生物識別技術正快速“走紅”海內外眾多領域。根據中國信通院2020年發布的《生物識別隱私保護研究報告》，自2010年以來，全球生物識別產業迅速增長，2017-2018年市場增速最快，增長率達到22.28%，2019年之后逐步穩定增長趨勢，到2020年市場達到233億美元。

現今比較成熟的生物識別認證方式有指紋認證、人臉認證、聲紋認證、虹膜認證、步態認證等。例如，系統進行活體檢測時，用戶“眨眨眼、點點頭”即可快速實現線上身份確認；指紋、人臉還能用于免密登錄認證、免密支付轉賬、線上合同簽署操作；執法部門通過人臉識別對特定人員進行精準搜索和巡查……

不可否認，生物識別技術讓用戶的認證方式變得簡單、易操作，但應用過程中也會出現一些風險，有兩類安全問題尤為突出。

安全問題1：針對生物識別技術的安全攻擊持續不斷

這些年，對于生物識別認證的攻擊一直存在，攻擊手法層出不窮，但大致歸為兩類：一種是通過網絡對生物識別信息的截取，以便實現對認證系統的攻擊，這種攻擊方法主要針對遠程人臉認證；另一種是通過深度偽造生物識別信息，做出極其逼真的3D人臉模具、指紋模具，實現以假亂真的效果。

2017年央視315晚會現場，主持人憑借手機和一張正面照片，就使用“換臉”特效成功攻破人臉識別系統；2018年一篇《一塊橘子皮就能秒開你的手機指紋鎖還能轉賬付款》的文章被瘋狂轉載，攻擊者使用特定的方法和工具，即可實現手機指紋解鎖的破解；2019年1月，在德國黑客組織年度大會上，研究員使用照片制成的手摸繞過了靜脈認證；同年3月，攻擊者利用AI技術成功模仿并冒充英國某公司CEO的聲音，詐騙22萬歐元；近年來，使用3D打印面具，可呈現極度逼真的人臉模型，騙過某些手機終端人臉識別認證系統。

實際上，我們需要通過優化生物識別認證算法，或結合其他安全認證原理，結合特定的應用場景，才能實現可靠性、安全性的防護，防止誤認、漏認等風險的發生。比如，央行發布的《網上銀行系統信息安全通用規范2020》明確指出，應把生物特征技術作為安全增強手段，并與其他身份認證技術相結合，增強交易安全。

安全問題2：個人生物特征隱私保護亟待解決

生物識別信息是每個人與生俱來的特征，一旦遭到泄露，將出現不可挽回的影響。目前，生物特征信息的采集、傳輸、存儲等方面還缺少較為細化的安全措施規范。另外，現有的市場中存在生物信息采集過度，使用過度等亂象，一些企業未征得用戶同意的情況下，任意使用生物特征（尤其是人臉信息），對用戶隱私造成嚴重威脅。

保護個人生物信息隱私，實際上需要從法律立法、加強監管、企業自律等多維度開展。近年來，我國相繼發布了多個針對生物識別認證相關的標準規范，例如，《信息安全技術 基于可信環境的生物特征識別身份鑒別協議框架》（GB∕T 36651-2018）、《信息安全技術 遠程人臉識別系統技術要求》（GBT38671-2020）等。此外，為切實保護公民個人隱私安全，按照《關于開展攝像頭偷窺等黑產集中治理的公告》要求，工信部網絡安全管理局近期還組織開展了攝像頭網絡安全集中整治。

基于多年來對生物識別領域的深度研究及探索實踐，中國金融認證中心（CFCA）能為行業提供成熟的安全合規認證解決方案。該方案對接權威數據源，提供用戶在線多要素和活體檢測功能，認證用戶的真實身份；提供基于FIDO標準的生物識別快速認證功能，實現生物特征識別+PKI高強度密碼認證的復合身份驗證方式，實現用戶快速安全授權，優勢顯著：

1.結合了生物識別技術和電子簽名技術，實現密碼和生物特征的綁定，加強了生物識別認證的安全強度；

2.采用終端本地生物特征作為認證因子，無需建立指紋、人臉等生物特征存儲庫，可完全防止生物特征信息泄露風險，并已完成央行、公安部、國密局等監管機構相關資質認證，已獲生物識別數字證書的專利申請。

責任編輯：韓希宇