基于生物特征識別和數(shù)字簽名技術的電子商務身份安全認證系統(tǒng)應用研究

1、基于生物特征識別和數(shù)字簽名技術的電子商務身份安全認證系統(tǒng)應用研究    摘要 生物特征識別技術作為一種身份識別的手段，具有獨特的優(yōu)勢，近年來已逐漸成為研究熱點之一。本文闡述了如何將生物特征識別技術與數(shù)字簽名加密技術有機結合，應用于電子商務身份安全認證系統(tǒng)，達到有效提高電子商務交易的安全性的目的。并提出了簡潔易行的身份安全認證系統(tǒng)解決方案結構和步驟。 關鍵詞 生物特征識別 數(shù)字簽名 電子商務 身份安全認證 一、引言 在電子商務應用日益廣泛的今天，從某種角度看，身份認證技術可能比信息加密本身更加重要。它是網(wǎng)絡安全和信息系統(tǒng)安全的第一道屏障，是在信息安全時代備

2、受關注的一個研究領域。 目前的應用主要是以“用戶ID+口令數(shù)字證書”來進行用戶的身份認證。從根本上說這種身份認證不能解決訪問者的物理身份和電子身份的一致性問題，即無法確認通過身份認證的訪問者即獲授權者。 啟發(fā)于人的身體特征具有不可復制的特點，人們開始把目光轉向了生物識別技術。人的指紋、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)定性的特征，為實現(xiàn)更安全、方便的用戶身份認證提供了有利的物理條件。 用戶最關注的問題是因特網(wǎng)的網(wǎng)絡安全性和保密性。保障網(wǎng)絡中數(shù)據(jù)傳輸?shù)陌踩酝ǔＰ枰柚畔踩δ軄韺崿F(xiàn)。在開放系統(tǒng)中對具有重要價值的信息或私密信息進行通信時，可使用數(shù)字簽名等密碼技術進行加密。 生物識別技術代表著用戶

3、身份認證技術的未來，有著廣闊的應用前景。如果將生物特征識別技術和數(shù)字簽名技術有機地結合在一起，可以提供一種更加安全、便捷的用戶身份認證技術。 二、生物特征識別技術 生物特征識別技術是通過計算機與光學、聲學傳感器和生物統(tǒng)計學原理等高科技手段結合，利用人體固有的生理特性來進行個人身份的鑒定。其核心在于如何獲取這些生物特征，并將之轉換為數(shù)字信息，存儲于計算機中，利用可靠的匹配算法來完成驗證與識別個人身份的過程。 1.指紋識別成熟的身份認證技術 在網(wǎng)絡環(huán)境下的身份認證系統(tǒng)中，應用指紋作為身份確認依據(jù)是理想的。 第一，理論上，每個人的指紋是獨一無二的。 第二，指紋樣本便于獲取，易于開發(fā)識別系統(tǒng)，實用性強

4、。 第三，指紋識別中使用的模板而是由指紋圖中提取的關鍵特征，使系統(tǒng)對模板庫的存儲量較小。也可以大大減少網(wǎng)絡傳輸?shù)呢摀阌谥С志W(wǎng)絡功能。 第四，指紋識別是生物特征識別中研究最早、技術最成熟、應用最廣泛的技術，有著堅實的市場后盾。 指紋識別具有很高的實用性、可行性。隨著固體傳感器技術的發(fā)展。指紋傳感器的價格正逐漸下降，在許多應用中基于指紋的生物認證系統(tǒng)的成本是可以承受的。 指紋識別原理和過程如下：首先，通過指紋讀取設備讀取到人體指紋圖像，并對原始圖像進行初步的處理，使之更清晰。然后，指紋辨識算法建立指紋的數(shù)字表示特征數(shù)據(jù)。特征文件存儲從指紋上找到被稱為“細節(jié)點”(minutiae)的數(shù)據(jù)點，也就

5、是那些指紋紋路的分叉點或末梢點。這些數(shù)據(jù)稱為模板（至今仍然沒有一種模板的標準，也沒有一種標準的抽象算法，各廠商自行其是）。最后，通過計算機把兩個指紋的模板進行比較，計算出它們的相似程度，得到兩個指紋的匹配結果。 2.虹膜和視網(wǎng)膜更準確、更可靠的身份認證技術 虹膜是一種在眼睛中瞳孔內的織物狀各色環(huán)狀物，每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細絲、斑點、結構、凹點、射線、皺紋和條紋等特征的結構。世界上兩個指紋相同的幾率為1/109，而兩個虹膜圖像相同的幾率是1/1011，虹膜在人的一生中均保持穩(wěn)定不變。因此，利用虹膜來識別身份能夠成為獨一無二的標識，其可靠性超過了指紋識別。 從直徑11m

6、m的虹膜上，Dr. Daugman的算法用3.4個字節(jié)的數(shù)據(jù)來代表每平方毫米的虹膜信息，一個虹膜約有266個量化特征點，而指紋識別技術只有40多個特征點。266個量化特征點的虹膜識別算法在眾多虹膜識別技術資料中都有講述，在算法和人類眼部特征允許的情況下，Dr. Daugman指出，通過他的算法可獲得173個二進制自由度的獨立特征點。這在生物識別技術中，所獲得特征點的數(shù)量是相當大的。 關于虹膜的特征提取方面較有成效的主要有Daugman的利用多分辨率Gabor濾波器提取虹膜紋理的相位信息；Wildes的基于4種不同決策標準的拉普拉斯金字塔提取虹膜紋理特征；Boles和Boashash的基于小波變

7、換過零檢測虹膜識別算法以及中科院采用Gabor濾波和aubechies-4小波變換相結合的紋理分析方法。 虹膜技術上有一些地方有待完善；當前的虹膜識別系統(tǒng)只是用統(tǒng)計學原理進行小規(guī)模的試驗，而沒有進行過現(xiàn)實世界的惟一性認證的試驗；目前圖像獲取設備相當昂貴。 視網(wǎng)膜是一些位于眼球后部十分細小的神經(jīng)（一英寸的1/50），它是人眼感受光線并將信息通過視神經(jīng)傳給大腦的重要器官，用于生物識別的血管分布在神經(jīng)視網(wǎng)膜周圍，即視網(wǎng)膜四層細胞的最遠處。 在20世紀30年代，通過研究就得出了人類眼球后部血管分布惟一性的理論，進一步的研究的表明，即使是孿生子，這種血管分布也是具有唯一性的，視網(wǎng)膜的結構形式在人的一生當

8、中都相當穩(wěn)定。所以，同虹膜識別技術一樣，視網(wǎng)膜掃描可能是最可靠、最值得信賴的生物特征識別技術。視網(wǎng)膜掃描設備可以從使用者的視網(wǎng)膜上可以獲得400個特征點，創(chuàng)建模板和完成確認。由此可見，視網(wǎng)膜掃描技術的錄入設備的認假率低于0.0001%。但拒假率（FAR，指系統(tǒng)不正確地拒絕一個已經(jīng)獲得權限的用戶）比較高，相信在進一步的研究中可以大大降低。 因為對視網(wǎng)膜難于采樣，也無標準的視網(wǎng)膜樣本庫供系統(tǒng)軟件開發(fā)使用，這就導致視網(wǎng)膜識別系統(tǒng)目前階段難以開發(fā)，可行性較低。 與指紋識別技術的主要步驟以及原理相似，虹膜識別與視網(wǎng)膜識別一般包括圖像采集、圖像處理、特征提取、保存數(shù)據(jù)、特征值的比對和匹配等過程。 圖 生物

9、識別系統(tǒng)原理 綜上所述，指紋識別是最容易實現(xiàn)的；而虹膜識別與視網(wǎng)膜識別受到某些限制，目前除了一些高端應用外很難普及應用，但其有著巨大的技術優(yōu)勢和潛在的商業(yè)價值，必將是下一代生物特征識別技術的發(fā)展方向。 三、基于生物特征識別和數(shù)字簽名技術的電子商務身份認證系統(tǒng)解決方案 1.方案設計要求 要確?；谥讣y特征的用戶身份認證系統(tǒng)的整體安全性，必須對基于指紋特征的網(wǎng)絡身份認證方案設計一個安全的身份認證協(xié)議。良好的身份認證協(xié)議應該滿足以下幾個要求： (1)能夠準確識別被認證對象的身份； (2)能夠明確重要事件的責任人，并實現(xiàn)簽名，避免事后抵賴； (3)能夠保障數(shù)據(jù)在存儲和傳送時的安全。 2.基于生物特征和

10、數(shù)字簽名技術的電子商務身份安全認證系統(tǒng)結構 基于秘密信息的身份認證協(xié)議：保證通信認證可以防止第三方的重放攻擊，但由于客戶端密鑰存儲和管理存在問題?；谏锾卣鞯纳矸菡J證：能解決口令窺視和密鑰管理難等問題，但很難阻止第三方的重放攻擊。因而，筆者提出了綜合前述的生物特征識別技術和數(shù)字簽名后得到的電子商務身份認證系統(tǒng)的解決方案。 在網(wǎng)絡環(huán)境下(B/S結構），用戶（客戶端）如果要訪問遠程服務器所管理的信息資源，在獲得相關資源訪問權限之前，必須通過生物特征身份認證，所有的信息資源訪問權限都在身份認證系統(tǒng)（服務器端）管理之下，未通過身份認證的用戶不能訪問信息資源。當模板內置于服務器時，通過客戶端的生物特征

11、獲取儀器獲得用戶的生物特征信息，該信息被加上數(shù)字簽名后傳送到服務器，在服務器首先校驗簽名是否有效，再與預先注冊的模板進行比較，并完成身份認證。 3.身份認證步驟與協(xié)議 在生物認證系統(tǒng)中，為了保證生物特征值這不被非法用戶所獲得，采用數(shù)字簽名技術。我們在此對協(xié)議中采用的符號做如下定義：A為用戶，AS為認證服務器，KUAS為認證服務器公鑰，TAS為認證服務器的時限，NA為A的現(xiàn)時數(shù)據(jù)，F(xiàn)A為A的生物特征值，IDA為A的標識。還需說明的是這里采用的是單向認證協(xié)議。基本協(xié)議如下： (1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合

12、法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。 (2)認證服務器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。 (3)客戶端A接受到認證服務器公鑰、時限和現(xiàn)時數(shù)據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組TAS，NA，F(xiàn)A用認證服務器的公鑰KUAS加密后發(fā)送給認證服務器。 (4)認證服務器AS通過生物特征信息數(shù)據(jù)庫進行比對，若匹配則A的身份通過認證。 這個方案與現(xiàn)時使用的認證體制基本類似，所以電子商務交易系統(tǒng)不必作重大改變。但因為引入了生物特

13、征識別，安全性可以獲得有效的加強。 四、結束語 在信息化日趨成為主流的今天，電子商務的業(yè)務已隨著互聯(lián)網(wǎng)的普及而飛速發(fā)展，與此同時，電子商務的安全性也成為業(yè)界的一個熱點研究方向。本方案設計將基于生物特征的身份認證技術和數(shù)字簽名相結合應用于電子商務，加強系統(tǒng)安全性，具有一定的研究和實用意義。 參考文獻： 1DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independenceJ. Tran Pattern Analysis and Machine Intelligence. 1

14、915(11): 1148-116 2MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variationsJ. IEEE Transactions on Image Processing, 2004,13(6)739-750 3BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet transformJ. IEEE Transon Sign

15、al Processing. 1998,46(4): 1185-1188 4WILDS R P. Iris recognition: an emerging biometric technologyA. Proceedings of the IEEEC.Sanjuan Puertorico, 1997 5孟浩徐翠平：虹膜識別算法的研究J.哈爾濱工程大學學報，2006,27(3): 400-403 6祝連慶穆婕馬龍:虹膜識別技術的研究J. 儀器儀表學報，2006,26(6): 753-755 7葉煒李恒華田捷:生物識別技術在網(wǎng)上銀行認證安全體系的應用J.計算機工程，2003, 29(11): 1

16、92-194 8方昱春王展:YourNewKey:生物特征識別技術J.自然雜志，2007, 29(4): 219-224 9賈聰智:指紋識別系統(tǒng)中的匹配算法研究與實現(xiàn)D.成都: 電子科技大學，2004(1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。 (2)認證服務器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。 (3)客戶端A接受到認證服務器公鑰、時限和現(xiàn)時數(shù)

17、據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組TAS，NA，F(xiàn)A用認證服務器的公鑰KUAS加密后發(fā)送給認證服務器。 (4)認證服務器AS通過生物特征信息數(shù)據(jù)庫進行比對，若匹配則A的身份通過認證。 這個方案與現(xiàn)時使用的認證體制基本類似，所以電子商務交易系統(tǒng)不必作重大改變。但因為引入了生物特征識別，安全性可以獲得有效的加強。 四、結束語 在信息化日趨成為主流的今天，電子商務的業(yè)務已隨著互聯(lián)網(wǎng)的普及而飛速發(fā)展，與此同時，電子商務的安全性也成為業(yè)界的一個熱點研究方向。本方案設計將基于生物特征的身份認證技術和數(shù)字簽名相結合應用于電子商務，加強系統(tǒng)安全性，具有一定的研究

18、和實用意義。 參考文獻： 1DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independenceJ. Tran Pattern Analysis and Machine Intelligence. 1915(11): 1148-116 2MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variationsJ. IEEE Transactions

19、on Image Processing, 2004,13(6)739-750 3BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet transformJ. IEEE Transon Signal Processing. 1998,46(4): 1185-1188 4WILDS R P. Iris recognition: an emerging biometric technologyA. Proceedings of the IEEEC.Sanjuan Pue

20、rtorico, 1997 5孟浩徐翠平：虹膜識別算法的研究J.哈爾濱工程大學學報，2006,27(3): 400-403 6祝連慶穆婕馬龍:虹膜識別技術的研究J. 儀器儀表學報，2006,26(6): 753-755 7葉煒李恒華田捷:生物識別技術在網(wǎng)上銀行認證安全體系的應用J.計算機工程，2003, 29(11): 192-194 8方昱春王展:YourNewKey:生物特征識別技術J.自然雜志，2007, 29(4): 219-224 9賈聰智:指紋識別系統(tǒng)中的匹配算法研究與實現(xiàn)D.成都: 電子科技大學，2004(1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一

21、個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。 (2)認證服務器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。 (3)客戶端A接受到認證服務器公鑰、時限和現(xiàn)時數(shù)據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組TAS，NA，F(xiàn)A用認證服務器的公鑰KUAS加密后發(fā)送給認證服務器。 (4)認證服務器AS通過生物特征信息數(shù)據(jù)庫進行比對，若匹配則A的身份通過認證。 這個方案與現(xiàn)時使用的認證體制基本類似，所以電

22、子商務交易系統(tǒng)不必作重大改變。但因為引入了生物特征識別，安全性可以獲得有效的加強。 四、結束語 在信息化日趨成為主流的今天，電子商務的業(yè)務已隨著互聯(lián)網(wǎng)的普及而飛速發(fā)展，與此同時，電子商務的安全性也成為業(yè)界的一個熱點研究方向。本方案設計將基于生物特征的身份認證技術和數(shù)字簽名相結合應用于電子商務，加強系統(tǒng)安全性，具有一定的研究和實用意義。 參考文獻： 1DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independenceJ. Tran Pattern Analysis and

23、 Machine Intelligence. 1915(11): 1148-116 2MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variationsJ. IEEE Transactions on Image Processing, 2004,13(6)739-750 3BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet trans

24、formJ. IEEE Transon Signal Processing. 1998,46(4): 1185-1188 4WILDS R P. Iris recognition: an emerging biometric technologyA. Proceedings of the IEEEC.Sanjuan Puertorico, 1997 5孟浩徐翠平：虹膜識別算法的研究J.哈爾濱工程大學學報，2006,27(3): 400-403 6祝連慶穆婕馬龍:虹膜識別技術的研究J. 儀器儀表學報，2006,26(6): 753-755 7葉煒李恒華田捷:生物識別技術在網(wǎng)上銀行認證安全體系的應

25、用J.計算機工程，2003, 29(11): 192-194 8方昱春王展:YourNewKey:生物特征識別技術J.自然雜志，2007, 29(4): 219-224 9賈聰智:指紋識別系統(tǒng)中的匹配算法研究與實現(xiàn)D.成都: 電子科技大學，2004(1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。 (2)認證服務器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。

26、(3)客戶端A接受到認證服務器公鑰、時限和現(xiàn)時數(shù)據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組TAS，NA，F(xiàn)A用認證服務器的公鑰KUAS加密后發(fā)送給認證服務器。 (4)認證服務器AS通過生物特征信息數(shù)據(jù)庫進行比對，若匹配則A的身份通過認證。 這個方案與現(xiàn)時使用的認證體制基本類似，所以電子商務交易系統(tǒng)不必作重大改變。但因為引入了生物特征識別，安全性可以獲得有效的加強。 四、結束語 在信息化日趨成為主流的今天，電子商務的業(yè)務已隨著互聯(lián)網(wǎng)的普及而飛速發(fā)展，與此同時，電子商務的安全性也成為業(yè)界的一個熱點研究方向。本方案設計將基于生物特征的身份認證技術和數(shù)字簽名相結

27、合應用于電子商務，加強系統(tǒng)安全性，具有一定的研究和實用意義。 參考文獻： 1DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independenceJ. Tran Pattern Analysis and Machine Intelligence. 1915(11): 1148-116 2MA Li, TAN Tieniu, WANG Yunhong. Efficient iris recognition by characterizing key local variati

28、onsJ. IEEE Transactions on Image Processing, 2004,13(6)739-750 3BOLES W W, BOASHASH B. A human identification technique using images of the iris and wavelet transformJ. IEEE Transon Signal Processing. 1998,46(4): 1185-1188 4WILDS R P. Iris recognition: an emerging biometric technologyA. Proceedings

29、of the IEEEC.Sanjuan Puertorico, 1997 5孟浩徐翠平：虹膜識別算法的研究J.哈爾濱工程大學學報，2006,27(3): 400-403 6祝連慶穆婕馬龍:虹膜識別技術的研究J. 儀器儀表學報，2006,26(6): 753-755 7葉煒李恒華田捷:生物識別技術在網(wǎng)上銀行認證安全體系的應用J.計算機工程，2003, 29(11): 192-194 8方昱春王展:YourNewKey:生物特征識別技術J.自然雜志，2007, 29(4): 219-224 9賈聰智:指紋識別系統(tǒng)中的匹配算法研究與實現(xiàn)D.成都: 電子科技大學，2004(1)A用自己標識的簽名向認

30、證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。 (2)認證服務器產(chǎn)生時限TAS，現(xiàn)時數(shù)據(jù)NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。 (3)客戶端A接受到認證服務器公鑰、時限和現(xiàn)時數(shù)據(jù)NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組TAS，NA，F(xiàn)A用認證服務器的公鑰KUAS加密后發(fā)送給認證服務器。 (4)認證服務器AS通過生物特征信息數(shù)據(jù)庫進行比對，若匹配則A的身份通過認證。 這個方案與現(xiàn)時使用的認證體制基本類似，所以電子商務交易系統(tǒng)不必作重大改變。但因為引入