安全认证技术在计算机信息系统中的应用
摘 要:计算机信息安全认证就是使用电子手段证明发送者和接收者身份及其文件完整性,即确认双方的身份信息在传送或存储过程中没有修改过。认证是证实被认证对象是否属实和是否有效的一个过程,其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。本文对多重身份认证技术在计算机信息系统中的实际应用方式及有效性进行分析。
关键词:安全认证;身份认证技术;信息系统
中图分类号:TP309
近些年来,计算机技术正在不断发展,各企事业单位以及政府部门等对信息系统依赖性逐渐增强,信息技术已经渗透到日常生活中的各个方面,所以保证信息系统的安全性便显得尤为重要。身份认证属于信息系统安全防卫工作中的守关者,能否保证身份认证系统的正常工作,将会直接影响到信息系统整体安全性。通常情况下可以从实际应用方面对用户身份进行差别性认证,想要保证登录所在信息系统最高权限的人是用户本人,就必须要有一个双因子的身份认证系统为其护航。也可以让部分人进入到系统中,给这部分人查阅小部分资料的权限,进行快速的身份认证。智能卡和生物技术(指纹)可分别作为身份认证技术来使用,但如果将这两种技术结合在一起,则一方面增强了系统的安全性,可以起到1+1>2的作用;另一方面还可以替换原有的ID+密码的认证方式,使身份认证在实际应用中具有更大的便捷性。
1 系统方案
Store-on-Card的系统方案如图1所示。只是利用智能卡的安全特性来存储指纹特征,其他的所有处理过程都在卡外完成。这里需要注意两个方面的问题,一个是数据传输以及在卡中认证的时间,另一个就是安全认证。由于一枚指纹图像在特征提取后的数据一般都有几百个字节,因此,通常的做法是采用压缩的方法来传输。
数据加密是计算机网络安全很重要的一个部分。在因特网上进行文件传输、电子邮件商务往来存在许多不安全因素,尤其是一些机密文件在网络上传输时。而且这种不安全性是因特网存在基础——TCP/IP协议所固有的,包括一些基于TCPHP的服务。解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的文件没有收件人的私钥无法解开,文件成为一大堆无任何实际意义的乱码。加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。文件加密不只用于电子邮件或网络上的文件传输,也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。
加密是保障数据安全的一种方式,是一种主动的信息安全防范措施,其原理是利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性和安全性。明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2 安全认证方案
安全认证的方案主要有两种,一种是基于单钥密码算法的方案,典型的密码算法有DES和IDEA等;另一种是基于公钥密码算法(PKC)的方案,典型的密码算法有RSA和ECC。在介绍认证方案之前先简单介绍一下公钥算法用于加解密以及数字签名的过程。(1)用于加解密和数字签名的公钥算法;(2)基于公钥密码算法的安全认证方案。它利用的就是公钥密码算法具有保密和签名的特点。
假设用户U想通过网络访问远程系统S。图2中Sig(SK,H(I))表示使用会话密钥SK对H(f)进行签名,而H(J)表示的是对信息J的Hash值;Enc(K,D表示用公钥或私钥PK对信息J进行加密,Dec(K,D表示用公钥或私钥K对J进行解密;TDu为指纹的特征数据,ID表示为用户的在远程数据库中的标识号。如图2中所示的认证过程主要包括如下3个方面:(1)指纹模板的完整性验证。指纹模板存放在智能卡中,它受到系统S的私钥SKs保护,因此在智能卡中存储的是指纹模板以及利用SKs生成的签名数据,即TDu和Sig(SKs,H(Tdu)),此时卡中的用户私钥SKu被锁定不允许使用。系统的公钥PKs用于验证指纹模板的完整性;(2)用于保护私钥的比对过程。比对过程也就是现场采集并提取的指纹特征跟指纹模板TDu进行比对,根据最后的比对结果来确定是否对用户私钥SKu的解锁,只有比对成功之后才可以获取用户的私钥SKu;(3)电子认证过程。验证终端使用用户U的私钥SKu对用户的ID签名,接着系统s用自己的私钥SKs对签名结果进行加密,然后把得到的密文和ID明文一起送给系统验证。最后系统S利用用户ID查到用户的公钥Pku并且同时对ID和签名结果进行验证。
随着对称密码的发展,DES数据加密标准算法由于密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求,因此1997年NIST公开征集新的数据加密标准,即AES。此算法成为美国新的数据加密标准而被广泛应用在各个领域中。尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128、192、256位,相对而言,AES的128密钥比DES的56密钥强1021倍。AES是分组密钥,算法输入128位数据,密钥长度也是128位。用Nr表示对一个数据分组加密的轮数。每一轮都需要一个与输入分组具有相同长度的扩展密钥Expandedkey(i)的参与。由于外部输入的加密密钥K长度有限,所以在算法中要用一个密钥扩展程序把外部密钥K扩展成更长的比特串,以生成各轮的加密和解密密钥。(1)针对中心服务器进行加密。在监控系统中对数据的加密属于“通信加密”,即对实时传输过程中的数据进行加密。对中心服务器的加密,即针对每个中心服务器进行的加密,不同的中心服务器使用不同的密钥。通过对每个中心服务器定期随机产生一个密钥,中心服务器下的所有终端设备可以获得该密钥。终端设备使用该密钥对发送出去的数据进行加密,对接收的数据解密,保障信息在传输过程中的安全性;(2)使用AES加密算法。AES即FIPS 197,是NIST于2001年发布的加密系统。AES采用128位的分组长度,支持长度为128、192和256位的密钥长度。128位密钥长度的AES是最常采用的版本。128位的密钥长度能够提供足够的安全性,而且比更长的密钥需要较少的处理时间。到目前为止,AES还没有出现任何致命缺陷。AES加密算法属于对称加密系统,使用同一个密钥来对数据进行加密和解密。该算法实现速度快,适于对实时的数据流进行加解密,易于软件或硬件实现。对于嵌入式设备,多使用硬件加密的方式;对于桌面式终端,可以使用软件加密的方式。
3 系统的软件结构
移动电话终端的软件层次结构,它采用模块化设计的概念,将软件部分分为底层硬件驱动、操作系统、GUI部分和应用软件等,下面将分别介绍。
3.1 硬件驱动程序
硬件驱动主要实现外围设备的管理和控制,处理外围设备产生的中断,将外围设备的状态和数据实时送给操作系统和上层应用软件。操作系统包含各种硬件设备和接口的驱动程序,可采用Linux、Symbian、Palm OS、WinCE等。它支持UART、IrDA、USB等接口,支持SDRAM、Flash等存储器,支持真彩LCD、触摸屏等外设。这些驱动程序采用模块化设计,必要时可以作为模块加入到操作系统的内核中,成为内核的一部分。
3.2 操作系统
操作系统是软件平台的核心,实现了底层硬件的管理和控制,为上层应用程序提供系统调用,极大的方便了应用程序的扩展和开发。
3.3 GUI
GUI在硬件驱动和操作系统核心的支持下,为上层应用程序提供系统调用,轻松实现图形化应用。
3.4 应用软件
在底层硬件驱动程序和操作系统的支持下,应用软件实现了其丰富性,它主要包括以下几部分:(1)手机应用软件:主要包括通话管理、短信、彩信、WAP或HTTP浏览器、E—mail、移动QQ、游戏、信息管理等应用软件;(2)PDA应用软件:记事本、图片浏览器、计算器、世界时钟、日程表、草图本、电子书、电子词典、货币转换、红外线同步和USB同步等;(3)其他应用软件:Java功能、数码相机、MP3、MIDI、MPEG4等播放器;(4)新增应用:电子钱包、生物认证等;(5)系统工具:文件管理、时间设置等。
指纹识别技术属于当前社会背景下比较常见的一种计算机身份识别手段,同时也是一种较为有效的生物特征的识别。想要进行指纹识别,首先必须要先建立起相关的文献库,在文献库当中查找对应的指纹,匹配指纹特征。为了提升实际工作过程当中的工作效率,可以将指纹特征简单的分为局部特征或者是整体特征,其中囊括了指纹三角点、核心点等诸多方面。在实际匹配过程中,要先对指纹进行提取,一般都会采用传感器来提取。指纹的主要构成要素是凹凸不平的纹路,可以对像素点进行电流释放,之后在使用参考电流进行电流释放。在指纹凸起下整体像素放电的速度比较慢,反而则较快。所以这两种情况下凹处下方像素可以保持电路检测工作,并且可以将其转换为8bit的图像,通过该方式进行检验,可以得到比较好的原始的图像。
基于上述解决方案,我们在Infineon的双界面智能卡芯片SLE66CLX320P上模拟了智能卡与交易终端的认证和交易过程。首先,在该芯片上开发一个双界面智能卡操作系统,然后,在卡内建立一个电子钱包的应用并存放持卡人的基本信息和指纹特征,基于指纹特征的大小为120字节。假设模拟一次交易(减钱)的平均时间为184ms,从卡中读出指纹特征并在PC上完成一对一比对的时间为305ms,这表明在手机上实现双界面SIM和指纹识别技术成为可能。由于SIM卡中已经包括GSM或CDMA的应用,如果再增加新的电子钱包应用可能会受限于SIM卡的存储空间。随着新的智能卡技术的发展,这个问题也会逐步得到解决,因为智能卡的空间从早期几千字节已经发展现在的几兆字节了。
4 结束语
本文在身份认证技术和电话信息系统分析的基础上,结合两者对多重身份认证技术在信息系统当中的实际应用方式与效果进行了探讨,为计算机信息系统的安全管理提供有益的技术支持和帮助。
参考文献:
[1]陈泽宇,飞虎,陈刚.利用颜色信息的人脸检测方法[J].上海交通大学学报,2011(14):222-224.
[2]陈卓,刘俊男.多种身份认证技术在信息系统中的研究与应用[J].网络应用安全,2012(11):145-147.
[3]陈锋,覃征.基于指纹识别基于指纹识别与PKI的电子政务身份认证体系[J].计算机工程与设计,2012(07):111-113.
[4]董立锋.人脸识别技术在信息系统的应用[D].四川大学,2010:07-09.
[5]苗军.面向人脸面部图象识别、合成和模型编码的人脸目标及其特征检测[D].北京工业大学,2012:11-13.
[6]IlsunYou,Jong-HyoukLee,BonamKim.caTBUA:Context-aware ticket-based binding update authentication protocol for trust-enabled mobile networks[J].Int.J.Commun.Syst.2010(11).
[7]Jong-Hyouk Lee,Hyung-Jin Lim,Tai-Myoung Chung.A competent global mobility support scheme in NETLMM[J].AEUE-International Journal of Electronics and Communications.2011(11).
[8]Hari Balakrishnan,Karthik Lakshminarayanan,Sylvia Ratnasamy,Scott Shenker,Ion Stoica,Michael Walfish.A layered naming architecture for the internet[J].ACM SIGCOMM Computer Communication Review.2012(04).
[9]Wei Liang,Wenye Wang.On performance analysis of challenge/response based authentication in wireless networks[J].Computer Networks.2012(02).
[10]Joseph S.M.Ho,Ian F.Akyildiz.Mobile user location update and paging under delay constraints[J].Wireless Networks.2010(04).
作者简介:
作者单位:澳门城市大学管理学院,澳门 999078