1. 概述

定义

生物识别技术，就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性（如指纹、脸象、红膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。

其中生理特征主要包括指纹、人脸、虹膜、手掌、静脉、DNA等，行为特征主要包括签名、声音、键盘习惯等。

生物类核身类型

生理特征：指纹、人脸、虹膜、手掌、静脉、DNA等。

从精准度，虹膜、静脉是高的，防伪最强的是静脉，防伪就是看作假能力，指纹是一般的，我们从淘宝网上可以买的纸膜，中间的四个生物特征一定会有，专业的设备才能够做到的，只有人脸和声音所有手机都可以采集到的特征。

行为特征：签名、声音、键盘习惯等。

基本原理

注册：首次使用生物核身系统时，它会记录个人的基本信息，例如姓名、ID等，然后系统会捕获生理特征或行为特征的有关图像或记录；

存储：系统不会存储完整的图像或记录，而是会将相关内容转换为代码或特定图形并进行存储；

比较：下次使用该系统时，它会将识别的信息与存储的信息进行比对，以实现身份的验证。

安全联盟

IFAA（Internet Finance Authentication Alliance，互联网金融身份认证联盟）

它的成员包括华为、三星、ARM、OPPO、vivo、蚂蚁金服等等，在国内身份识别技术领域有着巨大的号召力，联盟所认可的技术，也会成为大多数企业采纳的标准。

SOTER

SOTER是腾讯发布的生物认证标准，除了大家熟知的指纹认证，未来还包括瞳膜、声纹等生物认证技术。SOTER其实扮演着开放平台的角色，一头连接着手机厂商，一头连接着应用开发者，应用开发者可以通过使用SOTER很安全便捷的使用生物认证技术，对应用方来说是个很好事情，也是符合微信推崇的开放的价值观。SOTER方案是基于Android keymaster+Trustzone技术，在Android M基础上进行了改进，使用公私钥加密方案，安全性很高，而且使用成本很低。

2. 生物核身应用场景

生物识别技术可广泛用于政府、军队、银行、社会福利保障、电子商务、安全防务等领域。

执法和公共安全：基于公共安全需求的身份识别、法医鉴定等行为，支持相关部门执法；军事领域：国防军事领域或国家安全领域的生物信息收集、存储、分析及应用；边境管控：以出入境人员管控为目的的生物特征应用，包括生物护照、面部识别、指纹识别等应用；公民身份管理：基于生物特征的公民身份管理相关应用；物理和逻辑访问控制：基于生物识别的门禁系统（物理访问控制）、计算机系统和网络准入系统（逻辑访问控制）等；商业应用：金融、科技、零售等行业基于生物特征进行核身、授权和业务应用等。

2.1 金融

智能风控：智能核身拓展银行服务边界

金融交易的三要素是核身、授权以及资金的交割清算。

过去：由于核身技术的局限性，用户也不得不依托实体核身工具验证身份，比如银行卡、USB Key等。例如密码、验证码等传统线上核身手段较为简单，具有安全隐患，迫使银行业限制移动金融业务的办理范围，仅能在线下网点为客户提供完整的银行服务。

生物核身优势：与传统加密和解锁方式不同，生物识别技术具有随身“携带”、防伪性能好、私密性强、具有唯一性等优点，其在安全性上的出色表现，为银行远程核身提供了更为可靠的手段，帮助银行业迈向更广阔的自助及移动金融服务领域。

案例：招商银行APP5.0中人脸识别技术的应用，让一些原本仅能在线下网点办理的业务，例如大额转账等，在手机上就能完成。

自然交互：用户视角重构银行服务

自然交互，即客户可以使用指纹、声音、人脸等自然语言直接与机器发生交互。

过去：由于技术限制，人被迫主动适应机器，客户必须依托银行卡等核身工具核实身份，输入机器读得懂的机器语言，例如密码或文字等才能享受银行服务，银行业也仅能以卡视角为用户提供割裂的金融服务，用户体验较差。

现在：用户无需再特意记忆密码或输入文字，用指纹快速登录账户，说话即可搜索想要内容，而办理某些业务，例如大额转账时更无需再到柜台，直接人脸识别即可，非常简单便捷。此外，该APP的搜索功能，还应用了语义分析技术，能智能识别自然生活用语，精准为用户搜出相关功能。例如，用户输入“打钱”，APP能智能为用户推荐“转账汇款”功能。

案例：招商银行率先从卡视角转变为用户视角，转产品导向为客户导向，在招商银行APP5.0中综合应用指纹登录、人脸识别、语音搜索等生物识别技术，使手机银行能够读懂客户的指纹、声音、人脸等自然语言，节省了客户的人机交互成本，为客户提供了自然流畅的服务体验。

3.人脸和声纹的应用情况

人脸

发展：人脸不管是技术还是系统方面都经历了爆发式的发展，10年成立了很多的创业公司，有大量的公司进入这个行业。这里有四个大的人脸识别公司，估值超过十亿美元。从市场角度看，也是爆发式的发展，预计有51.36亿元，从技术角度发展的相当快，识别率从74%到了92%左右。

爆发的原因：有四点，第一就是手机很普及，手机有摄像头就可以拍到人脸，这是最基础的采集设备。人脸的数据到处都有，包括证件、监控摄像头、相册、社交网络，有了大量的数据对算法的是很有利的，基于深度学习的技术会慢慢的成熟，识别率也是足够应用的，这样时候才会产生真正的商业价值。最后一点也很重要，这种生物识别技术人都可以接受，因为我们认识这个人最简单的都是通过人脸，这是跟人的感受是一致的，它会成为一种能接受的技术。

声纹

发展：这个技术会慢慢成熟起来，10多年以前主要应用在公共领域，比如说通过电话的录音监控逃犯，最主要公安在用。15年慢慢有一些民用的产品，包括我们腾讯15年微信有了声纹锁，也有基于身份的验证服务，也是利用的声纹，科大讯飞在司法鉴定、汽车满意度调查，以及安徽的移动客服、银行都已经用声纹技术。在建行系统里面也用了声纹认证进行交易，交易次数已经超过1.4亿次。据我了解招行也在客服和APP上进行推广声纹的应用。

4. 技术优势与风险

优势与特征

通用性：在任何人身上都可以找到独特性：不同的个体之间存在区别永久性：随着时间推移不会发生重大变化可记录性：可以转换为特定编码并进行存储可衡量性：支持对进行数据比较和衡量

风险

任何数据都存在被黑客入侵的风险，尤其是生物特征数据尤其受到关注。随着生物核身技术应用越来越广泛，很多数据没有得到应有的安全保护；与其他种类数据相比，生物特征数据更容易受到攻击。密码可以更改，但是指纹、虹膜等特征无法更改，这意味着一旦发生数据泄露，生物特征将不受控制；某些生物特征可以被复制。例如，恶意人员从远处拍摄面部的高分辨率照片，或者从咖啡馆的被子上复制指纹等。这些信息会被利用与入侵设备或账户；生物核身技术相关法律还不完善，将涉及严重的个人隐私问题。

生物核身主要的安全风险和挑战包括：

欺骗攻击

任何生物核身系统都具有缺陷，恶意人员会利用系统的缺陷来欺骗系统，系统将恶意人员识别成为授权用户。这种局限性称之为FAR（错误接受率或错误匹配率），即错误认证通过的次数占总认证次数的比例，也即成功欺骗的比例。例如2019年美国黑帽大会上，有研究人员通过眼镜和黑色胶带解锁iPhone面部识别。可见任何系统都是存在缺陷的，FAR永远不会等于零。生物核身技术需要将FAR尽量降到最低，目前主流技术声称FAR为0.0001%到0.1%，但实际数据往往要高于实验数据，数据往往受到环境、硬件和软件的影响，这种风险不可忽视。对于欺骗攻击的风险，可以通过生物核身技术的不断发展和进步，减少系统缺陷以降低风险。

仿造攻击

恶意人员往往会仿造合法人员的生物特征来获取授权，尤其是针对一些老旧的或安全性较低的生物核身系统。例如可以收集残留在门把手或咖啡杯上的指纹，并用树脂硅胶或其他材料来制作仿造指纹；高分辨率的照片会拍摄虹膜形状；3D打印人脸或包含面部识别的视频剪辑仿造人脸识别等。新一代的生物核身系统已经增强了对仿造攻击的防护，但恶意人员从未停止对仿造攻击方法的探索。需要提高系统识别欺骗攻击的方式和模式的能力，并实施相关技术对策以降低这种风险。

数据安全风险

由于生物特征无法更改，一旦泄露将不受拥有者的控制，因此生物特征数据比普通数据具有更高的安全风险，需要采取相应的数据安全解决方案来保障生物特征数据采集、存储、传输、应用全过程的安全。除了技术手段之外，法律法规层面对于数据安全和隐私保护也很关键。

5. 案例：阿里应用生物识别技术

阿里实人认证

就是通过生物识别以及大数据的识别确保网络身份是持续有效、真实和风险低的，也就是说你注册一个帐号以后，要通过实人认证，一定知道背后用这个帐号是一个真实的人，我随时可以找到他，这就是实人认证，我的目的就通过实人认证以后能够防范身份的风险，确保身份的真实有效。

实人认证背景

（1）国家的监管：2017年6月1号发布了《网络安全法》还有别的法规，规定了网上业务必须进行实名、实人的认证，比如微信群主现在也需要实名认证。

（2）阿里的生态或者各个网络生态来说平台管理也需要：最常见的黑产、灰产会做一些违法的行为，比如说黄赌毒、刷单、水军、黄牛等等，这些行为背后一定会利用注册帐号才能做这些行为。但是如果经过实人认证以后，就知道用这个帐号的背后人是谁，对这些非法的违法分子有一个很强的震慑作用，因为随时可以找到他，他就不敢干这个事。

（3）建立相互信任的交易环境：如果我们对登录的用户都进行实人认证以后，可以建立相互信任的交易环境。

实人认证的核心功能

核心目标：跟大家一起共建互联网的安全生态

（1）身份存在：当你做认证的时候需要你上传你的证件，比如身份证、照片，我们通过ocr识别技术把你的姓名、号码识别出来，这时候通过权威的官网去查验证明号码以及姓名是否真实存在，如果存在表明这个人是真实的，这个身份我们这里真实存在的。

（2）是否真实有效：我们通过实时利用手机镜头拍照片，把这张照片跟证件照片比对，通过人脸识别技术看看是否同一个人，我们拍的照片保证是真人活人的照片。我们通过活体检测技术，保证镜头前面是一个活人，是他本人，保证了真实有效。

（3）为了保护生态安全： 去看看注册的这个人是否是一个有风险的人，是否已经干过什么坏事，这时候阿里最大的风险数据库，包括黑名单，包括设备信息还有手机信息，我就知道注册这个人的风险程度是怎么样的，而且进行变化情况进行动态的风险跟踪，如果发现有帐号的买卖行为，我们要让他再认证一次，来核实身份。

实人认证的数据及应用场景

在淘宝上开店一定是要经过实人认证的才能有开店的资格。比如闲鱼已经推行全网的实名认证，如果你经过实人认证以后，你的人头像有一个标签表示认证过了，有了这个标签以后就给交易的双方带来一定的信任度。阿里通信，网上买手机卡，那手机卡要开卡，那根据国家规定一定要实名制的，否则这个卡就不能用。在阿里通信买了以后有一个激活的按纽，如果是真实名制就完成了，这个手机卡就激活了，因为阿里通信获得了通信部认可唯一的网络在线的发卡渠道。飞猪有一个在线办理签证，首先是日本，签证也是个很严肃的问题，背后一定要做过实人认证的。跟杭州交警、上海交警进行合作（两个app），也用了我们的实人认证，你才可以缴罚款，查违法信息等等。（17年到现在20年）其实还丰富做了城市服务的认证（社保、公积金查询）开放接口给其他场景：网吧、酒店入住、机场都用了，新零售淘咖啡、百安居

实人认证的技术本身及优化空间

包括实人认证基于移动为主，你会发现这些不法分子会对人脸识别系统进行攻击，拿照片在镜头上晃一下，或者拿视频在镜头上播放，或者戴一个面具，骗过人脸识别系统。我们在实人认证看到一些实际的攻击案例，具体包括照片攻击，还有PPT攻击，包括事先录制的视频，还有3D软件合成，还有面具等等这些攻击行为。大家看3D软件合成，今年的315晚会报道了这个事情，记者拿着一个照片成功的骗过的人脸识别系统，原因就是它缺乏了一个重要的一环就是活体检测，活体检测的主要目的是确保镜头面前是一个真实的大活人，而不是一个照片，或者是面具或者是视频。这一点可以说在手机应用中直接决定的我们整个移动系统的人脸识别系统是否可用，但是从技术角度来说，目前来看这个活体检测技术做得还是不够好，跟实际的应用需求还是不匹配的。

活体检测

首先是一个人脸皮肤纹理、肤色，还可以三维，人脸大小，还有皮肤的温度，对光线的反射不一样，还有脸上有微小的脉搏，还有皮肤的弹性。自发行为是每个活的人表情哪怕不笑，还有微姿态，还有眨眨眼，还有眼动一下。

最后是交互能力，可以邀请他做一些动作，摇头、点头、笑一下，或者动一下手机等，或者让他说话，或者注视一下屏幕等等，从这些就可以做到活体检测。当然另一方面我们可以检测出哪些是假的，主要局限的攻击是翻拍照片或者是视频，这时候会有反光，然后出现边框，还有刷新频率，光源位置等等。那我们就可以来研发一个活体检测的系统。

为了解决这么多攻击有两种手段，一个是从硬件角度来考虑，一个是软件角度来考虑，硬件角度考虑最明显的例子就是苹果10，它利用了三维立体相机，还有红外相机，就能够解决所有的攻击。但是对于我们普通手机而言，各种行为手机以及自拍的镜头，我们能做的这些都是没有办法的。因为我们没有。普通手机没有3D相机和红外相机，这时候怎么办？

只能用这些软件的方法来识别出来是否是一个活人，包括我们可以邀请他做一些简单的交互动作，比如点头、微笑，还可以做3D检测，包括照片纹理翻拍的检测，利用这些手段达到活体检测的目的。

5. 生物特征数据保护

欧盟数据保护

2018年5月25日，欧盟出台《通用数据保护条例》（GDPR），生物特征数据得到明确定义和保护，迈出了具有国际影响力的数据和隐私保护的重要的一步。

GDPR将生物特征数据定义为“个人数据的特殊类别”，并禁止对其进行处理。更准确的说，生物特征数据是“与自然人的身体、生理或行为特征有关的特定技术处理产生的个人数据，是自然人的唯一表示，例如面部画像或指纹数据。”该法规规定欧盟居民对个人数据和生物数据具有控制权，保护欧盟公民和长期居民在未经其同意的情况下不与第三方共享其信息。为了使生物核身安全工作，必须适当保护公民权利，并谨慎、合理地管理私人和公共组织收集的数据。

美国数据保护

美国没有统一的、联邦性法律规范个人数据保护，尤其是在生物核身方面的数据收集和使用，各个州根据自身情况制定相关法律。

2018年6月加州通过消费者隐私法案（CCPA），该法案加强了加州居民的隐私权和消费者权益保护，具体权利包括：访问数据、删除数据、接收数据、退出选项、禁止销售数据等，是美国数据隐私法律的典范。

6. 机会

6.1 AI驱动生物核身

AI人工智能在许多领域引领了颠覆性的变化，尤其是在网络安全方面具有非常大的潜力。将AI和生物核身技术结合在一起，可以创建安全的身份验证机制，有助于提高生物核身系统针对欺骗攻击、仿造攻击的防御能力，有效降低安全风险。AI和生物核身技术可以通过以下方式协同工作：

面部识别

通过AI对上百万张图像进行学习训练，可以提高面部识别精准度，并结合3D生物核身技术实现身份验证。同时AI可以使用预测模型来分析衰老对人脸的影响。借助大量的面部数据，AI和生物核身技术可以创建更精确的身份验证模型。

语音识别

语音识别中的AI可以使用数百万个不同用户的语音样本训练生物核身系统，可以通过分析人的语音模式（语速、语调、口音等）来确定声纹特征，通过声纹特征可以快速并精确的进行身份验证。

步态检测

步态检测是一种根据个人的行走方式进行身份验证的方法，AI驱动的步态检测借助传感器来分析人的步伐，进行训练并形成步态特征，基于步态特征进行身份鉴别。

技术的不断发展使得生物核身技术面临诸多挑战，仅仅根据生理特征或行为特征已经无法满足身份验证的安全要求。将生理特征和行为特征进行结合，同时叠加AI人工智能技术，通过样本训练的方式可以有效提高身份鉴别精准度，AI驱动将会是生物核身技术的主要发展方向，相信会有更广阔的的市场空间。

参考资料

综合应用生物识别技术 招商银行智能核身引领同业生物核身技术的安全挑战与发展趋势【生物识别】阿里巴巴在移动端核身技术实践AI助力安防行业向智能化转型上海 CA 王天华：如何把“钥匙”装进手机| 浅谈·IFAA 联盟（一）