基于传统单通道的随机型多通道结合生物认证

邢晓梦　马巍

【摘要】从最初的互联网诞生标志着人类即将跨入一个全新的领域，现在AI（Artificial Intelligence人工智能）时代的到来更是这个全新的领域探索的一大成功利器。当我们的支付方式从最原始的“用户名+密码”进化到现今的“生物特征+活体检测”.在方便我们的生活的同时也同样要面对其存在的安全性。传统的单通道的认证方式并不能对我们的安全性起到绝对的保障。在此要向大家介绍的是随机型多通道结合的生物认证方式，既是需要我们在单通道认证安全的基础上相互结合以提升总体多通道生物认证的安全性能。【关键词】生物认证多通道结合生物认证指纹认证人脸认证虹膜认证

一、引言

面对着时代的进步与发展，我们在步入AI时代的同时，可以说大大的方便了我们的生活。从古时的“签字、画押”就已经标志认证方式的诞生，但同时它的弊端也是特别明显无法辨别，只能代表个人认证，且只能依靠人力识别，而且还不能排除模仿的嫌疑，可以说安全隐患是极大的。到现代的“用户名+密码”认证，过去的我们以为的密码用户名是最安全的保障方式，但是随着互联网的发展同樣弊端出现了，密码本身是特定的排列组合，其一具有确定、不灵活的特性，所以极易被破解（例如字典攻击、暴力攻击）；其二我们现在各种银行卡、会员卡，排除忘记密码的这一非自然因素，以易丢失、数量多成了他的又一大弊端。那么随着我们步入AI时代所诞生全新的“生物特征+活体检测”认证，首先我们再也不用担心遗忘或者丢失的问题；其次防伪性能好不易被盗取；最后我们可以“随身携带”随心而用。当然这种生物认证方式给我们带来的也不仅仅是这些，在此具体给大家分析下典型的生物认证的安全性问题。

二、生物认证

随着AI时代的到来，我们身边围绕着很多以为只有自己知道的“秘密”让电脑和手机知道我们是主人的方式很多，社交网络、电子邮件的字符密码；手机上的指纹识别；人脸识别；甚至虹膜识别，这些秘密安全吗？

所谓生物认证技术就是，通过计算机与光学、声学、生物传感器和生物统计学院里等高科技手段密切结合，利用人体固有的生理特征如（DNA、指纹、指静脉、人脸、虹膜等）和行为特征如（笔迹、声音、步态等）来进行个人身份的鉴定。全面的体现了其普遍、稳定、可采集等特点。

我们以支付宝的真正的“靠脸吃饭”来真正见识一下生物认证的便捷。9月1日，支付宝在肯德基的KPRO餐厅上线刷脸支付：不用手机，通过刷脸即可支付。这也是刷脸支付在全球范围内的首次商用试点。在杭州万象城肯德基的KPRO餐厅里，刷脸支付是这么玩的：在自助点餐机上选好餐，进入支付页面，选择“支付宝刷脸付”，然后进行人脸识别，大约需要1-2秒，再输入与支付宝账号绑定的手机号，确认后即可支付。支付过程不到10秒。那么生物认证仅仅是这么简单吗？显然不是！那么我们所担心的问题又是什么？

三、单通道生物认证的漏洞

越来越高端的生物认证问题安全吗？随着科技的不断进步，各种密码认证方式不断推陈出新，从最原始的“用户名+密码”进化到“生物特征+活体检测”，使得指纹识别、人脸识别、虹膜识别这些高端立体的生物认证进入大众生活。但是，近年来的各种网络诈骗层出不穷：传统的中奖欺诈、假冒银行、网购退款依然是热门的诈骗手段，而新生的虚假兼职、金融互助、APK木马、虚假红包等也越来越多地出现在人们的视野。值得注意的是，一些老生常谈的诈骗手法结合了新的通讯信息工具和社会热门趋势，爆发出更大的危害，也使得骗局更难以识别。那我们所谓的这些高端就意味着安全吗？密码应该是隐秘的，对于生物认证而言，你带着自己的手指、脸四处晃悠、也就是在将你自己的密码暴露在外界之中，这与我们的所谓的安全认知恰恰相反；面对这一想法有些细思极恐。我们就简单列举目前典型的生物认证的安全性问题。

（一）指纹认证

指纹作为我们现今最为普遍的一种生物认证方式，前文提到从古代我们就采用指纹来验明身份，可以说指纹认证具有方便、可靠、成本低的特点，而且已经在许多领域广泛应用，例如现在的智能机都具备指纹支付解锁、支付等功能；生活中，很多部门的门禁、考勤打卡、保险箱、手机解锁都用的指纹，指纹首先具有唯一性，方便携带不会丢。当你通过读取器读取了独一无二的指纹后，你的电脑手机当然知道你是就是那个需要登入账户的正主；这样一来你会觉得指纹比密码可靠多了。

但是这并不意味着依靠指纹就能标志出你的独家身份。同时却也是极其容易被外界获得。我们所用的纸张、水杯、键盘、桌子等日常生活常用物品都可以留下你的指纹，而且从这些地方copy指纹也很容易，用铅笔加透明胶就可以；其次现在方便的各种网络购物方式一份指纹倒膜30元左右，所以指纹的弊端也显而易见。

（二）人脸认证

其次指纹流行不久后，出现了令大众欢呼的“人脸识别”。其中较为简单的“人脸识别”应用的是身份证与本人之间的验证例如应用于银行转账方面。现今愈来愈热的“刷脸狂潮”（吃饭、登机、登陆等）虽然个别试运行效果不错，但是人脸识别技术真的能证明你就是你吗？

首先从图像本身来说，例如我化了妆、留了胡子、整了容、换了发型发色；那么机器还能识别吗？其次再从获取过程来说，例如光线、我们知道光线会对图片的获取影响很大，那么机器还能识别吗？最后是算法计算的本身问题，例如我们在进行人脸识别的时候，如果是双胞胎的话，我的安全性还会有保障吗？那么这些问题是不是也成了影响图像识别的因素，这也是我们不得不考虑的问题。

（三）虹膜认证

没等人脸识别普及、业界认可度极高的“虹膜识别”登场。虹膜是位于黑色瞳孔和白色巩膜之间的圆环部分，包含很多相互交错的斑点、细丝、条纹、隐窝等细节特征。人出生8个月后，虹膜发育即进入稳定期，终生变化很小，这项“黑科技”不仅仅可以解锁、还可以帮助警察追踪逃犯，也可以在机场、旅游场所等承担安防责任，其精确度达到（1：20000000）。endprint

可能介绍到这里我们还觉得虹膜识别应该是一个比较完备的认证方式，但是它也有它的缺陷。首先，明显的缺陷就是面对眼疾患者，尤其是一些眼球外伤的患者该怎么采取这项认证，好在角膜移植不会改变虹膜纹理，一般不影响虹膜识别。再如，如果是佩戴了隐形眼镜的患者或者美瞳，这都对虹膜的采集造成一定的误差；同样是光线的问题，由于光线的“污染”问题同样影响虹膜的采集。其次，虹膜的识别还有一个距离问题，即使我们排除其他外界条件，识别器与瞳孔还是需要一个合适的范围才能准确聚焦采集，这个问题相比于其他问题可以方便解决，这就需要后期的算法修改对技术进行改进。最后，虹膜技术现在所面对的领域是军方和银行等高应用场合，一般企业、商场很难拥有这么庞大的数据库，使得让算法自主学习成为一个难题。所以这需要时间的堆积才能积累更多的资源。

面对这些层出不穷的问题，任何一种单一的生物认证方式都不是完美的，抛开成本问题如今的科技的飞速化使得太多的“剽窃”行为也在升级可以说是防不胜防。基于不完美理论，软件中没有无错误的软件，同样在生物认证中也没有完美的认证方式，我们只能最大限度上提升我们的认证精准度。

四、随机型多通道结合生物认证

（一）单通道生物认证解决措施

面对如今各种生物认证方式的诞生，我们要想提高生物认证总体的安全性问题，每个单通道的安全性是必须保证的。各种认证方式大体可概括为四个阶段：信息提取、特征提取、对比匹配、决策结果。

首先在信息提取和特征提取这两方面属于技术型影响最终的决策结果，我们所熟知的人脸识别形象问题是会影响输出结果的，所以在提取时就要避开不必要的干扰，我们要做到如下几点：

（1）背景和头发：剔除背景和头发，采取只识别脸部图像的部分。

（2）人脸的面貌：人脸由眼睛、鼻子、嘴、下巴等各部构成，对这些特征和它们之间结构关系的几何描述，可作为识别人脸的重要标准，这些标准被称为几何特征。我们可以针对这些几何特征构造相应的算法。

（3）双胞胎：在我们进行图像录入时，可以通过对后台数据库检索匹配，来查找是否有匹配度高的数据，我们需要采用双因子方式再追加认证，例如虹膜、指纹等。

（4）光源位置和强度的变化：采用直方图规范化，可以消除部分光照的影响。采用对称的从阴影恢复形状（symmetric；shape；from；shading）技术，可以得到一个与光源位置无关的图像。

（5）年龄的变化：建立人脸图像的老化模型，而且我们可定期提醒用户更新它们的图像数据。

（6）表情的变化：提取对表情变化不敏感的特征，或者将人脸图象分割为各个器官的图像，分别识别后再综合判断。

（7）活体检测：活体检测是互联网人脸识别产品应用的第一道防线。用于确保人脸图像来自真人，而非打印出来的人像或三维面具而且机器可以感觉出来。例如眨眼、摇头此类简单动作的“活体取证”。支付宝在验证绑定刷脸登陆时，会让要绑定的客户眨眼以此来通过验证，另外进一步利用三维建模技术加强防伪攻击的能力。同样来说人脸识别并不是精确地信息对比，而是一个相似度对比。对比匹配阶段其主要影响因素是数据库的问题，可以说后台数据库的数据丰富度也决定着最终的决策结果。

（8）数据收集：现今人们的生活离不开手机，而一部手机可以说存储着我们几乎全部的特征数据。我们可以把所有APP的后台数据库整合起来，例如微信、QQ、微博等热交流软件，然后整合后台的数据库，因为现在的消费群体普遍喜欢分享自己的生活动态，那么这里就不排除晒自拍，在此我们可能会忽略一张高清图片的真正的信息量，我们不仅可以提取人脸轮廓、甚至指纹也可以提取，所以题针对这一庞大的数据库可以大大降低我们的出错率从而提高了适用性。除了数据收集这一项现在的识别技术都具备自主学习与深度学习的功能，我们通过每一次的认证识别都是在更新后台的数据存储，所以随着长此以往的高频认证我们不断的在提高生物认证的准确率。

（9）数据安全：面对这么一个全面且具体的生物特征数据库一旦被盗取岂不是再也不能进行生物认证。不得不说这是一个问题，但是我们现今的技术也是很全面的，目前的安全保护手段能基本解决已知的攻击类型。技术安全专家也表示，现如今的手段，可以做到只拿身份证验证结果，但是验证过程和生物信息数据是无法干扰和盗取的。所以我们可以无需担心这一问题的发生。再其次，我们可以把对数据的“脱敏”技术应用于图像上，所谓脱敏技术就是把具体数据模糊化（例如“张三”以我们肉眼的呈现方式为“张*”，但是在计算机数据中却是可以识别具体信息），所以同理我们把此项技术应用于图像上进行模糊化处理达到肉眼无法识别的模式，这就在无形中提高了数据库的安全性。

（二）生物认证两个衡量指标

上面我们提到了安全性和适用性其实是生物认证的两大衡量指标。分别是：

（1）错误接受率FAR（False Accept Rates）指系统接受冒名顶替者的概率，主要体现生物认证的安全性能。

FAR=错误接受的事件数/样本总数*100%，可以看出当FAR越小时，安全性是越高的，其范围一般是十万分之一到百万分之一。

（2）错误拒绝率FRR（False Reject Rates）指系统拒绝授权个人的概率，主要體现生物认证的适用性能。

FRR=错误拒绝的事件数/样本总数*100%，当FRR越大，安全性越高，但同样FRR越大，越容易被拒绝，同样可用性降低了。

此两者之间存在相互制约的关系，当FRR减小时，FAR就会增大。如果FAR减小，FRR就会增大。所以对于安全性能要求较高的应用场合（国防、银行等高机密场所），生物认证应该追求较小的FAR，以此提高安全性，因为在此过程中所准许用户所被拒绝所造成的后果是要小于非准许的用户被接受所造成的后果。而我们要追求FAR减小的方法就是“AND”操作，也就是多种生物特征结合的方式达到同时满足的方式。FAR=FARI*FAR2*…*FARn；FRR=1（1-FRR1）*（1-FRR2）*…*（1-FRRn）在此过程中FAR逐渐变小，FRR逐渐变大；说明安全性能在提高时其适用性就降低了。例如刷脸认证与指纹识别的结合双重认证，只有两者都满足所定义的阈值（安全性能与适用性能的所允许的界限值）内，才可认为匹配成功，如果任何一种没达到或超出阈值，则认为匹配失败。endprint

而在追求适用性能较高的场合（私人企业、学校打卡考勤等场所）则可采用FRR增大的方法，因为在此追求的后果问题是接受率而不是拒绝率，主要追求的是认证的适用性问题。同样要追求FRR增大的方法就是“OR”操作，也就是在认证过程中只需要满足一种方式就可以，例如上班打卡只需要通过人脸识别就可以。FAR=1（1-FAR1）*（1-FAR2）*…*（1-FARn）；FRR=FRRI*FRR2*…*FRRn，在此过程中FAR增大安全性在降低，但是FRR减小使得适用性能提高。

（三）随机型多通道结合生物认证

所谓多通道生物认证就是采取多种生物特征为个体的认证对象，将其在认证过程中进行特征融合，最终给出一个整合后的认证结果。在上一点上我们论证过只有不断地减小FAR才能使得安全性能得到提高。所以我们采用“AND”操作恰恰可以提高此项安全性，而且也是使各生物特种结合起来以达到提高准确性的有效方法。多通道结合虽然提高了生物认证的整体安全性能，但是仍不可杜绝现在“剽窃”分子的非法手段。例如如果一项多通道认证是“语音识别+指纹识别”，那么不法分子可以通过音频文件或者变声器加上指纹倒模轻松破译。要降低这种情况的发生我们可以采用随机多通道结合生物认证方式。

随机型多通道结合生物认证。所谓随机也就是没有固定模式，我们也不知道我们所要接受的认证到底是哪一项或者哪几项。本身生物认证都是我们自身的生物特征，所以不存在没有带或者忘记的情况。而同样不法分子却是不能把所有的作案工具或者生物特征信息都准备齐全。所以以此降低不法分子的作案几率，同时如果认证方式是人脸识别，那么很容易就可以追踪逃犯，同时提高了警方侦破能力。

五、总结

面对现今的没有全面成熟的生物认证方式在此还是建议对于高保密性的应用，刷脸、指纹等生物认证只能作为一种辅助验证方式，更不可以作为单一的验证方式，要想增加安全性还是建议采用随机型多通道结合的生物认证方式。当然面对我们的日常生活工作我们还是以适用性为主，例如平时的打卡、小额支付等，我们也不需要担心是否会因为这种方式而造成严重经济损失，在支付宝的刷脸支付功能中，其对顾客的损失是有一定保障和赔付的，而且刷脸支付的单笔交易額≤500，且单日支付总金额≤1000。所以我们可以安心享受这种便捷的生活方式。生物认证的进步我们不能阻止，更不能因为他的弊端而制止这种发展，只要这种趋势的发展掌控在我们可控制的范围内，我们就有机会去开拓这个市场，这个领域。而我们所面对的问题是在安全性和适用性上做出完美的平衡才是当务之急。所以不论从哪方面哪个角度，未来的认证方式需要更多技术的融汇互补，这也是科技进步的必然趋势。endprint