姚冰瑩 李傳芹 李超

（1.廣州華夏職業(yè)學(xué)院，廣東 廣州 510935；2.廣東科技學(xué)院，廣東 東莞 523083）

基于指紋識(shí)別的云存儲(chǔ)身份認(rèn)證系統(tǒng)設(shè)計(jì)

姚冰瑩1李傳芹1李超2

（1.廣州華夏職業(yè)學(xué)院，廣東 廣州 510935；2.廣東科技學(xué)院，廣東 東莞 523083）

針對(duì)WEB云存儲(chǔ)系統(tǒng)現(xiàn)有"靜態(tài)口令+實(shí)時(shí)數(shù)據(jù)”的身份認(rèn)證模式存在安全性能較低的問(wèn)題，設(shè)計(jì)了基于指紋識(shí)別技術(shù)的身份認(rèn)證系統(tǒng)。該設(shè)計(jì)方案采用指紋識(shí)別的認(rèn)證模式對(duì)云存儲(chǔ)用戶進(jìn)行身份認(rèn)證，提高了身份認(rèn)證的安全性、可靠性，解決了云存儲(chǔ)用戶賬號(hào)非法訪問(wèn)、篡改等問(wèn)題。提出了基于對(duì)稱(chēng)加密算法、非對(duì)稱(chēng)加密算法的混合加密算法，并將其作為身份認(rèn)證協(xié)議，有效提高了認(rèn)證的效率，實(shí)現(xiàn)了海量數(shù)據(jù)的高效傳輸。實(shí)驗(yàn)結(jié)果表明，該方案在云存儲(chǔ)身份認(rèn)證系統(tǒng)中得到很好的應(yīng)用。

云存儲(chǔ)；指紋識(shí)別；身份認(rèn)證；SSL認(rèn)證協(xié)議；混合加密；安全性

1 引言

云存儲(chǔ)是指利用網(wǎng)格技術(shù)、分布式文件系統(tǒng)和集群應(yīng)用等技術(shù)[1]，將網(wǎng)絡(luò)中大量不同類(lèi)型的存儲(chǔ)設(shè)備集合起來(lái)協(xié)同工作，然后通過(guò)應(yīng)用軟件或接口為用戶提供在線數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)功能[2]。云存儲(chǔ)的本質(zhì)是服務(wù)而非存儲(chǔ)，用戶不需要自己建立數(shù)據(jù)中心，只需通過(guò)網(wǎng)絡(luò)與"云”相連接，向SSP（存儲(chǔ)服務(wù)提供商）申請(qǐng)存儲(chǔ)服務(wù)，即能對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、讀取、刪改等操作[3]。云存儲(chǔ)具有易于使用數(shù)據(jù)接口和極強(qiáng)的擴(kuò)展性，以及低成本、透明的支持基礎(chǔ)能力和高峰負(fù)荷等特征。因此，云存儲(chǔ)正逐漸成為廣大機(jī)構(gòu)的存儲(chǔ)選擇，云存儲(chǔ)的研究成為熱點(diǎn)的問(wèn)題之一。

然而云存儲(chǔ)安全問(wèn)題阻礙了其推廣發(fā)展，要使云存儲(chǔ)得到真正的普及，云存儲(chǔ)安全是要解決的首要問(wèn)題[8]。我們可以使用多種防范技術(shù)來(lái)保障系統(tǒng)安全，其中，身份認(rèn)證是應(yīng)用系統(tǒng)安全防護(hù)的第一道防線。身份認(rèn)證系統(tǒng)一旦被攻破，系統(tǒng)其他安全措施將形同虛設(shè)[2]。雖然當(dāng)前WEB云存儲(chǔ)的認(rèn)證模式能在一定程度上防止非法入侵，但是攻擊者仍然可以通過(guò)網(wǎng)絡(luò)數(shù)據(jù)竊聽(tīng)、字典攻擊、重放攻擊等攻擊方式破壞靜態(tài)口令的安全[2]。

2 研究的原理

2.1 WEB云存儲(chǔ)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

(1)云存儲(chǔ)的基礎(chǔ)結(jié)構(gòu)模型

云存儲(chǔ)與傳統(tǒng)的存儲(chǔ)設(shè)備不同，并不是簡(jiǎn)單的硬件集成，而是由存儲(chǔ)設(shè)備、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等構(gòu)成的一個(gè)復(fù)雜的系統(tǒng)，通過(guò)應(yīng)用軟件和接口為用戶提供服務(wù)。云存儲(chǔ)的架構(gòu)可分為四層：存儲(chǔ)層，基礎(chǔ)管理層，應(yīng)用接口層，訪問(wèn)層。云存儲(chǔ)系統(tǒng)基本結(jié)構(gòu)如下圖1所示[6-7,9]。除了應(yīng)用接口層，其他三層對(duì)于用戶來(lái)說(shuō)是完全透明的，用戶只需向SSP（存儲(chǔ)服務(wù)提供商）申請(qǐng)存儲(chǔ)服務(wù)，就能進(jìn)行權(quán)限內(nèi)的操作。本文在應(yīng)用層與訪問(wèn)層中采用指紋識(shí)別的身份認(rèn)證模式和SSL通信技術(shù)保障在網(wǎng)絡(luò)傳輸中數(shù)據(jù)的安全。云存儲(chǔ)服務(wù)器與用戶之間進(jìn)行雙方身份鑒別后，用戶代理通過(guò)安全應(yīng)用程序編程接口(API)和云存儲(chǔ)服務(wù)器連接進(jìn)行數(shù)據(jù)存儲(chǔ)服務(wù)。

圖1 云存儲(chǔ)系統(tǒng)基本結(jié)構(gòu)圖

(2)基于WEB的B/S架構(gòu)云存儲(chǔ)系統(tǒng)結(jié)構(gòu)

指紋認(rèn)證系統(tǒng)的核心包括數(shù)據(jù)庫(kù)、系統(tǒng)管理、應(yīng)用服務(wù)、用戶管理、管理員管理五大部分，主要操作包括確定輸入用戶登錄信息，獲取指紋圖像，指紋認(rèn)證，批準(zhǔn)訪問(wèn)。服務(wù)器保存指紋信息，進(jìn)行指紋認(rèn)證，客戶進(jìn)行指紋獲取，及用戶界面的應(yīng)用。在這個(gè)系統(tǒng)中，每個(gè)客戶都需要指紋傳感器提取指紋進(jìn)行登記或登錄。指紋服務(wù)器包括指紋認(rèn)證、指紋分類(lèi)應(yīng)用和登錄平衡服務(wù)器。當(dāng)用戶第一次訪問(wèn)系統(tǒng)，客戶應(yīng)用需安裝WEB瀏覽器組件，B/S架構(gòu)的在線云存儲(chǔ)系統(tǒng)如圖2所示：

圖2 基于指紋身份認(rèn)證的B/S云存儲(chǔ)系統(tǒng)

2.2 指紋識(shí)別

指紋識(shí)別的原理包括指紋采集，指紋特征提取，指紋匹配三大部分。通過(guò)指紋采集儀采集指紋，然后傳輸?shù)接?jì)算機(jī)經(jīng)過(guò)處理形成數(shù)字化的指紋圖案[5]。指紋特征提取是指提取指紋局部和總體特征的值，然后構(gòu)造成一個(gè)數(shù)字模板。指紋特征匹配是指結(jié)合指紋的局部特征和整體特征將指紋庫(kù)中的指紋模板與用戶輸入的指紋跟進(jìn)行比對(duì)的過(guò)程，如果比對(duì)的結(jié)果達(dá)到預(yù)設(shè)的閾值，則兩者匹配，反之不匹配[4]。

3 主要研究?jī)?nèi)容

3.1 指紋認(rèn)證流程

用戶登錄到在線云存儲(chǔ)系統(tǒng)，若為注冊(cè)，則發(fā)送指令到認(rèn)證服務(wù)器，將提取合格指紋模版進(jìn)行分類(lèi)處理后存儲(chǔ)，并發(fā)送與指紋模版對(duì)應(yīng)ID號(hào)給用戶；若為用戶登陸，則根據(jù)用戶的ID號(hào)，指紋認(rèn)證服務(wù)器從指紋數(shù)據(jù)庫(kù)中提取出指紋模版和用戶輸入的指紋進(jìn)行匹配（1：1），最后提供認(rèn)證結(jié)果給客戶組件，客戶組件將申請(qǐng)結(jié)果通過(guò)WEB服務(wù)器返回給用戶。指紋認(rèn)證流程如圖3：

圖3 指紋認(rèn)證流程圖

3.2 指紋身份認(rèn)證協(xié)議

混合加密機(jī)制的SSL協(xié)議技術(shù)采用非對(duì)稱(chēng)加密算法（RAS)來(lái)建立WEB云存儲(chǔ)服務(wù)器端和客戶端之間的安全鏈接，采用對(duì)稱(chēng)加密算法（DES）進(jìn)行數(shù)據(jù)的安全傳輸。此協(xié)議克服了DES安全性能不高、RAS解碼復(fù)雜的缺點(diǎn)，既保證信道的安全性，又提高了數(shù)據(jù)傳輸?shù)男省?/p>

用戶在客戶端向WEB云存儲(chǔ)服務(wù)器請(qǐng)求進(jìn)行注冊(cè)或登錄，數(shù)字認(rèn)證中心驗(yàn)證用戶的注冊(cè)或登錄信息后，分別給客戶端（公鑰PUA和密鑰PRA）和云存儲(chǔ)認(rèn)證系統(tǒng)（公鑰KUAS和密鑰KRAS）分發(fā)一對(duì)公鑰和私鑰，同時(shí)公布公鑰。

客戶端選取一個(gè)隨機(jī)數(shù)x，通過(guò)等式(1)計(jì)算得到P1；用KUAS加密P1得到P2如等式（2）；用PRA加密P2得到P3如等式（3），發(fā)送P3給認(rèn)證系統(tǒng)。云存儲(chǔ)系統(tǒng)先采用PUA對(duì)P3進(jìn)行解密得到P2，如等式(4)；再用KRAS對(duì)P2進(jìn)行解密得到P1，如等式（5）。只有合法的WEB云存儲(chǔ)服務(wù)器端才擁有KRAS，因此可驗(yàn)證其合法性[2]。

云存儲(chǔ)系統(tǒng)選取一個(gè)隨機(jī)數(shù)Y，用KRAS加密后，再通過(guò)PUA加密后的數(shù)據(jù)發(fā)送到客戶端，加密算法公式同上。在客

戶端通過(guò)依次PRA和KUAS解密得到Y(jié)，解密算法的公式同上。只有合法的用戶才能獲得Y，從而驗(yàn)證了客戶端的合法性。由式(6)計(jì)算得到共享密鑰SK。

SSL認(rèn)證機(jī)制能有效地阻止用戶和云存儲(chǔ)系統(tǒng)之間的欺騙性連接，建立了WEB云存儲(chǔ)服務(wù)器端和客戶器端之間的安全信道。建立安全信道的過(guò)程如下圖4所示：

圖4 建立安全信道協(xié)議圖

4 認(rèn)證系統(tǒng)測(cè)試

受到條件限制，本文只進(jìn)行用戶登記和對(duì)比測(cè)試。使用指紋采集儀采集400多枚具有不同特征的指紋，通過(guò)交叉復(fù)制到2萬(wàn)條，在客戶端測(cè)試指紋識(shí)別的性能。測(cè)試結(jié)果如下表1所示：

表1 指紋識(shí)別測(cè)試結(jié)果

從測(cè)試結(jié)果可知，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展和指紋識(shí)別算法的優(yōu)化以及指紋采集儀性能的提高，指紋識(shí)別的拒真率、錯(cuò)識(shí)率以及識(shí)別速度達(dá)到了相當(dāng)好的程度。因此，可將指紋識(shí)別技術(shù)作為WEB云存儲(chǔ)的身份認(rèn)證方式[2]。

5 結(jié)論

本文提出了基于指紋識(shí)別的云存儲(chǔ)身份認(rèn)證和混合加密建立安全通信的方法，提高了云存儲(chǔ)身份認(rèn)證和數(shù)據(jù)傳輸?shù)男省踩院头€(wěn)定性，并且此認(rèn)證系統(tǒng)效率與性能達(dá)到要求，同時(shí)在云存儲(chǔ)系統(tǒng)中得到有效的應(yīng)用。指紋認(rèn)證系統(tǒng)和云存儲(chǔ)系統(tǒng)的并發(fā)性和平衡以及系統(tǒng)嵌入問(wèn)題，直接影響到云存儲(chǔ)身份認(rèn)證的效率。將系統(tǒng)做到適度隔離和數(shù)據(jù)共享，以及指紋特征值作為用戶關(guān)聯(lián)的一組屬性來(lái)加密數(shù)據(jù)存儲(chǔ)是下一步要解決的問(wèn)題。

[1]王永洲．基于HDFS的存儲(chǔ)技術(shù)的研究[D]．南京郵電大學(xué)，2013．

[2]姚冰瑩．指紋識(shí)別技術(shù)在WEB云存儲(chǔ)安全認(rèn)證中的應(yīng)用研究[D]．廣東工業(yè)大學(xué)，2014．

[3]李三青．基于云存儲(chǔ)的PACS系統(tǒng)存儲(chǔ)擴(kuò)展方案研究[J]．信息技術(shù)與信息化，2015(9)．

[4]李振汕．指紋識(shí)別技術(shù)在身份認(rèn)證中的應(yīng)用與研究[J]．信息網(wǎng)絡(luò)安全，2015(3)．

[5]王國(guó)華，王伊莉．基于指紋識(shí)別技術(shù)的USBKey設(shè)計(jì)[J]．自動(dòng)化與儀器儀表，2015(8)．

[6]許志龍，張飛飛．云存儲(chǔ)關(guān)鍵技術(shù)研究[J]．現(xiàn)代計(jì)算機(jī)：下半月版，2015(8)．

[7]朱杰．淺析“云計(jì)算”概念[J]．信息系統(tǒng)工程，2011(8)．

[8]石強(qiáng)，趙鵬遠(yuǎn)．云存儲(chǔ)安全關(guān)鍵技術(shù)分析[J]．河北省科學(xué)院學(xué)報(bào)，2015(8)．

[9]于輝，李新虎，劉俊朋，等．云存儲(chǔ)安全模型研究[J]．信息技術(shù)與標(biāo)準(zhǔn)化，2015(6)．

Design of the Cloud Storage Authentication System Based on Fingerprint Identification

Yao Bingying1Li Chuanqing1Li Chao2
(1.Guangzhou Huaxia Vocational College,Guangzhou 510935,Guangdong; 2.Guangdong Institute of Science and Technology,Dongguan 523083,Guangdong)

For the lower safety problem in the"static password+real-time data"authentication modes of WEB cloud storage system,this paper designs an authentication system based on fingerprint identification technology.It uses the authentication model based on fingerprint identification for user identity authentication,improving the authentication security and reliability,and solving the issues of user account illegal access and tampering.It proposes the hybrid encryption algorithm based on symmetric encryption algorithm and asymmetric encryption algorithm which is used as a identity authentication protocol.This method effectively improves the certification efficiency,and realizes the effective transmission of huge amounts of data.The experimental results show that the scheme obtains very good application in the cloud storage identity authentication system.

cloud storage;fingerprint identification;identity authentication;SSL certification agreement;mixed encryption;security

TP391.41

A

1008-6609(2016)07-0015-03

姚冰瑩，女，湖北荊州人，碩士，研究方向：WEB系統(tǒng)開(kāi)發(fā)，云計(jì)算。

廣東省高校特色創(chuàng)新項(xiàng)目專(zhuān)項(xiàng)資金資助，項(xiàng)目編號(hào)：2015KTSCX162，2015KTSCX163；2015年度院級(jí)科研項(xiàng)目，項(xiàng)目編號(hào)：GKY-2015KYYB-19。