數字識別(Digital Identification)因其在智能手機的應用為人熟知,並服務於金融、醫療、教育等重要領域,提供高效的社會保障服務,促進數字經濟發展。
本期的智能內參,我們推薦來自世界銀行的數字識別技術概論,從數字身份的含義出發分析技術應用潛在的社會影響,評估其技術進展、剖析核心技術。
以下為智能內參整理呈現的幹貨:
什麼是數字身份
數字生命圈(Identity Lifecycle)
數字生活示意(該圖從用戶界面、數據存儲、後端程序三個層次,描繪瞭瑞秋的數字身份信息從出生開始就不斷擴充,並應用於生活)
數字身份利用數字技術貫穿個人的生命周期,包括註冊(Registration)、核發(Issuance)、認證(Authentication )、批準(Authorization)、管理(Identity Management)五大流程,形成瞭 " 數字生命圈 "。
其中,身份驗證的最高級稱為 IAL3,即通過現場驗證,結合人口統計(如人身份識別號碼、個人密碼)和生物特征信息(如指紋、照片)進行數字身份註冊,刪除庫內重復數據,實現 1:N 標識(一個或多個生物識別標識符對整個生物特征數據庫進行標識);隨後,生物信息經權威機構與申請人的現實生活相聯系,為服務方(如金融機構)和政府機構提供訪問權限等,並進行(風險)評估。
需要指出的是,在發展中國傢,居民可能缺乏一些基本文件,如出生證明、身份證、駕照、護照、社保卡等。此時,註冊數字身份就需要一名介紹人,來幫助確認申請者的身份、地址可信度。
一旦完成數字身份驗證,其生物信息、重復信息將結合申請人的身份聲明,應用於將來的身份交互中。理想的情況下,數字識別系統將與官方的民事等級相結合,記錄出生、死亡、婚配、養育等重要事件。
數字證件管理則始於核發,其次是基於安全策略的個人信息維護(取回、更新和刪除憑證)和撤銷(刪除分配給憑證的特權)。期間,需要註意數字識別技術的通用性,即獨特的核心生物特征,以實現跨區域的互操作性。
七大社會層面的考量
關鍵識別和認證技術
六大類識別與認證技術(生物信息、證件卡、證件碼、移動設備、數據分析、官方認證和信任框架)
身份識別與認證技術覆蓋生物信息、證件卡、證件碼、移動設備、數據分析、官方認證和信任框架(區塊鏈)等,本節主要介紹生物識別、卡片和移動設備三大子技術,並基於六個參數給出技術水平評估。
身份識別技術的六項評估參數(對應高、中、低、不適用四個等級)
生物識別技術
七類生物識別技術
生物識別即基於個體獨特的生理和行為特征識別並驗證其身份,分為特征捕獲(收集和存儲用戶生物特征數據)和數據匹配(終端信息的實時響應)兩大分支,其發展速度不同。
常見的生物識別技術有指紋識別、虹膜識別、面部識別、語音識別、行為模式識別、血管識別、快速 DNA 識別七類,各項技術隨著傳感器越來越精準、硬件計算越來越強、算法不斷迭代而持續發展。
1、指紋識別(Fingerprint Recognition)
指紋識別技術評估結論
這項技術成熟度和性能等級比較高,帶有假陰性識別,並可以隨著數據庫中的用戶數量增加而提高準確率。
指紋信息的維度包括錄入的指紋特征類別(谷線、脊線、汗腺孔等)、手指個數(根據安全等級需求分別可有 1 到 10 個個人指紋信息,目前單指錯誤率 1.9%,十個手指錯誤率 0.09%)。
從傳感器的類別來看,常用的方式包括光學傳感器(本質上是結合算法利用指紋 " 照片 " 的明暗結構進行識別)、電容傳感器(利用電流形成指紋的谷、脊等圖像)、滑動傳感器(利用動態圖像構建指紋模型)、超聲波傳感器、熱學傳感器、混合傳感器、光發射傳感器、光學薄膜晶體管傳感器等。
2、虹膜識別(Iris Recognition)
虹膜識別技術評估結論
該項技術的成熟度和可擴展性都比較高,信息捕獲率(4 歲以上 87% 到 98%)、拒真率(0.2%)和認假率(0.0001%)都低於指紋識別。
虹膜識別本質是利用相機捕捉眼部圖像,並檢測鞏膜和瞳孔邊界,根據算法識別虹膜的獨特特征(色素、斑點、細絲、冠狀、條紋、隱窩等),實用中對於設備與用戶的距離有要求(多為 0.8 到 1.2 米)。
3、面部識別(Face Recognition)
面部識別技術評估結論
該項技術的成熟度比較高,目前主要用於安防(邊界、監視等)以及設備訪問授權等,最近金融服務機構也在進行幾項面部識別試驗。
面部識別 / 人臉識別的算法分為 2D 和 3D(蘋果 FaceID)兩類,本質上是利用利用相機捕捉不會隨著年齡或手術而發生顯著變化的面部特征(深度地圖),如眉脊、顴骨、嘴巴邊緣、眼睛之間的距離、寬度鼻子、下巴和下巴的形狀等,結合算法實現身份識別。
4、語音識別(Voice Recognition)
語音識別技術評估結論
該項技術歷史悠久,分為揚聲器驗證(主導地位)和揚聲器識別兩類匹配系統,現在被許多銀行用作認證生物識別技術,特別是在通過電話向客戶提供銀行服務。
聲音既是一種生理行為,也是一種行為生物特征,涉及 100 多個生理和行為因素(包括發音,強調,速度語音、口音、聲道、口腔和鼻腔通道),可以創造出一個獨特的個人聲音簽名。
5、行為模式識別(Behavior Recognition)
行為模式識別技術評估結論
該項技術的成熟度還較低,現被應用於在線銀行、電子商務、支付和高端認證市場,並正在與機器學習結合進行發展。
行為模式識別通常是在多模式系統中結合一種或多種其他生理形態,如簽名動力學(一個人簽名的速度和壓力)、步態、擊鍵力學、鼠標使用和觸屏交互等,設備往往配置觸摸屏、加速計和陀螺儀來捕捉行為數據。
6、血管識別(Vascular Recognition)
血管識別技術評估結論
血管識別本質上是利用近紅外光譜光識別皮膚下的靜脈生物特征(在淺色的背景下呈現出黑色和不同的顏色)。
紐約大學朗格醫療中心就有血管識別系統,用於識別病人,並從數據庫中獲得他們以前的醫療記錄;65 年日本的金融服務部門
7、快速 DNA 識別(Rapid DNA Profiling and DNA Matching)
快速 DNA 識別技術評估結論
該項技術隨著 DNA 檢測的進步而發展(設備小型化、分析處理縮短至 90 分鐘),具有較高的可擴展性,通過測量(來源有口腔等)DNA 中的短期重復序列而起作用。DNA 序列的長度提供瞭一個高度精確的屬性,它唯一地標識瞭整個人類中的個體人口。
卡片識別技術
五類卡片識別技術
數字身份卡片應用廣泛,2013 年有 175 億張,預計 2021 年將增長至 330 億張,發行的國傢有 103 個。
各種格式的數字身份卡片可以通過專門的數據輸入設備或使用技術的讀卡器讀取,其形式包括磁性捕捉(Magnetic Strip)、條形碼(Bar Code)、物理識別特征(Physical Security Features)或文本(Machine-readable Text)等。
根據讀卡器的不同,卡片識別技術可區分為非智能 RFID、智能接觸、智能非接觸、片上生物系統、非電子五類。2017 年初,所有簽發官方身份證的國傢中,有 82% 實施瞭依賴於智能卡,或塑料卡(非電子卡),或生物識別卡。
1、非智能 RFID 識別(RFID Non-Smart Cards)
非智能 RFID 識別技術評估結論
射頻識別(RFID)利用電磁能量讀取儲存在 RFID 中的信息標簽,可以在不同的距離上操作(取決於為特定的應用程序選擇),被用於旅行證件(MRTD)、護照等。
非智能 RFID 卡使用嵌入的 RFID 標簽,內含微芯片,計算能力有限,有限的內存和天線。
2、智能接觸識別(Contact Smart Cards)
智能接觸識別技術評估結論
該項技術的采用度較高,遵循 ISO 7816 協議,在沙特阿拉伯、巴基斯坦、科威特和南非等被廣泛采用。
智能接觸卡帶有嵌入式微芯片和處理單元設計用於在與讀卡器進行物理接觸時操作。微芯片裡有一個處理器,內存和密碼控制器,提供更高的數據存儲量和處理速度,以及更好的安全性。
3、智能非接觸識別(Contactless Smart Cards or Documents)
智能非接觸識別技術評估結論
智能非接觸識別適用於需要保護個人信息和安全通信的應用(如電子護照)。該類卡片(ISO 14443)提供瞭類似智能接觸卡的處理能力,物理尺寸相同,但添加無線電頻率(RF)收發器和天線,以便近距離識別,傳輸速度要慢一些。
4、片上生物系統識別(Biometric System on Card)
片上生物系統識別技術評估結論
該項技術的安全性較高,可用於移動支付(萬事達、VISA)等,隻有在持卡人使用生物特征信息激活後才能生效。
BSoC 本質上是將生物識別系統與處理器(matcher)集成到瞭一起:傳感器捕捉生物特征樣本,處理器從圖像中提取生物特征並將其與已錄入的特征數據(集)進行比較驗證。
5、非電子識別(Nonelectronic Card)
非電子識別技術評估結論
該項技術的成熟度、性能、采用度、可負擔性都較高,本質上利用的是條形碼或二維碼實現數據自動化捕捉,避免鍵入失誤。
非電子證件的形態可以是塑料卡,通常是由 PVC 或聚碳酸酯制成。可以用作照片身份證明,利用可視安全特性來預防欺詐。
移動設備識別
七類移動設備識別技術
智能移動設備的迅速普及、快速改善無線網絡能力,以及雲技術的采用帶來瞭可負擔和易於使用的移動身份識別方案。
自 2013 年初至今已推出 500 多款智能手機,內置生物識別傳感器的智能手機價格從 2010 年到 2017 年下降瞭 27%;預計 2020 年,將有 48 億人使用生物技術,這將帶動更便宜,便攜式的偏遠地區電子身份註冊。
從技術的角度來看,移動設備識別可以分為 OTP(動態驗證)、智能 ID、加密 SIM、設備註冊、移動連接、認證應用程序、TPM 七類。
1、OTP 驗證(One-Time Password)
OTP 技術評估結論
OTP 即一次性密碼,或動態密碼,對用戶進行限時有效的一次會話驗證,優點是易於使用,兼容多種設備,包括計算機、移動電話和智能設備,廣泛應用於緊急服務、安全服務(如金融交易)、零售業、政府服務等,並正在結合其他驗證方式進行發展。
2、智能 ID 驗證(Smart ID)
智能 ID 驗證技術評估結論
智能 ID 指在平板電腦和智能手機上使用的電子識別應用,即用戶在設備中註冊身份證和有效證件,可以跨設備運行,現已應用於銀行在線服務、選舉投票、電子稅和電子居住等。
3、加密 SIM(Cryptographic SIM)
加密 SIM 驗證技術評估結論
即使用密碼算法(如 A3 認證、A8 密碼密鑰生成算法)將 SIM 卡片轉換為用戶識別工具,常用於用戶和網絡之間的安全通信,無需暴露關於用戶或網絡的信息。
在身份驗證的時候,身份驗證中心會生成一個隨機數字發送到移動端;然後,這個隨機數與用戶的加密密鑰和 A3 一起生成一個數字發送回認證中心,以實現安全的在線用戶識別和用戶數字簽名驗證。
4、設備註冊(Registration Using Mobile Devices)
設備註冊驗證技術評估結論
設備註冊驗證指結合移動服務商、移動設備、公共機構實現身份驗證的方案,利用 USB、藍牙(低功耗藍牙)和 NFC 技術,通過移動設備捕捉生物特征數據和照片進行信息匹配。
舉個例子,在在巴基斯坦,聯合國兒童基金會和移動運營商 Telenor 開發瞭一款移動應用,將嬰兒的誕生(及其生物信息)進行數字化(將信息通過 SIM 傳給政府官員的移動設備,實現註冊)。
5、移動連接(Mobile Connect)
移動連接驗證技術評估結論
移動連接驗證本質上是將個人的手機號碼作為標識符,將手機作為身份驗證設備。這是一種基於移動網絡的身份解決方案,運營商讓用戶可以控制自己的數據,企業和政府可以在被授權的情況下與用戶進行交流、訪問數據、提供在線服務。
6、認證應用程序(Authenticator Mobile App)
認證應用程序技術評估結論
雖然一個簡單的 OTP(動態)技術可以通過靜態口令減輕安全性問題,但它並不完全消除規避的風險。為使 OTP 更為安全,基於 HMAC(密鑰散列消息認證碼 )和時間的隨機算法被業界廣泛采用。
7、可信平臺模塊(TPM)
TPM 技術評估結論
TPM(Trusted Platform Module)是一種基於硬件(芯片)的加密工具,模塊為用戶提供瞭一個惟一的數字身份,基於用戶設備上的公鑰加密(RSA)來減輕安全風險,支持強大的磁盤加密,不需要復雜的密碼。
TPM 可以與其他技術相結合,比如防火墻和密碼,以增強設備安全:當設備啟動時,TPM 可以確定它是否被篡改過(根據最後一個穩定狀態),然後可以阻止對敏感應用程序的訪問。
認證和信任框架
六類認證和信任框架
世界各地的開發者正在開發一種開源的、自主的、基於區塊鏈的身份識別系統,其認證和信任框架包括區塊鏈(一種分佈式記賬技術,簡稱 DLT,詳情參考第 223 期智能內參)、OpenID connect(可互操作的身份驗證)、OAuth 2.0(開放授權)、FIDO 通用認證框架(UAF)、FIDO 第二通用因素(U2F)和 SAML(安全聲明標記語言 )等協議。
分析技術
四類分析技術
在數字 ID 系統中,根據多個數據源的數據,分析技術可以為個人的身份添加瞭一層智能概要,並正在隨著神經網絡和機器學習等技術的突破而高速發展。
根據內容來看,分析技術可以分為風險分析(Risk)、預測分析(Predictive)、業務活動和操作分析(Business Activity and Operations),以及雙相匹配 / 模糊搜索(Biographic Matching/Fuzzy Search)四類。
智東西認為,數字識別技術之於個人、企業、公共信息認證和管理意義重大,是 AI 感知智能的基礎。從生物識別、計算硬件和分析算法的角度來看,該技術的多項分支已經具有規模化商用能力,正被佈局於公共安全、個人事務、企業交易等的記錄和管理;與此同時,基於光學、電學的成熟的信息捕獲技術正在結合深度學習、區塊鏈等新興技術進一步發展數字識別的可用性。
