試論指紋識別技術在電子商務安全認證中的運用

鄭祎

摘要：近幾年內，隨著國內社會經濟的快速發展，電子商務行業同樣在迅猛發展。然而，在電子商務不斷發展過程中面對著嚴峻的安全性挑戰，此是限制電子商務做大做強的主要因素之一。隨著生物技術的日益創新發展，指紋識別技術逐漸被運用于電子商務領域，其可以有效避免“用戶+密碼”的認證方式所存在的安全隱患。基于此，本文就指紋識別技術在電子商務安全認證中的運用進行深入的研究。

關鍵詞：指紋識別技術;電子商務;安全認證

1、引言

在互聯網普及率不斷提高的環境下，國內電子商務行業快速、穩定發展。相關數據顯示：2019年，我國的網絡零售總額為19.52萬億元，占社會總零售額的24.7%;截至2019年，國內移動電子商務的用戶規模已經達到7億人。在此背景下，人們對電子商務的安全性提出了更高的要求，將指紋識別技術運用于電子商務安全認證中，有利于確保電子商務交易的安全性。

2、指紋識別技術簡介

指紋，因為其有著終身不變性、方便性以及唯一性等特征，已基本上成為生物特征識別的代名詞。所謂“指紋識別”，主要是指通過對指紋的不同細節特征點進行對比來開展鑒別。指紋識別技術，主要涉及模式識別、圖像處理、數學形態學、計算機視覺以及小波分析等諸多學科。因為所有人的指紋都是不同的，所以指紋可應用于身份鑒定。

3、當前電子商務環境下的身份認證方式

伴隨互聯網的迅速普及、應用，圍繞電子商務而形成的網上購物、網上商場、網上交易、網上國際貿易以及網上服務等都得到了快速的發展。但是，在虛擬化的網絡環境下，如何對用戶的真實身份進行確認，是制約網絡應用的主要因素之一;信任與安全問題也就成為了影響以上活動有序開展的障礙，身份認證是確保網絡安全的首要屏障，是信息化時代備受人們重視的領域。在電子商務運行過程中，商務文本的形成、傳遞、確認、生效以及實施等環節可能會遇到各種問題，比如完整性、保密性、抗抵賴、身份認證等方面的問題，此嚴重影響了國內電子商務行業的高質量發展。

從2005年4月1日開始，國內首部《電子簽名法》正式執行，進而為電子商務的發展提供了強有力的法律保障。當前，電子銀行的安全體系主要依賴于用戶“賬號+密碼+CA數字證書”。反病毒專家指出：雖然網上銀行已經采取了各式各樣的安全防范機制，比如：防火墻、CA數字證書、入侵檢測等等，從理論方面來看是比較安全的，但是此種安全機制主要運用于服務器中，對于客戶端的安全并未引起重視。所以，很多與“網銀大盜”相似的病毒均是通過客戶端來盜取用戶的賬號與密碼，進而盜取該用戶的銀行資金。賬號、密碼屬于比較私密的信息，理應為用戶一人所有，然而事實上其卻是能夠被復制或者傳播的，無論此種傳播是無意的、還有有意的。CA數字證書的盜取難度比較大，但是依然無法阻擋物理方面可接觸此證書的非法攻擊又或是黑客攻擊。如果非法人員盜取了用戶的賬號、密碼以及CA數字證書以后，網上銀行針對交易系統所設置的安全機制就“形同虛設”，在事后審計過程中也難以確定交易人員的實際身份。所以，“賬號+密碼+CA數字證書”機制事實上難以防范他人的非法授權或者非法竊取。伴隨黑客工具與網絡病毒的日益泛濫，網上銀行將面對更大的安全挑戰。電子商務環境下，網上銀行最應考慮的就是如何確保客戶端的安全性。

當前，網上支付的身份認證大多數依然是通過“用戶ID+密碼”的形式來實現，有些還增加了“USB KEY”等數字簽名技術。因為賬號信息容易遺忘、丟失、甚至是被盜取，給用戶帶來了非常多的困擾，所以如何確保電子商務交易的安全性、創建完善的網絡身份認證系統，使得其可以妥善化解以往的用戶口令個人身份認證形式所存在的驗證密碼容易被盜取的問題，是未來電子商務行業想要得到“又快、又好”發展亟待解決的問題。

4、指紋識別技術在電子商務安全認證中的運用

4.1 指紋識別技術的運用原理

（1）采集指紋圖像

光學錄入技術，是既成熟又古老的指紋錄入技術，僅需將手指擺放于臺板（通常是由加膜的玻璃制作而成）上，就可自動完全手指圖像的采集。隨著技術的不斷發展，該設備的尺寸不斷變小，價格也更加的便宜。芯片錄入技術，使用以芯片為基礎的傳感器，其面積非常小，使用者直接將手指擺放在硅芯片的表面來完成指紋圖像的采集。超聲波錄入技術已經形成多年，然而其應用范疇卻比較小。將手指擺放于玻璃臺板上，超聲波掃描開始后就會聽到蜂鳴聲并且還可以感到微微的震動。因為利用了聲波，所以在采集圖像時，手指無需直接接觸臺板。

（2）解碼

在采取以上方法取得相應的指紋圖像以后，就需要對圖像進行解碼，則需對圖像特征加以提取、分析。指紋的基本特點是嵴、谷和終點、分歧點或者分叉點等等，所有指紋都具有可測量的特征點，各特征點大概有7個特征，10個手指至少有4900個獨立的、可用于測量的特征點，足以確保指紋識別的可靠性。

（3）比對與匹配

在提取到指紋圖像的特征值以后，就可以根據其特征值與數據庫中現有的指紋圖像特征開展對比、匹配。在此過程中，快速、可靠的算法是極其重要的，如何針對殘缺圖像實施匹配、傷疤等相關處理都需算法技術提供支持。雖然指紋僅僅是人體皮膚的極小部分，然而可用于識別的數據量卻非常多，對這部分數據開展比對也并非是單純的相等和不相等問題，而需采用模糊匹配算法。隨著現代電子集成制造技術的不斷成熟，使得人們可以生產規格更加小的指紋圖像讀取設備。除此以外，在匹配算法可靠性進一步加強的前提下，指紋識別技術有著更加廣闊的運用范疇。

4.2 指紋識別技術在身份認證系統中的運用

指紋識別技術在身份認證系統中的運用，可提高整個電子商務系統的安全性，可精準識別被認證者的真實身份信息;可以確定實現簽名認證的責任;可以確保數據傳遞與儲存的安全性。以指紋識別技術為基礎所設計的電子商務身份認證系統為：客戶端在成功通過指紋身份認證以后，才能夠訪問遠程服務器內所儲存的信息資源，全部的信息資源訪問權限都在身份認證系統的控制下;如果用戶在客戶端并未通過指紋的身份認證，則其就沒有權限對信息資源進行訪問。為提高系統的安全性，在服務器端與客戶端間傳遞的任何數據包，比如指紋模板、服務器反饋的信息、用戶的訪問請求等都應進行加密處理。

指紋識別技術的身份認證具體流程如下：首先，用戶在注冊過程中需要在認證服務器中留下自身的指紋模板與數字簽名。在客戶端通過自身的數字簽名向服務器發出認證請求;認證服務器對其進行加密處理后再發送給發出請求的客戶端;用戶在客戶端接收到認證服務器發出的認證時限與認證服務器公鑰以后，將指紋傳感器所收集到的指紋通過指紋預處理以后，將提取到的指紋特征模板與認證服務器所發送的信息進行加密后再發送給認證服務器;認證服務器對接收到的加密信息加以解密，提取指紋特征模板并且將其與認證服務器中用戶實現留下的指紋特征模板實施匹配，以判斷用戶的認證信息是否準確。通過指紋身份的認證，保障合法用戶在電子商務活動中信息資源訪問權限。

4.3 指紋識別技術在網上支付系統中的運用

指紋識別技術在網上支付系統中的運用，有利于確保網上支付的安全性。基于指紋識別技術的網上支付系統具體過程如下：①用戶在銀行的認證服務器中儲存自身的指紋模板與公鑰，同時將其與用戶的賬戶相互關聯起來。②用戶在網上購物進行錢款支付時，向銀行的認證服務器發出認證請求，成功通過服務器的認證后，服務器就會將相應的公鑰發送給客戶端。③用戶在客戶端將填寫好具體的轉賬信息（比如：轉入賬戶、轉出賬戶、金額等等）與指紋傳感器收集的指紋模版，通過數字簽名加密處理后再發送給銀行服務器。④服務器按照用戶提供的公鑰加以解密，提取解密后的指紋模板與賬戶相關聯的指紋模板進行比較、匹配，如果可以成功匹配，才會進行轉賬業務并且將轉帳信息反饋給用戶，否則就會拒絕執行轉賬業務。

除此以外，還可以利用“指紋USBKey”來妥善解決現有辦法與技術中存在的問題，能夠幫助用戶完成好各個銀行所發行個人證書的管理（當前，用戶主要是通過密碼、口令的形式來開啟自己的網銀數字證書，進行數字簽名）。用戶通過認證指紋來開啟數字簽名器，只有通過指紋認證才可以完成數字簽名，使得用戶不再受記憶口令或者丟失口令的困擾，并且還加強了數字簽名的安全性。在“指紋USBKey”中，能夠保存用戶的個人信息、賬本信息以及交易記錄等，通過指紋來完成訪問，有利于個人的管理;在“指紋USBKey”中，還可集成高性能的CPU，內部可嵌入RSA加密算法與指紋識別算法，數據加密保存、指紋比較匹配等工作都在系統內部完成，盡可能降低對電腦的依賴性，避免黑客入侵，大大提高整體系統的安全性。此外，“指紋USBKey”還應當具有以下多種功能：第一，數字簽名的指紋保護，通過指紋來保護用戶的證書與密鑰，從而實現對用戶數字簽名的保護;第二，多指紋存儲，所有用戶都能夠保存多個指紋，防止由于個別手指受到傷害，設備無法正常使用;第三，數據加密指紋保護，通過指紋來保護加密密鑰，用戶唯有成功通過指紋認證才可以實現對文件的加密和解密，從而實現保護重要文件和數據的目標;第四，指紋管理功能，主要包含采集指紋、保存指紋、指紋對比、指紋刪除、導出指紋模板、對儲存的指紋實施操作管理等等。

5、結論

綜上所述，在信息技術快速發展的當下，電子商務作為資金鏈、商品流、物流的統一體，其安全性已引起社會各界人士的高度重視。指紋識別技術在電子商務領域中的運用有諸多優勢，當前指紋識別技術主要運用于電子商務的身份認證系統、網上支付系統中。未來，隨著指紋識別技術的日益成熟，其在電子商務領域必定會有更廣泛的運用，從而保障電子商務交易的安全性。

參考文獻：

[1]程元棟.指紋識別技術在電子商務認證系統中的應用[J].中國高新技術企業，2008（19）：152+160.

[2]謝信琦.指紋識別技術與電子商務認證應用研究[J].甘肅科技縱橫，2008（05）：26-27.

[3]黃健青，劉磊.指紋識別技術在電子商務認證系統中的應用[J].網絡安全技術與應用，2006，000（003）：50-51.