指紋識別系統安全性分析

蔡云剛

Safety analysis of Fingerprint Identification System

Cai Yungang

Abstract:In this paper, the reality is currently widely used fingerprint identification system, in terms of the physical layer, network layer, the development platform of the security threats facing the current fingerprint identification system may be analyzed and put forward a coping strategy.

Key words:Fingerprint；network security;data interception由于指紋具有人人都有的普遍性、每人不同的唯一性以及不隨年齡而變化的穩定性等特征，指紋識別系統在現實生活中被廣泛用于身份認證。除公安刑偵部門外，銀行提款、公司考勤、門禁管理、網上購物、機場海關等都廣泛應用該系統，它是目前性價比最高的生物識別系統之一。本文針對指紋識別系統在網絡化管理新趨勢下可能面臨的各種安全威脅做了一個整體的分析，并針對性地給出了應對策略。

1來自物理層的威脅

指紋識別系統主要涉及指紋圖像采集、指紋預處理、特征提取和匹配四個方面，其中指紋識別算法最為關鍵，實現也極其復雜，一般攻擊者難以找出漏洞并利用。但是攻擊者往往會通過其他手段加以規避，比如利用很久以前公布的使用硅膠來制作假指紋進行突破，再比如對于一些精準度不夠的指紋識別設備，尤其是光學指紋識別設備，使用最新的彩色激光打印機完全能夠打印出分辨率非常擬真的指紋圖片，也能達到以假亂真的目的。諸如這些就是指紋識別系統面臨的來自物理層的無法繞過的安全威脅。對于一些沒有獲得相關涉密考核資質的廠商生產的光學指紋加密設備，比如一些中小型公司里很常見的指紋打卡機、指紋門禁系統等，不可避免的會受到偽造指紋的影響。面對這種來自物理層的安全威脅，對應的策略是提高安全防范意識，保管好指紋和指紋庫。

2來自網絡層的威脅

2.1 操作系統安全威脅

網絡型指紋識別設備一般都提供網絡訪問及管理功能，攻擊者可以通過專業的掃描工具，比如Ike-scan、Xscan、Nmap等，對指紋識別系統網絡進行掃描，獲取目標設備產品型號、設計廠商、主機名、操作系統類型、開放端口等信息。拿到這些信息后，攻擊者會更進一步地進行漏洞探測，從而拿到指紋識別設備操作系統管理權。目前，國內的指紋識別設備多采用Linux操作系統，作為開源的一種操作系統存在被溢出、被拒絕服務等風險。此外，某些網絡型指紋識別設備支持Telnet、Web等管理功能，而一般管理人員并不會設置十分繁瑣的密碼。針對這種管理方式，攻擊者會使用諸如Hydra之類的工具進行在線賬戶及密碼暴力猜解。對于這類威脅，對應的策略是修改系統banner，及時升級系統漏洞補丁、設置帶特殊符號的復雜密碼等。

2.2 數據鏈路安全威脅

數據鏈路安全威脅主要是指紋登入信息、USB便攜式指紋識別設備數據等被網絡嗅探軟件攔截與分析。由于網絡型指紋識別設備與驗證設備要通過網絡進行指紋信息的交互。在交互過程中，就面臨著數據鏈路被嗅探分析的威脅。攻擊者通過Cain、Ethereal等工具能夠捕獲指紋錄入數據包，并從中分析出當前使用的指紋識別設備廠商及具體型號等信息。而通過對USB接口的數據流進行攔截分析，也能得到當前使用的USB型指紋加密設備等的相關信息。面對這種安全威脅，對應的策略是使用私有協議進行加解密和完整性校驗，修改設備banner標志等。

2.3 無線網絡安全威脅

談到無線網絡安全，首先要糾正一些錯誤的觀點。比如只要遵循物理安全規定，把指紋識別系統放置在內部安全位置，并且設定嚴格的實名登記制度，就可以確保安全。這些舉措能增強安全性，但面對存在無線接入點的不嚴謹的網絡時就顯得不夠，攻擊者只要滲透到目標內網，就可以進行截獲分析，進而拿到指紋設備管理權。盡管實際攔截時有難度，但這確實是潛在的安全隱患。針對無線網絡安全威脅，對應的策略是完善網絡結構，關閉不必要的無線熱點，設置復雜的無線網絡密碼，并定期進行無線網絡安全評估等。

3來自開發平臺的威脅

現在很多的指紋識別廠商都強調客戶無需附加任何單片機直接利用EDK主板輕松進行量身定制。這些宣傳令人心動，但這些光鮮宣傳的背后則暗藏著容易被人忽略的安全風險。基于主板的嵌入開發系統（EDK）是一個并行高速處理的嵌入式Linux脫機指紋產品開發平臺，該平臺以TCP/IP協議為標準接口。對于專業人士，比如單片機方面經驗豐富的高手或者嵌入式開發方面的老手，他們通過自身的經驗可以對其進行再次開發和編譯，量身定制出此類產品的破解或者配置工具。針對來自開發平臺的安全威脅，對應的策略是使用一般的普通的指紋識別設備。

[參考文獻]

[1]吳建明,施鵬飛.一種基于方向場和細節特征匹配的指紋識別方法[J].計算機工程與應用，2003，（2）：91~93.

[2]王躍明,潘綱,吳朝暉.三維人臉識別研究綜述[J]．計算機輔助設計與圖形學學報，2008，20(7)：819．829．

[3]M.Blanton and P.Gasti.Secure and Efcient Protocols for Iris and Fingerprint Identication.Cryptology ePrint Archive,Report 2010/627,2010.http://eprint.iacr.org/.