活体检测技术解析：主动式与被动式对比 (ZH)

活体检测是一种生物识别检查，用于确认摄像头前的人是真实存在的活人，而不是照片、面具或合成视频。它是区分“图像中出现一张脸”和“一个活生生的人确实在那里”的技术层。

没有活体检测，人脸匹配很容易被欺骗。攻击者只需一张目标人物的照片——这些照片可能在社交媒体上或数据泄露数据库中随处可见——将其放在摄像头前，就能通过人脸匹配检查。演示攻击检测（PAD）正是弥补这一漏洞的技术。Didit的活体检测模块在每次验证会话中运行，并在2秒内返回结果。

主要内容

• 活体检测只回答一个问题：现在摄像头前是否有一个活生生的人？
• 被动式活体检测（0.10美元）无需用户操作——模型分析单个捕获图像以寻找生命迹象。
• 主动式活体检测（0.15美元）会发出挑战——转头、眨眼或跟随目标——并验证真实的身体反应。
• PAD（演示攻击检测）是ISO/IEC 30107-3标准，定义了攻击类型和接受阈值。
• Didit的被动式活体检测已通过iBeta一级PAD认证：在360次尝试中，攻击成功率为0%，IAPAR（冒充者攻击演示接受率）为0%。
• 完整的KYC（了解您的客户）核心流程——身份验证+被动式活体检测+人脸匹配+IP分析——费用为0.33美元，每月提供500次免费检查。

什么是活体检测？

活体检测是生物识别流程的一部分，用于验证主体是真实存在的活人，而不是欺骗。该领域的正式术语是演示攻击检测（PAD），已在ISO/IEC 30107-3中标准化。PAD系统将每个会话分类为真实或演示攻击：试图通过呈现非活体人脸来欺骗生物识别传感器的行为。

主要的性能指标是IAPAR——冒充者攻击演示接受率。它衡量系统错误地将多少欺骗尝试分类为真实的比例。IAPAR越低越好；0%意味着系统拒绝了测试集中的所有攻击。

为何重要

单独的人脸匹配只问：这张脸是否与参考图像匹配？它不问：这是活生生的人吗？这些是不同的问题。欺诈者如果获得了证件照片——无论是从数据泄露、社交媒体资料还是钓鱼获得的身份证扫描件——无需亲自在场就能回答第一个问题。

活体检测弥补了这一空白。结合证件验证和人脸匹配，它构建了支撑受监管KYC的三重检查：正确的证件、正确的人脸以及一个活生生的人将它们结合在一起。

监管机构越来越多地在远程身份验证框架中提及生物识别活体检测。Didit的整体验证流程已获得Tesoro/SEPBLAC/CNMV的认证——这是唯一获得欧盟成员国政府正式认证，比亲自识别更安全的提供商——而活体检测是这一保障的核心组成部分。

被动式活体检测：工作原理

被动式活体检测无需用户进行任何操作。用户只需看向摄像头；系统会捕获一帧或一段短视频序列，并在没有任何提示的情况下对其进行分析。

分析远不止检测到人脸那么简单。模型会寻找区分真实三维表面与平面复制品的信号：皮肤与纸张或屏幕的微观纹理、光线和阴影中的深度线索、光线在弯曲人脸上与平面基底上反射的方式，以及静态图像无法复制的自然微小运动——不自主的微眨眼、呼吸运动。

结果是分类（真实或攻击）加上置信度分数，并在2秒内返回。由于被动式活体检测无需用户操作，因此它可以无缝集成到任何入职流程中，最大限度地减少摩擦。

可识别的攻击类型：打印照片、屏幕重放人脸、未经特定实时挑战捕获的重放视频。

最适合：消费者入职、年龄验证、分步重新认证——任何将摩擦视为转化顾虑的流程。

主动式活体检测：工作原理

主动式活体检测增加了实时挑战步骤。系统会提示用户执行一个身体动作：将头转向特定角度、眨眼、微笑或跟踪屏幕上的移动点。系统会记录用户的反应，并与活生生的、实际在场的人会产生的反应进行交叉检查。

挑战是按会话随机生成的。打印的照片无法转头。预先录制的视频无法匹配未为其拍摄的挑战。这使得主动式活体检测更能抵御重放攻击和早期的合成视频攻击。

可识别的攻击类型：被动式活体检测可识别的所有攻击，以及攻击者使用预录视频欺骗会话的某些重放攻击。

最适合：高风险流程——具有反洗钱（AML）要求的金融入职、高价值账户恢复、受监管的加密货币入职。

应用场景

消费金融科技入职。网上银行和支付平台在KYC核心流程中运行被动式活体检测，以确保每个新用户在账户激活前都被确认为活人。0.33美元的总成本使其能够大规模应用。

加密货币交易所和VASP合规。面临FATF要求的交易所和虚拟资产服务提供商需要经得起监管审查的生物识别保障。主动式活体检测是合适的级别。

受年龄限制的数字服务。使用面部年龄估计的游戏、流媒体和受监管的消费平台需要活体检测来确认被分析的面部属于摄像头前的一个活人，而不是一张被举起的照片。

账户重新认证。当用户发起高价值操作——大额转账、凭证更改——生物识别认证（0.10美元）与活体检测相结合，可以重新确认已注册用户亲自在场，而不是拥有设备访问权限的账户盗用攻击者。

Didit如何提供帮助

活体检测在Didit验证会话中运行，而不是作为独立的单独调用。集成工作方式如下：

1. 在业务控制台中，打开工作流构建器，并将被动式活体检测或主动式活体检测添加到您的工作流中，与身份验证和人脸匹配一起。
2. 从您的后端，创建一个会话：POST /v3/session/，包含workflow_id、vendor_data和callback_url。
3. 将用户重定向到session.url——托管的Didit UI处理摄像头访问、捕获和PAD模型运行。无需客户端SDK更改即可将活体检测添加到现有流程中。
4. 通过Webhook（session.status.updated）接收结果或轮询GET /v3/session/{sessionId}/decision/。响应中的liveness_checks[]数组包含状态、置信度分数以及适用的攻击类型。

工作流构建器允许您根据活体检测结果配置分支：将DECLINED路由到人工审核，允许一次重试，或硬拒绝——所有这些都无需代码部署。

常见问题

被动式活体检测和主动式活体检测有什么区别？

被动式活体检测在没有用户提示的情况下分析单个捕获图像。主动式活体检测会发出实时挑战——转头、眨眼或跟踪——活人必须对此做出反应。被动式摩擦更小；主动式提供更高的重放攻击保障。

iBeta一级PAD认证意味着什么？

iBeta是NIST认可的独立实验室。一级PAD测试涵盖了根据ISO/IEC 30107-3进行的打印照片、屏幕重放和预录视频攻击。Didit在360次测试尝试中实现了0%的攻击成功率和0%的IAPAR。二级将覆盖范围扩展到3D面具和假肢——这是一项单独的、要求更高的测试，Didit目前尚未声称通过。

活体检测的费用是多少？

被动式活体检测每次检查0.10美元；主动式活体检测0.15美元。两者都计入每月包含的500次免费验证——没有最低消费，也没有席位费。

活体检测能否阻止深度伪造注入攻击？

PAD处理的是在物理摄像头前呈现伪造物的攻击。注入攻击——合成视频直接馈入捕获管道，绕过摄像头——是另一种截然不同的威胁类别，需要额外的信号层。有关Didit如何同时解决这两种攻击，请参阅注入攻击检测指南。

活体检测能否取代证件验证？

不能。活体检测确认活人存在；它不确认他们是谁。证件验证和人脸匹配建立身份；活体检测确认存在。这三者共同构成了安全的KYC。

准备好开始了吗？

• 了解功能 → 活体检测文档
• 在平台中查看 → 身份验证产品页面
• 查看价格 → 定价——被动式活体检测0.10美元，主动式活体检测0.15美元，每月500次免费
• 免费开始 → business.didit.me