摘  要： 計算機網(wǎng)絡安全問題已經(jīng)越來越備受人們的關注，網(wǎng)絡身份認證是網(wǎng)絡安全的首要門檻，且網(wǎng)絡安全體系是以有效的身份認證為基礎的。對網(wǎng)絡身份認證的過程進行研究，首先簡要介紹網(wǎng)絡身份認證的概念和技術，分析傳統(tǒng)身份認證技術的缺陷，結合網(wǎng)絡安全的傳輸加密體制，研究基于人臉特征的網(wǎng)絡身份認證技術，并給出該認證系統(tǒng)的體系結構和步驟。

　　關鍵詞： 網(wǎng)絡身份認證；人臉特征；認證技術；加密

0 引言

　　隨著信息技術的普及與發(fā)展，網(wǎng)絡安全成為目前信息系統(tǒng)應用的重要研究領域，這其中涉及一個重要問題：如何確定用戶身份以控制其對信息資源的訪問，即網(wǎng)絡身份認證。無論是數(shù)據(jù)加密、入侵檢測系統(tǒng)、虛擬專用網(wǎng)（VPN）、訪問控制或其他網(wǎng)絡安全技術，都需以有效的身份認證為基礎。網(wǎng)絡身份認證（Network Identity Authentication），全稱虛擬身份電子標識，它是用于在互聯(lián)網(wǎng)信息世界中標志用戶身份的工具，主要用于在網(wǎng)絡通信中對通信雙方進行身份識別和表明自己身份或某種資格。

　　身份認證解決的是“我是誰”的問題，通常對系統(tǒng)的要求是“寧錯勿漏”，有效鑒別用戶身份，防止非法用戶訪問網(wǎng)絡資源，是網(wǎng)絡安全體系中的第一道屏障[1]。當待認證主機向網(wǎng)絡認證服務器發(fā)出認證請求，待服務器查詢身份信息的真?zhèn)魏螅瑢χ鳈C做出相應的反饋信息，若通過則允許其訪問相應的應用系統(tǒng)服務器，否則拒絕，從而實現(xiàn)對不同網(wǎng)絡身份用戶的訪問控制。

1 傳統(tǒng)身份認證的分類與問題

　　假設通信的雙方分別是用戶A和用戶B，當A與B進行網(wǎng)絡通信時，用戶A在向用戶B證明自己的身份的同時，A也必需能夠確認B的身份，即一個安全的身份認證方案至少需滿足以下兩個條件：

　　（1）A向B證明自己的確是A。當A向B證明了自己的身份之后，B得不到任何用于模仿A的信息，且B無法向第三方聲稱自己是A。

　　（2）B向A證明自己的確是B。A得不到任何用于模仿B的信息，且A無法向第三方聲稱自己是B[2]。

　　實現(xiàn)網(wǎng)絡身份認證的途徑多種多樣，主流的有以下三類，可采用其中的一種，亦或組合使用，實現(xiàn)有效的網(wǎng)絡身份認證系統(tǒng)：

　　（1）采用用戶所知道（掌握）的事物進行認證。如口令或PIN，目前大多數(shù)的身份認證都采用該方法。

　?。?）采用用戶所具有的物品進行認證。如鑰匙、駕駛證、身份證、信用卡或護照等。

　　（3）利用本身的特征（或動作）進行認證。即生物認證，一般適用于保密程度較高的場合。

　　基于口令或PIN的認證方式僅僅只是依賴于用戶口令的保密性，但由于用戶口令一般較短，較容易猜測，且其在傳輸過程中容易被竊取，因此這種方式不能抵御字典攻擊；基于物品的認證由于系統(tǒng)只認物品不認人，則存在物品丟失、被盜或被復制的危險，系統(tǒng)的安全性無法保障。當前，在一些安全性要求較為嚴格的系統(tǒng)中，往往將這兩種方法結合起來，例如使用自助取款機時，銀行要求需同時提供銀行卡和密碼，不過這一方案仍舊存在缺陷：標志物品丟失、遺忘密碼或者出現(xiàn)取得身份標識的冒充者。為此本文對第三種方式進行研究，利用人臉這一生物特征進行網(wǎng)絡身份認證。

2 關鍵技術的分析

　　人臉識別技術是一種基于人的面部特征（如眼睛、鼻子、嘴巴和眉毛等重要器官的幾何特征），能夠自動進行身份識別的一種生物識別技術，與其他人體生物特征識別方式相比，人臉與其他的人體生物特征一樣是與生俱來的，它的唯一性和不易復制性為身份鑒別提供了必要的前提，并且，人臉識別是一種非接觸式的、友好的生物特征識別方式。

　　2.1 生物認證的分析與對比

　　基于生物特征識別的網(wǎng)絡身份認證研究是以生物特征識別技術的研究為基礎的，它受到現(xiàn)有生物特征識別技術成熟度的影響。生物特征是人類的內(nèi)在屬性，具有較高的穩(wěn)定性，同時也具有個體差異性，因此將生物特征用于網(wǎng)絡安全和身份認證是不錯的選擇[3]。

　　生物特征由生理特征和行為特征兩大部分組成，鑒于生物特征的多樣性，涉及的研究內(nèi)容包括：人臉、指紋、掌紋、虹膜、視網(wǎng)膜、手勢、筆跡等。從進行網(wǎng)絡身份認證的實用性與方便性出發(fā)，在所有生物特征中，指紋特征是相對最為穩(wěn)定的識別方式，但錄取指紋具有侵犯性，而人臉特征則具有較多的優(yōu)點（如非侵犯性、友好性等）。

　　如圖1所示，通用的生物認證系統(tǒng)包括注冊階段和識別階段。在注冊階段，用戶需利用傳感器將其相應的生物特征識別出來，利用中間件轉換為數(shù)字化描述，生成相應的模板，接著通過相應的應用程序將其存入數(shù)據(jù)庫（磁卡或者個人智能卡）；在識別階段，用戶需再次利用傳感器進行生物特征的識別，轉換為數(shù)字格式，將此信息與數(shù)據(jù)庫中的模板進行特征匹配，最終對結果進行處理、反饋給用戶。例如采用人臉作為生物特征進行認證時，傳感器處理的就是用戶的人臉特征圖像，經(jīng)處理生成的數(shù)據(jù)庫為人臉模板[4]。

　　2.2 基于人臉的網(wǎng)絡身份認證系統(tǒng)

　　在網(wǎng)絡環(huán)境下，選擇認證方式時，應考慮在認證過程中對系統(tǒng)性能的影響，滿足系統(tǒng)的可靠性和實用性。

　　本文考慮的是在網(wǎng)絡環(huán)境下（客戶機/服務器結構，C/S結構），用戶（即客戶端）若需要訪問遠程服務器所管理的信息資源，可在此請求過程中加設人臉身份認證系統(tǒng)，通過對其身份的認證使其獲得對網(wǎng)絡資源的訪問權限；并且，在此過程中，由人臉認證系統(tǒng)（即服務器）對所有信息的資源訪問權限進行全權管理控制，未能通過該身份認證的用戶則不能對此進行訪問。在用戶與認證系統(tǒng)之間的一切傳輸數(shù)據(jù)，包括人臉圖像模板、用戶的請求以及服務器所反饋的信息資源都需進行嚴格的加密處理，保證系統(tǒng)的安全性；同時，還要注意本地數(shù)據(jù)庫的安全性，確保不能造成信息泄露，有關用戶的注冊信息（包括請求認證信息）都應當保存在一個安全的數(shù)據(jù)庫中，只允許本地進程訪問。系統(tǒng)的結構圖如圖2所示。

　　客戶端身份認證模塊：（1）人臉傳感器作為本系統(tǒng)的輸入模塊，負責對用戶的人臉圖像進行采集，用戶在注冊和認證階段都需要采集人臉圖像。在注冊階段，該模塊所采集的人臉圖像連同用戶注冊信息全部打包封裝在一起，存入本地數(shù)據(jù)庫中；在認證階段則需采集相關圖像與數(shù)據(jù)庫中的模板進行特征匹配。（2）特征提取模塊[5]，介于傳感器所采集的人臉圖像，在對其進行特征提取時，該模塊的實現(xiàn)需借助相關的硬件設備，并結合若干進程和函數(shù)共同完成。在進行特征提取時，對人臉圖像的特征要求需保證圖像的質量以及特征矩陣的選擇，可采用主成分分析法（PCA）[6]去除特征圖像中的部分無關相關性，結合支持向量機（SVM）[7]中的相關封裝函數(shù)包，進行特征矩陣的提取工作。

　　服務器端身份認證模塊：（1）人臉管理模塊主要負責對采集的人臉模板進行存儲、匹配、刪除以及更新，并對數(shù)據(jù)進行相關的查詢處理，其中最關鍵的是人臉模板的匹配算法與函數(shù)。（2）本地數(shù)據(jù)庫需采用大型數(shù)據(jù)庫，如Sybase、Oracle等[8]。從保證數(shù)據(jù)的安全性出發(fā)，對該數(shù)據(jù)庫的訪問只能是本地進程，否則不予處理。此外，還需具備較快的存取速度，以縮短認證時間，提高效率。

　　2.3 認證流程圖

　　根據(jù)網(wǎng)絡身份認證的原理，用戶在登錄服務器時，同時進行相關的信息的采集工作，網(wǎng)絡認證系統(tǒng)根據(jù)用戶名判別是否存在該用戶，若存在，則將剛采集的圖像與本地數(shù)據(jù)庫中的特征圖像進行匹配，匹配成功后允許訪問應用系統(tǒng)服務器；否則拒絕訪問。所設計網(wǎng)絡身份認證流程如圖3所示。

3 結論

　　通過對傳統(tǒng)網(wǎng)絡身份認證的分析，提出對基于生物特征的認證系統(tǒng)的研究，關鍵在于生物特征的個體差異性，且其具有較高的穩(wěn)定性，人臉識別的非侵略性和友好性使其更加優(yōu)越于其他生物特征方式，在保持認證系統(tǒng)的時效性和穩(wěn)定性的基礎上，克服傳統(tǒng)身份認證的缺陷，進一步提高網(wǎng)絡信息的安全性。對網(wǎng)絡身份認證的進一步研究，有助于推動網(wǎng)絡信息的良性循環(huán)，促進信息技術的向前發(fā)展，具有廣闊的應用前景。

　　參考文獻

　　[1] 韓桂明.動態(tài)口令網(wǎng)絡身份認證系統(tǒng)的設計與實現(xiàn)[J].無線互聯(lián)科技，2012（10）：78.

　　[2] ALI M， AL-KHOURI. Identity and mobility in a digital world[J]. Technology and Investment， 2013，4（1）：7-12.

　　[3] 苑瑋琦，柯麗，白云.生物特征識別技術[M].北京：科學出版社，2009.

　　[4] 朱建新，楊小虎.基于指紋的網(wǎng)絡身份認證[J].計算機應用研究，2001（12）：14-17.

　　[5] 王志良，孟秀艷.人臉工程學[M].北京：機械工業(yè)出版社，2008.

　　[6] 王心醉，李巖，郭立紅，等.基于雙向PCA和K近鄰的人臉識別算法[J].解放軍理工大學學報（自然科學版），2010（11）：623-627.

　　[7] 董立峰，阮軍，馬秋實，等.基于不變矩和支持向量機的手勢識別[J].微型機與應用，2012，31（6）：32-35.

　　[8] 房曉斌.通信系統(tǒng)設備管理系統(tǒng)的分析和設計[J].電子技術應用，2008，34（6）：