生物識別，誰來定義那個獨一無二的你？

　　早些日子，坊間有件趣聞流傳：趙薇的老公黃有龍被告上法庭，原因是有人買了他的房子，卻遲遲無法入住，現(xiàn)要求黃有龍騰退房屋。隨著案情的進(jìn)一步發(fā)展，發(fā)現(xiàn)被告很冤枉，因為這房子并不是黃有龍自己賣掉的，而是他的司機(jī)冒充黃有龍到公證處，通過了人臉識別系統(tǒng)辦理了委托公證證明，并委托另一人將房子賣給了原告武某。一時嘩然。

　　為什么以安全便捷自然著稱的人臉識別竟然被蒙蔽過關(guān)?現(xiàn)有的生物識別是否真如傳聞中的那么安全?我們究竟需要怎樣的生物識別?

　　今年是生物識別異?；钴S的一年，微軟甚至在其推出的 Windows 10 采用了生物特征授權(quán)方式，稱之為 Windows Hello(支持人臉識別、指紋識別和虹膜識別)，但就是這樣的人臉識別模式，在測試 6 對雙胞胎的時候也失敗了 1 對，這在韓國或許會很致命。但這也促進(jìn)我們思考了一個問題：怎樣才可以定義這世界獨一無二的你?

　　類似的詰問其實在我們的生活中經(jīng)常被無聲地問到：當(dāng)你打開電腦，立馬彈出的 Password 彈窗;當(dāng)你選購好心愛的商品，支付寶彈出的指紋驗證請求;當(dāng)你把鑰匙插進(jìn)門鎖，開始扭動;當(dāng)你拿出一張信用卡刷過 POS 機(jī)，都跳出了一句話：嗨，是你嗎?

　　在互聯(lián)網(wǎng)時代，你對自己的定義和時代對你的定義往往是不同步的。在上述提到的生活場景，相信每一個人都會遇到，但是每個人都有不同的感受，因為在這個莫大的群體中，有部分人遭遇過 “你不是你” 的境遇。別驚訝，這真實的存在著：你的密碼被破譯(拜托你不要再用自己生日設(shè)密碼)，入侵者頂著你的名義竊取了你的資料;你熟睡時，睡在你身旁的妻子冷笑了一聲，拿起你的手指清掉了購物車?yán)锏拇尕?，順帶檢查了下你近 20 天來的微信記錄;你還在找你的鑰匙時，已經(jīng)有人進(jìn)入你的家門，拿走了你藏在冰箱夾層里的小金庫;你的信用卡?你難道不知道全球每年信用卡被盜刷的金額有上百億刀嗎?這個時候才發(fā)現(xiàn)，你已不再是你。

　　在談及互聯(lián)網(wǎng)時，中科院院士譚鐵牛曾這么解釋：互聯(lián)網(wǎng)的本質(zhì)就是以人為本，鏈接一切。這里面強(qiáng)調(diào)了人的個體性存在，所以我們每個人都是獨立的個體，當(dāng)試圖和孤立的外物建立起聯(lián)系時，必須憑借一種獨特的鏈接。只是我們希望這種鏈接既能保持自己的社會性，又能維護(hù)自己的獨立性，獨立意味著唯一，而唯一意味著安全。我們就是在獨立性和群體性之間不斷的刷新技能和模式。

　　在這張簡圖中，我們可以把身份識別做個簡單分類：生物識別和非生物識別。前者又可進(jìn)一步分為：生理特征和行為特征。行為特征記錄了人的筆跡、坐姿、行姿(步態(tài))等信息，但這些信息并不穩(wěn)定，隨著一個人的年歲漸長或突發(fā)情況(如撞擊、矯正)，他的行為特征也會逐漸發(fā)生變化，變得不那么唯一，也就是我們常提到的穩(wěn)定性差。

　　在這里需要明示一點，以上提及的識別方式并非就一無是處，我們談?wù)摰母腔诓煌瑘鼍跋碌膽?yīng)用選擇。比如指紋識別，這種技術(shù)是存在一定的局限，甚至有報道已有黑客攻克了指紋識別認(rèn)證，但是依然不影響它成為手機(jī)的標(biāo)配，因為你不會在一個首飾盒上面裝配一個高級密碼鎖，你需要的就是一個較為方便的安全認(rèn)證即可，這種安全認(rèn)證能夠保證你在辦公室或 anywhere，你放在桌上的手機(jī)不會被其他人輕易打開。

　　對消費者來說，這就夠了，頗有點防君子不防小人的心思在里面。但千萬不要小看指紋識別的應(yīng)用，當(dāng)手機(jī)標(biāo)配了指紋識別之后，經(jīng)過一段時間就會培養(yǎng)你使用指紋識別的習(xí)慣，習(xí)慣形成之后，很有可能你就無法忍耐其他 device 的密碼解鎖方式。因為你需要加密的東西實在太多，但很多時候又記不住太多數(shù)字和字母組成的密碼?；蛟S為了便捷你可以把所有登陸界面都設(shè)置同樣的數(shù)字字母密碼，但風(fēng)險是一旦你注冊過的某個小網(wǎng)站被黑客攻陷后，黑客就可以輕松地拿著這個密碼去攻擊本來很難被攻陷的你的銀行、支付寶的賬戶。

　　在描述一種生物識別方式，尤其是在和其他識別方式來進(jìn)行對比時，我們常常提到三個指標(biāo)：獨特性、豐富度和穩(wěn)定性。以指靜脈識別為例，首先要求你的手指內(nèi)的靜脈血管每個人都不是一樣的;而且血管足夠多、密，這樣保證了豐富度，不容易被復(fù)制;最后這指靜脈血管是不會發(fā)生變化的，這樣才算是一個合格的生物識別方式。但合格并不意味著全部，在他人脅迫的情況下，你同樣會被強(qiáng)制進(jìn)行識別認(rèn)證。

　　理論上來講，越獨特、越豐富、越穩(wěn)定的生物識別方式就越被認(rèn)為是安全的存在，比如基因識別一度被認(rèn)為是最為安全唯一的認(rèn)證，但同卵雙胞胎的基因相似度極高，也很難進(jìn)行真切的分辨。聲音可能被錄制、人臉(2d)有可能被拍照，即便是有深度人臉識別(3d)，如果 3d 打印足夠牛，我直接打印個人頭出來，或者為了攻擊活體檢測而發(fā)狠去趟韓國，還是可以李鬼代李逵。

　　視網(wǎng)膜識別在業(yè)內(nèi)被認(rèn)為是極具安全的存在，因為這是完全不可見的，但是針對視網(wǎng)膜識別的研究發(fā)現(xiàn)，采取的光源有可能會對視網(wǎng)膜造成損害，故現(xiàn)在研究放緩，暫沒有什么更新的消息出現(xiàn)。另外，糾結(jié)安全的時候也無法回避便利。如果指尖有污漬油漬，也很難識別清楚;指靜脈識別注冊需要一定的壓感，且接觸式的識別總會讓人感覺不那么自然，這么看來非接觸式是個發(fā)展趨勢。

　　評價生物特征識別技術(shù)的優(yōu)劣，主要使用注冊成功率、錯誤拒絕率和錯誤接受率等指標(biāo)。只是這種指標(biāo)基于不同的實驗數(shù)據(jù)庫，樣本群體不同，我也無法多做評論。事實上，我們無法評價某種技術(shù)就是絕對的安全(或是絕對的無用)。再反過來想想，當(dāng)我們評價某種生物識別技術(shù)時，其實更多的是在評價這種生理特征本身的特質(zhì)(獨特、豐富、穩(wěn)定)。

　　舉個例子，如果指紋識別可以識別到非常非常精細(xì)的程度、指靜脈可以識別到非常非常細(xì)小的血管末端，人臉識別可以識別到足夠足夠精細(xì)的面部細(xì)節(jié)，這都將是很好的安全認(rèn)證技術(shù)，遺憾的是，無論算法還是硬件，我們還沒有到達(dá)這種程度。好在這種情況正逐步發(fā)生改變，以鞏膜識別(又稱眼球識別、眼紋識別，這種技術(shù)就是識別眼白部分的毛細(xì)血管豐富程度)為例，大約在 8月 份的時候，筆者首次接觸了 EyeVerify 的 Eyeprint 技術(shù)，直觀感覺還蠻不錯，就是鞏膜注冊、識別和攻擊反應(yīng)的時間都較長。時隔兩月，在 2015 云棲大會上，筆者再次遇見 EyeVerify 的 CEO ，Toby Rush 現(xiàn)場演示了最新的 Eyeprint 技術(shù)，鞏膜注冊、識別乃至攻擊反饋的時間都已縮短，已在可以忍受的范圍內(nèi)。

　　互聯(lián)網(wǎng)將我們帶入了云的時代，正如有人的地方就有江湖，有云的地方也會有攻擊。如何說服眾多客戶可以安心的使用云是所有云服務(wù)公司的核心思考，首當(dāng)其沖就是入口安全問題。在 2015 云棲大會生物識別專場，我們發(fā)現(xiàn)了一個現(xiàn)象，生物識別越來越趨向于多種識別方式相結(jié)合的方向發(fā)展。這個邏輯認(rèn)為，在識別和攻擊越來越膠著的今天，既然一把鎖不夠，那我就開掛多加幾把，看你如何攻擊。

　　但這并非是葉良辰式的任性選擇，比如你選了指紋識別，那么指靜脈識別、掌紋識別就沒太大必要，較為流暢自然安全結(jié)合程度高的是人臉、聲音、眼睛三個部位的結(jié)合，這便有了 “人臉識別(2D/3D)+語音識別+鞏膜/虹膜識別” 三位一體的生物識別認(rèn)證模式，恰好這些都可以在手機(jī)終端上得到解決，甚至不需要增加太多的硬件設(shè)備，除了虹膜識別要增加一個近紅外攝像頭，但信奉極簡設(shè)計理念的手機(jī)企業(yè)可能不會為了更高的安全系數(shù)而增加一個攝像頭，好消息是三星正在開發(fā)自帶近紅外光源的屏幕，而坊間稱蘋果 7 正在考慮使用三星的 OLED 屏。

　　我們通篇在談的認(rèn)證僅僅是前端看的見的身份認(rèn)證，后端還存在一個信息認(rèn)證環(huán)節(jié)，所有的身份認(rèn)證通過后將會轉(zhuǎn)化到信息認(rèn)證這一塊，完成和數(shù)據(jù)庫的信息匹配?？梢赃@么認(rèn)為，你在數(shù)據(jù)庫里面重新構(gòu)建了一個你，每一次的認(rèn)證都是完成了一次 “靈魂附體”。在一次和張健(南華會會長)的閑聊中，張?zhí)徇^一個有趣的概念：人就是 CPS 概念的延伸。CPS 本意是 Cyber - Physical System(被指是工業(yè) 4.0 的核心)，意味著虛擬和物理的融合，他認(rèn)為人其實也是有 C 體和 P 體。這么想也對，身份認(rèn)證終究是從 P 體的角度來解決，還有 C 體需要你來完善。就好比我的 P 體在這里，而 C 體正在網(wǎng)絡(luò)上和你對話?；ヂ?lián)網(wǎng) + 到最后其實就是在 + 自己。以人為本，鏈接一切，由我的 P 體生成一個 C 體，完成了對這一切的鏈接。

　　“嗨，是你嗎?”——你，終究會遇見這世上另一個的你。