刷指纹、刷脸：更安全还是更危险？看了就知道了

随着生物特征识别技术的广泛使用，引起了很多有关用户隐私的担忧。不论出于什么原因，只要一个人提供了自己的生物特征，这就意味着他的生物特征有可能会被复制和滥用。由于很多情形下人的生物特征和其身份信息是绑定在一起的，生物特征数据的泄露有可能进一步导致与此人相关的大量个人隐私的泄露，这显然是一个值得担忧的问题。而且，人的生物特征是不可改变的，这就意味着一旦泄露就没有新的生物特征可更新，因此，怎样存储生物特征模板以确保其安全性是一个至关重要的问题。

 

用户密码的安全存储是一个经典的老问题。在许多UNIX系统中，用户密码首先用安全的哈希算法哈希（如SHA-1），将哈希值存储在影子口令文件中。当用户输入密码时，该密码被哈希，得出的哈希值和存储的哈希值进行比较，通过两个值比较来确定用户的身份。这样，即使影子口令文件被攻破，对任何攻击者来说，通过哈希值来还原原始密码是非常困难的（即使系统公开使用的哈希算法）。当检测到密码泄露，合法用户可以更新密码，使原密码无效。

 

虽然通过加密哈希技术可以安全地存储密码和身份证号码，但是这个技术很难直接用于保护生物特征模板，主要原因在于人的生物特征具有天然的模糊性，每次采集的生物特征都会略有不同。例如，每次采集指纹时，由于手指皮肤在传感器表面形变不同，或是由于手指和传感器之间有灰尘或油迹，又或是由于手指有损伤等，都会造成采集到的指纹不同。这种生物特征采集时的差别在人脸采集时体现得更加明显（图1）。因此，生物特征认证系统必须在待识别的同源的生物特征有差别的情况下仍保持识别的正确性，这种问题在传统的基于口令的认证系统中是不存在的。

图1 每次测量生物特征时，观察结果会略有不同。

同一个人的指纹样本（左）和面部图片（右）

 

典型的生物特征系统中存储的不是原始的生物特征，而是该生物特征的一个模板，该模板由原始生物特征的可区分性的特征组成。因为不同模态的生物特征具有不同的信号表达形式，因而也就需要不同的特征选择/提取算法。即使对于一种模态的生物特征数据，不同的应用可能采用不同的特征提取策略。例如，脊线图和细节点（端点和分叉点）就是指纹的两种不同的表征。相似地，人脸的特征点（例如眼角点、鼻子、嘴唇等）的绝对位置与它们之间的相对位置可以作为人脸特征模板，此外，用主成分分析算法（PCA）或其他特征提取算法从整幅人脸图像中提取的特征向量也可以作为人脸模板。

图2 在经典的生物特征系统中，通过从原始生物特征数据提取的一些可辨别特征来生成模板，并且用该模板替代生物特征存储在系统中

 

由于生物特征系统中使用的特征提取算法大多是复杂的，由提取的特征反向生成原始生物特征看起来是困难的。但这件事情并不像看起来这么难，举一个例子，假设我们用细节点作为指纹模板存储，最近就有人提出了一种能够从细节点反向生成原始指纹的高效算法。因此，直接存储现有方法生成的生物特征模板是不安全的。所以，将来的生物特征模板生成方法必须满足：利用生物特征模板很难重构原始的生物特征数据，甚至难以粗略估计原始的生物特征数据。这样即便生物特征模板泄露，也不会导致大的安全风险。

 

本文摘编自〔意〕帕特里齐奥·肯佩斯编著,陈  驰  翁大伟 等译《生物特征的安全与隐私》第四章，内容有删减，题目为编者所加。

生物特征的安全与隐私

〔意〕帕特里齐奥·肯佩斯 编著

陈  驰  翁大伟 等译

责任编辑：童安齐

北京：科学出版社 2017.06

ISBN 978-7-03-052152-1

《生物特征的安全与隐私》主要内容涵盖了生物特征识别与密码学这个交叉学科的各个方面的问题：生物特征的安全与隐私、安全的生物特征识别系统面临的问题、生物密码框架、生物特征模板的保护、生物特征识别系统中的隐私泄露、指纹生物特征模板的保护、生物特征加密、增强生物特征识别安全性和隐私性的智能卡、生物特征数据保护的标准、生物特征识别在实现定量安全中的角色、具有隐私保护的生物特征识别的最佳应用案例、生物特征识别在欧洲遇到的人权问题等。

（本期编辑：安 静）

一起阅读科学!

科学出版社│微信ID：sciencepress-cspm

专业品质  学术价值

原创好读  科学品味

更多好素材，期待您的来稿

与科学相约 | 科学出版社征稿启事