生物识别技术在信息安全中的应用

2013-06-24 admin1

生物识别技术在信息安全有哪些应用?生物识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性,(如指纹、脸象、红膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的鉴定。

生物识别技术主要是指通过人类生物特征进行身份认证的一种技术,人类的生物特征通常具有唯一性、可以测量或可自动识别和验证、遗传性或终身不变等特点,因此生物识别认证技术较传统认证技术存在较大的优势。

生物识别系统对生物特征进行取样,提取其唯一的特征并且转化成数字代码,并进一步将这些代码组成特征模板。由于微处理器及各种电子元器件成本不断下降,精度逐渐提高,生物识别系统逐渐应用于商业上的授权控制如门禁、企业考勤管理系统安全认证等领域。用于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等,行为特征有签字、声音、按键力度等。基于这些特征,人们已经发展了手形识别、指纹识别、面部识别、发音识别、虹膜识别、签名识别等多种生物识别技术。

生物识别:身份认证技术的本质回归

身份认证技术是整个信息安全体系中,最重要和核心的一部分,一旦身份认证系统出了问题,那么,整个信息安全体系就会像当年的"马奇诺防线",任你固若金汤,任你启用最先进的防病毒、放泄露、防火墙等等设备,都一下子化为乌有,彻底崩溃。有人做个安全木桶原理的比喻,如果把信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板,身份认证就相当于木桶底。可以说,身份认证用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据,而防火墙等技术针对数字身份进行权限管理,解决数字身份能干什么的问题。由此可见,身份认证是整个信息安全体系的基础。

当前身份认证的技术手段主要有以下三种基本的方法:一是根据你所知道的信息来证明身份(what you know),你知到用户名和密码,知道某个特定的问题答案等;二是根据你所拥有的物品来证明身份(what you have),例如你拥有IC卡、一卡通、电影票、USBkey等;三是直接根据你独一无二的身体特征来证明身份(who you are),比如面貌外形、指纹、DNA等。当然,人们也可能将以上三种方法多重组合,形成更高安全性的认证方式,现在计算机及网络系统中常用的身份认证方式主要有用户名+密码方式、IC卡认证方式、动态口令方式、USB Key认证方式、生物识别认证方式等。(例如,银行通过密码和银行卡组合,相对提高了安全性)。

所谓"生物识别认证技术",就是指采用每个人独一无二的生物特征来验证用户身份的信息技术,又称生物特征认证技术。生物识别技术主要是通过可测量的身体或行为等生物特征进行身份认证的一种技术;而生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管、骨骼和DNA等;行为特征包括:签名、语音、行走步态等。

显然,唯一性就不用说了,因为是用你自己的生理特征值来作为测量的依据。从安全性上来讲,你知道的信息有可能被泄露或者还有其他人知道,你所拥有的物品有可能丢失、被盗窃或者被"山寨"复制,因此仅凭一个人拥有的信息或物品判断其身份是不可靠的。从现在很多的信息安全事故都能够了解,这里就不一一分析。

从便捷性上看,我举一个例子,大家想想你每天生活中需要记忆多少个密码?你家里有多少张各种卡片(在座各位恐怕光银行卡都有很多张吧)?显示生活中,你必须费劲记住这些密码,拿着这些卡片或者证件,否则,明明你自己的邮箱,你打不开,明明你自己的财产,你无权取用。为什么要这么麻烦,因为我们需要安全,难道安全就跟方便是"天敌",二者必须互相矛盾?可能大部分安全技术和产品是这样,但生物识别技术的优势,就是将安全与便捷融为一体,充满人性化的关怀,你不需要记忆密码,也不需要怀揣一堆证件,才能行走江湖。

在给用户提供人性化便捷使用体验的同时,对社会来说,生物识别技术还具有绿色环保的增值功能。使用生物识别技术,就不需要那么多的塑料、电子、IC等各种硬件口令设备,无疑降低了资源消耗和电子污染,同时,因为社会信息安全需求的高涨,生物识别身份认证产品,已经成为涉密或高保密单位必须采购安全设备,由于基数小,因此数量大,为拉动内需繁荣市场做出自己的贡献, 尤其当前面对全球经济危机,如何拉动国家内需,降低资源浪费,我想,生物识别技术及产品应用应当能提供一些作用。

因此,我们可以说,我的身份,从需要用数字和某些信息来证明(例如密码),到需要用其他物体来证明(例如IC卡),回归到我自己证明我自己(例如生物识别技术),这是技术的成熟对人类身份认证方式的理性且本质回归作出的贡献。生物识别技术必将成为信息安全体系建设的重要方向和应用趋势。

到目前为止,在学术界已经对将近20种特征进行了研究。从DNA、脸像、虹膜、红外脸温谱、耳形、颅骨、牙形、声音、指纹、掌纹、静脉、签名、笔迹等等都可以鉴别……生物识别技术目前已经成为国内外研究和开发的一个热点,包括企业界和政府部门,每一年都会有一些计算学的新的突破,传统的密码或者身份证,大家比较熟悉的一些生物特征识别技术,比如指纹、脸像等等,从大的方面看,已经基本成熟了,在限定的场景和用户配合的情况下,已经可以满足大部分应用需求。目前这些成熟的生物识别技术,例如指纹技术,其可应用领域的创新产品已经十分广泛,未来大的应用方向,我们认为分为两个,一是涉密系统,需要高度安全防护地方;二是大众生活,人们在社会生活中越来越需要安全,但更为方便快捷的身份认证服务。

应用方向一:涉密系统

生物识别让安全稳如泰山

在我国涉密信息系统的使用过程中,不论是单机或是网络,进行用户身份验证是一项必不可少的内容。国家保密指南BMZ1、BMZ2、BMZ3和保密标准BMB17等保密要求,都对身份认证措施进行严格规定。由此可见,对涉密信息系统的身份验证要求是相当高的,只有这样才能提高和确保系统的安全性。涉密信息系统在实现用户身份验证时,主要依靠密码+和用户名、密码+IC卡或密码+UKEY等传统身份验证手段来实现身份鉴别。直到近1-2年,涉密信息系统才开始采用生物识别技术加强系统的安全性。

随着国家相关政策与法规陆续出台,高安全性的生物识别技术日益得到详细的规定和应用要求。《中华人民共和国计算机信息系统安全保护条例》、《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》,《计算机信息系统安全等级保护(通用技术要求) 》,明确规定我国"计算机信息系统实行安全等级保护",各级计算机信息系统须有用户身份鉴别功能设计,并在三级以上系统"要求有更加严格的身份鉴别,如采用人体生物特征(指纹、视网膜)等特殊信息进行身份鉴别,并在每次用户登录系统之前进行鉴别"。

这里我们以亚略特产品指纹识别产品为例,谈谈生物识别技术在涉密移动存储介质管理、涉密计算机单机或终端、涉密网络上以及保密要害部门部位管理等方面的应用。

1、 涉密移动存储介质管理的应用--指纺U盘、指纹硬盘、指纹保险柜

现在,越来越多的涉密数据和档案资料被存储在计算机里,大量的涉密文件和资料变为电子文档依附于磁性介质、光学介质和电介质内,一旦存储介质保密管理不善,诸如:(1)使用的过程疏忽和不懂技术或操作的失务,存储在存储介质中的涉密信息在联网交换被泄露或被窃取,存储在存储介质中的涉密信息在进行人工交换时泄密;(2)大量使用的磁盘、磁带、光盘、U盘、硬盘内信息被复制、失窃;(3)处理废旧存储介质,未进行彻底处理;(4)计算机出故障时,存有涉密信息的硬盘不经处理或无人监督就带出修理;(5)存储介质管理不规范,明密不分,磁盘不标密级;(6)设备在更新换代时没有进行技术处理等。这些都会造成介质内涉密信息的泄露。因此,计算机信息系统存储介质的泄密隐患相当大。为此,我们指纹U盘、指纹硬盘用于存储涉密信息。真正做到涉密存储介质管理的四不:"进不来、拿不走、读不懂、走不脱"。

利用指纹加密技术,可以从存储介质分级保护、认证授权、访问控制、扇区加密等方面对移动存储介质进行失泄密的防护管理,并提供对移动存储介质从购买、使用到销毁全过程的管理控制。

配备指纹保险柜,用于放置涉密的存储介质、涉密便携式电脑和涉密文件、档案等。

2、 涉密计算机单机或终端上的应用--指纹仪、指纹鼠标

涉密计算机单机或终端中记录并存储着大量国家涉密文件和数据资料,首先就要保证合法用户才能使用,有可靠的涉密计算机安全登陆控制。利用传统的用户名+密码、密码+USB KEY等方式,并保证一定的口令长和及时更换,从理论上讲是可行的,但实际上没有可操作性,没有人愿意去记忆这些复杂、难记的数字字符串,这样将导致用户密码、口令管理要求形同虚设,保密检查时临时设一个应付过关。为真正做到既确保涉密信息系统的安全,又方便用户使用,又便于保密管理,我们可以在每个终端用户的计算机和服务器上配置了指纹鼠标或指纹仪,来解决用户登录系统身份鉴别认证问题。并利用指纹加密措施对文件/文件夹加解密和电脑保护、密码托管等确保电脑安全和数据安全。

3、 涉密网络上的应用--指纹平台软件、指纹AD域身份安全管理系统

一个涉密信息系统除了终端本身登录时的身份鉴别认证外,网络上的应用系统、办公自动化系统、涉密WEB网页、邮件、数据库等也需要身份鉴别认证,也要用到用户名和口令。按涉密信息系统的口令字要求,也要一定的长度和定期更换,同样存在难于记忆和操作不便等问题。为此,我们在用户登录保密系统专网WEB页面、使用办公自动化系统、数据库时,配备指纹识别平台软件,并配合指纹鼠标系统,将原来网上各类系统使用的"户名+密码"的身份认证方式,替换成指纹识别认证方式。通过用指纹识别替代密码口令认证,不仅可以提高用户身份鉴别的准确性,更可以通过操作日志审计,对涉密系统的使用严加控管,最低程度降低失泄密风险。

在政府及大中型企业中,AD域主要作用是解决用户服务器身份管理与访问权限控制的部署问题。但AD域同样面临着密码被盗用、共用,导致相应的授权也将同时转让的危险。亚略特指纹AD域身份安全管理系统,正是随着AD域在政务、大中型企业实际应用部署过程中不断深入推进,在身份和访问控制服务管理使用过程中不断产生新的应用需求而应运而生,实现了集成指纹识别的可信身份安全管理等。

如果涉密系统使用CA数字证书,还可以配置生物识别统一认证平台系统,搭建网络身份认证服务平台、多元生物识别身份认证机制、数字签名认证机制、生物识别智能超级搜索引擎、自动备份/负载均衡机制等,确保数字认证中心身份认证的唯一和不可复制,使网上数据交换的真实性、有效性、防抵赖性等问题有法可依。

4、保密要害部门部位的应用--指纹考勤机、指纹门锁、指纹门禁系统

涉计算机机房、档案室、机要室等保密要害部门部位是保密防范的重点,除了有好保密管理制度、保密管理人员外,还要考虑物防和技术防范措施,如安装铁门、铁窗,配置文件保密柜、消防、防雷、防电磁辐射等设施等,确保这些部门部位的物理安全。对于涉密重要的计算机机房和涉密程度较高的部门部位还要考虑配置IC电子门禁或生物特征等强身份认证系统,并有出入记录。

综上所述,要确保涉密信息系统的安全保密,身份鉴别认证技术是必不可少的,并且是技术防范必须解决的问题。随着科学技术的发展,身份鉴别认证技术也不断的得发展和提高,基于指纹特征识别技术具有传统的身份认证手段无法比拟的优点。采用指纹技术构建电子政务系统身份安全,可大大降低安全风险,可不必再记忆和设置密码,对涉密信息、重要的文件、数据等都可以利用它进行安全加密,有效地防止恶意盗用等,使用更加方便。所以,使用以指纹识别为代表的生物识别技术无疑会加强政府电子政务系统、各级政府信息化工程等涉密信息系统的整体安全等级,做好涉密信息系统分级保护工作的有效措施。

应用方向二:大众领域

生物识别让科技以人为本

除开政府、军队等涉密系统的行业企业级应用外,生物识别更大的应用是即将走入信息社会人们生活的方方面面。这是因为在信息化高度发达的商业社会,人们每天将有大量的进行身份验证的需要,除了网上虚拟世界的各种登录认证之外,现实世界也有很多的身份鉴别的需要,例如人们去银行、去会所、去单位登记等等。因此,随着密码越来越多挤满大脑,USBkey令牌各式各样挂满胸前,人们在呼唤一种更加便捷易用的身份认证模式,当黑客间谍手段越来越多,各种卡证仿制手段越来越丰富,人们在呼唤一种更加安全不易被盗取的身份认证模式。生物识别技术的社会化普适应用的爆发就在即将到来的明天。

在这个大的趋势背景下,有几个方面我特别希望跟大家报告一下,希望大家关注,也是生物识别下一步大规模应用值得关注的地方。研究热潮的几个特别关注的地方。

首先,针对大规模人群的身份鉴别的技术,这方面将来会大规模的研发和应用,比如机场通关安检、车站码头、大型集会等都可以用到生物识别技术。比如美国平均每一天大概有两千个小孩失踪,到目前为止有将近5万个成年人找不着,他们就起动了一个计划,用生物识别,特别是用虹膜识别来找这些丢失的小孩和大人。

其次,针对城市公共事务的市民应用。以亚略特与无锡市政府合作的一个城市指纹一卡通项目为例,2009年,无锡市市民一卡通项目作为无锡市政府为民办实事项目之一,已经开始启动。无锡市市民一卡通项目除了采用先进成熟的计算机和IC卡等传统技术应用手段之外,最大的亮点就是引入成熟创新的指纹身份认证技术,构成了更加安全、更加便捷、更多应用功能的国内首创市民指纹一卡通应用信息平台。市民办理市民卡时,指纹同时存储在指纹库大平台和市民卡中,指纹库大平台将为公安、社保、卫生、教育、民政等相关电子政务和公共事业提供后台指纹识别身份认证,并在部分应用场景中实现市民卡的虚拟化。亚略特利用自主研发的城市指纹库平台运营平台,帮助无锡市政府搭建了城市指纹库,并集成了全国首个指纹一卡通,以后市民的医保领取、交通乘车、(水电气通讯费)电子支付、驾照申领、甚至投票选举等等,都可以或者凭卡或者依靠指纹即可进行相应的快捷操作。这样的城市指纹库和指纹市民卡的建设,获益的不仅仅是每个老百姓的安全与便捷,同时这种城市指纹库,也能给政府对城市流动人口管理,案件侦破比对等公共事务提供很大的帮助。通过建成科技创新、以人为本的"指纹市民一卡通"平台,将进一步提高无锡市政府为民服务水平,促进无锡市信息化建设朝更高、更先进的方向发展。

其三,在互联网领域,因为互联网厂商基本上实行会员制,重复注册和登录密码混淆,成为网民们更加有效使用网络的瓶颈,同时诚信互联网、实名网络的需求呼唤,就需要一种创新的手段来解决这样的问题。互联网第三方指纹认证平台,就是未来互联网的创新之举,通过指纹进行实名认证,既安全又比较能够使得网民接受,网民只需要在这个平台进行网络身份注册,就可以畅游网络,其他任何网络应用的注册只需要跟该平台进行接入就可以轻松实现。对网民来说,可以不用再记忆任何网站密码,通过这一个注册的平台即可登录,而且由于是指纹注册,那么只需要"一指接入"即可"通行网路"。

当然,生物识别的大众化应用,其实现在都已经有很多开始蓬勃发展,以上几点是我们认为,接下来将极大发展起来的,利用生物识别技术,为国家为社会为公民的几个巨大市场和价值的应用。

电话咨询
邮件咨询
在线地图
QQ客服