站在信息安全角度人脸识别面临五大问题-电子工程世界

分享到: 微博; QQ; 微信; LinkedIn

随着算法的完善，生物识别技术已获得重大突破，在越来越多的领域不断跨越用户接受的门槛，其市场呈快速爆发之势。其中，人脸识别的国内市场规模在未来五年有望达到千亿级别。尽管市场是十分看好的，但就人脸识别技术本身来说，技术要得意应用仍有许多需要克服的问题。此文是一个有十几年信息安全行业经验的从业人员，站在信息安全的角度探讨一下为什么不能在互联网上远程使用人脸识别技术识别身份，欢迎各路神仙拍砖。

第一，网上识别身份是一个严肃的信息安全问题

身份识别作为信息安全问题，本不用解释，要解释的是什么样的信息安全问题。具体来说，身份一词在汉语中有多种解释，抛开职务、学历、职称的属性信息，在信息安全领域，常见的就有账户身份识别和法定身份识别两种，举例来说，就是工作证和身份证的区别，经常有人混淆这两种应用场景。

对账户身份的识别，可以用多种方式，用户名口令就是最常见的技术方式，安全一点的可以用U盾，总而言之，企业和用户愿意用什么技术就可以用什么技术，反正出了问题企业承担责任，除了隐私问题，只是企业行为导致局部风险。

对法定身份的识别，则要严肃的多。毕竟应用范围广，影响大，涉及国家行为，要做充分考虑，一个处理不慎，就会导致全局的风险，甚至影响公共安全和国家安全。

2014年10月14日，BBC新闻报道“韩国的身份证系统将推倒重来”。报道称：韩国政府正考虑给17岁以上的公民发放新的身份号码，整个重建过程将耗资几十亿美元、耗时10年以上!重建的原因是自2004年以来，韩国在网上普遍采用基于身份信息比对的身份认证措施，导致韩国大量的公民信息被盗，全国5000万人口中有80%人口的身份证号和个人隐私信息，被黑客从银行和其他网络服务商的服务器中窃取。

现在的问题是，在业务快速整合的互联网环境下，账户管理方和应用方甚至可以不是同一家，比如我们可以用qq号和qq密码登录各类论坛，大型公司(不仅仅是互联网公司)聚集了海量用户，在通过开放平台为这些用户提供和接入更多的互联网服务时，不可避免的要介入一些传统法定身份识别要求的领域，如银行开户，政务民生，由于国内在网上法定身份的识别方面技术和业务的不明确，才导致各类网上账户身份识别技术向网上法定身份识别业务发起挑战。

为了避免无谓的争论(人脸识别技术用于账户身份识别不属于本文讨论的范围)，显然，今天我们重点讨论的是互联网上法定身份识别能不能采用人脸识别技术。

第二，人脸识别技术缺乏理论基础

人脸识别技术有硬伤，不客气的说人脸识别技术基于经验而不是科学。目前并没有可靠的理论基础，也没有权威的实验证明是否任意两个人的脸是不同的(互联网上下求索而不得道，欢迎赐教)。

我们经常在单位门禁、考勤设备中看到人脸识别技术的应用，但是一般单位才多少人?放到海量用户的背景下，这个经验还成立吗?

历史上最著名的人脸误判案例可能是1903年在美国堪萨斯州发生的William West-Will West案件。当时一个名为威尔•韦斯特(Will West)的犯人正要被收押进莱文沃思(Leavenworth)监狱。监狱职员看他面熟，问他以前是否来过这里，威尔说没有。接着职员调出了William West的照片给威尔看，威尔说：“这的确是我，可是你们是怎么拿到这张照片的呢?以前我从未到这儿来过。”从此，从美国开始，各国监狱和司法系统开始用指纹进行罪犯身份登记和管理。

最近一次的人脸乌龙应该就是赵薇家司机偷卖别墅案了。司机为何能卖掉赵薇老公黄有龙的房产呢?究其原因，竟然是该司机冒充黄有龙到公证处，通过人脸识别技术办理了委托公证证明，委托另一人将房屋卖给了武某。事情败露，该房屋自然无法腾退交付，黄有龙也就被武某告上了法庭，要求交付房屋。那么这里有一个细节相信大家都已经注意到了，那就是公证处的人脸识别技术。

据了解，目前已有部分公证处引进了人脸识别技术，人脸识别系统采用最新人脸识别方法，通过摄像头捕获到的人像或是指定的人像与数据库中已登记的某一对象作比对核实，确定其是否为同一人。对于识别精度，某品牌人脸识别系统的广告称，识别率高于98.3%。由此看来，要骗过人脸识别系统不是容易的事，但这位司机为何能冒充黄有龙通过人脸识别呢?

说到这里，如果要说哪一种生物识别技术用于法定身份识别更有前途的话，我会选择指纹识别技术，这个判断是有法律依据。

我们知道，目前第二代身份证还不能挂失、“人证合一”要靠查验人对着持证人和身份证照片费劲地主观对比，这些弊端一直在被大众所诟病。现在，人脸识别技术在线下实体环境作为人证合一的辅助手段，可以解决身份证线下应用的部分弊端，但这一技术在线下并未得到认可。相反，从2012年1月1日起施行的《中华人民共和国居民身份证法》已说明新办二代身份证要强制加载指纹，加载指纹的二代身份证和可识别指纹的二代身份证读卡器普及后，靠二代身份证加指纹识别而不是人脸识别才是解决线下“人证合一”问题的正确之道。

第三，网上人脸识别的技术可行性问题

人脸识别在网上大规模应用本身面临不小的技术难题：

首先，从技术上来说，人脸识别不是精确的信息比对，而是一个相似度比对，由于人脸识别算法技术路线不同，阈值的设定方法完全不同，评判的标准自然也不同，即使从识别实际效果看，包括误识率、拒识率等((1)误识率

(FalseAcceptRate,FAR)：这是将其他人误作指定人员的概率;(2)拒识率(FalseRejectRate,FRR)：这是将指定人员误作其它人员的概率)。这些结果受到训练和测试空间样本的影响，很难做出孰优孰劣的判断。

其次，大规模使用面临资源问题，人脸图片的采集如果不做活体检测的话，很容易招致基于用户照片的重放攻击[[5]]。而活体检测的话，对后台的计算资源和网络的传输资源要求较高，所以在目前实际上线的人脸识别都是非常容易攻破的，笔者亲自尝试过好几个，这里就不点名了，至于在人脸识别基础上发展的视频识别技术就更别提了。

再次，人脸数据在网上采集难，如果基于公安人口库在线下采集，在线上使用的话，谁能保证这个信息库不被黑客攻破的，一旦出事，全中国人的脸就要在互联网上丢尽了，非常危险。

第四，网上人脸识别的抗攻击问题

一个人具有生物特征，包括人脸、指纹、虹膜、DNA等，这些特征在一起，可以确定我们的身份，但是当这些特征被各种传感器信息化提取后放到互联网上，就成了生物特征信息。生物特征信息能不能证明自己的身份，就要看这个提取过程是否安全，会不会被复制、伪造、合成?在网上使用人脸识别技术用于法定身份识别是不是经过对抗性分析?在网上使用人脸识别的过程中，面部信息被存留怎么办?采集的面部信息被盗取怎么办?2011年，csdn密码泄露(据说还有人人、天涯、开心网)，结果全国网民纷纷改密码，如果有一天，我们的人脸库泄露了，我们该怎么办?换脸吗?

信息安全行业对于任何新技术的应用都是慎之又慎的，许多问题太专业，我就不展开了，挑几个典型的例子吧。

3D建模轻松破解支付宝人脸识别

面部表情建模破解活体检测

生物识别技术起源于西方发达国家，那么好的技术为什么没有一个发达国家在网上大规模用于身份识别?

第五，隐私保护问题

最后一个问题事关你我。

现在网络上各类隐私信息泄露已呈泛滥趋势，有人说面部信息不是隐私，那宾馆不能把酒店住客的监控录像放到网上?如果宾馆不可以，那能不能在大街上每个单位门口按一个摄像头?Google地图中为什么要给面部打码。

关键字：信息安全人脸识别引用地址：站在信息安全角度人脸识别面临五大问题

上一篇：安防行业跨界转型成热点安企应该如何做？
下一篇：虹膜识别是如何工作的？有多安全？

推荐阅读最新更新时间：2024-03-16 11:21

让我们的“脸”更安全，六政协委员建议加强人脸识别监管

　　一副眼镜解锁19款手机的视频火了，人脸识别还安全吗？　　随着人脸识别技术的广泛应用，生活中可以刷脸解决的事情越来越多。人脸识别技术在方便生活的同时，也带来了不少安全风险。　　“目前，人脸识别技术滥用比较普遍。在商场、景区、办公楼等地都不同程度地存在人脸识别技术滥用的现象，公众经常在不知不觉中就被采集了人脸信息。”3月4日，全国政协委员、中国科学院近代物理研究所研究员蔡晓红在接受记者采访时说。　　为规范人脸识别技术的应用，防范个人信息泄露风险，蔡晓红与国家计算流体力学实验室研究员叶友达、中国科学院微电子研究所副所长周玉梅等6位全国政协委员联合提案，围绕加强人脸识别监管提出了多项建议。　　是时候重视人脸识别

[嵌入式]

百度云首创图像搜索支持人脸识别和检索

近日，百度云在时光轴、足迹等原有图片预览功能基础上全面升级，结合百度深度学习研究院提供的人脸识别及检索技术，首创云端图像搜索，让云端图片预览、查找和管理更加方便易用。更新升级之后，百度云不仅能实现图片智能分类、自动去重等功能，还能以图搜图，在海量图片中精准定位目标。此次图像人脸识别技术首次接入云端，不仅意味着技术创新成为百度云升级的核心驱动力，也引领了云存储图片在线预览和管理的新方向。据了解，百度云中图片存储占用户总存储数据的40%，图片的备份、预览和管理成为用户云存储最普遍的需求。首创云端图像搜索基于用户上传到百度云的图片提供智能分类、人脸搜索等方式，进一步提升云端图片管理效率。当用户把一大批照片上传到百度

[安防电子]

联发科宣布明年推出两款P系处理器：主打AI和人脸识别

前不久，联发科高管在接受采访时表示，他们会暂时退出高端芯片一段时间，把精力转移到主流中端上。今天，联发科在台湾举办媒体年终聚会，ePrice报道称，总经理陈冠洲表示，2018年预计将再推出两款新的Helio P系列芯片。他称赞Helio P的表现，而对于新品，则透露几个要点，一是AI（人工智能）的倾斜，二是人脸识别功能，三是先进制程。联发科的AI架构名为Edge AI，号称是一种整合CPU／GPU／VPU／DLA多运算单元，实现云端和终端混合的AI架构。另外后置镜头方面，也会支持VR／AR／3D识别等多种功能。目前，联发科旗下P系列最强的产品是P30，8核A53设计，Mali G71 MP2，支持6GB内存和UFS2．1

[嵌入式]

AI换脸如今这么火，潜在的风险的不容忽视

两年前的夏天，代表AI的棋手Alphago对战当时的人类最强棋手柯洁，以3：0人类落败的结果告终。彼时人类初识人工智能，多少带着些恐慌的意味，如同面对洪水猛兽。然而只过了短短两年，人们就已经开始习惯与AI和谐相处，人工智能技术渗透进社会生活，越来越多翻译器与翻译软件开始应用神经网络技术，其翻译结果的准确和迅速甚至能达到实时传译的地步；零售领域已实现在整个产业链上包括无人售货、智慧供应链、客流统计分析的全线AI控制；天气预测、灾情预警等行业也广泛融入人工技能技术，效果也基本上能达到迅速精准。这项技术变得不再那么神秘，也有越来越多的爱好者自发进行娱乐化的人工智能研究。近日，微博出现热搜话题“将朱茵的黄

[嵌入式]

亚马逊推智能摄像头，支持人脸识别自主编程

近日，亚马逊推出了 DeepLens ——一款用于快速部署深度学习的无线摄像头。可以运行预先训练的或定制的 AI 模型来执行计算机视觉任务，例如面部识别、情感分析或物体识别。 DeepLens 简约小巧，一个方形镜头 400 万像素摄像头搭配白色小机身，可拍摄 1080P 高清视频，同时配备了两个麦克风，以及 8GB 的运行内存和为存储视频、预先训练的模型和代码的 16G 存储空间。 DeepLens 是一个面向 AI 开发者的定制摄像头，开发者可以在 AWS（Amazon Web Services）上开发 AI 系统，让系统在摄像头上运行。预先加载了 AWS Greengrass 进行本地计算，并且可以与

[家用电子]

智能网联汽车信息安全发展报告（2021）系列十二：纵深防御技术架构-核心控制器

一、域控制器安全汽车域控制器DCU（Domain Control Unit），最初目的是解决网络信息安全，以及电子控制单元存在的瓶颈。传统汽车E/E架构采用分布式，功能系统的核心是ECU，智能功能的升级依赖于ECU和传感器数量的累加。随着单车智能化升级的加速，原有智能化升级的方式面临着研发和生产成本剧增、安全性降低、算力不足等问题。在以域控制器为功能中心的集中化E/E架构下，芯片算力和软件算法的提升将成为汽车智能化升级的核心。域控制器架构下，汽车智能化升级的研发边际成本将显著降低，并且智能化升级的边际成本将逐步递减，从而推动汽车智能驾驶的加速渗透。根据汽车电子部件功能将整车划分成几个领域，如动力传动域、车

[汽车电子]

智能网联汽车<font color='red'>信息安全</font>发展报告（2021）系列十二：纵深防御技术架构-核心控制器

“AI+”解锁传统安防新姿势，竞争之烈令人咋舌

　　5年前，安防行业的一些厂商已经提出了“看得见”、“看得清”、“看得懂”的概念，其中“看得懂”可以视为当前比较火的“人工智能”的雏形。众所皆知，2016年之前，行业已经开始探讨人脸识别、视频结构化等智能应用，到了2017年，人工智能在安防行业的应用呈现出百花齐放、百家争鸣局势，越来越多的AI创业企业在安防行业扎堆。　　人工智能落地加速，安防行业竞争激烈　　人工智能对安防有何影响？人工智能可谓正在以超音速的发展轨迹，横扫全球，以及与《金融时报》近期撰文将人工智能称为“全新生产要素”。回顾这几年安防行业的发展，“人工智能化”趋势更加明显。人工智能的加速入局，让“智慧安防”迎来了强劲动能，

[安防电子]

基于TMS320C6713的人脸识别系统设计

为了人脸识别的相关算法能快速运行，选择了TI公司的DSP处理器，另附加键盘模块和PAL制式输出模块，可以脱离PC独立对PAL视频信号进行采集和处理，并独立运行人脸的定位，特征抽取以及人脸的识别。硬件方面，系统采用了存储器切换系统，使得图像数据缓存和读取分别由CPLD和DSP独立且同时执行，缩短了数据的处理周期，保证了系统的实时运行。软件设计包括了：人脸定位、人眼定位、样本存储以及人脸识别。其中样本由DSP自动选取，根据人眼定位和人脸标记方框的大小共同决定，选取一部分大小相等且眼距相同的图片作为训练样本以及待识别样本。在主分量分析过程中，提取出主分量构成特征脸空间，将原样本投影到该空间内一点，再输送到KNN分类器中进行分类。该

[安防电子]