一、引言
隨著計算機的普及和網絡技術的不斷發(fā)展和成熟,現代企業(yè)的設備管理部門根據發(fā)展的需要,逐漸實現了數字化、自動化。大大降低了人員的勞動強度,簡化了企業(yè)分廠報送設備計劃的流程,實現了設備運行狀態(tài)的動態(tài)監(jiān)控。然而其中的安全管理問題逐漸受到關注,通過研究企業(yè)設備管理軟件,發(fā)現普遍存在以下幾方面問題:1.身份認證機制過于單一,一般僅采用“用戶名十密碼”形式;2.設備敏感消息在網絡上以明文方式傳輸,而且一般不包含時間標志;3沒有消息完整性鑒別策略,消息被篡改后接收方無法鑒別。4設備敏感消息涉及到企業(yè)生產環(huán)節(jié),關系到多方利益,一旦出現問題往往牽涉到報批雙方責任認定和責任追究,因而對于安全性方面有著較高要求。綜上考慮,企業(yè)設備管理軟件必須能保證消息完整性、私密性、唯一性、不可否認性。
二、指紋識別認證機制整體架構
(一)客戶端認證機制?蛻舳说娜蝿帐牵翰杉讣y,提取指紋特征,建立通信渠道,發(fā)送認證數據消息,接收認證結果。因此,客戶端認證機制建設包括軟件和硬件兩方面?蛻舳苏J證機制架構圖如圖1所示:
圖1 客戶端認證機制架構圖
操作流程如下:(a)用戶通過客戶端操作界面輸入用戶名ID;(b)客戶端告知系統開始新的認證;(c)客戶端提示用戶輸入指紋;(d)客戶端用戶把手指放在指紋儀上;(e)客戶端軟件通過指紋儀采集用戶指紋,從中提取指紋特征:(d)客戶端將提取的指紋特征上傳給服務器端,由服務器端進行指紋匹配,并將匹配結果返回給客戶端,同時根據用戶的角色認定賦予用戶相應的權限;(e)用戶通過客戶端瀏覽相應的授權內容。
(二)服務器端認證機制
服務器端的主要任務是對客戶端傳來的認證數據實施認證,根據認證結果賦予用戶相應的權限,并建立安全的網絡連接。為了完成這一任務,還需要對用戶指紋模板庫進行注冊和管理。因此,服務端認證機制建設包含三方面:在線指紋匹配模塊、指紋模版庫管理模塊、企業(yè)網站和數據庫.在線匹配模塊主要功能是響應客戶端發(fā)送的認證請求,接收客戶端傳遞過來的指紋特征信息,通過指紋特征信息辨別用戶身份的真?zhèn),最后賦給用戶對應的權限。指紋管理模塊由兩個部分組成:指紋注冊子模塊,密鑰管理子模塊。服務器端的架構圖如下:
圖2 服務器端認證機制架構圖
設計原則是:在通信前必須明確發(fā)送方和接受方的身份,以防止惡意攻擊:敏感消息在網絡上必須以密文方式傳輸,杜絕任何形式的明文傳輸,確保消息的私密性,防止被攻擊。具體解決對策如下:
1.根據用戶的指紋完成身份認證。利用使用者的生物特征保證密碼的唯一性,無需記憶,不會被借用、盜用和遺失。2指紋信息在Internet上傳輸時采用登陸握手時的臨時會話密鑰加密,并加入時間標記,可以防止重放攻擊。3.在登陸之前的登陸握手協議中,客戶端獲得服務器端的數字證書并向CA驗證證書的有效性,確認服務器的身份。4.利用混合密碼技術,使用對稱密鑰技術來加密消息數據,使用非對稱密鑰技術來分發(fā)對稱密鑰及簽名。
三、指紋認證機制工作流程
整個企業(yè)辦公系統涉及:CA、身份認證服務器、企業(yè)網站服務器和客戶端。在用戶和服務器的信息交換過程中,消息總是以密文的形式在網上傳輸?蛻舳税l(fā)送消息后,設備信息將以密文形式存儲在企業(yè)數據庫中;授權瀏覽用戶通過將Internet傳送過來的加密數據解密后可以瀏覽裝備信息。
系統的運轉共分為3大部分:SSL會話建立、指紋認證、安全的Web瀏覽。
A 5SL會話建立
B指紋認證協議
指紋認證協議包含兩個方面:注冊階段和認證階段。當一個新用戶想要加入到該認證系統時,執(zhí)行注冊過程,且只執(zhí)行一次;而每當一個用戶登陸到認證系統時,執(zhí)行認證過程。
該協議涉及到三方:用戶U、認證服務器S和管理員AD。在認證環(huán)節(jié)中,用戶借助指紋儀提供指紋數據,認證服務器對用戶提供的指紋數據進行匹配認證以確認用戶身份。管理員在整個認證過程中作用非常重要,他作為可信第三方存在。當用戶方注冊時,管理員監(jiān)督用戶提供的指紋數據的真實性,并同時提供管理員指紋數據供認證服務器驗證用戶指紋數據的真實性。
注冊階段
當用戶需要注冊指紋時,需到管理員處登記,由管理員負責其指紋數據的真實性,并由管理員負責將該用戶的指紋數據注冊到認證服務器S。
注冊過程如下:
i.AD→S:U,Registration Request
管理員AD向認證服務器S發(fā)出一個用戶U的指紋注冊請求。
ii.S→AD:Registration Ready
認證服務器S向管理員AD發(fā)出響應
iii.AD→S:Fa||Fu
管理員AD獲得自己的指紋數據Fa及用戶U的指紋數據Fu后,審核用戶U的身份并驗證其指紋數據的真實性后,通過加密的SSL鏈路將自己的指紋數據與用戶的指紋數據串聯后一起發(fā)送給認證服務器S。S接收到認證消息后,得到Fa和Fu。在i=1,2,...m的范圍內,比較Fa是否與Fa,i匹配。如果沒有找到任何一個i,使得Fa與Fa,i匹配,則該用戶U不能注冊:否則,將用戶U的指紋數據Fu保存在S中,作為用戶U的認證信息。
認證階段
i.U→S:U,SR
用戶U向認證服務器S發(fā)出一個登錄請求SR。
ii.S→U:接受請求或者拒絕請求信息
如果發(fā)現U未注冊,則S拒絕U此次登錄請求;否則服務器S向U發(fā)出同意登錄響應。
iii.U→S:Fc
用戶U收到S的同意登錄響應后,借助指紋儀獲取自己的指紋數據,并從中提取出指紋特征Fce然后U將指紋特征Fc通過安全信道傳送給S。
iv.S收到用戶指紋特征Fc后,驗證是否Fc=Fu,如果Fc=Fu,U通過認證;如果Fc≠Fu,S拒絕U登錄。
安全的Web瀏覽
身份認證服務器把認證結果反饋給企業(yè)設備管理網站系統,系統依據用戶角色賦予用戶相應的瀏覽權限。由于Web網站的內容都是通過SSL協議傳送的,所以也是安全的。
四、安全性分析
本方案的指紋具有唯一性,不可否認性。并且通信都是建立在SSL鏈路上,為了減輕服務器和客戶端的負擔沒有再附加其他的加密方案。因此,該認證機制的安全性主要依賴于SSL協議的安全。
握手協議層的安全性:SSL握手協議允許通信實體在交換應用數據之前協商密鑰的算法、加密密鑰和對客戶端進行認證的協議,為下一步記錄協議要使用的密鑰信息進行協商,使客戶端和服務器建立并保持安全通信的狀態(tài)信息。握手層注重的是消息的完整性。
記錄協議層的安全性:5SL通過各種對稱加密算法來保證數據的保密性,另外,SSL使用加密的MAC保證數據的完整性。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/
本文標題:指紋識別在網絡身份認證中的應用
本文網址:http://www.ezxoed.cn/html/consultation/10839512848.html