黃琪 王大帝 張珊

摘 要：身份認(rèn)證是保護(hù)信息系統(tǒng)的第一道安全防線，本文對(duì)現(xiàn)有的身份認(rèn)證技術(shù)進(jìn)行分析，提出基于區(qū)塊連技術(shù)的人臉識(shí)別認(rèn)證模型，介紹了該模型的技術(shù)組件及主要流程。

關(guān)鍵詞：區(qū)塊連；人臉識(shí)別；身份認(rèn)證；去中心化

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）15-0041-02

0 引言

用戶訪問業(yè)務(wù)系統(tǒng)時(shí)，對(duì)用戶身份進(jìn)行審查，查看該用戶是否具備繼續(xù)訪問和使用系統(tǒng)的資格，即身份認(rèn)證。身份認(rèn)證主要通過3種方式實(shí)現(xiàn)：

（1）知識(shí)類認(rèn)證方式。用戶回答自己所掌握的信息來證實(shí)身份，如用戶的靜態(tài)密碼等。知識(shí)類認(rèn)證方式，是早期的身份認(rèn)證方法，非常不安全，容易受到社會(huì)學(xué)攻擊、暴力破解等。（2）資產(chǎn)類認(rèn)證方式。根據(jù)用戶所擁有的資產(chǎn)來證明身份，如電子令牌、短信動(dòng)態(tài)口令等。資產(chǎn)類認(rèn)證方式，對(duì)動(dòng)態(tài)電子令牌、手機(jī)等移動(dòng)終端依賴性比較大。一旦移動(dòng)終端設(shè)備被不法者獲取，很可能利用獲取動(dòng)態(tài)口令進(jìn)行非法登陸。（3）固有特征認(rèn)證方式。采用用戶獨(dú)的、不可復(fù)制的特征來證明身份，如指紋、人臉等。該方式不容易被復(fù)制和破解，使用方便。

以上三種認(rèn)證方式，均存在數(shù)據(jù)庫泄露的風(fēng)險(xiǎn)：攻擊者獲取中心化的數(shù)據(jù)庫，會(huì)造成大規(guī)模信息泄露，同時(shí)可篡改數(shù)據(jù)信息，以此通過身份認(rèn)證。

區(qū)塊鏈技術(shù)是一種不可篡改、可追蹤、不斷增長(zhǎng)的分布式賬本式數(shù)據(jù)庫。本文提出一種基于區(qū)塊鏈技術(shù)的人臉識(shí)別認(rèn)證模型，采用去中心化的方式存儲(chǔ)身份信息，使得人臉認(rèn)證更加安全、可靠。

1 基于區(qū)塊鏈技術(shù)的人臉識(shí)別認(rèn)證模型

基于區(qū)塊鏈技術(shù)的人臉識(shí)別認(rèn)證模型包括兩個(gè)核心技術(shù)組件：人臉識(shí)別組件和區(qū)塊鏈組件。將采集到的人臉信息與個(gè)人信息掛鉤，經(jīng)過區(qū)塊鏈共識(shí)完成存儲(chǔ)；其次，人臉識(shí)別時(shí)，從經(jīng)過共識(shí)的區(qū)塊中調(diào)取人臉信息進(jìn)行比對(duì)，可以防止冒名作假現(xiàn)象；最后，人臉識(shí)別全流程鏈上公開透明可追溯，有效杜絕后臺(tái)修改數(shù)據(jù)現(xiàn)象，同時(shí)發(fā)生異常時(shí)可以實(shí)現(xiàn)快速定位。

1.1 技術(shù)組件

1.1.1 人臉識(shí)別組件

圖1是人臉識(shí)別組件技術(shù)邏輯圖?？蛻舳薙DK能夠適配windows臺(tái)式電腦、android移動(dòng)終端、IOS移動(dòng)終端、IP網(wǎng)絡(luò)攝像頭等多種終端設(shè)備，具備人臉檢測(cè)、人臉對(duì)齊等通用功能，通過有線或無線網(wǎng)絡(luò)連接人臉識(shí)別服務(wù)端。業(yè)務(wù)系統(tǒng)前端與人臉識(shí)別客戶端SDK進(jìn)行集成。客戶端SDK通過終端設(shè)備進(jìn)行視頻流捕獲，并采用H264進(jìn)行解碼，并提取視頻流中的視頻幀進(jìn)行預(yù)處理，將彩色圖片進(jìn)行灰度化、清晰度判斷等預(yù)處理，然后采用圖像圖像金字塔技術(shù)進(jìn)行圖片的縮放，并使用MTCNN網(wǎng)絡(luò)進(jìn)行人臉檢測(cè)，定位人臉特征點(diǎn)。WEB服務(wù)器通過服務(wù)接口獲取客戶機(jī)識(shí)別請(qǐng)求，進(jìn)行人臉特征提取、人臉識(shí)別運(yùn)算，反饋?zhàn)R別結(jié)果回饋至業(yè)務(wù)系統(tǒng)客戶端。

人臉識(shí)別流程如圖2所示。通過手機(jī)、攝像頭等設(shè)備采集圖像，經(jīng)過人臉檢測(cè)、人臉對(duì)齊、特征提取等技術(shù)，采用mobilefacenet進(jìn)行人臉特征提取，將特征空間中提取的人臉特征值與人臉特征庫中的特征值進(jìn)行搜索、比對(duì)，分別計(jì)算余弦距離，采用冒泡排序的方式選選擇最相似的人臉，并輸出結(jié)果。當(dāng)最相似的人臉的相似值超過閾值，則身份驗(yàn)證成功。

1.1.2 區(qū)塊鏈組件

如圖3，給出了區(qū)塊鏈組件的邏輯圖。區(qū)塊鏈組件主要包括區(qū)塊構(gòu)建管理、區(qū)塊共識(shí)管理、核心服務(wù)等功能，為業(yè)務(wù)系統(tǒng)提供一個(gè)去中心化、分布式的、防篡改、可追溯的數(shù)據(jù)可信環(huán)境，通過API接口將數(shù)據(jù)存儲(chǔ)在區(qū)塊鏈上，在需要進(jìn)行提取和驗(yàn)證時(shí)，通過API接口查詢鏈上的數(shù)據(jù)，形成完整的數(shù)據(jù)可信流轉(zhuǎn)業(yè)務(wù)能力視圖。

區(qū)塊構(gòu)建管理：實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的存儲(chǔ)支持以及數(shù)據(jù)的區(qū)塊查詢和處理結(jié)果查詢。

區(qū)塊共識(shí)管理：配置共識(shí)域，并采用拜占庭算法對(duì)共識(shí)節(jié)點(diǎn)進(jìn)行管理。

核心服務(wù)：區(qū)塊鏈組件對(duì)外提供三種核心服務(wù)API。（1）一致性服務(wù)，采用區(qū)塊鏈技術(shù)，對(duì)數(shù)據(jù)存儲(chǔ)進(jìn)行一致性管理，以實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的一致性更新和存儲(chǔ)，提高運(yùn)行過程中存儲(chǔ)、調(diào)用的穩(wěn)定性與安全性。（2）可信服務(wù)，利用區(qū)塊鏈技術(shù)的時(shí)序特性、數(shù)據(jù)不可篡改與抗攻擊等特性，將核心操作進(jìn)行區(qū)塊存儲(chǔ)，進(jìn)行可信賬戶統(tǒng)計(jì)結(jié)果的區(qū)塊數(shù)據(jù)共享，提升了查詢數(shù)據(jù)、運(yùn)行應(yīng)用、賬戶監(jiān)控力度和等級(jí)評(píng)價(jià)的可信性。（3）隱私服務(wù)，利用區(qū)塊鏈技術(shù)實(shí)現(xiàn)傳輸通道的兩端非對(duì)稱加密，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的通道化管理和在通道中的加密傳輸，解決數(shù)據(jù)在通道傳輸過程中信息易被抓取和破解等問題。

1.2 模型環(huán)節(jié)

本模型主要包括注冊(cè)和驗(yàn)證兩個(gè)環(huán)節(jié)。用戶初次發(fā)起服務(wù)請(qǐng)求時(shí)需要完成注冊(cè)操作，注冊(cè)成功后服務(wù)端返回服務(wù)和公鑰；用戶再次請(qǐng)求服務(wù)時(shí)需要完成驗(yàn)證操作，驗(yàn)證成功后服務(wù)供應(yīng)商返回服務(wù)和新公鑰，如圖4所示。

1.2.1 注冊(cè)

步驟1：用戶通過客戶端注冊(cè)個(gè)人信息，并上傳人臉圖片；步驟2：人臉識(shí)別組件接收人臉圖像，提取用戶人臉特征，并將人臉特征值反饋給客戶端；步驟3：客戶端將人臉特征值和用戶名的哈希值發(fā)送給服務(wù)端；步驟4：服務(wù)端的所有節(jié)點(diǎn)共享同一個(gè)帳本。通過拜占庭算法選舉其中一個(gè)節(jié)點(diǎn)作為主節(jié)點(diǎn)，其他節(jié)點(diǎn)傳播、計(jì)算、驗(yàn)證人臉識(shí)別特征的哈希摘要。當(dāng)超過2/3的節(jié)點(diǎn)計(jì)算的哈希摘要相同，則達(dá)成共識(shí)；主節(jié)點(diǎn)使用私鑰對(duì)人臉特征值摘要和用戶名的哈希值進(jìn)行簽名，并寫入新區(qū)塊；步驟5：服務(wù)端將公鑰返回給客戶端，完成注冊(cè)。

1.2.2 驗(yàn)證

已注冊(cè)的用戶想要獲取服務(wù)，需要服務(wù)端、區(qū)塊鏈進(jìn)行身份驗(yàn)證。驗(yàn)證流程如下：

步驟1：客戶端獲取用戶名、人臉圖像、公鑰；步驟2：客戶端將人臉圖像傳遞給人臉識(shí)別技術(shù)組件，提取用戶人臉特征，并返回給客戶端；步驟3：客戶端將公鑰、人臉特征值、用戶名的哈希值發(fā)送給服務(wù)端；步驟4：服務(wù)端使用公鑰在區(qū)塊鏈中進(jìn)行驗(yàn)簽，遍歷尋找相同的用戶名哈希值；如果不存在相同的用戶名哈希值，則該用戶不存在；步驟5：計(jì)算該人臉特征值與區(qū)塊鏈中存儲(chǔ)的該用戶的人臉特征值的相似度，如相似度小于閾值則驗(yàn)證失敗，如相似度大于閾值則驗(yàn)證通過；步驟6：計(jì)算當(dāng)前區(qū)塊的哈希值（包括前一區(qū)塊的哈希值、時(shí)間戳、人臉特征值、私鑰簽名的用戶名哈希值）是否與下一區(qū)塊中存儲(chǔ)的值相等，如相等則驗(yàn)證通過。

2 結(jié)語

本文針對(duì)身份認(rèn)證技術(shù)進(jìn)行了分析，指出知識(shí)類認(rèn)證、資產(chǎn)類認(rèn)證、固有特征認(rèn)證三種方式存在的缺陷，提出了基于區(qū)塊連技術(shù)的人臉識(shí)別認(rèn)證模型，區(qū)塊鏈的私鑰加密、分布式存儲(chǔ)、全程可追溯可增強(qiáng)身份認(rèn)證的安全性，解決泄庫、數(shù)據(jù)篡改等問題。

參考文獻(xiàn)

[1] 夏振杰.基于人臉識(shí)別技術(shù)的身份認(rèn)證系統(tǒng)實(shí)現(xiàn)簡(jiǎn)介[J].科技信息，2010（5）：44.

[2] 何昀.基于虹膜的人體特征識(shí)別方法研究與實(shí)現(xiàn)[D].東北師范大學(xué)，2006.

[3] OGorman L.Comparing passwords，tokens，and biometrics for user authentication[C]//Proceedings of the IEEE，2003：2019-2020.

[4] 彭永勇，張曉韜.基于區(qū)塊鏈應(yīng)用模式的可信身份認(rèn)證關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（02）：36-37.

[5] 邵奇峰，金澈清，張召，等.區(qū)塊鏈技術(shù)：架構(gòu)及進(jìn)展[J].計(jì)算機(jī)學(xué)報(bào)，2018（05）：3-22.