Database design 如何保护生物特征数据

我正在设计一个数据库来存储从旧医疗设备收集的生物特征数据。出于显而易见的原因，这是相当微妙的，我正试图确保将数据与个人联系起来的能力非常有限

我正在考虑使用一种多盐散列策略——在用户密码上使用一种盐登录到他们的个人数据，第二种盐可以使用他们的密码散列在另一个表中创建唯一Id，我们不将另一个表中的盐密码存储为唯一Id

我认为这意味着，在登录会话之间，我们将无法将生物特征数据与个人绑定，但用户在登录时会绑定

然而，我预见到的问题是，如果我们必须重置他们的密码，那么用户将失去对其历史生物特征的所有访问权限，没有合理的恢复可能性

有谁能推荐一种替代解决方案，它对个人身份数据的保护程度不低于此，但在密码重置时不会失去访问权限

---

理想情况下，我们甚至不想对生物特征数据进行加密，只想防止它与任何个人相关联（即使是在法庭命令下——我们希望这种预防是以数学为基础的，而不是以信任为基础的）。我们永远不需要把它与个人联系起来

---

感谢您的阅读，如果这里的位置不对，我深表歉意。

我对这个主题不熟悉，但我会尝试一下。首先，有几个问题：

• 你说你永远不会把它和个人联系起来，但你担心他会失去对历史数据的访问权。对我来说，这是不相容的。最后，你需要把它绑起来，对吗

• 难道一个简单的只读方法/单向过程不能做到这一点吗？比如存储密码。您永远看不到存储的密码是什么，您可以运行一个过程来查看给定的密码是否与存储的密码匹配。因此，在您的情况下，数据只能通过单/双密码（会话+安全密码）使用。第二个只有在第一个正常（等于“登录”）后才可用

---

希望我能理解这个问题。

不幸的是，你的要求有一个逻辑上的矛盾：如果你只希望用户能够在他的帐户和数据之间建立链接，那么用户必须提供只有他知道的东西。它可以是一个密码，也可以是其他某种密钥，可以使用公钥加密来解密某些东西，等等。但是不管你怎么做，如果你可以重置用户的密码并让他返回他的帐户，也就是说，根据定义，“基于信任”，因为你可以允许他再次访问，而不需要他提供丢失的信息

我对解决方案的建议如下（以下两项加在一起）：

• 您可以加密生物特征数据表的密钥并将其存储在用户表中，而不是使用单向散列链接到帐户/密码-使用密码对其进行加密。如果用户更改了密码，则用旧密码解密，用新密码加密。这本质上使密码成为获取链接到数据的ID的“钥匙”

• 您可以单独记录另一组信息，作为帐户恢复/密码重置过程的一部分。例如，您可以存储此人的帐号、一些安全问题的答案、出生日期等。这些也可以用作密钥，分别加密链接到数据的ID。您需要多少数据来确保安全是主观的，这取决于您的场景，但至少仍然是用户必须提供的信息

---

也许有人有更好的答案，但这是我的看法。

数据安全和生物特征数据： 越来越多的数据安全威胁同样影响生物特征数据。由于生物特征识别已经完全电子化和自动化，生物特征特征以电子方式被捕获、处理和存储在信息系统和设备上，因此必须像其他重要的电子数据一样保护生物特征数据。个体可测量的解剖或行为特征称为生物识别码。当一个人的生物识别标识符被生物识别系统采样并通过系统内预定义的规则和算法进行处理时，该人的生物识别标识符成为生物识别模板。人的生物特征模板不包含原始形式的生物特征数据，如面部或指纹图像。它可以被称为一个数学总结，是通过处理最初捕获的生物特征模式而产生的。生物特征模板是无法读取的二进制文件。这些模板包含一个人生物特征信息的独特特征，它们是未来每次数据采集都要与之进行比较的主副本

---

尽管经常有人声称，个人的生物特征模板没有任何用处，因为它们只是个人生物特征标识符的数字参考，无法进行反向工程，但这些数据的安全性仍然至关重要，因为黑客企图随着时间的推移变得越来越复杂，生物特征模板的反向工程可能在某个时候成为可能。

您可以采取一些常识性的安全措施来帮助保护您的生物特征数据，包括：

• 强密码意味着仅仅破解密码就更难窃取数据
• 将你的生物特征信息保存在少数几个有限的地方会让黑客破坏你的数据的地方更少
• 帮助保护您的设备的最佳方法之一是保持您的软件最新
• 当您的设备制造商通知您可用的软件更新时