近几年来,伴随着全球范围内互联网技术普及和传统金融行业对创新变革的诉求,我国的互联网金融行业开始快速发展。拥有健全的客户识别与验证机制是金融企业开展业务的必要条件和监管要求,识别每一个客户的身份是金融企业应尽的企业义务。蚂蚁金融服务集团(以下简称:蚂蚁金服)作为互联网金融的实践者,一直在努力探索这类技术创新,在实践中摸索符合金融监管要求的互联网身份验证方法。
传统金融企业的客户身份识别过程主要依赖于“面对面”的用户到场的柜台当面签约,这种方式有助于核实本人操作并保障本人意愿。但在互联网的业务背景下,这种模式实现过于单一,并且面临柜面渠道不足、便捷性不佳和存在人工舞弊等风险。为了解决此类便捷性和可靠性之间的矛盾,蚂蚁金服一直在研发通过生物识别技术实现“非面对面”身份验证的方法,并在蚂蚁金服不同的业务场景做积极的探索和尝试,其中在支付宝APP 9.3版本中首次向亿万用户推出了“刷脸登录”,标志着互联网身份认证真正进入了“刷脸”时代,我们相信以“人脸识别”为代表的生物识别技术在互联网金融领域还有更广阔的应用场景和更大的提升空间,因此也希望通过本文向各位致力于将生物识别技术应用于互联网金融行业的客户身份识别体系和建设的同行分享和交流,并共同推动这一技术不断向前,使其真正成为互联网生态下的一种基础设施。
一.生物识别技术概述
生物识别技术是一个既古老又新潮的技术,拿指纹来说,“摁手印”这种身份认证方式已经有几千年的历史,说它新潮,也就是最近两三年,随着智能手机的快速发展和普及,指纹识别作为一种替代密码的登录或认证方式,也已经被很多用户接受。而现在我们所接触到的生物识别技术,本质上都是将生物技术与信息技术结合起来的新型识别技术,它将人体所固有的生理特征或行为特征,通过计算机技术、光学、声学、生物传感器等手段进行数字化,然后利用起来进行个人身份鉴定。相比于传统的身份识别方法,生物特征识别技术具有稳定、便捷、不易被仿造等优点,成为了安全认证的首选方式,近年来在国际上已经得到广泛的研究和应用。
原则上,人的任何生理或者行为特征,只要满足普遍性、安全性、唯一性、稳定性、可采集性等条件,都可以作为生物特征用于身份鉴定。所谓普遍性,指每个人都具有具备的特征;所谓安全性,指此特征对于每个人是独特的,可用于个人身份证明;所谓唯一性,指任何两个人的该特征都是不相同的;所谓稳定性,指该特征不会随时间等条件的变化而变化,至少在一段时间内是不变的;所谓可采集性,指该特征要便于采集和定量测量。
生物特征识别技术主要可解决两类问题:身份认证和身份识别。身份认证是判断待识别用户是否是他所声明的身份,只需要将输入的用户特征与数据库中所存储的该身份的模板特征相比对,是“一对一”的比较;身份识别是利用注册用户数据库来确定待识别用户的身份,需要将输入的用户特征与库中所有的身份模板特征进行比对并给出相似度,来判别待识别用户是库中的哪个身份(相似度最高),是“一对多”的比较。
图一:不同生物特征比较
二.基于人脸识别的身份认证体系
图二 远程身份认证流程
蚂蚁金服一直致力于研发最先进的生物识别技术并将其应用于互联网身份认证领域,实现更高的安全性与更好的用户体验。以世界领先的人脸比对算法为基础,研发了交互式人脸活体检测技术和图像脱敏技术,并设计了满足高并发和高可靠性的系统安全架构,以此为依托的人脸验证核身产品提供服务化接口,已经成功产品化并在网商银行和支付宝身份认证等场景应用。这其中的几项核心算法分别是活体检测算法,图像脱敏算法以及人脸比对算法。其中活体检测算法是指系统发出几个随机的动作指令,如:点点头、眨眨眼、张张嘴等,并通过手机摄像头实时采集并检测用户是否正确的完成了相应的动作,同时检测其他 “活体面部信息”,最终达到采集活体人脸的目的。图像脱敏算法只是将人脸图像在网络传输之前,在采集端先进行某种单向变换使得图像不可逆,从而达到保护隐私的作用,同时又能保证脱敏后的人脸图像能尽可能的保留面部特征,在服务端可识别。人脸比对算法则是人脸识别核心算法中的核心,它的作用是判断任意两张人脸图片是来自同一个人还是不同人,从而达到识别人脸的目的。近几年随着深度学习神经网络技术的快速发展,以及社交网络带来的人脸图片数据爆发式增长,“人工智能+大数据”两方面的结合使得人脸识别核心算法也取得突破进展,根据2014年香港中文大学所做的一项研究结果表明,在国际公开人脸数据库LFW上,彼时人脸识别算法的准确率(99%)已经超过了肉眼识别(97.2%)[2],而目前蚂蚁金服运用的人脸识别算法在这个数据库上的准确率已经达到99.6%。另外在2015年初向公安部提交了人脸识别算法和技术的测试申请,进一步验证人脸活体检测防攻击和人脸比对两方面在实际真实场景的性能。
图三:生物识别核身架构
自2015年人脸识别功能在支付宝APP上线后,已在用户登录、实名认证、找回密码、商家审核、支付风险校验等多个场景中,作为主要身份验证方式全面应用,目前已经服务几千万用户,可同时满足每分钟20万人以上的身份验证需求。同时也在网商银行的会员注册场景使用人脸识别,内测阶段辅助注册三万多人,整体真实场景自动注册与审核环节包括人脸识别、身份证识别与防伪检测以及大数据分析三个步骤,人工确认环节未发生误检,极大的提高了人工效率并降低了审核成本,同时在真实业务场景下的千万级别用户身份验证的实践成果是其它国家尚未达成的,相信未来将成为互联网身份识别与验证的主流方法。
三.结语
实践表明,与传统基于密码等身份验证方法相比,人脸识别技术在安全性、可靠性、识别性能和用户体验方面的都得到了大幅提升,对实现互联网金融场景下的远程开户、网上支付等应用具有很现实的意义。蚂蚁金服在声纹,眼纹,掌纹,笔迹等生物认证核心技术研发上也同步推进,通过多因子认证的方式增强人脸识别,达到更高的安全等级和识别精度。此外,蚂蚁金服联合国家相关机构,正在起草人脸识别技术的系列标准,进一步规范人脸识别的技术指标和要求,为业务的深入和推广提供基础参考。
参考文献:
【1】人民银行,《非银行支付机构网络支付业务管理办法》,2015年12月
【2】中国信息安全,《人脸识别新技术准确率超肉眼》,2014年7月
