《国际电联新闻月刊》杂志

电信业动态

عربي  |  English  |  Español  |  Français  |  Русский  |  download pdf
                     

生物特征识别与标准
技术跟踪报告
05_01
摄影: Shutterstock
 
image
摄影: Shutterstock

我们一般都是通过脸部,有时也能通过声 音、笔迹或走路方式认出相识的人。过去, 目测是对出入境旅客、试图进入私人场地的 访客或从银行提取现金者进行身份检查的唯 一方法。考虑到国际旅行的增长、工作场所 的安全需求、电子银行的推广普及以及我 们日常生活中的诸多其他变化,再采用这 种方式就不现实了。目前出现了一种新的身 份检查方式,采用自动方法和信息通信技术 (ICT)根据身体特征和行为特征来识别个人 身份 — 这门技术称为生物特征识别。这是国 际电联有关“生物特征识别与标准”的新一 期《技术跟踪》报告的主题*.

生物特征识别现用于电子护照以及银行自 动提款机(ATM)的指静脉识别,甚至用于 防止售货机将香烟卖给儿童。不管是哪种情 况,都要对遗传特征的某种组合进行测定, 并自动与储存在令牌中或数据库中的模版进 行比对,看是否匹配。所测定的特征常常是 身体特征,但也可以是行为特征,如在输入 词语时的击键特征。随着生物特征识别在身 份验证中得到广泛认可,尤其是在开放的网 络环境中,生物特征识别数据在隐私保护、 可靠性和安全性方面面临更加复杂和严峻的 挑战。

凡是在机场登记处排过队的人都会感到 提高电子护照的读取速度和准确性是多么重 要。同样,从ATM机提取现金时,你也会希 望自己是唯一一个能登入自己账户的人。在 犯罪学和司法科学领域中需要准确鉴定 — 指 纹和DNA的准确鉴定在刑事案件中就极为重 要。为满足这种鉴定需要而开发的一些测定 方法促生了生物特征识别。目前,生物特征 识别主要有三大类应用:司法应用、政府应 用(护照、身份证、选民登记等)和商业应 用(例如网络登录系统、ATM机、信用卡处 理、摄影软件中的人脸识别)。

为确保生物特征识别系统可靠、安全、 可互操作和易于使用,显然需要制定国际标 准。政府机构尤其不太可能使用由某个制造 商提供的非标准化系统。必须就需要对哪些 生物特征识别进行测定达成原则一致,并确 信选定的度量标准可以将任何两个个体区别 开来。也需要用标准来保护生物特征识别数 据,这既是为了保护个人隐私,也是为了防 止攻击,以杜绝欺诈或假冒。标准化的基本 目标是使生物特征识别系统更易于安装、运 营成本更低以及使用更可靠。

标准制定组织

早在20世纪80年代,政府和执法机构就 制定了最初的生物特征识别标准,其目的 是用于指纹数据的交换,但直到2002年才 开始有目前这样突飞猛进的标准制定速度。 现在,一些国家和国际组织正在制定这些标 准,包括国际标准化组织(ISO)、国际电 工委员会(IEC)和国际电联电信标准化部门 (ITU–T)。行业公会也制定了各种旨在支持 其成员目标的标准,同时联合国专门机构, 如国际民用航空组织(ICAO)和国际劳工组 织(ILO),也在各自的专门领域内制定了标 准,这些领域其他组织可能尚未涉足。具体 地说,国际民用航空组织负责可机读旅行文 件的标准化工作,包括电子护照,国际劳工 组织则提供了关于船员生物特征识别身份文 件的导则。

自2002年6月创立其有关生物特征识别的第 37分委会以来,ISO/IEC第1联合技术委员会 (JTC 1)已经制定了30多个关于生物特征识 别的国际标准。ISO/IEC第1联合技术委员会 关于生物特征识别标准的工作也由其下属的 关于“IT安全技术”(涵盖模版保护、算法安 全和安全评估等技术)的第27分委会以及关 于“卡和身份识别”的第17分委会来承担。

在国际电联电信标准化部门(ITU–T) 内,有关生物特征识别的标准制定工作开 始于2001年,由ITU–T第17研究组牵头,负 责在所有研究组间协调此项工作。具体地 说,ITU–T第17研究组负责身份管理问题,即 有关个人身份识别与身份保护的技术方法。 加强此项工作的目的是满足当前网络基础设 施、服务和应用方面更高的安全要求。显 然,使用移动终端和互联网服务的电信应用 所要求的身份认证方法不仅要保证较高的安 全性,也要给用户提供方便。现已公布70多 个关于安全性的ITU–T建议书。

生物特征识别系统

所有的生物特征识别系统都包括一个存储 部件,用于保存与各自身份信息有关的个人 生物特征识别数据样本。系统还包括一个传 感器,用于获取个人的生物特征识别数据。 将获取的数据样本与参照模版进行比对,以 确定其是否匹配。而在电子生物特征识别 中,上述生物特征识别系统组件之间的通信 信道可以是有线形式的,也可以是无线形式 的,既可以是专用网,也可以是公众网, 包括互联网。无论生物特征识别是身体特征 (如DNA)还是行为特征(如击键特征), 每个人的特征都应是唯一的。此外,生物特 征识别在一定的时期内应是不变的,并应是 可测定的。

若干生物特征识别方法示意
2 3 4 5
指纹 虹膜识别 DNA 击键特征

ITU–T X.1081建议书“电子生物特征识别 多模模型 — 关于生物特征识别安全方面的 框架规范”是ITU–T颁布的第一个生物特征识 别标准。它提供了一个模型,可用做一个框 架,来确定和规范电子生物特征识别安全方 面的问题,以及对用于身份识别的生物特征 识别进行分类。多模模型既涉及人的身体特 征,也涉及人与环境之间的行为交互,它提 供了一种分类法,涉及1600多种度量单位、 形态和研究领域的组合。该模型以之前开展 的有关人与环境交互方式的理论研究工作为 基础,并参考了ISO/IEC 80000系列国际标 准,对所有已知用于度量人与环境之间交互 程度的数量和单位进行了规范。

有50多个国家向其公民发放的护照是可 机读的,护照中存有生物特征识别数据,可 在出入境时用于身份验证。在一个小小的射 频识别(RFID)芯片上存储了脸部图像,还有可能存储了数字形式的指纹或虹膜,可 用于与生物特征识别数据库中的信息进行 比对。联合图像专家组(JPEG)是ISO/IEC 和国际电联的一个联合工作组,负责制定 JPEG、JPEG2000、JPSearch和JPEG XR系列 图像标准。这些都是用于图像压缩的方法, 通常用这些方法在电子护照的芯片中存储 数字照片。ITU–T第16研究组制定的ITU–T T.81建议书和ITU–T T.800建议书分别给出 了有关JPEG和JPEG 2000格式的标准。JPEG XR(ISO/IEC 29199-2)目前是一个国际标 准,在ITU–T T.832建议书中以同等文本给 出。它规定了编码图像格式,主要用于存储 和交换连续色调图像内容。

保证数据安全

     
6
现有50多个国家发放带有生物特征识别数据的 护照
 

密钥可能丢失、被窃或被复制;口令可 能会忘记。一般认为,生物特征识别具有几 乎不可能被窃或忘记的优点,并难以猜测。 然而生物特征识别系统却容易受到攻击。生 物特征识别系统的任何部件都有可能成为攻 击目标:传感器、特征提取器、匹配器、存 储的生物特征识别模版或者决策端点。攻击 也可能以绕开生物特征识别传感器的方式实 施,或者通过破坏特征提取器或模版来进行。

生物特征识别正越来越多地成为个人身份 识别码(PIN)或口令等传统认证方案的补充 或替代手段。但生物特征识别数据是无法保 密的,例如,人脸照片、声音记录和签名拷 贝都可以方便地生成。生物特征识别依赖极 为敏感的个人信息,但认证系统的安全不能依赖生物特征识别数据的保密措施。系统要 有效运行,就必须确保生物特征识别数据的 完整性和真实性,并需采取额外的保护措施 来保护隐私。

为了实现安全的认证,ITU–T X.1084建议 书和ITU–T X.1085建议书为电子生物特征识 别规定了9个认证协议,并对各保护配置文 件做了描述;ITU–T X.1086建议书则提供了 有关对抗措施的导则,以便建立一个安全的 环境和保护隐私。ITU–T X.1087建议书陈述 了用于保护多模生物特征识别数据的程序, 以抵御截取、修改或替换数据的企图。程序 包括加密、水印和数据转换。另外两个标准 ITU–T X.1088建议书和ITU–T X.1089建议书 分别提供了有关生成与保护生物特征识别数字密钥的框架以及有关生物特征认证管理的 方式。

商业与政府应用推动增长

信息通信技术的发展带来了更高的设备 性能和可用性以及更低的设备价格,这为自 动生物特征识别铺平了道路。未来的电子商 务、电子医疗保健和电子政府等各项服务可 借助政府签发的生物特征识别个人文件进行 认证。例如,一些发展中国家已经开始在选 举准备阶段使用生物特征识别来进行选民登 记,以避免出现作废的选民名单以及选举舞 弊现象。

对生物特征识别消费市场的预测普遍乐 观。增长预期主要来自商业和政府应用,生 物特征识别和智能卡芯片行业将受益于政府 有关采用电子个人文件和生物特征识别的决 定。根据2008年生物特征识别市场大约30亿 美元的消费额,市场研究者目前预测,2013 年的投资额将达到73亿美元。

在指纹仍将继续作为主要的生物特征识别 的同时,有望出现人脸、虹膜、人手和语音 识别系统,并在生物特征识别领域得到广泛 应用。

下一步会怎样?

通过建立通用准则和制定有关隐私保护的 导则,标准化工作将推动生物特征识别系统 的有效发展。有关数据格式和应用软件接口 的协议将有助于降低系统开发成本。此外,制定有关生物特征识别应用和精度测试的标 准将有助于弄清存在的弱点,为开展攻击应 对措施研究工作提供指导。

生物特征识别既普遍又唯一,它还应是 近乎不变的,并应易于收集和测定。生物特 征识别系统应能在不同的环境条件下给出准 确的识别结果,并应难以上当。对生物特征 识别系统而言,最关键的问题可能是公众的 接受程度。显而易见,非介入式方法比介入 式技术更容易接受。尽管DNA被认为是识 别(同卵双胞胎之外的)某个人的最终生物 特征识别解决方案,但在身份认证中广泛使 用DNA比对则显得介入性过强。面部温谱 图用于检测由血管产生并由皮肤散发的热量 分布,虽是非介入式的,但价格太昂贵了。 目前认为今后可能在生物特征识别系统中得 到应用的生物特征包括脉搏、体味、皮肤纹 路、指甲结构、步态和耳形等。这些生物特 征到底能不能成为将来的生物特征识别选 项,还需要进一步研究。

不论使用何种系统,它都必须是安全的, 能够保护隐私,并产生准确的结果。不安 全、不可靠或侵入性的系统将失去公众的信 任,并将导致公众不愿接受生物特征识别。 制定国际标准是保证正确选择和使用生物特 征识别方法的一项关键策略。不到十年,生 物特征识别传感器、算法和程序的改进工作 就已取得巨大进展,但仍有许多不足有待解 决。保护隐私和保障敏感生物特征识别数据 的安全仍是需要解决的基本问题。

 


* 本文以2009年12月国际电联电信标准化部门(ITU–T)发布的《技术跟踪》报告“生物特征识别技术 与标准”为基础。《技术跟踪》报告由ITU–T政策与技术跟踪处负责撰写。该系列报告对新兴技术进 行评估,以考察对国际电联成员的影响,尤其是对发展中国家的影响,并确定下一步的标准化工作。 可在以下网址查看并下载这些报告 www.itu.int/ITU-T/techwatch.

 

  上期杂志 可印制版本 回到本页页首 用电子邮件发给友人 下期杂志 《国际电联新闻月刊》的版权 2019
免责声明 - 隐私权政策