内容安全复习 9 - 身份认证系统攻击与防御

基于生物特征的身份认证系统概述

作用：判别用户的身份、保障信息系统安全。

是识别操作者身份的过程，要保证其物理身份（现实） 数字身份（网络） 相对应。

• 两种认证
  用户与主机之间的认证 — 认证人的身份，单机 / 网络环境。
  主机与主机之间的认证 — 通信的初始认证握手，网络环境。

• 四种基本认证途径
  （1）基于你所知道的（What you know）知识、口令……
  （2）基于你所拥有的（What you have）密钥、身份认证……
  （3）基于你的个人特征（What you are）指纹……
  （4）双因素、多因素认证

下面对（3）进行详述。

基于生物特征的身份认证

定义：基于个人独特的生理或行为特性进行自动身份识别的技术。

• 优点：
  （1）普遍性：特征普遍存在。指纹这种东西大部分人都有
  （2）方便性：易于携带，不易丢失。生物特征总不能丢了吧
  （3）难复制性：难以被伪造盗用。虽然网络上仿造指纹很常见，但现实里倒也没有太多吧，这个还是不太好做的
  （4）部分生物特征能够提供主动监控技术。

常见的生物特征：人脸、虹膜、指纹、手型、视网膜、签名、语音、手部血管分布、脸部热量图……

• 流程：
  （1）注册模块：注册用生物特征数据的捕获、提取和存储。
  （2）识别模块：认证用生物特征数据的捕获和提取。
  （3）匹配模块：识别的特征和数据库信息对比，两种应用情况，验证和鉴别。
  （3 - 1）验证：证明所声称身份即可。确认某人的身份是否为声称的那个人
  （3 - 2）鉴别：必须要挨个比对得到具体身份。确定某人的具体身份。
一个例子：A 字自称张三，认证只要查下身份证，确认是张三就行。但鉴别需要挨个对比出 A 的真实身份。
  （4）判定模块：给质量分数和匹配分数各设置一个阈值，前者决定是否重输入，后者决定是否失败。
  （5）评价指标：FAR，FRR

几种攻击：指纹攻击、虹膜呈现攻击、人脸合成攻击、面具攻击

人脸活体检测

常见的人脸仿真方式：Print、Replay、3D Mask、Makeup、Partial Attack……

检测方法

分为传统人脸活体检测和基于深度学习的活体检测。

传统人体活脸检测有下列方法：

• 眨眼检测
  缺点：（1）真人也会一段时间不眨眼；（2）无法检测视频重放；（3）剪切眼部后的照片攻击。
• 嘴部动作检测
  缺点：（1）重放视频攻击；（2）面具攻击；（3）相机必须不动。
• 交互式活体检测
  原理：（1）借助内置传感器；（2）借助设备闪光；（3）借助近红外成像；（4）心率检测。

重放攻击数据库的三种重放类型：打印照片、手机照片、平板照片。

未解决问题

（1）训练集与测试集的分布差异。
（2）可解释性。
（3）未知类型的攻击。