基于指紋USBKEY和監控功能的強身份認證設計

張煒玲 林文暢 黃鴻

摘 ?要：科技發展進入了云時代。云存儲，云計算等云應用膾炙人口，終端身份認證有效是打開云應用的主窗口，生物特征因其唯一性的魅力被廣泛應用于終端身份認證。文章主要介紹PKI框架下的身份認證方案，生物特征識別技術，日志監控功能，并論證生物特征識別技術與日志監控功能的相輔相成對PKI的身份認證方案有突出的貢獻，從而推導出終端身份認證唯一性確認的思路與方向，并通過典型的案例介紹，確認基于指紋USB Key和監控功能的強身份認證設計的技術方向可行，可靠。

關鍵詞：PKI;證書;指紋;KEY;生物特征;識別技術;日志;監控

中圖分類號：TP393 ? ? 文獻標識碼：A文章編號：2096-4706（2021）13-0005-05

Design of Strong Identity Authentication Based on Fingerprint USBKEY and Monitoring Function

ZHANG Weiling， LIN Wenchang， HUANG Hong

（Yunfu Power Supply Bureau of Guangdong Power Grid Co.， Ltd.， Yunfu ?527300， China）

Abstract： The development of science and technology has entered the cloud era. Cloud applications such as cloud storage and cloud computing are well-known. Effective terminal identity authentication is the main window to open cloud applications. Biometrics are widely used in terminal identity authentication because of its unique charm. This paper mainly introduces the identity authentication scheme， biometric technology and log monitoring function under the PKI framework， and demonstrates that the complementarity of biometric technology and log monitoring function has a prominent contribution to the identity authentication scheme of PKI， so as to deduce the idea and direction of terminal identity authentication uniqueness confirmation， and introduce it through typical cases， confirm that the technical direction of strong identity authentication design based on fingerprint USB Key and monitoring function is feasible and reliable.

Keywords： PKI; Certificate; fingerprint; Key; biological characteristics; identification technology; journal; monitor

0 ?引 ?言

公鑰基礎設施（Public Key Infrastructure， PKI）技術的應用已有二十余年，其安全性得到科學界的認可，并廣泛應用于金融、政府、國有企業等關鍵信息重要信息系統，其技術安全性主要用于保障應用系統登錄的安全，確認用戶身份信息的真實性。近年來云計算的興起，更是將PKI的應用推向強身份認證的頂峰，PKI與域登錄認證相結合保障云桌面的安全成為必選的安全解決方案，若在登錄的過程中使用由具備電子認證服務資質的第三方證書機構頒發的數字證書，更是得到法律的認可，其安全性、可信性、可靠性不言而喻。

然而在PKI框架安全應用同時，其終端身份唯一性確認成為大眾關注的熱點，時常有新聞報道，用戶因USBKEY的PIN碼被竊取或撞庫，而抵賴因之引發的后果，拒絕承擔責任，最終因技術問題給事件的判決帶來了很大的模糊，嚴重妨礙了司法的公正。專家們也因此設計出多種多樣的安全方案，如帶按鍵的USBKEY、帶顯示屏的USBKEY、帶人臉識別的USBKEY、帶聲紋識別的USBKEY、帶指紋識別的USBKEY，等等。

綜合本人多年從事PKI認證的工作經歷，從安全、便捷、經濟的角度，推薦指紋USBKEY和監控功能的強身份認證技術。因此，本文主要介紹指紋USBKEY的工作原理，監控功能的設計，以及兩者相結合取得1+1大于2的效果。

1 ?PKI與USBKEY的應用介紹

1.1 ?證書頒發中心設計

1.1.1 ?證書頒發中心組成架構

按照國家規定，一套完整的PKI/CA系統包括發證中心（CA）、密鑰管理系統（KM）、證書注冊中心（RA）、目錄服務（LDAP）、在線認證（OCSP）組成。詳細組成架構如圖1所示。

下面介紹各產品的主要特點：

（1）CA認證系統和KM密鑰管理系統符合國家密碼管理局《證書認證系統密碼及其相關安全技術規范》《證書認證系統密碼協議規范》。支持簽發SM2算法的證書以及RSA算法證書。

（2）證書注冊中心（RA）負責錄入用戶信息，完成向CA認證系統請求證書并向最終用戶發放。

數字證書格式符合國家GB/T.8-2006標準和國際ITU X.509 V3標準，兼容V4標準，證書撤銷列表符合ITU X.509 V2標準。支持多類證書模板，如用戶證書、Windows登錄證書、機構證書、設備證書、測試證書等模板，用戶可自定義證書模板。數字證書適合于各種應用系統的身份認證、數字簽名、數字信封，也適合于標準的PKI應用，如Windows域登錄、SSL安全認證、電子郵件簽名和加密、VPN認證等。可基于接口的認證方式使用，也可基于硬件身份認證網關的認證方式使用。

（3）目錄服務（LDAP）用于存儲用戶信息，提供用戶的信息查詢。

（4）在線認證（OCSP），提供證書有效性的在線查詢。

1.1.2 ?證書頒發

具體操作證書頒發流程為：

（1）發證人員通過內部OA系統或身份證等信息，驗證用戶的真實信息。

（2）發證人員采用空白的USBKEY連接到發證系統，生成USBKEY證書，交給用戶使用。

1.2 ?PKI框架下的USB KEY證書與Windows域登錄

“域”模式下，資源的訪問有較嚴格的管理。公司采用域管理，方便管理權限集中，管理人員可以較好地管理計算機資源;安全性高，有利于企業的一些保密資料的管理;方便對用戶操作進行權限設置;分發、指派軟件，實現網絡內的軟件一起安裝等優勢。

在PKI框架下，USBKEY證書、WINDOWS登錄，域控服務器之間有著非常重要的認證交互關系，其詳細拓撲如圖2所示。

用戶從發證人員獲取USBKEY證書后，使用其進行Windows系統登錄，核心認證過程如下文所示。

1.2.1 ?客戶端查找DC

用戶在加入域的客戶端計算機上登錄，計算機向本機的netLogon服務發送RPC請求，請求包括域名、站點、計算機名稱等信息。中間經過復雜的信息交互過程（此處不是重點，略過介紹），最終緩存DC（Domain Controller）的相關信息，以便在用戶身份驗證過程直接使用。

1.2.2 ?身份驗證

AD域用戶身份驗證過程為：

（1）當客戶端找到可以做身份驗證的DC后，就會進入與DC間進行驗證身份的過程。

（2）Windows登錄界面上提示用戶插入USBKEY證書，用戶插入USBKEY證書，Winlogon檢測到證書插入動作，調用圖形化識別和驗證，對用戶身份進行識別和驗證，在認證過程中，要求用戶輸入USBKEY的PIN碼，PIN碼在USBKEY內部驗證通過后，才打開證書的私鑰訪問權限，允許證書私鑰對登錄信息做數字簽名。

（3）用戶端得到數據的簽名信息后提交給Windows系統，系統的Winlogon進程將認證信息推送至域控服務器，域控服務器從LDAP服務器獲取用戶的登錄賬號信息，確認其賬號信息的存在，并通過證書認證服務器驗證其證書的有效性。詳細的過程完全按照PKI框架實施，保證了信息交互的安全，完成了用戶信息的確認。域控得到成功的認證信息后，返回登錄令牌給用戶系統端，用戶側則依據返回的登錄令牌成功登錄系統，并擁有預設置的操作系統權限。

（4）用戶的身份驗證信息也會同步緩存到本地，以便下次登錄加速。

2 ?PKI框架下的指紋USBKEY與監控功能綜合實現

指紋USBKEY有其生物特征功能，因而可以確定用戶身份的唯一性，但是由于指紋USBKEY可以實現多對指紋的錄入，所以同樣存在唯一性難確定的不足。通過對指紋USBKEY做升級，結合監控日志功能，可以很好地把唯一性確定的不足做彌補，從而形成終端唯一性確認的優秀方案。

2.1 ?指紋USBKEY的工作原理

指紋識別基于人體生物特征的唯一性，利用人體的指紋特征對個體身份進行區分和鑒定。

2.1.1 ?硬件設計框架

基于指紋識別的USBKEY硬件設計以主控芯片MCU（arm架構）為核心，存儲器存放指紋數字模板和認證信息等;USB控制器用于連接pc端與MCU的通信;指紋采集器采集指紋輸送給MCU，進行驗證和比對等操作;所有的操作需要統一的時序控制。硬件組成框架如圖3所示。

2.1.2 ?軟件設計流程

指紋識別模塊是“指紋USBKEY”的重要模塊之一。指紋USBKEY利用現成指紋識別模塊，無須對其原理進行深入研究。下面只簡單介紹指紋識別技術的基本原理。

指紋識別的原理包括指紋采集、指紋特征提取、指紋特征分析和指紋特征匹配四大部分。依據指紋USBKEY的實際操作需求，軟件流程主要有指紋注冊和認證兩個流程。指紋注冊包括紋采集、指紋特征提取、指紋特征分析;指紋認證主要是指紋特征匹配算法的應用。

（1）指紋注冊流程。指紋注冊包括指紋采集、指紋特征提取、指紋特征分析，其注冊邏輯如圖4所示。

指紋采集是通過傳感器技術把指紋以幾何特性形式，形成數字化標識的指紋圖案。

指紋特征提取是對指紋圖案的幾何特性做整體的數學函數匯總，既有通用部分的提取，也有特殊點位的記錄，形成最終的數字符號。

指紋特征分析是對指紋圖案的整體特征和細節特征進行提取和鑒別，其分析的對象包括紋形特征和特征點的分布、類型，以及一組或多組特征點之間的平面幾何關系。

（2）指紋認證流程。指紋特征值匹配是對指紋圖案的整體特征和細節特征按模式識別的原理進行比對匹配。匹配是在已注冊的指紋和當前待驗證的指紋之間進行的。匹配運算不是對兩個指紋圖像進行比較，而是對已形成數字模板的指紋特征值進行匹配。詳細邏輯如圖5所示。

2.2 ?監控功能的設計

監控的方法有很多種，其中以日志做監控是常用的項目實施方案。指紋USBKEY的監控功能也以日志監控方案實施。通過對指紋應用SDK做定制，讓其對用戶的指紋USBKEY應用生成日志，達到實時監控的效果。

監控的日志設計以獲取用戶電腦特征信息為主，輔以部分應用場景信息，最終達到唯一性確定的效果。日志設計格式如下：應用場景信息、操作系統信息、操作行為、時間點等關鍵審計信息。日志生成后，使用對稱加密算法SM4進行加密，實時上傳到定制的服務器或指定的網盤目錄;服務端收到加密數據后，使用相同的密鑰算法進行解密、數據調整、分類歸檔、存儲。

服務端典型設計維度包括容量、權限、查看、報表生成：

（1）容量。監控的日志隨著時間的推移，將產生大量的數據信息，會對審計查詢的速度產生影響，綜合考慮功能和需求的平衡，審計要求達到等保三級系統安全需求，故指紋USBKEY應用日志在服務器端的存儲應達180天以上。

（2）權限。權限是訪問日志的安全入口，參照目前成熟的權限管理方案，建議基于權限進行應用、管理、審計的三權分立設計。

（3）查看。為了加快調優日志查詢速度，在一般情況下，使用關系型數據庫可以滿足需求，成規模的應用系統日志，建議使用倒排索引，如ELK等大數據分析軟件進行搭配。

（4）報表。方便向上匯報，定期分析，服務器端的報表應結合業務場景，滿足需求而生成報表。

2.3 ?PKI框架下指紋USBKEY與監控功能的結合實現案例

通過指紋操作確定有人動用了指紋USBKEY，依靠日志記錄，確定了這個人動用了指紋USBKEY里的具體指紋，從而實時跟蹤用戶指紋USBKEY證書應用實況，真正實現終端的人證合一。其安全性解決了以下三方面的實際問題：

（1）解決“一KEY共用”，導致身份認證不唯一性、抗抵賴性弱等安全隱患。

（2）解決“人、KEY不合一”，冒用身份的安全隱患。

（3）解決“終端、KEY不合一”和“人、KEY不同現場”，導致終端安全問題定位難、分析難、處置難等安全審計和安全溯源的問題。

2.3.1 ?實現案例一：指紋USBKEY的應用日志上傳至定制的日志系統

終端采用定制的指紋USBKEY安裝包，實時獲取指紋USBKEY的應用場景信息、操作系統信息、操作行為、時間點等關鍵審計信息，以特定的文件格式，經過對稱加密（SM4）形成加密日志包，實時傳輸至日志系統。

日志系統接收加密日志包后，使用預設置的SM4密鑰，解密出數據文件，經過處理、整合，形成歸檔日志，存儲于服務器端的數據庫。當審計員需要審計用戶的應用身份真實性時，審計員登錄日志服務器，設置篩選條件，把日志生成展示報表，展示在審計端。

詳細拓撲如圖6所示。

通過定制終端軟件對終端指紋USBKEY做實時監控，定制審計系統對終端數據做實時接收，實現了指紋USBKEY的應用數據從產生到歸檔，乃至銷毀等全生命周期監控，較好地實現了“終端、指紋USBKEY、人、應用場景合一”，解決了安全審計、安全溯源的根本問題。

2.3.2  實現案例二：指紋USB KEY應用日志上傳到網盤專有區

終端采用定制的指紋USBKEY安裝包，實時獲取指紋USBKEY的應用場景信息、操作系統信息、操作行為、時間點等關鍵審計信息，以特定的文件格式，經過對稱加密（SM4）形成加密日志包，實時傳輸至網盤指定位置。

審計端單獨定制審計管理工具，用于解密數據文件，整合日志，生成報表。

當審計員需要審計用戶的應用身份真實性時，審計員將從網盤獲取指定時間段的日志文件數據，使用審計管理工具，把日志解密，生成展示報表，展示在審計端。

該案例考慮到日志的安全可靠性，做了密碼加固的安全措施：

（1）終端日志經過對稱加密（SM4），以加密的形式存儲于網盤目錄。

（2）網盤目錄使用管理員預設置的管理策略權限，防止越權訪問。

（3）使用定制的審計工具才能解密網盤上的加密數據。

（4）定制的審計工具需有加密鎖才能打開，加密鎖的目的是驗證審計員的身份。

詳細拓撲如圖7所示。

通過定制終端軟件對終端指紋USBKEY做實時監控，定制審計工具對終端數據做解密審計，較好地實現了“終端、指紋USBKEY、人、應用場景”合一，解決了“一KEY共用”，導致身份認證不唯一、抗抵賴性弱等安全隱患。

3 ?結 ?論

本文通過對PKI與USBKEY的應用介紹，確認了PKI框架的廣泛應用安全，同時分別對指紋USBKEY的工作原理和監控功能做方案設計的介紹，充分論證了指紋USBKEY和監控功能結合的優勢，揚長避短。最終推導出實現終端的人證合一的方案。

方案介紹后，同步引入兩個典型的實現案例：案例一做相對較大的成本投入，通過對終端真實性數據的全方位考慮，定制了日志系統，為報表的生成、審計的便捷，提供輕松的環境;案例二從審計需求出發，綜合投入的制約因素，定制審計工具代替日志系統，較為靈活地滿足了審計的需求。

在實際方案應用過程中，需要考慮的影響因素眾多，尤其是投入產出比的綜合影響，因而在項目設計與落地過程中，不得不對其功能進行調整和優化，但其方案的思路、方向是一致的。如何衍生出更多的終端唯一性確認案例，需要在實際工作過程中做更多的探討、挖掘、研究與完善。

參考文獻：

[1] 于江，蘇錦海，張永福.基于USB-Key的強口令認證方案設計與分析 [J].計算機應用，2011，31（2）：511-513.

[2] 陳志乾.基于身份認證的超級網銀安全研究 [J].電子商務，2011（6）：36-38.

[3] 趙永冠.基于USBKey和指紋識別技術在吉林油田公司信息系統身份認證研究 [J].信息系統工程，2015（3）：22.

[4] 張利華，沈友進.基于ECC和指紋USBKey的身份認證協議 [J].華東交通大學學報，2014，31（2）：95-98.

[5] 張利華，沈友進.指紋信息庫管理系統應用設計 [J].中國管理信息化，2020，23（9）：150-153.

作者簡介：張煒玲（1993—），女，漢族，廣東云浮人，助理工程師，本科，研究方向：軟件工程應用軟件開發;林文暢（1997—），男，漢族，廣東羅定人，本科，研究方向：硬件開發測試;黃鴻（1984—），男，漢族，廣東羅定人，工程師，本科，研究方向：信息安全與數據分析。