基于指纹识别的云存储身份认证系统设计

姚冰莹 李传芹 李超

（1.广州华夏职业学院，广东 广州 510935；2.广东科技学院，广东 东莞 523083）

基于指纹识别的云存储身份认证系统设计

姚冰莹1李传芹1李超2

（1.广州华夏职业学院，广东 广州 510935；2.广东科技学院，广东 东莞 523083）

针对WEB云存储系统现有"静态口令+实时数据”的身份认证模式存在安全性能较低的问题，设计了基于指纹识别技术的身份认证系统。该设计方案采用指纹识别的认证模式对云存储用户进行身份认证，提高了身份认证的安全性、可靠性，解决了云存储用户账号非法访问、篡改等问题。提出了基于对称加密算法、非对称加密算法的混合加密算法，并将其作为身份认证协议，有效提高了认证的效率，实现了海量数据的高效传输。实验结果表明，该方案在云存储身份认证系统中得到很好的应用。

云存储；指纹识别；身份认证；SSL认证协议；混合加密；安全性

1 引言

云存储是指利用网格技术、分布式文件系统和集群应用等技术[1]，将网络中大量不同类型的存储设备集合起来协同工作，然后通过应用软件或接口为用户提供在线数据存储和业务访问功能[2]。云存储的本质是服务而非存储，用户不需要自己建立数据中心，只需通过网络与"云”相连接，向SSP（存储服务提供商）申请存储服务，即能对数据进行存储、读取、删改等操作[3]。云存储具有易于使用数据接口和极强的扩展性，以及低成本、透明的支持基础能力和高峰负荷等特征。因此，云存储正逐渐成为广大机构的存储选择，云存储的研究成为热点的问题之一。

然而云存储安全问题阻碍了其推广发展，要使云存储得到真正的普及，云存储安全是要解决的首要问题[8]。我们可以使用多种防范技术来保障系统安全，其中，身份认证是应用系统安全防护的第一道防线。身份认证系统一旦被攻破，系统其他安全措施将形同虚设[2]。虽然当前WEB云存储的认证模式能在一定程度上防止非法入侵，但是攻击者仍然可以通过网络数据窃听、字典攻击、重放攻击等攻击方式破坏静态口令的安全[2]。

2 研究的原理

2.1 WEB云存储系统结构设计

(1)云存储的基础结构模型

云存储与传统的存储设备不同，并不是简单的硬件集成，而是由存储设备、应用软件、网络设备等构成的一个复杂的系统，通过应用软件和接口为用户提供服务。云存储的架构可分为四层：存储层，基础管理层，应用接口层，访问层。云存储系统基本结构如下图1所示[6-7,9]。除了应用接口层，其他三层对于用户来说是完全透明的，用户只需向SSP（存储服务提供商）申请存储服务，就能进行权限内的操作。本文在应用层与访问层中采用指纹识别的身份认证模式和SSL通信技术保障在网络传输中数据的安全。云存储服务器与用户之间进行双方身份鉴别后，用户代理通过安全应用程序编程接口(API)和云存储服务器连接进行数据存储服务。

图1 云存储系统基本结构图

(2)基于WEB的B/S架构云存储系统结构

指纹认证系统的核心包括数据库、系统管理、应用服务、用户管理、管理员管理五大部分，主要操作包括确定输入用户登录信息，获取指纹图像，指纹认证，批准访问。服务器保存指纹信息，进行指纹认证，客户进行指纹获取，及用户界面的应用。在这个系统中，每个客户都需要指纹传感器提取指纹进行登记或登录。指纹服务器包括指纹认证、指纹分类应用和登录平衡服务器。当用户第一次访问系统，客户应用需安装WEB浏览器组件，B/S架构的在线云存储系统如图2所示：

图2 基于指纹身份认证的B/S云存储系统

2.2 指纹识别

指纹识别的原理包括指纹采集，指纹特征提取，指纹匹配三大部分。通过指纹采集仪采集指纹，然后传输到计算机经过处理形成数字化的指纹图案[5]。指纹特征提取是指提取指纹局部和总体特征的值，然后构造成一个数字模板。指纹特征匹配是指结合指纹的局部特征和整体特征将指纹库中的指纹模板与用户输入的指纹跟进行比对的过程，如果比对的结果达到预设的阈值，则两者匹配，反之不匹配[4]。

3 主要研究内容

3.1 指纹认证流程

用户登录到在线云存储系统，若为注册，则发送指令到认证服务器，将提取合格指纹模版进行分类处理后存储，并发送与指纹模版对应ID号给用户；若为用户登陆，则根据用户的ID号，指纹认证服务器从指纹数据库中提取出指纹模版和用户输入的指纹进行匹配（1：1），最后提供认证结果给客户组件，客户组件将申请结果通过WEB服务器返回给用户。指纹认证流程如图3：

图3 指纹认证流程图

3.2 指纹身份认证协议

混合加密机制的SSL协议技术采用非对称加密算法（RAS)来建立WEB云存储服务器端和客户端之间的安全链接，采用对称加密算法（DES）进行数据的安全传输。此协议克服了DES安全性能不高、RAS解码复杂的缺点，既保证信道的安全性，又提高了数据传输的效率。

用户在客户端向WEB云存储服务器请求进行注册或登录，数字认证中心验证用户的注册或登录信息后，分别给客户端（公钥PUA和密钥PRA）和云存储认证系统（公钥KUAS和密钥KRAS）分发一对公钥和私钥，同时公布公钥。

客户端选取一个随机数x，通过等式(1)计算得到P1；用KUAS加密P1得到P2如等式（2）；用PRA加密P2得到P3如等式（3），发送P3给认证系统。云存储系统先采用PUA对P3进行解密得到P2，如等式(4)；再用KRAS对P2进行解密得到P1，如等式（5）。只有合法的WEB云存储服务器端才拥有KRAS，因此可验证其合法性[2]。

云存储系统选取一个随机数Y，用KRAS加密后，再通过PUA加密后的数据发送到客户端，加密算法公式同上。在客

户端通过依次PRA和KUAS解密得到Y，解密算法的公式同上。只有合法的用户才能获得Y，从而验证了客户端的合法性。由式(6)计算得到共享密钥SK。

SSL认证机制能有效地阻止用户和云存储系统之间的欺骗性连接，建立了WEB云存储服务器端和客户器端之间的安全信道。建立安全信道的过程如下图4所示：

图4 建立安全信道协议图

4 认证系统测试

受到条件限制，本文只进行用户登记和对比测试。使用指纹采集仪采集400多枚具有不同特征的指纹，通过交叉复制到2万条，在客户端测试指纹识别的性能。测试结果如下表1所示：

表1 指纹识别测试结果

从测试结果可知，随着计算机技术的快速发展和指纹识别算法的优化以及指纹采集仪性能的提高，指纹识别的拒真率、错识率以及识别速度达到了相当好的程度。因此，可将指纹识别技术作为WEB云存储的身份认证方式[2]。

5 结论

本文提出了基于指纹识别的云存储身份认证和混合加密建立安全通信的方法，提高了云存储身份认证和数据传输的效率、安全性和稳定性，并且此认证系统效率与性能达到要求，同时在云存储系统中得到有效的应用。指纹认证系统和云存储系统的并发性和平衡以及系统嵌入问题，直接影响到云存储身份认证的效率。将系统做到适度隔离和数据共享，以及指纹特征值作为用户关联的一组属性来加密数据存储是下一步要解决的问题。

[1]王永洲．基于HDFS的存储技术的研究[D]．南京邮电大学，2013．

[2]姚冰莹．指纹识别技术在WEB云存储安全认证中的应用研究[D]．广东工业大学，2014．

[3]李三青．基于云存储的PACS系统存储扩展方案研究[J]．信息技术与信息化，2015(9)．

[4]李振汕．指纹识别技术在身份认证中的应用与研究[J]．信息网络安全，2015(3)．

[5]王国华，王伊莉．基于指纹识别技术的USBKey设计[J]．自动化与仪器仪表，2015(8)．

[6]许志龙，张飞飞．云存储关键技术研究[J]．现代计算机：下半月版，2015(8)．

[7]朱杰．浅析“云计算”概念[J]．信息系统工程，2011(8)．

[8]石强，赵鹏远．云存储安全关键技术分析[J]．河北省科学院学报，2015(8)．

[9]于辉，李新虎，刘俊朋，等．云存储安全模型研究[J]．信息技术与标准化，2015(6)．

Design of the Cloud Storage Authentication System Based on Fingerprint Identification

Yao Bingying1Li Chuanqing1Li Chao2
(1.Guangzhou Huaxia Vocational College,Guangzhou 510935,Guangdong; 2.Guangdong Institute of Science and Technology,Dongguan 523083,Guangdong)

For the lower safety problem in the"static password+real-time data"authentication modes of WEB cloud storage system,this paper designs an authentication system based on fingerprint identification technology.It uses the authentication model based on fingerprint identification for user identity authentication,improving the authentication security and reliability,and solving the issues of user account illegal access and tampering.It proposes the hybrid encryption algorithm based on symmetric encryption algorithm and asymmetric encryption algorithm which is used as a identity authentication protocol.This method effectively improves the certification efficiency,and realizes the effective transmission of huge amounts of data.The experimental results show that the scheme obtains very good application in the cloud storage identity authentication system.

cloud storage;fingerprint identification;identity authentication;SSL certification agreement;mixed encryption;security

TP391.41

A

1008-6609(2016)07-0015-03

姚冰莹，女，湖北荆州人，硕士，研究方向：WEB系统开发，云计算。

广东省高校特色创新项目专项资金资助，项目编号：2015KTSCX162，2015KTSCX163；2015年度院级科研项目，项目编号：GKY-2015KYYB-19。