1.简介
为了打击身份盗用的猖獗以及满足从国际边境口岸到保护数据库信息等各种应用的安全需求,一个可靠的身份管理系统是迫切需要的。确立一个人诸如密码之类的任何身份方面都是关键任务,并且身份证不足以进行可靠的身份确认,因为他们很容易被误放、共享或是盗用。生物识别是利用一个人结构上或是行为上的特征来建立身份的科学。(常用的生物特征包括指纹、脸部、虹膜、手部特征、语音、掌纹、手写签名和步态(见图1)。生物特征具有许多与他们作为认证令牌的理想特性有关,即可靠性、收敛性、普遍性等。这些特征导致了生物认证系统的广泛部署。但是为了确保这些系统的完整性和公众接受度,还需要解决生物识别系统安全性方面的一些问题。
通用生物认证系统中有五个主要部件,即传感器、特征提取器、模板数据库、匹配器和决策模块(见图2)。传感器是用户和认证系统之间的接口,其功能是扫描用户的生物特征。特征提取模块处理扫描的生物特征数据以提取突出信息(特征集合),其用于区分不同用户。在某些情况下,特征提取之前是质量评估模块,其确定扫描的生物特征是否具有足够的质量以供进一步处理。在注册期间,提取的功能集将作为由用户身份信息索引的模板(XT)存储在数据库。由于模板数据库可以在地理上分布并且包含数百万条记录(例如,在国家识别系统中),所以保持其安全性不是一项微不足道的任务。匹配器模块通常是一个可执行的程序,他接受两个生物特征集XT 和 XQ (分别来自模板和查询)作为输入,并输出表示两个集之间的相似性的匹配分数。最后,决策模块进行身份决策并发起对查询的响应。
由于传感和计算技术的快速增长,生物识别系统已经成为一种可分解且易于嵌入各种消费设备(例如,手机、钥匙链等)的技术,使得该技术易受恐怖分子的恶意设计和犯罪。为了避免任何潜在的安全危机,生物识别系统的脆弱性必须被系统地识别和处理。许多研究分析了生物识别系统中潜在的安全漏洞,并提出了应对这些漏洞的方法[1-5]。脆弱性分析的正式方法,如攻击树[6]也被用来研究生物特征系统安全性如何受到危害。
在本文中,我们首先以整体和系统的方式,使用鱼骨模型总结生物识别系统安全的各个方面[7]。我们的目标是对导致生物识别系统故障的各种因素进行广泛分类,并确定这些故障的影响。就所有已经识别的安全威胁而言本文并不一定是完整的,但是他提供了对可能的安全威胁的高级分类。我们认为模块安全是设计安全生物识别系统时最关键的问题之一,它需要及时和严格的关注。为此,我们详细介绍了文献中提出的不同模板保护方法,并在公有领域指纹数据库中提供了特定方案的示例实现,以说明确保生物特征模板所涉及的问题。
2.生物系统的脆弱性
一个鱼骨模型(见图3)可以用来总结生物特征系统脆弱性的各种原因[1]。在最高级别上,生物识别系统的故障模式可以分为两类:内部故障和对手攻击故障。由于传感、特征提取或匹配技术在内在局限性以及特征生物特征的有限可辨性,而出现的内部故障。在对手攻击中,一个机智的黑客(或者可能时有组织的团体)企图绕过生物识别系统谋取私利我们进一步将对手攻击分为三类,基于这些因素使攻击者能够危及系统安全。这些因素包括系统管理权限,不安全的基础设施和显性生物识别。
2.1.内部的故障
内在故障是由于生物识别系统做出错误决定而导致的安全失效。生物识别验证系统可以在决策时制造两种类型的错误,即错误接受和错误拒绝。由于用户存储的模块和查询生物特征集中存在较大差异,真实(合法)用户可能被生物特征识别系统错误拒绝(见图4)。这些用户内变化可能时由于用户与生物识别系统的不正确交互(例如,脸部图像中的姿势和表情的变化)或者由于传感器处引入的噪声(例如,指纹传感器上残留的印记)引起的。错误接受通常是由于生物特征缺乏个性或独特性而导致不同用户的特征集之间的大相似性(例如,双胞胎或兄弟姐妹的面部图像中的相似性)。用户内部的变化和用户间的相似性也可能是由于使用了非定标特征和覆盖匹配引起的。有时,由于传感技术的限制或不利的环境条件,传感器可能无法获取用户的生物特征。例如,指纹传感器可能无法捕捉干/湿手指的高质量指纹。这会导致登记失败(FTE)或获取失败(FTA)错误。
即使攻击者没有明确的规避系统,也会发生内在故障。所以这种类型的故障也被称为无企图攻击。如果错误接受率和错误拒绝率很高,则会造成严重威胁(见表1)。正在进行的研究旨在减少内部故障的可能性,主要是通过设计能够以更可靠、方便和安全的方式获取个体的生物特征的新型传感器,开发不变表示方案和稳健有效的匹配算法和多生物特征识别系统的使用[8]。
2.2.对手的攻击
在这里,对手故意对生物识别系统发起攻击,攻击的成功取决于系统设计的漏洞以及向攻击者提供足够的计算资源和其他资源。我们将对手的攻击分为三大类:管理权限攻击、不安全的基础设施和显性生物识别。)
(i)管理权限攻击
这种攻击也称为内部攻击,是指由于生物识别系统管理不当而引入的所有漏洞。这些包括注册过程的完整性(例如,注册期间提供的凭证的有效性),对手与系统管理员或合法用户之间的勾结(或胁迫)以及滥用异常处理过程。
(ii)不安全的基础设施
生物识别系统的基础设施由硬件、软件以及各个模块之间的通信通道组成。对手可以通过各种方式操纵可能导致安全漏洞的生物识别基础设施。第2.4节将详细讨论这些类型的攻击。)
(iii)显性生物识别
对手有可能隐蔽地获取真实用户的生物特征(例如,从表面提起的指纹印象)并使用他们来创建生物特征的物理伪像(粘性手指)。因此,如果生物特征识别系统不能区分现场生物特征表示和人为欺骗,则对手可以通过呈现欺骗性特征来绕开系统。
2.3.生物识别系统故障的影响
当生物识别系统受到影响时,他可能导致两个主要的影响:(1)拒绝服务 (2)入侵。
拒绝服务是指用户无法获得他有权获得的服务的情况。对手可能破坏基础设施(例如,物理损坏指纹传感器),从而阻止用户访问系统。诸如错误拒绝、捕获失败和获取失败等内在故障也会导致拒绝服务。诸如修改模板的管理滥用或生物识别系统的操作参数(例如,匹配阈值)也可能导致拒绝服务。
入侵是指冒名顶替者获得对系统的非法访问,导致隐私(例如未经授权的个人信息访问)的丧失和安全威胁(例如,恐怖分子越境)所有导致生物识别系统脆弱性的四个因素,即内在失效、管理权限的滥用、不安全的基础设施和显性生物识别都可能导致入侵。)
2.4.对手的攻击点
对手攻击通常利用一个或多个模块或接口处的系统漏洞。Ratha等[13]在生物识别系统中识别出八个攻击点(见图5)。我们将这些攻击分为四类,即(i)对用户界面(输入级别)的攻击,(ii)对模块之间接口的攻击,(iii)对模块的攻击,以及(iv)对模块数据库的攻击。
2.5.对用户界面的攻击
对用户界面的攻击主要是由于欺骗生物特征的呈现[14-17].如果传感器无法区分伪造和真实生物特征,攻击者很荣誉以虚假身份侵入系统。在开发硬件以及能估执行活性检测的软件解决方案方面已经取得了许多成果[18-26]。
2.6.对模块直接的接口的攻击
对手可以破坏或侵入不同模块之间的通信接口。例如,他可以在通信信道附近放置一个干扰源(例如,干扰器阻塞无限接口)。如果通道没有以物理或密码方式进行保护,攻击者也可能拦截和/或者修改正在传输的数据。例如,Juels等人[27]概述了使用生物特征认证的电子护照应用中由不安全通信渠道引入的安全和隐私问题。不安全的通信渠道也可以让对手发起重播[28]或爬山攻击[29]。
保护频道的一种常见方式是对所有通过接口发送的数据进行加密编码,比如使用公钥基础设施。但即使如此,当真正的用户与系统交互时,攻击者可以通过首先拦截通过接口传输的加密数据,然后在需要闯入系统时将捕获的数据发送到所需的模块来进行重放攻击。这种攻击的对策是使用时间戳[30,31]或质询/响应机制[32].
2.7.对软件模块的攻击
模块中的可执行程序可以进行修改,使其始终输出对手所需的值。这种攻击被称为特洛伊木马攻击。应使用安全的代码执行实践[33]或可以强制安全执行软件的专用硬件。软件完整性的另一个组成部分与算法完整性有关。算法完整性意味着软件应该能够以理想的方式处理任何输入。作为算法漏洞的一个例子,考虑一个匹配模块,其中一个特定的输入值,比如说X0,处理不当,每当X0输入到匹配器,它总是输出一个匹配(接收)决定。这个漏洞可能不会影响系统的正常运行,因为从真实生物特征数据生成X0的概率可能可以忽略不计。但是,对手可以利用这个漏洞轻易破坏安全而不被注意。
2.8.对模板数据库的攻击
对生物特征识别系统潜在的破坏性最大的攻击之一是针对存储在系统数据库中的生物特征模板。对模板的攻击可能导致以下三个漏洞。(i)模板可以被冒名顶替者的模板取代以获得未经授权的访问。(ii)可以从模板创建物理欺骗(参见[34-36])以获得对系统的未经授权的访问(以及使用相同生物特征的其他系统)。(iii)被盗模板可以重播给匹配器以获得未经授权的访问。生物特征识别符的潜在滥用是交叉匹配或功能蠕变[37],其中生物特征识别符被用于非预期目的的目的。例如,从银行数据库中盗取的指纹模板可用于搜索犯罪指纹数据库或与人的健康记录交叉。
确保生物识别系统(包括模板)最直接的方法是将所有系统模块和它们之间的接口放在智能卡(或更一般的安全处理器)上。在这种被称为卡上匹配或卡上系统技术的系统中,传感器,特征提取器,匹配器和模板位于卡上[38]。这项技术的优点是生物识别信息永远不会离开卡片。 但是,卡上系统解决方案不适用于大多数大型应用程序; 他们是昂贵的,用户必须随身携带该卡。因此,即使在卡上匹配应用程序中保护模板也很重要。密码和PIN具有这样的性质,即如果它们被破坏,系统管理员可以向用户发出新的密码。具有与生物特征模板相同的可撤销性或可取消性是理想的。以下部分详细介绍了为保护生物识别模板而提出的方法。
3.模块保护方案
理想的生物识别模板保护方案应该具有以下四个属性[39]。
(1)多样性:安全模板不得跨数据库进行交叉匹配,从而确保用户的隐私。
(2)可撤销性:根据相同的生物特征数据,撤销受损模板并重新发布新模板应该很简单。)
(3)安全性:从安全模板中获取原始生物特征模板在计算上很难。 该属性可防止对手从被盗模板创建生物特征物理欺骗。
(4)性能:生物识别模板保护方案不应降低生物识别系统的识别性能(FAR和FRR)。
设计满足上述所有要求的生物识别模板保护方案的主要挑战是需要处理内部用户在获取的生物识别标识中的变化倾向。回想一下,同一生物特征的多次采集不会产生相同的特征集(见图4)。由于这个原因,不能以加密形式存储生物识别模板(使用标准加密技术,如RSA,AES等),然后在加密域中执行匹配。请注意,加密不是一个光滑的函数,并且从原始生物特征数据中提取的特征集的值的小差异会导致产生的加密特征中的非常大的差异。虽然可以对模板进行解密并执行查询与解密后的模板之间的匹配,但这种方法并不安全,因为它会在每次认证尝试期间使模板暴露。因此,标准加密技术对保护生物识别模板并不有用。
文献中提出的模板保护方案可以大致分为两类(见图6),即特征变换方法和生物特征密码系统。 在特征变换方法中,将变换函数(F)应用于生物特征模板(T),并且只有变换后的模板(F(T; K))存储在数据库中(见图7)。通常从随机密钥(K)或密码导出变换函数的参数。 将相同的变换函数应用于查询特征(Q),并将变换的查询(F(Q; K))与变换的模板(F(T; K))直接匹配。根据变换函数F的特征,特征变换方案可以进一步分类为对密钥进行加盐处理和非可逆变换。在对密钥进行加盐处理过程中,F是可逆的,也就是说,如果攻击者获得对密钥和变换模板的访问权限,她可以恢复原始生物特征模板(或其近似值)。因此,加盐方案的安全性基于密钥或密码的保密性。 另一方面,不可逆变换方案通常在模板上应用单向函数,并且即使密钥是已知的,在变换模板时在计算上也很难。
生物识别密码系统[40,41]最初是为了使用生物识别特征来保护密钥或直接从生物识别特征生成密码密钥而开发的。但是,它们也可以用作模板保护机制。在生物特征密码系统中,存储有关生物特征模板的一些公共信息。这种公共信息通常被称为辅助数据,因此生物特征密码系统也被称为辅助数据为基础的方法[42]。虽然帮助程序数据没有(不应该)显示有关原始生物特征模板的任何重要信息,但在匹配过程中需要从查询生物特征提取密钥。通过验证提取的密钥的有效性来间接执行匹配(见图8)。纠错编码技术通常用于处理内部用户变化。
生物识别密码系统可以进一步分类为密钥绑定和密钥生成系统,具体取决于如何获得帮助数据。当通过绑定与生物特征模板的密钥(独立于生物特征)获得帮助数据时,我们将其称为密钥绑定生物特征密码系统。请注意,只给予帮助程序数据,在计算上很难恢复密钥或原始模板。在密钥绑定系统中进行匹配涉及使用查询生物特征功能从助手数据中恢复密钥。如果辅助数据仅从生物特征模板中导出,并且密码密钥是从辅助数据和查询生物特征中直接生成的,则导致密钥生成生物特征密码系统。
一些模板保护技术使用多种基本方法(例如,加盐处理后跟密钥绑定)。我们将这种技术称为混合方案。 [43-46]中提出的模板保护方案是混合方法的例子。表2列出了各种模板保护方法的简要概述。除盐析外,其他模板保护方案都不需要任何必须在匹配过程中安全存储或呈现的秘密信息(例如密钥)。现在我们将详细讨论这四种方法,每种方法都有一个说明性的方法。
3.1.加盐处理
加盐处理或生物特征哈希是一种模板保护方法,其中使用由用户特定的密钥或密码定义的功能来转换生物特征。由于转换在很大程度上是可逆的,所以密钥需要被用户安全地存储或记忆并且在认证过程中被呈现。对密钥形式的附加信息的这种需求增加了生物特征模板的熵,并且因此使其变
全文共13622字,剩余内容已隐藏,支付完成后下载完整资料
英语原文共 23 页,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[13637],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
