生物識別:傳統資訊保安在新技術環境的創新應用
■ 本刊記者 王丹娜
2019年1月,阿里巴巴達摩院釋出“2019十大科技趨勢”,涵蓋智慧城市、數字身份、自動駕駛、圖神經網路系統、人工智慧(AI)晶片、區塊鏈、5G等領域。達摩院認為,生物識別技術將於2019年進入大規模應用階段。“新一代人工智慧規劃”等國家戰略提出重點支援生物特徵識別技術發展,給這一領域提供了良好的政策環境,也得到“政產學研用”等多方高度關注。生物識別既是重要的模式識別和計算機視覺學科前沿方向,也是人工智慧落地最快和商業市場規模最大的主要方向之一,然而,生物識別涉及各攸關方利益、隱私、道德、法律等問題,也必然引發廣泛關注。
一、生物識別技術應用進入快速發展階段
從分類上看,生物特徵分為物理特徵和行為特點兩類。與此相對應,基於物理特徵的生物識別技術包括指紋識別、掌紋識別、手形識別、虹膜識別、視網膜識別、面部識別、人耳識別、味紋識別、基因識別和紅外溫譜圖等。其中,掌紋識別、手形識別、虹膜識別、視網膜識別和麵部識別的技術實現相對成熟,應用推廣比較廣泛。中國科學院自動化研究所是國內最早從事虹膜、人臉、步態、筆跡等生物識別研究的單位之一。但是,人耳識別、味紋識別、基因識別和紅外溫譜圖技術的實現和推廣則受到一定限制,已有溫譜圖身份鑑別產品由於紅外測溫裝置的價格,使該技術不能得到廣泛應用。基於行為特徵的生物識別技術包括簽名識別、擊鍵識別和步態識別等。其中,簽名識別會受時間和精神狀態影響而降低簽名識別系統的可靠性;擊鍵識別的準確性也會受到持續時間、出錯的頻率以及力度大小影響。值得一提的是,中科院自動化所在步態識別領域取得多個“第一”,涉及研究成果、人才培養、成果轉化和國際交流等方面。兼具生理特徵和行為特徵的聲紋識別技術存在兩個關鍵問題,一是特徵提取,二是模式匹配(模式識別)。不同的任務和應用會使用不同的聲紋識別技術,例如,在縮小刑偵範圍時需要辨認技術,而銀行交易時則需要確認技術。
目前,生物識別技術已經廣泛應用於金融支付等重要領域。總體上看,在公共安全領域,生物識別技術主要運用於公安刑偵追逃、罪犯識別、邊防安全檢查;在資訊保安領域,生物識別技術主要用於計算機和網路登入、檔案加密和解密;在實現政府職能方面,生物識別技術主要用於電子政務、戶籍管理、社會福利和保險;在商業企業層面,生物識別技術主要用於電子商務、電子貨幣和支付、考勤等;在場所進出方面,生物識別技術主要用於軍事機要部門、金融機構的門禁控制和進出管理等。
(一)金融領域生物識別應用促進支付業務發展
根據市場研究機構Forex Bonuses的報告,全球無現金化程度最高的10個國家中,美國位居第5位,中國排名第6位。其中,美國人均信用卡數量最多,而中國手機支付比重最高,美國無現金化由信用卡支付驅動,中國則藉由手機支付驅動。
美國一些大型銀行越來越多地使用指紋、面部掃描和其他型別的生物識別技術保障賬戶的安全。例如,美國銀行、摩根大通和富國銀行的客戶可以在手機上使用指紋登入銀行賬戶,富國銀行的客戶可以通過用手機掃描眼球的方式登入賬戶,花旗集團通過聲音驗證80萬信用卡使用者,為軍人及軍屬提供保險和銀行服務(USAA)的客戶可以通過面部掃描驗證身份。2018年1月,美國Visa和Mountain America信用社正式推出雙介面生物識別支付卡,這是生物識別支付卡在美國首次試水。
在歐洲,2018年10月,挪威央行副行長喬恩·尼克拉森(Jon Nicolaisen)宣稱,挪威已進入“無現金社會”,僅有不到10%的挪威人使用現金。總部位於奧斯陸的生物識別公司Zwipe在2014年就與萬事達卡展開合作,推出帶有指紋識別的信用卡。
在中國,支付寶自2012年起開始嘗試通過生物識別技術進行線下支付。2014年6月,支付寶與手機廠商合作,實現國內首筆線上指紋支付,並於2015年首次在“雙11”活動中大規模應用。根據2018年天貓“雙11”資料統計,當天交易額為2135億元人民幣,指紋和刷臉首次成為天貓“雙11”主流支付方式,通過生物識別認證完成支付的比重高達60.3%。在支付過程中,輸入6位數密碼平均需要3秒,而指紋支付只需1秒,“刷臉”支付僅需300毫秒,大大提升了交易效率。
(二)航空身份認證提升乘務流程速度和安全性
據國際航空電訊集團(SITA)釋出的“2018年SITA IT航空運輸業洞察”報告,各大航司和機場正投資可確保安全便捷旅行的技術,其中,生物識別被視為重中之重。未來三年,77%的機場和71%的航空公司計劃投入生物識別身份(ID)管理的重大專案或研發專案。
在美國,人臉識別系統已在多個機場成功實施,並已拓展到加勒比地區的阿魯巴機場。2018年11月,達美航空公司與美國海關和邊境保護局(CBP)、亞特蘭大哈茲菲爾德-傑克遜國際機場(ATL)、美國運輸安全管理局(TSA)合作,在亞特蘭大哈茲菲爾德—傑克遜國際航站樓全面推出生物識別技術,這是美國第一個全面啟用生物識別技術的航站樓。
在歐洲,愛爾蘭夏農機場成為歐洲第一個使用人臉識別技術驗證入境旅客身份的機場。德國漢莎航空首先選擇機場休息室作為其生物識別技術的測試場所,讓旅客通過面部、虹膜以及指紋識別進入。2018年3月,漢莎航空嘗試對從洛杉磯機場始發的兩個航班進行生物識別登機測試。
在南美,2018年10月,智利南美航空公司(LATAM Airlines)在烏拉圭的卡拉斯科國際機場安裝了生物識別系統,在保證嚴格確認旅客個人資訊的同時,縮短旅客機場停留時間。智利南美航空公司成為第一家在南美洲機場使用面部識別技術登機的航空公司,烏拉圭同時也已成為南美洲第一個擁有該現代化系統的國家。
(三)生物識別簽證應用於鑑別流動人員身份
3D感測器的快速普及使多種生物特徵融合,生物識別和活體技術使數字身份成為人的第二張身份證。據統計,已有超過70個國家在其移民專案中使用生物識別技術。
英國政府自2006年3月起簽發帶有生物特徵的護照。護照資料頁存有射頻識別標籤或晶片,晶片儲存的資料包括護照持有人的個人資料、照片、簽名及容貌辨認資訊。美國國土安全部規定,從2016年4月起,所有到美國的旅客必須持有生物識別護照。加拿大於2018年釋出新規,無論是申請訪問簽證、學習許可簽證,還是申請加拿大移民身份、難民身份,都被要求進行生物識別。
2018年12月,中國駐英國大使劉曉明頒發首張生物識別簽證,其獲得者是諾貝爾經濟學獎得主、倫敦政治經濟學院教授克里斯托弗·皮薩里德斯。據中國駐加拿大大使館訊息,自2019年1月1日起,中國駐加拿大使館委託中國簽證申請服務中心,對包括加拿大公民在內的全部申請中國簽證人員留存十指指紋並頒發生物識別簽證。
(四)生物識別技術用於門禁系統和智慧家居
射頻識別(RFID)門禁和生物識別門禁是門禁發展的兩大趨勢。目前,生物識別門禁有指紋、掌形、面部、虹膜等識別方式,智慧卡多重認證、智慧卡+密碼認證和生物識別+智慧卡認證等複合認證模式得到發展。例如,有的刷臉門禁使用者只要在首次通過時提供身份證掃描並錄入一張實時拍攝照片,耗時不超過10秒鐘。指紋識別門禁系統的成本與RFID卡門禁系統相當,而虹膜識別多用於資訊保安級別較高的領域和部門的門禁使用。
2018年8月,在中國智慧城市國際博覽會上,擁有生物識別、無感支付等功能的最新科研成果——“生物識別+信用支付”地鐵售檢票系統解決方案發布,乘客“刷臉”即可過閘,耗時0.33秒。
此外,指紋識別、聲音識別和麵部識別三種生物識別技術目前在智慧家居領域的應用最廣泛。其中,除了聲音識別的智慧音箱,指紋識別的智慧鎖和麵部識別的智慧安防系統,都屬於門禁類出入管制範疇。
(五)生物識別技術和資料成為“反恐利器”
國際組織和各國持續佈局生物識別技術領域,為全球反恐領域和追查犯罪領域的反恐行動和追逃行動提供技術支援。
2018年6月,《聯合國關於反恐鬥爭中負責任地使用與分享生物識別技術的建議實踐概要》(United Nations Compendium of Recommended Practices for the Responsible Use & Sharing of Biometrics in Counter Terrorism)釋出。這是聯合國反恐委員會執行局(CTED)與生物識別學會(Biometrics Institute)的合作成果,旨在幫助聯合國成員相互協作。生物識別學會將在與聯合國反恐委員會執行局的下一步合作中“從最迫切需要應用生物識別技術的高優先順序國家開始”。
國際刑警組織(INTERPOL)一直號召增進生物識別技術的共享,包括專為排查犯罪資料庫和社會媒體賬戶而設計的聲音識別系統。國際刑警組織目前掌握了大約4.1萬名恐怖主義人員的生物資料,而且該組織的FIRST專案,則幫助成員國執法部門共享這些資訊。對該專案作出重要貢獻的國際刑警組織伊拉克中心局, 正是通過其國內的執法行動打擊“伊斯蘭國”殘餘勢力。生物特徵是識別恐怖分子身份的關鍵工具,而且通過國際合作打擊“伊斯蘭國”的努力“必須堅持下去”。
雖然北約在軍事行動中長期採集生物資料, 但是,對在行動區 (主要指阿富汗) 以外的地方共享資料一直持保留態度。2018年6月, 北約修改相關政策, 規定可以向成員國的執法及邊境部門共享在軍事行動中採集到的生物資料。這不僅有利於北約成員國內部共享資訊, 而且使北約與國際刑警組織、歐洲刑警組織共享資訊成為可能。
從2017年8月起,美國國防部(DOD)逐漸用生物識別系統BioTracker取代傳統的卡片識別訪問控制的身份驗證解決方案。繼國防部國防創新試驗小組(DIU-X)之後,美國陸軍網路事業技術司令部(NETCOM)也同意採用生物識別身份驗證解決方案。除了聯邦調查局(FBI)、國土安全部等部門, 美國其他聯邦執法機構也在各自行動中使用或準備使用生物資料庫。例如,國家外交安全域性通過國防部自動生物特徵身份系統(ABIS)審查希望在美國駐外使領館謀得差事的美國公民,而法警局成立生物工作組並建立自己的生物資料庫與其他執法部門資料庫融合。此外,美國地方執法部門可以將掌握的資料連線到聯邦層級更大的資料庫進行比對,例如,連線到FBI的特別關注人員儲存庫(RISC)。
二、生物識別被視為資訊保安“最後一道防線”
2019年2月,一則“不要相信掃碼測試面相”的訊息在網上熱傳,網友稱,在測試中要獲得使用者資訊以及上傳照片,擔心照片會對人臉識別支付安全帶來隱患。應用方表示,有專業運維工程師維護資料,不會洩露。專家則認為,“生物資訊是個人資訊保安的最後一道防線”,建議使用者儘量不要上傳個人照片。雖然生物識別技術得到廣泛應用,但是,其所帶來的安全問題,一方面受制於技術本身的識別度等因素,包括生物特徵識別的準確性、適用性等,使生物特徵識別資料容易被複制和被騙過等問題存在,同時,相關資料被洩露事件的發生,也亟需相關法律法規進行規範,更需要相關監管部門提升監管力度。
(一)生物識別資料洩露等安全問題需引起關注
生物識別技術的大規模應用使如何有效防範對生物識別的攻擊成為當務之急,也包括黑客偷竊、儲存和售賣生物特徵資訊的情況。此外,人工智慧和生物識別的結合需要基於機器學習的大量資料進行訓練,這意味著由此帶來的生物資料安全問題,必須引起足夠重視。
早在2015年9月,美國國防部和其他政府部門員工的安檢資料被黑客竊取,包括大約560萬份指紋記錄。新加坡衛生部(MOH)於2019年2月釋出訊息稱,被確診為HIV陽性患者的新加坡人和外國人的醫療記錄和聯絡方式等個人健康資訊遭洩露,涉及大約14200名艾滋病病毒攜帶者。同月,國內某人臉識別公司發生大規模資料洩露事件,超過250萬人的資料被獲取,680萬條記錄洩露,其中,包括身份證資訊、人臉識別影象及捕捉地點等。
總體看,生物識別資料關涉安全和隱私等諸多問題。有人提出,解決的思路可以從兩端出發,一是科技行業主動自律,如谷歌、微軟積極提出人臉識別技術及其他AI技術的使用原則,以“科技向善”的理念進行自我約束;二是立法與監管需要不斷創新,創造性提出解決方案。
(二)提升生物識別安全意識及監管處罰力度
生物識別技術大規模、多領域的全面應用同時造成對隱私保護、資料安全以及倫理問題等的擔憂。2018年11月,美國七名眾議院民主黨人針對面部識別技術的準確性向亞馬遜提出質疑,指出其給有色人種帶來過重負擔,並可能扼殺美國人在公共場合行使《第一修正案》權利的意願。評論認為,因為人們可能出於被面部識別的恐懼,不願積極參加抗議活動或宗教活動。
因生物識別技術涉及諸多科技公司的資料收集等行為,有科技公司和研究機構已主動通過自律方式積極提出建議方案。例如,微軟呼籲出臺針對面部識別技術的監管條例,需要對這一技術的準確性有獨立評價標準,並禁止在法院許可的範圍外對特定物件進行持續監控。2018年12月,谷歌面部識別訴訟案落下帷幕,法院支援被告谷歌公司的抗辯,以原告不存在實際損害為由駁回起訴。法院判定,谷歌公司儲存和收集面部模板的行為均未造成損害,不滿足美國憲法第三條(Article III)的起訴原則,即原告沒有證明自己遭受“事實上的傷害”。
在事關生物識別資訊被洩露等事件的處理和懲罰方面,也已經出現了相關案例。2018年10月,科技部官網公佈,華大基因、阿斯利康、藥明康德、上海華山醫院等六家公司或機構因違反人類遺傳資源管理規定遭科技部處罰。這是科技部首度公開涉及人類遺傳資源的行政處罰。
(三)各國陸續出臺完善生物識別相關政策法規
美國伊利諾伊州最高法院力挺生物識別隱私法,印度全球最大生物識別資料庫Aadhaar被判定合法在等,都是國家支援生物識別應用的典型案例。同時,生物識別資料使用關涉隱私和倫理等司法訴訟案件,也使對於出臺和完善生物識別相關法律法規的呼聲高漲。2018年4月,電子隱私資訊中心(EPIC)等組織向美國聯邦貿易委員會(FTC)申訴,指控Facebook的面部識別功能缺乏有效的隱私保護措施,違反FTC 2011年的同意令(DOCKET NO. C-4365)。
各國關於生物識別相關的立法,成為規範生物識別應用和生物資訊監管的重要支撐。2018年7月,美國眾議院國土安全委員會推出2018年生物識別遷移警報計劃(BITMAP)授權法案,以更好地應對國家安全威脅,目的是使合作伙伴國家執法人員能夠收集和分享特殊利益人群的生物特徵資料,以識別潛在的恐怖分子。2019年2月,俄羅斯央行就如何降低個人生物識別資料收集和處理過程中的風險釋出了指導性檔案。
無論是《歐盟資料保護條例》(GDPR)對個人資訊資料保護和流通做出嚴格限制,還是我國對個人資訊保護的規定以及相繼出臺的相關標準,都對生物特徵資料的採集、使用、流通做出嚴格規定。例如,我國2018年釋出涉及公共安全領域生物特徵識別標準,包括GB/T 35742-2017《公共安全 指靜脈識別應用 影象技術要求》、GB/T 35676-2017《公共安全 指靜脈識別應用 演算法識別效能評測方法》、GB/T 35736-2017《公共安全指紋識別應用 影象技術要求》、GB/T 35735-2017《公共安全 指紋識別應用 採集裝置通用技術要求》、GB/T 35678-2017《公共安全 人臉識別應用 影象技術要求》等。2019年1月,支付寶牽頭制定編號為ISO/IEC27553《移動裝置生物特徵識別身份認證安全要求》國際標準的提議,獲得美英日韓等23國代表投票支援,成為我國基於生物識別身份認證領域首個ISO國際標準。
三、人工智慧和生物識別結合開闢更大空間
未來,生物識別技術將會更多演算法融合、多生物特徵互補的方向發展,人工智慧和生物識別技術的結合會更加緊密,智慧化產業將推進推動智慧家庭、智慧家居、智慧汽車等市場發展,以滿足安全性需求,同時,生物識別技術在得到更多商用推廣的同時使產業發展面臨更多機遇與挑戰。
(一)更多智慧裝置將搭載生物識別技術
拓墣(TRI)預測,智慧手機已成為指紋識別最大的應用市場,而臉部識別可望成為下一個更廣泛應用於智慧手機的生物識別技術。2018年,生物識別技術在智慧手機的滲透率約為56%,主要表現在面部識別技術的商用化,而且,主流手機品牌加緊面部識別技術在旗艦機上的應用。此外,全球主要手機企業則通過“硬體+軟體+系統”創新加速產品和體驗變革。例如,蘋果iPhone X搭載蘋果仿生(A11 Bionic)處理器,增加人臉識別解鎖Face ID;華為Mate10內建海思970處理器並結合EMUI 8.0,可實現智慧助手、語音助手和資訊直達等主動互動體驗;國美U系列手機彙集指紋識別、面部識別、虹膜識別等技術。
(二)生物識技術將應用於更多智慧化場景
生物識別技術應用於汽車和智慧交通的場景將更廣泛。目前,使用生物識別的汽車公司主要關注點火開關、機動車鎖止系統、車輛通道、監測駕駛員健康等方面。韓國現代汽車公司宣佈,已開發出一種使用指紋解鎖和啟動汽車的全新安全系統,預計將搭載在2019款聖達菲車型上,使現代成為第一個將這種技術運用於門把手的廠商。英偉達和VisionLabs公司正合作打造名為BB8的自動駕駛汽車,或將是首批用面部識別替代汽車鑰匙的車輛之一。在2019年國際消費電子展(CES)上,B-Secur公司推出心臟鑰匙技術,可通過個人心跳解鎖和啟動汽車,還可檢測駕駛員的壓力水平、警覺性以及心臟狀況,以提高駕駛安全性。此外,我國車站“人臉識別通道”陸續開通,包括2017年武漢站的人臉識別驗票通道。2018年12月,赫茲(Hertz)、CLEAR合作也推出生物識別車道,用面部識別和指紋掃描代替傳統的身份識別證件,允許旅客使用指紋掃描器和麵部識別技術,這條通道已用於亞特蘭大傑克遜國際機場。
(三)生物識別產業發展帶動更大潛力市場
根據資料,2017年,生物識別技術全球市場規模達172億美元,預計到2020年,全球生物識別市場規模可望達到250億美元。在中國,預計到2021年,生物識別市場規模也將達340億元人民幣。其中,人臉識別市場規模增長在眾多生物識別技術中增幅居於首位,預計到2020年,人臉識別技術市場規模將上升至24億美元。有評論指出,未來3年至5年,指紋、人臉和聲紋識別會繼續佔據生物識別市場的主流,競爭也會日趨白熱化。但是,市場格局也會向多元化方向發展,特別是一些特定的應用,會給更多生物識別技術提供商用空間。
(本文刊登於《中國資訊保安》雜誌2019年第2期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。