移动身份证(精选5篇)
移动身份证 篇1
Valimo与冰岛国家身份提供商以电子形式签署移动身份证合同
移动身份认证领域的全球领先企业Valimo已经与冰岛国家认证机构Audkenni就Valimo移动身份证 (Mobile ID) 技术的提供签署了一份电子形式的合作协议。Audkenni是一家面向银行业的全国领先身份解决方案提供商, 由该国的商业银行与最大的电信运营商共同所有。到2013年年底, Valimo的移动身份证解决方案将让冰岛的所有移动用户都能使用强大的身份认证签名与具有法律效力的签名, 这些签名是确保银行与电子政务服务安全所不可或缺的。
Audkenni一直在向冰岛民众发放嵌入到借记卡中的证书, 以便安全访问在线服务, 尤其在电子银行和电子政务领域。移动身份证将通过市民的移动电话让现有的全国电子身份证基础设施覆盖到每一个市民。此举将为冰岛市民再提供一种选择来使用那些具有同样的高水平保证和移动便捷性的服务。用户还可随时随地安全访问银行、政府和企业提供的新的数字服务。
Valimo解决方案实现了一种与SIM厂商无关的方法, 有助于移动运营商缩短上市时间, 符合GSMA Mobile Identity Group旨在推广可互操作与联合移动身份证解决方案的战略。
Audkenni首席执行官Haraldur Bjarnason说:“移动身份证能够通过具有法律效力的电子签名实现手续与验证的数字化, 从而让市民免于奔波并节省时间。鉴于移动身份证的安全性与便捷性, 我们预计电子服务第一年的使用量将增长一到两倍。”
Valimo董事总经理Yousaf Ghous则说:“该项新协议对Valimo而言是一项了不起的成就。尽管我们是以电子形式签署的, 但是仍证实了电子解决方案的有效性受到法律保护。Valimo通过在10个国家开展的20次部署所积累的移动身份证专长, 将助力冰岛的移动运营商向所有用户推出安全、便捷的金融、保险与电子政务服务。”
Valimo就是您的网络身份证。Valimo实现了数字身份证的移动化。有了Valimo移动身份证, 移动电话用户只需输入所选的PIN码, 即可实现安全认证、数字文件签名并确认交易与付款。该多用途解决方案将强大的安全性与易用性结合起来, 实现新的移动服务概念与更高效的流程。Valimo移动身份证已被用于全球各地的众多服务, 包括在线银行、移动支付、电子与移动商务应用、政府服务以及企业身份与访问管理。该基于公钥基础设施 (PKI) 的双通道三重认证方法, 再加上第三方认证机构, 可随时随地生成一个具有法律效力的签名。就安装用户与活跃用户数量而言, Valimo移动身份证解决方案都是全球市场的佼佼者。Valimo Wireless创办于2000年, 总部设在芬兰, 2010年2月成为金雅拓集团旗下子公司。
移动商务身份认证评价体系的设计 篇2
一、移动商务身份认证机制和现有评价方法的分析
1. 移动商务身份认证机制的应用现状。
二十世纪九十年代,国外开始在无线网络环境下应用认证机制,目前,国外的移动商务身份认证机制主要采用无线公开密钥体系WPKI。WPKI使用公共密钥加密及开放标准技术构建可信的安全性架构。
2. 移动商务身份认证机制评价方法的分析。
[1]移动商务身份认证机制的现有评价方法主要为安全性证明的形式化分析方法和单一指标比较的系统仿真方法。安全性证明主要指形式化安全证明。形式化安全证明是基于Dolev-Yao模型的证明方法,此模型假设加密是“完美的”,攻击者可以截获任何原文,在此基础上对认证机制进行安全性证明。形式化分析方法主要分为形式逻辑方法、模型检测方法和定理证明方法。这些方法在理想状态下对移动商务身份认证机制进行安全证明,可以证明机制是否正确和安全。但在实际应用中,多数认证环境并非理想环境,因此,这些方法只能在理论上证明机制的安全性。
系统仿真方法主要利用数学建模的方法模拟网络行为、获得特定的网络性能参数,是机制性能分析的重要手段。通过选取仿真统计变量,模拟实现移动商务身份认证机制,分析其在仿真统计变量的运行结果,评价其性能的优劣。这种方法只能在设定的仿真统计变量中进行单一比较,难以评价机制的整体性能。如:Wei Liang等[2]在无线网络系统模型环境下对基于挑战/应答的身份认证机制在单次运行开销、单次运行延迟、单次掉线率和请求接受成功率四个统计变量进行仿真,只能比较认证机制分别在四个指标的优劣,无法对认证机制进行整体的性能评价。
国内也有学者提出过身份认证机制的评价体系。如:卢加元[3]根据层次分析建模方法建立了一个身份认证评价体系,对静态口令、动态口令、生物特征识别和USB Key四种身份认证机制进行比较,评价指标分别为投资成本、应用范围、安全等级、技术成熟性和维护成本。评价体系将评价结果量化,提高了可比性,但评价体系中选择的指标过于概括,评价的准确性无法保障。
二、移动商务身份认证评价体系的设计
1. 设计原则。
设计一套完善、合理和科学的移动商务身份认证评价体系,应遵循如下原则:(1)全面性。移送商务身份认证机制的评价应是全面性、多指标的综合评价。评价体系中指标的选择一定要全面,保证后期有筛选的余地。同时,避免选取重复性指标而影响评价结果。(2)科学性。设计移动商务身份认证的评价体系,必须反映影响移动商务身份认证机制的主要因素。只有坚持科学性原则,评价体系才客观可靠,评价结果才有效。(3)可行性。设计移动商务身份认证的评价体系,应做到评价程序与工作尽量简化,避免面面俱到,繁琐复杂。只有具备较强的可行性,评价体系的可操作性才更好。(4)可比性。为了便于比较,移动商务身份认证评价体系中各指标应能量化。移动商务身份认证机制的评价对象比较复杂,有些因素难以量化。但通常质需要一定的量表现,因此,评价指标应可以实现量化。(5)可扩展性。移动商务身份认证评价体系应采用模块化设计,可以根据移动商务身份认证机制的功能侧重选择不同指标组成评价体系,做到评价体系的灵活和可扩展。
2. 总体架构。
移动商务身份认证评价体系必须满足移动商务身份认证的特点,即体现对移动商务特性及身份认证效果的检验。移动商务的特性主要体现在网络环境、移动终端和服务三个方面。目前,移动通信网络存在带宽小、误码率高等问题,接口的开放性使得移动网络面临众多威胁,这些威胁可能导致不同种类的攻击。移动客户通常希望快速得到信息,体现了服务的即时性。身份认证的效果主要体现在安全性和性能两个方面。研究者Mangipudi提出基于无线网络的身份认证机制设计框架,[4]认为安全性和性能是最重要的两个因素。安全性包括安全需求和安全服务,安全需求主要为是否能够抵抗攻击,是必须满足的;安全服务则包括双向认证、不可否认等身份认证功能,可以选择是否需要满足。在性能方面,需要考虑握手次数、计算开销和传输开销等因素。
根据上述分析,移动商务身份认证评价体系的总体架构包含三大部分:安全性、适用性和成熟性。安全性主要体现移动商务身份认证机制的特性,即实现的认证功能、加密方法的安全、是否能够抵抗攻击保证数据的正确完整。适用性是移动商务特性和身份认证特性的结合,即移动终端的资源使用、网络传输量是否适合无线环境、等待服务时间是否可以忍耐。成熟性主要体现移动商务的特性,即简单易用的操作、稳定的运行、准确的身份认证和信息传输。
3. 指标选取。
移动商务身份认证评价体系中指标的选取应满足移动商务身份认证的需求,力争做到全面,但应避免指标之间相互关联而产生对某一因素的重复评价,导致评价结果的偏差,同时,由于机制的实际操作性较强,因此评价指标应尽可能量化。
依据传统电子商务的安全问题及移动商务的特点,移动商务身份认证机制在安全性上需要实现移动终端的安全性、无线通信网络的安全性、移动商务交易双方的身份认证和不可否认性四个方面的要求。[5](1)移动终端的安全性,设计指标为双向认证、匿名性、不可否认、数据完整和密钥协商。数据完整性指实现传递认证信息的完整,保证其不被非法篡改。由于认证功能指标是对机制功能的评价,因此,选择的指标多为定性分析指标,在评价过程中只需验证是否满足即可。(2)加密强度和抗攻击性用于验证无线通信网络的安全性,其中,加密强度指标用于评价机制的数据加密情况。影响加密强度的因素主要包括使用的密码体制、密钥长度及密钥新鲜性,设计指标为密码种类、破译时间和密钥新鲜。密码种类指认证机制可采用的密码类别,密码种类越多则机制安全性越高。破译时间指加密方法在实际应用中被破解所需理论年,这一指标包含密码体制和加密密钥长度两个因素,破译时间越长表明机制安全性越高。密钥新鲜指认证过程中连续使用同一密钥的握手次数,密钥新鲜性越好机制越安全。(3)抗攻击性指机制对于常见攻击的抵御能力,攻击严重性指标则可以衡量常见攻击对机制的破坏程度。
在移动商务环境下,身份认证机制只达到较高的安全性是不够的,适用性是评价机制的另一个重要因素,性能的高低决定机制是否适用。(1)资源占用用于评价机制运行中对移动终端资源的占用情况,设计指标包括终端计算量、运算复杂度和终端存储量。这三个指标在计量过程中以认证开始到认证结束整个过程中资源占用情况总和为最终值。(2)时间开销用于评价机制运行的时间消耗情况。为了去除移动终端计算消耗的时间,避免指标重叠,选择握手次数和单次握手延迟两个指标。握手次数指移动终端和认证服务器的通信次数。单次握手延迟指移动终端从发出请求到收到回复消耗的时间,它剔除了移动终端的运算时间,可以更准确地衡量认证服务器对移动终端请求回复的时间消耗。(3)传输开销用于评价机制中移动终端与认证服务器之间传输信息所用的开销,设计指标包括网络传输量和网络利用率。网络传输量指从认证开始到认证结束整个过程中移动终端与认证服务器之间传输的数据总量,它由身份认证机制的设计决定,剔除了移动网络带宽不同造成的干扰。网络利用率指网络带宽被占用情况和网络拥塞情况,它将网络传输量与移动网络传输情况结合,可评价机制与网络状况是否匹配。
安全性和适用性可以满足对于身份认证机制的评价需求,但对于移动商务,可靠性和易用性也是十分重要的评价因素,[6]因此,选择成熟性做为评价体系的指标。成熟性包括易用性、稳定性和准确性。(1)易用性用于评价机制在认证过程中是否会为用户带来不便,设计质保包括外部设备、生物特征和第三方认证。外部设备指机制认证采用的硬件及软件设备,不使用外部设备时机制易用性最优。生物特征指机制认证采用的某些生物特征,不使用生物特征时机制易用性最优。第三方认证指机制采用可信的第三方认证机构进行认证,不使用可信的第三方认证机构时机制易用性最优。(2)稳定性用于评价机制在不同网络环境下的认证完成情况,设计指标包括大量用户接入、外部干扰、误码率和丢包率。大量用户接入指大量移动终端并发访问认证服务器,可以衡量机制的稳定程度。外部干扰指机制认证中受到的场外影响,比如:讯号干扰等。误码率指信息传输过程中出现的误码比率,是最常用的数据通信传输质量指标。丢包率指节点之间发送数据过程中丢失数据包数量占发送数据包的比率,是衡量机制稳定性的重要指标。(3)准确性用于评价机制认证的准确性,设计指标包括认证准确性和数据传递准确性。认证准确性指机制实现正确的移动终端和认证服务器的身份认证。数据传递准确性指机制认证过程中正确地传输数据。
构建移动商务身份认证的评价体系后,可以采用层次分析法或者模糊综合评价法对体系的各个指标进行量化,从安全性、适用性和成熟性三个方面计算机制的评价结果,从而有效地评价移动商务身份认证机制的整体性能。
三、结束语
移动商务身份认证评价体系的设计对于选择移动商务身份认证机制非常重要。本文表述了移动商务身份认证评价体系的设计原则,在满足移动商务特性和身份认证效果的基础上提出体系的总体架构,并对安全性、适用性和成熟性逐层细化确定了各指标,设计了移动商务身份认证的评价体系,可以实现对移动商务身份认证机制的综合评价和分析比较。
参考文献
[1]WAP Forum.Wireless Public Key Infrastructure:WAP-217-WPKI-20040424[EB/0L].http://www.wapforum.com.2004.4.
[2]Wei L,Wenye W.On performance analysis of challenge/re-sponse based authentication in wireless networks[J].ComputerNetworks,2005,48:267-288.
[3]卢加元.身份认证系统的评价模型[J].电脑知识与技术,2006,(7):51-52,57.
[4]Kumar V.K.N.Mangipudi.New authentication and key a-greement protocols for wireless applications[D],North DakotaState University,2005.
[5]管有庆,王晓军,董小燕.电子商务安全技术[M].北京:北京邮电大学出版社,2005.
移动身份证 篇3
目前,身份认证技术是信息安全技术领域中一个热门的研究问题,如何解决传统身份认证技术中的难题, 直接关系到用户能否在各种应用的服务上得到安全性、 可靠性和可用性的保障。USB Key身份认证技术是近年来快速发展的一门身份认证、识别技术[1],它采用软硬件结合的方式,在各个领域中都得到了广泛的应用。在移动设备端,现有的身份认证方式已经包含了用户名密码、动态口令、USB Key和生物识别等多种身份认证技术。表1是USB Key身份认证技术与各种认证技术基于移动设备端在易用性、安全性、经济性和可接受性上的比较。生物识别首次应用在了苹果的i Phone手机上, 采用了指纹识别的身份认证技术,这种方式安全性和易用性高,但是经济成本较高,必须配备一定的硬件予以辅助,推广程度不是很广泛。用户名密码是每个移动设备端都基本具有的功能,其安全性比较低。动态口令在移动设备端虽然安全性很高,但是易用性较低,给用户带来的不便也较明显。所以基于经济性、安全性和可靠性的基础上,选择了在移动设备端使用USB Key进行身份认证。
基于移动设备的USB Key的身份认证技术可以很好地保证移动设备端以及其应用服务的安全性,主要从两个方面进行论述:用户在使用移动端应用服务时,移动设备端是如何识别USB Key,并且如何获取USB Key中的数字证书进行身份认证;移动设备端的用户在使用应用服务时是如何对用户身份进行认证,从而保证应用服务在移动设备环境下的安全性。
1相关技术
1.1移动设备
这里使用的移动设备以安卓系统为实验环境,安卓系统是一种基于Linux的自由及开放源码的操作系统, 作为一种开放式的操作系统,以Linux系统为核心,使用Java作为其主要的编程语言。安卓系统最初主要用于支持智能手机,后逐步扩展到平板电脑及其他领域上, 如智能电视、数码相机以及游戏设备等。
安卓系统在结构上采用分层的架构,分为四个层次,从高到低分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层[2]。安卓具有开源的特性,使得软件成本问题得到解决,也可以在安卓系统上实现USB Key身份认证技术。
1.2 USB Key身份认证
身份认证是指系统对登录用户身份进行验证的过程,验证用户的身份是否合法,是否具有访问及使用某种资源的权限,保护登陆用户的物理身份与数字身份相对应[3]。USB Key是数字证书和用户密钥的安全载体, USB Key身份认证技术与传统的用户名加口令的认证方式相比较,其安全性和保密性更强;与生物特征识别技术相比较,USB Key身份认证技术操作简单,技术成熟,推广应用成本低。简单易用、便于携带、安全可靠是USB Key最显著的特点[4,5]。
每一个USB Key都具有硬件、PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因素,即所谓 “双因子认证”[6]。用户只有同时取得了USB Key和用户PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户的PIN码,也无法仿冒合法用户的身份。从而最大限度的保护了合法用户的权利[7]。USB Key具有一定的安全数据存储空间,可以存储用户密钥、数字证书等秘密数据,对该存储空间的访问操作必须通过特定的程序来实现,且其中存储的用户私钥是不能导出的,这就杜绝了非法用户盗取用户密码和仿冒身份的可能。通过与智能卡技术相结合,嵌入了智能卡芯片的USB Key不但可以存储数据,还可以在USB Key内进行加/解密运算和生成随机密钥,从而密钥不必出现在客户端内存中,降低了密钥在客户端泄漏的可能性[8]。USB Key身份认证系统主要有两种应用模式,一种模式为冲击-响应的认证模式;另一种模式为公钥基础设施,即PKI体系认证模式[9,10]。
2 USB Key身份认证
2.1基于移动设备的USB Key身份认证方案
为了提高移动设备端身份认证的安全性,设计了一种适用于移动设备端的USB Key身份认证方案。用户在访问移动设备应用前首先需要进行身份认证,认证通过后,认证服务器通过匹配信息,决定用户是否有权利调用该移动设备应用服务。基于USB Key的移动设备身份认证模型,如图1所示,保证了用户在使用移动设备应用时能够具有惟一的身份标识,并通过这一身份标识保证用户身份的合法性得到验证,从而保证了移动设备应用服务的安全性。
移动设备应用服务的身份认证具体过程如下:
(1)USB Key通过转换接口与安卓设备相连接,移动设备首先对USB Key进行识别,识别通过后,移动设备提取存储在USB Key中的应用程序PID并验证。
(2)请求用户输入PIN码,验证通过后提取USB Key中存储的数字证书、私钥信息PK和对称密钥K,同时USB Key产生一个非重复随机数R标记此次会话,通过3DES加密算法加密应用服务信息和非重复随机数R,3DES的对称密钥K存储于USB Key中,通过私钥PK签名加密对称密钥K。
(3)根据PKCS#7标准将原始信息(即非重复随机数R和密文)、签名后的密文、加密后的密文信息以及数字证书打包发送给认证服务器。
(4)认证服务器验证证书有效性并使用证书中的公钥对密文进行解密,得到3DES对称密钥K,并使用3DES解密密文。
(5)将解密后的信息与原始信息进行匹配,相同则进行该移动设备应用服务的调用。
从上述过程中可得出,认证过程主要分两部分进行:移动设备端的加密以及数字签名过程和认证服务器端的身份验证过程。
2.2移动设备端
移动设备端在向认证服务器端发送应用认证请求时,首先需要检测USB Key是否插入,当USB Key成功与移动设备相连接,移动设备会对USB Key进行识别, 识别通过后,需要移动设备确认需要进行身份认证的应用程序,提取USB Key中存储的应用程序PID,并进行识别验证。验证后将应用程序信息通过USB Key中加密算法进行加密,提取USB Key中的数字证书,并打包密文和证书发送至认证服务器端,请求调用应用程序。 认证服务器端在接收到认证请求后进行认证,认证通过后使合法用户调用移动设备应用程序。移动设备端请求应用认证的流程图如图2所示。
移动设备端主要包括加密模块、证书获取模块和进程监控模块3部分。
证书获取模块:主要负责提取存储在USB Key中数字证书的相关信息。移动设备端需要请求数字证书对用户身份进行标识,并实现私钥对信息的加密签名,传送给认证服务器端。在进程监控模块读取到相应应用服务的PID后,移动设备端调用证书获取模块提取USB Key中的数字证书信息,保证数字证书信息与应用服务用户身份信息的对应。
进程监控模块:主要负责监控移动设备的应用程序服务,这是移动设备端的核心部分,需要负责加密模块和证书获取模块之间信息交流,协调其完成信息处理。 在设备检查到USB Key的连接状态后,读取USB Key的PID识别应用程序服务,识别成功后调用证书获取模块和加密模块进行信息处理。
加密模块:主要负责加密应用服务中的原始认证信息,包括了对认证信息的加密和数字证书信息的加密。 对于认证信息和数字证书信息,采用已经发展成熟的对称加密算法3DES。其中3DES的对称加密密钥K使用数字证书中的私钥SK进行签名封装发送至认证服务器端。如果只是单方面采用非对称性加密算法,有两种方式:第一种是签名,使用私钥加密、公钥解密,用于让所有公钥所有者验证私钥所有者的身份并且用来防止私钥所有者发布的内容被篡改,但是不用来保证内容不被他人获得;第二种是加密,用公钥加密、私钥解密,用于向公钥所有者发布信息,这个信息可能被他人篡改,但是无法被他人获得。这里对于对称密钥K使用第一种加密方式[11]。
2.3认证服务器端
认证服务器中的证书认证模块在接收到经过PKCS#7处理的报文后,证书验证模块对移动设备端提供的数字证书的有效期、证书链进行验证,并检查证书是否存在于CA证书库,失败则直接放弃。在通过数字证书验证后,认证服务器使用数字证书的公钥对传送的密文进行解密处理。将解密后的信息与原始信息进行匹配,如果信息匹配成功,则获取应用程序服务。认证服务器端验证流程如图3所示。认证服务器端主要包括解密模块和证书验证模块2个部分。
证书验证模块:主要负责验证数字证书的有效期、 证书链等信息。数字证书代表了移动设备端的惟一身份标识,证书验证模块通过验证证书的有效其、证书链、 是否位列黑名单以确保证书的可靠性和安全性。
解密模块:主要负责解密应用的用户信息和数字证书信息。首先在证书验证成功后,获取到证书中的公钥PK解密3DES加密算法的对称密钥K,然后对称密钥K解密收到的密文序列,解密应用服务信息和非重复随机数R。将由对称密钥K解密得到的信息与原始信息进行比较,最后认证服务器返回相应信息。
3安全性分析
随着移动设备的不断发展,移动设备简单易携、功能强大的特性,使得越来越多的用户对其青睐有加,移动设备端用户身份认证的安全性问题也越来越受到关注。对于移动设备而言,普遍的认证方式还仅限于用户名密码,给用户的身份安全性问题带来极大的风险。移动设备的安全问题主要在于用户账户和应用服务攻击, 而USB Key在经济许可以内很好地解决了这个问题。
(1)选择密文攻击和密钥猜测攻击。移动客户端与认证服务器端在每次交互式时,USB Key和认证服务器都会产生不同的密钥(即一对公钥和私钥)。这样就可以避免在密文泄露后,攻击者根据密文猜测密钥,或者直接猜测密钥。所以本方案可以应对选择密文攻击和密钥猜测攻击。
(2)重放攻击。移动设备端与认证服务器端进行交互时,USB Key会产生一个非重复的随机数和时间戳签名信息。时间戳可以解决时间同步带来的问题,同时可以保证消息的实时性。当攻击者实施重放攻击时,认证服务器端收到消息的时间戳与消息实际的时间戳相差较大,可以判断消息的不可信。所以本方案可以应对重发攻击。
(3)拒绝服务攻击。认证服务器端的证书验证模块可以判断请求的身份,如果对方不能通过数字证书的校验,则不给予公钥。所以本方案可以应对拒绝服务攻击。
(4)中间人攻击。移动客户端与认证服务器端进行的是双向证书验证,攻击者无法冒充其中之一对认证消息进行查看、修改和转发等操作。
4仿真实验
实验软硬件平台如下:
Phone:SAMSUNG SHV-E120S;OS:Android 4.1.2;USB Key: UKey2000;Server:LENOVO M820E;OS:Windows Sever 2008 R2,Oracle。USB Key身份认证安卓平台实现效果图见图4。
5结语
本文提出了一种基于移动设备的USB Key身份认证方案,解决了在移动设备端传统身份认证方式缺失的安全问题,提高了用户使用移动设备应用服务时的安全性和可靠性。移动设备应用服务的不断发展,用户身份认证所带来的安全问题也逐渐得到重视,仅靠用户名密码的传统方式已经出现很大的安全漏洞。对于用户而言,USB Key在移动设备的应用可以对用户身份信息得到很好地验证,经济性也可以接受,但并不简单易携。 因此,对于移动设备端的身份认证方式还有很多待于探索的领域,何种认证方式既能在带来安全性的同时,经济性、易用性、可接受性也能满足用户的需求,是移动设备身份认证领域研究的重点。
摘要:提出一种基于移动设备的USB Key身份认证方案,主要用于解决在移动设备端传统身份认证技术中存在的安全问题。在移动设备端使用USB Key身份认证技术可以很好地提高移动设备对用户身份认证的安全性。主要从两方面进行论述:移动设备端是如何获取USB Key中的数字证书并进行身份认证,从而保证移动设备环境下的安全;移动设备端的用户是如何进行身份认证,从而保证应用服务的安全性。通过安全性分析和实验可得出,这种身份认证技术可有效地抵御移动设备端账户和服务攻击。
移动身份证 篇4
随着智能手机的快速发展, 无线局域网络的大面积覆盖, 通过智能手机中的Wi-Fi设备连接无线局域网络已经成为智能手机的一个基本应用。由于通过无线路由器接入互联网不需要向移动运营商支付额外数据通信费用, 同时又具有较高的传输速率 (使用802.11b协议理论上可以达到54M带宽) , 因此在目前众多智能手机的Wi-Fi应用中, 通常是建立在通过无线局域网络访问外部Internet网络基础上。而智能手机在无线局域网络中的应用并不多见。
一、系统设计
通过对智能手机平台、计算机操作系统以及无线局域网络进行研究, 设计实现了具有以下功能的基于智能手机平台身份识别与数据共享系统:
智能手机与计算机机通过无限局域网络完成身份识别;
完成身份验证后, 共享P C机中数据;
完成身份验证后, 对P C机实现远程控制。
二、手机与P C机身份识别
身份识别是本系统的核心部分, 其他所有功能都是建立在身份识别无误的基础上完成的。通过身份识别将保护计算机用户数据不被泄漏, 同时防止未经允许的智能手机对连接在局域网络中的计算机进行控制及盗用数据。
身份识别通信过程如图2:
为了识别出一个合法的手机配对用户, 首先需要确定该用户的某个唯一特作为识别依据。由于每个SIM卡中存有该SIM卡唯一的序列号, 通过将该序列号提取出来并保存在PC端数据库中后可以参照GSM手机鉴权方法, 利用随机序列与该序列号进行运算, 通过比对手机端运算结果与PC端是否一致来判断当前接入的手机端是否合法。其过程如下:
初次连接时将手机中SIM卡序列号发送至PC端, 如果PC端数据库中包含此序列号则转2, 否则要求使用者选择是否配对, 若选择配对后该SIM卡序列号将保存在PC端数据库中。
PC端随机生成一组随机序列, 并回发至手机。
手机端在收到该随机序列后与SIM卡序列号进行计算, 将结果作为数据包验证码。
PC端将通过判定手机端发送的包数据验证码是否正确来决定是否对该用户进行响应。
三、文件传输部分
手机与PC机间通过无线局域网络传输文件。文件传输分为两个部分, 文件下载与文件上传。两部分结构相似, 互为逆过程。
文件下载流程:由手机端开始向PC端发送数据下载请求, PC端收到数据下载请求后将把Share文件夹内的文件列表写入数据包中的数据段并发送给手机端;然后手机端将把接收到的文件列表显示在屏幕上, 用户可以通过查看文件名称来确定需要下载的文件;接着手机端向PC端发送指定文件名的下载请求, 此时PC端将回发一个数据包其中包含了文件大小信息, 手机端在获得文件大小信息数据包后将做好文件接收准备, 并向PC端发送响应, 正式的文件传输将在P C端收到手机端发送的响应数据包后开始。
在文件传输过程中为了避免数据包接收顺序改变导致文件错误, 在接收文件传输数据包时将按照发送一个数据包后等待, 直到收到手机端响应后才发送下一个数据包的方式进行传输, 这样保证了文件的完整传输, 同时省去了在接收完后手机端对数据包按照顺序进行重组的过程。
文件上传流程:首先用户通过浏览手机中的文件确定将要上传的文件;接着由手机端开始向PC端发送文件上传请求并在数据包中的数据段中包含准备上传的文件名称和文件大小;PC端收到文件上传请求后做好文件接收准备, 向手机端发送准备完成数据包。之后进行的文件传输过程与文件下载中的文件传输过程类似, 只是PC端与手机端的位置进行互换。
四、手机对P C端监控部分
手机与PC端连接成功后, 可以通过手机端对PC端进行部分远程控制与屏幕监控。对PC端的远程控制主要是通过向PC端发送带有特殊操作符的数据包, PC端在收到数据包后进行操作符的解析, 之后根据不同的操作符执行对应的指令来实现的, 如关闭计算机、重新启动计算机。对P C端屏幕监视实现流程:首先手机端向P C端发送获得当前屏幕请求的数据包, PC端在收到数据包后将对当前屏幕进行截屏操作, 并压缩保存图片, 随后与手机端完成类似文件下载操作中文件传输部分的工作。当手机端接收完整个图片文件后, 将会在手机屏幕上显示该图片。
总结
智能手机时代已经来临, 随着信息技术的发展, 通过智能手机与计算机、互联网等数码产品互联的研究已经掀起。伴随着我国物联网络的发展, 智能手机通过无线局域网络与其他数码产品进行数据通信将成为智能手机在物联网络中的一种应用形式。本文的主要工作就是研究开发一种系统, 可以利用无线局域网络完成智能手机与计算机间的身份识别, 从而进行更加丰富的数据通信业务, 方便智能手机用户使用计算机中的资源。
摘要:研究利用智能手机强大处理能力的特点, 通过无线网络不仅拓展了手机存储空间, 提供了一种新的计算机用户身份识别方式, 更是通过对这一方向的研究为智能手机在物联网中的应用作参考。
关键词:智能手机,无线局域网,远程控制,物联网
参考文献
[1]沈苏彬, 毛燕琴, 范曲立, 等.物联网概念模型与体系结构.南京邮电大学学报 (自然科学版) .30 (4) 1-8.
[2]李宗恒, 李俭伟.主要智能手机操作系统发展现状及前景展望.移动通信.2010.2.3-4期
移动身份证 篇5
生物识别技术以其特有的稳定性、唯一性,被广泛的应用于安全认证等身份鉴别领域中。人脸识别技术以其可视性高的特点,正在成为新的生物识别技术主导,并且已成为公安工作进行布控排查,犯罪嫌疑人识别,司法人像鉴定等方面的辅助身份验证方法。但是基于PC机的互联网查询毕竟受着地理位置的限制,现设计了使用无线设备作为客户端,使用J2ME/J2EE结合来实现无线移动人脸身份识别系统,该系统能在无线网络覆盖区域,使用手机、PDA等进行及时地随时随地地查询,这必将为公安等对可疑人员进行有效的身份验证提供有力的帮助。
1系统总体设计框架
系统总体框架采用J2ME/J2EE集成,J2ME和J2EE结合可以成为最佳的移动企业解决方案。系统整体框架图如图1所示。
客户端使用移动手机作为程序的载体,使用J2ME作为开发平台,与用户进行交互,并通过HTTP协议,使用GPRS与服务器前端连接。服务器端采用2层结构,分别为WEB 层和数据库层。WEB层主要实现了业务逻辑,包括数据的IO以及图像数据的处理,并使用JDBC与数据库层进行数据信息的查询。人脸检测和识别模块包含在WEB层,它是整个服务器端的核心数据处理模块,用来对接受到的图像数据进行人脸定位及分类识别,为了提高算法的运算速度,模块采用C++编译成动态连接库,供WEB层调用。
2基于J2ME的客户端的设计
J2ME[1]是SUN公司针对手机、PDA等移动和嵌入式设备所推出的开发平台。它是标准版J2SE的缩减版本,是一种获得众多厂商的支持和广泛使用的移动设备开发平台。
J2ME平台体系结构采用3层结构设计,分别是Configuration(配置层)、Profile(简表层)、Optional Packages(可选包)。配置层定义了硬件所必须具备的能力,提供最大范围设备使用的最小类库集合。手机上的配置采用CLDC(Connected Limited Device Configuration),它是专门为具有间断性联网能力、较慢的处理器和有限内存的设备设计的。位于配置层之上的是简表层,它针对各种不同的机器的特征定义了高级的API,其中MIDP(Mobile Information Device Profile)是针对移动设备所定义的,它提供了应用程序模型、用户界面、持久性数据存储等高级API。位于简表层之上的是可选包,它是对J2ME平台的扩展,是为了满足特定市场需求的,如蓝牙通讯、无线消息服务等。
2.1手机图片的获取
J2ME的移动多媒体API(Mobile Media API,JSR 135)[2]可选包提供了一个功能强大、设计灵活,而且使用简单的框架来处理音频和视频。
MMAPI使用DataSource类处理数据传输协议,把数据源从文件、流媒体服务器或设备的摄像头等位置读入到媒体处理系统中。使用Player类处理数据内容,将数据从DataSource处解析、解码并绘制到输出设备上。管理器(Manager)是框架的入口,使用它可以从手机摄像设备来捕获图像。核心代码如下:
2.2使用HTTP协议建立网络连接
为解决不同移动设备的联网问题,CLDC提出了通用联网框架(Generic Connection Framework,GCF)。GCF 仅仅规范了网络连接的Java接口定义,而这些接口的具体实现留给不同的移动设备生产厂商。GCF的引入成功地解决了网络连接的复杂性,它基于接口设计,便于扩展。连接网络可以通过HTTP、Socket、Datagram等协议,尽管MIDP2.0支持了其中的大部分协议,但是低版本的MIDP1.0却只支持HTTP协议。然而所有版本的MIDP都必须支持HTTP协议,所以本文采用HTTP协议实现了系统的网络连接。
HTTP协议是属于应用层的面向连接的协议,基于请求/相应模式。GCF的HttpConnection接口扩展了ContentConnection,为基于HTTP协议的连接提供了所需的方法。与服务器连接的核心代码如下:
3基于J2EE的WEB服务器端的设计
使用J2ME/J2EE架构来建立多层的企业移动应用系统是很方便的。J2EE[3]是Sun公司推出的一种基于多层B/S的全新概念模型,它为多层的WEB应用系统提供了容器平台。
Servlet是一个与协议无关,跨平台的服务器构件,它被集成到服务器中,可以实现网络上的远程动态加载。服务器端的主要任务是通过Servlet作为前端来接受客户端发送来的图像数据,并与人脸检测和识别模块进行数据通讯。并通过JDBC访问后台数据库并返回查询信息。将返回的信息通过HTTP协议将信息返回给手机客户端。
3.1人脸检测和识别模块的原理及实现
人脸检测和识别模块是整个WEB层服务器的核心图像数据处理模块。整体框架如图2所示。
人脸检测的基本思想是用知识或统计的方法对人脸进行建模,比较所有可能的待检测区域与人脸模型的匹配度,从而得到可能存在人脸的区域。近年来出现了大量的人脸检测方法,但各种方法都有一定的不足。Paul Viola和Michael Jones[4]在2001年提出了一种基于Adaboost的人脸检测算法,从根本上解决了检测速度问题,并且有较好的识别率。Adaboost是一种自适应的boosting算法,它的原理是将一些简单的弱分类器(如Haar矩形特征)通过特定的训练需求(一般为检测率和误检率的要求)组成一个强分类器,在训练和检测时每一个强分类器对待检测的矩形特征进行判决,将这些强分类器级联起来就可以生成一个准确的、快速的分类器。因为每一个强分类器都可以否决待检测的矩形特征,所以前面的强分类器可以把大部分错误的特征给排除掉,因此它的检测速度快。
对检测到的人脸,需对人脸进行位置矫正,并将人脸区域归一化到100×100,然后进行特征提取。由于人脸图像易受光照、姿态的影响,所以识别过程中带有很大的非线性,因此传统的PCA、ICA等方法存在一定的局限性,而基于核函数的KPCA[5]具有更好的特征提取能力。KPCA首先通过核函数将原始数据映射到特征空间,进而在特征空间进行对应的线性PCA操作。然而KPCA在处理归一化得到图片时,图片仍具有很高的维数,将归一化的图片先经过DCT数据压缩后,选取经Zig-Zag 排序后的DCT系数的前几位数据,再进行KPCA特征提取,有效减少了运算量。
将特征提取得到的特征向量输入识别模块的分类器,从而得到识别结果。分类器采用基于统计学理论的支持向量机(SVM)[6],该方法是由Vapnik提出的一种新的机器学习方法。支持向量机算法可简述为将输入空间中的样本通过某种非线性函数关系映射到一个特征空间中,使两类样本(可推广到多类样本)在此特征空间中线性可分,并寻找样本在此特征空间中的最优线性分类超平面。SVM在处理小样本问题(样本数量少)和泛化能力方面较其他方法更具优势,同时SVM算法是个凸优化问题,因此局部最优解也是全局最优解,这是其他方法如神经网络所不具备的。
系统采用Adaboost进行级联人脸检测,并对检测到的人脸通过归一化,并使用DCT变换选取变换系数前几位特征,然后进行KPCA特征提取,将特征向量输入预先训练好的SVM分类器中进行识别。因为人脸检测和识别模块需要大量计算,为了解决效率问题,使用JNI(Java Native Interface,Java本地化方法)调用编译好的C++动态链接库,这样有效地解决了执行效率的问题。
4系统测试
人脸检测和识别模块算法测试如下:
(1)人脸检测模块 使用Adaboost算法,弱分类器采用haar矩形特征,通过训练2 700个人脸(20×20)与4 400个非人脸(20×20)得到人脸检测分类器。实验表明在P4 3.0 内存512M的PC下检测一幅包含人脸的200×300像素的图片的时间<40 ms。
(2)人脸识别模块 测试人脸库包含100个人共1000幅人脸图片,其中ORL库40个,YALE库15个以及网上下载45个。分别使用5个作为训练样本,另外5个作为测试样本。
DCT数据长度对识别率的影响,如图3所示。结果表明在DCT数据长度大于120时识别率基本保持不变,可见前120个数据包含了图像的绝大部分信息。
在使用SVM训练分类器时,不同的核函数对识别率的影响比较,如表1所示。结果表明由径向基核函数构造的支持向量机的分类性能最为优异。
系统测试阶段使用WTK2.5作为J2ME的模拟开发环境,服务器采用Tomcat,数据库采用MySQL,如图4所示。
5总结
设计了一套使用人脸检测和识别技术的移动身份识别系统。设计使用了可行的人脸检测和识别算法框架,测试表明在检测速度和识别率上都具有实用价值。在实现环节上使用了可移植的J2ME平台开发手机瘦客户端,并使用J2EE开发了服务器端。本系统将人脸识别技术应用到了移动设备上,将作为辅助手段为公安等进行身份验证提供有力帮助。
参考文献
[1]李观华,范辉.J2ME在移动通讯程序中的应用.计算机应用,2003;23(3):124—126
[2]Roger R,Van Peursem J,et al.J2ME无线设备程序设计.北京:电子工业出版社,2004
[3]唐润华,章潞,刘外喜.基于J2ME-J2EE移动集成查询系统的设计与实现.科学技术与工程,2008;8(1):87—90
[4]Viola P,Jones M.Rapid object detection using a boosted cascade of simple features.Accepted Conference on Computer Vision and Pattern Recognition,2001
[5]Scholkopf B,Smola A,Muller KR.Kernel principal component analy-sis.In Proceedings ICANN,LNCS,Springer,1997:583—589