一个基于生物特征认证技术的PKI系统BPKI

-1-一个基于生物特征认证技术的PKI系统：BPKI刘远航高建峰鞠九滨（吉林大学计算机科学与技术学院长春前进大街95号130012）摘要生物特征认证技术是鉴别一个人的最有效的方法。PKI技术是传统的网络身份认证的技术和手段，在PKI系统中如何更有效的对PKI用户进行身份鉴别以及对其似钥如何更有效的保护一直是网络安全领域研究的中心问题。本文将生物特征认证技术与PKI技术相结合，提出一套基于生物特征认证技术的PKI系统：BPKI，从而实现对PKI用户的身份鉴别以及对用户私钥保护程度的加强。文末提出了在该领域的研究结论与进一步的工作。关键词BiometricsPKI私钥证书APKISystemBasedonTheBiometrics:BPKILiuYuanhangGaoJianfengJuJiubin(JiLinUniversityNo.95QianjinRoadChangchun130012，China)AbstractBiometricisthemosteffectivemechanismtobeusedtoauthenticatepeople.PKIisthetraditionalwaytobeusedtoenhancethenetworksecurity.InthispaperweintroducethetechniqueformoreprivateformofbiometricidentificationtobeusedinPKIsystems.AndbringoutaPKIsystembasedonthebiometric,whichiscalledBPKI,tobridgethegapbetweenauthenticationandtheend-userinPKIapplications.Finally,wemakesomeconclusionandoutlinefuturedirectionsbasedontheBPKIsystem.KeywordsBiometricsPKIPrivateKeyCertificate1引言网络信息化时代的一大特征就是身份的数字化和隐性化,如何准确鉴定一个人的身份，保护信息安全是当今信息化时代必须解决的一个关键问题。信用卡号、银行帐号、身份证号、网络登录号，我们可能被生活中越来越多的需要记忆的密码搅得心烦意乱。如何不用记忆这些密码而又不用担心自己身份无法认定呢？正在悄然兴起的生物特征识别技术正好可以解决上述问题。2生物特征认证技术所谓生物特征识别(Biometrics)1技术是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份鉴定。生理特征与生俱来,多为先天性的；行为特征则是习惯使然，多为后天性的。我们将生理和行为特征统称为生物特征。常用的生物特征包括：指纹、掌纹、虹膜、脸像、声音、笔迹等。鉴别人的身份是一个非常困难的问题，传统的身份鉴别方法把这个问题转化为鉴别一些标识个人身份的事物，这包括两个方面2：1）身份标识物品，比如钥匙、证件、ATM卡等；2）身份标识知识，比如用户名和密码。在一些安全性要求严格的系统中，可以将这两者结合起来，即所谓的“双因子（TwoFactors）认证”，比如ATM机要求用户同时提供ATM卡和密码。这些传统的身份鉴别方法存在明显的缺点：个人拥有的物品容易丢失或被伪造，个人的密码容易遗忘或记错。更为严重的是这些系统无法区分真正的拥有者和取得身份标识物的冒充者，一旦他人获得了这些身份标识事物，就可以拥有相同的权力。与传统的身份鉴定手段相比，基于生物特征识别的身份鉴定技术（也称为生物特征认证技术）具有以下优点：1）不易遗忘或丢失；2）防伪性能好，不易伪造或被盗；3）随身携带，随时随地可用。随着我们逐渐迈入数字时代，生物特征的身份鉴定技术愈加显示出它的价值。以美国为例3，基于这项技术的产业规模已经达到数十亿美元。在美国，每年约有上亿美元的福利款被人以假冒的身份领取；据MasterCard公司估计，每年约有价值四-2-亿五千万美元的信用卡诈骗案发生，其中就包括利用丢失和被盗的信用卡的犯罪，如果销售场所可以准确地鉴别持卡人的身份就会大大减少这种诈骗案的发生；由于使用盗窃来的身份识别码(PIN)，造成移动电话通讯的损失高达十亿美元；据估计，利用可靠的方法鉴别ATM持卡人的身份可以使全美国每年ATM诈骗案造成的损失减少3亿美元；可靠地鉴别支票领款人可以减少上亿美元的冒领金额；随着网络的发展，非法登录计算机的案件呈上升趋势，有效的身份鉴定技术可以防止这类案件的发生；据美国移民局统计，如果在美国-墨西哥边境采用快速准确的身份鉴别系统，可以在不影响正常入境人员的情况下，每天查出3,000件非法入境案件。以上的这组数据表明，有效地鉴定个人的身份有着重大的社会和经济意义，它可以有效地防止犯罪和诈骗、提高办公效率、节约资源。目前，国外许多高技术公司正在试图用眼睛虹膜、指纹、面貌特征等取代人们手中的信用卡或密码，并且已经开始在机场、银行和各种电子器具上进行了实际应用。美国一家名为Iriscan的高技术公司研制出的虹膜识别系统已经应用在美国得克萨斯州联合银行的三个营业部内。储户两手空空地来办理银行业务，无需银行卡，更没有回忆密码的烦恼。他们在该取款机上取钱时，一台摄像机首先对用户的眼睛进行扫描，然后将扫描图像转化成数字信息与数据库中的资料核对，以对用户的身份进行检验。日本三菱电机公司不久前将指纹认证装置微型化，并内置于公司将要推出的手机中。在使用者打电话时只要用手指触摸手机的传感部，手机就能马上识别出指纹是否与使用者事先登记的指纹一致。如果与事先登记的指纹不相符合，电话就不能接通。这使手机用户再也不必担心手机被人盗用了。生物识别技术虽然在机场，银行，公安方面有不错的应用前景，但是它最有应用前途的地方或许是在电子商务领域。２００２年，全球通过入门网站达成的贸易额将达５万亿美元。此外，预计到２００５年全球因特网用户将达到７．６５亿。与此同时，网络黑客的破坏活动也会层出不穷，人们不难想象信息安全如果得不到保障会造成多么大的损失。鉴于生物识别的可靠性，未来人们在上网购物或者交易时，首先在生物识别仪上进行一下身份认证，可以保证网络管理机构有效监督网络交易的参与者，大大降低不法分子对网络交易的破坏活动。可用来鉴别身份的生物特征应该具有以下特点：1）广泛性：每个人都应该具有这种特征；2）唯一性：每个人拥有的特征应该各不相同；3）稳定性：所选择的特征应该不随时间发生变化；4）可采集性：所选择的特征应该便于测量；实际的应用还给基于生物特征的身份鉴别系统提出了更多的要求，如：1）性能的要求：所选择的生物统计特征能够达到多高的识别率，对于资源的要求如何，识别的效率如何；2）可接受性：使用者在多大程度上愿意接受基于所选择的生物统计特征的系统；3）安全性能：系统是否能够防止被攻击；4）是否具有相关的、可信的研究背景作为技术支持；5）提取的特征容量，特征模板是否占有较小的存储空间；6）价格；是否达到用户所接受的价格；7）速度：是否具有较高的注册和识别速度；8）是否具有非侵犯性；到目前为止，还没有任何一种单独的生物特征可以满足上述的全部要求。基于不同生物特征的身份鉴别系统都有各自的优缺点，适用于一定的范围。但对于不同的生物特征身份鉴别系统，具有统一的评价标准。介绍如何评价一个生物特征身份鉴别系统之前，先介绍一下理想的生物身份鉴别系统是什么样的。理想的生物身份鉴别系统应满足：1）所有人都拥有这一生物特征，并且不同人的生物特征是可以区分的；2）生物特征的采集不随采集的条件而不同；3）系统能够区分冒充者。对身份鉴别系统进行评估，实际上就是判断其符合上述理想系统的程度。由于身份鉴别系统有两种工作模式（识别模式和鉴定模式），两种模式下系统给出的结果有较大差别，因此有不同的性能标准。下面将对两种工作模式进行比较。在识别模式状态工作，系统的输出通常是输入的若干个可能的拥有着。系统性能的主要指标是真正的用户在结果中的概率以及匹配一个特征所需的平均时间。在鉴定模式状态工作，身份鉴别系统有两个重要的统计性能指标：错误拒绝率FRR（漏报）和错误接受率FAR（虚警）。错误接受是指将冒充者识别为真正的生物特征拥有者；错误拒绝是指生物特征拥有者被系统拒绝。对于理想的系统来说，这两个错误率都应该是零。但实际中，这两个指标是相关的，当错误拒绝率比较低时，错误接受率会比较高。反之亦然。系统往往需要在两个错误率之间取一个折衷。一般用ROC曲线（ReceiverOperatingCurve）能够很好得反映两个错误率之间的关系。在刑事应用中，需要把可能的嫌疑人都找出来，应尽量减小错误拒绝率，所以错误接受率非常大；而对于高度保密应用来说，错误接受造成的损失非常大，因此-3-要求错误接受率很低。因此，一般以两个错误率作为作为指纹身份鉴别系统的性能标准。3PKI技术PKI（PublicKeyInfrastructure）即公开密钥基础设施，是一个包括硬件、软件、人员、策略和标准的集合，用来实现公钥密码体制证书的产生、存储、管理、分发、撤消和归档等功能，最终目标是要在网络空间建立类似于现实生活中的信任体系4。PKI的信任关系是通过数字证书来传递的，数字证书是显示生活中身份证、护照、学历证书等在网络中的反映。在我国，PKI得到了相当的重视和广泛的发展，被列入863信息领域信息安全技术主题的重大项目，在全国各行各业、各区域。针对各种应用已经或正在建立起的PKI建设项目的数量多达几十家。这些对推动我国的信息化进程和信息产业的发展发挥了重要作用。同时，PKI的建设也遇到了政策、模式以及技术等方方面面的挑战。其中，关于PKI体系中用户私钥的存储与认证的安全性问题就是PKI安全领域的一个技术性课题。4问题的提出PKI技术体系主要是以非对称算法为基础的，其中非对称算法主要是采用的是密钥保密、算法公开的RSA、ECC等公钥算法，其中密钥分为公钥和私钥，私钥作为个人身份的象征，需要严格的保密。目前建设的PKI系统中用户的私钥保护主要是采用磁盘、令牌卡如（如MemoryIC卡、CPU卡和USB棒）存储私钥，采用口令开启。由于存在口令丢失、密码被攻破以及令牌丢失等问题，传统的私钥保护方式已经不能满足用户的需要5。如何解决用户的私钥保护问题，一直以来是PKI系统研究与开发中的重点内容。在详细研究了基于生物特征认证技术后，我们决定利用生物特征认证技术与PKI技术相结合，重点是解决用户端私钥的安全使用和保存问题，从而解决PKI体系中客户端私钥的安全存储与保护的问题。4基于生物特征认证技术的PKI系统：BPKI4．1系统概述在PKI系统中应用生物特征认证技术主要是在该PKI系统客户端（包括管理员用户和证书的最终使用者）的身份鉴别与控制上面使用基于生物特征的身份鉴别和访问控制技术。本文将描述一个基于生物特征认证技术的PKI系统：BPKI，此系统在完成PKI所需要的一切功能的同时，在证书使用者一方通过使用基于指纹认证技术的终端身份鉴别和访问控制的设备，对PKI体系中用户的私钥进行保护。4．2系统功能常规的PKI系统主要是使用IC卡或智能卡（USBKEY）等硬件设备来存储和管理PKI证书用户的私钥，硬件设备可以保护用户私钥的不可导出，以及利用口令来实现硬件设备的访问控制。而应用了指纹特征认证技术的BPKI系统则通过在PKI证书客户端加载生物特征扫描器来为验证系统输入或输出证书用户的指纹，从而达到证书用户的身份鉴别和访问控制的目的。考虑到目前IC卡技术比较成熟，可以以IC卡技术为基础，加载实现基于指纹认证的软硬件模块，实现新的客户端硬件令牌对证书用户的私钥进行保护。该令牌在设计上充分考虑了目前客户端密码硬件令牌的技术特点：1）密码运算速度快，尤其是RSA密钥的生成、数字签名、验证的速度；2）存储容量大，可依据用户需求扩充容量；3）占用计算机资源少，所有的关于密码的操作在硬件中进行；4）功耗低，并带有节能模式；5）体积小巧，便于携带，可扩展性强，抗破解，无法复制；6）集成安全文件