基于離線人臉識別的PC身份認證
——從靜態到活體

劉廷峰 李江鑫 朱源

(四川中電啟明星信息技術有限公司 四川成都 610000)

隨著企業信息化程度越來越高，PC終端成為工作場景中最不可或缺的辦公工具，尤其大型企業業務規模龐大，PC終端系統類型繁多，對于系統使用者來說，登錄不同的系統辦公是每天重復多次的日常工作。隨著國家對于大型企業的信息化安全有越來越嚴格的要求，員工在多系統的賬戶密碼管理和使用上，受到越來越大的挑戰，存在的安全威脅和隱患也越來越大。基于企業IAM 的統一認證登錄，能夠通過統一的規則保證員工的賬號密碼管理符合信息安全的標準，但是，通過密碼認證的方式，在日常工作的使用中，也存在著明顯的短板。員工必須承擔保護密碼的責任，一旦密碼泄漏，對企業應用的業務和信譽都將造成巨大打擊。然而實際工作場景中，經常有特殊原因，員工為了工作方便，私下分享了賬號密碼。特別是在多員工共享辦公電腦場景下，員工都有共享賬號密碼方便工作的習慣。除此之外，因為PC 上操作系統本地賬號與企業IAM 賬號分離管理，也給員工在共享PC 的辦公場景上，帶來了額外的信息安全風險[1]。

因此，企業需要尋求新的技術解決方案：通過降低賬號密碼的使用頻率來減少密碼泄漏和故意分享的風險；采用用戶體驗更好、安全性更高的認證方式來提高系統認證的安全性；消除辦公共享PC的操作系統賬號與企業應用系統賬號之間的技術鴻溝。

基于以上問題，本文提出了一種在PC終端上通過離線人臉識別方式直接登錄業務系統的關鍵技術。通過采用認證方式，降低了頻繁使用賬號密碼的泄漏風險，通過基于人臉的生物識別方式，改進了業務系統的安全性和用戶體驗感。特別是在多員工共用PC上，通過將操作系統登錄與業務人臉登錄流程打通，實現了員工信息安全管控和用戶體驗的和諧統一[2]。

1 傳統登錄方式分析

目前比較傳統的登錄方式有賬號密碼登錄方式和App掃描二維碼登錄這兩種方式。

1.1 賬號密碼登錄方式

賬號密碼登錄方式是最傳統的系統登錄方式。員工需要對密碼的保密負責，而且根據信息安全要求，密碼在長度、格式和更新周期上都有規定，這都為賬號密碼的使用埋下了安全隱患。特別是在員工共用PC 的辦公場景下，員工為了工作方便，私下分享賬號密碼的行為屢見不鮮。

1.2 App掃描二維碼登錄方式

App掃描二維碼登錄是目前比較流行的一種代替賬號密碼登錄的免密登錄方式。

1.2.1 App掃描二維碼登錄優點

（1）用戶體驗無須教育成本。很多互聯網應用都把二維碼掃描登錄PC端應用作為首選的登錄方式；無密碼登錄方式，比賬戶密碼登錄方式更友好。（2）安全性更高。通過手機掃描二維碼登錄，類似雙因子校驗，通過登錄PC和使用者手機的雙重認證，提高了認證的安全性。

1.2.2 App掃描二維碼登錄的缺點

（1）依賴手機App 應用。必須依靠手機中的App掃碼，在一些特殊場景下，如果網絡受限，或者使用者沒有辦法使用手機就無法使用此種方式認證登錄。（2）登錄過程繁瑣。相比其他登錄方式，掃碼登錄的方式多出了手機上打開App 掃描二維碼的動作，登錄過程花費時間更長。另外，在賬號密碼泄露的條件下，掃碼認證也并不安全。獲取別人賬號密碼的用戶，完全可以在手機App上冒用別人的賬號。

1.3 問題分析

無論傳統的賬號密碼登錄方式，還是掃碼登錄的無密碼登錄方式，都無法在認證安全和用戶認證體驗上，達到一個很好的平衡。特別是在多人共享PC登錄的場景下，也無法解決潛在的安全風險，更無法很好地解決操作系統與業務系統的雙重認證登錄的技術屏障。

1.4 新方案技術分析

本文提出的技術方案是通過在PC 操作系統上實現離線人臉認證，將離線人臉認證方式作為登錄業務系統的認證方式之一。將離線人臉服務集成為Windows操作系統默認登錄方式，解決PC操作系統與業務系統之間的技術鴻溝[3]。

2 關鍵技術點

2.1 離線人臉認證

在企業內部應用人臉認證技術，雖然不像金融行業，存在來自外部大量的呈現式甚至注入式攻擊的風險，但是也存在企業內辦公場景的特點。因此，研發了離線人臉認證技術[4]。

離線人臉認證是不依賴中心化的人臉認證服務，降低服務可靠性和安全性的挑戰[5]。

在端點進行基于人臉特征值數據的人臉識別認證，規避了人臉圖像傳輸造成的隱私安全風險，也能符合設備先登錄后聯網的網絡安全要求，保證在可靠性作業環境中的高可用性。

由于離線人臉識別計算資源有限，離線人臉認證面向雙目和3D結構光等圖像采集設備優化，通過軟硬一體的方式提升對人臉攻擊的防護水平。

2.2 活體檢測

雖然企業內的辦公場景不存在大量的人臉攻擊的機會，但是，通過引入用戶體驗好的人臉活體驗證方式，可以提高員工作弊的成本，提高人臉比對的正向通過率。

參考互聯網金融在人臉識別認證方面的實踐經驗，眨眼活體是普遍采用的最高效的活體認證方式之一。例如：支付寶和騰訊都在自己的人臉識別能力上，首選眨眼活體。在PC端的人臉識別組件中，引入了眨眼活體的識別模型。讓員工通過簡單地眨眼就可以迅速完成人臉比對，具體情況見圖1。

圖1 活體檢測圖

2.3 多人臉選擇比對

多人臉選擇比對：企業辦公場景，PC 前經常會同時出現多名員工。采用精準的多人臉選擇技術，能夠提高人臉認證技術的精準度，提供更好的用戶體驗[6]。

在多人出現在攝像頭的場合下，通過人臉識別的大小模型和遠近模型，以及綜合眨眼活體的認證結果，對多個人臉進行智能的選擇，將多人臉的識別準確率達到99.9%[7]，具體情況如圖2所示。

圖2 多人臉選擇圖

2.4 實現OIDC認證協議與業務服務集成

OIDC作為OAuth2.0的擴展，實現了認證能力提供者OP與認證使用者RP之間的身份認證協議。OIDC已經在互聯網和企業應用內被大量采用，如圖3所示。

圖3 OIDC認證流程圖

PC離線刷臉認證服務與傳統的認證服務的區別，就是由PC刷臉客戶端完成刷臉的認證，由服務端鑒別結果，發行token，如圖4所示。

圖4 PC刷臉登錄流程圖

所以，PC 連線刷臉客戶端與服務器共同組成了OIDC的OP，對業務系統提供認證服務，對既有業務系統認證能力集成非常友好[8]。

2.5 注冊離線人臉為Windows登錄默認認證方式

Windows系統的賬戶管理和認證方式是獨立在業務系統之外的一套體系。通過將PC離線刷臉客戶端注冊為Windows 平臺的CredentialProvider，將WindowsOS的認證體系和業務系統統一。在用戶首次綁定自己在PC上時，首先要驗證Windows賬戶密碼。驗證通過后，注冊離線人臉認證，將業務賬號、Windows賬號和人臉綁定，具體見圖5。

圖5 Windows登錄界面示意圖

預留本地設備身份密鑰生成與驗證的擴展接口，可以為Windows系統登錄增加“人臉識別+設備身份密鑰”的多因子驗證能力。

2.6 安全設計

2.6.1 邊界安全

互聯網與外網邊界：通過構建外網安全交互平臺，實現移動應用的身份認證、訪問控制、傳輸加密以及應用過濾。外網與內網邊界：通過設置安全隔離裝置，基于數據庫代理訪問實現內外網數據安全交互[9]。

2.6.2 應用安全

通過移動互聯支撐平臺提供的第三方安全加固技術，實現客戶端App應用防逆向、防篡改、反調試保護。免密App 應用-服務端接口交互采用安全TOKEN 認證，對交互數據長度類型進行安全校驗[10]。

2.6.3 主機和網絡安全

功能按三級等保要求設計，操作系統、Web 中間件、數據庫進行安全掃描和基線配置核查，修復系統漏洞和配置不合規項。

2.6.4 數據安全

移動客戶端不存儲企業機密信息，重要數據傳輸采用SSL 協議結合SM2、SM3、SM4 國密算法進行加密傳輸和數字簽名。內外網間僅交互用戶關聯信息與具有時效性的會話信息。

對于用戶人臉數據，在PC 本地只保存人臉特征值，并且是采用國密算法加密保存。

預留對TEE/SE安全組件的調用接口，可將關鍵數據和端點可信憑證存儲于攝像頭或主機的硬件安全區，從而符合多級等保驗收需求。

2.6.5 業務安全

通過用戶信息脫敏設計，App 賬號與企業內網為兩套完全獨立的賬號和認證體系，且手機App 不存企業內網的賬號、口令信息。并通過內網認證用戶綁定，進行App賬號和內網賬號關聯。通過用戶登錄行為分析，及時發現賬號訪問異常。

2.6.6 設備安全

對攝像頭附件采取固件擴展安全組件方式增加系統對設備的識別能力，在PC 刷臉登錄插件中預留對TCM/TPCM 主機可信安全性的對接能力，增加系統對主機的認證識別能力。

3 技術方案

3.1 功能架構

功能架構如圖6所示。

圖6 功能架構圖

3.1.1 安全攝像頭

安全攝像頭，經過定制化，在固件中嵌入定制化的安全組件，用于確保數據來自真實、安全的指定攝像頭，并且攝像頭本身可支持活體檢測、人臉比對以及人臉數據管理功能，可單獨完成人臉認證業務。

3.1.2 PC刷臉登錄插件

PC刷臉登錄插件，主要依靠微軟提供的Credential-Provider 進行自定義系統自定義登錄，插件模塊如表1所示。

表1 插件模塊列表

3.1.3 PC刷臉登錄服務器端

PC刷臉登錄服務器端，主要依靠人臉檢索與權限管理模塊，實現PC 刷臉登錄的授權、認證、控制，權限管理模塊具體見表2。

表2 權限管理模塊列表

3.2 業務流程

PC 離線刷臉業務流程包括注冊與認證兩個業務流程。

3.2.1 注冊

注冊過程是建立Windows 賬戶、業務賬戶的綁定關系，并且注冊人臉，詳見圖7。

圖7 終端注冊流程圖

3.2.2 使用

注冊成功后，用戶就可以在注冊過的PC 上，通過一次刷臉，就直接登錄Windows，打開業務系統時，無須再次登錄，詳見圖8。

圖8 終端登錄流程圖

4 結語

基于離線人臉認證技術將“人臉識別+設備身份密鑰”的多因子身份驗證注冊為PC的默認登錄方式之一，不僅提高了用戶的登錄體驗，而且避免了密碼共享過程中帶來的安全威脅。