方案简介
方案简介
ƒƒ
推出背景
- 现在,人脸识别技术被广泛应用在金融支付、用户注册、人脸登录等业务场景中。技术的进步方便用户的同时,黑灰产产业也开始对这些场景产生觊觎。并通过屏幕攻击、照片、纸张、以及面具、头模等方式进行非法攻击。随着黑产技术的进步,更是出现了通过自动化脚本直接攻击云端API、ROM注入、视频劫持替换、批量虚拟机、病毒侵入等新型攻击手段。使现有的人脸识别方案面临着巨大的安全挑战。
- 为提升人脸识别的安全性,保障客户的业务安全,便于客户在静默活体、动作活体、炫瞳活体多种活体验证方式中灵活切换,人脸实名认证产品团队与百度安全实验室联合推出人脸实名认证APP方案,在人脸登录、注册等环境加入层层保障,为您的业务保驾护航。
功能简介
- 人脸实名认证APP方案提供标准化的人身核验流程,具有人脸比对、活体检测、证件识别、人脸实名认证等多项组合能力,以及端云配合高防攻击拦截能力,可抵挡高清屏幕、照片、视频、AI换脸、高仿真面具、3D模型的攻击。支持静默活体、动作活体、炫瞳活体等活体校验方式进行人脸采集,同时,加入安全加密能力以及风控能力,针对脚本攻击、ROM注入、视频劫持、批量虚拟机、病毒侵入等新型攻击手段进行强力有效防御。
人脸质量检测:判断视频流中的图片帧中,哪些图片质量较佳,即人脸图像特征清晰(满足姿态角、光照、模糊度、遮挡等校验)。
人脸图像采集:通过本地SDK能力,采集人脸图像,同时经过人脸质量检测,确保采集到的人脸图像符合各条件校验(满足姿态角、光照、模糊度、遮挡等校验),为设备前端获取有效可分析人脸的主要功能。
炫瞳活体检测:通过屏幕上闪烁不同颜色的光线,判断当前用户是否真人操作。通过颜色活体进行面部反光鉴别的同时,百度特加入独有的瞳孔反光识别,提升整体的攻击拒绝率指标。
动作活体检测:通过让用户做出指定人脸配合式的交互动作,识别当前操作者是否为活体,此功能为离线使用,可设定指定动作是否使用及应用顺序。动作包含:眨眨眼、张张嘴、向左转头、向右转头、向上抬头、向下低头、上下点头、左右摇头8个。
端云互验加密:人脸实名认证APP方案集成文件中的采集SDK会对输出的图片进行加密(支持AES/国密),在云端人脸实名认证V4 API进行解密。此端云配合的加密方式是百度专门针对市面黑产绕过采集SDK,攻击云端接口的攻击方式进行的功能升级。
风控能力:人脸实名认证V4 API接口接受SDK端传入的本地环境扫描设备指纹及安全信息,对SDK端进行设备风险识别,辨别是否为⻛险设备,返回识别结果。可有效防御黑产批量虚拟机、病毒侵入等攻击手段,降低第三方黑产攻破概率,提升业务安全性。
适用场景
- 人脸实名认证APP方案适用于Android/IOS/HarmonyOS的APP场景中实现用户实名认证、人脸比对、活体检测。如果您的业务场景是在微信小程序、公众号、APP内嵌H5等业务场景,推荐采用H5实名认证方案。
接入时序图
1. 人脸实名认证,人脸采集图片、姓名、身份证号码三要素核验
2. 人脸对比,人脸采集图片与自传图片的1:1比对
3. 活体检测,对人脸采集图片进行活体检测
4. 特殊的,也可由SDK采集并获取加密人脸信息,经由服务端转发,配合百度云端接口实现实名认证、活体检测及人脸比对功能。 如果您选择这种集成方案,Android请参考人脸采集及人脸比对接口(无源)、 IOS与HarmonyOS同理。
重要:AccessToken有有效期,每次请求必须重新获取。出于安全性考虑,将AK、SK写到业务Server,请求百度服务器,间接获取AccessToken。关于AccessToken鉴权,请参考https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu
方案接入步骤
人脸实名认证APP方案的具体接入步骤请参考