人證一致性驗證平臺研究

◆李雨 蘇志賢

（浙江安防職業技術學院 浙江 325016）

1 引言

隨著互聯網的快速發展，居民網上操作日趨增多。但由于互聯網的開放性及隱匿性，身份認證一直存在漏洞。無意間的信息泄露，更會被他人盜用身份信息進行不法操作。為了對居民的線上身份進行確認，部分機構、公司采用人臉比對的方式進行身份驗證。但是第三方開發的身份認證平臺通常存在人臉識別率不高、準確度不高、數據庫信息不全等問題。

為了解決識別率不高、精確度不高、數據庫不完整等問題，本項目開發了人證一致性驗證平臺。平臺對接公安一所的“互聯網+”可信身份認證平臺，它的人臉數據庫是二代身份證的信息采集數據庫。這樣就可以保證平臺在人臉驗證這塊的準確度、識別率以及數據庫完整。

2 平臺的搭建及架構

平臺搭建在Windows 操作系統，為保證平臺能夠平穩運行，需要4 核CPU，16G 內存或更高配置。平臺是基于Java 開發的，所以運行環境需要安裝jdk，同時還需要安裝數據庫mariaDB，用于存放相關數據，便于在平臺上展示相關歷史信息并提供查詢功能。

平臺服務功能如圖1 所示。業務客戶端（手機、PC、PAD）將需要驗證的數據，通過服務器發送至Http 客戶端，Http 客戶端在收到數據后，通過和簽名服務器（公安一所提供，用于數據加密確保數據安全）完成握手過程，再通過互聯網按照TCP 協議將內容傳輸到公安一所的Http 服務端，由Http 服務端完成身份認證過程，判斷是否人證一致。再將判斷結果通過互聯網反饋至Http 客戶端，由Http客戶端將結果按照既定規則解碼后返回到業務客戶端。

圖1 平臺功能服務

Http 客戶端處理身份認證請求的業務邏輯如圖2 所示。

（1）第三方發送數據前需要獲取token，用于確認是否在通信名單中。Token有效期為12個小時，每隔12小時需要重新獲取一次token。

（2）確認Token 值有效之后，與簽名服務器通信，將第三方數據加密之后傳送到Http 服務端。簽名服務器由公安一所提供。因數據庫的安全性設計，如果確實簽名服務器的加密環節則無法完成與Http 服務端的通信。

（3）Http 服務端收到數據后進行解密，再根據數據里面的身份證信息（姓名、身份證號以及本人照片），驗證是否人證合一。

（4）平臺收到認證結果之后，需要對認證結果進行解析，如認證成功，則告知業務客戶端結果為通過，如認證失敗，除了返回失敗，還需要返回失敗的原因，便于業務客戶端修改錯誤。

這里簡單描述幾種常見的錯誤原因。首先在身份信息輸入的時候存在錯誤，如字母X 沒有大寫，這時會提示身份信息不匹配。其次是照片不清晰，臉部有遮擋或者光線不足導致面部識別失敗。最后是照片過大，公安一所那邊要求照片大小不超過40kb，因此業務客戶端在發送數據前，首先需要自檢，判斷數據是否符合相關標準。

圖2 業務邏輯原理圖

3 系統功能設計

3.1 接口管理模塊

平臺需要記錄接口調用記錄，包括接口調用狀態、認證內容、調用時間，以及相關流水號，便于后期排查相關認證失敗問題。同時還需要統計近期的訪問流量，能夠以圖表的方式展示相關內容。

3.2 系統監控模塊

現平臺應用較少，硬件能夠滿足當前的需求，但隨著業務量的增多，認證需求增長時，會對平臺的性能要求逐步提升。因此需要系統監控模塊，及時對系統相關性能進行監測，包括CPU、內存、使用率，出現硬件條件不符的預兆時及時對硬件進行升級。

3.3 系統管理模塊

系統管理模塊主要對系統相關設置進行管理。通信名單主要用于管理業務客戶端，只有在名單內的業務客戶端（以訪問ip 進行第一步判定）提供了正確的用戶名及密碼之后，才允許進行通信，返回token，進而調用身份認定接口。同時還需要對界面的顯示文字、樣式進行相應的管理。

3.4 日志管理模塊

平臺需要對使用情況進行相應的記錄，如管理賬號登錄情況、通信名單設置情況、訪問記錄操作等，便于后期查詢。

4 總結

平臺可以為各行各業與百姓生活息息相關的重要管理系統提供統一可信的后臺身份認證服務，改變各行業系統信息資源分散的現狀，最終實現社會治理結構的不斷創新。配合落實國家“互聯網+”重大戰略，在傳統身份認證與網絡之間架起橋梁，鞏固公民社會信用代碼地位和作用，為網絡金融、電子商務、電子政務、電信等領域提供可信支撐，豐富和方便了如網上訂票、旅館登記、在線支付、稅收繳納、社交娛樂等各類便民服務手段。促進“網上派出所”、“網上警務室”、“網上辦事服務大廳”等網上便民服務建設，公民在網上即可實時辦理各類業務，切實提升公安機關管理與服務社會的能力。