生物辨識 NFC

強化行動存取控制應用安全性 NFC整合生物辨識蔚成風

2014-08-25
個人生理特徵辨識對存取控制系統的重要性日漸提升。透過網路進行存取交易日漸盛行,生物辨識技術可結合手機NFC功能,判讀使用者生理特徵,防範個人身分遭盜用。另外,此技術也可支援ID卡的使用,用於單位人員控管,將廣為商業與政府機關採用。
圖1 個人生理特徵如指紋無法被竊取或盜用,將廣為使用在商業與各重要機關的人員管理。

透過包含生物辨識科技在內的多項鑑別要素,使系統能夠確認透過讀取器使用智慧卡的個人就是持卡人本人。生物辨識科技驗證身分所使用的方式,是測量並驗證個人獨特的身體特徵,例如指紋、掌紋、臉部幾何形狀或眼睛的虹膜結構。由於這些辨識項目無法被借用或盜取,生物辨識科技讓身分辨識的可信度大為增加(圖1)。

直到最近,如虹膜辨識此類的生物辨識模組才被運用在塑膠卡片上,使用者在虹膜辨識攝影機前手持此卡驗證身分。該模組也可以使用在具備近距離無線通訊(NFC)功能的智慧型手機上,搭配其他身分憑證,以取得實體與網路存取控制。

行動存取興起 手機憑證安全漸受矚目

有幾項趨勢正在驅使智慧型手機及其他行動裝置,採用實體與網路存取控制。第一項趨勢是手機內建的NFC功能,讓使用者可以透過產業標準的近距離無線連結,在幾公分(cm)的距離內交換存取控制資料,所以使用者能夠將手機內的憑證「傳遞」給讀取器。

透過內建NFC的行動裝置進行付款已越來越普遍,讓可執行實體存取控制應用程式的NFC手機需求量增加;而沒有內建NFC功能的智慧型手機,則可使用NFC附加裝置,像是MicroSD卡,便能安全升級到可支援NFC功能。

此外,現在有一項新的身分代表類型,在受信任的範圍內使用NFC智慧型手機安全元件,通常是嵌入式防竄改積體電路(IC),或者是稱為用戶辨識模組(SIM)的插入式模組版本。這種結構能夠確保在NFC智慧型手機、SIM卡及其他安全媒體裝置之間的所有交易,能夠在存取控制受管理的網路裡認證。

在認證的範圍裡,機構能夠透過兩種相當安全且方便的方式,提供行動存取控制憑證。一種是透過通用序列匯流排(USB)或無線區域網路(Wi-Fi)連結,將行動裝置連結到網路,並使用網際網路入口網站,這與使用傳統的塑膠卡片類似;第二種方法,是透過行動電信業者空中發布數位憑證,就像是現今智慧型手機使用者下載應用程式和歌曲的方式,而實際作法是讓NFC智慧型手機與受信任的服務管理平台(TSM)進行通訊,透過介面直接與行動電信業者或其TSM進行連結,如此一來,金鑰即可傳遞到智慧型手機的SIM卡。

行動存取模式提供許多好處,如消除憑證複製的機會,並且可依需求,輕鬆發布暫時性憑證,即使裝置遺失或遭竊,也可取消憑證;在有需要的時候,還能夠監控並修改安全性參數。

行動模式對於交集的實體與邏輯存取也是理想的方式,讓智慧型手機可以使用於多種應用程式,包含無現金自動販賣、開啟住家門鎖、進入線上實體存取控制讀取器、進入受到NFC機電鎖保護的建築物、登入電腦,和產生一次性可編程(OTP)軟體權杖,以登入網路裝置及執行生物辨識驗證。

個人特徵無法取代 生物辨識強化身分認證

生物辨識科技能夠透過卡片持有人所具有的獨特特徵,來核對使用卡片者是否為持卡人本人。 每個人的生物辨識資料都不相同,而且不會被遺忘、遺失或遭竊。正因如此,生物辨識科技能夠提供比一般辨識方式更高的安全性。生物辨識科技不需要密碼、個人密碼(PIN)或照片識別,而且難以偽造。生物辨識科技一般使用做為驗證系統的一部分(使用者已表明身分,而經由資料庫中該使用者的檔案,來查看是否符合其生物特徵,一般稱為一對一系統),或者是使用做為識別系統(稱為一對多系統,因為用來辨識未知的個人或生物特徵)。

生物辨識科技不僅已由美國聯邦政府使用多年,也成為目前美國聯邦辨識標準中重要的一環。例如美國國防部已將生物辨識科技整合至通用管制卡,藉以管控進入國防部設施及資訊系統的人員。

生物辨識科技也同時運用在美國聯邦機構中,正職與約聘員工的最新身分憑證上。2005年時,美國國家標準技術局發布美國聯邦資訊處理標準公告201(FIPS 201),在其公告中為個人身分認證(PIV)卡的身分調查、登記及核發要求進行定義。

PIV卡是一種通用且高度安全的身分憑證,此卡同時運用智慧卡和生物辨識科技;2006年發布的FIPS 201-1中,則更進一步指出PIV卡應包含臉部照片及指紋的生物特徵。

導入NFC/生物辨識功能手機簡化憑證存取程序

圖2 透過手機傳輸生物辨識資料,讀取器可快速確認使用者身分。

將生物辨識模組儲存到實體智慧卡的好處,也可適用於行動存取控制模式。在下一代的行動存取平台,使用者應用生物辨識模組的方式與傳統實體憑證一樣,但多了一項優點,就是能夠將憑證儲存於智慧型手機帶著走(圖2)。例如智慧型手機能夠存有可安全儲存生物辨識模組的憑證,像是虹膜辨識的生物辨識模組。

使用者要出示憑證進行驗證時,只須手握智慧型手機站在虹膜辨識攝影機前即可。這些數位憑證能夠安全儲存不同的生物辨識模組。 智慧型手機也提供了儲存模組的可攜式資料庫,十分適用於設置在大規模散布的地點場所。將模組儲存在NFC手機的數位憑證,也同時簡化系統初始作業,而且對於支援無限制的使用者人數也至為理想。

傳統塑膠卡片在生物辨識模組管理所需的配線,有了數位憑證後就不再需要,可以減少多餘的配線安裝成本。又因為存取控制系統可以持續讀取智慧型手機內的生物辨識資料,所以這種模組還可在某人到達大門前就預先進行驗證,加速並簡化每項存取交易。

行動存取控制的另一項優點,就是簡化生物辨識安全,及其他多因素驗證程式的部署及管理作業。如果發生須要採用較高安全層級的情況時,機構可以主動採用雙因素驗證。

實際作法是將應用程式發送到手機,而該程式會要求使用者輸入四位數PIN碼,並在手機觸控面板上滑動手勢,或在讀取器前出示手機內的生物辨識資料,待驗證通過之後程式便發送訊息開門。透過這種方式,多因素驗證成為相關且即時的受管理服務。

多因素驗證 確保個人憑證安全

還有一種方式是不將生物辨識模組儲存在卡片上,而是儲存在讀取器、伺服器和/或個別的面板,這對於使用近觸傳感或磁條卡片的使用者來說是很重要的,因為他們無法在自己的卡片上儲存模組。

上述方式的實際做法,為在NFC智慧型手機上部署生物辨識功能,並與讀取器互通,使搭載有數位憑證的智慧型手機,將可以在安裝有內建讀取器的地點使用,其應用範圍包含建築的實體存取、追蹤時間及出席系統,或其他與身分驗證相關的解決方案。

透過NFC智慧型手機,使用者的虹膜辨識模組將可安全儲存在手機上的數位憑證,使用者只須要站在虹膜攝影機前,手握NFC智慧型手機,即可出示憑證進行驗證,就跟使用者在讀取器前使用實體智慧卡一樣。

生物辨識科技在存取控制系統的重要性不斷提高,因為透過多因素驗證,安全性可以提升到最高等級。最新的解決方案可以同時支援傳統塑膠身分辨識(ID)卡或NFC智慧型手機,適用許多商業及政府機構。

使用智慧型手機的行動存取控制模式,是一項相當令人注目的發展,再加上NFC功能,可建立起在受信任範圍內的存取控制資料新架構。這項技術將大幅提升整體系統安全性,及使用者的便利性,對於使用生物辨識科技,以進行身分驗證的交集實體與網路存取來說,智慧型手機無疑是個理想的平台。

(本文作者為HID Global大中華區營銷總監)

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!