刷脸你敢吗

18.12.2014  14:05

    最近,上海一商家推出了脸谱支付系统,通过对人脸的扫描确定支付人,从而划走其账户资金完成支付。其实,人脸支付不是头一回听闻,指纹、掌纹、笔迹、声音、人脸……这些人体生物特征作为密码,“随身携带”更便捷,“量身定制”更唯一。然而,也正是因为它的唯一性,让很多人忧心:身体密码如果被盗取复制或者需要更换时怎么办,“身体支付”相对于传统支付是否更安全?

    人脸识别精度有多高

    换个发型、戴了眼镜,高质量设备照样能认出你戴上眼镜、变了发型,机器还能不能识别出你的脸?最新推出的人脸支付系统,为了增强识别精度,除了扫描人脸之外还需要支付者“按个手印”,通过指纹数据比对配合,才能最终完成支付确认。

    “目前,在受控场景一对一的人脸识别身份认证准确率可以超过99%。”中国科学院自动化研究所模式识别国家重点实验室研究员孙哲南介绍,人脸和指纹识别技术已经有50年的发展历史,积累了比较成熟的技术体系,即使戴眼镜换发型,也基本都能识别出来。

    “同样,在受控条件下,指纹、人脸、虹膜等主流生物特征模态识别精度和速度都能满足金融支付应用。”孙哲南详细解释了受控条件这个高精度识别的前提,“主要是指设备、用户和环境等因素都有利于识别的情况,例如高质量的图像采集装置、用户配合、光照均匀等。

    “这也是为什么人脸和指纹识别技术很早以前就在强制性较高的公安领域应用,却还没在金融支付领域普及的原因。”支付宝安全技术资深总监曹恺表示,金融过程尤其是消费支付过程时间很短,并且用户一般是远程支付而不是面对面配合,这就对识别技术的准确性、可靠性包括用户体验提出了更高的要求。

    如今,人脸支付等利用生物识别技术付款的方式越来越具备普及的基础。近几年生物识别技术在采集设备和识别方法上都有重要突破。“例如深度机器学习方法使人脸识别精度大幅提升,近期测试结果表明通过大规模数据训练后在限定图像测试库上电脑的人脸比对精度超过人脑。”孙哲南说。同时,传感器等采集设备的发展和普及也让人脸识别技术越来越接近日常使用。目前国际上已经有一些银行认可指纹、虹膜、静脉作为身份标识开展银行业务。

    假脸骗得了计算机吗

    通过多摄像头和动作检测等手段,可抵御攻击,但没有绝对的安全

    不久前,德国的一个实验室证明可以用假指纹解锁苹果公司的iPhone6手机,从而获得包括支付在内的各种应用通行证。类似经验恐怕普通人也曾有过,买一个指纹贴,复制上别人指纹贴在自己手指上,就能帮迟到的同事“作弊”代打卡了。

    同样,如果利用你的头像照片或是视频,是否也能骗过机器“登堂入室”?这些都是生物识别系统前端采集环节最常见的攻击。孙哲南认为,目前还没有比较低成本、高可靠的指纹和人脸防伪手段,因此安全风险较高。但这并不意味着技术上没有办法,如果提高技术成本,有效的防攻击手段并不少。

    比如传统的刮擦式指纹传感设备抗攻击能力比较弱,但是新的电容式传感器已经能够很好地监测真皮层的纹路来获取指纹,通过只复制了表面的指纹贴很难攻击成功。比如通过多个摄像头可以检测人脸是否为三维立体,从而有效防止二维的照片和视频攻击,或者在识别用户的过程中让用户随机做一些动作,提前准备好的假体视频很难应付这种动态检测。

    “攻防的过程可以说是魔高一尺、道高一丈,没有绝对的安全,但防攻击手段的提升能拉高攻击的门槛,当攻击成本高于收益,就意味着攻击没有了价值。”曹恺说,不久前支付宝在其安全开放日发布了人脸等生物识别支付技术,“这些技术在实验室内测中已经得到了不错的结果。

    身体密码被盗怎么办

    将人脸图像数据与动态参数绑定,如被窃只需挂失动态参数

    如果将人脸作为支付密码,在支付过程中人脸数据被黑客截走,难道需要“挂失”现在的模样,换一张脸才行吗?这当然只是个可怕的想象。在支付以及密码数据接收的这一中间和终端环节中,专家通过对生物模板的脱敏和加密保护来实现用户生物特征的保护。

    “简单来说,就是让人脸或者其他生物特征变得可撤销、可变更。”孙哲南介绍了一种业内比较热门的加密思路,“就像给生物特征穿上一件变化的外套,比如将人脸图像数据与一个动态参数绑定,如果被窃,只要挂失这个动态参数,就等于挂失了你的生物特征,下次注册会绑定新的参数。并且绑定的数据是不可逆的,即使在支付过程中被拦截,也不能还原成原始图像。

    曹恺提供了目前另一种生物模板加密的研究方向,这种保护方式被称为“模糊保管箱”。曹恺解释,这种保护方式是把用户的生物特征作为密码来保护服务商提供的一组密钥,用户在支付时,使用自己的生物特征对这组预先分配的密钥进行解锁,密钥在完成解锁后传输给服务商进行身份验证,这样一来,网上传输以及服务商保存的只是这组密钥,即使被盗取了危害也不大。

    针对采集设备、活体检测、识别精度、通路加密、服务终端每一支付环节的不同攻击,都有有效招数来狙击风险,而每一个招数背后,都是一个深邃、极富挑战的技术领域。同时,不仅是科技领域,支付安全的发展还依赖更多学科的支撑。“支付安全现在不仅是生物识别、密码学、信息安全问题,还需要综合考虑心理学、社会工程学、支付行为学等多方因素制定安全方案,支付安全已经进入了一个新时代。”曹恺说,比如大额支付和手机话费充值所采用的安全保护技术自然有所区别,一个更强调安全,一个更强调方便。

    孙哲南则看好生物识别技术的应用前景,他认为,不仅仅用于支付,生物特征还将是智能时代的身份入口,人脸、虹膜等更多的生物特征将为智能设备、智能网络、智能安防等提供自动精准的身份标识,这既对生物识别技术提出重大挑战,也蕴含着巨大的市场。

    □据《人民日报