隨著人工智能技術的技術突破，生物識別技術也呈現出跨越式發展，已經成為學術界和業界關注的焦點。本文探討生物特征識別在應用中所面臨的安全隱患，重點討論偽造生物特征、數據泄露帶來的技術挑戰，歸納總結針對安全隱患所采取的安全防護手段。

　　一、生物特征識別在不同領域廣泛應用

　　在移動互聯網、大數據、第五代移動通信等新技術以及社會經濟發展需求的共同驅動下，人工智能發展迅速，深刻改變人類社會生活、改變世界。生物特征識別技術是指通過個體特征或行為特征對個體身份進行識別的認證技術。生物特征識別技術涉及的內容十分廣泛，包括指紋、掌紋、人臉、虹膜、指靜脈、聲紋、步態等多種生物特征，其識別過程涉及圖像處理、計算機視覺、語音識別、機器學習等多項技術。目前，生物特征識別作為重要的智能化身份認證技術，在公共安全、金融、安防、交通、教育等領域廣泛應用。

　　二、影響生物特征安全應用的因素

　　生物特征識別技術是信息時代身份認證重要手段，在現實社會和網絡空間，身份認證發揮了重要的作用，但是，生物特征識別系統在應用中還存在容易被攻擊的環節。

　　從生物特征識別應用流程上看，通常分為注冊和識別兩個階段（如圖1所示）。

　　注冊階段通過傳感器對人體生物信息進行采集，識別過程采用與注冊過程一致的信息采集方式對識別人進行信息采集、預處理和特征提取。

　　在注冊和識別階段，目前存在的安全隱患主要包括偽造生物特征攻擊和數據泄露，其中，偽造生物特征攻擊通常發生在生物特征傳感器采集階段，數據泄露通常發生在生物特征存儲環節（如圖2所示）。

　　在生物特征數據采集階段，由個體冒充真正的生物特征采集對象的破壞行為，限制了生物特征識別技術在無人監督環境下的應用。例如，通過非可信網絡進行遠程生物特征采集。在無人監督的應用中，可以應用攻擊檢測方法降低遭到攻擊的風險。無論是使用受監督的還是無監督的生物特征數據采集方法，包括使用生物特征識別技術保護在線交易數據，相關標準、實踐應用和獨立評估技術可以改善使用生物特征識別系統的安全性。

　　1.偽造生物特征攻擊與防護手段

　　一種攻擊生物特征認證系統的方法，就是使用人造或模仿的生物特征樣本，例如指紋膜、人像照片、合成語音等。常用的攻擊主要發生在無人監督的應用場景，例如手機互聯網遠程應用和自助認證設備。以人臉識別為例，常用的人臉攻擊手段是照片、視頻或面具。

　　生物特征的活體檢測技術可以制止此類欺詐行為的發生?；铙w檢測技術可判定生物特征是否真實，鑒別使用者的真實性，防止惡意偽造和竊取他人生物特征。

　　活體檢測技術具體方法各不相同，總體來說，可以主要分為三種類別，第一類是活體內部的固有特性，包括物理/機械的性質、電的性質、視覺的性質、光學的性質等。指紋傳感器就可以測試指紋有關電的屬性，如反射率、容量和聲音阻抗。第二類是活體產生的自然反應，包括溫度、脈搏、血壓等，如指靜脈的血管紋路、走路的步態和擊鍵動力學等。第三類是測試身體對外界刺激的反應，口令—應答的方法，這種口令—應答的方法可以尋求自覺的（行為上的）和不自覺的（條件反射的）反應。例如，虹膜可以通過改變瞳孔的大小響應可見光照射（挑戰）的變化（預期的應答）。

　　活體檢測技術實現需要根據實際應用場景，支持攻擊檢測的產品存在不同位置。位置大致有以下兩種：一種是在前端進行攻擊檢測，如在采集傳感器設備上進行仿冒特征攻擊檢測。對于安全風險較低的應用，可以直接在前端采用檢測手段得到檢測結果；對于安全風險較高的應用，應向后端服務器輸出檢測結果，以使系統獲得更多數據，從而提高系統的安全性。另一種是在后端進行呈現攻擊檢測，根據應用需求，可在前后端數據交換中發送原始數據，或在前端進行特征提取后，將特征值發送至后端。

　　從目前應用的商業平臺看，成熟的活體檢測技術并不容易被攻破，無論是替換人臉攻擊，還是屏幕翻拍攻擊場景，在圖像底層視覺特征、環境圖像特征等方面均與真人實拍有實質性的差異。

　　從技術標準制定方面，自2016年起國際標準化組織（ISO）和國際電工委員會（IEC）重點關注在生物特征采集階段發起的呈現攻擊及自動檢測技術，制定了ISO/IEC 30107系列標準：生物特征識別呈現攻擊檢測（第一版），規定了攻擊描述、攻擊檢測方法框架、生物特征識別系統中冒名頂替呈現攻擊的障礙等；對攻擊檢測的類型、挑戰應用的作用、攻擊檢測的過程作出詳細的描述和規定。我國公安部于2015年發布實施了GA/T 1212-2014《安防人臉識別應用防假體攻擊測試方法》行業標準。這些技術標準將有利于活體檢測技術的發展與應用。

　　從手機商業應用方面，蘋果手機、vivo手機都開始采用人臉識別技術進行身份認證，利用3D人臉識別技術解決偽冒生物特征問題。FaceID三維成像的圖像識別技術，采用了包含距離感應器、環境光感應器、泛光感應元件、紅外鏡頭在內的多重傳感器，用來深度識別臉部信息，鑒別人臉的真實性。

　　從商業平臺應用方面，大多成熟的商業平臺都包含多道安全防護，人臉識別是作為交叉驗證的一環，增加安全性。此外，人臉識別還與賬號、密碼保護、基于大數據的風控等綜合手段多重驗證，以系統安全防護體系來保護用戶的高度安全。生物特征識別技術應用在金融、生活服務等行業場景，一直都在給安全做加法，與傳統的密碼相結合，提供更加可靠的安全服務。

　　2.數據泄露與防護手段

　　數據存儲存在的隱患主要是數據盜取、用特征逆推出原始信息等，其中，數據盜取在用戶終端采集環節，也可能出現在后臺數據庫中，后臺數據泄露危害性更大。目前，常用的防護手段是數據存儲去中心化、數據碎片化和數據加密等幾種方式。數據存儲去中心化是針對集中存儲帶來的數據泄露風險，防止大范圍的數據盜??；數據碎片化和數據加密等方式主要是將數據分散，即使數據被盜取，其他人拿到的也不是全部信息，不存在信息泄露的問題。

　　在法律法規制定方面，法律法規的強制性對數據安全與保護起了重要作用，一些國家和地區在數據保護上做出了積極探索，特別是被稱為史上最嚴個人信息保護法律——歐盟《通用數據保護條例》正式生效。

　　在使用技術工具加強數據保護方面，數據脫敏和匿名化算法是常見的技術工具。數據脫敏方法是指對個人敏感信息進行技術處理，使其中的個人信息主體在不借助額外信息的情況下，無法被識別。數據匿名化算法可以實現根據具體情況有條件發布部分數據，或者數據的部分屬性內容，匿名化算法能夠在數據發布環境下防止用戶敏感數據內泄露，同時又能保證發布數據的真實性，后續匿名化算法會更多應用在數據保護方面。

　　三、結語

　　隨著我國互聯網及數字經濟發展，線上線下加速融合，智能化身份認證需求迫切，借助生物識別技術實現很多行業的身份認證智能化。目前，生物特征身份認證還面臨一些環節的安全隱患，可通過采用多種手段的防護技術綜合應用，保證身份認證的應用安全?？梢灶A見，在法律、標準和技術進步的多方面作用下，生物特征識別擁有更廣闊的市場前景，滿足各行業的業務需求，服務社會經濟發展，進一步推動誠信社會建設。

　?。ū疚臑閲抑攸c研發計劃資助[項目編號：2016YFC0801103]階段性成果，刊登于《中國信息安全》雜志2019年第2期）

責任編輯：韓希宇