|
指紋統一身份識別系統
系統簡介
對于發電企業單位來說,由于發電企業單位內部賬號、授權管理的眾多,可能存在賬號失效后未及時收回、某些賬號的擴散范圍難于控制等問題,從而給單位造成的安全損失是很嚴重的。
在指紋統一身份認證系統框架下,賬號、授權管理將納入統一、可控的框架和過程,賬號設置、分配均有詳細記錄,可以審計;賬號撤消、更改后的同步工作(包括從集中賬號管理系統向各主機、設備、系統下發賬號,集中賬號管理系統從各主機、設備、系統收集賬號)均由系統自動完成,避免手工同步;對賬號的有效期可以用時間、地域等附加因素進行限制,防止濫用;在多人共用賬號的情況下,審計也可以精確到實際使用賬號的個人;針對高價值資產、高權限賬號,通過靈活支持動態口令、PKI、生物認證等強認證技術,提高信息資產的安全性,并實現不同權限等級賬號的不同安全策略。
這些措施無疑將給單位信息資產的安全防護提供強有力的手段,避免安全損失,同時通過保障企業內主機、設備、應用系統的順暢運行,給單位增加效益。
系統管理成本角度
用戶自我服務使用戶可以維護自己的信息,包括用戶指紋注冊等,減少了用戶忘記口令的情況,這都使得系統的管理成本,尤其是在用戶數目巨大的情況下大幅度降低。
指紋身份認證項目建設重點
指紋統一身份識別系統項目在建設過程中主要有以下二個重點:
重點之一:統一指紋識別系統“標準”
在進行指紋識別系統方案規劃的時候,必須考慮指紋識別系統標準化問題,如果沒有標準化,將使得指紋系統在日后的使用,后期的維護,指紋識別服務本身存在較大的風險。所以需要建立統一的指紋識別系統“標準”,而且該標準從長遠考慮必須符合相關行業標準及國家標準。主要體現如下:
1、統一硬件標準
2、統一軟件接口標準
3、統一指紋算法標準
4、統一指紋管理流程
重點之二:建立全新的身份認證體系
目前我們所提供的解決方案是采用基于PKI安全體系的生物識別指紋認證平臺解決方案。我們將建設一個全新的、不改變現有業務使用流程、不增加管理成本的指紋認證體系。
重點之三:健全的身份安全管理制度
任何一種新的技術的引入和使用,除技術因素外,還要一種配套的管理制度方案,能夠從其它緯度的建立、健全安全體系。
指紋身份認證平臺系統設計
影響指紋識別效果的幾個因素
指紋統一身份識別系統服務質量的好壞,取決于以下幾個因素:
指紋比對引擎對指紋比對是否精準
只有精準的指紋比對服務,才能夠確保指紋識別系統為可信的身份認證系統,如果指紋識別不精準,使指紋識別的意義大打折扣。
指紋比對引擎效率是否高效
如果在指紋庫中唯一的精準的找出一枚指紋需要劃分10秒以上甚至更久,那么這樣的指紋系統必然不是一套優秀的系統,面對電力企業集團,大型的指紋庫一旦建立,采用傳統的指紋身份認證方案進行1:N識別,在多并發的情況下,非常容易出現超時認證與服務擁塞的問題。這大大降低了指紋識別的效果。
指紋支撐系統是否高效
如果指紋支撐系統對指紋認證的服務器情況分配不合理、或者安全機制不夠,使得指紋服務的資源得不到最大性能的發揮。在資源一定的條件下,必然降低了指紋服務的質量。
指紋注冊模板的質量
指紋模板的質量好壞是影響指紋識別效果的一個核心因素,指紋模板是在以后用戶使用指紋比對服務時候的比對參照物,指紋模板質量不高便注定了用戶在以后的使用過程中指紋識別的質量不高。所以確保指紋模板質量的完好是至關重要的一步。
采用高性能專用指紋注冊設備
采用高性能專用指紋注冊設備,這樣可以使得指紋采集會精準,識別率高,有助于以后系統使用。
使用專有的指紋動態優化算法
所以,本方案針對于未來東北區域電廠員工時候,我們推薦指紋注冊時采用少批量的高性能指紋采集設備,對于日后用戶使用指紋服務時,采用通用的指紋采集設備進行指紋比對。
建立高清指紋圖像庫
指紋圖像庫的建立,可以使得系統對指紋原始數據進行無損存儲。建立指紋圖像庫主要的好處在于:指紋數據不依賴于任何一個指紋廠商:只要指紋的原始數據存在,即使某指紋廠商倒閉或者停止服務,可以很方便的將指紋原始數據通過指紋算法轉化成可以被另一種指紋比對算法識別的指紋特征數據。
不僅如此,指紋圖像庫的建立,可以在后臺采用高性能數據優化算法對指紋圖像進行進一步優化,以提高指紋質量。
根據電力兩票生成管理系統身份鑒別的應用需求,本系統主要由指紋驗證讀寫器、統一身份指紋認證服務產品組成,是適合各類企業使用的內部用戶身份指紋認證系統。
基于企業用戶身份指紋驗證讀寫器的企業用戶身份指紋驗證系統工作原理是:
1、在企業網點柜臺使用的操作計算機上聯接一個專門設計用于用戶身份認證指紋驗證讀寫器;
2、集中注冊,事先為企業網點每一個用戶按其現有用戶號采集指紋特征,并把用戶號(一個或多個)和指紋特征對應起來,存儲到后臺的“統一身份指紋認證服務系統”中。
3、脫機認證,通過統一身份指紋認證服務管理平臺,用戶的指紋特征及用戶編號下載到每臺指紋驗證讀寫器內。在下載的過程中要求對下載操作實行指紋驗證(通過管理員或委托管理員),驗證通過后方可下載數據。這一操作過程采取后臺的比對認證形式。脫機認證通常應用在C/S架構的電力兩票生成管理系統使用。
4、網絡認證,全部認證通過網絡實現數據傳輸和網絡后臺的比對,達到認證及業務邏輯在服務器端進行控制的效果,可根據認證策略,實現“僅指紋”、“指紋+口令”或“僅口令”認證的效果。
5、二次認證:二次認證有二種方式,一種是前端和指紋系統(后臺認證)校驗時,指紋系統(后臺認證)提供驗證過程結果(含指紋驗證特征),另一種是是前端和指紋終端(設備認證)校驗時,指紋終端(設備認證)提供驗證過程結果(含指紋驗證特征),業務發起到后臺后,由業務后臺把此次指紋驗證特征傳給指紋系統再次進行驗證,核對前端的驗證結果,以支持二次認證方式。
6、指紋認證相關的操作:如在登錄系統時,電力兩票生成管理系統需要驗證用戶(或授權用戶)的身份,用戶指紋驗證讀寫器會提示用戶(或管理員)將手指放置在指紋驗證讀寫器的指紋傳感器上,指紋驗證讀寫器采集用戶(或授權用戶)的指紋并和預存在其中的指紋或網絡中的指紋認證平臺進行比較,驗證通過后,將驗證結果和自動生成符合目前電力兩票生成管理系統格式要求的用戶(或授權用戶)身份信息(用戶號及權限代碼),發送給電力兩票生成管理系統,后由電力兩票生成管理系統進行后續的處理。
7、指紋審核業務相關操作:在具體的業務操作過程中,存在審核的過程,即在不清楚審核人的情況下,完整的指紋驗證過程也可以在后臺完成,當電力兩票生成管理系統需要驗證用戶(或授權用戶)的身份時,采集指紋并將指紋特征數據及網點編號一同傳到后臺進行指紋分組驗證,驗證的結果是找到用戶號并返回;同時也可以結合用戶輸入的口令,一并提供給電力兩票生成管理系統進行驗證。
綜上所述,基于身份指紋驗證讀寫器的企業用戶身份指紋驗證系統是在現有電力兩票生成管理系統中“用戶號+口令”的機制上,增加指紋驗證用戶身份的環節,一步到位的實現了口令與身份的相統一,安全性超過口令身份認證,獲取“用戶號角色及權限代碼”的過程。
|
|