摘   要：随着金融科技的蓬勃发展，生物识别技术在金融领域身份认证应用逐渐深入、场景不断拓展，有效提升了金融服务质量。本文对金融领域常用的身份认证技术进行对比，分析生物识别技术金融应用存在的隐私泄露、活体攻击等风险问题，提出要在加强隐私保护、固守安全底线的前提下，不断健全生物识别金融应用配套机制，充分发挥生物识别技术优势。

关键词：生物识别;金融业;身份认证

中图分类号：F832.0                       文献标识码：A                          文章编号：1674-0017-2019（5）-0057-04

金融科技的快速发展，助力金融服务的可得性和覆盖面显著提升。身份认证作为金融服务的首道防线，是金融消费者资金和信息安全的重要保障，安全、便捷的身份认证方式是金融业健康发展的必然要求。生物识别作为人工智能细分领域，经过几年的发展，算法速度和安全性能不断提升，指纹识别、虹膜识别、人脸识别、声纹识别等生物识别技术为金融业身份认证提供了新选择。与传统身份认证方式相比，生物识别具有不会丢失和遗忘的特性，但其在隐私保护、安全性能等方面仍存争议。

一、金融领域常用身份认证技术分析

（一）传统身份认证技术分析

传统身份认证技术根据认证要素不同主要分为三种：一是基于客户本人知悉的要素，如静态密码等;二是基于客户本人持有并特有、不可复制或不可重复利用的要素，如经过安全认证的数字证书、电子签名等;三是通过安全渠道生成和传输的一次性密码，如短信验证码等。这几种技术在可操作性、应用成本、应用场景和安全级别等方面各有不同，表1对目前常见的传统身份识别技术进行了对比。

1.静态密码

静态密码作为最基础的身份认证要素，具有无需借助外来设备、便捷高效等特性，在用户身份认证和交易验证等场景中广泛应用。但是，用户为便于记忆，经常会将静态密码设置为较简单或与个人相关的信息，容易被破解或被社会工程攻击。同时，由于静态密码应用的普遍性，用户可能会在不同网站、系统共用相同密码，存在被撞库风险进而导致连锁反应。

2.短信验证码

短信验证码具有方便高效、容易普及使用等特性，广泛应用于互联网用户身份认证或交易验证等场景。但由于GSM（Global System For Mobile Communications）通信的语音和短信业务鉴权和加密性偏弱，短信验证码易被不法分子通过伪基站、伪WiFi等方式截获盗取，且无法验证是否用户本人使用本人手机完成操作，给不法分子伪装受害者提供了机会。

3.数字证书

数字证书安全性较高，且满足《中华人民共和国电子签名法》要求能够保证交易的法律效力，被广泛应用于网上银行等金融服务场景。但随着移动互联网的普及，基于安全芯片的数字证书（如蓝牙盾、音频盾等）问题逐渐凸显：一是基于安全芯片的数字证书需要硬件支持，成本较高;二是用户体验差，携带不方便，使用门槛较高。

（二）基于生物识别的身份认证技术分析

生物特征主要包括指纹、虹膜等先天具有的生理特征，以及语音、步频等后天形成的行为特征，具有唯一性、广泛性、便利性、稳定性等特点。生物识别技术基于计算机、物理学、生物统计学等原理，通过采集待识别人生理或行为特征，与其固有特征比对以实现用户身份识别。目前生物识别技术主要分为两类，一类基于静态生理特征进行识别，如指纹识别、人脸识别等;另一类基于动态行为特征进行识别，如声纹识别等。每一种识别技术各具特点，表2对目前常用的几类生物识别技术特点进行了对比分析。

1.指纹识别

随着移动互联技术的快速发展，以智能手机为代表的移动终端成为金融服务重要渠道，指纹识别技术开始广泛应用。传统的指纹识别技术主要通过采集指纹图像、提取指纹特征、匹配指纹数据等完成待识别人身份认证（其主要流程如图1所示），具有易于采集、识别率高、使用方便等特性，被广泛应用于移动终端的用户身份认证或交易验证等场景。但同时，指纹获取、伪造成本低，易被不法分子仿冒，且识别率会受到潮湿、干燥、脏污、油渍、脱皮等因素的影响，应用场景拓展有所限制。

2.人脸识别

人脸识别技术通过分析提取用户人脸图像数字特征产生样本特征项，并将其与已存储的模板特征项进行比对以识别用户身份（主要流程如图2所示）。按照对比方式不同，人脸识别可分为人脸验证和人脸辨识，人脸验证将样本特征项与用户标识信息对应的模板特征项进行比对，即1：1比对;人脸辨识将样本特征项与指定范围内的所有模板特征项进行比对，即1：N比对。由于具有低成本、用户体验好等特点，人脸识别已被逐渐应用于客户端登录、手机解锁、小额支付等场景。但是，人脸信息属于高度隐私，存在信息泄露风险，线上人脸识别应用仍存争议。

3.虹膜识别

虹膜识别技术利用虹膜稳定性和差异性等特点，通过虹膜图像采集、虹膜检测、图像预处理、特征提取、特征匹配等环节实现用户身份精准识别（主要流程如图3所示）。理论上，虹膜终身不变，安全程度高，更适合作为“密码”，可应用于金融保险柜、武装押运、虹膜手机等身份认证安全要求较高的场景。尽管虹膜不容易被仿冒和伪造，但虹膜识别也存在虹膜视频、仿真人眼等假体攻击，也会受到美瞳、墨镜等外界因素的影响，同时人饮酒后，眼球充血、血管扩张，可能影响虹膜识别的准确性。

4.声纹识别

声纹识别技术是根据待识别语音的声纹特征识别该段语音所对应的说话人（主要流程如图4所示），具有低隐私性、支持双向传遞信号、交互便捷等特点，可应用于登录、转账、支付等金融场景。但是，声纹易受到环境背景音嘈杂影响，抗噪音能力差，同时随着人体年龄增长逐渐出现差异，导致声纹抗时变性差，对声纹识别系统设计提出较高要求。

二、生物识别身份认证应用的典型风险与问题分析

（一）生物特征泄露风险

生物特征具有唯一性和稳定性，部分特征可在用户一生中基本保持不变，用户无法像口令或介质一样自主变更生物特征，无法根据不同应用场景使用不同凭据进行特征安全隔离。同时，用户指纹、声纹、人脸等生物特征信息被采集后，在传输、存储过程中也有可能被截获或篡改，存在较大的特征泄露安全隐患。某种生物特征一旦泄露，所有使用该特征的应用系统都面临恶意攻击，且该风险将一直持续存在，直至特征注销。

（二）识别性能良莠不齐

不同生物识别技术识别性能不同，同种生物识别技术因算法原理、传感器、对象群体等不同，其识别性能也存在差异。以人脸识别技术为例，2019年1月美国NIST（National Institute of Standards and Technology）人脸识别算法测试结果显示，在使用证件照数据集时，前20名的参赛算法都能在FAR（True Accept Rate）为百万分之一时，保持FRR（False Reject Rate）小于2%。换用日常人脸照片集时，算法性能急剧下降，在同样FRR下，FAR只能达到万分之一。识别性能的差异对生物识别系统设计与场景选择提出较高要求。

（三）活体呈现攻击风险

生物识别利用传感器采集待识别人生理数据，多数传感器无法直接判定采集对象是否真实活体，需要结合光线、纹理等间接特征推测，影响活体检测准确性。以指纹识别为例，目前众多指纹识别模组可以被低成本指纹膜攻击。对于人脸识别，通常可采用红外双目摄像头、深度摄像头、结构光等避免照片、视频等的攻击，但难以完全抵御制作精良的面具或头模等活体呈现攻击。活体呈现攻击放大了生物特征泄露风险，限制了生物识别在高安全场景的独立应用。

（四）特征录制重放风险

在生物特征远程识别场景中，生物特征信息需要通过网络进行传输。如果攻击者提前录制用生物特征，并完全控制手机客户端、自助终端等生物信息采集设备，就可以在报文层面直接重放用戶生物特征信息。后台系统难以判别接收的生物信息是否来自真实的传感器实时采集结果，导致风险事件。设想以下攻击场景，攻击者诱使用户视频聊天，将视频流剪切应用于生物特征识别后台，配合前期采集的身份证号等个人信息，即可冒用用户身份完成操作。

三、生物识别技术金融应用建议

（一）坚持物善其用，充分发挥生物识别便捷普惠优势

生物识别作为基于人工智能的新兴身份认证手段，在便捷性、普惠性方面具有较大的优越性。要结合金融业务实际需求，着力寻求不同生物识别技术与金融业务的契合点，最大限度发挥生物识别技术优势，使金融服务便捷普惠的特点深入人心。在账户管理方面，可探索利用合适的生物识别技术在网上银行、手机银行等渠道开立Ⅱ、Ⅲ类银行账户，向用户提供远程登录、账户激活、额度管理、密码重置等服务，进一步推动个人银行账户分类管理制度落地实施。在交易认证方面，可利用声纹识别、虹膜识别等技术作为辅助交易认证手段，实现多因素交叉验证，为用户提供兼顾安全便捷的金融服务。在支付清算方面，建议探索基于人脸特征作为路由标识实现支付交易转接清算，使用户无需携带银行卡、手机等任何实体介质即可完成支付交易，避免遗忘或丢失的烦恼，显著提升支付服务的便捷普惠水平。

（二）固守安全底线，切实保障金融交易用户资金安全

安全是发展的基石。生物识别技术为用户提供更加便捷、普惠金融服务的同时也带来了新的风险与挑战。要筑牢金融安全防线，强化生物识别技术金融应用风险防控，保障金融交易用户资金安全。在技术选型方面，加强技术研究，积极应用较为成熟、安全性较高且与金融机构自身需求相匹配、多元化的生物识别技术，做好技术安全性评估，确保生物识别技术安全性与标准符合性。在场景选择方面，结合生物识别技术特点与金融业务特征，重点从账户安全、资金安全、数据安全等方面妥善选择应用场景，不能盲目应用，切实提升生物识别技术金融应用的便捷性与安全性。在风险防控方面，探索构建多因素生物识别技术应用模式，根据多种生物特征信息联合判定，提升生物识别技术金融应用的安全性，积极使用大数据、云计算、人工智能等新技术提升生物识别技术金融应用风险技防能力。

（三）加强隐私保护，有效防范生物特征信息泄露风险

生物特征较为稳定，用户无法像传统口令或介质一样进行自主变更，一旦泄露所有使用该特征的应用系统都可能面临恶意攻击。同时，随着生物识别系统从单机向云平台迁移，生物特征数据存储集中度变高，增加了生物特征泄露风险。要加强用户隐私保护，防范生物特征信息泄露。一是加强交易过程中信息安全保护。可应用 SE（Secure Element）和 TEE（Trusted Execution Environment）安全技术对用户生物特征信息进行处理，提升终端运行环境的整体安全性;交易过程中对人脸等用户生物特征数据进行加密处理，通过交易随机数、时间因子等信息提升数据传输安全性，防止用户生物特征数据被重放攻击导致信息泄露。二是强化生物特征信息处理系统安全管理。可对用户原始生物特征信息进行加密转换后存储，并将生物特征与实名信息进行安全隔离，建立生物特征信息处理系统的定期核查机制，多措并举，降低生物特征信息集中存储带来的风险隐患，确保用户生物特征信息安全。

（四）健全配套机制，加快建立技术应用监管规则体系

生物识别技术创新性强，在金融领域应用的安全性要求高、用户需求迫切，相关的法律法规也有待研究明确，亟需建立符合金融领域应用、监管需求的规则体系，以规范生物识别技术的金融应用。一是完善生物特征在金融领域应用的法律法规。针对生物特征信息安全和个人信息保护问题，完善网络信息安全、个人信息安全、经济金融安全等相关法律法规，规范生物特征的适用范围、技术安全和信息保护等内容。二是加快生物识别技术金融应用标准编制。根据各种生物识别技术的特点，制定对应的安全标准和技术规范，明确生物特征信息采集、存储、活体检测等相关要求，从标准层面规范生物特征在金融领域的使用。三是建立检测认证和安全分级体系。建议建立生物识别技术金融应用的检测认证体系，根据不同生物识别技术的安全等级进行分级分类管理，满足人民群众对生物识别技术的多样化需求。四是加强生物识别技术金融应用相关的信息系统、业务类型、应用终端等的日常监管，确保生物特征数据和信息系统的标准复合性和系统安全性，健全生物识别技术金融应用的监管体系，引导生物识别技术在金融领域的健康合理应用。

参考文献

[1]李伟.推动生物识别技术在金融领域安全规范应用[J].中国信息安全，2019，（02）：65-67.

[2]李莹.基于银行渠道的生物识别身份认证技术应用安全分析[J].中国信息化，2018，（09）：75-76.

[3]吴彩霞.金融领域生物识别技术应用探析[J].金融理论与实践，2018，（12）：61-66.

[4]于成丽，刘浩.生物识别技术的发展应用及安全问题研究[J].保密科学技术，2018，（05）：28-31.

[5]严继先.虹膜识别技术在金融领域的应用前景浅析[J].北方金融，2018，（12）：66-68.

Research on Biometric Identity Authentication in the Financial Industry

REN Zhaolin

（Xian Branch PBC， Xian Shaanxi 710075）

Abstract： With the development of fintech， the application of biometric technology in the financial field has gradually deepened，and the scene has been continuously expanded， effectively improving the quality of financial services. This paper focus on comparing the commonly used identity authentication technologies in the financial field， analyzes risk issues in biometric technology application such as privacy leakage and bio-attack， and proposes to continuously improve the supporting mechanism of bio-information financial application under the premise of strengthening privacy protection and adhering to the security bottom line， thereby giving full play to the advantages of biometric technology.

Keywords： Biometrics; Financial Industry; Identity Authentication

責任编辑、校对：王兆华

收稿日期：2019-3

作者简介：任兆麟（1992.6-），男，山西大同人，硕士，现供职于中国人民银行西安分行。