身份认证全解析

Posted by zhang on

在面向外部客户的互联网产品的业务中,实名认证似乎是一个无法规避的事情。其实在很多场景下我们都需要对客户进行身份认证。这不但是业务需求还是法规要求。

比如:

  • 《互联网用户账号名称管理规定》要求:「互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。」

  • 《中华人民共和国网络安全法》规定:「网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。」

  • 《网贷机构业务活动管理暂行办法》第十一条「参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。」

  • 《非银行支付机构网络支付业务管理办法》第二章第六条「支付机构应当遵循‘了解你的客户’原则,建立健全客户身份识别机制。」(「‘了解你的客户’,KYC,不单单是支付业务的要求,所有金融业务都有相关的要求。」)

还有好多类似的要求,本文就是来总结下到底市场上有多少种身份认证的方式。因为作者个人阅历有限,不能完全列举,欢迎补充。

身份认证的分类

根据认证个体不同,身份认证包括个人和企业身份认证两种。鉴别审核方式主要分为面对面及远程身份认证两种。

面对面主要是通过线下网点进行面对面核实,不在我们的讨论范围之内。

个人身份认证

一、手机验证码

这应该算是最弱的一种身份认证,一般用于登录、简单的意愿认证阶段。通过向绑定的手机号发送验证码,客户将验证码返填到平台指定的输入位置完成认证。

验证码的发送方式目前主要包括短信和语音两种。短信能力最容易获得,通过对接短信通道发送验证码也最为普遍。但是受限制于运营商网络、短信通道稳定性及不同客户手机的屏蔽设置原因,不能保证 100% 的送达率。这时候语音验证码方式便出现了,理论上电话的送达率要远远超过短信。但语音验证码也不是十全十美:1. 成本相对于短信要高;2. 用户需要接听并记忆验证码,记忆成本比短信高(毕竟短信可以复制粘贴,而且可以随时查阅)。

这里有个小贴士:语音验证码的方案一定要提示用户接听平台外拨的电话,不然很有可能被当做广告或者骚扰电话拒接。不要为什么会有这个小贴士,有就是我灵光一现!


二、 免密登录/本机校验

最近(其实也好久了)三大服务商都相继推出了免密登录/本机校验功能。这是一项面向 App 的功能,它基于运营商特有的网关取号、验证能力,能自动通过底层数据网络网关和短信网关直接识别本机号码,在不会泄漏用户信息的前提下,安全、快速地验证用户身份,用户免输账号密码,一键注册/登录。相较传统的验证码方式,一键免密登录不受制于短信通讯网络,安全性得到保证。

目前,移动开放平台,支持移动和电信的手机号码。联通手机号需要单独向联通申请。电信也提供了天翼账号申请页面。(据说电信支持验证其他运营商的账号,不过成功率较低。)

问题有几个:1.移动本机校验要预存 10w RMB,我想了下我们这种 B端低频业务得花到地老天荒;2.联通免密登录要日活 1000w 以上、本机验证 Xw 以上(具体X 是多少不太清楚)。2.对于我这种两个手机号两个手机的人,使用安了其他 SIM 卡的手机登录只能退化到验证码方案。

另外,你也可以去找集成服务商。

以上两种方案都输入很弱很弱的身份认证方式,一般都用在登录等地方。

三、简项核查

简项核查其实就是我们长期说的身份证二要素认证,通过对接全国公民身份证号码查询服务中心(NCIIC)或其授权服务商(一定要是有授权的啊!!不然《网络安全法》可能会成为法院给你下达判决书时引用的法律。)核查「身份证号+姓名」是否一致。

NCIIC 会给你返回「一致」、「不一致」、「查无数据」的核查结果,每次核查不管结果都会收费。因为 NCIIC 是公安部的事业单位,所以其数据最权威最准确最稳定,除一些限制查询数据(涉密、涉军、涉密人员)外都可以查询到。出生、死亡、姓名变更也都可以查询到。

对了,最近 NCIIC 发布了一条通知,说:取消通过合作伙伴提供公民身份信息认证服务的模式。原通过合作伙伴使用公民身份信息认证服务的用户,请直接与查询中心联系,由查询中心提供免费公民身份信息认证服务。大家需要关注下。

四、人像核查

由于现在个人信息泄露很普遍,单靠身份证二要素认证门槛太低(Google 一下你会发现有很多身份证照片)。这时候就需要引入另外一个认证要素:人像核查。

通过输入姓名、身份证号和拍取验证人图像,通过接口向国家人口数据库进行查询比对。


(via:可信科技)

五、运营商三要素认证

随着手机实名制的推进,运营商也推出了基于手机号的实名认证服务。通过上送手机号、姓名、身份证号与运营商系统数据进行真实性核验。一般还会辅以验证码或者运营商本机认证服务加强认证的严格性。

六、银行卡三要素/四要素实名认证

在很多互联网金融业务中,大家都接触过银行卡要素认证的方式。通过银联的实名认证接口,对用户姓名、身份证号、银行卡号(三要素)或者姓名、身份证号、银行卡号、预留手机号(四要素)进行校验。

目前互金领域主要采用的是带预留手机号的四要素认证。主要还是因为信息泄漏的原因,三要素比较容易获得,但预留手机号也被盗用的概率不大。

一般的业务设计是用户输入姓名、身份证号、银行卡号和预留手机号,并向预留手机号发送验证码要求客户返填。随后上送到银联接口进行校验。这样做的目的是在实名认证的同时也完成了银行卡绑定的工作,一举两得。

企业身份认证

一、企业三要素

企业三要素就是企业名称、统一社会信用代码、法人姓名三项基本信息。不过因为《中华人民共和国政府信息公开条例》、《企业信息公示暂行条例》等法律法规的要求,该三要素是通过互联网可以很方便获取的。(比如:国家企业信用信息公示系统、还有X 查查、X眼查、X信宝之类的。)所以一般会要求上传企业执照彩色盖章扫描件配合人工审核。

二、企业四要素

企业四要素就是企业三要素+法人身份证号,市场上有一些公司从相关机构可以获得了这个数据源并对外提供。不过据我所知大部分公司在对外提供的时候很谨慎,需要接入公司有一定资质。

因为法人身份证除了企业经营者外不容易被掌握,所以四要素认证可以实现企业实名认证。另外还可以增加法人扫脸等活体认证方式。

问题很明显,就是数据源不容易获得。

三、随机打款认证

随机打款认证应该是目前企业认证中最为普遍的身份认证方式了。用户提供企业三要素、对公银行账号信息,平台通过网银或者第三方支付通道向对公账号打入一笔金额(一般为 0~1 元)。用户在收到款项后将金额在指定的页面填写,平台对金额进行校验。

还有一种随机打款的变形,用户提供企业三要素、对公银行账号信息后平台展示一个随机数字及收款账户。客户在指定时间内(比如三天或者一周)将这个数字的金额打款至指定的收款账户,系统收到款项后完成认证。不过这种认证方式一般用在非常强势的平台上,比如微信公众号认证似乎曾经用过后来下了。

随机打款认证应该算是非常的严谨了,毕竟一般情况下企业的银行账户开户,银行管控都非常严格(面签甚至需要到企业现场查验),使用上也都是管控非常严格(出纳甚至直接是老板控制。)。

境外个人身份认证方案

先说明下,我指的认证方案是境外人士在境内平台发生业务的身份认证方案。

在很多时候我们会遇到境外个人的在我们的系统上发生业务,市场上似乎没有这样的数据源,那么 身份认证怎么办捏。

当然办法还是有的——通过大陆银行发放的银行开来打款认证。→_→相信银行的力量。

奇特的认证方式

我还遇到了一个方案,通过银行网银发放的数字证书来做实名认证。用户输入姓名、身份证号(或者企业名称、统一社会信用代码)并插入银行颁发的U-Key,系统将用户信息和 U-key 中的数字证书信息上送到银行系统进行校验。

这个方式的存在的问题是需要对接银行的系统,而且各家银行的数字证书服务商不是一家,兼容性差,需要一家一家的去接。(比如很多银行是自己提供数字证书服务、中行以及一些股份制、城商行是CFCA 提供。)

据我所知是 CFCA 有提供相应的服务(支持用 CFCA 作为数字证书服务机构的银行Ukey),工行的开放平台(工行自己的 Ukey)也有相应服务。

最后啰嗦几句

  1. 可以引入 OCR 来减少用户输入,优化用户体验。
  2. 一定要找有合法授权的服务商,尤其是现在这种严管高压态势下,接入不合法的数据很有可能会触犯网络安全法。另外还有一些不正规的服务商会在数据中掺假,他们会配合羊毛党进行各种犯罪和欺诈。

#About Me

张小璋,野蛮生长成世界500强企业供应链金融产品经理的法语毕业生。微信公众号:张小璋碎碎念(ID: SylvainZhang )。
一直在互联网金融公司从事产品经理工作并负责互联网金融产品线,深耕互联网金融和区块链领域。「PMCAFF」、「人人都是产品经理」专栏作家、「PmTalk」签约作家。