身体|生物识别安全隐患仍存：拿什么来保护我们的“身体密码”？央行

文章插图
生物识别技术正快速“走红”海内外众多领域。根据中国信通院2020年发布的《生物识别隐私保护研究报告》，自2010年以来，全球生物识别产业迅速增长，2017-2018年市场增速最快，增长率达到22.28%，2019年之后逐步稳定增长趋势，到2020年市场达到233亿美元。
现今比较成熟的生物识别认证方式有指纹认证、人脸认证、声纹认证、虹膜认证、步态认证等。例如，系统进行活体检测时，用户“眨眨眼、点点头”即可快速实现线上身份确认；指纹、人脸还能用于免密登录认证、免密支付转账、线上合同签署操作；执法部门通过人脸识别对特定人员进行精准搜索和巡查……
不可否认，生物识别技术让用户的认证方式变得简单、易操作，但应用过程中也会出现一些风险，有两类安全问题尤为突出。
安全问题1：针对生物识别技术的安全攻击持续不断
这些年，对于生物识别认证的攻击一直存在，攻击手法层出不穷，但大致归为两类：一种是通过网络对生物识别信息的截取，以便实现对认证系统的攻击，这种攻击方法主要针对远程人脸认证；另一种是通过深度伪造生物识别信息，做出极其逼真的3D人脸模具、指纹模具，实现以假乱真的效果。
2017年央视315晚会现场，主持人凭借手机和一张正面照片，就使用“换脸”特效成功攻破人脸识别系统；2018年一篇《一块橘子皮就能秒开你的手机指纹锁还能转账付款》的文章被疯狂转载，攻击者使用特定的方法和工具，即可实现手机指纹解锁的破解；2019年1月，在德国黑客组织年度大会上，研究员使用照片制成的手摸绕过了静脉认证；同年3月，攻击者利用AI技术成功模仿并冒充英国某公司CEO的声音，诈骗22万欧元；近年来，使用3D打印面具，可呈现极度逼真的人脸模型，骗过某些手机终端人脸识别认证系统。
实际上，我们需要通过优化生物识别认证算法，或结合其他安全认证原理，结合特定的应用场景，才能实现可靠性、安全性的防护，防止误认、漏认等风险的发生。比如，央行发布的《网上银行系统信息安全通用规范2020》明确指出，应把生物特征技术作为安全增强手段，并与其他身份认证技术相结合，增强交易安全。
安全问题2：个人生物特征隐私保护亟待解决
生物识别信息是每个人与生俱来的特征，一旦遭到泄露，将出现不可挽回的影响。目前，生物特征信息的采集、传输、存储等方面还缺少较为细化的安全措施规范。另外，现有的市场中存在生物信息采集过度，使用过度等乱象，一些企业未征得用户同意的情况下，任意使用生物特征（尤其是人脸信息），对用户隐私造成严重威胁。
保护个人生物信息隐私，实际上需要从法律立法、加强监管、企业自律等多维度开展。近年来，我国相继发布了多个针对生物识别认证相关的标准规范，例如，《信息安全技术基于可信环境的生物特征识别身份鉴别协议框架》（GB∕T 36651-2018）、《信息安全技术远程人脸识别系统技术要求》（GBT38671-2020）等。此外，为切实保护公民个人隐私安全，按照《关于开展摄像头偷窥等黑产集中治理的公告》要求，工信部网络安全管理局近期还组织开展了摄像头网络安全集中整治。
基于多年来对生物识别领域的深度研究及探索实践，中国金融认证中心（CFCA）能为行业提供成熟的安全合规认证解决方案。该方案对接权威数据源，提供用户在线多要素和活体检测功能，认证用户的真实身份；提供基于FIDO标准的生物识别快速认证功能，实现生物特征识别+PKI高强度密码认证的复合身份验证方式，实现用户快速安全授权，优势显著：