807
研究人員采用心律進行持續身份驗證
紐約州立大學水牛城分校,以及德克薩斯理工大學電氣和計算機工程係的研究人員,提出了新穎的持續用戶身份驗證方法——采用由用戶獨特心髒構造決定的心髒運動。他們的論文題目為“心髒掃描:基於心髒的非接觸式持續用戶身份驗證係統”,準備在10月16-20號舉行的無線和移動通信領域頂尖會議MobiCom上呈現。
與其他測量心髒運動的方法不同,該方法(即“心髒掃描”)不用物理接觸,也無需用戶幹預。其目的,是要能夠基於存儲的模板,識別出特定用戶,知道已授權用戶何時位於電腦或其他設備前,又在何時離開了設備操作範圍。用戶出現時,驗證會話持續;但一旦用戶離開,會話就可被關閉(具體細節由公司策略決定)。
“心髒掃描”是作為靜態身份驗證的替代和改進而提出的,無論這種靜態身份驗證是包括靜態生物特征識別(比如指紋或虹膜掃描),還是僅局限於口令。靜態身份驗證,甚至多因子靜態身份驗證,都存在一個問題:僅發生在會話開始時。即便經驗證的用戶走開或被引離設備,驗證通過狀態依然持續——不管實際操作設備的人是誰。
持續身份驗證,就是需求通過監測正在使用者的身份,來解決該問題。想要做到這一點,該身份驗證方法就必須是非侵入式的;也就是,被動式,或者如研究人員描述的,是非意誌性的。人們對持續被動行為生物特征新方法產生了極大興趣,這些方法就是基於已知習慣,比如擊鍵模式或凝視模式等,來確定用戶身份。值得一提的是,美國陸軍網絡創業技術司令部(NETCOM),正在部署Plurilock公司的BioTracker持續身份驗證網絡安全軟件,用以防止作戰人員身份被盜。
為達成目的,研究人員開發了一套基於智能直流耦合連續波雷達的感應係統。其結果,就是一台安全的低功耗設備。研究主要作者許文曜博士稱:“我們每天都生活在WiFi環繞的環境中,新係統跟這些WiFi設備一樣安全。讀取器功耗僅5毫瓦,其輻射甚至不及我們智能手機的1%。”
研究人員計劃將該係統小型化,以便可以安裝到計算機鍵盤的角落,長遠目標則是能夠在智能手機和機場安檢中使用。後者盡管理論上可行,但因需要保留所有旅者的心髒運動模板,而可能引發隱私問題。
這就提起了對生物特征身份驗證方法的一個主要批評:生物特征樣本被盜後的重放攻擊。卡巴斯基實驗室首席安全研究員大衛·埃姆指出:“存儲在服務提供商處的生物特征數據,與包含用戶名和口令的數據庫同為有價值目標。造成該信息泄露的任何安全失誤,都可能引發比口令失竊嚴重得多的後果:畢竟,我們可以改掉弱口令,但我們改不掉被泄的指紋、虹膜掃描,或者,本案例中所用的,我們心髒的維度。”
不過,埃姆也補充道:“如果該生物特征數據是存儲在個人設備而不是存儲在雲端,那就最小化了風險。”蘋果 10 的新FaceID刷臉解鎖,和已有的TouchID指紋係統就是這麼做的——但“心髒掃描”是否可以就不知道了。很明顯,機場安檢中對該係統的任何使用,都需要外部存儲。
當然,重放攻擊不僅僅局限在被盜模板的使用上;還適用於對該係統的欺騙。比如用照片欺騙FaceID和虹膜掃描器,用乳膠指紋副本騙過指紋掃描器。研究人員對此問題不是毫無所覺,盡管不得不說,複製和重複使用某人的心髒構造從技術上講是非常困難的。
研究人員稱:“使用生物特征的一個主要風險,在於生物特征令牌可能被未授權方截獲並重放。相比基於視覺的靜態生物特征(人臉/指紋/虹膜),心髒信號更為複雜和動態,難以假冒或複製。但是,某些極端情況下,心髒信號還是有被盜機會的。在心髒運動感知中,攻擊者還需要黑進數據庫獲取心髒運動模式,或者攻克同型號的心髒運動感知設備來抽取用戶的心髒信號。”
有可能會出現某種形式的心髒模式讀取器——類似已經被罪犯使用的ATM讀取設備。
盡管如此,研究人員注意到此問題的事實還是令人安心的。全國性金融服務公司Real Time Resolutions信息安全部總經理蘭迪·波茨評論道:“這是個很好的方向。發現令我們區別於他人的生物和行為特征,將使我們達成安全持續身份驗證。這些研究人員很好地處理了我對重放攻擊的擔憂。所有生物特征識別方法的另一個潛在問題,是你改不掉生物特征。當用於匹配的數據庫被黑,用戶無法改變他們的指紋——或者,心律。我希望這些研究人員能繼續下去,希望安全社區能解決生物特征數據安全保護方麵的挑戰。”
目前來看,該提案似乎很有前景。研究人員自己的測試涉及78名健康用戶,達到了98.61%的平衡精度和4.42%的等誤率。研究人員稱:“心髒掃描能測出個人獨特的心髒運動,比如心髒運動動力學指標(速度、加速度等)和心血循環功能。該係統很低調,難以偽造,易於使用。而且,心髒運動生物特征對時間改變具有很好的健壯性。”
雖然如此,研究人員清楚,尚有許多工作有待完成。“目前,我們的工作重點放在健康人身上。未來,我們計劃在患有心血管疾病的人身上評估‘心髒掃描’,比如心律失常者或戴有心髒起搏器的人。”
本文轉自d1net(轉載)
最後更新:2017-10-10 16:34:22