陈 文,向罗勇
(重庆信息通信研究院,重庆 401336)
传统的基于移动网络的电力移动终端通信安全认证加密技术方法单一,需要进行大量的算法计算,整体效率低下。为有效弥补这一缺陷,提出一种新的身份认证与数据加密方法,即生物特征识别技术,将虹膜与指纹生物特征集成在一起,采用经过修改的Diffie-Hellman算法,完成身份认证与数据加密,有效弥补了传统认证加密方式单一缺陷的同时,降低了算法计算工作量,能够更好地保障移动网络的电力移动终端通信安全。
当前以移动网络为基础的电力移动终端在实际通信方面,主要有以下几点安全需求:一是能够对移动终端的一些关键装置以及系统代码进行完整性认证,能够对数据传输实现全过程监控,能够保障应用程序提供服务的安全性,最终为电力移动终端运行提供一个安全的环境[1];二是在电力移动终端中,能够结合实际需求,制定一个完善的安全控制策略,对用户进行身份认证,加强对访问权限的控制力度,保障不同终端程序之间的通信安全性,避免程序在运行时遭受外部攻击,导致相应的数据发生篡改、盗取等问题;三是电力移动终端在数据丢失后,能够自动启动相应数据的自毁机制,实现数据远程锁定或者销毁,及时清除相关的敏感信息,有效保障电力移动终端安全[2]。
本研究致力于通过采用新提出的身份认证及加密技术,保证电力移动终端的通信安全。传统身份认证与数据加密技术太过复杂,计算工作量较大,很容易影响整体通信安全防护效率,因此本文提出一种新的身份认证与数据加密方法,即生物特征识别技术,将虹膜与指纹生物特征集成在一起,完成身份认证与数据加密。
本次电力移动终端安全通信生物识别认证系统设计过程采用了经过修改的Diffie-Hellman算法,由此生成安全对话密钥指数。指数之间的差异主要通过对话双方主体的指纹与虹膜不同特征来体现,在此基础上,还需要采用Hash函数处理对话双方主体的指纹与虹膜[3]。另外,在两个移动用户之间,如果需要建立通信会话,需要远程进行机密数据的交换,同时还需要混合网络的帮助才能实现。这些混合网络主要由移动网络与固定网络组成。在电力移动终端安全通信生物识别认证系统的硬件结构设计方面,主要的硬件内容包括指纹扫描仪、虹膜相机、全球定位系统、蓝牙、安装有电力通信软件的计算机以及电力移动终端。通过指纹扫描仪,可以先进行指纹本地处理操作,顺利完成相应信息的采集。这些信息包括指纹信息、位置信息、通信会话的标识码等,会被传输至分布式应用服务器。上述这些信息用于表示会话双方的身份以及当前会话的数字。而位置坐标信息可以由外部GPS系统提供,或者由内部的其他定位装置设备来提供。
针对发起认证通信的子系统而言,可以通过指纹扫描装置生成唯一的会话加密密钥。在电力移动终端上还运行了很多功能模块,这些功能模块主要有:
(1)指纹扫描功能模块与虹膜扫描功能模块,主要负责提供指纹与虹膜扫描传感器的功能接口[4];
(2)GPS功能模块,负责GPS定位坐标的读取;
(3)蓝牙功能模块,主要负责蓝牙接口解释与蓝牙数据帧的转换,从而保证指纹读取装置与GPS系统之间能够稳定传输;
(4)认证功能模块,负责本地指纹识别与验证;
(5)加密功能模块,主要负责传输数据加密、解密,并结合实际安全需求,设置相应的安全级别;
(6)GPRS/WiFi功能模块,主要负责将接收的数据进行相应的格式转换。
在系统终端之间,整个通信过程需要多个软件组件的协同配合。在实际通信过程中,只有两个终端能够进行相互通信,因此终端主要组件构成并不复杂,除了用户界面、主线程外,还包括发送与接收线程。一般情况下,两个终端组件构成一致。每个组件功能也各不相同。首先,主线程主要负责创建其他组件,并执行与其他终端连接的程序。用户界面主要负责用户与程序的连接,用户能够通过该界面,完成信息的传输以及其他功能的使用。电力移动终端之间能够进行异步通信,因此用户在进行信息发送时,可以灵活选择信息发送的顺序。同步通信则离不开通信协议的支持,需要在两个实体之间定义交换消息的顺序与数量。为能够开展异步通信,每个终端中需建立两个独立的线程,分别负责信息的发送与接收。其中一个电力移动终端主要负责发送由主线程加密的数据,另一个电力移动终端负责加密数据的接收,并在主线程的帮助下完成解密工作。在两个移动终端之间,为了能够建立安全连接,应关注以下几点。
(1)移动电力终端向服务器发送连接请求,服务器接收请求后,会自动创建客户端新线程。
(2)移动电力终端会建立两个线程,对网络通信数据信息进行处理,这两个线程一个专门负责接收信息的处理,一个专门负责传输信息的处理。
(3)两个电力移动通信终端之间主要通过服务器实现彼此的通信。
(4)一个电力通信终端能够向服务器发送另一个电力移动通信终端的通信请求,并且将其转发到相应的移动通信终端中。
(5)信息传输至移动通信终端后,该终端会发送确认消息并创建链接,随后对话双方会自动生成密钥,两个终端也会交换关于密钥的信息[5]。
(6)生成私钥和公钥信息后,移动终端将发送加密消息。每个密钥证书,仅对一次通信会话有效,在加密消息交换后,通信会话将会关闭。在这种情况下,服务器会关闭客户端相应线程,移动终端也会关闭读/写线程。
指纹识别与虹膜识别都采用了图像处理算法,通过提取采集图像的特征点,并与所存储的图像特征点进行比对,如果特征点相同,即可验证通过。图像处理的效率将会直接影响整个识别的效率。在图像处理方面,有两种方法可供选择。一是Matlab图像处理算法,二是JavaSE算法。综合对比来看,无论是图像分割、直方图均衡,还是图像二值化与纹理增强,Matlab图像处理算法均有着更高的处理效率,因此生物识别宜采用Matlab图像处理算法。在数据传输加密方面,可采用JCE与JSSE框架生成的4种加密算法,分别是RSA加密算法、DES加密算法、AES加密算法以及SSL加密算法[6]。通过对这些算法的时间性能进行比对分析发现,RSA加密算法时间性能最差,因此整体效率较低。而SSL加密算法时间性能最高,可采用这种算法进行数据加密传输。
测试过程中,需要结合实际情况,完成电力移动终端的实验环境搭建,然后通过不同的操作,得出相应的时间性能数据。在实际过程中,围绕6种特定操作,反复进行60次测试,最终得出最长与最短的时间性能数据。其中,第一种操作为加载用于指纹识别的模块,用时最长时间为3.5 s,用时最短时间为3.1 s;第二种操作是移动客户端的验证,用时最长时间为3 s,用时最短时间为1 s;第三种操作是在数据库中插入新的数据,用时最长时间为350 s, 用时最短时间为190 s;第四种操作是图像处理数据,用时最长时间为200 s,最短时间为180 s;第五种操作是图像特征值比对,用时最长时间为3 s,用时最短时间为1 s;第六种操作是图像识别,该操作的用时具体视数据库规模大小而定。值得注意的是,上述数据性能测试不包括电力移动终端和服务器之间的通信时间。
移动终端实际测试的主要目的是测试电力移动终端执行相应生物识别功能所需的时间性能,同样进行六种操作。第一种操作是移动终端检测蓝牙设备,用时最长时间为20 s,用时最短时间为14.6 s;第二种操作是移动终端与虹膜/指纹设备建立连接所消耗的时间,用时最长时间为3.1 s,用时最短时间为1.8 s;第三种操作是通过实验装置读取虹膜图形与指纹信息,用时最长时间为0.3 s,用时最短时间为0.2 s;第四种操作是从移动终端中的实验装备加载虹膜与指纹图像,用时最长时间为46 s,用时最短时间为40.7 s;第五种操作是将新指纹/虹膜图形存储在移动终端中,用时最长时间为1 s,用时最短时间为0.5 s;第六种操作是从终端存储器中消除虹膜与指纹图像,用时最长时间为1 s,用时最短时间为0.5 s。值得注意的是,上述结果没有显示与服务器的连接时间性能。
第一种操作是认证,用时最长时间为2 s,用时最短时间为1 s;第二种操作是开启新会话,用时最长时间为8.3 s,用时最短时间为3.1 s;第三种操作是会话握手,用时最长时间为8 s,用时最短时间为3 s;第四种操作是基于数据库进行图像识别,用时最长时间为5.7 s,用时最短时间为5 s;第五种操作是进行信号中继点的搜索,用时最长时间为5.7 s,用时最短时间为5 s;第六种操作是蓝牙设备搜索,用时最长时间为20 s,用时最短时间为14.6 s;第七种操作是蓝牙设备连接,用时最长时间为3.1 s,用时最短时间为1.8 s。
基于移动网络的电力移动终端安全通信是一项较为系统、复杂的工作。为解决传统数据认证与加密的缺陷,本文提出了一种基于生物识别的认证和加密方法,非常适用于分布式电力移动网络,用于移动终端认证以及信息传输过程的加密,保障整体的通信安全。从最终的研究结果来看,这一方法有效弥补了传统认证加密方法过于单一的缺陷,但在完成会话密钥建立前,需要基于多个双向消息发送握手过程,这会对通信效率带来一定影响,但整体通信效率依然处于较高的水平。