楊 雄

(福州大學(xué)至誠學(xué)院 福建 福州 350002)

基于指靜脈識別技術(shù)的云計算安全身份認(rèn)證

楊 雄

(福州大學(xué)至誠學(xué)院 福建 福州 350002)

隨著云計算環(huán)境的推廣和大規(guī)模應(yīng)用,基于云計算環(huán)境系統(tǒng)數(shù)據(jù)的安全性就顯得尤為重要,而云計算身份認(rèn)證也在整個安全領(lǐng)域中占有首要位置。針對當(dāng)前云計算的安全需求，提出一種基于指靜脈識別技術(shù)的云計算身份認(rèn)證方案。在具體實現(xiàn)上，將Windows登錄模型和指靜脈認(rèn)證方式的安全性相結(jié)合，提高了對用戶身份認(rèn)證的安全性?；谠撜J(rèn)證方案的原形系統(tǒng)的實現(xiàn)，表明該方案具有一定的可行性和可用性。

云計算 指靜脈 云計算安全

0 引 言

云計算憑借其便捷、經(jīng)濟(jì)和高擴(kuò)展性等亮點(diǎn)吸引了越來越多公司的關(guān)注，云計算可以減少他們的信息技術(shù)基礎(chǔ)設(shè)施管理和維護(hù)的投資，從而把更多的人力和物力集中在他們的核心業(yè)務(wù)上，獲取更高的利潤。云計算的核心理念是將業(yè)務(wù)數(shù)據(jù)遷移到云中，這意味著云提供者要分擔(dān)數(shù)據(jù)安全的責(zé)任，同時遠(yuǎn)程使用IT資源需要將云用戶的信任邊界擴(kuò)展至外部，尤其是在公有云的環(huán)境下。

指靜脈識別技術(shù)采集的是人體的手指靜脈圖像，它是近年來發(fā)展起來的一種便攜、安全的身份認(rèn)證技術(shù)。它對比傳統(tǒng)的密碼和智能卡的認(rèn)證方式，不會遺失、不會被盜、無密碼記憶，而且能夠有效解決密碼泄露和智能卡硬件信息被內(nèi)存掃描和網(wǎng)絡(luò)攔截所帶來的風(fēng)險，從而提高身份認(rèn)證體系的安全性。手指的靜脈圖像是人的活體特征，它除了偽造難外，成年人每個手指的靜脈圖像不僅不會再發(fā)生變化，而且還是獨(dú)一無二的。因此將指靜脈識別技術(shù)應(yīng)用到云計算的身份認(rèn)證體系中，可有效解決以往身份認(rèn)證方式中所存在的部分安全性問題，顯著提高對云用戶身份認(rèn)證的安全性。

1 基于指靜脈識別的身份認(rèn)證方案

1.1 基于指靜脈識別的云計算身份認(rèn)證方案

本文提出一種云計算身份認(rèn)證方案，是將用戶指靜脈圖像特征值作為每個用戶在登錄證明其身份的唯一標(biāo)志。在實現(xiàn)的原型系統(tǒng)中，云終端是基于Linux操作系統(tǒng)的終端設(shè)備，云計算資源為Windows Server 2012R2虛擬機(jī)操作系統(tǒng)，認(rèn)證服務(wù)器是基于Windows Server 2012 R2的服務(wù)器，如圖1所示。

圖1 原形系統(tǒng)架構(gòu)和身份認(rèn)證流程

身份認(rèn)證具體流程如下：

1) 用戶通過云終端訪問云計算資源，云終端通過虛擬化協(xié)議RDP與云計算資源中的虛擬機(jī)建立連接。

2) 虛擬機(jī)的登錄程序接收到RDP遠(yuǎn)程登錄請求后，獲取云終端的IP等相關(guān)信息；并向云計算資源中的認(rèn)證服務(wù)器發(fā)送認(rèn)證請求Q，該認(rèn)證請求包里包含了登錄用戶名和云終端的IP信息。

3) 認(rèn)證服務(wù)器接收到虛擬機(jī)的認(rèn)證請求Q后，根據(jù)請求包里的云終端IP信息向指定的用戶云終端發(fā)送提取指靜脈圖像請求V。

4) 云終端收到的取指靜脈圖像請求V后，完成提取用戶指靜脈圖像操作，并將包含指靜脈圖像的數(shù)據(jù)包W加密后傳輸給認(rèn)證服務(wù)器。

5) 認(rèn)證服務(wù)器將云終端返回的數(shù)據(jù)進(jìn)行解密后，提取其中指靜脈圖像的特征值，與數(shù)據(jù)庫中對應(yīng)用戶名的指靜脈特征進(jìn)行匹配，將認(rèn)證結(jié)果和帳戶信息返回虛擬機(jī)。

6) 虛擬機(jī)接收來自認(rèn)證服務(wù)器的認(rèn)證結(jié)果，若認(rèn)證失敗，則拒絕用戶登錄，若認(rèn)證成功，則將用戶帳戶信息交給LSA認(rèn)證，完成系統(tǒng)登錄。

1.2 云終端

云終端在與虛擬機(jī)操作系統(tǒng)建立遠(yuǎn)程連接前，首先檢測指靜脈儀設(shè)備的連接狀態(tài)，確保指靜脈儀設(shè)備已經(jīng)連接至云終端的USB接口后，再對其進(jìn)行初始化。初始化成功后在云終端上展示登錄界面，當(dāng)用戶點(diǎn)擊登錄按鈕后，就通過RDP協(xié)議與虛擬機(jī)操作系統(tǒng)建立連接。云終端登錄和提取用戶指用脈圖像流程如圖2所示。

圖2 云終端登錄和提取指靜脈流程

云終端上的軟件主要包含三個模塊：Web服務(wù)模塊、 指靜脈提取模塊和加/解密模塊。

1) Web服務(wù)模塊

Web服務(wù)模塊是核心模塊，它的主要功能是接收來自認(rèn)證服務(wù)器的請求和控制各模塊之間的數(shù)據(jù)流向，協(xié)調(diào)各模塊完成操作。當(dāng)接收到認(rèn)證服務(wù)器的提取指靜脈請求時，該模塊首先需要甄別消息是否來自合法的認(rèn)證服務(wù)器，它是通過解密模塊來驗證的，然后通過指靜脈提取模塊采集用戶的指靜脈圖像，最后將加密模塊加密好的數(shù)據(jù)包傳輸給認(rèn)證服務(wù)器。該模塊是基于Python實現(xiàn)的Https服務(wù)器，通過繼承BaseServer類實現(xiàn)。

2) 指靜脈提取模塊

該模塊的主要功能是提取用戶的指靜脈圖像，將采集的圖像數(shù)據(jù)傳輸給Web服務(wù)模塊。在本方案中，指靜脈儀使用的是索尼的Mofiria FVA-U3SX型號。在Linux操作系統(tǒng)上，對指靜脈儀的操作需要使用Mofiria提供的相關(guān)動態(tài)庫，操作流程如圖3所示。

圖3 指靜脈儀操作流程

3) 加/解密模塊

該模塊的主要功能是對來自認(rèn)證服務(wù)器的消息做合法性驗證以及完成通信報文的加解密操作，它是采用成熟的HMAC-SHA256 消息摘要算法。首先，云終端和認(rèn)證服務(wù)器擁有相同的密鑰K，認(rèn)證服務(wù)器利用密鑰K對請求消息做HMAC-SHA256摘要處理生成摘要信息，然后將兩者組包一同發(fā)送給云終端；云終端收到消息后，使用HMAC-SHA256算法和密鑰K對消息做摘要計算，通過判斷其計算結(jié)果是否和接收到的摘要信息一致，來驗證消息是否來自合法的認(rèn)證服務(wù)器。同理，認(rèn)證服務(wù)器也是采用相同辦法來判斷云終端的合法性。

1.3 虛擬機(jī)操作系統(tǒng)

虛擬機(jī)操作系統(tǒng)Windows Server 2012R2中需要實現(xiàn)自定義的登錄模塊，用來監(jiān)聽云終端的RDP遠(yuǎn)程連接請求和對用戶帳戶信息進(jìn)行認(rèn)證。

從Windows 7/Vista系統(tǒng)開始，微軟引入了憑證提供(Credential Provider)登錄模型，它是一個COM組件，可以實現(xiàn)自定義的身份認(rèn)證方式。具體是通過憑據(jù)提供程序繼承LogonUI組件的ICredentialProvider Credential接口，并向LogonUI提供對應(yīng)的用戶身份信息來實現(xiàn)的。所以憑證提供程序通過LogonUI與Winlogon進(jìn)行通信，再由Winlogon與LSA進(jìn)行通信，如圖4所示。

圖4 Windows 7憑據(jù)提供程序登錄流程

我們將通過注冊新的COM庫的方式將實現(xiàn)的憑證提供程序注冊到操作系統(tǒng)中，并去除原有的用戶名和密碼認(rèn)證方式，即用戶在登錄界面只能使用指靜脈識別的登錄方式。

自定義的Windows憑證提供登錄程序需要實現(xiàn)的基本功能包括用戶登錄界面和用戶帳戶信息提交。本方案中實現(xiàn)的用戶界面包括了一個文本框、一張位圖、一個下拉框和一個登錄按鈕 。文本框用于輸入用戶的登錄名，下拉框可以選擇登錄方式，目前僅有指靜脈登錄，后續(xù)可基于此擴(kuò)展出其他的登錄方式。提交用戶帳戶信息前需要發(fā)起指靜脈提取操作，然后通過用戶指靜脈信息得到用戶帳戶信息。所以憑據(jù)提供程序需要監(jiān)聽云終端的RDP連接請求，然后展現(xiàn)登錄界面，提示用戶輸入用戶名；當(dāng)用戶名輸入完成，點(diǎn)擊登錄按鈕后，它就向認(rèn)證服務(wù)器發(fā)起認(rèn)證請求，并及時接收由認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果數(shù)據(jù)包。若結(jié)果為認(rèn)證失敗，比如用戶名不正確或者指靜脈特征值不匹配，則拒絕用戶登錄請求，斷開RDP連接；若認(rèn)證失敗，則將認(rèn)證結(jié)果數(shù)據(jù)包里包含的用戶帳戶信息通過Logon和Winlogon提交給LSA認(rèn)證，完成系統(tǒng)登錄。實現(xiàn)的憑證提供程序流程如圖5所示。

圖5 Windows Server 2012 R2憑證提供程序流程

1.4 認(rèn)證服務(wù)器

認(rèn)證服務(wù)器上實現(xiàn)的軟件功能主要包含指靜脈采集模塊、Web服務(wù)模塊和指靜脈匹配模塊三部分。

Web服務(wù)模塊是認(rèn)證服務(wù)器的核心，它首先接收來自虛擬機(jī)的認(rèn)證請求Q，該認(rèn)證請求數(shù)據(jù)包主要包括：云終端的IP地址和虛擬機(jī)登錄時的用戶名，數(shù)據(jù)使用JSON發(fā)送，規(guī)格如下：

JSON Object

{

“version” : string,

“username”: string,

“ipaddress”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

然后該模塊通過IP地址向指定的用戶云終端發(fā)起提取指靜脈請求V，規(guī)格如下：

JSON Object

{

“version” : string,

“operation”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

云終端將包含指靜脈圖像的數(shù)據(jù)包W返回給認(rèn)證服務(wù)器，數(shù)據(jù)規(guī)格如下：

JSON Object

{

“version” : string,

“rtnCode”: long,

“type”: string,

“veinData”: string,

“timestamp” : long,

“checksum” : string,

“errmsg” : string

}

接著該模塊向指靜脈匹配模塊發(fā)起用戶身份驗證請求X，其規(guī)格如下：

JSON Object

{

“version” : string,

“username”: string,

“veinData”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

最后Web服務(wù)模塊將指靜脈匹配模塊返回的認(rèn)證結(jié)果Z返回給虛擬機(jī)操作系統(tǒng)，數(shù)據(jù)規(guī)格如下：

JSON Object

{

“version” : string,

“rtnCode”: long,

“type”: string,

“username”: string,

“password”: string,

“timestamp” : long,

“checksum” : string,

“errmsg” : string

}

具體認(rèn)證流程如圖6所示。

圖6 認(rèn)證流程

指靜脈匹配模塊的功能主要是查詢數(shù)據(jù)庫中指定用戶名的指靜脈圖像特征值，然后判斷其與云終端采集的用戶指靜脈圖像的特征值是否一致。若一致，則認(rèn)證成功并將查詢到的用戶帳戶信息傳輸給Web服務(wù)模塊；若不一致，則認(rèn)證失敗。

指靜脈管理模塊的功能是管理用戶的帳戶信息和指靜脈特征信息。當(dāng)注冊新用戶時，需要將新用戶的指靜脈圖像特征值和其帳戶信息一起儲存到指靜脈數(shù)據(jù)庫中；更新用戶時，需要同步更新數(shù)據(jù)庫的記錄。

2 登錄系統(tǒng)實現(xiàn)效果圖

基于以上的設(shè)計，我們實現(xiàn)了一個基于指靜脈識別的云計算身份認(rèn)證系統(tǒng)。云終端上的實現(xiàn)效果如圖7所示。

圖7 云終端登錄界面

云終端上不需要輸入用戶名和密碼等信息，用戶直接點(diǎn)擊“登錄”按鈕后，會在虛擬機(jī)Windows Server 2012R2操作系統(tǒng)上看到專用的登錄界面，實現(xiàn)效果如圖8所示。

圖8 虛擬機(jī)Window Server 2012R2登錄界面

用戶輸入用戶名點(diǎn)擊登錄按鍵后，彈出提示框，提醒用戶將手指放在指靜脈儀上采集手指靜脈圖像。通過采集到的用戶手指靜脈圖像特征值進(jìn)行用戶身份的認(rèn)證，那這樣的身份認(rèn)證過程就不需要再記憶密碼和輸入密碼了。如圖9所示。

圖9 虛擬機(jī)Window Server 2012R2指靜脈采集提示界面

3 安全性分析

基于指靜脈識別的身份認(rèn)證方案可有效地抵御賬戶風(fēng)險和內(nèi)部攻擊風(fēng)險。

1) 帳戶風(fēng)險。它可分為兩種：

(1) 外部攻擊。本方案中通過外部攻擊非法登錄云服務(wù)器，需要攻擊者使用假的生物特征，但由于指靜脈幾乎無法偽造，而且是人體活體特征，顯然非法登錄服務(wù)器的概率要比傳統(tǒng)用戶名和密碼的方式要小很多。

(2) 重放攻擊。首先認(rèn)證服務(wù)器和云終端之間的通信是采用HTTPS通信，在認(rèn)證服務(wù)器和每臺云終端內(nèi)部都默認(rèn)內(nèi)置了HTTPS通信所需要的證書。云終端采用封閉系統(tǒng)，不提供對外接口，保證了其通信證書不會被攻擊者獲取到，一定程度保護(hù)了認(rèn)證服務(wù)器和云終端之間通信的安全。其次認(rèn)證服務(wù)器和云終端都要同步到一個相同的時間認(rèn)證服務(wù)器或時鐘源，每次認(rèn)證服務(wù)器和云終端的通信消息中都會包含系統(tǒng)當(dāng)前時間，無論是云終端還是認(rèn)證服務(wù)器都會計算接收到消息的時間與消息中附加時間的差距，通過判斷時間差是否在有效范圍內(nèi)來驗證消息的合法性。所以，本方案可以可以很好地抵御重放攻擊。

2) 云計算的內(nèi)部攻擊風(fēng)險。內(nèi)部攻擊是指合法用戶在已登錄虛擬機(jī)的情況下，對系統(tǒng)實施非法攻擊的行為，它是云計算下合法用戶的不合法操作所引起的，在本方案中主要是篡改存儲指靜脈特征的數(shù)據(jù)庫。為了與查詢特征進(jìn)行匹配， 需要對預(yù)先將用戶的指靜脈特征值進(jìn)行保存， 攻擊者有可能對保存模板的數(shù)據(jù)庫進(jìn)行篡改。在本方案中認(rèn)證服務(wù)器上在物理上與用戶虛擬機(jī)進(jìn)行隔離，并對認(rèn)證服務(wù)器進(jìn)行嚴(yán)格的安全策略控制。而且用戶虛擬機(jī)都是在云中，可對它們進(jìn)行監(jiān)控并及時采取相應(yīng)的措施，所以將數(shù)據(jù)庫部署在認(rèn)證服務(wù)器上是安全的，可有效地抵御云計算的內(nèi)部攻擊風(fēng)險。

資源的虛擬化和共享是云計算的根本，但是，這種共享并不是沒有代價的。最為典型的代價就是安全上的不足。如當(dāng)物理主機(jī)內(nèi)存被一臺虛擬機(jī)使用后又被重新分配給另一臺虛擬機(jī)時，可能會發(fā)生數(shù)據(jù)泄露。攻擊者可以利用一臺虛擬機(jī)在很長一段時間內(nèi)攻擊相同主機(jī)的其他虛擬機(jī)，因為虛擬機(jī)之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序所檢測。

事實上，通過單一的技術(shù)手段來保證云計算的安全是很難實現(xiàn)的，還需要法律和監(jiān)管的介入，才能夠建立起完整有效的安全體系。

4 結(jié) 語

本文提出的基于指靜脈識別技術(shù)的云計算安全身份認(rèn)證方案， 相比傳統(tǒng)的口令認(rèn)證和智能卡認(rèn)證，可有效解決密碼易遺忘、 盜竊或泄露風(fēng)險，可顯著提高云計算對云用戶身份認(rèn)證的安全性。這種方式的主要特色在于使用不可偽造的且唯一的生物特征指靜脈作為用戶身份的唯一標(biāo)志，進(jìn)一步提高了在公開信道上訪問云計算資源的安全性。針對當(dāng)前云計算的發(fā)展，由于用戶信息和數(shù)據(jù)是通過固定密鑰加密后存儲在云中，如果該密鑰被破解，有可能用戶的帳戶信息就會被泄露。因此該方案還有進(jìn)一步完善之處，比如將指靜脈圖像特征做為主體身份的加密技術(shù)，利用該技術(shù)對用戶信息和數(shù)據(jù)進(jìn)行加密處理后再存儲和傳輸，能夠起到一定的保護(hù)作用。

[1] 王帥,常朝穩(wěn),魏彥芬.基于云計算的USB Key身份認(rèn)證方案[J].計算機(jī)應(yīng)用研究,2014,31(7):2130-2134.

[2] 劉建華,劉意先.基于指紋識別的Windows系統(tǒng)登錄模塊的設(shè)計[J].西安郵電大學(xué)學(xué)報,2009,14(5):77-78.

[3] 曹陽.基于OTP認(rèn)證方式的云計算安全身份認(rèn)證[J].宜賓學(xué)院學(xué)報,2012(6):81-83.

[4] 魏紅宇.海洋環(huán)境信息云計算身份認(rèn)證技術(shù)研究[D].中中國海洋大學(xué),2011.

[5] 賈如春.基于云計算聲紋身份認(rèn)證安全體系的設(shè)計與研究[J].信息化建設(shè),2015(12):111.

[6] 劉楊.基于iOS的Base64和3DES加密的研究和實現(xiàn)[J].計算機(jī)安全,2012(12):28-33.

[7] 齊鵬,李隱峰,宋玉偉.基于Python的Web數(shù)據(jù)采集技術(shù)[J].電子科技,2012,25(11):118-120.

[8] 肖賓杰.基于獨(dú)立成分分析的指靜脈識別研究[J].電子測量與儀器學(xué)報,2012,26(10):841-845.

AUTHENTICATIONSCHEMEOFCLOUDCOMPUTINGSECURITYBASEDONFINGERVEINIDENTIFICATION

Yang Xiong

(ZhichengCollege,FuzhouUniversity,Fuzhou350002,Fujian,China)

With the popularization and large-scale application of cloud computing environment, the security of system data based on cloud computing environment is particularly important, and cloud authentication is also the first place in the whole security field. Aiming at the current security requirements of cloud computing, this paper proposes an identity authentication scheme for cloud computing based on finger vein recognition technology. In the specific implementation, the windows login model and finger vein authentication method of security have combined to improve the security of user authentication. The realization of the prototype system based on the authentication scheme shows that the scheme has certain feasibility and usability.

Cloud computing Finger vein Cloud computing security

TP3

A

10.3969/j.issn.1000-386x.2017.10.058

2016-10-27。楊雄，工程師，主研領(lǐng)域：嵌入式應(yīng)用，云計算。