行業背景:隨著傳統金融業務的互聯網化以及新型互聯網金融業務的出現,作為金融業務開展基礎的用戶身份核實和認證需求快速增長,尤其是基於移動互聯網如何實現安全、可靠、便捷的電子身份認證技術已成為金融從業各方關注的重點。
當前問題:傳統的基於密碼口令、令牌Token的認證模式由於其易被遺忘或不易攜帶等原因已經漸漸不能滿足當前金融行業的需求。
解決措施:以指紋識別、人臉識別為代表的生物特徵識別技術伴隨著移動互聯網、移動智能終端技術的快速發展得到迅速推廣和應用。目前,生物特徵識別技術已經基本成為移動智能終端的標準配置,其自然的人機交互方式、安全便捷的使用體驗,逐漸成為了金融業務中新型用戶身份核實和認證的發展方向。
“早在2010年8月,波蘭BPSSA銀行開始引入採用指靜脈識別技術到自動取款機上。2014年9月,螞蟻金服在國內率先推出了基於指紋識別的免密支付方案,並隨後聯合產業鏈各方成立了互聯網身份認證聯盟(Internet Finan-cial Authentication Alliance,簡稱IFAA)共同研究和推廣基於生物特徵識別技術的新型身份認證安全解決方案。2015年6月,互聯網銀行如網商銀行、微眾銀行推出基於人臉識別的遠程開戶輔助用戶身份認證解決方案。目前,生物特徵識別技術在金融領域的典型應用場景包括輔助進行遠程開戶、賬戶管理、支付確認等。”
典型的應用場景及模式
總體來看,生物特徵識別技術在金融行業中的應用模式可以分為遠程認證模式和本地認證模式。
在遠程認證模式下,生物特徵識別的完整過程需在用戶接入設備側和服務器側共同完成,在用戶接入設備側主要完成對用戶的生物特徵進行採集,並傳遞到身份認證服務器,在服務器側完成對用戶生物特徵的存儲和比對並輸出識別結果。一種典型的應用場景就是輔助進行遠程賬戶開立,如圖1所示:
圖1基於生物特徵識別技術的遠程開戶示意圖
流程簡介
1.用戶通過金融應用客戶端提交個人基本信息、身份證件、銀行卡信息等請求進行遠程開戶。
2.金融應用調起生物特徵認證器,發起遠程特徵身份認證流程,在用戶接入設備側採集用戶生物特徵信息,並同時進行質量判斷和活體攻擊檢測等預處理後,通過加密等安全保護措施送至服務器側;
3.服務器結合用戶提交的身份信息,以及採集到的用戶生物特徵信息,送至公安部身份核查系統進行證件信息確認以及基於公安部權威生物特徵數據庫進行用戶生物特徵比對,以進行實人、實證校驗。
4.金融應用服務器基於比對結果和風控分析來決定是否為用戶開立賬戶。
在上述流程中,目前業內實際應用中,主要是通過公安系統的人臉識別身份驗證庫來解決了實人驗證問題。
在本地模式下,生物特徵識別的完整過程只發生在用戶接入設備側,不會將用戶的生物特徵信息傳遞到服務器側進行分析、處理或存儲。按照是否依賴於直接使用生物特徵作為鑑別憑據,本地模式可分為生物特徵直接作為鑑別憑據和生物特徵間接作為鑑別憑據的技術模式。生物特徵直接作為身份認證鑑別憑據的模式下,金融應用一般依賴於在用戶接入設備側中的本地生物特徵識別結果進行相應的操作授權,如應用登錄等;生物特徵間接作為身份認證鑑別憑據的模式下,金融應用一般依賴於在身份認證註冊環節中身份認證服務器為用戶發行的鑑別憑據對用戶進行身份認證,一種典型的應用場景是指紋支付交易確認,如圖2所示。
其流程一般可分為指紋支付註冊和指紋支付驗證兩個流程。用戶首先通過移動支付客戶端發起註冊請求,移動支付應用服務器指定所支持的生物特徵識別類型。
圖2基於生物特徵識別的指紋支付示意圖
移動支付應用
1.調用身份認證可信應用,選擇指紋識別系統並對用戶進行驗證。
2.驗證通過後,身份認證可信應用生成用戶鑑別密鑰對。
3.身份認證可信應用使用設備認證密鑰的私鑰對用戶鑑別密鑰公鑰和其他信息如指紋模板索引信息進行簽名,連同設備認證公鑰證書一塊發送至移動支付應用服務器。
4.移動支付應用服務器將信息轉發至身份認證服務器,在驗證設備認證公鑰證書合法性後,利用證書中的設備認證公鑰對簽名進行驗證,通過驗證後,提取用戶鑑別密鑰等信息,並將註冊關係保存,返回身份認證註冊結果。
註冊成功後,用戶可以通過移動支付客戶端發起支付請求。移動支付應用首先與移動支付服務器交互,確認是否可進行移動支付。
身份認證
1.要求用戶在本地進行指紋驗證。
2.通過指紋驗證後,身份認證可信應用調用本地存儲的用戶鑑別密鑰私鑰對交易信息進行簽名後,經移動支付應用發送至移動支付應用服務器。
3.移動支付應用服務器將認證信息發送至身份認證服務器進行驗證,返回驗證結果。
應用中存在的問題及解決思路
不過,由於其自身技術特點,生物特徵識別技術在金融領域的應用過程中也引起了人們對於風險的擔憂,例如:如果解決用戶生物特徵信息的安全保護問題,如何解決其安全可靠性問題如應對活體攻擊等。
金融業務傳統的密碼口令、令牌、短信驗證等驗證方式,雖然容易遺忘或被人竊取,但丟失後還可以選擇重置修改。但用戶的生物特徵信息本身並不是保密的,有些類型的用戶生物特徵可能會較為容易被獲取和盜用,如人的指紋可以從觸摸過物體表面提取出來、人臉特徵也可從公開的照片中提取等。用戶生物特徵信息屬於用戶的固有特徵,被盜用之後不像密碼口令可以被輕易修改,洩露之後造成的危害更為嚴重,影響更為長遠。目前,關於生物特徵信息保護,國際標準化組織已經制定相關的技術標準ISO/IEC 24745,從生物特徵信息的採集、處理、存儲、識別、更新、刪除等全鏈條進行安全分析和威脅建模,並提出具體的保護措施,為產業從業各方制定完善的用戶生物特徵保護策略提供指導。
安全可靠性方面,一方面,單一的生物特徵識別技術可能並不會對所有用戶都適用,比如有些用戶因先天或後天原因缺乏指紋特徵無法使用指紋識別技術等;另一方面,由於有些類型的用戶生物特徵可能會較為容易被獲取,生物特徵識別身份認證系統也會受到各種各樣的哄騙攻擊,諸如使用指模可能會成功入侵指紋識別系統,使用高分辨率的臉部圖片或者人臉三維面具可能會騙過人臉識別系統等。目前,業內一般採取多模態技術來提升生物特徵識別應用的安全可靠性。多模態生物特徵識別是指整合或融合兩種及兩種以上生物識別特徵,利用多重生物識別技術的獨特優勢,並結合數據融合技術,使得認證和識別過程更加精準、安全。與單一生物識別方式相比,多模態生物特徵識別主要優點在於三個方面:首先,已經證明利用多個生物特徵融合可以提高身份識別的正確率;其次,利用多個生物特徵可以拓寬生物特徵識別系統的應用人群範圍;最後,從防偽的角度,偽造多個生物特徵的難度遠遠大於偽造單一的生物特徵。
融合多模態信息的方法主要有兩種:決策層的融合和特徵層的融合。決策層的融合技術是先把各個模態的信息提取出來,輸入相應的分類器得到單模態識別結果,然後用規則的方法將單模態的結果綜合起來,得到最終的識別結果;特徵層的融合方法則是將各個模態的信息提取出來,將這些信息組成一個統一的特徵向量,然後再輸入到分類器中,得到最終的識別結果。這兩種方法各有優缺點,需要結合具體應用解決方案進行選擇。
總結及建議
生物特徵識別技術能夠提供一種安全、便捷的用戶身份認證實現方式,目前已經具備了大規模應用的行業基礎,在金融行業有廣闊的應用前景。不過,目前在金融行業還因存在對生物特徵信息保護、活體攻擊等的擔憂,而導致了進一步推廣應用的障礙。
為了更好地促進金融行業生物特徵身份認證產業發展,建議:一是結合金融行業特點,從明確金融使用場景、規範底層技術、制定安全要求、建立市場準入規則等多個維度進行相關標準體系建設,並通過檢測認證體系確保行業健康有序發展;二是進一步完善相關法規制度建設,明確相關方的責任和義務,確保用戶生物特徵信息和隱私安全;三是結合人工智能、雲計算、傳感器技術等的快速發展,進一步推動活體攻擊檢測等關鍵技術的研究和升級,並快速實現產業化應用。
閱讀更多 RFID世界網 的文章
