浅论生物识别和身份认证

这几年围绕着生物特征识别和认证应用发展，特别是人脸识别的安全话题吸引很多人关注；
在很多场合，甚至生物特征识别厂商的资料，都误导大众对生物识别和身份认证的区隔。

生物特征识别：核心是算法，追求识别的速度和准确率；

生物特征识别是身份认证的基础，识别的结果但只是其中一个认证因子。

我们日常生活中，认识一个人，第一步通常就是人脸识别（记住长相），再次见面时基本一眼就完成了识别；

我们现在很多指纹考勤，人脸门禁等系统，原理类似。就是在后台存储生物特征库，利用算法比对来完成识别，把识别结果直接作为认证结论。

这么做的后果就是这个认证系统太简单，后患无穷。
1：生物特征算法大部分是公开的，算法本身不是安全，骗过算法本身对症下药即可。
2：后台服务器，集中存放个人生物特征，外泄风险永远在。
3：升级变更困难，改造成本高；

目前这类系统的滥用，已经造成大量的个人敏感信息外泄。大众对生物特征的大肆收集，已经开始反抗。个人信息法即将推出，人脸第一案也已经开始立案。后续还会有更多的人站出来，投诉甚至起诉相关个人信息收集方。

而一个安全的身份认证系统，需要考虑的是严格按照国家法律法规，尊重和保护个人隐私。技术上要充分考虑安全设计。

身份认证领域也有大规模的使用指纹/人脸的识别技术，完成手机解锁。 使用支付宝，微信，银行APP提供的基于指纹/人脸的身份认证来取代原来的口令/验证码。这么大规模的采用生物特征应用的系统，是如何考虑的？

1： 首先这是一个身份认证系统，本质不是一个生物识别系统。这类系统核心是基于FIDO，IFAA等标准和原理来实现的。生物特征是完成身份认证的一个因子，不是全部因子。
2：这类系统首先把指纹/人脸等生物特征存储在手机安全芯片（TEE，SE）中，生物特征只允许写入安全芯片，不允许读出；手机操作系统、应用，网络，后台都无法拿到安全芯片中的生物特征。
3：安全芯片的安全级别和原理类似我们用的Ukey产品，采用公私钥加密体系。安全等级已经远高于现有的密码（口令）方式以及短信验证码方式。

现实中，基于FIDO和IFAA的线上身份认证系统，从13年到现在，已经快速发展进入到几乎每个人的生活。同时它在提升便捷同时，也保障了安全和个人隐私。
相信后续会逐步普及到我们手机的大部分应用。。。