結合生物特征的PKI/CA認證系統(tǒng)設計*

徐 輝，張 瑩，步曉亮，李 強

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

為了確保各種信息和服務在網(wǎng)絡上安全進行，安全身份認證是網(wǎng)絡安全系統(tǒng)措施的一個重要部分。

目前，PKI認證體系是應用最廣泛、最成熟的一種身份認證機制，但要求用戶必須安全保存其密鑰。一方面復雜的口令難以記住，另一方面簡單的口令密碼容易被黑客通過各種方式破解而造成安全威脅，因此在安全要求更高或者某些特殊場合，需要其他的方法來保護密碼。

生物特征認證是利用人的生物特征來進行身份認證的一種手段。隨著計算機的發(fā)展和各種算法的不斷改進，生物特征認證技術作為一種準確、快速和高效的身份認證方法，正被越來越廣泛地應用于各種需要身份認證的領域[1]。

本文設計了一套將生物特征和PKI認證相結合的PKI/CA系統(tǒng)，實現(xiàn)了生物特征和PKI認證兩種認證技術的優(yōu)勢互補，可提供更安全性、更可靠的身份認證服務，以滿足不同安全級別的身份認證應用場景。

1 生物特征技術

人的生物特征可以分為兩大類：動態(tài)特征（如語音、簽名、不太、唇形動作和擊鍵模式）和靜態(tài)特征（如指紋、虹膜、視網(wǎng)膜、手形、耳形和手掌靜脈圖）。生物特征認證技術是提取具有唯一性的生理特征或行為方式作為認證依據(jù)的技術。整個認證過程分為四個步驟：生物特征提取、特征模板生成、特征策略與比較和特征匹配。生物特征認證系統(tǒng)首先提取人的生物特征，經(jīng)過數(shù)模轉(zhuǎn)換后提取其唯一的特征。然后，把這些特征描述進一步歸納和總結生成特征模板。認證系統(tǒng)在驗證人的身份時，利用相應傳感器獲取其特征，并轉(zhuǎn)換成預定義的數(shù)字格式，對比測量結果和特征模板，根據(jù)匹配程度判斷這個人的合法性。

理論上，一個生物特征要想用于身份認證系統(tǒng)，必須滿足如下要求[2]：

唯一性：必須可以從此特征導出此人的身份，沒有兩個人有相匹配的特征值；

穩(wěn)定性：此特征不會隨時間推移顯著改變；

普遍性：所有需要進行身份認證的人都擁有此特征；

可收集性：此特征能夠被量化測量。

實際應用中，還有三個重要因素也需要考慮[2]：

（1）在合理的資源需求下，實現(xiàn)可接受的識別準確度和速度；

（2）對人沒有傷害且可為人們接受；

（3）對各種欺詐方法有足夠的防御性。

目前，人們研究和使用的生物特征識別技術主要有指紋識別、人臉識別、虹膜識別、掌形識別、掌紋識別、簽名識別、語音識別和鍵擊識別等。每種生物特征測定技術都有各自的長處和局限，適用于不同的認證應用。

2 PKI技術

公共密鑰基礎設施PKI（Public Key Infrastructure）技術以公鑰技術為基礎，以數(shù)字證書為媒介，將個人、組織、設備的標識信息與各自的公鑰捆綁，主要目的是通過自動管理密鑰和證書，為用戶建立一個安全、可行的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術，在互聯(lián)網(wǎng)上驗證用戶身份，從而保證互聯(lián)網(wǎng)上傳輸信息的真實性、完整性、機密性和不可否認性[2]。目前，PKI可以提供的安全服務包括：身份認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性能夠和不可抵賴性等。用戶可以利用PKI提供的這些安全服務進行安全電子交易、電子政務等服務。PKI可以提供認證、完整性和機密性等核心服務，還可以支撐安全通信、安全時間戳、公正和不可否認等服務。

3 生物特征與PKI技術的結合

當前，PKI/CA技術體系比較成熟，國內(nèi)外相關的PKI/CA產(chǎn)品和實際運用均比較成熟。隨著生物特征識別及相關認證技術的快速發(fā)展，如何將生物特征與PKI/CA技術相結合，以改進基于PKI/CA認證的安全性，降低PKI/CA維護和管理的復雜性，是當前身份認證研究的一個熱點。目前，生物特征主要可從以下三個方面與PKI/CA技術體系相結合。

3.1 生物特征作為口令

因PKI/CA頒發(fā)的數(shù)字證書通常存儲在USBKEY、IC卡中或其他文件中。使用USBKEY、IC卡中數(shù)字證書時，都需要使用口令，存在口令易忘記、易竊取的風險。生物特征作為口令是指將生物特征識別數(shù)據(jù)作為訪問這些證書存儲介質(zhì)的口令，以避免出現(xiàn)上述風險，且更容易保管。比如：使用具有指紋識別的USBKEY存儲PKI/CA頒發(fā)的證書，將指紋信息作為訪問口令，一定程序上改善并提高了安全性。

3.2 生物特征作為認證因子

生物特征作為認證因子是指將生物特征信息作為PKI/CA系統(tǒng)中數(shù)字證書的一個證書項或擴展項存儲，使個人的數(shù)字證書能夠與其生物特征信息捆綁起來，為雙重認證提供技術手段。在使用數(shù)字證書進行身份認證時，由數(shù)字證書完成傳統(tǒng)的證書認證過程部分；由證書中的生物特征信息完成基于生物特征的識別和認證過程；最后，將兩部分認證結果歸結在一起作為一個認證結果反饋。也可以根據(jù)實際需要，分別只作基于證書的認證或生物特征識別的認證。通常，此種方式運用在安全級別較高的場景。這種結合方式提升了PKI/CA認證系統(tǒng)的靈活性、安全性，滿足了不同的證書運用需求。

3.3 生物特征作為密鑰

生物特征作為密鑰是指將生物特征信息作為個人密鑰信息，通過某種算法對敏感數(shù)據(jù)進行保護。比如：將生物特征作為對稱密鑰，用于加密/解密一些重要數(shù)據(jù)信息；或?qū)⑸锾卣髯鳛榉菍ΨQ密鑰對中的私鑰信息，通過某種密碼算法計算相應的公鑰信息，而該公鑰信息則通過PKI/CA中的證書形式進行分發(fā)和使用。由于生物特征的唯一性且其依附在具體每個個人身體上，因此通過此種方式可確保生物特征作為密鑰在分發(fā)、使用和存儲中的安全。

4 結合生物特征的PKI/CA認證系統(tǒng)設計

4.1 總體設計

本文基于生物特征作為認證因子的思路，采用相對松耦合方式進行設計。生物特征數(shù)據(jù)信息本身不存儲在證書中，僅通過PKI/CA系統(tǒng)頒發(fā)可索引生物特征信息的數(shù)字證書，實現(xiàn)證書+生物特征的雙因子機制。具體地，PKI/CA系統(tǒng)采用X.509數(shù)字證書將生物特征有關信息與證書關聯(lián)起來。但是，生物特征數(shù)據(jù)信息本身不存儲在證書中，僅在證書擴展項存儲生物特征信息的索引標記。通過該索引標記項可以檢索到后端相應的生物特征數(shù)據(jù)信息庫。后端的生物特征數(shù)據(jù)信息庫和PKI/CA的證書數(shù)據(jù)信息庫分別獨立。設計原理如圖1所示。

圖1 設計原理

4.2 關鍵數(shù)據(jù)設計

本設計中采用X.509V3標準的證書格式存儲個人相關的基本信息，并由PKI/CA進行簽發(fā)，設計了生物特征數(shù)據(jù)模板來存儲有關個人的生物特征信息，兩者之間通過自定義的特征標識進行關聯(lián)和索引。本文重點對系統(tǒng)的關鍵證書項和生物特征數(shù)據(jù)信息項進行研究和設計，有關生物特征信息的保護是另一個研究方向，在文獻[3]中有進一步研究，本文不再贅述。本設計中，證書和生物特征數(shù)據(jù)模板存儲數(shù)據(jù)如圖2所示。

圖2 關鍵數(shù)據(jù)信息

其中，系統(tǒng)頒發(fā)的證書由基本證書域和證書擴展構成?；咀C書域是填充有關證書信息的基本信息，證書擴展則提供了關聯(lián)用戶或公鑰的附加性質(zhì)和管理驗證層次的方法，允許自定義私有的擴展，使證書具備獨有的信息?；咀C書域包括版本、序列號、使用者主題、有效期、頒發(fā)者主題、證書公鑰信息、擴展項和頒發(fā)者簽名等。證書擴展項中除了包含X.509標準的證書擴展項外，自定義了一個生物特征信息標識項，可通過該項將標準的證書與其相對應的生物特征信息關聯(lián)起來。

生物特征數(shù)據(jù)模板主要由以下項構成。

生物特征標識：唯一，是證書與生物特征數(shù)據(jù)信息關聯(lián)的關鍵項。通常，可將計算生物特征數(shù)據(jù)信息內(nèi)容計算HASH值作為該項的填充值，以確保其唯一性。

數(shù)據(jù)信息內(nèi)容：存儲的生物特征具體內(nèi)容。本設計中該項作為生物特征識別驗證的基準值。

生物特征算法：指定進行生物特征驗證時所采用的算法。

特征類型：指定相應的生物特征類型，如0代表指紋、1代表面部照片等。

識碼率：指定生物特征所容忍的識別校驗偏差，如1%，表示生物特征信息識別驗證誤差在±1%之內(nèi)均可接受。

有效期：指定該生物特征數(shù)據(jù)信息的有效時間段。

頒發(fā)者簽名：對該生物特征數(shù)據(jù)信息模板進行簽名，保護其完整性和真實性。該項由和數(shù)字證書相同的權威頒發(fā)者進行簽名。

基于上述生物特征數(shù)據(jù)模板數(shù)據(jù)項進行驗證的原理，如圖3所示。

圖3 生物特征驗證原理

如圖3所示，生物特征數(shù)據(jù)通過相應的算法計算生物特征數(shù)據(jù)，之后通過與生物特征基準數(shù)據(jù)進行對比[4-5]，偏差在識碼率范圍之內(nèi)則認為生物特征匹配，否則認為不匹配。

4.3 主要流程設計

在結合生物特征的PKI/CA系統(tǒng)中，證書申請過程中除了提交個人的基本信息外，還需要提交相應的個人生物特征信息，以便系統(tǒng)能夠頒發(fā)數(shù)字證書，并按照生物特征數(shù)據(jù)信息模板存儲相應的生物特征數(shù)據(jù)。證書驗證過程中，需要提交個人數(shù)字證書和生物特征信息，系統(tǒng)可通過證書和生物特征信息進行雙重驗證，確保驗證的真實可靠。本章將重點說明上述兩個流程，其他有關證書全生命周期的管理與此類似，不再復述。

4.3.1 證書申請流程設計

結合生物特征通過本系統(tǒng)注冊申請數(shù)字證書的過程，如圖4所示。

證書申請流程說明如下：在通過本系統(tǒng)申請證書時，首先注冊填寫個人信息，同時提交個人的生物特征信息。系統(tǒng)分別對提交的個人信息和生物特征信息進行有效性驗證。通過檢查的信息，系統(tǒng)將根據(jù)生物特征信息生成相應的模板數(shù)據(jù)，同時頒發(fā)與之對應的數(shù)字證書。最后，系統(tǒng)分別將證書信息存儲至證書數(shù)據(jù)庫中，將生物特征模板信息存儲至生物特征庫中。

4.3.2 證書驗證流程設計

系統(tǒng)頒發(fā)的證書在進行證書驗證時，流程如圖5所示。

圖4 證書申請流程

圖5 證書驗證流程

證書驗證流程說明。系統(tǒng)接收到證書驗證請求信息后，首先解析請求中是否包含被驗證人的證書和生物特征信息。如果含有生物特征信息，則通過解析證書中的擴展項取得特征信息標識，并通過該特征信息標識檢索特征信息庫，取得相應生物特征基準數(shù)據(jù)，驗證被驗證人的生物特征信息。通過生物特征信息驗證后，再對個人的證書進行有效性驗證。上述設計了證書驗證的基本原理流程，詳細的生物特征雙因子認證協(xié)議設計可參照文獻[6]，本文不再贅述。

4.4 系統(tǒng)分析

安全性方面，本系統(tǒng)分別設計了證書庫、生物特征信息庫兩個相互獨立庫，實現(xiàn)了證書信息和生物特征信息的邏輯隔離。個人證書基于X.509V3標準證書格式，使用PKI/CA系統(tǒng)中證書權威頒發(fā)機構對其簽名，保證了證書中信息的完整性和可信性。同時，對存儲生物特征信息模板數(shù)據(jù)進行并使用PKI/CA系統(tǒng)中證書權威頒發(fā)機構的簽名保護，確保了其完整性和可信性。

效用性方面，本系統(tǒng)能夠頒發(fā)數(shù)字證書，滿足傳統(tǒng)的基于證書進行身份驗證的應用需求。還能夠使得證書與個人的生物特征信息進行捆綁，實現(xiàn)證書+生物特征的雙重身份認證，滿足安全性較高、對身份驗證要求較嚴格的應用場景。

5 結 語

本文描述的結合生物特征的PKI/CA系統(tǒng)采用X.509v3數(shù)字證書格式和制定的生物特征信息模板，實現(xiàn)了證書與個人生物特征的結合，對主要的證書申請、證書驗證流程進行了設計。該設計可將個人指紋、面部圖像等生物特征有效的運用到傳統(tǒng)的PKI/CA體系中，分別滿足了僅基于證書、僅基于生物特征或證書+生物特征的雙重認證三種身份驗證的應用場景，極大地提升了傳統(tǒng)PKI/CA認證體系的實際使用范圍，提高了相關應用的安全性。