落红卫,毕业于北京邮电大学,加拿大滑铁卢大学访问学者,中国自动化学会会员、中国通信学会会员,高级工程师。2015年加入蚂蚁金服负责标准化工作。曾主持完成3项ITU-T国际标准、3项国家标准和12项行业标准,参与完成3项ITU-T国际标准、2项国家标准和10多项行业标准制定。当前主持和参与在研的国际、国家和行业标准20多项,参与国家专项5项。
生物特征识别身份认证(下文简称“生物识别认证”)超长的产业链结构,决定了其标准体系的构建必须由多个相关标准组织协同共建方能达成目标。从2015到2018,全国信息技术标准化技术委员会、全国信息安全标准化技术委员会、全国金融标准化技术委员会以及中国通信标准化协会等国内多个技术标准组织共同发力,构建了一个以“终端层、生物特征识别技术层、身份认证与安全、金融应用层”为骨架,覆盖全产业链各个环节标准化需求的标准体系。
从现有经验看,中国企业已经有能力抓住应用场景的创新优势和市场主动权。在“一带一路”宏伟战略和“产业出海”现实需求的时代背景下,中国以国内初具雏形的生物识别认证标准体系为基础,将一些关键环节的技术标准,与领先全球的生物识别认证应用有机结合起来,一起走出国门,将中国实践推向多个国际标准组织。
“以最佳的实践探索来服务中国甚至全球用户”,才是中国生物识别认证产业的未来,兼容并蓄的标准更加符合生物特征识别的安全发展需求,体系化的标准推动之路也会在对产业链各个环节的辐射和覆盖中,走向未来。
一、生物识别认证产业高速发展
移动互联网、云计算使得网络中的计算、服务、身份等资源的虚拟化发展迅速普及,身份管理技术必须适应虚拟计算环境下的身份虚拟化和不断变化的身份关联。网络虚拟化条件下的实体管理和身份鉴别对身份管理技术提出了新的需求,同时也催生了新环境下的身份认证技术。
生物特征识别实际上是一门古老的技术,人类利用生物特征的历史可追溯到古代埃及,通过测量人体各部位的尺寸来鉴别身份。近年来,以深度学习算法为基础的计算技术日渐成熟,为生物特征识别提供了强大的计算和分析能力,大大提升其识别精度,生物特征识别应用市场正处在快速增长当中。
随着移动智能终端的不断升级,生物特征识别技术已经基本成为其标配。生物特征识别技术在提升个人身份认证使用便捷性的同时,有效地保证安全性,具有广阔的应用前景、巨大的社会效益和经济效益。
而以“指纹识别”、“刷脸认证”等为代表的生物识别认证技术在中国移动互联网领域得到广泛应用,其普及速度大大超出几年前业界的预期。在政府的指导和产业链的努力之下,依托用户群体数量和应用创新活力,中国在生物识别认证的技术与应用,早已毫无疑问地成为全球领跑者。
二、技术应用和产业发展呼唤技术规范和安全准则的建立
从一项技术到一个产业,从野蛮生长到规模化演进的过程中,技术标准化的作用有如快速行军中整齐划一的号令,也如高速公路上的交通指示牌和信号灯,是产业高效发展和技术安全应用不可缺少的重要因素。
从中国移动支付快速发展的历史中就不难发现,生物识别认证牵动的是一个规模庞大且高度“碎片化”的产业链——它涵盖了从应用厂商、移动终端厂商、芯片厂商、安全解决方案厂商、算法厂商,到国家检测机构等众多市场角色。每一个成熟应用在市场的推动,可能都要面对一次“从头开始”的解决方案设计,去适配一款手机、一套模组或一组算法。这就呼唤“标准”去帮助产业链各环节支撑起本土化的海量用户业务与应用场景;同时需要“标准”去统一共识,促进产业链软硬结合,降低融合的成本,提升效率;更重要的是,在推动全球化战略的时候,需要共同的“国际标准”去帮助本国的产业链与国际市场需求接轨。这是生物识别认证“标准化”最直接的产业需求所在。
在安全性方面,在越来越频繁地使用生物识别认证技术的同时,也感受到呈现攻击的方式越来越多,攻击的成本也在降低。但值得注意的是,以指纹识别为例,假体指纹判断和识别技术却进展缓慢,在移动设备指纹识别实际应用中,有的只注重用户体验,有的只关注指纹识别的效率,对于图像质量判断、特征提取、存储、比对等流程处理缺少基线的功能和安全要求,技术实现不完整,流程不规范,容易形成安全漏洞。在这个阶段,需要“标准”去满足生物识别认证服务国家信息安全的内在要求,需要有海量用户和交易积累下来的最佳安全实践,去帮助产业链实现金融级的安全保障。
在2017年以前,用于支撑互联网大规模应用场景下生物识别认证的标准体系是不存在的。生物识别认证技术标准,在国内,分散于信息技术、信息安全技术、公共安全等几个技术标准委员会;在国际标准组织层面,仍然只关注于生物特征识别底层技术,数十年如一日的对一些理论问题进行着反复的讨论,没有大规模应用的验证和强力推动,使得这些底层基础标准始终没有走出象牙塔,和轰轰烈烈的产业发展犹如“隔岸观火”,却没有“擦出火花”。
伴随着移动设备生物特征识别技术的快速迭代,无论是技术应用还是产业发展,都在呼唤技术规则和安全准则的建立,呼唤真正植根市场并反哺产业的生物识别认证标准体系的建立。
三、产业标准体系构建之路
1.多个技术标准组织协同共建
2015年6月,“互联网金融身份认证联盟”IFAA成立。对于潜心改进身份认证技术的安全性与便捷性,以提升生物识别认证产业发展高度为己任的IFAA联盟来说,生物识别认证标准化工作是联盟最为重要的一项工作。
2016年4月,经过半年多的努力, IFAA推出本地免密2.0标准,同时支持指纹和虹膜等身份认证方式,定义了多个安全级别——通过支付宝等应用大规模商用落地并快速推广,覆盖了当时国内前各大安卓手机品牌厂商的终端设备,产业链指纹验证集成效率也从最开始的平均3个月降到7天。
2016年5月,全国信标委生物特征识别分技术委员会在杭州宣布“移动设备生物特征识别国家标准工作组”正式成立。作为工作组组长单位,蚂蚁金服结合产业的实际需求,开始从顶层对整个生物识别认证标准体系进行规划和设计。
以IFAA联盟在国内市场与团体标准化层面的实践为基础,国家标准《移动设备生物特征识别第1部分:通用要求》首先在全国信标委生物特征识别分技术委员会启动。在一年多的制定过程中,编制工作组集合了国内具有代表性的生物特征识别算法、模组、芯片、终端、应用厂商以及检测机构40余家,其技术架构内容以IFAA本地免密2.0规范为蓝本,在通用功能要求、安全要求的规范方面获得了广泛的共识。以《第1部分:通用要求》为上位标准,2017年,和指纹、人脸识别技术大规模应用相同步,工作组启动移动设备指纹、人脸、虹膜三项国标制定,初步建立起了清晰的移动设备生物特征识别标准体系,以解决其在移动设备层的生物特征识别、终端可信环境等技术规范问题。
与此同时,2017年4月,全国信息安全标准化技术委员会授权与鉴别标准工作组启动国家标准《信息安全 技术基于生物特征识别的移动智能终端身份鉴别技术框架》的制定,统一身份认证技术框架,规范移动智能终端基于生物特征识别的身份认证系统设计、开发与集成过程中的业务流程、认证协议、功能和安全要求。从体系化角度观察,这是在生物特征识别设备层规范基础上,解决身份认证系统层的规范问题。产业界对此类标准的渴望,技术与监管层对此类标准的期望,促使标准制定大大提速,2018年年底,《身份鉴别技术框架》已经完成了以往可能长达三年的标准化共识工作,进入到最终的审查发布阶段。
2018年,国家科技部在“国家质量基础的共性技术研究与应用”专项中,由全国金融标准化技术委员会启动“金融风险防控关键技术标准研究”课题,将《互联网金融 生物识别认证技术要求》纳入到国家金融标准制定计划之中。这也标志着,生物识别认证标准体系的构建已经在金融领域启动了应用层标准的制定工作。
2.国内国际标准同步推进
2017年4月,在新西兰召开的ISO/IEC JTC1 SC27全体会议上,《移动设备上使用生物特征进行身份鉴别的安全要求》作为国际标准研究项目被批准立项,国际标准ISO/IEC NP 27553的制定征程就此起步。
2018年4月,蚂蚁牵头的国际标准ISO/IEC NP 27553《移动设备上使用生物特征进行身份鉴别的安全要求》在ISO/IEC JTC1 SC27正式立项,23国代表投票支持,这是中国互联网企业在生物识别认证领域首次牵头制定ISO国际标准,同时也填补了在该领域国际标准的空白。
2018年7月,在中国深圳召开的ISO/IEC JTC1 SC37全体会议上,中国专家作为联合编辑参与了生物特征识别性能测试、呈现攻击检测等多个国际标准的制定,并在JTC1层面促使SC37和SC27中关于生物特征识别和安全技术相关的国际标准主题建立了联系。
在国际电信联盟ITU-T SG17层面,2016年9月中国提出的《远程生物识别认证技术框架》标准获得立项,预计2019年完成并发布;2018年9月,基于生物特征识别和身份认证技术的延伸应用,中国提出的国际标准《用于增强身份认证的风险识别技术框架》在ITU-T SG17安全研究组立项成功,成为ITU-T的第一个身份认证风控的国际标准项目,得到了来自全球与会专家的一致认可。
2018年6月,以蚂蚁金服为代表的中国企业得到了IEEE计算机协会的技术支持和认可,在IEEE成功立项并牵头组织《生物特征识别活体检测规范》的制定,聚焦生物特征识别应用中的关键安全问题,成为为IEEE首个针对生物特征识别活体检测的标准项目。
3.雏形初具的标准体系
2018年6月,IFAA联盟正式发布《IFAA本地免密技术规范(T/IFAA 0002-2018)》,即本地免密标准2.1版(包括总体架构、IFAA安全域配置要求、IFAA安全应用技术要求以及IFAA SE管理操作接口),为联盟成员单位应用生物特征模板和业务敏感数据带来更高效便捷的安全性。
此举对于生物识别认证产业来说,具有“里程碑式”的重要意义:紧随其后,基于IFAA本地免密标准2.1的“IFAA 本地3D安全人脸方案”即IFAA Face ID全球首发——这也是全球安卓领域首个达到“金融级安全”的人脸识别解决方案,仅用9个月时间即打破了iPhone X的Face ID在该领域的技术领先。同年10月,IFAA指纹+人脸识别用户总数突破3亿。
2018年11月,蚂蚁金服牵头制定的国家标准GB/T37036-2018《信息技术 移动设备生物特征识别 第1部分:通用要求》正式发布。《信息技术 移动设备生物特征识别 第2部分:指纹》、《信息技术 移动设备生物特征识别 第3部分:人脸》进入到报批阶段。
12月,支撑国家网络可信身份战略,蚂蚁金服牵头制定的身份认证安全国家标准《信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架》进入报批阶段。
2019年1月,在埃及开罗召开的世界银行全球普惠金融倡议(FIGI)大会上,蚂蚁金服代表中国企业向全球普惠金融的技术与应用代表介绍了中国基于生物识别认证技术标准体系,促进金融服务覆盖全球更多个体用户的鲜活案例。
从2015到2019,回顾精彩历程,生物识别认证标准化体系建设肩负着产业的期望与共识,遵循国家安全和全球化战略,一步一个脚印。整个体系的建立经历了从凝聚产业共识,支撑国家网络可信身份战略,到走出国门助力全球化竞争跨越式发展⋯⋯三年多时间过去,我们可以清晰地看到一条立足产业、根植国家、胸怀全球的标准化体系建设之路。
四、从产业中来到产业中去
标准永远要为产业发展、国家利益服务。在生物识别认证标准化之路中,有一个始终必须坚持的观点,就是“在领先的市场中,生物识别认证的发展不应受制于人”。
毫无疑问的是,在生物识别认证领域,再没有比中国市场更具多样性的存在了。这里有海量移动互联网用户支撑起来的场景与需求,它们快速迭代、时时创新——这是中国市场有别于全球市场的鲜明特点。
这也就意味着,海外经验,比如来自美国并试图“普适”全球的FIDO标准,很难与中国市场达成同级别的技术性共识——原因显而易见,海外市场甚至根本没有同级别的业务需求,比如,既要便捷易用,又要达到“金融级”安全。
外来经验虽然值得借鉴,但要实现“主动的”安全,还是要立足本国市场特点展开产业实践。这也决定了,中国生物识别和身份认证的发展,必须“在自己的墙基上砌房子”。
在这个特色鲜明的市场中,发自中国的IFAA联盟及其标准化的方向,首先是要解决产业协同,也就是落地的难题。因为安卓的背景,生物识别认证产业先天就是高度碎片化的。这也就决定了,只有一个支持全链路安全解决方案的强力联盟组织,才能够解决这一难题——它既需要体现在产业链的各个环节中,也需要体现在数据所到和所用之处。
但对于FIDO来说,虽然同是基于该联盟统一的协议标准,却因为在中国由不同的本地服务商执行,其各自支持的产品甚至出现了无法互认的情况。要解决这一难题,重点在于联盟是否具备“全链路协同”的能力——充分融合整个产业链的能力,在照顾产业链各环节诉求的同时,充分保障整个信息链路的安全。
而这样的“全链路”思维与“金融级”、“标准化”恰恰共同组成了IFAA等根植于中国本土的联盟建设和推广行业安全解决方案的指导思想。
比如,在近年大热的“人脸识别”方面,IFAA联盟的成员在统一的标准下,贡献出各自的优势能力,解决了诸多技术难题,包括:
采用Secure Camera技术,让摄像头运行在安全OS中,确保摄像头信息采集及传输安全;
通过安全深度计算芯片加持,使3D人脸识别的安全计算能力提升200%;
从零起步制定IFAA 3D活检算法及评估体系,让更多算法厂商的准入有据可循;
通过安全芯片与云端加密搭建起的硬件级安全通道,保障全链路信息传输安全。
此前,苹果Face ID技术的应用大幅拉开了与安卓手机的技术差距,而OPPO FIND X凭借IFAA Face ID能够最终在人脸识别上于全球安卓阵营实现了突破与创新。在那之后,华为nova 3、华为mate20等机型也相继通过IFAA Face ID实现了对“支付宝人脸支付”的支持,完全打开了在安卓机型上落地“金融级安全”人脸识别功能的广阔空间。
更准确地说,IFAA联盟中各类产业链角色的能力整合与高效协同,才是生物识别认证标准体系最大的需求者和最强有力的落地实施者;也是全球化过程中,中国生物识别认证在国际标准领域实现“中国突破”的“奠基者”。标准体系的产生应该是从产业实际需求中来,最终“反哺”到产业中去,这样的标准体系建设路径才是一条可持续发展之路。
(本文刊登于《中国信息安全》杂志2019年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
