編者按：本文描述了招商銀行如何通過生物識別技術創新金融服務模式，為客戶提供個性、高效、全面的產品服務。

　　行業背景：隨著Bank3.0時代到來，客戶的日常交易呈向線上遷移的趨勢，智能終端幾乎成為現代人肌體的一部分，客戶的生活、消費、獲取信息、金融服務高度依賴智能手機等電子終端。

　　當前問題：如何在滿足客戶移動金融服務需求的同時，兼顧自然流暢的交互體驗，從而獲得客戶認同，是銀行業亟需解決的問題。

　　應對措施：作為業內金融科技創新的先行者，招商銀行始終把握科技動向和用戶需求，運用科技創新來提升產品服務。招商銀行APP5.0率先將目前主流的生物識別技術集大全應用實踐，致力于為客戶創新性提供更安全、更便捷的移動金融服務。

　　技術創新源于洞悉需求挖掘風險

　　近年來，商業銀行交易規模迅猛發展，對于客戶信息安全保護要求也日益增高。如何在不斷加強身份認證的同時，保證客戶體驗，為客戶提供更便捷更高效的服務，是銀行一直不斷探索研究的問題。面對支付規模增長與客戶信息安全問題日益尖銳的矛盾，傳統認證方式面臨諸多挑戰，生物特征識別技術憑借其諸多優勢，成為新時期身份認證的最佳選擇。

　　一項生物識別技術能否被成功商業化應用，取決于在相應應用場景下識別精度、硬件普及率以及便利性方面的表現。對于銀行業移動端APP業務渠道，聲紋、靜脈、虹膜等生物識別技術在識別精度、硬件普及率及便利性方面表現不盡如人意。聲紋識別魯棒性較差，靜脈、虹膜設備普及率低。相對聲紋、靜脈、虹膜等生物識別技術，人臉與指紋識別技術更契合銀行業發展需求，人臉認證可提升認證的安全級別，指紋認證可簡化操作流程，改善客戶體驗，因此當前在銀行業應用最廣泛。招商銀行在相關產品應用實踐中，通過梳理分析生物識別、認證、比對等各環節，發現存在兩個潛在問題：

　　1.安全隱患

　　人臉識別包含人臉比對和活體檢測兩個環節，但其中活體檢測環節存在著較大安全隱患。攻擊者可在互聯網等公共渠道取得合法用戶的人臉特征，并構造偽冒介質欺騙認證系統。依據攻擊媒介差異攻擊方式主要可分為靜態圖像攻擊和動態屏幕攻擊兩類。靜態圖像類攻擊，是指借助打印照片、膠皮面具、孔洞照片等靜態媒介進行偽冒攻擊；動態屏幕類攻擊，是指通過手機、平板、投影屏幕等播放視頻或圖片進行偽冒攻擊。

　　指紋認證結果存在篡改攻擊安全隱患。指紋認證過程涉及到指紋的識別及識別結果的安全傳遞，包括可信執行環境TEE（Trusted Execution Environment）——REE（Rich Execution Environment）環境——服務端多個認證實體間的信任鏈延伸。其中TEE與REE交互部分以及REE與服務端交互部分容易存在病毒、木馬或中間人對認證結果的篡改攻擊。

　　2.覆蓋有限

　　由于設備兼容性、使用習慣等問題，仍有很大一部分用戶在使用傳統密碼進行身份認證，沒有享受到人臉、指紋等生理特征識別技術的安全便利。然而黑產盛行的今天，大量用戶賬戶信息被從第三方渠道進行拖庫盜取，經黑色產業鏈分銷買賣后實施詐騙，因此單純的依靠密碼已經無法有效驗證用戶身份。對于這部分客戶，如何增強其傳統密碼驗證環節的安全等級，也是銀行面臨的挑戰之一。

　　磨礪技術生物識別安全再加強

　　1.人臉認證安全加強

　　針對人臉識別偽冒攻擊風險，招商銀行基于認證時眨眼、搖頭等運動特征和介質信息、圖片紋理、三維結構等圖像特征，設計了一套前后端一體化的人臉識別活體檢測方案。前端對客戶進行眨眼、搖頭、抬頭等隨機動作序列檢測，通過條件隨機場景模型完成推理判斷。后端使用微調策略優化的卷積神經網絡二分類防攻擊模型，以屏幕邊框、圖像波紋、屏幕反光、圖像色調、像素點紋理、鏡頭形變等失真特征作為真假人臉判別線索，進行建模分類完成檢測，可有效實現對于各類靜態圖像及動態視頻類的攻擊檢測。

　　2.指紋認證安全加強

　　招商銀行基于可信執行環境TEE，實現了一套通用的指紋識別安全認證方案，有效保護了TEE與REE、REE到服務端的交互邏輯。通過TEE可信執行環境硬件隔離技術，實現了私鑰的安全隔離存儲，并對設備終端進行安全環境檢測，保證客戶端本地TEE與REE交互安全；通過對交易數據簽名及鏈路HTTPS加密傳輸等，實現了對認證鏈路的安全增強，在保證高安全強度的同時實現了輕量通用化的交互驗證，可有效抵御認證鏈路過程中的網路竊聽、中間人篡改等威脅。

　　3.同業首創操作特征識別

　　針對仍在使用傳統密碼進行身份認證的客戶，招商銀行基于傳感器信息，在金融行業首先實現了基于操作行為特征的身份認證。前端大量精細化的特征提取工作，有效降低了需交互的數據量。而后端通過模型融合，精準刻畫了用戶的風險畫像，可有效區分是否為真人操作及是否為用戶本人操作。

　　4.多維度生物特征安全認證體系

　　基于生物特征識別技術，招商銀行融合人臉識別、指紋識別、操作特征識別構建了一套多維度生物特征認證體系，為用戶金融業務身份認證提供方便、靈活、有效的解決方案。由于單一維度生物識別技術有局限性，而多維度生物特征識別技術可以充分利用各生物特征識別技術優勢，具有更好的安全性、準確性及靈活性，認證及識別過程將更加精準、安全、有效。通過建立全行統一的客戶生物特征庫，對外提供了統一的認證管控服務，實現了對認證要素和認證服務的統一管理。認證平臺的建立，進一步提升了招商銀行的風險防控能力和客戶服務水平。

生物特征安全認證體系

　　生物識別安全護航推動業務拓展

　　在金融科技新時期，客戶已不再只局限于銀行特定的渠道或產品，而是根據自身需求與服務體驗進行自主選擇。招商銀行一直以來堅持敏銳把握市場動態和用戶需求，通過人工智能、大數據、生物識別等技術創新實踐，強化安全保障，從而創新金融服務模式，為客戶提供更個性、高效、全面的產品服務。

　　1.智能身份認證拓展銀行服務邊界

　　金融交易的三要素是身份認證、授權以及資金的交割清算。過去，由于身份認證技術的局限性，用戶不得不依托實體工具驗證身份，比如銀行卡、USBKey等。諸如密碼、驗證碼等傳統線上身份認證手段，由于具有安全隱患，迫使銀行業限制移動金融業務的辦理范圍，僅能在線下網點為客戶提供完整的銀行服務。

　　與傳統加密和解鎖方式不同，生物識別技術具有隨身攜帶、防偽性能好、私密性強、具有唯一性等優點，其在安全性上的出色表現，為銀行遠程身份認證提供了更為可靠的手段，幫助銀行業邁向更廣闊的自助及移動金融服務領域。招商銀行APP5.0中人臉識別技術的應用，讓一些原本僅能在線下網點辦理的業務，如大額轉賬等，在手機上就能完成。

　　生物識別的應用使銀行產品服務更智能。招商銀行通過在APP5.0的登錄和支付場景中引入指紋、人臉等生物特征認證，有效精簡了用戶的認證過程，提升了支付交易的便捷性和安全性，節省了短信動態驗證碼發送費用支出，同時防范了手機遭受木馬、偽基站等黑客攔截短信驗證碼的風險。

　　生物識別已成為金融風險管控的重要環節?；谕陚涞纳锾卣髡J證體系，招商銀行構建了基于風險分級的多層、縱深、實時的風險管控平臺。實現了客戶從登錄、查詢、支付到轉賬等全場景全流程的風控覆蓋，毫秒級判定客戶交易風險，實時分發風險策略管控風險交易，調用傳統密碼、驗證碼、指紋登錄、人臉識別等多元組合身份認證手段，為客戶提供多重賬戶信息和資金安全防護。

　　2.自然交互以用戶視角重構銀行服務

　　自然交互，即客戶可以使用指紋、人臉等自然語言直接與機器發生交互。過去由于技術限制，人被迫主動適應機器，客戶必須依托銀行卡等身份認證工具進行身份認證，輸入機器讀得懂的機器語言，例如密碼或文字等才能享受銀行服務，銀行業也僅能以卡視角為用戶提供割裂的金融服務，用戶體驗較差。

　　招商銀行率先從卡視角轉變為用戶視角，變產品導向為客戶導向，在招商銀行APP5.0中綜合應用指紋登錄、人臉識別、操作行為識別等生物識別技術，使手機銀行能夠讀懂客戶的指紋、人臉等自然語言，節省了客戶的人機交互成本，為客戶提供了自然流暢的服務體驗。用戶無需再特意記憶密碼或輸入字符，使用指紋即可快速登錄賬戶；大額轉賬時更無需再到柜臺，直接人臉識別即可等。

　　招商銀行始終堅持從用戶視角出發，創新應用生物識別新技術，在保障消費者賬戶信息與資金安全的前提下，為客戶提供絕佳的移動金融服務體驗。招商銀行APP5.0通過綜合應用生物識別技術與智能風控策略，使銀行業務能夠更精準、更安全地實現遠程身份認證，率先進入銀行業的智能身份認證時代。未來銀行服務將不再被局限在物理網點，而是將深度滲入客戶各種生活場景中去，無論何時何地都能即時滿足客戶需求，銀行服務將無處不在。
（本文作者系招商銀行信息技術部渠道安全負責人）

責任編輯：Rachel