摘 要：計算機信息安全認證就是使用電子手段證明發(fā)送者和接收者身份及其文件完整性，即確認雙方的身份信息在傳送或存儲過程中沒有修改過。認證是證實被認證對象是否屬實和是否有效的一個過程，其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。本文對多重身份認證技術(shù)在計算機信息系統(tǒng)中的實際應用方式及有效性進行分析。

關(guān)鍵詞：安全認證；身份認證技術(shù)；信息系統(tǒng)

中圖分類號：TP309

近些年來，計算機技術(shù)正在不斷發(fā)展，各企事業(yè)單位以及政府部門等對信息系統(tǒng)依賴性逐漸增強，信息技術(shù)已經(jīng)滲透到日常生活中的各個方面，所以保證信息系統(tǒng)的安全性便顯得尤為重要。身份認證屬于信息系統(tǒng)安全防衛(wèi)工作中的守關(guān)者，能否保證身份認證系統(tǒng)的正常工作，將會直接影響到信息系統(tǒng)整體安全性。通常情況下可以從實際應用方面對用戶身份進行差別性認證，想要保證登錄所在信息系統(tǒng)最高權(quán)限的人是用戶本人，就必須要有一個雙因子的身份認證系統(tǒng)為其護航。也可以讓部分人進入到系統(tǒng)中，給這部分人查閱小部分資料的權(quán)限，進行快速的身份認證。智能卡和生物技術(shù)（指紋）可分別作為身份認證技術(shù)來使用，但如果將這兩種技術(shù)結(jié)合在一起，則一方面增強了系統(tǒng)的安全性，可以起到1+1>2的作用；另一方面還可以替換原有的ID+密碼的認證方式，使身份認證在實際應用中具有更大的便捷性。

1 系統(tǒng)方案

Store-on-Card的系統(tǒng)方案如圖1所示。只是利用智能卡的安全特性來存儲指紋特征，其他的所有處理過程都在卡外完成。這里需要注意兩個方面的問題，一個是數(shù)據(jù)傳輸以及在卡中認證的時間，另一個就是安全認證。由于一枚指紋圖像在特征提取后的數(shù)據(jù)一般都有幾百個字節(jié)，因此，通常的做法是采用壓縮的方法來傳輸。

數(shù)據(jù)加密是計算機網(wǎng)絡安全很重要的一個部分。在因特網(wǎng)上進行文件傳輸、電子郵件商務往來存在許多不安全因素，尤其是一些機密文件在網(wǎng)絡上傳輸時。而且這種不安全性是因特網(wǎng)存在基礎(chǔ)——TCP/IP協(xié)議所固有的，包括一些基于TCPHP的服務。解決上述難題的方案就是加密，加密后的口令即使被黑客獲得也是不可讀的，加密后的文件沒有收件人的私鑰無法解開，文件成為一大堆無任何實際意義的亂碼。加密在網(wǎng)絡上的作用就是防止有用或私有化信息在網(wǎng)絡上被攔截和竊取。文件加密不只用于電子郵件或網(wǎng)絡上的文件傳輸，也可應用靜態(tài)的文件保護，如PIP軟件就可以對磁盤、硬盤中的文件或文件夾進行加密，以防他人竊取其中的信息。

加密是保障數(shù)據(jù)安全的一種方式，是一種主動的信息安全防范措施，其原理是利用加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性和安全性。明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。

2 安全認證方案

安全認證的方案主要有兩種，一種是基于單鑰密碼算法的方案，典型的密碼算法有DES和IDEA等；另一種是基于公鑰密碼算法（PKC）的方案，典型的密碼算法有RSA和ECC。在介紹認證方案之前先簡單介紹一下公鑰算法用于加解密以及數(shù)字簽名的過程。（1）用于加解密和數(shù)字簽名的公鑰算法；（2）基于公鑰密碼算法的安全認證方案。它利用的就是公鑰密碼算法具有保密和簽名的特點。

假設(shè)用戶U想通過網(wǎng)絡訪問遠程系統(tǒng)S。圖2中Sig（SK，H（I））表示使用會話密鑰SK對H（f）進行簽名，而H（J）表示的是對信息J的Hash值；Enc（K，D表示用公鑰或私鑰PK對信息J進行加密，Dec（K，D表示用公鑰或私鑰K對J進行解密；TDu為指紋的特征數(shù)據(jù)，ID表示為用戶的在遠程數(shù)據(jù)庫中的標識號。如圖2中所示的認證過程主要包括如下3個方面：（1）指紋模板的完整性驗證。指紋模板存放在智能卡中，它受到系統(tǒng)S的私鑰SKs保護，因此在智能卡中存儲的是指紋模板以及利用SKs生成的簽名數(shù)據(jù)，即TDu和Sig（SKs，H（Tdu）），此時卡中的用戶私鑰SKu被鎖定不允許使用。系統(tǒng)的公鑰PKs用于驗證指紋模板的完整性；（2）用于保護私鑰的比對過程。比對過程也就是現(xiàn)場采集并提取的指紋特征跟指紋模板TDu進行比對，根據(jù)最后的比對結(jié)果來確定是否對用戶私鑰SKu的解鎖，只有比對成功之后才可以獲取用戶的私鑰SKu；（3）電子認證過程。驗證終端使用用戶U的私鑰SKu對用戶的ID簽名，接著系統(tǒng)s用自己的私鑰SKs對簽名結(jié)果進行加密，然后把得到的密文和ID明文一起送給系統(tǒng)驗證。最后系統(tǒng)S利用用戶ID查到用戶的公鑰Pku并且同時對ID和簽名結(jié)果進行驗證。

隨著對稱密碼的發(fā)展，DES數(shù)據(jù)加密標準算法由于密鑰長度較小（56位），已經(jīng)不適應當今分布式開放網(wǎng)絡對數(shù)據(jù)加密安全性的要求，因此1997年NIST公開征集新的數(shù)據(jù)加密標準，即AES。此算法成為美國新的數(shù)據(jù)加密標準而被廣泛應用在各個領(lǐng)域中。盡管人們對AES還有不同的看法，但總體來說，AES作為新一代的數(shù)據(jù)加密標準匯聚了強安全性、高性能、高效率、易用和靈活等優(yōu)點。AES設(shè)計有三個密鑰長度：128、192、256位，相對而言，AES的128密鑰比DES的56密鑰強1021倍。AES是分組密鑰，算法輸入128位數(shù)據(jù)，密鑰長度也是128位。用Nr表示對一個數(shù)據(jù)分組加密的輪數(shù)。每一輪都需要一個與輸入分組具有相同長度的擴展密鑰Expandedkey（i）的參與。由于外部輸入的加密密鑰K長度有限，所以在算法中要用一個密鑰擴展程序把外部密鑰K擴展成更長的比特串，以生成各輪的加密和解密密鑰。（1）針對中心服務器進行加密。在監(jiān)控系統(tǒng)中對數(shù)據(jù)的加密屬于“通信加密”，即對實時傳輸過程中的數(shù)據(jù)進行加密。對中心服務器的加密，即針對每個中心服務器進行的加密，不同的中心服務器使用不同的密鑰。通過對每個中心服務器定期隨機產(chǎn)生一個密鑰，中心服務器下的所有終端設(shè)備可以獲得該密鑰。終端設(shè)備使用該密鑰對發(fā)送出去的數(shù)據(jù)進行加密，對接收的數(shù)據(jù)解密，保障信息在傳輸過程中的安全性；（2）使用AES加密算法。AES即FIPS 197，是NIST于2001年發(fā)布的加密系統(tǒng)。AES采用128位的分組長度，支持長度為128、192和256位的密鑰長度。128位密鑰長度的AES是最常采用的版本。128位的密鑰長度能夠提供足夠的安全性，而且比更長的密鑰需要較少的處理時間。到目前為止，AES還沒有出現(xiàn)任何致命缺陷。AES加密算法屬于對稱加密系統(tǒng)，使用同一個密鑰來對數(shù)據(jù)進行加密和解密。該算法實現(xiàn)速度快，適于對實時的數(shù)據(jù)流進行加解密，易于軟件或硬件實現(xiàn)。對于嵌入式設(shè)備，多使用硬件加密的方式；對于桌面式終端，可以使用軟件加密的方式。

3 系統(tǒng)的軟件結(jié)構(gòu)

移動電話終端的軟件層次結(jié)構(gòu)，它采用模塊化設(shè)計的概念，將軟件部分分為底層硬件驅(qū)動、操作系統(tǒng)、GUI部分和應用軟件等，下面將分別介紹。

3.1 硬件驅(qū)動程序

硬件驅(qū)動主要實現(xiàn)外圍設(shè)備的管理和控制，處理外圍設(shè)備產(chǎn)生的中斷，將外圍設(shè)備的狀態(tài)和數(shù)據(jù)實時送給操作系統(tǒng)和上層應用軟件。操作系統(tǒng)包含各種硬件設(shè)備和接口的驅(qū)動程序，可采用Linux、Symbian、Palm OS、WinCE等。它支持UART、IrDA、USB等接口，支持SDRAM、Flash等存儲器，支持真彩LCD、觸摸屏等外設(shè)。這些驅(qū)動程序采用模塊化設(shè)計，必要時可以作為模塊加入到操作系統(tǒng)的內(nèi)核中，成為內(nèi)核的一部分。

3.2 操作系統(tǒng)

操作系統(tǒng)是軟件平臺的核心，實現(xiàn)了底層硬件的管理和控制，為上層應用程序提供系統(tǒng)調(diào)用，極大的方便了應用程序的擴展和開發(fā)。

3.3 GUI

GUI在硬件驅(qū)動和操作系統(tǒng)核心的支持下，為上層應用程序提供系統(tǒng)調(diào)用，輕松實現(xiàn)圖形化應用。

3.4 應用軟件

在底層硬件驅(qū)動程序和操作系統(tǒng)的支持下，應用軟件實現(xiàn)了其豐富性，它主要包括以下幾部分：（1）手機應用軟件：主要包括通話管理、短信、彩信、WAP或HTTP瀏覽器、E—mail、移動QQ、游戲、信息管理等應用軟件；（2）PDA應用軟件：記事本、圖片瀏覽器、計算器、世界時鐘、日程表、草圖本、電子書、電子詞典、貨幣轉(zhuǎn)換、紅外線同步和USB同步等；（3）其他應用軟件：Java功能、數(shù)碼相機、MP3、MIDI、MPEG4等播放器；（4）新增應用：電子錢包、生物認證等；（5）系統(tǒng)工具：文件管理、時間設(shè)置等。

指紋識別技術(shù)屬于當前社會背景下比較常見的一種計算機身份識別手段，同時也是一種較為有效的生物特征的識別。想要進行指紋識別，首先必須要先建立起相關(guān)的文獻庫，在文獻庫當中查找對應的指紋，匹配指紋特征。為了提升實際工作過程當中的工作效率，可以將指紋特征簡單的分為局部特征或者是整體特征，其中囊括了指紋三角點、核心點等諸多方面。在實際匹配過程中，要先對指紋進行提取，一般都會采用傳感器來提取。指紋的主要構(gòu)成要素是凹凸不平的紋路，可以對像素點進行電流釋放，之后在使用參考電流進行電流釋放。在指紋凸起下整體像素放電的速度比較慢，反而則較快。所以這兩種情況下凹處下方像素可以保持電路檢測工作，并且可以將其轉(zhuǎn)換為8bit的圖像，通過該方式進行檢驗，可以得到比較好的原始的圖像。

基于上述解決方案，我們在Infineon的雙界面智能卡芯片SLE66CLX320P上模擬了智能卡與交易終端的認證和交易過程。首先，在該芯片上開發(fā)一個雙界面智能卡操作系統(tǒng)，然后，在卡內(nèi)建立一個電子錢包的應用并存放持卡人的基本信息和指紋特征，基于指紋特征的大小為120字節(jié)。假設(shè)模擬一次交易（減錢）的平均時間為184ms，從卡中讀出指紋特征并在PC上完成一對一比對的時間為305ms，這表明在手機上實現(xiàn)雙界面SIM和指紋識別技術(shù)成為可能。由于SIM卡中已經(jīng)包括GSM或CDMA的應用，如果再增加新的電子錢包應用可能會受限于SIM卡的存儲空間。隨著新的智能卡技術(shù)的發(fā)展，這個問題也會逐步得到解決，因為智能卡的空間從早期幾千字節(jié)已經(jīng)發(fā)展現(xiàn)在的幾兆字節(jié)了。

4 結(jié)束語

本文在身份認證技術(shù)和電話信息系統(tǒng)分析的基礎(chǔ)上，結(jié)合兩者對多重身份認證技術(shù)在信息系統(tǒng)當中的實際應用方式與效果進行了探討，為計算機信息系統(tǒng)的安全管理提供有益的技術(shù)支持和幫助。

參考文獻：

[1]陳澤宇，飛虎，陳剛.利用顏色信息的人臉檢測方法[J].上海交通大學學報，2011（14）：222-224.

[2]陳卓，劉俊男.多種身份認證技術(shù)在信息系統(tǒng)中的研究與應用[J].網(wǎng)絡應用安全，2012（11）：145-147.

[3]陳鋒，覃征.基于指紋識別基于指紋識別與PKI的電子政務身份認證體系[J].計算機工程與設(shè)計，2012（07）：111-113.

[4]董立鋒.人臉識別技術(shù)在信息系統(tǒng)的應用[D].四川大學，2010：07-09.

[5]苗軍.面向人臉面部圖象識別、合成和模型編碼的人臉目標及其特征檢測[D].北京工業(yè)大學，2012：11-13.

[6]IlsunYou，Jong-HyoukLee，BonamKim.caTBUA：Context-aware ticket-based binding update authentication protocol for trust-enabled mobile networks[J].Int.J.Commun.Syst.2010（11）.

[7]Jong-Hyouk Lee，Hyung-Jin Lim，Tai-Myoung Chung.A competent global mobility support scheme in NETLMM[J].AEUE-International Journal of Electronics and Communications.2011（11）.

[8]Hari Balakrishnan，Karthik Lakshminarayanan，Sylvia Ratnasamy，Scott Shenker，Ion Stoica，Michael Walfish.A layered naming architecture for the internet[J].ACM SIGCOMM Computer Communication Review.2012（04）.

[9]Wei Liang，Wenye Wang.On performance analysis of challenge/response based authentication in wireless networks[J].Computer Networks.2012（02）.

[10]Joseph S.M.Ho，Ian F.Akyildiz.Mobile user location update and paging under delay constraints[J].Wireless Networks.2010（04）.

作者簡介：

作者單位：澳門城市大學管理學院，澳門 999078