本月初,创立于2014年、总部位于纽约布鲁克林的网络安全公司TwoSense宣布其在去年10月得到美国国防信息系统局(Defense Information Systems Agency,DISA)价值242万美元的合同,内容是为美国防部提供可替代用户当前使用的实体验证卡“通用访问卡(Common Access Card,CAC)”,由人工智能驱动的生物特征验证技术。对TwoSense公司产品的采购,也是国防信息系统局更大规模的“保障身份信息倡议(Assured Identity Initiative)”的一部分。

TwoSense公司首席执行官达乌德.戈登(Dawud Gordon)指出,该公司和国防信息系统局都认为“持续验证”是安全身份识别的基石,由于基于行为的验证对用户来说是不可见的,因此此类技术可在无需用户采取任何额外操作的情况下持续使用。该公司目前已产品化的行为生物特征认证技术可通过智能手机和工作组计算机,来比对设备操作者的动作、交互和习惯——例如其“以服务形式交付的系统(System-as-a-service)”的一个特殊功能就是可图形化地表达由心脏泵血进入血管而导致的肌肉活动的“投影心搏描记(ballistocardiography)”技术,该系统还可测量用户行走的步态、习惯的手机携带位置、手臂压力、设备与用户身体的距离、用户输入节奏等指标。最终,运行在TwoSense云内的机器学习算法将可学习每个用户独一无二的习惯——用户如何行走,如何使用手机,如何通勤甚至用户闲时如何消磨时间。

如此细粒度的观察或许会让少数美国防部雇员感到自己的隐私被侵犯,但TwoSense公司认为从雇主的角度来看这将是一种比PIN码、密码和基于短信的双因素验证方案更有吸引力;而对雇员来说,尽管牺牲了若干隐私,但也不再需要寻找密码器和检查手机短信来获得双因素验证代码。由于TwoSense的行为生物特征验证方案是持续作用的,因此黑客也很难获得实施网络渗透的时间窗口。

美国防信息系统局网络创新部门(Cyber Innovation Division)负责人杰里米.科利(Jeremy Corey)在去年5月的武装力量通信与电子协会(Armed Forces Communications and Electronics Association,AFCEA)在巴尔的摩举办的“防御性网络行动研讨会(Defensive Cyber Operations Symposium)”上指出,国防信息系统局已认识到“通用访问卡”在移动环境中表现不佳,因此该机构希望能在使用移动设备作为验证及访问手段时,维持与使用“通用访问卡”同级别的安全性,同时也希望能通过创新的安全验证手段,推动形成一个可用于日常运作的单一平台,并为一个设备在多个不同密级网络的潜在使用提供支持。

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。