文章来源：由「百度新聞」平台非商業用途取用"http://m.sohu.com/a/199832258_472558"

導語：利用生物識別技術進行身份認證、人機交互已經成為很多移動端產品的重要趨勢。阿里實人認證技術可以利用活體檢測、人臉對比等并結合權威數據源與阿里實人可信模型，判定用戶身份真實性、有效性的在線身份校驗服務。阿里聲紋識別技術應用于阿里系平臺的用戶身份核驗，可以通過聲紋識別技術進行手機淘寶的密碼修改，生物特征標識可以為移動端設備提供額外更多的安全性。王炎：大家上午好。我是來自阿里巴巴集團安全部生物識別團隊的王炎。下面我來給大家介紹一個時下比較熱門的話題就是生物識別，就是阿里巴巴在移動端核身技術實踐。我分為四個部分跟大家介紹：第一個是生物識別簡單的概況然后講一下在阿里巴巴我們怎么利用生物識別。最后兩個講兩個生物識別技術，一個人臉識別、一個聲紋識別，在手機移動應用的情況。一這里列出了比較常見和比較常用的八種人類的生物特征，指紋跟人臉這是最常見的，現在蘋果手機都已經利用這兩個技術進行解鎖整機了，掌型、聲音、虹膜、靜脈都有了，視網膜和步態這是還沒有推廣開來的技術。展開剩余91%生物特征應該具備這三個特性：——第一個是唯一的，每一個人都是獨特的。——第二個特性它是個很穩定的，終身長期不變的，是相對穩定的特征。生物特征它跟別的鑰匙、密碼、磁卡這些容易丟失的不一樣，因為你本人就是通行證，只要你人在生物特征就在。——第三，如果要利用起來，那么它一定是可采集的，而且機器可以利用它進行識別，比如說人臉、虹膜可以通過攝像頭采集，聲音可以通過麥克風采集。這六個生物特征我簡單分析一下，從精準度，虹膜、靜脈是高的，防偽最強的是靜脈，防偽就是看作假能力，指紋是一般的，我們從淘寶網上可以買的紙膜，中間的四個生物特征一定會有，專業的設備才能夠做到的，只有人臉和聲音所有手機都可以采集到的特征。當我們應用場景是面對所有的手機用戶的時候，比如說我們淘寶、支付寶、微信這些APP要安裝在大眾上的手機，這個時候就要人臉和聲音可以進行采集。我接下來向大家分享一下人臉和聲音這兩個生物特征的應用情況。人臉不管是技術還是系統方面都經歷了爆發式的發展，10年成立了很多的創業公司，有大量的公司進入這個行業。這里有四個大的人臉識別公司，估值超過十億美元。從市場角度看，也是爆發式的發展，預計有51.36億元，從技術角度發展的相當快，識別率從74%到了92%左右。為什麼人臉的識別產品能夠爆發，爆發的原因有四點，第一就是手機很普及，手機有攝像頭就可以拍到人臉，這是最基礎的采集設備。人臉的數據到處都有，包括證件、監控攝像頭、相冊、社交網絡，有了大量的數據對算法的是很有利的，基于深度學習的技術會慢慢的成熟，識別率也是足夠應用的，這樣時候才會產生真正的商業價值。最后一點也很重要，這種生物識別技術人都可以接受，因為我們認識這個人最簡單的都是通過人臉，這是跟人的感受是一致的，它會成為一種能接受的技術。我們看最近一個多月的熱點：*8月23號首都機場決定以后安檢會采用人臉識別系統*8月30號青島的啤酒節上利用人臉級別系統一共抓了25位網上逃犯*9月1號支付寶在杭州肯德基餐廳采用了人臉的刷臉支付，這種支付，連手機都不會需要*9月10號北京的公租房政策上規定，以后會裝攝像頭，以確保入住跟注冊的人是一致的*9月12號蘋果8發布，里面宣布用人臉識別技術（faceID）代替指紋*今年，阿里的年會用了阿里識別的技術刷臉進場再一個是聲紋，這個技術會慢慢成熟起來，10多年以前主要應用在公共領域，比如說通過電話的錄音監控逃犯，最主要公安在用。15年慢慢有一些民用的產品，包括我們騰訊15年微信有了聲紋鎖，也有基于身份的驗證服務，也是利用的聲紋，科大訊飛在司法鑒定、汽車滿意度調查，以及安徽的移動客服、銀行都已經用聲紋技術。在建行系統里面也用了聲紋認證進行交易，交易次數已經超過1.4億次。據我了解招行也在客服和APP上進行推廣聲紋的應用。二下面看一下我們阿里怎么利用生物識別技術的。這里面向大家推薦我們產品叫做阿里實人認證，就是通過生物識別以及大數據的識別確保網絡身份是持續有效、真實和風險低的，也就是說你注冊一個帳號以后，要通過實人認證，一定知道背后用這個帳號是一個真實的人，我隨時可以找到他，這就是實人認證，我的目的就通過實人認證以后能夠防范身份的風險，確保身份的真實有效。我們為什麼要開發這么一個產品？主要的背景有三點：1、首先是國家的監管現在我們知道6月1號發布了《網絡安全法》還有別的法規，規定了我們網上業務必須進行實名、實人的認證，比如微信群主現在也需要實名認證。2、另外阿里的生態或者各個網絡生態來說平臺管理也需要我們最常見的黑產、灰產會做一些違法的行為，比如說黃賭毒、刷單、水軍、黃牛等等，這些行為背后一定會利用注冊帳號才能做這些行為。但是如果我們經過實人認證以后，就知道用這個帳號的背后人是誰，對這些非法的違法分子有一個很強的震懾作用，因為隨時可以找到他，他就不敢干這個事。3、如果我們對登錄的用戶都進行實人認證以后，可以建立相互信任的交易環境。我們利用這個產品最終目的跟大家一起共建互聯網的安全生態。我們實人認證的核心功能主要是三點，我講一下核心點：第一個是身份存在當你做認證的時候需要你上傳你的證件，比如身份證、照片，我們通過ocr識別技術把你的姓名、號碼識別出來，這時候通過權威的官網去查驗證明號碼以及姓名是否真實存在，如果存在表明這個人是真實的，這個身份我們這里真實存在的。第二步看是否真實有效，看使用者是否是真實的人我們通過實時利用手機鏡頭拍照片，把這張照片跟證件照片比對，通過人臉識別技術看看是否同一個人，我們拍的照片保證是真人活人的照片。我們通過活體檢測技術，保證鏡頭前面是一個活人，是他本人，保證了真實有效，第三我們為了保護生態安全還會去看看注冊的這個人是否是一個有風險的人，是否已經干過什麼壞事，這時候阿里最大的風險數據庫，包括黑名單，包括設備信息還有手機信息，我就知道注冊這個人的風險程度是怎么樣的，而且進行變化情況進行動態的風險跟蹤，如果發現有帳號的買賣行為，我們要讓他再認證一次，來核實身份。我們這個產品內部已經用了很久了，用了兩三年時間了，經過我們實人認證的人數已經超過2億，服務場景已經超過60多個。——————————————————↓在淘寶上開店一定是要經過實人認證的才能有開店的資格。↓比如閑魚已經推行全網的實名認證，如果你經過實人認證以后，你的人頭像有一個標簽表示認證過了，有了這個標簽以后就給交易的雙方帶來一定的信任度。↓再比如說阿里通信，網上買手機卡，那手機卡要開卡，那根據國家規定一定要實名制的，否則這個卡就不能用。在阿里通信買了以后有一個激活的按紐，如果是真實名制就完成了，這個手機卡就激活了，因為阿里通信獲得了通信部認可唯一的網絡在線的發卡渠道。↓飛豬有一個在線辦理簽證，首先是日本，簽證也是個很嚴肅的問題，背后一定要做過實人認證的。↓還跟杭州交警、上海交警進行合作（兩個app），也用了我們的實人認證，你才可以繳罰款，查違法信息等等。——————————————————我們這個產品目前利用的數據有這些，首先從用戶體驗來說，用戶一次通過率達到95%。從企業角度來說自動化處理率高達96%，自動化處理很重要，這樣節省了人力成本。客戶體驗度很高，幾秒鐘就可以認證完成了。再就是通過我們實人認證以后，讓我們整個阿里的平臺風險下降了80%。這個產品14號通過云盾實人認證正式發布。如果各位有需要的話，可以通過阿里云接入我們的產品。。那關于實人認證現在也做了一些應用，比如說網吧、酒店入住、機場都用了，新零售淘咖啡、百安居都在用。另外一個是聲紋識別的應用，我們現在正在推廣階段，在手淘里面做一個聲音的密保，具體路徑還比較深，這個產品剛剛開發出來不久，現在正在推廣階段，目前能夠做的業務是密碼找回、密碼修改、手機綁定和解綁，接下來我們會進一步的推廣。三前面講的是應用，現在再講一下技術本身，現在人臉識別比較火，這個技術門檻越來越低，因為有了深度學習，一般來說你有足夠的數據，不錯的網絡，識別率達到99%是很容易可以做到的，這也就是為什麼最近幾年涌現出大量的人臉識別的創業公司。但是這是不是就足夠了呢？如果手機中的應用，包括實人認證基于移動為主，你會發現這些不法分子會對人臉識別系統進行攻擊，拿照片在鏡頭上晃一下，或者拿視頻在鏡頭上播放，或者戴一個面具，騙過人臉識別系統。我們在實人認證看到一些實際的攻擊案例，具體包括照片攻擊，還有PPT攻擊，包括事先錄制的視頻，還有3D軟件合成，還有面具等等這些攻擊行為。大家看3D軟件合成，今年的315晚會報道了這個事情，記者拿著一個照片成功的騙過的人臉識別系統，原因就是它缺乏了一個重要的一環就是活體檢測，活體檢測的主要目的是確保鏡頭面前是一個真實的大活人，而不是一個照片，或者是面具或者是視頻。這一點可以說在手機應用中直接決定的我們整個移動系統的人臉識別系統是否可用，但是從技術角度來說，目前來看這個活體檢測技術做得還是不夠好，跟實際的應用需求還是不匹配的。接下來我重點講一講活體檢測應該怎么去做。活體檢測可以從兩個角度去分析它，一個是活人一個是活體，它本身會有哪些屬性。另外一個角度是看攻擊者有哪些特征。我們可以從一些屬性進行分析：首先是一個人臉皮膚紋理、膚色，還可以三維，人臉大小，還有皮膚的溫度，對光線的反射不一樣，還有臉上有微小的脈搏，還有皮膚的彈性。自發行為是每個活的人表情哪怕不笑，還有微姿態，還有眨眨眼，還有眼動一下。最后是交互能力，可以邀請他做一些動作，搖頭、點頭、笑一下，或者動一下手機等，或者讓他說話，或者注視一下屏幕等等，從這些就可以做到活體檢測。當然另一方面我們可以檢測出哪些是假的，主要局限的攻擊是翻拍照片或者是視頻，這時候會有反光，然后出現邊框，還有刷新頻率，光源位置等等。那我們就可以來研發一個活體檢測的系統。為了解決這么多攻擊有兩種手段，一個是從硬件角度來考慮，一個是軟件角度來考慮，硬件角度考慮最明顯的例子就是蘋果10，它利用了三維立體相機，還有紅外相機，就能夠解決所有的攻擊。但是對于我們普通手機而言，各種行為手機以及自拍的鏡頭，我們能做的這些都是沒有辦法的。因為我們沒有。普通手機沒有3D相機和紅外相機，這時候怎么辦？只能用這些軟件的方法來識別出來是否是一個活人，包括我們可以邀請他做一些簡單的交互動作，比如點頭、微笑，還可以做3D檢測，包括照片紋理翻拍的檢測，利用這些手段達到活體檢測的目的。我們來看一下現在市面上主要的大公司怎么做的，對普通手機而言做一些簡單交互的動作，包括點頭、搖頭或者是說話，再加上對翻拍鏡頭、照片、屏幕進行分析，客戶端進行動作的識別，服務器利用這個手段來實現活體的檢。我們阿里巴巴也是這樣的，首先是動作檢測，然后是翻拍進行識別。現在我們嵌入了最常見的都有了。從國內專利申請角度來看一下，很明顯的看到都是從15年、16年有個爆發性的申請數量，15年以后人臉技術應用在爆發，大公司都在申請活體檢測相關這個技術。四最后一部分講一下聲紋識別，這個也叫說話識別。就是根據聲音來識別一個人聲音。有一個很好的地方，就是我們所有的手機通麥克風就可以采集聲音。主要有兩種情況，一類叫聲音的確認，就是怎么解決我是我的問題，比如你登錄帳號以后，我就說一句話來證明，根據這句話確認這個帳號是不是我的。另外一種是辨認，我是誰的問題，比如幾十個人在講話，我怎么知道這個人是某一個人。這兩種識別方法分為兩類，一種是文本相關，一個是文本無關。比如不僅識別聲音還要識別內容，我讓你念一下八位數字，聲音是你本人，而且里面的數字還要對應起來，這時候叫文本相關。文本無關是電話監控系統，你只要有電話我就知道你這個人是誰，這叫文本無關。這個聲紋識別技術的普通技術很相似。一個是離線提前訓練好聲音模型，通過預處理訓練一個模型，然后建立起來每一個人的聲紋模型了，比如線上應用有一個聲音過來，我根據這個模型進行匹配打分，最后就能看到結果。這底下列了比較主流的具體方法，細節我就不一一說了。聲音也有活體問題，聲音是不是現場的聲音，也會遇到一些攻擊。攻擊包括最常見的是把聲音事先錄制好再回放，再就是聲音轉換。我可以通過一些軟件把一個人的聲音變成另外一個人的聲音。還有一個是合成，主要針對文本相關的時候。比如需要念八位的數字，文本方式輸入通過軟件合成出來。另外一個就是模仿，比如口技比較厲害可以模仿另外一個人的聲音。那針對這些攻擊我們怎么從技術上進行防范？比如錄音有一些固定的內容，我讓他放著隨機的數字改變內容，就可以防范錄音回放了。另外三種主要利用特征提取，通過分類器的方法防范它。目前生物識別的的確確經歷著爆發式的發展，尤其是人臉識別，未來的一到兩年到處都可以看到人臉識別系統，尤其是在中國。謝謝大家。————————————————本文由阿里聚安全整理自速記稿，轉載請注明出處。

關鍵字標籤：指靜脈門禁主機