方案

2016

生物识别，谁来定义那个独一无二的你？

之前，坊间有件趣闻流传：赵薇的老公黄有龙被告上法庭，原因是有人买了他的房子，却迟迟无法入住，现要求黄有龙腾退房屋。随着案情的进一步发展，发现被告很冤枉，因为这房子并不是黄有龙自己卖掉的，而是他的司机冒充黄有龙到公证处，通过了人脸识别系统办理了委托公证证明，并委托另一人将房子卖给了原告武某。一时哗然。

为什么以安全便捷自然著称的人脸识别竟然被蒙蔽过关？现有的生物识别是否真如传闻中的那么安全？我们究竟需要怎样的生物识别？

这也促进我们思考了一个问题：怎样才可以定义这世界独一无二的你？

类似的诘问其实在我们的生活中经常被无声地问到：当你打开电脑，立马弹出的Password弹窗；当你选购好心爱的商品，支付宝弹出的指纹验证请求；当你把钥匙插进门锁，开始扭动；当你拿出一张信用卡刷过POS机，都跳出了一句话：嗨，是你吗？

在互联网时代，你对自己的定义和时代对你的定义往往是不同步的。在上述提到的生活场景，相信每一个人都会遇到，但是每个人都有不同的感受，因为在这个莫大的群体中，有部分人遭遇过“你不是你”的境遇。别惊讶，这真实的存在着：你的密码被破译（拜托你不要再用自己生日设密码），入侵者顶着你的名义窃取了你的资料；你熟睡时，睡在你身旁的妻子冷笑了一声，拿起你的手指清掉了购物车里的存货，顺带检查了下你近20天来的微信记录；你还在找你的钥匙时，已经有人进入你的家门，拿走了你藏在冰箱夹层里的小金库；你的信用卡？你难道不知道全球每年信用卡被盗刷的金额有上百亿刀吗？这个时候才发现，你已不再是你。

在谈及互联网时，曾这么解释：互联网的本质就是以人为本，链接一切。这里面强调了人的个体性存在，所以我们每个人都是独立的个体，当试图和孤立的外物建立起联系时，必须凭借一种独特的链接。只是我们希望这种链接既能保持自己的社会性，又能维护自己的独立性，独立意味着唯一，而唯一意味着安全。我们就是在独立性和群体性之间不断的刷新技能和模式。

在这张简图中，我们可以把身份识别做个简单分类：生物识别和非生物识别。前者又可进一步分为：生理特征和行为特征。行为特征记录了人的笔迹、坐姿、行姿（步态）等信息，但这些信息并不稳定，随着一个人的年岁渐长或突发情况（如撞击、矫正），他的行为特征也会逐渐发生变化，变得不那么唯一，也就是我们常提到的稳定性差。

在这里需要明示一点，以上提及的识别方式并非就一无是处，我们谈论的更是基于不同场景下的应用选择。比如指纹识别，这种技术是存在一定的局限，甚至有报道已有黑客攻克了指纹识别认证，但是依然不影响它成为手机的标配，因为你不会在一个首饰盒上面装配一个高级密码锁，你需要的就是一个较为方便的安全认证即可，这种安全认证能够保证你在办公室或anywhere，你放在桌上的手机不会被其他人轻易打开。

对消费者来说，你需要加密的东西实在太多，但很多时候又记不住太多数字和字母组成的密码。或许为了便捷你可以把所有登陆界面都设置同样的数字字母密码，但风险是一旦你注册过的某个小网站被黑客攻陷后，黑客就可以轻松地拿着这个密码去攻击本来很难被攻陷的你的银行、支付宝的账户。

在描述一种生物识别方式，尤其是在和其他识别方式来进行对比时，我们常常提到三个指标：独特性、丰富度和稳定性。以指静脉识别为例，首先要求你的手指内的静脉血管每个人都不是一样的；而且血管足够多、密，这样保证了丰富度，不容易被复制；最后这指静脉血管是不会发生变化的，这样才算是一个合格的生物识别方式。但合格并不意味着全部，在他人胁迫的情况下，你同样会被强制进行识别认证。

理论上来讲，越独特、越丰富、越稳定的生物识别方式就越被认为是安全的存在，比如基因识别一度被认为是最为安全唯一的认证，但同卵双胞胎的基因相似度极高，也很难进行真切的分辨。声音可能被录制、人脸（2d）有可能被拍照，即便是有深度人脸识别（3d），如果3d打印足够牛，我直接打印个人头出来，或者为了攻击活体检测而发狠去趟韩国，还是可以李鬼代李逵。

评价生物特征识别技术的优劣，主要使用注册成功率、错误拒绝率和错误接受率等指标。只是这种指标基于不同的实验数据库，样本群体不同，我也无法多做评论。事实上，我们无法评价某种技术就是绝对的安全（或是绝对的无用）。再反过来想想，当我们评价某种生物识别技术时，其实更多的是在评价这种生理特征本身的特质（独特、丰富、稳定）。

互联网将我们带入了云的时代，正如有人的地方就有江湖，有云的地方也会有攻击。如何说服众多客户可以安心的使用云是所有云服务公司的核心思考，首当其冲就是入口安全问题。生物识别越来越趋向于多种识别方式相结合的方向发展。

我们通篇在谈的认证仅仅是前端看的见的身份认证，后端还存在一个信息认证环节，所有的身份认证通过后将会转化到信息认证这一块，完成和数据库的信息匹配。可以这么认为，你在数据库里面重新构建了一个你，每一次的认证都是完成了一次“灵魂附体”。一个有趣的概念：人就是CPS概念的延伸。CPS本意是Cyber - Physical System（被指是工业4.0的核心），意味着虚拟和物理的融合，他认为人其实也是有C体和P体。这么想也对，身份认证终究是从P体的角度来解决，还有C体需要你来完善。就好比我的P体在这里，而C体正在网络上和你对话。互联网+到最后其实就是在+自己。以人为本，链接一切，由我的P体生成一个C体，完成了对这一切的链接。

“嗨，是你吗？”——你，终究会遇见这世上另一个的你。