人脸识别:源自破案需求 99.5%的识别率仍存隐患

编者按

这组报道关注的是最近热门的人脸识别技术。从某种意义上看,它并不是什么新技术。但是过去识别的准确率不高,只是在小范围应用。在计算机深度学习技术近年取得突破后,识别的准确率和稳定性大大提高。

恰恰在此时,国内的互联网金融产业如火如荼。互联网金融的进一步发展要突破传统金融服务的地域限制,而运用人脸识别技术,银行甚至连营业场所也不需要了。这种冲击和变革是巨大的,一些券商、银行正在摩拳擦掌,蠢蠢欲动,以图占领竞争先机,但目前离全面应用尚面临诸多障碍。

站在更广泛意义上来说,以人脸识别为代表的生物识别技术,其实是对过去密码时代的颠覆。输入繁琐的密码是过去进行身份验证的必备程序,但人脸识别可能消灭密码。互联网新的安全验证手法正在形成新的产业浪潮。本专题试图深度解读这些技术变革所带来应用产业变化的脉络,并了解目前应用层面所面临的法律政策难题。

核心提要

“使用生物识别,好处是无需记住密码,也不存在弱密码问题。不过它的特征具备唯一性,一旦泄露很难更改,别人可以一直用你的身份授权,泄露了非常危险。” 国内互联网安全漏洞平台乌云网的一位网络安全专家告诉21世纪经济报道记者。

从事了26年人脸识别技术研究的清华大学电子工程系教授苏光大看来,人脸识别应用已经进入了爆发式增长的阶段。

这并不夸张。如果你留意了下面的场景,你会发现人脸识别已经不再是《碟中谍》中才有的特定场景,它正在进入普通人的日常生活。

最近,测试颜值、年龄的app似乎在一夜之间霸占了朋友圈;去年,阿里巴巴推出了刷脸支付功能,今年4月,马云就在德国汉诺威IT博览会上现场演示了刷脸支付。在可预期的未来,网站登录、上班打卡、远程开户都可以通过刷脸来实现。人脸似乎正在成为新时代的网络通行证。

“人脸是可以取代账号密码的。”为ios、安卓提供刷脸登陆的一登团队创始人沈洽金对21世纪经济报道记者说。

而新密码体系的出现似乎也正在成为一个越来越急迫的需求。12306用户信息被盗、社保卡信息泄露……几乎每天都在发生的信息泄露事件已经不再是新鲜话题。

如何构建一种不易被盗取的密码体系?生物识别技术提供了一种可能。这种识别技术近一两年在准确率和稳定性上已取得较大突破,等待它的将是市场应用的爆发。

源于破案需求

“中国的人脸识别应用走在世界前列,国内最早的研究始于破案的需求。”国内最早研究人脸识别技术之一的苏光大对21世纪经济报道记者表示。

当时办案需要根据模拟画像来锁定嫌疑人范围,而这种手法对画家的技能要求很高,大部分警察都不具备这样的能力。于是有人开始思考用计算机来解决这个问题。

1989年,苏光大承接了公安部的“GA计算机人像组合系统”项目。当时,凭目击者的记忆描述犯罪嫌疑人的相貌特征,在信息库取来与之相应的眼睛、鼻子、嘴巴……直到组合成一个与犯罪嫌疑人特征相像的人像,供警方参考。

然而这种基于几何特征的人脸识别技术并不成熟,识别率不高,且在应用上也仅限于极少数地区的公安系统。

1991年,麻省理工学院媒体实验室的Turk和Pentland提出了对于人脸识别具有里程碑意义的“Eigenfaces”特征脸方法,之后出现了很多基于这种方法的研究。

EigenFace的思想是把人脸从像素空间变换到另一个空间,在另一个空间中做相似性的计算。它选择的空间变换方法是PCA,即主成分分析法。其大意是将一个复杂的多参数问题通过逐级分级转化为仅有少数参数的问题的综合方法。

“PCA把人脸识别带入到了正确的轨道中。”苏光大表示。结合PCA技术,苏光大将其升级,在整张脸识别的基础上,再将人脸分为各个部件,分别将这些部件的特征抽象成计算机语言。

中国有很好的人脸资源,即把二代身份证图像库作为识别标准。而基于监控技术的逐渐发展,像素的提高,也给人脸识别技术提供了继续发展的基础。

2008年北京奥运会刷脸进场——进入鸟巢前,除门票外,还要逐一在进场通道前拍照。摄像头会在两秒内抓拍人脸,定位面部关键点,并提取特征,随后将认证结果同时上传到计算机,计算机与观众的身份信息进行比对。“这是第一次国家层面应用人脸识别技术。”苏光大说。

他介绍,国内第一次大规模应用是在2011年户籍查重。他回忆称,发现这一用途是由于自己在湛江协助调查案件时的一次偶然发现,当时警察拿着两个不同身份的人咨询,通过系统识别,两张照片显示为同一个人,之后湛江市展开了库内身份查重,发现上万个重复户籍,其中8名逃犯。

基于同样的做法,公安部号召在全国进行身份查重工作。当时公安部要求各省市公安厅全部引用人脸识别系统进行查重。截止到2013年,通过人脸识别注销重复户籍79万个,其中最典型的案例一个人同时拥有8个身份。

人脸识别技术在公安系统内的逐渐大规模应用也推动了技术的逐渐发展。这一阶段,国内涌现出许多专注于人脸识别的创业团队。

旷视科技是其中一个,成立于2011年,并于2012年推出face++人脸识别云平台,这个如今已经与阿里巴巴合作推出刷脸支付的企业,在安防领域也有布局。

“安防的应用是1:N,在N的库里识别出一个嫌疑人。一是大库搜索,把监控照片放到库里,通过逆向搜索缩小嫌疑人的方向。二是布控,在关键地方,不需要警察蹲点。因为摄像头都可以捕捉,而摄像头都是联网的,因此可以实现动态布控。”旷视科技有限公司市场与经营部总经理谢忆楠对21世纪经济报道记者说。

“现在,各个地方公安系统都用了人脸识别技术,至今还没有听说过哪个地方没有用的。”苏光大这样描述人脸识别在安防领域的应用规模。

商业化进程

有了在安防领域内的技术积累,人脸识别技术已经可以基本完成静态的识别工作。但对于安全性的质疑也出现了,比如如何保证通过识别的是活体而非照片成了一个议题。

深度学习和神经网络的兴起把人脸识别技术带入了新的阶段。2006年,多伦多大学计算机系教授Geoffery Hinton在Science杂志发表论文,第一次提出了深度学习的概念。

深度学习,即机器学习研究中的一个新的领域,其动机在于建立、模拟人脑进行分析学习的神经网络,它模仿人脑的机制来解释数据,例如图像,声音和文本。此后,深度学习在互联网领域引起了广泛的关注,微软、Google等多家互联网巨头公司都对此进行了研究。

“真正在人脸识别领域用上深度学习并且取得突破是在去年。”一登团队创始人沈洽金表示。“它让电脑模仿人的大脑去思维,在计算机学习的过程,算法也得到了很大的改进,识别率大大提高。”

基于新的技术突破,一些综合性应用也逐渐兴起。

于3月公测的一登通过提供刷脸登录,为用户建立一个基于人脸的通用账号,简化、注册登录流程。也从一定程度上增加了用户密码被盗窃的难度。

沈洽金对记者表示,一登希望改善用户传统“密码+账号”的登陆体验,让人脸登录成为一种普遍的方式。相比于传统的密码而言,沈洽金认为传统密码繁杂不易被记住,而人脸登录可以在很短的时间内完成,流程简单很多。

然而如何推广是一登的一大难题。“没办法被普及,用户的教育成本比较高。” 沈洽金说。

逐渐增多的娱乐化应用似乎从一定程度上增加了用户的接受度。在接入一登SDK的141个应用中,有音乐类、娱乐类、新闻类等轻应用。

而以人脸识别技术为基础开发的娱乐化app正在得到大量推广。微软推出的how old刷爆了朋友圈,美图秀秀等利用人脸识别技术p图也扩宽了应用;世纪佳缘交友网站也在2013年接入了人脸识别技术。

以how old为例,比如给机器100万张不同年龄性别的照片,通过学习,机器会知道50岁、男人是什么样子。再通过回归运算,归纳出规律,经过大量的学习,机器就知道了每个阶段人的特征。据了解,How old应用通过提取人脸72个关键点,来达到识别效果。

“娱乐化应用并不以识别率作为评价标准,只要满足用户的需求就可以了,应该称之为人脸识别相关技术。但对于推广人脸识别而言,娱乐化应用是很好的做法。”苏光大说。

安全性难点突破

按照提取人脸关键点的能力划分,目前有可提取关键点48个、72个和100个以上等不同种类。而关键点捕捉得越多,识别率也就越高。

随着深度学习的推广,有关人脸识别的算法也在不断优化。目前,以face++、腾讯优图为代表的国内团队都有了一套核心算法,这使得国内人脸识别技术的识别率大大提高,有的公司甚至超过99%的准确率,在国际上处于领先水平。

技术的发展和产业的需求正好“相遇”。以余额宝为代表的互联网金融兴起,互联网金融对冲击传统业务模式产生了冲击。

财付通高级总监、腾讯征信总经理吴丹告诉21世纪经济报道记者:“互联网金融在过去一两年得到飞速发展,迫切需要个人征信体系作为支撑,其中用户身份识别就是首要的,传统金融中,用户在申请银行贷款或证券开户时,均必须到实体门店上做身份信息核实,完成面签。”

今年年初,李克强总理来到深圳前海微众银行考察。和传统银行不同,微众银行作为国内第一家开业的互联网民营银行,无营业网点、无营业柜台、依托互联网提供服务。在李克强敲下电脑回车键后,卡车司机徐军就获得了3.5万元贷款。这是微众银行的第一笔放贷业务,通过人脸识别技术和大数据信用评级,完成贷款发放。

这无疑是一剂强心针,刺激了互联网金融机构对人脸识别技术应用的想象力。

但人脸识别在金融领域和安防领域有所不同。“金融领域要求1:1验证,即验证你是你本人。这要求系统在验证中有极低的误失率和极高的通过率。”谢忆楠说。相比之下,安防领域主要是根据已有的库内信息,进行逆向筛选和识别。

他介绍,去年三四月份,蚂蚁金服就主动找到face++合作。“他们迫切需要越过(面签)红线,我们也希望实现商业化。” 谢忆楠认为,face++的技术可以满足金融机构的要求。

根据吴丹介绍,通过腾讯的人脸识别技术,用户只需要打开手机摄像头,自拍一张照片。系统将会做一个活体检测,并进行一系列的验证、匹配和判定,最终判断这个照片是否是用户本人操作,完成身份核实。

4月14日,财付通宣布与公民身份证查询中心合作,提升人脸识别的准确率及商业可用性。

据媒体报道,今年5月初,华林、长城等券商已获得开展人脸识别应用试点的相关批文。“人脸识别远程开户还在测试阶段,什么时候应用,目前还没接到通知。”华林证券的一位工作人员对21世纪经济报道记者说。

更多的金融机构,包括银行也逐渐开始对刷脸开户感兴趣。

谢忆楠介绍,face++目前已拿到多家银行的订单。然而在金融领域的推广还面临重重压力,大多银行更是持观望态度,技术也仅停留在测试阶段。

5月24日,在五道口“新常态、新金融”全球金融论坛上,央行支付司副司长樊爽文表示,未来对远程开户要坚持标准先行,一是先有“刷脸”(人脸识别)技术标准;二是,在此基础上制定金融行业的行业标准。“只有这两个标准有了,监管才能放心。”

0.5%的门槛

虽然相比于从前,人脸识别已经取得了很大的技术进步,但如果以人脸识别作为新一代的网络通行证,可能带来的隐患也并没有消除。

“使用生物识别,好处是无需记住密码,也不存在弱密码问题。不过它的特征具备唯一性,一旦泄露很难更改,别人可以一直用你的身份授权,泄露了非常危险。” 国内互联网安全漏洞平台乌云网的一位网络安全专家告诉21世纪经济报道记者。

“身份认证是一个从采集生物信息、提取已存储信息、对比校验的过程,任何一个环节都有可能被攻击者利用而达到不同的目的,从身份伪造到窃取认证信息甚至到窃取生物信息。”国内知名安全团队Keen Team一位安全专家对21世纪经济报道记者说。

他继续表示,以苹果、安卓为代表的智能设备上的生物特征并不会存储在云端上,而存储于用户设备中,由于生物特征的高度敏感性,其使用场景应局限于用户的终端。任何生物特征上云的方案和行为风险都很高,应该警惕。

对于如何保护数据库不被黑客攻击,他认为终端厂商应加强代码审计,避免设备和逻辑漏洞的出现。在数据存储方面,对生物信息的存储使用强加密不可逆方式,提高攻击门槛。

乌云网上述安全专家表示,厂商不应收集用户的原始数据,可以用不可逆算法生成的二次数据替代。

对此,谢忆楠介绍,目前face++已经形成了不可逆算法生成的二次数据体系,黑客即使通过攻击拿到了数据库,也无法判断更无法将其还原为一张人脸。

然而有关安全性的担心并没有停止,上述Keen Team的安全专家表示,在整容技术如此发达的今天,支付宝使用了人脸识别,如果他人整容成自己的样子后刷脸,支付宝的钱就没了。

并且在微光、强光、倾斜角度等条件下人脸识别的成功率不容乐观。沈洽金告诉记者,目前一登已经可以实现在光线较暗的情况下认证的能力。但对于一些极端情况,如睡觉时被刷脸登陆等还无法克服。

虽然国内目前已到达99.5%的识别率,但依然有继续提升的空间,而在现在的基础上,每一个百分点的提升都比以往更加困难。