基于指紋識別的云存儲身份認證系統設計

姚冰瑩 李傳芹 李超

（1.廣州華夏職業學院，廣東 廣州 510935；2.廣東科技學院，廣東 東莞 523083）

基于指紋識別的云存儲身份認證系統設計

姚冰瑩1李傳芹1李超2

（1.廣州華夏職業學院，廣東 廣州 510935；2.廣東科技學院，廣東 東莞 523083）

針對WEB云存儲系統現有"靜態口令+實時數據”的身份認證模式存在安全性能較低的問題，設計了基于指紋識別技術的身份認證系統。該設計方案采用指紋識別的認證模式對云存儲用戶進行身份認證，提高了身份認證的安全性、可靠性，解決了云存儲用戶賬號非法訪問、篡改等問題。提出了基于對稱加密算法、非對稱加密算法的混合加密算法，并將其作為身份認證協議，有效提高了認證的效率，實現了海量數據的高效傳輸。實驗結果表明，該方案在云存儲身份認證系統中得到很好的應用。

云存儲；指紋識別；身份認證；SSL認證協議；混合加密；安全性

1 引言

云存儲是指利用網格技術、分布式文件系統和集群應用等技術[1]，將網絡中大量不同類型的存儲設備集合起來協同工作，然后通過應用軟件或接口為用戶提供在線數據存儲和業務訪問功能[2]。云存儲的本質是服務而非存儲，用戶不需要自己建立數據中心，只需通過網絡與"云”相連接，向SSP（存儲服務提供商）申請存儲服務，即能對數據進行存儲、讀取、刪改等操作[3]。云存儲具有易于使用數據接口和極強的擴展性，以及低成本、透明的支持基礎能力和高峰負荷等特征。因此，云存儲正逐漸成為廣大機構的存儲選擇，云存儲的研究成為熱點的問題之一。

然而云存儲安全問題阻礙了其推廣發展，要使云存儲得到真正的普及，云存儲安全是要解決的首要問題[8]。我們可以使用多種防范技術來保障系統安全，其中，身份認證是應用系統安全防護的第一道防線。身份認證系統一旦被攻破，系統其他安全措施將形同虛設[2]。雖然當前WEB云存儲的認證模式能在一定程度上防止非法入侵，但是攻擊者仍然可以通過網絡數據竊聽、字典攻擊、重放攻擊等攻擊方式破壞靜態口令的安全[2]。

2 研究的原理

2.1 WEB云存儲系統結構設計

(1)云存儲的基礎結構模型

云存儲與傳統的存儲設備不同，并不是簡單的硬件集成，而是由存儲設備、應用軟件、網絡設備等構成的一個復雜的系統，通過應用軟件和接口為用戶提供服務。云存儲的架構可分為四層：存儲層，基礎管理層，應用接口層，訪問層。云存儲系統基本結構如下圖1所示[6-7,9]。除了應用接口層，其他三層對于用戶來說是完全透明的，用戶只需向SSP（存儲服務提供商）申請存儲服務，就能進行權限內的操作。本文在應用層與訪問層中采用指紋識別的身份認證模式和SSL通信技術保障在網絡傳輸中數據的安全。云存儲服務器與用戶之間進行雙方身份鑒別后，用戶代理通過安全應用程序編程接口(API)和云存儲服務器連接進行數據存儲服務。

圖1 云存儲系統基本結構圖

(2)基于WEB的B/S架構云存儲系統結構

指紋認證系統的核心包括數據庫、系統管理、應用服務、用戶管理、管理員管理五大部分，主要操作包括確定輸入用戶登錄信息，獲取指紋圖像，指紋認證，批準訪問。服務器保存指紋信息，進行指紋認證，客戶進行指紋獲取，及用戶界面的應用。在這個系統中，每個客戶都需要指紋傳感器提取指紋進行登記或登錄。指紋服務器包括指紋認證、指紋分類應用和登錄平衡服務器。當用戶第一次訪問系統，客戶應用需安裝WEB瀏覽器組件，B/S架構的在線云存儲系統如圖2所示：

圖2 基于指紋身份認證的B/S云存儲系統

2.2 指紋識別

指紋識別的原理包括指紋采集，指紋特征提取，指紋匹配三大部分。通過指紋采集儀采集指紋，然后傳輸到計算機經過處理形成數字化的指紋圖案[5]。指紋特征提取是指提取指紋局部和總體特征的值，然后構造成一個數字模板。指紋特征匹配是指結合指紋的局部特征和整體特征將指紋庫中的指紋模板與用戶輸入的指紋跟進行比對的過程，如果比對的結果達到預設的閾值，則兩者匹配，反之不匹配[4]。

3 主要研究內容

3.1 指紋認證流程

用戶登錄到在線云存儲系統，若為注冊，則發送指令到認證服務器，將提取合格指紋模版進行分類處理后存儲，并發送與指紋模版對應ID號給用戶；若為用戶登陸，則根據用戶的ID號，指紋認證服務器從指紋數據庫中提取出指紋模版和用戶輸入的指紋進行匹配（1：1），最后提供認證結果給客戶組件，客戶組件將申請結果通過WEB服務器返回給用戶。指紋認證流程如圖3：

圖3 指紋認證流程圖

3.2 指紋身份認證協議

混合加密機制的SSL協議技術采用非對稱加密算法（RAS)來建立WEB云存儲服務器端和客戶端之間的安全鏈接，采用對稱加密算法（DES）進行數據的安全傳輸。此協議克服了DES安全性能不高、RAS解碼復雜的缺點，既保證信道的安全性，又提高了數據傳輸的效率。

用戶在客戶端向WEB云存儲服務器請求進行注冊或登錄，數字認證中心驗證用戶的注冊或登錄信息后，分別給客戶端（公鑰PUA和密鑰PRA）和云存儲認證系統（公鑰KUAS和密鑰KRAS）分發一對公鑰和私鑰，同時公布公鑰。

客戶端選取一個隨機數x，通過等式(1)計算得到P1；用KUAS加密P1得到P2如等式（2）；用PRA加密P2得到P3如等式（3），發送P3給認證系統。云存儲系統先采用PUA對P3進行解密得到P2，如等式(4)；再用KRAS對P2進行解密得到P1，如等式（5）。只有合法的WEB云存儲服務器端才擁有KRAS，因此可驗證其合法性[2]。

云存儲系統選取一個隨機數Y，用KRAS加密后，再通過PUA加密后的數據發送到客戶端，加密算法公式同上。在客

戶端通過依次PRA和KUAS解密得到Y，解密算法的公式同上。只有合法的用戶才能獲得Y，從而驗證了客戶端的合法性。由式(6)計算得到共享密鑰SK。

SSL認證機制能有效地阻止用戶和云存儲系統之間的欺騙性連接，建立了WEB云存儲服務器端和客戶器端之間的安全信道。建立安全信道的過程如下圖4所示：

圖4 建立安全信道協議圖

4 認證系統測試

受到條件限制，本文只進行用戶登記和對比測試。使用指紋采集儀采集400多枚具有不同特征的指紋，通過交叉復制到2萬條，在客戶端測試指紋識別的性能。測試結果如下表1所示：

表1 指紋識別測試結果

從測試結果可知，隨著計算機技術的快速發展和指紋識別算法的優化以及指紋采集儀性能的提高，指紋識別的拒真率、錯識率以及識別速度達到了相當好的程度。因此，可將指紋識別技術作為WEB云存儲的身份認證方式[2]。

5 結論

本文提出了基于指紋識別的云存儲身份認證和混合加密建立安全通信的方法，提高了云存儲身份認證和數據傳輸的效率、安全性和穩定性，并且此認證系統效率與性能達到要求，同時在云存儲系統中得到有效的應用。指紋認證系統和云存儲系統的并發性和平衡以及系統嵌入問題，直接影響到云存儲身份認證的效率。將系統做到適度隔離和數據共享，以及指紋特征值作為用戶關聯的一組屬性來加密數據存儲是下一步要解決的問題。

[1]王永洲．基于HDFS的存儲技術的研究[D]．南京郵電大學，2013．

[2]姚冰瑩．指紋識別技術在WEB云存儲安全認證中的應用研究[D]．廣東工業大學，2014．

[3]李三青．基于云存儲的PACS系統存儲擴展方案研究[J]．信息技術與信息化，2015(9)．

[4]李振汕．指紋識別技術在身份認證中的應用與研究[J]．信息網絡安全，2015(3)．

[5]王國華，王伊莉．基于指紋識別技術的USBKey設計[J]．自動化與儀器儀表，2015(8)．

[6]許志龍，張飛飛．云存儲關鍵技術研究[J]．現代計算機：下半月版，2015(8)．

[7]朱杰．淺析“云計算”概念[J]．信息系統工程，2011(8)．

[8]石強，趙鵬遠．云存儲安全關鍵技術分析[J]．河北省科學院學報，2015(8)．

[9]于輝，李新虎，劉俊朋，等．云存儲安全模型研究[J]．信息技術與標準化，2015(6)．

Design of the Cloud Storage Authentication System Based on Fingerprint Identification

Yao Bingying1Li Chuanqing1Li Chao2
(1.Guangzhou Huaxia Vocational College,Guangzhou 510935,Guangdong; 2.Guangdong Institute of Science and Technology,Dongguan 523083,Guangdong)

For the lower safety problem in the"static password+real-time data"authentication modes of WEB cloud storage system,this paper designs an authentication system based on fingerprint identification technology.It uses the authentication model based on fingerprint identification for user identity authentication,improving the authentication security and reliability,and solving the issues of user account illegal access and tampering.It proposes the hybrid encryption algorithm based on symmetric encryption algorithm and asymmetric encryption algorithm which is used as a identity authentication protocol.This method effectively improves the certification efficiency,and realizes the effective transmission of huge amounts of data.The experimental results show that the scheme obtains very good application in the cloud storage identity authentication system.

cloud storage;fingerprint identification;identity authentication;SSL certification agreement;mixed encryption;security

TP391.41

A

1008-6609(2016)07-0015-03

姚冰瑩，女，湖北荊州人，碩士，研究方向：WEB系統開發，云計算。

廣東省高校特色創新項目專項資金資助，項目編號：2015KTSCX162，2015KTSCX163；2015年度院級科研項目，項目編號：GKY-2015KYYB-19。