网络支付与结算中的安全技术研究(2)

　　（3）身份的可识别性（Validation）。能够鉴别通信主体身份的真实性，保证交易双方的身份可以识别和确认，未授权的用户不能进行交易，并且不会拒绝合法主体对系统资源的正当使用。
　　从支付安全的发展现状来看，分析用户网上支付主要出现的安全问题，由技术系统导致的风险相对较少，更多的问题主要集中在相对缺乏防御技术保障的用户端层面。如被钓鱼网站欺骗，受木马程序窃取密码、虚假银行网站套取用户信息等，破坏了信息的保密性、数据的完整性和身份的可识别性，从而产生相应的安全问题[8]。
　　2基于指纹识别和数字认证的网络身份认证技术
　　2.1指纹识别技术
　　指纹识别学是一门古老的学科，它是基于人体指纹特征的相对稳定与惟一，这一统计学结果发展起来的。生物特征识别是一个引人注目的问题，它是证明个人身份的根本方法，也被认为是最好的生物认证方法。众所周知，世界上没有两片完全相同的树叶，人间没有两枚完全相同的指纹。
　　因而，指纹是一种随身携带的特殊"印章"，正因其"人有各异，终身不变，不怕丢失，铭记在身"的特点，被世界公认为个人身份识别中最可靠的依据。指纹识别技术不仅免除了人们记忆密码、预留印鉴的烦恼，而且方便快捷，只需手指轻轻一按，立即便可完成身份鉴别[9]。
　　2.2指纹识别原理[10]
　　（1）集取（Capture）：首先利用指纹扫描器，将指纹的图形及其他相关特征集取下来。
　　（2）演算（Algorithm）：将图形及相关特征，运用程式运算及统计，找出该指纹具有所谓"人人不同且终身不变的特性"的相关特征点，并将之数位化，该数位化之数据自然仍具有指纹人人不同且终身不变的特性。
　　（3）传送（Transmit）：将数位化的指纹特征在电脑上运用各种方式传送，不论其传送方式或加解密方式，均仍保留该特有的特性。
　　（4）验证（Verify）：传送过来的数据再经程式运算、验证其与资料库中的比对资料的相似程度，达到一定程度以上的统计相似度，因其差异在某种极低的机率以下，即可代表这是由本人传送过来的指纹数据。故只要符合上述原理，中间无任何种转换上的漏失，且在一定的比对值以上，均可确认是本人的指纹。
　　2.3指纹识别的优点
　　（1）识别速度最快，应用最方便；
　　（2）推广容易、应用最为广泛、适应能力强；
　　（3）误判率和拒真率低；
　　（4）稳定性和可靠性强；
　　（5）易操作，无需特殊培训既可使用；
　　（6）安全性强，系统扫描对身体无害；
　　（7）指纹具备再生性；
　　（8）可持续的发展性。
　　2.4指纹识别的过程
　　指纹识别的过程，包括两个子过程4个阶段点。两个子过程是指纹注册过程和指纹识别过程。指纹注册过程包括四个阶段，分别是指纹采集、指纹图像处理、指纹特征值提取及建立指纹模板库。指纹识别的过程也经过四个阶段，分别是指纹采集、指纹图像处理、指纹特征值提取和指纹特征值匹配。指纹图像处理在两个子过程中是相同的。但指纹采集和指纹特征值提取，虽然名称相同，但内部算法流程是有区分的。在指纹注册过程中的指纹采集，其采集次数要多。并且其特征值提取环节的算法也多一些对特征点的归纳处理步骤。识别过程如图1所示。在计算机处理指纹时，只是对指纹的一些关键的信息进行匹配，其结果并不是100%的准确。
　　指纹识别系统的特定应用的重要衡量指标是识别率。主要有两部分组成：拒真率和误识率。两者成反比，用0～1.0或百分比来表达这个数。
　　2.5系统的拓扑结构
　　系统的拓扑结构如图2所示。
　　（1）身份认证服务器：即身份认证的处理端，主要负责认证匹配，即根据认证算法最终决定是否通过认证；负责处理身份认证过程中所需的各种信息和数据；分析认证记录，实现对网络的全局监控，提供正常或异常的操作警告及报告；建立、管理和维护指纹库。
　　（2）用户端：负责获取用户的相关信息和采集初始数据，提取指纹特征值，并将用户信息与指纹特征值加密，然后传送到身份认证服务器。
　　（3）业务服务器：主要负责完成相关业务操作，根据具体应用领域安装对应的业务应用模块。
　　用户必须通过信息和指纹进行身份认证来实现访问业务服务器的相关信息资源。第一步，用户输入信息进行系统登录，根据指纹采集设备采集到的用户指纹数据，在用户端进行指纹数据处理，获得指纹特征值。第二步，将用户信息与其指纹特征值传送至身份认证服务器，身份认证服务器从数据库取出该用户的指纹模板与用户端传来的指纹特征值进行匹配，若匹配成功则允许用户进行业务操作，否则禁止该用户进行操作。
　　从以上步骤可知，身份认证的操作是在服务器端完成的，在操作过程中需要通过网络进行信息传输。而在传输过程中，用户的身份认证信息就有可能会被窃取或破坏，为了确保用户的身份认证信息安全到达服务器，就需在信息传输之前对身份认证信息进行加密处理。
　　2.6系统的结构设计
　　整个系统结构如图3所示。系统采用标准的数字认证技术和指纹识别技术相结合的策略，用指纹作为身份认证地关键标示。并采用目前国际上采用的在线支付标准SET安全电子交易协议为参照，组建电子商务支付平台。
　　基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下，指纹图像或模板实现存入本地指纹模板库，在使用时用户经指纹仪读入指纹图像，经处理后在本地匹配，匹配的结果决定用户是否合法。在网络环境下（B/S结构），用户（客户端）如果要访问远程服务器所管理的信息资源，在获得相关资源访问权限之前，必须通过指纹身份认证，所有的信息资源访问权限都在身份认证系统（服务器端）管理之下，未通过身份认证的用户不能访问信息资源。为增强系统安全性，在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都经过加密。同时，指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中，此数据库只有本地进程能访问，以防用户信息泄漏[11]。
　　当模板内置于服务器时，通过客户端的指纹传感器获得用户的指纹信息，该信息被加上数字签名后传送到服务器，在服务器首先校验签名是否有效，再与预先注册的模板进行比较，并完成身份认证。