[摘要] 生物特征識別技術作為一種身份識別的手段，具有獨特的優勢，近年來已逐漸成為研究熱點之一。本文闡述了如何將生物特征識別技術與數字簽名加密技術有機結合，應用于電子商務身份安全認證系統，達到有效提高電子商務交易的安全性的目的。并提出了簡潔易行的身份安全認證系統解決方案結構和步驟。

[關鍵詞] 生物特征識別 數字簽名 電子商務 身份安全認證

一、引言

在電子商務應用日益廣泛的今天，從某種角度看，身份認證技術可能比信息加密本身更加重要。它是網絡安全和信息系統安全的第一道屏障，是在信息安全時代備受關注的一個研究領域。

目前的應用主要是以“用戶ID+口令＋數字證書”來進行用戶的身份認證。從根本上說這種身份認證不能解決訪問者的物理身份和電子身份的一致性問題，即無法確認通過身份認證的訪問者即獲授權者。

啟發于人的身體特征具有不可復制的特點，人們開始把目光轉向了生物識別技術。人的指紋、虹膜、視網膜等都具有惟一性和穩定性的特征，為實現更安全、方便的用戶身份認證提供了有利的物理條件。

用戶最關注的問題是因特網的網絡安全性和保密性。保障網絡中數據傳輸的安全性通常需要借助信息安全功能來實現。在開放系統中對具有重要價值的信息或私密信息進行通信時，可使用數字簽名等密碼技術進行加密。

生物識別技術代表著用戶身份認證技術的未來，有著廣闊的應用前景。如果將生物特征識別技術和數字簽名技術有機地結合在一起，可以提供一種更加安全、便捷的用戶身份認證技術。

二、生物特征識別技術

生物特征識別技術是通過計算機與光學、聲學傳感器和生物統計學原理等高科技手段結合，利用人體固有的生理特性來進行個人身份的鑒定。其核心在于如何獲取這些生物特征，并將之轉換為數字信息，存儲于計算機中，利用可靠的匹配算法來完成驗證與識別個人身份的過程。

1.指紋識別——成熟的身份認證技術

在網絡環境下的身份認證系統中，應用指紋作為身份確認依據是理想的。

第一，理論上，每個人的指紋是獨一無二的。

第二，指紋樣本便于獲取，易于開發識別系統，實用性強。

第三，指紋識別中使用的模板而是由指紋圖中提取的關鍵特征，使系統對模板庫的存儲量較小。也可以大大減少網絡傳輸的負擔，便于支持網絡功能。

第四，指紋識別是生物特征識別中研究最早、技術最成熟、應用最廣泛的技術，有著堅實的市場后盾。

指紋識別具有很高的實用性、可行性。隨著固體傳感器技術的發展。指紋傳感器的價格正逐漸下降，在許多應用中基于指紋的生物認證系統的成本是可以承受的。

指紋識別原理和過程如下：首先，通過指紋讀取設備讀取到人體指紋圖像，并對原始圖像進行初步的處理，使之更清晰。然后，指紋辨識算法建立指紋的數字表示——特征數據。特征文件存儲從指紋上找到被稱為“細節點”(minutiae)的數據點，也就是那些指紋紋路的分叉點或末梢點。這些數據稱為模板（至今仍然沒有一種模板的標準，也沒有一種標準的抽象算法，各廠商自行其是）。最后，通過計算機把兩個指紋的模板進行比較，計算出它們的相似程度，得到兩個指紋的匹配結果。

2.虹膜和視網膜——更準確、更可靠的身份認證技術

虹膜是一種在眼睛中瞳孔內的織物狀各色環狀物，每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細絲、斑點、結構、凹點、射線、皺紋和條紋等特征的結構。世界上兩個指紋相同的幾率為1/109，而兩個虹膜圖像相同的幾率是1/1011，虹膜在人的一生中均保持穩定不變。因此，利用虹膜來識別身份能夠成為獨一無二的標識，其可靠性超過了指紋識別。

從直徑11mm的虹膜上，Dr. Daugman的算法用3.4個字節的數據來代表每平方毫米的虹膜信息，一個虹膜約有266個量化特征點，而指紋識別技術只有40多個特征點。266個量化特征點的虹膜識別算法在眾多虹膜識別技術資料中都有講述，在算法和人類眼部特征允許的情況下，Dr. Daugman指出，通過他的算法可獲得173個二進制自由度的獨立特征點。這在生物識別技術中，所獲得特征點的數量是相當大的。

關于虹膜的特征提取方面較有成效的主要有Daugman的利用多分辨率Gabor濾波器提取虹膜紋理的相位信息；Wildes的基于4種不同決策標準的拉普拉斯金字塔提取虹膜紋理特征；Boles和Boashash的基于小波變換過零檢測虹膜識別算法以及中科院采用Gabor濾波和aubechies-4小波變換相結合的紋理分析方法。

虹膜技術上有一些地方有待完善；當前的虹膜識別系統只是用統計學原理進行小規模的試驗，而沒有進行過現實世界的惟一性認證的試驗；目前圖像獲取設備相當昂貴。

視網膜是一些位于眼球后部十分細小的神經（一英寸的1/50），它是人眼感受光線并將信息通過視神經傳給大腦的重要器官，用于生物識別的血管分布在神經視網膜周圍，即視網膜四層細胞的最遠處。

在20世紀30年代，通過研究就得出了人類眼球后部血管分布惟一性的理論，進一步的研究的表明，即使是孿生子，這種血管分布也是具有唯一性的，視網膜的結構形式在人的一生當中都相當穩定。所以，同虹膜識別技術一樣，視網膜掃描可能是最可靠、最值得信賴的生物特征識別技術。視網膜掃描設備可以從使用者的視網膜上可以獲得400個特征點，創建模板和完成確認。由此可見，視網膜掃描技術的錄入設備的認假率低于0.0001%。但拒假率（FAR，指系統不正確地拒絕一個已經獲得權限的用戶）比較高，相信在進一步的研究中可以大大降低。

因為對視網膜難于采樣，也無標準的視網膜樣本庫供系統軟件開發使用，這就導致視網膜識別系統目前階段難以開發，可行性較低。

與指紋識別技術的主要步驟以及原理相似，虹膜識別與視網膜識別一般包括圖像采集、圖像處理、特征提取、保存數據、特征值的比對和匹配等過程。

綜上所述，指紋識別是最容易實現的；而虹膜識別與視網膜識別受到某些限制，目前除了一些高端應用外很難普及應用，但其有著巨大的技術優勢和潛在的商業價值，必將是下一代生物特征識別技術的發展方向。

三、基于生物特征識別和數字簽名技術的電子商務身份認證系統解決方案

1.方案設計要求

要確保基于指紋特征的用戶身份認證系統的整體安全性，必須對基于指紋特征的網絡身份認證方案設計一個安全的身份認證協議。良好的身份認證協議應該滿足以下幾個要求：

(1)能夠準確識別被認證對象的身份；

(2)能夠明確重要事件的責任人，并實現簽名，避免事后抵賴；

(3)能夠保障數據在存儲和傳送時的安全。

2.基于生物特征和數字簽名技術的電子商務身份安全認證系統結構

基于秘密信息的身份認證協議：保證通信認證可以防止第三方的重放攻擊，但由于客戶端密鑰存儲和管理存在問題。基于生物特征的身份認證：能解決口令窺視和密鑰管理難等問題，但很難阻止第三方的重放攻擊。因而，筆者提出了綜合前述的生物特征識別技術和數字簽名后得到的電子商務身份認證系統的解決方案。

在網絡環境下(B/S結構），用戶（客戶端）如果要訪問遠程服務器所管理的信息資源，在獲得相關資源訪問權限之前，必須通過生物特征身份認證，所有的信息資源訪問權限都在身份認證系統（服務器端）管理之下，未通過身份認證的用戶不能訪問信息資源。當模板內置于服務器時，通過客戶端的生物特征獲取儀器獲得用戶的生物特征信息，該信息被加上數字簽名后傳送到服務器，在服務器首先校驗簽名是否有效，再與預先注冊的模板進行比較，并完成身份認證。 3.身份認證步驟與協議

在生物認證系統中，為了保證生物特征值這不被非法用戶所獲得，采用數字簽名技術。我們在此對協議中采用的符號做如下定義：A為用戶，AS為認證服務器，KUAS為認證服務器公鑰，TAS為認證服務器的時限，NA為A的現時數據，FA為A的生物特征值，IDA為A的標識。還需說明的是這里采用的是單向認證協議。基本協議如下：

(1)A用自己標識的簽名向認證服務器AS請求認證。使用簽名技術能有效地阻止一個虛假認證服務器對用戶A的欺騙性連接。因為只有合法的認證服務器才保存有用戶的公鑰，從而能驗證這個簽名來獲得IDA來為下面的認證過程來使用。

(2)認證服務器產生時限TAS，現時數據NA，并將自己的公鑰KUAS、NA和時限TAS用用戶A的公鑰KUA加密后返回給客戶端的A用戶。

(3)客戶端A接受到認證服務器公鑰、時限和現時數據NA，同時在客戶端的生物特征傳感器讀取用戶的生物特征圖像，并獲得特征FA，把元組{TAS，NA，FA}用認證服務器的公鑰KUAS加密后發送給認證服務器。

(4)認證服務器AS通過生物特征信息數據庫進行比對，若匹配則A的身份通過認證。

這個方案與現時使用的認證體制基本類似，所以電子商務交易系統不必作重大改變。但因為引入了生物特征識別，安全性可以獲得有效的加強。

四、結束語

在信息化日趨成為主流的今天，電子商務的業務已隨著互聯網的普及而飛速發展，與此同時，電子商務的安全性也成為業界的一個熱點研究方向。本方案設計將基于生物特征的身份認證技術和數字簽名相結合應用于電子商務，加強系統安全性，具有一定的研究和實用意義。

參考文獻：

[1]DAUGMAN J G. High confidence visual recognition of persons by a test of statistical independenc