身份认证的主要方法

4.2.2　身份认证的主要方法

计算机系统安全机制的主要目标是控制对信息的访问。当前用于身份识别的技术方法主要有四种：①利用用户身份、口令、密钥等技术措施进行身份识别；②利用用户的体貌特征、指纹、签字等技术措施进行身份识别；③利用用户持有的证件（如光卡、磁卡等）进行身份识别；④多种方法交互使用进行身份识别。

1.口令识别法

在计算机发展的早期，使用单因素用户识别系统最为普遍，例如经典的UNIX口令系统。随着计算机的发展，逐渐出现了考虑多因素的用户识别系统，以提高安全性。用户识别的方法大致可分为3大类：

①根据用户知道什么来判断。如果用户能说出正确的口令，则说明他是真的，如经典的UNIX口令系统。

②根据用户拥有什么来判断。如果用户能提供正确的物理钥匙，则说明他是真的，如普通的门钥匙和磁卡钥匙。

③根据用户是什么来判断。如果用户的生理特征与记录相符，则说明他是真的，如指纹、声音、视网膜等。

连接在网络上的用户识别系统还存在另一种隐患，就是当用户反复登录时，同一口令可以重复使用，在网络传输时很容易被截获或被盗用。因为用户输入的账号和口令都是以明文形式在网络上传输的。一些“口令探嗅软件”，可以用来截获口令，使攻击者能够冒充用户身份登录。解决这些问题的方法，就是采用一次性口令系统。由于口令只使用一次，使用过后随即失效，在网络上截获一条口令将毫无意义。因为当口令被截获时，它已经宣告作废了。一次性口令系统可以极大地提高计算机网络系统和电子商务应用系统的安全性。

（1）不安全口令的分析

①使用用户名（账号）作为口令

很明显，这种方法在便于记忆上有着相当的优势，可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件，都首先会将用户名作为口令的突破口，而破解这种口令几乎不需要时间。

②使用用户名（账名）的变换形式作为口令

使用这种方法的用户自以为聪明，将用户名颠倒或者加前后缀作为口令，既容易记忆又可以防止许多黑客软件。不错，这种方法的确是使相当一部分黑客软件无用武之地，不过那只是一些初级的软件。一个真正优秀的黑客软件完全有办法对付这种情况，比如说著名的黑客软件John，如果你的用户是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想到，它破解这种口令，几乎也不需要时间。

③使用自己或者亲友的生日作为口令

这种口令有着很大的欺骗性，因为这样往往可以得到一个6位或者8位的口令，从数学理论上来说分别有1 000 000和10 000 000的可能性，很难得到破解。其实，由于口令中表示月份的两位数数字只有1～12可以使用，表示日期的两位数数字也只有1～31可以使用，而8位数的口令作为年份的4位数是20××年，经过这样推理，使用生日作为口令尽管有6位至8位，但实际上可能的表达方式只有100×12×31＝37 200种，即使再考虑到年、月、日三者有6种排列顺序，一共也只有37 200×6＝223 200种，而一台普通的计算机每秒可以搜索3～4万个，仅仅需要5.58秒就可以搜索完所有可能的口令，如果再考虑实际使用计算机人的年龄，就又可以去掉大多数的可能性，那么搜索需要的时间还可以进一步缩短。

④使用学号、身份证号、单位内的员工号码等作为口令

使用这种方法对于完全不了解用户情况的攻击者来说，的确不易破解。但如果攻击者是某个集体中的一员，或对要攻击的对象有一定的了解，则破解这种口令也不需要花费多少时间。即使是用身份证号这样多位数的口令，也存在如同上述的情况，即实际上很多位数的取值范围是有限的，因而搜索空间将大大减少。

⑤使用常用的英文单词作为口令

这种方法比前几种方法要安全一些。前几种只要时间足够一定能破解，而这一种则未必。如果你选用的单词是十分偏僻的，那么黑客软件就可能无能为力了。不过不要高兴得太早，黑客多有一个很大的字典库，一般包含10～20万英文单词及相应词组，如果你不是研究英语的专家，那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。以20万单词的字典计算，再考虑到一些DES（数据加密算法）的加密运算，每秒1 800个的搜索速度也不过只需要110秒。

那么，怎样的口令才是安全的呢？首先必须是8位长度，其次必须包括大小写字母、数字，如果有控制符那就更好，最后就是不要太常见。比如说：e8B3Z6vO或者fooL6mAN这样的密码都是比较安全的。当然，这样的口令也存在一个问题——难于记忆。

（2）一次性口令

对于任何一个系统来说，口令设置无疑是第一道关口，使用口令进行用户鉴别，可以防止非法用户的侵入。如果在进入系统起始处就将非法分子拒之门外，那将是非常成功的。但由于用户在口令的设置上有很多缺陷，如使用很容易猜测的字母或数字组合，长时间不改变口令，系统口令文件的不安全性，网络传输的不安全性，都会导致口令被盗。尤其是在用户远程登录时，口令在网络上进行传输，很容易被监听程序获取。一次性口令就是为了解决这一问题而提出的。

①一次性口令的特点

一次性口令是一种比较简单的认证机制。虽然没有Kerberos强大，但可以免于被动攻击。具体地讲，一次性口令的主要特点有：

●　概念简单，易于使用

●　基于一个被记忆的密码，不需要任何附加的硬件

●　算法安全

●　不需要存储诸如密钥、口令等敏感信息

②一次性口令的原理

一次性口令是基于客户/服务器模式的，它有操作的两方，一方是用户端，它必须在一次登录时生成正确的一次性口令；另一方是服务器端，一次性口令必须被验证。一次性口令的生成和认证都是基于公开的单向函数，如MD5，MD4。

一次性口令的多次使用形成了一次性口令序列，序列中各个元素是按以下规律生成的。假设一次性口令序列共有n个元素，即有一个可使用n次的一次性口令序列。它的第一个口令是使用单向函数n次，第二个口令使用单向函数n－1次，依次类推。如n＝4，则第一个口令为p（1）＝f（f（f（f（s）））），第二个口令为p（2）＝f（f（f（f））），……这样，即使窃听者监听到第i个口令（p_i），却不能生成第i＋1个，因为这就需要求得单向函数的反函数，而不知道单向函数循环起始点使用的密键，这一点是不可实现的。而循环起始点使用的密键只有用户自己知道，这就是一次性口令的安全原理。

在客户端，使用单向函数时带入的参数就是用户输入的密码和“种子”，其循环数，也就是使用单向函数的次数是由服务器端传来的序列号决定的。其中的“种子”也是服务器端传过来的而且是唯一用于用户和此次登录的一个字符串，它增强了系统的安全性。

口令在被用户生成并发送到服务器端后，要得到正确的验证。

服务器端首先暂存它所接收到的一次性口令，然后对其使用一次单向函数，若计算结果与上一次成功登录所使用的口令相同，则本次登录成功，并用本次使用的口令更新口令文件中的记录，以作为系统口令文件的新入口点；若不相同，则登录失败。

总之，一次性口令系统对一个用户输入的密码使用单向函数以生成一个口令序列。它的安全性基于这个用户输入的密码只有用户自己知道，而网络上传输的口令只是经过计算而且是一次性的这一事实。所以口令的风险很小，只要用户以最安全的方式记忆这个密码而不被外人所知即可。

③一次性口令协议

●　用户输入登录名和相关身份信息ID。

●　如果系统接受用户的访问，则给用户传送一次性口令建立所使用的单向函数f及一次性密码k，这种传送通常采用加密方式。在电子商务系统中，可根据用户交费的多少和实际需要，给出允许用户访问系统的次数n。

●　用户选择“种子”密钥x，并计算第一次访问系统的口令z＝fⁿ（x）。向第一次访问系统所传送的数据为（k，z）。

●　系统核对k，若正确，则将（ID，fⁿ（x））保存。

●　当用户第二次访问系统时，将（ID，f^n－1（x））送系统。系统计算f（f^n－1（x）），将其与存储的数据对照，如果一致，则接受用户的访问，并将（ID，f^n－1（x））保存。

●　当用户第三次访问系统时，将（ID，f^n－2（x）））送系统。系统计算f（f^n－2（x）），将其与存储的数据对照，如果一致，则接受用户的访问，并保存新计算的数据。

●　当用户每一次想要登录时，函数相乘的次数只需减1。

通常情况下，系统在口令的输入过程中不予显示，以防旁观者窥视口令。使用一次性口令就没有这个必要了。因为即使口令被看到，也不能在下一次登录中使用。

2.个人特征识别法

由于口令会因用户的粗心大意而造成泄露，个人身份标记也有丢失和被仿造的危险，所以采用这两种方法的保护措施，总是不能令人满意。基于这种原因，某些系统采取了用个人某些物理特征作为识别标准的方法，这些被采用的特征都是很难伪造面且能被一些较粗心的用户所接受的。

（1）机器识别

现在有许多用于身份识别的技术，其中一些应用较广的有：签名识别法、指纹识别法和语音识别法，下面将对这3种方法作较详细的介绍。其他一些不常见的方法有：使用头盖骨的轮廓（机器骨相学）、唇印、脚印、甚至利用人体骨骼对物理刺激的反应进行身份识别。

我们曾经强调身份识别的方法必须能被系统所接受。仅上面提到的某些方法虽然比较精确，可是并不能满足这个要求。如要进行唇印的检查，就必须要求用户亲吻机器上的某个表面，而这将是许多用户所不愿接受的；用骨骼反应法对用户身份进行识别，将要求用户准备接受机器的某种敲打，显然这也不是广大用户所乐意接受的。

当入侵行为被发现后，入侵者所面临的危险程度是一个很重要的问题。如果这将导致他被捕入狱，除非他有极大的把握，或成功后的所得颇为可观，否则他是不敢尝试的。可以在重要场所的出入口安装上警报器，作为一种保护手段，如果把它引入到计算机系统中，建立一种“陷阱”，要求所有未经识别的用户都先进入到里面，这样也会起到保护系统的作用。总而言之，究竟利用何种手段进行身份识别，一要依赖于该方法的可行性，二要依赖于该方法的可靠性。

（2）系统误差

对人体物理特征的测量可能会出现多次测量结果不一致的情况，所以，一个实用系统必须考虑到这一点并允许测量误差的存在。但由此产生的问题是，随着所允许的误差范围的扩大，不同个人之间产生混淆的概率也越大。如果系统错误地拒绝了一个合法用户的请求，那么称这种错误为错误警告或第一类错误；如果系统接受了一个非法用户的请求，就称之为错误接受或非法闯入，也称为第二类错误，而这两种错误是经常交替出现的。

因为在测量时出现误差是正常的，而且是不可避免的，所以当系统收到一个各项参数都非常精确的测量结果时，很可能意味着一个入侵者找到了有关这个用户各方面的材料。而且正利用它想闯入系统，因此，一个非常精确的测量结果并不意味着用户身份的正确。

3.签名识别法

用手写签名作为对某文件的同意批示是习以为常的，如协议书上的签字。近年来，用签名作为身份识别的方法也已得到广泛的应用。传统的签名鉴别方法是对字体进行鉴别，也就是说，当签名写好后，把它交给专家们进行识别。比如在法庭上，当需要鉴别一个残缺不全的签名时常常要把一些专家请来，但这并不能保证绝对的准确。

目前，人们的注意力都集中在如何实现用机器识别签名上，也就是说要使机器能识别出被鉴别的签名是什么字，而且更重要的是要能根据字体识别出书写它的人。当把这种机器用于身份识别时，人们所关心的并不是它能否解释签名写的是什么，而是关心它是否能识别出签名人。现在已提出两种识别的方式，一种是根据最后的签名进行识别；另一种是根据签名的书写过程进行识别。目前许多研究都是针对后者的，但这并不是说前一种识别方法就不重要。在银行中，大多数对签名的识别都是用这种方法的。

（1）记录书写过程的技术

最早使用这种技术的设备是电动绘图仪，它使用一个杠杆控制系统来记录笔尖的运动，而这个运动过程被转化成数字，并通过通信线路送入计算机中。目前使用的绘图笔上配有两个加速计，用以记录水平和垂直两个方向上的加速运动过程，另外还在上面配有压力测量计，用以测量绘图笔对纸的压力；同时绘图笔上还接有信号线，通过它们可把以上各种设备测量到的信息传送给具有分析能力的设备。但这使得书写者感到很大的不便，甚至会影响他们的书写习惯，使字体变形。所以需要一种既能记录书写过程又不影响书写者的设备。由NPL National Physical Laboratory开发的名为CHIT的书写器使这个问题得到了解决，这种绘图器可以感知笔与纸的接触和分离，同时也能在两块不同的区域中记录下笔在x和y方向的运动过程。

（2）签名识别法的使用

作为使用签名进行身份识别系统的用户，首先要向系统提供一定数量的签名，系统分析用户的这些签名，然后记录下它们各自的特征。向用户要求多个签名是为了能对用户的签名进行多次全面地分析，从而找出能反映用户签名特点的参数。对于一些字体不固定的用户来说，系统也许找不到足够的参数，在这种情况下，系统也许要求用户接受某些特殊的测量，这包括放宽用户签名的误差范围，或允许用户以其他方式接受检查，但随着误差范围的扩大，被他人冒名顶替的危险也增加了。

4.指纹识别技术

（1）指纹识别技术简介

人们手掌及手指、脚、脚趾内侧表面的皮肤凸凹不平产生的纹路会形成各种各样的图案。人们注意到，包括指纹在内的这些皮肤的纹路在图案、断点和交叉点上各不相同，也就是说，是唯一的。依靠这种唯一性，就可以把一个人同他的指纹对应起来，通过比较他的指纹和预先保存的指纹进行比较，就可以验证他的真实身份。这种依靠人体的身体特征来进行身份验证的技术称为生物识别技术，指纹识别是生物识别技术的一种。研究和经验表明，人的指纹、掌纹、面孔、发音、虹膜、视网膜、骨架等都具有唯一性和稳定性的特征，即每个人的这些特征都与别人不同、且终身不变，因此就可以据此识别出人的身份。基于这些特征，人们发展了指纹识别、面部识别、发音识别等多种生物识别技术。

指纹识别技术的发展得益于现代电子集成制造技术和快速可靠的算法研究。尽管指纹只是人体皮肤的一小部分，但用于识别的数据量相当大，对这些数据进行比较也不是简单的相等与不相等的问题，而是使用需要进行大量运算的模糊匹配算法。现代电子集成制造技术使得可以制造相当小的指纹图像读取设备，同时飞速发展的个人计算机运算速度提供了在微机甚至单片机上可以进行两个指纹的对比运算的可能。另外，匹配算法可靠性也不断提高，指纹识别技术已经非常成熟。

（2）指纹取像的几种技术和特点

光学取像设备依据的是光的全反射原理。光线照到压有指纹的玻璃表面，反射光线由CCD（电荷耦合装置）去获得，反射光的量依赖于压在玻璃表面指纹的脊和谷的深度以及皮肤与玻璃间的油脂和水分。光线经玻璃射到谷的地方后在玻璃与空气的界面发生全反射，光线被反射到CCD，而射向脊的光线不发生全反射，面是被脊与玻璃的接触面吸收或者漫反射到别的地方，这样就在CCD上形成了指纹的图像。

由于光学设备的不断革新，极大地降低了设备的体积。20世纪90年代中期，传感器可以装在6×3×6英寸的盒子里，在不久的将来可缩小至3×1×1英寸。这些进展取决于十多种光学技术的发展而不仅仅是光的全反射原理的发展。例如：可以利用纤维光束来获取指纹图像。纤维光束垂直射到指纹的表面，他照亮指纹并探测反射光。另一个方案是把含有一微型三棱镜矩阵的表面安装在弹性的平面上，当手指压在此表面上时，由于脊和谷的压力不同而改变了微型三棱镜的表面，这些变化通过三棱镜对光的反射面反映出来。

晶体传感器是最近在市场上才出现的最常见的硅电容传感器，通过电子度量被设计来捕捉指纹。在半导体金属阵列上能结合大约100 000个电容传感器，其外面是绝缘的表面，当用户的手指放在上面时，皮肤组成了电容阵列的另一面。电容器的电容值由于导体间的距离而降低，这里指的是脊（近的）和谷（远的）相对于另一极之间的距离。另一种晶体传感器是压感式的，其表面的顶层是具有弹性的压感介质材料，它们依照指纹的外表地形（凹凸）转化为相应的电子信号。其他的晶体传感器还有温度感应传感器，它通过感应压在设备上的脊和远离设备的谷温度的不同而获得指纹图像。

超声波扫描被认为是指纹取像技术中非常好的一类。很像光学扫描的激光，超声波首先扫描指纹的表面。紧接着，接收设备获取了其反射信号，测量它的范围，得到脊的深度。不像光学扫描，积累在皮肤上的脏物和油脂对超音速获得的图像影响不大，所以这样的图像是实际脊地形（凹凸）的真实反映，应用起来更为方便。

总之，各种技术都具有它们各自的优势，也有各自的缺点。表4-1给出了三种主要技术的比较。

表4-1　三种主要技术的比较

（3）指纹识别系统中的软件和固件

指纹采集头中的固件负责处理图像和与PC机的连接。在大多数的系统中，固件相对显得非常简单，它不停地将数据传送给计算机，然而这样做存在着很多的问题。一是，这样传输数据很容易被记录并且被再次使用，这使得系统受到潜在的威胁；另一个问题是必须为指纹采集头供给电源。计算机必须不停地捕捉图像以决定是否有指纹按压上去，这样才能在最恰当的时候捕捉指纹图像。通过设计好的固件来处理这些问题，可以改善整个系统的性能；使用USB接口是目前一个好的接口方案，能够提供电源、带宽和即插即用功能；传输到计算机的指纹需要进行必要的加密以保证安全；并且，在不读取指纹的状态下，固件应该转入低功耗状态。

当主机从计算机中安全地得到指纹图像后，识别算法就进行下一步的验证过程。指纹是如此可靠的生物特征，以至于只需很少的信息就可以进行比对。而指纹的这一特点却没有在大多数的指纹识别算法中得到体现，大多数的系统都要求用户按上所有的手指，用户必须很小心地按上手指。如果指纹的位置不对或者指纹质量不高都会使验证无法进行，用户必须再次按压手指，而这样的产品无法在市场中立足。

因此，好的系统应该更加易于使用、可靠，用户不必担心指纹的放置位置，算法要支持360度旋转和残缺的指纹。用户只需轻轻地按上手指而无须担心是否位置合适或只按压了一部分。对于手指的压感、旋转、质量，以及采集头的灰尘和薄雾，系统都要能很好地解决监控和无监控的操作。而要将指纹识别算法推向市场，指纹的读取必须是建立在无监控的状态下的。这样，只需轻轻地按压而无须等待指纹图像达到最好。另外，在处理电子商务时，数据会跟已经登记好的指纹进行比对，大多数情况下是一对一的比对而不是一对多的比对。无监控的取像和一对一的比对算法以及一对多的比对算法在系统中都有很好的对策，无监控模式必须使得比对算法能够处理质量差的指纹并且算法必须比监控状态下要可靠。

（4）指纹识别技术的优缺点

指纹识别的优点：

①指纹识别是人体独一无二的特征，并且它们的复杂度足以提供用于鉴别的足够特征；如果想要增加可靠性，只需登记更多的指纹、鉴别更多的手指，最多可以多达10个，而每一个指纹都是独一无二的；

②指纹识别的速度很快，使用非常方便；

③识别指纹时，用户必须将手指与指纹采集头相互接触，与指纹采集头直接接触是读取人体生物特征最可靠的方法。这也是指纹识别技术能够占领大部分市场的一个主要原因；

④采集头可以更加小型化，并且价格会更加的低廉。

指纹识别的缺点：

①某些群体的指纹因为指纹特征很少，故而很难成像；

②在犯罪记录中使用指纹，使得某些人害怕“将指纹记录在案”；

③每一次使用指纹时都会在指纹采集头上留下用户的指纹印痕，这些指纹有可能被他人复制。

可见，指纹识别技术是目前最方便、可靠、非侵害和价格便宜的生物识别技术解决方案，对于广大市场的应用有着很大的潜力。

（5）指纹识别技术的应用系统

利用指纹识别技术的应用系统常见有两种方法，即嵌入式系统和连接PC的桌面应用系统。嵌入式系统是一个相对独立的完整系统，它不需要连接其他设备或计算机就可以独立完成其设计的功能，像指纹门锁、指纹考勤终端就是嵌入式系统。其功能较为单一，主要用于完成特定的功能。而连接PC的桌面应用系统具有灵活的系统结构，并且可以多个系统共享指纹识别设备，还可以建立大型的数据库应用。当然，由于需要连接计算机才能完成指纹识别的功能，限制了这种系统在许多方面的应用。

当今市场上的指纹识别系统厂商，除了提供完整的指纹识别应用系统及其解决方案外，还可以提供从指纹取像设备的OEM产品到完整的指纹识别软件开发包，从而使得无论是系统集成商还是应用系统开发商都可以自行开发自己的增值产品，包括嵌入式的系统和其他应用指纹验证的计算机软件。

5.语音识别系统

关于声音的采样和分析，是人们争论最多的问题，即使是专家也无法保证每次都能有效地识别声音。用语音进行识别时，机器要做的不是要分辨出用户说的是什么，而是要能根据机内存储的信息对语音进行分析，辨别出是谁说的，即判别真伪。非常重要的一点是要能创造一个良好的环境，使系统在语音失真和周围的噪音很大的情况下，也能进行正确识别。在理想的情况下，每次进行识别时，都应使用户处在一个相同的环境下，所以，这将需要一个特殊的场所。另外，应该对用户朗读的单词做某些规定，而不应只要求读出他们的名字，因为有些字的发音，如Kim King只能提供很少的信息，而另外一些字的发音，如Paddington Bear却能提供很多信息。事实上，系统应挑选一些字符组成短语，使之能最大限度地提供信息，通过要求用户读这些短语，系统能提高身份识别的正确率。同时，被挑选的字符也应是一些常用字符。

由德克萨斯仪器公司研制的语音识别系统，要求用户说的话是从一个包含16个单词的标准集中选出的。由这16个单词，组成了32个句子，在对这些句子进行识别时，利用傅里叶分析，每隔10ms进行一次采样，以寻找这个词句中语音变化大的部分，从而找到语音特征。每当识别出一个变化后，就计算该时刻前后100ms内频率为300～2 500Hz声波的能量，从而得到用户声音的参考样本。当受测者访问系统时，他将被要求说一段由系统指定的话，每隔10ms，系统将对这段话进行傅里叶分析，并将所得结果与每个参考样本进行比较，从而判别受测者的真伪。

语音识别系统的一个弱点是它往往要求受测者多次重复语音口令（对采用口头叙述的系统往往要重复2次），因而分析过程需要更长的时间，并且系统吞吐量也会减小，同时使延时增加。另外，人的身体状况会影响语音，比如，呼吸道感染就会引起声音的变化，同时人的精神状况也会对此产生影响。

6.视网膜图像识别系统

人眼视网膜血管分布——视网膜血管组织是因人而异的，利用这一特点，Eyedentify公司已研制了一个身份识别系统。

系统要求受测者看一个双目透镜，并通过调整瞳间距，找到透镜上的叉丝，当受测者准备好后就按一下按钮通知系统，通过让受测者凝视叉丝，测试机器可以找到受测者视网膜上的中央小凹，并用弱强度的红外线围绕该点旋转扫描，形成视网膜的血管组织分布。

正如和本章所述的其他身份识别技术一样，视网膜图像识别技术也需要机器对初次引入系统的用户的视网膜图像进行取样，并存储。在随后的访问中，只需用测试所得的图像与存储的信息进行比较，从而进行身份识别，虽然这种系统的性能优良，但必须得到受测者的密切合作，所以难以推广使用。

7.识别过程

利用人的不同物理特征进行身份识别的方法有很多，通常从一股意义上来权衡比较这些方法。先考虑使用中的两个阶段——新用户的引入和识别。

（1）引入阶段

用户通常在操作员的监督下，登记自己的名字或其他标志（或者是系统分配的标识符）并完成要求的动作，例如签名、按指纹或者说一段指定的话。这些动作要重复几遍以获得可靠的测试参考样本，系统分析这些数据，并将其存储在中央计算机内的指定文件或其他设备中，如磁条卡中。

（2）识别阶段

首先，用户为识别其身份向系统递交身份标识或其他可被机器阅读的身份卡等。接着，识别系统从系统文件中或从用户递交的卡中，找到与该标识符对应的个人特征测试样本。最后，用户做出能为系统识别的动作，识别系统由此又建立起一套个人特征测试数据并与原参照样本比较。测试数据与参照类样本均包含一系列参数，都是测试时得到的计算结果。例如，在人的签名动作中进行间隔为20ms的监视，则参数一般可以是其签名时平均运笔速度。参数的设置应使得入侵者不易掌握，且尽可能的使同一用户在不同时期的测试值保持一致，而不同用户的参数值保持差异。

测试数据与参照类样本完全吻合是不大可能的，这就引起了对系统可靠性的怀疑。做出识别成功的决定需要根据系统测量的精确以及容错程度。每个参数值均有其误差范围，该范围决定于用户在被引入系统时所做的多次测试。

误差范围以及参照值都允许修正。由于用户在初次取参照值时，会因初次学做指定动作产生紧张感，而这种紧张感会在以后的测试中消失，所以进行修正是具有意义的。对一些较客观的测试方法，如取指纹和视网膜映像，做动作时紧张感的影响很小。需注意的一点是：必须在用户身份已得到识别的情况下进行修正。

（3）折中方案

允许误差范围的设置，对于系统的成功与否是至关重要的。如果范围过大，受测者之间的差别会减小，入侵成功（第二类错误）的可能性会增大；另一方面，若范围限制过小，系统就可能拒绝合法用户的请求，不该发生的警告（第一类错误）将会增加。通常，误差范围的值是允许调整的，于是就产生了在两类错误中进行折中的问题。如何确定“出错”和“容错”之间的关系是系统设计的一个重要部分，并且有许多不同的方法。在此首先讨论一下测试过程及误差范围是怎样被调整的。在初步的测试（比如签名时钢笔的位置或者说话时的频谱分析）时，需计算一些参数，通常取多次测试的平均值以减少波动造成的影响。研究人员设置了许多签名的参数并测试了许多人，然后从中选出10个参数以满足前面提到的要求，并尽可能使这些参数互不相干，对每一个参数，根据参考样本可得到标准的偏差，并以此作为衡量单位。

我们可以得到误差的一般表达形式，例如，取所有参数误差的平方和，这样当一个参数的相对误差超过了其误差允许范围，但其他参数与正常值相当接近时，这时受测者仍将通过测试。然而事实上，许多系统并不是这样工作的，而是要求所有测试参数均在指定范围才接受受测者。为进行误差允许范围的调整，必须确定一个阈值。设X为某参数的测量值，m是由参考样本得到的该参数的平均值，则误差为｜X－m｜，再设S是参考样本的标准偏差，则｜X－m｜/S就是误差的标准值，满足下式的X才会被接受

｜X－m｜/S＜t

于是，若t＝0，则任何测试均不能通过，如果t足够大，则几乎所有测试都能通过。

一个理想的阈值应能严格区分注册用户和入侵者，让合法用户都能顺利通过，同时拒绝入侵者的进入。但事实上，这几乎是不可能的。因此不得不选择一个两类错误都存在的阈值t′：

●　第一类错误——合法用户到t′不能通过，其合法用户的通过率为100－FAR，FAR即是出错警告率（false alarm rate）；

●　第二类错误——入侵者到t′获得通过，入侵者的通过率为IPR（impostor pass rate）。

8.身份识别系统的选择

NBS出版了一本《Cuidelines on Eva1uation of Techniques for Automated Personal Identification》，是评估和选择身份识别系统的有用向导，其中列出了12点以供参考：

①对假冒的识别力；②伪造赝品的简易度；③对欺骗的敏感性；④获得识别的时间；⑤用户的方便性；⑥性能价格比；⑦设备提供的接口；⑧调整用的时间和潜力；⑨支持识别过程所需计算机系统的处理；⑩可靠性和可维护性；保护设备的代价；配电与后勤支持的代价。

总而言之，12点可分为3组：系统安全设备的能力、用户的可接受性和系统代价。某种程度上用户的可接受性依赖于系统的响应速度和方便性，用户不能忍受一个慢且笨拙的系统。如果用户不能接受系统，他们就会想出各种方法去欺骗系统。如果代价很重要的话，可以进行大概的分析以确定系统的性能是否与代价相符。