内容安全复习 9 - 身份认证系统攻击与防御

文章目录

基于生物特征的身份认证系统概述

作用:判别用户的身份、保障信息系统安全

是识别操作者 身份的过程,要保证其**物理身份(现实)数字身份(网络)**相对应。

  • 两种认证

    用户与主机之间的认证 --- 认证人的身份,单机 / 网络环境。

    主机与主机之间的认证 --- 通信的初始认证握手,网络环境。

  • 四种基本认证途径

    (1)基于你所知道的(What you know)知识、口令......

    (2)基于你所拥有的(What you have)密钥、身份认证......

    (3)基于你的个人特征(What you are)指纹......

    (4)双因素、多因素认证

下面对(3)进行详述。

基于生物特征的身份认证

定义:基于个人独特的生理或行为特性 进行自动身份识别的技术。

  • 优点:
    (1)普遍性:特征普遍存在。指纹这种东西大部分人都有
    (2)方便性:易于携带,不易丢失。生物特征总不能丢了吧
    (3)难复制性:难以被伪造盗用。虽然网络上仿造指纹很常见,但现实里倒也没有太多吧,这个还是不太好做的
    (4)部分生物特征能够提供主动监控技术

常见的生物特征:人脸、虹膜、指纹、手型、视网膜、签名、语音、手部血管分布、脸部热量图......

  • 流程:
    (1)注册模块:注册用生物特征数据的捕获、提取和存储
    (2)识别模块:认证用生物特征数据的捕获和提取
    (3)匹配模块:识别的特征和数据库信息对比,两种应用情况,验证和鉴别
    (3 - 1)验证:证明所声称身份即可。确认某人的身份是否为声称的那个人
    (3 - 2)鉴别:必须要挨个比对得到具体身份。确定某人的具体身份。
    一个例子:A 字自称张三,认证只要查下身份证,确认是张三就行。但鉴别需要挨个对比出 A 的真实身份。
    (4)判定模块:给质量分数匹配分数 各设置一个阈值,前者决定是否重输入,后者决定是否失败。
    (5)评价指标:FAR,FRR

几种攻击:指纹攻击、虹膜呈现攻击、人脸合成攻击、面具攻击

人脸活体检测

常见的人脸仿真方式:Print、Replay、3D Mask、Makeup、Partial Attack......

检测方法

分为传统人脸活体检测基于深度学习的活体检测

传统人体活脸检测有下列方法:

  • 眨眼检测
    缺点:(1)真人也会一段时间不眨眼;(2)无法检测视频重放;(3)剪切眼部后的照片攻击。
  • 嘴部动作检测
    缺点:(1)重放视频攻击;(2)面具攻击;(3)相机必须不动。
  • 交互式活体检测
    原理:(1)借助内置传感器;(2)借助设备闪光;(3)借助近红外成像;(4)心率检测。

重放攻击数据库的三种重放类型:打印照片、手机照片、平板照片。

未解决问题

(1)训练集与测试集的分布差异。

(2)可解释性。

(3)未知类型的攻击。

相关推荐
柯南二号5 天前
SpringSecurity 鉴权认证入门讲解
认证·鉴权·springsecurity
慢生活的人。7 天前
SpringSecurity+jwt+captcha登录认证授权总结
java·认证·rbac·权限·验证
Amd7942 个月前
Nuxt.js 应用中的 app:redirected 钩子详解
认证·日志·nuxt.js·ssr·重定向·钩子·示例
网络研究院2 个月前
Google 扩展 Chrome 安全和隐私功能
chrome·安全·浏览器·隐私·软件·权限·无密码
小小工匠2 个月前
Arch - 架构安全性_认证(Authentication)的标准和实现
架构·认证·authentication
Amd7943 个月前
使用 defineNuxtRouteMiddleware 创建路由中间件
中间件·认证·路由·重定向·nuxt3·错误处理·定制逻辑
G皮T4 个月前
【Spring Boot】用 Spring Security 实现后台登录及权限认证功能
spring boot·安全·spring·spring security·认证·登录·授权
深度安全实验室4 个月前
WEB开发-HTTP认证
认证
啊猪是的读来过倒5 个月前
Django REST framework安全实践:轻松实现认证、权限与限流功能
安全·django·sqlite·限流·认证·drf·权限