基于指紋識別技術的雙重身份鑒別系統實現

袁小凱,蒙家曉,關澤武

(南方電網科學研究院信息技術與信息安全實驗室,廣州,510080)

0 前言

根據信息安全等級保護管理辦法（公通字[2007]43 號），全國范圍開展了信息安全等級保護測評工作。信息系統安全等級保護基本要求中，三級以上信息系統應滿足“應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別”，但大多數企業定級為三級的信息系統目前仍采用單一靜態密碼或證書認證方式登陸，且目前身份鑒別方式存在易被盜、丟失、被復制等缺陷，導致身份鑒別的準確性和唯一性不足。

本文利用目前逐漸成熟的指紋識別技術，依據信息系統安全等級保護基本要求中的多重身份鑒別和抗抵賴方面的要求,提出了一種高準確性的信息系統雙重身份鑒別實現方案。

1 指紋識別技術

指紋識別是生物識別技術中一種，其利用人體指紋的生物特征來進行身份驗證，具有準確、穩定和唯一和等特性。指紋識別技術具有易攜帶、易采集、不易丟失、不可復制等特點。國內外許多科學研究表明生物識別是現今現代化、數字化生活中最高級別的安全密鑰系統,在所有生物識別技術中，指紋識別技術是目前對人身安全最不構成侵犯、方便、實用、可靠和價格便宜的一種技術手段，也是最具有典型性和最有應用前景的生物識別技術。

2 雙重身份鑒別系統架構

本文提出的雙重身份鑒別方案基于指紋識別技術，指紋識別主要經過指紋采集、圖像處理、特征提取、數據保存和匹配等過程，為了增加身份鑒別系統本身的安全性，方案增加了對指紋信息傳遞和存儲的加密過程。方案整體采用B/S架構（如圖1所示），主要包含用戶終端、指紋鑒別服務、指紋數據庫和應用服務器。

為了提高整個架構的分布式部署能力和減少鑒別服務器的壓力，指紋的采集、圖像處理、特征提取、指紋信息加密和用戶注冊以及指紋關聯綁定在用戶終端主要完成。指紋鑒別服務處理所有的鑒別請求和指紋匹配功能。指紋數據庫用于保存加密后的指紋樣本信息，以及指紋樣本信息和用戶帳戶之間關聯關系。應用服務器則是部署被保護的信息系統，所有對應用服務器的訪問都必須經過鑒別服務器的認證。

圖 1 身份鑒別系統架構圖

3 指紋采集和處理

目前指紋光學采集技術已十分成熟且使用廣泛，其具有使用時間長、溫度變化適應能力強、分辨率高和價格便宜等特點。企業大部分購置筆記本電腦辦公，且多數配備指紋識別器。對于未配置指紋識別器或臺式電腦也可通過配置外置USB 指紋識別器（或指紋采集儀）來實現指紋數據采集和識別。

在首次登錄訪問受保護的信息系統時需要完成用戶注冊，注冊過程需采集用戶指紋樣本信息，并將用戶帳號和指紋樣本信息進行關聯保存到指紋數據庫中，以便身份鑒別匹配時提取指紋樣本。為了提高方案的可用性，避免因個別手指損傷而導致不能正常通過鑒別登錄信息系統，一個用戶帳號可同時綁定多個手指指紋樣本信息。在注冊和登錄時通過指紋識別設備采集的指紋為指紋原始圖像，需經過專業的指紋圖像處理技術處理以提高指紋圖像質量和數據準確性。目前國內外主要的指紋圖像技術處理包括指紋圖像增強、指紋圖像平滑處理、二值化處理和細化處理等步驟。

3.1 指紋圖像增強處理

指紋圖像增強處理是指紋識別非常重要的過程，其效果的好壞直接影響指紋特征提取的正確性。該過程目的主要針對因手指損傷引起的脊線中斷和汗、水漬等引起的脊線谷線不明顯、脊線粘連、污跡等問題，利用指紋圖像增強算法消除脊線中斷，增強指紋脊谷對比度，使得指紋圖像更加清晰，提高指紋特征值提取的準確性。

3.2 指紋圖像平滑處理

指紋圖像平滑處理是從指根據紋圖像的紋形特征,分析指紋圖像的灰度分布規律,通過基于方向均值濾波的指紋圖像平滑算法處理，讓采集到的指紋圖像脊谷線灰度級變得均勻一致。

3.3 指紋圖像二值化處理

通過指紋識別器采集到的指紋圖像中，各象素的灰度是不同的，并按一定的梯度分布。指紋圖像二值化處理是指通過設定灰度級閾值，判定指紋圖像上的像素是不是嵴線上的點，將灰度指紋圖像變換為由0 和1 表示的黑白圖像。指紋圖像二值化后，可大大減少數據量，并可簡化指紋圖像細化處理。

3.4 指紋圖像細化處理

指紋圖像細化處理是將指紋嵴線的圖像寬度降為單個像素的寬度，得到指紋嵴線的骨架紋形圖像的過程。這個過程進一步減少了指紋圖像數據量，清晰化了嵴線形態，方便對指紋特征提取，并提高特征提取的準確性。

圖 2 指紋處理示意圖

4 指紋特征的提取和匹配

指紋圖像經過技術處理后下一步進行指紋特征提取，指紋的驗證匹配過程是通過對比指紋特征來完成，本方案核心就是通過指紋的驗證匹配過程完成用戶身份的鑒別。

指紋識別技術定義了指紋的兩類特征來進行指紋的驗證：總體特征和局部特征。在考慮局部特征的情況下,只要滿足13 個指紋特征點重合, 就可以認定為同一個指紋。指紋的總體特征包括:紋形（環型,弓型,螺旋型）、模式區、核心點、三角點、式樣線、紋數。

表1 指紋總體特征表

指紋的局部特征是指指紋上的節點的特征，這些具有某種特征的節點稱為特征點,包括:特征點的類型（脊端點、分叉點、歧點、孤立點、環點、短紋）、方向、曲率、位置。

表2 指紋局部特征表

基于指紋識別技術的身份鑒別系統核心為指紋圖像特征提取，在所有指紋的局部特征中脊端點及分叉點(圖3(b))是指紋細化圖像的主要特征，本文利用這兩種主要特征創建指紋特征向量。經過二值化后的指紋圖像像素點的灰度值只有0（表示背景點灰度）和1（表示紋線點灰度），假設被檢點為P，其相鄰的點分別由P1，P2…,P8（圖3(a)）表示，則可通過3×3 的向量組記錄被檢點P 的8 個相鄰點灰度值，設Cn(P)為交叉數，Sn(P)為像素8 相鄰紋線點數，根據3×3 的向量組計算交叉數的公式為：

圖3 向量組和主要特征點示意圖

具體的算法為：

(1)以被檢測點P 為起點，對P 的8 個相鄰點沿指紋脊線進行搜索，當公式計算結果滿足脊端點與分叉點判定時（圖4）分別進行標記；

(2)以同樣的方法對步驟（1）中已標記的點的8 個相鄰點進行計算標記，直到所有的指紋像素點完成標記或無法再組成8 個相鄰點向量組。

圖4 脊端點與分叉點判定示意圖

系統終端在采集到指紋圖像后處理并提取指紋特征，根據指紋特征分類分析并記錄相應的特征數據，指紋特征數據在注冊過程中將作為指紋樣本保存到指紋數據庫。在用戶登錄受保護的信息系統時，采集的指紋經過特征提取后和保存在指紋數據庫中的指紋特征樣本進行逐項對比，通過用戶身份鑒別的方可訪問信息系統。

5 指紋信息加密傳輸和存儲

系統終端采集到的指紋信息在經過提取指紋特征后，指紋特征信息需經過網絡傳輸和指紋樣本保存完成注冊和指紋身份鑒別。在指紋特征信息傳輸和存儲過程中存在一定的安全隱患，為了防止指紋信息被竊取或惡意篡改，本文增加了加密解密模塊加強用戶指紋信息的安全性和保密性。

本方案中采用RSA 非對稱公鑰加密技術，該方式不需要進行密鑰傳遞，極大的保證了密鑰的安全。所有經過網絡傳輸的指紋信息都經過了RSA 加密技術加密，且指紋數據庫中保存的也是經過加密后的指紋信息。

6 雙重身份鑒別流程

本文提出的基于指紋識別技術的雙重身份鑒別方案中對于指紋的使用主要分為2 個場景，用戶指紋信息注冊和用戶登錄系統指紋鑒別。因用戶指紋信息注冊較用戶登錄指紋鑒別流程簡單，固不再闡述。用戶登錄系統指紋鑒別流見下圖：

(1)用戶在終端輸入用戶信息：用戶賬號、靜態密碼和指紋信息；

(2)指紋被采集后經過指紋圖像處理，然后分析指紋特征信息并完成指紋特征信息提取,最后對指紋特征信息進行加密；

(3)系統客戶端向應用服務器發出登錄信息請求，攜帶經過加密后的用戶信息和指紋信息；

(4)應用服務器收到登錄請求后直接向指紋鑒別服務器發出鑒別請求，攜帶加密的用戶信息和指紋信息；

圖 5 指紋特征注冊和匹配流程示意圖

(5)鑒別服務器收到請求后對用戶信息進行解密，根據用戶賬號查詢指紋數據庫和用戶賬號綁定的指紋注冊樣本。首先對用戶賬號和靜態密碼進行驗證，完成第一次鑒別。然后解密用戶注冊的指紋樣本并逐一和請求的指紋特征信息進行匹配，完成第二次鑒別。兩次身份鑒別通過后響應應用服務器通過身份鑒別，同時保存用戶登錄日志到數據庫；

(6)應用服務器收到身份鑒別通過響應后通知系統終端并允許登錄；

7 安全性分析

在未具備雙重身份鑒別能力的系統中，使用靜態密碼登錄存在密碼被竊取或泄露的風險，系統會被惡意操作或信息泄露。本文提出的雙重身份鑒別采用了生物識別技術，利用了指紋識別的方式完成用身份鑒別。因人體指紋的生物特征具有穩定、唯一和準確等特性,以及指紋具有易攜帶、易采集、不易丟失、不可復制等特點，可百分之百的對用戶身份進行鑒別，同時保存的用戶登錄指紋日志可作為不可抵賴證據。所有用戶指紋信息的傳輸和存儲都經過加密處理，確保了用戶指紋信息不被泄露和竊取。

8 結論

本文提出的雙重身份鑒別方案通過指紋識別技術和靜態密碼認證方式進行兩次身份鑒別，確保了系統身份認證的準確和不可抵賴性。目前指紋識別技術的成熟和指紋采集設備的普及程度，完全滿足本方案需求。本文雙重身份鑒別方案具有較高的安全性和百分之百的準確性，且操作使用方便，實現和改造成本低，可替代傳統的單一身份鑒別用戶認證方式，從而滿足信息安全等級保護的要求。

圖 6 用戶登錄指紋鑒別流程

[1] 中國國家標準化管理委員會.GB/T 22239-2008 信息系統安全等級保護基本要求[S].北京: 中國標準出版社,2008.

[2] 國家質量監督檢驗檢疫總局,國家標準化管理委員會.GB/T 26237.2-2011 信息技術生物特征識別數據交換格式第2部分[S].北京: 中國標準出版社,2011.

[3] 柴曉光,芩寶熾.民用指紋識別技術[M].北京:人民郵電出版社出版,2011.

[4] 王科俊.自動指紋識別系統的研究與設計[D].哈爾濱：哈爾濱工業大學,2003.

[5] 劉興龍.自動指紋識別系統的研究與實現[D].貴州：貴州大學,2006.

[6] 徐曉明.指紋圖像的預處理及特征提取[D][碩士學位論文]，大連：大連理工大學，2005

[7] 沈學寧.從指紋的原灰度圖像上識別細節特征[J].模式識別與人工智能，I989，2(4)：53～57.