在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了用戶驗證所使用的第二種驗證因素——用戶持有的憑證。用戶持有憑證能夠在最基本的用戶密碼驗證的基礎上再增加一層安全保護，但用戶持有憑證會增加用戶的安全方案采購成本，而且憑證本身也面臨被盜、丟失、復制或濫用的風險。因此，在許多要求更高安全級別的場合，往往需要使用更為安全的訪問控制手段，這就是J0ker在本文將要介紹到的第三種驗證因素——用戶的生物特征（What you are）。

由于每一個人的特征在生物學角度上都是唯一的，因此，生物特征可以成為用戶身份驗證的手段，而提供生物特征驗證功能的設備，就稱為生物特征識別設備（Biometric Device）。   由于每個用戶的生物特征都是不可仿冒的，因此，盡管生物特征識別設備的采購和使用成本非常高昂，但它所能夠提供的安全性仍是不可替代的。用戶生物特征的驗證過程是一個自動化的過程，根據驗證對象的不同，生物特征驗證方法還能分成物理特征和行為特征兩類：

物理特征：通過用戶物理上的唯一特征來驗證用戶身份的方法，這些特征包括指紋、虹膜、瞳孔、掌形等

行為特征：通過用戶行為上的唯一特征來驗證用戶身份的方法，這些特征包括聲紋、簽名等

用戶的物理特征并不會隨著時間的流逝而改變，如人的指紋一生都不會改變；用戶的行為特征的選擇標準為可控的行為并受用戶心理狀態影響較小，但仍然有可能隨著時間的流逝而改變，因此需要經常升級用戶驗證數據庫。依據用戶物理特征和行為特征的生物驗證方法各有優缺點，前者可以提供更好的安全性，但采購和維護的成本更高，對用戶的影響也較大；而后者正好相反。當然，兩種類型的生物特征驗證方法都能夠提供很高的安全性，并可與密碼、智能卡等驗證方法結合使用以提供更好的安全保證。

如果企業要采購和部署生物特征驗證設備來加強訪問控制的安全性，應該如何評估生物特征驗證設備的優劣？信息安全行業里面通用的評估指標有3個：精確度（Accuracy）、處理速度（Processing Speed）和用戶接受程度（User Acceptability）

精確度：精確度是生物特征驗證設備最為關鍵的評估指標，生物特征驗證設備必須準確的識別出一個用戶的身份是否真實，否則這個設備便沒有存在的意義了。錯誤拒絕率(錯誤拒絕合法用戶的幾率，FRR)、錯誤接受率(錯誤接受非法用戶的幾率，FAR)和交叉錯誤率(錯誤拒絕率和錯誤接受率的交叉結果，CER)是用來衡量生物特征驗證設備精確度的指標，這三者的關系請大家參考圖1。錯誤接受率通常被認為是衡量生物特征驗證設備發生錯誤幾率的主要指標，而交叉錯誤率則是衡量設備準確率的主要指標。越敏感的設備，錯誤拒絕率就越高，而越不敏感的設備，錯誤接受率就越高。

圖1：錯誤拒絕率、錯誤接受率和交叉錯誤率

交叉錯誤率和錯誤接受率、錯誤拒絕率之間的換算關系如下：1%的交叉錯誤率相當于2%的總計錯誤，也即1%的錯誤接受率加上1%的錯誤拒絕率。因此，我們可以很容易的從這個換算關系中得出什么設備有最低的錯誤率或最好的設置。

處理速度：處理速度代表生物特征驗證設備的數據處理能力，以及在多長的時間內向用戶表現驗證接受或拒絕的指標。處理速度越快，自然在單位時間內能夠驗證的用戶數量越多，當然采購的成本也就越高。通常認為，從采集用戶生物特征到向用戶顯示身份驗證結果的整個過程花費5至10秒是用戶可以接受的標準。

用戶接受程度：用戶接受程度也是衡量生物特征驗證設備的重要指標，因為用戶是生物特征驗證設備的最終使用者，因此，用戶對指定的生物特征識別技術的接受程度和使用意愿決定了這種生物特征驗證設備的有效性。要確定生物特征驗證設備的用戶接受程度，根據J0ker的經驗，企業可以采用以下步驟，首先讓用戶了解需要使用生物特征驗證手段來保護的信息資產及其重要性，其次，讓用戶了解企業希望部署的生物特征驗證設備并不會對用戶的健康造成危害，最后，企業還應該讓用戶了解其所使用的生物特征驗證設備并不會收集用戶的個人信息及健康信息。

最后，我們來看一下目前市面上常見的生物特征驗證設備：

下篇預告：《Access Control（8）》，J0ker將給大家介紹訪問控制領域中的集中訪問控制方案，敬請期待！