身份认证技术论文十篇

身份认证技术论文篇1

关键词：身份认证；安全性

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Some Misconceptions on the Security of Authentication Technology

Xu Qiang

(College of Information Engineering,Zhengzhou University,Zhengzhou450001,China)

Abstract:Authentication technology is the basis of the information security system.All kinds of authentication technologies have its own advantages and disadvantages,This paper focuses on the security of authentication technologies that exist in some of the misconceptions.

Keywords:Authentication;Security

一、引言

身份认证技术是指系统确认使用者身份的过程所应用的技术手段，是信息安全的第一道关口，是所有安全的基础。身份认证主要分为三大类：（1）基于所知的认证，如文字列密码等；（2）基于所持物的认证，如IC卡、令牌等；（3）基于生物体征的认证，如指纹、静脉等。每种认证技术都有着各自的优点和缺点，现实中，在一些身份认证技术的安全性上还存在着一定的误解。

二、存在的误解

（一）一次性密码是文字列密码的安全改进技术

为了解决文字列密码的脆弱性问题（容易记的密码容易被攻击者猜测，不易被猜测到的密码往往又难以记忆），提出了很多管理和运用密码的建议。其中，一次性密码方案很好的解决了文字列密码的脆弱性问题。现在主流的一次性密码方案多采用动态密码的方法，用户手持用来生成动态密码的终端，基于时间与认证系统同步方式，间隔固定时间段后生成一次随机密码，密码在一定时间内有效，超时后废弃。

看似一次性密码是优于文字列密码的身份认证技术，其实不然，文字列密码是基于所知的认证技术，而现在主流的一次性密码是基于所持物的认证技术。虽然一次性密码难以被猜测，但是有着所持物认证技术固有的缺点：所持物遗失或者被盗所带来的问题。所以，一次性密码并非文字列密码的改进技术，而是不同类别的身份认证技术。

（二）PKI卡身份认证由于使用了PKI技术，所以比文字列密码安全

PKI是Public Key Infrastructure的缩写，就是利用公开密钥理论和技术建立的提供安全服务的基础设施。PKI卡就是支持公开钥体系的IC卡。

PKI卡身份认证方式比文字列密码的身份认证方式的安全性要高是可以肯定的，这是因为PKI卡身份认证方式属于两要素认证方式（基于所知加上基于所持物的认证），当然比仅基于所知的文字列密码认证方式的安全性要高。虽然PKI技术可以完成加密、数字签名、数据完整性机制、数字信封等功能，但是在身份认证上，PKI卡比文字列密码更安全却并非受益于PKI技术。

（三）不同的认证方式并行使用，可在不降低安全性的同时提高便利性

身份认证需要考虑安全性的同时还要考虑用户认证的可用性和便利性。但是不应该为了提高便利性而降低认证的安全性。

例如，指纹认证与文字列密码认证并用的情况下，比单纯的文字列密码认证要便利。指纹认证不需要记忆难记的密码，认证时，指纹认证也更方便。当指纹认证出现本人据否的情况下，还可以使用文字列密码进行身份认证。扩大了用户的选择，也改善了基于生物体征的认证技术的本人拒否问题，但是，由此带来的后果是安全强度的下降。

多种认证方式并用时，依据“短板理论”，对于不同种类的攻击，安全性由这几种方式中对该种类攻击防御最低的认证方式决定。因此，整体安全强度取这几种方式中的单项最低值，结果是比其中任何一种认证方式的整体安全强度都要低。

（四）图像认证方式在防御窥探攻击和猜测攻击方面不如文字列密码认证方式

在窥探攻击方面，由于图像认证方式使用色彩鲜明的较大的图像作为密码，给人的感觉是比文字列更容易被攻击者偷窥到。实际上，图像认证方式可以利用密码输入方式或模糊图像方式来很好的防御窥探攻击。

在猜测攻击方面，由于感觉图像认证方式中给出的作为密码的图像数比可作为文字列密码的文字数要少，所以认为图像认证方式在猜测攻击方面不如文字列密码认证方式。实际上，是由于文字列密码的脆弱性问题导致了文字列密码易被猜测出，与可用文字数无关。而图像认证方式虽然也有弱密码的问题，但是不存在类似文字列密码的脆弱性问题。另外，在不影响图像识别度的前提下，缩小图像的大小可以增加可用图像的数量，使猜测攻击更难成功。

三、结语

本文立足于各种认证技术的优缺点，着眼于身份认证技术的安全性，对一些容易存在误解的问题进行了探讨。

参考文献：

身份认证技术论文篇2

【关键词】身份认证;MD5算法;分组变序;碰撞;安全

【中图分类号】G420 【文献标识码】A 【论文编号】1009―8097(2010)09―0119―04

一 引言

现代远程教育系统是以计算机软硬件技术为基础,通过互联网向处于不同地域的用户提供教育服务的信息系统。远程用户在获得教育服务之前,通常需要通过系统的身份认证。目前来讲,最常用的身份认证技术是基于用户名/密码的静态认证技术。该身份认证技术起源于上个世纪70年代初[1],认证系统通过登记、注册等方式事先保存合法用户的用户名和密码;认证时,系统将用户输入的用户名和密码与对应合法用户的用户名和密码进行匹配,以此来验证用户身份的合法性。在这种认证技术中,用户名和密码均以明文的方式进行传输和存储,无法抵挡重放攻击[2]。一种解决办法是对密码加密后再传输和存储,只要加密算法够可靠,就可以有效地防止重放攻击。1992年,RIVEST R[3]提出了MD5(Message Digest 5)算法,该算法从理论上讲具有不可逆性、离散型和唯一性[4],因此基于用户名/密码的静态身份认证技术在应用了MD5算法后,其安全性可以得到较大的增强。然而王小云[5]等人在2004年8月召开的国际密码学会议(Crypto 2004)上做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告,给出了一种高效的MD5碰撞[6]方法,可以在短时间内找到多个碰撞,这意味着如果攻击者窃取到密文并且展开碰撞攻击,则将有可能绕过认证,这又使得重放攻击变为可能。

针对这个问题,本文提出了一种基于MD5分组变序的动态身份认证技术,该技术通过随机数,对原MD5密文采用分组变序的方法生成伪MD5密文存储到数据库中,并且每次验证成功后,再次生成随机数重新分组变序,产生另一个伪MD5密文替换原伪MD5密文,以此实现了用户密码明文不变,但数据库中密文随认证次数不断变化的功能,进一步增强基于MD5的静态身份认证技术的安全性,从而更安全地保护远程教育系统中的教育资源以及用户的信息。

二 基于MD5分组变序的动态身份认证技术

传统的基于MD5用户名/密码的静态身份认证技术是将用户的密码进行MD5加密,再发送到服务器端进行存储,这种方式的安全性主要取决于MD5算法本身。除了向用户骗取密码以外,要获取真正的密码,只有通过对密文碰撞来获得,然而从理论上来讲,如果要对一个MD5密文使用穷举法进行碰撞破解,用一台运算速度为10亿次/秒的超级计算机,需要 年[6],即使使用效率较高的生日攻击法[5],同样的运算速度,仍需要58年的时间[6],而王小云等人提出的方法则可以在数小时之内找到一对碰撞[7],因此传统的基于MD5用户名/密码的静态身份认证技术已经不再安全。进一步分析,如果碰撞的对象并不是MD5值,那一切针对MD5的碰撞方法将不起作用。本文提出的基于MD5分组变序的动态身份认证技术的核心即在于动态地生成伪MD5密文,使针对MD5值的碰撞攻击无效,从而在原基于MD5的身份认证技术的基础上,进一步增强其安全性。

该身份认证技术的体系结构如图1所示。

从图中可以看出,所有关于用户密码的加密处理全部在客户端完成,在网络中仅传输用户名、密钥和加密后的伪MD5密文,而服务器端则为一个数据库,仅起到存储这些信息的功能,这么做既保证了网络传输的安全性,对用户的密码又做到了消息级的加密[8]。

客户端由密钥生成、MD5加密、密文数组生成、伪MD5密文生成、伪MD5密文分割、密文数组比较六个模块组成,这几个模块的不同组合构成了用户注册和认证过程。

1 用户注册阶段

用户注册主要流程如图2所示。

步骤1:用户输入用户名和密码,客户端首先对密码进行MD5加密操作,得到32位长度的MD5字符串,记为 ;同时执行密钥生成程序,生成随机数,记为 , ,且 为32的因数。

步骤2:执行MD5密文数组生成程序,将 按密钥 的值为长度进行分组,将分组后的字符串存入字符串数组中,该字串符数组记为 。

步骤3:执行伪MD5密文生成程序,随机变换 中元素的顺序,依次把值从变序后的 中取出,生成新字符串,该字符串即伪MD5密文,记为 。

步骤4:客户端将用户名、密钥和伪MD5密文 发送至服务端,并存储到数据库中。

从注册的过程可以看出,该认证技术的动态性体现在密钥 的随机性上, 的不同使密文 分组的位置不同,从而使得最终得到的密文 也是不同的。然而生成的伪MD5字符串 ,来源于标准的MD5字符串,这就为认证提供了依据,但同时又不是MD5字符串,因此任何针对MD5算法进行的破解将不起作用。

2 用户认证阶段

用户认证主要流程如图3所示。

步骤1:待验证用户输入用户名和密码,客户端依然执行MD5程序,将用户输入的密码进行MD5加密,生成待验证密文,记为 ,同时将用户名发送至服务器端。

步骤2:服务器端从数据库中查询是否存在该用户名,不存在则认证失败,存在则取出数据库中的伪MD5密文 和密钥 ,一起传输至客户端。

步骤3:用密钥 对待验证的MD5字符串 执行客户端MD5密文数组生成程序,得到待验证的字符串数组中,该数组记为 ,同时执行伪MD5密文分割程序,以 为每组长度对 进行分组,每 位后加入“,”生成分割后的伪MD5字符串,记为 。

步骤4:执行密文数组比较程序,依次取出数组 中的值与 进行比较,如果 的每个元素都包含在 中,则通过认证,如果有一个不包含,则认证失败。判断的根据在于 本身只是对MD5字符串做了位置上的改变,如果待认证的口令正确,那么 中的每个元素都应该包含在 中的,但只要数组中有一个元素不包含在密文字符串中,就可以判断认证失败。

步骤5:如果验证通过,则对 再重新执行一次分组变序操作,用得到的新的伪MD5密文和新密钥替换原有的密文与密钥,一起存入数据库。

需要说明的是,本文给出的匹配方法并没有直接把数据库中的 和 的元素进行包含比较,而是以“,”分割后再比较,原因在于密文的长度为32,而数组中值的长度小于或等于32,那么不排除数组的值交叉包含于密文中的情况,假设密文是c4ca4238a0b923820dcc509a6f75849b,密钥为16,则数组 的长度为2,再假设数组中的两个值分别为a0b923820dcc509a,20dcc509a6f75849b,虽然这两个值也都包含在密文中,但a0b923820dcc509a处于密文(c4ca4238-a0b923820dcc509a-6f75849b)的中间位置,而20dcc509a6f75849b处于密文(c4ca4238a0b9238-20dcc509a6f 75849b)的后半段,这种情况的出现有可能使匹配算法失效,反而造成认证的不精确。事实上标准的MD5字符串是多个16进制字符串的组合,而“,”是不可能出现在16进制字符串中的,采用“,”分组后再比较则可以有效地避免这种情况。

三 安全性验证

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

以上认证技术是对单个MD5值进行分组变序,根据不同的 ,除去MD5值本身,每个MD5值能演变出 -1个伪MD5值,记为下式:

(1)

由于随机数的存在,要还原得到真正的MD5值,只能通过暴力破解法来实现,对于单个MD5值,暴力破解的运算量为 ,同样使用一台运算量为10亿次/秒的超级计算机,需要约 年。

由于伪MD5密文和密钥K均在网络中传输,如果攻击者知道该算法,利用密钥K进行攻击,那么最终密文的安全性取决于变换的顺序种类。变换的顺序种类由密钥K确定,K越小,顺序种类越多,破解的运算量越大。

对于单个MD5值,当 时, ,即不存在伪MD5值, 不可取。

当 时, ,暴力破解的运算量仅为1,很容易还原得到原始MD5值,因此密钥为16时,已经存在很大的安全隐患了。

当 时, ,暴力破解的运算量为23。

当 时, ,暴力破解的运算量为40319。

当 时, ,同样使用一台运算量为10亿次/秒的超级计算机,需要约663457年。

当 时,暴力破解的运算量更是巨大的。

更进一步研究,该认证技术同样适合对多个MD5值的组合进行分组变序,假设 为由 个 组成的长度为 的字符串,其中 。这种情况下,暴力破解的运算量为 ,这样的运算量更是天文数字。而在知道该认证算法的情况下,暴力破解的运算量为 , , 可取的值更多,运算量更大。

对于应用该认证技术的系统来讲,运算量仅仅取决于变序算法的复杂度,本文采取经典的洗牌算法[9]作为变序算法,以随机数 作为变序的基础,以保证每次交换顺序后的结果与交换之前的不同,算法复杂度仅为数组的长度,即 。

实际应用时,当 , 时,最终生成的密文的安全性将是相当高的。而当 时,可选择的 更多,安全性则更高,而同时对认证系统的运算量并不会有太大增加。

四 实验分析

本实验选择浏览器/服务器作为运行模式,选择JavaScript作为客户端注册、认证程序编写语言,保证运算均在浏览器端完成,选择Java作为服务器端数据库访问语言,选择MySQL作为测试数据库。假设密码明文为888888,则MD5值为21218CCA77804D2BA1922C33E0151105,对比最终密文、密钥做8次运算,其中第一次为注册,后7次为认证,运算结果对比如表1所示。

从表1可以看出,最终生成的密文已经和原MD5值已经有较大的不同,即使是相同的密钥,由于交换了顺序,密文也是不同的,攻击者即使得到这些密文,也是徒劳的。

五 结束语

本文通过分析目前远程教育系统常用的身份认证技术的优缺点,以基于MD5的用户名/密码的静态身份认证为基础,提出了基于MD5分组变序的动态身份认证技术,该技术通过分组变序随机地产生伪MD5密文,将伪MD5密文在客户端和服务器端之间传输,并存储到数据库中,从而可以有效抵挡碰撞攻击和重放攻击,并且实现了数据库中的密码随认证次数不断变化,而对用户透明的功能,进一步增强了原基于MD5的用户名/密码的静态身份认证的安全性。同时,该技术仅仅是对经MD5加密后的密文进行再处理,与MD5算法本身并有没有很大的关联,因此具有一定的通用性,只要稍做修改,就可以用于任何基于不可逆算法的身份认证技术中,以起到在原有认证技术的基础上,增加其安全性的作用。

参考文献

[1] 曹雪菲.基于身份的认证协议的理论及应用研究[D].西安:电子科技大学,2008.

[2] Carles Garrigues, Nikos Migas, William Buchanan, et al. Protecting mobile agents from external replay attacks[J]. Journal of Systems and Software,2009,82(2):197-206.

[3] RIVEST R.RFC 1321 The MD5 Message-Digest Algorithm[S].Boston: MIT Laboratory for Computer Science and RSA DATA Security, Inc, 1992.

[4] 王津涛,覃尚毅,王冬梅.基于MD5的迭代冗余加密算法[J].计算机工程与设计,2007,28(1):41-42.

[5] Wang Xiaoyun, Feng Dengguo, Lai Xuejia, et al. Collisions for hash functions MD4, MD5 Haval-128 and RIPEMD[R].CRYPTO 2004, Cryptology ePrint Archive, 2004.

[6] Eric Thompson.MD5 collisions and the impact on computer forensics[J].Digital Investigation,2005,2(1): 36-40.

[7] 张裔智,赵毅,汤小斌.MD5算法研究[J].计算机科学, 2008,35(7):295-297.

[8] Paul Kearney.Message level security for web services[J].

Information Security Technical Report, 2005,10(1):41-50.

身份认证技术论文篇3

[关键词] 电子商务 信息认证 身份认证 数字签名

随着通信网络技术的快速发展，电子商务给人们的工作和生活带来了新的尝试和便利，也带来了一些问题,由于网络本身的开放性，使电子商务面临种种风险，也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术，主要包括身份认证和信息认证。身份认证用于鉴别用户身份，而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下，信息认证显得比信息保密更为重要。

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥――公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段――数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

3.认证机构

在电子交易中，无论是数字签字的签别还是数字时间戳服务都不是仅靠交易的双方自己能完成的，需要一个具有权威性和公正性的第三方来帮助实现。认证中心CA就是承担网上安全电子交易的认证服务、签发数字证书、确认用户身份的服务机构。认证中心通常是企业性的服务机构，具有半官方的身份，主要任务是受理数字证书的申请、签发及对数字证书的管理。通过认证机构来认证买卖双方的身份和信息，是保证电子商务交易安全的重要措施。

总之，安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或欺骗，任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。而信息认证能够支持电子商务应用的主要模式，确保交易信息的安全性，从而极大地推动电子商务的发展。

参考文献:

[1]傅铅生:电子商务教程[M].国防工业出版社，2006.8

身份认证技术论文篇4

1、身份认证技术的含义

身份认证技术是指能够对信息收发方进行真实身份鉴别的技术,是保护网络信息资源安全的第一道大门,它的任务是识别、验证网络信息系统中用户身份的合法性和真实性,按授权访问系统资源,并将非法访问者拒之门外。可见,身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。

2、用户身份认证的发展趋势

网络身份认证技术在未来的发展中应朝着高安全性、高速度、高稳定性、易用性、实用性以及认证终端小型化等方向发展。其发展趋势可从以下几个方面体现：

2.1生物认证技术

目前还没有一种生物特征认证技术的正确率能达到百分之百。如何通过提高硬件水平和改进识别算法来提高识别的正确率将是未来的研究热点。

2.2多因素认证

有效地结合各种单因素认证技术，可以提高身份认证的安全性能。基于Web的口令认证与手机短信确认相结合双因素认证已在应用中；多种生物特征的多数据融合与识别技术也将是未来的研究方向。

2.3属性认证技术

属性认证技术主要是把基于属性证书的授权方案和认证技术相结合的认证授权方式，可以解决完全分布式的网络环境中身份认证与细粒度的权限分配问题。

3、常用的协议

身份认证是通过身份认证协议来实现的。身份认证协议是一种特殊的通信协议，它定义了所有参与认证服务的通信方在身份认证过程中需要交换的所有信息的格式和这些消息发生的次序以及消息的语义。从目前来看，大多数身份认证协议是基于密码学原理的。常用的身份认证协议有：

3.1SET协议

安全数据交换协议SET（SecureElectronicTransferprotocol）是一种以信用卡为基础的，在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。SET协议是目前国际上通用的网上支付标准。

3.2SSL协议

安全套接口层协议SSL（SecureSocketsLayer）是由Netscape开发的，SSL可插入到Internet应用协议中，成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层，可用于保护正常运行于TCP上的任何应用协议，如HTTP，FTP，SMTP和Telnet的通信。SSL保证了Internet上浏览器/服务器会话中三大安全中心内容：机密性、完整性、认证性[1]。

3.3Kerberos协议

Kerberos协议是80年代由MIT开发的一种网络认证协议，它允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证，Kerberos协议给这两台计算机提供密钥，以进行安全通讯对话。所以它适合在一个物理网络并不是很安全的环境下使用。

4、身份认证常用的方式

身份认证的基本方法就是由被认证方提交该主体独有的并且难以伪造的信息来表明自己的身份。常用的方式有：

4.1基于PKI(PublicKeyInfrastructure)的数字证书

公钥基础设施PKI是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务，这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用[2]。PKI技术是信息安全技术的核心。由于现代远程教育是一种非面对面的、是通过网络进行的教学活动，因而使得电子方式验证信任关系显得至关重要，而PKI技术恰好是一种适合这种活动的密码技术，它能够有效地解决现代远程教育中的保密性、真实性、完整性、不可否认性、访问可控性等安全问题。PKI的部件包括数字证书、签署这些证书的认证机构（CA）、登记机构（RA）、存储和这些证书的电子目录以及证书路径等等，其中数字证书是其核心部件。数字证书（DigitalID）是一种权威性的电子文档。它提供了一种在Internet上验证身份的方式，其作用类似于日常生活中的身份证[3]。它是由一个权威机构——CA证书授权(CertificateAuth-ority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书的格式一般采用的是X.509国际标准。目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

4.2智能卡

智能卡(SmartCard)是指利用存储设备记忆一些用户信息特征进行的身份认证。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。智能卡必须遵循一套标准，ISO7816是其中最重要的一个。ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。智能卡根据装载芯片类型的不同、信息通讯方式的不同，又可以分为存储式卡片和微处理器卡片以及接触式卡片、非接触式卡片和双界面卡片等。

4.3静态口令

静态口令是指在某一特定的时间段内没有变化、可反复多次使用的口令。因为是静态的，不变的，在很多情况下如果不慎被泄密，就可能会被他人所用，加上用户总会担心忘记密码，所以一般使用的口令都会有一定的规律可寻，例如：自己的电话号码、自己或家人的生日等等。如果口令是用在与资金帐户或重要信息有关的计算机应用系统中的话，静态口令就很不安全，一些不法分子可能通过不正当手段获取静态口令，如窥视、欺骗、侦听、穷试等。这种方式现一般用于一些不太重要的场合。

4.4动态口令

动态口令是指每次认证时输入的口令都是变化的，且不重复，一次一变，即使被别人知道了，下次也无法再使用。它是用户身份的数字化凭证，是信息系统鉴别用户身份合法性的依据。根据动态口令的产生和认证方法的不同，可以分为交互方式和主动方式两类。

4.5生物特征

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的生物特征有指纹、虹膜、掌纹、静脉、语音、步态等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可忽略不计，因此几乎不可能被仿冒。

4.6USBKey认证

身份认证技术论文篇5

    [关键词]门限E CC电子商务安全加密签名

    证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。PKI应用:包括在W eb服务器和浏览器之间的通讯、电子邮件、电子数据交换(E DI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。

    基于PKI的电子商务安全体系电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认性服务。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的W eb服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。

    计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:1.信息加密算法,如DE S、RSA、E CC、M DS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。E CC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位E CC与1024位RSA、DSA有相同的安全强度。而210位E CC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与E CC有可比性,但在私钥的处理速度上(解密和签名),E CC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,E CC是当今最有发展前景的一种公钥密码体制。

    椭圆曲线密码系统E CC密码安全体制椭圆曲线密码系统(E lliptic Curve Cry ptosy stem,E CC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,E CC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IE E E、基于门限E C C的《商场现代化》2008年11月(上旬刊)总第556期84少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。2.加密签名阶段:(1)选择一个随机数k,,并计算,。(2)如果r=O则回到步骤(1)。(3)计算,如果s=O则回到步骤(1)。(4)对消息m的加密签名为,最后Alice将发送给接收者。3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:(1)检查r,要求,并计算,。(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解E CDL P问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t-1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。

    结束语为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对E CDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。

    参考文献:

    [1]Koblitz N.Elliptic Curve Cryprosystems.Mathematicsof Computation,1987,48:203~209

    [2]IEEE P 1363:Standard of Public-Key Cryptography,WorkingDraft,1998~08

    [3]杨波:现代密码学,北京:清华大学出版社,2003

身份认证技术论文篇6

Abstract: The article outlines the current information security authentication technologies and highlights the theory based on zero-knowledge proof identify authentication technology. Then, with the authentication feature and security of WebOA, it introduces the theory of zero-knowledge proof. The improvement program describes the specific certification process in detail, and analyzes the security aspects of the program features.

关键词:身份认证;零知识证明;USBKey;WebOA

Key words: status authentication;zero-knowledge proof;USBKey;WebOA

中图分类号:TP30 文献标识码:A文章编号:1006-4311(2010)24-0167-01

0引言

办公自动化系统(简称OA系统),是将现代化办公和计算机网络技术结合起来的一种新型的办公方式。OA于20世纪50年代提出,从20世纪80年代开始,得到飞速的发展。在这三十年里,国内办公自动化共经历了三个发展阶段:

第一阶段,以数据为其处理中心的MIS系统;第二阶段,以工作流为中心的办公自动化系统;第三阶段,以知识为为核心的办公自动化,强调如何获得分布于各地的信息。

然而,在享受着Web技术带给我们的巨大实惠的同时,WebOA所面临的安全方面的挑战也是不容忽视的,尤其是在访问控制方面:分布式的应用,使我们所面临的潜在的非法用户更多,对于用户的身份控制和权限控制更是不容易。

1身份认证技术

1.1 口令认证密码是最简单也是最直观的认证方式,一般选取易记、难猜、抗分析能力强的字符串做口令。口令机制存在对外泄露、口令猜测、物理线路窃听、重放攻击及可能危及验证着等诸多弱点。

1.2 基于地址的认证基于地址的认证一般将声称者的IP地址或者MAC地址作为可信任的地址源,一般作为其他认证方式的补充。该认证方式的最大缺陷在于IP地址和MAC地址很容易被假冒。

1.3 基于个人特征的认证又称为生物特征认证方式,是指通过计算机利用人体固有的物理特征或行为特征鉴别个人身份。现在很多企业都采用了该种认证方式(采集指纹、声音、虹膜等信息)应用于门禁系统。虽然该种方式没有明显的缺陷,若应用于基于Web的分布式系统中却不是一个优良的解决方案。

1.4 基于智能卡的认证智能卡又称为IC卡,是由一个或多个集成电路芯片组成的设备,可以安全地存储密钥、证书和用户数据等敏感信息,防止硬件级别的篡改。该方式一般作为辅助认证结合其他认证方式,提供以中被称为“双认证”的认证机制,很早就被应用于银行卡存储业务以及伴随电子商务的飞速发展所兴起的网上银行业务。

1.5 零知识证明认证零知识证明(zero-knowledge proof)是指证明者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。

零知识证明实质上是一种涉及两方或多方的协议,即两方或多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使验证者相信自己知道某一消息或拥有某一物品,但证明过程不需要(也不能够)向验证者泄露。零知识证明分为交互式零知识证明和非交互式零知识证明。

交互式零知识证明是由一组规定轮数组成的一个“挑战/应答”协议。每一轮由挑战者(Prover)挑战和应答者(Verifier)应答组成,在规定的协议结束时,V根据P是否成功地回答了所有挑战来决定是否接受P的证明。

2WebOA的认证系统的设计

2.1 体系结构认证系统体系结构的核心在于USBKey体系结构的设计,以交互式零知识证明为基础,采用公钥加密体制,以增加安全性。

2.2 关键模块设计整个体系结构分为3个大的模块:应答器、时钟和存储器。

时钟模块采用心跳机制,以使服务器实时感受到用户是否在线,一旦失去心跳连接,立即中断服务。为了保证检测结果的可靠性,实现上采用多心跳检测机制。

存储器模块是一个可擦写的ROM存储芯片,用于存储用户的个人信息:用户唯一标识、用户身份信息和相关的个人信息。该信息在分发USBKey时固化在芯片里,采用加密的方式存储,只能由服务器端读取。

应答器模块是USBKey中的认证核心,以若干轮数的交互式零知识问答为基础,采用公钥密码体制。应答器中保存了分配给该用户的私钥Kp(用于验证用户身份的合法性)和Kp’(用户验证用户的角色),应答器所执行的轮数由服务器所发出的提问次数决定,而服务器的提问次数取决于从存储器中读取的用户身份的角色信息。认证过程如下(以RSA算法为例):①服务器首先读取用户的唯一标识,以判断该USBKey是否停用;②读取用户身份信息,取得用户的角色,以决定提问次数n1,n2和获取用户对应的公钥;③服务器选择两个大质数p,q,使用公钥K加密,将密文传给USBKey;④USBKey将得到的密文用Kp解密传给服务器;⑤3和4循环,直到出错或者达到n1,以决定是否通过身份认证;⑥若通过身份认证,服务器再选择两个大质数p’,q’,使用K’加密,将密文传给USBKey;⑦USBKey将得到的密文用Kp’解密传给服务器;⑧5和6循环,直到出错或者达到n2,以决定是否通过角色认证。

3结束语

基于Web的OA系统实现了随时随地办公,共享信息的目的。身份认证是OA系统能否很好的应用于网络的一个关键。然而,时下普遍的实现方式在认证的同时也将属于个人的机密性的信息到了网络中,这无疑带来了安全的隐患。本文在对该问题分析的同时,提出了基于零知识证明的解决方案,并对其实现做了较详细的阐述。

参考文献:

[1]孟丽荣,赵华伟,张海波.微型PKI客户端设计方案[J].计算机应用,2003,23(9):20-21.

[2]李中献,詹榜华,杨义先.认证理论与技术发展[J].电子学报,1999.

[3]刘木兰,周展飞,陈小明.密钥共享体制[J].科学通报,2000,45(9):897-898.

身份认证技术论文篇7

关键词：计算机；数据库；管理技术；现状与问题；完善措施

中图分类号：TP309

1 计算机数据库概述

计算机数据库即Database，指因特定操作目的而对文件、记录等有结构的信息数据进性储存集合，具有数据结构化、冗余度低、高共享性与易扩充、高独立性以及由DBMS进行控制管理的特性。比如，数据面向整个系统，多应用程序与用户可共享数据，节省储存，减小数据冗余，避免数据间不统一性；具有逻辑独立性与物理独立性，比如磁盘数据与应用程序的独立，DBMS管理磁盘数据，用户可不用了解。即使改变数据逻辑，用户程序依然独立。

由于市场的需要，计算机技术与数据库理论逐渐融合在一起，这就使得数据库理论具有了更加广阔的发展前景，其应用范围也不断扩展。在当前国内外各个行业和产业之中，数据库理论作为关键技术保障，能够有效提升新型管理的效率，能够大幅度提高生产力。数据库的发展经历了几个不同的环节，在不断调整升级之后，其操作性不断提高，适应性不断增强，有效的支撑了信息管理的正常运行。由于计算机行业的发展需要，在理论上和实际操作方面都在不断研究，所以数据库具有良好的应用性能，其实用性和安全性也非常强。

但是，在实际操作过程中，尤其是在网络环境运行中，数据库的正常运行还经常会受到一些严重的威胁，如管理方面的风险、用户操作过程中的风险以及其他一些软件的风险等，都有可能会威胁到数据库的操作。如果这些风险变为威胁，那么对于信息管理将会造成非常大的损害。因此，将网络方面的威胁进行有效的屏蔽，就必须要将管理技术能力增强。在实际操作过程中，要根据不同的操作环境具体问题具体分析，强化网络系统和数据库管理技术方面的工作。

2 当前计算机数据库管理技术存在的问题

在实际工作中，计算机的数据库可能会面临各种风险的威胁，甚至造成不可逆的后果，有些风险还可能会通过制约数据库进而影响用户对计算机的正常使用。经过分析和研究，影响计算机数据库的风险，可以包括以下几个方面：

2.1 数据库管理方面存在着不科学不规范的问题

作为信息系统的衍生物，数据库同时也作为存储器在运行，存储各类信息资料和不同的数据文件，这些资料和文件都由用户来管理。用户在使用网络的时候，主要关心的是网络资源的快捷和高效，但是如果用户在使用网络资源的时候没有做到有效的保密，错误认识了网络风险的存在，那么用户的信息安全就有可能会遇到风险，甚至受到威胁。很多用户在使用网络的过程中都没有足够重视网络的安全性，缺乏相应的安全防护意识，导致使用数据库时管理失职，安全事件时有发生。一旦在操作过程中导致数据库受到损害，可能会丢失数据库中的一些重要的信息，最终会给用户造成巨大的损失。

2.2 数据库自身存在的问题

由于计算机技术的不断发展，计算机相关技术也得到了非常大的进步，数据库相关信息也不断得到完善。但是，数据库自身存在的问题也不断暴露，计算机病毒的发展也随之计算机操作系统的发展而越发猖狂。由于一些计算机用户操作的不合理或者缺乏相应的安全意识，一些计算机病毒趁虚而入，侵入到计算机中，尤其是特洛伊木马病毒，经常会盗取一些用户的密码，威胁计算机用户的安全。同时，计算机数据库本身还存在着一些漏洞，这些漏洞是设计方面是，有些甚至无法避免，这就为黑客的入侵提供可可乘之机。另外，由于操作环境和网络环境与之前有了很大的不同，人们对于计算机以及数据库系统的各方面要求也明显不同。这种发展现实导致人们的需要同数据库存在的安全防护方面的缺陷之间的差距逐步拉大，用户的需要越来越不能被满足了。

2.3 数据库操作系统存在的问题

随着计算机技术的不断发展，各种新技术的不断应用，数据库的操作系统在不断发展的同时，各种负面影响也不断暴露了出来。各种计算机病毒和木马程序的不断出现，已经严重威胁到了数据库信息系统的安全。因此，加强数据库操作系统的不断完善已经越来越重要了。首先，病毒入侵的风险不断提高。木马程序的产生一般是由于用户进行了不恰当的操作，一旦产生木马程序，病毒入侵的风险就会迅速提升。木马病毒的侵入最大的危险是用户的密码可能会被盗取，进而数据库信息有可能会被其他用户修改，造成信息的损害。其次，有些用户为了方便服务器操作系统，会在设置操作系统时留设后门。这种情况在用户自身方便的同时，也无形中增加了数据库的风险，留下了安全隐患，因为电脑黑客很容易就可以将数据库内信息盗取。最后，由于数据库系统与计算机的操作系统之间具有一定的关联性，所以计算机的操作系统和硬件设施就决定了计算机数据库的安全性能。如果操作系统出现问题，比如数据库文件存取受到操作系统允许，则不论何种措施数据库安全都无法保证。

3 加强数据库管理技术的有效方法

3.1 增强用户安全意识，做好管理工作

作为计算机和数据库使用的主体，用户的管理工作是加强数据库管理技术的首要方面，也是最重要的方面，用户的安全意识一定要增强。在用户使用计算机和数据库之前，一定要做好用户身份认证相关工作，协调系统登录和数据库连接之间的相关环节，确保身份认证工作的有效开展。用户的安全意识不到位，安全防护意识薄弱或者操作过程中出现的错误行为等，都有可能会损害到计算机和数据库。因此，在操作过程中，首先要用户树立良好的安全意识，掌握安全操作相关的知识，具备安全防护的能力做到规范操作，严格按照规程操作，以专业化的操作技能提高数据库的安全性。其次是要在进行操作的过程中始终贯彻安全管理的意识。只有具备了正确的安全操作意识，才能出现正确的操作结果。所以，在思想上用户或者数据库操作人员要重视数据库的管理工作。

3.2 不断提升存取管理技术

存取管理技术包括用户认证技术与访问控制技术。用户认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，用户认证技术有着举足轻重的作用。

访问控制技术针对系统中已有用户的控制，包括数据库的浏览控制与修改控制，数据的保护在系统的处理性能中实现，是前沿性的数据安全性保护。访问控制在数据库系统中的表现为：首先，用户要获得一定的使用权限，作为角色访问控制，其作用是加强身份认证以及访问控制。其次，用户使用权限的实现，是通过数据库功能模块来实现的，但是由于不同的用户在使用权限方面又存在着不同的。当前使用过程中，应用最多的设置是口令设置法。随着控制技术的不断增强，技术的不断发展，各种认证技术也在不断的实验中，例如虹膜认证技术、智能卡认证技术以及指纹认证技术等，这些对于安全标准的提高具有重要的作用。

3.3 加密工作的不断增强

很多用户将机密数据存储在数据库里面，但是有些黑客为了各种利益而采取各种手段盗取用户密码，进而获取用户的机密信息。黑客通过非法手段修改数据库的信息资料，越权浏览数据库内的数据，导致重要文件信息的泄露，用户隐私权遭到破坏，甚至会引起严重的后果。以上情况的出现，就要求用户做好防护措施，对数据库等机密文件做好加密工作。在数据库加密环节中，进行加密设置系统的健全是必要的，这需要进行新型的算法公式的应用，确保数据信息的有效安全防护，确保其加密模块及其解密模块的协调优化，实现数据库信息各个加密模块的积极配合。只有对数据库进行了有效的加密处理，才有保证存储的数据库安全运行。如果存储了关键信息的数据库进行了加密处理，一些访客就不能正常对数据库进行访问，就算数据库系统出现其他问题甚至瘫痪，数据库内的信息也可以被用户正常读取。

3.4 数据恢复和数据备份技术的应用

计算机在使用过程中难免会遇到问题，如突然停电或出现故障，这就有可能导致数据的损害或者丢失。因此，提前做好数据库的备份故障就非常有必要。数据备份与恢复是网络数据库保障数据完整性和一致性的一种有效机制，也是最常见的一种技术方案。做好有效的数据备份，一旦网络出现故障甚至系统崩溃，数据库中的问卷也不会被破坏。管理人员可以根据先前的数据备份文件，经过维修和数据恢复，在最短的时间内让网络数据库回到故障发生之前的数据状态。数据库中的文件可照常读取。目前比较常用的数据备份方法是逻辑备份法。比如原始数据通过软件实现镜像拷贝；静态备份，数据库操作结束时进行备份动态备份，使用数据库时对其进行的备份。

4 结束语

当前网络环境下，计算机网络数据库的安全管理技术已经在广泛应用于各行各业之中，使得人们的生产生活更加方便。但是我们还应该注意到，当前的数据库管理工作还不完善，技术还不太成熟，在运行过程中还存在着缺陷，有待于进一步的提高和改善。计算机数据库的完全性问题是数据库管理工作中的关键问题，需要在未来计算机管理技术中重点解决。这一问题的解决需要进行不同技术方案的协调，提升网络数据库的整体安全性，同时也需要我们做好日常安全管理的内外工作，进行数据库自身安全性的提升，确保用户信息操作的安全性。

参考文献：

[1]黄雁.计算机信息管理系统的应用风险分析[J].计算机光盘软件与应用，2013（20）：89-90.

[2]罗家贵.强化计算机数据库管理技术的有益探索[J].计算机光盘软件与应用，2012（20）：138+147

身份认证技术论文篇8

关键词：网络与信息安全；信息安全认识；信息安全技术

随着internet的接人，网络已成为我们生活中必不可少的一部分。随着计算机网络的发展，其开放性、共享性、互联程度扩大，网络的重要性和对社会的影响也越来越大，但是另一方面病毒、黑客程序、邮件炸弹、远程侦听等安全问题逐渐成为当今网络社会的焦点。下面笔者就几个方面对网络环境中信息安全问题作一简单讨论。

1 网络环境下信息安全研究意义

众所周知，internet是当今世界上最大的计算机网络通迅系统，它所提供的信息包括文字、数据、图像、声音等形式，它的应用范围已经涉及到政治、经济、科学、教育、法律、军事、物理、体育和医学等社会生活的各个领域。但是，随着微电子、光电子、计算机、通信和信息服务业的发展，尤其是以internet为支撑平台的信息产业的发展，使得网络安全的重要性日益凸现。信息随时都可能受到非授权的访问、篡改或破坏，也可能被阻截、替换而导致无法正确读取，给网络的正常运行带来巨大的威胁，甚至造成网络瘫痪。

根据美国“世界日报”1993年10月报道：由于高科技犯罪，利用侦读器拦截卫星通讯用户号码，再转手拷贝出售，1992年美国就有20亿美元的国际电话费转账混乱造成有关公司严重的损失。目前，仅仅银行的密码遭他人窃取，美国银行界每年损失就达数10亿美元之巨。在1996年初，美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计显示，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过，而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。

中国的网络安全虽然还比较落后，但黑客们却已经和国际“接轨”。据公安部的资料，1998年中国共破获电脑黑客案件近百起。利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达近千种。在中国，针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元，针对其他行业的黑客犯罪案件也时有发生。

计算机网络安全性研究始于20世纪60年代末期。但由于当时计算机的速度和性能较为落后，使用的范围也不广，因此有关计算机安全的研究一直局限在较小的范围。进入20世纪80年代后，计算机的性能得到了极大的提高，应用范围也在不断扩大，计算机已遍及世界各个角落。尤其是进入20世纪90年代，计算机网络出现了爆炸式的发展，这种发展把人们带到了一个全新的时空，在人们几乎全方位地依赖计算机网络的同时，网络环境下的信息安全问题再次出现在人们面前。

2　信息安全的初步认识

2.1　定义

信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。

2.2　研究内容

信息安全的研究涉及数学、计算机、通信、法律等诸多学科，大致可分为基础理论与应用研究、应用技术研究以及安全管理研究3个领域。其中，基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。

2.3　安全目标

信息安全从防护、检测和恢复体系上看，主要有6个安全目标：机密性、完整性、可用性、真实性、不可抵赖性、可控性。它们的含义解释如下：

机密性(confidentiality)：指信息不被泄露或暴露给未授权的个人、组织或系统。或者说，只有经授权的用户才能获知信息的真实内容，而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。

完整性(integrity)：指信息是完整的、一致的。即信息在生成、存储、传输或使用过程中未受到非授权的篡改或破坏。

不可抵赖性(non-repudiation)：指合法用户事后无法否认曾发送或接收到信息，或广义地对其行为不可抵赖。

真实性(authenticity)：指在信息交互过程中想过关的用户或主体是真实而非假冒或伪装的。

可控性(controllability)：指主体对系统或数据的访问是按照一定规则控制的，避免出现非授权操作或使用。

可用性(availability)：分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息，不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预定的规则运行，不会转移到非畅通状态，系统可用性与数据可用性具有密切的联系。

3　信息安全技术

3.1　加密技术

3.1.1　加密技术概述

加密技术能为数据或通信信息流提供机密性。同时，对其他安全机制的实现起主导作用或辅助作用。

加密算法是对消息的一种编码规则，这种规则的编码与译码依赖于称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文，也可以使用译码规则在密钥控制下把密文还原成明文消息。没有正确的密钥无法实现加密解密操作，从而使非授权用户无法还原机密信息。

根据密钥的特点，目前，加密技术分为两种：对称密码体制和非对称密码体制。对称密码算法有：des(数据加密标准)及其各种变形、idea算法及aes、rc5等。比较著名的非对称密码算法有：rsa、背包密码、ditter-heuman、圆曲线算法等。

3.1.2　密码体制

(1)对称密码。在对称密钥体制中，使用的密钥必须完全保密，且加密密钥与解密密钥相同，或从加密密钥可推出解密密钥，反之亦可。常见加密标准为des等，当使用des时，用户和接受方采用64位密钥对报文加密和解密。des主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。des算法仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。

(2)非对称密码。在非对称密码体制中，每个使用密码体制的主体(个人、团体或某系统)均有一对密钥：一个密钥可以公开，称为公钥；另一个密钥则必须保密，称为私钥，且不能从公钥推出私钥。在internet中使用更多的是非对称密码系统，即公钥系统。常用的公钥加密算法是lisa算法，加密强度很高。发送方在发送数据时，用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发送方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合intemet网上使用。

3.2　数字签名

数字签名也称电子签名，在信息安全中包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名包括两个过程：签名者以给定的数据单元进行签名，接收者验证该签名。

数字签名的主要工作方式为：报文发送方从报文文本中生成一个128 bit的散列值(或报文摘要)，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128 bit位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

数字签名技术应用十分广泛。如电子印章、商务合同等应用中主要采用数字签名技术，还有虚拟专用网(vpn)协议族、电子邮件安全协议族、web安全协议、安全电子支付协议等密钥分发都采用了数字签名技术。

3.3　身份认证

身份认证又称为鉴别或确认，它通过验证被认证对象的一个或多个参数的真实性与有效性，来证实被认证对象是否符合或是否有效的一种过程，用来确保数据的真实性。

身份认证在当今社会如金融、医疗、保险、海关、电信、公安等领域起到了举足轻重的作用。随着信息技术的飞速发展，电子商务、电子银行、网络安全等应用领域亟需高效的自动身份认证技术。分析现有的各种身份认证技术，一般意义上可以分为两大类。

3.3.1　传统身份认证技术 传统的身份证技术可以分为3类： (1)所知：你知道什么，这是基于秘密消息的认证方式。即认证方根据被认证方提供的信息来认证身份，典型的信息如口令、密码、暗语等。

(2)所有：你有什么，即令牌认证方式。认证方根据被认证方提供的某一实物或凭证来认证身份，典型的如令牌、证件、证书等。

(3)特征：你是什么，即生物特征认证方式。认证方根据提取被认证方的某些特征来认证身份，典型的特征如指纹、虹膜、dna等。

总体来说，这3种认证方式都各有利弊，选择哪种认证方式要根据自己的情况而定。

3.3.2　双因素身份认证技术

人们对于网络安全和信息安全的研究和了解，已经有相当长的一段时间了，因此基于动态密码技术的双因素身份认证技术得到了迅速发展，在网络环境下的身份认证系统中，使用动态密码卡作为身份确认依据是理想的，每一个动态密码卡是独一无二的装置，能有效地代表使用者的身份，可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。通过技术分析，使用密码卡具有安全性高、保密性强、抗抵赖性、抗重放性、抗暴露性、方便性等优点。所以，现在使用这种双因素身份认证技术可以为我们的一些网络使用带来一定的保障。

3.4　访问控制

访问控制机制使用实体的标识、类别或能力，确定权限，并授予访问权。实体如果试图进行非授权访问。将被拒绝。

除了计算机网络硬设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，必须具备安全的控制策略和保护机制，防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不允许的，其操作是无效的。

3.5　通信量填充——信息隐藏

通信量通填充就是指为了防止敌手对通信量的分析，需要在空闲的信道上发送一些无用的信息，以便蒙蔽对手。在专用通信线路上这种机制非常重要，但在公用信道貌岸然中则要依据环境而定。

信息隐藏则是把一则信息隐藏到看似与之无关的消息中，以便蒙蔽敌手，通常也要和密码结合才能保证不被敌手发现。

3.6　路由控制

路由控制是对于信息的流经路径的选择，为一些重要信息指定路径。例如通过特定的安全子网、中继站或连接设备，也可能是要绕开某些不安全的子网、中继或连接设备。这种路由的安排可以预先安排也可作为恢复的一种方式而由端系统动态指定。恰当的路由控制可以提升环境安全性，从而可以简化其他安全机制实施的复杂性。

3.7　公证

在两方或多方通信中，公证机制可以提供数据的完整性，发方、收方的身份识别和时间同步等服务。通信各方共同信赖的公证机构，称为可信第三方，它保存通信方的必要信息，并以一种可验证的方式提供上述服务。

3.8　安全标记

安全标记是为数据源所附加的指明其安全属性的标记。安全标记常常在通信中与数据一起传送，它可能是与被传送的数据相连的附加数据，也可能是隐含的信息。

身份认证技术论文篇9

关键字：电子认证；效率

中图分类号：F719文献标识码： A

名词解释：建设工程领域公共服务是指覆盖建设工程全生命周期的各种手续的办理，包括行政许可、审批、备案、服务等事项，本文中主要指当前条件下可通过网络信息平台办理的以上事项，统称为建设工程领域公共服务。

在人类社会的发展进程中，信任一直是一个难以解决的重要问题，随着文明的进步，社会主体间的信任度每况愈下。从早期的击掌盟誓，到符号、文字，到契约书画押，再到合同公章，这些都是为了解决信任问题。我们一直秉承怀疑一切的理念来对待每一个人、事、物，虽然我们已经进入了信息化时代，但是怀疑一切的理念依然贯彻其始终，在关系到公众切身利益的建设工程领域公共服务当中尤甚，严重影响了服务水平和效率的提升。作为建筑工程领域公共服务的提供者，我们希望为公众提供最优质、最高效的服务，同时我们必须确认当事人满足相应的资格和条件，才能为其提供相应的服务。问题随之而来，法定服务程序要求我们必须确认当事人是否满足相应资格和条件，所以当事人仍需自证身份、自证清白，方能享受相应的待遇。信息化时代,如何能快速、高效、准确的完成以上事宜呢？谈到这里我们必须引入一个概念――“电子认证”。

一、何谓“电子认证”

所谓“电子认证”就是通过网络技术和信息化手段实现当事主体的身份识别、完成出具具备法律效率的文件等事项.网络信息化时代的最大特征就是身份的数字化和隐形化，通过“电子认证”准确识别一个主体的身份的主要途径有以下几种，早期简单的“用户名+密码”身份认证体系、现行的“动态密码”、“智能卡”和“USB key”等身份认证体系,更前沿的生物识别技术的应用，如“指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等”和“签名、语音、行走步态等”。

早期的“用户名+密码”由于验证方法简单，安全性较差已经逐渐被时代抛弃，“动态密码”因其复杂也较少被应用，生物识别技术则只适用于单个自然人，不适用于群体性组织的主体。“智能卡”和“USB key”更适宜应用于建筑工程领域的公共服务过程之中。“智能卡和USB key”则经过了两个阶段的发展，第一阶段的主要实现了身份识别，其缺点在于其认证机构通常不是独立的第三方机构，而是占据优势地位的一方，所以其法律效力可能会遭到质疑，其次，功能的缺失限制了其使用范围，需要更多的人为操作来弥补不足，不利于生产力的解放；第二阶段则在第一阶段的基础上增加了电子签章功能，解决了第一阶段存在的问题，使其适用性更广，法律效率更强。通常我们把第二阶段称为“CA认证”。

CA认证是网络世界中数字身份证的发放机构，它签发数字证书并验证数字证书持有者的身份和权限，拥有辨别你的唯一身份的功能和电子签章功能；CA把个人或组织的公钥以及相关的一些鉴别信息嵌入每一张数字证书，然后用加密算法进行签名，以保证数字证书内所有信息的完整性和有效性；CA认证以现代密码算法为基础，由公证的，独立的第三方颁发，通过“网上身份证属、电子执照、电子公章”的形式来实现。

2005年4月1日《中华人民共和国电子签名法》颁布实施，该法第十三条规定了可靠的电子签名与手写签名或者盖章具有同等的法律效力；2005年05月，公安部治安管理局召开电子印章工作会议，明确指出：电子印章作为一种新型的印章章种，须依法纳入我国公安机关治安特种行业管理范畴；2009年3月31日《电子认证服务管理办法》颁布实施；2009年11月1日，《电子政务电子认证服务管理办法》办法实施。以上法律法规的颁布实施保证了电子认证的合法性和可靠性。

二、电子认证在建设工程领域公共服务中的强大作用

1、“电子认证”帮助当事人快速验明正身

验明正身是当事人享受建设工程公共服务的最根本前提，也是所有建设工程公共服务提供的必要前提，现行的办法主要是当事人带齐有效相关证件到相应部门进行现场核验，核验无误后再谈后续事宜。另外一种办法是当事人提前带齐有效相关证件到相关部门进行阶段性的身份备案，由相关部门出具证明文件证明其在这一阶段内身份无误，阶段内只要当事人出具证明文件即可随时商谈后续事宜的办理。这两种办法明显不符合时下社会公众对于建筑工程领域公共服务的方便性和高效性的需要。为了证明自己是自己，往往需要拎包抬箱，上楼下楼，驱车往返，一旦证件遗失，则面临着更大的麻烦，到各种有关部门开具各种证明，补办各种手续。

“电子认证”则可以有效避免此类问题，建设工程领域公共服务的对象通常是各类建筑市场主体（包括各类注册执业人员），相关主体只需依照相关法律法规要求办理全国统一的CA认证证书，以此作为自身合法身份标识，便可以持此证书通过网络完成身份核验，通过网络办理公共服务事宜，除特殊情况无需到现场进行身份核验，省去了诸多麻烦和烦恼。

2、“电子认证”帮助当事人快速完成自证

当事人享受建筑工程领域公共服务除需验明正身外，还需要证明自身具备享受相关服务的条件和资格，也就是自证清白。这一阶段当事人又需要准备大量的书面证据，并提交相关部门核验，这些书面证据一般散落于当事人的不同部门，或短时间内难以收集齐备，给工作造成一定的困扰，往返路途加重了当事人的人力、物力的浪费，造成工作周期延长，工作成本增加；同时核验工作通常需要一定的工时工日，书面证据的真实性、合法性往往难以在短时间内认定，延误下一环节的办理。

如采取“电子认证”，当事人可以通过一次性备案的方式将所有可能需要的书面证据全部以电子文件的形式记录到公共信息平台，所有书面证据加盖电子签章，证明其真实性、合法性，经过一次核实可长期使用，凡有建筑工程领域公共服务事项时，则可通过电子认证的方式登录网络，从公共信息平台中提取相关信息，提交相关部门审核，省去收集书证环节和递送文件环节，既节省了人力、物力，又提高了工作效率。

3、“电子认证”帮助建设工程领域公共服务者快速完成条件确认

“电子认证”同样可以帮助建设工程领域公共服务者快速完成条件确认工作，假使每个建设工程领域公共服务者都获取了合法的CA认证，则核验工作完全可以通过网络系统完成，持CA认证登录网络，由网络系统根据设定自动核验当事人提交的证据是否齐备，对于证据齐备的，公共服务人员逐一核验，符合要求的按规定格式做出电子回复，并于回复电子文件上签署电子印章，以确认其法律效力，然后快速提供相应服务，并将服务结果以加盖电子印章的电子文件的形式反馈当事人；不符合要求的给出结论，提示当事人进行补充，结论以电子文件的形式回复当事人，电子文件同样签署电子印章。所有公共服务提供者作出的结论均记入公共服务平台数据库，以备查询或服务申请人作为下一阶段的证据，其法律效力等同于书面证据。

4、“电子认证”帮助当事人快速获取结果

建设工程领域公共服务申请当事人提交申请后规定期限内可随时凭CA认证登录网络查看申请服务事项办理情况，有需要的可以打印公共服务提供者作出的确认结论。公共服务平台随时可以查阅公共服务者给出的结论，当下一环节需要本次结论作为证据时可以直接调用数据库记录,加盖电子印章后提交给其他公共服务提供者，以待核查。

三、“电子认证”的理想效果

假设建设工程领域公共服务申请当事人和公共服务者全部通过电子认证的方式完成工作，则会形成一个近似于闭合环状工作流，上一阶段的结论成为申请下一阶段服务的证据，这一阶段的结论又成为下一阶段的证据，公共服务申请当事人无需为收集证据、递送文件烦恼，公共服务提供者则无需怀疑公共服务当事人的身份及其提供证据的真实性，给出结论的依据更加可靠，做出答复的速度更加快捷。同样的申请，同样的证据只需登录网络，点点鼠标即可完成，节约人力、物力的同时缓解了社会矛盾，有效解放社会生产力，可在较大程度的提高建设工程了领域公共服务的效率和水平。

四、“电子认证”的优势

1、成熟的技术保障与现有业务网络平台对接

“电子认证”在我国的金融行业和电子商务领域应用已较为普遍，经过不断的实践检验，目前技术已经趋于成熟，对常用办公网络和操作系统的支持不在话下，尤其是对微软平台下的系列软件支持可谓良好；在电子政务方面的应用正在逐步展开，其原理是通过调用第三方通用软件接口来完成身份识别和电子印鉴等功能，数据安全、稳定、可靠，一旦形成不可变更修改。实际工作中仅需安装标准官方插件，对现有网络业务系统的验证模块做简单的调整即可实现，方便与现在绝大多数基于网络办公的业务平台对接。

2、适宜远程网络办公

“电子认证”强大的安全性保证了其在网络时代的王者地位，其保密机制和官方认可在确保其法律地位的同时，保证了数据的真实、有效、安全。可以完全取代传统办公模式，借助于信息技术，通过数据流的安全传送替代面对面的交流方式，实现远程网络办公，在降低成本的基础上提高效率。

3、汇集大量数据便于监控监管

身份认证技术论文篇10

关键词：人脸识别 二代身份证 几何归一化 MMP-PCA

中图分类号：TP311 文献标识码：A 文章编号：1672-3791（2016）03（b）-0019-02

二代身份证在现实生活中的应用广泛，银行、超市、政府部门、招聘场所等公共区域都需要使用二代身份证进行业务办理。二代身份证人脸识别身份认证系统能够在明亮或者昏暗的区域，对身份证的人脸信息完成认证活动；也能够对人脸图像较差的身份证进行认证，认证的准确率非常高。

1 人脸识别身份认证理论概述

二代身份证采用人脸生物特征，进行身份的识别认证。人脸识别技术有3种：个人身份信息识别、信息查询、人物监控定位。个人的脸部特征、身份标志一旦录入到人脸识别系统中，人脸识别系统就会将现有的脸部特征、身份标志，与原来输入的脸部特征、身份标志进行比对，在比对完成后就能得出准确结论。同时个人的脸部特征、身份标志在进入人脸识别系统后，人脸识别系统就会自动调出该用户的所有个人信息，以供信息提取者进行使用。人脸识别系统在对个人的脸部特征、身份标志进行识别的时候，只会发出“是”或者“否”两种信号，不会发出其他的混淆信号。人脸识别系统的监控定位功能，能够对录入信息的人员行动进行监控与跟踪，对嫌疑人员进行后台通知与跟踪。

二代身份证的安全性、保密性，远远高于一代身份证所具有的安全特征。二代身份证里面含有独立的读取芯片，公共场所的各种身份读取机器都能够顺利读取身份证中的身份信息。二代身份证通过警察局的电脑系统，将个人信息储存到二代身份证的读取芯片中。二代身份证人脸识别认证系统，首先通过读卡器对芯片中的个人信息进行读取。然后运用多个摄像头对身份证中的人脸图像进行扫描记录，以得到亮度与视角效果最好的人脸图像。最后对人脸图像中的信息特征进行读取，对比人脸识别系统中人脸图像信息，来判定身份证人物的一致性。

2 人脸识别身份认证系统框架结构与图像

人脸识别身份认证系统中的身份证读卡器，能够对身份证上的图像、文字进行读取。两个摄像头能够对个人的脸部特征进行录入，多通道人脸检测板卡能够对人脸图像信息进行识别与分析（见图1）。在识别分析完毕后，人脸识别身份认证系统会将识别结果进行发送，以供信息需求者随时查看。人脸识别身份认证系统所运用的图像，包括：二代身份证中的原始图像、摄像头采集的图像。二代身份证中的原始图像是通过压缩技术进行收录的低质量图像，图像的字节在1 k（大小为102×126像素）范围左右，图像像素也较低，锯齿现象明显。摄像头采集的图像非常清楚，像素也很高，最大的缺点是对光照的明暗不能进行人为控制（见图2）。

3 系统关键技术

3.1 图像预处理

图像预处理、MMP-PCA算法、数据库动态更新，是系统的关键技术。图像预处理是对得到人脸图像进行尺寸确定、倾斜度调整、眼镜去除、图像灰度值调整、亮度值调整等。图像预处理能够将不同的人脸图像处理成统一的规格与模式，以便多通道人脸检测板卡对人脸图像进行识别分析。

图像预处理需要对人脸图像进行旋转缩放处理，以保证人的双眼在一条水平直线上，同时任务衣服领口与双眼中心的距离要保持恒定。所有的图像尺寸都固定在360×480像素大小，那些不符合要求的二代身份证图像需要进行缩放处理，以保证其达到360×480像素大小。对于戴眼镜人群的摄像处理，需要他们将眼镜去掉或者佩戴无镜片眼镜。人脸识别身份认证系统运用Sobel operator边缘检测算法，进行人脸图像边缘检测。边缘检测能够查看人脸佩戴眼镜的情况，可以通过以下步骤对眼镜进行去除：首先要将眼镜边缘围成封闭的弧度，然后对边缘围成的封闭进行图像提取，再使用MMP-PCA重建方法对提取后的区域进行图像补偿处理，以保证眼镜提取后图像的完整度（见图3）。

在摄像头图像采集的过程中，会由于各种摄像头成像水平、成像角度的不同，产生成像效果的巨大差异。多通道图像输入机器再对各种人脸图像输入的过程中会由于图像间存在的差异而产生识别障碍。二代身份证图像、摄像机拍摄图像存在的差异，可以通过灰度值标准化予以解决。图像预处理能够使用灰度拉伸处理方法，对二代身份证图像、摄像机拍摄图像的成像原理进行调整，以达到不同图像的面部特征保持一致的效果。同时灰度拉伸处理方法还能够对人脸的面部细节进行突出，以提高人脸识别的精确度。

3.2 MMP-PCA人脸识别算法

人脸识别身份认证系统的核心算法，是MMP-PCA人脸识别算法。MMP-PCA人脸识别算法在识别的精确度、各种识别环境的适应程度，都好于其他的人脸识别算法。MMP-PCA人脸识别算法首先要对人脸的眉毛、眼镜、鼻子、嘴进行准确定位，然后运用人物部件多特征识别算法进行各部件的特征计算，选取最大的特征值对应的特征向量，就能够得到以上5个部位的特征值。然后运用公式：S（X，Y）=，进行二代身份证人脸图像、视频图像的相似度计算。（注：X：视频图像的投影向量；Y：二代身份证图像的投影向量。）将以上5个部件的特征值进行加权平均后，就能够得到二代身份证人脸图像与视频图像的相似度。

3.3 数据库的动态更新

由于摄像头拍摄图像的质量不高，摄像头拍摄人脸图像的时间与二代身份证图像拍摄时间的不一致等因素的影响，人脸识别身份认证系统在进行人物识别的时候会产生一定程度的偏差。因此二代身份证人脸识别身份认证也会产生一定的错误情况，而数据库动态更新方法能够运用数据更新的方式，解决人脸图像的偏差问题。

若没有数据库参与到二代身份证照片、视频照片的识别与对比中，他们也能完成相应的对比工作，但对比的精度会大大下降。数据库中储存着所有用户的身份证号与图像信息，二代身份证照片、视频照片可以通过这些信息完成身份的识别工作。系统在二代身份证、视频照片比对成功后，能够对数据库中的图像信息进行更新。数据库能够将全新的摄像照片储存在数据库中，以便未来身份证信息的查看与识别。在全新的摄像照片存储到数据库中后，再进行二代身份证照片的比对就可将更新的数据库图像，与现实照片图像进行比对，这样会大大提高比对的精确度。如果管理员能够肯定二代身份证照片、视频照片中的图像为同一个人的图像，则也可以对摄像照片进行存储与更新。二代身份证数据库图像的实时更新，能够大大提高再次识别的精确度。

4 实验结果与系统平台

通过对100个二代身份证照片、视频图像进行认证分析后，得出以下结论：二代身份证身份认证系统错误接受率为2.11%，错误拒绝率为1.96%，两者几乎相等。当错误接受率在0.1%、1%、10%时候，正确接受率为82.56%、95.03%、99.01%。根据人脸识别技术测试软件的检测，得出以下结论：在摄像光源强度不稳定的情况下，超高分辨率图像错误接受率为0.001时，错误拒绝率为0.102。高分辨率图像错误接受率为0.001时，错误拒绝率为0.115。在图像分辨率很低的情况下，得到的数据与以上数据过较大差别，因此人脸识别技术测试的结果较为准确。

二代身份证身份认证系统在对二代身份证照片进行认证的过程中，会将人脸与录入系统的身份证图像进行比对，然后给出其中的人脸相似度。若系统能够通过二代身份证照片认证，则系统会将全新的摄像照片进行储存；若系统没有通过二代身份证照片的认证，则会发出系统警报，也会将全新的摄像照片进行储存。

5 结语

MMP-PCA人脸识别算法，是二代证身份证身份认证系统所使用的主要算法。由于二代身份证所使用的压缩图像质量较差，将二代身份证照片、视频图像进行比对所得到结果的精确度也较低。因此MMP-PCA人脸识别算法，对二代身份证照片、视频图像进行尺寸大小与亮度的处理，成为二代证身份证身份认证中最主要环节。通过对视频图像进行角度矫正、缩放处理、眼镜摘除处理、灰度校正等，能够缩小视频图像与原图像间的差别。特别是在摄像光源强度不稳定的情况下，能够得到较好的识别效果。

参考文献

[1] 孙亦南，刘伟军，王越超.基于几何不变量的图像特征识别[J].计算机应用与软件，2013（12）：1-3.