才 华 肖普山

(中国银联股份有限公司 上海 201201)

0 引 言

生物识别技术因其准确性高、判别速度快、操作简单便捷等特点，有着广阔的应用前景。BIS Research 的最新报告预测，全球生物认证和识别的市场规模将从2018年开始以22.54%的复合年增长率增长，到2023年超过519.8亿美元[1]。而类似的Grand View Research的一份报告表示，伴随着公共、私营和商业领域的应用开发，预期生物识别的市场规模将从2017年的144亿美元增长到2025年的593.1亿美元[2]。

金融支付领域对生物识别技术的应用有着多重探索，并已有一些成熟的技术实现[3]。本文结合指纹、人脸和声纹三种成熟典型的生物特征，探讨了生物识别技术在金融支付领域应用的解决方案和发展方向。

1 生物识别技术的优势及弊端

常用的生物识别特征有指纹、声纹、人脸、虹膜、掌纹和静脉等。基于不同特征的识别技术有着各自的优势和弊端[4-7]。

指纹识别是应用最广泛的生物特征识别技术，优势在于能够简单稳定地实现判定，扫描速度快，采集设备低廉轻便，且直接接触准确性高。缺点是指纹识别对于某些特殊的少指纹、手指磨损人群难以采集成像；测试准确度对手指的清洁度、湿度敏感；指纹容易残留在采集设备上，存在被复制的风险。Roy等[8]在TIFS上提出了万能指纹(MasterPrints)的概念，通过从真实的指纹图像中获得或使用爬山算法合成，能偶然地与大量指纹重合，并在后续改进中采用潜变量演化(Latent Variable Evolution，LVE)生成图像级别的DeepMasterPrints[9]。

人脸识别是当前最热门的生物识别研究方向，具有唯一稳定、简单便捷和隐蔽无感等优点，能够在多应用场景下实现多目标快速判别，最容易被理解与接受。缺点是人脸识别容易受光暗变化、复杂背景、姿态表情等因素的干扰，会被静态照片、视频和动态换脸“欺骗”，而3D打印模型、硅胶面具、化妆、整容等假体攻击手段都能极大影响识别准确率，其隐蔽无感的优点也会带来无意识个人数据泄露的问题。2017年央视“315”晚会上披露了人脸识别技术漏洞，基于人像图片构建动态可控3D模型，能够完成眨眼、动嘴等不同活体动作，成功骗过了App刷脸认证。2018年Geekpwn国际安全极客大赛上更是展示了CAAD对抗样本攻防挑战，使得AI将导弹误认为巨石，将主持人蒋昌建的照片错判为施瓦辛格。

声纹识别作为一种较为成熟的生物识别技术，基于人类语音中的声波频谱，通过常见低廉的通信、语音输入设备即可简单、自然地完成样本信息采集、特征提取、身份验证,容易被人所直观接受。但声纹识别也有着一些明显缺点。例如：同一个人的声音会受到情绪、身体状况和年龄的影响；背景噪声、采集设备质量能显著干扰识别结果；多人语音情况下难以分离特征信息；判断准确度容易受到录制音、机器学习合成音“欺骗”等。Mandasari等[10]在IEEE国际声学会议上的论文显示了噪音环境下对于语音识别的显著影响。2017年Geekpwn大赛上，五组选手们根据提供的声音样本，模拟声纹信息，短时间内破解了多个声纹认证。

除了以上三种最常见的生物识别技术，还有基于掌纹、虹膜、静脉、步态、唇语等生物特征的其他识别手段[11-21]。虽然实现的机理不完全一致，但凭借个体唯一、可采集、便携性佳、判别速度快等独特优势，在个人身份识别认证的场景中能够实现比传统字符式密码验证更为方便、准确、友好的效果。例如：根据Tom’s Guide的iPhone手机测评，使用指纹Touch ID和人脸Face ID的解锁时间分别为0.91秒与1.16秒，远低于数字密码与图形输入的耗时，能将Apple Pay的支付时间减少50%；花旗银行提供的语音声纹识别功能，客户无须提供卡号与密码即可在15秒内完成身份认证，以此缩短整个交易流程使时间不超过1分钟。

然而，生物识别技术除固有的一些弊端之外，在便利性与安全性上也存在着冲突，例如：字符式密码是存在于数据主体的脑海中，而大部分生物特征容易被隐蔽、无感地采集。生物识别特征个体唯一、不可修改等优势在某种意义上也是劣势，一旦被窃取、伪造，带来的风险难以估量，且应对措施难度更是指数级增长，例如：我们可以方便修改已泄露的字符式密码，却无法改变样貌、声音、指纹、步态等与生俱来的信息；当前个人生物识别信息被过度收集、触犯个人信息隐私保护的形式也非常严峻。

2 生物识别技术在金融支付领域的应用

当前，为改进和优化传统字符式密码在个人身份识别认证场景中表现出的各种问题，指纹、人脸、声纹、虹膜、指静脉等生物识别技术应用于金融支付领域催生和创造出了大量新型产品、解决方案、应用场景。

智能手机业务的普及，使得指纹识别广泛应用于Apple Pay、支付宝、微信等移动支付场景。早在2014年10月，万事达就推出了一种内置指纹传感器的银行卡，通过芯片内指纹数据比对完成支付。2018年金雅拓联合塞浦路斯银行发布了一种EMV生物识别支付卡，能实现接触和非接触双重支付。同年11月香港拍拍宝科技在Money20/20大会上展示了将指纹识别与手表集成的可穿戴支付方案。指纹识别应用案例多集中于移动支付、卡片使用相关身份认证环节，仅采用指纹单一生物特征，操作功能较为局限且难以拓展。应用场景类型的限制使得用户常用手指具有习惯性，例如：单手解锁手机往往采用右手大拇指指纹、考勤打卡常使用右手食指指纹等，一旦单个指纹被窃取即存在破解的风险。

随着人们对无感便捷支付的追求，人脸识别支付也逐渐普及。苹果首先在iPhone X上采用Face ID支持Apple Pay功能，利用面部空间信息完成3D建模，结合活体认证技术和大数据风控系统实现身份识别。支付宝于2018年8月推出“蜻蜓”刷脸支付机。微信紧随其后，于2019年3月推出了类似的“青蛙”线下刷脸支付设备。传统金融机构工商银行、建设银行、中国银行、招商银行、农业银行等也先后推出了刷脸服务，利用人脸识别技术完成开户认证、ATM自助取款等不同业务场景下的个人身份识别认证。虽然现有的人脸识别方案已经从初期的2D验证升级为3D结构建模，有效降低了被图片、视频或是化妆“欺骗”的概率，但是作为极容易被隐蔽窃取的弱隐私生物特征，人脸信息在公共场合可能被恶意读取。同时，当前的人脸识别无论基于本地的一对一比对或是云端的一对多比对，都是验证人脸这一静态单一的生物特征要素，一旦被窃就造成永久损失。而银行开户认证时头部上下、左右摆动多次验证的方案主要是对活体检测的补充，并没有在本质上提高系统安全性，且不适用于讲究效率的一般支付场景。

语音识别与智能家居的结合有效丰富了声纹的应用形式。阿里推出的天猫精灵智能音箱，能够识别说话人身份，支持用户语音下单支付。英国巴克莱、花旗等银行语音客服场景中，在用户与银行客服对话过程中系统自动将对话声纹与存档声纹进行对比，不需要重复提示词或回答连串问题，即可完成高效、无感的声纹认证。声纹识别由于验证要素和手段相对单一，通常仅用于账户匹配相关的应用场景，由于声纹采集过程中容易受到录制音、机器学习合成音或是变声器的“欺骗”，且受限于通信质量，导致判断时间过长，目前难以适用于快速金融支付场景中。

相比较于指纹、人脸和声纹这三种较为成熟的技术，其他生物识别技术在金融支付领域也有着一定的研究和实践，但受限于成本、准确度和用户体验，尚处于小范围应用测试、探索阶段。例如：三星手机S8系列推出了虹膜识别功能，并支持Samsung Pay；民生银行推出了手机银行的虹膜支付；中国银联开展指静脉支付试点等。

总的来说，生物识别技术有着诸多优点并在金融支付领域实现了一定应用。但是，总结现有技术方案都是基于对生物特征的单因子静态检验方式，存在风险隐患。例如：单个手指指纹进行支付授权或者人脸完成身份认证，长期暴露于公共场景之中，存在生物特征固有的弱隐私弊端，容易被隐蔽无感地窃取；单因子验证模式也意味着一旦单个特征信息丢失便被完全破解，即只是对生物特征这一重要信息的单层保护，且造成的个人信息遗失是永久性的。同时，当前的技术方案采用生物信息注册、提取特征存储、后台比对验证的一般流程，即只是将传统的字符密码替换为生物特征密码，仍然是一个预存密码与账户匹配对应的方式，并没有从系统架构层面增加安全性。除此之外，单一生物要素只能实现单一的身份认证功能，无法在适用场景中进一步添加更多操作。

3 关于生物识别技术在金融支付领域的方案探索

使用多重技术复合、多因子交叉验证，能够有效地避免单一生物特征的技术劣势，提高识别准确度的同时，使得用户的个人信息不易被隐蔽窃取，也丰富了操作功能的多样性，整体提高生物识别技术在金融支付领域应用的安全性。

本文在现有单个生物特征的基础上增加了若干动态因子，对生物识别技术在金融支付领域的应用方案提出了改进与探索。首先，在注册阶段加入多个生物特征密码，生物识别的引入相比于传统的字符密码更为安全便捷；而用户能够按照自身意愿设定动态因子的数量，在无须大规模改造系统架构的情况下增加了生物特征密码的“位数”。其次，基于文字、手势等动态因子与特征密码形成的映射关系，无论是将动态因子内容的生僻化还是隐藏于日常行为的方式，都提高了生物特征密码的质量，即通过动态因子的私人设定进一步提高特征密码的安全性，使其难以被无感隐蔽地恶意窃取。此外，在验证阶段，系统从用户自定义注册的生物特征密码库中完全随机地选取验证提示词，且验证的方式不受限于用户重复提示词、回答安全提示问题的形式，有效降低了系统被窃取的风险，避免了一个生物特征被窃即永久损失的问题。特别地，由于动态因子对密码验证形式的丰富，可采用不同动态因子对应多重操作，使得生物识别技术的金融应用场景不受限于现有的账户匹配和身份认证形式，也能够完成预授权、选卡、信用卡还贷、转账等诸多业务功能。最后，动态因子的添加和与生物特征密码的映射都具有实现简易的特点，使得双因子认证方案只需要添加相关的生物识别设备与技术转换接口，不会对现有系统架构造成大的改动调整。

3.1 一种基于多按键动态因子的身份识别系统

多按键动态因子身份识别系统基于用户在金融支付交易业务场景下指纹采集过程中操作便捷性原则，将手指个数、按键次数、按键位置等多个动态变化因子加入到单一的指纹信息认证中，弥补单一指纹识别技术弊端，可有效防范指纹信息被窃取、伪造导致的风险隐患。

系统设计了一个封闭的、可方便用户单手/双手放入以敲击按键位置的指纹密码输入盒子作为终端设备。在注册阶段，密码输入盒子与后台进行位置信息和传输编号约定后，用户通过选取的手指个数、按键次数、按键位置中任意一个或多个因子自定义注册一组指纹密码，并通过终端设备采集相应指纹加密传输存储在后台系统，后台系统将指纹密码与银行卡账户的某种交易类型关联绑定(如某一指定银行卡的支付交易)。指纹密码的设定可以是用户不同的十指指纹，也可以是单个手指的重复输入，例如：左手食指连续点击两下或是右手中指点击三下、右手食指和中指的同时点击等。在验证阶段，密码输入盒子与后台就位置信息和传输编号采用与注册阶段同样的约定，用户按照注册阶段自定义的指纹密码与要执行的指令点击盒子键盘，封闭密码输入盒会将用户输入的指纹信息、按键次数、按键顺序、按键位置等信息上传到后台系统，后台系统通过银行卡号匹配注册阶段留存的指纹密码，验证一致性，通过后即可完成交易指令操作。以支持10个手指按键的封闭密码盒，以及用户自定义指纹密码为“右手食指2次，中指1次”为例，注册阶段、验证阶段业务流程如图1所示。

图1 多按键动态因子身份识别系统流程示意图

该方案的优势在于：(1) 采用独特设计的封闭密码输入盒，不会被偷窥且便利了视力不好的人群；而密码输入盒的大小可以根据应用场景的不同进行灵活定制，如购物刷卡可以采用2到3个手指输入的适用方案；(2) 注册阶段的手指个数、按键次数、按键位置和指纹由用户自由设定，且基本不增加操作复杂性；(3) 配合单个手指重复输入，有效增加了手势的变化，丰富了1到2个常用的手指的信息，也不再局限于原本10个手指的指纹特征点上限，提高了指纹密码内容的复杂度。特别地，为了保证按键位置信息在传输过程中不被非法获取，后台会定期与密码输入盒子建立随机对应关系，即使被截取也无法获得位置信息。

作为进一步延伸，鉴于手势变化等多个动态变化因子的加入，按键指纹密码能进一步对应到不同的操作指令，在单纯的身份验证授权的基础上拓展出更多功能。例如，设定左手食指连点两下为信用卡选卡，或者右手中指、小指点一下对应消费指令。而后续也能通过对指纹按键的整体屏幕化，或者与已有的诸如ATM触屏系统结合，使得操作更类似于平板电脑手势划动，保留高安全性的同时加强了用户操作的便利性。整体来讲，此方案与传统的密码验证体系拥有良好的兼容性，在不对后台系统进行大改造的情况下，只需要加入新的识别转换模块即可实现升级换代，全面提高系统安全性。

3.2 一种基于多表情动态因子的身份识别系统

鉴于用户人脸采集认证在金融支付交易业务场景中的信息安全性问题，多表情动态因子身份识别系统在单一的人脸特征中加入表情变化、表情数量、随机验证等多个动态变化因子，优化单一人脸识别方案中人脸信息容易被无感窃取、误判的缺陷，整体提高系统的抗风险能力。

系统设计了一种基于“密码词-表情”映射的独特人脸密码元素，当用户读取一个密码词时，识别设备会捕捉相对应的动态人脸表情，提取脸部特征点，转换构成一个人脸密码元素。在注册阶段，用户将密码词数量和内容等动态因子自定义选取，通过“密码词-表情”映射注册一组多表情动态人脸密码元素，加密传输存储在后台系统并关联到银行卡的某些具体交易类型(如某一指定信用卡的刷卡交易)，实现人脸密码元素与用户账号的后台绑定。这些人脸密码元素映射的密码词内容可以设定为数字，也可以是短语、部分段落和无序混合词语，例如：“1234”“确认”“同意移动支付”“交易CHECK”等。在验证阶段，系统会从用户预存的密码元素库中动态随机地选择人脸密码元素的内容、位数和顺序构成一个人脸密码作为验证信息，将人脸密码中的元素分别映射成密码词并以图片或是文字的形式提示给用户，识别设备将采集到的用户重复提示词时的脸部表情转换、组合成人脸密码信息并上传到后台系统，后台系统通过对银行卡账户匹配注册阶段预设的人脸密码元素以及随机动态人脸密码组合位数、顺序的交叉验证，比对一致即可完成刷卡交易。以用户自定义数字0到9映射的人脸密码元素为例，系统随机选定3个人脸密码元素“3”“5”“7”排列组合成人脸密码“5、3、7”进行验证，注册阶段、验证阶段业务流程如图2所示。

图2 多表情动态因子的身份识别系统流程示意图

该方案的优势在于：(1) 利用人脸表情灵活变化的特点，在基本不增加操作复杂性的前提下，通过设计密码词、抓取多个关联性人脸表情包、构建“密码词-表情”映射关系等一系列处理模式，丰富了传统模式下提取单纯脸部特征、单一人脸“生物密码”固化的表达形式，可拓展为可变化的赋予含义的多组人脸表情包，更提供了修改人脸密码等操作的可能性和灵活性；(2) 人脸密码元素映射的密码词内容能够根据个人习惯定制化、个性化地设计，可以是数字、词语与句式，也能使用生僻陌生词汇甚至中英文无序混合等更复杂的形式，降低了在日常生活中被无感窃取的风险，提高了人脸密码的信息复杂度；(3) 结合注册阶段密码词的设计方式，在验证阶段对验证提示词内容、人脸密码位数、密码元素排列顺序的选取是完全随机的，提升了系统的整体安全性。除此之外，系统的运行架构不受限于本地认证和云端数据库交叉认证，能适用于手机移动端、线下商场、银行等诸多场景。

进一步拓展开来，人脸信息与多个表情动态因子的结合，使方案不仅限于实现整个账户的身份匹配判定，用户也能将人脸密码元素自主分类，把不同的人脸密码元素细分到银行卡选卡、不同信用卡刷卡等更多操作类别。例如，设定数字0到4映射的人脸密码元素对应借记卡业务，数字5到9映射的人脸密码元素对应信用卡业务，当用户使用信用卡刷卡时，后台提示“5”“3”“7”作为验证信息，用户需要回答“5、3、7”组合作为识别认证的人脸密码，进一步提高了金融支付交易的安全性。而如果将多个日常词汇设定为密码词，更是能把验证隐藏于普通交谈中。例如，在无人商店等购物场景中，消费者可以在进入超市前获取随机的若干个验证提示词，结算过程中谈及包含多个提示词组合的语句作为支付身份授权(如用户回答“今天购买零食‘5’‘7’块”作为验证回复)，加强系统安全性的同时全面优化了收银效率与客户体验。

3.3 一种基于多动态词组的身份识别系统

从用户在金融支付交易业务场景下声纹信息安全保密性的角度出发，将语音词组数量、词组内容、随机验证等多个动态因子兼容到单一的声纹认证识别方案中，实现一种基于多动态词组的身份识别系统，有效防控了单一声纹识别技术中AI合成声纹“攻击”、声纹信息录音窃取的风险。

系统基于“密码词-声纹”的映射关系设计了一种声纹密码，当用户读取密码词时，语音采集设备会提取对应的声纹特征，转化为一个独特的声纹密码。在注册阶段，用户通过下载App将银行卡账户与终端设备绑定，然后自定义选取动态词组的个数与内容，通过终端设备采集相应的几组声纹密码加密上送到后台安全存储，后台系统将声纹密码关联到银行卡账户的特定交易类型(如某一指定信用卡的刷卡交易)。终端设备可以是任意具有文字显示功能的手机、智能手表、智能手环等。声纹密码映射的密码词组可以是数字0到9，也可以是更日常的语句，例如“我购物了”“饭很好吃”“买单”等。在验证阶段，用户通过便携终端打开App支付功能，终端连接后台从密码词库中动态随机地选取声纹认证信息提示给用户，用户只需要在收银前台对着专用的话筒读出提示词即可提取声纹密码，同时终端将报文加密方式上送后台系统，后台系统通过银行卡号对账户匹配注册阶段预设的声纹密码进行交叉匹配，验证一致后即可实现刷卡交易。以手机终端与银行卡账户的结合，以及用户自定义声纹密码为“YES，PAY IT”“银联卡支付”“取卡付款”为例，系统随机选定声纹密码“取卡付款”进行验证，注册阶段、验证阶段业务流程如图3所示。

图3 多动态词组的身份识别系统流程示意图

该方案的优势在于：(1) 整个支付交易过程中都不会出现银行卡卡号和银行卡密码信息，避免了密码输入带来的信息泄露；(2) 与便携终端的绑定省去了银行卡片使用的繁琐流程，只需一个终端设备即可完成所有操作，极好地适用于移动刷卡业务场景；(3) 密码词组的内容完全由用户自主定义，可以是数字、短语、部分段落与语句混合，丰富了声纹密码位数的同时也优化了密码的安全质量，简易有效地实现多重认证，相比语音客服对话中的声纹识别的模式更为准确快速；(4) 交易过程中进行验证的声纹密码是从用户设定的密码词组中完全随机地选取，完善了系统架构上的安全保障。

在衍生方案的探索中，鉴于多动态词组的加入使得密码词内容进一步丰富，随机动态验证的形式也能增加更多变化，不再是单纯地用户重复密码信息来做验证，而是可以结合语音识别与声纹认证做进一步的拓展。例如，使用信用卡刷卡时，后台系统随机选定提示信息“您确认刷这张绿色信用卡吗？”，即暗示用户回答自己设定的声纹密码“选黄色借记卡”来完成验证，使得整体沟通更为流畅自然，更能与智能家居系统有效兼容，在使用语义识别强化便利性的同时保留了随机动态密码词组的多因子安全性，为客户提供安全、便捷的支付环境。同样，用户也能通过动态词组的不同加入报警等更多功能，例如用户设定词组“取所有存款”为万能声纹密码，一旦使用即可通知后台冻结账户并报警。

4 结 语

基于个体独有的生物特征，生物识别技术以其安全可靠、高效便捷的优势受到广泛关注并应用于金融支付领域的实践中。本文通过对常用生物识别技术的优劣势比较，以及生物识别技术在金融支付领域应用相关多个典型案例的风险问题分析，探索了生物识别的交叉复合技术在金融支付领域的应用方向，并基于指纹、人脸和声纹三种相对成熟但具有不同特性的典型生物特征分别提出了三种动态多因子解决方案，显著提高系统安全稳定性的同时，丰富、便利了使用场景及操作功能。未来，为了优化用户体验，提升交易效率和安全性，发挥优势弥补劣势的情况下，生物识别验证技术在金融支付领域的应用将更广泛。