注:原文发布于2015年8月13日
移动互联网技术的发展,给众多传统行业带来创新的机会,同样为金融市场变革创造难得的机遇。
用户身份认证是互联网金融发展的基石。今年三月,在德国汉诺威举办的IT展览会上,马云向德国总理默克尔和中国副总理马凯展示支付宝的“刷脸”支付,引起了人们对人脸识别技术的热议。在WOT2015 移动互联网开发者大会上,51CTO记者对蚂蚁金服高级技术专家张洁进行了专访,独家解秘褪去层层面纱之后的人脸识别技术实现的的原理、框架和工程实践。
张洁,蚂蚁金服高级专家,曾获中国国家科技进步三等奖。《Linux就是这个范儿》一书作者。带领蚂蚁金服生物识别技术团队“柒车间”参与支持宝人脸识别实名认证等项目。曾在美国、日本、加拿大和中国的多家高科技企业担任过技术总监等职,参与研发的Jack of Spades Combo卡于1999年3月获得北美权威的PC Magazine杂志的Editors' Choice奖、PC Computing MVP Finalist Award大奖。
生物识别于移动支付场景下加速普及
传统的账号+密码+短信验证码的身份验证方式已无法满足移动互联网金融下的安全需求,也不能使用户获得更好的体验。
随着深度学习、神经网络和人工智能等技术的发展,生物识别技术逐渐成熟。所谓生物识别技术就是利用人体固有的、具有唯一性的先天生物生理特征,像人脸、指纹、掌纹等,和后天形成的行为习惯,如笔迹、键盘行为,手机操作的触屏行为,甚至握手机的姿势等。来进行身份鉴定。
从应用的角度来讲,生物识别技术可以解决两类问题,身份验证和身份识别。
- 身份验证是判断待识别用户是否是他所声明的身份,只需要将输入的用户特征与数据库中所存储的该身份的模板特征相比对,是一对一的比较;
- 身份识别是利用注册用户数据库来确定待识别用户的身份,需要将输入的用户特征与库中所有的身份模板特征进行比对并给出相似度,来判别待识别用户与库中哪个身份相似度最高,是一对多的比较。
生物特征因其固有的属性不容易被仿制、盗用,使其安全性大大提高;而且生物识别的认证过程更加方便,它不需要用户再费尽心思记忆一长串密码。由此可见,生物识别技术将在移动金融领域具有更加广泛的应用场景。
人脸识别成新宠 “刷脸”真的靠谱吗?
早在十多年前,一些商业性的人脸识别系统就逐渐进入市场,但却一直处于摸索阶段,人们对其性能和准确率一直持怀疑态度。那么在众多生物识别技术中,“柒车间”为何专注于对“刷脸”的技术研究?他们如何应对“整容了怎么办双胞胎怎么办、卸妆了怎么办”等技术挑战的呢?
人脸识别技术
生物识别技术的关键是将生物特征数字化。张洁坦言,人脸识别技术采集成本较低,便利性较高,所以发展得比较迅速,但信息的稳定性和可靠性相对较弱。在移动金融领域,人脸识别技术本身的精密性和背后安全性要求,远比其他领域高得多,使之确实存在许多技术难点。
支付宝人脸识别深度学习采用的是x60人脸区域(patch)的多层卷积神经网络(CNN)。CNN有三个核心,局部感知 、全值共享、时间或空间亚采样,这三种思想的结合保证了在一定程度上获得位移、尺度和形变不变性,用这种方法学习出来的特征对提高识别率有很大好处。
多CNN结构
预处理——在人脸识别预处理的时候,首先对关键特征点检测、旋转、两眼距离的归一以及图像切割等方法进行人脸对齐;然后使用不同尺度进行多通道的归一。
信息学习——在特征关键点截取出多个人脸信息进行学习,在每个人脸区域上学习一个CNN用于提取该区域的特征。由于截取了多个人脸区域,所以对人脸对齐要求不是很高。识别特征提取后用 Joint Bayesian 分类器来判定是否来自同一个人。在训练过程中,使用Dropout 对于使用梯度法来训练网络是有必要的,如果不用Dropout 的话,学习高维度特征会带来梯度扩散,也就是过拟合问题。
训练和预测——好的算法结构建立起来后,需要有好的训练和预测的平台来驾驭它。张洁的建议是训练时适合采用GPU,而预测的时候适合采用CPU。因为训练是离线的,对稳定性和安全性要求不高,但数据量非常大,而GPU在批量运算的速度方面有很大优势。另一方面,预测是在线的,CPU方案比较成熟,可以降低运维成本,而且易于扩展。
通过数十亿张人脸图像数据的训练后,目前蚂蚁金服人脸识别系统的准确率已经居于国内外领先水平,某种程度上说,机器对人脸的识别已经超过肉眼。
#p#
人脸识别应用于移动金融领域的风险控制
人脸识别已经越来越多地被引入到金融领域,尤其是新型的移动支付业务中。虽然生物识别具有很多的安全性,但一旦出现被盗用等问题,后果很难挽回。张洁建议在应用到支付领域时,人脸识别技术主要是解决身份认证问题,要在保证安全的基础上进一步提升用户的使用体验,并分享了蚂蚁金服的实践经验。
多层次闭环安全技术体系
人脸识别技术是建立在蚂蚁金服多层次、闭环的安全技术体系之上的,具体包括终端与系统攻防保护、身份认证、风险识别与评估、风险决策与管控、核查与深度分析五个环节。这几个步骤完成之后,最终的结果会实时的反馈到技术防控环节中,不断增强这个循环的效果。
利用大数据识别可疑交易
除了通过生物特征和生物行为外,支付宝还结合用户的行为轨迹和社会关系等多维度的数据全面刻画和分析用户,有效地进行用户识别和管理。在用户利用键盘输入卡号或密码时,无痛地采集用户在各个键上的按下和抬起的时间间隔,形成了用户自己特有的一串安全秘钥。用户在没有被打扰的情况下,已经优雅地为其建立了机器学习模型,这个模型与蚂蚁金服的其他数据模型一起工作,提高了用户可信行为分析的准确性。
活体检测
活体检测是互联网人脸识别产品应用的第一道防线。用户根据系统指令交互式配合做出所要求的姿态、动作或表情,比如眨眼、左右摇头、张嘴闭嘴等来判断用户是否是活体用户,另外进一步利用三维建模技术加强防伪攻击的能力。
验证方案
在风险控制为前提下,利用“远程人脸识别+身份证件核实”方式可以实现对用户的强身份验证。用户通过网络银行提供的移动应用程序在可信环境中运行采集用户的人脸特征,利用公私钥加密和签名策略,把人脸信息/特征上传到人脸识别服务器进行比对,然后返回比对结果给移动客户端。人脸识别确保是移动设备机主本人在进行操作,并且保障强认证过程的确为用户本人办理,再通过对身份证的校验保障用户身份信息的真实有效。
生物识别未来应用场景广阔
在采访最后,张洁老师为我们展望了生物识别技术广阔的应用场景,如通过“刷脸”、掌纹认证进行人员的管理和智能监控,利用掌纹进行汽车开锁,通过脸形搭配服装,通过肤质推荐化妆品,包括类似目前非常热的“猜年龄”这样娱乐性的应用等等。
生物识别技术的发展一定会带给我们更加安全、便捷、丰富多彩的生活。虽然生物识别技术现阶段还存在诸多不足,但对未来人脸识别技术的发展空间,我们还是应该持有乐观的态度。