試論指紋識別技術(shù)在電子商務(wù)安全認(rèn)證中的運(yùn)用

鄭祎

摘要：近幾年內(nèi)，隨著國內(nèi)社會經(jīng)濟(jì)的快速發(fā)展，電子商務(wù)行業(yè)同樣在迅猛發(fā)展。然而，在電子商務(wù)不斷發(fā)展過程中面對著嚴(yán)峻的安全性挑戰(zhàn)，此是限制電子商務(wù)做大做強(qiáng)的主要因素之一。隨著生物技術(shù)的日益創(chuàng)新發(fā)展，指紋識別技術(shù)逐漸被運(yùn)用于電子商務(wù)領(lǐng)域，其可以有效避免“用戶+密碼”的認(rèn)證方式所存在的安全隱患。基于此，本文就指紋識別技術(shù)在電子商務(wù)安全認(rèn)證中的運(yùn)用進(jìn)行深入的研究。

關(guān)鍵詞：指紋識別技術(shù);電子商務(wù);安全認(rèn)證

1、引言

在互聯(lián)網(wǎng)普及率不斷提高的環(huán)境下，國內(nèi)電子商務(wù)行業(yè)快速、穩(wěn)定發(fā)展。相關(guān)數(shù)據(jù)顯示：2019年，我國的網(wǎng)絡(luò)零售總額為19.52萬億元，占社會總零售額的24.7%;截至2019年，國內(nèi)移動電子商務(wù)的用戶規(guī)模已經(jīng)達(dá)到7億人。在此背景下，人們對電子商務(wù)的安全性提出了更高的要求，將指紋識別技術(shù)運(yùn)用于電子商務(wù)安全認(rèn)證中，有利于確保電子商務(wù)交易的安全性。

2、指紋識別技術(shù)簡介

指紋，因為其有著終身不變性、方便性以及唯一性等特征，已基本上成為生物特征識別的代名詞。所謂“指紋識別”，主要是指通過對指紋的不同細(xì)節(jié)特征點(diǎn)進(jìn)行對比來開展鑒別。指紋識別技術(shù)，主要涉及模式識別、圖像處理、數(shù)學(xué)形態(tài)學(xué)、計算機(jī)視覺以及小波分析等諸多學(xué)科。因為所有人的指紋都是不同的，所以指紋可應(yīng)用于身份鑒定。

3、當(dāng)前電子商務(wù)環(huán)境下的身份認(rèn)證方式

伴隨互聯(lián)網(wǎng)的迅速普及、應(yīng)用，圍繞電子商務(wù)而形成的網(wǎng)上購物、網(wǎng)上商場、網(wǎng)上交易、網(wǎng)上國際貿(mào)易以及網(wǎng)上服務(wù)等都得到了快速的發(fā)展。但是，在虛擬化的網(wǎng)絡(luò)環(huán)境下，如何對用戶的真實(shí)身份進(jìn)行確認(rèn)，是制約網(wǎng)絡(luò)應(yīng)用的主要因素之一;信任與安全問題也就成為了影響以上活動有序開展的障礙，身份認(rèn)證是確保網(wǎng)絡(luò)安全的首要屏障，是信息化時代備受人們重視的領(lǐng)域。在電子商務(wù)運(yùn)行過程中，商務(wù)文本的形成、傳遞、確認(rèn)、生效以及實(shí)施等環(huán)節(jié)可能會遇到各種問題，比如完整性、保密性、抗抵賴、身份認(rèn)證等方面的問題，此嚴(yán)重影響了國內(nèi)電子商務(wù)行業(yè)的高質(zhì)量發(fā)展。

從2005年4月1日開始，國內(nèi)首部《電子簽名法》正式執(zhí)行，進(jìn)而為電子商務(wù)的發(fā)展提供了強(qiáng)有力的法律保障。當(dāng)前，電子銀行的安全體系主要依賴于用戶“賬號+密碼+CA數(shù)字證書”。反病毒專家指出：雖然網(wǎng)上銀行已經(jīng)采取了各式各樣的安全防范機(jī)制，比如：防火墻、CA數(shù)字證書、入侵檢測等等，從理論方面來看是比較安全的，但是此種安全機(jī)制主要運(yùn)用于服務(wù)器中，對于客戶端的安全并未引起重視。所以，很多與“網(wǎng)銀大盜”相似的病毒均是通過客戶端來盜取用戶的賬號與密碼，進(jìn)而盜取該用戶的銀行資金。賬號、密碼屬于比較私密的信息，理應(yīng)為用戶一人所有，然而事實(shí)上其卻是能夠被復(fù)制或者傳播的，無論此種傳播是無意的、還有有意的。CA數(shù)字證書的盜取難度比較大，但是依然無法阻擋物理方面可接觸此證書的非法攻擊又或是黑客攻擊。如果非法人員盜取了用戶的賬號、密碼以及CA數(shù)字證書以后，網(wǎng)上銀行針對交易系統(tǒng)所設(shè)置的安全機(jī)制就“形同虛設(shè)”，在事后審計過程中也難以確定交易人員的實(shí)際身份。所以，“賬號+密碼+CA數(shù)字證書”機(jī)制事實(shí)上難以防范他人的非法授權(quán)或者非法竊取。伴隨黑客工具與網(wǎng)絡(luò)病毒的日益泛濫，網(wǎng)上銀行將面對更大的安全挑戰(zhàn)。電子商務(wù)環(huán)境下，網(wǎng)上銀行最應(yīng)考慮的就是如何確保客戶端的安全性。

當(dāng)前，網(wǎng)上支付的身份認(rèn)證大多數(shù)依然是通過“用戶ID+密碼”的形式來實(shí)現(xiàn)，有些還增加了“USB KEY”等數(shù)字簽名技術(shù)。因為賬號信息容易遺忘、丟失、甚至是被盜取，給用戶帶來了非常多的困擾，所以如何確保電子商務(wù)交易的安全性、創(chuàng)建完善的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)，使得其可以妥善化解以往的用戶口令個人身份認(rèn)證形式所存在的驗證密碼容易被盜取的問題，是未來電子商務(wù)行業(yè)想要得到“又快、又好”發(fā)展亟待解決的問題。

4、指紋識別技術(shù)在電子商務(wù)安全認(rèn)證中的運(yùn)用

4.1 指紋識別技術(shù)的運(yùn)用原理

（1）采集指紋圖像

光學(xué)錄入技術(shù)，是既成熟又古老的指紋錄入技術(shù)，僅需將手指擺放于臺板（通常是由加膜的玻璃制作而成）上，就可自動完全手指圖像的采集。隨著技術(shù)的不斷發(fā)展，該設(shè)備的尺寸不斷變小，價格也更加的便宜。芯片錄入技術(shù)，使用以芯片為基礎(chǔ)的傳感器，其面積非常小，使用者直接將手指擺放在硅芯片的表面來完成指紋圖像的采集。超聲波錄入技術(shù)已經(jīng)形成多年，然而其應(yīng)用范疇卻比較小。將手指擺放于玻璃臺板上，超聲波掃描開始后就會聽到蜂鳴聲并且還可以感到微微的震動。因為利用了聲波，所以在采集圖像時，手指無需直接接觸臺板。

（2）解碼

在采取以上方法取得相應(yīng)的指紋圖像以后，就需要對圖像進(jìn)行解碼，則需對圖像特征加以提取、分析。指紋的基本特點(diǎn)是嵴、谷和終點(diǎn)、分歧點(diǎn)或者分叉點(diǎn)等等，所有指紋都具有可測量的特征點(diǎn)，各特征點(diǎn)大概有7個特征，10個手指至少有4900個獨(dú)立的、可用于測量的特征點(diǎn)，足以確保指紋識別的可靠性。

（3）比對與匹配

在提取到指紋圖像的特征值以后，就可以根據(jù)其特征值與數(shù)據(jù)庫中現(xiàn)有的指紋圖像特征開展對比、匹配。在此過程中，快速、可靠的算法是極其重要的，如何針對殘缺圖像實(shí)施匹配、傷疤等相關(guān)處理都需算法技術(shù)提供支持。雖然指紋僅僅是人體皮膚的極小部分，然而可用于識別的數(shù)據(jù)量卻非常多，對這部分?jǐn)?shù)據(jù)開展比對也并非是單純的相等和不相等問題，而需采用模糊匹配算法。隨著現(xiàn)代電子集成制造技術(shù)的不斷成熟，使得人們可以生產(chǎn)規(guī)格更加小的指紋圖像讀取設(shè)備。除此以外，在匹配算法可靠性進(jìn)一步加強(qiáng)的前提下，指紋識別技術(shù)有著更加廣闊的運(yùn)用范疇。

4.2 指紋識別技術(shù)在身份認(rèn)證系統(tǒng)中的運(yùn)用

指紋識別技術(shù)在身份認(rèn)證系統(tǒng)中的運(yùn)用，可提高整個電子商務(wù)系統(tǒng)的安全性，可精準(zhǔn)識別被認(rèn)證者的真實(shí)身份信息;可以確定實(shí)現(xiàn)簽名認(rèn)證的責(zé)任;可以確保數(shù)據(jù)傳遞與儲存的安全性。以指紋識別技術(shù)為基礎(chǔ)所設(shè)計的電子商務(wù)身份認(rèn)證系統(tǒng)為：客戶端在成功通過指紋身份認(rèn)證以后，才能夠訪問遠(yuǎn)程服務(wù)器內(nèi)所儲存的信息資源，全部的信息資源訪問權(quán)限都在身份認(rèn)證系統(tǒng)的控制下;如果用戶在客戶端并未通過指紋的身份認(rèn)證，則其就沒有權(quán)限對信息資源進(jìn)行訪問。為提高系統(tǒng)的安全性，在服務(wù)器端與客戶端間傳遞的任何數(shù)據(jù)包，比如指紋模板、服務(wù)器反饋的信息、用戶的訪問請求等都應(yīng)進(jìn)行加密處理。

指紋識別技術(shù)的身份認(rèn)證具體流程如下：首先，用戶在注冊過程中需要在認(rèn)證服務(wù)器中留下自身的指紋模板與數(shù)字簽名。在客戶端通過自身的數(shù)字簽名向服務(wù)器發(fā)出認(rèn)證請求;認(rèn)證服務(wù)器對其進(jìn)行加密處理后再發(fā)送給發(fā)出請求的客戶端;用戶在客戶端接收到認(rèn)證服務(wù)器發(fā)出的認(rèn)證時限與認(rèn)證服務(wù)器公鑰以后，將指紋傳感器所收集到的指紋通過指紋預(yù)處理以后，將提取到的指紋特征模板與認(rèn)證服務(wù)器所發(fā)送的信息進(jìn)行加密后再發(fā)送給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器對接收到的加密信息加以解密，提取指紋特征模板并且將其與認(rèn)證服務(wù)器中用戶實(shí)現(xiàn)留下的指紋特征模板實(shí)施匹配，以判斷用戶的認(rèn)證信息是否準(zhǔn)確。通過指紋身份的認(rèn)證，保障合法用戶在電子商務(wù)活動中信息資源訪問權(quán)限。

4.3 指紋識別技術(shù)在網(wǎng)上支付系統(tǒng)中的運(yùn)用

指紋識別技術(shù)在網(wǎng)上支付系統(tǒng)中的運(yùn)用，有利于確保網(wǎng)上支付的安全性。基于指紋識別技術(shù)的網(wǎng)上支付系統(tǒng)具體過程如下：①用戶在銀行的認(rèn)證服務(wù)器中儲存自身的指紋模板與公鑰，同時將其與用戶的賬戶相互關(guān)聯(lián)起來。②用戶在網(wǎng)上購物進(jìn)行錢款支付時，向銀行的認(rèn)證服務(wù)器發(fā)出認(rèn)證請求，成功通過服務(wù)器的認(rèn)證后，服務(wù)器就會將相應(yīng)的公鑰發(fā)送給客戶端。③用戶在客戶端將填寫好具體的轉(zhuǎn)賬信息（比如：轉(zhuǎn)入賬戶、轉(zhuǎn)出賬戶、金額等等）與指紋傳感器收集的指紋模版，通過數(shù)字簽名加密處理后再發(fā)送給銀行服務(wù)器。④服務(wù)器按照用戶提供的公鑰加以解密，提取解密后的指紋模板與賬戶相關(guān)聯(lián)的指紋模板進(jìn)行比較、匹配，如果可以成功匹配，才會進(jìn)行轉(zhuǎn)賬業(yè)務(wù)并且將轉(zhuǎn)帳信息反饋給用戶，否則就會拒絕執(zhí)行轉(zhuǎn)賬業(yè)務(wù)。

除此以外，還可以利用“指紋USBKey”來妥善解決現(xiàn)有辦法與技術(shù)中存在的問題，能夠幫助用戶完成好各個銀行所發(fā)行個人證書的管理（當(dāng)前，用戶主要是通過密碼、口令的形式來開啟自己的網(wǎng)銀數(shù)字證書，進(jìn)行數(shù)字簽名）。用戶通過認(rèn)證指紋來開啟數(shù)字簽名器，只有通過指紋認(rèn)證才可以完成數(shù)字簽名，使得用戶不再受記憶口令或者丟失口令的困擾，并且還加強(qiáng)了數(shù)字簽名的安全性。在“指紋USBKey”中，能夠保存用戶的個人信息、賬本信息以及交易記錄等，通過指紋來完成訪問，有利于個人的管理;在“指紋USBKey”中，還可集成高性能的CPU，內(nèi)部可嵌入RSA加密算法與指紋識別算法，數(shù)據(jù)加密保存、指紋比較匹配等工作都在系統(tǒng)內(nèi)部完成，盡可能降低對電腦的依賴性，避免黑客入侵，大大提高整體系統(tǒng)的安全性。此外，“指紋USBKey”還應(yīng)當(dāng)具有以下多種功能：第一，數(shù)字簽名的指紋保護(hù)，通過指紋來保護(hù)用戶的證書與密鑰，從而實(shí)現(xiàn)對用戶數(shù)字簽名的保護(hù);第二，多指紋存儲，所有用戶都能夠保存多個指紋，防止由于個別手指受到傷害，設(shè)備無法正常使用;第三，數(shù)據(jù)加密指紋保護(hù)，通過指紋來保護(hù)加密密鑰，用戶唯有成功通過指紋認(rèn)證才可以實(shí)現(xiàn)對文件的加密和解密，從而實(shí)現(xiàn)保護(hù)重要文件和數(shù)據(jù)的目標(biāo);第四，指紋管理功能，主要包含采集指紋、保存指紋、指紋對比、指紋刪除、導(dǎo)出指紋模板、對儲存的指紋實(shí)施操作管理等等。

5、結(jié)論

綜上所述，在信息技術(shù)快速發(fā)展的當(dāng)下，電子商務(wù)作為資金鏈、商品流、物流的統(tǒng)一體，其安全性已引起社會各界人士的高度重視。指紋識別技術(shù)在電子商務(wù)領(lǐng)域中的運(yùn)用有諸多優(yōu)勢，當(dāng)前指紋識別技術(shù)主要運(yùn)用于電子商務(wù)的身份認(rèn)證系統(tǒng)、網(wǎng)上支付系統(tǒng)中。未來，隨著指紋識別技術(shù)的日益成熟，其在電子商務(wù)領(lǐng)域必定會有更廣泛的運(yùn)用，從而保障電子商務(wù)交易的安全性。

參考文獻(xiàn)：

[1]程元棟.指紋識別技術(shù)在電子商務(wù)認(rèn)證系統(tǒng)中的應(yīng)用[J].中國高新技術(shù)企業(yè)，2008（19）：152+160.

[2]謝信琦.指紋識別技術(shù)與電子商務(wù)認(rèn)證應(yīng)用研究[J].甘肅科技縱橫，2008（05）：26-27.

[3]黃健青，劉磊.指紋識別技術(shù)在電子商務(wù)認(rèn)證系統(tǒng)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，000（003）：50-51.