[摘要] 活體指紋識別模式隨著成本降低，已可與應(yīng)用軟件有機(jī)地組合在一起逐步取代軟件系統(tǒng)中普遍采用的用戶名/密碼登錄模式。通過引進(jìn)先進(jìn)設(shè)備、配件，利用已掌握的最先進(jìn)技術(shù)，以自身優(yōu)勢所長融入其它所長，做到系統(tǒng)總體最佳，技術(shù)創(chuàng)新，把最先進(jìn)的技術(shù)和軟件注入新系統(tǒng)，使電子商務(wù)的安全和保密達(dá)到要求，方便人們使用，增加、提高系統(tǒng)的附加值。

[關(guān)鍵詞] 信息安全 活體指紋 應(yīng)用軟件

電子商務(wù)利用網(wǎng)絡(luò)的方便性、共享性拉近了人與信息間的距離，在帶來時(shí)效性等多益處的同時(shí)卻加大了系統(tǒng)的不安全感，以往采用的用戶名/密碼登錄模式易引起泄密等一系列問題，尋求有效的識別身份歷來是軟件安全和保密的難題。指紋辨識雖早有提出，但如何把應(yīng)用軟件和活體指紋識別技術(shù)結(jié)合，引入先進(jìn)的加密算法和安全措施，解決系統(tǒng)安全和保密問題，利于穩(wěn)定、方便、可靠的電子商務(wù)平臺建設(shè)，仍是實(shí)際需要解決的一個(gè)課題。

一、活體指紋識別模式的引入

隨著生物特征識別技術(shù)的成熟和成本降低，使指紋識別身份的惟一性，方便性，不可替代性，安全性等特點(diǎn)凸現(xiàn)。指紋識別有單指紋和多指紋之分，前者指單一指紋識別，后者指兩個(gè)以上指紋識別，識別的渠道可由計(jì)算機(jī)鍵盤、鼠標(biāo)或指紋掃描器上的指紋模式輸入口進(jìn)入系統(tǒng)，由應(yīng)用軟件的相應(yīng)機(jī)制鑒別單指紋或多指紋，隨之從網(wǎng)絡(luò)傳輸?shù)椒?wù)器，以利RSA等算法實(shí)現(xiàn)的多位數(shù)要求。

活體指紋識別器由感應(yīng)器件COMS對活體動物血液循環(huán)感應(yīng)，進(jìn)行1對1或1對多枚指紋圖像的比對辨識。獲取認(rèn)證身份的指模時(shí)，一旦指紋被掃描入系統(tǒng)，取模過程則處于封閉狀態(tài)，所取指紋模可保存在加密數(shù)據(jù)庫中供身份認(rèn)證。指紋感應(yīng)器需要活體循環(huán)感應(yīng)識別，即使盜取了指模，也不能進(jìn)入系統(tǒng)。若一定權(quán)限的人進(jìn)行修改或?qū)徲?jì)時(shí)，其指紋提交給系統(tǒng)后，經(jīng)一系列復(fù)雜的指紋識別算法，可在極短時(shí)間內(nèi)認(rèn)證身份，解決了身份鑒定的一些難題，對使用過程中隨機(jī)識別更有明顯，大有可取代普遍采用的用戶名/密碼進(jìn)入模式。

二、身份認(rèn)證

1.涉密權(quán)限特征與身份認(rèn)定

電子商務(wù)系統(tǒng)在買賣雙方注冊時(shí)先保存采集的指紋數(shù)據(jù)。當(dāng)注冊成功，使用時(shí)由指紋鼠標(biāo)或指紋鍵盤把指定的指紋送至采集傳感器，系統(tǒng)提取訪問者身份的指紋特征，通過比對算法與認(rèn)證Server的數(shù)據(jù)庫中存有的指紋特征進(jìn)行比對，認(rèn)證身份。在驗(yàn)證可靠身份的同時(shí)，提供可靠的驗(yàn)證數(shù)據(jù)。在Client端配置有SET或.NET功能的瀏覽器的PC，便于進(jìn)行電子商務(wù)活動的咨詢、選所需產(chǎn)品、認(rèn)證、準(zhǔn)備采購金、交易、購買、要求送貨、確認(rèn)、查詢等業(yè)務(wù)。申請交易的個(gè)人、組織、商家、和認(rèn)證機(jī)構(gòu)、銀行間的網(wǎng)上信息交互采用非對稱算法，數(shù)字簽名等多種算法結(jié)合，保證身份的真實(shí)性和交易信用。

指紋識別的權(quán)限按不同的使用權(quán)限分類，不同的指紋賦予不同的權(quán)限，同一人的多個(gè)指紋代表同一權(quán)限，符合權(quán)限的人員與系統(tǒng)間進(jìn)行1對1的密級服務(wù)。

引入指紋識別的網(wǎng)絡(luò)軟件系統(tǒng)中，不要求建立與密級文件無關(guān)人員數(shù)據(jù)的數(shù)據(jù)庫，可以把涉密人員權(quán)限和買賣雙方的用戶按不同的需求分類，例如，為了敘述方便，把經(jīng)過簡化后的描述表示為:R=f(ui，vj，wk，xl)

式中，ui表示買方或賣方特征碼，vj表示系統(tǒng)管理人員特征碼，wk表示審計(jì)人員特征碼，xl表示錄入人員特征碼，下標(biāo)i，j，k，l分別為權(quán)限的類別數(shù)，按涉密的權(quán)限劃分。由權(quán)限的層次確定。

系統(tǒng)做到按權(quán)限、指紋特征區(qū)分認(rèn)證機(jī)構(gòu)、銀行或商家的系統(tǒng)管理員，錄入員，審計(jì)員等和賣方業(yè)務(wù)人員、買方的身份。系統(tǒng)管理員保證系統(tǒng)正常，監(jiān)測、指紋庫中注冊的指紋數(shù)據(jù)和實(shí)際相符，維護(hù)系統(tǒng)中所有人員的權(quán)限數(shù)據(jù)、用戶身份資料數(shù)據(jù)，系統(tǒng)運(yùn)行數(shù)據(jù)，看不到、也不能通過其它方法獲得除自己以外的任何密碼，不能訪問到錄入員錄入、審計(jì)后的信息和買賣方所交互的內(nèi)容。錄入員錄入完畢，可重新檢查或按照需要編輯、修改，一旦正確提交給系統(tǒng)后便不允許再次訪問。錄入完的資料一經(jīng)審計(jì)員審查正確無誤，則可按不同密級加密存入密文資料數(shù)據(jù)庫，審計(jì)完后的正確資料審計(jì)人員也不能再次訪問，除非在要求資料修改、更新數(shù)據(jù)的審計(jì)時(shí)。

2.密級內(nèi)容保護(hù)與使用

在同一LAN內(nèi)共享密級文件，滿足同密級人員并行使用，縮短了密級文件的傳遞、流轉(zhuǎn)時(shí)間，減少了密級文件在一一傳遞過程中的遺失、泄密。

對遠(yuǎn)程密級數(shù)據(jù)傳輸，如WAN(Wide Area Network)或?qū)＞€方式，利用非對稱加密傳輸，文件落地時(shí)在當(dāng)?shù)孛芗壏?wù)器中解密，在LAN內(nèi)實(shí)現(xiàn)密級共享。

硬件系統(tǒng)、OS和DB滿足National Computer Security Center(NCSC)定義的C2級安全性。網(wǎng)絡(luò)環(huán)境、控制技術(shù)、整體設(shè)計(jì)與網(wǎng)絡(luò)應(yīng)用軟件密級高于C2級，多極限制，采用RSA非對稱和散列對稱加密算法結(jié)合、指紋識別和數(shù)字簽名算法DSA認(rèn)證等技術(shù)，融入其他先進(jìn)技術(shù)，加大或提升系統(tǒng)原有的附加價(jià)值，創(chuàng)新出新系統(tǒng)、新產(chǎn)品。底層和后臺應(yīng)用程序，指紋加密數(shù)據(jù)庫、加密權(quán)限庫、密文內(nèi)容分類庫、遠(yuǎn)程傳輸加密協(xié)議，都按先進(jìn)的算法設(shè)計(jì)，對網(wǎng)絡(luò)密級(LAN，WAN)，OS、服務(wù)器的密級，DB密級，應(yīng)用軟件密級，內(nèi)容密級，涉密人員密級能做到按權(quán)限、密級合理管理。個(gè)人指紋取樣在個(gè)人的手指上，可根據(jù)不同的比對區(qū)分，具有不可替代性，使Copy取樣無效。由于圈定涉密人員范圍與權(quán)限，按時(shí)間區(qū)間控制涉密范圍，如發(fā)現(xiàn)非涉密或其他人員企圖進(jìn)入系統(tǒng)，便會自動切斷系統(tǒng)并報(bào)警。

三、軟件實(shí)現(xiàn)

當(dāng)指紋注冊時(shí)，按使用和建立兩大類設(shè)立不同類型的人員ID，ID注冊身份的指紋數(shù)據(jù)隨機(jī)建立，可設(shè)相應(yīng)特征位分類，ID由認(rèn)證Server的存儲設(shè)備記憶。在需要進(jìn)入系統(tǒng)時(shí)，只要輸入活體指紋，由系統(tǒng)的指紋輸入器按照指紋的特征數(shù)據(jù)，找出對應(yīng)的ID，利用網(wǎng)絡(luò)軟件系統(tǒng)進(jìn)行相應(yīng)的指紋識別。代替了過去的口令或密碼操作，具有方便性，不會出現(xiàn)忘記密碼的煩惱。

網(wǎng)絡(luò)軟件系統(tǒng)對涉密人員和買或賣方的權(quán)限一一約定。假設(shè)網(wǎng)絡(luò)軟件系統(tǒng)中，密件的內(nèi)容分為5級，則賣者或買者及各涉密人員的權(quán)限限制如下表。

根據(jù)實(shí)際需求確定權(quán)限，注冊指紋、確認(rèn)身份、分配ID。對指紋圖紋數(shù)據(jù)庫加密，用戶身份資料數(shù)據(jù)加密。指紋特征參數(shù)的描述以指紋識別算法使用所取得的指紋紋線形態(tài)，并用指紋模型庫和分類庫中的權(quán)限類別進(jìn)行分析和識別。指紋按權(quán)限分類，不同權(quán)限下的檢索權(quán)限，按類似于表1的權(quán)限限制分類，可分為1，…，i，…，n級。由不同權(quán)限的管理者或?qū)徲?jì)人分配密級權(quán)限，權(quán)限的層次結(jié)構(gòu)、涉密資料的分類目錄管理按保密要求或行業(yè)或?qū)I(yè)目錄分類，并按時(shí)間序列提供最新的密級別類區(qū)分，對業(yè)務(wù)、管理環(huán)節(jié)投入研究，規(guī)范作業(yè)方式后應(yīng)用于軟件系統(tǒng)。由于整個(gè)過程處于加密全封閉管理，對身份、數(shù)據(jù)和信息的建立入口，服務(wù)出口的安全至為關(guān)鍵。建立入口包括按權(quán)限錄入、修改、審計(jì)、審計(jì)修改、更新、存檔等。出口包括按權(quán)限查詢、提交更正，合法身份等。身份或信息資料的用戶建立、注冊的邏輯機(jī)制和查詢安全實(shí)現(xiàn)的部分邏輯機(jī)制如圖所示。

活體指紋數(shù)據(jù)一旦被系統(tǒng)捕獲，則自動建立一個(gè)模擬數(shù)據(jù)，此數(shù)據(jù)要轉(zhuǎn)換成數(shù)字形式，才能被識別。當(dāng)基于用戶服務(wù)技術(shù)設(shè)計(jì)一個(gè)生物辨識應(yīng)用程序時(shí)，系統(tǒng)采用服務(wù)器控制平臺與網(wǎng)絡(luò)和各Client端所組成的系統(tǒng)安全策略，平臺、網(wǎng)內(nèi)各Client端有各種密級限制，任何密級內(nèi)容不能復(fù)制和在Client端保存。專人進(jìn)入服務(wù)器控制平臺時(shí)進(jìn)行監(jiān)控，指紋登記，審計(jì)。系統(tǒng)的審計(jì)功能對系統(tǒng)管理人員屏蔽，運(yùn)行時(shí)所有人員按權(quán)限限定范圍。

遠(yuǎn)程Client端驗(yàn)證指定身份、資料和數(shù)據(jù)信息時(shí)，經(jīng)加密傳輸后，對過程中的指紋識別以單元信息和Server間經(jīng)常監(jiān)測指紋相符為判定條件，當(dāng)提示要求提交指紋時(shí)，則應(yīng)提交指紋，系統(tǒng)快速判斷，保證繼續(xù)。若結(jié)束本次操作，則自動關(guān)閉系統(tǒng)，記錄開始、結(jié)束時(shí)間，數(shù)字簽名或指紋驗(yàn)證。

四、結(jié)論

電子商務(wù)引入指紋識別后，有指紋識別入口的電腦都能直接連入系統(tǒng)嗎？否。因?yàn)橐F(xiàn)場注冊才行。利用帶有活體指紋識別的電腦經(jīng)掃描進(jìn)入電子商務(wù)軟件系統(tǒng)，只是把注冊人的指紋圖紋線形態(tài)身份加密保存，按安全和保密權(quán)限認(rèn)證，進(jìn)行加密，識別，比對，判別，確認(rèn)，執(zhí)行等各環(huán)節(jié)。由于成本原因，目前并未做到不經(jīng)應(yīng)用軟件和相關(guān)算法、協(xié)議處理就能進(jìn)入系統(tǒng)的程度。此系統(tǒng)除用于電子商務(wù)的身份認(rèn)證外，也可用于軍事、經(jīng)濟(jì)、金融、情報(bào)，公安、政府等機(jī)要部門和高考閱卷、錄生，汽車防盜等場合。隨著技術(shù)不斷進(jìn)步、成本降低和用戶的需求，電子商務(wù)指紋識別軟件系統(tǒng)的應(yīng)用會越來越廣。

參考文獻(xiàn):

梁志敏蔡建譯:(美)Peter Thorsteinson， G. Gnana Arun GaneshNET安全性與密碼術(shù)[M].北京:清華大學(xué)出版社，2004.8:26-107