图片来源 © 视觉中国
从两年间的春天,马云第一次在汉诺威电子展的大屏上向全世界演示“刷脸支付”技术起,新技术和新概念层出不穷,但“刷脸支付”的最新进展仍然时刻牵动着人们的神经。
终于,9月1日,支付宝宣布在肯德基的KPRO餐厅上线刷脸支付,正式将“刷脸支付”推向了商用。
首家KPRO餐厅位于杭州万象城,支付宝选择其作为“刷脸支付”试点,也体现了二者在用户体验上的共同追求。
伴随着首个刷脸商用支付试点正式落地,基于生物识别的身份认证标准的话语权之争,也逐渐拉开帷幕。
眼下,中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。这给国内基于生物识别的身份认证领域带来了极大的挑战。
金融行业有足够的身份认证需求,且具备最广阔的市场前景,被预估为“千亿级”市场。不过,目前金融行业暂无生物识别相关的标准,人民银行对于生物识别技术的定位也只是“作为核验身份信息的辅助手段”。
但习惯于“倒逼监管改革”的互联网行业早已开始筹备自己的标准,并形成了在国际市场获得普遍认可的FIDO、支付宝主导的IFAA,以及微信支付的SOTER三大认证体系。随着近期IFAA、SOTER先后宣布开放身份认证能力,三大认证体系开始正面博弈。
人脸识别突破了哪些难点?
根据支付宝方面的介绍,与此前推出的“刷脸登录”相比,“刷脸支付”难度更大。
一方面,“支付”比“登录”离资金更近,安全性要求更高;另一方面,刷脸支付是在线下公共设备和开放环境下进行,真实场景复杂多变:白天和晚上的光线不同、不同人群面对摄像头的角度和姿势各异,识别难度更高。因此此前行业里多是在特定场景下内测,未能商用。
刷脸支付对安全性和便捷性有着极高的要求,如何同时满足这两个要求,需要解决一系列技术和产品难题:
1、智能算法优化
支付宝之所以能率先推出刷脸支付,一是基于其多年来人脸识别技术的积累(支付宝是最早实现刷脸登录的金融级App);同时其技术团队也为刷脸支付商用做了很多独创的优化。通过软硬件的结合,智能算法与风控体系综合保证金融级准确性和安全性。
2、活体检测
支付宝在肯德基KPro的点餐机上配备了3D红外深度摄像头,在进行人脸识别前,会通过软硬件结合的方法进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,能有效避免各种人脸伪造带来的身份冒用情况。
3、手机号校验
此外,在进行人脸识别后,还需要输入与账号绑定的手机号进行校验,进一步提高了安全性。同时,支付宝还会通过各种安全风控策略确保账户安全。比如刷脸支付功能需要用户进行开通操作,开通之后才能进行支付,用户也可以随时关闭。而即便出现账户被冒用的极小概率事件,支付宝也会通过保险公司全额赔付。
“身份认证系统”的江湖
事实上,指纹支付、刷脸支付都只是生物识别认证的简单应用。互联网公司普遍使用的生物识别认证,很大程度上借鉴了金融领域的U盾验证体系。
由于普遍使用密码存储形式的“对称加密体系”,互联网行业在愈发频繁的泄密事件中爆发了大量拖库、撞库等愈演愈烈的安全问题。而相比之下,采用非对称加密体系U盾验证的金融行业,却从根本上杜绝了拖库现象。
“所以,移动互联网时代,大家就想把U盾思维引入到手机中,用非对称秘钥密体系打造在线身份认证系统”,FIDO联盟中国工作组主席柴海新向记者介绍,“在这一背景下,FIDO联盟成立。”2012年,PayPal、联想、新思科技等6家公司发起成立FIDO(即线上快速身份验证联盟)。
其后,Google、微软、ARM、高通、华为、三星、阿里巴巴、NTT、Visa、万事达等公司陆续加入FIDO。柴海新介绍,“联盟如今已经有近300家成员,2/3是手机产业链公司,覆盖了从最底层操作系统、芯片到手机厂商的完整产业链,打通了整个指纹识别体系,另外1/3的是诸如Visa、NTT等应用公司。”在日本,几乎所有移动互联网应用都支持FIDO认证体系。
在移动支付产业迅速崛起之后,生物识别规范也开始反哺金融行业。“从去年开始,全球支付规范标准组织EMVCo和FIDO讨论如何把手机提升为金融级安全设备。”
目前,按照国际CC标准(信息技术安全评价通用准则),手机安全等级在EAL2级,而金融设备则要求在EAL4+级以上。也正是因此,目前基于手机的消费、支付均以小额支付为主,基本万元以上的支付、转账等行为仍然要求进行U盾认证,或者在银行营业厅操作。
国内每年U盾需求接近1亿台,把手机变成U盾,是每一个手机厂商、移动支付企业的追求,尤其在中国市场,中国的手机产业、移动支付产业已经领先于全球。2016年,全球前十大手机厂商中,中国占据7席,且华为、OPPO、vivo位列前五。
与此同时,2016年,中国移动支付发生交易257.10亿笔,金额157.55万亿元,同比分别增长85.82%和45.59%,移动支付交易笔数在电子支付业务中占比已达18%。
当然,中国的身份认证市场也远比全球复杂,中国移动支付公司对于技术、安全、场景的需求都领先于全球,对技术要求也更多,同时与身份认证相关的监管机构有十几个,大家的关注点和侧重点都各不相同。这给中国的身份认证领域带来了极大挑战。
在各方割裂身份认证标准的情况下,身份认证在金融行业也并未取得太多进展。目前,SOTER仅用于微信,IFAA在金融行业的公开用户只有刚刚签约的浦发银行。
在国内,FIDO的主席单位“国民认证”以及成员单位“飞天诚信”、CFCA已经在中国银行、民生银行、平顶山银行多家银行开始打造FIDO认证体系,但与畅想中的“千亿级市场”仍相去甚远。其中,飞天诚信副总经理闫岩认为,“身份认证的‘千亿级’更多是指千亿级使用量,但真正为认证付费的市场并没有这么大。”
需要指出,诸如FIDO之类的新型身份认证体系的应用场景远不止金融领域,还有更多存在市场需求的互联网应用场景,但目前行业推广者尚未把目光集中在金融以外的领域。
“国内指纹识别领域,标准碎片化严重”,手机中国联盟秘书长曾对媒体表示,“虽然大家都知道需要有一个统一的标准,但每个人都有自己的想法,而且都不想妥协,严重制约了产业发展。”