基于可信身份認證的安全管控基礎平臺研究與應用

尚守衛 劉迪 李玉 范葉平 楊德勝

摘 要：針對現階段電網業務人員身份認證存在的主要問題，以人的身份管理為基礎，以大數據、云計算、生物識別技術、深度學習和圖像處理等技術為支撐，研發通用的基于可信身份認證的安全管控基礎平臺，構建多渠道的實名鑒別服務、多級別的身份管理服務、多元化的身份憑證管理服務以及統一身份認證服務整體解決方案，為電網運行、生產作業、基建施工、產業安全和信息通信提供“實名+實人+實證”的真實身份認證服務，解決人員真實身份驗證和人員安全行為管控問題。構建通用強身份認證平臺，提供批量化和定制化可信身份認證滿足不同業務身份認證需求，提供多重身份認證服務，提升身份認證安全級別，實現網絡空間與物理空間身份一致性，有效管理虛擬與現實空間的身份與行為。

關鍵詞：電網業務；可信身份認證；圖像處理

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2018）19-0035-03

1998年，J.Kittler率先使用聯合規則進行人臉識別，所謂聯合規則就是指多數表決或者幾率疊加[1]。2000年，Baback等人提出了以概率分布為依據的人臉識別算法，實現了人臉的跟蹤和識別功能。2014年，Facebook提出了DeepFace，利用卷積神經網絡和大規模人臉圖像進行人臉識別，在LFW上獲得了97.3%的精度。谷歌2017年推出了BEGAN模型用于人臉數據集，建立了視覺質量的新里程碑。1987年，眼科專家Aran Safir和Leonard flom提出利用具體的虹膜圖像來進行虹膜識別的概念[2]。2003年，Wildes提出利用邊緣檢測算子與Hough變換結合的方式確定虹膜邊緣參數[3]。2007年Basit等人提出利用圖像的灰度強度進行虹膜區域定位。Boles在2011年提出利用小波過零點進行特征選擇的方法[4]。Daugman在2013年率先提出利用微積分算子進行虹膜區域的檢測[5]，這極大地推動了虹膜識別的研究。

國家頒布實施《中華人民共和國網絡安全法》，明確提出“網絡實名制”、“國家實施網絡可信身份戰略”，國網信通產業集團已開展了可信認證技術前沿研究工作，研發了項目現場人員管控、后勤訪客管理、重大活動保電人員身份認證管理等系統，形成了系列專項技術成果。但面對基建、營銷、運檢等電網核心業務領域存在的差異性需求，尚未形成通用的基于可信身份認證的安全管控基礎平臺。因此，需要對各專項技術成果進行整合、提升，形成通用的安全管控基礎平臺產品。

1 基于可信身份認證的安全管控基礎平臺研究內容

對已有專項技術成果進行整合設計、提升，進一步完善基于高安全等級生物識別的可信身份認證關鍵技術，構建一套通用的基于可信身份認證的安全管控基礎平臺技術體系，完成基礎平臺研發。

通用的基于可信身份認證的安全管控技術體系如圖1所示，包括：基礎算法、安全特征庫、終端適配、認證服務、安全通行、安全違章、身份管控和身份識別。基礎算法基于深度學習、圖像識別、神經網絡等人工智能技術實現人員特征識別、動作和行為特征識別等；安全特征庫構建典型特征庫，如人臉特征庫、安全履歷庫等，各類特征庫作為基礎數據，通過身份管控、身份識別、安全通行和安全違章等模塊為不同的人員身份識別、面部特征識別和行為識別場景提供比對判定源，實現身份和行為監管。

1.1 已有專項技術成果進行整合設計、提升

開展現有項目現場人員管控、后勤訪客管理、重大活動保電人員身份認證管理等系統已有可信身份認證功能分類劃分，提煉出已有可信身份認證成果的共性特征和個性特征，統一開展功能架構設計，完成已有可信身份認證成果標準化整合和多種形態的硬件終端適配。

（1）已有可信身份認證技術成果和應用的標準化整合。目前，在人臉識別、身份證識別已開展重點攻關并積累技術成果，并在項目現場人員管控、后勤訪客管理、重大活動保電人員身份認證管理等業務場景具備一定應用基礎，但各系統應用技術路線存在一定差異，軟硬件接口標準不統一，數據類型及接口存在一定差異，需要整合已有可信身份認證技術成果和應用，整合建立一致的數據模型、圖像模型，規范已有接口，統一研發標準，并移植到SG-UAP平臺。（2）多種形態的硬件終端適配。認證載體在硬件載體的形態呈現多樣，其中認證終端主要有立式、臺式、手持式和安全手機，針對多形態的認證終端，采用統一的硬件品牌型號、接口、驅動和固件；同時將國網自主研發的移動安全操作系統移植至各類移動終端，確保應用運行環境安全。針對1：N的認證場景，制定統一的前端采集設備（如抓拍機、高清攝像頭）的性能和技術標準，如曝光、寬動態、識別距離、逆光算法等，形成標準的測試驗證體系。

1.2 基于生物識別和圖像識別的可信身份認證關鍵技術研究

研究人像識別、證件識別等人員身份識別，實現可疑人員鑒別；研究聚集人員動作識別，提高現場管控力度；研究電網生產作業現場人員著裝特征識別，實現安全帽、工作服的識別，實現作業現場人員著裝規范管理；研究構建人臉特征庫、資質信息庫等，實現對作業現場人員特定行為的識別。主要研究內容：（1）人員特征識別關鍵技術研究；（2）人員行為分析關鍵技術研究；（3）安全特征庫構建關鍵技術研究。

1.3 基于可信身份認證的安全管控基礎平臺研發

研究面向電網核心業務人員身份鑒別的多重特征加權組合鑒別技術，設計通用的基于可信身份認證的安全管控基礎平臺技術架構，設計研發身份管控、身份識別、安全通行、安全違章等功能模塊，研發通用的基于可信身份認證的安全管控基礎平臺。

（1）身份管控。以生物識別技術、證照識別技術、可信身份認證技術為支撐，實現對資質、履歷等人員身份立體化管控，以實現人員身份創建、存儲、維護、維護、注銷等全過程管控。包含人員信息、安全積分、安全資質、分類權限、安全履歷、違章記錄、安全教育、黑白名單等功能。（2）身份識別。以生物識別技術、圖像識別技術、可信身份認證技術為支撐，實現對人員身份鑒別和識別。包含身份證識別、工作證識別、公安聯網核查、人像識別、動態視頻識別、組合認證等。組合認證通過“人臉+口令”、“人臉+指紋”等多因子融合認證技術，實現高安全的身份認證。（3）安全通行。以生物識別技術、視頻監控技術為支撐，達到對人員通行行為的識別、分析與記錄，及時洞察陌生人員闖入等風險。包含身份登記、門禁聯動、閘機聯動、通行記錄、短信通知、語音播報、人員軌跡、陌生人入侵等功能。人員軌跡可根據日期、人員身份信息等對歷史定位信息進行檢索，生成人員行為軌跡圖。陌生人入侵通過生物識別技術以及視頻監控技術，對人員身份快速精準識別，及時洞察人員非法闖入風險。（4）安全違章。以生物識別技術、視頻監控技術為支撐，實現安全違章識別、分析和風險預警。包含區域監測、危險物監測、安全帽違章、人員越界、到崗監管、違章預警等功能。區域監測通過對關鍵區域進行監控，及時識別各種誤入或非法闖入區域的人員。危險物監測通過視頻監控技術以及圖像識別技術，及時對危險物作業進行分析記錄。安全帽違章通過生物識別技術、圖像識別技術，及時快速識別安全帽佩戴是否規范。人員越界通過生物識別技術、視頻監控技術，對人員身份快速精準識別，及時洞察人員越界風險。到崗監管通過生物識別技術，實現作業人員與作業人員工種匹配，對作業人員離崗或串崗進行提示。違章預警提供可疑人員、陌生人員以及違章著裝等安全隱患進行風險預警。（5）終端適配。終端適配是指為滿足各類具體業務場景提供的人員身份鑒別和識別的終端介質。包含身份證讀卡器、抓拍機、高清攝像頭、對比服務器、立式認證終端、臺式認證終端、手持式認證終端、安全手機等。抓拍機支持全幀率、全畫幅人臉檢測抓拍，可以逐幀進行人臉檢測，能逐幀對每張人臉進行多維度的質量判斷。（6）認證服務。認證服務是指為滿足各類具體業務場景提供的人員身份鑒別和識別的服務策略和模式。身份互信通過提供標準開放的接口，為各類應用提供安全高效的用戶身份認證服務。安全畫像通過結合“生物識別技術+視頻監控技術”，利用大數據分析挖掘技術，建立精細化分層的身份、資質、權限、行為等全面立體化的人員可信安全畫像，實現對人員安全身份全方位綜合描述，為人員安全管控和風險預警提供決策依據。

2 基于可信身份認證的安全管控基礎平臺研究實施方案

2.1 技術路線圖

系統研發的主要階段分為前期準備、系統設計、技術攻關、系統研發、系統測試、項目驗收6個階段。

（1）前期準備。確定系統框架和技術選型，完成兩級研發項目建議書、項目可行性研究報告。（2）系統設計。進行進一步的細化和驗證，確定系統實現的技術路線，完成系統功能、性能及數據庫等設計內容，其中包含概要設計、詳細設計、業務模型設計、原型設計、數據模型設計、集成接口設計等。（3）技術攻關。對重難點技術開展攻關，主要包括對著裝識別、人員特征識別等。（4）系統研發。嚴格按照軟件開發管理規范和系統設計原則完成系統的代碼開發，主要包括算法引擎的開發、特征信息庫的構建、認證服務接口研發、頂層業務應用的開發。（5）系統測試。制定測試計劃，對測試工作進行安排，完成系統測試、接口測試、全流程貫通性測試。（6）項目驗收。提交項目驗收資料，通過項目驗收評審。

2.2 技術創新點

基于人員特征識別及異常行為分析的深度應用，為提高安全風險精準識別，發揮安全監管價值，利用大數據進行分析挖掘，建立基于人員特征識別及異常行為的精細化分層的風險防控體系，對接人員安全監管的薄弱環節，提供實時動態風險跟蹤服務，消除由人員因素引發的管理違章、行為違章。

（1）建立面向行業安全應用的身份特征庫。依托公安部居民身份證庫，綜合運用人臉特征庫、資質信息庫等，構建具備法律依據的面向行業安全的身份特征庫，解決了自然人真實身份校驗問題，解決違規上崗、串崗痛點等違規行為，在國有企業屬首創，在電網領域也是首次應用。（2）構建一套通用的基于可信身份認證的安全管控基礎平臺技術體系。設計由身份管控、身份認證、身份授權、區域監測和聯動預警組成的可信身份認證通用策略和流程，構建一套通用的基于可信身份認證的安全管控基礎平臺技術體系，實現滿足不同業務安全需求的人員安全管控。

2.3 研究成果

通過研究基于生物特征的人員特征識別關鍵技術、基于圖像識別的人員著裝特征識別關鍵技術、基于生物特征識別和圖像識別技術的人員行為分析關鍵技術和基于可信身份認證的安全特征庫關鍵技術，實現實時安全態勢感知、安全風險分類、安全風險預警及過程全面管控，并結合電網核心業務典型應用模式，研發通用的基于可信身份認證的安全管控基礎平臺。

（1）通過對現有項目現場人員管控、后勤訪客管理、重大活動保電人員身份認證管理等系統已有可信身份認證功能分類劃分，提煉出共性特征和個性特征，統一開展功能架構設計。（2）通過研究基于生物特征的人員特征識別關鍵技術，實現人像識別、證件識別等人員身份識別，實現對可疑人員身份快速鑒別；通過研究基于圖像識別的人員著裝特征識別關鍵技術，實現安全帽、工作服識別，實現作業現場人員著裝規范管理；通過研究基于可信身份認證的安全特征庫關鍵技術，構建面向行業安全的身份特征庫。（3）構建通用的基于可信身份認證的安全管控基礎平臺，實現電網業務自然人和業務角色身份信息統一管理，實現人員全程身份管控、全過程行為記錄和異常行為分析。

3 結語

基于可信身份認證的安全管控平臺滿足不同安全等級的電網核心業務應用要求，滿足省、地、縣各級人員不同安全應用需求，滿足國家電網公司關于電網本質安全的要求和發展方向，將在基建現場安全管控、運檢作業現場人員安全管控、變電站人員出入安全管控、后勤人員安全管控、移動支付可信身份認證、研發人員安全管控、信息系統實名制等場景中進行廣泛應用。同時該研究成果可推廣到智能終端相關領域應用，提升公司信息安全水平和安全生產管控能力，并在智能終端方面都有重要研究意義及市場推廣價值。

參考文獻

[1]栗然，張烈勇，顧雪平，李和明.采用粗糙集聯合規則挖掘算法的分布式電網故障診斷[J].中國電機工程學報，2010，04（003）：28-34.

[2]劉冀，王向軍.虹膜識別技術及應用[J].光學技術，2002，05：459-461+46.

[3]Richard P.Wildes.A machine-vision system for iris recognition [J].Machine Vision and Applications，1996，Vol.9（1），pp.1-8.

[4]Quang Minh Tieng，W.W. Boles， Space Curve Representation and Recognition Based on Wavelet Transform Zero-Crossings[J].Journal of Mathematical Imaging and Vision，2000，Vol.13（1）， pp.5-16.

[5]John Daugman； Cathryn Downing. No change over time is shown in Rankin et al.“Iris recognition failure over time： The effects of texture”[J].Pattern Recognition[J].2013：609-610.

[6]馬丁，蘭海英，曾夢岐.網絡可信身份管理體系研究[J].信息安全與通信保密，2014，1：60-63.

[7]荊繼武.網絡可信身份管理的現狀與趨勢[J].網絡安全研究，2016，2（6）：666-668.