在描述一种生物识别方式,尤其是在和其他识别方式来进行对比时,我们常常提到三个指标:独特性、丰富度和稳定性。
以指静脉识别为例,首先要求你的手指内的静脉血管每个人都不是一样的;而且血管足够多、密,这样保证了丰富度,不容易被复制;最后这指静脉血管是不会发生变化的,这样才算是一个合格的生物识别方式。但合格并不意味着全部,在他人胁迫的情况下,你同样会被强制进行识别认证。
理论上来讲,越独特、越丰富、越稳定的生物识别方式就越被认为是安全的存在,比如基因识别一度被认为是最为安全唯一的认证,但同卵双胞胎的基因相似度极高,也很难进行真切的分辨。声音可能被录制、人脸(2d)有可能被拍照,即便是有深度人脸识别(3d),如果 3d 打印足够牛,我直接打印个人头出来,或者为了攻击活体检测而发狠去趟韩国,还是可以李鬼代李逵。
视网膜识别在业内被认为是极具安全的存在,因为这是完全不可见的,但是针对视网膜识别的研究发现,采取的光源有可能会对视网膜造成损害,故现在研究放缓,暂没有什么更新的消息出现。另外,纠结安全的时候也无法回避便利。如果指尖有污渍油渍,也很难识别清楚;指静脉识别注册需要一定的压感,且接触式的识别总会让人感觉不那么自然,这么看来非接触式是个发展趋势。
(碟5中的视网膜识别)
评价生物特征识别技术的优劣,主要使用注册成功率、错误拒绝率和错误接受率等指标。只是这种指标基于不同的实验数据库,样本群体不同,我也无法多做评论。事实上,我们无法评价某种技术就是绝对的安全(或是绝对的无用)。再反过来想想,当我们评价某种生物识别技术时,其实更多的是在评价这种生理特征本身的特质(独特、丰富、稳定)。
举个例子,如果指纹识别可以识别到非常非常精细的程度、指静脉可以识别到非常非常细小的血管末端,人脸识别可以识别到足够足够精细的面部细节,这都将是很好的安全认证技术,遗憾的是,无论算法还是硬件,我们还没有到达这种程度。好在这种情况正逐步发生改变,以巩膜识别(又称眼球识别、眼纹识别,这种技术就是识别眼白部分的毛细血管丰富程度)为例,大约在 8月 份的时候,笔者首次接触了 EyeVerify 的 Eyeprint 技术,直观感觉还蛮不错,就是巩膜注册、识别和攻击反应的时间都较长。时隔两月,在 2015 云栖大会上,笔者再次遇见 EyeVerify 的 CEO ,Toby Rush 现场演示了最新的 Eyeprint 技术,巩膜注册、识别乃至攻击反馈的时间都已缩短,已在可以忍受的范围内。
互联网将我们带入了云的时代,正如有人的地方就有江湖,有云的地方也会有攻击。 如何说服众多客户可以安心的使用云是所有云服务公司的核心思考,首当其冲就是入口安全问题。在 2015 云栖大会生物识别专场,我们发现了一个现象,生物识别越来越趋向于多种识别方式相结合的方向发展。这个逻辑认为,在识别和攻击越来越胶着的今天,既然一把锁不够,那我就开挂多加几把,看你如何攻击。
但这并非是叶良辰式的任性选择,比如你选了指纹识别,那么指静脉识别、掌纹识别就没太大必要,较为流畅自然安全结合程度高的是人脸、声音、眼睛三个部位的结合,这便有了 “人脸识别(2D/3D)+语音识别+巩膜/虹膜识别” 三位一体的生物识别认证模式, 恰好这些都可以在手机终端上得到解决,甚至不需要增加太多的硬件设备,除了虹膜识别要增加一个近红外摄像头,但信奉极简设计理念的手机企业可能不会为了更高的安全系数而增加一个摄像头,好消息是三星正在开发自带近红外光源的屏幕,而坊间称苹果 7 正在考虑使用三星的 OLED 屏。
我们通篇在谈的认证仅仅是前端看的见的身份认证,后端还存在一个信息认证环节,所有的身份认证通过后将会转化到信息认证这一块,完成和数据库的信息匹配。可以这么认为,你在数据库里面重新构建了一个你,每一次的认证都是完成了一次 “灵魂附体”。在一次和张健(南华会会长)的闲聊中,张提过一个有趣的概念:人就是 CPS 概念的延伸。CPS 本意是 Cyber - Physical System(被指是工业 4.0 的核心),意味着虚拟和物理的融合,他认为人其实也是有 C 体和 P 体。这么想也对,身份认证终究是从 P 体的角度来解决,还有 C 体需要你来完善。就好比我的 P 体在这里,而 C 体正在网络上和你对话。互联网 + 到最后其实就是在 + 自己。以人为本,链接一切,由我的 P 体生成一个 C 体,完成了对这一切的链接。