导语:利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。阿里声纹识别技术应用于阿里系平台的用户身份核验,可以通过声纹识别技术进行手机淘宝的密码修改,生物特征标识可以为移动端设备提供额外更多的安全性。
王炎:大家上午好。我是来自阿里巴巴集团安全部生物识别团队的王炎。下面我来给大家介绍一个时下比较热门的话题就是生物识别,就是阿里巴巴在移动端核身技术实践。我分为四个部分跟大家介绍:
第一个是生物识别简单的概况
然后讲一下在阿里巴巴我们怎么利用生物识别。
最后两个讲两个生物识别技术,一个人脸识别、一个声纹识别,在手机移动应用的情况。
<一>
这里列出了比较常见和比较常用的八种人类的生物特征,指纹跟人脸这是最常见的,现在苹果手机都已经利用这两个技术进行解锁整机了,掌型、声音、虹膜、静脉都有了,视网膜和步态这是还没有推广开来的技术。
生物特征应该具备这三个特性:
——第一个是唯一的,每一个人都是独特的。
——第二个特性它是个很稳定的,终身长期不变的,是相对稳定的特征。生物特征它跟别的钥匙、密码、磁卡这些容易丢失的不一样,因为你本人就是通行证,只要你人在生物特征就在。
——第三,如果要利用起来,那么它一定是可采集的,而且机器可以利用它进行识别,比如说人脸、虹膜可以通过摄像头采集,声音可以通过麦克风采集。
这六个生物特征我简单分析一下,从精准度,虹膜、静脉是高的,防伪最强的是静脉,防伪就是看作假能力,指纹是一般的,我们从淘宝网上可以买的纸膜,中间的四个生物特征一定会有,专业的设备才能够做到的,只有人脸和声音所有手机都可以采集到的特征。当我们应用场景是面对所有的手机用户的时候,比如说我们淘宝、支付宝、微信这些APP要安装在大众上的手机,这个时候就要人脸和声音可以进行采集。
我接下来向大家分享一下人脸和声音这两个生物特征的应用情况。人脸不管是技术还是系统方面都经历了爆发式的发展,10年成立了很多的创业公司,有大量的公司进入这个行业。这里有四个大的人脸识别公司,估值超过十亿美元。从市场角度看,也是爆发式的发展,预计有51.36亿元,从技术角度发展的相当快,识别率从74%到了92%左右。
为什么人脸的识别产品能够爆发,爆发的原因有四点,第一就是手机很普及,手机有摄像头就可以拍到人脸,这是最基础的采集设备。人脸的数据到处都有,包括证件、监控摄像头、相册、社交网络,有了大量的数据对算法的是很有利的,基于深度学习的技术会慢慢的成熟,识别率也是足够应用的,这样时候才会产生真正的商业价值。最后一点也很重要,这种生物识别技术人都可以接受,因为我们认识这个人最简单的都是通过人脸,这是跟人的感受是一致的,它会成为一种能接受的技术。
我们看最近一个多月的热点:
*8月23号首都机场决定以后安检会采用人脸识别系统
*8月30号青岛的啤酒节上利用人脸级别系统一共抓了25位网上逃犯
*9月1号支付宝在杭州肯德基餐厅采用了人脸的刷脸支付,这种支付,连手机都不会需要
*9月10号北京的公租房政策上规定,以后会装摄像头,以确保入住跟注册的人是一致的
*9月12号苹果8发布,里面宣布用人脸识别技术(faceID)代替指纹
*今年,阿里的年会用了阿里识别的技术刷脸进场
再一个是声纹,这个技术会慢慢成熟起来,10多年以前主要应用在公共领域,比如说通过电话的录音监控逃犯,最主要公安在用。15年慢慢有一些民用的产品,包括我们腾讯15年微信有了声纹锁,也有基于身份的验证服务,也是利用的声纹,科大讯飞在司法鉴定、汽车满意度调查,以及安徽的移动客服、银行都已经用声纹技术。在建行系统里面也用了声纹认证进行交易,交易次数已经超过1.4亿次。据我了解招行也在客服和APP上进行推广声纹的应用。
<二>
下面看一下我们阿里怎么利用生物识别技术的。
这里面向大家推荐我们产品叫做阿里实人认证,就是通过生物识别以及大数据的识别确保网络身份是持续有效、真实和风险低的,也就是说你注册一个帐号以后,要通过实人认证,一定知道背后用这个帐号是一个真实的人,我随时可以找到他,这就是实人认证,我的目的就通过实人认证以后能够防范身份的风险,确保身份的真实有效。
我们为什么要开发这么一个产品?主要的背景有三点:
1、首先是国家的监管
现在我们知道6月1号发布了《网络安全法》还有别的法规,规定了我们网上业务必须进行实名、实人的认证,比如微信群主现在也需要实名认证。
2、另外阿里的生态或者各个网络生态来说平台管理也需要
我们最常见的黑产、灰产会做一些违法的行为,比如说黄赌毒、刷单、水军、黄牛等等,这些行为背后一定会利用注册帐号才能做这些行为。但是如果我们 经过实人认证以后,就知道用这个帐号的背后人是谁,对这些非法的违法分子有一个很强的震慑作用,因为随时可以找到他,他就不敢干这个事。
3、如果我们对登录的用户都进行实人认证以后,可以建立相互信任的交易环境。
我们利用这个产品最终目的跟大家一起共建互联网的安全生态。我们实人认证的核心功能主要是三点,我讲一下核心点:
第一个是身份存在
当你做认证的时候需要你上传你的证件,比如身份证、照片,我们通过ocr识别技术把你的姓名、号码识别出来,这时候通过权威的官网去查验证明号码以及姓名是否真实存在,如果存在表明这个人是真实的,这个身份我们这里真实存在的。
第二步看是否真实有效,看使用者是否是真实的人
我们通过实时利用手机镜头拍照片,把这张照片跟证件照片比对,通过人脸识别技术看看是否同一个人,我们拍的照片保证是真人活人的照片。我们通过活体检测技术,保证镜头前面是一个活人,是他本人,保证了真实有效,
第三我们为了保护生态安全
还会去看看注册的这个人是否是一个有风险的人,是否已经干过什么坏事,这时候阿里最大的风险数据库,包括黑名单,包括设备信息还有手机信息,我就知道注册这个人的风险程度是怎么样的,而且进行变化情况进行动态的风险跟踪,如果发现有帐号的买卖行为,我们要让他再认证一次,来核实身份。
我们这个产品内部已经用了很久了,用了两三年时间了,经过我们实人认证的人数已经超过2亿,服务场景已经超过60多个。
——————————————————
↓ 在淘宝上开店一定是要经过实人认证的才能有开店的资格。
↓ 比如闲鱼已经推行全网的实名认证,如果你经过实人认证以后,你的人头像有一个标签表示认证过了,有了这个标签以后就给交易的双方带来一定的信任度。
↓ 再比如说阿里通信,网上买手机卡,那手机卡要开卡,那根据国家规定一定要实名制的,否则这个卡就不能用。在阿里通信买了以后有一个激活的按纽,如果是真实名制就完成了,这个手机卡就激活了,因为阿里通信获得了通信部认可唯一的网络在线的发卡渠道。
↓ 飞猪有一个在线办理签证,首先是日本,签证也是个很严肃的问题,背后一定要做过实人认证的。
↓ 还跟杭州交警、上海交警进行合作(两个app),也用了我们的实人认证,你才可以缴罚款,查违法信息等等。
——————————————————
我们这个产品目前利用的数据有这些,首先从用户体验来说,用户一次通过率达到95%。从企业角度来说自动化处理率高达96%,自动化处理很重要,这样节省了人力成本。客户体验度很高,几秒钟就可以认证完成了。再就是通过我们实人认证以后,让我们整个阿里的平台风险下降了80%。这个产品14号通过云盾实人认证正式发布。如果各位有需要的话,可以通过阿里云接入我们的产品。
。
那关于实人认证现在也做了一些应用,比如说网吧、酒店入住、机场都用了,新零售淘咖啡、百安居都在用。另外一个是声纹识别的应用,我们现在正在推广阶段,在手淘里面做一个声音的密保,具体路径还比较深,这个产品刚刚开发出来不久,现在正在推广阶段,目前能够做的业务是密码找回、密码修改、手机绑定和解绑,接下来我们会进一步的推广。
<三>
前面讲的是应用,现在再讲一下技术本身,现在人脸识别比较火,这个技术门槛越来越低,因为有了深度学习,一般来说你有足够的数据,不错的网络,识别率达到99%是很容易可以做到的,这也就是为什么最近几年涌现出大量的人脸识别的创业公司。但是这是不是就足够了呢?
如果手机中的应用,包括实人认证基于移动为主,你会发现这些不法分子会对人脸识别系统进行攻击,拿照片在镜头上晃一下,或者拿视频在镜头上播放,或者戴一个面具,骗过人脸识别系统。我们在实人认证看到一些实际的攻击案例,具体包括照片攻击,还有PPT攻击,包括事先录制的视频,还有3D软件合成,还有面具等等这些攻击行为。大家看3D软件合成,今年的315晚会报道了这个事情,记者拿着一个照片成功的骗过的人脸识别系统,原因就是它缺乏了一个重要的一环就是活体检测,活体检测的主要目的是确保镜头面前是一个真实的大活人,而不是一个照片,或者是面具或者是视频。这一点可以说在手机应用中直接决定的我们整个移动系统的人脸识别系统是否可用,但是从技术角度来说,目前来看这个活体检测技术做得还是不够好,跟实际的应用需求还是不匹配的。
接下来我重点讲一讲活体检测应该怎么去做。