网络安全动态 ·

生物核身技术的安全挑战与发展趋势

生物核身技术是目前最方便捷和安全的身份鉴别技术之一,在执法、金融、零售等领域有着广泛的应用,面部识别、指纹识别等技术已经深入了到每个人的工作和生活中。根据Global Markets Insights的市场报告,到2024年全球生物核身市场规模有望突破500亿美元。但技术是一把双刃剑,给用户带来便捷体验的同时也会面临安全风险和挑战,如何在保障安全的前提下应用生物核身技术已经成为了大家关注的焦点,AI驱动将成为生物核身技术重要的发展方向。

生物核身技术的安全挑战与发展趋势 网络安全动态 第1张

生物核身简单来说是一种通过测量并分析人的生理特征或行为特征进行身份验证的技术。其中生理特征主要包括指纹、人脸、虹膜、手掌、静脉、DNA等,行为特征主要包括签名、声音、键盘习惯等。

无论采用哪种方式,生物核身系统基本采用以下工作方式:

  1. 注册:首次使用生物核身系统时,它会记录个人的基本信息,例如姓名、ID等,然后系统会捕获生理特征或行为特征的有关图像或记录;

  2. 存储:系统不会存储完整的图像或记录,而是会将相关内容转换为代码或特定图形并进行存储;

  3. 比较:下次使用该系统时,它会将识别的信息与存储的信息进行比对,以实现身份的验证。

应用场景

生物核身技术应用比较广泛,覆盖了从商业活动和个人生活的各个领域,从最初的法医鉴定到智能手机面部识别等,生物核身的主要应用场景包括:

  • 执法和公共安全:基于公共安全需求的身份识别、法医鉴定等行为,支持相关部门执法;

  • 军事领域:国防军事领域或国家安全领域的生物信息收集、存储、分析及应用;

  • 边境管控:以出入境人员管控为目的的生物特征应用,包括生物护照、面部识别、指纹识别等应用;

  • 公民身份管理:基于生物特征的公民身份管理相关应用;

  • 物理和逻辑访问控制:基于生物识别的门禁系统(物理访问控制)、计算机系统和网络准入系统(逻辑访问控制)等;

  • 商业应用:金融、科技、零售等行业基于生物特征进行核身、授权和业务应用等。

技术优势与问题

生物核身之所以有大范围的应用,是因为生物特征具有以下优势特性:

  • 通用性:在任何人身上都可以找到

  • 独特性:不同的个体之间存在区别

  • 永久性:随着时间推移不会发生重大变化

  • 可记录性:可以转换为特定编码并进行存储

  • 可衡量性:支持对进行数据比较和衡量

由于生物特征具有以上特性,因此生物核身技术具有较高的安全性和便捷性,在使用的过程中具备较高的速度和效率,可以实现快速身份识别识别和认证。除了上述优势特性之外,生物核身也技术也存在一些问题,涉及严重的隐私问题,包括:

  • 任何数据都存在被黑客入侵的风险,尤其是生物特征数据尤其受到关注。随着生物核身技术应用越来越广泛,很多数据没有得到应有的安全保护;

  • 与其他种类数据相比,生物特征数据更容易受到攻击。密码可以更改,但是指纹、虹膜等特征无法更改,这意味着一旦发生数据泄露,生物特征将不受控制;

  • 某些生物特征可以被复制。例如,恶意人员从远处拍摄面部的高分辨率照片,或者从咖啡馆的被子上复制指纹等。这些信息会被利用与入侵设备或账户;

  • 生物核身技术相关法律还不完善,将涉及严重的个人隐私问题。

安全风险与挑战

尽管生物核身技术带来了便捷性和安全性,但在某些方面仍然需要改善,其中最主要的是欺骗攻击的防御能力、数据安全保障两部分需要改进。生物核身技术是利用生物特征和行为特征,这些原理同样可以被恶意人员利用,并采用相关手段来绕过安全控制。采用不同技术的生物核身系统面临的安全风险不尽相同,但都应该具备足够的能力来识别并拒绝非法的访问行为。生物核身主要的安全风险和挑战包括:

欺骗攻击

任何生物核身系统都具有缺陷,恶意人员会利用系统的缺陷来欺骗系统,系统将恶意人员识别成为授权用户。这种局限性称之为FAR(错误接受率或错误匹配率),即错误认证通过的次数占总认证次数的比例,也即成功欺骗的比例。例如2019年美国黑帽大会上,有研究人员通过眼镜和黑色胶带解锁iPhone面部识别。可见任何系统都是存在缺陷的,FAR永远不会等于零。生物核身技术需要将FAR尽量降到最低,目前主流技术声称FAR为0.0001%到0.1%,但实际数据往往要高于实验数据,数据往往受到环境、硬件和软件的影响,这种风险不可忽视。对于欺骗攻击的风险,可以通过生物核身技术的不断发展和进步,减少系统缺陷以降低风险。

生物核身技术的安全挑战与发展趋势 网络安全动态 第2张

仿造攻击

恶意人员往往会仿造合法人员的生物特征来获取授权,尤其是针对一些老旧的或安全性较低的生物核身系统。例如可以收集残留在门把手或咖啡杯上的指纹,并用树脂硅胶或其他材料来制作仿造指纹;高分辨率的照片会拍摄虹膜形状;3D打印人脸或包含面部识别的视频剪辑仿造人脸识别等。新一代的生物核身系统已经增强了对仿造攻击的防护,但恶意人员从未停止对仿造攻击方法的探索。需要提高系统识别欺骗攻击的方式和模式的能力,并实施相关技术对策以降低这种风险。

数据安全风险

由于生物特征无法更改,一旦泄露将不受拥有者的控制,因此生物特征数据比普通数据具有更高的安全风险,需要采取相应的数据安全解决方案来保障生物特征数据采集、存储、传输、应用全过程的安全。除了技术手段之外,法律法规层面对于数据安全和隐私保护也很关键。

生物特征数据保护

生物特征数据非常特殊也非常重要,但实际上全球长期没有专门针对生物特征数据保护的相关法律法规,因此主要主要参考广义上与个人数据有关的法律法规。

欧盟数据保护

生物核身技术的安全挑战与发展趋势 网络安全动态 第3张

2018年5月25日,欧盟出台《通用数据保护条例》(GDPR),生物特征数据得到明确定义和保护,迈出了具有国际影响力的数据和隐私保护的重要的一步。

GDPR将生物特征数据定义为“个人数据的特殊类别”,并禁止对其进行处理。更准确的说,生物特征数据是“与自然人的身体、生理或行为特征有关的特定技术处理产生的个人数据,是自然人的唯一表示,例如面部画像或指纹数据。”该法规规定欧盟居民对个人数据和生物数据具有控制权,保护欧盟公民和长期居民在未经其同意的情况下不与第三方共享其信息。为了使生物核身安全工作,必须适当保护公民权利,并谨慎、合理地管理私人和公共组织收集的数据。

美国数据保护

生物核身技术的安全挑战与发展趋势 网络安全动态 第4张

美国没有统一的、联邦性法律规范个人数据保护,尤其是在生物核身方面的数据收集和使用,各个州根据自身情况制定相关法律。

2018年6月加州通过消费者隐私法案(CCPA),该法案加强了加州居民的隐私权和消费者权益保护,具体权利包括:访问数据、删除数据、接收数据、退出选项、禁止销售数据等,是美国数据隐私法律的典范。

AI驱动生物核身

生物核身技术的安全挑战与发展趋势 网络安全动态 第5张

AI人工智能在许多领域引领了颠覆性的变化,尤其是在网络安全方面具有非常大的潜力。将AI和生物核身技术结合在一起,可以创建安全的身份验证机制,有助于提高生物核身系统针对欺骗攻击、仿造攻击的防御能力,有效降低安全风险。AI和生物核身技术可以通过以下方式协同工作:

面部识别

通过AI对上百万张图像进行学习训练,可以提高面部识别精准度,并结合3D生物核身技术实现身份验证。同时AI可以使用预测模型来分析衰老对人脸的影响。借助大量的面部数据,AI和生物核身技术可以创建更精确的身份验证模型。

语音识别

语音识别中的AI可以使用数百万个不同用户的语音样本训练生物核身系统,可以通过分析人的语音模式(语速、语调、口音等)来确定声纹特征,通过声纹特征可以快速并精确的进行身份验证。

步态检测

步态检测是一种根据个人的行走方式进行身份验证的方法,AI驱动的步态检测借助传感器来分析人的步伐,进行训练并形成步态特征,基于步态特征进行身份鉴别。

技术的不断发展使得生物核身技术面临诸多挑战,仅仅根据生理特征或行为特征已经无法满足身份验证的安全要求。将生理特征和行为特征进行结合,同时叠加AI人工智能技术,通过样本训练的方式可以有效提高身份鉴别精准度,AI驱动将会是生物核身技术的主要发展方向,相信会有更广阔的的市场空间。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论