本文节选自《金融电子化》2018年5月刊
作者:招商银行信息技术部渠道安全负责人 陈曦
行业背景:随着Bank3.0时代到来,客户的日常交易呈向线上迁移的趋势,智能终端几乎成为现代人肌体的一部分,客户的生活、消费、获取信息、金融服务高度依赖智能手机等电子终端。
当前问题:如何在满足客户移动金融服务需求的同时,兼顾自然流畅的交互体验,从而获得客户认同,是银行业亟需解决的问题。
应对措施:作为业内金融科技创新的先行者,招商银行始终把握科技动向和用户需求,运用科技创新来提升产品服务。招商银行APP5.0率先将目前主流的生物识别技术集大全应用实践,致力于为客户创新性提供更安全、更便捷的移动金融服务。
技术创新源于洞悉需求挖掘风险
近年来,商业银行交易规模迅猛发展,对于客户信息安全保护要求也日益增高。如何在不断加强身份认证的同时,保证客户体验,为客户提供更便捷更高效的服务,是银行一直不断探索研究的问题。面对支付规模增长与客户信息安全问题日益尖锐的矛盾,传统认证方式面临诸多挑战,生物特征识别技术凭借其诸多优势,成为新时期身份认证的最佳选择。
一项生物识别技术能否被成功商业化应用,取决于在相应应用场景下识别精度、硬件普及率以及便利性方面的表现。对于银行业移动端APP业务渠道,声纹、静脉、虹膜等生物识别技术在识别精度、硬件普及率及便利性方面表现不尽如人意。声纹识别鲁棒性较差,静脉、虹膜设备普及率低。相对声纹、静脉、虹膜等生物识别技术,人脸与指纹识别技术更契合银行业发展需求,人脸认证可提升认证的安全级别,指纹认证可简化操作流程,改善客户体验,因此当前在银行业应用最广泛。招商银行在相关产品应用实践中,通过梳理分析生物识别、认证、比对等各环节,发现存在两个潜在问题:
1、安全隐患
人脸识别包含人脸比对和活体检测两个环节,但其中活体检测环节存在着较大安全隐患。攻击者可在互联网等公共渠道取得合法用户的人脸特征,并构造伪冒介质欺骗认证系统。依据攻击媒介差异攻击方式主要可分为静态图像攻击和动态屏幕攻击两类。静态图像类攻击,是指借助打印照片、胶皮面具、孔洞照片等静态媒介进行伪冒攻击;动态屏幕类攻击,是指通过手机、平板、投影屏幕等播放视频或图片进行伪冒攻击。
指纹认证结果存在篡改攻击安全隐患。指纹认证过程涉及到指纹的识别及识别结果的安全传递,包括可信执行环境TEE(Trusted Execution Environment)——REE(Rich Execution Environment)环境——服务端多个认证实体间的信任链延伸。其中TEE与REE交互部分以及REE与服务端交互部分容易存在病毒、木马或中间人对认证结果的篡改攻击。
2、覆盖有限
由于设备兼容性、使用习惯等问题,仍有很大一部分用户在使用传统密码进行身份认证,没有享受到人脸、指纹等生理特征识别技术的安全便利。然而黑产盛行的今天,大量用户账户信息被从第三方渠道进行拖库盗取,经黑色产业链分销买卖后实施诈骗,因此单纯的依靠密码已经无法有效验证用户身份。对于这部分客户,如何增强其传统密码验证环节的安全等级,也是银行面临的挑战之一。
磨砺技术生物识别安全再加强
1、人脸认证安全加强
针对人脸识别伪冒攻击风险,招商银行基于认证时眨眼、摇头等运动特征和介质信息、图片纹理、三维结构等图像特征,设计了一套前后端一体化的人脸识别活体检测方案。前端对客户进行眨眼、摇头、抬头等随机动作序列检测,通过条件随机场景模型完成推理判断。后端使用微调策略优化的卷积神经网络二分类防攻击模型,以屏幕边框、图像波纹、屏幕反光、图像色调、像素点纹理、镜头形变等失真特征作为真假人脸判别线索,进行建模分类完成检测,可有效实现对于各类静态图像及动态视频类的攻击检测。
2、指纹认证安全加强
招商银行基于可信执行环境TEE,实现了一套通用的指纹识别安全认证方案,有效保护了TEE与REE、REE到服务端的交互逻辑。通过TEE可信执行环境硬件隔离技术,实现了私钥的安全隔离存储,并对设备终端进行安全环境检测,保证客户端本地TEE与REE交互安全;通过对交易数据签名及链路HTTPS加密传输等,实现了对认证链路的安全增强,在保证高安全强度的同时实现了轻量通用化的交互验证,可有效抵御认证链路过程中的网路窃听、中间人篡改等威胁。
3、同业首创操作特征识别
针对仍在使用传统密码进行身份认证的客户,招商银行基于传感器信息,在金融行业首先实现了基于操作行为特征的身份认证。前端大量精细化的特征提取工作,有效降低了需交互的数据量。而后端通过模型融合,精准刻画了用户的风险画像,可有效区分是否为真人操作及是否为用户本人操作。
4、多维度生物特征安全认证体系
基于生物特征识别技术,招商银行融合人脸识别、指纹识别、操作特征识别构建了一套多维度生物特征认证体系,为用户金融业务身份认证提供方便、灵活、有效的解决方案。由于单一维度生物识别技术有局限性,而多维度生物特征识别技术可以充分利用各生物特征识别技术优势,具有更好的安全性、准确性及灵活性,认证及识别过程将更加精准、安全、有效。通过建立全行统一的客户生物特征库,对外提供了统一的认证管控服务,实现了对认证要素和认证服务的统一管理。认证平台的建立,进一步提升了招商银行的风险防控能力和客户服务水平。
图 生物特征安全认证体系
生物识别安全护航推动业务拓展
在金融科技新时期,客户已不再只局限于银行特定的渠道或产品,而是根据自身需求与服务体验进行自主选择。招商银行一直以来坚持敏锐把握市场动态和用户需求,通过人工智能、大数据、生物识别等技术创新实践,强化安全保障,从而创新金融服务模式,为客户提供更个性、高效、全面的产品服务。
1、智能身份认证拓展银行服务边界
金融交易的三要素是身份认证、授权以及资金的交割清算。过去,由于身份认证技术的局限性,用户不得不依托实体工具验证身份,比如银行卡、USBKey等。诸如密码、验证码等传统线上身份认证手段,由于具有安全隐患,迫使银行业限制移动金融业务的办理范围,仅能在线下网点为客户提供完整的银行服务。
与传统加密和解锁方式不同,生物识别技术具有随身携带、防伪性能好、私密性强、具有唯一性等优点,其在安全性上的出色表现,为银行远程身份认证提供了更为可靠的手段,帮助银行业迈向更广阔的自助及移动金融服务领域。招商银行APP5.0中人脸识别技术的应用,让一些原本仅能在线下网点办理的业务,如大额转账等,在手机上就能完成。
生物识别的应用使银行产品服务更智能。招商银行通过在APP5.0的登录和支付场景中引入指纹、人脸等生物特征认证,有效精简了用户的认证过程,提升了支付交易的便捷性和安全性,节省了短信动态验证码发送费用支出,同时防范了手机遭受木马、伪基站等黑客拦截短信验证码的风险。
生物识别已成为金融风险管控的重要环节。基于完备的生物特征认证体系,招商银行构建了基于风险分级的多层、纵深、实时的风险管控平台。实现了客户从登录、查询、支付到转账等全场景全流程的风控覆盖,毫秒级判定客户交易风险,实时分发风险策略管控风险交易,调用传统密码、验证码、指纹登录、人脸识别等多元组合身份认证手段,为客户提供多重账户信息和资金安全防护。
2、自然交互以用户视角重构银行服务
自然交互,即客户可以使用指纹、人脸等自然语言直接与机器发生交互。过去由于技术限制,人被迫主动适应机器,客户必须依托银行卡等身份认证工具进行身份认证,输入机器读得懂的机器语言,例如密码或文字等才能享受银行服务,银行业也仅能以卡视角为用户提供割裂的金融服务,用户体验较差。
招商银行率先从卡视角转变为用户视角,变产品导向为客户导向,在招商银行APP5.0中综合应用指纹登录、人脸识别、操作行为识别等生物识别技术,使手机银行能够读懂客户的指纹、人脸等自然语言,节省了客户的人机交互成本,为客户提供了自然流畅的服务体验。用户无需再特意记忆密码或输入字符,使用指纹即可快速登录账户;大额转账时更无需再到柜台,直接人脸识别即可等。
招商银行始终坚持从用户视角出发,创新应用生物识别新技术,在保障消费者账户信息与资金安全的前提下,为客户提供绝佳的移动金融服务体验。招商银行APP5.0通过综合应用生物识别技术与智能风控策略,使银行业务能够更精准、更安全地实现远程身份认证,率先进入银行业的智能身份认证时代。未来银行服务将不再被局限在物理网点,而是将深度渗入客户各种生活场景中去,无论何时何地都能即时满足客户需求,银行服务将无处不在。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。