开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:02-业务安全-ACA-03-实人认证】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18873
02-业务安全-ACA-03-实人认证
内容介绍:
一、实人认证概述
二、阿里云实人认证优势
三、阿里云实人认证优势
四、信息核验服务概述
五、APP隐私合规检测背景
六、阿里云APP隐私合规检测能力
一、实人认证概述
首先我们学习识人认证的产品简介,识人认证顾名思义是对于用户的身份信息的真实性去进行核验的服务,它主要是来验证用户是不是为真人并且是他本人。
身份证拥有多项的能力,包括证件的 OCR 识别,比如像活体检测、人脸对比等各种能力,它的安全效果是非常强的,比如在对这种认证要求的效果非常高的金融级别的场景都可以被有效的进行验证,因此可以适用于非常广泛的应用场景,广泛的行业,像社交、网约车、银行、保险等行业都可以得到广泛的应用。
无论你是使用实人认证的哪一些功能,整个的使用的过程都几乎一样,首先我们可以通过 APP 去集成 SDK 的方式或者在 PC 端 H5 的页面去直接集成这种 H5 的 SDK 方式或者直接调用API服务端等方式,都能开始我们的认证过程。
这个认证过程第一步是需要我们来输入用户的身份证信息,用户可以采用手动输入的方式或者是通过身份证的图片的 OCR 识别或者是这个直接调用摄像头针对你真实的身份证去直接采集图片转为 OCR 去识别,都是可以。对于采集上传上的这种验证的证件的信息,我们进行一些核实来确保是否正确,确保用户是真实的。
接下来会做一些生物识别,也即活体检测的动作,比如通过这种交互式的这种动作活体来确保如让用户点个头、转个头、张个嘴巴之类的这种动作来确保这是个真人,是个活体。当然这种交互式的需要我们去做一些动作来配合的活体检测对于有些用户感觉体验不是很好,所以现在的活体检测技术又推出像静默活体检测这样的能力,也即在静默活体检测这种模式下,我们全程不需要做任何的动作指令配合,这个时候活体检测会去动态的对人的面部轮廓去进行识别,我们只需要镜正面对摄像头 3- 4 秒时间,就可以被检测完毕,所以这个过程简单而自然,而且我们的用户是随时随地就能够完成检测,特别是对于老年人用户是非常便利的。 并且这个静默活体检测的能力也是基于这种深度卷积的神经网络去进行训练出来的模型,所以这种安全性也是很高,是通过精准的去捕捉真实人脸的细微变化,跟人脸人眼无法区分的这种微表情来进行分析的,所以它的效率很准确性,安全性也是很高。那么像炫彩活体是另外一种基于颜色验证码的这种人脸的活体检测方法,这个使用也是很简单,用户只需要拿着手机面对着屏幕几秒钟的时间也能够完成检测,响应的效率也很高,准确度也很高,并且体验也是比较友好,这种炫彩活体检测主要是通过对面部进行打光,拿到这个颜色的序列去进行复原分析,这个也是一种体验比较好,安全性也是比较高的一种检测方式,尤其是在这种金融领域,像我们后面会介绍识人认证,分为这种金融级别的识人认证里也会经常用到炫彩活体检测,检测过程当中采集到的这种活体照片以及说我们上传的姓名、身份证号等这些信息,就会进行和权威数据源去进行合声进行比对,来去确认是否本人、真人。
只有通过了这个认证才完成,这就是整个实验认证各种场景、各种功能,整个使用的过程基本上都是遵循这样的过程。
二、阿里云实人认证优势
我们总结识人认证的几个优势。首先这个产品是有多样的能力输出,即我们是认证为用户提供了一个一键接入的标准方案,可以覆盖像PC、APP、 H5 页面以及小程序这样的场景,这是全场景覆盖的,线上线下的能力是很全面的。
第二个优势是全局的信息安全保障,可以通过从这个终端设备、网络传输、服务器和数据管理等各个环节来全面保障我们的信息安全。
第三个优势是精准的身份认证技术,因为它是基于深度学习的生物识别算法,是可以动态风险的感知,这样有多种的 AI 手段来一起来应用,所以身份认证能够持续的来提供安全精准的身份认证服务。
最后是拥有丰富的安全业务的实战经验,因为实证是源自于阿里巴巴多年的风险对抗的实战经验,所以它从风险感知、监测处置这几个方面都能够提供全生命周期的安全认证服务。
三、金融级实人认证
我们接下来学习金融级的识人认证,金融级的识人认证是基于蚂蚁集团独有的人脸多因子认证技术,并且以阿里经济体的各种权威数据源进行结合,实现快速的对自然人脸去进行真实身份的核验,这个安全水平是达到金融级别的要求,跟其他的实人认证的服务相比较,金融级的实人认证在使用的过程中是不需要用户做出动作就能够快速的得出认证结果。
比如我们前面所说炫彩的活体检测,这就属于金融级识别身份证里面的一个功能,所以它速度快、体验好、通过率高,并且是符合金融监管的要求。金融级实人认证的应用场景,认证的场景主要是在一些这种需要在这个应用的页面去进行跟金融有关的这种强认证的场景,比如登录的认证、支付的认证等。跟其他的同类型产品相比,金融级的实人认证它就更权威、更准确、更安全,也更稳定,并且也通过像蚂蚁集团的海量的业务验证,所以这里列举出金融级实人认证的几个优势,比如高安全性,因为它这个是炫彩人脸的活体检测技术,所以就可以防止比如伪造的照片或者视频来去欺骗认证。
第二个高准确性,这种误识率是非常低,可以实现非常高的识别通过率超过99%,那么这种低误时率可以控制 1/ 100000 以内,再是高稳定性,可以提供海量的并发的这种人脸识人认证的这样的服务,高实时性,就是结果可以在一秒内返回,实时性非常的高,并且由于是在阿里经济铁被广泛的应用,广泛的实践,所以是成熟可靠的。
四、信息核验服务概述
再学习信息核验服务,这是一种通过直联,像公安、运营商、银联、交通部等权威机构渠道,对用户的身份、手机号、银行卡、行驶证、车辆信息等进行权威查询和验证,一般都是像卡证识别、信息识别等。既保证数据的真实性的同时又满足了我们在开展互联网相关业务的时候必须要落实名制的需求,所以信息核验服务主要是在识人认证的这个领域满足这个落实名制的需求,我们从底下可以看到信息核验服务提供了一些相关的子产品,我们可以看到这里有身份证的实名二要素、银行卡的 234 要素等。
我们解释这几个要素是什么意思,从原理上来讲,识人认证就是通过把我们对像身份证、银行卡、手机号等这些跟身份有关的信息进行编号,然后跟我们本人自己的这些各种信息能不能一一对应,能对应就证明就是你,所以就有所谓的 n 要素的这种说法,一般来说二要素就是指身份证跟姓名能够核对的上,这就是二要素,比如说三要素,一般是指像身份证姓名、银行卡号,或者是身份证姓名、手机号,这也是属于三要素,四要素就是这几个加起来身份证、姓名、银行卡号、手机号,当然其实如果更复杂还可以有五要素、 六要素等,所以我们可以看到像识人认证的应用范围真的是非常广,并且在不同的应用场景对于身份认证的要求其实也不一样。
比如要是我只是买一个票,那其实只要验证你的姓名跟身份证号是不是一致,是不是实名制买票就可以,比如银行卡,如果是办普通的业务,它其实对这个信息的这种严格要求并没有那么高。比如他可能调用一下支付宝的一些接口,可能就能够去证明就是你,就可以验证通过。
但你要去比如大额提款或者办贷款等,这个可能就要用到这个更高的,比如三要素、四要素的这种核验,所以不同的业务场景其实我们的选择其实是不一样的,所以这种身认证那也提供了很多的产品,很多的服务给到我们来进行选择,同样在信息核验方面,就提供像包括这个身份证的、银行卡的、手机号的或者是车辆的信息的、驾驶证等,像这些都是属于信息核验服务的里面提供的服务的范畴。
五、APP隐私合规检测背景
随着法律政策不断的完善,对于个人信息的保护越来越严格,监管处罚的力度也是不断的升级的,我们可以看到越来越多的法律法规对于用户的个人信息保护的越来越完善,所以监管的处罚力度这里举了一些例子,我们可以看到是越来越严格,但这里面有一个什么背景,是这种隐私合规的条文它有很强的这种法律的专业色彩,所以必须由专业的人员来进行解读,甚至对于这些人员他既要懂一些法律条文,但又要懂我们的业务的应用场景,才能去判断是不是合规,所以他要掌握很多的知识。 第二个涉及到这种合规的检测项很多,所以光靠这种比如我有一个表格,人工一个一个核对,这是很难去完成的,或者是说它需要消耗大量的时间,并且我们如果没有进行及时的整改就有可能导致我们的 APP 没有办法被上架,或者是说直接被下架,那监管的部门又不定期的会去进行巡检进行查处。 所以这个我们就面临着我们作为一个 APP 的这种持有者、运营者就会面临这样的一个尴尬的局面,正是在这样的背景下,我们就需要有 APP 隐私合规这样的产品来支持。
六、阿里云APP隐私合规检测能力
阿里云的 APP 隐私合规具有非常强大的能力,我们这里给大家介绍四点。
第一点是隐私政策的检测,它是基于 LDA 模型的, DNA 模型是在机器学习领域一个关于主题模型当中非常重要的,这种模型主要是用来做文本分类的,基于 LDA 模型所产生的自动化的分析技术,可以结合实际的行为跟相关的法律条文来对这种隐私协议的文本来实现自动化的检测。
第二个能力是叫做敏感权限的检测,这是基于静态扫描的技术来实现的快速检测敏感权限的申请和使用的情况,这样就可以及时来发现,比如说过度申请权限或者权限使用不合理的问题。
第三点是数据采集的使用检测,这是使用云端手机来模拟 APP 的真实使用环境,对不同运行环境下的隐私行为来进行检测和分析,这样可以全面的覆盖合规性的风险,并且同时可以对流量监控来进行及时的发现,这个传输的信息当中是否潜在的隐私的风险。
第四点叫做用户权力的检测,阿里有专业的法务跟安全团队进行支持,可以对隐私政策还有 APP 内用户的权利进行深入的分析检测,给用户提出一些建议,所以 APP 的这种隐私合规,它的产品就具有检测的时效性很高,响应的速度很快,过审率高的这样的特点。
检测的时效性比较高是体现在这个过程,它是自动化来进行检测的,时效性是分钟级别,那响应的速度快是如果有新的风险产生,我们的响应速度是非常的迅速的。从风险的解读到落地的调整,整个的这个是一般按天来进行推进的并且过审率可以达到 99% 以上,所以是非常的高的,以上就是关于实人认证这个产品的所有讲解。