小蚂蚁说:
2017 年,肯德基开设了全球首家刷脸支付餐厅。截至今年 3 月,支付宝 4.5 亿用户中已有超过 1.5 亿用户使用过人脸识别功能……这些对安全性和技术能力要求最高的支付交易场景背后,是蚂蚁金服提供的金融级人脸识别验证技术。
身份验证是整个数字金融的重要环节,要做到从实名到实人,人脸识别验证在这里起到了很重要的作用。作为新兴事物,“刷脸”验证和“刷脸”支付在给人们的金融生活带来便利的同时,实质也提升了安全验证的效率,它给我们带来全新的金融服务体验,极大地推动了数字金融发展。去年 2 月 21 日,蚂蚁金服“刷脸支付”被世界权威《麻省理工科技评论》(MIT Technology Review)评为“2017 年全球十大突破性技术”。
人脸识别作为 AI 的应用领域之一,研发中的算法、参数都是通过数据实现优化,以及传感器硬件、多因子结合等技术手段配合。这是一个不断迭代的过程。在安全性要求极高的金融行业中,“刷脸”验证支付如何确保金融级的精准度?如何在非面对面情况下确保生物特征来自于真人?如何在反欺诈场景中严守安全的大门?三大问题决定了其对金融究竟是机遇还是挑战。
近日,蚂蚁佐罗亮相 Maker Faire 杭州创新论坛,与一众科技创新者分享了蚂蚁金服“刷脸支付”技术的最新应用和进展,并探讨更多生物识别技术发展的路径和方向。
1000 倍资损降低:数字服务时代的“刷脸”身份验证
在数字时代,我们每天都需要向各种移动设备和在线服务来回答“你是谁”的问题。过去,我们回答这个问题的主要方式是密码和短信验证码,但这些方式暗含太多安全隐患,比如黑客攻击截获短信、多平台同密码造成的脱库和撞库事件等。如今,越来越多的新技术让我们自己本人就可以回答这些问题,比如指纹识别、人脸识别和声纹识别,以实现更加简单、更加安全的信任关系。
数字身份验证除了解决“一对一”的识别,即证明“你是你”的问题,更重要的是解决“一对多”的识别问题:当你在某个场景想买某件物品,但什么都没有带,只是人到了,这时候就必须通过人脸搜索和识别来证明你是某一个帐户的拥有者。所以要验证的不仅是“你是你”,同时要从非常多的人中识别出你。
一方面,选择“刷脸”识别是基于用户的非接触式体验,这不同于指纹识别;另外,人脸照片可以拿来与证件上的照片、以及本人进行交叉比对。而为了加强安全保障,双因子校验必不可少。因为刷脸的过程中也会扫描识别眼部特征,用户体验是非常自然的。市场上有一些与声纹相结合的,这也是双因子的校验,不过这个体验跟扫脸结合扫眼这样的双因子比要差,受声音环境影响较大。
另一方面,由于深度学习、大数据等的发展,极大地帮助我们优化背后的人工智能技术、算法等,让人脸识别技术在过去几年得到了飞速的提升。蚂蚁金服资深算法专家李亮介绍,目前机器人脸识别的能力,到了可以在人类肉眼都识别不出的变化,或者模糊的对象中,精准识别出目标的程度。
蚂蚁金服拥有先进的身份可信识别技术,将“刷脸”定位为金融级的人脸识别验证:准确度极高,错误率降低在百万分之一的水平,它通过软件算法与数据的融合达到硬件级的精准度,而且普适性更好;具有极高安全性,独有的活体和眼纹等专利技术防止各种照片、视频、3D 软件等伪造冒用。
在更高精准度的基础上,“刷脸”核身带来的是更高的安全性。
举个例子,如果一位支付宝用户他的手机丢了,手机丢失之后,当欺诈者进进入到的支付宝,并发起转账,这时候支付宝的风控引擎会发现这笔交易不正常,可能是一笔风险交易,并因此发起人脸校验的风控手段。当人脸校验失败了,就会阻止交易,保护用户的帐户,所以这是人脸识别验证带来的更安全的保护,保护用户的资金。
使用“刷脸”核身对商家、企业同样是更好的风控保护。据统计,使用“刷脸”验证技术后,商家资损率可降低 1000 倍,仅每月验证短信可减少 10000 条。
“刷脸”核身应用于金融领域已成为全球一大趋势。而未来,不仅在金融领域,数字化转型将是经济生活的必然趋势。在通往未来数字经济的路上,“你”还是开启未来大门的钥匙。
据了解,目前人脸识别技术已经广泛应用在蚂蚁金服的各类金融和生活服务场景,向亿万支付宝用户提供了超过 30 亿次刷脸验证服务。除了在肯德基实现全球首个刷脸支付商用,也应用于公积金查询,养老金领取等政务场景,刷脸取快递和酒店入住等生活场景,今年蚂蚁金服还正在将刷脸支付技术大规模应用于自助收银、智能售货机等新零售场景。
人脸识别的未来发展与关键技术
金融级身份验证技术能力区别于互联网级别的识别能力,因为直接与金融资产和服务挂钩,其准确率、安全性和稳定性要求更高。目前,蚂蚁金服“刷脸”错误率已经低至百万分之一,但未来仍旧是长期动态的螺旋式上升过程,需要持续的基础研发投入保驾护航。
这些关键的技术领域,总结起来包括:更逼近 100%的准确率、多因子校验、信息安全保护、活体检测等。具体来看:
1.深度学习打通生物识别“任督二脉”,不断逼近 100%的准确率
近年来得益于深度学习的迅速发展,我们可以基于神经网络让机器模拟出人类大脑的学习过程,并通过神经网络模型和海量的图片数据进行训练。这对于生物识别的成效显而易见,从以前的 70%、80%的准确率提升至近两年的 99.6%甚至 99.7%,具备大规模商用条件。
深度学习到底有什么作用呢?试想下,我们用肉眼识别“你是谁”的过程中(更精确的说是“你长得像我认识的那谁谁”的甄别过程)存在哪些困难?一是人脸的角度、光线、表情、年龄、化妆、遮挡、照片质量等会影响我们的判断;二是随着我们“交际圈”的扩大(即数据库样本增大),两个不同人长得像的概率会快速上升。这两点对于从前不会思考的计算机而言是致命的,而深度学习则让计算机更聪明,能自己克服这些困难。
举例来说,我们的算法起初对于眼镜的识别,特别是黑框眼镜有很大几率识别不准确。但是当数据集累积到海量不同的镜框后,机器就能学习出到底什么样的镜框有什么样的影响,以及他们之间细微的差异,甚至我们后来还可以模拟出各种各样的镜框,如此可以确保对戴眼镜的人脸具有极高的识别率。
众所周知,通过深度学习,Alphago 的棋技飞速提升,在短期内超越世界顶级棋手。而生物识别领域,也可借助深度学习的帮助打通“任督二脉”,未来将不断逼近 100%的准确率。
2.交叉验证方式进一步提升识别率,即使是双胞胎也“判若两人”
在金融等对误识别率容忍极低的领域中,单一识别要素即使精准度再高可能仍会有漏网之鱼,因此需要结合多因子综合验证。例如在同卵双胞胎这一最极端的场合,使用人脸识别单一验证要素将难以胜任,这也是在线下面对面的业务办理中所难以克服的问题。而运用我们独创研发的眼纹识别技术则完全可以克服这一点。
眼纹识别,又称为眼静脉识别,让用户无需额外硬件设备,只需普通智能手机摄像头并在可见光环境下采集用户眼白上的血管纹理特征,就可精确区分不同用户,实验证明当用户的眼纹模板积累足够时,深度学习技术让眼纹识别准确率接近虹膜级别的准确率(大于 99.99%)和亚秒级识别速度。
除此之外,其他生理特征识别(如指纹)和行为特征识别(如击键,即使用键盘时的按键力度和频度)也是参与交叉验证的生物特征。每增加一道特征因子,错误识别的概率就将大幅缩小,如此可确保生物识别在精确度上达到金融级的要求。
3.多模态识别:脱离“活体检测”的生物识别技术都是纸老虎
不少科幻片中都曾出现特工拿着照片或视频等方法“骗”过生物识别的桥段。在现实生活中,能够分辨真人与照片、视频区别的活体检测是最核心的技术,也是生物识别必须解决的问题。
活体检测的算法目前已趋于成熟,一类是与传感器相关的解决方案,一类是纯软件的方法。例如,指纹识别是通过电容、电感传感器来检测是否是活体、是否真实;虹膜识别是通过红外摄像头来完成识别活体的。对人脸识别而言,将红外摄像头等设备部署于手机上难以实现,因此我们通过研发软件算法实现基于动作交互和图像分析的识别模型。动作交互识别模型让用户完成眨眼、摇头、张嘴等随机动作,从中检测动作的连续性,确保照片不可能通过;针对软件模拟或者视频剪辑来产生预定的动作,我们则使用基于图像分析的识别模型来分辨正常图像与模拟、剪辑图像之间的差别。
此外,蚂蚁金服引入眼纹识别技术结合采用针对眼部区域专门研发的活体检测专利技术,也能够有效抵抗人脸照片和视频攻击。
4.“眼”“脑”并用——生物识别与大数据风控技术构筑的双保险
安全是一场攻防战,生物识别技术提高安全壁垒的同时,黑色产业链也想方设法攻破这一防线。除了生物识别技术外,蚂蚁金服也构建基于大数据技术的实时安全决策系统,通过地理位置、设备指纹、消费习惯等多维因素形成综合的决策,以此进一步完善对用户的身份核实——而这一切的决策过程,都发生在一眨眼之间,这是帮助实现“活体检测”的另一种手段。
事实上,蚂蚁在活体检测这一块研发的工作量要远远超过人脸比对过程。因为金融场景下涉及资金损失,利益是非常大的,所以黑色产业链会想尽各种办法进行攻击,比如运用照片、视频软件,甚至包括市面上越来越多的换脸软件或者是二维、三维人脸建模软件。如果没有活体检测的保障,我们是无法把这项技术大规模应用于金融级的。
基本市场上所有的攻击方式,自“刷脸”服务上线以来,蚂蚁都经历过,现在每天都会拦截甚至上千的攻击量,有些是恶意的,而有些只是用户去试着玩的。这也是一个动态的过程,所谓动态的过程就是指持续的攻防过程。黑色产业链会根据我们的技术进行研究从而提升攻击能力,那我们反过来也要提升防攻击能力、识别能力,这是一个持续攻防和不断改进的过程。
5.“阅后即焚”的“天书”让信息窃取者无从下手
用户隐私保护是生物识别需要跨越的第三道门槛。为此,生物识别必须对生物特征进行数据加密和脱敏,确保即使数据泄露,也无法被还原。
以人脸识别为例,肖像即是用户隐私,但在技术实现上,用户的“肖像”并不存在,通过对生物特征进行多重加密和脱敏后,通过网络传输和在服务器端进行存储和比对的仅仅是一长串数字密码,由于拥有核心知识产权的的人脸图像脱敏技术和非对称密钥的作用,即使这串密码被泄露,也不过是没人能懂的“天书”,无法还原为用户的“肖像”。
此外,这一长串密码本身具有令牌(Token)属性,也就是说只要被使用过一次或者经过几分钟时间,这串密码就失去作用,是名副其实的“阅后即焚”。
结语
未来,随着 5G 时代来临,移动互联网的深入发展,数字化服务将普及、“刷脸支付“等黑科技也将深入到人们日常生活中。为了帮助更多用户解决数字身份验证这一问题,迎接新的时代变化,目前,蚂蚁佐罗全球可信身份平台也加速科技开放步伐,支持全球移动支付身份验证,以帮助更多机构加快实现数字化转型。
本文转载自公众号蚂蚁金服科技(ID:Ant-Techfin)。
原文链接:
https://mp.weixin.qq.com/s/QLDeHvTf72FCc15JKPH7tw
评论