支付宝进入‘刷脸’时代

近几年来,伴随着全球范围内互联网技术普及和传统金融行业对创新变革的诉求,我国的互联网金融行业开始快速发展。拥有健全的客户识别与验证机制是金融企业开展业务的必要条件和监管要求,识别每一个客户的身份是金融企业应尽的企业义务。蚂蚁金融服务集团(以下简称:蚂蚁金服)作为互联网金融的实践者,一直在努力探索这类技术创新,在实践中摸索符合金融监管要求的互联网身份验证方法。


传统金融企业的客户身份识别过程主要依赖于“面对面”的用户到场的柜台当面签约,这种方式有助于核实本人操作并保障本人意愿。但在互联网的业务背景下,这种模式实现过于单一,并且面临柜面渠道不足、便捷性不佳和存在人工舞弊等风险。为了解决此类便捷性和可靠性之间的矛盾,蚂蚁金服一直在研发通过生物识别技术实现“非面对面”身份验证的方法,并在蚂蚁金服不同的业务场景做积极的探索和尝试,其中在支付宝APP 9.3版本中首次向亿万用户推出了“刷脸登录”,标志着互联网身份认证真正进入了“刷脸”时代,我们相信以“人脸识别”为代表的生物识别技术在互联网金融领域还有更广阔的应用场景和更大的提升空间,因此也希望通过本文向各位致力于将生物识别技术应用于互联网金融行业的客户身份识别体系和建设的同行分享和交流,并共同推动这一技术不断向前,使其真正成为互联网生态下的一种基础设施。

一.生物识别技术概述

生物识别技术是一个既古老又新潮的技术,拿指纹来说,“摁手印”这种身份认证方式已经有几千年的历史,说它新潮,也就是最近两三年,随着智能手机的快速发展和普及,指纹识别作为一种替代密码的登录或认证方式,也已经被很多用户接受。而现在我们所接触到的生物识别技术,本质上都是将生物技术与信息技术结合起来的新型识别技术,它将人体所固有的生理特征或行为特征,通过计算机技术、光学、声学、生物传感器等手段进行数字化,然后利用起来进行个人身份鉴定。相比于传统的身份识别方法,生物特征识别技术具有稳定、便捷、不易被仿造等优点,成为了安全认证的首选方式,近年来在国际上已经得到广泛的研究和应用。


原则上,人的任何生理或者行为特征,只要满足普遍性、安全性、唯一性、稳定性、可采集性等条件,都可以作为生物特征用于身份鉴定。所谓普遍性,指每个人都具有具备的特征;所谓安全性,指此特征对于每个人是独特的,可用于个人身份证明;所谓唯一性,指任何两个人的该特征都是不相同的;所谓稳定性,指该特征不会随时间等条件的变化而变化,至少在一段时间内是不变的;所谓可采集性,指该特征要便于采集和定量测量。


生物特征识别技术主要可解决两类问题:身份认证和身份识别。身份认证是判断待识别用户是否是他所声明的身份,只需要将输入的用户特征与数据库中所存储的该身份的模板特征相比对,是“一对一”的比较;身份识别是利用注册用户数据库来确定待识别用户的身份,需要将输入的用户特征与库中所有的身份模板特征进行比对并给出相似度,来判别待识别用户是库中的哪个身份(相似度最高),是“一对多”的比较。


一些常用的生理特征包括指纹、虹膜、人脸、视网膜、掌纹等,常用的行为特征包括声纹、笔迹、步态等。虽然每一种生物特征都可以作为身份辨别的依据,但是安全与体验衡量每一种生物特征优劣的两个标准,如图一所示不同的生物特征技术在这两个维度上都有所区别,各有侧重。比如虹膜识别技术是目前已知的所有生物识别技术中安全性最高的(十万分之一误识率的情况下准确率可以达到99%),但同时也是用户体验较差的,因为目前虹膜的采集还依赖与专用的红外摄像头,也需要用户主动式配合。从图一也可以看出指纹和人脸是在安全性和用户体验两方面都比较平衡的,也是目前市场上应用最广泛的两大生物识别技术。
                                            支付宝进入‘刷脸’时代

                                                                                       图一:不同生物特征比较

二.基于人脸识别的身份认证体系

人脸识别技术相比较指纹识别技术,还有另一大特点就是人脸(或者说肖像)本身就已经是绝大多数身份证件(如身份证、护照、社保卡等)的鉴识主体,这个特点使得普通老百姓对人脸识别技术最容易接受,另一方面也因为存在官方的人脸数据库,采集人脸以后可以直接与官方人脸身份库比对,从而将“人脸“与”身份“直接联系起来,免去了用户提前注册的环节。下图二说明的就是一个完整的基于人脸识别的身份验证流程:通过移动客户端采集用户的活体人脸信息及身份证照片并进行防伪检测,最后使用人脸识别算法验证,检验“活体人脸”、“身份证照片人脸”与“官方人脸数据库”三者是否一致,从而达到人证合一校验的目的。这种方法的本质是利用“客户本人的生理特征要素”进行身份验证,与我国最新的《非银行支付机构网络支付业务管理办法》[1](第二十二条 支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:[三]客户本人生理特征要素,如指纹等)的要求也是一致的。
             支付宝进入‘刷脸’时代

                                                                                      图二 远程身份认证流程


蚂蚁金服一直致力于研发最先进的生物识别技术并将其应用于互联网身份认证领域,实现更高的安全性与更好的用户体验。以世界领先的人脸比对算法为基础,研发了交互式人脸活体检测技术和图像脱敏技术,并设计了满足高并发和高可靠性的系统安全架构,以此为依托的人脸验证核身产品提供服务化接口,已经成功产品化并在网商银行和支付宝身份认证等场景应用。这其中的几项核心算法分别是活体检测算法,图像脱敏算法以及人脸比对算法。其中活体检测算法是指系统发出几个随机的动作指令,如:点点头、眨眨眼、张张嘴等,并通过手机摄像头实时采集并检测用户是否正确的完成了相应的动作,同时检测其他 “活体面部信息”,最终达到采集活体人脸的目的。图像脱敏算法只是将人脸图像在网络传输之前,在采集端先进行某种单向变换使得图像不可逆,从而达到保护隐私的作用,同时又能保证脱敏后的人脸图像能尽可能的保留面部特征,在服务端可识别。人脸比对算法则是人脸识别核心算法中的核心,它的作用是判断任意两张人脸图片是来自同一个人还是不同人,从而达到识别人脸的目的。近几年随着深度学习神经网络技术的快速发展,以及社交网络带来的人脸图片数据爆发式增长,“人工智能+大数据”两方面的结合使得人脸识别核心算法也取得突破进展,根据2014年香港中文大学所做的一项研究结果表明,在国际公开人脸数据库LFW上,彼时人脸识别算法的准确率(99%)已经超过了肉眼识别(97.2%)[2],而目前蚂蚁金服运用的人脸识别算法在这个数据库上的准确率已经达到99.6%。另外在2015年初向*部提交了人脸识别算法和技术的测试申请,进一步验证人脸活体检测防攻击和人脸比对两方面在实际真实场景的性能。


尽管如此,从算法到线上服务再到用户体验,从实验室性能到实际场景性能,仍然有很多挑战性问题需要解决。为此我们根据蚂蚁金服的业务场景,设计了满足高并发和高可靠性的系统安全架构,如下图三所示。除了算法服务层本身,还与核身决策层(核身行为采集)和业务决策层(业务行为采集)相结合,使得每一位用户的人脸验证结果,不仅仅取决于人脸比对算法的结果,还取决于这个用户在这个业务场景下发生的完整行为,从而形成一个多信息融合的立体决策体系和标准的人脸核身产品,支持蚂蚁金服不同的业务场景。 支付宝进入‘刷脸’时代

                                                                                      图三:生物识别核身架构


自2015年人脸识别功能在支付宝APP上线后,已在用户登录、实名认证、找回密码、商家审核、支付风险校验等多个场景中,作为主要身份验证方式全面应用,目前已经服务几千万用户,可同时满足每分钟20万人以上的身份验证需求。同时也在网商银行的会员注册场景使用人脸识别,内测阶段辅助注册三万多人,整体真实场景自动注册与审核环节包括人脸识别、身份证识别与防伪检测以及大数据分析三个步骤,人工确认环节未发生误检,极大的提高了人工效率并降低了审核成本,同时在真实业务场景下的千万级别用户身份验证的实践成果是其它国家尚未达成的,相信未来将成为互联网身份识别与验证的主流方法。


三.结语

实践表明,与传统基于密码等身份验证方法相比,人脸识别技术在安全性、可靠性、识别性能和用户体验方面的都得到了大幅提升,对实现互联网金融场景下的远程开户、网上支付等应用具有很现实的意义。蚂蚁金服在声纹,眼纹,掌纹,笔迹等生物认证核心技术研发上也同步推进,通过多因子认证的方式增强人脸识别,达到更高的安全等级和识别精度。此外,蚂蚁金服联合国家相关机构,正在起草人脸识别技术的系列标准,进一步规范人脸识别的技术指标和要求,为业务的深入和推广提供基础参考。


综上所述,创新身份验证技术的应用是对互联网金融业务的基础性工作,是金融稳妥创新的重要技术保障。经过实践检验的身份验证中的创新技术,是对传统身份验证方法在技术上的改进和提高,而不是对传统金融稳妥性的颠覆。新技术的应用有助于提高群众服务的便捷性,并且保证业务上更加安全、可靠。除此之外,这些创新技术的实践,还可以带动其它行业的类似业务场景,从而在全社会范围内促成更广泛的工作流程改进和社会成本节约。

参考文献:
【1】人民银行,《非银行支付机构网络支付业务管理办法》,2015年12月
【2】中国信息安全,《人脸识别新技术准确率超肉眼》,2014年7月

上一篇:RSS 2016研讨会随想:质疑者是正确的吗——深度学习在机器人领域的局限和潜力都在哪里?


下一篇:C#编程-124:复制多媒体文件