CISSP的成长之路（二十二）：用户的生物特征

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《用户持有凭证》里，J0ker给大家介绍了用户验证所使用的第二种验证因素——用户持有的凭证。用户持有凭证能够在最基本的用户密码验证的基础上再增加一层安全保护，但用户持有凭证会增加用户的安全方案采购成本，而且凭证本身也面临被盗、丢失、复制或滥用的风险。因此，在许多要求更高安全级别的场合，往往需要使用更为安全的访问控制手段，这就是J0ker在本文将要介绍到的第三种验证因素——用户的生物特征（What you are）。

　　由于每一个人的特征在生物学角度上都是唯一的，因此，生物特征可以成为用户身份验证的手段，而提供生物特征验证功能的设备，就称为生物特征识别设备（Biometric Device）。　 由于每个用户的生物特征都是不可仿冒的，因此，尽管生物特征识别设备的采购和使用成本非常高昂，但它所能够提供的安全性仍是不可替代的。用户生物特征的验证过程是一个自动化的过程，根据验证对象的不同，生物特征验证方法还能分成物理特征和行为特征两类：

　　物理特征：通过用户物理上的唯一特征来验证用户身份的方法，这些特征包括指纹、虹膜、瞳孔、掌形等

　　行为特征：通过用户行为上的唯一特征来验证用户身份的方法，这些特征包括声纹、签名等

　　用户的物理特征并不会随着时间的流逝而改变，如人的指纹一生都不会改变；用户的行为特征的选择标准为可控的行为并受用户心理状态影响较小，但仍然有可能随着时间的流逝而改变，因此需要经常升级用户验证数据库。依据用户物理特征和行为特征的生物验证方法各有优缺点，前者可以提供更好的安全性，但采购和维护的成本更高，对用户的影响也较大；而后者正好相反。当然，两种类型的生物特征验证方法都能够提供很高的安全性，并可与密码、智能卡等验证方法结合使用以提供更好的安全保证。

　　如果企业要采购和部署生物特征验证设备来加强访问控制的安全性，应该如何评估生物特征验证设备的优劣？信息安全行业里面通用的评估指标有3个：精确度（Accuracy）、处理速度（Processing Speed）和用户接受程度（User Acceptability）

　　精确度：精确度是生物特征验证设备最为关键的评估指标，生物特征验证设备必须准确的识别出一个用户的身份是否真实，否则这个设备便没有存在的意义了。错误拒绝率(错误拒绝合法用户的几率，FRR)、错误接受率(错误接受非法用户的几率，FAR)和交叉错误率(错误拒绝率和错误接受率的交叉结果，CER)是用来衡量生物特征验证设备精确度的指标，这三者的关系请大家参考图1。错误接受率通常被认为是衡量生物特征验证设备发生错误几率的主要指标，而交叉错误率则是衡量设备准确率的主要指标。越敏感的设备，错误拒绝率就越高，而越不敏感的设备，错误接受率就越高。

　　图1：错误拒绝率、错误接受率和交叉错误率

　　交叉错误率和错误接受率、错误拒绝率之间的换算关系如下：1%的交叉错误率相当于2%的总计错误，也即1%的错误接受率加上1%的错误拒绝率。因此，我们可以很容易的从这个换算关系中得出什么设备有最低的错误率或最好的设置。

　　处理速度：处理速度代表生物特征验证设备的数据处理能力，以及在多长的时间内向用户表现验证接受或拒绝的指标。处理速度越快，自然在单位时间内能够验证的用户数量越多，当然采购的成本也就越高。通常认为，从采集用户生物特征到向用户显示身份验证结果的整个过程花费5至10秒是用户可以接受的标准。

　　用户接受程度：用户接受程度也是衡量生物特征验证设备的重要指标，因为用户是生物特征验证设备的最终使用者，因此，用户对指定的生物特征识别技术的接受程度和使用意愿决定了这种生物特征验证设备的有效性。要确定生物特征验证设备的用户接受程度，根据J0ker的经验，企业可以采用以下步骤，首先让用户了解需要使用生物特征验证手段来保护的信息资产及其重要性，其次，让用户了解企业希望部署的生物特征验证设备并不会对用户的健康造成危害，最后，企业还应该让用户了解其所使用的生物特征验证设备并不会收集用户的个人信息及健康信息。

　　最后，我们来看一下目前市面上常见的生物特征验证设备：