行業背景：隨著傳統金融業務的互聯網化以及新型互聯網金融業務的出現，作為金融業務開展基礎的用戶身份核實和認證需求快速增長，尤其是基于移動互聯網如何實現安全、可靠、便捷的電子身份認證技術已成為金融從業各方關注的重點。

　　當前問題：傳統的基于密碼口令、令牌Token的認證模式由于其易被遺忘或不易攜帶等原因已經漸漸不能滿足當前金融行業的需求。

　　解決措施：以指紋識別、人臉識別為代表的生物特征識別技術伴隨著移動互聯網、移動智能終端技術的快速發展得到迅速推廣和應用。目前，生物特征識別技術已經基本成為移動智能終端的標準配置，其自然的人機交互方式、安全便捷的使用體驗，逐漸成為了金融業務中新型用戶身份核實和認證的發展方向。

　　“早在2010年8月，波蘭BPSSA銀行開始引入采用指靜脈識別技術到自動取款機上。2014年9月，螞蟻金服在國內率先推出了基于指紋識別的免密支付方案，并隨后聯合產業鏈各方成立了互聯網身份認證聯盟（Internet Finan-cial Authentication Alliance，簡稱IFAA）共同研究和推廣基于生物特征識別技術的新型身份認證安全解決方案。2015年6月，互聯網銀行如網商銀行、微眾銀行推出基于人臉識別的遠程開戶輔助用戶身份認證解決方案。目前，生物特征識別技術在金融領域的典型應用場景包括輔助進行遠程開戶、賬戶管理、支付確認等?！?/p>

　　典型的應用場景及模式

　　總體來看，生物特征識別技術在金融行業中的應用模式可以分為遠程認證模式和本地認證模式。

　　在遠程認證模式下，生物特征識別的完整過程需在用戶接入設備側和服務器側共同完成，在用戶接入設備側主要完成對用戶的生物特征進行采集，并傳遞到身份認證服務器，在服務器側完成對用戶生物特征的存儲和比對并輸出識別結果。一種典型的應用場景就是輔助進行遠程賬戶開立，如圖1所示：

圖1基于生物特征識別技術的遠程開戶示意圖

　　流程簡介

　　1.用戶通過金融應用客戶端提交個人基本信息、身份證件、銀行卡信息等請求進行遠程開戶。

　　2.金融應用調起生物特征認證器，發起遠程特征身份認證流程，在用戶接入設備側采集用戶生物特征信息，并同時進行質量判斷和活體攻擊檢測等預處理后，通過加密等安全保護措施送至服務器側；

　　3.服務器結合用戶提交的身份信息，以及采集到的用戶生物特征信息，送至公安部身份核查系統進行證件信息確認以及基于公安部權威生物特征數據庫進行用戶生物特征比對，以進行實人、實證校驗。

　　4.金融應用服務器基于比對結果和風控分析來決定是否為用戶開立賬戶。

　　在上述流程中，目前業內實際應用中，主要是通過公安系統的人臉識別身份驗證庫來解決了實人驗證問題。

　　在本地模式下，生物特征識別的完整過程只發生在用戶接入設備側，不會將用戶的生物特征信息傳遞到服務器側進行分析、處理或存儲。按照是否依賴于直接使用生物特征作為鑒別憑據，本地模式可分為生物特征直接作為鑒別憑據和生物特征間接作為鑒別憑據的技術模式。生物特征直接作為身份認證鑒別憑據的模式下，金融應用一般依賴于在用戶接入設備側中的本地生物特征識別結果進行相應的操作授權，如應用登錄等；生物特征間接作為身份認證鑒別憑據的模式下，金融應用一般依賴于在身份認證注冊環節中身份認證服務器為用戶發行的鑒別憑據對用戶進行身份認證，一種典型的應用場景是指紋支付交易確認，如圖2所示。

　　其流程一般可分為指紋支付注冊和指紋支付驗證兩個流程。用戶首先通過移動支付客戶端發起注冊請求，移動支付應用服務器指定所支持的生物特征識別類型。

圖2基于生物特征識別的指紋支付示意圖

　　移動支付應用

　　1.調用身份認證可信應用，選擇指紋識別系統并對用戶進行驗證。

　　2.驗證通過后，身份認證可信應用生成用戶鑒別密鑰對。

　　3.身份認證可信應用使用設備認證密鑰的私鑰對用戶鑒別密鑰公鑰和其他信息如指紋模板索引信息進行簽名，連同設備認證公鑰證書一塊發送至移動支付應用服務器。

　　4.移動支付應用服務器將信息轉發至身份認證服務器，在驗證設備認證公鑰證書合法性后，利用證書中的設備認證公鑰對簽名進行驗證，通過驗證后，提取用戶鑒別密鑰等信息，并將注冊關系保存，返回身份認證注冊結果。

　　注冊成功后，用戶可以通過移動支付客戶端發起支付請求。移動支付應用首先與移動支付服務器交互，確認是否可進行移動支付。

　　身份認證

　　1.要求用戶在本地進行指紋驗證。

　　2.通過指紋驗證后，身份認證可信應用調用本地存儲的用戶鑒別密鑰私鑰對交易信息進行簽名后，經移動支付應用發送至移動支付應用服務器。

　　3.移動支付應用服務器將認證信息發送至身份認證服務器進行驗證，返回驗證結果。

　　4.驗證通過后進行支付授權。

　　應用中存在的問題及解決思路

　　不過，由于其自身技術特點，生物特征識別技術在金融領域的應用過程中也引起了人們對于風險的擔憂，例如：如果解決用戶生物特征信息的安全保護問題，如何解決其安全可靠性問題如應對活體攻擊等。

　　金融業務傳統的密碼口令、令牌、短信驗證等驗證方式，雖然容易遺忘或被人竊取，但丟失后還可以選擇重置修改。但用戶的生物特征信息本身并不是保密的，有些類型的用戶生物特征可能會較為容易被獲取和盜用，如人的指紋可以從觸摸過物體表面提取出來、人臉特征也可從公開的照片中提取等。用戶生物特征信息屬于用戶的固有特征，被盜用之后不像密碼口令可以被輕易修改，泄露之后造成的危害更為嚴重，影響更為長遠。目前，關于生物特征信息保護，國際標準化組織已經制定相關的技術標準ISO/IEC 24745，從生物特征信息的采集、處理、存儲、識別、更新、刪除等全鏈條進行安全分析和威脅建模，并提出具體的保護措施，為產業從業各方制定完善的用戶生物特征保護策略提供指導。

　　安全可靠性方面，一方面，單一的生物特征識別技術可能并不會對所有用戶都適用，比如有些用戶因先天或后天原因缺乏指紋特征無法使用指紋識別技術等；另一方面，由于有些類型的用戶生物特征可能會較為容易被獲取，生物特征識別身份認證系統也會受到各種各樣的哄騙攻擊，諸如使用指?？赡軙晒θ肭种讣y識別系統，使用高分辨率的臉部圖片或者人臉三維面具可能會騙過人臉識別系統等。目前，業內一般采取多模態技術來提升生物特征識別應用的安全可靠性。多模態生物特征識別是指整合或融合兩種及兩種以上生物識別特征，利用多重生物識別技術的獨特優勢，并結合數據融合技術，使得認證和識別過程更加精準、安全。與單一生物識別方式相比，多模態生物特征識別主要優點在于三個方面：首先，已經證明利用多個生物特征融合可以提高身份識別的正確率；其次，利用多個生物特征可以拓寬生物特征識別系統的應用人群范圍；最后，從防偽的角度，偽造多個生物特征的難度遠遠大于偽造單一的生物特征。

　　融合多模態信息的方法主要有兩種：決策層的融合和特征層的融合。決策層的融合技術是先把各個模態的信息提取出來，輸入相應的分類器得到單模態識別結果，然后用規則的方法將單模態的結果綜合起來，得到最終的識別結果；特征層的融合方法則是將各個模態的信息提取出來，將這些信息組成一個統一的特征向量，然后再輸入到分類器中，得到最終的識別結果。這兩種方法各有優缺點，需要結合具體應用解決方案進行選擇。

　　總結及建議

　　生物特征識別技術能夠提供一種安全、便捷的用戶身份認證實現方式，目前已經具備了大規模應用的行業基礎，在金融行業有廣闊的應用前景。不過，目前在金融行業還因存在對生物特征信息保護、活體攻擊等的擔憂，而導致了進一步推廣應用的障礙。

　　為了更好地促進金融行業生物特征身份認證產業發展，建議：一是結合金融行業特點，從明確金融使用場景、規范底層技術、制定安全要求、建立市場準入規則等多個維度進行相關標準體系建設，并通過檢測認證體系確保行業健康有序發展；二是進一步完善相關法規制度建設，明確相關方的責任和義務，確保用戶生物特征信息和隱私安全；三是結合人工智能、云計算、傳感器技術等的快速發展，進一步推動活體攻擊檢測等關鍵技術的研究和升級，并快速實現產業化應用。

　?。ū疚淖髡呔吐氂谡憬浵佇∥⒔鹑诜占瘓F股份有限公司）

責任編輯：韓希宇