張煒玲 林文暢 黃鴻

摘 ?要：科技發(fā)展進(jìn)入了云時代。云存儲，云計(jì)算等云應(yīng)用膾炙人口，終端身份認(rèn)證有效是打開云應(yīng)用的主窗口，生物特征因其唯一性的魅力被廣泛應(yīng)用于終端身份認(rèn)證。文章主要介紹PKI框架下的身份認(rèn)證方案，生物特征識別技術(shù)，日志監(jiān)控功能，并論證生物特征識別技術(shù)與日志監(jiān)控功能的相輔相成對PKI的身份認(rèn)證方案有突出的貢獻(xiàn)，從而推導(dǎo)出終端身份認(rèn)證唯一性確認(rèn)的思路與方向，并通過典型的案例介紹，確認(rèn)基于指紋USB Key和監(jiān)控功能的強(qiáng)身份認(rèn)證設(shè)計(jì)的技術(shù)方向可行，可靠。

關(guān)鍵詞：PKI;證書;指紋;KEY;生物特征;識別技術(shù);日志;監(jiān)控

中圖分類號：TP393 ? ? 文獻(xiàn)標(biāo)識碼：A文章編號：2096-4706（2021）13-0005-05

Design of Strong Identity Authentication Based on Fingerprint USBKEY and Monitoring Function

ZHANG Weiling， LIN Wenchang， HUANG Hong

（Yunfu Power Supply Bureau of Guangdong Power Grid Co.， Ltd.， Yunfu ?527300， China）

Abstract： The development of science and technology has entered the cloud era. Cloud applications such as cloud storage and cloud computing are well-known. Effective terminal identity authentication is the main window to open cloud applications. Biometrics are widely used in terminal identity authentication because of its unique charm. This paper mainly introduces the identity authentication scheme， biometric technology and log monitoring function under the PKI framework， and demonstrates that the complementarity of biometric technology and log monitoring function has a prominent contribution to the identity authentication scheme of PKI， so as to deduce the idea and direction of terminal identity authentication uniqueness confirmation， and introduce it through typical cases， confirm that the technical direction of strong identity authentication design based on fingerprint USB Key and monitoring function is feasible and reliable.

Keywords： PKI; Certificate; fingerprint; Key; biological characteristics; identification technology; journal; monitor

0 ?引 ?言

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）技術(shù)的應(yīng)用已有二十余年，其安全性得到科學(xué)界的認(rèn)可，并廣泛應(yīng)用于金融、政府、國有企業(yè)等關(guān)鍵信息重要信息系統(tǒng)，其技術(shù)安全性主要用于保障應(yīng)用系統(tǒng)登錄的安全，確認(rèn)用戶身份信息的真實(shí)性。近年來云計(jì)算的興起，更是將PKI的應(yīng)用推向強(qiáng)身份認(rèn)證的頂峰，PKI與域登錄認(rèn)證相結(jié)合保障云桌面的安全成為必選的安全解決方案，若在登錄的過程中使用由具備電子認(rèn)證服務(wù)資質(zhì)的第三方證書機(jī)構(gòu)頒發(fā)的數(shù)字證書，更是得到法律的認(rèn)可，其安全性、可信性、可靠性不言而喻。

然而在PKI框架安全應(yīng)用同時，其終端身份唯一性確認(rèn)成為大眾關(guān)注的熱點(diǎn)，時常有新聞報道，用戶因USBKEY的PIN碼被竊取或撞庫，而抵賴因之引發(fā)的后果，拒絕承擔(dān)責(zé)任，最終因技術(shù)問題給事件的判決帶來了很大的模糊，嚴(yán)重妨礙了司法的公正。專家們也因此設(shè)計(jì)出多種多樣的安全方案，如帶按鍵的USBKEY、帶顯示屏的USBKEY、帶人臉識別的USBKEY、帶聲紋識別的USBKEY、帶指紋識別的USBKEY，等等。

綜合本人多年從事PKI認(rèn)證的工作經(jīng)歷，從安全、便捷、經(jīng)濟(jì)的角度，推薦指紋USBKEY和監(jiān)控功能的強(qiáng)身份認(rèn)證技術(shù)。因此，本文主要介紹指紋USBKEY的工作原理，監(jiān)控功能的設(shè)計(jì)，以及兩者相結(jié)合取得1+1大于2的效果。

1 ?PKI與USBKEY的應(yīng)用介紹

1.1 ?證書頒發(fā)中心設(shè)計(jì)

1.1.1 ?證書頒發(fā)中心組成架構(gòu)

按照國家規(guī)定，一套完整的PKI/CA系統(tǒng)包括發(fā)證中心（CA）、密鑰管理系統(tǒng)（KM）、證書注冊中心（RA）、目錄服務(wù)（LDAP）、在線認(rèn)證（OCSP）組成。詳細(xì)組成架構(gòu)如圖1所示。

下面介紹各產(chǎn)品的主要特點(diǎn)：

（1）CA認(rèn)證系統(tǒng)和KM密鑰管理系統(tǒng)符合國家密碼管理局《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》《證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》。支持簽發(fā)SM2算法的證書以及RSA算法證書。

（2）證書注冊中心（RA）負(fù)責(zé)錄入用戶信息，完成向CA認(rèn)證系統(tǒng)請求證書并向最終用戶發(fā)放。

數(shù)字證書格式符合國家GB/T.8-2006標(biāo)準(zhǔn)和國際ITU X.509 V3標(biāo)準(zhǔn)，兼容V4標(biāo)準(zhǔn)，證書撤銷列表符合ITU X.509 V2標(biāo)準(zhǔn)。支持多類證書模板，如用戶證書、Windows登錄證書、機(jī)構(gòu)證書、設(shè)備證書、測試證書等模板，用戶可自定義證書模板。數(shù)字證書適合于各種應(yīng)用系統(tǒng)的身份認(rèn)證、數(shù)字簽名、數(shù)字信封，也適合于標(biāo)準(zhǔn)的PKI應(yīng)用，如Windows域登錄、SSL安全認(rèn)證、電子郵件簽名和加密、VPN認(rèn)證等。可基于接口的認(rèn)證方式使用，也可基于硬件身份認(rèn)證網(wǎng)關(guān)的認(rèn)證方式使用。

（3）目錄服務(wù)（LDAP）用于存儲用戶信息，提供用戶的信息查詢。

（4）在線認(rèn)證（OCSP），提供證書有效性的在線查詢。

1.1.2 ?證書頒發(fā)

具體操作證書頒發(fā)流程為：

（1）發(fā)證人員通過內(nèi)部OA系統(tǒng)或身份證等信息，驗(yàn)證用戶的真實(shí)信息。

（2）發(fā)證人員采用空白的USBKEY連接到發(fā)證系統(tǒng)，生成USBKEY證書，交給用戶使用。

1.2 ?PKI框架下的USB KEY證書與Windows域登錄

“域”模式下，資源的訪問有較嚴(yán)格的管理。公司采用域管理，方便管理權(quán)限集中，管理人員可以較好地管理計(jì)算機(jī)資源;安全性高，有利于企業(yè)的一些保密資料的管理;方便對用戶操作進(jìn)行權(quán)限設(shè)置;分發(fā)、指派軟件，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝等優(yōu)勢。

在PKI框架下，USBKEY證書、WINDOWS登錄，域控服務(wù)器之間有著非常重要的認(rèn)證交互關(guān)系，其詳細(xì)拓?fù)淙鐖D2所示。

用戶從發(fā)證人員獲取USBKEY證書后，使用其進(jìn)行Windows系統(tǒng)登錄，核心認(rèn)證過程如下文所示。

1.2.1 ?客戶端查找DC

用戶在加入域的客戶端計(jì)算機(jī)上登錄，計(jì)算機(jī)向本機(jī)的netLogon服務(wù)發(fā)送RPC請求，請求包括域名、站點(diǎn)、計(jì)算機(jī)名稱等信息。中間經(jīng)過復(fù)雜的信息交互過程（此處不是重點(diǎn)，略過介紹），最終緩存DC（Domain Controller）的相關(guān)信息，以便在用戶身份驗(yàn)證過程直接使用。

1.2.2 ?身份驗(yàn)證

AD域用戶身份驗(yàn)證過程為：

（1）當(dāng)客戶端找到可以做身份驗(yàn)證的DC后，就會進(jìn)入與DC間進(jìn)行驗(yàn)證身份的過程。

（2）Windows登錄界面上提示用戶插入USBKEY證書，用戶插入USBKEY證書，Winlogon檢測到證書插入動作，調(diào)用圖形化識別和驗(yàn)證，對用戶身份進(jìn)行識別和驗(yàn)證，在認(rèn)證過程中，要求用戶輸入USBKEY的PIN碼，PIN碼在USBKEY內(nèi)部驗(yàn)證通過后，才打開證書的私鑰訪問權(quán)限，允許證書私鑰對登錄信息做數(shù)字簽名。

（3）用戶端得到數(shù)據(jù)的簽名信息后提交給Windows系統(tǒng)，系統(tǒng)的Winlogon進(jìn)程將認(rèn)證信息推送至域控服務(wù)器，域控服務(wù)器從LDAP服務(wù)器獲取用戶的登錄賬號信息，確認(rèn)其賬號信息的存在，并通過證書認(rèn)證服務(wù)器驗(yàn)證其證書的有效性。詳細(xì)的過程完全按照PKI框架實(shí)施，保證了信息交互的安全，完成了用戶信息的確認(rèn)。域控得到成功的認(rèn)證信息后，返回登錄令牌給用戶系統(tǒng)端，用戶側(cè)則依據(jù)返回的登錄令牌成功登錄系統(tǒng)，并擁有預(yù)設(shè)置的操作系統(tǒng)權(quán)限。

（4）用戶的身份驗(yàn)證信息也會同步緩存到本地，以便下次登錄加速。

2 ?PKI框架下的指紋USBKEY與監(jiān)控功能綜合實(shí)現(xiàn)

指紋USBKEY有其生物特征功能，因而可以確定用戶身份的唯一性，但是由于指紋USBKEY可以實(shí)現(xiàn)多對指紋的錄入，所以同樣存在唯一性難確定的不足。通過對指紋USBKEY做升級，結(jié)合監(jiān)控日志功能，可以很好地把唯一性確定的不足做彌補(bǔ)，從而形成終端唯一性確認(rèn)的優(yōu)秀方案。

2.1 ?指紋USBKEY的工作原理

指紋識別基于人體生物特征的唯一性，利用人體的指紋特征對個體身份進(jìn)行區(qū)分和鑒定。

2.1.1 ?硬件設(shè)計(jì)框架

基于指紋識別的USBKEY硬件設(shè)計(jì)以主控芯片MCU（arm架構(gòu)）為核心，存儲器存放指紋數(shù)字模板和認(rèn)證信息等;USB控制器用于連接pc端與MCU的通信;指紋采集器采集指紋輸送給MCU，進(jìn)行驗(yàn)證和比對等操作;所有的操作需要統(tǒng)一的時序控制。硬件組成框架如圖3所示。

2.1.2 ?軟件設(shè)計(jì)流程

指紋識別模塊是“指紋USBKEY”的重要模塊之一。指紋USBKEY利用現(xiàn)成指紋識別模塊，無須對其原理進(jìn)行深入研究。下面只簡單介紹指紋識別技術(shù)的基本原理。

指紋識別的原理包括指紋采集、指紋特征提取、指紋特征分析和指紋特征匹配四大部分。依據(jù)指紋USBKEY的實(shí)際操作需求，軟件流程主要有指紋注冊和認(rèn)證兩個流程。指紋注冊包括紋采集、指紋特征提取、指紋特征分析;指紋認(rèn)證主要是指紋特征匹配算法的應(yīng)用。

（1）指紋注冊流程。指紋注冊包括指紋采集、指紋特征提取、指紋特征分析，其注冊邏輯如圖4所示。

指紋采集是通過傳感器技術(shù)把指紋以幾何特性形式，形成數(shù)字化標(biāo)識的指紋圖案。

指紋特征提取是對指紋圖案的幾何特性做整體的數(shù)學(xué)函數(shù)匯總，既有通用部分的提取，也有特殊點(diǎn)位的記錄，形成最終的數(shù)字符號。

指紋特征分析是對指紋圖案的整體特征和細(xì)節(jié)特征進(jìn)行提取和鑒別，其分析的對象包括紋形特征和特征點(diǎn)的分布、類型，以及一組或多組特征點(diǎn)之間的平面幾何關(guān)系。

（2）指紋認(rèn)證流程。指紋特征值匹配是對指紋圖案的整體特征和細(xì)節(jié)特征按模式識別的原理進(jìn)行比對匹配。匹配是在已注冊的指紋和當(dāng)前待驗(yàn)證的指紋之間進(jìn)行的。匹配運(yùn)算不是對兩個指紋圖像進(jìn)行比較，而是對已形成數(shù)字模板的指紋特征值進(jìn)行匹配。詳細(xì)邏輯如圖5所示。

2.2 ?監(jiān)控功能的設(shè)計(jì)

監(jiān)控的方法有很多種，其中以日志做監(jiān)控是常用的項(xiàng)目實(shí)施方案。指紋USBKEY的監(jiān)控功能也以日志監(jiān)控方案實(shí)施。通過對指紋應(yīng)用SDK做定制，讓其對用戶的指紋USBKEY應(yīng)用生成日志，達(dá)到實(shí)時監(jiān)控的效果。

監(jiān)控的日志設(shè)計(jì)以獲取用戶電腦特征信息為主，輔以部分應(yīng)用場景信息，最終達(dá)到唯一性確定的效果。日志設(shè)計(jì)格式如下：應(yīng)用場景信息、操作系統(tǒng)信息、操作行為、時間點(diǎn)等關(guān)鍵審計(jì)信息。日志生成后，使用對稱加密算法SM4進(jìn)行加密，實(shí)時上傳到定制的服務(wù)器或指定的網(wǎng)盤目錄;服務(wù)端收到加密數(shù)據(jù)后，使用相同的密鑰算法進(jìn)行解密、數(shù)據(jù)調(diào)整、分類歸檔、存儲。

服務(wù)端典型設(shè)計(jì)維度包括容量、權(quán)限、查看、報表生成：

（1）容量。監(jiān)控的日志隨著時間的推移，將產(chǎn)生大量的數(shù)據(jù)信息，會對審計(jì)查詢的速度產(chǎn)生影響，綜合考慮功能和需求的平衡，審計(jì)要求達(dá)到等保三級系統(tǒng)安全需求，故指紋USBKEY應(yīng)用日志在服務(wù)器端的存儲應(yīng)達(dá)180天以上。

（2）權(quán)限。權(quán)限是訪問日志的安全入口，參照目前成熟的權(quán)限管理方案，建議基于權(quán)限進(jìn)行應(yīng)用、管理、審計(jì)的三權(quán)分立設(shè)計(jì)。

（3）查看。為了加快調(diào)優(yōu)日志查詢速度，在一般情況下，使用關(guān)系型數(shù)據(jù)庫可以滿足需求，成規(guī)模的應(yīng)用系統(tǒng)日志，建議使用倒排索引，如ELK等大數(shù)據(jù)分析軟件進(jìn)行搭配。

（4）報表。方便向上匯報，定期分析，服務(wù)器端的報表應(yīng)結(jié)合業(yè)務(wù)場景，滿足需求而生成報表。

2.3 ?PKI框架下指紋USBKEY與監(jiān)控功能的結(jié)合實(shí)現(xiàn)案例

通過指紋操作確定有人動用了指紋USBKEY，依靠日志記錄，確定了這個人動用了指紋USBKEY里的具體指紋，從而實(shí)時跟蹤用戶指紋USBKEY證書應(yīng)用實(shí)況，真正實(shí)現(xiàn)終端的人證合一。其安全性解決了以下三方面的實(shí)際問題：

（1）解決“一KEY共用”，導(dǎo)致身份認(rèn)證不唯一性、抗抵賴性弱等安全隱患。

（2）解決“人、KEY不合一”，冒用身份的安全隱患。

（3）解決“終端、KEY不合一”和“人、KEY不同現(xiàn)場”，導(dǎo)致終端安全問題定位難、分析難、處置難等安全審計(jì)和安全溯源的問題。

2.3.1 ?實(shí)現(xiàn)案例一：指紋USBKEY的應(yīng)用日志上傳至定制的日志系統(tǒng)

終端采用定制的指紋USBKEY安裝包，實(shí)時獲取指紋USBKEY的應(yīng)用場景信息、操作系統(tǒng)信息、操作行為、時間點(diǎn)等關(guān)鍵審計(jì)信息，以特定的文件格式，經(jīng)過對稱加密（SM4）形成加密日志包，實(shí)時傳輸至日志系統(tǒng)。

日志系統(tǒng)接收加密日志包后，使用預(yù)設(shè)置的SM4密鑰，解密出數(shù)據(jù)文件，經(jīng)過處理、整合，形成歸檔日志，存儲于服務(wù)器端的數(shù)據(jù)庫。當(dāng)審計(jì)員需要審計(jì)用戶的應(yīng)用身份真實(shí)性時，審計(jì)員登錄日志服務(wù)器，設(shè)置篩選條件，把日志生成展示報表，展示在審計(jì)端。

詳細(xì)拓?fù)淙鐖D6所示。

通過定制終端軟件對終端指紋USBKEY做實(shí)時監(jiān)控，定制審計(jì)系統(tǒng)對終端數(shù)據(jù)做實(shí)時接收，實(shí)現(xiàn)了指紋USBKEY的應(yīng)用數(shù)據(jù)從產(chǎn)生到歸檔，乃至銷毀等全生命周期監(jiān)控，較好地實(shí)現(xiàn)了“終端、指紋USBKEY、人、應(yīng)用場景合一”，解決了安全審計(jì)、安全溯源的根本問題。

2.3.2  實(shí)現(xiàn)案例二：指紋USB KEY應(yīng)用日志上傳到網(wǎng)盤專有區(qū)

終端采用定制的指紋USBKEY安裝包，實(shí)時獲取指紋USBKEY的應(yīng)用場景信息、操作系統(tǒng)信息、操作行為、時間點(diǎn)等關(guān)鍵審計(jì)信息，以特定的文件格式，經(jīng)過對稱加密（SM4）形成加密日志包，實(shí)時傳輸至網(wǎng)盤指定位置。

審計(jì)端單獨(dú)定制審計(jì)管理工具，用于解密數(shù)據(jù)文件，整合日志，生成報表。

當(dāng)審計(jì)員需要審計(jì)用戶的應(yīng)用身份真實(shí)性時，審計(jì)員將從網(wǎng)盤獲取指定時間段的日志文件數(shù)據(jù)，使用審計(jì)管理工具，把日志解密，生成展示報表，展示在審計(jì)端。

該案例考慮到日志的安全可靠性，做了密碼加固的安全措施：

（1）終端日志經(jīng)過對稱加密（SM4），以加密的形式存儲于網(wǎng)盤目錄。

（2）網(wǎng)盤目錄使用管理員預(yù)設(shè)置的管理策略權(quán)限，防止越權(quán)訪問。

（3）使用定制的審計(jì)工具才能解密網(wǎng)盤上的加密數(shù)據(jù)。

（4）定制的審計(jì)工具需有加密鎖才能打開，加密鎖的目的是驗(yàn)證審計(jì)員的身份。

詳細(xì)拓?fù)淙鐖D7所示。

通過定制終端軟件對終端指紋USBKEY做實(shí)時監(jiān)控，定制審計(jì)工具對終端數(shù)據(jù)做解密審計(jì)，較好地實(shí)現(xiàn)了“終端、指紋USBKEY、人、應(yīng)用場景”合一，解決了“一KEY共用”，導(dǎo)致身份認(rèn)證不唯一、抗抵賴性弱等安全隱患。

3 ?結(jié) ?論

本文通過對PKI與USBKEY的應(yīng)用介紹，確認(rèn)了PKI框架的廣泛應(yīng)用安全，同時分別對指紋USBKEY的工作原理和監(jiān)控功能做方案設(shè)計(jì)的介紹，充分論證了指紋USBKEY和監(jiān)控功能結(jié)合的優(yōu)勢，揚(yáng)長避短。最終推導(dǎo)出實(shí)現(xiàn)終端的人證合一的方案。

方案介紹后，同步引入兩個典型的實(shí)現(xiàn)案例：案例一做相對較大的成本投入，通過對終端真實(shí)性數(shù)據(jù)的全方位考慮，定制了日志系統(tǒng)，為報表的生成、審計(jì)的便捷，提供輕松的環(huán)境;案例二從審計(jì)需求出發(fā)，綜合投入的制約因素，定制審計(jì)工具代替日志系統(tǒng)，較為靈活地滿足了審計(jì)的需求。

在實(shí)際方案應(yīng)用過程中，需要考慮的影響因素眾多，尤其是投入產(chǎn)出比的綜合影響，因而在項(xiàng)目設(shè)計(jì)與落地過程中，不得不對其功能進(jìn)行調(diào)整和優(yōu)化，但其方案的思路、方向是一致的。如何衍生出更多的終端唯一性確認(rèn)案例，需要在實(shí)際工作過程中做更多的探討、挖掘、研究與完善。

參考文獻(xiàn)：

[1] 于江，蘇錦海，張永福.基于USB-Key的強(qiáng)口令認(rèn)證方案設(shè)計(jì)與分析 [J].計(jì)算機(jī)應(yīng)用，2011，31（2）：511-513.

[2] 陳志乾.基于身份認(rèn)證的超級網(wǎng)銀安全研究 [J].電子商務(wù)，2011（6）：36-38.

[3] 趙永冠.基于USBKey和指紋識別技術(shù)在吉林油田公司信息系統(tǒng)身份認(rèn)證研究 [J].信息系統(tǒng)工程，2015（3）：22.

[4] 張利華，沈友進(jìn).基于ECC和指紋USBKey的身份認(rèn)證協(xié)議 [J].華東交通大學(xué)學(xué)報，2014，31（2）：95-98.

[5] 張利華，沈友進(jìn).指紋信息庫管理系統(tǒng)應(yīng)用設(shè)計(jì) [J].中國管理信息化，2020，23（9）：150-153.

作者簡介：張煒玲（1993—），女，漢族，廣東云浮人，助理工程師，本科，研究方向：軟件工程應(yīng)用軟件開發(fā);林文暢（1997—），男，漢族，廣東羅定人，本科，研究方向：硬件開發(fā)測試;黃鴻（1984—），男，漢族，廣東羅定人，工程師，本科，研究方向：信息安全與數(shù)據(jù)分析。