劉廷峰 李江鑫 朱源

(四川中電啟明星信息技術(shù)有限公司 四川成都 610000)

隨著企業(yè)信息化程度越來(lái)越高，PC終端成為工作場(chǎng)景中最不可或缺的辦公工具，尤其大型企業(yè)業(yè)務(wù)規(guī)模龐大，PC終端系統(tǒng)類型繁多，對(duì)于系統(tǒng)使用者來(lái)說(shuō)，登錄不同的系統(tǒng)辦公是每天重復(fù)多次的日常工作。隨著國(guó)家對(duì)于大型企業(yè)的信息化安全有越來(lái)越嚴(yán)格的要求，員工在多系統(tǒng)的賬戶密碼管理和使用上，受到越來(lái)越大的挑戰(zhàn)，存在的安全威脅和隱患也越來(lái)越大?；谄髽I(yè)IAM 的統(tǒng)一認(rèn)證登錄，能夠通過(guò)統(tǒng)一的規(guī)則保證員工的賬號(hào)密碼管理符合信息安全的標(biāo)準(zhǔn)，但是，通過(guò)密碼認(rèn)證的方式，在日常工作的使用中，也存在著明顯的短板。員工必須承擔(dān)保護(hù)密碼的責(zé)任，一旦密碼泄漏，對(duì)企業(yè)應(yīng)用的業(yè)務(wù)和信譽(yù)都將造成巨大打擊。然而實(shí)際工作場(chǎng)景中，經(jīng)常有特殊原因，員工為了工作方便，私下分享了賬號(hào)密碼。特別是在多員工共享辦公電腦場(chǎng)景下，員工都有共享賬號(hào)密碼方便工作的習(xí)慣。除此之外，因?yàn)镻C 上操作系統(tǒng)本地賬號(hào)與企業(yè)IAM 賬號(hào)分離管理，也給員工在共享PC 的辦公場(chǎng)景上，帶來(lái)了額外的信息安全風(fēng)險(xiǎn)[1]。

因此，企業(yè)需要尋求新的技術(shù)解決方案：通過(guò)降低賬號(hào)密碼的使用頻率來(lái)減少密碼泄漏和故意分享的風(fēng)險(xiǎn)；采用用戶體驗(yàn)更好、安全性更高的認(rèn)證方式來(lái)提高系統(tǒng)認(rèn)證的安全性；消除辦公共享PC的操作系統(tǒng)賬號(hào)與企業(yè)應(yīng)用系統(tǒng)賬號(hào)之間的技術(shù)鴻溝。

基于以上問(wèn)題，本文提出了一種在PC終端上通過(guò)離線人臉識(shí)別方式直接登錄業(yè)務(wù)系統(tǒng)的關(guān)鍵技術(shù)。通過(guò)采用認(rèn)證方式，降低了頻繁使用賬號(hào)密碼的泄漏風(fēng)險(xiǎn)，通過(guò)基于人臉的生物識(shí)別方式，改進(jìn)了業(yè)務(wù)系統(tǒng)的安全性和用戶體驗(yàn)感。特別是在多員工共用PC上，通過(guò)將操作系統(tǒng)登錄與業(yè)務(wù)人臉登錄流程打通，實(shí)現(xiàn)了員工信息安全管控和用戶體驗(yàn)的和諧統(tǒng)一[2]。

1 傳統(tǒng)登錄方式分析

目前比較傳統(tǒng)的登錄方式有賬號(hào)密碼登錄方式和App掃描二維碼登錄這兩種方式。

1.1 賬號(hào)密碼登錄方式

賬號(hào)密碼登錄方式是最傳統(tǒng)的系統(tǒng)登錄方式。員工需要對(duì)密碼的保密負(fù)責(zé)，而且根據(jù)信息安全要求，密碼在長(zhǎng)度、格式和更新周期上都有規(guī)定，這都為賬號(hào)密碼的使用埋下了安全隱患。特別是在員工共用PC 的辦公場(chǎng)景下，員工為了工作方便，私下分享賬號(hào)密碼的行為屢見(jiàn)不鮮。

1.2 App掃描二維碼登錄方式

App掃描二維碼登錄是目前比較流行的一種代替賬號(hào)密碼登錄的免密登錄方式。

1.2.1 App掃描二維碼登錄優(yōu)點(diǎn)

（1）用戶體驗(yàn)無(wú)須教育成本。很多互聯(lián)網(wǎng)應(yīng)用都把二維碼掃描登錄PC端應(yīng)用作為首選的登錄方式；無(wú)密碼登錄方式，比賬戶密碼登錄方式更友好。（2）安全性更高。通過(guò)手機(jī)掃描二維碼登錄，類似雙因子校驗(yàn)，通過(guò)登錄PC和使用者手機(jī)的雙重認(rèn)證，提高了認(rèn)證的安全性。

1.2.2 App掃描二維碼登錄的缺點(diǎn)

（1）依賴手機(jī)App 應(yīng)用。必須依靠手機(jī)中的App掃碼，在一些特殊場(chǎng)景下，如果網(wǎng)絡(luò)受限，或者使用者沒(méi)有辦法使用手機(jī)就無(wú)法使用此種方式認(rèn)證登錄。（2）登錄過(guò)程繁瑣。相比其他登錄方式，掃碼登錄的方式多出了手機(jī)上打開(kāi)App 掃描二維碼的動(dòng)作，登錄過(guò)程花費(fèi)時(shí)間更長(zhǎng)。另外，在賬號(hào)密碼泄露的條件下，掃碼認(rèn)證也并不安全。獲取別人賬號(hào)密碼的用戶，完全可以在手機(jī)App上冒用別人的賬號(hào)。

1.3 問(wèn)題分析

無(wú)論傳統(tǒng)的賬號(hào)密碼登錄方式，還是掃碼登錄的無(wú)密碼登錄方式，都無(wú)法在認(rèn)證安全和用戶認(rèn)證體驗(yàn)上，達(dá)到一個(gè)很好的平衡。特別是在多人共享PC登錄的場(chǎng)景下，也無(wú)法解決潛在的安全風(fēng)險(xiǎn)，更無(wú)法很好地解決操作系統(tǒng)與業(yè)務(wù)系統(tǒng)的雙重認(rèn)證登錄的技術(shù)屏障。

1.4 新方案技術(shù)分析

本文提出的技術(shù)方案是通過(guò)在PC 操作系統(tǒng)上實(shí)現(xiàn)離線人臉認(rèn)證，將離線人臉認(rèn)證方式作為登錄業(yè)務(wù)系統(tǒng)的認(rèn)證方式之一。將離線人臉?lè)?wù)集成為Windows操作系統(tǒng)默認(rèn)登錄方式，解決PC操作系統(tǒng)與業(yè)務(wù)系統(tǒng)之間的技術(shù)鴻溝[3]。

2 關(guān)鍵技術(shù)點(diǎn)

2.1 離線人臉認(rèn)證

在企業(yè)內(nèi)部應(yīng)用人臉認(rèn)證技術(shù)，雖然不像金融行業(yè)，存在來(lái)自外部大量的呈現(xiàn)式甚至注入式攻擊的風(fēng)險(xiǎn)，但是也存在企業(yè)內(nèi)辦公場(chǎng)景的特點(diǎn)。因此，研發(fā)了離線人臉認(rèn)證技術(shù)[4]。

離線人臉認(rèn)證是不依賴中心化的人臉認(rèn)證服務(wù)，降低服務(wù)可靠性和安全性的挑戰(zhàn)[5]。

在端點(diǎn)進(jìn)行基于人臉特征值數(shù)據(jù)的人臉識(shí)別認(rèn)證，規(guī)避了人臉圖像傳輸造成的隱私安全風(fēng)險(xiǎn)，也能符合設(shè)備先登錄后聯(lián)網(wǎng)的網(wǎng)絡(luò)安全要求，保證在可靠性作業(yè)環(huán)境中的高可用性。

由于離線人臉識(shí)別計(jì)算資源有限，離線人臉認(rèn)證面向雙目和3D結(jié)構(gòu)光等圖像采集設(shè)備優(yōu)化，通過(guò)軟硬一體的方式提升對(duì)人臉攻擊的防護(hù)水平。

2.2 活體檢測(cè)

雖然企業(yè)內(nèi)的辦公場(chǎng)景不存在大量的人臉攻擊的機(jī)會(huì)，但是，通過(guò)引入用戶體驗(yàn)好的人臉活體驗(yàn)證方式，可以提高員工作弊的成本，提高人臉比對(duì)的正向通過(guò)率。

參考互聯(lián)網(wǎng)金融在人臉識(shí)別認(rèn)證方面的實(shí)踐經(jīng)驗(yàn)，眨眼活體是普遍采用的最高效的活體認(rèn)證方式之一。例如：支付寶和騰訊都在自己的人臉識(shí)別能力上，首選眨眼活體。在PC端的人臉識(shí)別組件中，引入了眨眼活體的識(shí)別模型。讓員工通過(guò)簡(jiǎn)單地眨眼就可以迅速完成人臉比對(duì)，具體情況見(jiàn)圖1。

圖1 活體檢測(cè)圖

2.3 多人臉選擇比對(duì)

多人臉選擇比對(duì)：企業(yè)辦公場(chǎng)景，PC 前經(jīng)常會(huì)同時(shí)出現(xiàn)多名員工。采用精準(zhǔn)的多人臉選擇技術(shù)，能夠提高人臉認(rèn)證技術(shù)的精準(zhǔn)度，提供更好的用戶體驗(yàn)[6]。

在多人出現(xiàn)在攝像頭的場(chǎng)合下，通過(guò)人臉識(shí)別的大小模型和遠(yuǎn)近模型，以及綜合眨眼活體的認(rèn)證結(jié)果，對(duì)多個(gè)人臉進(jìn)行智能的選擇，將多人臉的識(shí)別準(zhǔn)確率達(dá)到99.9%[7]，具體情況如圖2所示。

圖2 多人臉選擇圖

2.4 實(shí)現(xiàn)OIDC認(rèn)證協(xié)議與業(yè)務(wù)服務(wù)集成

OIDC作為OAuth2.0的擴(kuò)展，實(shí)現(xiàn)了認(rèn)證能力提供者OP與認(rèn)證使用者RP之間的身份認(rèn)證協(xié)議。OIDC已經(jīng)在互聯(lián)網(wǎng)和企業(yè)應(yīng)用內(nèi)被大量采用，如圖3所示。

圖3 OIDC認(rèn)證流程圖

PC離線刷臉認(rèn)證服務(wù)與傳統(tǒng)的認(rèn)證服務(wù)的區(qū)別，就是由PC刷臉客戶端完成刷臉的認(rèn)證，由服務(wù)端鑒別結(jié)果，發(fā)行token，如圖4所示。

圖4 PC刷臉登錄流程圖

所以，PC 連線刷臉客戶端與服務(wù)器共同組成了OIDC的OP，對(duì)業(yè)務(wù)系統(tǒng)提供認(rèn)證服務(wù)，對(duì)既有業(yè)務(wù)系統(tǒng)認(rèn)證能力集成非常友好[8]。

2.5 注冊(cè)離線人臉為Windows登錄默認(rèn)認(rèn)證方式

Windows系統(tǒng)的賬戶管理和認(rèn)證方式是獨(dú)立在業(yè)務(wù)系統(tǒng)之外的一套體系。通過(guò)將PC離線刷臉客戶端注冊(cè)為Windows 平臺(tái)的CredentialProvider，將WindowsOS的認(rèn)證體系和業(yè)務(wù)系統(tǒng)統(tǒng)一。在用戶首次綁定自己在PC上時(shí)，首先要驗(yàn)證Windows賬戶密碼。驗(yàn)證通過(guò)后，注冊(cè)離線人臉認(rèn)證，將業(yè)務(wù)賬號(hào)、Windows賬號(hào)和人臉綁定，具體見(jiàn)圖5。

圖5 Windows登錄界面示意圖

預(yù)留本地設(shè)備身份密鑰生成與驗(yàn)證的擴(kuò)展接口，可以為Windows系統(tǒng)登錄增加“人臉識(shí)別+設(shè)備身份密鑰”的多因子驗(yàn)證能力。

2.6 安全設(shè)計(jì)

2.6.1 邊界安全

互聯(lián)網(wǎng)與外網(wǎng)邊界：通過(guò)構(gòu)建外網(wǎng)安全交互平臺(tái)，實(shí)現(xiàn)移動(dòng)應(yīng)用的身份認(rèn)證、訪問(wèn)控制、傳輸加密以及應(yīng)用過(guò)濾。外網(wǎng)與內(nèi)網(wǎng)邊界：通過(guò)設(shè)置安全隔離裝置，基于數(shù)據(jù)庫(kù)代理訪問(wèn)實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互[9]。

2.6.2 應(yīng)用安全

通過(guò)移動(dòng)互聯(lián)支撐平臺(tái)提供的第三方安全加固技術(shù)，實(shí)現(xiàn)客戶端App應(yīng)用防逆向、防篡改、反調(diào)試保護(hù)。免密App 應(yīng)用-服務(wù)端接口交互采用安全TOKEN 認(rèn)證，對(duì)交互數(shù)據(jù)長(zhǎng)度類型進(jìn)行安全校驗(yàn)[10]。

2.6.3 主機(jī)和網(wǎng)絡(luò)安全

功能按三級(jí)等保要求設(shè)計(jì)，操作系統(tǒng)、Web 中間件、數(shù)據(jù)庫(kù)進(jìn)行安全掃描和基線配置核查，修復(fù)系統(tǒng)漏洞和配置不合規(guī)項(xiàng)。

2.6.4 數(shù)據(jù)安全

移動(dòng)客戶端不存儲(chǔ)企業(yè)機(jī)密信息，重要數(shù)據(jù)傳輸采用SSL 協(xié)議結(jié)合SM2、SM3、SM4 國(guó)密算法進(jìn)行加密傳輸和數(shù)字簽名。內(nèi)外網(wǎng)間僅交互用戶關(guān)聯(lián)信息與具有時(shí)效性的會(huì)話信息。

對(duì)于用戶人臉數(shù)據(jù)，在PC 本地只保存人臉特征值，并且是采用國(guó)密算法加密保存。

預(yù)留對(duì)TEE/SE安全組件的調(diào)用接口，可將關(guān)鍵數(shù)據(jù)和端點(diǎn)可信憑證存儲(chǔ)于攝像頭或主機(jī)的硬件安全區(qū)，從而符合多級(jí)等保驗(yàn)收需求。

2.6.5 業(yè)務(wù)安全

通過(guò)用戶信息脫敏設(shè)計(jì)，App 賬號(hào)與企業(yè)內(nèi)網(wǎng)為兩套完全獨(dú)立的賬號(hào)和認(rèn)證體系，且手機(jī)App 不存企業(yè)內(nèi)網(wǎng)的賬號(hào)、口令信息。并通過(guò)內(nèi)網(wǎng)認(rèn)證用戶綁定，進(jìn)行App賬號(hào)和內(nèi)網(wǎng)賬號(hào)關(guān)聯(lián)。通過(guò)用戶登錄行為分析，及時(shí)發(fā)現(xiàn)賬號(hào)訪問(wèn)異常。

2.6.6 設(shè)備安全

對(duì)攝像頭附件采取固件擴(kuò)展安全組件方式增加系統(tǒng)對(duì)設(shè)備的識(shí)別能力，在PC 刷臉登錄插件中預(yù)留對(duì)TCM/TPCM 主機(jī)可信安全性的對(duì)接能力，增加系統(tǒng)對(duì)主機(jī)的認(rèn)證識(shí)別能力。

3 技術(shù)方案

3.1 功能架構(gòu)

功能架構(gòu)如圖6所示。

圖6 功能架構(gòu)圖

3.1.1 安全攝像頭

安全攝像頭，經(jīng)過(guò)定制化，在固件中嵌入定制化的安全組件，用于確保數(shù)據(jù)來(lái)自真實(shí)、安全的指定攝像頭，并且攝像頭本身可支持活體檢測(cè)、人臉比對(duì)以及人臉數(shù)據(jù)管理功能，可單獨(dú)完成人臉認(rèn)證業(yè)務(wù)。

3.1.2 PC刷臉登錄插件

PC刷臉登錄插件，主要依靠微軟提供的Credential-Provider 進(jìn)行自定義系統(tǒng)自定義登錄，插件模塊如表1所示。

表1 插件模塊列表

3.1.3 PC刷臉登錄服務(wù)器端

PC刷臉登錄服務(wù)器端，主要依靠人臉檢索與權(quán)限管理模塊，實(shí)現(xiàn)PC 刷臉登錄的授權(quán)、認(rèn)證、控制，權(quán)限管理模塊具體見(jiàn)表2。

表2 權(quán)限管理模塊列表

3.2 業(yè)務(wù)流程

PC 離線刷臉業(yè)務(wù)流程包括注冊(cè)與認(rèn)證兩個(gè)業(yè)務(wù)流程。

3.2.1 注冊(cè)

注冊(cè)過(guò)程是建立Windows 賬戶、業(yè)務(wù)賬戶的綁定關(guān)系，并且注冊(cè)人臉，詳見(jiàn)圖7。

圖7 終端注冊(cè)流程圖

3.2.2 使用

注冊(cè)成功后，用戶就可以在注冊(cè)過(guò)的PC 上，通過(guò)一次刷臉，就直接登錄Windows，打開(kāi)業(yè)務(wù)系統(tǒng)時(shí)，無(wú)須再次登錄，詳見(jiàn)圖8。

圖8 終端登錄流程圖

4 結(jié)語(yǔ)

基于離線人臉認(rèn)證技術(shù)將“人臉識(shí)別+設(shè)備身份密鑰”的多因子身份驗(yàn)證注冊(cè)為PC的默認(rèn)登錄方式之一，不僅提高了用戶的登錄體驗(yàn)，而且避免了密碼共享過(guò)程中帶來(lái)的安全威脅。