湯雅妃，張?jiān)朴?，?尼

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院 北京 100032）

1 引言

云計(jì)算作為一種新的計(jì)算方式和商業(yè)模式，通過(guò)互聯(lián)網(wǎng)為用戶提供動(dòng)態(tài)部署、按需分配的計(jì)算、存儲(chǔ)、軟件、平臺(tái)等資源服務(wù)[1]，并實(shí)時(shí)監(jiān)控資源使用情況。作為當(dāng)前發(fā)展最為迅速的新興產(chǎn)業(yè)之一，云計(jì)算具有廣闊的市場(chǎng)前景，同時(shí)也面臨著前所未有的安全挑戰(zhàn)。據(jù)調(diào)查顯示，云安全不僅成為用戶使用云服務(wù)的最大顧慮，也是云應(yīng)用廣泛推廣的首要障礙之一。

云服務(wù)系統(tǒng)由于需要對(duì)用戶進(jìn)行遠(yuǎn)程身份認(rèn)證，因此對(duì)認(rèn)證系統(tǒng)的安全性要求更高。本文設(shè)計(jì)的云安全認(rèn)證系統(tǒng)基于三層B/S結(jié)構(gòu)，采用分布式網(wǎng)絡(luò)技術(shù)，將海量指紋信息根據(jù)地域和用戶級(jí)別進(jìn)行分布式分類(lèi)存儲(chǔ)。進(jìn)行身份認(rèn)證時(shí)，首先釆用雙向認(rèn)證機(jī)制建立客戶端與云端服務(wù)器的安全信道，確保認(rèn)證過(guò)程的安全進(jìn)行，防止指紋密鑰和傳輸數(shù)據(jù)被竊取。然后通過(guò)指紋識(shí)別技術(shù)對(duì)采集到的指紋信息依次進(jìn)行特征提取、加密封裝、信道傳輸、解密還原、特征匹配，從而確定用戶身份，控制用戶訪問(wèn)權(quán)限。

2 云安全認(rèn)證

2.1 云安全認(rèn)證需求

在云計(jì)算模式中，由于用戶的數(shù)據(jù)和計(jì)算并非本地存儲(chǔ)，而是交付到云端服務(wù)器保存、運(yùn)行以及共享資源，因此需要為用戶提供一個(gè)高信任度的安全訪問(wèn)機(jī)制。除了關(guān)注云端數(shù)據(jù)的可靠性與穩(wěn)定性，更應(yīng)當(dāng)保證用戶端與云端的安全接入。用戶能否安全登錄云端是云計(jì)算應(yīng)當(dāng)首要解決的安全問(wèn)題，否則基于云端的一切服務(wù)都將變得不可信，難以得到用戶的認(rèn)可[1]。

據(jù)調(diào)查，近幾年發(fā)生的數(shù)據(jù)泄露事故有70%以上都是通過(guò)外部的訪問(wèn)源進(jìn)入系統(tǒng)的。2013年12月，我國(guó)電商領(lǐng)域爆發(fā)用戶泄露事件，泄露總量達(dá)2 500萬(wàn)。2014年9月，蘋(píng)果iCloud“艷照門(mén)”事件爆發(fā)，黑客暴力破解iCloud用戶設(shè)置的弱口令入侵賬戶，101位美國(guó)好萊塢女星私密照片被公布于互聯(lián)網(wǎng)?？梢?jiàn)，用戶是整個(gè)云服務(wù)系統(tǒng)中不可缺少的因素，同時(shí)也是安全性最為薄弱的部分。為了保證云服務(wù)的安全，必須對(duì)進(jìn)入系統(tǒng)的用戶進(jìn)行有效身份認(rèn)證，根據(jù)識(shí)別出的用戶身份與授權(quán)數(shù)據(jù)庫(kù)匹配，從而決定用戶能否有權(quán)訪問(wèn)資源。

2.2 云安全認(rèn)證方式

用戶在進(jìn)入系統(tǒng)或訪問(wèn)不同保護(hù)級(jí)別的系統(tǒng)資源時(shí)，系統(tǒng)需要通過(guò)一定的認(rèn)證手段來(lái)驗(yàn)證被認(rèn)證對(duì)象屬性以確認(rèn)其是否真實(shí)有效且唯一[2]?；谡J(rèn)證對(duì)象屬性，目前移動(dòng)終端的認(rèn)證方式主要包括口令認(rèn)證、智能卡認(rèn)證、數(shù)字證書(shū)以及生物特征認(rèn)證。

2.2.1 口令認(rèn)證

口令認(rèn)證是最常見(jiàn)也是最簡(jiǎn)單的云安全認(rèn)證技術(shù)之一，主要表現(xiàn)形式有靜態(tài)口令、動(dòng)態(tài)口令以及PIN碼。認(rèn)證系統(tǒng)記錄每個(gè)用戶的身份ID和對(duì)應(yīng)的通行口令，當(dāng)用戶訪問(wèn)云端時(shí)通過(guò)判斷用戶提供的ID和口令是否有效決定用戶訪問(wèn)權(quán)限。該方式簡(jiǎn)單易用，然而容易遭受口令猜測(cè)和截獲攻擊，只能實(shí)現(xiàn)對(duì)用戶端單向認(rèn)證，不能防止云端服務(wù)器的假冒攻擊。

2.2.2 智能卡認(rèn)證

智能卡在身份認(rèn)證中起了通行令牌的作用，可存儲(chǔ)安全控制軟件及用戶的個(gè)人數(shù)據(jù)，用戶登錄時(shí)必須將其插入專(zhuān)用的讀卡器讀取信息以驗(yàn)證用戶身份。相對(duì)于口令認(rèn)證，智能卡不僅能夠安全存儲(chǔ)密鑰、口令等機(jī)密信息，還可以內(nèi)置加解密算法，存儲(chǔ)私有密鑰、數(shù)字證書(shū)、生物特征等用戶獨(dú)有信息，使得身份識(shí)別更安全、保密程度更高。但是由于智能卡必須配合讀卡器才能完成操作，因而容易損壞、丟失和被盜，有一定的硬件支出和地域限制[3]。

2.2.3 數(shù)字證書(shū)

數(shù)字證書(shū)是用戶的電子身份標(biāo)識(shí)，由認(rèn)證服務(wù)器利用用戶公鑰解密，并檢驗(yàn)數(shù)據(jù)完整性以確認(rèn)簽名的合法性，是目前公認(rèn)的網(wǎng)絡(luò)中最為安全有效的身份認(rèn)證手段之一，也是云安全認(rèn)證的最主要方式。用戶使用數(shù)字證書(shū)可以保證信息傳輸中的保密性、完整性、身份的真實(shí)性以及交易的不可抵賴性。然而該認(rèn)證方式需要對(duì)證書(shū)進(jìn)行請(qǐng)求、發(fā)送和校對(duì)等操作，降低了通信效率，增加了服務(wù)器的計(jì)算負(fù)擔(dān)，限制了應(yīng)用擴(kuò)展性[4]。

2.2.4 生物特征認(rèn)證

生物特征認(rèn)證采用人的生理特征或行為特征作為認(rèn)證手段，是目前正在迅速普及的一類(lèi)新興認(rèn)證方式。認(rèn)證系統(tǒng)首先從用戶生物特征庫(kù)中提取唯一標(biāo)識(shí)的特征模板并進(jìn)行數(shù)字化處理，并將這些模板存儲(chǔ)在識(shí)別系統(tǒng)的數(shù)據(jù)庫(kù)中。進(jìn)行身份認(rèn)證時(shí)，認(rèn)證系統(tǒng)再將當(dāng)前釆集到的生物特征與存儲(chǔ)模板進(jìn)行匹配以確定用戶身份。從理論上說(shuō)，生物特征認(rèn)證具有唯一性、永久性、普遍性、便攜性，安全性更高且用戶體驗(yàn)更好?，F(xiàn)階段的生物認(rèn)證方式主要包括指紋、虹膜、人臉、聲音、筆跡等，其性能見(jiàn)表1。

表1 生物特征識(shí)別技術(shù)性能比較

由表1可知，在現(xiàn)有生物識(shí)別技術(shù)中，指紋識(shí)別占據(jù)較大優(yōu)勢(shì)，將有助于提高云服務(wù)系統(tǒng)的用戶接入安全保障。

3 指紋識(shí)別

3.1 指紋識(shí)別在云安全認(rèn)證中的應(yīng)用

指紋是手指末端凸凹不平的紋路，這些紋路在圖案、端點(diǎn)和交叉點(diǎn)上各不相同，稱(chēng)為指紋特征[5]。指紋識(shí)別技術(shù)通過(guò)分析指紋的局部特征，從中提取出特征值，與指紋的特征模板進(jìn)行匹配，從而可靠地確認(rèn)用戶身份?；谥讣y識(shí)別的云安全認(rèn)證技術(shù)具有以下優(yōu)勢(shì)。

·唯一性：根據(jù)指紋學(xué)理論，世界上并不存在完全相同的兩枚指紋。并且指紋特征不會(huì)丟失、不會(huì)遺忘、不易仿冒。指紋的唯一性為其用于身份鑒定提供了客觀根據(jù)。

·不變性：從總體上看，從人出生之日起，盡管隨著年齡的增長(zhǎng)，同一手指的指紋脊紋類(lèi)型、細(xì)節(jié)特征的總體布局等始終無(wú)明顯差異[6]。

·在云服務(wù)系統(tǒng)中，所有認(rèn)證用戶都是異地分布的，因而需要進(jìn)行遠(yuǎn)程認(rèn)證。由于指紋識(shí)別只需存儲(chǔ)指紋圖像的特征值，大大減輕了網(wǎng)絡(luò)傳輸?shù)呢?fù)擔(dān)以及系統(tǒng)模板庫(kù)的存儲(chǔ)量，便于實(shí)現(xiàn)指紋異地匹配。

·現(xiàn)階段指紋識(shí)別算法已經(jīng)相當(dāng)成熟，識(shí)別率越來(lái)越高。采用SSL技術(shù)、加密技術(shù)能夠有效防止黑客截取用戶信息，保證數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸。

·指紋的采集相對(duì)容易，當(dāng)前市場(chǎng)上已研發(fā)出多種類(lèi)型的指紋采集設(shè)備。隨著移動(dòng)終端傳感技術(shù)的發(fā)展，目前已可由手機(jī)、iPad等便攜式移動(dòng)終端實(shí)現(xiàn)指紋采集和處理工作。

與傳統(tǒng)的認(rèn)證方式相比，指紋作為人體獨(dú)一無(wú)二的特征，不僅其復(fù)雜度可以提供用于鑒別的足夠特征，還具備不易丟失、遺忘和偽造等天然優(yōu)勢(shì)，因而具有更高的可靠性、安全性和有效性。同時(shí)隨著信息技術(shù)的發(fā)展，指紋識(shí)別技術(shù)日趨成熟，作為網(wǎng)絡(luò)和信息服務(wù)領(lǐng)域的一種新興認(rèn)證方式，基于指紋識(shí)別的云服務(wù)系統(tǒng)具有廣闊的市場(chǎng)前景。

3.2 指紋識(shí)別原理

指紋識(shí)別系統(tǒng)（fingerprint identification system，F(xiàn)IS）的本質(zhì)是模式識(shí)別，如圖1所示，一個(gè)典型的FIS包括離線存儲(chǔ)和在線識(shí)別兩個(gè)階段，涉及指紋采集、圖像處理、特征值提取、指紋匹配4個(gè)步驟[7]，并由指紋數(shù)據(jù)庫(kù)存儲(chǔ)指紋特征模板。具體流程如下。

（1）指紋入庫(kù)

目的是獲取用戶注冊(cè)樣本、提取指紋特征值以生成指紋特征模板并入庫(kù)存儲(chǔ)。FIS首先對(duì)注冊(cè)人員進(jìn)行指紋采集，獲得數(shù)字指紋圖像矩陣；然后對(duì)得到的指紋圖像進(jìn)行還原、增強(qiáng)及細(xì)化處理，得到黑白二值圖像；在此基礎(chǔ)上，提取指紋特征值并與用戶身份信息一起存入指紋數(shù)據(jù)庫(kù)。

（2）指紋識(shí)別

主要任務(wù)是在線實(shí)時(shí)采集待識(shí)別的指紋圖像并提取特征值，通過(guò)指紋匹配算法對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的指紋特征進(jìn)行匹配，繼而基于模糊理論計(jì)算相似度。待完成與數(shù)據(jù)庫(kù)中所有指紋特征模板的匹配檢索后，可以確認(rèn)用戶身份的合法性和訪問(wèn)權(quán)限。這一階段的關(guān)鍵是指紋匹配算法的建立與實(shí)現(xiàn)，目前現(xiàn)有的模式識(shí)別算法基本上可以滿足指紋識(shí)別的需要[8]。指紋識(shí)別系統(tǒng)原理如圖1所示。

4 基于指紋識(shí)別的云安全認(rèn)證系統(tǒng)

4.1 系統(tǒng)架構(gòu)

本文采用分布式服務(wù)架構(gòu)設(shè)計(jì)了一個(gè)基于指紋識(shí)別的云安全認(rèn)證系統(tǒng)，如圖2所示。本系統(tǒng)的設(shè)計(jì)采用三層B/S架構(gòu)，包括頂層客戶服務(wù)端、中間層應(yīng)用服務(wù)層以及底層數(shù)據(jù)庫(kù)服務(wù)層。客戶端負(fù)責(zé)用戶指紋的采集和特征值提取，中間層由云端服務(wù)器完成指紋匹配，底層按照用戶類(lèi)別對(duì)指紋特征模板進(jìn)行數(shù)據(jù)庫(kù)分類(lèi)存儲(chǔ)。各層獨(dú)立開(kāi)發(fā)，各司其職，易于維護(hù)與管理，又減輕了服務(wù)器的處理負(fù)擔(dān)，提高了系統(tǒng)的認(rèn)證效率。

圖1 指紋識(shí)別系統(tǒng)原理

圖2 指紋識(shí)別認(rèn)證系統(tǒng)架構(gòu)

（1）客戶服務(wù)端

包括Portal登錄界面、指紋處理系統(tǒng)以及控制系統(tǒng)。用戶可登錄Portal界面進(jìn)行可視化認(rèn)證操作。隨著傳感技術(shù)的發(fā)展以及內(nèi)核操作系統(tǒng)的升級(jí)，當(dāng)前用戶終端（包括個(gè)人電腦和移動(dòng)終端）不僅兼具了圖像采集、特征值提取和信息加密等指紋處理功能，還具備對(duì)處理過(guò)程的全流程控制。

（2）應(yīng)用服務(wù)層

包括指紋認(rèn)證模塊以及面向客戶端和用戶端的交互接口。其中，指紋認(rèn)證模塊是整個(gè)認(rèn)證服務(wù)系統(tǒng)的核心，包括指紋解密、數(shù)據(jù)分發(fā)、指紋匹配以及預(yù)警管理4個(gè)單元。云端服務(wù)器首先響應(yīng)用戶發(fā)來(lái)的服務(wù)請(qǐng)求，獲取用戶加密信息。然后通過(guò)解密算法還原用戶信息（包括用戶ID）和指紋特征值。繼而轉(zhuǎn)發(fā)給相應(yīng)地域下指紋數(shù)據(jù)庫(kù)進(jìn)行分類(lèi)存儲(chǔ)或者根據(jù)用戶ID從對(duì)應(yīng)的指紋數(shù)據(jù)庫(kù)中提取出用戶指紋特征模板進(jìn)行指紋匹配，并將認(rèn)證結(jié)果反饋給頂層客戶服務(wù)端。如果用戶發(fā)送的指紋特征值與數(shù)據(jù)庫(kù)中存儲(chǔ)的指紋特征模板匹配成功，則允許用戶權(quán)限內(nèi)操作，否則拒絕用戶登錄。如果在認(rèn)證過(guò)程中出現(xiàn)連續(xù)多次登錄失敗等異常操作現(xiàn)象，將由預(yù)警管理單元進(jìn)行備案并通知系統(tǒng)維護(hù)人員。

（3）數(shù)據(jù)庫(kù)服務(wù)層

本系統(tǒng)采用分布式網(wǎng)絡(luò)技術(shù)將海量指紋特征數(shù)據(jù)分布存儲(chǔ)于不同地域下的指紋數(shù)據(jù)庫(kù)中。云存儲(chǔ)管理單元負(fù)責(zé)響應(yīng)上層應(yīng)用服務(wù)層的數(shù)據(jù)訪問(wèn)請(qǐng)求，指紋數(shù)據(jù)庫(kù)用于數(shù)據(jù)的定義、訪問(wèn)、維護(hù)、更新和管理。為了提高認(rèn)證效率，指紋數(shù)據(jù)庫(kù)將按照用戶級(jí)別進(jìn)行分類(lèi)存儲(chǔ)，不同級(jí)別的用戶對(duì)應(yīng)不同的訪問(wèn)權(quán)限。

4.2 工作流程

在本文設(shè)計(jì)的云安全認(rèn)證釆用雙向認(rèn)證機(jī)制以提高系統(tǒng)的安全性。在進(jìn)行指紋識(shí)別身份認(rèn)證時(shí)，先釆用加密協(xié)議使得客戶端與云端握手成功，雙向驗(yàn)證各自合法性后建立安全鏈接并獲取共享密鑰[9]。接下來(lái)根據(jù)用戶業(yè)務(wù)需求，進(jìn)行用戶指紋注冊(cè)和指紋登錄認(rèn)證。

4.2.1 用戶注冊(cè)

每一個(gè)客戶端要登錄云端都必須先經(jīng)過(guò)指紋登錄注冊(cè)，將自己指紋特征值和個(gè)人信息使用公鑰進(jìn)行加密再傳給云端。云端服務(wù)器再使用自己的私有密鑰解密用戶注冊(cè)密文，將用戶信息存儲(chǔ)入庫(kù)[2]。具體流程如圖3所示。

圖3 用戶指紋注冊(cè)流程

當(dāng)客戶端向云端發(fā)送注冊(cè)申請(qǐng)時(shí)，用戶首先通過(guò)PC或者智能終端申請(qǐng)注冊(cè)，Web服務(wù)器響應(yīng)并反饋?zhàn)?cè)頁(yè)面，用戶端填寫(xiě)個(gè)人基本信息并通過(guò)指紋識(shí)別終端采集用戶指紋，經(jīng)指紋算法模塊處理提取出指紋特征值。為了防止手指受傷等特殊情況，可以輸入多個(gè)指紋并進(jìn)行多次采集。接下來(lái)用戶將個(gè)人信息（包括用戶ID、用戶權(quán)限等）、采集到的指紋特征模板、認(rèn)證時(shí)限和現(xiàn)時(shí)數(shù)據(jù)經(jīng)公鑰加密后發(fā)送給云端注冊(cè)服務(wù)器。服務(wù)器接收到用戶的注冊(cè)密文后，使用自己的私鑰進(jìn)行解密，并將用戶的指紋特征模板和個(gè)人信息按照固定格式封裝成一條用戶注冊(cè)記錄發(fā)送給相應(yīng)地域的指紋數(shù)據(jù)庫(kù)進(jìn)行分類(lèi)存儲(chǔ)，每條注冊(cè)記錄對(duì)應(yīng)一個(gè)用戶ID，用于用戶下次登錄時(shí)進(jìn)行指紋認(rèn)證。

4.2.2 登錄認(rèn)證

用戶訪問(wèn)云端需要進(jìn)行登錄認(rèn)證，將采集到的用戶信息與指紋模板以及認(rèn)證時(shí)限等參數(shù)加密后發(fā)送至云端，由云端服務(wù)器進(jìn)行解密還原用戶ID和指紋特征值，從指紋數(shù)據(jù)庫(kù)中搜索出用戶ID對(duì)應(yīng)的注冊(cè)記錄與指紋特征值進(jìn)行匹配。具體流程如圖4所示。

用戶訪問(wèn)云端時(shí)首先登錄Portal界面提交登錄申請(qǐng)，Web服務(wù)器響應(yīng)申請(qǐng)請(qǐng)求并建立安全通道。利用用戶終端的指紋傳感器，如RFID卡等，完成指紋采集，提取出指紋特征，再將用戶的ID、指紋特征以及認(rèn)證時(shí)限和現(xiàn)時(shí)數(shù)據(jù)用公鑰加密后生成認(rèn)證密文發(fā)送給云端的認(rèn)證服務(wù)器。當(dāng)認(rèn)證服務(wù)器接收到當(dāng)前用戶的認(rèn)證密文后，首先使用自己的私有密鑰進(jìn)行解密，還原出用戶認(rèn)證信息，并根據(jù)用戶ID查找對(duì)應(yīng)的指紋數(shù)據(jù)庫(kù)。若該數(shù)據(jù)庫(kù)中并不存在此用戶ID，則用戶無(wú)效，返回認(rèn)證結(jié)果并退出認(rèn)證系統(tǒng)；若存在，則返回該用戶ID對(duì)應(yīng)的注冊(cè)記錄并提取出該記錄中的指紋特征模板。接下來(lái)認(rèn)證服務(wù)器將當(dāng)前用戶指紋特征值與用戶ID對(duì)應(yīng)的指紋特征模板進(jìn)行匹配，從而判斷用戶身份。若匹配失敗，此次認(rèn)證無(wú)效，開(kāi)始新一輪認(rèn)證；若成功，認(rèn)為用戶身份合法，然后根據(jù)用戶ID查詢策略服務(wù)器得到用戶權(quán)限。用戶端可以與云端進(jìn)行通信，基于用戶權(quán)限訪問(wèn)相應(yīng)的云服務(wù)。

圖4 用戶指紋認(rèn)證流程

為了提高認(rèn)證系統(tǒng)的安全級(jí)別，在認(rèn)證過(guò)程中可以設(shè)置認(rèn)證閾值，當(dāng)用戶認(rèn)證次數(shù)超過(guò)該閾值，認(rèn)為其為危險(xiǎn)用戶，禁止其登錄并通知預(yù)警管理單元。與此同時(shí)，可以在用戶指紋匹配成功后，由認(rèn)證服務(wù)器對(duì)用戶輸入的PIN碼進(jìn)一步驗(yàn)證，若驗(yàn)證正確再向用戶端反饋認(rèn)證成功的消息。

4.3 方案驗(yàn)證

與傳統(tǒng)認(rèn)證技術(shù)相比，指紋識(shí)別的優(yōu)勢(shì)在于能夠更為可靠地確認(rèn)用戶身份，從而保證用戶更為安全地登錄云服務(wù)系統(tǒng)?；诖?，對(duì)本文提出的基于指紋識(shí)別的云安全認(rèn)證系統(tǒng)進(jìn)行了以下安全性驗(yàn)證。

（1）可識(shí)別性

作為當(dāng)前最為熱門(mén)的一類(lèi)模式識(shí)別技術(shù)，指紋識(shí)別正處于快速發(fā)展期。隨著電子工藝技術(shù)以及智能匹配算法的發(fā)展，指紋識(shí)別越來(lái)越多應(yīng)用于生產(chǎn)生活各個(gè)領(lǐng)域。對(duì)政府而言，目前指紋鑒定己經(jīng)被官方司法機(jī)構(gòu)所接受，建立了全球范圍的指紋鑒定機(jī)構(gòu)以及罪犯指紋數(shù)據(jù)庫(kù)。對(duì)民眾而言，各類(lèi)手機(jī)終端，如蘋(píng)果、三星手機(jī)以及銀行、金融等高密級(jí)系統(tǒng)也開(kāi)始采用指紋識(shí)別功能。在市面上現(xiàn)有的指紋儀中，已可達(dá)到認(rèn)假率FAR<0.001%、拒真率FRR<1%的處理精度。

（2）可認(rèn)證性

本文設(shè)計(jì)的云安全認(rèn)證系統(tǒng)釆用了雙向認(rèn)證機(jī)制，參與認(rèn)證的用戶端與云端認(rèn)證服務(wù)器都需要驗(yàn)證對(duì)方的身份。用戶端和云端在認(rèn)證過(guò)程中處于平等地位，不僅需要用戶向云端證明其合法身份后才能訪問(wèn)云端，用戶也必須確認(rèn)云端的合法性才能將關(guān)鍵數(shù)據(jù)存入其中，從而避免了中間人的惡意攻擊，并能夠有效防范用戶端和云端任何一方的事后抵賴行為。

（3）機(jī)密性

本文設(shè)計(jì)的基于指紋識(shí)別的云安全認(rèn)證系統(tǒng)通過(guò)對(duì)稱(chēng)加密算法對(duì)會(huì)話密鑰進(jìn)行加密，加強(qiáng)用戶端與云端之間數(shù)據(jù)傳輸?shù)臋C(jī)密性。每次認(rèn)證過(guò)程中用于加密指紋信息的會(huì)話密鑰均是動(dòng)態(tài)隨機(jī)生成的，從而保證傳輸?shù)闹讣y信息不會(huì)泄露。在用戶端與云端的通信中，本設(shè)計(jì)采用了SSL協(xié)議，進(jìn)一步保證了整個(gè)傳輸過(guò)程中數(shù)據(jù)的安全性。此外，利用云端分布式存儲(chǔ)及加密技術(shù)，還可以實(shí)現(xiàn)云數(shù)據(jù)庫(kù)中用戶指紋數(shù)據(jù)的安全存儲(chǔ)。

5 結(jié)束語(yǔ)

在云計(jì)算模式中，用戶的數(shù)據(jù)和計(jì)算都由云端服務(wù)器進(jìn)行存儲(chǔ)和運(yùn)行，數(shù)據(jù)安全性及隱私問(wèn)題成為云計(jì)算發(fā)展的重要障礙。用戶身份認(rèn)證作為云服務(wù)的第一道安全防線，是云計(jì)算應(yīng)首要解決的安全性問(wèn)題，否則云端的一切服務(wù)都將變得不可信。本文釆用指紋識(shí)別技術(shù)進(jìn)行身份認(rèn)證，利用指紋特征唯一性、不變性、不易丟失、遺忘或被偽造等優(yōu)點(diǎn)，保證用戶訪問(wèn)云端的安全性。為了進(jìn)一步提高系統(tǒng)認(rèn)證效率，采用了三層B/S架構(gòu)設(shè)計(jì)及分布式存儲(chǔ)技術(shù)。首先由頂層客戶服務(wù)端進(jìn)行用戶指紋采集、特征值提取及加密，生成認(rèn)證數(shù)據(jù)；然后由中間層應(yīng)用服務(wù)層還原認(rèn)證數(shù)據(jù)并與指紋模板進(jìn)行匹配從而確認(rèn)用戶身份；最后底層數(shù)據(jù)庫(kù)服務(wù)層負(fù)責(zé)將海量指紋信息根據(jù)地域和用戶級(jí)別進(jìn)行分布式分類(lèi)存儲(chǔ)。隨著指紋識(shí)別技術(shù)的不斷發(fā)展以及硬件成本的不斷下降，基于指紋識(shí)別的云安全認(rèn)證技術(shù)必將獲得更為廣泛的應(yīng)用，從而進(jìn)一步推進(jìn)云計(jì)算行業(yè)的發(fā)展。

1 張祥麗.一種基于指紋識(shí)別的云安全登錄系統(tǒng)設(shè)計(jì).電視技術(shù),2013（13）:166～171 Zhang X L.Design of cloud security login system based on fingerprint recognition.Video Engineering,2013（13）:166～171

2 余彬彬.動(dòng)態(tài)身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)（碩士學(xué)位論文）.上海交通大學(xué),2008 Yu B B.The research and implementation of the dynamic identity authentication(master dissertation).Shanghai Jiaotong University,2008

3 寧璇.基于指紋識(shí)別與智能卡的身份認(rèn)證系統(tǒng)設(shè)計(jì) （碩士學(xué)位論文）.北京郵電大學(xué),2009 Ning X.Design of the identity authentication system based on fingerprint identification and smartcard(master dissertation).Beijing University of Posts and Telecommunications,2009

4 康利山.云安全中基于身份的認(rèn)證機(jī)制研究（碩士學(xué)位論文）.云南大學(xué),2011 Kang L S.Research on identity-based authentication mechanism in cloud security(master dissertation).Yunnan University,2011

5 羅耀坤.指紋識(shí)別在網(wǎng)絡(luò)身份認(rèn)證中的應(yīng)用研究 （碩士學(xué)位論文）.東北大學(xué),2005 Luo Y K.Applied research for fingerprint identification in the field of network status authentication(master dissertation).Northeastern University,2005.

6 程元棟.指紋識(shí)別技術(shù)在電子商務(wù)安全認(rèn)證中的應(yīng)用與研究（碩士學(xué)位論文）.安徽理工大學(xué),2009 Chen Y D.Fingerprint recognition technology in E-commerce applications in the security certification and research(master dissertation).Anhui University of Science and Technology,2009

7 何軍.指紋識(shí)別技術(shù)的研究與應(yīng)用（碩士學(xué)位論文）.首都經(jīng)濟(jì)貿(mào)易大學(xué),2004 He J.The research and application of fingerprint identification technology(master dissertation).Capital University of Economics and Business,2004

8 趙艷超.指紋識(shí)別技術(shù)在銀行業(yè)務(wù)系統(tǒng)中的應(yīng)用 （碩士學(xué)位論文）.浙江大學(xué),2006 Zhao Y C.The application of fingerprint identification technique in banking system(master dissertation).Zhejiang University,2006

9 姚冰瑩.指紋識(shí)別技術(shù)在Web云存儲(chǔ)安全認(rèn)證中的應(yīng)用研究(碩士學(xué)位論文).廣東工業(yè)大學(xué),2014 Yao B Y.The application of fingerprint identification technique in Web cloud storage security system(master dissertation).Guangdong University of Technology,2014