基于生物识别的身份认证系统研究与应用

杨德胜+杨磊

摘 要：在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段，针对人员真实身份验证问题，尚未有信息系统支撑。人员可信身份安全认证是守护电网核心业务资产的一道防线，为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题，提出基于二代身份证的生物识别身份验证系统在电网核心业务中的应用方案，该系统实现了身份认证、身份模型管理、凭证管理、属性管理、身份全生命周期管理、访问控制管理、签验管理和安全管理等功能，为电网核心应用系统和网络用户提供“实名+实人+实证”的真实身份管理服务和身份认证服务，有效解决实名认证、人证合一的问题，在保护用户隐私信息的同时，有效解决现有电力核心业务应用身份认证模式中易被“盗用”、“冒用”难题。

关键词：电网核心业务；身份验证；二代身份证；生物识别；实名认证

中图分类号：TP391.4 文献标识码：A 文章编号：1671-2064（2018）01-0021-02

《中华人民共和国网络安全法》明确网络实名制和实施网络可信身份要求，在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段，针对人员真实身份验证问题，目前在电网核心业务中尚未建立，缺乏信息系统支撑。随着公司智能电网、能源互联网等业务发展迅速，促使实名验证、远程身份验证的需求越来越强烈，迫使电网核心业务人员真实身份验证必须在传统身份认证模式基础上，不断深化与创新以解决新的人员安全可信身份认证问题。人员可信身份安全认证是守护电网核心业务资产的一道防线，为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题，因此有必要开展人员可信身份认证系统研究，实现电网核心业务用户“实名+实人+实证”的真实身份认证，确保电网核心业务应用信息安全。

1 基于二代身份证的生物识别身份验证系统架构

基于二代身份证的生物识别身份验证系统主要由基于二代身份证的生物识别身份验证前端系统、基于二代身份证的生物识别身份验证后端系统、电网核心业务应用可信人员管控、公安部可信身份认证平台以及统一权限平台、人资权威源组成。

（1）基于二代身份证的生物识别身份验证前端系统主要负责人脸、指纹等生物特征信息的采集以及二代身份证信息及图像信息的采集；（2）HR权威源集成通过集成组件与基于二代身份证的生物识别身份验证后端系统进行集成，HR权威源系统主要为基于二代身份证的生物识别身份验证后端系统提供用户、组织、岗位、凭证、生物属性信息等可信数据源；（3）基于二代身份证的生物识别身份验证后端系统与ISC系统的集成采用数据同步集成模式，ISC系统为基于二代身份证的生物识别身份验证后端系统提供相关用户身份权限数据，同时基于二代身份证的生物识别身份验证后端系统可以为ISC系统提供高安全级别的人员可信身份认证服务；（4）公安部可信身份认证平台集成通过集成组件与基于二代身份证的生物识别身份验证后端系统进行集成，公安部可信身份认证平台为基于二代身份证的生物识别身份验证后端系统提供权威用户身份证真实信息校验服务，实现可信身份认证的权威性；（5）基于二代身份证的生物识别身份验证后端系统对基建、运检、安监、营销、后勤、信通等电网核心业务应用采用适配器集成模式，为电网核心业务应用提供高级别的人员可信身份认证服务功能，并同时通过业务应用提供的接口进行可信身份认证更新数据同步。

2 基于二代身份证的生物识别身份验证系统功能架构

基于二代身份证的生物识别身份验证系统包括8个部分：身份认证模块、身份模型管理模块、凭证管理模块、属性管理模块、身份全生命周期管理、访问控制管理、签验管理和安全管理。

身份生命周期管理模块包括身份的创建、存储、使用、维护和注销等功能。这些功能主要由电网人资、业务部门、信通部以及用户组成的全局身份提供方负责实现。身份创建流程完成用户可信身份的创建；身份的维护主要是指身份模型中各个身份数据项内容的更新，控制对可信身份信息的访问；身份存储确保对人员可信身份信息提供安全的存储功能；身份注销是指删除用户可信身份信息，并通知电网各业务应用该用户已被注销。

凭证管理模块主要完成人员可信凭证的创建、发布、注册、保证和撤销等功能，实现对人员可信凭证的生命周期管理。凭证是指作为被声称的身份或权利的证明的一组数据。可信凭证在具体载体形式上包括智能卡、工作证、口令、生物特征（如人脸、指纹、声纹等）等。

属性管理模块完成用户可信身份相关属性的获取、更新、使用和删除等功能。属性管理模块由电网人资、业务部门、信通部以及用户组成的全局身份提供方负责实现。身份属性获取对身份数据权威数据源进行定位的索引、目录或映射。身份属性更新对用户改名或生物特征信息更新等信息，或对将不同的权威身份数据源连接起来，共享不同身份数据源中的身份和属性数据。

访问控制模块对用户物理访问和逻辑访问进行控制，实现资源管理，策略管理和授權管理功能。其中授权管理可包括基于角色的授权管理和基于属性的授权管理；策略管理功能中的策略制定标准可包括标识、时间、角色、位置、属性、凭证、权限和状态等。

身份认证模块对用户身份鉴别和识别，实现人证比对、人像识别、多属性组合身份鉴别和身份画像功能。

安全管理模块对国网核心业务系统风险控制和安全行为审计，实现安全审计、风险预警、应急处置和责任回溯功能。

3 应用案例

3.1 人员可信可视后勤保障系统建设思路

结合国网某网省电力公司办公楼区人员出入管理的现状，以人员安全管理为出发点，充分贴合后勤保障部门日常管理需求，采用基于二代身份证的生物识别身份验证系统，为人员出入管理提供更加智能、更加便捷的管理工具，实现员工、访客分类管理，实现员工的智能化出入门禁、考勤管理，访客的可信登记管理，高效记录、存储、查询汇总人员出入相关信息，切实为后勤保障部门提供更加便捷的管理工具，提升安全管理能力和工作效率。endprint

本方案的核心价值体现为“可信”和“可视”。可信：采用基于二代身份证的生物识别身份验证系统实现人员身份的可信认证和可信管理；可视：运用视频监控和门禁技术相结合，为后勤保障人员提供更加可视化的管理和操作界面。

3.2 人员可信可视后勤保障系统功能模块

人员可信可视后勤保障系统核心功能主要包括访客管理和员工管理，具体介绍如下：

（1）访客自助：访客将居民二代身份证放置在身份证读卡器上读取身份信息，并将数据传输至后勤可信可视保障系统；可信身份认证终端设备自动检测来访人员生物特征，并与公安部可信身份认证系统对接，以更加权威的辨别持证人和证件是否人证合一，将认证结果传输至后勤可信可视保障系统；系统根据数据分析结果对访客身份进行认证，系统将来访人员信息以短信、APP、查号拨号等方式发送给被拜访人员。系统对访客管理还提供黑名单提醒、历史来访提醒和滞留提醒等功能。（2）会议自助：1）会议召集部门提前发出会议信息→工作人员在可信系统中提前授权参会人员在会议时间的进出权限→即完成登记授权。2）参会人员在会议当天，会议时间开始时间1小时之前，可直接刷身份证进入。（3）预约登记：包括来访者预约登记和被访者预约登记，其中来访者预约登记：1）外网网页预约：来访者提前登陆预约网址→录入姓名、身份证号、手机号、来访单位、来访事由、来访时间、随访人数→填写被拜访人并发送短信→被拜访人信息回复授权。来访者当天在自助终端上采集人像→人证信息验证→逐一刷随访者身份证→来访者自动被授权当日一次进出→可刷身份证进出。2）内网邮件预约：来访者提前发送邮件→录入姓名、身份证号、所在单位、来访事由、来访时间、随访人员姓名→邮件给被拜访人→被拜访人邮件回复至可信系统专用账号→工作人员依据邮件结果在可信系统中登记授权。（4）业务管理：系统提供统计查询、系统设置和系统维护等功能。其中统计查询包含出入记录查询、访客信息查询、被访信息查询、访客历史记录、黑名单查询；系统设置包含人员分类、黑名单设置；系统维护包含用户管理、权限管理、数据管理、设备管理和信息维护等功能。（5）人脸识别：员工刷卡进入工作区域，实时抓取员工的生物特征；系统后台将抓取的员工生物特征与事先建立的内部员工身份信息库比对；信息比对正确，员工身份认证通过，门禁通道自动开启；将出入的信息存入后台数据库作为考勤和出入记录，实现员工上、下班无需持证，刷脸出入门禁。（6）身份管理：将因工作关系经常进出大楼的人员分类管理，不同类别设置不同的登记审批及注销管理流程。可信系统后台支持对人员进出时效进行设计，如按周期、时间段、次数等。

4 结语

综合二代身份的生物识别身份验证是一种有效的提升可信身份验证效果的技术手段，可以在自动获取电网核心业务应用人员可信身份信息的同时，按照可信程度不同，采取不同安全强度级别的身份认证方法，形成多级认证机制，面向不同的核心业务应用系统和网络用户提供“实名+实人+实证”的真实身份管理服务和身份认证服，实现对电网核心业务应用中人员身份人证合一的可信验证。系统可广泛应用于基建现场人员可信安全管控、现场巡检人员可信全过程管控、变电站人员可信安全管控、重大活动保障人员可信安全管控、智能营业厅窗口业务人员可信身份认证、无人值守智能营业厅自助业务办理人员可信身份认证、人员可信可视后勤保障、信通運维人员可信安全管控、研发安全人员可信认证管控等需要进行人员真实身份验证并需要尽可能保障实人实名实证、到岗到位到人的应用场景。采用二代身份证作为人员可信身份验证介质，并与公安部可信身份认证平台对接，保证了身份认证的权威性。

参考文献

[1]高健，曹国顺，田野.基于生物识别的人员管理系统[J].信息技术与标准化，2016，6：60-63.

[2]钟锦泉，霍宇明.人脸识别身份验证系统助推工地实现高效管理[J].中国安防，2014，8：28-31.

[3]徐剑，赵英南，田永纯，等.融合二维码与人脸识别的会议身份认证系统研究[J].技术研究，2015，4：13-18.

[4]汤宁，李勇平，王靖琰，等.多模式生物特征识别的身份验证系统[J].计算机工程与设计，2012，33（1）：317-321.

[5]赵建国.基于人体手指静脉特征的身份认证系统设计[J].信息通信，2016，8：83-85.

[6]冯天从.基于二代身份证的人脸识别身份验证系统研究[J].信息化研究，2013，39（1）：19-22.endprint