指纹传感器和假指纹攻防技术 (指纹传感器和屏幕是一套吗?)

雷锋网按：我们在很早之前就有指纹传感和采集的需求，但直到20世纪59年代计算机发明后才实现了指纹识别的可能性。到70年代，美国FBI开启了一个项目，从而开启了用指纹识别来进行一些身份认证的工作。从此，业界对指纹的传感和如何攻破指纹系统的研究延续到现在。

指纹识别遭遇的攻击手段层出不穷，假指纹就是其中之一。

为了防御假指纹带来的安全风险，去年有国内厂商专门推出了活体指纹识别技术，这种技术号称可以通过指纹、手指皮肤颜色以及心率信号等生物特征来验证用户的真实身份，以避免假指纹的攻击。然而雷锋网了解到，市面上所谓内置“活体指纹识别”技术的终端遭假指纹破解的事件也屡见不鲜，这一技术似乎也不可靠。

指纹的采集技术和传感器原理是指纹识别系统最基础的部分，所以，要认清指纹识别的安全问题必然绕不过这两部分。那么活体指纹识别遭破解背后究竟有什么秘密呢？

为此，雷锋网邀请了迈瑞微电子创始人李扬渊为大家分享《指纹传感器原理和假指纹攻防技术》。

嘉宾介绍

iPhone.com/uploads/new/article/740_740/201702/58aee3a442070.jpg" src="http://www.gpxz.com/zdmsl_image/article/20241130160428_87984.jpg" loading="lazy">

李扬渊，苏州迈瑞微电子创始人；指纹识别领域唯一贯通算法、传感器、IC设计的从业者；密码芯片领域最早的开发者之一；基于李扬渊所发明的“C-Q-T”电路，仅成立3周年的苏州迈瑞微电子已成为中国大陆电容式指纹传感器出货量第二名的供应商。

以下内容整理自本期公开课：

我们在很早之前就有指纹传感和采集的需求，但直到20世纪50年代计算机发明后才实现了指纹识别的可能性。到70年代，美国FBI开启了一个项目，从而开启了用指纹识别来进行一些身份认证的工作。从此，业界对指纹的传感和如何攻破指纹系统的研究延续到现在。

“活体指纹识别”靠谱吗？

去年2月的MWC上，国内某公司号称发布了全球首个活体指纹检测技术，2017年该公司得到了CES全球创新金奖，在这期间有三个著名的厂商应用了其活体指纹识别，并对外宣称可以避免假指纹的攻击。

然而，前不久有网友曝出一段 视频 ，视频展示了假指纹是否能破解活体指纹识别的测试，结果如下：

总结来说，活体检测的可靠性随技术方法的提升而提高，现在被破解的是最低级的早已被淘汰的技术。

假指纹“黑产”

指纹识别最早应用在公安、海关等领域，所以假指纹的研究起初是一种间谍级别的行为。用硅胶等材料制作假指纹来欺骗传感器是从指纹识别的应用开始就存在的一种方式。

假指纹黑产一直是指纹识别技术的副产品， “隐形指纹膜”不是新技术，只是因为以前没有需求才没有作为产品推出。而在中国，严格来讲还没有形成黑产业，一般只用作欺骗考勤机。

活体指纹是什么？

活体指纹识别是一个很宽泛的名词，他本身不是一个很严格的技术定义。去年，我在雷锋网发布了一篇文章 《iPhone SE发布了，并没有“活体指纹识别什么事”》 ，这篇文章里面引用了中国知识产权局的定义，定义的内容包括哪些东西可以归纳到活体检测的门类，具体有以下几点：

这是一套检测规则，如果做了其中一种就可以叫活体。但需要注意的是，活体并不代表最新的先进技术，它可能是已经不具备安全性的过时技术。

破解的原理

上文提到的活体指纹被破解的例子中，其手机用的技术其实就是苹果拥有却没有应用的专利技术（专利US8180120B2的技术）：

但是，该方案智能防御传统黑色材料的假指纹，并不能防住半透明材料的假指纹，这种假指纹具备以下两个特性：

指纹是空间的特征，它并不是具体的物理量，所以指纹的采集是一种很开放的技术领域。

传感器可以分为物理传感器、化学传感器、生物传感器，指纹传感器是第一种，除了磁传感器外，光、电、力、声、热这五类物理传感器都可以采集指纹。

光学

1.基于全反射的效应，这是最经典的一种：

这个例子解释的是指纹传感器的物理效应是调制效应，一组物理量在空间上有分布，而指纹只是通过某种方法影响了这种分布，用传感器采集这个物理量的空间分布来获得指纹的图像，这是所有指纹传感器所遵循的原理，具体差异只是选择的物理量不同。

2.基于指内漫射光效应

这是由NEC公司原创的技术，它的原理如下：

3.近距离面光源照射指纹，谷线阴影成像

最近iPhone 8要上光学指纹识别的消息被炒得沸沸扬扬，这实际上只是在炒冷饭。这种技术的原理甚至是工艺，早在1997年就发明了，之所以现在还能拿出来炒，是因为这个专利过期了。

这种方法的原理就是，当有一个面型的光源离手指比较近的时候，脊线就会挡住谷线。如果远距离的光线照进去，必须要有角度，某些角度看得见，某些角度看不见；但是近距离对于手指的任意一个点都相当于从差异很大的方向光线汇聚过来进行照明，所以有充分的条件使得脊线把谷线挡住。

但是这种图像很弱，对于指纹浅的人来说，就很难识别。

4.空气排斥成像

在玻璃板上放置哑光柔性薄膜，指纹压迫薄膜时把脊线下方空气排出，在另一面形成不同的反射率。可以说，在所有光学指纹识别传感器里面，这种图像是最清晰的，不过目前只有台湾一家公司在做小批量的生产。

电学

1.直接电容式

这是最早的电学传感器，是在1980年由西门子提出，也就是把指纹看做电极，对面放上一整片电极，凸起的地方距离小电容大，而凹下的地方电容更小，测出这部分电容就能得到指纹的分布。不过，在使用中，这种方法不耐用。

按照FBI的标准，指纹的像素密度是50微米一个像素，作为电容，那么电极之间的距离要远小于50微米，以5微米为例，随便一根牙签就能戳坏。所以早期的电容传感器很容易损坏，要提高指纹到电极之间的距离，就需要有中间介质进行保护，也就是后面的电场式。

2.电场式

这种方法在1997年首次提出，传感电极距离指纹距离远大于传感点击尺寸时，就不能堪称电容，而必须以电场密度差（指纹的凸起和凹陷）为测量目标，因为电极是平的，所这个密度差体现的就是指纹的图像，苹果收购的AuthenTec就是采用的是这种原理。

3.生物射频、微波

这两种都是无关原理的命名。

力学

力学一般有两种原理，但都不结实，为什么这么说呢？

要传递细微力的差异，必然不结实，但反过来，如果要在厚厚的钢板上按压，力就没办法传递。目前解决了这个矛盾的只有苹果，这也是为什么苹果能推出3D Touch的原因。

1.压阻效应

通过压力改变电阻大小；

2.压容效应

通过压力改变电容大小。

声学

也就是采用压电互换效应：

但是超声波指纹识别传感器并不是传统意义上的超声波传感器，它是一个固体类的振动阻抗传感器。例如小米5S的指纹识别传感器，它会自己发生振动，手贴在指纹识别的区域就会产生阻抗，会减弱振动，接触的地方（脊线）振动减弱会大一些，这写振动的变化会影响到下面的传感器，然后转换为电信号最后形成图像。

热学

采用热传导效应：

热学传感器最早退出了市场，因为当热传导达到平衡，指纹传感器就失去能力；所以热学指纹传感器曾经以滑动式存在过，却一直难以实现按压式。

这也在一定程度上证明了一点，试图超越数学、物理来实现一项技术的能力，完全是缘木求鱼。

总结来说，声学和热学一样因为物理上的缺陷而被淘汰，力学也因为上述原因不可用，电学是主流，光学是很复杂，取决于是否适合产品。

假指纹攻击原理

假指纹的定义

系统层面，假指纹攻击有三个等级：

需要注意的是，在传感段不关心算法怎么判断，而是传感器怎么判断是否是生物体的指纹。

传感器防假一般与判定是否生物体等价：

低级假指纹

平面打印指纹图案可欺骗光学传感器：

中级假指纹

立体指纹可欺骗电、力、声、热传感器，难度比低级假指纹要高：

高级假指纹

在化学特性或细微结构特性上非常接近真指纹的假指纹：

如何防御假指纹

安全价值

安全技术成本不是安全技术价值的度量标准，破解成本才是：

多传感技术

各种生理特征都需要转换为具体物理量，导致从物理破解角度，这些检测办法都没什么用：

另外，有个原则是安全性和安全成本的比例要在10以上。

红外多光谱技术

通过红外反射谱扫描可以判定真假手指：

红外断层扫描技术

红外断层扫描（OCT）通过红外干涉激光对皮下结构进行um级断层成像，这是一种更高级的做法：

这种技术的安全性和安全成本的比例在100以上。

保护好指纹信息

平面假指纹到立体假指纹之间的技术鸿沟才是主要防御假指纹的壁垒：

总结

我们没必要在假指纹攻破指纹识别系统这件事上太过担忧，关键是自己不要参与制作假指纹的制造，保护好自己的指纹。

精彩问答

Q：看到有些活体指纹识别方案是把多个传感器集成在一起，对此您怎么看？这是目前业界普遍的做法？

A：把难度不同的集成到一起，难度等于原本最大那个。全球充分研究40多年的攻防，不止针对指纹，而是针对各类物理传感器。要提高防御能力必须用先进技术，不可能靠几毛钱打到好效果。

实际上当有人提出用光学来加强电传感器的放假能力时，我就已经很雷了。公认的强技术居然可以靠公认的弱技术来提高，这得多业余啊。业界的普遍看法是，不必操心，守住3d立体指纹的制作难度即可，千万别自己制作复制指纹送人！

Q：刚听您讲的内容，现在好像没有很好的防御假指纹攻击的办法啊，现在上游厂商研究的方向是什么？

A：多光谱，oct都是目前能确实防得住的技术，但成本等限制了应用场合。从日常生活应用来看，要注意几点：

1、坚决淘汰光学指纹传感器，毕竟靠打印指纹图案就能欺骗的东西

2、攻防相长，要持续提高防御技术，这分几个角度

2.1、把验证做得更复杂，但导致不方便

2.2结合更丰富的安全手段，切实提高攻击者的成本和风险

3、绝对安全是假象，相对安全才是唯一可量化的

生物识别其实是不太靠谱的安全方式，但考虑到经典信息安全领域只能做到设备到设备，没有认证人的办法，也就聊胜于无了。

Q：那活体指纹识别方案对设备安全到底有没有意义？

A：活体指纹识别是一个大类，在海关用多光谱来验活就有意义，但用一些没有效果的做法套上活体的名词，就涉嫌欺诈。指纹识别到目前为止其实还是一个模式识别技术，还没有正式进入信息安全技术的范畴，还有不少需要研究的。

我举个最简单的例子，安全性的量化，目前就做不到，目前业界有一些企业，把指纹传感器越做越小。我就想，你们干脆缩小成一个点，当开关用好了，消费者毕竟还指望这玩意有点聊胜于无的安全性，总不能啥也没有吧。

Q：指纹识别做到显示屏上还有什么难点？现在做到了什么水平？

A：这有三个思路：

先说第一类，tp层，做指纹的话密度会很高，会导致光学差异，其次，穿透整块2.5D玻璃超出了物理极限，所以整个设计要重来。如果单说做个透明指纹面板，倒不是什么难度，难在各方面都达到工业量产。

再说第二类，技术上实现用光学方案问题不大，问题在于，screen损失近一半的亮度和分辨率，价格还大大提高，你愿意买单吗？而且这种光学方案的图像很弱，功耗又高，也就是说指纹唤醒等功能就别指望了。

第三类，under，这个最有欺骗性，但说句不好听的，就凭3D touch都做不到量产的水平，under screen真的可行么？结合工业可行性，还是刻意忽视，就是领先工业设计者和技术骗子的区别，一线之隔，远隔天边

under一重介质，良率就一塌糊涂了，还要连续穿透那么多层那么厚。

本期硬创公开课视频如下：

原创文章，未经授权禁止转载。详情见 转载须知 。

谷普下载提醒您：让你提前汇款，或价格明显低于市价，均有骗子嫌疑，请不要轻易相信。

---

相关资料：txt下载、doc下载、文章搜索、网址搜索、百度搜索、好搜搜索、搜狗搜索、必应搜索

本文链接：http://www.gpxz.com/article/a34166eab65de363da45.html

---

上一篇：AIoTaiot汽车

下一篇：指纹识别原理和万能指纹攻击猜想电容式指纹