基于指靜脈識別技術的云計算安全身份認證

楊 雄

(福州大學至誠學院 福建 福州 350002)

基于指靜脈識別技術的云計算安全身份認證

楊 雄

(福州大學至誠學院 福建 福州 350002)

隨著云計算環境的推廣和大規模應用,基于云計算環境系統數據的安全性就顯得尤為重要,而云計算身份認證也在整個安全領域中占有首要位置。針對當前云計算的安全需求，提出一種基于指靜脈識別技術的云計算身份認證方案。在具體實現上，將Windows登錄模型和指靜脈認證方式的安全性相結合，提高了對用戶身份認證的安全性。基于該認證方案的原形系統的實現，表明該方案具有一定的可行性和可用性。

云計算 指靜脈 云計算安全

0 引 言

云計算憑借其便捷、經濟和高擴展性等亮點吸引了越來越多公司的關注，云計算可以減少他們的信息技術基礎設施管理和維護的投資，從而把更多的人力和物力集中在他們的核心業務上，獲取更高的利潤。云計算的核心理念是將業務數據遷移到云中，這意味著云提供者要分擔數據安全的責任，同時遠程使用IT資源需要將云用戶的信任邊界擴展至外部，尤其是在公有云的環境下。

指靜脈識別技術采集的是人體的手指靜脈圖像，它是近年來發展起來的一種便攜、安全的身份認證技術。它對比傳統的密碼和智能卡的認證方式，不會遺失、不會被盜、無密碼記憶，而且能夠有效解決密碼泄露和智能卡硬件信息被內存掃描和網絡攔截所帶來的風險，從而提高身份認證體系的安全性。手指的靜脈圖像是人的活體特征，它除了偽造難外，成年人每個手指的靜脈圖像不僅不會再發生變化，而且還是獨一無二的。因此將指靜脈識別技術應用到云計算的身份認證體系中，可有效解決以往身份認證方式中所存在的部分安全性問題，顯著提高對云用戶身份認證的安全性。

1 基于指靜脈識別的身份認證方案

1.1 基于指靜脈識別的云計算身份認證方案

本文提出一種云計算身份認證方案，是將用戶指靜脈圖像特征值作為每個用戶在登錄證明其身份的唯一標志。在實現的原型系統中，云終端是基于Linux操作系統的終端設備，云計算資源為Windows Server 2012R2虛擬機操作系統，認證服務器是基于Windows Server 2012 R2的服務器，如圖1所示。

圖1 原形系統架構和身份認證流程

身份認證具體流程如下：

1) 用戶通過云終端訪問云計算資源，云終端通過虛擬化協議RDP與云計算資源中的虛擬機建立連接。

2) 虛擬機的登錄程序接收到RDP遠程登錄請求后，獲取云終端的IP等相關信息；并向云計算資源中的認證服務器發送認證請求Q，該認證請求包里包含了登錄用戶名和云終端的IP信息。

3) 認證服務器接收到虛擬機的認證請求Q后，根據請求包里的云終端IP信息向指定的用戶云終端發送提取指靜脈圖像請求V。

4) 云終端收到的取指靜脈圖像請求V后，完成提取用戶指靜脈圖像操作，并將包含指靜脈圖像的數據包W加密后傳輸給認證服務器。

5) 認證服務器將云終端返回的數據進行解密后，提取其中指靜脈圖像的特征值，與數據庫中對應用戶名的指靜脈特征進行匹配，將認證結果和帳戶信息返回虛擬機。

6) 虛擬機接收來自認證服務器的認證結果，若認證失敗，則拒絕用戶登錄，若認證成功，則將用戶帳戶信息交給LSA認證，完成系統登錄。

1.2 云終端

云終端在與虛擬機操作系統建立遠程連接前，首先檢測指靜脈儀設備的連接狀態，確保指靜脈儀設備已經連接至云終端的USB接口后，再對其進行初始化。初始化成功后在云終端上展示登錄界面，當用戶點擊登錄按鈕后，就通過RDP協議與虛擬機操作系統建立連接。云終端登錄和提取用戶指用脈圖像流程如圖2所示。

圖2 云終端登錄和提取指靜脈流程

云終端上的軟件主要包含三個模塊：Web服務模塊、 指靜脈提取模塊和加/解密模塊。

1) Web服務模塊

Web服務模塊是核心模塊，它的主要功能是接收來自認證服務器的請求和控制各模塊之間的數據流向，協調各模塊完成操作。當接收到認證服務器的提取指靜脈請求時，該模塊首先需要甄別消息是否來自合法的認證服務器，它是通過解密模塊來驗證的，然后通過指靜脈提取模塊采集用戶的指靜脈圖像，最后將加密模塊加密好的數據包傳輸給認證服務器。該模塊是基于Python實現的Https服務器，通過繼承BaseServer類實現。

2) 指靜脈提取模塊

該模塊的主要功能是提取用戶的指靜脈圖像，將采集的圖像數據傳輸給Web服務模塊。在本方案中，指靜脈儀使用的是索尼的Mofiria FVA-U3SX型號。在Linux操作系統上，對指靜脈儀的操作需要使用Mofiria提供的相關動態庫，操作流程如圖3所示。

圖3 指靜脈儀操作流程

3) 加/解密模塊

該模塊的主要功能是對來自認證服務器的消息做合法性驗證以及完成通信報文的加解密操作，它是采用成熟的HMAC-SHA256 消息摘要算法。首先，云終端和認證服務器擁有相同的密鑰K，認證服務器利用密鑰K對請求消息做HMAC-SHA256摘要處理生成摘要信息，然后將兩者組包一同發送給云終端；云終端收到消息后，使用HMAC-SHA256算法和密鑰K對消息做摘要計算，通過判斷其計算結果是否和接收到的摘要信息一致，來驗證消息是否來自合法的認證服務器。同理，認證服務器也是采用相同辦法來判斷云終端的合法性。

1.3 虛擬機操作系統

虛擬機操作系統Windows Server 2012R2中需要實現自定義的登錄模塊，用來監聽云終端的RDP遠程連接請求和對用戶帳戶信息進行認證。

從Windows 7/Vista系統開始，微軟引入了憑證提供(Credential Provider)登錄模型，它是一個COM組件，可以實現自定義的身份認證方式。具體是通過憑據提供程序繼承LogonUI組件的ICredentialProvider Credential接口，并向LogonUI提供對應的用戶身份信息來實現的。所以憑證提供程序通過LogonUI與Winlogon進行通信，再由Winlogon與LSA進行通信，如圖4所示。

圖4 Windows 7憑據提供程序登錄流程

我們將通過注冊新的COM庫的方式將實現的憑證提供程序注冊到操作系統中，并去除原有的用戶名和密碼認證方式，即用戶在登錄界面只能使用指靜脈識別的登錄方式。

自定義的Windows憑證提供登錄程序需要實現的基本功能包括用戶登錄界面和用戶帳戶信息提交。本方案中實現的用戶界面包括了一個文本框、一張位圖、一個下拉框和一個登錄按鈕 。文本框用于輸入用戶的登錄名，下拉框可以選擇登錄方式，目前僅有指靜脈登錄，后續可基于此擴展出其他的登錄方式。提交用戶帳戶信息前需要發起指靜脈提取操作，然后通過用戶指靜脈信息得到用戶帳戶信息。所以憑據提供程序需要監聽云終端的RDP連接請求，然后展現登錄界面，提示用戶輸入用戶名；當用戶名輸入完成，點擊登錄按鈕后，它就向認證服務器發起認證請求，并及時接收由認證服務器返回的認證結果數據包。若結果為認證失敗，比如用戶名不正確或者指靜脈特征值不匹配，則拒絕用戶登錄請求，斷開RDP連接；若認證失敗，則將認證結果數據包里包含的用戶帳戶信息通過Logon和Winlogon提交給LSA認證，完成系統登錄。實現的憑證提供程序流程如圖5所示。

圖5 Windows Server 2012 R2憑證提供程序流程

1.4 認證服務器

認證服務器上實現的軟件功能主要包含指靜脈采集模塊、Web服務模塊和指靜脈匹配模塊三部分。

Web服務模塊是認證服務器的核心，它首先接收來自虛擬機的認證請求Q，該認證請求數據包主要包括：云終端的IP地址和虛擬機登錄時的用戶名，數據使用JSON發送，規格如下：

JSON Object

{

“version” : string,

“username”: string,

“ipaddress”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

然后該模塊通過IP地址向指定的用戶云終端發起提取指靜脈請求V，規格如下：

JSON Object

{

“version” : string,

“operation”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

云終端將包含指靜脈圖像的數據包W返回給認證服務器，數據規格如下：

JSON Object

{

“version” : string,

“rtnCode”: long,

“type”: string,

“veinData”: string,

“timestamp” : long,

“checksum” : string,

“errmsg” : string

}

接著該模塊向指靜脈匹配模塊發起用戶身份驗證請求X，其規格如下：

JSON Object

{

“version” : string,

“username”: string,

“veinData”: string,

“type”: string,

“timestamp” : long,

“checksum” : string,

}

最后Web服務模塊將指靜脈匹配模塊返回的認證結果Z返回給虛擬機操作系統，數據規格如下：

JSON Object

{

“version” : string,

“rtnCode”: long,

“type”: string,

“username”: string,

“password”: string,

“timestamp” : long,

“checksum” : string,

“errmsg” : string

}

具體認證流程如圖6所示。

圖6 認證流程

指靜脈匹配模塊的功能主要是查詢數據庫中指定用戶名的指靜脈圖像特征值，然后判斷其與云終端采集的用戶指靜脈圖像的特征值是否一致。若一致，則認證成功并將查詢到的用戶帳戶信息傳輸給Web服務模塊；若不一致，則認證失敗。

指靜脈管理模塊的功能是管理用戶的帳戶信息和指靜脈特征信息。當注冊新用戶時，需要將新用戶的指靜脈圖像特征值和其帳戶信息一起儲存到指靜脈數據庫中；更新用戶時，需要同步更新數據庫的記錄。

2 登錄系統實現效果圖

基于以上的設計，我們實現了一個基于指靜脈識別的云計算身份認證系統。云終端上的實現效果如圖7所示。

圖7 云終端登錄界面

云終端上不需要輸入用戶名和密碼等信息，用戶直接點擊“登錄”按鈕后，會在虛擬機Windows Server 2012R2操作系統上看到專用的登錄界面，實現效果如圖8所示。

圖8 虛擬機Window Server 2012R2登錄界面

用戶輸入用戶名點擊登錄按鍵后，彈出提示框，提醒用戶將手指放在指靜脈儀上采集手指靜脈圖像。通過采集到的用戶手指靜脈圖像特征值進行用戶身份的認證，那這樣的身份認證過程就不需要再記憶密碼和輸入密碼了。如圖9所示。

圖9 虛擬機Window Server 2012R2指靜脈采集提示界面

3 安全性分析

基于指靜脈識別的身份認證方案可有效地抵御賬戶風險和內部攻擊風險。

1) 帳戶風險。它可分為兩種：

(1) 外部攻擊。本方案中通過外部攻擊非法登錄云服務器，需要攻擊者使用假的生物特征，但由于指靜脈幾乎無法偽造，而且是人體活體特征，顯然非法登錄服務器的概率要比傳統用戶名和密碼的方式要小很多。

(2) 重放攻擊。首先認證服務器和云終端之間的通信是采用HTTPS通信，在認證服務器和每臺云終端內部都默認內置了HTTPS通信所需要的證書。云終端采用封閉系統，不提供對外接口，保證了其通信證書不會被攻擊者獲取到，一定程度保護了認證服務器和云終端之間通信的安全。其次認證服務器和云終端都要同步到一個相同的時間認證服務器或時鐘源，每次認證服務器和云終端的通信消息中都會包含系統當前時間，無論是云終端還是認證服務器都會計算接收到消息的時間與消息中附加時間的差距，通過判斷時間差是否在有效范圍內來驗證消息的合法性。所以，本方案可以可以很好地抵御重放攻擊。

2) 云計算的內部攻擊風險。內部攻擊是指合法用戶在已登錄虛擬機的情況下，對系統實施非法攻擊的行為，它是云計算下合法用戶的不合法操作所引起的，在本方案中主要是篡改存儲指靜脈特征的數據庫。為了與查詢特征進行匹配， 需要對預先將用戶的指靜脈特征值進行保存， 攻擊者有可能對保存模板的數據庫進行篡改。在本方案中認證服務器上在物理上與用戶虛擬機進行隔離，并對認證服務器進行嚴格的安全策略控制。而且用戶虛擬機都是在云中，可對它們進行監控并及時采取相應的措施，所以將數據庫部署在認證服務器上是安全的，可有效地抵御云計算的內部攻擊風險。

資源的虛擬化和共享是云計算的根本，但是，這種共享并不是沒有代價的。最為典型的代價就是安全上的不足。如當物理主機內存被一臺虛擬機使用后又被重新分配給另一臺虛擬機時，可能會發生數據泄露。攻擊者可以利用一臺虛擬機在很長一段時間內攻擊相同主機的其他虛擬機，因為虛擬機之間的流量無法被標準IDS/IPS軟件程序所檢測。

事實上，通過單一的技術手段來保證云計算的安全是很難實現的，還需要法律和監管的介入，才能夠建立起完整有效的安全體系。

4 結 語

本文提出的基于指靜脈識別技術的云計算安全身份認證方案， 相比傳統的口令認證和智能卡認證，可有效解決密碼易遺忘、 盜竊或泄露風險，可顯著提高云計算對云用戶身份認證的安全性。這種方式的主要特色在于使用不可偽造的且唯一的生物特征指靜脈作為用戶身份的唯一標志，進一步提高了在公開信道上訪問云計算資源的安全性。針對當前云計算的發展，由于用戶信息和數據是通過固定密鑰加密后存儲在云中，如果該密鑰被破解，有可能用戶的帳戶信息就會被泄露。因此該方案還有進一步完善之處，比如將指靜脈圖像特征做為主體身份的加密技術，利用該技術對用戶信息和數據進行加密處理后再存儲和傳輸，能夠起到一定的保護作用。

[1] 王帥,常朝穩,魏彥芬.基于云計算的USB Key身份認證方案[J].計算機應用研究,2014,31(7):2130-2134.

[2] 劉建華,劉意先.基于指紋識別的Windows系統登錄模塊的設計[J].西安郵電大學學報,2009,14(5):77-78.

[3] 曹陽.基于OTP認證方式的云計算安全身份認證[J].宜賓學院學報,2012(6):81-83.

[4] 魏紅宇.海洋環境信息云計算身份認證技術研究[D].中中國海洋大學,2011.

[5] 賈如春.基于云計算聲紋身份認證安全體系的設計與研究[J].信息化建設,2015(12):111.

[6] 劉楊.基于iOS的Base64和3DES加密的研究和實現[J].計算機安全,2012(12):28-33.

[7] 齊鵬,李隱峰,宋玉偉.基于Python的Web數據采集技術[J].電子科技,2012,25(11):118-120.

[8] 肖賓杰.基于獨立成分分析的指靜脈識別研究[J].電子測量與儀器學報,2012,26(10):841-845.

AUTHENTICATIONSCHEMEOFCLOUDCOMPUTINGSECURITYBASEDONFINGERVEINIDENTIFICATION

Yang Xiong

(ZhichengCollege,FuzhouUniversity,Fuzhou350002,Fujian,China)

With the popularization and large-scale application of cloud computing environment, the security of system data based on cloud computing environment is particularly important, and cloud authentication is also the first place in the whole security field. Aiming at the current security requirements of cloud computing, this paper proposes an identity authentication scheme for cloud computing based on finger vein recognition technology. In the specific implementation, the windows login model and finger vein authentication method of security have combined to improve the security of user authentication. The realization of the prototype system based on the authentication scheme shows that the scheme has certain feasibility and usability.

Cloud computing Finger vein Cloud computing security

TP3

A

10.3969/j.issn.1000-386x.2017.10.058

2016-10-27。楊雄，工程師，主研領域：嵌入式應用，云計算。