一種基于無線局域網的指紋識別技術研究

李婷婷，張 威

（遼寧石油化工大學 計算機與通信工程學院，遼寧 撫順 113001）

近年來，隨著無線局域網的普及，信息安全是要解決的問題之一。而身份認證是信息安全的基礎，由于無線網絡早已存在著嚴重性安全的弱點。因此數據如何在無線網絡傳遞中確保其正確性及私密性，并確認傳送及接收雙方的身份不被冒名傳送，這是現今無線網絡急于解決的重點。無線網絡最大的優點就是跨越了空間的限制，但這也是其缺點。就有線網絡而言，攻擊者想要竊取網絡內部的資料必須進到網絡內部。原則上必須先跨過防火墻及入侵檢測系統等。若是攻擊一個封閉網絡，攻擊者必須利用物理網絡線路連接到內部網絡后，才可以竊取網絡內部傳輸中的數據。但在無線網絡中，攻擊者并不需要實際進到網絡內部；只要在無線網絡可涵蓋的范圍內架設監聽器，就可以竊取到無線網絡內部傳輸的信息。在無線局域網中，身份識別從傳統的識別機器設備到識別使用者的身份。在高安全性的條件下如何快速高效辨別使用者合法的身份，并確保企業內的數據不被黑客入侵和非相關人員所竊取。因此在這里提出生物識別的方法用以識別使用者身份。

在個人身份識別中一般分為兩類[1]：傳統的身份識別技術。包含密鑰、感應卡、磁卡、Smart Card等。這類方法有不慎遺失或失竊的隱患，所以安全度不穩定。而第二類為生物特征技術包含臉型、虹膜、掌紋及指紋等，適用于需要嚴格確認身份的情況。采用直接獲取人類活體的生物特征的方式來識別身份。人類的指紋在6個月大的胎兒時期便已成型，指紋的紋線與結構并不會隨著年齡增長而有所改變；而每個人的指紋幾乎是唯一的，且每個人的10個手指的紋線皆不相同，所以指紋已成為目前廣為使用的身份確認的方式之一[2]。

1 相關技術介紹

1.1 生物識別

生物識別（Biometric）是源自希臘字 Bio（生命）及 metric（可計量），是通過人體生理如指紋、臉部或虹膜等身體器官組織及行為模式的特征來識別一個人的身份，有別于密碼和個人標識號傳統的識別方法。生物識別有較高的安全性，原因是被識別的人必須在識別時親自參與，且不必牢記密碼或攜帶證件。傳統上，一般的識別系統常使用簽名、印章比對或密碼的方式來識別身份，但是由于這些方法容易仿冒，加上許多電腦黑客入侵的事件，使用密碼是很不安全的。而生物特征技術與傳統識別技術最大的不同點，是在于生物特征技術只認人而不認對象。傳統上使用證件式和認知型等兩種形式來進行身份認證。證件式是以用戶所擁有的實體證件來證明身份，如印章、身份證。而認知型是以用戶所知道的知識來證明身份，常用的有密碼、電話號碼、身份證號碼和出生年月日等。由于這兩種機制并不是以使用者本身所具有的內在特征來進行身份認證，所以常會遭遇到一些不便的使用情況。例如證件遺失、被竊或忘記放置的位置，甚至遭人以猜測方式來破解。若使用者遺失所持證件或者忘記密碼，也會有無法通過身份認證，如果使用生物識別則可徹底解決此問題。

好的生物特征應具有下列優點[3]：

1）普遍性：每個人都具有的特征。

2）唯一性：沒有任何2個人具有完全相同的特征。

3）持久性：此特征必須持久且不能被改變。

4）可測性：這種特征必須能被測量成可定量的數據。

常見的生物特征可分為人體所形成的特有結構，以及自然所呈現出的行為模式。包括臉型、指紋、掌紋、虹膜、簽名以及語音等。最新的識別技術還包括利用視網膜、手掌靜脈、DNA及步行姿態等。

生物識別技術的發展主要始于指紋研究，它也是目前應用最為廣泛的生物識別技術。19世紀初，科學研究發現了指紋兩個重要的特征。一是兩個不同手指的指紋紋路的樣式不同。二是指紋紋路的樣式是與生俱來，且終生不會改變。生物識別具有將識別密碼隨身攜帶的特性，而指紋特征又具有個人的獨異性，因此利用生物識別作為身份識別已成為愈來愈多政府及民間企業的安全解決方案。

1.2 指紋識別技術

指紋識別是一種相當傳統的方式，也是目前比較成熟的生物辨認方式之一。指紋的識別方法有特征點比對法、線緣比對法、汗腺孔比對法與MCAR法。其中MCAR法是屬于血型識別法，嚴格而言不屬于個人之身份識別法。而線緣比對法與汗腺孔比對法在日常的運用上較少，所以一般所稱的指紋識別法是指特征點比對法。基本上指紋識別的原則是通過圖像處理方式，找出指紋的紋線，進而找到各紋線之分叉點、脊斷點位置。其中指紋的分類又分為細微特征及指紋型態等[4]。

1）細微特征：指紋是由紋脊及紋谷所組成，紋脊為指紋中隆起的部分，而紋谷是較的之部分。每個人具有其紋線的特征，指紋中紋脊及紋谷的分布型態中，有紋脊端點、分叉點、分叉又接合點或僅為1個點狀，均稱為細微特征，而這些細微特征是指紋比對時識別系統中主要的數據。指紋的細部特征是由封閉紋脊、紋脊端點、分叉點、紋脊點所組成，如圖1所示。

圖1 指紋的細微特征Fig.1 Minutiae of fingerprint

2）指紋型態：英國人Henry Faulds將指紋加以分類，共有3種主要的型態，包括分成環狀、螺旋狀、拱形；而環狀也可再細分為長環狀、輻射環狀，螺旋狀可分為單螺旋及雙螺旋，而拱形可再分為平拱形或突拱形。一般而言，環狀是最常見的指紋類型，約占65%，其次為螺旋狀，約占30%，最少為拱形，約為5%。由于指紋具有唯一及不變的特性，因此一直被當作身分識別的重要依據。人的手掌及手指、腳趾內側表面的皮膚凹凸不平的紋線（學名稱為脊）會形成各種各樣的圖案。這些紋線除了增加皮膚表面的摩擦力，還是每個人的特征標識。指紋的紋線圖案、斷點和交叉點每個人各自不相同，它具有獨特性。人的10個手指最少產生4 900個獨立可測量的特征。利用這些指紋特征足夠驗證用戶的真實身份。

指紋識別的操作原理是指紋識別儀射出識別光束，當手指放在指紋識別儀上，光學識別器會獲取我們部分的指紋影像，也就是一般俗稱的指紋樣本。計算機軟件在算法的輔助下，切割出指紋紋線的特征區域，稱之為核心點，把它們當作指紋識別的依據。因此指紋識別儀獲取的只是指紋樣本，并不會將完整的指紋影像存下來（即指紋文件儲存為指紋特征點而非指紋圖像文件）。這種方式能有效地降低指紋樣本的文件大小，提高核對的速度。并且在指紋識別儀中并沒有儲存任何的指紋影像，所以指紋的影像便沒有非法復制的隱患。在美國聯邦調查局的整合自動指紋識別系統的表中規定該局所采用的指紋感測裝置，其分辨率必須為500dpi，像素大小為50×50μm2。此外還規定每個像素的色階為8bits，意即獲取出來的指紋影像為256色灰階的點陣圖。這個規格是由計算機內存的架構所制定出來的，雖然大部份的系統在識別時所需要的指紋信息，每個像素只需使用6個bits儲存就已足夠，有些系統甚至每個像素只需1個bit儲存，但大多數的識別軟件依然遵循了這項規定。

1.3 指紋識別基本流程

以指紋作為身份認證的依據，其流程大致可分為影像加強、樣本特征獲取與比對3個步驟[5]。識別系統必須將指紋識別儀所取得的影像以增益加強處理，以預先制定的樣本針對影像中特定之區域或樣式進行數據獲取并處理，并轉換為數字信息，進行后續的比對步驟再與預先處理并儲存于本地服務器之指紋特征值比對，如圖2所示。

圖2 指紋識別流程圖Fig.2 Flow chart of fingerprint

指紋識別儀要能感應出手指溫度存在，并能辨別出手指的指紋真偽，指紋特征值經AES進行加密。如黑客程序即使攔截到信息到也無法解密。

1.4 指紋識別的要點

指紋識別技術所采取的措施如下[6]：

1）在認證過程中，注冊登錄時以同一手指多次輸入進行。

2）只允許特定的指紋識別儀所取得的指紋，方能進行身份認證。

3）指紋識別儀是運用光學反射原理，讀取立體指紋而得到二維的指紋影像，因此不會接受偽造的平面數據。

4）指紋識別儀能感應出偽造指紋的能力是選擇指紋識別器的主要標準。即傳感器能感應出手指溫度的存在，還要能檢測出皮膚表面之導電度，一般而言，乳膠的偽造手指不具導電度。

指紋認證服務器（AS）的主要功能如下：

1）全面性的身份認證設計：指紋身份認證服務器可以防止指紋被猜中，因指紋經AES加密后存放在認證服務器里，所以不用擔心數據外泄，能杜絕未經授權用戶存取的情形，并把Private Key儲存于硬件上，有效提高其安全性。

2）登錄控制：指紋身份認證服務器搭配登錄檢查接口，可使得企業保護所有的資源，不論是網絡上的出入口、數據文件等，都具有強大的保護能力。

3）杜絕攻擊：網絡黑客會嘗試各種可能的方法進入系統中，指紋身份認證服務器可由前端WLAN Gateway檢測出這種情況，發出警告并將其記錄下來。密碼的記憶與變更，帶給使用者很大的困擾，唯有無密碼及可隨身攜帶賬號，才能解決安全的問題。

2 指紋識別應用于無線局域網的研究

2.1 指紋識別安全機制

出去在無線局域網中的安全性考慮，所選用的算法如下：

1）哈希算法：可選用的有SHA512產生512 bits哈希，SHA256產生 256 bits哈希，SHA1產生 128 bits哈希，MD5產生128 bits哈希。因為SHA256比MD5還難使用暴力攻擊。所以本系統選用SHA256當作此系統的哈希算法。

2）加解密算法：因為安全性與效率不能同時兼顧，所以對于較長的密鑰需要花更多的時間和精力來攻擊，因此相對的也提供較強的安全性。又因為AES可用硬件實現，響應時間已經不是問題。所以本系統以安全性為考慮故選用安全性最高的AES算法 （AES使用256 bits密鑰長度來加解密數據）。

用戶在企業里使用指紋識別技術進行注冊及傳輸認證數據有下列幾項要點：

1）使用者在第一次注冊時，需填寫使用者注冊申請單，經過部門主管同意，由信息人員啟動指紋注冊服務器。再由使用者經由指紋識別器輸入指紋，此指紋會轉換成特征值字符串，經由AES加密儲存在數據庫里。

2）若使用者需要聯機時，必須按壓指紋識別器并透過指紋識別器取得指紋圖像后，轉換成特征值字符串，但為了保證該加解密密鑰只能使用一次且每次登錄時決不重復使用，所以結合系統當時的時間并由SHA256演算法，轉換成AES加解密密鑰（SK），并以這把SK經AES加密指紋，再向認證服務器取得一組公鑰，并對此SK做加密。

3）若使用者準備向AS發送注冊指紋前，會先向AS取得時間戳（Time Stamp）。

4）AS收到封包后，會先比對Time Stamp正確性，再以KRA將SK解密，由SK再把指紋數據還原即可（Time Stamp：當使用者傳送給AS時，若被攔截竄改時，Time Stamp將會過期，這時AS會丟棄此封包，用以確保數據安全性）。

2.2 無線局域網的風險

1）Risk1：使用者輸入指紋時，指紋識別儀會感應使用者的指紋（指紋識別器應具有活體感應的功能），以確定此指紋是從指紋識別器讀取而來，而不是從其它程序讀取，從而防止偽造攻擊并且確定使用者身份。指紋又經過AES加密，并且送到數據庫做比對，此時數據可能會受到攔截，但經過加密后的指紋信息，即使遭受黑客攔截、竊聽也無法解密。

2）Risk2：數據庫中的指紋經過AES加密后，并儲存在數據庫里，因此即使AS遭受到攻擊時，黑客得到的也是加密后的指紋。

3）Risk3：為避免鍵盤遭到黑客程序記錄，指紋識別儀具有活體感應，并能辨別出真假手指。使用者必須親自按壓指紋，在指紋識別儀中并不會儲存任何的指紋影像，所以指紋影像便沒有遭到鍵盤記錄的疑慮（指紋識別儀只獲取指紋樣本，并不會將完整的指紋影像存下來）。

4）Risk4：使用指紋識別可以識別真實身份及交易不可否認性。即網絡上可以識別擁有者在操作而非惡意軟件在進行欺騙，如圖3所示。

圖3 風險分布圖Fig.3 Chart of risk distribution

2.3 指紋識別機制的設計

1）注冊階段：本階段中使用者需連續提供4次指紋輸入信息，選取其中1個最清晰的指紋并通過AES加密算法，把指紋加密并存放在服務器數據庫里。加密硬件能強化數據加密的功能，加密密鑰不會離開服務器或是加解密硬件，將加密后的指紋儲存在數據庫，加密密鑰則存在硬件中，讓密鑰更能有效的管理。只要建立密鑰存取的核準機制，有效的監控密鑰的使用，避免不相干的人取得密鑰，即可增加資料庫加密的安全性及效率。

2）登錄階段：使用者登錄時，需先經過指紋識別儀輸入指紋信息，在輸入指紋的過程中會將樣本登錄在內存內，此樣本經過影像加強及獲取產生指紋特征值，并經過哈希算法及加密模塊所產生之信息，傳送至數據庫驗證系統并解密處理。在加密后就會刪除實際的指紋，以避免遭人復制或盜用。以后使用者將手指放到指紋機上的時，系統會再次計算它的樣本[7]。

3）驗證階段：先判斷Time Stamp是否在規定范圍內，如果是則經由解密算法，解密用戶的指紋信息并作驗證之程序，如果正確則允許登錄，否則拒絕登錄要求。

上述提出的指紋識別機制應用在企業無線局域網的資源存取時，擁有以下優點：

1）指紋識別使用上簡單方便。

2）本系統加解密的SK是使用指紋特征值合并當時系統時間經由SHA256算法獲得，所以保證其唯一性且決不重復（每次Login時，所用的SK均不同），所以支持Dynamic Key可幫助系統建立數據傳輸的安全機制。

3）利用個人的指紋可做到身份識別及加解密之SK。

4）可做到雙向認證，所以可防止中間人攻擊（Man-inthe-Middle Attack）。

5）WLAN Gateway被設計成具有同時聯機次數限制及聯機率上限限制（次/秒）之功能，達到此上限者會中斷其聯機。此有效解決許多之攻擊。

6）兼具保密性與時效性。在保密性方面，為了避免身份被偽造及SK、指紋特征值被竊取，所以身份驗證時是利用SK將指紋特征值等信息，經過加密之后才傳送。而在時效性方面，因為可能會遭受到重放攻擊，所以利用Time Stamp是不是很接近現在的時間，如果是則接受它（在這策略下，不同的通訊者之間必須具有同步的頻率），如果不是則拒絕接受。

7）利用AS的私鑰配合RSA算法用于數字簽名上。

8）此系統可讓身份認證變得更加安全及便利，也讓使用者更方便使用。

3 結 論

由于指紋特征點是無法經由反向計算而獲得原指紋影像，基于原始指紋影像代表個人隱私權。而指紋識別系統僅儲存指紋特征值而不儲存原始指紋影像，可以確保個人隱私權不被侵犯。而生物認證在今日的信息社會中，提供了一種能提高使用安全性的最佳解決方案。當生物特征傳感器價格逐漸降低、硬設備的體積愈做愈小、以及保護信息安全法律的制訂，人們已逐漸了解到生物認證技術與系統能帶來生活上的便利，以及更安全的使用環境。今后將有越來越多生物認證系統應用在一般人的日常生活中。未來在數據傳輸上若能使用指紋識別配合加解密及壓縮方式，把它用于WLAN上，其安全性能更向前邁進一大步。

[1]殷華博，陳曦.指紋識別系統分析[J].計算機與網絡，2011，37（5）:49-51.YIN Hua-bo，CHEN Xi.Research on automatic fingerprint identification system[J].China Computer＆ Network，2011，37（5）:49-51.

[2]曾彤.基于嵌入式處理器指紋識別系統的設計和實現[J].電子設計工程，2010，18（4）:119-127.ZENG Tong. Design and implement of fingerprint identification system based on embedded microprocessor[J].Electronic Design Engineering，2010，18（4）:119-127.

[3]王鳳嶺，張遠翼.基于3G技術的無線身份認證系統研究與設計[J].湖北大學學報:自然科學版，2011，33（2）:260-264.WANG Feng-ling，ZHANG Yuan-yi.Study and design of wireless authentication system based on 3G technology[J].Journal of Hubei University：Natural Science Edition，2011，33（2）:260-264.

[4]黃軒.基于移動指紋識別的身份認證系統[J].南昌大學學報:理科版，2011，34（2）:189-192.HUANG Xuan.Fingerprint recognition on mobile device[J].Journal of Nanchang University：Natural Science，2011，34（2）:189-192.

[5]章通，陳金玉.網絡指紋考勤系統的設計與實現[J].計算機應用與軟件，2011，28（2）:73-75.ZHANG Tong，CHEN Jin-yu.Design and realisation of network fingerprint attendance checking system[J].Computer Applications and Software，2011，28（2）:73-75.

[6]陳立定，任志剛.基于VC＋＋的指紋識別系統的設計與實現[J].自動化與儀表，2011，26（7）:60-63.CHEN Li-ding，REN Zhi-gang.Design and implementation of fingerprint identification system based on VC ++[J].Automation and Instrumentation，2011，26（7）:60-63.

[7]羅海波.指紋識別技術在養老金發放中的應用研究[J].計算機仿真，2011，28（3）:306-309.LUO Hai-bo.Studyon social secure system based on fingerprint verification technology[J].Computer Simulation，2011，28（3）:306-309.