专栏首页安智客金融级别的人脸识别支付?

金融级别的人脸识别支付?

昨天IFAA联盟发布“本地人脸识别安全解决方案”,用来实现金融级别现金支付的技术,“像iPhone X那样去人脸支付吧!安卓终于再一次追平了苹果”,并总结出“攻克了几乎是行业性的四大难题”:

1,摄像头信息传输安全解决方案。

2,整合安全计算能力。

3,3D活检算法评估体系。

4,安卓生态协作的经验积累。

这样重大的事情,安智客急不可耐地想进行学习了解,这里有三个关键词:安全、人脸识别、支付,安全是整体的安全方案,达到金融级别的安全,人脸识别是指包括算法在内的软硬件,支付就是基于IFAA技术方案的人脸识别进行支付,为了了解什么是金融级别的支付,我们首先了解苹果是怎么做到的。

iPhone X是如何保证的人脸识别安全的?

最新版《iOS 11安全白皮书》中描述了人脸识别的安全:

原深感摄像头会在您通过提起或点击屏幕来唤醒iPhone X时,或支持的应用程序请求进行人脸ID验证时自动查找您的脸部。当检测到脸部时,通过检测您的眼睛是否打开并您指向的设备,脸部识别确认关注并意图解锁。

一旦它确认存在一张细致的脸部,原深感摄像头就会预测并读取超过30,000个红外点,以形成脸部深度图以及2D红外图像。这些数据用于创建一系列二维图像和深度图,这些图经过数字签名并发送至 Secure Enclave。为了对抗数字和物理欺骗,原深感摄像头随机化了2D图像序列和深度图捕获,并且映射成一种特定于器件的随机图案。 通过A11仿生芯片神经引擎在Secure Enclave内保护 并将这些数据转换为数学表示,并将该表示与登记的面部数据进行比较。这个登记面部数据本身就是一个数学表示,你的脸的各种姿势都将被捕捉到。

面部匹配是在Secure Enclave内使用专门为此目的训练的神经网络进行的。苹果使用超过十亿的图像开发了面部匹配神经网络,包括在参与者的知情同意下进行的研究中收集的IR和深度图像。经过训练可发现并抵御欺骗的额外神经网络可防止企图用照片或口罩解锁iPhone X。

脸部识别数据,包括脸部的数学表示,都是加密的,只能用于Secure Enclave。这些数据永远不会离开设备。它不会发送到Apple,也不会包含在设备备份中。在正常操作过程中拍摄的脸部图像不会被保存。

总之,其安全性通过在Secure Enclave环境来进行处理保证,是一种整体性安全方案。也就是说IFAA这一金融级别的人脸识别安全方案首先是在学习追平苹果,在Android上用TEE+SE的安全基础安全设施保证,并通过IFAA方案整合了安卓生态一起协作完成的。显然这是一件十分让人欣赏的事情。下面我们来看看什么是金融级安全。

什么是金融级别的人脸识别支付?

首先从各种人脸识别安全标准中去了解什么是金融级别?目前已经发布或正在起草的的有关人脸识别相关安全技术标准有(非完全统计):

正在起草

信息安全技术 人脸识别认证系统安全技术要求

正在起草

信息技术 移动设备生物特征识别 第3部分:人脸

正在公示

信息安全技术 基于可信环境的远程人脸识别认证系统技术要求

即将实施

公共安全技术 人脸识别应用 图像技术要求

已经实行

GA/T 1212-2014 安防人脸识别应用防假体攻击测试方法

最近由泰尔实验室领头起草的《移动终端基于TEE的人脸识别安全评估方法》则是可信执行环境的角度定义了移动终端设备在人脸识别中的:信息采集、传输、存储、识别、比对以及销毁各环节的安全技术和指标,对要求和指标的评估流程和评估方法加以规范。

之前介绍的基于可信环境的远程人脸识别认证系统技术要求,将安全要求对应安全等级保护的EAL3+和EAL4+分别分为基本级和增强级。

对于功能上,增强级要求体现在人脸采集和处理、活体检测、人脸验证、人脸辨识、多机制鉴别、防伪造以及鉴别失败后的处理。

对于安全功能,增强级要求体现正在访问控制、数据存储安全、数据传输安全以及个人信息保护、备份恢复上。

概述来说,人脸识别安全技术标准从公安行业标准,企业标准,再到国标还处于初期发展阶段,对安全的定义、指标要求也存在差异。对于金融级别安全其实是没有定义的。对于人脸识别安全来说,类似某些设备厂商常常宣称其设备是电信级设备,意指设备高可靠性一样,对于安全,我们知道金融级别的安全意味着高安全。

IFAA联盟发布“本地人脸识别解决安全方案”来说,由于呈现的细节不多,只是说其3D人脸数据的提取与计算分别由两个安全芯片负责,也就是采用的是在高通芯片平台上的TEE+双SE的方案吗?

最后说一点,摄像头信息传输安全解决方案必须是要端到端的保护,也就是说需要将泛光感应元件、红外摄像头、距离传感器、接收器、2500万像素前置摄像头、点阵投影仪共同组成了一套全隐藏式3D前后摄像头(双轨潜望结构)的O-Face 3D结构光模组。

这一切要在高通TEE平台上实现3D结构光模组的安全覆盖,软硬件协同工作十分不容易!

本文分享自微信公众号 - 安智客(china_safer)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 基于可信环境的远程人脸识别认证系统技术要求

    本篇针对目前信安标委《基于可信环境的远程人脸识别认证系统技术要求》标准规范征集意见稿进行学习!

    安智客
  • 智能门锁安全国家标准与TEE

    前不久,工业互联网安全应急响应中心发布《智能门锁安全分析报告》,详细报告:https://www.ics-cert.org.cn/portal/page/132...

    安智客
  • SE、TEE产品趋势信息

    本文汇总各个方面,描述TEE+SE在行业里迅速发展! 1,国家政策层面上,中国人民银行和中国国家认证认可监督委员会联合发布 《国家认证认可监督管理委员会 中国人...

    安智客
  • 企业上云如何享受普惠安全红利?丨产业安全观智库访谈

    当今现代社会每一个人都享受到社会的公共资源的各种普惠红利,比如说水、电、煤,以及IT信息基础设施。伴随着数字化进程不断提速,安全已然成为产业发展的底座,普惠安全...

    腾讯安全
  • 企业安全新风向丨FIT 2019中国首席信息安全官高峰论坛

    FIT 2019大会即将在上海举办,届时,中国首席信息安全官(CSO)高峰论坛也将于2018年12月11日(周二)下午举行,我们诚挚的邀请广大企业的信息安全负责...

    FB客服
  • 一图解析腾讯云“星舰级”安全体系

    为了给客户提供一个安全稳定的云平台,腾讯集结3500+网络安全专家和技术人员,围绕腾讯云进行全栈基础安全设施建设,打造腾讯云安全体系。

    腾讯安全
  • 数据治理与安全运营 | 企业安全俱乐部「上海站」看点回顾

    最近周围的人都很兴奋焦躁,还经常对着日历念念有词,空气中充斥着一股高考倒计时的紧迫感,显然,这是因为2019年4月24日,《复仇者联盟4:终局之战》「FreeB...

    FB客服
  • 中小银行互联网安全防护的一些新姿势丨CSO高峰论坛议题前瞻

    随着金融行业“互联网+”战略的快速发展,信息安全早已经和业务融合在一起,日益复杂的网络安全态势也对金融行业的各个企业提出更高高的要求,尤其是在安全防护能力上。

    FB客服
  • 一图解析腾讯云“星舰级”安全体系

    为了给客户提供一个安全稳定的云平台,腾讯集结3500+网络安全专家和技术人员,围绕腾讯云进行全栈基础安全设施建设,打造腾讯云安全体系。

    腾讯安全
  • 面对产业安全的新挑战,腾讯安全如何“现身说法”?

    从新一代信息技术的创新聚变到新基建的加快推进,再到疫情的骤然爆发,产业数字化转型主动、连续、协同的演变脉络和趋势愈见清晰。各行业对数字化架构依赖性的攀升造就了更...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券