指纹识别系统安全性分析
2014-08-08 14:34蔡云刚
无线互联科技 2014年6期
蔡云刚
Safety analysis of Fingerprint Identification System
Cai Yungang
Abstract:In this paper, the reality is currently widely used fingerprint identification system, in terms of the physical layer, network layer, the development platform of the security threats facing the current fingerprint identification system may be analyzed and put forward a coping strategy.
Key words:Fingerprint;network security;data interception由于指纹具有人人都有的普遍性、每人不同的唯一性以及不随年龄而变化的稳定性等特征,指纹识别系统在现实生活中被广泛用于身份认证。除公安刑侦部门外,银行提款、公司考勤、门禁管理、网上购物、机场海关等都广泛应用该系统,它是目前性价比最高的生物识别系统之一。本文针对指纹识别系统在网络化管理新趋势下可能面临的各种安全威胁做了一个整体的分析,并针对性地给出了应对策略。
1来自物理层的威胁
指纹识别系统主要涉及指纹图像采集、指纹预处理、特征提取和匹配四个方面,其中指纹识别算法最为关键,实现也极其复杂,一般攻击者难以找出漏洞并利用。但是攻击者往往会通过其他手段加以规避,比如利用很久以前公布的使用硅胶来制作假指纹进行突破,再比如对于一些精准度不够的指纹识别设备,尤其是光学指纹识别设备,使用最新的彩色激光打印机完全能够打印出分辨率非常拟真的指纹图片,也能达到以假乱真的目的。诸如这些就是指纹识别系统面临的来自物理层的无法绕过的安全威胁。对于一些没有获得相关涉密考核资质的厂商生产的光学指纹加密设备,比如一些中小型公司里很常见的指纹打卡机、指纹门禁系统等,不可避免的会受到伪造指纹的影响。面对这种来自物理层的安全威胁,对应的策略是提高安全防范意识,保管好指纹和指纹库。
2来自网络层的威胁
2.1 操作系统安全威胁
网络型指纹识别设备一般都提供网络访问及管理功能,攻击者可以通过专业的扫描工具,比如Ike-scan、Xscan、Nmap等,对指纹识别系统网络进行扫描,获取目标设备产品型号、设计厂商、主机名、操作系统类型、开放端口等信息。拿到这些信息后,攻击者会更进一步地进行漏洞探测,从而拿到指纹识别设备操作系统管理权。目前,国内的指纹识别设备多采用Linux操作系统,作为开源的一种操作系统存在被溢出、被拒绝服务等风险。此外,某些网络型指纹识别设备支持Telnet、Web等管理功能,而一般管理人员并不会设置十分繁琐的密码。针对这种管理方式,攻击者会使用诸如Hydra之类的工具进行在线账户及密码暴力猜解。对于这类威胁,对应的策略是修改系统banner,及时升级系统漏洞补丁、设置带特殊符号的复杂密码等。
2.2 数据链路安全威胁
数据链路安全威胁主要是指纹登入信息、USB便携式指纹识别设备数据等被网络嗅探軟件拦截与分析。由于网络型指纹识别设备与验证设备要通过网络进行指纹信息的交互。在交互过程中,就面临着数据链路被嗅探分析的威胁。攻击者通过Cain、Ethereal等工具能够捕获指纹录入数据包,并从中分析出当前使用的指纹识别设备厂商及具体型号等信息。而通过对USB接口的数据流进行拦截分析,也能得到当前使用的USB型指纹加密设备等的相关信息。面对这种安全威胁,对应的策略是使用私有协议进行加解密和完整性校验,修改设备banner标志等。
2.3 无线网络安全威胁
谈到无线网络安全,首先要纠正一些错误的观点。比如只要遵循物理安全规定,把指纹识别系统放置在内部安全位置,并且设定严格的实名登记制度,就可以确保安全。这些举措能增强安全性,但面对存在无线接入点的不严谨的网络时就显得不够,攻击者只要渗透到目标内网,就可以进行截获分析,进而拿到指纹设备管理权。尽管实际拦截时有难度,但这确实是潜在的安全隐患。针对无线网络安全威胁,对应的策略是完善网络结构,关闭不必要的无线热点,设置复杂的无线网络密码,并定期进行无线网络安全评估等。
3来自开发平台的威胁
现在很多的指纹识别厂商都强调客户无需附加任何单片机直接利用EDK主板轻松进行量身定制。这些宣传令人心动,但这些光鲜宣传的背后则暗藏着容易被人忽略的安全风险。基于主板的嵌入开发系统(EDK)是一个并行高速处理的嵌入式Linux脱机指纹产品开发平台,该平台以TCP/IP协议为标准接口。对于专业人士,比如单片机方面经验丰富的高手或者嵌入式开发方面的老手,他们通过自身的经验可以对其进行再次开发和编译,量身定制出此类产品的破解或者配置工具。针对来自开发平台的安全威胁,对应的策略是使用一般的普通的指纹识别设备。
[参考文献]
[1]吴建明,施鹏飞.一种基于方向场和细节特征匹配的指纹识别方法[J].计算机工程与应用,2003,(2):91~93.
[2]王跃明,潘纲,吴朝晖.三维人脸识别研究综述[J].计算机辅助设计与图形学学报,2008,20(7):819.829.
[3]M.Blanton and P.Gasti.Secure and Efcient Protocols for Iris and Fingerprint Identication.Cryptology ePrint Archive,Report 2010/627,2010.http://eprint.iacr.org/.
猜你喜欢
自动化学报(2021年8期)2021-09-28
小哥白尼(趣味科学)(2021年11期)2021-02-28
小天使·一年级语数英综合(2020年10期)2020-12-16
电子制作(2018年11期)2018-08-04
爱你(2018年16期)2018-06-21
信息安全研究(2016年4期)2016-12-01
自动化学报(2016年8期)2016-04-16
中国科技信息(2015年6期)2015-11-10
指挥与控制学报(2015年4期)2015-11-01
青少年科技博览(中学版)(2015年7期)2015-08-12
