论文部分内容阅读
喜欢网购的刘思佳在一家销售创意家居商品的电商网站上看中了一款手套,正要支付时,他发现了一个问题:自己忘记密码了。
于是,他不得不向随时放在身边的一个小笔记本寻求帮助,那上面,密密麻麻记录着十几个帐号和密码。为了方便记忆,它们通常都含有几个固定的数字和字母。“就像是高中数学的排列组合,我知道是哪几个字母和数字,可怎么组合的却经常记不住。”
随着黑客破解密码的技术越来越强,每一个网站都建议你设置一个更复杂的密码来保证帐号安全,这给如刘思佳这样的用户带来了很多困扰。
专注信息保护和安全的调研机构SearchSecurity. com的数据显示,77%的IT从业人员平均要记住6个复杂的密码,其中大约20%的人需要记住的数量更高达15个。
对于生活在碎片化时代的人们而言,记住这些乏味的数字和字母组合,已越来越成为一件不可忍受的事情了。
“我们现在面临一个挑战,手机功能越来越丰富,需要记住的密码越来越多。这也促使我们思考,应该做一些什么样的工作,让手机的使用更加具有易用性,使得终端用户的操作能够毫不费力。”人机界面解决方案开发商Synaptics公司总裁兼首席执行官Rick Bergman对《第一财经周刊》说。
去年发布的iPhone 5s似乎提供了一个答案。它配备全新的Touch ID指纹识别技术,重新掀起一波指纹识别潮流。随后,很多手机也纷纷效仿,指纹识别俨然有成为手机标配的趋势。
而Synaptics去年10月收购的全球第二大生物指纹身份验证解决方案提供商Validity公司,也为三星当时最新的旗舰手机Note4的指纹识别功能提供了技术支持。
通过指纹、静脉、虹膜、视网膜这些人体固有生理特征,再结合计算机、光学、生物传感器和生物统计学原理对个人身份进行识别和判定,确实能够将人们从繁琐的密码迷宫中解脱出来。
当然,并不是每一个人体固有生理特征都能被用来进行识别,指纹、静脉、虹膜、视网膜等具有几个共同特性:绝大多数生命体中都完整存在这些生理特征、两个相互独立的生命体该生理特征表现不同、该生理特征在相当长的一段时间内还会保持不变。
其中,指纹识别是发展较早、较成熟的技术。根据美国市场调查机构IBG的数据,目前指纹识别占整个生物识别市场将近66.7%的市场份额。以2014年生物识别产业收入总计93.68亿美元估算,指纹识别全年收入达62.48亿美元。
“在FRR(拒识率,False Rejection Rate)和FAR(误识率,False Acceptance Rate)等安全性指标上,指纹识别在众多生物识别技术里是目前发展相对成熟的。”Synaptics生物产品识别部副总裁Arthur Stewart对《第一财经周刊》说。
但是,那些指纹识别手机真的安全吗?
在2008年英国导演Neil Marshall的科幻电影《末日侵袭》中,一名企图袭击英国首相的人看着门禁屏幕上的“Place Hand Here”,砍断了守卫的右手成功骗过生物识别系统。
“指纹一旦被破解,就代表着终身被破解,它是不可逆的。”或许很多人都如电子测评网站ZEALER的创始人王自如一样,对这一技术抱着有些怀疑的态度。
早在2002年,日本横滨国立大学的松本教授做了一个有趣的试验,他使用白明胶制作的假手指在指纹识别系统上进行验证,结果,成功欺骗了11种指纹识别系统,成功率高达80%。
“当时绝大多数的指纹识别系统都是基于指纹图片的收集,通过拍摄手指表面的照片进行对比分析,所以用白明胶制作的假手指在当时的情况下有能力骗过众多的系统。”但要完成这类欺骗并不容易,首要的前提是要有能力获得完整且成形的指纹,“它绝不会像《犯罪现场调查》中展现的那么容易,也比通过肩窥(Shoulder Surfing)获得他人的PIN码和密码难很多。”Stewart说。
但对于普通用户而言,在逐渐接受生物识别技术的过程中,一点小的漏洞足以让他们终止信任,用户对安全性的格外挑剔是Stewart们需要解决的问题。
而在生物识别领域,几乎所有的攻击都是通过伪造无生命体征的样本(如白明胶、白乳胶等)完成,因此活体生物识别成为抵御系统攻击最好的方式。
很长一段时间,活体生物识别都是生物识别系统的薄弱环节,也是生物识别系统进入高端安全应用的最大瓶颈。
活体生物识别的关键在活体确认,通过如体温、排汗、皮肤表面电阻、电容、脉搏、心电图乃至动脉血氧化饱和度等指标,确认识别对象是否是一个活的生命体。
现在已属于Synaptics公司的Validity最先想到的是体温。与冷冰冰的白明胶、白乳胶相比,体温是将活体辨识出来的天然指标。
但是这一方法在提出后不久就被证明可行性不足,通过简单的拓印、倒模等程序制作出指纹套,然后将它戴在手上进行活体生物识别,就可以欺骗系统完成活体确认。
随后,排汗进入了他们的视野。除唇红部等极少数部位,汗腺以每平方厘米超过100个的密度,遍布于人体全身上下的每一个地方。由于只有活体才具有排汗功能,尸体或无生命体征的仿制样本无法排汗,因此这成为了Validity公司活体确认的重要方式。
结构稳定的汗腺持续排出含盐量较高的汗水,其介电常数高于表面其他脂类物质约30倍,由此会产生非常大的电容,在图像上呈现出一个颜色更深的点,电容越大颜色就越深。当用户将手指放在指纹传感器上时,随着时间的推移,排汗不充分的汗腺逐渐排汗充分,原先由脂类物质占据的区域逐渐被盐溶液浸湿,指纹图像由斑驳的状态变得清晰,也就是说,图像的归一化灰度值变高。
没有排汗功能的尸体或无生命体征的仿制样本显然无法完成这种变化。经过同样的步骤之后,其指纹图像的变化较为混乱,图像归一化灰度值的变化也处于随机状态。活体与非活体之间呈现出的不同状态,就可以帮助系统进行更精准的活体确认。 除了排汗,生物特征图像的光谱学信息也是Validity进行活体确认的方式之一。
由于在不同红外光下不同物质的光反射能力差别较大,就可以使用双波段红外光方法照射目标,并捕捉反射率进行活体检测。该公司目前还在研究包括指尖脉搏跳动测定、血氧测定、阻抗测定等越来越多的活体确认方式。
按照目前的指纹识别技术,误识率标准通常保持在1:50000的水平,而对应的拒识率则在2%以下。当活体识别作为一个过滤条件加入程序之后,识别的准确性将进一步提升。
“当有足够的资源用于攻击的时候,所有的安全系统都有可能被入侵,”Stewart说,“就像杀毒软件一样,生物识别解决方案的工作就是提高攻击的难度,让攻击者在破坏系统的过程中付出不等值的代价。”
收购Validity以后,Synaptics公司也希望能在其他生物识别领域寻求提高攻击门槛的方法。
比如紧随指纹识别后,被广泛采用的人脸识别的活体确认技术也正逐渐成熟,并发展出包括三维深度分析、脸部运动的光流估计、多模生物认证系统、傅里叶频谱分析、热红成像人脸识别等多种方法。Synaptics公司认为,在众多的方法中,眨眼识别是最具竞争力的一个。
由于复制虹膜、视网膜的生命体征难度相对较大,且活体识别时需要用户做出相应的瞄准动作,体验并不好,所以,指纹以外的活体识别方式一直研究不多。但作为人脸部的重要生理特征,眨眼对用户提出的要求并不高,为了让角膜时刻保持湿润,人们经常会不自觉地做出这一动作,自然也就成了人脸识别中活体确认最重要的判断标准。
通常状态下,人平均每分钟眨眼15到30次,通常2至6秒一次,每次眨眼耗时0.2至0.4秒。目前普通摄像头的拍摄速度高于20帧/秒,即帧间隔不低于0.05秒,在进行人脸识别的过程中必然能够捕捉到4至8帧完整的眨眼画面。
通过对捕捉的人脸画面进行分类分析,看其中是否有闭眼的画面,就能够判定识别对象是否为活体。由于这一方法基于自然发生的生理现象,符合人类行为习惯,并且不需要添置额外的设备,因此正在成为Synaptics公司的一个发展重点。
另外,作为人机界面解决方案开发商,Synaptics还在研究各种有趣的人机交互方法进行人脸识别,比如要求用户的面部根据系统提示做出诸如运动头部、读数字等等的实时响应。
2012年7月,Synaptics、三星、Google、微软、美国银行和MasterCard等技术和金融领域的公司共同成立了一个名为FIDO(Fast Identity Online)的联盟。该联盟认为,指纹识别的功能不应该仅是设备解锁这么简单,它应该让服务、移动支付甚至企业管理变得更为高效。它们将其终极目标概括为四个字:杀死密码。
“当移动支付日益成为最受欢迎的生物功能应用时,活体识别及反电子欺骗技术将获得产业更多的关注。”在Stewart看来,移动支付成为可能的基础即活体生物识别技术。
今年年初,搭载Validity活体指纹识别技术的三星与Paypal宣布合作,为新款Galaxy S5在全球26个国家的指纹识别支付提供支持。据说,Galaxy S5可以识别出是否是断指;随后,三星与支付宝也达成类似协议。这也促使作为三星合作伙伴的Synaptics和Validity团队加快在生物识别领域的技术开发进程。除了安全性,它们面临的挑战还有识别率、识别速度的进一步提升等等。
而在此之前,普通用户或许还无法完全放心地抛弃密码。
比如刘思佳。他从一连串数字和字母中终于找到正确的密码后,完成了支付。但当他拿起自己的iPhone 5s准备发微信朋友圈,将手指放在Home键上,却因为刚洗过的手没有擦干而解锁失败。“小本还是有用的,可能还得用上一段时间吧。”
于是,他不得不向随时放在身边的一个小笔记本寻求帮助,那上面,密密麻麻记录着十几个帐号和密码。为了方便记忆,它们通常都含有几个固定的数字和字母。“就像是高中数学的排列组合,我知道是哪几个字母和数字,可怎么组合的却经常记不住。”
随着黑客破解密码的技术越来越强,每一个网站都建议你设置一个更复杂的密码来保证帐号安全,这给如刘思佳这样的用户带来了很多困扰。
专注信息保护和安全的调研机构SearchSecurity. com的数据显示,77%的IT从业人员平均要记住6个复杂的密码,其中大约20%的人需要记住的数量更高达15个。
对于生活在碎片化时代的人们而言,记住这些乏味的数字和字母组合,已越来越成为一件不可忍受的事情了。
“我们现在面临一个挑战,手机功能越来越丰富,需要记住的密码越来越多。这也促使我们思考,应该做一些什么样的工作,让手机的使用更加具有易用性,使得终端用户的操作能够毫不费力。”人机界面解决方案开发商Synaptics公司总裁兼首席执行官Rick Bergman对《第一财经周刊》说。
去年发布的iPhone 5s似乎提供了一个答案。它配备全新的Touch ID指纹识别技术,重新掀起一波指纹识别潮流。随后,很多手机也纷纷效仿,指纹识别俨然有成为手机标配的趋势。
而Synaptics去年10月收购的全球第二大生物指纹身份验证解决方案提供商Validity公司,也为三星当时最新的旗舰手机Note4的指纹识别功能提供了技术支持。
通过指纹、静脉、虹膜、视网膜这些人体固有生理特征,再结合计算机、光学、生物传感器和生物统计学原理对个人身份进行识别和判定,确实能够将人们从繁琐的密码迷宫中解脱出来。
当然,并不是每一个人体固有生理特征都能被用来进行识别,指纹、静脉、虹膜、视网膜等具有几个共同特性:绝大多数生命体中都完整存在这些生理特征、两个相互独立的生命体该生理特征表现不同、该生理特征在相当长的一段时间内还会保持不变。
其中,指纹识别是发展较早、较成熟的技术。根据美国市场调查机构IBG的数据,目前指纹识别占整个生物识别市场将近66.7%的市场份额。以2014年生物识别产业收入总计93.68亿美元估算,指纹识别全年收入达62.48亿美元。
“在FRR(拒识率,False Rejection Rate)和FAR(误识率,False Acceptance Rate)等安全性指标上,指纹识别在众多生物识别技术里是目前发展相对成熟的。”Synaptics生物产品识别部副总裁Arthur Stewart对《第一财经周刊》说。
但是,那些指纹识别手机真的安全吗?
在2008年英国导演Neil Marshall的科幻电影《末日侵袭》中,一名企图袭击英国首相的人看着门禁屏幕上的“Place Hand Here”,砍断了守卫的右手成功骗过生物识别系统。
“指纹一旦被破解,就代表着终身被破解,它是不可逆的。”或许很多人都如电子测评网站ZEALER的创始人王自如一样,对这一技术抱着有些怀疑的态度。
早在2002年,日本横滨国立大学的松本教授做了一个有趣的试验,他使用白明胶制作的假手指在指纹识别系统上进行验证,结果,成功欺骗了11种指纹识别系统,成功率高达80%。
“当时绝大多数的指纹识别系统都是基于指纹图片的收集,通过拍摄手指表面的照片进行对比分析,所以用白明胶制作的假手指在当时的情况下有能力骗过众多的系统。”但要完成这类欺骗并不容易,首要的前提是要有能力获得完整且成形的指纹,“它绝不会像《犯罪现场调查》中展现的那么容易,也比通过肩窥(Shoulder Surfing)获得他人的PIN码和密码难很多。”Stewart说。
但对于普通用户而言,在逐渐接受生物识别技术的过程中,一点小的漏洞足以让他们终止信任,用户对安全性的格外挑剔是Stewart们需要解决的问题。
而在生物识别领域,几乎所有的攻击都是通过伪造无生命体征的样本(如白明胶、白乳胶等)完成,因此活体生物识别成为抵御系统攻击最好的方式。
很长一段时间,活体生物识别都是生物识别系统的薄弱环节,也是生物识别系统进入高端安全应用的最大瓶颈。
活体生物识别的关键在活体确认,通过如体温、排汗、皮肤表面电阻、电容、脉搏、心电图乃至动脉血氧化饱和度等指标,确认识别对象是否是一个活的生命体。
现在已属于Synaptics公司的Validity最先想到的是体温。与冷冰冰的白明胶、白乳胶相比,体温是将活体辨识出来的天然指标。
但是这一方法在提出后不久就被证明可行性不足,通过简单的拓印、倒模等程序制作出指纹套,然后将它戴在手上进行活体生物识别,就可以欺骗系统完成活体确认。
随后,排汗进入了他们的视野。除唇红部等极少数部位,汗腺以每平方厘米超过100个的密度,遍布于人体全身上下的每一个地方。由于只有活体才具有排汗功能,尸体或无生命体征的仿制样本无法排汗,因此这成为了Validity公司活体确认的重要方式。
结构稳定的汗腺持续排出含盐量较高的汗水,其介电常数高于表面其他脂类物质约30倍,由此会产生非常大的电容,在图像上呈现出一个颜色更深的点,电容越大颜色就越深。当用户将手指放在指纹传感器上时,随着时间的推移,排汗不充分的汗腺逐渐排汗充分,原先由脂类物质占据的区域逐渐被盐溶液浸湿,指纹图像由斑驳的状态变得清晰,也就是说,图像的归一化灰度值变高。
没有排汗功能的尸体或无生命体征的仿制样本显然无法完成这种变化。经过同样的步骤之后,其指纹图像的变化较为混乱,图像归一化灰度值的变化也处于随机状态。活体与非活体之间呈现出的不同状态,就可以帮助系统进行更精准的活体确认。 除了排汗,生物特征图像的光谱学信息也是Validity进行活体确认的方式之一。
由于在不同红外光下不同物质的光反射能力差别较大,就可以使用双波段红外光方法照射目标,并捕捉反射率进行活体检测。该公司目前还在研究包括指尖脉搏跳动测定、血氧测定、阻抗测定等越来越多的活体确认方式。
按照目前的指纹识别技术,误识率标准通常保持在1:50000的水平,而对应的拒识率则在2%以下。当活体识别作为一个过滤条件加入程序之后,识别的准确性将进一步提升。
“当有足够的资源用于攻击的时候,所有的安全系统都有可能被入侵,”Stewart说,“就像杀毒软件一样,生物识别解决方案的工作就是提高攻击的难度,让攻击者在破坏系统的过程中付出不等值的代价。”
收购Validity以后,Synaptics公司也希望能在其他生物识别领域寻求提高攻击门槛的方法。
比如紧随指纹识别后,被广泛采用的人脸识别的活体确认技术也正逐渐成熟,并发展出包括三维深度分析、脸部运动的光流估计、多模生物认证系统、傅里叶频谱分析、热红成像人脸识别等多种方法。Synaptics公司认为,在众多的方法中,眨眼识别是最具竞争力的一个。
由于复制虹膜、视网膜的生命体征难度相对较大,且活体识别时需要用户做出相应的瞄准动作,体验并不好,所以,指纹以外的活体识别方式一直研究不多。但作为人脸部的重要生理特征,眨眼对用户提出的要求并不高,为了让角膜时刻保持湿润,人们经常会不自觉地做出这一动作,自然也就成了人脸识别中活体确认最重要的判断标准。
通常状态下,人平均每分钟眨眼15到30次,通常2至6秒一次,每次眨眼耗时0.2至0.4秒。目前普通摄像头的拍摄速度高于20帧/秒,即帧间隔不低于0.05秒,在进行人脸识别的过程中必然能够捕捉到4至8帧完整的眨眼画面。
通过对捕捉的人脸画面进行分类分析,看其中是否有闭眼的画面,就能够判定识别对象是否为活体。由于这一方法基于自然发生的生理现象,符合人类行为习惯,并且不需要添置额外的设备,因此正在成为Synaptics公司的一个发展重点。
另外,作为人机界面解决方案开发商,Synaptics还在研究各种有趣的人机交互方法进行人脸识别,比如要求用户的面部根据系统提示做出诸如运动头部、读数字等等的实时响应。
2012年7月,Synaptics、三星、Google、微软、美国银行和MasterCard等技术和金融领域的公司共同成立了一个名为FIDO(Fast Identity Online)的联盟。该联盟认为,指纹识别的功能不应该仅是设备解锁这么简单,它应该让服务、移动支付甚至企业管理变得更为高效。它们将其终极目标概括为四个字:杀死密码。
“当移动支付日益成为最受欢迎的生物功能应用时,活体识别及反电子欺骗技术将获得产业更多的关注。”在Stewart看来,移动支付成为可能的基础即活体生物识别技术。
今年年初,搭载Validity活体指纹识别技术的三星与Paypal宣布合作,为新款Galaxy S5在全球26个国家的指纹识别支付提供支持。据说,Galaxy S5可以识别出是否是断指;随后,三星与支付宝也达成类似协议。这也促使作为三星合作伙伴的Synaptics和Validity团队加快在生物识别领域的技术开发进程。除了安全性,它们面临的挑战还有识别率、识别速度的进一步提升等等。
而在此之前,普通用户或许还无法完全放心地抛弃密码。
比如刘思佳。他从一连串数字和字母中终于找到正确的密码后,完成了支付。但当他拿起自己的iPhone 5s准备发微信朋友圈,将手指放在Home键上,却因为刚洗过的手没有擦干而解锁失败。“小本还是有用的,可能还得用上一段时间吧。”