在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家介紹了用戶驗證所使用的第二種驗證因素——用戶持有的憑證。用戶持有憑證能夠在最基本的用戶密碼驗證的基礎(chǔ)上再增加一層安全保護,但用戶持有憑證會增加用戶的安全方案采購成本,而且憑證本身也面臨被盜、丟失、復制或濫用的風險。因此,在許多要求更高安全級別的場合,往往需要使用更為安全的訪問控制手段,這就是J0ker在本文將要介紹到的第三種驗證因素——用戶的生物特征(What you are)。
由于每一個人的特征在生物學角度上都是唯一的,因此,生物特征可以成為用戶身份驗證的手段,而提供生物特征驗證功能的設(shè)備,就稱為生物特征識別設(shè)備(Biometric Device)。 由于每個用戶的生物特征都是不可仿冒的,因此,盡管生物特征識別設(shè)備的采購和使用成本非常高昂,但它所能夠提供的安全性仍是不可替代的。用戶生物特征的驗證過程是一個自動化的過程,根據(jù)驗證對象的不同,生物特征驗證方法還能分成物理特征和行為特征兩類:
物理特征:通過用戶物理上的唯一特征來驗證用戶身份的方法,這些特征包括指紋、虹膜、瞳孔、掌形等
行為特征:通過用戶行為上的唯一特征來驗證用戶身份的方法,這些特征包括聲紋、簽名等
用戶的物理特征并不會隨著時間的流逝而改變,如人的指紋一生都不會改變;用戶的行為特征的選擇標準為可控的行為并受用戶心理狀態(tài)影響較小,但仍然有可能隨著時間的流逝而改變,因此需要經(jīng)常升級用戶驗證數(shù)據(jù)庫。依據(jù)用戶物理特征和行為特征的生物驗證方法各有優(yōu)缺點,前者可以提供更好的安全性,但采購和維護的成本更高,對用戶的影響也較大;而后者正好相反。當然,兩種類型的生物特征驗證方法都能夠提供很高的安全性,并可與密碼、智能卡等驗證方法結(jié)合使用以提供更好的安全保證。
如果企業(yè)要采購和部署生物特征驗證設(shè)備來加強訪問控制的安全性,應該如何評估生物特征驗證設(shè)備的優(yōu)劣?信息安全行業(yè)里面通用的評估指標有3個:精確度(Accuracy)、處理速度(Processing Speed)和用戶接受程度(User Acceptability)
精確度:精確度是生物特征驗證設(shè)備最為關(guān)鍵的評估指標,生物特征驗證設(shè)備必須準確的識別出一個用戶的身份是否真實,否則這個設(shè)備便沒有存在的意義了。錯誤拒絕率(錯誤拒絕合法用戶的幾率,F(xiàn)RR)、錯誤接受率(錯誤接受非法用戶的幾率,F(xiàn)AR)和交叉錯誤率(錯誤拒絕率和錯誤接受率的交叉結(jié)果,CER)是用來衡量生物特征驗證設(shè)備精確度的指標,這三者的關(guān)系請大家參考圖1。錯誤接受率通常被認為是衡量生物特征驗證設(shè)備發(fā)生錯誤幾率的主要指標,而交叉錯誤率則是衡量設(shè)備準確率的主要指標。越敏感的設(shè)備,錯誤拒絕率就越高,而越不敏感的設(shè)備,錯誤接受率就越高。
 |
| 圖1:錯誤拒絕率、錯誤接受率和交叉錯誤率 |
交叉錯誤率和錯誤接受率、錯誤拒絕率之間的換算關(guān)系如下:1%的交叉錯誤率相當于2%的總計錯誤,也即1%的錯誤接受率加上1%的錯誤拒絕率。因此,我們可以很容易的從這個換算關(guān)系中得出什么設(shè)備有最低的錯誤率或最好的設(shè)置。
處理速度:處理速度代表生物特征驗證設(shè)備的數(shù)據(jù)處理能力,以及在多長的時間內(nèi)向用戶表現(xiàn)驗證接受或拒絕的指標。處理速度越快,自然在單位時間內(nèi)能夠驗證的用戶數(shù)量越多,當然采購的成本也就越高。通常認為,從采集用戶生物特征到向用戶顯示身份驗證結(jié)果的整個過程花費5至10秒是用戶可以接受的標準。
用戶接受程度:用戶接受程度也是衡量生物特征驗證設(shè)備的重要指標,因為用戶是生物特征驗證設(shè)備的最終使用者,因此,用戶對指定的生物特征識別技術(shù)的接受程度和使用意愿決定了這種生物特征驗證設(shè)備的有效性。要確定生物特征驗證設(shè)備的用戶接受程度,根據(jù)J0ker的經(jīng)驗,企業(yè)可以采用以下步驟,首先讓用戶了解需要使用生物特征驗證手段來保護的信息資產(chǎn)及其重要性,其次,讓用戶了解企業(yè)希望部署的生物特征驗證設(shè)備并不會對用戶的健康造成危害,最后,企業(yè)還應該讓用戶了解其所使用的生物特征驗證設(shè)備并不會收集用戶的個人信息及健康信息。
最后,我們來看一下目前市面上常見的生物特征驗證設(shè)備:
|
|
下篇預告:《Access Control(8)》,J0ker將給大家介紹訪問控制領(lǐng)域中的集中訪問控制方案,敬請期待!
