身份核验服务产品简介
1. 服务概述
1.1 背景
随着云计算技术与相关产品的发展,为了进一步降低信息化建设运维和使用成本,使用云服务的集约化系统方式,已逐渐成为一种趋势。移动互联网时代的到来更是催生了以手机为主体的智能终端逐渐取代传统PC,加速渗透到传统企业应用中,成为各类业务应用入口。在此浪潮下,传统业务模式正在被移动化、在线化、无纸化所颠覆。由于网络的虚拟化、业务交易的移动化,因此在获取各项网络资源、进行各项网络交易的过程中,对用户的身份识别变得尤为重要。一旦用户身份被盗取、被冒用,将直接影响用户各项业务交易的安全及网络资源的获取。
确保用户身份安全是互联网业务开展的安全基石,传统身份核验方式显然已无法满足用户身份识别过程中对安全性、准确性、灵活性等方面的更高要求,身份核验技术亟需革新升级。
针对上述挑战与需求,BJCA提供了安全、可信的身份核验服务,以解决互联网环境中个人及企业身份的实时验证问题。身份核验服务能够为广泛的互联网应用提供安全、准确、高效的用户身份验证服务,解决线上政务、信贷、交易场景中个人及企业身份的实时核验问题,适用于金融、政务、互联网等各类业务场景。
1.2 服务简介
身份核验服务是集个人核验服务、企业核验服务、核验增值服务等于一体的多因子远程身份核验服务,通过活体检测、人脸比对等多种技术手段,快速准确识别用户及企业身份。服务采用云服务应用模式,支持API、移动端SDK、H5(适用于多种终端)等多种接入方式,满足各行业客户的需求。
权威可靠的数据源:接入公安部门、征信机构、电信运营商等多家可信数据源并开展深度合作,确保数据准确齐全。
安全规范的核验服务:不改变证件现有安全机制,不在互联网上明文存储或传输用户身份数据,不额外增加信息载体,提供安全、规范的身份核验服务。
合法可信的核验服务:依据《网络安全法》、《信息安全技术个人信息安全规范》等要求,从技术上、服务上符合身份信息应用及保护要求。
模式多样的核验服务:采用纵深服务体系,支持多种模式和多种载体的灵活组合,可以根据业务场景选择对应模式及载体,满足各种应用场景。
1.3 术语和缩略语
| 名词 | 解释 |
|---|---|
| 可信数据源 | 合法保存个人身份信息、手机号码、银行账户等信息的机构,包括但不限于:公安部门、征信机构、电信运营商等 |
| 活体检测 | 针对高安全性要求的核验模式而研发的一种技术,通过使用人脸关键点定位和人脸追踪等技术,判断是否真人操作,防止照片、视频、静态3D建模等各种不同类型的攻击 |
| 人脸比对 | 通过深度学习技术,将用户照片与指定照片进行精准对比,根据面部特征计算两张照片的相似度,判断是否为同一人 |
| OCR | 图片文字识别技术(Optical Character Recognition),指对图片中的文字进行检测和识别 |
2. 产品架构
身份核验服务产品架构包括云端身份核验服务、H5或移动端SDK两部分,身份核验服务整体产品架构如下:
身份核验服务
身份核验服务是通过密码云统一服务接口面向业务系统提供个人身份核验、企业身份核验、核验增值等服务。
移动端SDK
移动端SDK是身份核验服务向移动端业务APP提供的集成SDK开发包,是可选组件,业务应用APP调用该SDK实现移动端身份信息采集。
H5组件
H5组件是身份核验服务向H5业务应用提供的接口服务,是可选组件,业务客户端无需集成,通过后端接口调用方式实现移动及PC端H5页面的身份核验。
核验源接入服务
核验源接入服务是向身份核验服务提供支撑的服务,是对可信数据源的接入进行管理,支持多源接入。
3. 服务功能
身份核验服务是集个人核验服务、企业核验服务、核验增值服务于一体的多因子远程身份核验服务。
3.1 个人核验服务
个人核验服务是对个人用户身份信息的核验,支持“实名”、“实人”及其他多种核验模式。
“实名”核验是指核验个人用户身份信息的真实性、有效性;
“实人”核验是指核验个人用户人像相似度及身份信息真实性、有效性;
| 核验模式 | 核验内容 |
|---|---|
| 两项信息实名 | 验证用户姓名、身份证号是否一致 |
| 四项信息实名 | 验证用户姓名、身份证号、身份证有效期是否一致 |
| 两项信息实人 | 验证用户姓名、身份证号、人像是否一致 |
| 四项信息实人 | 验证用户姓名、身份证号、身份证有效期、人像是否一致 |
| 手机号三要素核验 | 验证用户姓名、身份证号、手机号是否一致 |
| 银行卡三要素核验 | 验证用户姓名、身份证号、银行卡号是否一致 |
| 银行卡四要素核验 | 验证用户姓名、身份证号、银行卡号、预留手机号是否一致 |
3.2 企业核验服务
企业核验服务是通过验证企业工商信息或企业对公账号信息来认证企业身份。企业核验服务提供多种核验模式,具体如下:
| 核验模式 | 核验内容 |
|---|---|
| 企业信息核验 | 验证企业名或组织机构代码/统一社会信用代码/工商注册号是否一致 |
| 企业信息查询 | 通过传入企业名/组织机构代码/统一社会信用代码/工商注册号其一,返回核验主体详细信息 |
| 企业对公账号核验 | 向企业对公账号打款并附言一个随机数,通过验证企业回填的随机数确认企业对公账号是否真实有效 |
核验增值服务
核验增值服务是提供与核验相关的增值类服务,如证照OCR、人像比对等,具体如下:
| 核验模式 | 核验内容 |
|---|---|
| 身份证OCR | 通过传入身份证照片,正面照片返回姓名、身份证号、性别、民族、出生日期、地址信息;反面照片返回身份证有效期起始时间、有效期结束时间、签发机关 |
| 银行卡OCR | 通过传入银行卡照片,返回银行卡号、银行名称、过期时间等 |
| 营业执照OCR | 通过传入营业执照照片,返回识别的企业详细信息,包括企业名称、统一社会信用代码、法人、公司地址、企业类型、注册资本、经营范围、成立日期、营业期限等 |
| 人像比对 | 通过传入自拍照、比对照两张照片,返回比对分数,得分越高相似度越高 |
4. 部署与集成
4.1 部署方式
身份核验服务是以公有云的形式面向用户提供身份信息核验功能,在系统部署集成时,根据客户业务系统是否允许业务数据上送云端以及客户业务应用类型划分,身份核验服务提供公有云部署和混合云部署方式。
4.1.1 公有云部署
身份核验服务公有云部署模式推荐面向核验业务量级较小的业务应用和业务应用为H5页面的应用场景。业务应用服务端通过互联网安全通道调用服务API的方式使用服务,业务应用终端通过移动端SDK、H5页面或者客户自身应用获取用户身份信息。公有云模式部署如下图所示:
4.1.2 混合云部署
公有云模式下,客户业务系统需要将待核验信息上送到云端,对于用户核验信息有私密性要求的业务,身份核验服务提供混合云的部署模式。
混合云部署模式下,业务系统通过在客户私有网络环境设备/虚拟环境中部署身份核验管理系统、签名验签服务器(CTID专用)与身份核验服务平台交互,用户核验信息通过签名验签服务器(CTID)加密后,再上送到云端,保证身份核验服务平台不会获取用户核验信息原文。具体部署如下图所示:
4.2 集成方式
用户身份核验过程可分为用户身份信息采集、用户身份信息核验两个步骤。用户身份信息采集既可以由业务应用自行完成,也可以通过集成身份核验的移动端SDK、或调用移动/PC端H5网页实现,应用可以根据自身的业务需要进行选择使用。用户身份信息核验由业务应用服务端调用身份核验服务接口或H5网页实现,身份核验服务集成支持下面三种方式:
l 提供手机端SDK与服务端Restful API接口,业务APP集成移动端SDK、业务系统对接身份核验服务接口完成核验;
l 提供手机/PC端H5页面与服务端Restful API接口,业务前端无需集成,业务系统对接身份核验服务接口,前端跳转至核验页面完成核验;
l 提供服务端Restful API接口,业务系统对接身份核验服务接口完成核验。
5. 应用场景
5.1 移动端APP实名认证
移动端业务APP集成身份核验SDK,采集用户的身份信息;
业务系统调用身份核验服务的核验接口,发送身份数据;
身份核验服务完成与可信数据源的信息对比,将核验结果反馈至业务系统完成实名认证。
5.2 PC端柜面业务办理
PC业务客户端自行采集用户身份信息;
业务系统调用身份核验服务的核验接口,发送身份数据;
身份核验服务完成与可信数据源的信息对比,将核验结果反馈至业务系统继续办理业务。
5.3 微信公众号签署电子合同
业务系统调用身份核验服务的核验申请接口,获取核验页面地址;
业务前端页面跳转至核验页面,用户在核验页面执行身份核验,身份核验服务完成与可信数据源的信息对比;
核验页面将核验结果返回给业务系统继续电子合同签署流程。
5.4 PC端网站办理业务
业务系统调用身份核验服务的核验申请接口,获取核验页面地址;
业务前端页面跳转至核验页面,用户在核验页面执行身份核验,身份核验服务完成与可信数据源的信息对比;
核验页面将核验结果返回给业务系统继续办理业务。
6. 应用效果
6.1 身份核验SDK
身份核验移动端SDK负责移动端身份信息采集,业务应用集成身份核验SDK,采集身份信息后发送至业务系统,由业务系统调用云端或本地版身份核验服务接口,完成核验并返回核验结果。移动端SDK包括两个功能模块:
身份信息获取
提供身份证图片文字识别功能,通过拍摄身份证正反面照片,利用OCR技术获取身份证姓名、身份证号、有效期起始日期、有效期截止日期信息,加密后用于身份核验。
身份信息获取 拍摄身份证正面照片 拍摄身份证反面照片
人脸信息核验
提供活体核验、人脸识别、人像采集功能,通过摄像头完成人脸识别及活体检测,并采集一张人像照片,加密后用于身份核验。
人脸信息核验
6.2 身份核验H5组件
身份核验H5组件提供基于PC及手机端浏览器页面的个人及企业身份核验服务,业务客户端无需集成,通过调用服务端接口的方式,获取身份核验页面地址,用户直接在身份核验页面中完成身份验证。
个人核验服务
个人核验服务提供三种核验模式:两项信息实人(验证用户姓名、身份证号及人像)、手机号核验(验证用户姓名、身份证号、手机号及短信验证码)、银行卡核验(验证用户姓名、身份证号、银行卡号、预留手机号及短信验证码)模式,业务系统可以指定使用某一种模式,也可以让用户自行选择某种模式进行身份验证。
移动端两项信息实人 移动端手机号核验 移动端银行卡核验
PC端两项信息实人
PC端手机号核验
PC端银行卡核验
企业核验服务
企业核验服务提供一种核验模式,包含三个步骤,用户全部通过才视为企业身份验证通过:第1步,企业及法人信息核验(验证企业名称、证照号码、法人姓名及身份证号);第2步,企业经办人信息核验(验证企业经办人身份,模式参见个人核验模式),第3步,企业对公账号核验(向企业对公账号打款并附言随机数,通过验证回填的随机数核验企业账号)。
移动端企业及法人信息核验 移动端企业经办人信息核验 移动端企业对公账号核验
PC端企业及法人信息核验
PC端企业经办人信息核验
PC端企业对公账号核验
7. 市场与优势
7.1 应用领域
政务:适用于线下及线上核实办事人的身份,通过身份核验服务进行实名认证,核验通过后可以办理各项业务。
金融:适用于远程开户、线上借贷、大额转账等场景,通过身份核验服务,快速核验用户身份,减少银行的人力投入,降低业务风险。
电信:工信部规定,用户办理电信运营商所有业务必须实名制。通过身份核验服务对用户进行实名认证,用户能够在网上营业厅办理购买手机卡、预装宽带等业务。
卫生: 随着互联网医疗服务被纳入医保,用户在线上使用医保卡就诊前,需要核实患者真实身份。通过身份核验服务对用户进行线上身份核验,用户能够使用医保卡进行线上就医。
教育:适用于线上报名入学考试、职能等级等考试等场景,通过身份核验服务对用户进行实名身份核验,可以在线登记报名考试。
交通:适用于火车取票、飞机值机等场景,通过身份核验服务对用户进行实名核验,通过后的用户能够取票乘坐火车或办理航班值机。
7.2 服务优势
权威可靠:与公安部门、征信机构、电信运营商等多家可信认证源深度合作,保障数据准确齐全。
合法可信:符合《中华人民共和国居民身份证法》、《网络安全法》及我国可信网络空间战略等要求,保证核验信息的隐私保护及传输安全。
灵活多样:提供个人核验、企业核验、核验增值服务等多种核验模式,能够根据业务需求灵活组合。
接入全面:提供纯云端API、H5及移动端SDK 等多种接入方式,满足客户在不同场景下的身份核验需求。
7.3 服务保障
7.3.1 数据采集
身份核验服务仅采集核验模式所需的身份信息,符合《信息安全技术个人信息安全规范GB/T 35273-2017》中的个人信息安全基本原则。
7.3.2 数据传输保障
身份核验服务各服务接口均使用HTTPS数据加密传输协议,实现高强度加密传输,防止传输数据被泄露或篡改,满足敏感数据加密传输需求;
身份核验服务向外与可信数据源通过HTTPS加密通道通信,并专设多条网络专线直连公安一所的CTID平台,保证核验数据传输时的安全性。
7.3.3 数据存储保障
身份核验服务在将身份信息送往可信数据源完成核验后,随即进行脱敏处理,脱敏后的数据不可复原,确保个人信息保存时间最小化;
身份核验服务不存储用户的明文信息,仅存储脱敏数据以作对账使用,其他人员(包括运维人员)无法拿到用户的明文信息,从根本上杜绝了
数据泄露问题。
7.3.4 服务保障
身份核验服务系统托管在阿里云、腾讯云上,硬件网络基础设施基于冗余架构构建。
BJCA为客户提供7×24小时的运维监控响应,保障了服务的高可靠性。
8. 典型案例
政务行业中政务对公众服务应用案例:
业务需求:
实现全程电子化商事登记,实行“网上身份验证、网上提交材料、网上审核批准、网上核发执照、网上亮照公示”等功能。
解决方案:
身份核验服务配套云签名服务实现对用户身份的网上核验,用户网上身份凭证-数字证书的颁发、文档的签署等功能,助力商事登记全程电子化进程。