基于指紋識別的網絡授權系統

肖 倩，敖 欣

（東莞理工學院 計算機學院，廣東 東莞 523808）

基于指紋識別的網絡授權系統

肖 倩，敖 欣

（東莞理工學院 計算機學院，廣東 東莞 523808）

隨著以電子商務為典型的互聯網應用的迅猛發展，網絡安全問題越來越受到人們的重視。其中，如何通過網絡授權來保障網絡資源的安全已成為目前的一個研究熱點。當前主流方案采用的是基于非對稱加密的公眾密鑰系統(Public Key Infrastructure)。該系統下用戶私有密鑰需要由用戶自己存儲保管，存在一定的丟失、被盜風險。為了解決這一問題，本文提出了一種融合自動指紋認證與PKI技術的新型網絡授權機制。相比于傳統的PKI機制，新系統利用易采集的人體指紋信息不僅提高了認證授權過程的便捷性，也增強了授權系統的整體安全性。

指紋識別；身份認證；網絡授權；公鑰密碼基礎設施

隨著互聯網技術的發展，電子商務、電子政務等線上應用極大提升了社會的運轉效率。隨之而來的信息安全問題也日益突出。其中，如何通過網絡授權來保障網絡資源的安全已成為目前的一個研究熱點。當前被普遍采用的是一種被稱為公鑰密碼基礎設施（Public Key Infrastructure,PKI）的機制[1]。它的核心理論基礎源于Henman和Dime博士1978年提出的非對稱密碼理論[2]，即密碼由互相關的一對公鑰及私鑰所構成。任何由私鑰加密的信息僅能夠通過公鑰解密；同樣，任何用公鑰加密的信息也僅能夠通過私鑰解密。PKI即是在此基礎上提供公私鑰生成、保管、加解密及其它衍生安全服務的一套完整的安全防護機制。

PKI在網絡環境下建立了可信的連接、可信的傳輸。但是，在對人接口上，PKI仍然是基于密碼或者口令的，即公私鑰仍然是基于密碼或者口令而生成。這也就意味著數字身份和物理身份是相互脫離的。目前存在的最大隱患就是數字信息和密鑰的安全保護以及合法用戶的身份認證問題[3]。一方面，在PKI的應用中，由于證書密鑰等均存儲在智能卡等存儲介質中，而目前對存儲介質的安全訪問大多還是通過傳統的密碼或者口令等弱安全因子實現。顯然，在有高安全需求的場景下，這種認證還是不夠的；另一方面，由于需要過多地涉及第三方的參與才能夠完成加解密及認證等，PKI機制也日益暴露出其使用復雜、手續繁瑣和效率低下等問題。

針對以上不足，本文結合人體指紋的高安全性特點，提出了一個融合指紋身份認證與PKI機制的新型網絡授權系統。與采用密碼認證的傳統PKI機制不同的是，新系統下采用的指紋認證技術具有下列有不可比擬的優點：1) 穩定性：每個人的指紋一生就被決定，很難改變；2) 便捷性：指紋與具體人綁定，易采集、易保管；3)多樣性：每個人的十指指紋皆不相同，便于利用多個指紋構成多重口令，提高系統的安全性；4)信息可壓縮性：實用中，指紋認證僅需要提取完整指紋圖的一些關鍵特征即可完成一定安全級別的認證[4]，從而便于系統彈性控制指紋信息的存儲、網絡傳輸成本； 5) 雙強因子帶來的高安全性：利用指紋認證取代傳統的口令、密碼等弱安全因子來保障存儲私鑰信息的媒介(如U盤)安全，從而降低了私鑰丟失、被盜的風險，形成雙強因子(指紋+證書)的雙層安全防護機制，進而最終提高系統的整體安全性。

1 研究現狀

近年來，隨著生物特征識別技術的發展，如何將生物特征識別技術應用在信息安全上，已經受到各國普遍的重視。特別是在“9·11”恐怖事件以后，以美國為代表的各發達國家越發重視信息安全，并紛紛將其提到國家戰略高度立法加以推進。在多方力量推動下，各類生物特征識別技術紛紛涌現。

1) 指紋識別：利用人手指(指腹)上的條狀紋路的分布特征來識別不同的人。這些條狀紋路通常由交替出現的寬度大致相同的脊和谷構成。其具體的特征點包括脊、谷、分叉點和端點等。這些特征通常是先天隨機形成，并具有后天穩定性。指紋識別技術具有最為悠久的歷史，技術相對比較成熟，所需設備也比較小巧，具備價格低、產業成熟度高等特征。因此，其目前占據整個生物特征識別市場四成以上的份額[5]。

2) 手形識別：利用手的外部輪廓所構成的圖形進行身份識別。手形的具體信息包括手掌寬度、厚度，不同手指的寬度及長度等。與指紋特征類似，手形的形成也具有先天隨機性及后天穩定性。但與指紋信息相比，手形信息相對比較單一，存在著多人手形高度相似的可能。因此，為了進一步提升該技術的識別率，更為精細的掌紋特征被引入手形識別[6]，從而提高了技術的可靠性及識別率。

3) 人臉識別：與指紋識別類似，人臉識別利用人臉上的某些特征進行個體差異的標定[7]，包括臉的形狀、五官位置及各自的具體形狀等。與指紋、掌紋等技術相比，人臉識別的識別精度雖然不夠高，但其突出的優點在于能夠利用自動攝像頭及圖像識別等技術實現無意識的被動識別，從而被廣泛應用于視頻監控、智能相機及其它低安全性需求的認證場合(如個人電腦的人臉識別)。

4) 耳廓識別：利用人體耳朵獨特的生理特征[8]，如耳廓形狀、內外耳廓比例等，來標志個體差異。由于該特征受人情緒的影響較小，也易于在個體無意識的情況下獲取(攝像頭拍照)，因此，通常是作為人臉識別技術的一種比較好的次選方案。

5) 虹膜識別及視網膜識別： 利用人眼圖像中虹膜區域的多特征(如環狀物、皺紋、斑點、冠狀物)，來聯合完成個體的識別[9]。該技術是目前識別精度最高的生物特征識別方法。由于人的眼睛非常精細，因此，幾乎不可能通過手術等方式來改變虹膜特征。這也確保了該技術極高的防偽性。此外，與指紋識別不同，虹膜如果離開宿體，將立即萎縮并喪失原先的特征。因此，無法利用死去的虹膜來欺騙認證系統。

2 系統關鍵技術

系統的實現依賴于兩項關鍵技術，即如何利用指紋識別來匹配個體，以及如何用指紋特征用來加密信息。

1)指紋識別技術：該技術主要研究如何利用手指指紋這項生物特征來匹配、驗證所需測試的個體。其主要又包括以下4個方面的子項研究內容：

1)低質量指紋圖像增強算法：低質量指紋圖像主要是因為自然環境、傳感器等在較惡劣的條件下采集所得。我們研究不同種類的低質量指紋圖像，分析其不同的特性參量。研究這些特性參量所能反映的各種不同的低質量情況，如指紋圖像殘缺程度，脊線模糊程度等，并最終得出比較客觀的指紋質量分數，質量分數可以用于指紋圖像增強的初始量以及用于評估算法的執行度的參考。同時對于各種低質量條件下的指紋圖像增強給予一種準確的評價方式。從統計學上研究特定樣本試驗下的可行評價方式。

2)低配置環境下的指紋匹配算法：由于采集條件的限制，常常采集的指紋圖像質量比較差。為了可靠地提取指紋特征需要增強指紋圖像，我們在非理想的采集條件下提取指紋特征方面做了大量的工作，利用計算機視覺里的二尺度理論，算法首先在大尺度下得到指紋的整體信息，逐步分析各個尺度下的細節信息，提取不同尺度下的指紋特征。我們已經在二尺度下得到了指紋特征提取的結果。進一步需研究的是各個尺度下整體信息的融合以及相應匹配算法的動態選取。

3)指紋匹配算法的采集設備無關性問題：如果識別算法要具備圖像采集設備無關性，則指紋匹配中除了要考慮指紋采集時采集位置的隨機性而造成的圖像旋轉和平移問題、彈性形變問題以及由于指紋本身質量比較差、特征提取算法不完善和每次采集的部位不同而造成的真正特征點的缺失、偽特征的出現、兩次采集的重合區域有限等模糊性或非精確性問題等因素外，還涉及到由于不同的指紋圖像采集設備分辨率的差別而造成待識別的兩個特征模式比例不一致，即模式匹配中的比例變換問題，以及由于不同的圖像采集設備所采集到的指紋圖像質量差異問題，從而使得指紋匹配的難度進一步加大了。通過計算來自不同采集設備的兩幅指紋圖像（實際上是兩個待匹配的特征模式的拓撲結構）的比例關系、并以樣本特征模式為參照對輸入特征模式進行比例，以解決指紋匹配算法與圖像采集設備無關性問題。同時，還有充分考慮實際指紋匹配中，由于受到諸多因素的影響，即使信息來自同一個手指，兩個待匹配的特征模式在結構上也不是完全相同的，存在著真正特征點的缺失、個別偽特征點的存在、特征點定位存在偏差、兩個待匹配模式只有部分匹配等問題。

4)大容量指紋數據庫分類檢索技術：自動指紋識別系統一般需要實現兩大任務，一是身份驗證（1:1匹配），就是通過把一個現場采集到的指紋與一個已經登記的指紋進行一對一的比對來確認身份的過程。這是應用系統中使用得較多的方法。二是身份辨識（1:N匹配），就是把現場采集到的指紋同指紋數據庫中的指紋逐一對比，從中找出與現場指紋相匹配的指紋。身份辨識比身份驗證要復雜得多，在最壞的情況下，它需要N倍的指紋驗證時間（N為數據庫容量），當N很大時，辨識所需時間相當長，因此一般要采用分類技術來加快檢索的速度。目前有關指紋檢索技術的研究主要包括唯一性分類檢索方法、連續性分類檢索方法和神經網絡分類檢索方法。針對唯一性和神經網絡分類檢索方法的不足，我們采用了基于MKL變換理論的連續性分類檢索方法，對每一枚指紋產生一個數字索引值，大大降低了數據庫的檢索次數，提高檢索的速度。這種方法的核心思想就是為每一類指紋找到能最好表示它們的一系列KL子空間，在具有類別代表性的指紋訓練集上根據均方重構誤差最小這一優化準則求得這些子空間。因此是以兩個步驟確定子空間：首先以監督的方式根據類別信息將訓練集劃分成五個子集，然后對每一子集，以非監督的方式計算子空間。

2)指紋加密技術：研究使用公鑰、私鑰相結合的密碼機制與指紋認證相結合，既保證客戶端與服務器傳輸的安全性，也保證用戶與外界安全的通信。將用戶的密鑰和用戶指紋特征統一存儲在服務器中，用戶在使用密鑰時通過自動指紋認證從服務器獲取。具體采用IDEA私鑰密碼機制、RSA公鑰密碼機制。用戶首先在本機上以IDEA算法產生一個用戶密鑰，然后將其與用戶指紋特征及用戶號一起用認證中心的RSA公鑰進行加密，通過網絡傳送到服務器。服務器用它的RSA私鑰對這些信息進行解密，接下來服務器按照用戶號從數據庫中取出相應指紋特征，并與傳送來的指紋特征進行對比，若認證成功則為用戶取出其RSA私鑰，否則拒絕給出RSA私鑰。取出來的用戶RSA私鑰再被以用戶傳送過來的IDEA公鑰進行加密，通過網絡送回客戶端，最后用戶用其IDEA私鑰進行解密，從而獲得其RSA私鑰，便可以與外界進行安全的保密通信。

3 系統方案

考慮到不同場景下的安全性等級需求的差異性，以及系統成本等因素，本文提出了兩個不同安全級別的指紋識別與網絡授權的融合方案。其中，第一種方案直接針對傳統PKI機制中私鑰存儲存在的丟失、被盜等風險，提出了融合指紋識別的客戶私鑰加密方案。該方案不改變現有PKI機制的加密流程和運行方式，只在客戶端運用指紋信息來認證用戶的合法身份，具有成本低、融合便捷等特點；為了進一步滿足更高安全性的需求，本文還提出了第二種方案，即除了利用指紋識別在客戶端來認證用戶的合法性外，還進一步利用存儲在服務器端的指紋信息來完全取代傳統的密碼，進而增強所衍生的公私鑰、數字證書等信息的安全性。與第一種方案對比，第二種方案需要適當在服務器端增設指紋信息庫等額外設施，進而也需求更高的成本投入。兩種方案的具體內容如下：

1)方案一

本方案不改變現有系統的加密流程和運行方式，只在客戶端運用指紋信息來認證用戶合法身份，從而對數字證書中的私鑰進行保護。系統的網絡拓撲圖如圖1(a)所示。在該方案下,每個用戶的公鑰仍然由原PKI機制中的認證中心負責保管；而用戶訪問網絡時必須先利用自己的指紋通過私鑰保管器(如存儲有私鑰的智能卡)的驗證后，方可取出私鑰來完成后續的常規認證，從而增強私鑰信息的安全性，確保網絡授權給合法用戶訪問。

具體流程如下：

①用戶前往認證中心注冊，獲得自己的私鑰信息，并將其存儲在IC卡式的智能卡上。公鑰信息由認證中心負責存儲、保管。

圖1 兩種不同安全級別的網絡授權方案Fig. 1 Two network authorization solutions of different security Level

②智能卡帶指紋認證功能，用戶需在認證中心的授權下將個人指紋信息(視情況可存儲多個用戶的指紋)寫入智能卡。任何其它個人或者機構無法更新或者修改智能卡上的指紋信息。

③當用戶想訪問認證中心資源時，須先將智能卡接上讀卡設備，并將個人指紋附在指紋識別器上。

④當且僅當指紋識別器獲得的指紋信息與智能卡已存儲的指紋信息匹配時，智能卡才能允許程序訪問其存儲的私鑰信息，并上傳至認證中心進行認證；否則，提示錯誤信息。

⑤如果用戶通過認證，則認證中心根據當前用戶信息返回成功登錄信息，并允許其進行后續業務。

⑥如果用戶不再需要智能卡，則必須自行銷毀或者送回認證中心銷毀。

2)方案二

該方案將指紋識別技術和PKI機制相結合，從而實現用易攜帶、高安全的用戶指紋來取代傳統的用戶密碼，增強所衍生的公私鑰、數字證書等信息的安全性。如圖1(b)所示，方案二需要在硬件方面額外部署指紋服務器，以完成用戶指紋的存儲、檢索、對比等功能。此外，與方案一不同，用戶擁有兩對公私鑰，即認證中心生成的公私鑰以及用戶自己負責生成的公私鑰。認證中心的公私鑰采用RSA算法生成，而用戶自生成的公私鑰則采用IKEA算法生成。RSA公私鑰用來幫助用戶完成由認證中心監管的用戶簽名、加密及第三方認證等業務；而IKEA公私鑰僅用來保障用戶獲取RSA私鑰過程中的安全性。

①用戶前往認證中心注冊，并提供個人資料、指紋等信息。

②認證中心根據用戶個人資料生成用戶檔案，并將用戶代碼等信息寫入智能卡發放給用戶。

③認證中心為每個用戶利用RAS算法生成一對公私鑰，并將其安全存儲至相應服務器。

④認證中心將每個用戶的指紋特征信息存儲至專門的指紋服務器。

⑤當用戶想獲得認證中心的RSA私鑰時，須先在本地生成一對IKEA公私鑰。

⑥用戶利用指紋識別器采集個人指紋信息，并將智能卡存儲的用戶代碼信息及本地IKEA公鑰一并通過網絡發送給認證中心。

⑦認證中心收到用戶代碼后，從指紋數據庫調出用戶指紋信息，并與收到的用戶指紋信息進行比對。

⑧如果指紋信息匹配成功，則認證中心訪問RSA私鑰服務器，調出用戶RSA私鑰；否則，返回失敗信息。

⑨認證中心分別用收到的用戶IKEA私鑰、自己的RSA公鑰加密用戶RSA私鑰信息，并回送給用戶。

⑩用戶收到RSA私鑰信息后，進行后續業務。當使用完畢后，用戶刪除RSA私鑰信息以確保私鑰安全。

(11)如果用戶不再需要智能卡，可自行銷毀或者送回認證中心銷毀。

5 結束語

互聯網的高速發展催生了人們對信息安全的高度關注與迫切需求。因此，如何為用戶提供安全可信、方便快捷的網絡授權也一直是科技工作者的研究重點。現行的PKI網絡授權機制利用非對稱密碼理論保證了一定的安全性，并成功在各行業獲得了廣泛的應用。然而，該機制下最為關鍵的私鑰信息仍然是通過密碼、口令等弱安全信息進行保管，存在著丟失、被竊取的安全隱患。而私鑰一旦丟失，整個PKI機制的防護將無效。因此，針對這一安全隱患，本文融合指紋認證這一高安全性的安全技術與傳統的PKI機制，提出了一種改進型的網絡授權系統。相比于傳統的PKI機制，新系統利用易采集的人體指紋信息不僅提高了認證授權過程的便捷性，也增強了授權系統的整體安全性。

[1]曹珍富, 薛慶水. 密碼學的發展方向與最新進展[J].計算機教育,2005:19-21.

CAO Fu-zhen,XUE Qing-shui.Directions and progress in cryptography[J].Computer Education,2005:19-21.

[2]沈昌祥, 張煥國, 馮登國, 等. 信息安全綜述[J].中國科學 E輯： 信息科學,2007,37(2)129-150.

SHEN Chang-xiang, ZHANG Huan-guo, FENG Deng-guo,et al. Survey of information security[J].China Science(Issue E):Information Science, 2007,37(2)：129-150.

[3]張明光, 魏琦. 電子商務安全體系的探討[J].計算機工程與

設計, 2005,26(2):394-396.

ZHANG Ming-guang,WEI Qi.Discussion of the security system of electronic business[J].Computer Engineering and Design, 2005,26(2):394-396.

[4]陳桂友. 自動指紋識別系統中的關鍵算法研究及應用[D].山東：山東大學,2005.

[5]羅希平, 田捷. 自動指紋識別中的圖像增強和細節匹配算法[J]. 軟件學報,2002,13(5):946-956.

LUO-Xi ping, TIAN Jie. Algorithm of image enhancement and detail matching in automatic finger-print identification [J].Journal of Software, 2002,13(5):946-956.

[6]蘇曉生, 林喜榮, 丁天懷. 基于小波變換的掌紋特征提取[J].清華大學學報：自然科學版, 2003(8):1049-1051,1055.

SU Xiao-sheng,LIU Xin-rong,DING Tian-huai.Palm-print Feature Extraction Based on Wavelet Transform [J].Journal of Tsinghua University:Science, 2003(8):1049-1051,1055.

[7]盧春雨, 張長水, 聞芳. 基于區域特征的快速人臉檢測法[J].清華大學學報： 自然科學版,1999,39(1):101-105.

LU Chun-yu, ZHANG Chang-shui,WEN fang.Quick face recognition based on area characteristics[J].Journal of Tsinghua University:Science,1999,39(1):101-105.

[8]苑瑋琦, 田瑩, 鄒達. 基于多尺度 Canny 算子人耳幾何特征提取與識別[J].光電子 激光,2008,19(11):1554-1557.

YUAN Wei-yi,TIAN Ying,ZHOU Da.Ear geometric feature extraction and recognition based on multi-scale canny [J].Journal of Optoeletronics Laser, 2008, 19(11):1554-1557.

[9]王蘊紅, 朱勇, 譚鐵牛. 基于虹膜識別的身份鑒別[J]. 自動化學報, 2002,28(1):1-10.

WANG Yun-hong,ZHU Yong,TAN Tie-niu.Biometrics personal identification based on IRIS pattern[J].ACTA Automatic SINICA,2002, 28(1):1-10.

Network authorization system based on fi ngerprint authentication

XIAO Qian, AO Xin
（School of Computer,Dongguan University of Technology,Guangdong523808,China）

With the development of extensive Internet applications represented by electronic business, the network security problem has raised more and more attentions. Specifically, network authorization system which aims at safeguarding network resources has been a research focus. Present solutions mainly adopt Public Key Infrastructure (PKI) based on asymmetric cryptographic algorithms. In such systems, users have to storage and protect their own private keys and suffer the risks of loosing them. In allusion to this problem, this paper proposes a new network authorization system which combines automatic fingerprint authentication and the existing PKI mechanism. Compared with the traditional PKI, the new system can not only simplify the authorization process, but also improve the security level by exploiting the easy-accessible human fingerprints.

fingerprint recognition; authentication; network authorization; PKI

TN914

A

1674-6236(2014)07-0128-04

2013-06-01稿件編號201306002

國家自然科學基金資助項目(61170216)

肖 倩(1973—)，女，湖南桃江人，實驗師。研究方向：無線傳感器網絡。