[摘要] 活體指紋識別模式隨著成本降低，已可與應用軟件有機地組合在一起逐步取代軟件系統中普遍采用的用戶名/密碼登錄模式。通過引進先進設備、配件，利用已掌握的最先進技術，以自身優勢所長融入其它所長，做到系統總體最佳，技術創新，把最先進的技術和軟件注入新系統，使電子商務的安全和保密達到要求，方便人們使用，增加、提高系統的附加值。 [關鍵詞] 信息安全 活體指紋 應用軟件 電子商務利用網絡的方便性、共享性拉近了人與信息間的距離，在帶來時效性等多益處的同時卻加大了系統的不安全感，以往采用的用戶名/密碼登錄模式易引起泄密等一系列問題，尋求有效的識別身份歷來是軟件安全和保密的難題。指紋辨識雖早有提出，但如何把應用軟件和活體指紋識別技術結合，引入先進的加密算法和安全措施，解決系統安全和保密問題，利于穩定、方便、可靠的電子商務平臺建設，仍是實際需要解決的一個課題。 一、活體指紋識別模式的引入 隨著生物特征識別技術的成熟和成本降低，使指紋識別身份的惟一性，方便性，不可替代性，安全性等特點凸現。指紋識別有單指紋和多指紋之分，前者指單一指紋識別，后者指兩個以上指紋識別，識別的渠道可由計算機鍵盤、鼠標或指紋掃描器上的指紋模式輸入口進入系統，由應用軟件的相應機制鑒別單指紋或多指紋，隨之從網絡傳輸到服務器，以利RSA等算法實現的多位數要求。 活體指紋識別器由感應器件COMS對活體動物血液循環感應，進行1對1或1對多枚指紋圖像的比對辨識。獲取認證身份的指模時，一旦指紋被掃描入系統，取模過程則處于封閉狀態，所取指紋模可保存在加密數據庫中供身份認證。指紋感應器需要活體循環感應識別，即使盜取了指模，也不能進入系統。若一定權限的人進行修改或審計時，其指紋提交給系統后，經一系列復雜的指紋識別算法，可在極短時間內認證身份，解決了身份鑒定的一些難題，對使用過程中隨機識別更有明顯，大有可取代普遍采用的用戶名/密碼進入模式。 二、身份認證 1.涉密權限特征與身份認定 電子商務系統在買賣雙方注冊時先保存采集的指紋數據。當注冊成功，使用時由指紋鼠標或指紋鍵盤把指定的指紋送至采集傳感器，系統提取訪問者身份的指紋特征，通過比對算法與認證Server的數據庫中存有的指紋特征進行比對，認證身份。在驗證可靠身份的同時，提供可靠的驗證數據。在Client端配置有SET或.NET功能的瀏覽器的PC，便于進行電子商務活動的咨詢、選所需產品、認證、準備采購金、交易、購買、要求送貨、確認、查詢等業務。申請交易的個人、組織、商家、和認證機構、銀行間的網上信息交互采用非對稱算法，數字簽名等多種算法結合，保證身份的真實性和交易信用。 指紋識別的權限按不同的使用權限分類，不同的指紋賦予不同的權限，同一人的多個指紋代表同一權限，符合權限的人員與系統間進行1對1的密級服務。 引入指紋識別的網絡軟件系統中，不要求建立與密級文件無關人員數據的數據庫，可以把涉密人員權限和買賣雙方的用戶按不同的需求分類，例如，為了敘述方便，把經過簡化后的描述表示為:R=f(ui，vj，wk，xl) 式中，ui表示買方或賣方特征碼，vj表示系統管理人員特征碼，wk表示審計人員特征碼，xl表示錄入人員特征碼，下標i，j，k，l分別為權限的類別數，按涉密的權限劃分。由權限的層次確定。 系統做到按權限、指紋特征區分認證機構、銀行或商家的系統管理員，錄入員，審計員等和賣方業務人員、買方的身份。系統管理員保證系統正常，監測、指紋庫中注冊的指紋數據和實際相符，維護系統中所有人員的權限數據、用戶身份資料數據，系統運行數據，看不到、也不能通過其它方法獲得除自己以外的任何密碼，不能訪問到錄入員錄入、審計后的信息和買賣方所交互的內容。錄入員錄入完畢，可重新檢查或按照需要編輯、修改，一旦正確提交給系統后便不允許再次訪問。錄入完的資料一經審計員審查正確無誤，則可按不同密級加密存入密文資料數據庫，審計完后的正確資料審計人員也不能再次訪問，除非在要求資料修改、更新數據的審計時。 2.密級內容保護與使用 在同一LAN內共享密級文件，滿足同密級人員并行使用，縮短了密級文件的傳遞、流轉時間，減少了密級文件在一一傳遞過程中的遺失、泄密。 對遠程密級數據傳輸，如WAN(Wide Area Network)或專線方式，利用非對稱加密傳輸，文件落地時在當地密級服務器中解密，在LAN內實現密級共享。 硬件系統、OS和DB滿足National Computer Security Center(NCSC)定義的C2級安全性。網絡環境、控制技術、整體設計與網絡應用軟件密級高于C2級，多極限制，采用RSA非對稱和散列對稱加密算法結合、指紋識別和數字簽名算法DSA認證等技術，融入其他先進技術，加大或提升系統原有的附加價值，創新出新系統、新產品。底層和后臺應用程序，指紋加密數據庫、加密權限庫、密文內容分類庫、遠程傳輸加密協議，都按先進的算法設計，對網絡密級(LAN，WAN)，OS、服務器的密級，DB密級，應用軟件密級，內容密級，涉密人員密級能做到按權限、密級合理管理。個人指紋取樣在個人的手指上，可根據不同的比對區分，具有不可替代性，使Copy取樣無效。由于圈定涉密人員范圍與權限，按時間區間控制涉密范圍，如發現非涉密或其他人員企圖進入系統，便會自動切斷系統并報警。

根據實際需求確定權限，注冊指紋、確認身份、分配ID。對指紋圖紋數據庫加密，用戶身份資料數據加密。指紋特征參數的描述以指紋識別算法使用所取得的指紋紋線形態，并用指紋模型庫和分類庫中的權限類別進行分析和識別。指紋按權限分類，不同權限下的檢索權限，按類似于表1的權限限制分類，可分為1，…，i，…，n級。由不同權限的管理者或審計人分配密級權限，權限的層次結構、涉密資料的分類目錄管理按保密要求或行業或專業目錄分類，并按時間序列提供最新的密級別類區分，對業務、管理環節投入研究，規范作業方式后應用于軟件系統。由于整個過程處于加密全封閉管理，對身份、數據和信息的建立入口，服務出口的安全至為關鍵。建立入口包括按權限錄入、修改、審計、審計修改、更新、存檔等。出口包括按權限查詢、提交更正，合法身份等。身份或信息資料的用戶建立、注冊的邏輯機制和查詢安全實現的部分邏輯機制如圖所示。

活體指紋數據一旦被系統捕獲，則自動建立一個模擬數據，此數據要轉換成數字形式，才能被識別。當基于用戶服務技術設計一個生物辨識應用程序時，系統采用服務器控制平臺與網絡和各Client端所組成的系統安全策略，平臺、網內各Client端有各種密級限制，任何密級內容不能復制和在Client端保存。專人進入服務器控制平臺時進行監控，指紋登記，審計。系統的審計功能對系統管理人員屏蔽，運行時所有人員按權限限定范圍。 遠程Client端驗證指定身份、資料和數據信息時，經加密傳輸后，對過程中的指紋識別以單元信息和Server間經常監測指紋相符為判定條件，當提示要求提交指紋時，則應提交指紋，系統快速判斷，保證繼續。若結束本次操作，則自動關閉系統，記錄開始、結束時間，數字簽名或指紋驗證。 四、結論 電子商務引入指紋識別后，有指紋識別入口的電腦都能直接連入系統嗎？否。因為要現場注冊才行。利用帶有活體指紋識別的電腦經掃描進入電子商務軟件系統，只是把注冊人的指紋圖紋線形態身份加密保存，按安全和保密權限認證，進行加密，識別，比對，判別，確認，執行等各環節。由于成本原因，目前并未做到不經應用軟件和相關算法、協議處理就能進入系統的程度。此系統除用于電子商務的身份認證外，也可用于軍事、經濟、金融、情報，公安、政府等機要部門和高考閱卷、錄生，汽車防盜等場合。隨著技術不斷進步、成本降低和用戶的需求，電子商務指紋識別軟件系統的應用會越來越廣。 參考文獻: 梁志敏蔡建譯:(美)Peter Thorsteinson， G. Gnana Arun GaneshNET安全性與密碼術[M].北京:清華大學出版社，2004.8:26-107