• 公安部第一研究所田青、宋建彬

随着人工智能技术的技术突破,生物识别技术也呈现出跨越式发展,已经成为学术界和业界关注的焦点。本文探讨生物特征识别在应用中所面临的安全隐患,重点讨论伪造生物特征、数据泄露带来的技术挑战,归纳总结针对安全隐患所采取的安全防护手段。

一、生物特征识别在不同领域广泛应用

在移动互联网、大数据、第五代移动通信等新技术以及社会经济发展需求的共同驱动下,人工智能发展迅速,深刻改变人类社会生活、改变世界。生物特征识别技术是指通过个体特征或行为特征对个体身份进行识别的认证技术。生物特征识别技术涉及的内容十分广泛,包括指纹、掌纹、人脸、虹膜、指静脉、声纹、步态等多种生物特征,其识别过程涉及图像处理、计算机视觉、语音识别、机器学习等多项技术。目前,生物特征识别作为重要的智能化身份认证技术,在公共安全、金融、安防、交通、教育等领域广泛应用。

二、影响生物特征安全应用的因素

生物特征识别技术是信息时代身份认证重要手段,在现实社会和网络空间,身份认证发挥了重要的作用,但是,生物特征识别系统在应用中还存在容易被攻击的环节。

从生物特征识别应用流程上看,通常分为注册和识别两个阶段(如图1所示)。

注册阶段通过传感器对人体生物信息进行采集,识别过程采用与注册过程一致的信息采集方式对识别人进行信息采集、预处理和特征提取。

在注册和识别阶段,目前存在的安全隐患主要包括伪造生物特征攻击和数据泄露,其中,伪造生物特征攻击通常发生在生物特征传感器采集阶段,数据泄露通常发生在生物特征存储环节(如图2所示)。

在生物特征数据采集阶段,由个体冒充真正的生物特征采集对象的破坏行为,限制了生物特征识别技术在无人监督环境下的应用。例如,通过非可信网络进行远程生物特征采集。在无人监督的应用中,可以应用攻击检测方法降低遭到攻击的风险。无论是使用受监督的还是无监督的生物特征数据采集方法,包括使用生物特征识别技术保护在线交易数据,相关标准、实践应用和独立评估技术可以改善使用生物特征识别系统的安全性。

1. 伪造生物特征攻击与防护手段

一种攻击生物特征认证系统的方法,就是使用人造或模仿的生物特征样本,例如指纹膜、人像照片、合成语音等。常用的攻击主要发生在无人监督的应用场景,例如手机互联网远程应用和自助认证设备。以人脸识别为例,常用的人脸攻击手段是照片、视频或面具。

生物特征的活体检测技术可以制止此类欺诈行为的发生。活体检测技术可判定生物特征是否真实,鉴别使用者的真实性,防止恶意伪造和窃取他人生物特征。

活体检测技术具体方法各不相同,总体来说,可以主要分为三种类别,第一类是活体内部的固有特性,包括物理/机械的性质、电的性质、视觉的性质、光学的性质等。指纹传感器就可以测试指纹有关电的属性,如反射率、容量和声音阻抗。第二类是活体产生的自然反应,包括温度、脉搏、血压等,如指静脉的血管纹路、走路的步态和击键动力学等。第三类是测试身体对外界刺激的反应,口令—应答的方法,这种口令—应答的方法可以寻求自觉的(行为上的)和不自觉的(条件反射的)反应。例如,虹膜可以通过改变瞳孔的大小响应可见光照射(挑战)的变化(预期的应答)。

活体检测技术实现需要根据实际应用场景,支持攻击检测的产品存在不同位置。位置大致有以下两种:一种是在前端进行攻击检测,如在采集传感器设备上进行仿冒特征攻击检测。对于安全风险较低的应用,可以直接在前端采用检测手段得到检测结果;对于安全风险较高的应用,应向后端服务器输出检测结果,以使系统获得更多数据,从而提高系统的安全性。另一种是在后端进行呈现攻击检测,根据应用需求,可在前后端数据交换中发送原始数据,或在前端进行特征提取后,将特征值发送至后端。

从目前应用的商业平台看,成熟的活体检测技术并不容易被攻破,无论是替换人脸攻击,还是屏幕翻拍攻击场景,在图像底层视觉特征、环境图像特征等方面均与真人实拍有实质性的差异。

从技术标准制定方面,自2016年起国际标准化组织(ISO)和国际电工委员会(IEC)重点关注在生物特征采集阶段发起的呈现攻击及自动检测技术,制定了ISO / IEC 30107系列标准:生物特征识别呈现攻击检测(第一版),规定了攻击描述、攻击检测方法框架、生物特征识别系统中冒名顶替呈现攻击的障碍等;对攻击检测的类型、挑战应用的作用、攻击检测的过程作出详细的描述和规定。我国公安部于2015年发布实施了GA/T 1212-2014《安防人脸识别应用防假体攻击测试方法》行业标准。这些技术标准将有利于活体检测技术的发展与应用。

从手机商业应用方面,苹果手机、vivo手机都开始采用人脸识别技术进行身份认证,利用3D人脸识别技术解决伪冒生物特征问题。FaceID三维成像的图像识别技术,采用了包含距离感应器、环境光感应器、泛光感应元件、红外镜头在内的多重传感器,用来深度识别脸部信息,鉴别人脸的真实性。

从商业平台应用方面,大多成熟的商业平台都包含多道安全防护,人脸识别是作为交叉验证的一环,增加安全性。此外,人脸识别还与账号、密码保护、基于大数据的风控等综合手段多重验证,以系统安全防护体系来保护用户的高度安全。生物特征识别技术应用在金融、生活服务等行业场景,一直都在给安全做加法,与传统的密码相结合,提供更加可靠的安全服务。

2. 数据泄露与防护手段

数据存储存在的隐患主要是数据盗取、用特征逆推出原始信息等,其中,数据盗取在用户终端采集环节,也可能出现在后台数据库中,后台数据泄露危害性更大。目前,常用的防护手段是数据存储去中心化、数据碎片化和数据加密等几种方式。数据存储去中心化是针对集中存储带来的数据泄露风险,防止大范围的数据盗取;数据碎片化和数据加密等方式主要是将数据分散,即使数据被盗取,其他人拿到的也不是全部信息,不存在信息泄露的问题。

在法律法规制定方面,法律法规的强制性对数据安全与保护起了重要作用,一些国家和地区在数据保护上做出了积极探索,特别是被称为史上最严个人信息保护法律——欧盟《通用数据保护条例》正式生效。

在使用技术工具加强数据保护方面,数据脱敏和匿名化算法是常见的技术工具。数据脱敏方法是指对个人敏感信息进行技术处理,使其中的个人信息主体在不借助额外信息的情况下,无法被识别。数据匿名化算法可以实现根据具体情况有条件发布部分数据,或者数据的部分属性内容,匿名化算法能够在数据发布环境下防止用户敏感数据内泄露,同时又能保证发布数据的真实性,后续匿名化算法会更多应用在数据保护方面。

三、结语

随着我国互联网及数字经济发展,线上线下加速融合,智能化身份认证需求迫切,借助生物识别技术实现很多行业的身份认证智能化。目前,生物特征身份认证还面临一些环节的安全隐患,可通过采用多种手段的防护技术综合应用,保证身份认证的应用安全。可以预见,在法律、标准和技术进步的多方面作用下,生物特征识别拥有更广阔的市场前景,满足各行业的业务需求,服务社会经济发展,进一步推动诚信社会建设。

(本文为国家重点研发计划资助[ 项目编号:2016YFC0801103 ]阶段性成果,刊登于《中国信息安全》杂志2019年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。