摘? ?要：隨著金融科技的蓬勃發(fā)展，生物識別技術(shù)在金融領(lǐng)域身份認證應(yīng)用逐漸深入、場景不斷拓展，有效提升了金融服務(wù)質(zhì)量。本文對金融領(lǐng)域常用的身份認證技術(shù)進行對比，分析生物識別技術(shù)金融應(yīng)用存在的隱私泄露、活體攻擊等風險問題，提出要在加強隱私保護、固守安全底線的前提下，不斷健全生物識別金融應(yīng)用配套機制，充分發(fā)揮生物識別技術(shù)優(yōu)勢。

關(guān)鍵詞：生物識別;金融業(yè);身份認證

中圖分類號：F832.0? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-0017-2019（5）-0057-04

金融科技的快速發(fā)展，助力金融服務(wù)的可得性和覆蓋面顯著提升。身份認證作為金融服務(wù)的首道防線，是金融消費者資金和信息安全的重要保障，安全、便捷的身份認證方式是金融業(yè)健康發(fā)展的必然要求。生物識別作為人工智能細分領(lǐng)域，經(jīng)過幾年的發(fā)展，算法速度和安全性能不斷提升，指紋識別、虹膜識別、人臉識別、聲紋識別等生物識別技術(shù)為金融業(yè)身份認證提供了新選擇。與傳統(tǒng)身份認證方式相比，生物識別具有不會丟失和遺忘的特性，但其在隱私保護、安全性能等方面仍存爭議。

一、金融領(lǐng)域常用身份認證技術(shù)分析

（一）傳統(tǒng)身份認證技術(shù)分析

傳統(tǒng)身份認證技術(shù)根據(jù)認證要素不同主要分為三種：一是基于客戶本人知悉的要素，如靜態(tài)密碼等;二是基于客戶本人持有并特有、不可復制或不可重復利用的要素，如經(jīng)過安全認證的數(shù)字證書、電子簽名等;三是通過安全渠道生成和傳輸?shù)囊淮涡悦艽a，如短信驗證碼等。這幾種技術(shù)在可操作性、應(yīng)用成本、應(yīng)用場景和安全級別等方面各有不同，表1對目前常見的傳統(tǒng)身份識別技術(shù)進行了對比。

1.靜態(tài)密碼

靜態(tài)密碼作為最基礎(chǔ)的身份認證要素，具有無需借助外來設(shè)備、便捷高效等特性，在用戶身份認證和交易驗證等場景中廣泛應(yīng)用。但是，用戶為便于記憶，經(jīng)常會將靜態(tài)密碼設(shè)置為較簡單或與個人相關(guān)的信息，容易被破解或被社會工程攻擊。同時，由于靜態(tài)密碼應(yīng)用的普遍性，用戶可能會在不同網(wǎng)站、系統(tǒng)共用相同密碼，存在被撞庫風險進而導致連鎖反應(yīng)。

2.短信驗證碼

短信驗證碼具有方便高效、容易普及使用等特性，廣泛應(yīng)用于互聯(lián)網(wǎng)用戶身份認證或交易驗證等場景。但由于GSM（Global System For Mobile Communications）通信的語音和短信業(yè)務(wù)鑒權(quán)和加密性偏弱，短信驗證碼易被不法分子通過偽基站、偽WiFi等方式截獲盜取，且無法驗證是否用戶本人使用本人手機完成操作，給不法分子偽裝受害者提供了機會。

3.數(shù)字證書

數(shù)字證書安全性較高，且滿足《中華人民共和國電子簽名法》要求能夠保證交易的法律效力，被廣泛應(yīng)用于網(wǎng)上銀行等金融服務(wù)場景。但隨著移動互聯(lián)網(wǎng)的普及，基于安全芯片的數(shù)字證書（如藍牙盾、音頻盾等）問題逐漸凸顯：一是基于安全芯片的數(shù)字證書需要硬件支持，成本較高;二是用戶體驗差，攜帶不方便，使用門檻較高。

（二）基于生物識別的身份認證技術(shù)分析

生物特征主要包括指紋、虹膜等先天具有的生理特征，以及語音、步頻等后天形成的行為特征，具有唯一性、廣泛性、便利性、穩(wěn)定性等特點。生物識別技術(shù)基于計算機、物理學、生物統(tǒng)計學等原理，通過采集待識別人生理或行為特征，與其固有特征比對以實現(xiàn)用戶身份識別。目前生物識別技術(shù)主要分為兩類，一類基于靜態(tài)生理特征進行識別，如指紋識別、人臉識別等;另一類基于動態(tài)行為特征進行識別，如聲紋識別等。每一種識別技術(shù)各具特點，表2對目前常用的幾類生物識別技術(shù)特點進行了對比分析。

1.指紋識別

隨著移動互聯(lián)技術(shù)的快速發(fā)展，以智能手機為代表的移動終端成為金融服務(wù)重要渠道，指紋識別技術(shù)開始廣泛應(yīng)用。傳統(tǒng)的指紋識別技術(shù)主要通過采集指紋圖像、提取指紋特征、匹配指紋數(shù)據(jù)等完成待識別人身份認證（其主要流程如圖1所示），具有易于采集、識別率高、使用方便等特性，被廣泛應(yīng)用于移動終端的用戶身份認證或交易驗證等場景。但同時，指紋獲取、偽造成本低，易被不法分子仿冒，且識別率會受到潮濕、干燥、臟污、油漬、脫皮等因素的影響，應(yīng)用場景拓展有所限制。

2.人臉識別

人臉識別技術(shù)通過分析提取用戶人臉圖像數(shù)字特征產(chǎn)生樣本特征項，并將其與已存儲的模板特征項進行比對以識別用戶身份（主要流程如圖2所示）。按照對比方式不同，人臉識別可分為人臉驗證和人臉辨識，人臉驗證將樣本特征項與用戶標識信息對應(yīng)的模板特征項進行比對，即1：1比對;人臉辨識將樣本特征項與指定范圍內(nèi)的所有模板特征項進行比對，即1：N比對。由于具有低成本、用戶體驗好等特點，人臉識別已被逐漸應(yīng)用于客戶端登錄、手機解鎖、小額支付等場景。但是，人臉信息屬于高度隱私，存在信息泄露風險，線上人臉識別應(yīng)用仍存爭議。

3.虹膜識別

虹膜識別技術(shù)利用虹膜穩(wěn)定性和差異性等特點，通過虹膜圖像采集、虹膜檢測、圖像預處理、特征提取、特征匹配等環(huán)節(jié)實現(xiàn)用戶身份精準識別（主要流程如圖3所示）。理論上，虹膜終身不變，安全程度高，更適合作為“密碼”，可應(yīng)用于金融保險柜、武裝押運、虹膜手機等身份認證安全要求較高的場景。盡管虹膜不容易被仿冒和偽造，但虹膜識別也存在虹膜視頻、仿真人眼等假體攻擊，也會受到美瞳、墨鏡等外界因素的影響，同時人飲酒后，眼球充血、血管擴張，可能影響虹膜識別的準確性。

4.聲紋識別

聲紋識別技術(shù)是根據(jù)待識別語音的聲紋特征識別該段語音所對應(yīng)的說話人（主要流程如圖4所示），具有低隱私性、支持雙向傳遞信號、交互便捷等特點，可應(yīng)用于登錄、轉(zhuǎn)賬、支付等金融場景。但是，聲紋易受到環(huán)境背景音嘈雜影響，抗噪音能力差，同時隨著人體年齡增長逐漸出現(xiàn)差異，導致聲紋抗時變性差，對聲紋識別系統(tǒng)設(shè)計提出較高要求。

二、生物識別身份認證應(yīng)用的典型風險與問題分析

（一）生物特征泄露風險

生物特征具有唯一性和穩(wěn)定性，部分特征可在用戶一生中基本保持不變，用戶無法像口令或介質(zhì)一樣自主變更生物特征，無法根據(jù)不同應(yīng)用場景使用不同憑據(jù)進行特征安全隔離。同時，用戶指紋、聲紋、人臉等生物特征信息被采集后，在傳輸、存儲過程中也有可能被截獲或篡改，存在較大的特征泄露安全隱患。某種生物特征一旦泄露，所有使用該特征的應(yīng)用系統(tǒng)都面臨惡意攻擊，且該風險將一直持續(xù)存在，直至特征注銷。

（二）識別性能良莠不齊

不同生物識別技術(shù)識別性能不同，同種生物識別技術(shù)因算法原理、傳感器、對象群體等不同，其識別性能也存在差異。以人臉識別技術(shù)為例，2019年1月美國NIST（National Institute of Standards and Technology）人臉識別算法測試結(jié)果顯示，在使用證件照數(shù)據(jù)集時，前20名的參賽算法都能在FAR（True Accept Rate）為百萬分之一時，保持FRR（False Reject Rate）小于2%。換用日常人臉照片集時，算法性能急劇下降，在同樣FRR下，F(xiàn)AR只能達到萬分之一。識別性能的差異對生物識別系統(tǒng)設(shè)計與場景選擇提出較高要求。

（三）活體呈現(xiàn)攻擊風險

生物識別利用傳感器采集待識別人生理數(shù)據(jù)，多數(shù)傳感器無法直接判定采集對象是否真實活體，需要結(jié)合光線、紋理等間接特征推測，影響活體檢測準確性。以指紋識別為例，目前眾多指紋識別模組可以被低成本指紋膜攻擊。對于人臉識別，通?？刹捎眉t外雙目攝像頭、深度攝像頭、結(jié)構(gòu)光等避免照片、視頻等的攻擊，但難以完全抵御制作精良的面具或頭模等活體呈現(xiàn)攻擊?；铙w呈現(xiàn)攻擊放大了生物特征泄露風險，限制了生物識別在高安全場景的獨立應(yīng)用。

（四）特征錄制重放風險

在生物特征遠程識別場景中，生物特征信息需要通過網(wǎng)絡(luò)進行傳輸。如果攻擊者提前錄制用生物特征，并完全控制手機客戶端、自助終端等生物信息采集設(shè)備，就可以在報文層面直接重放用戶生物特征信息。后臺系統(tǒng)難以判別接收的生物信息是否來自真實的傳感器實時采集結(jié)果，導致風險事件。設(shè)想以下攻擊場景，攻擊者誘使用戶視頻聊天，將視頻流剪切應(yīng)用于生物特征識別后臺，配合前期采集的身份證號等個人信息，即可冒用用戶身份完成操作。

三、生物識別技術(shù)金融應(yīng)用建議

（一）堅持物善其用，充分發(fā)揮生物識別便捷普惠優(yōu)勢

生物識別作為基于人工智能的新興身份認證手段，在便捷性、普惠性方面具有較大的優(yōu)越性。要結(jié)合金融業(yè)務(wù)實際需求，著力尋求不同生物識別技術(shù)與金融業(yè)務(wù)的契合點，最大限度發(fā)揮生物識別技術(shù)優(yōu)勢，使金融服務(wù)便捷普惠的特點深入人心。在賬戶管理方面，可探索利用合適的生物識別技術(shù)在網(wǎng)上銀行、手機銀行等渠道開立Ⅱ、Ⅲ類銀行賬戶，向用戶提供遠程登錄、賬戶激活、額度管理、密碼重置等服務(wù)，進一步推動個人銀行賬戶分類管理制度落地實施。在交易認證方面，可利用聲紋識別、虹膜識別等技術(shù)作為輔助交易認證手段，實現(xiàn)多因素交叉驗證，為用戶提供兼顧安全便捷的金融服務(wù)。在支付清算方面，建議探索基于人臉特征作為路由標識實現(xiàn)支付交易轉(zhuǎn)接清算，使用戶無需攜帶銀行卡、手機等任何實體介質(zhì)即可完成支付交易，避免遺忘或丟失的煩惱，顯著提升支付服務(wù)的便捷普惠水平。

（二）固守安全底線，切實保障金融交易用戶資金安全

安全是發(fā)展的基石。生物識別技術(shù)為用戶提供更加便捷、普惠金融服務(wù)的同時也帶來了新的風險與挑戰(zhàn)。要筑牢金融安全防線，強化生物識別技術(shù)金融應(yīng)用風險防控，保障金融交易用戶資金安全。在技術(shù)選型方面，加強技術(shù)研究，積極應(yīng)用較為成熟、安全性較高且與金融機構(gòu)自身需求相匹配、多元化的生物識別技術(shù)，做好技術(shù)安全性評估，確保生物識別技術(shù)安全性與標準符合性。在場景選擇方面，結(jié)合生物識別技術(shù)特點與金融業(yè)務(wù)特征，重點從賬戶安全、資金安全、數(shù)據(jù)安全等方面妥善選擇應(yīng)用場景，不能盲目應(yīng)用，切實提升生物識別技術(shù)金融應(yīng)用的便捷性與安全性。在風險防控方面，探索構(gòu)建多因素生物識別技術(shù)應(yīng)用模式，根據(jù)多種生物特征信息聯(lián)合判定，提升生物識別技術(shù)金融應(yīng)用的安全性，積極使用大數(shù)據(jù)、云計算、人工智能等新技術(shù)提升生物識別技術(shù)金融應(yīng)用風險技防能力。

（三）加強隱私保護，有效防范生物特征信息泄露風險

生物特征較為穩(wěn)定，用戶無法像傳統(tǒng)口令或介質(zhì)一樣進行自主變更，一旦泄露所有使用該特征的應(yīng)用系統(tǒng)都可能面臨惡意攻擊。同時，隨著生物識別系統(tǒng)從單機向云平臺遷移，生物特征數(shù)據(jù)存儲集中度變高，增加了生物特征泄露風險。要加強用戶隱私保護，防范生物特征信息泄露。一是加強交易過程中信息安全保護?？蓱?yīng)用 SE（Secure Element）和 TEE（Trusted Execution Environment）安全技術(shù)對用戶生物特征信息進行處理，提升終端運行環(huán)境的整體安全性;交易過程中對人臉等用戶生物特征數(shù)據(jù)進行加密處理，通過交易隨機數(shù)、時間因子等信息提升數(shù)據(jù)傳輸安全性，防止用戶生物特征數(shù)據(jù)被重放攻擊導致信息泄露。二是強化生物特征信息處理系統(tǒng)安全管理?？蓪τ脩粼忌锾卣餍畔⑦M行加密轉(zhuǎn)換后存儲，并將生物特征與實名信息進行安全隔離，建立生物特征信息處理系統(tǒng)的定期核查機制，多措并舉，降低生物特征信息集中存儲帶來的風險隱患，確保用戶生物特征信息安全。

（四）健全配套機制，加快建立技術(shù)應(yīng)用監(jiān)管規(guī)則體系

生物識別技術(shù)創(chuàng)新性強，在金融領(lǐng)域應(yīng)用的安全性要求高、用戶需求迫切，相關(guān)的法律法規(guī)也有待研究明確，亟需建立符合金融領(lǐng)域應(yīng)用、監(jiān)管需求的規(guī)則體系，以規(guī)范生物識別技術(shù)的金融應(yīng)用。一是完善生物特征在金融領(lǐng)域應(yīng)用的法律法規(guī)。針對生物特征信息安全和個人信息保護問題，完善網(wǎng)絡(luò)信息安全、個人信息安全、經(jīng)濟金融安全等相關(guān)法律法規(guī)，規(guī)范生物特征的適用范圍、技術(shù)安全和信息保護等內(nèi)容。二是加快生物識別技術(shù)金融應(yīng)用標準編制。根據(jù)各種生物識別技術(shù)的特點，制定對應(yīng)的安全標準和技術(shù)規(guī)范，明確生物特征信息采集、存儲、活體檢測等相關(guān)要求，從標準層面規(guī)范生物特征在金融領(lǐng)域的使用。三是建立檢測認證和安全分級體系。建議建立生物識別技術(shù)金融應(yīng)用的檢測認證體系，根據(jù)不同生物識別技術(shù)的安全等級進行分級分類管理，滿足人民群眾對生物識別技術(shù)的多樣化需求。四是加強生物識別技術(shù)金融應(yīng)用相關(guān)的信息系統(tǒng)、業(yè)務(wù)類型、應(yīng)用終端等的日常監(jiān)管，確保生物特征數(shù)據(jù)和信息系統(tǒng)的標準復合性和系統(tǒng)安全性，健全生物識別技術(shù)金融應(yīng)用的監(jiān)管體系，引導生物識別技術(shù)在金融領(lǐng)域的健康合理應(yīng)用。

參考文獻

[1]李偉.推動生物識別技術(shù)在金融領(lǐng)域安全規(guī)范應(yīng)用[J].中國信息安全，2019，（02）：65-67.

[2]李瑩.基于銀行渠道的生物識別身份認證技術(shù)應(yīng)用安全分析[J].中國信息化，2018，（09）：75-76.

[3]吳彩霞.金融領(lǐng)域生物識別技術(shù)應(yīng)用探析[J].金融理論與實踐，2018，（12）：61-66.

[4]于成麗，劉浩.生物識別技術(shù)的發(fā)展應(yīng)用及安全問題研究[J].保密科學技術(shù)，2018，（05）：28-31.

[5]嚴繼先.虹膜識別技術(shù)在金融領(lǐng)域的應(yīng)用前景淺析[J].北方金融，2018，（12）：66-68.

Research on Biometric Identity Authentication in the Financial Industry

REN Zhaolin

（Xian Branch PBC， Xian Shaanxi 710075）

Abstract： With the development of fintech， the application of biometric technology in the financial field has gradually deepened，and the scene has been continuously expanded， effectively improving the quality of financial services. This paper focus on comparing the commonly used identity authentication technologies in the financial field， analyzes risk issues in biometric technology application such as privacy leakage and bio-attack， and proposes to continuously improve the supporting mechanism of bio-information financial application under the premise of strengthening privacy protection and adhering to the security bottom line， thereby giving full play to the advantages of biometric technology.

Keywords： Biometrics; Financial Industry; Identity Authentication

責任編輯、校對：王兆華

收稿日期：2019-3

作者簡介：任兆麟（1992.6-），男，山西大同人，碩士，現(xiàn)供職于中國人民銀行西安分行。