聚焦生物識別

邱元陽 劉宗凡 金琦

編者按：在剛剛過去的3.15晚會上，我們見證了公共免費WIFI帶來的隱患。同樣，近期媒體報道的“閃付”芯片的安全性也令人擔心。這樣的例子，在現實生活中不勝枚舉。隨著科技的發(fā)展，我們的生活越來越便利，智能化越來越高，如何更安全地識別成為每個人都可能會思考的問題，就目前而言，生物識別更令人安心。在此，主持人和嘉賓將分兩期對這一話題進行探討。

生物識別技術在安全認證領域的地位越來越重要，素有安全領域的“諾亞方舟”之稱。生物識別的特異性、豐富度和穩(wěn)定性等特點，使其安全性能遠遠超過了傳統(tǒng)的密碼認證，甚至有可能會在高端安全領域終結密碼認證。但是，任何認證方式都不可能是萬無一失、沒有漏洞的，即使是生物識別技術，也一樣可能被攻破。

金琦：閾值的秘密

人臉識別系統(tǒng)是有可能被人“蒙混過關”的，這在面部識別方式的考勤系統(tǒng)中經常出現。考勤和打卡系統(tǒng)在采集完人的臉部特征后，往往還需要進行驗證，也就是讓本人“刷臉”，看系統(tǒng)是否能正確識別。發(fā)型、眼鏡、飾品甚至光線的改變，都會對識別的準確性產生影響。為了實現正常識別，讓員工在一般情況下能夠通過考勤系統(tǒng)，常常需要對識別的閾值進行調整。一般降低閾值可提高識別率，但是誤識別率也增加了，面部相近的人可能被識別為同一人；而提高閾值則增加了識別的嚴格程度，過高的閾值雖然提高了安全性，但有時連本人都不能通過。

一個領域或系統(tǒng)的界限稱為閾，其數值稱為閾值，也稱為臨界值。在生物識別技術中，閾值就是指對采樣的數據特征可以識別的程度。不僅僅是人臉識別系統(tǒng)，在指紋識別中，也存在閾值。閾值的設置是必需的，它是用來平衡準確性和識別率的，但也留下了一個可被利用的識別漏洞，因此閾值過高或過低都不可取。

但是在一般的應用中，基于一定閾值的生物識別技術還是可靠的。微軟在Windows 10中也采用了生物特征授權方式，稱之為Windows Hello（如圖1），支持人臉識別、指紋識別和虹膜識別，但是需要通過額外的紅外線傳感器等配套設備才能使用。這種生物特征授權方式比輸入密碼更方便，也更安全。

生物識別需要兼顧我們的社會性與唯一性，而唯一性就意味著安全性。在描述某一種特定的識別方式時，有三個指標可以評定：特異性、豐富度和穩(wěn)定性。

以虹膜識別為例，它要求你的視網膜內的血液細胞和別人是不一樣的（特異性），而且有斑點、細絲、條紋、隱窩、凹點、射線、皺紋等特征（豐富度），另外，你的虹膜特征不會變化（穩(wěn)定性），符合這三點，才能被用來進行生物識別。

理論上說，生物識別方式的特異性、豐富度、穩(wěn)定性越高，其安全性就越高。但是也不是絕對的?；蜃R別在過去一度被認為是最穩(wěn)定、最安全的認證方式，但是同卵雙胞胎的基因相似度極高，很難進行確切的判斷。聲音和人臉可以被模仿，最近甚至都出現了偽造視頻的技術。

斯坦福大學的學生開發(fā)出了一套可以人為控制視頻中人物表情的軟件。只要能獲得目標人物15秒鐘的說話視頻片段，就可以捕捉到目標人物的整個面部表情，用來生成一張3D的臉，而操控者的面部表情可以用來生成另一張3D的臉（如圖2），之后，就可以通過操控者的表情或說話，來控制目標人物在視頻中的表情和說話了！

更多的時候，不是閾值造成了生物識別的安全漏洞，而是相關聯的其他方面被利用。電影《碟中諜4》中，伊森就是通過虹膜識別解鎖一項“幽靈行動”——潛入克里姆林宮，盜取核軍事密碼（如圖3）。由于虹膜的唯一性、穩(wěn)定性、防偽性，虹膜識別通常用于安防以及需要高度保密的場所。伊森的虹膜圖像已經被加工、編譯儲存在數據庫中，這里是儲存虹膜信息的數據庫被篡改，而不是虹膜識別本身的技術漏洞。修改后的數據庫中已經有了伊森的虹膜數據，虹膜識別之后自然就能夠確認他的身份，讓他正常通過。

類似的情況，在電影《碟中諜5》中，班吉起初并沒把三重保險的門禁放在眼里，但當他得知必須穿越一套“步態(tài)分析系統(tǒng)”時，班吉徹底絕望了，最后只能靠伊森·亨特屏息3分鐘，通過自由式潛水強行入侵后臺數據才得以攻破步態(tài)分析系統(tǒng)（如圖4）。

步態(tài)分析的理論假設是：如同每個人擁有一副獨特的面孔，每個人也擁有一種與眾不同的步態(tài)。這種觀點也得到了醫(yī)學研究的認同，即“每個人的步態(tài)都是唯一的”。從解剖學的角度分析，步態(tài)唯一性的物理基礎是每個人生理結構的差異性，不一樣的腿骨長度、不一樣的肌肉強度、不一樣的重心高度、不一樣的運動神經靈敏度，共同決定了步態(tài)的唯一性。

當生物個體通過識別走廊的時候，所有參與步態(tài)監(jiān)測的攝像頭對其進行全方位掃描，并及時對步態(tài)特征做出識別和分析，其安全程度幾乎達到了無可破解的程度。但是百密一疏，生物識別所依賴的計算機技術，還是為生物識別技術的安全留下了隱患。