基于傳統單通道的隨機型多通道結合生物認證

邢曉夢　馬巍

【摘要】從最初的互聯網誕生標志著人類即將跨入一個全新的領域，現在AI（Artificial Intelligence人工智能）時代的到來更是這個全新的領域探索的一大成功利器。當我們的支付方式從最原始的“用戶名+密碼”進化到現今的“生物特征+活體檢測”.在方便我們的生活的同時也同樣要面對其存在的安全性。傳統的單通道的認證方式并不能對我們的安全性起到絕對的保障。在此要向大家介紹的是隨機型多通道結合的生物認證方式，既是需要我們在單通道認證安全的基礎上相互結合以提升總體多通道生物認證的安全性能。【關鍵詞】生物認證多通道結合生物認證指紋認證人臉認證虹膜認證

一、引言

面對著時代的進步與發展，我們在步入AI時代的同時，可以說大大的方便了我們的生活。從古時的“簽字、畫押”就已經標志認證方式的誕生，但同時它的弊端也是特別明顯無法辨別，只能代表個人認證，且只能依靠人力識別，而且還不能排除模仿的嫌疑，可以說安全隱患是極大的。到現代的“用戶名+密碼”認證，過去的我們以為的密碼用戶名是最安全的保障方式，但是隨著互聯網的發展同樣弊端出現了，密碼本身是特定的排列組合，其一具有確定、不靈活的特性，所以極易被破解（例如字典攻擊、暴力攻擊）；其二我們現在各種銀行卡、會員卡，排除忘記密碼的這一非自然因素，以易丟失、數量多成了他的又一大弊端。那么隨著我們步入AI時代所誕生全新的“生物特征+活體檢測”認證，首先我們再也不用擔心遺忘或者丟失的問題；其次防偽性能好不易被盜取；最后我們可以“隨身攜帶”隨心而用。當然這種生物認證方式給我們帶來的也不僅僅是這些，在此具體給大家分析下典型的生物認證的安全性問題。

二、生物認證

隨著AI時代的到來，我們身邊圍繞著很多以為只有自己知道的“秘密”讓電腦和手機知道我們是主人的方式很多，社交網絡、電子郵件的字符密碼；手機上的指紋識別；人臉識別；甚至虹膜識別，這些秘密安全嗎？

所謂生物認證技術就是，通過計算機與光學、聲學、生物傳感器和生物統計學院里等高科技手段密切結合，利用人體固有的生理特征如（DNA、指紋、指靜脈、人臉、虹膜等）和行為特征如（筆跡、聲音、步態等）來進行個人身份的鑒定。全面的體現了其普遍、穩定、可采集等特點。

我們以支付寶的真正的“靠臉吃飯”來真正見識一下生物認證的便捷。9月1日，支付寶在肯德基的KPRO餐廳上線刷臉支付：不用手機，通過刷臉即可支付。這也是刷臉支付在全球范圍內的首次商用試點。在杭州萬象城肯德基的KPRO餐廳里，刷臉支付是這么玩的：在自助點餐機上選好餐，進入支付頁面，選擇“支付寶刷臉付”，然后進行人臉識別，大約需要1-2秒，再輸入與支付寶賬號綁定的手機號，確認后即可支付。支付過程不到10秒。那么生物認證僅僅是這么簡單嗎？顯然不是！那么我們所擔心的問題又是什么？

三、單通道生物認證的漏洞

越來越高端的生物認證問題安全嗎？隨著科技的不斷進步，各種密碼認證方式不斷推陳出新，從最原始的“用戶名+密碼”進化到“生物特征+活體檢測”，使得指紋識別、人臉識別、虹膜識別這些高端立體的生物認證進入大眾生活。但是，近年來的各種網絡詐騙層出不窮：傳統的中獎欺詐、假冒銀行、網購退款依然是熱門的詐騙手段，而新生的虛假兼職、金融互助、APK木馬、虛假紅包等也越來越多地出現在人們的視野。值得注意的是，一些老生常談的詐騙手法結合了新的通訊信息工具和社會熱門趨勢，爆發出更大的危害，也使得騙局更難以識別。那我們所謂的這些高端就意味著安全嗎？密碼應該是隱秘的，對于生物認證而言，你帶著自己的手指、臉四處晃悠、也就是在將你自己的密碼暴露在外界之中，這與我們的所謂的安全認知恰恰相反；面對這一想法有些細思極恐。我們就簡單列舉目前典型的生物認證的安全性問題。

（一）指紋認證

指紋作為我們現今最為普遍的一種生物認證方式，前文提到從古代我們就采用指紋來驗明身份，可以說指紋認證具有方便、可靠、成本低的特點，而且已經在許多領域廣泛應用，例如現在的智能機都具備指紋支付解鎖、支付等功能；生活中，很多部門的門禁、考勤打卡、保險箱、手機解鎖都用的指紋，指紋首先具有唯一性，方便攜帶不會丟。當你通過讀取器讀取了獨一無二的指紋后，你的電腦手機當然知道你是就是那個需要登入賬戶的正主；這樣一來你會覺得指紋比密碼可靠多了。

但是這并不意味著依靠指紋就能標志出你的獨家身份。同時卻也是極其容易被外界獲得。我們所用的紙張、水杯、鍵盤、桌子等日常生活常用物品都可以留下你的指紋，而且從這些地方copy指紋也很容易，用鉛筆加透明膠就可以；其次現在方便的各種網絡購物方式一份指紋倒膜30元左右，所以指紋的弊端也顯而易見。

（二）人臉認證

其次指紋流行不久后，出現了令大眾歡呼的“人臉識別”。其中較為簡單的“人臉識別”應用的是身份證與本人之間的驗證例如應用于銀行轉賬方面。現今愈來愈熱的“刷臉狂潮”（吃飯、登機、登陸等）雖然個別試運行效果不錯，但是人臉識別技術真的能證明你就是你嗎？

首先從圖像本身來說，例如我化了妝、留了胡子、整了容、換了發型發色；那么機器還能識別嗎？其次再從獲取過程來說，例如光線、我們知道光線會對圖片的獲取影響很大，那么機器還能識別嗎？最后是算法計算的本身問題，例如我們在進行人臉識別的時候，如果是雙胞胎的話，我的安全性還會有保障嗎？那么這些問題是不是也成了影響圖像識別的因素，這也是我們不得不考慮的問題。

（三）虹膜認證

沒等人臉識別普及、業界認可度極高的“虹膜識別”登場。虹膜是位于黑色瞳孔和白色鞏膜之間的圓環部分，包含很多相互交錯的斑點、細絲、條紋、隱窩等細節特征。人出生8個月后，虹膜發育即進入穩定期，終生變化很小，這項“黑科技”不僅僅可以解鎖、還可以幫助警察追蹤逃犯，也可以在機場、旅游場所等承擔安防責任，其精確度達到（1：20000000）。endprint

可能介紹到這里我們還覺得虹膜識別應該是一個比較完備的認證方式，但是它也有它的缺陷。首先，明顯的缺陷就是面對眼疾患者，尤其是一些眼球外傷的患者該怎么采取這項認證，好在角膜移植不會改變虹膜紋理，一般不影響虹膜識別。再如，如果是佩戴了隱形眼鏡的患者或者美瞳，這都對虹膜的采集造成一定的誤差；同樣是光線的問題，由于光線的“污染”問題同樣影響虹膜的采集。其次，虹膜的識別還有一個距離問題，即使我們排除其他外界條件，識別器與瞳孔還是需要一個合適的范圍才能準確聚焦采集，這個問題相比于其他問題可以方便解決，這就需要后期的算法修改對技術進行改進。最后，虹膜技術現在所面對的領域是軍方和銀行等高應用場合，一般企業、商場很難擁有這么龐大的數據庫，使得讓算法自主學習成為一個難題。所以這需要時間的堆積才能積累更多的資源。

面對這些層出不窮的問題，任何一種單一的生物認證方式都不是完美的，拋開成本問題如今的科技的飛速化使得太多的“剽竊”行為也在升級可以說是防不勝防。基于不完美理論，軟件中沒有無錯誤的軟件，同樣在生物認證中也沒有完美的認證方式，我們只能最大限度上提升我們的認證精準度。

四、隨機型多通道結合生物認證

（一）單通道生物認證解決措施

面對如今各種生物認證方式的誕生，我們要想提高生物認證總體的安全性問題，每個單通道的安全性是必須保證的。各種認證方式大體可概括為四個階段：信息提取、特征提取、對比匹配、決策結果。

首先在信息提取和特征提取這兩方面屬于技術型影響最終的決策結果，我們所熟知的人臉識別形象問題是會影響輸出結果的，所以在提取時就要避開不必要的干擾，我們要做到如下幾點：

（1）背景和頭發：剔除背景和頭發，采取只識別臉部圖像的部分。

（2）人臉的面貌：人臉由眼睛、鼻子、嘴、下巴等各部構成，對這些特征和它們之間結構關系的幾何描述，可作為識別人臉的重要標準，這些標準被稱為幾何特征。我們可以針對這些幾何特征構造相應的算法。

（3）雙胞胎：在我們進行圖像錄入時，可以通過對后臺數據庫檢索匹配，來查找是否有匹配度高的數據，我們需要采用雙因子方式再追加認證，例如虹膜、指紋等。

（4）光源位置和強度的變化：采用直方圖規范化，可以消除部分光照的影響。采用對稱的從陰影恢復形狀（symmetric；shape；from；shading）技術，可以得到一個與光源位置無關的圖像。

（5）年齡的變化：建立人臉圖像的老化模型，而且我們可定期提醒用戶更新它們的圖像數據。

（6）表情的變化：提取對表情變化不敏感的特征，或者將人臉圖象分割為各個器官的圖像，分別識別后再綜合判斷。

（7）活體檢測：活體檢測是互聯網人臉識別產品應用的第一道防線。用于確保人臉圖像來自真人，而非打印出來的人像或三維面具而且機器可以感覺出來。例如眨眼、搖頭此類簡單動作的“活體取證”。支付寶在驗證綁定刷臉登陸時，會讓要綁定的客戶眨眼以此來通過驗證，另外進一步利用三維建模技術加強防偽攻擊的能力。同樣來說人臉識別并不是精確地信息對比，而是一個相似度對比。對比匹配階段其主要影響因素是數據庫的問題，可以說后臺數據庫的數據豐富度也決定著最終的決策結果。

（8）數據收集：現今人們的生活離不開手機，而一部手機可以說存儲著我們幾乎全部的特征數據。我們可以把所有APP的后臺數據庫整合起來，例如微信、QQ、微博等熱交流軟件，然后整合后臺的數據庫，因為現在的消費群體普遍喜歡分享自己的生活動態，那么這里就不排除曬自拍，在此我們可能會忽略一張高清圖片的真正的信息量，我們不僅可以提取人臉輪廓、甚至指紋也可以提取，所以題針對這一龐大的數據庫可以大大降低我們的出錯率從而提高了適用性。除了數據收集這一項現在的識別技術都具備自主學習與深度學習的功能，我們通過每一次的認證識別都是在更新后臺的數據存儲，所以隨著長此以往的高頻認證我們不斷的在提高生物認證的準確率。

（9）數據安全：面對這么一個全面且具體的生物特征數據庫一旦被盜取豈不是再也不能進行生物認證。不得不說這是一個問題，但是我們現今的技術也是很全面的，目前的安全保護手段能基本解決已知的攻擊類型。技術安全專家也表示，現如今的手段，可以做到只拿身份證驗證結果，但是驗證過程和生物信息數據是無法干擾和盜取的。所以我們可以無需擔心這一問題的發生。再其次，我們可以把對數據的“脫敏”技術應用于圖像上，所謂脫敏技術就是把具體數據模糊化（例如“張三”以我們肉眼的呈現方式為“張*”，但是在計算機數據中卻是可以識別具體信息），所以同理我們把此項技術應用于圖像上進行模糊化處理達到肉眼無法識別的模式，這就在無形中提高了數據庫的安全性。

（二）生物認證兩個衡量指標

上面我們提到了安全性和適用性其實是生物認證的兩大衡量指標。分別是：

（1）錯誤接受率FAR（False Accept Rates）指系統接受冒名頂替者的概率，主要體現生物認證的安全性能。

FAR=錯誤接受的事件數/樣本總數*100%，可以看出當FAR越小時，安全性是越高的，其范圍一般是十萬分之一到百萬分之一。

（2）錯誤拒絕率FRR（False Reject Rates）指系統拒絕授權個人的概率，主要體現生物認證的適用性能。

FRR=錯誤拒絕的事件數/樣本總數*100%，當FRR越大，安全性越高，但同樣FRR越大，越容易被拒絕，同樣可用性降低了。

此兩者之間存在相互制約的關系，當FRR減小時，FAR就會增大。如果FAR減小，FRR就會增大。所以對于安全性能要求較高的應用場合（國防、銀行等高機密場所），生物認證應該追求較小的FAR，以此提高安全性，因為在此過程中所準許用戶所被拒絕所造成的后果是要小于非準許的用戶被接受所造成的后果。而我們要追求FAR減小的方法就是“AND”操作，也就是多種生物特征結合的方式達到同時滿足的方式。FAR=FARI*FAR2*…*FARn；FRR=1（1-FRR1）*（1-FRR2）*…*（1-FRRn）在此過程中FAR逐漸變小，FRR逐漸變大；說明安全性能在提高時其適用性就降低了。例如刷臉認證與指紋識別的結合雙重認證，只有兩者都滿足所定義的閾值（安全性能與適用性能的所允許的界限值）內，才可認為匹配成功，如果任何一種沒達到或超出閾值，則認為匹配失敗。endprint

而在追求適用性能較高的場合（私人企業、學校打卡考勤等場所）則可采用FRR增大的方法，因為在此追求的后果問題是接受率而不是拒絕率，主要追求的是認證的適用性問題。同樣要追求FRR增大的方法就是“OR”操作，也就是在認證過程中只需要滿足一種方式就可以，例如上班打卡只需要通過人臉識別就可以。FAR=1（1-FAR1）*（1-FAR2）*…*（1-FARn）；FRR=FRRI*FRR2*…*FRRn，在此過程中FAR增大安全性在降低，但是FRR減小使得適用性能提高。

（三）隨機型多通道結合生物認證

所謂多通道生物認證就是采取多種生物特征為個體的認證對象，將其在認證過程中進行特征融合，最終給出一個整合后的認證結果。在上一點上我們論證過只有不斷地減小FAR才能使得安全性能得到提高。所以我們采用“AND”操作恰恰可以提高此項安全性，而且也是使各生物特種結合起來以達到提高準確性的有效方法。多通道結合雖然提高了生物認證的整體安全性能，但是仍不可杜絕現在“剽竊”分子的非法手段。例如如果一項多通道認證是“語音識別+指紋識別”，那么不法分子可以通過音頻文件或者變聲器加上指紋倒模輕松破譯。要降低這種情況的發生我們可以采用隨機多通道結合生物認證方式。

隨機型多通道結合生物認證。所謂隨機也就是沒有固定模式，我們也不知道我們所要接受的認證到底是哪一項或者哪幾項。本身生物認證都是我們自身的生物特征，所以不存在沒有帶或者忘記的情況。而同樣不法分子卻是不能把所有的作案工具或者生物特征信息都準備齊全。所以以此降低不法分子的作案幾率，同時如果認證方式是人臉識別，那么很容易就可以追蹤逃犯，同時提高了警方偵破能力。

五、總結

面對現今的沒有全面成熟的生物認證方式在此還是建議對于高保密性的應用，刷臉、指紋等生物認證只能作為一種輔助驗證方式，更不可以作為單一的驗證方式，要想增加安全性還是建議采用隨機型多通道結合的生物認證方式。當然面對我們的日常生活工作我們還是以適用性為主，例如平時的打卡、小額支付等，我們也不需要擔心是否會因為這種方式而造成嚴重經濟損失，在支付寶的刷臉支付功能中，其對顧客的損失是有一定保障和賠付的，而且刷臉支付的單筆交易額≤500，且單日支付總金額≤1000。所以我們可以安心享受這種便捷的生活方式。生物認證的進步我們不能阻止，更不能因為他的弊端而制止這種發展，只要這種趨勢的發展掌控在我們可控制的范圍內，我們就有機會去開拓這個市場，這個領域。而我們所面對的問題是在安全性和適用性上做出完美的平衡才是當務之急。所以不論從哪方面哪個角度，未來的認證方式需要更多技術的融匯互補，這也是科技進步的必然趨勢。endprint