基于生物識別的身份認證系統研究與應用

楊德勝+楊磊

摘 要：在電網核心業務應用中缺乏對人員安全管控的強身份認證技術手段，針對人員真實身份驗證問題，尚未有信息系統支撐。人員可信身份安全認證是守護電網核心業務資產的一道防線，為了解決身份盜竊、身份欺詐、身份冒用、隱私泄露等安全問題，提出基于二代身份證的生物識別身份驗證系統在電網核心業務中的應用方案，該系統實現了身份認證、身份模型管理、憑證管理、屬性管理、身份全生命周期管理、訪問控制管理、簽驗管理和安全管理等功能，為電網核心應用系統和網絡用戶提供“實名+實人+實證”的真實身份管理服務和身份認證服務，有效解決實名認證、人證合一的問題，在保護用戶隱私信息的同時，有效解決現有電力核心業務應用身份認證模式中易被“盜用”、“冒用”難題。

關鍵詞：電網核心業務；身份驗證；二代身份證；生物識別；實名認證

中圖分類號：TP391.4 文獻標識碼：A 文章編號：1671-2064（2018）01-0021-02

《中華人民共和國網絡安全法》明確網絡實名制和實施網絡可信身份要求，在電網核心業務應用中缺乏對人員安全管控的強身份認證技術手段，針對人員真實身份驗證問題，目前在電網核心業務中尚未建立，缺乏信息系統支撐。隨著公司智能電網、能源互聯網等業務發展迅速，促使實名驗證、遠程身份驗證的需求越來越強烈，迫使電網核心業務人員真實身份驗證必須在傳統身份認證模式基礎上，不斷深化與創新以解決新的人員安全可信身份認證問題。人員可信身份安全認證是守護電網核心業務資產的一道防線，為了解決身份盜竊、身份欺詐、身份冒用、隱私泄露等安全問題，因此有必要開展人員可信身份認證系統研究，實現電網核心業務用戶“實名+實人+實證”的真實身份認證，確保電網核心業務應用信息安全。

1 基于二代身份證的生物識別身份驗證系統架構

基于二代身份證的生物識別身份驗證系統主要由基于二代身份證的生物識別身份驗證前端系統、基于二代身份證的生物識別身份驗證后端系統、電網核心業務應用可信人員管控、公安部可信身份認證平臺以及統一權限平臺、人資權威源組成。

（1）基于二代身份證的生物識別身份驗證前端系統主要負責人臉、指紋等生物特征信息的采集以及二代身份證信息及圖像信息的采集；（2）HR權威源集成通過集成組件與基于二代身份證的生物識別身份驗證后端系統進行集成，HR權威源系統主要為基于二代身份證的生物識別身份驗證后端系統提供用戶、組織、崗位、憑證、生物屬性信息等可信數據源；（3）基于二代身份證的生物識別身份驗證后端系統與ISC系統的集成采用數據同步集成模式，ISC系統為基于二代身份證的生物識別身份驗證后端系統提供相關用戶身份權限數據，同時基于二代身份證的生物識別身份驗證后端系統可以為ISC系統提供高安全級別的人員可信身份認證服務；（4）公安部可信身份認證平臺集成通過集成組件與基于二代身份證的生物識別身份驗證后端系統進行集成，公安部可信身份認證平臺為基于二代身份證的生物識別身份驗證后端系統提供權威用戶身份證真實信息校驗服務，實現可信身份認證的權威性；（5）基于二代身份證的生物識別身份驗證后端系統對基建、運檢、安監、營銷、后勤、信通等電網核心業務應用采用適配器集成模式，為電網核心業務應用提供高級別的人員可信身份認證服務功能，并同時通過業務應用提供的接口進行可信身份認證更新數據同步。

2 基于二代身份證的生物識別身份驗證系統功能架構

基于二代身份證的生物識別身份驗證系統包括8個部分：身份認證模塊、身份模型管理模塊、憑證管理模塊、屬性管理模塊、身份全生命周期管理、訪問控制管理、簽驗管理和安全管理。

身份生命周期管理模塊包括身份的創建、存儲、使用、維護和注銷等功能。這些功能主要由電網人資、業務部門、信通部以及用戶組成的全局身份提供方負責實現。身份創建流程完成用戶可信身份的創建；身份的維護主要是指身份模型中各個身份數據項內容的更新，控制對可信身份信息的訪問；身份存儲確保對人員可信身份信息提供安全的存儲功能；身份注銷是指刪除用戶可信身份信息，并通知電網各業務應用該用戶已被注銷。

憑證管理模塊主要完成人員可信憑證的創建、發布、注冊、保證和撤銷等功能，實現對人員可信憑證的生命周期管理。憑證是指作為被聲稱的身份或權利的證明的一組數據。可信憑證在具體載體形式上包括智能卡、工作證、口令、生物特征（如人臉、指紋、聲紋等）等。

屬性管理模塊完成用戶可信身份相關屬性的獲取、更新、使用和刪除等功能。屬性管理模塊由電網人資、業務部門、信通部以及用戶組成的全局身份提供方負責實現。身份屬性獲取對身份數據權威數據源進行定位的索引、目錄或映射。身份屬性更新對用戶改名或生物特征信息更新等信息，或對將不同的權威身份數據源連接起來，共享不同身份數據源中的身份和屬性數據。

訪問控制模塊對用戶物理訪問和邏輯訪問進行控制，實現資源管理，策略管理和授權管理功能。其中授權管理可包括基于角色的授權管理和基于屬性的授權管理；策略管理功能中的策略制定標準可包括標識、時間、角色、位置、屬性、憑證、權限和狀態等。

身份認證模塊對用戶身份鑒別和識別，實現人證比對、人像識別、多屬性組合身份鑒別和身份畫像功能。

安全管理模塊對國網核心業務系統風險控制和安全行為審計，實現安全審計、風險預警、應急處置和責任回溯功能。

3 應用案例

3.1 人員可信可視后勤保障系統建設思路

結合國網某網省電力公司辦公樓區人員出入管理的現狀，以人員安全管理為出發點，充分貼合后勤保障部門日常管理需求，采用基于二代身份證的生物識別身份驗證系統，為人員出入管理提供更加智能、更加便捷的管理工具，實現員工、訪客分類管理，實現員工的智能化出入門禁、考勤管理，訪客的可信登記管理，高效記錄、存儲、查詢匯總人員出入相關信息，切實為后勤保障部門提供更加便捷的管理工具，提升安全管理能力和工作效率。endprint

本方案的核心價值體現為“可信”和“可視”。可信：采用基于二代身份證的生物識別身份驗證系統實現人員身份的可信認證和可信管理；可視：運用視頻監控和門禁技術相結合，為后勤保障人員提供更加可視化的管理和操作界面。

3.2 人員可信可視后勤保障系統功能模塊

人員可信可視后勤保障系統核心功能主要包括訪客管理和員工管理，具體介紹如下：

（1）訪客自助：訪客將居民二代身份證放置在身份證讀卡器上讀取身份信息，并將數據傳輸至后勤可信可視保障系統；可信身份認證終端設備自動檢測來訪人員生物特征，并與公安部可信身份認證系統對接，以更加權威的辨別持證人和證件是否人證合一，將認證結果傳輸至后勤可信可視保障系統；系統根據數據分析結果對訪客身份進行認證，系統將來訪人員信息以短信、APP、查號撥號等方式發送給被拜訪人員。系統對訪客管理還提供黑名單提醒、歷史來訪提醒和滯留提醒等功能。（2）會議自助：1）會議召集部門提前發出會議信息→工作人員在可信系統中提前授權參會人員在會議時間的進出權限→即完成登記授權。2）參會人員在會議當天，會議時間開始時間1小時之前，可直接刷身份證進入。（3）預約登記：包括來訪者預約登記和被訪者預約登記，其中來訪者預約登記：1）外網網頁預約：來訪者提前登陸預約網址→錄入姓名、身份證號、手機號、來訪單位、來訪事由、來訪時間、隨訪人數→填寫被拜訪人并發送短信→被拜訪人信息回復授權。來訪者當天在自助終端上采集人像→人證信息驗證→逐一刷隨訪者身份證→來訪者自動被授權當日一次進出→可刷身份證進出。2）內網郵件預約：來訪者提前發送郵件→錄入姓名、身份證號、所在單位、來訪事由、來訪時間、隨訪人員姓名→郵件給被拜訪人→被拜訪人郵件回復至可信系統專用賬號→工作人員依據郵件結果在可信系統中登記授權。（4）業務管理：系統提供統計查詢、系統設置和系統維護等功能。其中統計查詢包含出入記錄查詢、訪客信息查詢、被訪信息查詢、訪客歷史記錄、黑名單查詢；系統設置包含人員分類、黑名單設置；系統維護包含用戶管理、權限管理、數據管理、設備管理和信息維護等功能。（5）人臉識別：員工刷卡進入工作區域，實時抓取員工的生物特征；系統后臺將抓取的員工生物特征與事先建立的內部員工身份信息庫比對；信息比對正確，員工身份認證通過，門禁通道自動開啟；將出入的信息存入后臺數據庫作為考勤和出入記錄，實現員工上、下班無需持證，刷臉出入門禁。（6）身份管理：將因工作關系經常進出大樓的人員分類管理，不同類別設置不同的登記審批及注銷管理流程。可信系統后臺支持對人員進出時效進行設計，如按周期、時間段、次數等。

4 結語

綜合二代身份的生物識別身份驗證是一種有效的提升可信身份驗證效果的技術手段，可以在自動獲取電網核心業務應用人員可信身份信息的同時，按照可信程度不同，采取不同安全強度級別的身份認證方法，形成多級認證機制，面向不同的核心業務應用系統和網絡用戶提供“實名+實人+實證”的真實身份管理服務和身份認證服，實現對電網核心業務應用中人員身份人證合一的可信驗證。系統可廣泛應用于基建現場人員可信安全管控、現場巡檢人員可信全過程管控、變電站人員可信安全管控、重大活動保障人員可信安全管控、智能營業廳窗口業務人員可信身份認證、無人值守智能營業廳自助業務辦理人員可信身份認證、人員可信可視后勤保障、信通運維人員可信安全管控、研發安全人員可信認證管控等需要進行人員真實身份驗證并需要盡可能保障實人實名實證、到崗到位到人的應用場景。采用二代身份證作為人員可信身份驗證介質，并與公安部可信身份認證平臺對接，保證了身份認證的權威性。

參考文獻

[1]高健，曹國順，田野.基于生物識別的人員管理系統[J].信息技術與標準化，2016，6：60-63.

[2]鐘錦泉，霍宇明.人臉識別身份驗證系統助推工地實現高效管理[J].中國安防，2014，8：28-31.

[3]徐劍，趙英南，田永純，等.融合二維碼與人臉識別的會議身份認證系統研究[J].技術研究，2015，4：13-18.

[4]湯寧，李勇平，王靖琰，等.多模式生物特征識別的身份驗證系統[J].計算機工程與設計，2012，33（1）：317-321.

[5]趙建國.基于人體手指靜脈特征的身份認證系統設計[J].信息通信，2016，8：83-85.

[6]馮天從.基于二代身份證的人臉識別身份驗證系統研究[J].信息化研究，2013，39（1）：19-22.endprint