本文档旨在介绍「火山引擎 - 身份认证」产品,适用于客户方主管、商务、产品、研发人员。本文档主要包含产品功能、技术说明、接入方案、产品优势等相关信息,技术接入相关信息请参考「接入文档-文档中心-火山引擎」,产品费用、产品SDK与服务开通相关信息请咨询火山引擎商务与销售人员。
自2024年2月起,身份认证(基础版)已停止对外提供服务,客户可直接参考本文档接入增强版服务。相较于基础版,增强版服务大幅加强了安全能力,并在性能与界面表现上有较大提升。
火山引擎是字节跳动旗下的云服务平台, 将字节跳动快速发展过程中积累的增长方法、技术能力和工具开放给外部企业,提供云基础、视频与内容分发、数智平台VeDI、 人工智能、开发与运维等服务,帮助企业在数字化升级中实现持续增长。
序号 | 术语 | 释义 |
---|---|---|
1 | 身份认证增强版(无源认证) | 集成风控服务的身份认证产品,基于输入的两张含人脸的图片,分别挑选两张图片中的最大人脸进行比较,判断是否为同一人。 |
2 | 身份认证增强版(有源认证) | 集成风控服务的身份认证产品,将用户身份信息(身份证号、姓名等)与活体图片(人脸图)送至第三方权威数据源做比对,判断和权威数据库中的人脸是否一致。 |
3 | 动作活体检测 | SDK中使用的一种活体检测方式。随机要求用户配合做出指定动作,检测动作完成的情况。如果检测到用户完成动作,会抓拍过程中的人脸图像并使用服务端活体做二次校验。 |
4 | 炫彩活体检测 | SDK中使用的一种活体检测方式。通过屏幕变换颜色,检测脸部和瞳孔的反光,判断是否翻拍或假人攻击,会抓拍过程中的人脸图像并使用服务端活体做二次校验。 |
5 | 静默活体检测 | SDK中使用的一种活体检测方式。使用光流法等技术,通过检测人脸各部位间的微小位移,判断是否翻拍或假人攻击,会抓拍过程中的人脸图像并使用服务端活体做二次校验。 |
6 | 服务端活体检测 | 存在于服务端,检测人脸图片中的屏幕边框、反光、摩尔纹、成像畸变等信息,判断是否翻拍或假人攻击。 |
7 | 风控 | 在本文中专指「风险防控」,指从设备安全角度出发,基于设备信息的风险识别手段。 |
8 | 设备风险等级 | 设备安全性的等级标志,分为无风险、低风险、中风险、高风险。其中高风险设备无法通过身份认证。 |
9 | 设备风险标签 | 设备安全性问题的具体描述,如「IP环境异常」、「设备行为异常」等。 |
身份认证增强版
身份认证增强版是集成了风控服务对用户身份信息进行真实性核验的服务,可以验证用户所持设备的风险等级及操作者是否为用户本人。本产品包含行业领先的风控识别、OCR证件识别、活体检测、人证比对、权威数据源校验等能力,提供不同安全等级的统一通用服务,在字节系产品及互联网行业内大量应用。广泛应用于社交、金融等行业,具有接入简便、节省人力、价格优惠等特性。
使用SDK或H5进行接入,界面UI会稍有不同,但流程一致
基于火山引擎自研高精度身份证识别技术,自动读取身份证信息(姓名、身份证号)用于有源比对,允许用户二次检查手动修改识别结果。
如需跳过此步骤,接入方可通过服务端上传用户身份证信息(姓名、身份证号)至火山引擎。
身份核验产品内置了火山引擎风险识别服务和能力,支持基于火山引擎丰富的大数据和技术积累,并结合设备端海量风险设备库数据、设备风控模型、风控安全组件的风险识别体系。支持从设备源头对黑灰产的各种作弊手段进行防御,识别各类设备端作弊行为:
支持「动作活体检测」(推荐)、「炫彩活体检测」、「静默活体检测」三种端上活体检测方式,在用户进行端上活体检测时,端上质量判断算法会识别用户活体检测过程中的质量最佳帧,传输此帧人脸图片至服务端执行「服务端活体检测」、「篡改检测」、「水印检测」等反作弊检查,可有效应对翻拍、录屏等多种黑产攻击方式。允许用户自定义配置各个设备风险等级对应的活体类型与动作数量、动作类型。
支持基于权威数据源的有源人脸比对和基于火山引擎人脸比对算法的无源人脸比对。
支持自定义主题色、自定义协议、自定义是否启用引导页等功能。
在用户进行端上活体检测时,端上质量判断算法会识别用户活体检测过程中的质量最佳帧,传输此帧人脸图片至服务端,服务端会根据此图片是否遮挡、光线情况进行质量评分,并将「人脸图质量得分」及「清晰度」、「俯仰角」等信息返回至调用方。
字段名 | 类型 | 必选/可选 | 说明 | 备注 |
---|---|---|---|---|
comprehensive_score | float64 | 必选 | 人脸综合得分,用于评估图片中人脸质量的综合分数 |
|
face_clarity | float64 | 必选 | 人脸清晰度 |
|
brightness | float64 | 必选 | 人脸亮度 |
|
exposure | float64 | 必选 | 人脸区域曝光度 | 通常为 |
pose_pitch | float64 | 必选 | 俯仰角,代表人脸的上下偏移程度,一般指人在点头时变化的角度 | 一般在正负45度以内 |
pose_yaw | float64 | 必选 | 偏航角,代表人脸左右偏移的程度,一般指人在摇头时变化的角度 | 一般在正负45度以内 |
pose_roll | float64 | 必选 | 旋转角,代表人歪头时变化的角度 | 一般在正负45度以内 |
mouth_occlude | float64 | 必选 | 嘴巴遮挡程度,得分越高遮挡越严重 |
|
left_eye_occlude | float64 | 必选 | 左眼遮挡程度,得分越高遮挡越严重 |
|
right_eye_occlude | float64 | 必选 | 右眼遮挡程度,得分越高遮挡越严重 |
|
have_cap | float64 | 必选 | 是否佩戴帽子,得分越高概率越大 |
|
身份核验产品内置了火山引擎设备风险识别服务,提供了客户端设备安全检测、环境检测、异常设备上报检测识别,结合身份核验SDK的核验流程业务特征行为,实时匹配设备端海量风险设备库数据、设备风控模型为人脸核验场景提供全方位多维度的的风险防护**:**
设备风险识别结果及处置建议:
风险等级 | 描述 |
---|---|
无风险 | 可放过 |
低风险 | 可标记用户观察 |
中风险 | 可进一步安全验证或限制高危业务使用权限 |
高风险 | 可限制高危业务使用权限 |
身份认证产品内部通过火山引擎TOP动态签名鉴权、流控,AES+KMS多种传输、存储加密方式,保护人脸、姓名、身份证等隐私信息的传输、存储,防范传输过程中的鉴权、窃取、篡改、重播等。
基于各种算法策略,身份认证增强版SDK可防御的攻击类型多达 6 种,包括照片攻击(折叠、遮挡) / 幻灯片切换 / 高清视频翻拍 / 软件驱动照片攻击 / 照片剪裁五官 / 面具攻击(手持、佩戴)等。以下举 4 个最常见的攻击模式:
以大规模的人脸数据预训练为基础,高精度活体检测和人脸比对算法模型,在字节系APP中大量应用,年调用量数十亿次,保障用户的实名安全,人脸识别准确率业界领先,算法模型曾在 LFW 测评准确度高达 99.8333%。
采用端+云的方案。SDK保证了数据的安全性和可靠性,服务端的优质大模型能够有效拦截各类攻击,确保身份认证服务安全稳定可靠。算法模型动态更新,采用最新的算法模型,及时应对最新的黑产攻击手段。
采用了在人脸识别任务上性能较高的网络结构,弹性应对各类业务体量。
与权威数据源达成长期稳定的合作关系,人脸检测和活体检测能力符合 ICP、信通院、AI 国检中心检测要求,获得权威机构认证证书。
基于多维度能力进行风险拦截,可高效、分层级的拦截静动态重放翻拍、链路篡改注入等攻击,有效抵御照片翻拍、图像合成驱动、视频翻拍、3D模型翻拍等作弊行为。针对高风险场景,结合端云动作校验、炫彩反射光校验、静默活体检测、后置风控策略,全方位保障客户的业务安全性。针对单一攻击,系统层面支持专项定点加固,配合周期性安全算法迭代,提供动态且灵活的安全反作弊能力。各安全能力经过各国家级第三方安全评测机构评估,安全效果行业领先。
应用行业 | 应用场景 |
---|---|
泛互视频/直播 | 主播身份认证,内容创作与发布等场景 |
电商 | 用户及商家实名认证,保障用户账号安全 |
金融 | 银行、证券远程开户、大额转账等场景,保险行业远程投保、远程理赔等场景 |
政务民生 | 在线远程办理业务,小程序、app、公众号等场景 |
共享出行 | 司机身份认证,保障出行安全;平台用户身份真实性核验,为车辆违章处理、保险理赔提供依据 |
物流货运 | 平台用户身份认证,用于交易支付、购买保险等场景 |
通信运营商 | 用户在线申请号码、购买手机卡、预装宽带等服务场景 |
在线生活服务 | 涉及信息发布、交易等场景 |
互动娱乐 | 获取人脸关键点、表情、情绪等属性信息,实现互动娱乐功能 |
智慧园区 | 人脸检索、人脸比对,用于门禁管理、考勤管理等 |
身份认证服务在字节内部广泛调用,年均调用量数十亿次,保障了字节系近140个APP,3000+个场景的身份认证需求,且应用场景快速增长中。抖音、今日头条、飞书、西瓜视频等内部重要APP均采用了身份认证自研算法。同时,在抖音财经钱包、借贷、提现等高要求的金融场景中,全部应用了火山引擎身份认证服务。
抖音直播主播开播实名认证
主播开播场景中,使用了人脸识别身份认证及手机三要素认证服务,提供主播开播实名认证服务,依此获取直播开播权限。该服务可以有效防御包括打印照片+真人 / 打印照片 / 幻灯片切换 / 随机视频 / 3D生成软件 / 打印照片+剪裁五官 / 3D高仿面具等在内的黑产攻击,服务安全性得到有效验证。
西瓜视频PGC创作者实名认证
西瓜视频是字节跳动旗下视频平台,通过个性化推荐提供新鲜、好看的视频内容,并帮助视频创作人们轻松地向全世界分享自己的视频作品,更有原创综艺节目等。西瓜视频吸引了大量的PGC内容生产者,创作者为了实现创作内容收益提现,就需要先进行实名认证。实现了包括身份证OCR识别、活体检测、人脸比对等技术能力的全流程的实名认证服务。
飞书账号找回
飞书账号找回场景中,使用了人脸识别身份认证服务。通过有源比对,能够快速确定用户身份,从而安全找回用户账号。据统计,在例如账号找回等多个应用场景中,非黑产全流程通过率均高于99%。
H5可广泛应用于各类浏览器、APP、小程序中,详见接入文档。
详细效果指标、性能指标、稳定性指标可联系火山引擎相关同学根据具体业务场景进行提供。
以信通院真实性检测系统的外部检测通过标准为例,火山引擎的算法能力人脸识别可达到TPR95%@FAR1e-3,活体TPR95%@TNR99%,具体指标说明如下: