數字識別(Digital Identification)因其在智慧型手機的應用為人熟知,並服務於金融、醫療、教育等重要領域,提供高效的社會保障服務,促進數字經濟發展。
本期的智能內參,我們推薦來自世界銀行的數字識別技術概論,從數字身份的含義出發分析技術應用潛在的社會影響,評估其技術進展、剖析核心技術。
以下為智能內參整理呈現的乾貨:
什麼是數字身份
▲數字生命圈(Identity Lifecycle)
▲數字生活示意(該圖從用戶界面、數據存儲、後端程序三個層次,描繪了瑞秋的數字身份信息從出生開始就不斷擴充,並應用於生活)
數字身份利用數位技術貫穿個人的生命周期,包括註冊(Registration)、核發(Issuance)、認證(Authentication )、批准(Authorization)、管理(Identity Management)五大流程,形成了「數字生命圈」。
其中,身份驗證的最高級稱為IAL3,即通過現場驗證,結合人口統計(如人身份識別號碼、個人密碼)和生物特徵信息(如指紋、照片)進行數字身份註冊,刪除庫內重複數據,實現1:N標識(一個或多個生物識別標識符對整個生物特徵資料庫進行標識);隨後,生物信息經權威機構與申請人的現實生活相聯繫,為服務方(如金融機構)和政府機構提供訪問權限等,並進行(風險)評估。
需要指出的是,在發展中國家,居民可能缺乏一些基本文件,如出生證明、身份證、駕照、護照、社保卡等。此時,註冊數字身份就需要一名介紹人,來幫助確認申請者的身份、地址可信度。
一旦完成數字身份驗證,其生物信息、重複信息將結合申請人的身份聲明,應用於將來的身份交互中。理想的情況下,數字識別系統將與官方的民事等級相結合,記錄出生、死亡、婚配、養育等重要事件。
數字證件管理則始於核發,其次是基於安全策略的個人信息維護(取回、更新和刪除憑證)和撤銷(刪除分配給憑證的特權)。期間,需要注意數字識別技術的通用性,即獨特的核心生物特徵,以實現跨區域的互操作性。
▲七大社會層面的考量
關鍵識別和認證技術
▲六大類識別與認證技術(生物信息、證件卡、證件碼、行動裝置、數據分析、官方認證和信任框架)
身份識別與認證技術覆蓋生物信息、證件卡、證件碼、行動裝置、數據分析、官方認證和信任框架(區塊鏈)等,本節主要介紹生物識別、卡片和行動裝置三大子技術,並基於六個參數給出技術水平評估。
▲身份識別技術的六項評估參數(對應高、中、低、不適用四個等級)
生物識別技術
▲七類生物識別技術
生物識別即基於個體獨特的生理和行為特徵識別並驗證其身份,分為特徵捕獲(收集和存儲用戶生物特徵數據)和數據匹配(終端信息的實時響應)兩大分支,其發展速度不同。
常見的生物識別技術有指紋識別、虹膜識別、面部識別、語音識別、行為模式識別、血管識別、快速DNA識別七類,各項技術隨著傳感器越來越精準、硬體計算越來越強、算法不斷迭代而持續發展。
1、指紋識別(Fingerprint Recognition)
▲指紋識別技術評估結論
這項技術成熟度和性能等級比較高,帶有假陰性識別,並可以隨著資料庫中的用戶數量增加而提高準確率。
指紋信息的維度包括錄入的指紋特徵類別(谷線、脊線、汗腺孔等)、手指個數(根據安全等級需求分別可有1到10個個人指紋信息,目前單指錯誤率1.9%,十個手指錯誤率0.09%)。
從傳感器的類別來看,常用的方式包括光學傳感器(本質上是結合算法利用指紋「照片」的明暗結構進行識別)、電容傳感器(利用電流形成指紋的谷、脊等圖像)、滑動傳感器(利用動態圖像構建指紋模型)、超聲波傳感器、熱學傳感器、混合傳感器、光發射傳感器、光學薄膜電晶體傳感器等。
2、虹膜識別(Iris Recognition)
▲虹膜識別技術評估結論
該項技術的成熟度和可擴展性都比較高,信息捕獲率(4歲以上87%到98%)、拒真率(0.2%)和認假率(0.0001%)都低於指紋識別。
虹膜識別本質是利用相機捕捉眼部圖像,並檢測鞏膜和瞳孔邊界,根據算法識別虹膜的獨特特徵(色素、斑點、細絲、冠狀、條紋、隱窩等),實用中對於設備與用戶的距離有要求(多為0.8到1.2米)。
3、面部識別(Face Recognition)
▲面部識別技術評估結論
該項技術的成熟度比較高,目前主要用於安防(邊界、監視等)以及設備訪問授權等,最近金融服務機構也在進行幾項面部識別試驗。
面部識別/人臉識別的算法分為2D和3D(蘋果FaceID)兩類,本質上是利用利用相機捕捉不會隨著年齡或手術而發生顯著變化的面部特徵(深度地圖),如眉脊、顴骨、嘴巴邊緣、眼睛之間的距離、寬度鼻子、下巴和下巴的形狀等,結合算法實現身份識別。
4、語音識別(Voice Recognition)
▲語音識別技術評估結論
該項技術歷史悠久,分為揚聲器驗證(主導地位)和揚聲器識別兩類匹配系統,現在被許多銀行用作認證生物識別技術,特別是在通過電話向客戶提供銀行服務。
聲音既是一種生理行為,也是一種行為生物特徵,涉及100多個生理和行為因素(包括發音,強調,速度語音、口音、聲道、口腔和鼻腔通道),可以創造出一個獨特的個人聲音籤名。
5、行為模式識別(Behavior Recognition)
▲行為模式識別技術評估結論
該項技術的成熟度還較低,現被應用於在線銀行、電子商務、支付和高端認證市場,並正在與機器學習結合進行發展。
行為模式識別通常是在多模式系統中結合一種或多種其他生理形態,如籤名動力學(一個人籤名的速度和壓力)、步態、擊鍵力學、滑鼠使用和觸屏交互等,設備往往配置觸控螢幕、加速計和陀螺儀來捕捉行為數據。
6、血管識別(Vascular Recognition)
▲血管識別技術評估結論
血管識別本質上是利用近紅外光譜光識別皮膚下的靜脈生物特徵(在淺色的背景下呈現出黑色和不同的顏色)。
紐約大學朗格醫療中心就有血管識別系統,用於識別病人,並從資料庫中獲得他們以前的醫療記錄;65年日本的金融服務部門
7、快速DNA識別(Rapid DNA Profiling and DNA Matching)
▲快速DNA識別技術評估結論
該項技術隨著DNA檢測的進步而發展(設備小型化、分析處理縮短至90分鐘),具有較高的可擴展性,通過測量(來源有口腔等)DNA中的短期重複序列而起作用。DNA序列的長度提供了一個高度精確的屬性,它唯一地標識了整個人類中的個體人口。
卡片識別技術
▲五類卡片識別技術
數字身份卡片應用廣泛,2013年有175億張,預計2021年將增長至330億張,發行的國家有103個。
各種格式的數字身份卡片可以通過專門的數據輸入設備或使用技術的讀卡器讀取,其形式包括磁性捕捉(Magnetic Strip)、條形碼(Bar Code)、物理識別特徵(Physical Security Features)或文本(Machine-readable Text)等。
根據讀卡器的不同,卡片識別技術可區分為非智能RFID、智能接觸、智能非接觸、片上生物系統、非電子五類。2017年初,所有籤發官方身份證的國家中,有82%實施了依賴於智慧卡,或塑料卡(非電子卡),或生物識別卡。
1、非智能RFID識別(RFID Non-Smart Cards)
▲非智能RFID識別技術評估結論
射頻識別(RFID)利用電磁能量讀取儲存在RFID中的信息標籤,可以在不同的距離上操作(取決於為特定的應用程式選擇),被用於旅行證件(MRTD)、護照等。
非智能RFID卡使用嵌入的RFID標籤,內含微晶片,計算能力有限,有限的內存和天線。
2、智能接觸識別(Contact Smart Cards)
▲智能接觸識別技術評估結論
該項技術的採用度較高,遵循ISO 7816協議,在沙烏地阿拉伯、巴基斯坦、科威特和南非等被廣泛採用。
智能接觸卡帶有嵌入式微晶片和處理單元設計用於在與讀卡器進行物理接觸時操作。微晶片裡有一個處理器,內存和密碼控制器,提供更高的數據存儲量和處理速度,以及更好的安全性。
3、智能非接觸識別(Contactless Smart Cards or Documents)
▲智能非接觸識別技術評估結論
智能非接觸識別適用於需要保護個人信息和安全通信的應用(如電子護照)。該類卡片(ISO 14443)提供了類似智能接觸卡的處理能力,物理尺寸相同,但添加無線電頻率(RF)收發器和天線,以便近距離識別,傳輸速度要慢一些。
4、片上生物系統識別(Biometric System on Card)
▲片上生物系統識別技術評估結論
該項技術的安全性較高,可用於行動支付(萬事達、VISA)等,只有在持卡人使用生物特徵信息激活後才能生效。
BSoC本質上是將生物識別系統與處理器(matcher)集成到了一起:傳感器捕捉生物特徵樣本,處理器從圖像中提取生物特徵並將其與已錄入的特徵數據(集)進行比較驗證。
5、非電子識別(Nonelectronic Card)
▲非電子識別技術評估結論
該項技術的成熟度、性能、採用度、可負擔性都較高,本質上利用的是條形碼或二維碼實現數據自動化捕捉,避免鍵入失誤。
非電子證件的形態可以是塑料卡,通常是由PVC或聚碳酸酯製成。可以用作照片身份證明,利用可視安全特性來預防欺詐。
行動裝置識別
▲七類行動裝置識別技術
智能行動裝置的迅速普及、快速改善無線網絡能力,以及雲技術的採用帶來了可負擔和易於使用的移動身份識別方案。
自2013年初至今已推出500多款智慧型手機,內置生物識別傳感器的智慧型手機價格從2010年到2017年下降了27%;預計2020年,將有48億人使用生物技術,這將帶動更便宜,可攜式的偏遠地區電子身份註冊。
從技術的角度來看,行動裝置識別可以分為OTP(動態驗證)、智能ID、加密SIM、設備註冊、移動連接、認證應用程式、TPM七類。
1、OTP驗證(One-Time Password)
▲OTP技術評估結論
OTP即一次性密碼,或動態密碼,對用戶進行限時有效的一次會話驗證,優點是易於使用,兼容多種設備,包括計算機、行動電話和智能設備,廣泛應用於緊急服務、安全服務(如金融交易)、零售業、政府服務等,並正在結合其他驗證方式進行發展。
2、智能ID驗證(Smart ID)
▲智能ID驗證技術評估結論
智能ID指在平板電腦和智慧型手機上使用的電子識別應用,即用戶在設備中註冊身份證和有效證件,可以跨設備運行,現已應用於銀行在線服務、選舉投票、電子稅和電子居住等。
3、加密SIM(Cryptographic SIM)
▲加密SIM驗證技術評估結論
即使用密碼算法(如A3認證、A8密碼密鑰生成算法)將SIM卡片轉換為用戶識別工具,常用於用戶和網絡之間的安全通信,無需暴露關於用戶或網絡的信息。
在身份驗證的時候,身份驗證中心會生成一個隨機數字發送到移動端;然後,這個隨機數與用戶的加密密鑰和A3一起生成一個數字發送回認證中心,以實現安全的在線用戶識別和用戶數字籤名驗證。
4、設備註冊(Registration Using Mobile Devices)
▲設備註冊驗證技術評估結論
設備註冊驗證指結合移動服務商、行動裝置、公共機構實現身份驗證的方案,利用USB、藍牙(低功耗藍牙)和NFC技術,通過行動裝置捕捉生物特徵數據和照片進行信息匹配。
舉個例子,在在巴基斯坦,聯合國兒童基金會和移動運營商Telenor開發了一款移動應用,將嬰兒的誕生(及其生物信息)進行數位化(將信息通過SIM傳給政府官員的行動裝置,實現註冊)。
5、移動連接(Mobile Connect)
▲移動連接驗證技術評估結論
移動連接驗證本質上是將個人的手機號碼作為標識符,將手機作為身份驗證設備。這是一種基於行動網路的身份解決方案,運營商讓用戶可以控制自己的數據,企業和政府可以在被授權的情況下與用戶進行交流、訪問數據、提供在線服務。
6、認證應用程式(Authenticator Mobile App)
▲認證應用程式技術評估結論
雖然一個簡單的OTP(動態)技術可以通過靜態口令減輕安全性問題,但它並不完全消除規避的風險。為使OTP更為安全,基於HMAC(密鑰散列消息認證碼 )和時間的隨機算法被業界廣泛採用。
7、可信平臺模塊(TPM)
▲TPM技術評估結論
TPM(Trusted Platform Module)是一種基於硬體(晶片)的加密工具,模塊為用戶提供了一個惟一的數字身份,基於用戶設備上的公鑰加密(RSA)來減輕安全風險,支持強大的磁碟加密,不需要複雜的密碼。
TPM可以與其他技術相結合,比如防火牆和密碼,以增強設備安全:當設備啟動時,TPM可以確定它是否被篡改過(根據最後一個穩定狀態),然後可以阻止對敏感應用程式的訪問。
認證和信任框架
▲六類認證和信任框架
世界各地的開發者正在開發一種開源的、自主的、基於區塊鏈的身份識別系統,其認證和信任框架包括區塊鏈(一種分布式記帳技術,簡稱DLT,詳情參考第223期智能內參)、OpenID connect(可互操作的身份驗證)、OAuth 2.0(開放授權)、FIDO通用認證框架(UAF)、FIDO第二通用因素(U2F)和SAML(安全聲明標記語言 )等協議。
分析技術
▲四類分析技術
在數字ID系統中,根據多個數據源的數據,分析技術可以為個人的身份添加了一層智能概要,並正在隨著神經網絡和機器學習等技術的突破而高速發展。
根據內容來看,分析技術可以分為風險分析(Risk)、預測分析(Predictive)、業務活動和操作分析(Business Activity and Operations),以及雙相匹配/模糊搜索(Biographic Matching/Fuzzy Search)四類。
智東西認為,數字識別技術之於個人、企業、公共信息認證和管理意義重大,是AI感知智能的基礎。從生物識別、計算硬體和分析算法的角度來看,該技術的多項分支已經具有規模化商用能力,正被布局於公共安全、個人事務、企業交易等的記錄和管理;與此同時,基於光學、電學的成熟的信息捕獲技術正在結合深度學習、區塊鏈等新興技術進一步發展數字識別的可用性。