与生俱来、独一无二的人脸、虹膜等生物特征,因其特性,在识别认证领域具有无可替代的优势;而一旦这些生物特征数据泄露,再加上互联网数据可无限复制、难以消灭的特征,危害性难以预测和估量。
如今,基于生物特征的认证识别技术应用广泛,甚至,有地方的垃圾桶都带有人脸识别功能。日前,中国国际经济交流中心副理事长黄奇帆建议所有互联网识别技术必须提高进入门槛。
现如今,市场上带有生物特征识别认证功能的产品的现状如何?开发有统一的安全标准吗?
黄奇帆:认证识别系统属于重大国家安全范畴
近几年,指纹、人脸等生物识别技术广泛应用,比如,各大品牌的手机设置指纹、人脸解锁及支付功能,上班打卡变成了刷指纹、扫脸等,甚至,有小区的垃圾桶也具有人脸识别功能。
令人担忧的是,时常有企业被曝安全漏洞和数据泄露。
近日,京津冀消费者协会联合发布智能门锁比较试验结果。据了解,此次智能门锁比较试验涉及28个品牌的38把样品,购买价格从790元到3700元不等,结果显示32把样品可用制作的假指纹解锁,占比超八成。
“网上安全认证技术,比如生物、二维码、虹膜、指纹、刷脸、声音等辨别认证技术公司必须’先证后照’,必须有较高的进入门槛。”在8月10日的第三届中国金融四十人伊春论坛上,黄奇帆做出如上表述。
黄奇帆在第三届中国金融四十人伊春论坛发言。
黄奇帆认为,认证识别系统属于重大国家安全范畴,但在未经长时间安全检验的情况下就在互联网金融业务上大量运用,这明显违背了金融行业安全必须无限趋近100%的要求。所以,目前互联网金融公司的支付、资金划转必须坚持小额原则,同时各类互联网认证识别技术,只能允许线下使用,而经过长时间的技术积累和试错之后,才能在国家技术管理部门授权之下,上线试点,逐步成熟,逐步推开。
黄奇帆说,“现在,互联网金融业务经常受到黑客攻击,这些攻击实际都是突破了网络认证系统。所以,如果网上传递识别信息,而没有较高的技术门槛做保障,任由谁都可以开发,而且以廉价和便捷为出发点而忽视安全水准,伪造就不可避免,网络黑客也将大行其道。
现状:智能家电等领域无安全标准可依
除了黄奇帆担忧的,以廉价和便捷为出发点而忽视安全水准,基于生物特征的身份认证技术或还存在滥用情况,比如某些城市推出扫脸领厕纸应用、某城市的垃圾桶也带有人脸识别功能。
目前,开发生物特征识别认证产品并没有较高的进入门槛。对此,眼神科技产品技术总监彭程认为,提高门槛挺好的。
彭程解释说,企业的技术现状参差不齐,虽然看起来功能差不多,但实际结果千差万别。如果有一定的准入门槛,“不是说为了把谁拦在门外”,而是真正从技术、安全、客户的应用需求上设定一些门槛,这样客户选择产品时更加清晰,也有利于保护客户生物特征数据的安全和这项技术的长久发展。
彭程还表示,开发基于生物特征的身份识别认证产品,全国信息技术标准化技术委员会制定了很多基础标准,属于国家制定的通用标准;在此之下还有很多行业标准,比如公安的行业标准、金融类的行业标准等。
企业开发完产品后,可送到公安部、信标委等权威部门做产品检测,既可以基于现有的国家/行业标准条款进行测试,也可以根据企业的要求进行性能参数和功能验证性测试,比如,甲方企业项目招标时,其会根据自身项目需求特点设立要求,竞标企业则通过在权威检测机构获得测试报告,证明产品是否达到对应要求。
威凯检测技术有限公司智能安防产品技术负责人、副部长廖亮表示,公共安防和金融等安全要求较高的领域,一般要求经过国家权威机构检测合格后,才能上市。而像智能家电、门锁等应用到民用领域的产品,现今行业没有相对应的生物识别标准,行业不知道具体怎么检测才合适,也就无法做到监管。因此现有产品只要消费者、供应商认可,就可以上市售卖。另外,在相应国家或行业标准正式出台之前,企业或团体组织可制定企业或团体标准,并按照执行,确保产品能够保证消费者的人身及财产安全。
据了解,6月25日,国家标准《信息安全技术 智能家居安全通用技术要求》对外发布并公开征求意见。
生物支付行业标准:人脸、指纹信息不上传服务器,但仍有例外
据了解,关于生物特征身份识别认证技术,在标准制定方面比较领先的领域,包括移动互联网生物支付和安防。
比如,在安防领域,全国安全防范报警系统标准化技术委员会人体生物特征识别应用分技术委员会成立于2007年,主要负责基于指纹、人脸、静脉、虹膜、声纹识别等人体生物特征识别技术的基础标准、应用产品标准、评测标准和管理标准等制修订工作,已发布国家标准7项,行业标准33项。
在生物支付领域,2009年,美国的paypal公司等国外市场参与者提出在线认证概念,并在2013年最终落地fido(fast identity online 在线快速身份认证联盟)。其进入中国后,国内市场先后迅速崛起ifaa(互联网金融身份认证联盟,由中国信息通信研究院、蚂蚁金服、阿里巴巴、华为、中心、三星等单位共同发起)和SOTER(腾讯生物认证开放平台)等联盟和平台。这些中国本土的联盟和平台在一定程度上受到fido的影响。
中国金融认证中心(CFCA)移动安全专家介磊说,个人的敏感数据如指纹、人脸信息等有可信计算的需求,所以现在设计的手机,内部都会有一个可信计算区域,指纹识别和人脸识别的功能会在可信区域内完成。识别完成后,它们只会上传识别是否成功的信息,并且,这一信息在上述标准或方案中通过密码学相关的设计保证其可信度和安全性,并不会将人脸、指纹等生物特征信息上传到后台服务器中。
不过,他强调,如果企业不遵守类似标准设计App,或者手机不支持在安全区域中进行识别,亦或者在一些具体的业务要求下,App也都会把人脸信息传回服务器。(尤一炜)
声明:本文来自AI前哨站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。