基于信息安全的身份认证系统

技术领域

本发明涉及互联网信息安全技术领域，具体涉及一种基于信息安全的身份认证系统。

背景技术

移动展业受限，账户风险频发，实名制落实困难，缺乏可信的数字身份基础设施，客户网络身份证验证能力缺失，造成风险事件爆发，严重影响了互联网银行的健康发展。在中国互联网发展初期，公民身份号码承担了唯一性区分的职能，但是由于在线上填写公民身份号码既无法验证身份的真伪、也难以证明是出自本人意愿，造成了大量的个人信息泄露，进而导致身份盗用和冒用、电信和网络精准诈骗等后果。

为了减少携带实体身份证明(例如身份证)的不便，提出了数字身份技术，将用户的身份证明以数字化身份信息的方式承载在终端设备上，当用户需要使用身份证明的时候，直接使用手机展示数字化身份信息即可。然而，要使用数字身份技术，就需要生成数字身份标识，进一步地还需要完善数字身份标识的使用，并且数字身份是用户较为重要的一种隐私信息，因此，在做到保护个人信息安全，适应网络社会数据开放和流通时，又要针对数字身份信息的安全和有效是一个值得思考的问题。

发明内容

本发明所解决的技术问题在于提供一种基于信息安全的身份认证系统，提升了个人身份信息和数字身份信息的安全性。

本发明提供的基础方案：

基于信息安全的身份认证系统，包括服务器以及发送数字身份签发请求至公民网络身份识别系统的客户端，还包括：

信息获取模块，用于根据所述客户端获取用户身份实名信息和音视频信息；

数字身份管理平台，用于将所述信息获取模块获取的身份实名信息和音视频信息进行比对，以及将获取的身份实名信息发送至公民网络身份识别系统，请求所述公民网络身份识别系统生成与所述身份实名信息唯一对应的eID标识；

信息获取模块，还用于根据所述客户端获取用户的生物特征信息；

身份认证模块，用于将所述生物特征信息发送至所述数字身份管理平台对用户的身份信息进行认证，并下发身份是否认证通过的信号；

目标交易模块，在接收到所述服务器下发的认证通过信号后，执行目标交易。

基础方案的原理及效果为：

信息获取模块获取用户身份实名信息，是根据终端设备的客户端直接录入用户的身份信息或者调取终端设备的摄像头识别用户身份证信息；信息获取模块获取用户的音视频信息，是调取终端设备的摄像头和麦克风对用户的音视频进行录入。再通过数字身份管理平台将用户身份实名信息和音视频信息进行比对认证，进一步通过数字身份管理平台将获取的用户身份实名信息发送至公民网络识别系统，请求公安部的公民网络识别系统生成唯一对应的eID标识；此时，公民网络识别系统就对用户的用户身份实名信息进行登记认证，并在认证通过后，下发与客户端操作用户身份实名信息唯一对应的eID标识。由于本申请中在生成用户的唯一eID标识之前，进行了用户身份实名信息和音视频信息的多重认证，其中任何一项认证不通过都不会下发用户的eID标识，提升了生成用户唯一对应的eID信息的准确性，提高了用户通过eID信息办理业务的安全性。

信息获取模块获取用户的生物特征信息，是调取终端设备的生物识别模块对用户的生物特征信息进行采集。本方案中，用户在通过终端设备中存储的eID标识信息办理业务时，终端设备需要采集用户的生物特征信息发送至数字身份管理平台进行身份验证，在验证通过之后，数字身份管理平台才下发身份验证通过信号，此时，用户才可以通过终端设备执行业务办理的操作。由于，在请求公安部的公民网络识别系统生成用户唯一的eID标识时，经数字身份管理平台采用了多重验证，因此，在用户通过终端设备的客户端办理业务执行交易时，就可以设置为只需要采集用户的生物特征信息进行认证，相对于传统技术中一直采用数字密码，或者每次均采用多重验证，在保证了用户个人身份信息和数字身份信息安全性的同时，使得用户在基于终端设备中认证后的eID标识进行业务办理时，更加简单便捷，提升了用户的使用体验。

进一步，所述数字身份管理平台包括：

将采集的所述身份实名信息和音视频信息发送至公民网络身份识别系统进行用户身份信息的认证；当采集的所述身份实名信息、所述音视频信息与公民网络身份识别系统的基准eID标识信息均一致时，则下发认证通过信号，当采集的所述身份实名信息、所述音视频信息与公民网络身份识别系统的基准eID标识信息不一致时，则下发认证不通过信号。

通过对用户的身份实名信息、音视频信息与公安部的公民网络身份识别系统中用户基准eID标识信息进行比对认证，使得用户的eID标识信息认证更加安全可靠，防止用户的身份信息被盗取恶意使用。

进一步，所述信息获取模块获取的用户音视频信息包括：

用户的声纹信息和手持身份证的半身视频信息。

通过用户的声纹信息和手持身份证的半身视频信息进行比对，以及将此音视频信息发生至公民网络身份识别系统进行比对，提升了生成用户eID标识的安全性。

进一步，所述身份认证模块包括：

将采集的所述生物特征信息发送至所述数字身份管理平台与预设生物特征信息进行比对认证；当采集的所述生物特征信息与预设生物特征信息比对一致时，则下发认证通过信号，当采集的所述生物特征信息与预设生物特征信息比对不一致时，则下发认证不通过信号。

通过对用户的生物特征信息和终端设备中存储的预设生物特征信息进行比对认证，使得用户在基于终端设备中认证后的eID标识进行业务办理时，更加安全可靠。

进一步，所述预设生物特征信息包括指纹特征信息、面部特征信息、声音特征信息或者虹膜特征信息中的至少一种。

通过指纹特征信息、面部特征信息、声音特征信息或者虹膜特征信息，使得终端设备的安全性更高。

进一步，所述身份认证模块包括：

局部特征提取模块，用于按照用户的生物特征形态，对采集的用户生物特征信息进行局部区域生物特征提取；

局部特征转换模块，用于将所述局部区域生物特征转换为局部区域生物特征向量；

识别结果获取模块，用于根据所述局部区域生物特征向量，获取用户生物特征识别结果；

特征比对模块，用于将所述用户生物特征识别结果与预设生物特信息进行比对，以确认用户身份是否认证通过。

根据用户的生物特征形态，对用户的生物特征信息隽星局部区域生物特征提取，在提取后将其转换为生物特征向量，并据此获取用户生物特征识别结果与预设生物特信息进行比对，由于是对采集的用户生物特征信息进行局部区域生物特征提取，降低了终端设备处理的数据量，以此降低了系统的内存占用，在保证用户生物特征信息识别准确的情况下，提升了认证速度。

进一步，还包括：

登录验证模块，用于在用户首次登录客户端时，根据预设账户、预设密码和短信验证码对登录用户进行身份验证；或者

在用户非首次登录客户端时，根据预设账户和预设密码对登录用户进行身份验证。

通过对用户在首次登录客户端或者非首次登录客户端的身份验证，使得在用户通过终端设备登录客户端时更加安全可靠。

进一步，还包括：

图形校验模块，用于在登录用户身份验证失败时，随机生成图形验证码对登录用户的身份继续验证。

通过图像校验模块对登录用户身份的验证，进一步验证了登录用户的身份，提升了在终端设备的客户端中业务访问的安全性。

附图说明

图1为本发明基于信息安全的身份认证系统一实施例的结构示意图；

图2为本发明银行展业平台一实施例的结构示意图；

图3为本发明银行展业平台中终端安全加固模块一实施例的结构示意图；

图4为本发明银行展业平台中网络安全模块一实施例的结构示意图；

图5为本发明银行展业平台中网络安全模块另一实施例的结构示意图。

具体实施方式

下面通过具体实施方式进一步详细说明：

其中，终端设备主要是可以执行交易的终端设备，具体可以为具有交易功能的终端设备，还可以为专门进行交易的终端，具体可以为个人电脑、手机、平板电脑、银行自动柜员机、POS机等，本申请实施例不做具体限定。客户端或称为用户端，是指与服务器相对应，在终端设备上为客户提供本地服务的程序。

服务器具体可为集群服务器，该集群服务器具备通过网络与终端设备进行通信的功能。

在一实施例中，参照如图1所示，本方案可以是用户在ATM上插入银行卡之后，执行交易之前；或者在用户利用POS机刷银行卡之后，执行交易之前；或者用户在扫码之后，执行交易之前；或者用户在具有NFC的手机在感应之后，执行交易之前，都可以经信息获取模块采集用户的生物特征信息，并在采集到用户的生物特征信息后经身份认证模块进行认证。

用户的生物特征信息具体为能够唯一表征用户生物特征的信息，例如为：人脸特征信息、指纹特征信息、声音特征信息、虹膜特征信息等，本发明实施例不做具体限定。

eID标识信息主要为eID编码。eID标识信息需要芯片为载体，比如手机芯片，卡上的芯片等。eID是由公安部通过公民网络身份识别系统颁发给公民的用于线上和线下识别身份的证件。eID以智能安全芯片为载体，芯片内部拥有独立的处理器、安全存储单元和密码运算协处理器，只能运行专用安全芯片操作系统，其内建芯片安全机制可以抵抗各种物理和逻辑攻击，确保芯片内部数据无法被非法读取、篡改或使用。因此，本发明实施例采用eID认证方式能够提高认证的可靠性，进一步确保交易的安全性。

需要说明的是，在用户采用eID认证方式之前，需要在公安部注册eID，并开通eID，完成芯片信息与个人信息的绑定。用户注册eID时，需要通过数字身份管理平台将系统中信息获取模块获取的用户身份实名信息和音视频信息发送至公安部的公民网络身份识别系统，以请求公民网络身份识别系统生成与身份实名信息唯一对应的eID标识。用户开通eID时，智能安全芯片内部会采用非对称密钥算法生成一组公私钥对，这组公私钥对可用于电子签名，基本原理是：用户可以使用自己的eID私钥对信息进行电子签名后发送给其他人，其他人可以使用用户的eID公钥对签名信息进行验签。

常规技术中，请求公民网络身份识别系统生成与身份实名信息唯一对应的eID标识，仅通过终端设备的客户端读取身份证信息，以获取公民身份证件号码、姓名等进行登记认证，安全性相对较低。本方案中，不仅需要获取公民身份证件号码、姓名等身份实名信息进行认证，还需要信息获取模块获取音视频信息进行比对，音视频信息要做到音画同步，以验证用户身份信息的真实性，防止数据被非法读取、篡改或使用；同时在目标交易模块需要进行取款、贷款等交易时，通过本方案的认证方式，以此提升身份认证系统的安全性。

本实施例中，音视频信息音画同步，即是信息获取模块采集用户的音视频信息比对一致，例如：“本人xxx，身份证号码xxxxxxxxxxxxxxxxxx，于xxxx年xx月xx日同意申请eID”，在说此段话的同时，用户手持身份证的半身照视频需要处于终端设备的客户端的取景框中，以此在对用户的音视频信息获取后，比对用户的音频、视频信息，并与身份证上面的信息进行比对，以此认证用户身份的真实性，提升身份认证系统的安全性。

eID的唯一性标识为eID编码，eID编码为对公民证件号码、姓名和随机数进行运算得出的一种二进制编码。该eID编码由于是通过运算得到的随机二进制编码，采用不同的运算方式，得到的eID编码必然不同，因此，通过eID编码进行eID认证，能够避免直接采用用户个人信息进行eID认证造成的个人信息泄露的情况发生，本发明实施例中的eID认证方式能够避免个人信息的泄露，提高交易的安全性。

在一实施例中，以人脸特征为例，详细说明本申请实施例中公开的生物特征认证过程：

通过摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，按照用户的人脸特征形态，对采集的用户的人脸特征信息进行局部分类，得到局部区域人脸特征；将所述局部区域人脸特征转换为局部区域人脸特征向量；将所述用户最终人脸特征识别结果与预设生物特征信息进行比对，得到用户的人脸特征认证结果，确认用户身份认证是否通过。需要说明的是，人脸特征认证的算法可以包括：基于人脸特征点的认证算法、基于整幅人脸图像的认证算法、利用神经网络进行认证的算法等，本发明实施例不做具体限定。

指纹信息以及虹膜信息的认证过程与本发明公开的上述人脸特征的认证过程类似，本发明实施例不再详细描述。

本实施例中，在执行目标交易对用户身份进行认证时，还可在预设时间段的首次认证时，采用上述音视频信息比对认证，在此预设时间段中，非首次验证可以不需要对音视频信息进行验证。相对于传统技术，在保证了用户身份信息认证便捷的同时，提升了用户身份认证的可靠性。

在一实施例中，参照如图2所示，本方案中基于信息安全的身份认证系统可用于银行展业平台，银行展业平台的系统也包括客户端和服务器，所述服务器包括：

业务安全访问模块，用于针对预设安全平台的预设业务进行管控、用户登录身份认证以及基于用户角色输出对应交互数据；

终端安全加固模块，用于在客户端中对预设业务生成的终端包进行上传，并根据预设加固策略对所述终端包进行加固，以重新生成加固后的终端包；

网络安全模块，用于根据预设分层策略将网络架构划分成外部网络区域、隔离区域、内部网络区域，以控制所述客户端与所述服务器的业务系统进行通信交互。

需要说明的是，本实施例中，银行展业平台，指的是为引领以“客户为中心”的服务模式转型，银行员工配备平板电脑等移动终端，实现移动化的业务受理、现场调查、实地拍照等信息采集工作，同时以电子化、信息化的数据影像流传方式，利用运营商提供的蜂窝数据网与业务系统进行对接，该应用采用“智能导航”和“柜面快车”业务流程，按提示完成各步操作，只需客户上传一次身份证信息，一次性拍照采集证据链，在完成同一客户的所有业务后，一次性客户签字，系统将电子凭证上传无纸化系统完成所有业务。其次，预设安全平台是一个基于B/S架构(Browser/Server，浏览器/服务器模式)的平台，我们将客户端中的预设业务生成的终端包上传至该预设安全平台进行加固，以重新生成加固后的终端包。可以理解的是，基于B/S架构的平台，可将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。

在一实施例中，用户登录银行展业平台客户端时，银行展业平台的系统首先会判断用户是否首次登录，当判断用户为首次登录，就需要根据用户的预设账户、预设密码和预留手机号获取短信验证码进行身份验证。具体是在用户输入预设账户时获取一次预留手机号的短信验证码，短信验证成功后才能继续输入预设密码进行登录；需要说明的是，短信验证码可以是一个具有数字、大小写字母随机组合的6位验证码；还可在这个阶段进一步增加身份验证，如在注册客户端账户时，需要预先输入用户的个人身份证号，这样在首次登录时，就可以进一步输入身份证号信息进行验证。相对于传统的登录验证，通过登录账户、登录密码以及4位数字验证码的方式进行验证，可以更好的防止账户被盗用，提升了银行展业平台用户登录的安全性。

当判断用户不是首次登录，即可根据用户的预设账户和预设密码进行身份验证。由于用户需要长期使用银行展业平台进行业务的开展，传统技术中为了提高系统安全性，每次都需要通过验证码等多种验证方式进行验证，比较复杂，降低了业务办理的效率；而本方案通过在首次登录时需要验证外，其他时候仅需预设账户和预设密码登录即可，减少了用户登录的复杂性，提升了用户的使用体验。需要说明的是，本方案的首次登录验证设定为每天的第一次登录为首次登录，以此既做到使银行展业平台更加安全，也可以提升用户业务办理的效率，以此提升用户使用体验。

可以理解的是，上述方案中的预设账户、预设密码、预留手机号均为用户在注册客户端账户时进行设置。预设账户作为用户标识唯一性识别特征，在用户登录客户端时，密码多次认证失败自动锁定。此处预设密码为保持8位以上含数字、特殊符号、大写字母以及小写字母。

在一实施例中，参照如图2所示，银行展业平台服务器中具有的图形校验模块可以随机生成图形验证码，以在采用预设账户、预设密码和短信验证码验证失败时，进一步通过图形验证码区分登录用户是计算机程序控制登录，还是人为手动登录。可以理解的是，在用户登录客户端时，获取的预设账户、预设密码和短信验证码中的任意一项错误，图像校验模块均会随机生成图形验证码，以进一步验证登录用户的身份。也即本方案避免了计算机程序对客户端登录账户的破解，进一步提升了银行展业平台中业务访问的安全性。

在一实施例中，参照如图2所示，银行展业平台服务器中具有的角色判断模块可以对登录用户在银行的角色进行验证，登录用户可以是信贷业务人员、网贷业务人员、基金理财业务人员等角色。参照如图4所示，在判断登录用户的角色为信贷业务人员时，则通过企业服务总线相应进入银行展业平台的信贷系统，也即是客户端输出信贷系统的交互数据，以供信贷业务人员操作，而不会导致信贷业务人员进入银行展业平台的柜面系统、核心系统等其它系统。传统技术中，本领域技术人员一般是将银行的各个系统独立分开，不同的角色就相应进入不同的系统；或者具有较高权限的用户可以通过一个账户进入到银行展业平台的多个系统；或者是银行展业平台的用户可以通过跨行登录银行展业平台。而本方案通过对银行展业平台系统的用户进行角色的判断，一个用户只能登录服务器的一个系统，且不能跨行登录，防止银行展业平台中整体应用业务混乱，而导致客户数据泄露，提升了银行展业平台应用业务的安全性。

在一实施例中，参照如图2所示，银行展业平台服务器中具有特定业务验证模块，对于客户端上预设业务中的特定业务，在登录验证模块对登录用户的预设账户、预设密码等进行验证之后，特定业务验证模块可以对在银行展业平台办理业务的客户进行人脸识别、联网核查，以及客户银行卡号、真实姓名、身份证号、银行预留手机号的卡号四要素进行验证，以确保客户信息的真实性，增强了对客户数据的保护，也提升了客户和银行资金的安全。可以理解的是，特定业务可以是基金理财、网贷、信贷等业务。

在一实施例中，参照如图3所示，银行展业平台的客户端采用原生开发，可以使得系统运行速度较快，可以使用展业平台的摄像头、语音、短信、蓝牙等底层功能；采用HTML5开发，可以使得系统运行在浏览器上，只需要开发一次便可在不同的操作系统上显示，开发成本相对较低，对浏览器的适配较简单，且发布门槛相对较低。也即通过对客户端的开发融合了原生开发和HTML5开发的优势。

由于银行展业平台的客户端暴露在外部互联网中，而在外部互联网具有一些暴力调试、代码注入、代码篡改、查获敏感数据等攻击手段；对此，本方案对客户端中预设业务生成的终端包上传后，增加反调试、代码防注入、代码防篡改、敏感资源加密、签名校验以及文件完整性校验，以对其上传的终端包进行加固防护，可以防止外部互联网的一些攻击手段，提升了客户端上线预设业务的安全性。

具体加固流程，参照如图3所示，银行展业平台通过原生开发和HTML5开发的方式研发，为了提升终端业务的安全，需要对银行展业客户的交易类、账户交易类、一般查询、敏感信息查询的场景打包成终端包进行特殊加固定制化分析，并根据终端包定制特定的加固策略，在安全平台中对终端包进行上传，选择展业定制加固策略，生成带加固防护的终端包。可以理解的是，终端包可以理解为银行展业平台客户端的APP应用在编译后会将其代码、资源文件、配置文件打包成APK文件和IPA文件，APK文件为安卓客户端包，主要代码、资源文件、配置文件为Java、xml、properties等；IPA文件为苹果IOS客户端包，主要代码、资源文件、配置文件为C++、xib、plist等。另外，展业定制加固策略，具体是根据银行展业平台的业务功能和安全特性进行定制化加固。也即是上述方案中的预设加固策略，如对终端包进行反调试、代码防注入、代码防篡改、敏感资源加密、签名校验以及文件完整性校验。在此领域中，由于银行客户端的网络金融安全关系到客户的切身利益，本方案就可以实现全方位、多层面的加固银行展业平台所连接的客户终端，以使银行展业客户的业务更加安全，银行展业平台系统不易被侵入。

在一实施例中，参照如图4和如图5所示，银行展业平台暴露在外部互联网区域。通过平板电脑、手机等移动终端连接运营商网络即可访问银行的应用服务系统，如图4中的信贷系统、网贷系统、基金理财系统、核心系统等。本方案中，系统的网络架构按照模块化、层次化、水平分区和垂直分层的方式有效分层。通过模块化和层次化的规范分层设计，将交易相关度高的系统进行模块化和层次化搭建，提高了系统的运行效率及性能。

本实施例中，水平分区主要按照局域内网区域的办理业务所处的网段区域、内部管理系统所处的网段区域和第三方外部系统连接的前置机外联区域来划分，有利于将复杂的网络设计分解成不同功能的目标区域，便于区域隔离和安全管控。垂直分层主要按照核心层、汇聚层、接入层来设计，核心层对特定场景体现大容量、高可靠、低延时；汇聚层将众多接入层汇聚连接，同时加入安全防控的处理；接入层通过基于SSL安全通道，且通过能够标明网络身份信息的数字证书及加密措施的传输方式，其数字证书具有唯一性和便利性，防止互联网进行随意攻破和篡改，灵活的针对所接入的用户进行设定管控以及防火墙的策略安全防护。

也即，业务流转从外部互联网区域发起到内部网路区域的应用业务系统结束。平板电脑或手机利用运营商网络通过多层网络防火墙进行第一次校验进入隔离区域，隔离区域的互联网前置机接收客户端发起报文后，再通过网络防火墙的第二次校验进入内部网络区域，与银行的应用业务系统进行数据交互。通过本方案的有效分层设计，保障了系统网络架构区域的有效隔离。

本实施例中，经模块化策略、层次化策略、水平分区策略以及垂直分层策略划分的隔离区域，是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于银行展业平台内部网络和外部互联网之间的小网络区域内。在这个小网络区域内可以放置一些服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个隔离区域，更加有效地保护了银行展业平台内部网络。

需要说明的是，本实施例的方案中特定场景是指，比如针对银行展业平台的内部网络核心系统要求时效性较高，网络可能用到万兆网卡及相应的配置线；针对网络时效性较低的系统，配置相应就较低。而不会由于都采用较高配置导致系统资源浪费，或者都采用较低配置导致系统时效性较低，保证系统时效性的同时，降低了系统的成本。

以上的仅是本发明的实施例，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知系统不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。