安全認(rèn)證技術(shù)在計(jì)算機(jī)信息系統(tǒng)中的應(yīng)用

摘 要：計(jì)算機(jī)信息安全認(rèn)證就是使用電子手段證明發(fā)送者和接收者身份及其文件完整性，即確認(rèn)雙方的身份信息在傳送或存儲(chǔ)過程中沒有修改過。認(rèn)證是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過程，其基本思想是通過驗(yàn)證被認(rèn)證對(duì)象的屬性來達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。本文對(duì)多重身份認(rèn)證技術(shù)在計(jì)算機(jī)信息系統(tǒng)中的實(shí)際應(yīng)用方式及有效性進(jìn)行分析。

關(guān)鍵詞：安全認(rèn)證；身份認(rèn)證技術(shù)；信息系統(tǒng)

中圖分類號(hào)：TP309

近些年來，計(jì)算機(jī)技術(shù)正在不斷發(fā)展，各企事業(yè)單位以及政府部門等對(duì)信息系統(tǒng)依賴性逐漸增強(qiáng)，信息技術(shù)已經(jīng)滲透到日常生活中的各個(gè)方面，所以保證信息系統(tǒng)的安全性便顯得尤為重要。身份認(rèn)證屬于信息系統(tǒng)安全防衛(wèi)工作中的守關(guān)者，能否保證身份認(rèn)證系統(tǒng)的正常工作，將會(huì)直接影響到信息系統(tǒng)整體安全性。通常情況下可以從實(shí)際應(yīng)用方面對(duì)用戶身份進(jìn)行差別性認(rèn)證，想要保證登錄所在信息系統(tǒng)最高權(quán)限的人是用戶本人，就必須要有一個(gè)雙因子的身份認(rèn)證系統(tǒng)為其護(hù)航。也可以讓部分人進(jìn)入到系統(tǒng)中，給這部分人查閱小部分資料的權(quán)限，進(jìn)行快速的身份認(rèn)證。智能卡和生物技術(shù)（指紋）可分別作為身份認(rèn)證技術(shù)來使用，但如果將這兩種技術(shù)結(jié)合在一起，則一方面增強(qiáng)了系統(tǒng)的安全性，可以起到1+1>2的作用；另一方面還可以替換原有的ID+密碼的認(rèn)證方式，使身份認(rèn)證在實(shí)際應(yīng)用中具有更大的便捷性。

1 系統(tǒng)方案

Store-on-Card的系統(tǒng)方案如圖1所示。只是利用智能卡的安全特性來存儲(chǔ)指紋特征，其他的所有處理過程都在卡外完成。這里需要注意兩個(gè)方面的問題，一個(gè)是數(shù)據(jù)傳輸以及在卡中認(rèn)證的時(shí)間，另一個(gè)就是安全認(rèn)證。由于一枚指紋圖像在特征提取后的數(shù)據(jù)一般都有幾百個(gè)字節(jié)，因此，通常的做法是采用壓縮的方法來傳輸。

數(shù)據(jù)加密是計(jì)算機(jī)網(wǎng)絡(luò)安全很重要的一個(gè)部分。在因特網(wǎng)上進(jìn)行文件傳輸、電子郵件商務(wù)往來存在許多不安全因素，尤其是一些機(jī)密文件在網(wǎng)絡(luò)上傳輸時(shí)。而且這種不安全性是因特網(wǎng)存在基礎(chǔ)——TCP/IP協(xié)議所固有的，包括一些基于TCPHP的服務(wù)。解決上述難題的方案就是加密，加密后的口令即使被黑客獲得也是不可讀的，加密后的文件沒有收件人的私鑰無法解開，文件成為一大堆無任何實(shí)際意義的亂碼。加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。文件加密不只用于電子郵件或網(wǎng)絡(luò)上的文件傳輸，也可應(yīng)用靜態(tài)的文件保護(hù)，如PIP軟件就可以對(duì)磁盤、硬盤中的文件或文件夾進(jìn)行加密，以防他人竊取其中的信息。

加密是保障數(shù)據(jù)安全的一種方式，是一種主動(dòng)的信息安全防范措施，其原理是利用加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性和安全性。明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。

2 安全認(rèn)證方案

安全認(rèn)證的方案主要有兩種，一種是基于單鑰密碼算法的方案，典型的密碼算法有DES和IDEA等；另一種是基于公鑰密碼算法（PKC）的方案，典型的密碼算法有RSA和ECC。在介紹認(rèn)證方案之前先簡(jiǎn)單介紹一下公鑰算法用于加解密以及數(shù)字簽名的過程。（1）用于加解密和數(shù)字簽名的公鑰算法；（2）基于公鑰密碼算法的安全認(rèn)證方案。它利用的就是公鑰密碼算法具有保密和簽名的特點(diǎn)。

假設(shè)用戶U想通過網(wǎng)絡(luò)訪問遠(yuǎn)程系統(tǒng)S。圖2中Sig（SK，H（I））表示使用會(huì)話密鑰SK對(duì)H（f）進(jìn)行簽名，而H（J）表示的是對(duì)信息J的Hash值；Enc（K，D表示用公鑰或私鑰PK對(duì)信息J進(jìn)行加密，Dec（K，D表示用公鑰或私鑰K對(duì)J進(jìn)行解密；TDu為指紋的特征數(shù)據(jù)，ID表示為用戶的在遠(yuǎn)程數(shù)據(jù)庫中的標(biāo)識(shí)號(hào)。如圖2中所示的認(rèn)證過程主要包括如下3個(gè)方面：（1）指紋模板的完整性驗(yàn)證。指紋模板存放在智能卡中，它受到系統(tǒng)S的私鑰SKs保護(hù)，因此在智能卡中存儲(chǔ)的是指紋模板以及利用SKs生成的簽名數(shù)據(jù)，即TDu和Sig（SKs，H（Tdu）），此時(shí)卡中的用戶私鑰SKu被鎖定不允許使用。系統(tǒng)的公鑰PKs用于驗(yàn)證指紋模板的完整性；（2）用于保護(hù)私鑰的比對(duì)過程。比對(duì)過程也就是現(xiàn)場(chǎng)采集并提取的指紋特征跟指紋模板TDu進(jìn)行比對(duì)，根據(jù)最后的比對(duì)結(jié)果來確定是否對(duì)用戶私鑰SKu的解鎖，只有比對(duì)成功之后才可以獲取用戶的私鑰SKu；（3）電子認(rèn)證過程。驗(yàn)證終端使用用戶U的私鑰SKu對(duì)用戶的ID簽名，接著系統(tǒng)s用自己的私鑰SKs對(duì)簽名結(jié)果進(jìn)行加密，然后把得到的密文和ID明文一起送給系統(tǒng)驗(yàn)證。最后系統(tǒng)S利用用戶ID查到用戶的公鑰Pku并且同時(shí)對(duì)ID和簽名結(jié)果進(jìn)行驗(yàn)證。

隨著對(duì)稱密碼的發(fā)展，DES數(shù)據(jù)加密標(biāo)準(zhǔn)算法由于密鑰長度較?。?6位），已經(jīng)不適應(yīng)當(dāng)今分布式開放網(wǎng)絡(luò)對(duì)數(shù)據(jù)加密安全性的要求，因此1997年NIST公開征集新的數(shù)據(jù)加密標(biāo)準(zhǔn)，即AES。此算法成為美國新的數(shù)據(jù)加密標(biāo)準(zhǔn)而被廣泛應(yīng)用在各個(gè)領(lǐng)域中。盡管人們對(duì)AES還有不同的看法，但總體來說，AES作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)匯聚了強(qiáng)安全性、高性能、高效率、易用和靈活等優(yōu)點(diǎn)。AES設(shè)計(jì)有三個(gè)密鑰長度：128、192、256位，相對(duì)而言，AES的128密鑰比DES的56密鑰強(qiáng)1021倍。AES是分組密鑰，算法輸入128位數(shù)據(jù)，密鑰長度也是128位。用Nr表示對(duì)一個(gè)數(shù)據(jù)分組加密的輪數(shù)。每一輪都需要一個(gè)與輸入分組具有相同長度的擴(kuò)展密鑰Expandedkey（i）的參與。由于外部輸入的加密密鑰K長度有限，所以在算法中要用一個(gè)密鑰擴(kuò)展程序把外部密鑰K擴(kuò)展成更長的比特串，以生成各輪的加密和解密密鑰。（1）針對(duì)中心服務(wù)器進(jìn)行加密。在監(jiān)控系統(tǒng)中對(duì)數(shù)據(jù)的加密屬于“通信加密”，即對(duì)實(shí)時(shí)傳輸過程中的數(shù)據(jù)進(jìn)行加密。對(duì)中心服務(wù)器的加密，即針對(duì)每個(gè)中心服務(wù)器進(jìn)行的加密，不同的中心服務(wù)器使用不同的密鑰。通過對(duì)每個(gè)中心服務(wù)器定期隨機(jī)產(chǎn)生一個(gè)密鑰，中心服務(wù)器下的所有終端設(shè)備可以獲得該密鑰。終端設(shè)備使用該密鑰對(duì)發(fā)送出去的數(shù)據(jù)進(jìn)行加密，對(duì)接收的數(shù)據(jù)解密，保障信息在傳輸過程中的安全性；（2）使用AES加密算法。AES即FIPS 197，是NIST于2001年發(fā)布的加密系統(tǒng)。AES采用128位的分組長度，支持長度為128、192和256位的密鑰長度。128位密鑰長度的AES是最常采用的版本。128位的密鑰長度能夠提供足夠的安全性，而且比更長的密鑰需要較少的處理時(shí)間。到目前為止，AES還沒有出現(xiàn)任何致命缺陷。AES加密算法屬于對(duì)稱加密系統(tǒng)，使用同一個(gè)密鑰來對(duì)數(shù)據(jù)進(jìn)行加密和解密。該算法實(shí)現(xiàn)速度快，適于對(duì)實(shí)時(shí)的數(shù)據(jù)流進(jìn)行加解密，易于軟件或硬件實(shí)現(xiàn)。對(duì)于嵌入式設(shè)備，多使用硬件加密的方式；對(duì)于桌面式終端，可以使用軟件加密的方式。

3 系統(tǒng)的軟件結(jié)構(gòu)

移動(dòng)電話終端的軟件層次結(jié)構(gòu)，它采用模塊化設(shè)計(jì)的概念，將軟件部分分為底層硬件驅(qū)動(dòng)、操作系統(tǒng)、GUI部分和應(yīng)用軟件等，下面將分別介紹。

3.1 硬件驅(qū)動(dòng)程序

硬件驅(qū)動(dòng)主要實(shí)現(xiàn)外圍設(shè)備的管理和控制，處理外圍設(shè)備產(chǎn)生的中斷，將外圍設(shè)備的狀態(tài)和數(shù)據(jù)實(shí)時(shí)送給操作系統(tǒng)和上層應(yīng)用軟件。操作系統(tǒng)包含各種硬件設(shè)備和接口的驅(qū)動(dòng)程序，可采用Linux、Symbian、Palm OS、WinCE等。它支持UART、IrDA、USB等接口，支持SDRAM、Flash等存儲(chǔ)器，支持真彩LCD、觸摸屏等外設(shè)。這些驅(qū)動(dòng)程序采用模塊化設(shè)計(jì)，必要時(shí)可以作為模塊加入到操作系統(tǒng)的內(nèi)核中，成為內(nèi)核的一部分。

3.2 操作系統(tǒng)

操作系統(tǒng)是軟件平臺(tái)的核心，實(shí)現(xiàn)了底層硬件的管理和控制，為上層應(yīng)用程序提供系統(tǒng)調(diào)用，極大的方便了應(yīng)用程序的擴(kuò)展和開發(fā)。

3.3 GUI

GUI在硬件驅(qū)動(dòng)和操作系統(tǒng)核心的支持下，為上層應(yīng)用程序提供系統(tǒng)調(diào)用，輕松實(shí)現(xiàn)圖形化應(yīng)用。

3.4 應(yīng)用軟件

在底層硬件驅(qū)動(dòng)程序和操作系統(tǒng)的支持下，應(yīng)用軟件實(shí)現(xiàn)了其豐富性，它主要包括以下幾部分：（1）手機(jī)應(yīng)用軟件：主要包括通話管理、短信、彩信、WAP或HTTP瀏覽器、E—mail、移動(dòng)QQ、游戲、信息管理等應(yīng)用軟件；（2）PDA應(yīng)用軟件：記事本、圖片瀏覽器、計(jì)算器、世界時(shí)鐘、日程表、草圖本、電子書、電子詞典、貨幣轉(zhuǎn)換、紅外線同步和USB同步等；（3）其他應(yīng)用軟件：Java功能、數(shù)碼相機(jī)、MP3、MIDI、MPEG4等播放器；（4）新增應(yīng)用：電子錢包、生物認(rèn)證等；（5）系統(tǒng)工具：文件管理、時(shí)間設(shè)置等。

指紋識(shí)別技術(shù)屬于當(dāng)前社會(huì)背景下比較常見的一種計(jì)算機(jī)身份識(shí)別手段，同時(shí)也是一種較為有效的生物特征的識(shí)別。想要進(jìn)行指紋識(shí)別，首先必須要先建立起相關(guān)的文獻(xiàn)庫，在文獻(xiàn)庫當(dāng)中查找對(duì)應(yīng)的指紋，匹配指紋特征。為了提升實(shí)際工作過程當(dāng)中的工作效率，可以將指紋特征簡(jiǎn)單的分為局部特征或者是整體特征，其中囊括了指紋三角點(diǎn)、核心點(diǎn)等諸多方面。在實(shí)際匹配過程中，要先對(duì)指紋進(jìn)行提取，一般都會(huì)采用傳感器來提取。指紋的主要構(gòu)成要素是凹凸不平的紋路，可以對(duì)像素點(diǎn)進(jìn)行電流釋放，之后在使用參考電流進(jìn)行電流釋放。在指紋凸起下整體像素放電的速度比較慢，反而則較快。所以這兩種情況下凹處下方像素可以保持電路檢測(cè)工作，并且可以將其轉(zhuǎn)換為8bit的圖像，通過該方式進(jìn)行檢驗(yàn)，可以得到比較好的原始的圖像。

基于上述解決方案，我們?cè)贗nfineon的雙界面智能卡芯片SLE66CLX320P上模擬了智能卡與交易終端的認(rèn)證和交易過程。首先，在該芯片上開發(fā)一個(gè)雙界面智能卡操作系統(tǒng)，然后，在卡內(nèi)建立一個(gè)電子錢包的應(yīng)用并存放持卡人的基本信息和指紋特征，基于指紋特征的大小為120字節(jié)。假設(shè)模擬一次交易（減錢）的平均時(shí)間為184ms，從卡中讀出指紋特征并在PC上完成一對(duì)一比對(duì)的時(shí)間為305ms，這表明在手機(jī)上實(shí)現(xiàn)雙界面SIM和指紋識(shí)別技術(shù)成為可能。由于SIM卡中已經(jīng)包括GSM或CDMA的應(yīng)用，如果再增加新的電子錢包應(yīng)用可能會(huì)受限于SIM卡的存儲(chǔ)空間。隨著新的智能卡技術(shù)的發(fā)展，這個(gè)問題也會(huì)逐步得到解決，因?yàn)橹悄芸ǖ目臻g從早期幾千字節(jié)已經(jīng)發(fā)展現(xiàn)在的幾兆字節(jié)了。

4 結(jié)束語

本文在身份認(rèn)證技術(shù)和電話信息系統(tǒng)分析的基礎(chǔ)上，結(jié)合兩者對(duì)多重身份認(rèn)證技術(shù)在信息系統(tǒng)當(dāng)中的實(shí)際應(yīng)用方式與效果進(jìn)行了探討，為計(jì)算機(jī)信息系統(tǒng)的安全管理提供有益的技術(shù)支持和幫助。

參考文獻(xiàn)：

[1]陳澤宇，飛虎，陳剛.利用顏色信息的人臉檢測(cè)方法[J].上海交通大學(xué)學(xué)報(bào)，2011（14）：222-224.

[2]陳卓，劉俊男.多種身份認(rèn)證技術(shù)在信息系統(tǒng)中的研究與應(yīng)用[J].網(wǎng)絡(luò)應(yīng)用安全，2012（11）：145-147.

[3]陳鋒，覃征.基于指紋識(shí)別基于指紋識(shí)別與PKI的電子政務(wù)身份認(rèn)證體系[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012（07）：111-113.

[4]董立鋒.人臉識(shí)別技術(shù)在信息系統(tǒng)的應(yīng)用[D].四川大學(xué)，2010：07-09.

[5]苗軍.面向人臉面部圖象識(shí)別、合成和模型編碼的人臉目標(biāo)及其特征檢測(cè)[D].北京工業(yè)大學(xué)，2012：11-13.

[6]IlsunYou，Jong-HyoukLee，BonamKim.caTBUA：Context-aware ticket-based binding update authentication protocol for trust-enabled mobile networks[J].Int.J.Commun.Syst.2010（11）.

[7]Jong-Hyouk Lee，Hyung-Jin Lim，Tai-Myoung Chung.A competent global mobility support scheme in NETLMM[J].AEUE-International Journal of Electronics and Communications.2011（11）.

[8]Hari Balakrishnan，Karthik Lakshminarayanan，Sylvia Ratnasamy，Scott Shenker，Ion Stoica，Michael Walfish.A layered naming architecture for the internet[J].ACM SIGCOMM Computer Communication Review.2012（04）.

[9]Wei Liang，Wenye Wang.On performance analysis of challenge/response based authentication in wireless networks[J].Computer Networks.2012（02）.

[10]Joseph S.M.Ho，Ian F.Akyildiz.Mobile user location update and paging under delay constraints[J].Wireless Networks.2010（04）.

作者簡(jiǎn)介：

作者單位：澳門城市大學(xué)管理學(xué)院，澳門 999078