方案简介

方案简介

推出背景

• 现在，人脸识别技术被广泛应用在金融支付、用户注册、人脸登录等业务场景中。技术的进步方便用户的同时，黑灰产产业也开始对这些场景产生觊觎。并通过屏幕攻击、照片、纸张、以及面具、头模等方式进行非法攻击。随着黑产技术的进步，更是出现了通过自动化脚本直接攻击云端API、ROM注入、视频劫持替换、批量虚拟机、病毒侵入等新型攻击手段。使现有的人脸识别方案面临着巨大的安全挑战。
  
• 为提升人脸识别的安全性，保障客户的业务安全，便于客户在静默活体、动作活体、炫瞳活体多种活体验证方式中灵活切换，人脸实名认证产品团队与百度安全实验室联合推出人脸实名认证APP方案，在人脸登录、注册等环境加入层层保障，为您的业务保驾护航。

功能简介

• 人脸实名认证APP方案提供标准化的人身核验流程，具有人脸比对、活体检测、证件识别、人脸实名认证等多项组合能力，以及端云配合高防攻击拦截能力，可抵挡高清屏幕、照片、视频、AI换脸、高仿真面具、3D模型的攻击。支持静默活体、动作活体、炫瞳活体等活体校验方式进行人脸采集，同时，加入安全加密能力以及大数据风控能力，针对脚本攻击、ROM注入、视频劫持、批量虚拟机、病毒侵入等新型攻击手段进行强力有效防御。

人脸质量检测：判断视频流中的图片帧中，哪些图片质量较佳，即人脸图像特征清晰（满足姿态角、光照、模糊度、遮挡等校验）。

人脸图像采集：通过本地SDK能力，采集人脸图像，同时经过人脸质量检测，确保采集到的人脸图像符合各条件校验（满足姿态角、光照、模糊度、遮挡等校验），为设备前端获取有效可分析人脸的主要功能。

炫瞳活体检测：通过屏幕上闪烁不同颜色的光线，判断当前用户是否真人操作。通过颜色活体进行面部反光鉴别的同时，百度特加入独有的瞳孔反光识别，提升整体的攻击拒绝率指标。

动作活体检测：通过让用户做出指定人脸配合式的交互动作，识别当前操作者是否为活体，此功能为离线使用，可设定指定动作是否使用及应用顺序。动作包含：眨眨眼、张张嘴、向左转头、向右转头、向上抬头、向下低头、上下点头、左右摇头8个。

端云互验加密：人脸实名认证APP方案集成文件中的采集SDK会对输出的图片进行加密（支持AES/国密），在云端人脸实名认证V4 API进行解密。此端云配合的加密方式是百度专门针对市面黑产绕过采集SDK，攻击云端接口的攻击方式进行的功能升级。

大数据风控能力：人脸实名认证V4 API接口接受SDK端传入的本地环境扫描设备指纹及安全信息，基于百度海量大数据设备因子，对SDK端进行设备风险识别，辨别是否为⻛险设备，返回识别结果。可有效防御黑产批量虚拟机、病毒侵入等攻击手段，降低第三方黑产攻破概率，提升业务安全性。

适用场景

• 人脸实名认证APP方案适用于安卓/IOS系统的APP场景中实现用户实名认证、人脸比对、活体检测。如果您的业务场景是在微信小程序、公众号、H5等业务场景，推荐采用H5实名认证方案。

接入时序图

• 客户可采集并获取人脸加密数据，直接配合百度云端接口实现实名认证、活体检测及人脸比对功能。

• 客户也可采集并获取人脸加密数据，经由服务端转发，配合百度云端接口实现实名认证、活体检测及人脸比对功能。

重要：AccessToken有有效期，每次请求必须重新获取。出于安全性考虑，将AK、SK写到业务Server，请求百度服务器，间接获取AccessToken。关于AccessToken鉴权，请参考https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu

方案接入步骤

• 人脸实名认证APP方案的具体接入步骤请参考Android方案接入指南、iOS方案接入指南