【生物識別】阿里巴巴在移動端核身技術實踐

導語：利用生物識別技術進行身份認證、人機交互已經成爲不少移動端產品的重要趨勢。阿里實人認證技術能夠利用活體檢測、人臉對比等並結合權威數據源與阿里實人可信模型，斷定用戶身份真實性、有效性的在線身份校驗服務。阿里聲紋識別技術應用於阿里系平臺的用戶身份覈驗，能夠經過聲紋識別技術進行手機淘寶的密碼修改，生物特徵標識能夠爲移動端設備提供額外更多的安全性。

王炎：你們上午好。我是來自阿里巴巴集團安所有生物識別團隊的王炎。下面我來給你們介紹一個時下比較熱門的話題就是生物識別，就是阿里巴巴在移動端核身技術實踐。我分爲四個部分跟你們介紹：

第一個是生物識別簡單的概況
而後講一下在阿里巴巴咱們怎麼利用生物識別。
最後兩個講兩個生物識別技術，一我的臉識別、一個聲紋識別，在手機移動應用的狀況。

**

<一>

**

這裏列出了比較常見和比較經常使用的八種人類的生物特徵，指紋跟人臉這是最多見的，如今蘋果手機都已經利用這兩個技術進行解鎖整機了，掌型、聲音、虹膜、靜脈都有了，視網膜和步態這是尚未推廣開來的技術。

生物特徵應該具有這三個特性：

——第一個是惟一的，每個人都是獨特的。

——第二個特性它是個很穩定的，終身長期不變的，是相對穩定的特徵。生物特徵它跟別的鑰匙、密碼、磁卡這些容易丟失的不同，由於你本人就是通行證，只要你人在生物特徵就在。

——第三，若是要利用起來，那麼它必定是可採集的，並且機器能夠利用它進行識別，好比說人臉、虹膜能夠經過攝像頭採集，聲音能夠經過麥克風採集。

這六個生物特徵我簡單分析一下，從精準度，虹膜、靜脈是高的，防僞最強的是靜脈，防僞就是看做假能力，指紋是通常的，咱們從淘寶網上能夠買的紙膜，中間的四個生物特徵必定會有，專業的設備纔可以作到的，只有人臉和聲音全部手機均可以採集到的特徵。當咱們應用場景是面對全部的手機用戶的時候，好比說咱們淘寶、支付寶、微信這些APP要安裝在大衆上的手機，這個時候就要人臉和聲音能夠進行採集。

我接下來向你們分享一下人臉和聲音這兩個生物特徵的應用狀況。人臉無論是技術仍是系統方面都經歷了爆發式的發展，10年成立了不少的創業公司，有大量的公司進入這個行業。這裏有四個大的人臉識別公司，估值超過十億美圓。從市場角度看，也是爆發式的發展，預計有51.36億元，從技術角度發展的至關快，識別率從74%到了92%左右。

爲何人臉的識別產品可以爆發，爆發的緣由有四點，第一就是手機很普及，手機有攝像頭就能夠拍到人臉，這是最基礎的採集設備。人臉的數據處處都有，包括證件、監控攝像頭、相冊、社交網絡，有了大量的數據對算法的是頗有利的，基於深度學習的技術會慢慢的成熟，識別率也是足夠應用的，這樣時候纔會產生真正的商業價值。最後一點也很重要，這種生物識別技術人均可以接受，由於咱們認識這我的最簡單的都是經過人臉，這是跟人的感覺是一致的，它會成爲一種能接受的技術。

咱們看最近一個多月的熱點：

*8月23號首都機場決定之後安檢會採用人臉識別系統
*8月30號青島的啤酒節上利用人臉級別系統一共抓了25位網上逃犯
*9月1號支付寶在杭州肯德基餐廳採用了人臉的刷臉支付，這種支付，連手機都不會須要
*9月10號北京的公租房政策上規定，之後會裝攝像頭，以確保入住跟註冊的人是一致的
*9月12號蘋果8發佈，裏面宣佈用人臉識別技術（faceID）代替指紋
*今年，阿里的年會用了阿里識別的技術刷臉進場

再一個是聲紋，這個技術會慢慢成熟起來，10多年之前主要應用在公共領域，好比說經過電話的錄音監控逃犯，最主要公安在用。15年慢慢有一些民用的產品，包括咱們騰訊15年微信有了聲紋鎖，也有基於身份的驗證服務，也是利用的聲紋，科大訊飛在司法鑑定、汽車滿意度調查，以及安徽的移動客服、銀行都已經用聲紋技術。在建行系統裏面也用了聲紋認證進行交易，交易次數已經超過1.4億次。據我瞭解招行也在客服和APP上進行推廣聲紋的應用。

**

<二>

**
下面看一下咱們阿里怎麼利用生物識別技術的。

這裏面向你們推薦咱們產品叫作阿里實人認證，就是經過生物識別以及大數據的識別確保網絡身份是持續有效、真實和風險低的，也就是說你註冊一個賬號之後，要經過實人認證，必定知道背後用這個賬號是一個真實的人，我隨時能夠找到他，這就是實人認證，個人目的就經過實人認證之後可以防範身份的風險，確保身份的真實有效。

咱們爲何要開發這麼一個產品？主要的背景有三點：

一、首先是國家的監管
如今咱們知道6月1號發佈了《網絡安全法》還有別的法規，規定了咱們網上業務必須進行實名、實人的認證，好比微信羣主如今也須要實名認證。

二、另外阿里的生態或者各個網絡生態來講平臺管理也須要
咱們最多見的黑產、灰產會作一些違法的行爲，好比說黃賭毒、刷單、水軍、黃牛等等，這些行爲背後必定會利用註冊賬號才能作這些行爲。可是若是咱們 通過實人認證之後，就知道用這個賬號的背後人是誰，對這些非法的違法分子有一個很強的震懾做用，由於隨時能夠找到他，他就不敢幹這個事。

三、若是咱們對登陸的用戶都進行實人認證之後，能夠創建相互信任的交易環境。

咱們利用這個產品最終目的跟你們一塊兒共建互聯網的安全生態。咱們實人認證的核心功能主要是三點，我講一下核心點：

第一個是身份存在
當你作認證的時候須要你上傳你的證件，好比身份證、照片，咱們經過ocr識別技術把你的姓名、號碼識別出來，這時候經過權威的官網去查驗證實號碼以及姓名是否真實存在，若是存在代表這我的是真實的，這個身份咱們這裏真實存在的。

第二步看是否真實有效，看使用者是不是真實的人
咱們經過實時利用手機鏡頭拍照片，把這張照片跟證件照片比對，經過人臉識別技術看看是否同一我的，咱們拍的照片保證是真人活人的照片。咱們經過活體檢測技術，保證鏡頭前面是一個活人，是他本人，保證了真實有效，

第三咱們爲了保護生態安全
還會去看看註冊的這我的是不是一個有風險的人，是否已經幹過什麼壞事，這時候阿里最大的風險數據庫，包括黑名單，包括設備信息還有手機信息，我就知道註冊這我的的風險程度是怎麼樣的，並且進行變化狀況進行動態的風險跟蹤，若是發現有賬號的買賣行爲，咱們要讓他再認證一次，來覈實身份。

咱們這個產品內部已經用了好久了，用了兩三年時間了，通過咱們實人認證的人數已經超過2億，服務場景已經超過60多個。
——————————————————
↓ 在淘寶上開店必定是要通過實人認證的纔能有開店的資格。
↓ 好比閒魚已經推行全網的實名認證，若是你通過實人認證之後，你的人頭像有一個標籤表示認證過了，有了這個標籤之後就給交易的雙方帶來必定的信任度。
↓ 再好比說阿里通訊，網上買手機卡，那手機卡要開卡，那根據國家規定必定要實名制的，不然這個卡就不能用。在阿里通訊買了之後有一個激活的按紐，若是是真實名制就完成了，這個手機卡就激活了，由於阿里通訊得到了通訊部承認惟一的網絡在線的髮卡渠道。
↓ 飛豬有一個在線辦理簽證，首先是日本，簽證也是個很嚴肅的問題，背後必定要作過實人認證的。
↓ 還跟杭州交警、上海交警進行合做（兩個app），也用了咱們的實人認證，你才能夠繳罰款，查違法信息等等。
——————————————————
咱們這個產品目前利用的數據有這些，首先從用戶體驗來講，用戶一次經過率達到95%。從企業角度來講自動化處理率高達96%，自動化處理很重要，這樣節省了人力成本。客戶體驗度很高，幾秒鐘就能夠認證完成了。再就是經過咱們實人認證之後，讓咱們整個阿里的平臺風險降低了80%。這個產品14號經過雲盾實人認證正式發佈。若是各位有須要的話，能夠經過阿里雲接入咱們的產品。

那關於實人認證如今也作了一些應用，好比說網吧、酒店入住、機場都用了，新零售淘咖啡、百安居都在用。另一個是聲紋識別的應用，咱們如今正在推廣階段，在手淘裏面作一個聲音的密保，具體路徑還比較深，這個產品剛剛開發出來不久，如今正在推廣階段，目前可以作的業務是密碼找回、密碼修改、手機綁定和解綁，接下來咱們會進一步的推廣。

**

<三>

**
前面講的是應用，如今再講一下技術自己，如今人臉識別比較火，這個技術門檻愈來愈低，由於有了深度學習，通常來講你有足夠的數據，不錯的網絡，識別率達到99%是很容易能夠作到的，這也就是爲何最近幾年涌現出大量的人臉識別的創業公司。可是這是否是就足夠了呢？

若是手機中的應用，包括實人認證基於移動爲主，你會發現這些不法分子會對人臉識別系統進行攻擊，拿照片在鏡頭上晃一下，或者拿視頻在鏡頭上播放，或者戴一個面具，騙過人臉識別系統。咱們在實人認證看到一些實際的攻擊案例，具體包括照片攻擊，還有PPT攻擊，包括事先錄製的視頻，還有3D軟件合成，還有面具等等這些攻擊行爲。你們看3D軟件合成，今年的315晚會報道了這個事情，記者拿着一個照片成功的騙過的人臉識別系統，緣由就是它缺少了一個重要的一環就是活體檢測，活體檢測的主要目的是確保鏡頭面前是一個真實的大活人，而不是一個照片，或者是面具或者是視頻。這一點能夠說在手機應用中直接決定的咱們整個移動系統的人臉識別系統是否可用，可是從技術角度來講，目前來看這個活體檢測技術作得仍是不夠好，跟實際的應用需求仍是不匹配的。

接下來我重點講一講活體檢測應該怎麼去作。

活體檢測能夠從兩個角度去分析它，一個是活人一個是活體，它自己會有哪些屬性。另一個角度是看攻擊者有哪些特徵。

咱們能夠從一些屬性進行分析：

首先是一我的臉皮膚紋理、膚色，還能夠三維，人臉大小，還有皮膚的溫度，對光線的反射不同，還有臉上有微小的脈搏，還有皮膚的彈性。自發行爲是每一個活的人表情哪怕不笑，還有微姿態，還有眨眨眼，還有眼動一下。

最後是交互能力，能夠邀請他作一些動做，搖頭、點頭、笑一下，或者動一下手機等，或者讓他說話，或者注視一下屏幕等等，從這些就能夠作到活體檢測。固然另外一方面咱們能夠檢測出哪些是假的，主要侷限的攻擊是翻拍照片或者是視頻，這時候會有反光，而後出現邊框，還有刷新頻率，光源位置等等。那咱們就能夠來研發一個活體檢測的系統。

爲了解決這麼多攻擊有兩種手段，一個是從硬件角度來考慮，一個是軟件角度來考慮，硬件角度考慮最明顯的例子就是蘋果10，它利用了三維立體相機，還有紅外相機，就可以解決全部的攻擊。可是對於咱們普通手機而言，各類行爲手機以及自拍的鏡頭，咱們能作的這些都是沒有辦法的。由於咱們沒有。普通手機沒有3D相機和紅外相機，這時候怎麼辦？

只能用這些軟件的方法來識別出來是不是一個活人，包括咱們能夠邀請他作一些簡單的交互動做，好比點頭、微笑，還能夠作3D檢測，包括照片紋理翻拍的檢測，利用這些手段達到活體檢測的目的。

咱們來看一下如今市面上主要的大公司怎麼作的，對普通手機而言作一些簡單交互的動做，包括點頭、搖頭或者是說話，再加上對翻拍鏡頭、照片、屏幕進行分析，客戶端進行動做的識別，服務器利用這個手段來實現活體的檢。咱們阿里巴巴也是這樣的，首先是動做檢測，而後是翻拍進行識別。如今咱們嵌入了最多見的都有了。

從國內專利申請角度來看一下，很明顯的看到都是從15年、16年有個爆發性的申請數量，15年之後人臉技術應用在爆發，大公司都在申請活體檢測相關這個技術。

**

<四>

**
最後一部分講一下聲紋識別，這個也叫說話識別。就是根據聲音來識別一我的聲音。有一個很好的地方，就是咱們全部的手機通麥克風就能夠採集聲音。主要有兩種狀況，一類叫聲音的確認，就是怎麼解決我是個人問題，好比你登陸賬號之後，我就說一句話來證實，根據這句話確認這個賬號是否是個人。另一種是辨認，我是誰的問題，好比幾十我的在講話，我怎麼知道這我的是某一我的。這兩種識別方法分爲兩類，一種是文本相關，一個是文本無關。好比不只識別聲音還要識別內容，我讓你念一下八位數字，聲音是你本人，並且裏面的數字還要對應起來，這時候叫文本相關。文本無關是電話監控系統，你只要有電話我就知道你這我的是誰，這叫文本無關。

這個聲紋識別技術的普通技術很類似。一個是離線提早訓練好聲音模型，經過預處理訓練一個模型，而後創建起來每個人的聲紋模型了，好比線上應用有一個聲音過來，我根據這個模型進行匹配打分，最後就能看到結果。這底下列了比較主流的具體方法，細節我就不一一說了。

聲音也有活體問題，聲音是否是現場的聲音，也會遇到一些攻擊。
攻擊包括最多見的是把聲音事先錄製好再回放，再就是聲音轉換。我能夠經過一些軟件把一我的的聲音變成另一我的的聲音。還有一個是合成，主要針對文本相關的時候。好比須要念八位的數字，文本方式輸入經過軟件合成出來。另一個就是模仿，好比口技比較厲害能夠模仿另一我的的聲音。
那針對這些攻擊咱們怎麼從技術上進行防範？
好比錄音有一些固定的內容，我讓他放着隨機的數字改變內容，就能夠防範錄音回放了。另外三種主要利用特徵提取，經過分類器的方法防範它。

目前生物識別的的確確經歷着爆發式的發展，尤爲是人臉識別，將來的一到兩年處處均可以看到人臉識別系統，尤爲是在中國。謝謝你們。

————————————————本文由阿里聚安全整理自速記稿，轉載請註明出處。