基于銀行渠道的生物識別身份認證技術應用安全分析

李瑩

在新業務應用場景的不斷發展創新下，傳統身份認證方式的安全問題日益凸顯，為實現安全、便捷的身份認證方式，進一步提高金融服務質量和安全防范，基于生物特征的身份認證逐步被推廣并應用于銀行新業務場景中。本文在充分了解生物識別技術應用現狀的基礎上，對身份認證技術及應用場景進行簡要概述，重點對基于銀行渠道的應用安全性進行分析，并提出引入多生物識別策略，建設一個將生物識別技術與傳統認證技術相結合的統一安全身份認證平臺。

一、應用現狀

隨著移動互聯網、云計算、物聯網等技術的快速發展，傳統的金融行業以互聯網創新為驅動，不斷更新業務體系和發展業務創新，繼而推出了像移動支付、無卡取款、遠程營銷、智慧柜員機、超級柜臺等新業務。新業務的推出給客戶帶來了巨大的便利和優異的服務，但新業務場景的應用對用戶的身份識別與認證有了更高的要求，比如非面對面的身份識別和防范欺詐等一系列安全問題日益凸顯。傳統的身份認證，像用戶名+靜態密碼、短信密碼和動態口令等認證方式已不能滿足銀行信息安全需求，而生物識別技術因其難偽造、難遺忘、隨時隨地可用性等優點，逐步被研究并推廣到新業務場景的應用中。

2015年10月，中國招商銀行推出刷臉取現，并借助攝像頭、手機驗證和密碼驗證等手段實現無卡取款；2016年1月，中國銀行遼寧分行推出自助發卡機，首次實現人臉識別自助發卡服務；中國建設銀行廣東分行建設100多個校園E銀行網點并推出人臉識別的應用，如刷臉支付等；2016年5月，建設銀行新版個人手機銀行推出指紋登錄與指紋支付功能，并支持指紋轉賬功能；中國農業銀行和一些股份制商業銀行也都積極參與到生物識別軟件項目中。2016年10月，民生銀行在業內率先推出虹膜支付，部分特供機型的手機用戶可以通過“刷眼”完成支付等服務。

銀行業監管部門積極出臺相應政策，加大力度推廣生物識別技術的應用。2015年6月，中國人民銀行下發《關于加強銀行業金融機構內控管理、有效防范柜面業務操作風險的通知》，認可了生物識別技術；2015年12月，在《關于改進個人銀行賬戶服務加強賬戶管理的通知》中，明確指出將生物識別技術作為核驗存款人身份信息的手段；2016年8月，銀監會在《中國銀行業信息科技“十三五”發展規劃監管指導意見》中明確表示要積極開展生物識別技術的應用。可見，基于生物識別的身份認證技術在銀行業發展前景良好，是銀行實現技術創新和業務創新的重要途徑。

二、身份認證技術概況

身份認證技術是訪問網絡資源的第一道防線，對用戶身份進行認證的方式主要包括：

（一）基于信息秘密的身份認證

根據用戶所了解的信息來鑒別用戶的身份，最常見的方式是用戶名+靜態密碼的身份認證方式，但這種方式無法保證靜態數據的傳輸安全和存儲安全，被認為是一種不安全的身份認證方式，因此很少運用于銀行業務應用場景中。

（二）基于信任物體的身份認證

根據用戶所擁有的東西來鑒別用戶的身份，主要方式有：智能IC卡、短信驗證、動態口令、數字證書等身份認證方式。智能IC卡通常與生物指紋識別相結合，用于銀行柜員的身份認證；短信驗證和動態口令（如USB Key，USB Key中有數字證書）相結合，廣泛應用于網上銀行用戶的身份認證，但這種身份認證方式的安全等級較低；基于數字證書身份認證技術通常應用在對某些安全級別要求較高的銀行應用系統的訪問。

（三）基于生物特征的身份認證

根據用戶的身體特征或行動特征來鑒別用戶的身份，即通過采集身體特征或行為特征，使用傳感器或掃描儀讀取生物的特征信息，并將讀取的信息和用戶在數據庫中的特征信息比對而達到鑒別身份的目的。常見的生物特征識別技術包括人臉識別、指紋識別、聲紋識別、虹膜識別、指靜脈識別等。人臉識別可以用于刷臉支付，客戶VIP識別等；指紋識別可以應用于手機銀行指紋登錄與支付、客戶指紋取款等；聲紋識別適合應用于某些電信網絡場景中的身份識別驗證，如電話銀行等；虹膜識別和指靜脈識別可應用于自助ATM代替密碼存取款。

三、基于銀行渠道的應用

（一）柜面渠道

人臉識別和指紋識別通常應用于柜面業務。柜面聯網核查應用使用的是人臉識別技術，在聯網核查過程中對辦理業務的客戶進行識別，可快速高效判斷人證是否合一。柜面零售業務，比如柜面統一簽約、柜面信息維護和柜面無卡交易等業務場景下，可將人臉識別和指紋識別相結合使用對客戶身份進行鑒別。柜面對公業務，可利用人臉識別技術和指紋識別技術對法人代表和經辦人身份進行核實，并對經辦人辦理開戶、轉賬匯款、取現等業務。

（二）自助終端

銀行網點的自助設備，比如ATM（自動存取款機等）、自助查詢機、智慧柜員機等自助設備，集中了人臉識別、指紋識別、虹膜識別等多種生物識別技術。比如自助柜員機集成了人臉識別攝像頭、指紋識別儀、身份證讀卡器等多種硬件設備，可實現自助發卡、客戶信息維護等常見業務的辦理；比如ATM可實現刷臉無卡取款或紅外雙目識別無卡取款，必要時也可增加聲紋識別技術作為輔助認證的手段。

（三）電子渠道

在手機銀行/網上銀行業務中，可利用人臉識別、聲紋識別、指紋識別、虹膜識別等技術實現有客戶身份認證與登錄、遠程開戶、轉賬支付等。目前，許多商業銀行個人手機銀行APP已推出指紋登錄與支付功能，用指紋識別技術實現客戶身份認證與授權流程，提高了認證效率，有些銀行新版APP可支持刷臉+聲紋登錄，通過人臉識別、指紋識別技術，客戶可實現手機銀行線上自助服務，提升了客戶體驗。

（四）內控管理

銀行內部工作人員對銀行關鍵業務系統的登錄、業務復核、業務審批等應用場景中，可采用人臉識別、指紋識別和虹膜識別等技術，并結合智能IC技術、數字證書等技術，實現銀行內部員工的身份認證與銀行業務辦理的安全防范。比如柜員（簽到、業務授權等）需要完成IC卡認證和指紋認證才允許登錄柜面系統辦理業務；銀行安保（進出場所控制、押鈔人員身份識別）都可利用人臉識別和指紋識別實現。

四、安全性分析

（一）數據安全性

生物識別技術原理是先采集生物身份信息（人臉圖像、指紋圖像等），根據生物身份信息按照某種特定的算法提取生物特征值信息（人臉特征值、指紋特征值等），將提取的生物特征值信息作為模板存儲在數據庫中，并在具體應用場景中將每次獲取的生物識別身份特征值信息與數據庫中存儲的模板特征值信息進行比對，最后根據比對結果。目前所用采集設備（包括硬件和軟件）具備活體檢測能力和訪攻擊能力；采集的生物身份信息和提取的生物特征值信息會分開、加密存儲，保證信息的機密性；采用加密傳輸機制，數據在網絡各節點傳輸過程中都進行完整性驗證，保證了數據的完整性。

（二）技術安全性

基于生物識別技術的身份認證技術雖有優勢但難免存在技術上的不足。人臉識別技術識別率較高，可支持1：1和1：N識別，但會面臨照片和視頻欺騙，結合活體檢測技術可提高安全性；指紋識別技術為1：1識別，速度快，準確率高，但易磨損、易偽造，會面臨指紋信息復制等威脅，安全性一般；聲紋識別配合語音識別進行內容鑒別可提高準確率，但由于聲音易變，易受外界環境影響，容易遭受錄音冒充攻擊，所以安全性一般；虹膜識別穩定性較高，防偽性好，并且信息唯一，準確率較高；指靜脈識別匹配速度快，極難復制、竊取，穩定性高，安全性高。

五、結束語

綜上所述，每種生物特征識別身份認證技術都有其優劣勢，為避免單一生物特征識別技術局限性，可以考慮多生物識別策略，建立一個以人臉、指紋、虹膜以及指靜脈等多種生物識別技術為核心，結合傳統身份認證技術（如智能IC卡、數字證書等），可以跨平臺應用的、高可用與高可擴展的、可集中管理的統一安全身份認證平臺，將各類身份認證技術嵌入到具體的銀行業務流程中，對銀行的業務系統、員工及客戶提供安全、便捷、準確、高效的身份認證，為銀行應用系統安全保駕護航。