摘  要： 計算機網(wǎng)絡(luò)安全問題已經(jīng)越來越備受人們的關(guān)注，網(wǎng)絡(luò)身份認(rèn)證是網(wǎng)絡(luò)安全的首要門檻，且網(wǎng)絡(luò)安全體系是以有效的身份認(rèn)證為基礎(chǔ)的。對網(wǎng)絡(luò)身份認(rèn)證的過程進(jìn)行研究，首先簡要介紹網(wǎng)絡(luò)身份認(rèn)證的概念和技術(shù)，分析傳統(tǒng)身份認(rèn)證技術(shù)的缺陷，結(jié)合網(wǎng)絡(luò)安全的傳輸加密體制，研究基于人臉特征的網(wǎng)絡(luò)身份認(rèn)證技術(shù)，并給出該認(rèn)證系統(tǒng)的體系結(jié)構(gòu)和步驟。

　　關(guān)鍵詞： 網(wǎng)絡(luò)身份認(rèn)證；人臉特征；認(rèn)證技術(shù)；加密

0 引言

　　隨著信息技術(shù)的普及與發(fā)展，網(wǎng)絡(luò)安全成為目前信息系統(tǒng)應(yīng)用的重要研究領(lǐng)域，這其中涉及一個重要問題：如何確定用戶身份以控制其對信息資源的訪問，即網(wǎng)絡(luò)身份認(rèn)證。無論是數(shù)據(jù)加密、入侵檢測系統(tǒng)、虛擬專用網(wǎng)（VPN）、訪問控制或其他網(wǎng)絡(luò)安全技術(shù)，都需以有效的身份認(rèn)證為基礎(chǔ)。網(wǎng)絡(luò)身份認(rèn)證（Network Identity Authentication），全稱虛擬身份電子標(biāo)識，它是用于在互聯(lián)網(wǎng)信息世界中標(biāo)志用戶身份的工具，主要用于在網(wǎng)絡(luò)通信中對通信雙方進(jìn)行身份識別和表明自己身份或某種資格。

　　身份認(rèn)證解決的是“我是誰”的問題，通常對系統(tǒng)的要求是“寧錯勿漏”，有效鑒別用戶身份，防止非法用戶訪問網(wǎng)絡(luò)資源，是網(wǎng)絡(luò)安全體系中的第一道屏障[1]。當(dāng)待認(rèn)證主機向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)出認(rèn)證請求，待服務(wù)器查詢身份信息的真?zhèn)魏?，對主機做出相應(yīng)的反饋信息，若通過則允許其訪問相應(yīng)的應(yīng)用系統(tǒng)服務(wù)器，否則拒絕，從而實現(xiàn)對不同網(wǎng)絡(luò)身份用戶的訪問控制。

1 傳統(tǒng)身份認(rèn)證的分類與問題

　　假設(shè)通信的雙方分別是用戶A和用戶B，當(dāng)A與B進(jìn)行網(wǎng)絡(luò)通信時，用戶A在向用戶B證明自己的身份的同時，A也必需能夠確認(rèn)B的身份，即一個安全的身份認(rèn)證方案至少需滿足以下兩個條件：

　?。?）A向B證明自己的確是A。當(dāng)A向B證明了自己的身份之后，B得不到任何用于模仿A的信息，且B無法向第三方聲稱自己是A。

　　（2）B向A證明自己的確是B。A得不到任何用于模仿B的信息，且A無法向第三方聲稱自己是B[2]。

　　實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證的途徑多種多樣，主流的有以下三類，可采用其中的一種，亦或組合使用，實現(xiàn)有效的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)：

　?。?）采用用戶所知道（掌握）的事物進(jìn)行認(rèn)證。如口令或PIN，目前大多數(shù)的身份認(rèn)證都采用該方法。

　?。?）采用用戶所具有的物品進(jìn)行認(rèn)證。如鑰匙、駕駛證、身份證、信用卡或護(hù)照等。

　?。?）利用本身的特征（或動作）進(jìn)行認(rèn)證。即生物認(rèn)證，一般適用于保密程度較高的場合。

　　基于口令或PIN的認(rèn)證方式僅僅只是依賴于用戶口令的保密性，但由于用戶口令一般較短，較容易猜測，且其在傳輸過程中容易被竊取，因此這種方式不能抵御字典攻擊；基于物品的認(rèn)證由于系統(tǒng)只認(rèn)物品不認(rèn)人，則存在物品丟失、被盜或被復(fù)制的危險，系統(tǒng)的安全性無法保障。當(dāng)前，在一些安全性要求較為嚴(yán)格的系統(tǒng)中，往往將這兩種方法結(jié)合起來，例如使用自助取款機時，銀行要求需同時提供銀行卡和密碼，不過這一方案仍舊存在缺陷：標(biāo)志物品丟失、遺忘密碼或者出現(xiàn)取得身份標(biāo)識的冒充者。為此本文對第三種方式進(jìn)行研究，利用人臉這一生物特征進(jìn)行網(wǎng)絡(luò)身份認(rèn)證。

2 關(guān)鍵技術(shù)的分析

　　人臉識別技術(shù)是一種基于人的面部特征（如眼睛、鼻子、嘴巴和眉毛等重要器官的幾何特征），能夠自動進(jìn)行身份識別的一種生物識別技術(shù)，與其他人體生物特征識別方式相比，人臉與其他的人體生物特征一樣是與生俱來的，它的唯一性和不易復(fù)制性為身份鑒別提供了必要的前提，并且，人臉識別是一種非接觸式的、友好的生物特征識別方式。

　　2.1 生物認(rèn)證的分析與對比

　　基于生物特征識別的網(wǎng)絡(luò)身份認(rèn)證研究是以生物特征識別技術(shù)的研究為基礎(chǔ)的，它受到現(xiàn)有生物特征識別技術(shù)成熟度的影響。生物特征是人類的內(nèi)在屬性，具有較高的穩(wěn)定性，同時也具有個體差異性，因此將生物特征用于網(wǎng)絡(luò)安全和身份認(rèn)證是不錯的選擇[3]。

　　生物特征由生理特征和行為特征兩大部分組成，鑒于生物特征的多樣性，涉及的研究內(nèi)容包括：人臉、指紋、掌紋、虹膜、視網(wǎng)膜、手勢、筆跡等。從進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的實用性與方便性出發(fā)，在所有生物特征中，指紋特征是相對最為穩(wěn)定的識別方式，但錄取指紋具有侵犯性，而人臉特征則具有較多的優(yōu)點（如非侵犯性、友好性等）。

　　如圖1所示，通用的生物認(rèn)證系統(tǒng)包括注冊階段和識別階段。在注冊階段，用戶需利用傳感器將其相應(yīng)的生物特征識別出來，利用中間件轉(zhuǎn)換為數(shù)字化描述，生成相應(yīng)的模板，接著通過相應(yīng)的應(yīng)用程序?qū)⑵浯嫒霐?shù)據(jù)庫（磁卡或者個人智能卡）；在識別階段，用戶需再次利用傳感器進(jìn)行生物特征的識別，轉(zhuǎn)換為數(shù)字格式，將此信息與數(shù)據(jù)庫中的模板進(jìn)行特征匹配，最終對結(jié)果進(jìn)行處理、反饋給用戶。例如采用人臉作為生物特征進(jìn)行認(rèn)證時，傳感器處理的就是用戶的人臉特征圖像，經(jīng)處理生成的數(shù)據(jù)庫為人臉模板[4]。

　　2.2 基于人臉的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)

　　在網(wǎng)絡(luò)環(huán)境下，選擇認(rèn)證方式時，應(yīng)考慮在認(rèn)證過程中對系統(tǒng)性能的影響，滿足系統(tǒng)的可靠性和實用性。

　　本文考慮的是在網(wǎng)絡(luò)環(huán)境下（客戶機/服務(wù)器結(jié)構(gòu)，C/S結(jié)構(gòu)），用戶（即客戶端）若需要訪問遠(yuǎn)程服務(wù)器所管理的信息資源，可在此請求過程中加設(shè)人臉身份認(rèn)證系統(tǒng)，通過對其身份的認(rèn)證使其獲得對網(wǎng)絡(luò)資源的訪問權(quán)限；并且，在此過程中，由人臉認(rèn)證系統(tǒng)（即服務(wù)器）對所有信息的資源訪問權(quán)限進(jìn)行全權(quán)管理控制，未能通過該身份認(rèn)證的用戶則不能對此進(jìn)行訪問。在用戶與認(rèn)證系統(tǒng)之間的一切傳輸數(shù)據(jù)，包括人臉圖像模板、用戶的請求以及服務(wù)器所反饋的信息資源都需進(jìn)行嚴(yán)格的加密處理，保證系統(tǒng)的安全性；同時，還要注意本地數(shù)據(jù)庫的安全性，確保不能造成信息泄露，有關(guān)用戶的注冊信息（包括請求認(rèn)證信息）都應(yīng)當(dāng)保存在一個安全的數(shù)據(jù)庫中，只允許本地進(jìn)程訪問。系統(tǒng)的結(jié)構(gòu)圖如圖2所示。

　　客戶端身份認(rèn)證模塊：（1）人臉傳感器作為本系統(tǒng)的輸入模塊，負(fù)責(zé)對用戶的人臉圖像進(jìn)行采集，用戶在注冊和認(rèn)證階段都需要采集人臉圖像。在注冊階段，該模塊所采集的人臉圖像連同用戶注冊信息全部打包封裝在一起，存入本地數(shù)據(jù)庫中；在認(rèn)證階段則需采集相關(guān)圖像與數(shù)據(jù)庫中的模板進(jìn)行特征匹配。（2）特征提取模塊[5]，介于傳感器所采集的人臉圖像，在對其進(jìn)行特征提取時，該模塊的實現(xiàn)需借助相關(guān)的硬件設(shè)備，并結(jié)合若干進(jìn)程和函數(shù)共同完成。在進(jìn)行特征提取時，對人臉圖像的特征要求需保證圖像的質(zhì)量以及特征矩陣的選擇，可采用主成分分析法（PCA）[6]去除特征圖像中的部分無關(guān)相關(guān)性，結(jié)合支持向量機（SVM）[7]中的相關(guān)封裝函數(shù)包，進(jìn)行特征矩陣的提取工作。

　　服務(wù)器端身份認(rèn)證模塊：（1）人臉管理模塊主要負(fù)責(zé)對采集的人臉模板進(jìn)行存儲、匹配、刪除以及更新，并對數(shù)據(jù)進(jìn)行相關(guān)的查詢處理，其中最關(guān)鍵的是人臉模板的匹配算法與函數(shù)。（2）本地數(shù)據(jù)庫需采用大型數(shù)據(jù)庫，如Sybase、Oracle等[8]。從保證數(shù)據(jù)的安全性出發(fā)，對該數(shù)據(jù)庫的訪問只能是本地進(jìn)程，否則不予處理。此外，還需具備較快的存取速度，以縮短認(rèn)證時間，提高效率。

　　2.3 認(rèn)證流程圖

　　根據(jù)網(wǎng)絡(luò)身份認(rèn)證的原理，用戶在登錄服務(wù)器時，同時進(jìn)行相關(guān)的信息的采集工作，網(wǎng)絡(luò)認(rèn)證系統(tǒng)根據(jù)用戶名判別是否存在該用戶，若存在，則將剛采集的圖像與本地數(shù)據(jù)庫中的特征圖像進(jìn)行匹配，匹配成功后允許訪問應(yīng)用系統(tǒng)服務(wù)器；否則拒絕訪問。所設(shè)計網(wǎng)絡(luò)身份認(rèn)證流程如圖3所示。

3 結(jié)論

　　通過對傳統(tǒng)網(wǎng)絡(luò)身份認(rèn)證的分析，提出對基于生物特征的認(rèn)證系統(tǒng)的研究，關(guān)鍵在于生物特征的個體差異性，且其具有較高的穩(wěn)定性，人臉識別的非侵略性和友好性使其更加優(yōu)越于其他生物特征方式，在保持認(rèn)證系統(tǒng)的時效性和穩(wěn)定性的基礎(chǔ)上，克服傳統(tǒng)身份認(rèn)證的缺陷，進(jìn)一步提高網(wǎng)絡(luò)信息的安全性。對網(wǎng)絡(luò)身份認(rèn)證的進(jìn)一步研究，有助于推動網(wǎng)絡(luò)信息的良性循環(huán)，促進(jìn)信息技術(shù)的向前發(fā)展，具有廣闊的應(yīng)用前景。

　　參考文獻(xiàn)

　　[1] 韓桂明.動態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[J].無線互聯(lián)科技，2012（10）：78.

　　[2] ALI M， AL-KHOURI. Identity and mobility in a digital world[J]. Technology and Investment， 2013，4（1）：7-12.

　　[3] 苑瑋琦，柯麗，白云.生物特征識別技術(shù)[M].北京：科學(xué)出版社，2009.

　　[4] 朱建新，楊小虎.基于指紋的網(wǎng)絡(luò)身份認(rèn)證[J].計算機應(yīng)用研究，2001（12）：14-17.

　　[5] 王志良，孟秀艷.人臉工程學(xué)[M].北京：機械工業(yè)出版社，2008.

　　[6] 王心醉，李巖，郭立紅，等.基于雙向PCA和K近鄰的人臉識別算法[J].解放軍理工大學(xué)學(xué)報（自然科學(xué)版），2010（11）：623-627.

　　[7] 董立峰，阮軍，馬秋實，等.基于不變矩和支持向量機的手勢識別[J].微型機與應(yīng)用，2012，31（6）：32-35.

　　[8] 房曉斌.通信系統(tǒng)設(shè)備管理系統(tǒng)的分析和設(shè)計[J].電子技術(shù)應(yīng)用，2008，34（6）：