生物识别系统安全与攻击

生物识别系统是一种技术，它从人的生物或行为模式中提取信息，以识别特定的人。为了提出新的方法或提高现有系统的性能和准确性，必须了解主要的生物识别系统、制作中使用的参数、错误类型、生物识别场景、用于应用程序的生物识别特征、系统的局限性和现代方法。 任何生物识别机器都不是最佳的。始终需要增强和提高生物识别系统的准确性和性能。

生物识别中的攻击

生物识别系统会受到许多恶意攻击，这些攻击可以通过各种形式的威胁来执行。对生物识别机器的恶意攻击是一个安全问题，会降低系统的性能。 生物识别系统有各种局限性，例如欺骗攻击、嘈杂的传感器数据、类间变异和类间相似性等。

这些高度攻击与任何要分析的生物识别系统相关，在设计生物识别系统时应采取对策。生物识别系统中的不同攻击如下

伪造生物特征： 随着现代技术的出现，如今各种黑客会向传感器提供伪造的生物特征样本，以访问生物识别系统。 伪造的面具、硅胶制成的假指纹、虹膜上的镜片等是传感器上的一些此类恶意攻击。

重放攻击： 在这种攻击中，生物识别系统中包含的数据流被注入到传感器和处理系统之间。 重放攻击可以是两到三个阶段的过程。 它首先拦截或复制传感器传输，然后修改或更改信息，最后重放数据。

欺骗特征集： 用虚假或更改的特征替换特征集称为数据欺骗。 这些类型的欺骗攻击通常用于攻击各种网络、传播恶意软件和获取机密信息。

模板篡改攻击： 模板表示一组显着特征，概括了个人的生物识别数据（信号）。 可以修改模板以获得高验证分数，无论向系统呈现哪个图像。 存储在数据库中的模板可以被替换、盗用甚至可以被更改。 因此，通过降低合法用户的分数来破坏系统。 模板生成算法已被视为单向算法。

覆盖是/否响应： 生物识别系统中普遍存在的一个固有错误是，系统的结果始终是二进制响应，是/否（即，匹配/不匹配）。 换句话说，生物识别和应用程序之间仍然存在根本的脱节，这使得该系统容易受到潜在的攻击。

木马攻击： 在木马攻击中，特征提取器本身被替换为产生所需的特征并将这些特征添加到现有数据库中。 欺骗检测技术已成为生物识别系统的重要组成部分，因为随着对安全性的日益关注，必须识别、控制和最小化生物识别攻击。 研究人员正在开发各种新的方法来构建安全的生物识别系统。

伪装攻击： 已证明可以从指纹模板创建数字“伪影”图像，以便将此伪影提交给系统，从而产生匹配项。 该对象甚至可能与真实图像不相似。 这种攻击对远程身份验证机器构成了重大威胁。 由于黑客甚至不必费心获取有效的生物识别样本，他只需要访问存储在远程服务器上的模板即可。

生物识别系统的安全方面

复杂系统暴露于多种可能的漏洞，而利用给定漏洞的能力取决于一系列要求。 弱点在严重程度上有所不同，并且可以通过各种对策来防止，例如监督注册或验证、活体检测、模板匿名化、加密存储和传输以及传统的网络安全措施。 生物识别的安全要求包括不可否认性、机密性、真实性、完整性和可用性。 有关安全要求的详细信息如下

机密性： 机密性是保护您的信息免受未经授权的访问或泄露的属性。 在生物识别系统中，在注册过程中存储在生物识别数据库中的生物识别参考被传输到比较子系统，以进行验证和识别过程。

在此过程中，未经授权的实体可能会访问生物识别参考，并且可以读取或可以揭示与其身份信息的绑定。 未经授权的数据泄露可能会导致严重的隐私威胁，因为生物识别是敏感的。 可以从访问控制机制和各种形式的加密技术获得存储和传输的生物识别数据的机密性。

完整性： 完整性是保护资产的准确性和完整性的属性。 生物识别参考的完整性对于确保整体生物识别系统的安全性至关重要。 身份验证过程的完整性取决于生物识别参考的完整性。 如果生物识别参考或捕获和提取的生物识别特征不可信，则生成的身份验证也将不可信。 由于以下一个或多个原因，可能会出现不可靠的生物识别参考或样本

• 由于硬件或软件故障而导致的意外损坏。
• 经授权的实体（即，经批准的注册者或系统所有者）在没有攻击者干预的情况下，对真实的生物识别参考进行意外或有意的修改。
• 攻击者对经授权的注册者的生物识别参考进行的任何更改（包括替换）。

可用性： 在 Aadhar 系统中实现了数据中心 (DC) 复制，并且驻留数据在两个数据中心可用。 应用程序服务器托管在两个数据中心上，用于处理事务请求（身份验证/e-KYC）。 因此，通过设备和组件级别的冗余来确保 UIDAI 托管服务的可用性。 仅通过租赁线路或 MPLS 连接授权实体才能启用受限访问数据，并且没有任何直接链接提供给任何第三方实体。

不可否认性： 它是识别专用资源，例如实体和组件。 它也被视为一种责任。 例如，它禁止生物识别数据的接收者或发送者否认已发送或接收生物识别信息。

真实性： 它是指纯正、真实或原始的状态或质量，而不是被复制。 只有当数据处于产生、存储或传输时的相同状态和条件下，该数据才被认为是真实的。 在生物识别系统中，有两种类型的真实性？数据来源真实性和实体真实性。 数据来源真实性确保信息的真实性和原创性。 例如，使用传感器设备捕获生物识别数据。 来自合适传感器的获得的证据没有被先前记录欺骗。 实体真实性确认参与整个处理的所有实体都是他们声称的那些实体。