算法本身是公开的，原文的保密性不再依赖于算法本身，而是依赖于密钥的保密性。在网络上，计算机的数据以数据包的形式发送、为防止信息被窃取，应当对发送的全部信息进行加密。根据密钥的特点，加密算法可以分为对称密钥加密算法和非对称密钥加密算法两类。1对称密钥加密算法是传统的加密手段。目前常用的对称密钥加密算法有DES算法DATAENCRYPTIONSTANDARD和IDEA算法等。最著名的对称密钥加密算法是由IBM公司发展起来的，并经过政府的加密标准筛选后，于1976年11月被美国政府采用。在该类算法中，信息的发送方和接收方用同一个秘密密钥去加密和解密数据，一方用商定好的加密函数和秘密密钥加密明文，另一方用加密函数的逆函数和同一个秘密密钥对密文解密，得到原始明文。这类加密算法执行效率高、速度快，适合对大数据量进行加解密。但由于收发双方共享一个秘密密钥，密钥的传递和管理很困难。2非对称密钥加密算法，又称公开密钥技术。常用的公开密钥算法有RSA算法和EIGAMAL算法等，其中的RSA算法是公开密钥加密算法中比较优秀的算法，已经得到广泛的应用。它需要使用一对密钥来分别完成加密和解密操作，一个称为公开密钥PUBLICKEY；另一个由用户自己秘密保存，称为私有密钥PRIVATEKEY。经用户公开密钥加密的信息只能通过他的私有密钥来解密，反过来，经用户私有密钥加密的信息也只能通过他的公开密钥来解密。当两用户通讯时，双方都用公布的公开密钥加密而用自己的私有密钥解密，就可以实现信武汉理工大学硕士学位论文息的保密传输。公开密钥加密算法的优点是不需在用户之间传递私有密钥，可以适应开放性的使用环境，但计算复杂度高，加密和解密速度都比对称密钥算法慢得多。3混合密钥加密技术为了充分利用公开密钥密码算法和私有密钥密码算法的优点，解决每次传送更换密钥的问题，可以采用混合密码技术，即电子信封技术。发送者自动生成对称密钥，用对称密钥加密发送的信息，将生成的密文连同用接收方的公开密钥加密的对称密钥一起传送出去。收信者用自己的私有密钥解密被加密的密钥来得到对称密钥，并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行，更好的保证了数据通讯的安全性。混合密钥加密技术的加解密过程如下色加密方或发方；A生成明文；B用密钥生成算法产生特定长度的对称密钥；使用对称密钥加密算法DESIDEA和该对称密钥对明文进行加密，形成密文；D用收方RSA公开密钥加密对称密钥；E把加密后的对称密钥和密文一同发送给收方。B解密方或收方A用收方的密钥解密收到的己加密的密钥，得到未加密的对称密钥；B用A中得到的对称密钥解密密文，得到明文。从上面分析可以看出，把两者结合起来使用，就可以综合发挥两种加密体制的优点，即DESIDEA高速简便性和RSA密钥管理的方便性和安全性。也就是说，既保证了数据安全，又提高了加密和解密的速度。223身份认证技术身份认证指的是用户身份的确认技术，它是网络安全的第一道防线，也是最重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后确定这个用户的个人数据和特定权限。对于身份认证系统来说，最重要的技术指标是，合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户的利益。在计算机系统中，一般采用验证口令的方式来确认用户的合法性，但是用户的口令可能由于各种原因被其它人得到，常见的途径有1通过网络窃听。很多传统的网络服务在询问和验证远程用户口令的过程中，用户口令在网络中用明文传送，于是网络中的窃听者可以窃得用户口令；2通过用户主机窃听。现在各种各样的木马程序非常多，用户一不小心，就可能将来自各6武汉理工大学硕士学位论文种渠道的某个木马程序激活，然后远程的黑客通过木马程序记录用户的一举一动，包括用户输入的口令；3通过简单猜测。很多用户在设置口令的时候，为了方便自己记忆而选择过于简单的口令，攻击者通过简单猜测获得；4通过系统漏洞泄漏。存放和验证口令的计算机系统可能存在其他方面的漏洞，黑客利用这些漏洞进入系统，获取用户和口令文件，然后使用专门的工具强行破译用户口令；5用户自己泄漏。用户自己可能将口令告诉别人，或者存放在其他地方，被别人获取。在计算机网络系统中，现有的用户身份认证基本技术基本可以分为以下三类，即口令认证，安全物品认证和生物认证。224CA认证技术CA认证中心是一个确保信任的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。也可以把CA看成是一个电子护照的颁发中心。由CA签发的网络用户电子身份证明，任何相信该以的人，按照第三方信任原则，也都应该相信持有证明的用户。CA注册机构是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。用户通过向CA注册登录，提供自己的个人信息资料，获得CA认可后由CA生成此用户的标识符，提供给CA生成唯一标识此用户的数字证书。密钥管理为了确保数据的安全性，自动更新密钥、恢复意外损坏比如硬盘等物理介质突然损坏或丢失的密钥。有时也会出现一个已颁发证书不再有效的情况。如果这个证书还没有到期，就需要进行证书撤销。225数字摘要技术、数字信封技术、数字签名技术、数字证书技术公钥密码体制在实际应用中包含以下几种安全技术方式1数字摘要技术就是单向哈希HASHIGI数技术，它除了可用于前面所讨论的数字签名之外，还可用于信息的完整性检验和各种协议的设计等。2数字信封技术是利用数据接受者的公钥进行加密，保证只有规定的收信人才能阅读信的内容。在数字信封中，信息发送方使用密码对信息进行加密，再利用公开密钥加密算法如RSA对该密码进行加密，被公开密钥加密算法加密的密码部分称数字信封。3数字签名技术发送者用自己的私有密钥加密数据传给接收者，接收7武汉理工大学硕士学位论文者用发送者的公钥解开数据后，就可确定消息来自于谁。同时也是对发送者发送的信息的真实性的一个证明，发送者对所发信息不能抵赖。数字签名能够实现以下功能1收方能够证实发方的真实身份；2发方事后不能否认所发送过的报文；3收方和非法者均不能伪造、篡改报文；4数字证书技术数字签名和公开密钥加密技术都会面临一个公开密钥的分发问题，即如何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。数字证书作为网上交易双方真实身份的依据，是一个经证书授权中心数字签名的、包含证书申请者个人信息及其公开密钥的文件。基于公开密钥体制的数字证书是电子商务安全体系的核心，并由可信任的、公正的权威机构CA颁发。226智能卡技术智能卡，即IC卡，又称“集成电路卡一，英文名称为“INTEGRATEDCIRCUITCARD“，是将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中制作而成，它包含了微电子技术和计算机技术，是一种成熟的高技术产品。它可以在浏览器下高速完成身份认证、安全通讯和数字签名等操作。使用智能卡方法是当前国际上公认的网络信息安全中最好的用户端解决方案。23电子安全交易体系231公开密钥基础设施公开密钥基础设施PUBLICKEYINFRASTRUCTURE，简称PKI是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。PKI是一个利用现代密码学的公钥密码技术，并在开放的因特网网络环境中提供数据加密以及数字签名服务的、统一的技术框架，是电子商务安全问题的关键和基础技术。PKI通过认证中心和数字证书管理用户的密钥，让用户可以在多种应用环境下使用加密或数字签名，从而实现传输数据的安全。它能够有效地解决电子商务中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。应用PKI技术，可以建立一个可信任和足够安全的网络系统，达到了交易之保密、身份认证、交易资料完整、交易的不可否认性四大需求。PKI是一种8武汉理工大学硕士学位论文采用非对称加密算法的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理。在PKI技术中使用的非对称加密算法有很多，但目前得到广泛使用的是RSA算法。用RSA算法进行数字签名传统的数据加密方法只能防止第三者获得真实数据，而数字签名则可以解决否认、伪造、篡改及冒充等问题。签名和验证过程如下发送方首先用公开的单向函数对报文进行一次变换，得到数字签名，然后利用私有密钥对数字签名进行加密并附在报文之后一同发出接收方用发送方的公开密钥对数字签名进行解密变换，得到一个数字签名的明文，发送方的公钥是由认证中心发布的；接收方将得到的明文通过单向函数进行计算，同样得到一个数字签名。再将两个数字签名进行对比。如果相同，则证明签名有效，否则无效。这种方法使任何拥有发送方公开密钥的人，都可以验证数字签名的正确性。PKI由认证中心CA、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等部分构成。CA是PKI的关键组成部分，负责数字证书的生成、分发和撤消，通过认证过程将一个公钥与一个实体联系起来。PKI的基本内容主要包括以下几个方面1认证机构，是PIG的核心，主要的作用是发行数字证书来证明用户一密钥对的合法性，同时还负责管理和维护证书数据库；2证书和密钥的管理，其中包括证书的撤销和重新发放、密钥的备份和恢复、密钥的自动更新等3客户端软件是满足客户提出的PKI请求，让客户享受P服务的必要条件。没有客户端软件，再好的PKI系统对于用户而言都是毫无用处的。无论什么样的加密系统都有它脆弱的一面。整个PKI体系的功能是非常强大的，但是这都是建立在私钥必须保密的基础之上。一旦私钥泄露，那么整个体系的安全基础将不复存在。232SET体系SET协议是世界上两家最大的信用卡公司MASTERCARDINTERNATIONAL和VISAINTERNATIONAL合作开发的。由于它是专门针对电子交易设计的，能较好的解决了认证和安全问题，所以很快被行业接受。在SETCA认证体系中，认证中心是整个系统的安全核心。SET所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。在证书中，利用X500来确定SET交易中所涉及的各参与方。SET9武汉理工大学硕士学位论文CA是一套严密的认证体系，可保证BTOC类型的电子商务安全顺利地进行。SET定义了个完备的电子交易流程，较好地解决了电子交易各方之间复杂的信任关系和安全连接，确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。SET支付系统参与者1持卡者在电子商务环境中，消费者通过计算机与商家交互，持卡者使用一个发卡行发行的支付卡；2发卡行指一个金融机构，为持卡者建立一个帐户并发行支付卡；3商家提供商品和服务，在SET中，商家与持卡者进行安全电子交易；4收单行一个金融机构，为商家建立一个帐户并处理支付卡授权和支付；5支付网关一个由收单行操作的设备或者指定的第三方，用于处理支付卡授权和支付；6第三方发卡行和收单行有时指定第三方来处理支付卡交易，对持卡人、商家和支付网关发放数字证书，供交易中的所有成员作为身份证明。一个完整的SET交易包括了以下步骤1向提供SET交易服务的发卡行提出申请，发卡行取得信用卡相关数据确认无误后，发“数字证书“给持卡人；2同样的商店向其以取得数字证书，再通过SET测试取得“SET特约商店“商标；3持卡人进入商店WEB站点选择所购货物，填写订单信息；4选择完毕后结帐，把订单和信用卡信息加密传递给商店双重签字；5商店将信用卡加密数据原样通过支付网关传洽收单行，以检查信用卡是否有效6收单行向发卡行确认信用卡数据无误后，向商店发出确认信息，此时商店可以放心接下订单而向购物者发送订单成立信息；7到结帐日，发卡行向购物者发放信用卡帐单，商家以信用卡授权码向收单行划款。SET协议使用加密技术提供信息的机密性，保证支付的完整性，验证商家和持卡者。支付安全的目标是验证持卡者、商家和收单行，为支付数据提供机密性；保护支付数据的完整性；为这些安全服务定义算法和协议。SET的目标是通过因特网采用安全方式与第三方支付机构建立联系。SET要求支付网关和商家采用公钥和私钥对，建议持卡者也采用公钥和私钥对。24电子商务身份认证的几种实现方式身份认证可以依靠三种基本途径用户所知道的某个秘密信息、用户所拥10武汉理工大学硕士学位论文有的东西、用户所具有的某些生物特征实现，也可以是上述三种方式的组合。241用户所知道的某个秘密信息主要包括基于口令的认证和基于密码体制的身份认证。最传统的方法是系统事先保存每个用户的二元组信息IDX，PWX，进入系统时用户X输入IDX和PWX，系统根据保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。这种方法操作十分简单，但同时又最不安全，因为其安全性仅仅基于用户口令的保密性。缺点在于用户口令如果较短则容易猜测，因此不能抵御口令猜测攻击；如果过长，则使得用户记忆时不方便；口令的明文传输使得系统攻击者很容易通过搭线窃听方法获取用户口令；由于系统保存的是口令的明文形式，一方面需要系统管理员是可信赖的，另一方面，一旦攻击者能够访问口令表，整个系统的安全性就受到了威胁。242认证令牌认证令牌是一个用户随身携带的设备，用户使用这一设备来实施认证。认证令牌属于“用户所拥有的东西”这类认证机制。当前常见的认证令牌的形式是带磁片条的信用片。认证令牌缺点在于每个访问点需要配置硬件读片器等以保证读取令牌信息；令牌可能丢失或被盗。为安全起见，令牌必须带有PIN或口令。相应的，必须有方便的方法来解决忘记口令的问题；无法抵抗通信侦听。另一种认证令牌是智能片。智能片里面嵌入了一个CPU和内存，当其插入智能片读片器时，该片与读片器进行对话。目前主要有以下几种智能片有PIN值保护的内存片和密码挑战响应片。243生物特征认证生物特征认证拥有传统密码认证和令牌认证所不具有的很多优势，生物特征直接隶属于认证人，与认证人完全绑定，不会被遗忘，不可外借，在实践中也不易伪造。在实际应用中，还需要考虑几个重要因素，包括性能，指对生物特征识别的准确度和速度；可接受性，指实际应用中使用者愿意接受生物特征识别的程度；安全性，指系统抗拒欺骗手段的能力。武汉理工大学硕士学位论文第3章指纹识别技术分析31指纹识别的历史与发展19世纪初，科学研究发现了至今仍然承认的指纹的两个重要特征，一是两个不同手指的指纹纹脊的式样不同，另外一个是指纹纹脊的式样终生不变即指纹的唯一性和不变性。这个研究成果使得指纹在犯罪事件的鉴别中得以正式应用。20世纪60年代，由于计算机可以有效地处理图形，人们开始着手研究利用计算机来处理指纹。从那时起，自动指纹识别系统AFIS在法律实施方面的研究和应用在世界许多国家展开。到了20世纪80年代，个人电脑、光学扫描这两项技术的革新，使得它们作为指纹取像的工具成为现实，从而使指纹识别可以在其他领域中得以应用。现在；随着取像设备的引入及其飞速发展，生物指纹识别技术的逐渐成熟，可靠的比对算法的发现都为指纹识别技术提供了更广阔的舞台。对生物识别技术来说，被广泛应用意味着它能在影响亿万人的日常生活的各个地方使用。通过取代个人识别码和口令，生物识别技术可以阻止非授权的“访问，可以防止盗用ATM、蜂窝电话、智能片、桌面PC、工作站及其计算机网络；在建筑物或工作场所生物识别技术可以取代钥匙、证件、图章等；在通过电话、网络进行的金融交易时进行身份认证。32指纹的两个特性指纹的两个重要特征一是两个不同手指的指纹纹脊的式样不同，另外一个是指纹纹脊的式样终生不变。1唯一性指纹具有很明显的特定性。据指纹学理论，两枚指纹匹配上12个特征的几率为LO一，至今尚找不出两个指纹完全相同的人。不仅人与人之间，就是同一个人的十指之间，指纹也有明显的区别，指纹的这一特点，为指纹用于身份鉴定提供客观根据。12武汉理工大学硕士学位论文2不变性指纹具有很强的相对稳定性。尽管随着人体年龄的增大，指纹在外型大小，脊纹粗细上会有变化，局部脊纹之间也可能出现新的细线，但从总体上看，同一指的指纹脊纹类型、细节特征的总体布局等始终无明显变化。正是指纹具有这两大原理唯一性和不变性，才奠定了现代指纹识别的基础，开创了利用指纹来进行科学识别人类个体的新纪元。33指纹识别技术的工作原理331指纹识别的基本原理指纹识别技术主要涉及四个功能读取指纹图像、提取特征、保存数据和比对。首先，通过指纹读取设备读取到人体指纹的图像，取到指纹图像之后，要对原始图像进行初步的处理，使之更清晰。接下来，指纹辨识软件建立指纹的数字表示特征数据，可以从指纹转换成特征数据。软件从指纹上找到被称为“节点“的数据点，也就是那些指纹纹路的分叉、终止或打圈处的坐标位置，这些点同时具有七种以上的唯一性特征。因为通常手指上平均具有70个节点，所以这种方法会产生大约490个数据。有的算法把节点和方向信息组合产生了更多的数据，这些方向信息表明了各个节点之间的关系，也有的算法还处理整幅指纹图像。总之，这些数据，通常称为模板，保存为1K大小的记录。最后，通过计算机模糊比较的方法，把两个指纹的模板进行比较，计算出它们的相似程度，最终得到两个指纹的匹配结果。332取得指纹图像取像设备分成两类光学、硅晶体传感器和其他。光学取像设备依据的是光的全反射原理。由于最近光学设备的革新，极大地降低了设备的体积。应用晶体传感器是最近在市场上才出现的，这些含有微型晶体的平面通过多种技术来绘制指纹图像。电容传感器通过电子度量被设计来捕捉指纹。电容设备能结合大约100，000导体金属阵列的传感器，其外面是绝缘的表面，当用户的手指放在上面时，皮肤组成了电容阵列的另一面。电容器的电容值由于金属间的距离而变化，这里指的是脊近的和谷远的之间的距离。压感式表面的顶13武汉理工大学硕士学位论文层是具有弹性的压感介质材料，他们依照指纹的外表地形凹凸转化为相应的电子信号。温度感应传感器被设计为感应压在设备上的脊和远离设备的谷温度的不同。超声波扫描被认为是指纹取像技术中非常好的一类。超声波扫描指纹的表面，接收设备获取了其反射信号，测量他的范围，得到脊的深度。不像光学扫描，积累在皮肤上的脏物和油脂对超声波获得的图像影响不大，所以这样的图像是实际脊地形凹凸的真实反映。在晶体传感器之前，一些没有用到的机能是局部调整、软件控制、自动获取控制技术。光学扫描也有自己的优势。其中之一在较大的模型可以做较大指纹取像区域。而制造较大的应用晶体传感器的指纹取像区域是非常昂贵的，所以应用晶体传感器的指纹取像区域小于L平方英寸，而光学扫描的指纹取像区域等于或大于L平方英寸。然而这个对于较小的光学扫描设备并不是优势。较小的光学扫描也是较小指纹取像区域，这是因为较大的指纹取像区域需要较长的焦点长度，所以要有较大包装，否则如果较大的取像区域使用较小的包装，则光学扫描设备会受到图像边缘线形扭曲的影响。晶体传感器技术最重要的弱点在于，它们容易受到静电的影响，这使得晶体传感器有时会取不到图像，甚至会被损坏，另外，它们并不像玻璃一样耐磨损，从而影响了使用寿命。总之，各种技术都具有它们各自的优势，也有各自的缺点。333图像的增强刚获得的图像有很多噪音。这主要由于平时的工作和环境引起的，比如，手指被弄脏，手指有刀伤、疤、痕、干燥、湿润或撕破等。图像增强是减弱噪音，增强脊和谷的对比度。有很多图像增强的方法。大多数是通过过滤图像与脊局部方向相匹配。图像首先分成几个小区域窗口，并在每个区域上计算出脊的局部方向来决定方向图。可以由空间域处理，或经过快速2维傅立叶变换后的频域处理来得到每个小窗口上的局部方向。设计合适的，相匹配的滤镜，使之实用于图像上所有的像素空间场是其中的一个。依据每个像素处脊的局部走向，滤镜应增强在同一方向臂的走向，并且在同一位置，减弱任何不同于脊的方向。后者含有横跨脊的噪音，所以其垂14武汉理工大学硕士学位论文直于脊的局部方向上的那些不正确的“桥”会被滤镜过滤掉。所以，合适的、匹配的滤镜可以恰到好处地确定脊局部走向的自身的方向，它应该增强或匹配脊而不是噪音。噪音减弱后，我们准备开始选取一些脊。虽然，在原始灰阶图像中，其强度是不同的而按一定的梯度分布但它们真实的信息被简单化为二元脊及其相对的背景。二元操作使一个灰阶图像变成二元图像，图像在强度层次上从原始的256色8BITS降为2色1BITS。图像二元化后，随后的处理就会比较容易。二元化的困难在于，并不是所有的指纹图像有相同的阀值，所以一般不采取从单纯的强度入手，而且单一的图像的对照物是变化的。在节点提取之前的最后一道工序是“细化”。细化是将脊的宽度降为单个像素的宽度。一个好的细化方法是保持原有脊的连续性，降低山于人为因素所造成的影响。人为因素主要是毛刺，带有非常短的分支而被误认为是分叉。认识到合法的和不合法的节点后，在特征提取阶段排除这些节点。334指纹的特征与人工处理不同，许多生物识别技术公司并不直接存储指纹的图像。多年来在各个公司及其研究机构产生了许多数字化的算法，但指纹识别算法最终都归结为在指纹图像上找到并比对指纹的特征。我们定义了指纹的两类特征来进行指纹的验证总体特征和局部特征。其中总体特征是最重要的。总体特征是指那些用人眼直接就可以观察到的特征，包括一些基本纹路图案环型，弓型，螺旋型，如图3L所示。其他的指纹图案都基于这三种基本图案。仅仅依靠图案类型来分辨指纹是远远不够的，这只是一个粗略的分类，但通过分类使得在大数据库中搜寻指纹更为方便。氆鎏渤弓型螺旋型图3I指纹纹路图案武汉理工大学硕士学位论文在指纹特征识别中，提取图像最重要的区域称为模式区。模式区是指指纹上包括了总体特征的区域，从模式区就能够分辨出指纹是属于那种类型的。指纹纹路并不是连续的、平滑笔直的，而是经常出现中断、分叉或打折。这些断点、分叉点和转折点就称为“特征点。两枚指纹经常会具有相同的总体特征，但它们的局部特征特征点，却不可能完全相同。就是这些特征点提供了指纹唯一性的确认信息。指纹上的节点有四种不同特性。现有的大部分指纹识别算法只使用模式区的数据。局部特征是指指纹上的节点的特征。这些具有某种特征的节点称为特征点。1特征点的分类节点多种类型，最典型的是终结点和分叉点。2方向节点可以朝着一定的方向。3曲率描述纹路方向改变的速度。4位置节点的位置通过X，Y坐标来描述，可以是绝对的，也可以是相对于三角点或特征点的。335指纹的验证和辨识应用系统利用指纹识别技术可以分为两类，即验证和辨识。验证就是通过把一个现场采集到的指纹与一个已经登记的指纹进行一对一的比对来确认身份的过程。作为验证的前提条件，他或她的指纹必须在指纹库中已经注册。指纹以一定的压缩格式存贮，并与其姓名或其标识ID，PIN联系起来。随后在比对现场，先验证其标识，然后，利用系统的指纹与现场采集的指纹比对来证明其标识是合法的。验证其实是回答了这样一个问题，“他是他自称的这个人吗“。这是应用系统中使用得较多的方法。辨识则是把现场采集到的指纹同指纹数据库中的指纹逐一对比，从中找出与现场指纹相匹配的指纹，这也叫“一对多匹配“。验证其实是回答了这样一个问题“他是谁“辨识主要应用于犯罪指纹匹配的传统领域中。一个不明身份的人的指纹与指纹库中有犯罪记录的人指纹进行比对，来确定此人是否曾经有过犯罪记录。验证和辨识在比对算法和系统设计上各具技术特点。例如验证系统一般只考虑对完整的指纹进行比对，而辨识系统要考虑残纹的比对，验证系统对比对算法的速度要求不如辨识系统高，但更强调易用性另外在辨识系统中，一般要使用分类技术来加快查询的速度。16武汉理工大学硕士学位论文34指纹匹配指纹匹配算法是指纹识别的核心。根据指纹特征提取的种类和方法，现行的指纹识别算法有以下几种基于细节特征的匹配、基于小波特征的指纹识别、基于GABOR特征的指纹识别、基于神经网络的指纹识别和基于相关分析或空域频谱分析的光学数字识别方法。目前，商业最常用的是基于细节点的匹配算法。经过特征提取后，指纹图像可表示为由若干分叉点和端点组成的点集，指纹匹配问题转为点集匹配的问题。假设模板点集为P惭，YF，甜，F，L，G，Y二，铭，TU9，现场指纹特征点集为Q衍，尸F，印，中L，少暑，铝，F男，在对同一手指的两次采集过程中，会出现平移、旋转、局部变形等问题。为了解决这些问题，可将匹配分为初匹配和再匹配两个阶段。对每个特征点，以该点为中心，建立一个局部领域特征向量FVCENTERTYPE，R，V【1】，V21，VN】31其中CENTERTYPE是该中心点的类型；R是范围圆的半径，若与中心点的距离小于R则不选择；11为所选择的领域内的特征点数；V嘲是领域点I与中心点的信息向量，表示为VITYPEI，AXI，DI，NUMI32其中TYPE；I表示点I的类型，AXI表示与中心点的方向差，DI表示与中心点的最短距离，NUMI表示点I与中心点线段上的脊线数。匹配算法描述如下1逐一比较F形户IL，2，M和，L口J1，2，N。若中心点类型不一致，则匹配分数SCOREIJ0；若中心点类型一致，则R1个领域分量中有K个领域点匹配，则SCOREIJK；2在匹配矩阵SCORE的每一行中，标出分数最大且不为零的元素，并标出矩阵中分数值最大的元素SCOREIJ。计算分数总和GPQ。3初匹配判决条件为S100GPQ2MN334设初匹配最高门限分数SMAX，最低门限分数为STAIN，若SSMAX，则判断为P，Q来自同一指纹；若STAINS指纹面积35和360度旋转。通过使用特殊技术实现在指纹平移和360度旋转时的快速比对平均速度3000枚秒，即使指纹特征点很少时_15，也可以实现上述功能。3BIOKEY算法不需要指纹必须有全局特征点核心点、三角点等，通过局部特征点就可以完成识别。4BIOKEY通过分类算法指纹被分成五大类型拱类、左环类、右环类、尖拱类、旋涡类“斗，预先使用全局特征排序，从而大大的加速指纹匹配过程。5BIOKEY算法代码相当简洁，数据空间仅需要350K内存，因此可以容易的移植到嵌入式系统中。表41BIOKEYSDK35的主要性能指标模板大小3101101“11521NBYTE旋转O一360度FAR300DPI武汉理工大学硕士学位论文424系统工作模式指纹识别的工作模式有两种识别和认证。在识别模式1N下，用户只需向客户端提供指纹，服务器端在接收到客户端发送的指纹特征后，将其与数据库中的指纹特征模板进行一一比对。这种模式的优点是用户操作简单，只需提供自己的指纹，但比对速度慢，效率低。在认证模式11下，服务器接收到请求后，要求客户端提供用户ID和现场指纹特征，服务器端根据用户的ID检索数据库，在指纹模板库中找到与该ID对应的特征模板，并与认证现场提供的指纹特征进行匹配。这种模式的优点是比对速度快，效率高。同时这种方法对用户带来了不便，用户需要记忆较长的ID号，认证时的输入过程也占用了一定的时间。目前常用的指纹匹配算法在用户数量多、指纹模板空间大的情况下，识别的性能比认证性能低很多。根据上述两种模式的工作特点，本系统采用“认证识别”相结合的方式。按照一定的规则，将用户进行动态分组。系统首先根据组号检索数据库，确定待匹配的模板组，然后在组内进行一一比对。用户在认证时只需要输入简短的组号即可。此种设计可以最大限度地兼顾两种模式的优点，避免其缺点和不足。425客户端设计本系统客户端的