陳 文，向羅勇

（重慶信息通信研究院，重慶 401336）

0 引 言

傳統(tǒng)的基于移動網(wǎng)絡的電力移動終端通信安全認證加密技術方法單一，需要進行大量的算法計算，整體效率低下。為有效彌補這一缺陷，提出一種新的身份認證與數(shù)據(jù)加密方法，即生物特征識別技術，將虹膜與指紋生物特征集成在一起，采用經(jīng)過修改的Diffie-Hellman算法，完成身份認證與數(shù)據(jù)加密，有效彌補了傳統(tǒng)認證加密方式單一缺陷的同時，降低了算法計算工作量，能夠更好地保障移動網(wǎng)絡的電力移動終端通信安全。

1 基于移動網(wǎng)絡的電力移動終端安全需求分析

當前以移動網(wǎng)絡為基礎的電力移動終端在實際通信方面，主要有以下幾點安全需求：一是能夠對移動終端的一些關鍵裝置以及系統(tǒng)代碼進行完整性認證，能夠對數(shù)據(jù)傳輸實現(xiàn)全過程監(jiān)控，能夠保障應用程序提供服務的安全性，最終為電力移動終端運行提供一個安全的環(huán)境[1]；二是在電力移動終端中，能夠結合實際需求，制定一個完善的安全控制策略，對用戶進行身份認證，加強對訪問權限的控制力度，保障不同終端程序之間的通信安全性，避免程序在運行時遭受外部攻擊，導致相應的數(shù)據(jù)發(fā)生篡改、盜取等問題；三是電力移動終端在數(shù)據(jù)丟失后，能夠自動啟動相應數(shù)據(jù)的自毀機制，實現(xiàn)數(shù)據(jù)遠程鎖定或者銷毀，及時清除相關的敏感信息，有效保障電力移動終端安全[2]。

本研究致力于通過采用新提出的身份認證及加密技術，保證電力移動終端的通信安全。傳統(tǒng)身份認證與數(shù)據(jù)加密技術太過復雜，計算工作量較大，很容易影響整體通信安全防護效率，因此本文提出一種新的身份認證與數(shù)據(jù)加密方法，即生物特征識別技術，將虹膜與指紋生物特征集成在一起，完成身份認證與數(shù)據(jù)加密。

2 電力移動終端安全通信生物識別認證系統(tǒng)設計

本次電力移動終端安全通信生物識別認證系統(tǒng)設計過程采用了經(jīng)過修改的Diffie-Hellman算法，由此生成安全對話密鑰指數(shù)。指數(shù)之間的差異主要通過對話雙方主體的指紋與虹膜不同特征來體現(xiàn)，在此基礎上，還需要采用Hash函數(shù)處理對話雙方主體的指紋與虹膜[3]。另外，在兩個移動用戶之間，如果需要建立通信會話，需要遠程進行機密數(shù)據(jù)的交換，同時還需要混合網(wǎng)絡的幫助才能實現(xiàn)。這些混合網(wǎng)絡主要由移動網(wǎng)絡與固定網(wǎng)絡組成。在電力移動終端安全通信生物識別認證系統(tǒng)的硬件結構設計方面，主要的硬件內(nèi)容包括指紋掃描儀、虹膜相機、全球定位系統(tǒng)、藍牙、安裝有電力通信軟件的計算機以及電力移動終端。通過指紋掃描儀，可以先進行指紋本地處理操作，順利完成相應信息的采集。這些信息包括指紋信息、位置信息、通信會話的標識碼等，會被傳輸至分布式應用服務器。上述這些信息用于表示會話雙方的身份以及當前會話的數(shù)字。而位置坐標信息可以由外部GPS系統(tǒng)提供，或者由內(nèi)部的其他定位裝置設備來提供。

針對發(fā)起認證通信的子系統(tǒng)而言，可以通過指紋掃描裝置生成唯一的會話加密密鑰。在電力移動終端上還運行了很多功能模塊，這些功能模塊主要有：

（1）指紋掃描功能模塊與虹膜掃描功能模塊，主要負責提供指紋與虹膜掃描傳感器的功能接口[4]；

（2）GPS功能模塊，負責GPS定位坐標的讀??；

（3）藍牙功能模塊，主要負責藍牙接口解釋與藍牙數(shù)據(jù)幀的轉換，從而保證指紋讀取裝置與GPS系統(tǒng)之間能夠穩(wěn)定傳輸；

（4）認證功能模塊，負責本地指紋識別與驗證；

（5）加密功能模塊，主要負責傳輸數(shù)據(jù)加密、解密，并結合實際安全需求，設置相應的安全級別；

（6）GPRS/WiFi功能模塊，主要負責將接收的數(shù)據(jù)進行相應的格式轉換。

在系統(tǒng)終端之間，整個通信過程需要多個軟件組件的協(xié)同配合。在實際通信過程中，只有兩個終端能夠進行相互通信，因此終端主要組件構成并不復雜，除了用戶界面、主線程外，還包括發(fā)送與接收線程。一般情況下，兩個終端組件構成一致。每個組件功能也各不相同。首先，主線程主要負責創(chuàng)建其他組件，并執(zhí)行與其他終端連接的程序。用戶界面主要負責用戶與程序的連接，用戶能夠通過該界面，完成信息的傳輸以及其他功能的使用。電力移動終端之間能夠進行異步通信，因此用戶在進行信息發(fā)送時，可以靈活選擇信息發(fā)送的順序。同步通信則離不開通信協(xié)議的支持，需要在兩個實體之間定義交換消息的順序與數(shù)量。為能夠開展異步通信，每個終端中需建立兩個獨立的線程，分別負責信息的發(fā)送與接收。其中一個電力移動終端主要負責發(fā)送由主線程加密的數(shù)據(jù)，另一個電力移動終端負責加密數(shù)據(jù)的接收，并在主線程的幫助下完成解密工作。在兩個移動終端之間，為了能夠建立安全連接，應關注以下幾點。

（1）移動電力終端向服務器發(fā)送連接請求，服務器接收請求后，會自動創(chuàng)建客戶端新線程。

（2）移動電力終端會建立兩個線程，對網(wǎng)絡通信數(shù)據(jù)信息進行處理，這兩個線程一個專門負責接收信息的處理，一個專門負責傳輸信息的處理。

（3）兩個電力移動通信終端之間主要通過服務器實現(xiàn)彼此的通信。

（4）一個電力通信終端能夠向服務器發(fā)送另一個電力移動通信終端的通信請求，并且將其轉發(fā)到相應的移動通信終端中。

（5）信息傳輸至移動通信終端后，該終端會發(fā)送確認消息并創(chuàng)建鏈接，隨后對話雙方會自動生成密鑰，兩個終端也會交換關于密鑰的信息[5]。

（6）生成私鑰和公鑰信息后，移動終端將發(fā)送加密消息。每個密鑰證書，僅對一次通信會話有效，在加密消息交換后，通信會話將會關閉。在這種情況下，服務器會關閉客戶端相應線程，移動終端也會關閉讀/寫線程。

指紋識別與虹膜識別都采用了圖像處理算法，通過提取采集圖像的特征點，并與所存儲的圖像特征點進行比對，如果特征點相同，即可驗證通過。圖像處理的效率將會直接影響整個識別的效率。在圖像處理方面，有兩種方法可供選擇。一是Matlab圖像處理算法，二是JavaSE算法。綜合對比來看，無論是圖像分割、直方圖均衡，還是圖像二值化與紋理增強，Matlab圖像處理算法均有著更高的處理效率，因此生物識別宜采用Matlab圖像處理算法。在數(shù)據(jù)傳輸加密方面，可采用JCE與JSSE框架生成的4種加密算法，分別是RSA加密算法、DES加密算法、AES加密算法以及SSL加密算法[6]。通過對這些算法的時間性能進行比對分析發(fā)現(xiàn)，RSA加密算法時間性能最差，因此整體效率較低。而SSL加密算法時間性能最高，可采用這種算法進行數(shù)據(jù)加密傳輸。

3 實驗測試分析

3.1 應用服務器測試

測試過程中，需要結合實際情況，完成電力移動終端的實驗環(huán)境搭建，然后通過不同的操作，得出相應的時間性能數(shù)據(jù)。在實際過程中，圍繞6種特定操作，反復進行60次測試，最終得出最長與最短的時間性能數(shù)據(jù)。其中，第一種操作為加載用于指紋識別的模塊，用時最長時間為3.5 s，用時最短時間為3.1 s；第二種操作是移動客戶端的驗證，用時最長時間為3 s，用時最短時間為1 s；第三種操作是在數(shù)據(jù)庫中插入新的數(shù)據(jù)，用時最長時間為350 s， 用時最短時間為190 s；第四種操作是圖像處理數(shù)據(jù)，用時最長時間為200 s，最短時間為180 s；第五種操作是圖像特征值比對，用時最長時間為3 s，用時最短時間為1 s；第六種操作是圖像識別，該操作的用時具體視數(shù)據(jù)庫規(guī)模大小而定。值得注意的是，上述數(shù)據(jù)性能測試不包括電力移動終端和服務器之間的通信時間。

3.2 移動終端測試

移動終端實際測試的主要目的是測試電力移動終端執(zhí)行相應生物識別功能所需的時間性能，同樣進行六種操作。第一種操作是移動終端檢測藍牙設備，用時最長時間為20 s，用時最短時間為14.6 s；第二種操作是移動終端與虹膜/指紋設備建立連接所消耗的時間，用時最長時間為3.1 s，用時最短時間為1.8 s；第三種操作是通過實驗裝置讀取虹膜圖形與指紋信息，用時最長時間為0.3 s，用時最短時間為0.2 s；第四種操作是從移動終端中的實驗裝備加載虹膜與指紋圖像，用時最長時間為46 s，用時最短時間為40.7 s；第五種操作是將新指紋/虹膜圖形存儲在移動終端中，用時最長時間為1 s，用時最短時間為0.5 s；第六種操作是從終端存儲器中消除虹膜與指紋圖像，用時最長時間為1 s，用時最短時間為0.5 s。值得注意的是，上述結果沒有顯示與服務器的連接時間性能。

3.3 移動客戶端與服務器之間的連接測試

第一種操作是認證，用時最長時間為2 s，用時最短時間為1 s；第二種操作是開啟新會話，用時最長時間為8.3 s，用時最短時間為3.1 s；第三種操作是會話握手，用時最長時間為8 s，用時最短時間為3 s；第四種操作是基于數(shù)據(jù)庫進行圖像識別，用時最長時間為5.7 s，用時最短時間為5 s；第五種操作是進行信號中繼點的搜索，用時最長時間為5.7 s，用時最短時間為5 s；第六種操作是藍牙設備搜索，用時最長時間為20 s，用時最短時間為14.6 s；第七種操作是藍牙設備連接，用時最長時間為3.1 s，用時最短時間為1.8 s。

4 結 語

基于移動網(wǎng)絡的電力移動終端安全通信是一項較為系統(tǒng)、復雜的工作。為解決傳統(tǒng)數(shù)據(jù)認證與加密的缺陷，本文提出了一種基于生物識別的認證和加密方法，非常適用于分布式電力移動網(wǎng)絡，用于移動終端認證以及信息傳輸過程的加密，保障整體的通信安全。從最終的研究結果來看，這一方法有效彌補了傳統(tǒng)認證加密方法過于單一的缺陷，但在完成會話密鑰建立前，需要基于多個雙向消息發(fā)送握手過程，這會對通信效率帶來一定影響，但整體通信效率依然處于較高的水平。