2017年,肯德基開設了全球首家刷臉支付餐廳。截至今年3月,支付寶4.5億使用者中已有超過1.5億使用者使用過人臉識別功能……這些對安全性和技術能力要求最高的支付交易場景背後,是螞蟻金服提供的金融級人臉識別驗證技術。
前言
身份驗證是整個數字金融的重要環節,要做到從實名到實人,人臉識別驗證在這裡起到了很重要的作用。作為新興事物,“刷臉”驗證和“刷臉”支付在給人們的金融生活帶來便利的同時,實質也提升了安全驗證的效率,它給我們帶來全新的金融服務體驗,極大地推動了數字金融發展。去年2月21日,螞蟻金服“刷臉支付”被世界權威《麻省理工科技評論》(MIT Technology Review)評為“2017 年全球十大突破性技術”。
人臉識別作為AI的應用領域之一,研發中的演算法、引數都是通過資料實現優化,以及感測器硬體、多因子結合等技術手段配合。這是一個不斷迭代的過程。在安全性要求極高的金融行業中,“刷臉”驗證支付如何確保金融級的精準度?如何在非面對面情況下確保生物特徵來自於真人?如何在反欺詐場景中嚴守安全的大門?三大問題決定了其對金融究竟是機遇還是挑戰。
近日,螞蟻佐羅亮相Maker Faire杭州創新論壇,與一眾科技創新者分享了螞蟻金服“刷臉支付”技術的最新應用和進展,並探討更多生物識別技術發展的路徑和方向。
1000倍資損降低:數字服務時代的“刷臉”身份驗證
在數字時代,我們每天都需要向各種移動裝置和線上服務來回答“你是誰”的問題。過去,我們回答這個問題的主要方式是密碼和簡訊驗證碼,但這些方式暗含太多安全隱患,比如黑客攻擊截獲簡訊、多平臺同密碼造成的脫庫和撞庫事件等。如今,越來越多的新技術讓我們自己本人就可以回答這些問題,比如指紋識別、人臉識別和聲紋識別,以實現更加簡單、更加安全的信任關係。
數字身份驗證除了解決“一對一”的識別,即證明“你是你”的問題,更重要的是解決“一對多”的識別問題:當你在某個場景想買某件物品,但什麼都沒有帶,只是人到了,這時候就必須通過人臉搜尋和識別來證明你是某一個帳戶的擁有者。所以要驗證的不僅是“你是你”,同時要從非常多的人中識別出你。
一方面,選擇“刷臉”識別是基於使用者的非接觸式體驗,這不同於指紋識別;另外,人臉照片可以拿來與證件上的照片、以及本人進行交叉比對。而為了加強安全保障,雙因子校驗必不可少。因為刷臉的過程中也會掃描識別眼部特徵,使用者體驗是非常自然的。市場上有一些與聲紋相結合的,這也是雙因子的校驗,不過這個體驗跟掃臉結合掃眼這樣的雙因子比要差,受聲音環境影響較大。
另一方面,由於深度學習、大資料等的發展,極大地幫助我們優化背後的人工智慧技術、演算法等,讓人臉識別技術在過去幾年得到了飛速的提升。螞蟻金服資深演算法專家李亮介紹,目前機器人臉識別的能力,到了可以在人類肉眼都識別不出的變化,或者模糊的物件中,精準識別出目標的程度。
螞蟻金服擁有先進的身份可信識別技術,將“刷臉”定位為金融級的人臉識別驗證:準確度極高,錯誤率降低在百萬分之一的水平,它通過軟體演算法與資料的融合達到硬體級的精準度,而且普適性更好;具有極高安全性,獨有的活體和眼紋等專利技術防止各種照片、視訊、3D軟體等偽造冒用。
在更高精準度的基礎上,“刷臉”核身帶來的是更高的安全性。
舉個例子,如果一位支付寶使用者他的手機丟了,手機丟失之後,當欺詐者進進入到的支付寶,併發起轉賬,這時候支付寶的風控引擎會發現這筆交易不正常,可能是一筆風險交易,並因此發起人臉校驗的風控手段。當人臉校驗失敗了,就會阻止交易,保護使用者的帳戶,所以這是人臉識別驗證帶來的更安全的保護,保護使用者的資金。
使用“刷臉”核身對商家、企業同樣是更好的風控保護。據統計,使用“刷臉”驗證技術後,商家資損率可降低1000倍,僅每月驗證簡訊可減少10000條。
“刷臉”核身應用於金融領域已成為全球一大趨勢。而未來,不僅在金融領域,數字化轉型將是經濟生活的必然趨勢。在通往未來數字經濟的路上,“你”還是開啟未來大門的鑰匙。
據瞭解,目前人臉識別技術已經廣泛應用在螞蟻金服的各類金融和生活服務場景,向億萬支付寶使用者提供了超過30億次刷臉驗證服務。除了在肯德基實現全球首個刷臉支付商用,也應用於公積金查詢,養老金領取等政務場景,刷臉取快遞和酒店入住等生活場景,今年螞蟻金服還正在將刷臉支付技術大規模應用於自助收銀、智慧售貨機等新零售場景。
人臉識別的未來發展與關鍵技術
金融級身份驗證技術能力區別於網際網路級別的識別能力,因為直接與金融資產和服務掛鉤,其準確率、安全性和穩定性要求更高。目前,螞蟻金服“刷臉”錯誤率已經低至百萬分之一,但未來仍舊是長期動態的螺旋式上升過程,需要持續的基礎研發投入保駕護航。
這些關鍵的技術領域,總結起來包括:更逼近100%的準確率、多因子校驗、資訊保安保護、活體檢測等。具體來看:
1.深度學習打通生物識別“任督二脈”,不斷逼近100%的準確率
近年來得益於深度學習的迅速發展,我們可以基於神經網路讓機器模擬出人類大腦的學習過程,並通過神經網路模型和海量的圖片資料進行訓練。這對於生物識別的成效顯而易見,從以前的70%、80%的準確率提升至近兩年的99.6%甚至99.7%,具備大規模商用條件。
深度學習到底有什麼作用呢?試想下,我們用肉眼識別“你是誰”的過程中(更精確的說是“你長得像我認識的那誰誰”的甄別過程)存在哪些困難?一是人臉的角度、光線、表情、年齡、化妝、遮擋、照片質量等會影響我們的判斷;二是隨著我們“交際圈”的擴大(即資料庫樣本增大),兩個不同人長得像的概率會快速上升。這兩點對於從前不會思考的計算機而言是致命的,而深度學習則讓計算機更聰明,能自己克服這些困難。
舉例來說,我們的演算法起初對於眼鏡的識別,特別是黑框眼鏡有很大機率識別不準確。但是當資料集累積到海量不同的鏡框後,機器就能學習出到底什麼樣的鏡框有什麼樣的影響,以及他們之間細微的差異,甚至我們後來還可以模擬出各種各樣的鏡框,如此可以確保對戴眼鏡的人臉具有極高的識別率。
眾所周知,通過深度學習,Alphago的棋技飛速提升,在短期內超越世界頂級棋手。而生物識別領域,也可藉助深度學習的幫助打通“任督二脈”,未來將不斷逼近100%的準確率。
2.交叉驗證方式進一步提升識別率,即使是雙胞胎也“判若兩人”
在金融等對誤識別率容忍極低的領域中,單一識別要素即使精準度再高可能仍會有漏網之魚,因此需要結合多因子綜合驗證。例如在同卵雙胞胎這一最極端的場合,使用人臉識別單一驗證要素將難以勝任,這也是線上下面對面的業務辦理中所難以克服的問題。而運用我們獨創研發的眼紋識別技術則完全可以克服這一點。
眼紋識別,又稱為眼靜脈識別,讓使用者無需額外硬體裝置,只需普通智慧手機攝像頭並在可見光環境下采集使用者眼白上的血管紋理特徵,就可精確區分不同使用者,實驗證明當使用者的眼紋模板積累足夠時,深度學習技術讓眼紋識別準確率接近虹膜級別的準確率(大於99.99%)和亞秒級識別速度。
除此之外,其他生理特徵識別(如指紋)和行為特徵識別(如擊鍵,即使用鍵盤時的按鍵力度和頻度)也是參與交叉驗證的生物特徵。每增加一道特徵因子,錯誤識別的概率就將大幅縮小,如此可確保生物識別在精確度上達到金融級的要求。
3.多模態識別:脫離“活體檢測”的生物識別技術都是紙老虎
不少科幻片中都曾出現特工拿著照片或視訊等方法“騙”過生物識別的橋段。在現實生活中,能夠分辨真人與照片、視訊區別的活體檢測是最核心的技術,也是生物識別必須解決的問題。
活體檢測的演算法目前已趨於成熟,一類是與感測器相關的解決方案,一類是純軟體的方法。例如,指紋識別是通過電容、電感感測器來檢測是否是活體、是否真實;虹膜識別是通過紅外攝像頭來完成識別活體的。對人臉識別而言,將紅外攝像頭等裝置部署於手機上難以實現,因此我們通過研發軟體演算法實現基於動作互動和影像分析的識別模型。動作互動識別模型讓使用者完成眨眼、搖頭、張嘴等隨機動作,從中檢測動作的連續性,確保照片不可能通過;針對軟體模擬或者視訊剪輯來產生預定的動作,我們則使用基於影像分析的識別模型來分辨正常影像與模擬、剪輯影像之間的差別。
此外,螞蟻金服引入眼紋識別技術結合採用針對眼部區域專門研發的活體檢測專利技術,也能夠有效抵抗人臉照片和視訊攻擊。
4.“眼”“腦”並用——生物識別與大資料風控技術構築的雙保險
安全是一場攻防戰,生物識別技術提高安全壁壘的同時,黑色產業鏈也想方設法攻破這一防線。除了生物識別技術外,螞蟻金服也構建基於大資料技術的實時安全決策系統,通過地理位置、裝置指紋、消費習慣等多維因素形成綜合的決策,以此進一步完善對使用者的身份核實——而這一切的決策過程,都發生在一眨眼之間,這是幫助實現“活體檢測”的另一種手段。
事實上,螞蟻在活體檢測這一塊研發的工作量要遠遠超過人臉比對過程。因為金融場景下涉及資金損失,利益是非常大的,所以黑色產業鏈會想盡各種辦法進行攻擊,比如運用照片、視訊軟體,甚至包括市面上越來越多的換臉軟體或者是二維、三維人臉建模軟體。如果沒有活體檢測的保障,我們是無法把這項技術大規模應用於金融級的。
基本市場上所有的攻擊方式,自“刷臉”服務上線以來,螞蟻都經歷過,現在每天都會攔截甚至上千的攻擊量,有些是惡意的,而有些只是使用者去試著玩的。這也是一個動態的過程,所謂動態的過程就是指持續的攻防過程。黑色產業鏈會根據我們的技術進行研究從而提升攻擊能力,那我們反過來也要提升防攻擊能力、識別能力,這是一個持續攻防和不斷改進的過程。
5.“閱後即焚”的“天書”讓資訊竊取者無從下手
使用者隱私保護是生物識別需要跨越的第三道門檻。為此,生物識別必須對生物特徵進行資料加密和脫敏,確保即使資料洩露,也無法被還原。
以人臉識別為例,肖像即是使用者隱私,但在技術實現上,使用者的“肖像”並不存在,通過對生物特徵進行多重加密和脫敏後,通過網路傳輸和在伺服器端進行儲存和比對的僅僅是一長串數字密碼,由於擁有核心智慧財產權的的人臉影像脫敏技術和非對稱金鑰的作用,即使這串密碼被洩露,也不過是沒人能懂的“天書”,無法還原為使用者的“肖像”。
此外,這一長串密碼本身具有令牌(Token)屬性,也就是說只要被使用過一次或者經過幾分鐘時間,這串密碼就失去作用,是名副其實的“閱後即焚”。
結語
未來,隨著5G時代來臨,移動網際網路的深入發展,數字化服務將普及、“刷臉支付“等黑科技也將深入到人們日常生活中。為了幫助更多使用者解決數字身份驗證這一問題,迎接新的時代變化,目前,螞蟻佐羅全球可信身份平臺也加速科技開放步伐,支援全球移動支付身份驗證,以幫助更多機構加快實現數字化轉型。