张炜玲 林文畅 黄鸿

摘  要：科技发展进入了云时代。云存储，云计算等云应用脍炙人口，终端身份认证有效是打开云应用的主窗口，生物特征因其唯一性的魅力被广泛应用于终端身份认证。文章主要介绍PKI框架下的身份认证方案，生物特征识别技术，日志监控功能，并论证生物特征识别技术与日志监控功能的相辅相成对PKI的身份认证方案有突出的贡献，从而推导出终端身份认证唯一性确认的思路与方向，并通过典型的案例介绍，确认基于指纹USB Key和监控功能的强身份认证设计的技术方向可行，可靠。

关键词：PKI;证书;指纹;KEY;生物特征;识别技术;日志;监控

中图分类号：TP393     文献标识码：A文章编号：2096-4706（2021）13-0005-05

Design of Strong Identity Authentication Based on Fingerprint USBKEY and Monitoring Function

ZHANG Weiling， LIN Wenchang， HUANG Hong

（Yunfu Power Supply Bureau of Guangdong Power Grid Co.， Ltd.， Yunfu  527300， China）

Abstract： The development of science and technology has entered the cloud era. Cloud applications such as cloud storage and cloud computing are well-known. Effective terminal identity authentication is the main window to open cloud applications. Biometrics are widely used in terminal identity authentication because of its unique charm. This paper mainly introduces the identity authentication scheme， biometric technology and log monitoring function under the PKI framework， and demonstrates that the complementarity of biometric technology and log monitoring function has a prominent contribution to the identity authentication scheme of PKI， so as to deduce the idea and direction of terminal identity authentication uniqueness confirmation， and introduce it through typical cases， confirm that the technical direction of strong identity authentication design based on fingerprint USB Key and monitoring function is feasible and reliable.

Keywords： PKI; Certificate; fingerprint; Key; biological characteristics; identification technology; journal; monitor

0  引  言

公钥基础设施（Public Key Infrastructure， PKI）技术的应用已有二十余年，其安全性得到科學界的认可，并广泛应用于金融、政府、国有企业等关键信息重要信息系统，其技术安全性主要用于保障应用系统登录的安全，确认用户身份信息的真实性。近年来云计算的兴起，更是将PKI的应用推向强身份认证的顶峰，PKI与域登录认证相结合保障云桌面的安全成为必选的安全解决方案，若在登录的过程中使用由具备电子认证服务资质的第三方证书机构颁发的数字证书，更是得到法律的认可，其安全性、可信性、可靠性不言而喻。

然而在PKI框架安全应用同时，其终端身份唯一性确认成为大众关注的热点，时常有新闻报道，用户因USBKEY的PIN码被窃取或撞库，而抵赖因之引发的后果，拒绝承担责任，最终因技术问题给事件的判决带来了很大的模糊，严重妨碍了司法的公正。专家们也因此设计出多种多样的安全方案，如带按键的USBKEY、带显示屏的USBKEY、带人脸识别的USBKEY、带声纹识别的USBKEY、带指纹识别的USBKEY，等等。

综合本人多年从事PKI认证的工作经历，从安全、便捷、经济的角度，推荐指纹USBKEY和监控功能的强身份认证技术。因此，本文主要介绍指纹USBKEY的工作原理，监控功能的设计，以及两者相结合取得1+1大于2的效果。

1  PKI与USBKEY的应用介绍

1.1  证书颁发中心设计

1.1.1  证书颁发中心组成架构

按照国家规定，一套完整的PKI/CA系统包括发证中心（CA）、密钥管理系统（KM）、证书注册中心（RA）、目录服务（LDAP）、在线认证（OCSP）组成。详细组成架构如图1所示。

下面介绍各产品的主要特点：

（1）CA认证系统和KM密钥管理系统符合国家密码管理局《证书认证系统密码及其相关安全技术规范》《证书认证系统密码协议规范》。支持签发SM2算法的证书以及RSA算法证书。

（2）证书注册中心（RA）负责录入用户信息，完成向CA认证系统请求证书并向最终用户发放。

数字证书格式符合国家GB/T.8-2006标准和国际ITU X.509 V3標准，兼容V4标准，证书撤销列表符合ITU X.509 V2标准。支持多类证书模板，如用户证书、Windows登录证书、机构证书、设备证书、测试证书等模板，用户可自定义证书模板。数字证书适合于各种应用系统的身份认证、数字签名、数字信封，也适合于标准的PKI应用，如Windows域登录、SSL安全认证、电子邮件签名和加密、VPN认证等。可基于接口的认证方式使用，也可基于硬件身份认证网关的认证方式使用。

（3）目录服务（LDAP）用于存储用户信息，提供用户的信息查询。

（4）在线认证（OCSP），提供证书有效性的在线查询。

1.1.2  证书颁发

具体操作证书颁发流程为：

（1）发证人员通过内部OA系统或身份证等信息，验证用户的真实信息。

（2）发证人员采用空白的USBKEY连接到发证系统，生成USBKEY证书，交给用户使用。

1.2  PKI框架下的USB KEY证书与Windows域登录

“域”模式下，资源的访问有较严格的管理。公司采用域管理，方便管理权限集中，管理人员可以较好地管理计算机资源;安全性高，有利于企业的一些保密资料的管理;方便对用户操作进行权限设置;分发、指派软件，实现网络内的软件一起安装等优势。

在PKI框架下，USBKEY证书、WINDOWS登录，域控服务器之间有着非常重要的认证交互关系，其详细拓扑如图2所示。

用户从发证人员获取USBKEY证书后，使用其进行Windows系统登录，核心认证过程如下文所示。

1.2.1  客户端查找DC

用户在加入域的客户端计算机上登录，计算机向本机的netLogon服务发送RPC请求，请求包括域名、站点、计算机名称等信息。中间经过复杂的信息交互过程（此处不是重点，略过介绍），最终缓存DC（Domain Controller）的相关信息，以便在用户身份验证过程直接使用。

1.2.2  身份验证

AD域用户身份验证过程为：

（1）当客户端找到可以做身份验证的DC后，就会进入与DC间进行验证身份的过程。

（2）Windows登录界面上提示用户插入USBKEY证书，用户插入USBKEY证书，Winlogon检测到证书插入动作，调用图形化识别和验证，对用户身份进行识别和验证，在认证过程中，要求用户输入USBKEY的PIN码，PIN码在USBKEY内部验证通过后，才打开证书的私钥访问权限，允许证书私钥对登录信息做数字签名。

（3）用户端得到数据的签名信息后提交给Windows系统，系统的Winlogon进程将认证信息推送至域控服务器，域控服务器从LDAP服务器获取用户的登录账号信息，确认其账号信息的存在，并通过证书认证服务器验证其证书的有效性。详细的过程完全按照PKI框架实施，保证了信息交互的安全，完成了用户信息的确认。域控得到成功的认证信息后，返回登录令牌给用户系统端，用户侧则依据返回的登录令牌成功登录系统，并拥有预设置的操作系统权限。

（4）用户的身份验证信息也会同步缓存到本地，以便下次登录加速。

2  PKI框架下的指纹USBKEY与监控功能综合实现

指纹USBKEY有其生物特征功能，因而可以确定用户身份的唯一性，但是由于指纹USBKEY可以实现多对指纹的录入，所以同样存在唯一性难确定的不足。通过对指纹USBKEY做升级，结合监控日志功能，可以很好地把唯一性确定的不足做弥补，从而形成终端唯一性确认的优秀方案。

2.1  指纹USBKEY的工作原理

指纹识别基于人体生物特征的唯一性，利用人体的指纹特征对个体身份进行区分和鉴定。

2.1.1  硬件设计框架

基于指纹识别的USBKEY硬件设计以主控芯片MCU（arm架构）为核心，存储器存放指纹数字模板和认证信息等;USB控制器用于连接pc端与MCU的通信;指纹采集器采集指纹输送给MCU，进行验证和比对等操作;所有的操作需要统一的时序控制。硬件组成框架如图3所示。

2.1.2  软件设计流程

指纹识别模块是“指纹USBKEY”的重要模块之一。指纹USBKEY利用现成指纹识别模块，无须对其原理进行深入研究。下面只简单介绍指纹识别技术的基本原理。

指纹识别的原理包括指纹采集、指纹特征提取、指纹特征分析和指纹特征匹配四大部分。依据指纹USBKEY的实际操作需求，软件流程主要有指纹注册和认证两个流程。指纹注册包括纹采集、指纹特征提取、指纹特征分析;指纹认证主要是指纹特征匹配算法的应用。

（1）指纹注册流程。指纹注册包括指纹采集、指纹特征提取、指纹特征分析，其注册逻辑如图4所示。

指纹采集是通过传感器技术把指纹以几何特性形式，形成数字化标识的指纹图案。

指纹特征提取是对指纹图案的几何特性做整体的数学函数汇总，既有通用部分的提取，也有特殊点位的记录，形成最终的数字符号。

指纹特征分析是对指纹图案的整体特征和细节特征进行提取和鉴别，其分析的对象包括纹形特征和特征点的分布、类型，以及一组或多组特征点之间的平面几何关系。

（2）指纹认证流程。指纹特征值匹配是对指纹图案的整体特征和细节特征按模式识别的原理进行比对匹配。匹配是在已注册的指纹和当前待验证的指纹之间进行的。匹配运算不是对两个指纹图像进行比较，而是对已形成数字模板的指纹特征值进行匹配。详细逻辑如图5所示。

2.2  监控功能的设计

监控的方法有很多种，其中以日志做监控是常用的项目实施方案。指纹USBKEY的监控功能也以日志监控方案实施。通过对指纹应用SDK做定制，让其对用户的指纹USBKEY应用生成日志，达到实时监控的效果。

监控的日志设计以获取用户电脑特征信息为主，辅以部分应用场景信息，最终达到唯一性确定的效果。日志设计格式如下：应用场景信息、操作系统信息、操作行为、时间点等关键审计信息。日志生成后，使用对称加密算法SM4进行加密，实时上传到定制的服务器或指定的网盘目录;服务端收到加密数据后，使用相同的密钥算法进行解密、数据调整、分类归档、存储。

服务端典型设计维度包括容量、权限、查看、报表生成：

（1）容量。监控的日志随着时间的推移，将产生大量的数据信息，会对审计查询的速度产生影响，综合考虑功能和需求的平衡，审计要求达到等保三级系统安全需求，故指纹USBKEY应用日志在服务器端的存储应达180天以上。

（2）权限。权限是访问日志的安全入口，参照目前成熟的权限管理方案，建议基于权限进行应用、管理、审计的三权分立设计。

（3）查看。为了加快调优日志查询速度，在一般情况下，使用关系型数据库可以满足需求，成规模的应用系统日志，建议使用倒排索引，如ELK等大数据分析软件进行搭配。

（4）报表。方便向上汇报，定期分析，服务器端的报表应结合业务场景，满足需求而生成报表。

2.3  PKI框架下指紋USBKEY与监控功能的结合实现案例

通过指纹操作确定有人动用了指纹USBKEY，依靠日志记录，确定了这个人动用了指纹USBKEY里的具体指纹，从而实时跟踪用户指纹USBKEY证书应用实况，真正实现终端的人证合一。其安全性解决了以下三方面的实际问题：

（1）解决“一KEY共用”，导致身份认证不唯一性、抗抵赖性弱等安全隐患。

（2）解决“人、KEY不合一”，冒用身份的安全隐患。

（3）解决“终端、KEY不合一”和“人、KEY不同现场”，导致终端安全问题定位难、分析难、处置难等安全审计和安全溯源的问题。

2.3.1  实现案例一：指纹USBKEY的应用日志上传至定制的日志系统

终端采用定制的指纹USBKEY安装包，实时获取指纹USBKEY的应用场景信息、操作系统信息、操作行为、时间点等关键审计信息，以特定的文件格式，经过对称加密（SM4）形成加密日志包，实时传输至日志系统。

日志系统接收加密日志包后，使用预设置的SM4密钥，解密出数据文件，经过处理、整合，形成归档日志，存储于服务器端的数据库。当审计员需要审计用户的应用身份真实性时，审计员登录日志服务器，设置筛选条件，把日志生成展示报表，展示在审计端。

详细拓扑如图6所示。

通过定制终端软件对终端指纹USBKEY做实时监控，定制审计系统对终端数据做实时接收，实现了指纹USBKEY的应用数据从产生到归档，乃至销毁等全生命周期监控，较好地实现了“终端、指纹USBKEY、人、应用场景合一”，解决了安全审计、安全溯源的根本问题。

2.3.2  实现案例二：指纹USB KEY应用日志上传到网盘专有区

终端采用定制的指纹USBKEY安装包，实时获取指纹USBKEY的应用场景信息、操作系统信息、操作行为、时间点等关键审计信息，以特定的文件格式，经过对称加密（SM4）形成加密日志包，实时传输至网盘指定位置。

审计端单独定制审计管理工具，用于解密数据文件，整合日志，生成报表。

当审计员需要审计用户的应用身份真实性时，审计员将从网盘获取指定时间段的日志文件数据，使用审计管理工具，把日志解密，生成展示报表，展示在审计端。

该案例考虑到日志的安全可靠性，做了密码加固的安全措施：

（1）终端日志经过对称加密（SM4），以加密的形式存储于网盘目录。

（2）网盘目录使用管理员预设置的管理策略权限，防止越权访问。

（3）使用定制的审计工具才能解密网盘上的加密数据。

（4）定制的审计工具需有加密锁才能打开，加密锁的目的是验证审计员的身份。

详细拓扑如图7所示。

通过定制终端软件对终端指纹USBKEY做实时监控，定制审计工具对终端数据做解密审计，较好地实现了“终端、指纹USBKEY、人、应用场景”合一，解决了“一KEY共用”，导致身份认证不唯一、抗抵赖性弱等安全隐患。

3  结  论

本文通过对PKI与USBKEY的应用介绍，确认了PKI框架的广泛应用安全，同时分别对指纹USBKEY的工作原理和监控功能做方案设计的介绍，充分论证了指纹USBKEY和监控功能结合的优势，扬长避短。最终推导出实现终端的人证合一的方案。

方案介绍后，同步引入两个典型的实现案例：案例一做相对较大的成本投入，通过对终端真实性数据的全方位考虑，定制了日志系统，为报表的生成、审计的便捷，提供轻松的环境;案例二从审计需求出发，综合投入的制约因素，定制审计工具代替日志系统，较为灵活地满足了审计的需求。

在实际方案应用过程中，需要考虑的影响因素众多，尤其是投入产出比的综合影响，因而在项目设计与落地过程中，不得不对其功能进行调整和优化，但其方案的思路、方向是一致的。如何衍生出更多的终端唯一性确认案例，需要在实际工作过程中做更多的探讨、挖掘、研究与完善。

参考文献：

[1] 于江，苏锦海，张永福.基于USB-Key的强口令认证方案设计与分析 [J].计算机应用，2011，31（2）：511-513.

[2] 陈志乾.基于身份认证的超级网银安全研究 [J].电子商务，2011（6）：36-38.

[3] 赵永冠.基于USBKey和指纹识别技术在吉林油田公司信息系统身份认证研究 [J].信息系统工程，2015（3）：22.

[4] 张利华，沈友进.基于ECC和指纹USBKey的身份认证协议 [J].华东交通大学学报，2014，31（2）：95-98.

[5] 张利华，沈友进.指纹信息库管理系统应用设计 [J].中国管理信息化，2020，23（9）：150-153.

作者简介：张炜玲（1993—），女，汉族，广东云浮人，助理工程师，本科，研究方向：软件工程应用软件开发;林文畅（1997—），男，汉族，广东罗定人，本科，研究方向：硬件开发测试;黄鸿（1984—），男，汉族，广东罗定人，工程师，本科，研究方向：信息安全与数据分析。