户能确 信他 的每 一次 的操作 都成 功 了。
享一个通信密钥 ； Ｋ 协议是以公共密钥加密技术 Ｐ Ｉ 为 基 本 技 术 手 段 来 实 现 安 全 性 的 技 术 ， 支 持 其 Ｓ Ｔ、Ｓ 、 Ｅ Ｓ Ｌ 电子证书和数字签名等 ， 并可对收发双 方进 行认 证 。
本 文在 Ｓ Ｔ协议 基础 上提 出了一 种基 于 指纹 Ｅ
特征值 ， 在密钥协议 支持下与服务器端进行通信 ，
２ １ 年 ８ 中国制造业信息化 ０１ 月
数 据都 是在 加密 中进行 的 ， 这样 既 防止 了网络上 黑
第４卷 ０
第 ｌ 期 ５
认证 时 问平 均 需 要 １ ｓ 协 议 认 证 时 间 越短 ， 明 ５（ 表
客 的非 法行 为 ， 防止 了银 行 内部 人员 作案 的可 能 也
率， 随着 协议稳 定运 行后 ， 误码 率 回落到最 低值 ； 在 丢包 率方 面 ， 协议 运 行 到 ２ｓ ， 开始 有 数 据 当 ０后 刚 丢失 ， 随着 协议 稳 定 运行 ， 据 丢失 量 稳 定在 每 秒 数 ７ ｂｔ ２ｉ 。从 以上 的仿 真 结 果 分 析 ， 文 的协 议 能 够 本 用 于银 行 的终 端用 户 的操作 。
ｅ指 纹管理 模 块 ： ． 该模 块 存 在 于 服务 器 端 ， 主 要是 录入 、 新 、 除 用 户 的 更 删 以及 有关 的查 询处 理等 。 ｄ 服 务 器 端 身份 认 证模 块 ： 户 开 户 时 ， 用 ． 用 调 指纹管理模块 ， 将该 用户 的指纹信 息存人数据库 中， 以后 若接 到 用 户 端 身份 认 证 请 求 时 ， 就用 保 留 的私有 密钥 ｓｋ解 出加 密 的指 纹 特 征值 和用 户 号 ｇ Ｉ Ｄ等 ， 然后 根据 Ｉ 从数 据库 里查 出该 用户 的指纹 Ｄ 模板 ， 用 匹配 函数 来 确 认 用 户 身 份 ， 了 防 止 网 调 为 络上 的欺 骗 ， 务 器 端 对 用 户 端 进 行 着 绝 对 的控 服 制， 一旦 发现 用 户端 出现 问题 ， 统 就 能够 及 时禁 系 止该 用户 的操作要 求 。 号 、 纹特征值 ， 指
一
密钥协议与密 钥管理
图 ２ 银 行 储 蓄 网 络 系统 结 构 图
该 系统 分 为 用户 端 和 服 务 器 端 。用 户 端 由指 纹传 感器 、 征 提 取模 块 、 纹 接 口模 块 和 客 户 端 特 指 身份 认 证模 块组 成 ； 服务 器 端 由指 纹 管 理 模 块 、 数
１ 基 于 指 纹 认 证 的 银 行 储 蓄 网 络 系
统 结构 及 硬件 结构
１ １ 指 纹 认 证银 行 储 蓄 网络 系统 的 硬 件 结 ．
构 指纹认 证储 蓄 系统 由指纹传 感器 、 用户 或柜 台 端计 算 机 、 服务 器 等 组 成 。 户 时 ， 户 从 小 键 盘 开 用
有有 效 的方法 予 以解 决 ， 这就 确保 了 Ｒ Ａ 算 法 的 Ｓ
安全 性 ； 而私密 秘钥 的安 全性也 是基 于复 杂 的数 学 运算 。 指 纹认 证 与混 合 加 密 的协 议 既 能保 证 用户 的 操作 账 户安全 ， 能 防 止 内部 人 员作 案 ， 又 它具 有 以
２１ ０ １年 ８月 中 国制 造业信 息化
第４ ０卷
第 ｌ ５期
基于 指 纹 认 证 与 混合 加 密 的 网络 身份 认 证 协 议 的设 计 与 实现
朱 丽娟
（ 海建桥 学 院 信 息技 术系 ， 上 上海
２ １ １） ０ ３９
摘要 ： 认证协议是 身份认证 系统最关键 的部分。研 究和设计 系统认证协议 ， 是保证 网络安全通信 的必要条件 。设计 了一种基于指纹认证 与混合加 密的 网络 身份认证协议 ， 该协议的特点是通过
下 的几 个特征 ：１ 只有 录 入 指纹 和输 入 用 户号 的 （） 用 户才 能操作 自己 的帐户 。（ ） 个用 户输入 用户 ２每
号 的错 误次数 不得 超过 ３次 。 （ ） ３ 用户 之间不 能相
互 操作 。 （） ４ 任何 人 不 能 窃取 用 户 的 帐户 。（ ） ５ 用
和用户 端建 立 了安全 连接 。
２ 认 证 协议 的 设计
２ １ 协 议 的 环 境 ． ａ指 纹传 感器 、 征提 取模块 、 ． 特 指纹接 口模块 ： 采集 用 户指纹 ， 取特 征值 。 提 ｂ 客户 端身 份认 证模 块 ： ． 当用 户端 和服 务器 端 建立 了连接 以后 ， 就要 对 当前 用户 的有 效身 份进 行 认证 ， 因此调 用 指纹接 口模 块得 到 当前 用户 的指 纹
２ ２ 协 议 的 描 述 ．
ａ 当用户 端与 服务 器端 建立好 连 接 以后 ， ． 就要 求用户在指纹传感器上录人指纹 ， 并通过小键盘输 入用 户 Ｉ 此时 ， Ｄ。 客户 端身 份认 证模 块调 用指 纹接
身份认证系统 （ 服务器端） 管理之下 ， 未通过身份认
证 的用 户 不 能 要 求 相 应 的存 款 、 款 和 转 帐等 操 取
作 。为增强系统安全性 ， 在用户端和服务器之 间传 输 的数据 ， 如指纹特征值要经过加密 。 该 系统 的结构 Ｌ 如 图 ２所 示 。 ４ Ｊ
用 户端 服务器
口模块 ， 得到指纹特征值 Ｆ和用户号 Ｉ Ｄ。
ｂ服 务器 认 证 端 产 生 公 开 密 钥 ｒｋ和 私 有 密 ． ｇ 钥 ｓｋ 并将 ｒｋ发 回到客 户端 ， ｇ， ｇ 自己保 留 ｓｋ ｇ。
大整 数 因子分解 问题 是数 学上 的著名 难题 ， 至今 没
需要交换的所有信息 的格式和这些信息发生的次
序 以及 消息 的语义 。 常 用 的身 份认 证协 议 有 Ｓ Ｌ协 议 、 Ｅ 协议 、 Ｓ ＳＴ
Ｋｅｂｒｓ 议 和 Ｐ 协 议 … ｒｅｏ 协 ＫＩ １。其 中 ，Ｓ Ｓ Ｌ协 议 是 由 Ｎｅｓａｅ 司设 计 开 发 ， 于 实 现 浏 览 器 和 服 ｔ ｐ公 ｃ 用 务 器之 间 的安全 通 信 ， 使 用 的是 ＲＳ 数 字 签 名 其 Ａ 算 法 ；Ｅ Ｓ Ｔ协议 于 １９ ９ ７年 ６月正 式发 布 ， 目前 国 是 际通用 的 网上 支付 标 准 ， 采 用 Ｒ Ａ 公 开 密 钥 体 其 Ｓ
・
计算 技 术 ・
朱 丽娟
基 于指 纹认 证 与混合 加密 的 网络 身份认 证协 议 的设计 与 实现
４ ５
输入用户 号 ， 并在指纹传感器上录入 自己要使 用 的指 纹 。 系统 的拓扑 结构 Ｅ ￣ｌ １ 示 。 ３ 图 所 Ｊ
服务器端
即指纹特征值与用户 号等被加密传送 到服务 器端 的指 纹管 理模 块 。
平 ； 合加 密指 的是利 用公 钥密码 与私 钥密 码体制 混 相结合 的方 法 ， 中公钥 密 码 采 用 的是 Ｒ Ａ 公 钥 其 Ｓ 加密 算 法 ， 钥 密 码 采 用 的 是 ＩＥ 算 法 。Ｒ Ａ 私 Ｄ Ａ Ｓ 的安 全性 是基 于大整 数 因子分解 的数 学 困难性 ， 而
ｇ 以后的客户端 和服务器之间的通信都是用 ．
这个 会话 密 钥 加 密 ， 用 户 在 规 定 时 间 内没 有 动 若
作， 则会话密钥过期 ， 需要重新验证身份 。这部分
工 作 源自文库密钥 管理 模块 来完 成 。
３ 认 证 协议 的分 析
客 户端 在与 服务器 端 相互认 证 的过程 中 ， 一切
使 用公钥 密码 与私钥 密码 相 结合 的 方 法 ， 启 用会 话 密钥 来 保证 用户 在 网络 上 能够 安 全地 操 作 并 自己的账 户， 同时还 可 以有效 地 防止 黑客 的攻 击和 内部 人 员的作 案 ， 而 绝 对保 障 用户 的合 法权 从
益。
关键 词 ： 指纹认 证 ； 混合加 密 ； 身份认 证 协议 中图分类 号 ： Ｐ ９ ．８ Ｔ ３３ １ 文献 标识 码 ： Ｂ 文章 编号 ：６ ２—１ １ （０ １ １ １７ ６ ６ ２ １ ）５—０ ４ —０ ０４ ３
性 。该 认证 协议 是绝对 安 全 的 ， 因为该 协议 的安 全
协议 接入 越快 ）在误 码率 方面 ， ； 协议 刚刚 开始运 行
期间， 即在 ０ 到 １ ｓ 间 ， 议 会 出现 一 定 的误 码 ｓ ９之 协
性 得到 了以下几 点 的支持 ： ａ会 话 密钥 的随机 产生 。 ．
身份认 证是 通 过 复 杂 的 身份 认 证 协 议来 实 现 的。身份 认证 协议 是一种 特殊 的通 信协议 ， 它定义 了参 与认 证服务 的所 有 通 信 方在 身 份 认 证 过程 中
银行 储 蓄系统 ， 以使 得 整 套 系统 性 能 优 化 ， 可 工作
可靠， 能有效、 方便、 安全地提高银行储蓄业务的水
一 咀 塑 竺 竺 璧 翌
图 １ 系 统 拓 扑 结 构 图
１ ２ 指 纹 认 证 银 行 储 蓄 网络 系统 结 构 ．
在 网络环 境 下 ， 纹 模 板 及 相 关 的用 户 认 证 、 指 注册 信 息都保 存 在 一个 远 程 服 务 器 （ 主行 ） 安 全 的 数据库 中 ， 户 （ 支行 、 用 各 各储 蓄所 或家 中 ） 果 想 如 要访 问远 程 服务 器所 管理 的信 息资 源 ， 首先必 须通 过指 纹身 份认 证 。所 有 的信 息 资源 访 问权 限 都 在
认证和混合 加密 的网络身份认证 体制ｌ ： ２ 指纹认 ｊ
证 是成 熟 的生物认 证技 术之 一 ， 指纹 认证 应用 于 将
收 稿 日期 ：０ １ ０ —１ ２ １ ６ １
基金项 目： 上海市计算机科学 和技术本科教育高地建设资助项 目（ ２ ０ ０ ） ＧＤ Ｃ ２ ６ 作者简介 ： 朱丽娟 （９ ８ ， ， １ ７ 一） 女 安徽安庆人 ， 上海建桥学院讲师 ， 士， 硕 主要研究方向为数据加密 、 网络通信 。
指纹接 口模 块
ｄ服 务器 端认 证模 块接 收 到请 求 后 ， 判 断请 ． 先
认证
协 议
服务 器端 身份 沃证模 块
求是 否过 期， 没有 过期 ， 若 则用保 留的私有密 钥 ｓｋ对 ｒｋ（ ， Ｉ Ｅ ｇ ｇ Ｆ，Ｄ ＡＫ） 进行 解 密 ， 到 ， 得 Ｆ
和 ＩＥ Ｄ ＡＫ， 再次 计 算 校 验 Ｃ， 果 匹配 的话 ， 根 如 就 据 ｍ 到数据 库 中查 出该 用户 指 纹模 板 ， 断 其 与 判 Ｆ是 否 匹配 。若 匹 配 ， 则认 证 成 功 ， 为该 用 户 分 配
个会 话 密钥 ， 否则 终止 协议 。
ｅ分 配给用 户 的会话 密钥 ， 用客 户端 传 过来 ． 先
据库和服务器端身份认证模块组成 。
的 Ｉ Ｅ Ｋ 加密 ， ＤＡ 再传回客户端。 ｆ客户端 收 到这个 加 密 的会 话 密钥 后 ， 其密 ． 用 钥 Ｉ Ｅ Ｋ 解密， ＤＡ 获得会话 密钥 ， 从而在服务器端
制对通 信 双方 进行 认证 ， 要传 输 的信 息采 用 对 Ｄ ＳＢ ４ Ｅ 、 Ｃ 等对称加密体制 ， 并用 Ｈ ｓ 算法来鉴别 ａ ｈ 消息 的真伪 和有 无被 篡改 ； ｒｅｏ 协议 是 基 于可 Ｋｅｂｒｓ
信赖 的第 三方 ， 提供 了一种 在 开放式 网络 环境 下进 行 网络通 信方之 间相 互 的身份认 证 方法 ， 其采 用对 称密 码体 制 ， ｒｅ ｓ Ｋｅｂｒ 认证 服务 器 和每 一个 用 户共 ｏ
ｅ客户端调用 Ｉ Ｅ ． Ｄ Ａ算法 ， 产生一个用户密钥
特征提取模块 特征提取 模块
Ｉ Ｅ Ｋ ， ｒ ｋ加 密 Ｆ， 和 Ｉ Ｅ Ｄ Ａ 用 ｇ Ｄ ＡＫ 后 ， 同一 再
个时间 戳 Ｔ、 验 Ｃ 组 成 一 个 认 证 的 请 求 （ 校 Ｔ，
ｒｋ（ ， Ｉ Ｅ Ｋ ） Ｃ） 送给 服务 器 。 ｇ Ｆ，Ｄ Ａ ， 发