結(jié)合生物特征的PKI/CA認(rèn)證系統(tǒng)設(shè)計(jì)*

徐 輝，張 瑩，步曉亮，李 強(qiáng)

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

為了確保各種信息和服務(wù)在網(wǎng)絡(luò)上安全進(jìn)行，安全身份認(rèn)證是網(wǎng)絡(luò)安全系統(tǒng)措施的一個(gè)重要部分。

目前，PKI認(rèn)證體系是應(yīng)用最廣泛、最成熟的一種身份認(rèn)證機(jī)制，但要求用戶必須安全保存其密鑰。一方面復(fù)雜的口令難以記住，另一方面簡(jiǎn)單的口令密碼容易被黑客通過(guò)各種方式破解而造成安全威脅，因此在安全要求更高或者某些特殊場(chǎng)合，需要其他的方法來(lái)保護(hù)密碼。

生物特征認(rèn)證是利用人的生物特征來(lái)進(jìn)行身份認(rèn)證的一種手段。隨著計(jì)算機(jī)的發(fā)展和各種算法的不斷改進(jìn)，生物特征認(rèn)證技術(shù)作為一種準(zhǔn)確、快速和高效的身份認(rèn)證方法，正被越來(lái)越廣泛地應(yīng)用于各種需要身份認(rèn)證的領(lǐng)域[1]。

本文設(shè)計(jì)了一套將生物特征和PKI認(rèn)證相結(jié)合的PKI/CA系統(tǒng)，實(shí)現(xiàn)了生物特征和PKI認(rèn)證兩種認(rèn)證技術(shù)的優(yōu)勢(shì)互補(bǔ)，可提供更安全性、更可靠的身份認(rèn)證服務(wù)，以滿足不同安全級(jí)別的身份認(rèn)證應(yīng)用場(chǎng)景。

1 生物特征技術(shù)

人的生物特征可以分為兩大類：動(dòng)態(tài)特征（如語(yǔ)音、簽名、不太、唇形動(dòng)作和擊鍵模式）和靜態(tài)特征（如指紋、虹膜、視網(wǎng)膜、手形、耳形和手掌靜脈圖）。生物特征認(rèn)證技術(shù)是提取具有唯一性的生理特征或行為方式作為認(rèn)證依據(jù)的技術(shù)。整個(gè)認(rèn)證過(guò)程分為四個(gè)步驟：生物特征提取、特征模板生成、特征策略與比較和特征匹配。生物特征認(rèn)證系統(tǒng)首先提取人的生物特征，經(jīng)過(guò)數(shù)模轉(zhuǎn)換后提取其唯一的特征。然后，把這些特征描述進(jìn)一步歸納和總結(jié)生成特征模板。認(rèn)證系統(tǒng)在驗(yàn)證人的身份時(shí)，利用相應(yīng)傳感器獲取其特征，并轉(zhuǎn)換成預(yù)定義的數(shù)字格式，對(duì)比測(cè)量結(jié)果和特征模板，根據(jù)匹配程度判斷這個(gè)人的合法性。

理論上，一個(gè)生物特征要想用于身份認(rèn)證系統(tǒng)，必須滿足如下要求[2]：

唯一性：必須可以從此特征導(dǎo)出此人的身份，沒有兩個(gè)人有相匹配的特征值；

穩(wěn)定性：此特征不會(huì)隨時(shí)間推移顯著改變；

普遍性：所有需要進(jìn)行身份認(rèn)證的人都擁有此特征；

可收集性：此特征能夠被量化測(cè)量。

實(shí)際應(yīng)用中，還有三個(gè)重要因素也需要考慮[2]：

（1）在合理的資源需求下，實(shí)現(xiàn)可接受的識(shí)別準(zhǔn)確度和速度；

（2）對(duì)人沒有傷害且可為人們接受；

（3）對(duì)各種欺詐方法有足夠的防御性。

目前，人們研究和使用的生物特征識(shí)別技術(shù)主要有指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別、掌形識(shí)別、掌紋識(shí)別、簽名識(shí)別、語(yǔ)音識(shí)別和鍵擊識(shí)別等。每種生物特征測(cè)定技術(shù)都有各自的長(zhǎng)處和局限，適用于不同的認(rèn)證應(yīng)用。

2 PKI技術(shù)

公共密鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）技術(shù)以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，將個(gè)人、組織、設(shè)備的標(biāo)識(shí)信息與各自的公鑰捆綁，主要目的是通過(guò)自動(dòng)管理密鑰和證書，為用戶建立一個(gè)安全、可行的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，在互聯(lián)網(wǎng)上驗(yàn)證用戶身份，從而保證互聯(lián)網(wǎng)上傳輸信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性[2]。目前，PKI可以提供的安全服務(wù)包括：身份認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性能夠和不可抵賴性等。用戶可以利用PKI提供的這些安全服務(wù)進(jìn)行安全電子交易、電子政務(wù)等服務(wù)。PKI可以提供認(rèn)證、完整性和機(jī)密性等核心服務(wù)，還可以支撐安全通信、安全時(shí)間戳、公正和不可否認(rèn)等服務(wù)。

3 生物特征與PKI技術(shù)的結(jié)合

當(dāng)前，PKI/CA技術(shù)體系比較成熟，國(guó)內(nèi)外相關(guān)的PKI/CA產(chǎn)品和實(shí)際運(yùn)用均比較成熟。隨著生物特征識(shí)別及相關(guān)認(rèn)證技術(shù)的快速發(fā)展，如何將生物特征與PKI/CA技術(shù)相結(jié)合，以改進(jìn)基于PKI/CA認(rèn)證的安全性，降低PKI/CA維護(hù)和管理的復(fù)雜性，是當(dāng)前身份認(rèn)證研究的一個(gè)熱點(diǎn)。目前，生物特征主要可從以下三個(gè)方面與PKI/CA技術(shù)體系相結(jié)合。

3.1 生物特征作為口令

因PKI/CA頒發(fā)的數(shù)字證書通常存儲(chǔ)在USBKEY、IC卡中或其他文件中。使用USBKEY、IC卡中數(shù)字證書時(shí)，都需要使用口令，存在口令易忘記、易竊取的風(fēng)險(xiǎn)。生物特征作為口令是指將生物特征識(shí)別數(shù)據(jù)作為訪問(wèn)這些證書存儲(chǔ)介質(zhì)的口令，以避免出現(xiàn)上述風(fēng)險(xiǎn)，且更容易保管。比如：使用具有指紋識(shí)別的USBKEY存儲(chǔ)PKI/CA頒發(fā)的證書，將指紋信息作為訪問(wèn)口令，一定程序上改善并提高了安全性。

3.2 生物特征作為認(rèn)證因子

生物特征作為認(rèn)證因子是指將生物特征信息作為PKI/CA系統(tǒng)中數(shù)字證書的一個(gè)證書項(xiàng)或擴(kuò)展項(xiàng)存儲(chǔ)，使個(gè)人的數(shù)字證書能夠與其生物特征信息捆綁起來(lái)，為雙重認(rèn)證提供技術(shù)手段。在使用數(shù)字證書進(jìn)行身份認(rèn)證時(shí)，由數(shù)字證書完成傳統(tǒng)的證書認(rèn)證過(guò)程部分；由證書中的生物特征信息完成基于生物特征的識(shí)別和認(rèn)證過(guò)程；最后，將兩部分認(rèn)證結(jié)果歸結(jié)在一起作為一個(gè)認(rèn)證結(jié)果反饋。也可以根據(jù)實(shí)際需要，分別只作基于證書的認(rèn)證或生物特征識(shí)別的認(rèn)證。通常，此種方式運(yùn)用在安全級(jí)別較高的場(chǎng)景。這種結(jié)合方式提升了PKI/CA認(rèn)證系統(tǒng)的靈活性、安全性，滿足了不同的證書運(yùn)用需求。

3.3 生物特征作為密鑰

生物特征作為密鑰是指將生物特征信息作為個(gè)人密鑰信息，通過(guò)某種算法對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)。比如：將生物特征作為對(duì)稱密鑰，用于加密/解密一些重要數(shù)據(jù)信息；或?qū)⑸锾卣髯鳛榉菍?duì)稱密鑰對(duì)中的私鑰信息，通過(guò)某種密碼算法計(jì)算相應(yīng)的公鑰信息，而該公鑰信息則通過(guò)PKI/CA中的證書形式進(jìn)行分發(fā)和使用。由于生物特征的唯一性且其依附在具體每個(gè)個(gè)人身體上，因此通過(guò)此種方式可確保生物特征作為密鑰在分發(fā)、使用和存儲(chǔ)中的安全。

4 結(jié)合生物特征的PKI/CA認(rèn)證系統(tǒng)設(shè)計(jì)

4.1 總體設(shè)計(jì)

本文基于生物特征作為認(rèn)證因子的思路，采用相對(duì)松耦合方式進(jìn)行設(shè)計(jì)。生物特征數(shù)據(jù)信息本身不存儲(chǔ)在證書中，僅通過(guò)PKI/CA系統(tǒng)頒發(fā)可索引生物特征信息的數(shù)字證書，實(shí)現(xiàn)證書+生物特征的雙因子機(jī)制。具體地，PKI/CA系統(tǒng)采用X.509數(shù)字證書將生物特征有關(guān)信息與證書關(guān)聯(lián)起來(lái)。但是，生物特征數(shù)據(jù)信息本身不存儲(chǔ)在證書中，僅在證書擴(kuò)展項(xiàng)存儲(chǔ)生物特征信息的索引標(biāo)記。通過(guò)該索引標(biāo)記項(xiàng)可以檢索到后端相應(yīng)的生物特征數(shù)據(jù)信息庫(kù)。后端的生物特征數(shù)據(jù)信息庫(kù)和PKI/CA的證書數(shù)據(jù)信息庫(kù)分別獨(dú)立。設(shè)計(jì)原理如圖1所示。

圖1 設(shè)計(jì)原理

4.2 關(guān)鍵數(shù)據(jù)設(shè)計(jì)

本設(shè)計(jì)中采用X.509V3標(biāo)準(zhǔn)的證書格式存儲(chǔ)個(gè)人相關(guān)的基本信息，并由PKI/CA進(jìn)行簽發(fā)，設(shè)計(jì)了生物特征數(shù)據(jù)模板來(lái)存儲(chǔ)有關(guān)個(gè)人的生物特征信息，兩者之間通過(guò)自定義的特征標(biāo)識(shí)進(jìn)行關(guān)聯(lián)和索引。本文重點(diǎn)對(duì)系統(tǒng)的關(guān)鍵證書項(xiàng)和生物特征數(shù)據(jù)信息項(xiàng)進(jìn)行研究和設(shè)計(jì)，有關(guān)生物特征信息的保護(hù)是另一個(gè)研究方向，在文獻(xiàn)[3]中有進(jìn)一步研究，本文不再贅述。本設(shè)計(jì)中，證書和生物特征數(shù)據(jù)模板存儲(chǔ)數(shù)據(jù)如圖2所示。

圖2 關(guān)鍵數(shù)據(jù)信息

其中，系統(tǒng)頒發(fā)的證書由基本證書域和證書擴(kuò)展構(gòu)成。基本證書域是填充有關(guān)證書信息的基本信息，證書擴(kuò)展則提供了關(guān)聯(lián)用戶或公鑰的附加性質(zhì)和管理驗(yàn)證層次的方法，允許自定義私有的擴(kuò)展，使證書具備獨(dú)有的信息。基本證書域包括版本、序列號(hào)、使用者主題、有效期、頒發(fā)者主題、證書公鑰信息、擴(kuò)展項(xiàng)和頒發(fā)者簽名等。證書擴(kuò)展項(xiàng)中除了包含X.509標(biāo)準(zhǔn)的證書擴(kuò)展項(xiàng)外，自定義了一個(gè)生物特征信息標(biāo)識(shí)項(xiàng)，可通過(guò)該項(xiàng)將標(biāo)準(zhǔn)的證書與其相對(duì)應(yīng)的生物特征信息關(guān)聯(lián)起來(lái)。

生物特征數(shù)據(jù)模板主要由以下項(xiàng)構(gòu)成。

生物特征標(biāo)識(shí)：唯一，是證書與生物特征數(shù)據(jù)信息關(guān)聯(lián)的關(guān)鍵項(xiàng)。通常，可將計(jì)算生物特征數(shù)據(jù)信息內(nèi)容計(jì)算HASH值作為該項(xiàng)的填充值，以確保其唯一性。

數(shù)據(jù)信息內(nèi)容：存儲(chǔ)的生物特征具體內(nèi)容。本設(shè)計(jì)中該項(xiàng)作為生物特征識(shí)別驗(yàn)證的基準(zhǔn)值。

生物特征算法：指定進(jìn)行生物特征驗(yàn)證時(shí)所采用的算法。

特征類型：指定相應(yīng)的生物特征類型，如0代表指紋、1代表面部照片等。

識(shí)碼率：指定生物特征所容忍的識(shí)別校驗(yàn)偏差，如1%，表示生物特征信息識(shí)別驗(yàn)證誤差在±1%之內(nèi)均可接受。

有效期：指定該生物特征數(shù)據(jù)信息的有效時(shí)間段。

頒發(fā)者簽名：對(duì)該生物特征數(shù)據(jù)信息模板進(jìn)行簽名，保護(hù)其完整性和真實(shí)性。該項(xiàng)由和數(shù)字證書相同的權(quán)威頒發(fā)者進(jìn)行簽名。

基于上述生物特征數(shù)據(jù)模板數(shù)據(jù)項(xiàng)進(jìn)行驗(yàn)證的原理，如圖3所示。

圖3 生物特征驗(yàn)證原理

如圖3所示，生物特征數(shù)據(jù)通過(guò)相應(yīng)的算法計(jì)算生物特征數(shù)據(jù)，之后通過(guò)與生物特征基準(zhǔn)數(shù)據(jù)進(jìn)行對(duì)比[4-5]，偏差在識(shí)碼率范圍之內(nèi)則認(rèn)為生物特征匹配，否則認(rèn)為不匹配。

4.3 主要流程設(shè)計(jì)

在結(jié)合生物特征的PKI/CA系統(tǒng)中，證書申請(qǐng)過(guò)程中除了提交個(gè)人的基本信息外，還需要提交相應(yīng)的個(gè)人生物特征信息，以便系統(tǒng)能夠頒發(fā)數(shù)字證書，并按照生物特征數(shù)據(jù)信息模板存儲(chǔ)相應(yīng)的生物特征數(shù)據(jù)。證書驗(yàn)證過(guò)程中，需要提交個(gè)人數(shù)字證書和生物特征信息，系統(tǒng)可通過(guò)證書和生物特征信息進(jìn)行雙重驗(yàn)證，確保驗(yàn)證的真實(shí)可靠。本章將重點(diǎn)說(shuō)明上述兩個(gè)流程，其他有關(guān)證書全生命周期的管理與此類似，不再?gòu)?fù)述。

4.3.1 證書申請(qǐng)流程設(shè)計(jì)

結(jié)合生物特征通過(guò)本系統(tǒng)注冊(cè)申請(qǐng)數(shù)字證書的過(guò)程，如圖4所示。

證書申請(qǐng)流程說(shuō)明如下：在通過(guò)本系統(tǒng)申請(qǐng)證書時(shí)，首先注冊(cè)填寫個(gè)人信息，同時(shí)提交個(gè)人的生物特征信息。系統(tǒng)分別對(duì)提交的個(gè)人信息和生物特征信息進(jìn)行有效性驗(yàn)證。通過(guò)檢查的信息，系統(tǒng)將根據(jù)生物特征信息生成相應(yīng)的模板數(shù)據(jù)，同時(shí)頒發(fā)與之對(duì)應(yīng)的數(shù)字證書。最后，系統(tǒng)分別將證書信息存儲(chǔ)至證書數(shù)據(jù)庫(kù)中，將生物特征模板信息存儲(chǔ)至生物特征庫(kù)中。

4.3.2 證書驗(yàn)證流程設(shè)計(jì)

系統(tǒng)頒發(fā)的證書在進(jìn)行證書驗(yàn)證時(shí)，流程如圖5所示。

圖4 證書申請(qǐng)流程

圖5 證書驗(yàn)證流程

證書驗(yàn)證流程說(shuō)明。系統(tǒng)接收到證書驗(yàn)證請(qǐng)求信息后，首先解析請(qǐng)求中是否包含被驗(yàn)證人的證書和生物特征信息。如果含有生物特征信息，則通過(guò)解析證書中的擴(kuò)展項(xiàng)取得特征信息標(biāo)識(shí)，并通過(guò)該特征信息標(biāo)識(shí)檢索特征信息庫(kù)，取得相應(yīng)生物特征基準(zhǔn)數(shù)據(jù)，驗(yàn)證被驗(yàn)證人的生物特征信息。通過(guò)生物特征信息驗(yàn)證后，再對(duì)個(gè)人的證書進(jìn)行有效性驗(yàn)證。上述設(shè)計(jì)了證書驗(yàn)證的基本原理流程，詳細(xì)的生物特征雙因子認(rèn)證協(xié)議設(shè)計(jì)可參照文獻(xiàn)[6]，本文不再贅述。

4.4 系統(tǒng)分析

安全性方面，本系統(tǒng)分別設(shè)計(jì)了證書庫(kù)、生物特征信息庫(kù)兩個(gè)相互獨(dú)立庫(kù)，實(shí)現(xiàn)了證書信息和生物特征信息的邏輯隔離。個(gè)人證書基于X.509V3標(biāo)準(zhǔn)證書格式，使用PKI/CA系統(tǒng)中證書權(quán)威頒發(fā)機(jī)構(gòu)對(duì)其簽名，保證了證書中信息的完整性和可信性。同時(shí)，對(duì)存儲(chǔ)生物特征信息模板數(shù)據(jù)進(jìn)行并使用PKI/CA系統(tǒng)中證書權(quán)威頒發(fā)機(jī)構(gòu)的簽名保護(hù)，確保了其完整性和可信性。

效用性方面，本系統(tǒng)能夠頒發(fā)數(shù)字證書，滿足傳統(tǒng)的基于證書進(jìn)行身份驗(yàn)證的應(yīng)用需求。還能夠使得證書與個(gè)人的生物特征信息進(jìn)行捆綁，實(shí)現(xiàn)證書+生物特征的雙重身份認(rèn)證，滿足安全性較高、對(duì)身份驗(yàn)證要求較嚴(yán)格的應(yīng)用場(chǎng)景。

5 結(jié) 語(yǔ)

本文描述的結(jié)合生物特征的PKI/CA系統(tǒng)采用X.509v3數(shù)字證書格式和制定的生物特征信息模板，實(shí)現(xiàn)了證書與個(gè)人生物特征的結(jié)合，對(duì)主要的證書申請(qǐng)、證書驗(yàn)證流程進(jìn)行了設(shè)計(jì)。該設(shè)計(jì)可將個(gè)人指紋、面部圖像等生物特征有效的運(yùn)用到傳統(tǒng)的PKI/CA體系中，分別滿足了僅基于證書、僅基于生物特征或證書+生物特征的雙重認(rèn)證三種身份驗(yàn)證的應(yīng)用場(chǎng)景，極大地提升了傳統(tǒng)PKI/CA認(rèn)證體系的實(shí)際使用范圍，提高了相關(guān)應(yīng)用的安全性。