一種公安領域身份特徵採集產品的製造方法及設備與流程

2023-06-21 03:44:16 1

本發明是一種公安領域具有二代居民身份證信息採集、居民身份證網絡解碼、人臉特徵採集、電子信息特徵採集等功能的身份特徵採集的產品製造方法及設備，內容包括二代身份證遠程解碼的具體實現方法、人臉採集與特徵提取方法、電子信息採集與特徵提取方法以及有助於破案的信息關聯方法等多項技術，屬於公安身份特徵識別技術領域，本發明可用於旅館、門衛、加油站、危險物品買賣、二手交易市場、貴重物品交易市場、特殊場所出入登記等多種場景，對提高公安機關治安管理能力和案件偵破能力具有較大的作用。

背景技術：

在旅館旅客、單位訪客、加油站加油、危險物品買賣、二手物品交易、貴重物品交易、特殊場所出入等各種信息中，含有大量的與治安、犯罪相關的信息，有效採集和使用這些信息為提高治安防控能力、提高案件偵破能力具有十分重要的意義，在相關人員從事這些活動時，本發明可以方便採集二代居民身份證身份信息、人臉特徵信息、電子特徵信息等內容，並使用一種有助於破案的新的信息關聯方法將信息進行關聯。

技術實現要素：

本發明是一種公安領域具有二代居民身份證信息採集、居民身份證網絡解碼、人臉特徵採集、電子信息特徵採集等功能的身份特徵採集的產品製造方法及設備，同時在本產品中還提出了一套有助於破案的信息關聯方法；所述設備由客戶端和服務端組成，服務端由sam_a、帶網絡模塊的單片機、網絡交換機、雙網卡解碼伺服器、電源模塊組成，每一個sam_a模塊與單獨一個服務端單片機連接，每一個服務端單片機通過單片機網絡模塊與交換機連接，服務端解碼伺服器通過網絡接口與網絡交換機連接，這樣服務端通過網絡交換機將解碼伺服器、單片機、sam_a模塊組成了一個區域網；客戶端由單片機、符合iso-14443b標準的射頻讀卡模塊、攝像頭、wifi探針模塊、電腦主機組成，客戶端與服務端通過網絡進行連接，既可以是網際網路，也可以是區域網，還可以是特定專網；帶iso-14443b讀卡器模塊和wifi模塊的智慧型手機也是可以作為本發明客戶端的；本發明產品網絡結構圖如附圖1所示；需要說明的是：sam_a是《ga467-2013居民身份證驗證安全控制模塊接口技術規範》指定的專用居民身份證信息解碼設備。

所述服務端單片機採用stm32單片機，服務端單片機需要帶網絡模塊，服務端每一個stm32單片機模塊連接單獨一個sam_a，每一個sam_a連接一個單獨的stm32單片機模塊，將stm32單片機模塊的pa9引腳與sam_a的uart接口的rx引腳相連接，將stm32單片機模塊的pa10引腳與sam_a的uart接口的tx引腳相連接，在stm32單片機模塊選擇4個空閒的gpio引腳，命名為tx_frame、rx_frame、sclk、sdata分別於sam_a的tx_frame、rx_frame、sclk、sdata引腳相連接，在接通stm32和sam_a電源的情況下，只需要6根數據線就能實現服務端單片機與sam_a的通信，大大降低了網絡二代居民身份證讀卡和解碼裝置的製造難度。

所述客戶端單片機採用stm32單片機，客戶端單片機需要帶usb模塊，客戶端二代居民身份證射頻讀卡器模塊採用帶spi接口的符合iso14443b標準的射頻讀卡器模塊，將客戶端主機與客戶端stm32單片機使用usb接口相連，客戶端stm32單片機與射頻讀卡模塊採用spi接口相連，這種連接和通信方法既保證了較高的穩定性，也保證了較高的通信速率。

服務端sam_a、服務端單片機、服務端解碼伺服器、服務端網絡交換機啟動後，每一個服務端單片機首先通過服務端區域網向服務端解碼伺服器發送註冊申請，註冊內容包括：本單片機連接的sam_a的id、本單片的id、本單片的ip地址、本單片機的網絡通信協議的埠等信息，如果註冊失敗，停止一段時間後重新申請註冊，直到解碼伺服器返回註冊成功的消息為止；服務端解碼伺服器收到服務端單片機註冊申請後，登記並緩存該單片機的id、ip地址、網絡通信協議的埠以及該單片機所連接的sam_a的id，並將sam_a的狀態設置為空閒的狀態，並向該單片機返回註冊成功的信息，如果註冊失敗，則返回註冊失敗的消息和註冊失敗的原因，服務端單片機如果收到了解碼伺服器註冊失敗的信息，停止一段時間後重新申請註冊。

本發明將sam_a與射頻模塊進行分離，利用網絡實現二代居民身份證加密信息的遠程解碼，方法和過程如下[0008]-[0030]描述。

客戶端主機不與服務端進行通信，直接利用單片機驅動射頻模塊依據iso-14443b協議，發送尋卡命令進行尋卡，尋找射頻場有效範圍內是否存在二代居民身份證。

在尋卡成功的基礎上，客戶端主機不與服務端進行通信，直接利用單片機驅動射頻模塊依據iso-14443b協議，發送選卡命令進行選卡，選定射頻場有效範圍內的一個二代居民身份證。

選卡成功後，客戶端生成對稱加密算法的隨機秘鑰和隨機會話id，用服務端解碼伺服器公布的非對稱加密算法的公鑰，將對稱加密算法的秘鑰進行加密並使用哈希算法生成哈希碼，同時生成會話消息包，會話消息包的內容包括消息id、會話id、數據、數據類型、狀態、時間戳、數據哈希碼等欄位；需要說明的是，在下面的各步驟中，客戶端與服務端整個通信過程中，每一個會話消息包中都包含消息id、會話id、數據、數據類型、狀態、時間戳、數據哈希碼等欄位，消息包欄位格式如附圖2所示，會話的每個消息都要驗證數據欄位內容的哈希碼，下面各步驟中即使不描述驗證哈希碼的過程，但無論是服務端還是客戶端在收到消息包後都自動驗證數據欄位的哈希碼，確保消息包的數據未經篡改；同時需要說明的是：在密鑰交換階段，對稱加密算法的密鑰由非對稱加密算法的公鑰進行加密，由非對稱加密算法的私鑰進行解密；在讀卡和解碼階段，會話消息包的數據欄位的內容使用對稱加密算法的密鑰進行加密和解密，整個通信過程都是加密的，沒有明碼的通信過程；選卡成功後，客戶端將請求密鑰交換的消息包發送給服務端的解碼伺服器，並在整個會話生命周期內緩存會話id和對稱加密算法的秘鑰，並將會話id與對稱加密算法的密鑰進行綁定。

服務端的解碼伺服器用非對稱加密算法的私鑰解密對稱加密算法的秘鑰，並在整個會話生命周期內緩存會話id、對稱加密算法的秘鑰和客戶端的ip地址、客戶端網絡協議通信埠等信息，將會話id與對稱加密算法的密鑰、客戶端的ip地址、客戶端網絡協議通信埠相綁定，需要說明的是：在之後步驟的讀卡階段，服務端解碼伺服器在每收到一個會話消息包後，都首先讀取出會話id，根據會話id找到與之綁定的對稱加密算法的密鑰，用以解密使用對稱加密算法加密的數據；在之後步驟的讀卡階段，客戶端主機每收到一個服務端發來的消息包後，都首先讀取出會話id，與本機緩存的會話id進行比對，如果發現是本客戶端緩存的會話id，則使用與會話id綁定的對稱加密算法的密鑰解密數據，否則拋棄該會話包。

服務端的解碼伺服器向客戶端返回對稱加密算法密鑰交換成功或失敗的反饋消息包。

客戶端向服務端解碼伺服器發送用戶名和密碼，服務端解碼伺服器驗證客戶端的用戶名和密碼，驗證後返回登錄成功或者失敗的消息包。

客戶端主機向服務端解碼伺服器發送二代居民身份證上位機讀卡命令，命令碼為x30，參數為0x01，注意命令格式要符合《ga467-2013居民身份證驗證安全控制模塊接口技術規範》的傳輸格式要求，包括幀頭、長度、校驗碼等規定。

服務端的解碼伺服器在已註冊的sam_a列表裡查找空閒的sam_a模塊，如果所有sam_a處於忙的狀態，則反饋給客戶端稍後請重新發送讀卡命令，如果發現有空閒的sam_a模塊，則綁定該sam_a模塊，並在sam_a列表裡將該sam_a模塊設置為忙的狀態，緩存sam_a模塊的id以及該sam_a模塊連接的單片機的id、ip地址、網絡協議通信埠等信息，將會話id與該sam_a的id、單片機id、ip地址、網絡協議通信埠相綁定，並確保在該會話整個讀卡和解碼生命周期內，都與該sam_a模塊進行通信，中途不更換sam_a，需要說明的是：服務端解碼伺服器每收到一個客戶端消息包後，首先提取會話id並解密數據欄位的內容，通過數據類型欄位的內容判斷是密鑰交換命令還是上位機讀卡命令或者是二代居民身份證讀卡過程中返回的消息，如果發現消息包數據欄位的內容是二代居民身份證返回的消息，通過會話id查找該會話id綁定的sam_a以及該sam_a所連接的服務端單片機的ip地址和網絡協議通信埠，這樣就知道將客戶端發來的二代居民身份證讀卡過程中返回的消息發給哪個sam_a。

服務端解碼伺服器成功鎖定空閒的sam_a模塊後，通過網絡交換機向與該sam_a相連的服務端單片機發送上位機讀卡命令，服務端單片機通過uart串口將上位機讀卡命令發送給sam_a。

sam_a收到讀卡命令後，會生成驗證或讀卡的命令，通過串行方式通過tx_frame、sclk、sdata發送出來。

服務端單片機根據sam_a的tx_frame引腳的狀態，從sam_a的sclk、sdata引腳接收數據，需要注意的是，每接收一個8bit的數據，都要在第9個sclk高電平期間發送sdata低電平ack信號進行驗證，表示接收成功，否則通信將強制終止，服務端單片機將sam_a命令通過網絡交換機轉發給服務端解碼伺服器。

服務端單片機接收到sam_a發來的命令後，通過網絡交換機發送給服務端解碼伺服器，服務端解碼伺服器收到服務端單片機的消息後，根據網絡通信協議獲取該消息上下文指明的ip地址，無論是udp協議還是tcp協議，都可以通過消息上下文獲取發送方的ip地址，通過該ip地址查找與該ip綁定的會話id，進而通過該會話id查找該會話id綁定的客戶端的ip地址、客戶端的網絡通信協議埠，生成加密消息包發送給客戶端主機，在本發明下面步驟中，服務端向客戶端發送消息時，也是根據這個查找機制確定向哪臺客戶端主機發送消息的。

客戶端主機收到解碼伺服器發來的sam_a命令後，解密後通過usb接口發送給客戶端單片機。

客戶端單片機將sam_a命令通過spi接口發送給iso14443b射頻讀卡模塊。

iso14443b射頻讀卡模塊與二代居民身份證通信後將二代居民身份證返回的消息發送給客戶端單片機。

客戶端單片機再通過usb接口將二代居民身份證返回的數據發送給客戶端主機。

客戶端主機加密後生成消息包發送給服務端解碼伺服器。

服務端解碼伺服器根據消息包中的會話id查找該會話id綁定的服務端單片機，將解密後的二代居民身份證返回的信息通過網絡交換機發送給該會話id綁定的服務端單片機。

服務端單片機通過sam_a的rx_frame、sclk、sdata引腳發送給sam_a，需要注意的是，每發送一個8bit的數據，都應在第9個sclk高電平期間驗證sdata是否為低電平，如果是低電平，表示sam_a接收成功，否則表示sam_a接收失敗。

sam_a驗證成功後，sam_a模塊會發出下一條驗證或者讀卡命令給所連接的服務端單片機，重複[0018]至[0027]的步驟，直到全部讀卡、驗證、解碼過程完成為止。

sam_a完成全部讀卡、驗證、解碼過程後，會通過usb接口或者uart接口將解碼後的二代居民身份證信息發送出來，本發明的服務端單片機採用uart串口接收sam_a返回的成功解碼的二代居民身份證數據或者解碼失敗的提示信息。

單片機通過uart接口接收到sam_a成功解密後的數據或者解碼失敗的提示後，發送給服務端解碼伺服器，服務端解碼伺服器將解碼狀態設置為成功或者失敗，生成加密消息包發送給客戶端，然後向該會話id綁定的服務端單片機發送復位命令，讓該會話id綁定的服務端單片機和sam_a進行復位，將該sam_a的狀態設置為空閒，解綁與會話id綁定的對稱加密算法的密鑰、sam_a的id、服務端單片機的id、服務端單片機的ip地址、服務端單片機的網絡協議通信埠、客戶端ip地址、客戶端網絡協議通信埠，清空與會話id綁定的緩存信息並清空會話id，結束本次會話；需要注意的是，身份證照片是wlt格式的數據，需要使用公安部提供的動態連結庫進行轉碼，才能將wlt格式的數據轉換為bmp圖像格式的照片，這個轉碼過程可以由服務端解碼伺服器來完成，也可以提交給專門的轉碼伺服器來完成，還可以不轉碼直接返回到客戶端業務系統進行轉碼，為了不給服務端解碼伺服器造成運算負擔，本發明不提倡將wlt轉碼過程放在服務端的解碼伺服器，建議交給客戶端轉碼或者專門搭建轉碼伺服器進行轉碼。

客戶端接收到讀卡解碼成功或者失敗的消息包後，驅動單片機向射頻模塊發送復位命令，在客戶端清空會話id和該會話id綁定的對稱加密算法的密鑰和緩存信息，結束本次會話，並將數據返回給業務系統。

除了識別和採集二代居民身份證身份信息之外，客戶端通過攝像頭採集附近畫面，並使用haar分類器方法，挖掘出畫面中所有出現的人臉，按照人臉遠近進行排序，將整體圖像、排序後的人臉圖像、居民身份證照片、實時時間、地理坐標、居民身份證文字信息進行綁定存儲，建立關聯關係，將確定的身份信息與一組不確定的人臉建立時空關係圖譜，形成一個曾在同一個時間和地點出現的時空關係網絡，通過身份證刷卡人的身份信息能搜索到畫面中的任何一人的人臉，通過畫面中的任何一張人臉，能搜索到身份證刷卡的人和畫面中同時出現的其他人臉，這樣就擴大了線索來源，大幅度提高了案件偵破能力，在實際應用中，結合交通卡口攝像機和治安攝像機的圖偵手段，破案能力就進一步加強。

人臉圖像首先要根據兩眼的傾斜角度，把人臉旋轉使得兩眼平衡和頭頂朝上，將彩色原圖分別轉化成灰色圖片和輪廓圖片，然後利用haar分類器方法，識別並挖掘出人臉圖像中的眼睛、鼻子、嘴巴的圖片和位置，計算和存儲以下內容：灰色圖片特徵點數量、灰色圖片特徵點位置、輪廓橢圓參數特徵、輪廓圖片特徵數量、輪廓圖片特徵位置、左眼左側位置與人臉總寬度比例、左眼右側位置與人臉總寬度比例、右眼右側位置與人臉總寬度比例、右眼左側位置與人臉總寬度比例、左眼寬度與人臉總寬度比例、右眼寬度與人臉總寬度比例、兩眼中心點距離與人臉總寬度比例、左眼高度與人臉總高度比例、右眼高度與人臉總高度比例、兩眼中心位置與人臉上側頂點比例、兩眼中心與鼻子中心距離除以人臉總高度的比例、兩眼中心與嘴中心距離除以人臉總高度比例、左眼中心與鼻子中心角度、右眼中心與鼻子中心角度、左眼中心與嘴中心角度、右眼中心與嘴中心角度、左眼與左嘴角角度、左眼與右嘴角角度、右眼與左嘴角角度、右眼與右嘴角角度、鼻子中心與嘴中心垂直距離除以人臉總高度的比例、鼻子中心與左嘴角角度、鼻子中心與右嘴角角度、鼻子寬度與人臉總寬度比例、鼻子高度與人臉總高度比例、嘴寬度與人臉總寬度比例、嘴唇弧線角度參數，這些特徵的組合將能確定一張人臉並能夠為人臉檢索提供數學模型支撐，這些人臉特徵形成欄位存儲到資料庫。

除了採集人臉特徵之外，本發明還通過wifi探針技術採集附近手機wifi的mac地址碼，按照wifi信號強弱進行排序，將這些mac地址碼列表、實時時間、地理坐標與身份證的身份信息綁定存儲，將確定的身份信息與一組不確定的mac地址建立時空關係圖譜，形成一個曾在同一個時間和地點出現的關係網絡，將人的身份信息、附近mac信息、附近出現的人臉信息進行關聯，在案件偵破過程中，能通過這些關聯信息找到更多的線索，還能通過身份信息、人臉信息、電子特徵信息分析相關人的活動軌跡，為案件偵破提供有力的技術保障；作為輔助和補充手段，如果客戶端主機處在一個區域網內，還通過arp技術採集客戶端主機所在區域網的其他在線主機的mac地址碼，作用是在旅館等場所應用中，知道旅館中哪些mac的主機處於在線狀態。

讀卡、解碼、採集成功後的存儲，並不是存儲到客戶端本地，而是根據用戶的具體要求，通過加密傳輸、網閘單向跳轉等方法，根據公安機關的要求傳輸到配置文件指定的網絡、指定的伺服器、指定的資料庫進行存儲；任何緩存的數據都不明碼存儲到存儲設備。

本發明還設計了單片機程序防提取和轉錄功能，程序從一個單片機提取後轉錄到另一個單片機是不能直接用的，機制如下：將stm32單片機mcu唯一id的3個32位數拆成12個8位數，將不同位置的8位數按照不同的位移方式進行位移，然後打亂順序重新排布12個位移後的8位數，生成激活碼，在向該單片機傳輸命令之前，需要輸入激活碼進行激活碼驗證，激活碼驗證成功，提供正常服務，激活碼驗證失敗，不提供正常服務；作為改進，還可以在激活碼特定位置加入時間戳和隨機碼。

附圖說明

圖1為產品網絡結構圖；

圖2為消息包格式；

圖3為服務端單片機網絡模塊原理圖；

圖4為服務端單片機電源輸入模塊原理圖；

圖5為thm3060讀卡模塊原理圖；

圖6為客戶端單片機usb接口原理圖；

圖7為服務端解碼伺服器會話過程中會話id綁定示意圖；

圖8為客戶端會話過程中會話id綁定示意圖。

具體實施方式

所述服務端解碼伺服器採用樹莓派3b，樹莓派3b使用了broadcombcm28371.2ghz四核a5364位處理器，1gbddr內存，可以安裝linux作業系統，體積小，運行速度快，是一款能力較強的嵌入式設備，而且成本較低；樹莓派3b長寬約為85mm×56mm，厚度17mm左右，集成有一個標準rj45接口和兩組雙usb接口模塊，在一個usb接口插卡插一個usb千兆網卡，加上樹莓派自帶的一個rj45接口，組成雙網卡樹莓派主機，其中一個網卡用於和服務端的交換機、單片機組成一個服務端區域網，另一個網卡ip地址和子網掩碼交用戶設置，使得客戶端能夠通過網絡訪問到服務端解碼伺服器，可以是網際網路，也可以是區域網，還可以是特定專網，網絡結構圖如附圖1所示。

所述服務端網絡交換機選擇通用的千兆網絡交換機即可，無特殊要求。

所述服務端單片機選用stm32f407zgt6，外接8m晶振和32.768k晶振、網絡模塊、電源輸入模塊，同時引出gpio引腳，從電源輸入模塊引出5v輸出、3.3v輸出和gnd引腳，stm32f407zgt6是一款高性能的stm32晶片，支持168mhz主頻，1024kflash和192k內部sram，支持串口、usb、spi、iic、can等多種通信協議，服務端單片機的網絡模塊由dp83848iv晶片和rj45網口組成，原理圖如附圖3所示，電源輸入模塊原理圖如附圖4所示；需要注意的是：服務端單片機網絡接口通信速率應該穩定在1mb以上。

所述sam_a是《ga467-2013居民身份證驗證安全控制模塊接口技術規範》指定的專用居民身份證信息解碼設備。

所述服務端電源模塊為5v3安培以上的供電模塊，本發明實施例中採用的是明緯t-150d三組多路輸出電源，該電源模塊輸出能力較強，同時支持三組輸出5v8a、12v3a，24v3a，具有emi濾波、短路保護、過載保護和自恢復功能，能夠滿足供電需求，可以支持服務端解碼伺服器、網絡交換機、以及多組單片機和sam_a的供電。

所述客戶端主機採用樹莓派3b，客戶端射頻模塊採用帶spi接口和天線的thm3060讀卡模塊，本發明射頻模塊使用spi接口而不是uart串口進行通信，目的是為了提高通信速率和解碼穩定性，thm3060支持2.5mb每秒的spi穩定通信速率，uart串口通信一般達不到這個穩定速度，sam_a向射頻模塊發出命令後必須在90毫秒內得到射頻模塊的返回數據，否則就強制終止通信了，根據實際測試發現，很多sam_a等待時間達不到90毫秒，所以通信過程要儘可能節約時間，這樣才能保證較高的讀卡和解碼的成功率；thm3060讀卡模塊原理圖如附圖5所示；裝有iso14443b讀卡模塊和wifi模塊的智慧型手機，也是能夠作為本發明客戶端的。

所述客戶端單片機採用stm32f407vet6，外接8m晶振和32.768k晶振、usb接口，通過usb接口供電，同時引出gpio引腳，從usb接口引出5v輸出、gnd引腳，並且串接1.5k歐電阻引出3.3v輸出引腳，stm32f407vet6支持spi和usb通信，也可以選用其他同時支持spi和usb通信的高速單片機，usb通信速率要儘可能的高，應保持在1mb每秒以上，最好能達到30mb每秒，因為根據實際測試發現，很多sam_a等待時間達不到90毫秒，通信速率如果過低，很容易導致讀卡和解碼失敗，如果要實現高速usb通信，需要增加phy電路，可使用usb3300晶片；usbslave接口原理圖如附圖6所示。

所述客戶端攝像頭採用帶紅外光源的廣角usb高清攝像頭，該攝像頭要求能夠外接電源，以防usb接口供電不足，對此類攝像頭無其他特殊要求，電子市場很方便買得到。

所述wifi探針選擇一款支持開發的和uart通信的wifiap模塊就能夠滿足要求，電子市場很方便買得到，通過開發設置為ap模式並且持續發送beacon幀通知周圍wifi設備，當周圍wifi設備掃描ap時，就能夠收集周圍這些wifi設備的mac地址。

所述服務端解碼伺服器和客戶端主機採用樹莓派3b，並配置16gbmicrosd存儲卡安裝linux作業系統，本發明選用的樹莓派linux作業系統是raspbian；裝有iso14443b讀卡模塊和wifi模塊的智慧型手機，也是能夠作為本發明客戶端的。

服務端每一個stm32f407zgt6單片機模塊連接單獨一個sam_a，每一個sam_a連接一個單獨的stm32f407zgt6單片機模塊，將stm32f407zgt6單片機模塊的pa9引腳與sam_a的uart接口的rx引腳相連接，將stm32f407zgt6單片機模塊的pa10引腳與sam_a的uart接口的tx引腳相連接，在stm32f407zgt6單片機模塊選擇4個空閒的gpio引腳，命名為tx_frame、rx_frame、sclk、sdata，分別於sam_a的tx_frame、rx_frame、sclk、sdata引腳相連接，按照《ga467-2013居民身份證驗證安全控制模塊接口技術規範》的規定進行通信，然後將sam_a的vcc引腳與stm32f407zgt6單片機模塊5v輸出引腳相連，將sam_a的gnd引腳與stm32f407zgt6單片機模塊的gnd引腳相連。

在服務端解碼伺服器樹莓派3b的一個usb接口插入一個usb千兆網卡，加上樹莓派自帶的一個rj45接口組成雙網卡伺服器，在解碼伺服器樹莓派3b的兩個網卡中，任選一個命名為一號網卡，另一個命名為二號網卡，將每一個服務端stm32f407zgt6單片機模塊的rj45接口通過網線與網絡交換機相連，分配區域網ip地址，推薦設置為192.168.10.2、192.168.10.3、192.168.10.4、192.168.10.5等依次類推，並將網關設置為解碼伺服器樹莓派3b的一號網卡的ip地址，子網掩碼要與解碼伺服器樹莓派3b的一號網卡的子網掩碼相同。

將一號網卡通過網線與網絡交換機相連，並設置為區域網ip地址，推薦設置為192.168.10.1，該地址應與stm32f407zgt6單片機模塊設置的區域網網關地址相同，子網掩碼應與stm32f407zgt6單片機模塊設置的子網掩碼相同，這樣解碼伺服器樹莓派3b就與stm32f407zgt6單片機模塊組成了一個區域網。

將服務端stm32f407zgt6單片機模塊的電源輸入接口與明緯t-150d的5v電源輸出接口相連，將樹莓派的電源輸入接口與明緯t-150d的5v電源輸出接口相連，同時根據網絡交換機的電源特徵要求將網絡交換機的電源輸入接口與相同電壓的明緯t-150d的電源接口相連，如果選用的網絡交換機使用220v交流電源，則將網絡交換機的電源輸入接口接入220v交流輸出電源。

服務端解碼伺服器樹莓派3b二號網卡的ip地址、子網掩碼交給用戶設置，以適應用戶的應用環境，使得客戶端能夠訪問到服務端解碼伺服器，這個網絡可以是區域網，也可以是網際網路，還可以是特定專網，比如公安網、教育網等，網絡結構圖如附圖1所示。

客戶端模塊連接方法：在stm32f407vet6單片機模塊選擇6個空閒引腳，依次命名為：miso、mosi、sclk、ss_n、rstn、standby，分別與thm3060讀卡模塊的miso、mosi、sclk、ss_n、rstn、standby引腳相連接，使用spi協議在1mb每秒至2.5mb每秒的速率進行通信，將wifi探針模塊uart接口的tx引腳與stm32f407vet6單片機模塊通過pa10引腳相連，將wifi探針模塊uart接口的rx引腳與stm32f407vet6單片機模塊的pa9引腳相連，使用uart協議進行通信，將thm3060電源輸入接口、wifi探針電源輸入接口與stm32f407vet6單片機模塊的相同電壓的電源輸出引腳相連，將stm32f407vet6單片機模塊與客戶端主機樹莓派3b通過usb接口相連；將攝像頭插入客戶端主機樹莓派3b的usb接口，並外接電源為攝像頭供電，以防usb接口供電不足導致圖像黑暗或者不清晰。

將客戶端主機樹莓派3b的rj45接口接入能夠訪問服務端解碼伺服器的網絡，並設置ip地址和子網掩碼，使得客戶端主機能夠通過網絡訪問服務端解碼伺服器。

讀卡與解碼具體過程和方法如下[0055]-[0079]。

客戶端主機不與服務端進行通信，由客戶端主機通過usb接口直接發送iso14443b尋卡命令給stm32f407vet6單片機模塊，stm32f407vet6單片機模塊通過spi接口向thm3060讀卡模塊發送尋卡命令，以尋找射頻場內是否存在二代居民身份證。

thm3060讀卡模塊返回尋卡成功或尋卡失敗的消息。

尋卡成功後，客戶端主機不與服務端進行通信，由客戶端主機通過usb接口直接發送iso14443b選卡命令給stm32f407vet6單片機模塊，stm32f407vet6單片機模塊將選卡命令通過spi接口發送給thm3060讀卡模塊，以選定射頻場內一個二代居民身份證。

thm3060讀卡模塊返回選卡成功或選卡失敗的消息。

選卡成功後，客戶端與伺服器解碼伺服器進行秘鑰交換，其中非對稱加密算法用於加密解密對稱加密算法的秘鑰，對稱加密算法用於加密解密讀卡和解碼過程的命令和數據；非對稱加密算法採用rsa算法，對稱加密算法採用aes算法，選用aes算法是因為該算法運算速度快、安全度高、資源消耗低，在樹莓派設備中運行無性能壓力；哈希算法選用sha-1算法；客戶端隨機生成會話id、對稱加密算法的密鑰，將會話id與對稱加密算法的密鑰相綁定，並緩存綁定的信息，用sha-1算法計算對稱加密算法的密鑰的哈希碼，使用服務端解碼伺服器發放的rsa公鑰將對稱加密算法的密鑰進行加密，生成消息包，客戶端與服務端每一次交互，消息包格式均如附圖2所示。

客戶端將附圖2格式的消息包發送給服務端的解碼伺服器。

服務端解碼伺服器用rsa算法的私鑰解密消息包的數據欄位，獲取對稱加密算法aes的密鑰。

服務端解碼伺服器緩存會話id、客戶端ip地址、客戶端網絡協議通信埠、對稱加密算法的密鑰，並將會話id與對稱加密算法的密鑰、客戶端ip地址、客戶端網絡協議通信埠進行綁定。

服務端解碼伺服器利用對稱加密算法aes生成加密消息包發送給客戶端，告知客戶端已完成通信準備。

客戶端收到服務端準備完畢的消息後，生成新的加密消息包發送上位機讀卡命令，上位機讀卡命令為0xaa0xaa0xaa0x960x690x000x030x300x010x32，該命令為上位機要求sam_a進行讀卡的固定格式，是《ga467-2013居民身份證驗證安全控制模塊接口技術規範》規定的，不能改變，其中命令碼為x30，參數為0x01，其他部分是幀頭、長度、校驗等內容；作為改進，客戶端也可以自定義一個上位機讀卡命令，服務端解碼伺服器收到自定義上位機讀卡命令後，再轉成《ga467-2013居民身份證驗證安全控制模塊接口技術規範》規定的0xaa0xaa0xaa0x960x690x000x030x300x010x32讀卡命令。

服務端解碼伺服器在sam_a列表裡查找有無空閒sam_a，如果沒有空閒sam，發送消息包通知客戶端，告知無空閒資源請稍後重試；如果有空閒的sam_a模塊，緩存該sam_a模塊id以及該sam_a模塊連接的單片機的id、ip地址、網絡協議通信埠等信息，並將該sam_a模塊id、該sam_a模塊連接的單片機的id、ip地址、網絡協議通信埠與會話id相綁定，並將該sam_a模塊的當前狀態設置為忙的狀態；服務端解碼伺服器會話id綁定示意圖如附圖7所示，客戶端會話id綁定示意圖如附圖8所示；需要說明的是：服務端解碼伺服器每收到一個客戶端消息包後，首先提取會話id並解密數據欄位的內容，在密鑰交換階段，通過非對稱加密算法的私鑰進行解密，在其他階段，使用與會話id綁定的對稱加密算法的密鑰進行解密，通過數據類型欄位的內容判斷是上位機讀卡命令還是二代居民身份證讀卡過程中返回的消息，如果發現消息包數據欄位的內容是二代居民身份證返回的消息，通過會話id查找該會話id綁定的sam_a和該sam_a所連接的服務端單片機的ip地址和網絡協議通信埠，這樣就知道將客戶端發來的二代居民身份證讀卡過程中返回的消息發給哪個sam_a。

服務端解碼伺服器將客戶端發送來的讀卡命令發送給該會話id已經綁定的服務端單片機。

服務端單片機收到上位機讀卡命令後，用uart接口發送給該單片機所連接的sam_a。

sam_a收到上位機讀卡命令後，會產生射頻命令，通過tx_frame、sclk、sdata等引腳發出來。

服務端stm32f407zgt6單片機模塊通過tx_frame、sclk、sdata引腳接收sam_a發送的消息，需要注意的是，每接收一個8bit的數據，都要在第9個sclk高電平期間發送sdata低電平ack信號進行驗證，表示接收成功，否則通信將強制終止，消息接收完成後，通過rj45接口通過網絡交換機發送給解碼伺服器。

服務端解碼伺服器收到stm32f407zgt6單片機模塊的消息後，根據網絡通信協議獲取該消息上下文指明的ip地址，無論是udp協議還是tcp協議，都可以通過消息上下文獲取發送方的ip地址，通過該ip地址查找與該ip綁定的會話id，進而通過該會話id查找該會話id綁定的客戶端的ip地址、客戶端的網絡通信協議埠，生成加密消息包發送給該會話id綁定的客戶端主機。

客戶端主機解密消息包，通過usb接口將讀卡命令發送給客戶端stm32f407vet6單片機模塊。

客戶端stm32f407vet6單片機模塊通過spi接口將sam_a命令發送給thm3060讀卡模塊，thm3060讀卡模塊與二代居民身份證通信後，將二代居民身份證返回的消息通過spi接口發送給客戶端stm32f407vet6單片機模塊。

客戶端stm32f407vet6單片機模塊將二代居民身份證返回的消息通過usb接口發送給客戶端主機，客戶端主機生成加密消息包再發給服務端解碼伺服器。

服務端解碼伺服器依據消息包的會話id查找該會話id綁定的服務端單片機，將二代居民身份證返回的消息解密後通過網絡交換機發送給該會話id已綁定的服務端stm32f407zgt6單片機模塊。

服務端stm32f407zgt6單片機模塊收到客戶端二代居民身份證反饋的消息後，用rx_frame、sclk、sdata引腳將二代居民身份證返回的消息發送給sam_a，需要注意的是，每發送一個8bit的數據，都應在第9個sclk高電平期間驗證sdata是否為低電平，如果是低電平，表示sam_a接收成功，否則表示sam_a接收失敗。

sam_a收到二代居民身份證返回的消息後，會產生下一條射頻命令，通過tx_frame、sclk、sdata引腳發出來，重複第[0069]步至第[0076]步的過程，直到完成整個讀卡、驗證、解碼過程。

整個讀卡、驗證和解碼過程完成後，sam_a通過uart接口將解碼後的二代居民身份證信息返回給stm32f407zgt6單片機模塊，stm32f407zgt6單片機模塊通過網絡交換機將內容發送給解碼伺服器，其中二代居民身份證的照片是wlt格式的，需要調用公安部提供的動態連結庫才能轉換成bmp圖片格式，為了不給解碼伺服器造成負擔，這個圖片轉碼過程可以提交給專門的wlt轉碼伺服器來完成，還可以不轉碼直接返回到客戶端業務系統進行轉碼，為了不給服務端解碼伺服器造成運算負擔，本發明不提倡將wlt圖片轉碼過程放在服務端解碼伺服器，建議專門搭建轉碼伺服器進行wlt圖片轉碼。

解碼伺服器將讀卡狀態設置為成功或者失敗，生成加密消息包發送給客戶端，向該會話id綁定的stm32f407zgt6單片機模塊發送復位命令，讓stm32f407zgt6單片機模塊和sam_a進行復位，將該sam_a的狀態設置為空閒，清空會話id和該會話id綁定的sam_a模塊id、服務端單片機id、服務端單片機ip地址、服務端單片機網絡協議通信埠、對稱加密算法的密鑰、客戶端ip、客戶端網絡協議通信埠等信息，結束本次會話。

客戶端接收到讀卡成功或者失敗的消息包後，向射頻模塊發送復位命令，清空會話id和該會話id綁定的對稱加密算法的密鑰，結束本次會話，並將數據返回給業務系統。

客戶端主機使用opencv或者javacv調用攝像頭功能拍攝附近的畫面，並使用haar分類器方法，挖掘出所有出現的人臉，按照人臉遠近進行排序。

將拍攝的整體圖像、排序後的人臉圖像、居民身份證照片、居民身份證文字信息進行綁定存儲，用身份證號作為聯結紐帶，人臉圖像存儲時，要存儲遠近排序序號，將確定的身份信息與不確定的一組人臉建立時空關係圖譜，形成一個曾在同一個時間和地點出現的關係網絡。

計算每個人臉圖像的兩眼傾斜角度，把人臉旋轉使得兩眼平衡和頭頂朝上，將彩色原圖分別轉化成灰色圖片和輪廓圖片，灰色圖片為了消除幹擾，輪廓圖片為了發現人臉的輪廓特徵，主要是橢圓參數，用以確定長臉、方臉、圓臉等臉型特徵。

使用haar分類器方法，識別並挖掘出人臉中的眼睛、鼻子、嘴巴的圖片和位置，計算、存儲每個人臉以下特徵：灰色圖片特徵點數量、灰色圖片特徵點位置、輪廓橢圓參數特徵、輪廓圖片特徵數量、輪廓圖片特徵位置、左眼左側位置與人臉總寬度比例、左眼右側位置與人臉總寬度比例、右眼右側位置與人臉總寬度比例、右眼左側位置與人臉總寬度比例、左眼寬度與人臉總寬度比例、右眼寬度與人臉總寬度比例、兩眼中心點距離與人臉總寬度比例、左眼高度與人臉總高度比例、右眼高度與人臉總高度比例、兩眼中心位置與人臉上側頂點比例、兩眼中心與鼻子中心距離除以人臉總高度的比例、兩眼中心與嘴中心距離除以人臉總高度比例、左眼中心與鼻子中心角度、右眼中心與鼻子中心角度、左眼中心與嘴中心角度、右眼中心與嘴中心角度、左眼與左嘴角角度、左眼與右嘴角角度、右眼與左嘴角角度、右眼與右嘴角角度、鼻子中心與嘴中心垂直距離除以人臉總高度的比例、鼻子中心與左嘴角角度、鼻子中心與右嘴角角度、鼻子寬度與人臉總寬度比例、鼻子高度與人臉總高度比例、嘴寬度與人臉總寬度比例、嘴唇弧線角度參數，這些特徵的組合能夠較為方便地確定一張人臉並支持快速檢索，這些人臉特徵要形成欄位存儲到資料庫。

將wifi探針模塊設置為ap模式，並持續向外beacon幀通知周圍wifi設備，當周圍wifi掃描ap時，收集周圍這些wifi設備的mac地址。

收集到周圍mac地址後，按照信號強弱進行排序，這樣可以確定距離遠近，將這些mac地址碼列表與身份證的身份信息綁定存儲，以身份證號關聯紐帶，將確定的身份與一組不確定的mac建立時空關係圖譜，形成一個曾在同一個時間和地點出現的關係網絡；作為輔助和補充，如果客戶端主機處在一個區域網內，通過arp技術，收集客戶端所在區域網的其他主機的mac地址一併存儲，同樣將確定的身份信息與不確定的一組主機mac建立了同一時間、同一地點出現的關係網絡。

除了存儲身份信息、身份證照片、周圍人臉、周圍mac地址外，還應存儲當前地點地理坐標、當前時間等輔助信息。

數據在客戶端本地不進行明碼存儲，臨時緩存的數據要在加密後再進行緩存，在數據採集完成後，通過加密傳輸、網閘單向跳轉等技術手段，將數據傳輸到配置文件指定的網絡、指定伺服器、指定資料庫進行存儲，為防止隱私洩露和侵犯隱私，對於身份證號、家庭住址、mac地址等敏感內容，在存入資料庫之前，進行加密後再存儲；作為改進，人臉圖像也可以加密後再存儲。

本發明還設計了單片機程序防提取和轉錄功能，程序從一個單片機提取後轉錄到另一個單片機是不能用的，機制如下：將stm32單片機mcu唯一id的3個32位數拆成12個8位數，將不同位置的8位數按照不同的位移方式進行位移，然後打亂順序重新排布12個位移後的8位數，生成激活碼，在向該單片機傳輸命令之前，需要輸入激活碼進行激活碼驗證，激活碼驗證成功，提供正常服務，激活碼驗證失敗，不提供正常服務；作為改進，還可以在激活碼特定位置加入時間戳和隨機碼。