| 生物識別從概念上講,不算一個新概念��,但它依然是一個正在逐步成熟和普及應用的新技術。生物識別技術最大的特點無非三個方面:高唯一性、高安全性和高便捷性�。而這三個特點其實正是我們信息安全從業者不懈追求的目標�。圍繞這三個特點��,生物識別技術出現兩大應用前景最為廣闊的區域��,一是由其高安全性和唯一性����,在有高機密防護需求的國家涉密系統等領域的發展;二是憑借其便捷性和唯一性��,在大眾社會化領域的智能化應用�。
以下簡單分析之。
生物識別:身份認證技術的本質回歸
身份認證技術是整個信息安全體系中���,最重要和核心的一部分,一旦身份認證系統出了問題�,那么��,整個信息安全體系就會像當年的"馬奇諾防線",任你固若金湯���,任你啟用最先進的防病毒、放泄露�、防火墻等等設備����,都一下子化為烏有��,徹底崩潰����。有人做個安全木桶原理的比喻��,如果把信息安全體系看作一個木桶����,那么防火墻、入侵檢測����、VPN��、安全網關等就是木桶的壁板��,身份認證就相當于木桶底��。可以說��,身份認證用于解決訪問者的物理身份和數字身份的一致性問題��,給其他安全技術提供權限管理的依據�,而防火墻等技術針對數字身份進行權限管理,解決數字身份能干什么的問題���。由此可見,身份認證是整個信息安全體系的基礎�。
當前身份認證的技術手段主要有以下三種基本的方法:一是根據你所知道的信息來證明身份(what you know)�����,你知到用戶名和密碼,知道某個特定的問題答案等��;二是根據你所擁有的物品來證明身份(what you have)�����,例如你擁有IC卡���、一卡通�、電影票�����、USBkey等�;三是直接根據你獨一無二的身體特征來證明身份(who you are)�����,比如面貌外形、指紋���、DNA等。當然,人們也可能將以上三種方法多重組合,形成更高安全性的認證方式�����,現在計算機及網絡系統中常用的身份認證方式主要有用戶名+密碼方式�����、IC卡認證方式����、動態口令方式�����、USB Key認證方式��、生物識別認證方式等。(例如,銀行通過密碼和銀行卡組合�,相對提高了安全性)���。
所謂"生物識別認證技術"��,就是指采用每個人獨一無二的生物特征來驗證用戶身份的信息技術,又稱生物特征認證技術����。生物識別技術主要是通過可測量的身體或行為等生物特征進行身份認證的一種技術����;而生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式����。生物特征分為身體特征和行為特征兩類。身體特征包括:指紋、掌型、視網膜、虹膜、人體氣味���、臉型、手的血管、骨骼和DNA等�����;行為特征包括:簽名、語音、行走步態等�����。
顯然��,唯一性就不用說了�����,因為是用你自己的生理特征值來作為測量的依據。從安全性上來講�,你知道的信息有可能被泄露或者還有其他人知道��,你所擁有的物品有可能丟失、被盜竊或者被"山寨"復制,因此僅憑一個人擁有的信息或物品判斷其身份是不可靠的。從現在很多的信息安全事故都能夠了解��,這里就不一一分析����。
從便捷性上看,我舉一個例子,大家想想你每天生活中需要記憶多少個密碼����?你家里有多少張各種卡片(在座各位恐怕光銀行卡都有很多張吧)��?顯示生活中�����,你必須費勁記住這些密碼�����,拿著這些卡片或者證件,否則�,明明你自己的郵箱����,你打不開��,明明你自己的財產���,你無權取用�。為什么要這么麻煩,因為我們需要安全�,難道安全就跟方便是"天敵"�,二者必須互相矛盾�?可能大部分安全技術和產品是這樣,但生物識別技術的優勢���,就是將安全與便捷融為一體,充滿人性化的關懷�����,你不需要記憶密碼�,也不需要懷揣一堆證件,才能行走江湖��。
在給用戶提供人性化便捷使用體驗的同時��,對社會來說,生物識別技術還具有綠色環保的增值功能�。使用生物識別技術����,就不需要那么多的塑料、電子���、IC等各種硬件口令設備,無疑降低了資源消耗和電子污染�����,同時��,因為社會信息安全需求的高漲����,生物識別身份認證產品�����,已經成為涉密或高保密單位必須采購安全設備��,由于基數小,因此數量大���,為拉動內需繁榮市場做出自己的貢獻, 尤其當前面對全球經濟危機�,如何拉動國家內需�,降低資源浪費����,我想,生物識別技術及產品應用應當能提供一些作用�����。
因此���,我們可以說��,我的身份,從需要用數字和某些信息來證明(例如密碼),到需要用其他物體來證明(例如IC卡)�,回歸到我自己證明我自己(例如生物識別技術)��,這是技術的成熟對人類身份認證方式的理性且本質回歸作出的貢獻�。生物識別技術必將成為信息安全體系建設的重要方向和應用趨勢��。
到目前為止�����,在學術界已經對將近20種特征進行了研究。從DNA、臉像����、虹膜����、紅外臉溫譜�����、耳形����、顱骨�、牙形、聲音、指紋�����、掌紋����、靜脈����、簽名、筆跡等等都可以鑒別……生物識別技術目前已經成為國內外研究和開發的一個熱點���,包括企業界和政府部門��,每一年都會有一些計算學的新的突破,傳統的密碼或者身份證,大家比較熟悉的一些生物特征識別技術,比如指紋����、臉像等等�,從大的方面看����,已經基本成熟了,在限定的場景和用戶配合的情況下,已經可以滿足大部分應用需求��。目前這些成熟的生物識別技術�����,例如指紋技術��,其可應用領域的創新產品已經十分廣泛,未來大的應用方向,我們認為分為兩個,一是涉密系統�����,需要高度安全防護地方���;二是大眾生活���,人們在社會生活中越來越需要安全���,但更為方便快捷的身份認證服務���。
應用方向一:涉密系統
生物識別讓安全穩如泰山
在我國涉密信息系統的使用過程中���,不論是單機或是網絡��,進行用戶身份驗證是一項必不可少的內容�����。國家保密指南BMZ1、BMZ2��、BMZ3和保密標準BMB17等保密要求��,都對身份認證措施進行嚴格規定��。由此可見,對涉密信息系統的身份驗證要求是相當高的��,只有這樣才能提高和確保系統的安全性�。涉密信息系統在實現用戶身份驗證時,主要依靠密碼+和用戶名�、密碼+IC卡或密碼+UKEY等傳統身份驗證手段來實現身份鑒別�����。直到近1-2年,涉密信息系統才開始采用生物識別技術加強系統的安全性����。
隨著國家相關政策與法規陸續出臺,高安全性的生物識別技術日益得到詳細的規定和應用要求�����!吨腥A人民共和國計算機信息系統安全保護條例》、《涉及國家秘密的信息系統分級保護技術要求》�、《信息系統安全等級保護基本要求》�、《信息系統安全等級保護測評準則》����,《計算機信息系統安全等級保護(通用技術要求) 》,明確規定我國"計算機信息系統實行安全等級保護"�����,各級計算機信息系統須有用戶身份鑒別功能設計,并在三級以上系統"要求有更加嚴格的身份鑒別�����,如采用人體生物特征(指紋�、視網膜)等特殊信息進行身份鑒別,并在每次用戶登錄系統之前進行鑒別"��。
這里我們以亞略特產品指紋識別產品為例�����,談談生物識別技術在涉密移動存儲介質管理����、涉密計算機單機或終端�、涉密網絡上以及保密要害部門部位管理等方面的應用。
1��、 涉密移動存儲介質管理的應用--指紡U盤���、指紋硬盤����、指紋保險柜
現在���,越來越多的涉密數據和檔案資料被存儲在計算機里���,大量的涉密文件和資料變為電子文檔依附于磁性介質�、光學介質和電介質內,一旦存儲介質保密管理不善,諸如:(1)使用的過程疏忽和不懂技術或操作的失務,存儲在存儲介質中的涉密信息在聯網交換被泄露或被竊取��,存儲在存儲介質中的涉密信息在進行人工交換時泄密�����;(2)大量使用的磁盤�����、磁帶、光盤、U盤、硬盤內信息被復制、失竊;(3)處理廢舊存儲介質,未進行徹底處理���;(4)計算機出故障時,存有涉密信息的硬盤不經處理或無人監督就帶出修理;(5)存儲介質管理不規范��,明密不分�,磁盤不標密級;(6)設備在更新換代時沒有進行技術處理等。這些都會造成介質內涉密信息的泄露。因此�����,計算機信息系統存儲介質的泄密隱患相當大��。為此�����,我們指紋U盤�、指紋硬盤用于存儲涉密信息。真正做到涉密存儲介質管理的四不:"進不來��、拿不走�、讀不懂、走不脫"��。
利用指紋加密技術���,可以從存儲介質分級保護����、認證授權、訪問控制�、扇區加密等方面對移動存儲介質進行失泄密的防護管理��,并提供對移動存儲介質從購買、使用到銷毀全過程的管理控制�����。
配備指紋保險柜,用于放置涉密的存儲介質�、涉密便攜式電腦和涉密文件��、檔案等。
2���、 涉密計算機單機或終端上的應用--指紋儀、指紋鼠標
涉密計算機單機或終端中記錄并存儲著大量國家涉密文件和數據資料�����,首先就要保證合法用戶才能使用����,有可靠的涉密計算機安全登陸控制����。利用傳統的用戶名+密碼、密碼+USB KEY等方式���,并保證一定的口令長和及時更換,從理論上講是可行的�,但實際上沒有可操作性�����,沒有人愿意去記憶這些復雜、難記的數字字符串�����,這樣將導致用戶密碼���、口令管理要求形同虛設��,保密檢查時臨時設一個應付過關����。為真正做到既確保涉密信息系統的安全���,又方便用戶使用����,又便于保密管理,我們可以在每個終端用戶的計算機和服務器上配置了指紋鼠標或指紋儀�����,來解決用戶登錄系統身份鑒別認證問題���。并利用指紋加密措施對文件/文件夾加解密和電腦保護�、密碼托管等確保電腦安全和數據安全���。
3���、 涉密網絡上的應用--指紋平臺軟件��、指紋AD域身份安全管理系統
一個涉密信息系統除了終端本身登錄時的身份鑒別認證外��,網絡上的應用系統、辦公自動化系統、涉密WEB網頁���、郵件、數據庫等也需要身份鑒別認證,也要用到用戶名和口令���。按涉密信息系統的口令字要求,也要一定的長度和定期更換,同樣存在難于記憶和操作不便等問題����。為此�����,我們在用戶登錄保密系統專網WEB頁面、使用辦公自動化系統、數據庫時��,配備指紋識別平臺軟件,并配合指紋鼠標系統����,將原來網上各類系統使用的"戶名+密碼"的身份認證方式��,替換成指紋識別認證方式。通過用指紋識別替代密碼口令認證����,不僅可以提高用戶身份鑒別的準確性,更可以通過操作日志審計,對涉密系統的使用嚴加控管��,最低程度降低失泄密風險��。
在政府及大中型企業中���,AD域主要作用是解決用戶服務器身份管理與訪問權限控制的部署問題���。但AD域同樣面臨著密碼被盜用�����、共用,導致相應的授權也將同時轉讓的危險��。亞略特指紋AD域身份安全管理系統���,正是隨著AD域在政務�����、大中型企業實際應用部署過程中不斷深入推進�,在身份和訪問控制服務管理使用過程中不斷產生新的應用需求而應運而生�,實現了集成指紋識別的可信身份安全管理等。
如果涉密系統使用CA數字證書,還可以配置生物識別統一認證平臺系統��,搭建網絡身份認證服務平臺��、多元生物識別身份認證機制����、數字簽名認證機制��、生物識別智能超級搜索引擎、自動備份/負載均衡機制等���,確保數字認證中心身份認證的唯一和不可復制,使網上數據交換的真實性�、有效性���、防抵賴性等問題有法可依���。
4���、保密要害部門部位的應用--指紋考勤機�、指紋門鎖�、指紋門禁系統
涉計算機機房、檔案室��、機要室等保密要害部門部位是保密防范的重點��,除了有好保密管理制度�����、保密管理人員外,還要考慮物防和技術防范措施���,如安裝鐵門、鐵窗���,配置文件保密柜、消防�����、防雷��、防電磁輻射等設施等��,確保這些部門部位的物理安全。對于涉密重要的計算機機房和涉密程度較高的部門部位還要考慮配置IC電子門禁或生物特征等強身份認證系統��,并有出入記錄��。
綜上所述���,要確保涉密信息系統的安全保密���,身份鑒別認證技術是必不可少的�,并且是技術防范必須解決的問題�����。隨著科學技術的發展�����,身份鑒別認證技術也不斷的得發展和提高,基于指紋特征識別技術具有傳統的身份認證手段無法比擬的優點��。采用指紋技術構建電子政務系統身份安全���,可大大降低安全風險�,可不必再記憶和設置密碼,對涉密信息���、重要的文件、數據等都可以利用它進行安全加密����,有效地防止惡意盜用等��,使用更加方便。所以����,使用以指紋識別為代表的生物識別技術無疑會加強政府電子政務系統、各級政府信息化工程等涉密信息系統的整體安全等級,做好涉密信息系統分級保護工作的有效措施。
應用方向二:大眾領域
生物識別讓科技以人為本
除開政府、軍隊等涉密系統的行業企業級應用外�����,生物識別更大的應用是即將走入信息社會人們生活的方方面面�。這是因為在信息化高度發達的商業社會,人們每天將有大量的進行身份驗證的需要,除了網上虛擬世界的各種登錄認證之外���,現實世界也有很多的身份鑒別的需要,例如人們去銀行、去會所��、去單位登記等等���。因此���,隨著密碼越來越多擠滿大腦�,USBkey令牌各式各樣掛滿胸前,人們在呼喚一種更加便捷易用的身份認證模式,當黑客間諜手段越來越多�,各種卡證仿制手段越來越豐富��,人們在呼喚一種更加安全不易被盜取的身份認證模式。生物識別技術的社會化普適應用的爆發就在即將到來的明天。
在這個大的趨勢背景下,有幾個方面我特別希望跟大家報告一下�����,希望大家關注�����,也是生物識別下一步大規模應用值得關注的地方��。研究熱潮的幾個特別關注的地方。
首先,針對大規模人群的身份鑒別的技術��,這方面將來會大規模的研發和應用����,比如機場通關安檢����、車站碼頭、大型集會等都可以用到生物識別技術�����。比如美國平均每一天大概有兩千個小孩失蹤,到目前為止有將近5萬個成年人找不著,他們就起動了一個計劃�����,用生物識別����,特別是用虹膜識別來找這些丟失的小孩和大人。
其次,針對城市公共事務的市民應用�。以亞略特與無錫市政府合作的一個城市指紋一卡通項目為例�,2009年����,無錫市市民一卡通項目作為無錫市政府為民辦實事項目之一,已經開始啟動。無錫市市民一卡通項目除了采用先進成熟的計算機和IC卡等傳統技術應用手段之外�����,最大的亮點就是引入成熟創新的指紋身份認證技術�����,構成了更加安全�、更加便捷�����、更多應用功能的國內首創市民指紋一卡通應用信息平臺。市民辦理市民卡時�,指紋同時存儲在指紋庫大平臺和市民卡中�����,指紋庫大平臺將為公安、社保�����、衛生�����、教育����、民政等相關電子政務和公共事業提供后臺指紋識別身份認證����,并在部分應用場景中實現市民卡的虛擬化。亞略特利用自主研發的城市指紋庫平臺運營平臺��,幫助無錫市政府搭建了城市指紋庫����,并集成了全國首個指紋一卡通,以后市民的醫保領取�、交通乘車���、(水電氣通訊費)電子支付�����、駕照申領�、甚至投票選舉等等,都可以或者憑卡或者依靠指紋即可進行相應的快捷操作��。這樣的城市指紋庫和指紋市民卡的建設�,獲益的不僅僅是每個老百姓的安全與便捷,同時這種城市指紋庫���,也能給政府對城市流動人口管理,案件偵破比對等公共事務提供很大的幫助����。通過建成科技創新���、以人為本的"指紋市民一卡通"平臺���,將進一步提高無錫市政府為民服務水平���,促進無錫市信息化建設朝更高���、更先進的方向發展�����。
其三�,在互聯網領域��,因為互聯網廠商基本上實行會員制�����,重復注冊和登錄密碼混淆,成為網民們更加有效使用網絡的瓶頸���,同時誠信互聯網��、實名網絡的需求呼喚��,就需要一種創新的手段來解決這樣的問題。互聯網第三方指紋認證平臺����,就是未來互聯網的創新之舉��,通過指紋進行實名認證,既安全又比較能夠使得網民接受,網民只需要在這個平臺進行網絡身份注冊���,就可以暢游網絡,其他任何網絡應用的注冊只需要跟該平臺進行接入就可以輕松實現。對網民來說,可以不用再記憶任何網站密碼�,通過這一個注冊的平臺即可登錄����,而且由于是指紋注冊��,那么只需要"一指接入"即可"通行網路"���。
當然�,生物識別的大眾化應用���,其實現在都已經有很多開始蓬勃發展���,以上幾點是我們認為�����,接下來將極大發展起來的����,利用生物識別技術��,為國家為社會為公民的幾個巨大市場和價值的應用。
創新技術:亞略特安全品牌"中國造"
最后���,簡單介紹一下,作為中國眾多本土安全企業的普通一兵--亞略特生物識別科技有限公司(www.aratek.com.cn)����。亞略特是一群特別有興趣于生物識別技術領域的年輕人組成的團隊����,他們經過數十年的研發���,從校園到社會����,從學術到技術����,從實驗室到公司����,從專業到產業。
目前的亞略特已經成為完全擁有數十項領先的自主知識產權專利技術��,從行業標準�、底層芯片到軍用民用軟硬件系列產品的專業生物識別技術和身份安全解決方案提供商。
我們自主研發的指紋認證產品包括:天工系列指紋保密U盤、天盾系列指紋安全硬盤、天行系列指紋鼠標和指紋儀等硬件產品及TrustLink指紋身份認證平臺軟件系統�。
亞略特產品全部已通過公安部"信息安全專用產品"�、中國人民解放軍"軍用信息安全產品"�、國家保密局"涉密信息系統產品"等權威安全資質認證和國際高標準FCC、CE認證。
目前在中國�,亞略特是服務于電子政務����、電子軍務信息安全領域最專業��、最值得信賴的生物識別企業。眾多國家部委�����、政府保密安全部門以及國防軍工單位選擇了亞略特專業的指紋產品和身份安全應用解決方案���。包括:中央保密辦��、國家保密局���、中央警衛局�����、中央秘書局、解放軍空軍總部����、海軍總部���、最高人民檢察院����、國家人事部�����、財政部���、包括咱們公安部的指紋經濟偵查系統等等。
|
