论文部分内容阅读
就目前的技术发展情况来看,指纹识别与虹膜识别将成为未来身份认证的主流技术,传统的密码认证将被逐渐淘汰。
信息技术已经渗透到我们生活的方方面面,无论我们学习、工作、交流、出行、休闲、娱乐,几乎所有的日常活动或多或少与信息技术都有关联,人类社会与信息技术结合得日趋紧密,也是因为这个原因,信息的安全性日趋为人们所重视。对个人来说,敏感的私人数据、电子邮箱、即时通讯工具、移动电话、银行卡这些貌似没有太大关联的东西都与信息安全扯上了关系,一旦这些信息泄露,用户可能将遭受不可挽回的巨大损失。而对高度发达的互联网来说,信息的安全性更是重中之重:电子商务、网络银行、敏感数据传输、语音交互—所有这一切都是在一个开放的网络上进行,如果信息安全得不到保障,将对互联网发展造成致命的打击。
在信息技术发展的几十年历史中,科学家们陆续发明了许多安全技术,这些技术可能在原理上存在许多不同,但它们都可以实现对信息进行加密保护、防范未授权访问的作用,它们的差异更多体现于所能达到的安全等级、技术稳定性以及易用性。而对个人用户来说,身份认证机制是信息安全最重要的一道门槛,如果身份认证系统被攻破,意味着自身所有的秘密拱手让人,并有可能造成巨额经济损失。因此,开发出高安全性且易于管理、易于使用的身份认证技术向来都是信息工业中重要的一环,而在过去信息技术数十年的发展历史中,科学家发明了许多不同原理的身份认证技术,密码识别、指纹识别、虹膜识别、声纹识别是其中的典型代表。
每一个体系中包含不同的实现方案,而每一种方案也都有自己的侧重点、优点与不足。本文将向大家介绍加密技术的原理、特点以及它们的应用状况,而从中我们也将了解到加密技术的未来发展潮流。
弊病多多的身份认证机制
密码是个人用户最常使用的身份识别标识,无论登陆操作系统、电子邮箱、游戏帐号无一例外都是采用密码认证的方式判别通行权限—只有当密码与您的初始设定相符合,系统才会给您开通进入权限并作相应的程序转向动作。而这样的一套口令验证系统也非常简单:它包含一个客户端和服务端。客户端直接面向用户,提供一个进入本系统的界面,用户可以在客户端界面上输入用户名与密码;当这些信息输入之后会被立即传送到服务器端,由服务器端将其与自身的“用户名/密码”数据库进行—核对,如果能在数据库中找到对应的条目,并且完全一致,那么便向用户开通权限;而如果数据库中没有这样的条目,或者用户输入内容与数据库条目内容不完全相符,系统就会判别此次进入行为非法,体现在程序行为上,便是给出“您的用户名或密码不正确”或者“用户名不存在”这类的提示。
上述口令访问机制只能保证最基本的安全性,密码的破解也最为简单,它多用于那些对安全性要求较不苛刻的场合,例如操作系统登陆、论坛访问账号、电子邮箱账号等等;当然对一些负责关键任务的服务器/工作站系统来说,账号与密码也是唯一的判别方式,但它们的管理账号一般都处于保密状态,外界难以知晓,即便使用穷举法或者某些优秀的算法进行破解,也要求计算机拥有惊人的运算力和漫长的时间,这基本失去了被攻破的可能。事实上,也没有哪一个入侵者会采用这种愚蠢的方式来获得账号与密码—许多服务器之所以被频频侵入,在于系统存在安全漏洞,入侵者可直接获取管理账号,这应该是系统及管理员自身的问题,非密码认证技术之罪。同样,银行卡、信用卡虽然也是采用密码获得权限许可,但所有的账号、密码信息都是在银行自身的网络系统内传输,这类专用网与外界的公用网在物理上相互独立,拥有极高的安全性,从外部入侵的可能性为零。而网络银行软件虽涉及到数据在公用网络传输的问题,但所有数据在传输过程中都作了极高等级的加密处理—事实上,到目前为止也还未发生因为加密技术缺陷造成银行卡账号、密码外泄的情况,虽然经常有报道说许多用户因自己的账号、密码遭窃而导致巨额经济损失,但这些情况几乎都是诈骗者利用假银行网页、手机短信等非法的方式,骗取用户的银行账号及密码,再通过克隆卡的方式非常提取该账号内的金额,同样不应该完全归咎于该系统采用的密码认证技术。
另外,许多用户也将电脑中的重要文件进行加密处理,只有通过密码才能够访问到文件内容,这些功能一般都是由软件自身具备,例如MicroSoft Office、OpenOffice.org、Adobe Acrobat、WinRAR、Winzip等软件都支持加密功能,但它们的加密手段相对简单,也很容易破解。软件开发者的本意只是给用户提供初等的访问认证,可以阻止一些文件被其他用户无意看到,并非为了保证数据的绝对安全;换个角度看,密码容易破解也有一个好处,许多用户经常都会忘记加密文件的密码(尤其是文件长时间不使用时),如果无法破解密码,用户自身都无法看到文件内容—这类情况在实际使用中相当常见,相信大家经常可以在一些软件论坛上看到用户求助说忘记Word/Excel之类文件的访问密码,恳求破解的方法;虽然这些情况超出了密码认证技术的讨论范畴,但作为实用环境下频发的案例,密码技术的开发者对此不可视而不见。
尽管不够安全,密码访问认证机制还是被广泛使用,原因在于它简单易行,没多少实现难度,而绝大多数用户所需要的也都是较基本的安全保障。然而,这项机制在今天看来的确越来越落伍了,它最大的麻烦就是管理的方便性与安全性有严重的冲突—许多用户都习惯使用相同的密码,不管是系统登录、各类论坛的账号、电子邮件账号甚至是银行账号;通行的密码非常简单,用户大概永远都不会将它忘记,在实际使用中的确也是相当方便。可所有账号都使用相同的密码,几乎等同于让密码认证机制形同虚设—只要某一个账号的密码被破解或者因故泄露,用户所有的私人信息大门洞开,完全有可能因此产生严重后果,而这样的例子在过去不胜枚举。因此,为保证信息的安全,计算机安全专家一般都会建议用户尽量使用不同的、匹配规则复杂的密码。可这又带来了一个新问题:用户很难完全记住这些密码,或者将它们与各自对应的账号划上等号,而忘记密码带来的后果同样是灾难性的。更有甚者,有些用户为了避免忘记密码,将自己所有的账号名称和对应的密码都记录在一个专门的文档上(例如记录在Word文档中),同时对该文档进行加密。如前所述,所有办公文档的加密手段都是相当基本且容易破解,一旦文档被窥窃,用户等同于将自己的秘密全部拱手让人,完全失去了使用复杂密码的意义。因此,用户不得不在安全性和方便性中作出选择,这往往给用户们带来许多的困扰。密码认证技术另一个缺陷在于,它无法对用户进行精确辨别,只要用户输入的是正确的密码,系统便认为访问者是合法的,入侵者只要盗取某个用户的账号名和密码,便可以随心所欲侵害他人利益,这也是密码认证技术存在的严重先天缺陷。业界也意识到密码认证技术的这些不足严重阻碍了信息工业的进一步发展,为此积极开发各种新概念的安全认证技术—指纹识别、虹膜识别与声纹识别被认为是取代密码认证技术的三项杰出候选者。
密码认证技术的最佳取代者
指纹识别技术被认为是密码认证天然的取代者,目前,指纹识别技术已经被广泛用于门禁系统、部分商务型笔记本电脑和那些以安全性为卖点的移动存储设备,技术也不断成熟。可利用指纹进行身份识别的原因在于指纹的不可重复性—在全世界60亿人口中,没有哪两个人的指纹完全相同,确切地说,应该是没有哪两根手指的指纹完全一样,因此指纹具有高度不可重复性,某一个指纹只能对应特定的某一个人。其次,指纹的样式终身不会改变,不管用户处于青年、中年还是老年阶段,指纹都始终如一、具有高度稳定性。这项研究结论在19世纪初被科学家正式提出,并随后在指纹鉴别罪犯中获得广泛的应用—直到今天,指纹仍然是鉴别犯罪分子的重要手段之一。但如果要精确考证,我们会发现古代人类就注意到指纹的这项功能。早在公元前7000年到公元前6000年的古代中国,指纹就开始作为身份鉴别的依据并在生产实践中使用,如在今天出土的粘土陶器上就留有陶艺匠人的指纹,在随后的历史中指纹也应用广泛,一些古代纸稿、田契、租约上普遍以指纹作为身份识别标志,许多瓷器、陶器、金属制品也都存在制造者签署的指纹,可见指纹认证手段在人类历史上已被广泛使用,进入信息时代后沿用该项技术再自然不过。
指纹识别进入计算机时代
在计算机未诞生、或未得到广泛应用的年代,指纹鉴定都是通过手工的方法进行。首先,指纹专家会建立一个庞大的指纹库,指纹库中存放着大量印有指纹的卡片;如果要鉴定某个指纹是否属于某人,在实际收集此人的指纹图像后再将它与指纹库中的既定指纹卡片进行对比(必须借助放大镜才能观察到指纹的细微纹路),如果图像信息完全吻合,那么便判别该指纹由某人产生;如果图像不吻合,那便得出一个否定的结论。显而易见,人工处理的方式效率低下,鉴定一个指纹就需要耗费大量的精力,并且这项工作只有经验丰富的指纹专家才可胜任。更严重的是,由于人工管理的限制,每一个指纹库容量不能做得太大,否则逐一比较的鉴定工作便浩如烟海,非人力所能完成。到了20世纪60年代,计算机技术获得高速发展,科学家成功发明了计算机指纹鉴定系统,并将其投入使用,指纹鉴定开始迎来有史以来首次大飞跃。凭借计算机的超强运算力,指纹鉴别工作可以快速完成,并且能够保证极高的精确度,更重要的是,构建庞大的指纹库系统也就成为可能—只要计算机的速度够快、存储容量够大,那便可以将整个国家人口的指纹都纳入其中,建立一套庞大的指纹库系统,由此实现国家范围内的指纹精确识别,相信大家在国外许多科技相关的电影大片中能够清楚地看到这种趋势。
在那个年代,计算机还是政府机构、军队和科研单位的专属品,不可能用于民用市场。直到九十年代后期PC机获得大范围流行,且出现低价位的光学取像设备,让指纹识别技术进入民用市场成为可能,诸如考勤机、门禁、远程教育、网络安全、汽车等许多领域都开始采用指纹识别技术,这些产品投放市场之后都获得广泛的欢迎,例如指纹考勤机目前已在国内占据30%以上的市场份额,发展前景极为可观。而在最近两年来,将指纹认证技术用于计算机产品中成为新的潮流,如IBM从2004年开始在自己的商用型Thinkpad T/X系列笔记本电脑中引入指纹识别技术,获得业界的广泛认可,由此带动指纹识别技术进入桌面计算机、笔记本电脑及注重安全的外设产品中,并朝向消费电子领域扩展。在未来几年内,相信指纹识别技术将迎来一个黄金发展期。
指纹识别的几种技术
当然,无论将指纹识别系统应用于哪一个领域,对其作精确的识别始终都是最为关键的步骤。显然,我们无法将“指纹专家+放大镜”的模式直接搬到计算机系统中,而必须借助图像识别技术方可进行准确鉴别。在过去多年历史中,业界一共发展出三类不同原理的指纹识别技术,其一是利用光学扫描技术获取指纹图样,其二是利用硅传感器芯片对指纹进行精确感知,第三则是使用超声波技术来获取指纹的形貌特征。这三项技术都能实现指纹图样采集的目的,但在精确程度、方便性、实现成本和工作模式方面存在较大的不同。
最早被用于计算机指纹识别系统中的当属光学扫描技术,该技术在实现原理上也最为简单:一个光学扫描设备承担指纹图像获取的工作,在检测时用户只要将手指按在扫描设备的玻璃表面,接着扫描设备发出强光照射,并由CCD传感器捕获指纹图像。不难看出,指纹扫描设备其实就是一个专用的扫描仪,它的工作原理、内部构造与常见的扫描仪完全相同,不同之处仅在于这套指纹识别系统是在一套专用软件掌管下进行工作。指纹图像样本采集之后,软件可将它与指纹库中的记录一一对比,直到找到相同的样本或搜索完整指纹库为止,因此其核心在于指纹识别软件而非扫描硬件本身。由于光学扫描技术发展成熟、成本低廉,耐用性也相当不错;但它存在较多的缺陷:如手指表面的灰尘和油脂对扫描质量影响很大,而精心复制的指模也可以将该系统轻松欺骗;此外,对应的光学扫描设备体积庞大、耗电量较高、图像获取的时间也比较长,无法用于笔记本电脑、掌上电脑、移动电话等便携电子产品中。当其他技术发展起来后,传统意义上的光学扫描指纹识别技术就没有了市场。
扮演光学扫描技术杀手角色的是电容式指纹识别技术,也正是由于该技术的出现,指纹识别才能够真正走向民用市场。与传统的光学扫描技术不同,电容式指纹识别设备体积极小、成本很低,可被方便地整合于各类指纹识别设备中,并获广泛使用。该套系统的核心是一块半导体硅传感器,传感器内包含一个数量庞大的金属导体阵列,传感器表面则是一个绝缘的介质层。当用户将手指放在传感器表面时,传感器内的金属导体阵列、绝缘表面与用户的手指皮肤就构成一个电容器阵列,每个电容器存储的电荷数量又同指纹脊、沟与金属导体之间的间距存在一一对应关系。这样当用户将手指按压在传感器表面时,传感器便能够产生一个由不同电容值构成的信号阵列,这些信号阵列经过专用的算法转换之后便能够生成指纹图像。接下来,系统会将指纹图像与指纹库中预存的样本作对比,如果能够搜寻到吻合的样本,那么便会朝用户开放访问权限,由此完成指纹识别的整个过程。但要注意的是,传感器表面与指纹之间产生的电场为半球状,为了获得清晰的指纹图像,用户必须将手指紧贴在传感器表面才行。
与电容式指纹识别类似的技术还有压感式识别和温度感应识别,前者使用压感式传感器作为指纹图像的捕获工具—该传感器的核心是压感介质材料,它在经受不同程度的压力时可产生相应的电流,当用户将手指按压在传感器表面时,指纹的“脊”纹路对传感器造成较大的压力,而“沟”因距离的关系,产生的压力较小,这样传感器将产生一个由不同强度电信号构成的阵列,之后系统会将它们转换为相应的指纹图像。而温度感应识别技术的关键则是一个温度传感器,用户将手指按压在该表面,指纹的“脊”部分与之距离较近,感应到的温度较高,传感器内部将产生较大的电流;而“沟”部分同样因距离较远的关系,感应到的温度值较低,传感器内产生的电流值就较低。
无论是电容式、压感式还是温度感应识别,三者都要求用户必须将手指用力按压在传感器表面,否则就无法获得清晰指纹图像,这在实用中多多少少有些不便。IBM在ThinkPad T42机型中率先使用滑动式(touch and slide)传感器,将指纹识别技术的实用性推向新的高峰。与上述三种识别技术相比,滑动式传感器不要求用户在鉴定时按压指纹,而只要将手指轻轻刷过传感器表面,传感器便能自动对手指进行连续的“快照”,然后这些快照被组合在一起,形成清晰的指纹影像。这种采集指纹的方式效果与压感式相当,但它无需用力按压,使用更加方便,加之指纹图像是由多幅图像一起组合产生的,出错的概率非常小。IBM透露,该项技术的提供者是ST Micro(意法半导体),在IBM 与 ST 签定合同以后,ST方面就专门成立UPEK公司,致力于生物识别领域的探索。除了UPEK外,AuthenTec公司也拥有庞大的滑动式指纹识别传感器产品,该公司开发出一项名为“TruePrint”的指纹识别技术,该技术不仅只会读取指纹最上层的表面,而且能够从表皮以下组织读取指纹,不会受到皮肤表面状况如皮肤干燥、破损等的影响,因此TruePrint技术拥有极高的可靠性和分辨精度,在同类型产品中也首屈一指。目前,AuthenTec的指纹识别器产品线覆盖桌面计算机、笔记本电脑、移动电话、PDA以及各种考勤机、门锁、汽车和其它门禁产品,在全球拥有100多家客户,其中包括三星、德州仪器、英特尔等重量级企业;而到现在为止,全球采用AuthenTec出品的指纹识别器的终端超过400万个,市场占有率超过70%—作为一家只有6年历史的年轻企业,AuthenTec取得的成绩可谓相当出色,除了得益于自身所掌握的诸多专利技术外,指纹识别市场的高速发展更是一大契机。
利用超声波进行指纹识别的原理其实与光学扫描技术比较近似,这项方案是从军事领域的超声波定位技术获得启发,并将它用于民用领域。在各种指纹采集方案中,超声波识别技术具有最高的准确性,但它与扫描技术一样遭遇设备体积大、耗电量高的困扰,成本也相当高昂,这些缺陷决定了该技术不可能进入到消费电子领域。
多样化的后端控制方案
上述几种指纹识别技术其实只是涉及到指纹的采集部分,而当传感器采集到指纹图像之后,剩下的工作就交由控制软件完成。控制软件可直接安装在操作系统中,以纯软件的方式存在,也可以嵌入式控制模块的纯硬件方式存在,当然也可以软硬结合的形态存在。纯软件方式最为简单,指纹图像样本的比较计算工作都是由CPU承担,指纹库则直接存放在硬盘上。这种方式最大的优点就是最容易实现,代价也最低,但它的毛病在于安全性仍不够高,指纹库有被破解的可能,而且这类指纹控制软件往往都无法做到跨平台,因此纯软件方式的指纹识别系统更多使用在对安全性要求不慎苛刻的消费类产品中。相比之下,纯硬件方式的安全性就高得多:图像样本库存储于专门的硬件区域,由专用的DSP芯片负责指纹样本的比较,对设备采用的操作系统也没有要求,具有广泛的兼容性,但硬件方式的缺陷在于成本较高,一般只有在苛求安全性或者无法由软件方式实现的专业场合,例如指纹门禁、指纹锁等产品都隶属于该体系,IBM在Thinkpad T系列和X系列机型采用的滑动式指纹识别技术也属于纯硬件方案—IBM将控制部分的功能直接整合在笔记本内的安全芯片上,该枚芯片拥有独立的存储功能及一定的运算能力,可记忆21组指纹;由于IBM对其作了功能强化,使得该指纹识别系统不仅可作为Windows登陆密码,还能用于ADSL联机密码、e-mail密码、网页会员登陆密码、文件开启密码等等,具有极高的实际价值。至于另一种软硬结合方式则较好地兼顾了以上纯软件和纯硬件两种方案的优点—指纹样本存储在专门的ROM芯片中,指纹样本的比较运算工作则由CPU来承担,其安全性与纯硬件方式相当,而成本较低,但同样由于控制软件自身的原因,软硬结合的方案也不能跨平台使用。
最精确可靠的身份识别方案
与指纹识别一样,虹膜(Iris)识别也是以人的生物特征为基础,而虹膜也同样具有高度不可重复性。虹膜是眼球中包围瞳孔的部分,每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构,这些特征组合起来形成一个极其复杂的锯齿状网络花纹。而与指纹一样,每个人的虹膜特征都不相同,到目前为止,世界上还没有发现虹膜特征完全相同的案例—即便是同卵双胞胎,虹膜特征也大不相同,而同一个人左右两眼的虹膜特征也有很大的差别。此外,虹膜具有高度稳定性,其细部结构在胎儿时期形成之后就终身不再发生改变,除了白内障等少数病理因素会影响虹膜外,即便用户接受眼角膜手术,虹膜特征也与手术前完全相同。高度不可重复性和结构稳定性让虹膜可以作为身份识别的依据,事实上,它也许是最可靠、最不可伪造的身份识别技术。
虹膜识别的工作流程并不复杂:第一步,由一个专用的摄像头拍摄虹膜图像;第二步,专用的转换算法会将虹膜的可视特征转换成一个512字节长度的虹膜代码(Iris Code);第三步,识别系统会将生成的代码与代码库中的虹膜代码进行逐一比较,当相似率超过某个边界值(一般是67%)时,系统判定检测者的身份与某个样本相符,而如果相似程度低于这个边界值,系统就会认为检测者的身份与该样本预期不符合,接着进入下一轮的比较。尽管这个过程说起来非常简单,但真正实现起来却必须首先解决大量的技术问题,这些问题主要集中在虹膜图像的获取和设备的小型化方面。
在采集虹膜图像步骤中,摄像头要求能够准确聚焦。如果采集对象是固定的设备,那么精确聚焦毫无难度可言,可问题在于虹膜采集对象是活动的人物,而每个检测者的位置都不可能固定,因此一套智能型的摄像设备是必须的。在这一领域,国内外的虹膜识别厂商有着不同的实现解决方案,但它们都有体积较大的弊端;其次,要采集深色眼球的虹膜图案极为困难,尤其是黑眼睛的东方人来说,普通摄像设备根本无法胜任,为解决这个问题,许多虹膜厂商都开发出专用的红外摄像设备—在采集虹膜图像时,红外摄像机首先将一道不可见的红外光束准确聚焦在虹膜表面,虹膜图案被红外光“照亮”,摄像机同时拍下虹膜图像。也许你会担心红外光直射会对检测者的眼球造成损伤,这种担心并不必要,因为红外光的强度比电视遥控器还小,而且人眼在此过程中完全不会有任何异常的感觉。
当虹膜图像采集下来之后,系统会根据既定的数学方法将图像简化成黑白数字图样,识别软件会自动判别反射光、色调的细微差异以及被遮掩的部分,并将这些杂讯完全除去。一般来说,虹膜识别系统只会采纳虹膜的下半圆部分进行识别,这与指纹识别技术存在明显的不同。接下来,半圆形的虹膜图案会被转成矩形的条纹。由于虹膜图案非常对称,即便在转换或拍摄干扰因素造成的变形现象都可以通过数学方法进行有效修正。这样在经过多次数学处理之后,虹膜图案就变成一个带有独特生物特征的二进制数字记录—这个数字记录也被称为“模板”,它的长度一般只有512个字节。尽管模板长度相同,但不同的虹膜转换算法效果不同,评价算法优劣的标准就是模板中量化特征点的数量,而在这一领域,英国剑桥大学John Daugman博士的研究成果处于领先地位(注解:目前所有的虹膜识别技术都是以John Daugman博士的专利和研究为基础),Daugman博士的算法以3-4个字节长度的数据来表示每平方毫米面积的虹膜信息,这样在直径为11毫米的虹膜上,可以获取266个量化特征点。而在算法和人类眼部特征允许的情况下,该算法可生成173个二进制自由度的独立特征点,这在虹膜识别领域首屈一指。而特征点越多,虹膜识别的精确率就越高,因此采用何种算法对识别系统的最终表现影响巨大。
完成数字转换后,系统会将生成的模板与虹膜库中的模板进行逐比特的比较,当发现两者的特征吻合度超过67%时,系统会判定两者相符合,由此辨别出检测者的身份。这条法则依据17世纪数学家Jakob Bermoull提出的掷硬币理论,根据该理论可以得出这样的推论:当两个虹膜模板的特征吻合度超过67%时,虹膜不同的概率只有120万分之一;换句话说,只有在120万个人群当中,才可能出现两个虹膜吻合度超过67%的对象—在日常生活中,如此之低的相似几率完全可以忽略不计。当然,将这个边界值提高将有更出色的精准度,但问题在于每次拍摄下的虹膜样本都存在一定的误差,如果设定的边界值过高,存在的误差就有可能导致虹膜识别出错,造成相同样本被识别为不同对象的情况。
由于虹膜识别设备的体积较大,决定了该技术不可能用于消费电子产品中,它的主要用途是军事基地、核能设施、服务器机房、保密工作室、金融系统、港口控制等需要高度安全性的领域。在该领域,国外厂商先行一步,目前产品已完全达到实用化水平,许多国外的机场都采用虹膜识别系统作为身份鉴别主要手段。而目前国内从事该领域研究的只有中科膜识科技有限公司(中科院自动化所下属),该公司成立于2000年8月,拥有很强的技术实力,也是世界上第二家拥有核心算法的虹膜识别设备企业(另一家为美国的IRIDIAN公司);而在硬件开发上,中科膜识与日本OKI进行合作,由后者协助生产辅助硬件。该公司早期的注意力在金融系统、机场登陆系统、ATM自动取款机等领域,由于具备得天独厚的优势(更适合黑眼睛的中国人使用,成本更低),也没有任何有力的竞争对手,中科膜识的发展速度极为迅猛,完全有机会成为国内虹膜识别技术领域的领导厂商。而该公司希望能够让虹膜识别技术进一步拓展到民用市场,如虹膜考勤机、虹膜门锁,甚至可能借助手机摄像头功能实现安全认证,这样借助手机进行移动电子商务就成为可能。这些市场都刚刚起步,发展前景极为广阔。而如果中科膜识能够在这些领域获得成功,那么将虹膜技术整合于笔记本电脑、PDA等数字设备中将变得轻而易举,届时指纹识别技术将面临强大的挑战。
生物识别技术将迎来黄金时代
除了指纹识别、虹膜识别外,利用人体生物特征进行身份认证的技术还包括视网膜识别、声纹识别、3D面部识别、手掌几何识别、基因识别等等,这些技术同样拥有高度安全性,并且容易使用的优点,但这些技术都有较多的技术难题尚需解决,因此目前更多停留在概念技术研究阶段,远未实现实用化。就目前的技术发展情况来看,指纹识别与虹膜识别将成为未来身份认证的主流技术,传统的密码认证将被逐渐淘汰;当然,由于密码认证机制已经有数十年的应用历史,几乎所有需要身份认证的场合都采用密码机制,要从这样一个庞大的体系全面转向指纹识别或虹膜识别显然需要漫长的时间。而在这个过程中,这些身份认证技术将得到持续的改良,统一的标准也有机会被提上日程—或许在几十年后,我们能够面对这样的景象:麻烦的密码技术被彻底淘汰,指纹识别、虹膜识别或其他的某一项安全技术成为全球共通的标准,身份认证既方便又万无一失。例如,当我们打开电脑,摄像头自动扫描我们的瞳孔,系统自动获得虹膜信息并判别信息大门是否向你开启;当我们通过页面访问互联网上某一个需要身份识别的区域时(如文件服务器、电子邮箱系统、个人银行系统),系统同样根据虹膜信息对你进行身份识别;而在其他领域,个人身份证、银行账号、通用银行卡都以虹膜作为识别标准(在上述猜想中,将虹膜更换为指纹识别或其他生物识别技术同样成立),人类社会从此将进入一个信息高度互联与信息高度安全的全新时代。也许你认为这样的场景大概只出现在科幻电影中,但以目前的技术水平及发展趋势来看,实现这一步所需要的仅是时间。首先,我们需要进一步完善指纹识别、虹膜识别或者某一项能成为公有标准候选者的身份认证技术;其次,业界需要从这些认证技术中遴选出最优秀的一种,并克服各厂商的利益之争使之成为公有标准,所有与信息安全有关的领域都采纳该标准作为个人身份识别的主要依据;再接下来,剩下的工作便是实际产品的开发和实用化推广。当然,指纹识别技术和虹膜识别技术目前已经进入实用阶段,并呈现出高速发展的势头,相信在若干年后,标准制定工作将被提上日程,而该领域内许多技术实力强,但目前规模较小的技术型企业完全有机会成长为产业界的巨头。□
信息技术已经渗透到我们生活的方方面面,无论我们学习、工作、交流、出行、休闲、娱乐,几乎所有的日常活动或多或少与信息技术都有关联,人类社会与信息技术结合得日趋紧密,也是因为这个原因,信息的安全性日趋为人们所重视。对个人来说,敏感的私人数据、电子邮箱、即时通讯工具、移动电话、银行卡这些貌似没有太大关联的东西都与信息安全扯上了关系,一旦这些信息泄露,用户可能将遭受不可挽回的巨大损失。而对高度发达的互联网来说,信息的安全性更是重中之重:电子商务、网络银行、敏感数据传输、语音交互—所有这一切都是在一个开放的网络上进行,如果信息安全得不到保障,将对互联网发展造成致命的打击。
在信息技术发展的几十年历史中,科学家们陆续发明了许多安全技术,这些技术可能在原理上存在许多不同,但它们都可以实现对信息进行加密保护、防范未授权访问的作用,它们的差异更多体现于所能达到的安全等级、技术稳定性以及易用性。而对个人用户来说,身份认证机制是信息安全最重要的一道门槛,如果身份认证系统被攻破,意味着自身所有的秘密拱手让人,并有可能造成巨额经济损失。因此,开发出高安全性且易于管理、易于使用的身份认证技术向来都是信息工业中重要的一环,而在过去信息技术数十年的发展历史中,科学家发明了许多不同原理的身份认证技术,密码识别、指纹识别、虹膜识别、声纹识别是其中的典型代表。
每一个体系中包含不同的实现方案,而每一种方案也都有自己的侧重点、优点与不足。本文将向大家介绍加密技术的原理、特点以及它们的应用状况,而从中我们也将了解到加密技术的未来发展潮流。
弊病多多的身份认证机制
密码是个人用户最常使用的身份识别标识,无论登陆操作系统、电子邮箱、游戏帐号无一例外都是采用密码认证的方式判别通行权限—只有当密码与您的初始设定相符合,系统才会给您开通进入权限并作相应的程序转向动作。而这样的一套口令验证系统也非常简单:它包含一个客户端和服务端。客户端直接面向用户,提供一个进入本系统的界面,用户可以在客户端界面上输入用户名与密码;当这些信息输入之后会被立即传送到服务器端,由服务器端将其与自身的“用户名/密码”数据库进行—核对,如果能在数据库中找到对应的条目,并且完全一致,那么便向用户开通权限;而如果数据库中没有这样的条目,或者用户输入内容与数据库条目内容不完全相符,系统就会判别此次进入行为非法,体现在程序行为上,便是给出“您的用户名或密码不正确”或者“用户名不存在”这类的提示。
上述口令访问机制只能保证最基本的安全性,密码的破解也最为简单,它多用于那些对安全性要求较不苛刻的场合,例如操作系统登陆、论坛访问账号、电子邮箱账号等等;当然对一些负责关键任务的服务器/工作站系统来说,账号与密码也是唯一的判别方式,但它们的管理账号一般都处于保密状态,外界难以知晓,即便使用穷举法或者某些优秀的算法进行破解,也要求计算机拥有惊人的运算力和漫长的时间,这基本失去了被攻破的可能。事实上,也没有哪一个入侵者会采用这种愚蠢的方式来获得账号与密码—许多服务器之所以被频频侵入,在于系统存在安全漏洞,入侵者可直接获取管理账号,这应该是系统及管理员自身的问题,非密码认证技术之罪。同样,银行卡、信用卡虽然也是采用密码获得权限许可,但所有的账号、密码信息都是在银行自身的网络系统内传输,这类专用网与外界的公用网在物理上相互独立,拥有极高的安全性,从外部入侵的可能性为零。而网络银行软件虽涉及到数据在公用网络传输的问题,但所有数据在传输过程中都作了极高等级的加密处理—事实上,到目前为止也还未发生因为加密技术缺陷造成银行卡账号、密码外泄的情况,虽然经常有报道说许多用户因自己的账号、密码遭窃而导致巨额经济损失,但这些情况几乎都是诈骗者利用假银行网页、手机短信等非法的方式,骗取用户的银行账号及密码,再通过克隆卡的方式非常提取该账号内的金额,同样不应该完全归咎于该系统采用的密码认证技术。
另外,许多用户也将电脑中的重要文件进行加密处理,只有通过密码才能够访问到文件内容,这些功能一般都是由软件自身具备,例如MicroSoft Office、OpenOffice.org、Adobe Acrobat、WinRAR、Winzip等软件都支持加密功能,但它们的加密手段相对简单,也很容易破解。软件开发者的本意只是给用户提供初等的访问认证,可以阻止一些文件被其他用户无意看到,并非为了保证数据的绝对安全;换个角度看,密码容易破解也有一个好处,许多用户经常都会忘记加密文件的密码(尤其是文件长时间不使用时),如果无法破解密码,用户自身都无法看到文件内容—这类情况在实际使用中相当常见,相信大家经常可以在一些软件论坛上看到用户求助说忘记Word/Excel之类文件的访问密码,恳求破解的方法;虽然这些情况超出了密码认证技术的讨论范畴,但作为实用环境下频发的案例,密码技术的开发者对此不可视而不见。
尽管不够安全,密码访问认证机制还是被广泛使用,原因在于它简单易行,没多少实现难度,而绝大多数用户所需要的也都是较基本的安全保障。然而,这项机制在今天看来的确越来越落伍了,它最大的麻烦就是管理的方便性与安全性有严重的冲突—许多用户都习惯使用相同的密码,不管是系统登录、各类论坛的账号、电子邮件账号甚至是银行账号;通行的密码非常简单,用户大概永远都不会将它忘记,在实际使用中的确也是相当方便。可所有账号都使用相同的密码,几乎等同于让密码认证机制形同虚设—只要某一个账号的密码被破解或者因故泄露,用户所有的私人信息大门洞开,完全有可能因此产生严重后果,而这样的例子在过去不胜枚举。因此,为保证信息的安全,计算机安全专家一般都会建议用户尽量使用不同的、匹配规则复杂的密码。可这又带来了一个新问题:用户很难完全记住这些密码,或者将它们与各自对应的账号划上等号,而忘记密码带来的后果同样是灾难性的。更有甚者,有些用户为了避免忘记密码,将自己所有的账号名称和对应的密码都记录在一个专门的文档上(例如记录在Word文档中),同时对该文档进行加密。如前所述,所有办公文档的加密手段都是相当基本且容易破解,一旦文档被窥窃,用户等同于将自己的秘密全部拱手让人,完全失去了使用复杂密码的意义。因此,用户不得不在安全性和方便性中作出选择,这往往给用户们带来许多的困扰。密码认证技术另一个缺陷在于,它无法对用户进行精确辨别,只要用户输入的是正确的密码,系统便认为访问者是合法的,入侵者只要盗取某个用户的账号名和密码,便可以随心所欲侵害他人利益,这也是密码认证技术存在的严重先天缺陷。业界也意识到密码认证技术的这些不足严重阻碍了信息工业的进一步发展,为此积极开发各种新概念的安全认证技术—指纹识别、虹膜识别与声纹识别被认为是取代密码认证技术的三项杰出候选者。
密码认证技术的最佳取代者
指纹识别技术被认为是密码认证天然的取代者,目前,指纹识别技术已经被广泛用于门禁系统、部分商务型笔记本电脑和那些以安全性为卖点的移动存储设备,技术也不断成熟。可利用指纹进行身份识别的原因在于指纹的不可重复性—在全世界60亿人口中,没有哪两个人的指纹完全相同,确切地说,应该是没有哪两根手指的指纹完全一样,因此指纹具有高度不可重复性,某一个指纹只能对应特定的某一个人。其次,指纹的样式终身不会改变,不管用户处于青年、中年还是老年阶段,指纹都始终如一、具有高度稳定性。这项研究结论在19世纪初被科学家正式提出,并随后在指纹鉴别罪犯中获得广泛的应用—直到今天,指纹仍然是鉴别犯罪分子的重要手段之一。但如果要精确考证,我们会发现古代人类就注意到指纹的这项功能。早在公元前7000年到公元前6000年的古代中国,指纹就开始作为身份鉴别的依据并在生产实践中使用,如在今天出土的粘土陶器上就留有陶艺匠人的指纹,在随后的历史中指纹也应用广泛,一些古代纸稿、田契、租约上普遍以指纹作为身份识别标志,许多瓷器、陶器、金属制品也都存在制造者签署的指纹,可见指纹认证手段在人类历史上已被广泛使用,进入信息时代后沿用该项技术再自然不过。
指纹识别进入计算机时代
在计算机未诞生、或未得到广泛应用的年代,指纹鉴定都是通过手工的方法进行。首先,指纹专家会建立一个庞大的指纹库,指纹库中存放着大量印有指纹的卡片;如果要鉴定某个指纹是否属于某人,在实际收集此人的指纹图像后再将它与指纹库中的既定指纹卡片进行对比(必须借助放大镜才能观察到指纹的细微纹路),如果图像信息完全吻合,那么便判别该指纹由某人产生;如果图像不吻合,那便得出一个否定的结论。显而易见,人工处理的方式效率低下,鉴定一个指纹就需要耗费大量的精力,并且这项工作只有经验丰富的指纹专家才可胜任。更严重的是,由于人工管理的限制,每一个指纹库容量不能做得太大,否则逐一比较的鉴定工作便浩如烟海,非人力所能完成。到了20世纪60年代,计算机技术获得高速发展,科学家成功发明了计算机指纹鉴定系统,并将其投入使用,指纹鉴定开始迎来有史以来首次大飞跃。凭借计算机的超强运算力,指纹鉴别工作可以快速完成,并且能够保证极高的精确度,更重要的是,构建庞大的指纹库系统也就成为可能—只要计算机的速度够快、存储容量够大,那便可以将整个国家人口的指纹都纳入其中,建立一套庞大的指纹库系统,由此实现国家范围内的指纹精确识别,相信大家在国外许多科技相关的电影大片中能够清楚地看到这种趋势。
在那个年代,计算机还是政府机构、军队和科研单位的专属品,不可能用于民用市场。直到九十年代后期PC机获得大范围流行,且出现低价位的光学取像设备,让指纹识别技术进入民用市场成为可能,诸如考勤机、门禁、远程教育、网络安全、汽车等许多领域都开始采用指纹识别技术,这些产品投放市场之后都获得广泛的欢迎,例如指纹考勤机目前已在国内占据30%以上的市场份额,发展前景极为可观。而在最近两年来,将指纹认证技术用于计算机产品中成为新的潮流,如IBM从2004年开始在自己的商用型Thinkpad T/X系列笔记本电脑中引入指纹识别技术,获得业界的广泛认可,由此带动指纹识别技术进入桌面计算机、笔记本电脑及注重安全的外设产品中,并朝向消费电子领域扩展。在未来几年内,相信指纹识别技术将迎来一个黄金发展期。
指纹识别的几种技术
当然,无论将指纹识别系统应用于哪一个领域,对其作精确的识别始终都是最为关键的步骤。显然,我们无法将“指纹专家+放大镜”的模式直接搬到计算机系统中,而必须借助图像识别技术方可进行准确鉴别。在过去多年历史中,业界一共发展出三类不同原理的指纹识别技术,其一是利用光学扫描技术获取指纹图样,其二是利用硅传感器芯片对指纹进行精确感知,第三则是使用超声波技术来获取指纹的形貌特征。这三项技术都能实现指纹图样采集的目的,但在精确程度、方便性、实现成本和工作模式方面存在较大的不同。
最早被用于计算机指纹识别系统中的当属光学扫描技术,该技术在实现原理上也最为简单:一个光学扫描设备承担指纹图像获取的工作,在检测时用户只要将手指按在扫描设备的玻璃表面,接着扫描设备发出强光照射,并由CCD传感器捕获指纹图像。不难看出,指纹扫描设备其实就是一个专用的扫描仪,它的工作原理、内部构造与常见的扫描仪完全相同,不同之处仅在于这套指纹识别系统是在一套专用软件掌管下进行工作。指纹图像样本采集之后,软件可将它与指纹库中的记录一一对比,直到找到相同的样本或搜索完整指纹库为止,因此其核心在于指纹识别软件而非扫描硬件本身。由于光学扫描技术发展成熟、成本低廉,耐用性也相当不错;但它存在较多的缺陷:如手指表面的灰尘和油脂对扫描质量影响很大,而精心复制的指模也可以将该系统轻松欺骗;此外,对应的光学扫描设备体积庞大、耗电量较高、图像获取的时间也比较长,无法用于笔记本电脑、掌上电脑、移动电话等便携电子产品中。当其他技术发展起来后,传统意义上的光学扫描指纹识别技术就没有了市场。
扮演光学扫描技术杀手角色的是电容式指纹识别技术,也正是由于该技术的出现,指纹识别才能够真正走向民用市场。与传统的光学扫描技术不同,电容式指纹识别设备体积极小、成本很低,可被方便地整合于各类指纹识别设备中,并获广泛使用。该套系统的核心是一块半导体硅传感器,传感器内包含一个数量庞大的金属导体阵列,传感器表面则是一个绝缘的介质层。当用户将手指放在传感器表面时,传感器内的金属导体阵列、绝缘表面与用户的手指皮肤就构成一个电容器阵列,每个电容器存储的电荷数量又同指纹脊、沟与金属导体之间的间距存在一一对应关系。这样当用户将手指按压在传感器表面时,传感器便能够产生一个由不同电容值构成的信号阵列,这些信号阵列经过专用的算法转换之后便能够生成指纹图像。接下来,系统会将指纹图像与指纹库中预存的样本作对比,如果能够搜寻到吻合的样本,那么便会朝用户开放访问权限,由此完成指纹识别的整个过程。但要注意的是,传感器表面与指纹之间产生的电场为半球状,为了获得清晰的指纹图像,用户必须将手指紧贴在传感器表面才行。
与电容式指纹识别类似的技术还有压感式识别和温度感应识别,前者使用压感式传感器作为指纹图像的捕获工具—该传感器的核心是压感介质材料,它在经受不同程度的压力时可产生相应的电流,当用户将手指按压在传感器表面时,指纹的“脊”纹路对传感器造成较大的压力,而“沟”因距离的关系,产生的压力较小,这样传感器将产生一个由不同强度电信号构成的阵列,之后系统会将它们转换为相应的指纹图像。而温度感应识别技术的关键则是一个温度传感器,用户将手指按压在该表面,指纹的“脊”部分与之距离较近,感应到的温度较高,传感器内部将产生较大的电流;而“沟”部分同样因距离较远的关系,感应到的温度值较低,传感器内产生的电流值就较低。
无论是电容式、压感式还是温度感应识别,三者都要求用户必须将手指用力按压在传感器表面,否则就无法获得清晰指纹图像,这在实用中多多少少有些不便。IBM在ThinkPad T42机型中率先使用滑动式(touch and slide)传感器,将指纹识别技术的实用性推向新的高峰。与上述三种识别技术相比,滑动式传感器不要求用户在鉴定时按压指纹,而只要将手指轻轻刷过传感器表面,传感器便能自动对手指进行连续的“快照”,然后这些快照被组合在一起,形成清晰的指纹影像。这种采集指纹的方式效果与压感式相当,但它无需用力按压,使用更加方便,加之指纹图像是由多幅图像一起组合产生的,出错的概率非常小。IBM透露,该项技术的提供者是ST Micro(意法半导体),在IBM 与 ST 签定合同以后,ST方面就专门成立UPEK公司,致力于生物识别领域的探索。除了UPEK外,AuthenTec公司也拥有庞大的滑动式指纹识别传感器产品,该公司开发出一项名为“TruePrint”的指纹识别技术,该技术不仅只会读取指纹最上层的表面,而且能够从表皮以下组织读取指纹,不会受到皮肤表面状况如皮肤干燥、破损等的影响,因此TruePrint技术拥有极高的可靠性和分辨精度,在同类型产品中也首屈一指。目前,AuthenTec的指纹识别器产品线覆盖桌面计算机、笔记本电脑、移动电话、PDA以及各种考勤机、门锁、汽车和其它门禁产品,在全球拥有100多家客户,其中包括三星、德州仪器、英特尔等重量级企业;而到现在为止,全球采用AuthenTec出品的指纹识别器的终端超过400万个,市场占有率超过70%—作为一家只有6年历史的年轻企业,AuthenTec取得的成绩可谓相当出色,除了得益于自身所掌握的诸多专利技术外,指纹识别市场的高速发展更是一大契机。
利用超声波进行指纹识别的原理其实与光学扫描技术比较近似,这项方案是从军事领域的超声波定位技术获得启发,并将它用于民用领域。在各种指纹采集方案中,超声波识别技术具有最高的准确性,但它与扫描技术一样遭遇设备体积大、耗电量高的困扰,成本也相当高昂,这些缺陷决定了该技术不可能进入到消费电子领域。
多样化的后端控制方案
上述几种指纹识别技术其实只是涉及到指纹的采集部分,而当传感器采集到指纹图像之后,剩下的工作就交由控制软件完成。控制软件可直接安装在操作系统中,以纯软件的方式存在,也可以嵌入式控制模块的纯硬件方式存在,当然也可以软硬结合的形态存在。纯软件方式最为简单,指纹图像样本的比较计算工作都是由CPU承担,指纹库则直接存放在硬盘上。这种方式最大的优点就是最容易实现,代价也最低,但它的毛病在于安全性仍不够高,指纹库有被破解的可能,而且这类指纹控制软件往往都无法做到跨平台,因此纯软件方式的指纹识别系统更多使用在对安全性要求不慎苛刻的消费类产品中。相比之下,纯硬件方式的安全性就高得多:图像样本库存储于专门的硬件区域,由专用的DSP芯片负责指纹样本的比较,对设备采用的操作系统也没有要求,具有广泛的兼容性,但硬件方式的缺陷在于成本较高,一般只有在苛求安全性或者无法由软件方式实现的专业场合,例如指纹门禁、指纹锁等产品都隶属于该体系,IBM在Thinkpad T系列和X系列机型采用的滑动式指纹识别技术也属于纯硬件方案—IBM将控制部分的功能直接整合在笔记本内的安全芯片上,该枚芯片拥有独立的存储功能及一定的运算能力,可记忆21组指纹;由于IBM对其作了功能强化,使得该指纹识别系统不仅可作为Windows登陆密码,还能用于ADSL联机密码、e-mail密码、网页会员登陆密码、文件开启密码等等,具有极高的实际价值。至于另一种软硬结合方式则较好地兼顾了以上纯软件和纯硬件两种方案的优点—指纹样本存储在专门的ROM芯片中,指纹样本的比较运算工作则由CPU来承担,其安全性与纯硬件方式相当,而成本较低,但同样由于控制软件自身的原因,软硬结合的方案也不能跨平台使用。
最精确可靠的身份识别方案
与指纹识别一样,虹膜(Iris)识别也是以人的生物特征为基础,而虹膜也同样具有高度不可重复性。虹膜是眼球中包围瞳孔的部分,每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构,这些特征组合起来形成一个极其复杂的锯齿状网络花纹。而与指纹一样,每个人的虹膜特征都不相同,到目前为止,世界上还没有发现虹膜特征完全相同的案例—即便是同卵双胞胎,虹膜特征也大不相同,而同一个人左右两眼的虹膜特征也有很大的差别。此外,虹膜具有高度稳定性,其细部结构在胎儿时期形成之后就终身不再发生改变,除了白内障等少数病理因素会影响虹膜外,即便用户接受眼角膜手术,虹膜特征也与手术前完全相同。高度不可重复性和结构稳定性让虹膜可以作为身份识别的依据,事实上,它也许是最可靠、最不可伪造的身份识别技术。
虹膜识别的工作流程并不复杂:第一步,由一个专用的摄像头拍摄虹膜图像;第二步,专用的转换算法会将虹膜的可视特征转换成一个512字节长度的虹膜代码(Iris Code);第三步,识别系统会将生成的代码与代码库中的虹膜代码进行逐一比较,当相似率超过某个边界值(一般是67%)时,系统判定检测者的身份与某个样本相符,而如果相似程度低于这个边界值,系统就会认为检测者的身份与该样本预期不符合,接着进入下一轮的比较。尽管这个过程说起来非常简单,但真正实现起来却必须首先解决大量的技术问题,这些问题主要集中在虹膜图像的获取和设备的小型化方面。
在采集虹膜图像步骤中,摄像头要求能够准确聚焦。如果采集对象是固定的设备,那么精确聚焦毫无难度可言,可问题在于虹膜采集对象是活动的人物,而每个检测者的位置都不可能固定,因此一套智能型的摄像设备是必须的。在这一领域,国内外的虹膜识别厂商有着不同的实现解决方案,但它们都有体积较大的弊端;其次,要采集深色眼球的虹膜图案极为困难,尤其是黑眼睛的东方人来说,普通摄像设备根本无法胜任,为解决这个问题,许多虹膜厂商都开发出专用的红外摄像设备—在采集虹膜图像时,红外摄像机首先将一道不可见的红外光束准确聚焦在虹膜表面,虹膜图案被红外光“照亮”,摄像机同时拍下虹膜图像。也许你会担心红外光直射会对检测者的眼球造成损伤,这种担心并不必要,因为红外光的强度比电视遥控器还小,而且人眼在此过程中完全不会有任何异常的感觉。
当虹膜图像采集下来之后,系统会根据既定的数学方法将图像简化成黑白数字图样,识别软件会自动判别反射光、色调的细微差异以及被遮掩的部分,并将这些杂讯完全除去。一般来说,虹膜识别系统只会采纳虹膜的下半圆部分进行识别,这与指纹识别技术存在明显的不同。接下来,半圆形的虹膜图案会被转成矩形的条纹。由于虹膜图案非常对称,即便在转换或拍摄干扰因素造成的变形现象都可以通过数学方法进行有效修正。这样在经过多次数学处理之后,虹膜图案就变成一个带有独特生物特征的二进制数字记录—这个数字记录也被称为“模板”,它的长度一般只有512个字节。尽管模板长度相同,但不同的虹膜转换算法效果不同,评价算法优劣的标准就是模板中量化特征点的数量,而在这一领域,英国剑桥大学John Daugman博士的研究成果处于领先地位(注解:目前所有的虹膜识别技术都是以John Daugman博士的专利和研究为基础),Daugman博士的算法以3-4个字节长度的数据来表示每平方毫米面积的虹膜信息,这样在直径为11毫米的虹膜上,可以获取266个量化特征点。而在算法和人类眼部特征允许的情况下,该算法可生成173个二进制自由度的独立特征点,这在虹膜识别领域首屈一指。而特征点越多,虹膜识别的精确率就越高,因此采用何种算法对识别系统的最终表现影响巨大。
完成数字转换后,系统会将生成的模板与虹膜库中的模板进行逐比特的比较,当发现两者的特征吻合度超过67%时,系统会判定两者相符合,由此辨别出检测者的身份。这条法则依据17世纪数学家Jakob Bermoull提出的掷硬币理论,根据该理论可以得出这样的推论:当两个虹膜模板的特征吻合度超过67%时,虹膜不同的概率只有120万分之一;换句话说,只有在120万个人群当中,才可能出现两个虹膜吻合度超过67%的对象—在日常生活中,如此之低的相似几率完全可以忽略不计。当然,将这个边界值提高将有更出色的精准度,但问题在于每次拍摄下的虹膜样本都存在一定的误差,如果设定的边界值过高,存在的误差就有可能导致虹膜识别出错,造成相同样本被识别为不同对象的情况。
由于虹膜识别设备的体积较大,决定了该技术不可能用于消费电子产品中,它的主要用途是军事基地、核能设施、服务器机房、保密工作室、金融系统、港口控制等需要高度安全性的领域。在该领域,国外厂商先行一步,目前产品已完全达到实用化水平,许多国外的机场都采用虹膜识别系统作为身份鉴别主要手段。而目前国内从事该领域研究的只有中科膜识科技有限公司(中科院自动化所下属),该公司成立于2000年8月,拥有很强的技术实力,也是世界上第二家拥有核心算法的虹膜识别设备企业(另一家为美国的IRIDIAN公司);而在硬件开发上,中科膜识与日本OKI进行合作,由后者协助生产辅助硬件。该公司早期的注意力在金融系统、机场登陆系统、ATM自动取款机等领域,由于具备得天独厚的优势(更适合黑眼睛的中国人使用,成本更低),也没有任何有力的竞争对手,中科膜识的发展速度极为迅猛,完全有机会成为国内虹膜识别技术领域的领导厂商。而该公司希望能够让虹膜识别技术进一步拓展到民用市场,如虹膜考勤机、虹膜门锁,甚至可能借助手机摄像头功能实现安全认证,这样借助手机进行移动电子商务就成为可能。这些市场都刚刚起步,发展前景极为广阔。而如果中科膜识能够在这些领域获得成功,那么将虹膜技术整合于笔记本电脑、PDA等数字设备中将变得轻而易举,届时指纹识别技术将面临强大的挑战。
生物识别技术将迎来黄金时代
除了指纹识别、虹膜识别外,利用人体生物特征进行身份认证的技术还包括视网膜识别、声纹识别、3D面部识别、手掌几何识别、基因识别等等,这些技术同样拥有高度安全性,并且容易使用的优点,但这些技术都有较多的技术难题尚需解决,因此目前更多停留在概念技术研究阶段,远未实现实用化。就目前的技术发展情况来看,指纹识别与虹膜识别将成为未来身份认证的主流技术,传统的密码认证将被逐渐淘汰;当然,由于密码认证机制已经有数十年的应用历史,几乎所有需要身份认证的场合都采用密码机制,要从这样一个庞大的体系全面转向指纹识别或虹膜识别显然需要漫长的时间。而在这个过程中,这些身份认证技术将得到持续的改良,统一的标准也有机会被提上日程—或许在几十年后,我们能够面对这样的景象:麻烦的密码技术被彻底淘汰,指纹识别、虹膜识别或其他的某一项安全技术成为全球共通的标准,身份认证既方便又万无一失。例如,当我们打开电脑,摄像头自动扫描我们的瞳孔,系统自动获得虹膜信息并判别信息大门是否向你开启;当我们通过页面访问互联网上某一个需要身份识别的区域时(如文件服务器、电子邮箱系统、个人银行系统),系统同样根据虹膜信息对你进行身份识别;而在其他领域,个人身份证、银行账号、通用银行卡都以虹膜作为识别标准(在上述猜想中,将虹膜更换为指纹识别或其他生物识别技术同样成立),人类社会从此将进入一个信息高度互联与信息高度安全的全新时代。也许你认为这样的场景大概只出现在科幻电影中,但以目前的技术水平及发展趋势来看,实现这一步所需要的仅是时间。首先,我们需要进一步完善指纹识别、虹膜识别或者某一项能成为公有标准候选者的身份认证技术;其次,业界需要从这些认证技术中遴选出最优秀的一种,并克服各厂商的利益之争使之成为公有标准,所有与信息安全有关的领域都采纳该标准作为个人身份识别的主要依据;再接下来,剩下的工作便是实际产品的开发和实用化推广。当然,指纹识别技术和虹膜识别技术目前已经进入实用阶段,并呈现出高速发展的势头,相信在若干年后,标准制定工作将被提上日程,而该领域内许多技术实力强,但目前规模较小的技术型企业完全有机会成长为产业界的巨头。□