人证一致性验证平台研究

◆李雨 苏志贤

（浙江安防职业技术学院 浙江 325016）

1 引言

随着互联网的快速发展，居民网上操作日趋增多。但由于互联网的开放性及隐匿性，身份认证一直存在漏洞。无意间的信息泄露，更会被他人盗用身份信息进行不法操作。为了对居民的线上身份进行确认，部分机构、公司采用人脸比对的方式进行身份验证。但是第三方开发的身份认证平台通常存在人脸识别率不高、准确度不高、数据库信息不全等问题。

为了解决识别率不高、精确度不高、数据库不完整等问题，本项目开发了人证一致性验证平台。平台对接公安一所的“互联网+”可信身份认证平台，它的人脸数据库是二代身份证的信息采集数据库。这样就可以保证平台在人脸验证这块的准确度、识别率以及数据库完整。

2 平台的搭建及架构

平台搭建在Windows 操作系统，为保证平台能够平稳运行，需要4 核CPU，16G 内存或更高配置。平台是基于Java 开发的，所以运行环境需要安装jdk，同时还需要安装数据库mariaDB，用于存放相关数据，便于在平台上展示相关历史信息并提供查询功能。

平台服务功能如图1 所示。业务客户端（手机、PC、PAD）将需要验证的数据，通过服务器发送至Http 客户端，Http 客户端在收到数据后，通过和签名服务器（公安一所提供，用于数据加密确保数据安全）完成握手过程，再通过互联网按照TCP 协议将内容传输到公安一所的Http 服务端，由Http 服务端完成身份认证过程，判断是否人证一致。再将判断结果通过互联网反馈至Http 客户端，由Http客户端将结果按照既定规则解码后返回到业务客户端。

图1 平台功能服务

Http 客户端处理身份认证请求的业务逻辑如图2 所示。

（1）第三方发送数据前需要获取token，用于确认是否在通信名单中。Token有效期为12个小时，每隔12小时需要重新获取一次token。

（2）确认Token 值有效之后，与签名服务器通信，将第三方数据加密之后传送到Http 服务端。签名服务器由公安一所提供。因数据库的安全性设计，如果确实签名服务器的加密环节则无法完成与Http 服务端的通信。

（3）Http 服务端收到数据后进行解密，再根据数据里面的身份证信息（姓名、身份证号以及本人照片），验证是否人证合一。

（4）平台收到认证结果之后，需要对认证结果进行解析，如认证成功，则告知业务客户端结果为通过，如认证失败，除了返回失败，还需要返回失败的原因，便于业务客户端修改错误。

这里简单描述几种常见的错误原因。首先在身份信息输入的时候存在错误，如字母X 没有大写，这时会提示身份信息不匹配。其次是照片不清晰，脸部有遮挡或者光线不足导致面部识别失败。最后是照片过大，公安一所那边要求照片大小不超过40kb，因此业务客户端在发送数据前，首先需要自检，判断数据是否符合相关标准。

图2 业务逻辑原理图

3 系统功能设计

3.1 接口管理模块

平台需要记录接口调用记录，包括接口调用状态、认证内容、调用时间，以及相关流水号，便于后期排查相关认证失败问题。同时还需要统计近期的访问流量，能够以图表的方式展示相关内容。

3.2 系统监控模块

现平台应用较少，硬件能够满足当前的需求，但随着业务量的增多，认证需求增长时，会对平台的性能要求逐步提升。因此需要系统监控模块，及时对系统相关性能进行监测，包括CPU、内存、使用率，出现硬件条件不符的预兆时及时对硬件进行升级。

3.3 系统管理模块

系统管理模块主要对系统相关设置进行管理。通信名单主要用于管理业务客户端，只有在名单内的业务客户端（以访问ip 进行第一步判定）提供了正确的用户名及密码之后，才允许进行通信，返回token，进而调用身份认定接口。同时还需要对界面的显示文字、样式进行相应的管理。

3.4 日志管理模块

平台需要对使用情况进行相应的记录，如管理账号登录情况、通信名单设置情况、访问记录操作等，便于后期查询。

4 总结

平台可以为各行各业与百姓生活息息相关的重要管理系统提供统一可信的后台身份认证服务，改变各行业系统信息资源分散的现状，最终实现社会治理结构的不断创新。配合落实国家“互联网+”重大战略，在传统身份认证与网络之间架起桥梁，巩固公民社会信用代码地位和作用，为网络金融、电子商务、电子政务、电信等领域提供可信支撑，丰富和方便了如网上订票、旅馆登记、在线支付、税收缴纳、社交娱乐等各类便民服务手段。促进“网上派出所”、“网上警务室”、“网上办事服务大厅”等网上便民服务建设，公民在网上即可实时办理各类业务，切实提升公安机关管理与服务社会的能力。