基于多生物特征識別的網絡身份認證研究

摘 要：針對單項生物特征在網絡身份認證過程中，可能由于用戶身體受到傷病或污漬的影響而導致系統無法正常識別、合法用戶無法登錄的問題。提出了將多種生物特征用于網絡身份認證的方法，并對相關技術進行了探討。

關鍵詞：網絡安全； 身份認證； 多生物特征識別

中圖法分類號：TP391．4 文獻標識碼：A 文章編號：1001-3695(2006)10-0119-03

Network Identity Authentication Study

Based on Multibiometric Feature Recognition

HE Guohui1， GAN Junying1，2

(1.College of Information， Wuyi University， Jiangmen Guangdong 529020， China; 2.National Laboratory of Machine Perception， Peking University， Beijing 100871， China)

Abstract:When single biometric feature is applied in network identity authentication， the system designed can’t work normally because user is possibly influenced by injury or dirtiness. Therefore， legal user can’t log on. In this paper， the method for multibiometric features in network identity authentication is presented， and the relevant technologies are analyzed.

Key words:Network Safety; Identity Authentication; Multibiometric Feature Recognition

1 引言

計算機網絡安全是指通過采取各種技術和管理的措施，確保網絡數據的可用性、完整性和保密性，其目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄漏等[1]。目前對計算機網絡安全又賦予了新的含義，那就是要讓正確的人看到正確的信息。這里面包含兩層含義：①讓用戶只能看到應該看到的信息；②讓用戶看到所有應該看到的信息，不能有遺漏。這就對身份管理提出了更高的要求。

如何準確鑒定一個人的身份，保障信息資源被有秩序地應用得最普遍方法之一就是進行網上身份認證。傳統的網絡安全與身份認證方式多采用密碼、電子證書、密鑰等形式[2]。其中用戶名/密碼是最簡單也是最常用的身份認證方法，它是基于“What you know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的，只有他本人才知道，因此只要能夠正確輸入密碼，計算機就認為他就是這個用戶。然而實際上，由于許多用戶為了防止忘記密碼，經常采用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼，或者把密碼抄在一個自認為安全的地方，這就存在著許多安全隱患，極易造成密碼泄露。即使能保證用戶密碼不被泄漏，由于密碼是靜態的數據，并且在驗證過程中需要在計算機內存中和網絡上傳輸，很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此，用戶名/密碼方式是一種極不安全的身份認證方式[3]，可以說基本上沒有任何安全性可言。

生物特征是人的內在屬性，它具有較高的穩定性及個體差異性，不同的人具有相同生物特征的可能性可以忽略不計，因此將生物特征用于網絡安全和身份認證將是很好的方式[4，5]。但對單項生物特征而言，可能會由于用戶身體受到傷病或污漬的影響導致系統無法正常識別，造成合法用戶無法登錄的情況。如果同時將多種生物特征用于網絡安全和身份認證就能提高識別的準確性和穩定性，從而達到提高網絡安全和身份認證的效果。

2 相關技術及研究進展

基于生物特征識別的網絡身份認證研究的基礎是生物特征識別技術，它受到現有生物特征識別技術成熟度的影響，也只有生物特征識別技術取得一定進展以后，才有可能將其應用于計算機網絡身份認證方面。

生物特征由生理特征和行為特征組成，鑒于生物特征的多樣性，目前研究較多的生物特征主要包括人臉、指紋、虹膜、人耳、聲紋、掌紋、視網膜、筆跡、步態、手勢等。但并不是任何一種生物特征都能用于計算機網絡身份認證，考慮到在網絡身份認證方面使用的方便性，以下僅選擇其中幾種有關的生物特征如人臉、指紋、虹膜、人耳等的研究現狀予以介紹。

人臉識別是人類視覺最杰出的能力之一，是目前廣泛研究的技術領域，其研究涉及模式識別、圖像處理、生理學、心理學、認知科學等方面，與其他生物特征的身份鑒別方法和計算機人機感知交互領域都有著密切聯系[6~9]。20世紀90年代，由于各方面對人臉識別系統的迫切要求，人臉識別的研究變得熱門起來。目前美國等國有許多研究組在從事人臉識別的研究，這些研究受到政府軍方、警方及大公司的高度重視和資助，美國軍方每年還專門組織人臉識別比賽以促進這一領域的發展，并且目前已在機場安裝了人臉識別設施，達到安全防范和身份認證目的。

指紋識別技術是目前國際上研究最成熟、應用最廣泛、價格最低廉、易用性最高的生物認證技術，由于所涉及的指紋圖像信息是從特定的掃描裝置上獲得，這樣消除了圖像定位、陰影和光照變化的問題。指紋識別技術與機器視覺技術相結合的商用系統已廣泛應用于世界各地的門禁管理、考勤管理、銀行指紋防盜鎖、安全管理等方面。

在所有生物特征中，指紋相對穩定，但錄取指紋不是非侵犯性的。人臉特征具有很多優點（如主動性、非侵犯性和用戶友好等），但人臉會隨年齡變化，而且容易被偽裝。聲音特征具有與人臉特征相似的優點，但它會隨年齡、健康狀況和環境等因素變化，而且說話人識別系統也容易被錄音所欺騙，容易被偽造。虹膜特征識別解決了這些問題，并且同時還具有上述其他生物特征所具有的一些優點，故近年來虹膜識別技術被廣泛認為是最有前途的生物識別技術之一。

虹膜作為重要的身份鑒別特征，具有唯一性、穩定性、可采集性、非侵犯性等優點。非侵犯性（或非接觸式）的生物特征識別是身份鑒別研究與應用發展的必然趨勢，與人臉、聲音等非接觸式的身份鑒別方法相比，虹膜具有更高的準確性。據統計，到目前為止，虹膜識別的錯誤率是各種生物特征識別中最低的，應用前景廣泛。目前國際上該方向的研究與應用主要由美國IriScan和SenSar兩家公司所主導（其中IriScan被評為美國1998年500家發展最快的公司之一）；國內主要是中國科學院自動化所模式識別國家重點實驗室。

基于人耳識別的人體測量技術始于1949年美國科學家Iannarelli的研究。1989年，Iannarelli的兩項研究證明了人耳特征的獨特性，為人耳識別的可行性做了重要的分析工作。其中，第一項研究是比較10 000幅從加利福尼亞州隨機選出的人耳樣圖；第二項研究是檢驗孿生的人耳特征情況。研究結果表明，個體人耳的外耳與耳垂是獨一無二的生理特征。醫學研究證明，人耳在出生4個月以后是成比例生長的，耳垂在4歲~8歲之間較人耳整體的生長有較大的拉伸，約為整體生長速度的四倍，而這種變化從8歲~70歲之間就不易察覺了。可以說，每個人耳朵的結構特征各不相同，終身不變。

近年來，Mark Burge和Wilhelm Burger對人耳識別技術進行了大量的研究，將人耳識別過程分為三個階段，定位及分割、特征提取、特征比較。具體實現過程是：①采用高斯金字塔法將人耳圖像進行定位；②采用Canny邊緣檢測算子進行人耳邊緣檢測；③采用Voronoi圖表得到的鄰域曲線圖作為特征模板。

從以上看出，目前有的生物特征識別技術已達到了應用開發水平，基于某些單項生物特征識別技術的身份認證系統也已經問世，因此將多項生物特征識別技術同時應用于計算機網絡安全監控和身份認證方面是完全可行的。

3 實現思路

根據計算機網絡身份認證的特點，具體實現過程中不僅要考慮識別方法的可行性，而且要考慮實際使用過程中的方便性。網絡身份認證過程表示如圖1所示。

其具體步驟如下：

（1）用戶開機，系統彈出用戶登錄窗口；

（2）用戶輸入用戶名，同時采集該用戶的有關生物特征信息；

（3）根據用戶名查詢特征庫，判斷是否為已注冊用戶；

（4）如果不是已注冊用戶，為非法用戶，跳轉到步驟（10）；

（5）如果是已注冊用戶，從生物特征信息庫中查找該用戶的生物特征信息；

（6）按照有關方法與步驟（2）獲得的特征信息進行匹配；

（7）比較匹配結果的相似度；

（8）相似度結果大于設定值，為合法用戶進入系統；

（9）相似度結果小于設定值，為非法用戶；

（10）非法用戶提示；

（11）結束。

用戶登錄系統時的用戶名是特征信息數據庫中的主碼，通過主碼值能夠很快地在特征數據庫中找到該用戶的特征信息，加快了查詢特征信息的效率。

3．1 用戶登錄時的多生物特征提取

多生物特征信息的提取包含兩種工作環境：①將提取的特征信息處理后保存到生物特征數據庫，以便于今后使用；②用戶登錄計算機網絡時，有關采集設備實時獲得登錄用戶的上述生物特征信息，并經處理后供與特征數據庫中的信息進行匹配。第①種情況的信息提取過程沒有太多的限制，可以分別在不同時間、采用不同的方式下進行；第②種需要考慮的問題則較多，即需要解決同時提取特征信息時的相互干擾問題，如在提取虹膜特征（目前只能近距離采集）時如何提取人臉特征、人耳特征等類似情況。針對上述問題，目前暫時采用分步采集方式，即先提取可以同步的特征，再提取其余還未提取的特征。

3．2 生物特征信息的存儲和檢索

生物特征數據庫的建立是本研究的第二個重點。由于該數據庫需要存儲如人臉、指紋、虹膜、人耳之類的特征信息，這些信息經攝像設備采集以后并不是直接存入數據庫，而是需要經過邊緣提取、圖像增強、去噪等過程去掉沒用的信息，最終得到的是各類特征的特征向量，再保存到數據庫中或用于匹配。該階段的處理方式也包括兩種：①將同一用戶的不同生物特征分別保存；②將同一用戶的生物特征向量經過融合后再保存。這兩種方式各有利弊，前者便于分別識別和得到單個結果，且容易分步實施；后者則能節省存儲空間，并能通過融合后的特征進行匹配，得到最終結論。

為便于分析，我們擬采用第①種信息存儲方式。其信息的存儲模型如圖2所示。

（1）m為生物特征個數，理論上可以為任意正整數，但最初僅考慮人臉、指紋、虹膜、人耳四種生物特征，因此m=4。

（2）為了能將上述四種特征信息保存在同一模型中，在將信息保存之前需要做矩陣變換，使各類生物特征的特征向量的分量個數相同。

（3）特征標志取值情況：1——人臉特征；2——指紋特征；3——虹膜特征；4——人耳特征。

按照上述模型結構，在已知某用戶名的情況下，就能很快地獲得該用戶存儲在數據庫中的特征信息。所提取的特征信息的語法描述如下：

SELECT特征分量1，特征分量2，特征分量3，……，特征分量n

INTO x1，:x2，:x3，…，:xn

FROM 用戶基本信息表，用戶特征信息表

WHERE用戶基本信息表.用戶名=：LoginName AND

用戶特征信息表.用戶名=用戶基本信息表.用戶名 AND

用戶特征信息表.特征標志=：Type_Id

因此，通過Type_Id的取值（取值分別為1，2，3，4），就能獲得指定用戶存儲在數據庫中的人臉、指紋、虹膜與人耳特征分量，特征分量形式為{x1，x2，x3，…，xn}。

3．3 特征圖像處理與匹配

當用戶登錄計算機網絡系統時，系統將通過攝像頭、指紋提取裝置得到特征圖像。下一步就是對所得到的圖像進行處理，與存儲在特征數據庫中的特征分量進行匹配。每項生物特征識別過程均包括圖像信息預處理、特征提取、匹配識別和結果融合幾方面。其框圖如圖3所示[10]。

在提取用戶有關生物特征信息以后的特征識別過程就是將這些特征信息與特征數據庫中對應信息進行匹配的過程。每種生物特征匹配的結果可以通過對應的相似度表示。

考慮到在實際匹配過程，每種生物特征的匹配結果不可能100%一致，同時根據環境情況的不同，每種生物特征的作用效果也不同。因此其綜合相似度可由四元組表示的模型獲得，即R= f(ω1×r1，ω2×r2，ω3×r3，ω4×r4)。其中，ω1，ω2，ω3，ω4分別表示人臉、指紋、虹膜與人耳生物特征的權值，為常數，其取值范圍為[0，1]，可由實驗得到；r1，r2，r3，r4則分別為這幾種生物特征匹配過程的相似度，通過匹配算法得到。在判決時采用的準則為：當R＞P，為合法用戶；當R≤P，為非法用戶。其中，閾值P也將通過實驗獲得，有關實驗方法將在另文中論述。

4 結束語

生物特征是人的內在屬性，它具有較高的穩定性及個體差異性。將生物特征應用于計算機身份認證，必能降低網上交易的風險，提高信息的安全性。因此，本文結合近年來國際國內在生物特征識別方面所取得的成果，提出了將多種生物特征識別技術應用于網絡身份認證的方法，并對相關技術進行了探討。由于該研究將對機器智能控制、工業生產、通信系統、金融商業經濟和社會生活方式帶來極大影響，同時也推動著智能信息處理技術與計算機網絡安全技術的向前發展，因此具有廣闊的應用前景。

參考文獻：

[1]吳忠望，盧鋆，張練達.計算機網絡安全與控制技術[M].北京：科學出版社，2005.312.

[2]許長楓，劉愛江，何大可.基于屬性證書的PMI及其在電子政務安全建設中的應用[J].計算機應用研究，2004，21(1):119122.

[3]薛偉，懷進鵬.基于角色的訪問控制模型的擴充和實現機制研究[J].計算機研究與發展，2003，40(11):16351641.

[4]徐蔚文，陸鑫達.身份認證協議的模型檢測分[J].計算機學報，2003，26(2):195-201.

[5]身份認證專題[EB/OL].http://www.csp.com.cn/20052q/52q22.htm，2005.

[6]張有為，甘俊英.人機自然交互[M].北京：國防工業出版社，2004.20-85.

[7]He Guohui， Gan Junying. A Method for Singular Value Feature Extraction of Face Image[C]. Proceedings of ISIMP2004， IEEE Press， 2004.37-40.

[8]甘俊英，張有為.一種基于奇異值特征的神經網絡人臉識別新途徑[J].電子學報，2004，32(1):56-58.

[9]甘俊英，張有為，毛士藝.自適應主元提取算法及其在人臉圖像特征提取中的應用[J].電子學報，2002，30(7):10131016.

[10]甘俊英，張有為.模式識別中廣義核函數Fisher最佳鑒別[J].模式識別與人工智能，2002，15(4):429-434.

作者簡介：

何國輝（1962-），男，江西萍鄉人，副教授，碩士，主要研究方向為模式識別、網絡安全、數據倉庫與數據挖掘技術等；甘俊英（1964-），女，江西樟樹人，教授，博士，主要研究方向為圖像信息處理、人機交互、圖像識別等。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文