一、引言

    隨著計(jì)算機(jī)的普及和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和成熟，現(xiàn)代企業(yè)的設(shè)備管理部門根據(jù)發(fā)展的需要，逐漸實(shí)現(xiàn)了數(shù)字化、自動(dòng)化。大大降低了人員的勞動(dòng)強(qiáng)度，簡(jiǎn)化了企業(yè)分廠報(bào)送設(shè)備計(jì)劃的流程，實(shí)現(xiàn)了設(shè)備運(yùn)行狀態(tài)的動(dòng)態(tài)監(jiān)控。然而其中的安全管理問(wèn)題逐漸受到關(guān)注，通過(guò)研究企業(yè)設(shè)備管理軟件，發(fā)現(xiàn)普遍存在以下幾方面問(wèn)題：1.身份認(rèn)證機(jī)制過(guò)于單一，一般僅采用“用戶名十密碼”形式；2.設(shè)備敏感消息在網(wǎng)絡(luò)上以明文方式傳輸，而且一般不包含時(shí)間標(biāo)志；3沒(méi)有消息完整性鑒別策略，消息被篡改后接收方無(wú)法鑒別。4設(shè)備敏感消息涉及到企業(yè)生產(chǎn)環(huán)節(jié)，關(guān)系到多方利益，一旦出現(xiàn)問(wèn)題往往牽涉到報(bào)批雙方責(zé)任認(rèn)定和責(zé)任追究，因而對(duì)于安全性方面有著較高要求。綜上考慮，企業(yè)設(shè)備管理軟件必須能保證消息完整性、私密性、唯一性、不可否認(rèn)性。

    二、指紋識(shí)別認(rèn)證機(jī)制整體架構(gòu)

    (一)客戶端認(rèn)證機(jī)制�？蛻舳说娜蝿�(wù)是：采集指紋，提取指紋特征，建立通信渠道，發(fā)送認(rèn)證數(shù)據(jù)消息，接收認(rèn)證結(jié)果。因此，客戶端認(rèn)證機(jī)制建設(shè)包括軟件和硬件兩方面�？蛻舳苏J(rèn)證機(jī)制架構(gòu)圖如圖1所示：

圖1 客戶端認(rèn)證機(jī)制架構(gòu)圖

    操作流程如下：(a)用戶通過(guò)客戶端操作界面輸入用戶名ID；(b)客戶端告知系統(tǒng)開(kāi)始新的認(rèn)證；(c)客戶端提示用戶輸入指紋；(d)客戶端用戶把手指放在指紋儀上；(e)客戶端軟件通過(guò)指紋儀采集用戶指紋，從中提取指紋特征：(d)客戶端將提取的指紋特征上傳給服務(wù)器端，由服務(wù)器端進(jìn)行指紋匹配，并將匹配結(jié)果返回給客戶端，同時(shí)根據(jù)用戶的角色認(rèn)定賦予用戶相應(yīng)的權(quán)限；(e)用戶通過(guò)客戶端瀏覽相應(yīng)的授權(quán)內(nèi)容。

    (二)服務(wù)器端認(rèn)證機(jī)制

    服務(wù)器端的主要任務(wù)是對(duì)客戶端傳來(lái)的認(rèn)證數(shù)據(jù)實(shí)施認(rèn)證，根據(jù)認(rèn)證結(jié)果賦予用戶相應(yīng)的權(quán)限，并建立安全的網(wǎng)絡(luò)連接。為了完成這一任務(wù)，還需要對(duì)用戶指紋模板庫(kù)進(jìn)行注冊(cè)和管理。因此，服務(wù)端認(rèn)證機(jī)制建設(shè)包含三方面：在線指紋匹配模塊、指紋模版庫(kù)管理模塊、企業(yè)網(wǎng)站和數(shù)據(jù)庫(kù).在線匹配模塊主要功能是響應(yīng)客戶端發(fā)送的認(rèn)證請(qǐng)求，接收客戶端傳遞過(guò)來(lái)的指紋特征信息，通過(guò)指紋特征信息辨別用戶身份的真?zhèn)�，最后賦給用戶對(duì)應(yīng)的權(quán)限。指紋管理模塊由兩個(gè)部分組成：指紋注冊(cè)子模塊，密鑰管理子模塊。服務(wù)器端的架構(gòu)圖如下：

圖2 服務(wù)器端認(rèn)證機(jī)制架構(gòu)圖

    設(shè)計(jì)原則是：在通信前必須明確發(fā)送方和接受方的身份，以防止惡意攻擊：敏感消息在網(wǎng)絡(luò)上必須以密文方式傳輸，杜絕任何形式的明文傳輸，確保消息的私密性，防止被攻擊。具體解決對(duì)策如下：

    1.根據(jù)用戶的指紋完成身份認(rèn)證。利用使用者的生物特征保證密碼的唯一性，無(wú)需記憶，不會(huì)被借用、盜用和遺失。2指紋信息在Internet上傳輸時(shí)采用登陸握手時(shí)的臨時(shí)會(huì)話密鑰加密，并加入時(shí)間標(biāo)記，可以防止重放攻擊。3.在登陸之前的登陸握手協(xié)議中，客戶端獲得服務(wù)器端的數(shù)字證書(shū)并向CA驗(yàn)證證書(shū)的有效性，確認(rèn)服務(wù)器的身份。4.利用混合密碼技術(shù)，使用對(duì)稱密鑰技術(shù)來(lái)加密消息數(shù)據(jù)，使用非對(duì)稱密鑰技術(shù)來(lái)分發(fā)對(duì)稱密鑰及簽名。

    三、指紋認(rèn)證機(jī)制工作流程

    整個(gè)企業(yè)辦公系統(tǒng)涉及：CA、身份認(rèn)證服務(wù)器、企業(yè)網(wǎng)站服務(wù)器和客戶端。在用戶和服務(wù)器的信息交換過(guò)程中，消息總是以密文的形式在網(wǎng)上傳輸�？蛻舳税l(fā)送消息后，設(shè)備信息將以密文形式存儲(chǔ)在企業(yè)數(shù)據(jù)庫(kù)中；授權(quán)瀏覽用戶通過(guò)將Internet傳送過(guò)來(lái)的加密數(shù)據(jù)解密后可以瀏覽裝備信息。

    系統(tǒng)的運(yùn)轉(zhuǎn)共分為3大部分：SSL會(huì)話建立、指紋認(rèn)證、安全的Web瀏覽。

    A 5SL會(huì)話建立

    B指紋認(rèn)證協(xié)議

    指紋認(rèn)證協(xié)議包含兩個(gè)方面：注冊(cè)階段和認(rèn)證階段。當(dāng)一個(gè)新用戶想要加入到該認(rèn)證系統(tǒng)時(shí)，執(zhí)行注冊(cè)過(guò)程，且只執(zhí)行一次；而每當(dāng)一個(gè)用戶登陸到認(rèn)證系統(tǒng)時(shí)，執(zhí)行認(rèn)證過(guò)程。

    該協(xié)議涉及到三方：用戶U、認(rèn)證服務(wù)器S和管理員AD。在認(rèn)證環(huán)節(jié)中，用戶借助指紋儀提供指紋數(shù)據(jù)，認(rèn)證服務(wù)器對(duì)用戶提供的指紋數(shù)據(jù)進(jìn)行匹配認(rèn)證以確認(rèn)用戶身份。管理員在整個(gè)認(rèn)證過(guò)程中作用非常重要，他作為可信第三方存在。當(dāng)用戶方注冊(cè)時(shí)，管理員監(jiān)督用戶提供的指紋數(shù)據(jù)的真實(shí)性，并同時(shí)提供管理員指紋數(shù)據(jù)供認(rèn)證服務(wù)器驗(yàn)證用戶指紋數(shù)據(jù)的真實(shí)性。

    注冊(cè)階段

    當(dāng)用戶需要注冊(cè)指紋時(shí)，需到管理員處登記，由管理員負(fù)責(zé)其指紋數(shù)據(jù)的真實(shí)性，并由管理員負(fù)責(zé)將該用戶的指紋數(shù)據(jù)注冊(cè)到認(rèn)證服務(wù)器S。

    注冊(cè)過(guò)程如下：

    i.AD→S：U，Registration Request

    管理員AD向認(rèn)證服務(wù)器S發(fā)出一個(gè)用戶U的指紋注冊(cè)請(qǐng)求。

    ii.S→AD：Registration Ready

    認(rèn)證服務(wù)器S向管理員AD發(fā)出響應(yīng)

    iii.AD→S：Fa||Fu

    管理員AD獲得自己的指紋數(shù)據(jù)Fa及用戶U的指紋數(shù)據(jù)Fu后，審核用戶U的身份并驗(yàn)證其指紋數(shù)據(jù)的真實(shí)性后，通過(guò)加密的SSL鏈路將自己的指紋數(shù)據(jù)與用戶的指紋數(shù)據(jù)串聯(lián)后一起發(fā)送給認(rèn)證服務(wù)器S。S接收到認(rèn)證消息后，得到Fa和Fu。在i=1，2，...m的范圍內(nèi)，比較Fa是否與Fa，i匹配。如果沒(méi)有找到任何一個(gè)i，使得Fa與Fa，i匹配，則該用戶U不能注冊(cè)：否則，將用戶U的指紋數(shù)據(jù)Fu保存在S中，作為用戶U的認(rèn)證信息。

    認(rèn)證階段

    i.U→S：U，SR

    用戶U向認(rèn)證服務(wù)器S發(fā)出一個(gè)登錄請(qǐng)求SR。

    ii.S→U：接受請(qǐng)求或者拒絕請(qǐng)求信息

    如果發(fā)現(xiàn)U未注冊(cè)，則S拒絕U此次登錄請(qǐng)求；否則服務(wù)器S向U發(fā)出同意登錄響應(yīng)。

      iii.U→S：Fc

    用戶U收到S的同意登錄響應(yīng)后，借助指紋儀獲取自己的指紋數(shù)據(jù)，并從中提取出指紋特征Fce然后U將指紋特征Fc通過(guò)安全信道傳送給S。

    iv.S收到用戶指紋特征Fc后，驗(yàn)證是否Fc=Fu，如果Fc=Fu，U通過(guò)認(rèn)證；如果Fc≠Fu，S拒絕U登錄。

    安全的Web瀏覽

    身份認(rèn)證服務(wù)器把認(rèn)證結(jié)果反饋給企業(yè)設(shè)備管理網(wǎng)站系統(tǒng)，系統(tǒng)依據(jù)用戶角色賦予用戶相應(yīng)的瀏覽權(quán)限。由于Web網(wǎng)站的內(nèi)容都是通過(guò)SSL協(xié)議傳送的，所以也是安全的。

    四、安全性分析

    本方案的指紋具有唯一性，不可否認(rèn)性。并且通信都是建立在SSL鏈路上，為了減輕服務(wù)器和客戶端的負(fù)擔(dān)沒(méi)有再附加其他的加密方案。因此，該認(rèn)證機(jī)制的安全性主要依賴于SSL協(xié)議的安全。

    握手協(xié)議層的安全性：SSL握手協(xié)議允許通信實(shí)體在交換應(yīng)用數(shù)據(jù)之前協(xié)商密鑰的算法、加密密鑰和對(duì)客戶端進(jìn)行認(rèn)證的協(xié)議，為下一步記錄協(xié)議要使用的密鑰信息進(jìn)行協(xié)商，使客戶端和服務(wù)器建立并保持安全通信的狀態(tài)信息。握手層注重的是消息的完整性。

    記錄協(xié)議層的安全性：5SL通過(guò)各種對(duì)稱加密算法來(lái)保證數(shù)據(jù)的保密性，另外，SSL使用加密的MAC保證數(shù)據(jù)的完整性。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：指紋識(shí)別在網(wǎng)絡(luò)身份認(rèn)證中的應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839512848.html