◆唐培丽 黄贵玲

人脸识别智能终端的物理安全测评技术研究

◆唐培丽 黄贵玲

（中国电子科技集团公司第十五研究所国家电子计算机质量检验检测中心 北京 100083）

智能终端的安全测评的内容通常有：物理安全、操作系统安全、通信接口安全、应用软件安全、用户数据安全。本文主要从物理安全的角度来研究并完成新兴的特殊的人脸识别智能终端的安全测评。通过对人脸识别智能终端工作原理和智能终端安全测评技术的研究，本文提出了结合旁路攻击和网络抓包的物理安全测评方法，在人脸数据的传输过程中，尝试获取人脸数据，完成人脸识别智能终端的物理安全的测评。从而完善了智能终端的测评体系。

物理安全；人脸识别；网络抓包；安全协议

1 引言

2021年11月1日起执行的《中华人民共和国个人信息保护法》界定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者应当采取相应的加密等技术措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。其中，人脸数据就是一项很重要的个人信息。

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术，用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部识别的一系列相关技术，通常也叫做人像识别、面部识别。伴随计算机技术的高速发展，人脸识别也成为了人工智能领域相对成熟的技术之一，成为除语音识别之外较早实现应用落地的人工智能技术，特别是在中国当前环境下，海量数据的支撑、市场背后应用场景的丰富以及尖端技术的累积更是加速了人脸识别的落地。随着人脸识别技术的规模化商用，“刷脸进站”、“刷脸支付”、“刷脸取款”开始涌入人们的生活。这一技术带来的便捷无感体验的同时，也带来了极大的个人隐私泄露的风险。比如，人脸识别采集到的个人信息是否会被泄露？传输过程中，人脸数据的加密密钥和人脸数据的明文或者密文等关键信息，是否可能被截获？

其中人脸采集、传输、存储、销毁所依赖的终端环境是保证个人信息安全的关键环节。人脸识别智能终端的安全测评，将为更多开发者提供安全参考，为消费者提供个人信息、隐私数据及财产安全保障。

2 安全测评现状

智能终端系统安全测评体系，通常包括：操作系统安全、通信接口安全、应用软件安全、用户数据安全和物理安全。

图1 终端系统安全测评体系

针对操作系统安全、通信接口安全、应用软件安全和用户数据安全，目前均有了较成熟的测评方法，具体介绍如下：

（1）操作系统安全测评方法

通过开发终端应用程序并在终端上运行，通过应用程序调用智能终端相关的功能，检测终端对于各类功能的调用是否是在用户授权的前提下进行。

通过开发木马程序，主动攻击操作系统，检测操作系统的安全防护能力。

（2）外围接口安全测评方法

在预设条件下，对智能终端有线外围接口及无线外围接口的开关、配对、数据传输、传输中断等功能进行检查，检测终端用户是否能有效控制外围接口的开关、配对、数据传输、传输中断等操作；外围接口是否在操作界面给出了清晰的状态标识，从而保障用户的知情权和控制权。

通过开发应用程序主动访问终端的无线外围接口，检测无线外围接口是否具备一定安全防护能力，以及应用程序是否能在用户未授权的情况下触发无线外围接口的开关、配对和数据传输等功能。

（3）应用软件安全测评方法

基于静态源代码分析方法，对应用软件的源代码和配置信息进行扫描、分析，对应用软件源代码的规范性和可靠性进行检测。

基于动态行为监控的方法，对应用软件权限明示和权限调用的行为进行检测，检测应用软件的权限调用行为是否在用户可知、可控的前提下进行。

（4）用户数据存储安全测评方法

基于功能核查的方法，验证终端在未输入正确密码的情况下，是否能提供密码保护功能，如，屏保状态下是否可以通过通话功能直接进入操作界面。

使用数据读取工具对执行删除操作后的数据进行恢复，检测终端是否提供用户数据的彻底删除功能。

人脸识别智能终端的安全测评，除了包含常规智能终端测评中的操作系统安全、通信接口安全、应用软件安全和常规的用户数据安全外，在交易过程中，还包括了特殊的用户个人信息即人脸数据，为了确保人脸数据在采集、使用、传输过程中的安全，我们从物理安全的角度对终端进行安全测评，从而确保产品对于个人信息的安全性的保障是合法的、完备的。

3 实验终端及工作原理介绍

本实验使用的人脸识别智能终端是具有人脸识别、身份证识读、二维码识读、联网、刷脸支付等功能。人脸识别智能终端包含底座、转轴、平板三部分。

平板负责触摸显示、人脸信息采集和传输、无线通信、数据加解密等功能，是整个终端设备的核心。硬件上包含触摸显示屏、人脸采集摄像头模组、4G通信模块、WiFi通信模块、主控CPU、内存、加密卡、SE芯片等等。本次测评主要针对人脸数据的安全防护。因此，本次实验主要在负责人脸数据的采集、传输功能的由平板上完成。

实验终端的刷脸支付应用对数据的加密采取两重SM4算法加密的方式，具体步骤如下：

（1）终端操作系统随机生成16字节的SM4密钥K1，即人脸数据加密密钥，使用K1对人脸数据进行SM4加密，得到加密态的人脸数据，同时将K1送入SE加密模块中；

（2）在SE加密模块中，使用人脸数据加密密钥的保护密钥将人脸数据加密密钥K1进行SM4加密，得到加密态的SM4密钥EN_K1；

（3）业务交互过程中，使用预制在刷脸支付应用中的根证书，将加密态的人脸图片数据和加密态的SM4密钥一起打包，通过TLS传输协议上报到云端，在云端完成远程比对。

人脸识别智能终端在刷脸支付流程中所用到的密钥如表1：

表1 密钥管理

密钥名称由谁生成存储位置分发形式导入和导出在哪使用何时销毁 人脸数据加密密钥（K1）操作系统随机生成终端内存加密态（EN_K1）/内存中使用完成销毁 人脸数据加密密钥保护密钥加密机SE模块 /SE安全通道导入SE模块内 / 人脸数据传输公钥加密机刷脸支付APP证书形式 /终端到云端随刷脸支付APP销毁

4 物理安全测评方法

根据上一章中介绍的人脸数据加密机制，我们得知，如果在刷脸支付的过程中，获取到当次交易的人脸数据加密密钥的明文，同时在人脸数据的传输过程中获取到对应的密文，则可以直接解密，获取到人脸数据明文。因此，本次测评的目标即为获取人脸数据加密密钥的明文和人脸数据的密文。

（1）安装BUG，用来监听人脸数据保护密钥的明文。

本实验中选用的是具有WiFi模块的BUG。

（2）配置网络抓包环境。

使用测试电脑创建WiFi热点，使用终端的WLAN连接至测试电脑创建的热点，并在测试电脑端配置Wireshark环境。

（3）发起交易，获取数据。

在人脸识别智能终端侧发起交易，使用Wireshark工具进行抓包，如图2。

图2 Wireshark抓包

同时，使用BUG监听到的数据如下图3所示。进行多次交易，根据监听到的数据，分析出人脸数据保护密钥的明文。

图3 BUG监听到的数据

如果测评过程中，遇到终端与人脸数据后台是通过TLS1.2等安全协议进行连接的情况，可以尝试使用Fiddler工具建立代理进行中间人攻击。代理建立完成后，执行刷脸交易，然后对交易过程中的数据进行分析。

图4 fiddler工具数据分析

（4）综合判定。

最后根据以上几个步骤的分析结果，综合判定人脸数据的安全性。

5 结束语

人脸识别智能终端在越来越多的领域中应用，比如，金融、司法、军队、公安、边检、政府、航天、电力、工厂、教育、医疗等领域。因此人脸识别智能终端的安全性已经与人们的生活息息相关。

本文提出的物理安全测评方法，通过软、硬件结合的方式完成加装BUG、旁路攻击获取敏感数据，并通过抓包的方式获取和分析人脸识别智能终端和云端之间的通讯数据的方法，然后根据测评过程中的参与因素和相关规范要求，计算终端防攻击强度分值，从而完成人脸识别智能终端的安全测评。

本文在已有的智能终端安全测评方法的基础上，提出了物理安全的测评方法，完善了智能终端安全测评体系，更强有力地保障了终端安全测评的有效性，促进了信息化安全保障能力的提高，从而确保了人脸识别智能终端的发展符合《中华人民共和国个人信息保护法》的要求。

[1]肖征荣，安岗，张延练.终端安全测评方法研究[J]. 互联网天地，2016（12）：10-12.

[2]邹意华，贺冠鹏，曾天宇. 移动智能终端的信息安全风险及测评方法研究[J]. 网络安全，2020（6）：137-138.

[3]范红，林大海，王冠. 移动互联网安全测评关键技术研究[J]. 中兴通讯技术，2015（6）：38-40.

[4]赵旺飞. 移动智能终端APP发展趋势及面临的安全挑战[J]. 移动通信，2015（5）：26-30.

[5]陈哲谦. 移动智能终端安全问题分析与应对[J]. 中国科技纵横，2013，000（020）：45-45.

[6]付皓，戴国华，刘兆元，等. 移动终端安全问题分析与解决方案研究[J]. 移动通信，2012，36（009）：68-72.