傅山，潘娟

（中國信息通信研究院，北京 100191）

1 引言

生物識別技術被認為是21世紀最具潛力的科技之一，近年來該技術的應用受到了廣泛關注，使用該技術的各類產品已經深入到人們的生活當中，在個人身份識別、社會安全和國家安全維護方面起到了重要作用。2013年以來，多家終端廠商推出搭載指紋認證功能的手機，進一步推動了生物識別技術在移動互聯網領域中的應用。研究機構IHS預測，到2020年指紋識別技術的市場規(guī)模將達到近17億美元，而且大部分的增長動力來自于亞洲，尤其是中國。與此同時，涉及生物識別的安全隱患日漸凸顯：一旦發(fā)生信息泄露，將導致仿冒身份等惡意事件的發(fā)生，這將帶來一系列嚴重的經濟和社會影響，甚至威脅國家安全。

2 生物識別的發(fā)展與應用現狀

生物識別是通過計算機與生物傳感器和生物測量學原理等高科技手段密切結合，利用人體固有的生物特征來進行用戶個人身份的鑒定。身份鑒定的過程分為：生物信息采集、生物信息處理、生物特征提取、生物數據保存和特征模板比對。使用到的生物信息包括指紋信息、虹膜信息、面部信息、聲紋信息、掌紋信息等。

生物識別技術具有不易遺忘或丟失、防偽效果好、使用靈活方便的特點，近30年來廣泛用于商業(yè)、司法、公共與社會領域，主要應用于門禁、考勤、指紋取證、社會醫(yī)療、教育衛(wèi)生及治安管理等方面。而將生物識別技術如此大規(guī)模地應用于移動智能終端，則是近年來一項新的嘗試，蘋果、三星、華為等紛紛推出搭載指紋識別功能的終端。

由于移動智能終端設備體積和性能的局限性，終端中可能使用的生物識別技術主要為指紋識別、人臉識別和聲紋識別。

（1）指紋識別是通過指紋傳感器采集指紋信息，比較不同指紋細節(jié)的特征點進行身份鑒別。指紋識別技術發(fā)展較早，識別算法較為成熟，目前絕大多數移動智能終端中采用的生物識別技術均為指紋識別。從全球范圍來看，指紋識別占整個生物識別市場近60%的市場份額，有超過幾千家的指紋識別廠商生產數百種以上的指紋識別產品，而其他生物識別技術廠商不足其十分之一。早在2011年，就有搭載指紋識別功能的智能終端問世，但由于用戶體驗、精確度等原因并沒有引起足夠重視。隨著終端性能的提升、指紋識別解決方案的成熟以及識別算法的不斷優(yōu)化，具有指紋識別的智能終端愈發(fā)普及，目前支持指紋識別功能的移動智能終端出貨量有近億臺。

2013年9月，蘋果公司推出的iPhone 5s手機中使用了Touch ID指紋識別技術，具體如圖1所示，Touch ID指紋傳感器采用電容式技術原理，檢測指紋谷和脊的距離差導致的陣列中不同電容的差異，將指紋信息通過特殊計算方式轉換為指紋模板，以方便存儲和比對。

圖1 iPhone 5s指紋傳感器結構

（2）面部識別是根據人的面部特征來進行身份識別的技術，目前主要采用的是標準視頻識別技術，通過普通攝像頭記錄下被拍攝者的面部特征，將其轉換成數字信號進行身份識別。

安卓4.0系統(tǒng)已增加了面部識別解鎖功能，具體如圖2所示，在錄入面部圖像時提示用戶需選擇亮度適中的室內場所，并將手機放在與視線平齊的高度。但正如安卓系統(tǒng)所提示的：“人臉解鎖的安全性比不上圖案、PIN或密碼，與您面容相似的人也能解鎖您的手機”。因此面部識別的精確度并不太高。

圖2 安卓面部識別設置界面

（3）聲紋識別是近年來廠商追逐的焦點之一，與其他生物識別技術相比，聲紋識別的應用有一些特殊的優(yōu)勢：聲紋特征獲取簡單方便，應用場景廣泛；獲取聲音的識別成本較低，麥克風進行采集即可；聲紋辨識和確認的算法復雜度較低等。將該技術配備到移動智能終端指日可待。

生物識別作為一種身份識別的技術，在移動智能終端中主要被用于以下4種場景：

（1）屏幕解鎖：屏幕解鎖是指紋識別在智能終端中最主要的應用，當指紋驗證失敗后，通?？蛇x擇另一種身份驗證方式解鎖，如密碼、手勢等。

（2）多用戶訪問控制：終端支持訪客模式和主人模式，機主可預先錄入多個指紋并設定相應手指所對應的模式，當使用不同的手指打開手機時，手機會自動匹配指紋對應的模式，若使用訪客模式對應的手指進行解鎖時，手機可以呈現出用戶預置的訪客界面，適當隱藏機主的某些信息如通訊錄、短信記錄、郵件等，保護用戶個人隱私。

（3）賬戶登錄及支付：以蘋果手機為例，用戶在iTunes Store和App Store中可以啟用指紋識別，啟用后在蘋果商店購買音樂或游戲時可選擇掃描指紋或賬戶密碼的方式進行支付。應用廠商支付寶也在終端實現了指紋支付功能。

（4）加密文件夾：手機具有“私密模式”，有隱藏照片、信息、聯系記錄等功能，當有人訪問這些內容時則被要求輸入指紋或密碼，在屏幕已解鎖狀態(tài)下也能保護用戶隱私不被泄露。

3 移動智能終端面臨的風險與挑戰(zhàn)

移動智能終端在使用生物識別技術的同時，涉及到的生物信息的安全隱患也備受關注，智能終端可能面臨著以下3個方面的安全問題：

（1）增加了設備被入侵的可能性：黑客可以通過偽造生物特征（如指紋膜等）入侵手機，也可以通過竊取生物信息模板、鏡像還原生物信息甚至通過生物信息模板替換等方式冒用合法用戶身份，達到入侵手機的目的。

位于柏林的安全實驗室SRLabs曾演示移動智能終端指紋識別安全功能的漏洞，利用用戶留在屏幕的指紋制作指紋模具成功解鎖了手機，并展示了使用照片開發(fā)指紋模具的過程?？梢酝ㄟ^指紋模具成功控制設備，甚至獲取存儲在這臺設備的賬號信息。

（2）用戶生物信息泄露：黑客可能會還原手機中存儲或網絡中傳輸的生物信息模板，得到原始的生物信息，而生物密碼一旦被竊取將終身無法更改，從而面臨身份冒用的風險。

（3）惡意軟件調用：移動智能終端作為生物信息新的載體，與傳統(tǒng)生物識別設備相比具有復雜的使用環(huán)境，面臨惡意軟件調用的風險，惡意軟件可能冒用用戶身份進行惡意操作，如竊取資費、惡意下載收費軟件等，這將會給用戶帶來經濟損失。

為減少或避免由這類安全問題所引發(fā)的損失，廠商應將可能出現的風險及時告知用戶，并采用一定的技術或管理手段對關鍵環(huán)節(jié)進行把控，如生物密碼防暴力破解、安全存儲和安全運行環(huán)境等。

目前國際上對于移動智能終端中生物識別技術的研究尚處在開始階段，2012年在美國成立的“在線快速身份驗證聯盟（FIDO Alliance）”在這個領域的研究起步較早。FIDO的目標是創(chuàng)建一組新的協議，支持對web應用持續(xù)的、安全的、無需密碼的訪問（即所謂的非密碼強認證），對于互聯網公司來說，隨著重大數據泄露事故的頻發(fā)，過去基于密碼的在線身份驗證技術已經難以維持互聯網經濟的穩(wěn)定發(fā)展。FIDO聯盟正是在這個背景下應運而生的一個推動“去密碼化”的強認證協議標準組織。

FIDO通過2個子協議實現安全登錄（驗證）：U2F（Universal 2nd Factor）標準是關于使用PIN和USB棒或者支持NFC的手機，通過利用設備中的安全芯片，以雙重身份認證的方式保證用戶帳號、信息安全，個人用戶也可以購買采取相應技術的硬件設備達到此功能，比如說指紋識別器；第二個相關協議UAF（Universal Authentication Framework）使用生物密碼代替簡單密碼，支持指紋、語音、虹膜掃描等生物識別技術。FIDO協議由用戶注冊及用戶登錄這2部分實現：當用戶登錄服務器注冊信息時，用戶的加密設備產生1對非對稱密鑰對，私鑰在加密設備中保留，黑客無法讀取，公鑰傳給服務器，服務器將此公鑰和用戶對應的賬戶相關聯；當用戶登錄服務器驗證信息時，用戶使用設備中的私鑰對服務器的數據做簽名，服務器使用對應的公鑰做驗證。用戶設備中的私鑰必須經過用戶解鎖（如按鍵，按下指紋等）才能被用來做簽名操作。這樣就把用戶身份憑證由指紋等信息轉化為公私鑰機制，將原先的風險集中于服務端改進為風險分散到服務端和設備端，有效地分割了風險，降低了整體系統(tǒng)的風險。FIDO聯盟的一個目標就是更好地利用終端硬件中已經內置的安全設備來保護終端的安全。貝寶、谷歌、微軟、高通、恩智浦等均是FIDO聯盟的會員。

4 結束語

隨著移動互聯網的快速發(fā)展，基于移動智能終端的各類應用層出不窮，生物識別的多種應用場景在為用戶帶來便利的同時也存在一定的安全隱患，為生物識別在智能終端的發(fā)展帶來了一定的挑戰(zhàn)。目前，終端基數不斷擴大，需要加快制訂保障用戶生物信息安全的法規(guī)，建立移動智能終端生物識別安全要求的相關標準，與國際標準組織和產業(yè)聯盟溝通技術要求，強化技術實力，保障移動智能終端生物識別安全，促進行業(yè)健康有序發(fā)展。

[1] 方植彬. 信息與通信網絡安全技術——生物識別技術[J]. 電子產品可靠性與環(huán)境試驗, 2014,32(5).

[2] 楊強,譚禮俊. 生物識別技術對比淺析[J]. 大眾科技, 2005(2).

[3] 朱珍,王景艷. 生物識別技術與應用[J]. 佛山科學技術學院學報: 自然科學版, 2003(3).

[4] 陳洪京. 幾種生物識別方法的比較研究[J]. 河北省科學院學報, 2007(4).

[5] 張立. 國際生物識別技術及其發(fā)展趨勢[J]. 智能建筑與城市信息, 2007(1).★