比如傳統(tǒng)的刮擦式指紋傳感設備抗攻擊能力比較弱，但是新的電容式傳感器已經(jīng)能夠很好地監(jiān)測真皮層的紋路來獲取指紋，通過只復制了表面的指紋貼很難攻擊成功。比如通過多個攝像頭可以檢測人臉是否為三維立體，從而有效防止二維的照片和視頻攻擊，或者在識別用戶的過程中讓用戶隨機做一些動作，提前準備好的假體視頻很難應付這種動態(tài)檢測。

“攻防的過程可以說是魔高一尺、道高一丈，沒有絕對的安全，但防攻擊手段的提升能拉高攻擊的門檻，當攻擊成本高于收益，就意味著攻擊沒有了價值。”曹愷說，不久前支付寶在其安全開放日發(fā)布了人臉等生物識別支付技術(shù)，“這些技術(shù)在實驗室內(nèi)測中已經(jīng)得到了不錯的結(jié)果。”

身體密碼被盜怎么辦

將人臉圖像數(shù)據(jù)與動態(tài)參數(shù)綁定，如被竊只需掛失動態(tài)參數(shù)

如果將人臉作為支付密碼，在支付過程中人臉數(shù)據(jù)被黑客截走，難道需要“掛失”現(xiàn)在的模樣，換一張臉才行嗎？這當然只是個可怕的想象。在支付以及密碼數(shù)據(jù)接收的這一中間和終端環(huán)節(jié)中，專家通過對生物模板的脫敏和加密保護來實現(xiàn)用戶生物特征的保護。

“簡單來說，就是讓人臉或者其他生物特征變得可撤銷、可變更。”孫哲南介紹了一種業(yè)內(nèi)比較熱門的加密思路，“就像給生物特征穿上一件變化的外套，比如將人臉圖像數(shù)據(jù)與一個動態(tài)參數(shù)綁定，如果被竊，只要掛失這個動態(tài)參數(shù)，就等于掛失了你的生物特征，下次注冊會綁定新的參數(shù)。并且綁定的數(shù)據(jù)是不可逆的，即使在支付過程中被攔截，也不能還原成原始圖像。”

曹愷提供了目前另一種生物模板加密的研究方向，這種保護方式被稱為“模糊保管箱”。曹愷解釋，這種保護方式是把用戶的生物特征作為密碼來保護服務商提供的一組密鑰，用戶在支付時，使用自己的生物特征對這組預先分配的密鑰進行解鎖，密鑰在完成解鎖后傳輸給服務商進行身份驗證，這樣一來，網(wǎng)上傳輸以及服務商保存的只是這組密鑰，即使被盜取了危害也不大。

針對采集設備、活體檢測、識別精度、通路加密、服務終端每一支付環(huán)節(jié)的不同攻擊，都有有效招數(shù)來狙擊風險，而每一個招數(shù)背后，都是一個深邃、極富挑戰(zhàn)的技術(shù)領域。同時，不僅是科技領域，支付安全的發(fā)展還依賴更多學科的支撐。“支付安全現(xiàn)在不僅是生物識別、密碼學、信息安全問題，還需要綜合考慮心理學、社會工程學、支付行為學等多方因素制定安全方案，支付安全已經(jīng)進入了一個新時代。”曹愷說，比如大額支付和手機話費充值所采用的安全保護技術(shù)自然有所區(qū)別，一個更強調(diào)安全，一個更強調(diào)方便。

孫哲南則看好生物識別技術(shù)的應用前景，他認為，不僅僅用于支付，生物特征還將是智能時代的身份入口，人臉、虹膜等更多的生物特征將為智能設備、智能網(wǎng)絡、智能安防等提供自動精準的身份標識，這既對生物識別技術(shù)提出重大挑戰(zhàn)，也蘊含著巨大的市場。（記者 趙展慧）