徐 辉，张 莹，步晓亮，李 强

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

为了确保各种信息和服务在网络上安全进行，安全身份认证是网络安全系统措施的一个重要部分。

目前，PKI认证体系是应用最广泛、最成熟的一种身份认证机制，但要求用户必须安全保存其密钥。一方面复杂的口令难以记住，另一方面简单的口令密码容易被黑客通过各种方式破解而造成安全威胁，因此在安全要求更高或者某些特殊场合，需要其他的方法来保护密码。

生物特征认证是利用人的生物特征来进行身份认证的一种手段。随着计算机的发展和各种算法的不断改进，生物特征认证技术作为一种准确、快速和高效的身份认证方法，正被越来越广泛地应用于各种需要身份认证的领域[1]。

本文设计了一套将生物特征和PKI认证相结合的PKI/CA系统，实现了生物特征和PKI认证两种认证技术的优势互补，可提供更安全性、更可靠的身份认证服务，以满足不同安全级别的身份认证应用场景。

1 生物特征技术

人的生物特征可以分为两大类：动态特征（如语音、签名、不太、唇形动作和击键模式）和静态特征（如指纹、虹膜、视网膜、手形、耳形和手掌静脉图）。生物特征认证技术是提取具有唯一性的生理特征或行为方式作为认证依据的技术。整个认证过程分为四个步骤：生物特征提取、特征模板生成、特征策略与比较和特征匹配。生物特征认证系统首先提取人的生物特征，经过数模转换后提取其唯一的特征。然后，把这些特征描述进一步归纳和总结生成特征模板。认证系统在验证人的身份时，利用相应传感器获取其特征，并转换成预定义的数字格式，对比测量结果和特征模板，根据匹配程度判断这个人的合法性。

理论上，一个生物特征要想用于身份认证系统，必须满足如下要求[2]：

唯一性：必须可以从此特征导出此人的身份，没有两个人有相匹配的特征值；

稳定性：此特征不会随时间推移显著改变；

普遍性：所有需要进行身份认证的人都拥有此特征；

可收集性：此特征能够被量化测量。

实际应用中，还有三个重要因素也需要考虑[2]：

（1）在合理的资源需求下，实现可接受的识别准确度和速度；

（2）对人没有伤害且可为人们接受；

（3）对各种欺诈方法有足够的防御性。

目前，人们研究和使用的生物特征识别技术主要有指纹识别、人脸识别、虹膜识别、掌形识别、掌纹识别、签名识别、语音识别和键击识别等。每种生物特征测定技术都有各自的长处和局限，适用于不同的认证应用。

2 PKI技术

公共密钥基础设施PKI（Public Key Infrastructure）技术以公钥技术为基础，以数字证书为媒介，将个人、组织、设备的标识信息与各自的公钥捆绑，主要目的是通过自动管理密钥和证书，为用户建立一个安全、可行的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，在互联网上验证用户身份，从而保证互联网上传输信息的真实性、完整性、机密性和不可否认性[2]。目前，PKI可以提供的安全服务包括：身份认证、数据保密性、数据完整性能够和不可抵赖性等。用户可以利用PKI提供的这些安全服务进行安全电子交易、电子政务等服务。PKI可以提供认证、完整性和机密性等核心服务，还可以支撑安全通信、安全时间戳、公正和不可否认等服务。

3 生物特征与PKI技术的结合

当前，PKI/CA技术体系比较成熟，国内外相关的PKI/CA产品和实际运用均比较成熟。随着生物特征识别及相关认证技术的快速发展，如何将生物特征与PKI/CA技术相结合，以改进基于PKI/CA认证的安全性，降低PKI/CA维护和管理的复杂性，是当前身份认证研究的一个热点。目前，生物特征主要可从以下三个方面与PKI/CA技术体系相结合。

3.1 生物特征作为口令

因PKI/CA颁发的数字证书通常存储在USBKEY、IC卡中或其他文件中。使用USBKEY、IC卡中数字证书时，都需要使用口令，存在口令易忘记、易窃取的风险。生物特征作为口令是指将生物特征识别数据作为访问这些证书存储介质的口令，以避免出现上述风险，且更容易保管。比如：使用具有指纹识别的USBKEY存储PKI/CA颁发的证书，将指纹信息作为访问口令，一定程序上改善并提高了安全性。

3.2 生物特征作为认证因子

生物特征作为认证因子是指将生物特征信息作为PKI/CA系统中数字证书的一个证书项或扩展项存储，使个人的数字证书能够与其生物特征信息捆绑起来，为双重认证提供技术手段。在使用数字证书进行身份认证时，由数字证书完成传统的证书认证过程部分；由证书中的生物特征信息完成基于生物特征的识别和认证过程；最后，将两部分认证结果归结在一起作为一个认证结果反馈。也可以根据实际需要，分别只作基于证书的认证或生物特征识别的认证。通常，此种方式运用在安全级别较高的场景。这种结合方式提升了PKI/CA认证系统的灵活性、安全性，满足了不同的证书运用需求。

3.3 生物特征作为密钥

生物特征作为密钥是指将生物特征信息作为个人密钥信息，通过某种算法对敏感数据进行保护。比如：将生物特征作为对称密钥，用于加密/解密一些重要数据信息；或将生物特征作为非对称密钥对中的私钥信息，通过某种密码算法计算相应的公钥信息，而该公钥信息则通过PKI/CA中的证书形式进行分发和使用。由于生物特征的唯一性且其依附在具体每个个人身体上，因此通过此种方式可确保生物特征作为密钥在分发、使用和存储中的安全。

4 结合生物特征的PKI/CA认证系统设计

4.1 总体设计

本文基于生物特征作为认证因子的思路，采用相对松耦合方式进行设计。生物特征数据信息本身不存储在证书中，仅通过PKI/CA系统颁发可索引生物特征信息的数字证书，实现证书+生物特征的双因子机制。具体地，PKI/CA系统采用X.509数字证书将生物特征有关信息与证书关联起来。但是，生物特征数据信息本身不存储在证书中，仅在证书扩展项存储生物特征信息的索引标记。通过该索引标记项可以检索到后端相应的生物特征数据信息库。后端的生物特征数据信息库和PKI/CA的证书数据信息库分别独立。设计原理如图1所示。

图1 设计原理

4.2 关键数据设计

本设计中采用X.509V3标准的证书格式存储个人相关的基本信息，并由PKI/CA进行签发，设计了生物特征数据模板来存储有关个人的生物特征信息，两者之间通过自定义的特征标识进行关联和索引。本文重点对系统的关键证书项和生物特征数据信息项进行研究和设计，有关生物特征信息的保护是另一个研究方向，在文献[3]中有进一步研究，本文不再赘述。本设计中，证书和生物特征数据模板存储数据如图2所示。

图2 关键数据信息

其中，系统颁发的证书由基本证书域和证书扩展构成。基本证书域是填充有关证书信息的基本信息，证书扩展则提供了关联用户或公钥的附加性质和管理验证层次的方法，允许自定义私有的扩展，使证书具备独有的信息。基本证书域包括版本、序列号、使用者主题、有效期、颁发者主题、证书公钥信息、扩展项和颁发者签名等。证书扩展项中除了包含X.509标准的证书扩展项外，自定义了一个生物特征信息标识项，可通过该项将标准的证书与其相对应的生物特征信息关联起来。

生物特征数据模板主要由以下项构成。

生物特征标识：唯一，是证书与生物特征数据信息关联的关键项。通常，可将计算生物特征数据信息内容计算HASH值作为该项的填充值，以确保其唯一性。

数据信息内容：存储的生物特征具体内容。本设计中该项作为生物特征识别验证的基准值。

生物特征算法：指定进行生物特征验证时所采用的算法。

特征类型：指定相应的生物特征类型，如0代表指纹、1代表面部照片等。

识码率：指定生物特征所容忍的识别校验偏差，如1%，表示生物特征信息识别验证误差在±1%之内均可接受。

有效期：指定该生物特征数据信息的有效时间段。

颁发者签名：对该生物特征数据信息模板进行签名，保护其完整性和真实性。该项由和数字证书相同的权威颁发者进行签名。

基于上述生物特征数据模板数据项进行验证的原理，如图3所示。

图3 生物特征验证原理

如图3所示，生物特征数据通过相应的算法计算生物特征数据，之后通过与生物特征基准数据进行对比[4-5]，偏差在识码率范围之内则认为生物特征匹配，否则认为不匹配。

4.3 主要流程设计

在结合生物特征的PKI/CA系统中，证书申请过程中除了提交个人的基本信息外，还需要提交相应的个人生物特征信息，以便系统能够颁发数字证书，并按照生物特征数据信息模板存储相应的生物特征数据。证书验证过程中，需要提交个人数字证书和生物特征信息，系统可通过证书和生物特征信息进行双重验证，确保验证的真实可靠。本章将重点说明上述两个流程，其他有关证书全生命周期的管理与此类似，不再复述。

4.3.1 证书申请流程设计

结合生物特征通过本系统注册申请数字证书的过程，如图4所示。

证书申请流程说明如下：在通过本系统申请证书时，首先注册填写个人信息，同时提交个人的生物特征信息。系统分别对提交的个人信息和生物特征信息进行有效性验证。通过检查的信息，系统将根据生物特征信息生成相应的模板数据，同时颁发与之对应的数字证书。最后，系统分别将证书信息存储至证书数据库中，将生物特征模板信息存储至生物特征库中。

4.3.2 证书验证流程设计

系统颁发的证书在进行证书验证时，流程如图5所示。

图4 证书申请流程

图5 证书验证流程

证书验证流程说明。系统接收到证书验证请求信息后，首先解析请求中是否包含被验证人的证书和生物特征信息。如果含有生物特征信息，则通过解析证书中的扩展项取得特征信息标识，并通过该特征信息标识检索特征信息库，取得相应生物特征基准数据，验证被验证人的生物特征信息。通过生物特征信息验证后，再对个人的证书进行有效性验证。上述设计了证书验证的基本原理流程，详细的生物特征双因子认证协议设计可参照文献[6]，本文不再赘述。

4.4 系统分析

安全性方面，本系统分别设计了证书库、生物特征信息库两个相互独立库，实现了证书信息和生物特征信息的逻辑隔离。个人证书基于X.509V3标准证书格式，使用PKI/CA系统中证书权威颁发机构对其签名，保证了证书中信息的完整性和可信性。同时，对存储生物特征信息模板数据进行并使用PKI/CA系统中证书权威颁发机构的签名保护，确保了其完整性和可信性。

效用性方面，本系统能够颁发数字证书，满足传统的基于证书进行身份验证的应用需求。还能够使得证书与个人的生物特征信息进行捆绑，实现证书+生物特征的双重身份认证，满足安全性较高、对身份验证要求较严格的应用场景。

5 结 语

本文描述的结合生物特征的PKI/CA系统采用X.509v3数字证书格式和制定的生物特征信息模板，实现了证书与个人生物特征的结合，对主要的证书申请、证书验证流程进行了设计。该设计可将个人指纹、面部图像等生物特征有效的运用到传统的PKI/CA体系中，分别满足了仅基于证书、仅基于生物特征或证书+生物特征的双重认证三种身份验证的应用场景，极大地提升了传统PKI/CA认证体系的实际使用范围，提高了相关应用的安全性。