慧聪安防网

虹膜识别系统安全技术介绍

http://www.secu.hc360.com2018年05月28日09:50 来源: 中国安全防范产品行业协会T|T

    慧聪安防网讯

1

    目前,针对生物特征模板保护的研究主要有硬件和软件两个角度。

    硬件的解决方案主要思路是设计一个封闭的识别系统,模板保存在一个安全模块中,从物理的角度保证模板不可逆和不可链接。PrivarisPlusID就是基于该思路设计的一个商业化产品。该产品将完整的生物特征识别系统包括采集装置集成封装到一个密钥卡大小的装置内。用户注册的生物特征模板保存在装置内部,如果认证成功,则该装置发送出一串密钥。类似这样的系统被称为“卡上系统”(systemoncard)。另有一种类似的,但被称为“卡上匹配”(matchoncard),这种系统将一个模板数据库和匹配器封装到一个物理安全模块内,在认证时,外部采集的生物特征输入该装置进行匹配。这些基于硬件的解决方案确实保护了生物特征模板的安全,但是也一定程度上将生物特征弱化为了需要携带的“你所拥有”的特征,同时也限制了生物特征认证的应用范围,即只能作为外围认证技术在终端使用,而不能实现系统内部在线的认证,也无法进行1:N的身份识别。

    基于软件的解决方案也就是所谓的生物特征加密技术。生物特征模板的不安全性主要在于其不可撤销重置而存在永久丢失的隐患,而普通的口令和密钥反而可以通过密码学意义上的处理而克服这种危险。近年来,越来越多的研究人员致力于生物特征加密技术的研究,提出了各种各样的生物特征加密算法。一个理想的生物特征加密算法必须满足以下几点要求:(1)不可逆性,任何情况下都不能从生物特征模板逆变换得到原始的生物特征数据;(2)不可链接性,同一个生物特征用不同算法生成的模板不同,并且各个模板之间、以及模板与原始生物特征之间相互不能匹配;(3)可重新发布性,一旦某个生物特征模板丢失,可以使用同一个生物特征重新发布一个不同的模板;(4)精确性,满足以上三个条件的模板的身份认证性能能够满足系统需求。

    1.设备认证技术

    在虹膜识别系统中,一旦非法设备接入系统,在虹膜信息采集时,攻击者可以在此使用非法设备,或者给设备开后门,获取采集到的人员的虹膜图像信息原始数据,带来极大的安全问题。因此,终端侧有必要验证接入设备的合法性。设备认证机制可以确保只有合法的终端设备才能接入系统,维护合法权益,保障虹膜识别系统的安全。

    在进行设备认证之前,设备厂商首先在虹膜识别系统注册,提交厂商信息给管理员审核。设备认证及数据传输时序图如下:

    

    图设备认证及数据传输时序图

    设备认证服务使用HTTPS可靠通信方式。厂商首先在系统新增设备,把设备相关信息上报系统;然后厂商在系统中对需要认证的设备发起认证请求,系统工作人员对设备进行审核,通过认证的设备系统会生成对应的PIN码(可修改);厂商通过集成SDK开发客户端,完成设备接入以及之后的虹膜图像采集、上传等工作。

    2.数据加密技术

    数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。

    1)数据存储加密技术

    数据存储加密技术的目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据,在系统中可以对不同工作组的用户赋予相应的权限以达到保护重要数据不被子非常访问。

    2)数据传输加密技术

    (1)链路加密。链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。

    (2)端到端加密。端到端加密是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密,在最终目的地(接收端)解密,中间节点处不以明文的形式出现。采用端到端加密是在应用层完成,即传输前的高层中完成。除报头外的报文均以密文的形式贯穿于全部传输过程。

    (3)节点加密。节点加密在操作方式上与链路加密类似,都在中间节点先对消息进行解密,然后进行加密。然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。

    虹膜注册和虹膜验证过程中,客户端(终端)与服务器通信时可采用国密SM4加密算法对数据进行加密,通过MD5算法对数据进行签名,确保数据在传输过程中的安全;虹膜图像数据存储时,采用国密SM4加密算法对虹膜原始数据进行加密存储,保障数据存储安全;此外还可以通过对系统用户分级管理,根据用户级别赋予不同权限,保障应用安全。

责任编辑:孙阳阳1

《慧聪安防网》服务升级
扫码关注

安防资讯官方微信

安防资讯官方微博