中国银联《金卡生活》:【生物识别】声纹识别在金融支付领域的应用 2016-6
有很多手段能够使支付便捷,但是,却一直存在安全隐患。安全隐患,是便捷的代价,需要有解决方案。
中国银联的调研表明,在移动支付中手机支付占的比例最大,手机支付是用户最喜欢的一种方式,占82%。一个人可能无法保证每时每刻都和家人一起,但是往往离不开手机。个人认为,手机已经成为人的一个标配,或者说是人类的一个“器官”,而不仅仅是用来通讯或支付的工具。
但是,在这样的情形下安全就成了大的问题。2015年腾讯安全报告表明,移动支付成为互联网金融安全的重灾区,每年与前一年相比往往呈现数倍的增长。人们希望有一些比较好的手段保障安全。
参与调查的用户认为,身份认证最为重要。
身份认证是一个古老的技术,可以说有三个阶段:第一阶段是你知道什么(What you know)。比如密码、口令。但是这些容易被别人知道,因此过一段时间需要换一换。
第二阶段是你有什么(What youhave),即通过介质认证身份。比如U盾、IC卡。第一阶段是嘴上“说”,第二阶段是手里“拿”,相对安全一点。但是,两种手段有共同的特点,就是容易遗忘、丢失,或被窃取。
第三阶段是用生物识别技术证明你是谁(Whoyou are)。
可以看到,前两个阶段的认证手段的缺点都可以被第三阶段的认证手段弥补:不会遗忘,不会丢失,也不会被窃取。
三个阶段的认证手段,随着认证难度的不断增加,安全级别也在增加。
2012年12月美国《大众机械》月刊对未来110年的科技发展做出了大胆预测,包括各种口令和密码将不复存在,视网膜扫描、心跳和声音识别等技术将得到广泛运用。IBM公司表示这将在未来5年内成为现实。预测是2012年,加5年就是2017年。而现在我们看到,一些领域不到5年就已经成为现实。
生物特征有两类,一类是诸如人脸、指纹、掌纹、DNA等,是生理特征,它的基本特点就是相对静态。第二类诸如笔迹、声纹、步态等,是行为特征,它的基本特点是相对动态,是可以交互的。
一个人虽然每天都说话,每天都听声音,但是他不一定知道声纹的特点。一个波形就是一个声音信号,所包含的信息非常丰富,包含语言信息、地域信息(即口音信息)、内容信息、说话人信息、性别信息、情感信息、环境信息等等。其中,对内容信息的提取就对应大家熟知的语音识别技术;而对说话人信息的提取就对应声纹识别技术。
人的大脑进行声音的处理要经过7层,从外耳一直到大脑皮层,最后才能知道想要的信息。人类听觉信息的复杂性和人类声音信号所含信息的丰富性,有助于通过多重手段判断并阻止录音假冒等攻击行为,从而更准备判断用户身份的合法性。
现在,已经有很多成熟的安全技术手段,包括对诸如采集、传输、存储、防火墙等等,但是唯独在智能设备(如手机)和人之间的一致性或者说在身份认证方面,这一厘米距离的安全问题还没有解决好。生物特征识别技术可以解决这安全的“最后一厘米”的问题。
应用对生物特征的需求有是四个方面。
第一,所用的生物特征最好不涉及隐私。两个人见面肯定要讲话,不可能为了保护隐私而不讲话,因此人们对声音的隐私性看得不是那么重;不像指纹,被别人拿走以后就丢了,因为你不可更改自己的指纹。
第二个是安全便捷。如果使用起来不方便,费劲,用户就不愿意使用。
第三个用户体验要好。如果用起来费劲,体验不太好,也不是用户需要的。比如人脸,为了做活体检测,要点点头,眨眨眼,张张嘴,用户会觉得怪怪的。
最后成本一定要低。只有成本低廉,才具备进行广泛商用的条件,这成本包括产品成本(如额外设备)或使用成本(如占用带宽)。
在一些场景要求下,尤其在加上移动支付应用场景这个定语,个人认为,声纹识别是最好的方案,没有“之一”。
这是一个全方位的解决方案。当需要认证的时候,用户发出请求,服务器产生随机的数字串(动态码),就跟验证码一样,然后用户说出来,服务器做出判断:第一,动态码是对的,第二,人是对的,两个都对,认证通过。这就是“声密保”方案,它本身具备了防止录音的能力;当然,我们特有的信道检测技术还可以防止录音拼接闯入。
声纹识别在一定程度解决了安全问题,因为它是一种行为特征,可以交互,只要交互就可以“变”,在不同时候要求说不同的内容。不光认证谁,也认证什么,我用一个词组表示就是“Who Spoke What,谁说了什么”。这个产品获得了中国语音创业联盟的最佳创新产品的荣誉称号,而且是唯一的一个获奖的声纹识别产品。
“声密保”技术有以下几个特点。
第一,成本低廉。所有的手机,包括老年机,它们肯定有麦克风,没有麦克风就不能叫做手机。麦克风是所有手机的标配,因此使用声密保不需要增加额外的硬件设备。
第二,用户接受程度高。由于它的低隐私性,不需要特别保护隐私,无需记忆,内容也是每次随机。
第三,迅速、快捷。一个人说6或8位的数字串,大约需要1秒多,非常方便快捷,比现在很多声纹识别技术需要的语音长度都要短。
第四,安全可靠。通过动态码可以达到防录音、防录音拼接闯入的目的。
第五,业务相关。什么是业务相关?我们跟一些银行交流,他们说希望支付最好跟业务相关。那么,声音是可以做到的,因为它是一个行为特征,我们可以要求所说的内容是业务相关的交易额度、交易日期等。
第六,真实意图。如果用户被人胁迫,要他读出动态码,那么这个人的声音就会含有恐慌、害怕等情感信息,“声密保”可以检测出来并该信息以及手机定位到的位置信息告诉服务器,服务器就会通知公安系统。
总之,“声密保”的特点是成本低廉、低隐私性、无需记忆、迅速快捷、安全可靠、业务相关,反映真实意图等,因此在移动支付是最好的安全手段。
当然,安全不是百分之百,再怎么做也有一些漏洞。所以,将“声密保”其他生物特征识别技术融合,如把声纹和人脸两个生物特征、动态码和唇语两个活体检测综合起来的得意“声颜保”,可以更加提高安全性。
作者系北京得意音通有限责任公司董事长
版权信息
长按下图,识别图中二维码,关注我们