虹膜識別背後的安全技術

虹膜識別技術被廣泛認為是二十一世紀最具有發展前途的生物認證技術，未來的安防、國防、電子商務等多種領域的應用，也必然的會以虹膜識別技術為重點。這種趨勢，現在已經在全球各地的各種應用中逐漸開始顯現出來，市場應用前景非常廣闊。

虹膜識別技術是基於眼睛中的虹膜進行身份識別，應用於安防設備，以及有高度保密需求的場所。但是其背後的安全技術你是否了解呢？

特徵模板保護技術

目前，針對生物特徵模板保護的研究主要有硬體和軟體兩個角度。

硬體的解決方案主要思路是設計一個封閉的識別系統，模板保存在一個安全模塊中，從物理的角度保證模板不可逆和不可鏈接。Privaris PlusID就是基於該思路設計的一個商業化產品。該產品將完整的生物特徵識別系統包括採集裝置集成封裝到一個密鑰卡大小的裝置內。用戶註冊的生物特徵模板保存在裝置內部，如果認證成功，則該裝置發送出一串密鑰。類似這樣的系統被稱為「卡上系統」。

另有一種類似的，但被稱為「卡上匹配」，這種系統將一個模板資料庫和匹配器封裝到一個物理安全模塊內，在認證時，外部採集的生物特徵輸入該裝置進行匹配。這些基於硬體的解決方案確實保護了生物特徵模板的安全，但是也一定程度上將生物特徵弱化為了需要攜帶的「你所擁有」的特徵，同時也限制了生物特徵認證的應用範圍，即只能作為外圍認證技術在終端使用，而不能實現系統內部在線的認證，也無法進行1:N 的身份識別。

基於軟體的解決方案也就是所謂的生物特徵加密技術。生物特徵模板的不安全性主要在於其不可撤銷重置而存在永久丟失的隱患，而普通的口令和密鑰反而可以通過密碼學意義上的處理而克服這種危險。近年來，越來越多的研究人員致力於生物特徵加密技術的研究，提出了各種各樣的生物特徵加密演算法。一個理想的生物特徵加密演算法必須滿足以下幾點要求：不可逆性，任何情況下都不能從生物特徵模板逆變換得到原始的生物特徵數據；不可鏈接性，同一個生物特徵用不同演算法生成的模板不同，並且各個模板之間、以及模板與原始生物特徵之間相互不能匹配；可重新發布性，一旦某個生物特徵模板丟失，可以使用同一個生物特徵重新發布一個不同的模板；精確性，滿足以上三個條件的模板的身份認證性能能夠滿足系統需求。

設備認證技術

在虹膜識別系統中，一旦非法設備接入系統，在虹膜信息採集時，攻擊者可以在此使用非法設備，或者給設備開後門，獲取採集到的人員的虹膜圖像信息原始數據，帶來極大的安全問題。因此，終端側有必要驗證接入設備的合法性。設備認證機制可以確保只有合法的終端設備才能接入系統，維護合法權益，保障虹膜識別系統的安全。

在進行設備認證之前，設備廠商首先在虹膜識別系統註冊，提交廠商信息給管理員審核。設備認證及數據傳輸時序圖如下：

設備認證服務使用HTTPS可靠通信方式。廠商首先在系統新增設備，把設備相關信息上報系統；然後廠商在系統中對需要認證的設備發起認證請求，系統工作人員對設備進行審核，通過認證的設備系統會生成對應的PIN碼(可修改)；廠商通過集成SDK開發客戶端，完成設備接入以及之後的虹膜圖像採集、上傳等工作。

數據加密技術

數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路加密、節點加密和端到端加密三種方式。

數據存儲加密技術：

據存儲加密技術的目的是防止在存儲環節上的數據失密,可分為密文存儲和存取控制兩種。前者一般是通過加密法轉換、附加密碼、加密模塊等方法實現；後者則是對用戶資格、許可權加以審查和限制,防止非法用戶存取數據或合法用戶越權存取數據，在系統中可以對不同工作組的用戶賦予相應的許可權以達到保護重要數據不被子非常訪問。

數據傳輸加密技術：

鏈路加密。鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各台節點機，信息在每台節點機內都要被解密和再加密，依次進行，直至到達目的地。

端到端加密。端到端加密是為數據從一端傳送到另一端提供的加密方式。數據在發送端被加密，在最終目的地解密，中間節點處不以明文的形式出現。採用端到端加密是在應用層完成，即傳輸前的高層中完成。除報頭外的報文均以密文的形式貫穿於全部傳輸過程。

節點加密。節點加密在操作方式上與鏈路加密類似，都在中間節點先對消息進行解密,然後進行加密。然而,與鏈路加密不同,節點加密不允許消息在網路節點以明文形式存在,它先把收到的消息進行解密,然後採用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。

虹膜註冊和虹膜驗證過程中，客戶端與伺服器通信時可採用國密SM4加密演算法對數據進行加密，通過MD5演算法對數據進行簽名，確保數據在傳輸過程中的安全；虹膜圖像數據存儲時，採用國密SM4加密演算法對虹膜原始數據進行加密存儲，保障數據存儲安全；此外還可以通過對系統用戶分級管理，根據用戶級別賦予不同許可權，保障應用安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！