中科院专家：快速发展的我国生物特征识别标准规范

■ 中国科学院数据与通信保护研究教育中心高级工程师 刘丽敏；中国科学院控股有限公司研究员 荆继武

近年来，随着信息技术的快速发展，如何安全、准确、便捷地实现用户的身份鉴别已变得日益重要。传统的用户名口令模式存在易遗忘、丢失、被盗、不与用户唯一绑定等缺点，生物特征识别技术利用人体的生物特征进行身份识别，以其方便、安全、可靠、准确等优势，逐渐成为我国各行各业广泛采纳的身份鉴别手段，给人们的日常生活带来巨大的便利。

本文在对生物特征识别技术的市场应用及标准研制等情况进行了论述，总结分析了生物特征识别技术可能存在的相关安全问题。

一、国家与行业大量应用呼唤标准规范

1.政府部门充分应用生物特征识别技术

政府部门大量采用生物特征识别技术，提升信息化的安全性，方便人民生活。各管理部门相继出台了相关政策推动生物特征识别技术在第二代居民身份证、电子护照、安防、金融等方面的应用实施。

2003年，劳动与社会保障部颁布了《支付养老金指纹身份认证系统技术规范（试行）》，目前多个省市已相继开展养老金资格认证工作。该规范通过引入指纹识别技术提升社保系统防冒领养老金的能力。

2011年10月，全国人大常委会第23次会议通过对《居民身份证法》进行修订的决定，明确规定第二代居民身份证需要对居民的指纹信息进行登记，自2013年起全面启动身份证登记指纹信息。

2012年5月，全国公安机关统一向普通公民签发电子普通护照，电子护照相比于普通护照，增加了可存储数字化个人信息的芯片，芯片中存储了护照持有人的姓名、性别、出生日期、指纹和面相等生物特征信息，并采用数字签名技术对存储的信息进行了保护。

中国人民银行在2015、2016年相继发布的《中国人民银行关于改进个人账户服务加强账户管理的通知》、《关于银行金融机构远程开立人民币账户的指导意见》、《关于落实个人银行账户分类管理制度的通知》等规范中指出在提供个人银行开立服务时，有条件的银行可探索生物特征识别技术和其他有效技术手段作为核验开户申请人身份信息的辅助手段。

2018年4月修订的《中华人民共和国反恐怖主义法》中规定公安机关调查恐怖活动嫌疑，可以依照有关法律规定对嫌疑人员进行盘问、检查、传唤，可以提取或者采集肖像、指纹、虹膜图像等人体生物特征识别信息和血液、尿液、脱落细胞等生物样本，并留存其签名。

2.重要领域大量应用生物特征识别技术

随着移动互联网的发展与移动智能终端的更新升级，移动支付的需求不断壮大，以指纹识别、刷脸认证等为代表的生物特征识别技术也在金融领域得到了广泛的应用。2015年江苏银行在银行账户注册中引入人脸识别技术，可以实现辅助开户、人像比对等功能；2016年招商银行推出了“ATM刷脸取款”业务，利用双目活检集合和人脸识别技术实现无卡交易；2017年汇丰银行也推出了手机银行的刷脸转账功能，运用人脸识别技术完成小额支付业务。中国银联于2016年发布了《中国银联生物认证技术指引》标准规范，从技术框架、安全体系、软硬件要求及接口数据四个方面对交易的生物认证技术进行了指引，对目前主流的指纹识别、人脸识别、虹膜识别产品与应用制定了统一的标准规范。

基于生物特征的身份鉴别系统层出不穷，目前我国市场上最主要的身份认证平台有3家，分别是互联网金融身份认证联盟IFAA、腾讯的生物认证开放平台SOTER和线上快速身份验证联盟FIDO。

IFAA是由中国信息通信研究院、蚂蚁金服、华为、三星、阿里、中兴等单位联合发起的产业联盟，IFAA联合各大应用、芯片、移动终端等厂商，研究探索基于生物特征识别技术的可信身份认证方案，并发布了《IFAA本地免密技术规范（T/IFAA 0002-2018）》等联盟标准，并积极参与国内国际相关标准的制定。SOTER是由腾讯发起设立的身份认证平台，其研究制定的生物特征识别认证标准主要应用于微信Android客户端。FIDO是最初由PayPal 、谷歌等美国企业联合创建的线上快速身份验证联盟，主要致力于通过制定相关标准，实现对多设备多应用的不同身份认证方式提供同样的支持。

生物特征识别技术在其他方面也得到了广泛应用，包括：考勤、门禁、视频监控、安检等领域。指纹识别技术因为成本低、易用性等因素得到了广泛的应用。人脸识别由于具有无需接触、方便快捷的优势，也逐渐被各业务系统采纳。随着技术的不断发展，步态识别等技术也越来越多地应用到视频监控应用中。另外，针对一些如保密、银行等相关行业，虹膜和静脉等技术具有很大的发展空间。

二、生物特征识别技术标准研究及技术进展

1. 国家信息技术标准

我国信息技术标准化技术委员会于2013年批准成立了生物特征识别分技术委员会（TC28/SC37），负责生物特征识别领域的标准化工作。近年来主要针对生物特征识别基础类、框架类、移动设备生物特征识别、生物特征样本质量、生物特征识别数据交换格式、应用程序接口、实现及测试等展开了标准研究和制定工作。

2. 国家信息安全标准

全国信息安全标准化技术委员会主要针对生物特征识别身份鉴别协议框架、基于生物特征识别的移动智能终端身份鉴别技术框架、虹膜识别系统技术要求、基于可信环境的远程人脸识别认证系统技术要求等展开了标准研究和制定工作。主要研制的标准如表1所示。

3. 密码行业标准

我国密码行业标准化技术委员会针对在线快捷身份鉴别协议、基于生物特征脱敏机制的网络认证技术等展开了标准研究和制定工作。主要标准如表2所示。

4. 金融、安防、工业行业标准

我国金融标准化技术委员会近年来主要针对移动金融基于声纹识别的安全应用技术、金融服务领域生物特征识别安全框架等展开了标准研究和制定工作。其中《移动金融基于声纹识别的安全应用技术规范》于2018年10月发布，是我国金融行业第一个生物特征识别技术标准。金融行业相关的主要标准如表3所示。

我国安全防范报警系统标准化技术委员会近年来主要针对人脸识别、指静脉识别、指纹识别、声纹识别、虹膜识别、活体检测等在安防领域的应用技术要求等开展了标准研究和制定工作。针对不同的生物特征识别系统的技术要求方面，主要研究生物特征数据的采集、检测和存储等内容；针对不同生物特征识别应用的算法识别性能评测方法方面，主要研究算法识别性能评测的测试库建库准则、测试方法和评价方法等内容。研制的部分主要标准如表4所示。

我国电子工业标准化技术协会近年来主要就指纹、人脸识别设备的通用规范等展开了标准研究和制定工作，侧重于对生物特征识别设备的构成、分类、要求、试验方法、质量评定程序、标志、包装、运输和贮存等内容进行规定，为生物特征识别设备的研制、生产和检验提供了参考依据。主要标准如表5所示。

三、生物特征识别技术标准存在的问题和发展建议

1.生物特征信息的安全保护

随着生物特征识别技术大量应用，越来越多的生物特征数据被采集，如指纹、虹膜、人脸信息等。这些信息对每个人来说都是无法撤销和更改的，一旦被非法利用后果不堪设想。随着应用的不断增加，个人信息被重复多次采集的情况越来越多，加上集中式生物特征识别的需求，个人生物特征信息被泄露的风险也越来越大。保护好个人生物特征信息是生物特征识别技术中最重要的问题。

全国信安标委在制定生物特征识别相关标准时，特别重视个人信息保护。在基于生物特征识别的身份鉴别框架和协议中，我们主要推动的是生物特征信息保留在个人终端不上网传播的生物特征识别方式，以确保身份鉴别应用中的个人信息的安全。针对急需的集中式生物特征识别，我们也制定了相关的安全要求标准，努力确保百姓的生物特征信息不被泄露。

2. 扬长避短，发挥生物特征识别的技术优势

随着技术的发展，特别是深度学习技术的出现，生物特征识别技术越来越精确，效率也越来越高。采用生物特征识别技术，不仅很好地方便了用户，提升了易用性，也能在很多应用中提高身份鉴别的安全性。基于生物特征识别的身份鉴别技术也必将成为未来身份鉴别技术的主流。

但生物特征识别技术也具有一定的局限，如何用好用对也是我们面临的主要问题。生物特征识别普遍采用分类技术，即采样到一个样本，通过模式匹配计算，看该样本是否属于某一分类。而这样的问题会有两个指标，一个是准，有时又称为准确率，含义就是你说对方是A对方一定是A，如果你的准确率是90%，那么你说它是A，统计上说，它有90%的可能是A，但也有10%的可能不是A。另一个指标就是全，有时又叫召回率，表示对方是A，你不会不认可他。统计上说，如果你的召回率是90%，那就是说，假设有100个都是A，但你会漏掉了10个，说它们不是A。这两个指标永远是矛盾的，如果准确率越高，召回率就会越低。比如，人脸识别中提高准确率可能会把本来是本人的，因为脸上长个小痘痘就拒绝了，召回率就降低了，提高召回率，又会把长得比较像的非本人接受了。声音识别中准确率要求过高就可能因为感冒声音沙哑就被拒绝，而召回率提高又会把别人的声音放进去。

第二个问题是生物特征识别的熵问题。生物特征，在一定的采样精度下，其熵值是确定的，所谓熵值，也就是在特定情况下该生物特征的差异度的一种信息量度量。计算机在没有任何先验知识的情况下，假冒一个指纹能够通过指纹检测仪的认可的概率就与熵值相关，一般认为指纹的熵值大概为40-60bits。也就是说，如果用计算机来假冒指纹，只需要260次就一定能成功。相比目前密码128bits的强度，生物特征的随机性还有较大差距。在需要高安全的场合，身份鉴别需要与其他机制相配合。

生物特征识别技术相比密码技术还有一个短板，就是生物特征是不可更改的。每次识别都只能用固有的特征，无法随机化。也就是说，生物特征的识别方式一定是对称的，一个识别仪能读取您的生物特征，也就有能力知道如何假冒你。在互联网上，我们无法排除所有的非法设备，也就很难避免我们的生物特征被盗用。这与密码学中的零知识证明等方法也有较大差距，密码学中的零知识证明能够保证你可以知道我就是我，但你却不知道我为什么是我。

3. 规范生物特征识别技术的使用，提升易用与安全性

随着生物特征识别技术的发展和国家相关政策支持的推动，生物特征识别技术作为新的身份鉴别解决方案，已逐渐成为目前最具有发展前景的身份鉴别技术，其易用性给身份鉴别领域带来了重大变革。采用生物特征识别技术已经成为信息化发展的共识。如何确保生物特征识别技术的应用安全是摆在我们面前的重要课题。

在需要高安全强度的地方，我们可能需要高准确率的生物特征识别技术，确保不会把坏人当成好人。比如，长了一个痘痘就不让独立开保险柜。在个人专用终端中，由于其他人仿冒的可能性不大，就可以采用召回率高的应用，以确保应用的流畅和良好的用户感觉，比如长了一个痘痘也要能够开自己的家门。在即有安全要求，又有流畅要求的场所，就可以采用融合其他技术的生物特征识别技术进行身份鉴别。

需要身份鉴别的领域还很多，不同领域需要不同的融合方法和不同的参数选择来确保应用的安全。许多行业应用生物特征识别技术的方案仍不够成熟。我国仍需在生物特征识别技术标准研制、法律法规制定、市场行业监管等方面加大投入，推进更多的企业投入技术的研发以推动产业的持续健康稳定发展。

（本文刊登于《中国信息安全》杂志2019年第2期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。