|
|
|
|
指纹统一身份识别系统
系统简介
对于发电企业单位来说,由于发电企业单位内部账号、授权管理的众多,可能存在账号失效后未及时收回、某些账号的扩散范围难于控制等问题,从而给单位造成的安全损失是很严重的。
在指纹统一身份认证系统框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
这些措施无疑将给单位信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给单位增加效益。
系统管理成本角度
用户自我服务使用户可以维护自己的信息,包括用户指纹注册等,减少了用户忘记口令的情况,这都使得系统的管理成本,尤其是在用户数目巨大的情况下大幅度降低。
指纹身份认证项目建设重点
指纹统一身份识别系统项目在建设过程中主要有以下二个重点:
重点之一:统一指纹识别系统“标准”
在进行指纹识别系统方案规划的时候,必须考虑指纹识别系统标准化问题,如果没有标准化,将使得指纹系统在日后的使用,后期的维护,指纹识别服务本身存在较大的风险。所以需要建立统一的指纹识别系统“标准”,而且该标准从长远考虑必须符合相关行业标准及国家标准。主要体现如下:
1、统一硬件标准
2、统一软件接口标准
3、统一指纹算法标准
4、统一指纹管理流程
重点之二:建立全新的身份认证体系
目前我们所提供的解决方案是采用基于PKI安全体系的生物识别指纹认证平台解决方案。我们将建设一个全新的、不改变现有业务使用流程、不增加管理成本的指纹认证体系。
重点之三:健全的身份安全管理制度
任何一种新的技术的引入和使用,除技术因素外,还要一种配套的管理制度方案,能够从其它纬度的建立、健全安全体系。
指纹身份认证平台系统设计
影响指纹识别效果的几个因素
指纹统一身份识别系统服务质量的好坏,取决于以下几个因素:
指纹比对引擎对指纹比对是否精准
只有精准的指纹比对服务,才能够确保指纹识别系统为可信的身份认证系统,如果指纹识别不精准,使指纹识别的意义大打折扣。
指纹比对引擎效率是否高效
如果在指纹库中唯一的精准的找出一枚指纹需要划分10秒以上甚至更久,那么这样的指纹系统必然不是一套优秀的系统,面对电力企业集团,大型的指纹库一旦建立,采用传统的指纹身份认证方案进行1:N识别,在多并发的情况下,非常容易出现超时认证与服务拥塞的问题。这大大降低了指纹识别的效果。
指纹支撑系统是否高效
如果指纹支撑系统对指纹认证的服务器情况分配不合理、或者安全机制不够,使得指纹服务的资源得不到最大性能的发挥。在资源一定的条件下,必然降低了指纹服务的质量。
指纹注册模板的质量
指纹模板的质量好坏是影响指纹识别效果的一个核心因素,指纹模板是在以后用户使用指纹比对服务时候的比对参照物,指纹模板质量不高便注定了用户在以后的使用过程中指纹识别的质量不高。所以确保指纹模板质量的完好是至关重要的一步。
采用高性能专用指纹注册设备
采用高性能专用指纹注册设备,这样可以使得指纹采集会精准,识别率高,有助于以后系统使用。
使用专有的指纹动态优化算法
所以,本方案针对于未来东北区域电厂员工时候,我们推荐指纹注册时采用少批量的高性能指纹采集设备,对于日后用户使用指纹服务时,采用通用的指纹采集设备进行指纹比对。
建立高清指纹图像库
指纹图像库的建立,可以使得系统对指纹原始数据进行无损存储。建立指纹图像库主要的好处在于:指纹数据不依赖于任何一个指纹厂商:只要指纹的原始数据存在,即使某指纹厂商倒闭或者停止服务,可以很方便的将指纹原始数据通过指纹算法转化成可以被另一种指纹比对算法识别的指纹特征数据。
不仅如此,指纹图像库的建立,可以在后台采用高性能数据优化算法对指纹图像进行进一步优化,以提高指纹质量。
根据电力两票生成管理系统身份鉴别的应用需求,本系统主要由指纹验证读写器、统一身份指纹认证服务产品组成,是适合各类企业使用的内部用户身份指纹认证系统。
基于企业用户身份指纹验证读写器的企业用户身份指纹验证系统工作原理是:
1、在企业网点柜台使用的操作计算机上联接一个专门设计用于用户身份认证指纹验证读写器;
2、集中注册,事先为企业网点每一个用户按其现有用户号采集指纹特征,并把用户号(一个或多个)和指纹特征对应起来,存储到后台的“统一身份指纹认证服务系统”中。
3、脱机认证,通过统一身份指纹认证服务管理平台,用户的指纹特征及用户编号下载到每台指纹验证读写器内。在下载的过程中要求对下载操作实行指纹验证(通过管理员或委托管理员),验证通过后方可下载数据。这一操作过程采取后台的比对认证形式。脱机认证通常应用在C/S架构的电力两票生成管理系统使用。
4、网络认证,全部认证通过网络实现数据传输和网络后台的比对,达到认证及业务逻辑在服务器端进行控制的效果,可根据认证策略,实现“仅指纹”、“指纹+口令”或“仅口令”认证的效果。
5、二次认证:二次认证有二种方式,一种是前端和指纹系统(后台认证)校验时,指纹系统(后台认证)提供验证过程结果(含指纹验证特征),另一种是是前端和指纹终端(设备认证)校验时,指纹终端(设备认证)提供验证过程结果(含指纹验证特征),业务发起到后台后,由业务后台把此次指纹验证特征传给指纹系统再次进行验证,核对前端的验证结果,以支持二次认证方式。
6、指纹认证相关的操作:如在登录系统时,电力两票生成管理系统需要验证用户(或授权用户)的身份,用户指纹验证读写器会提示用户(或管理员)将手指放置在指纹验证读写器的指纹传感器上,指纹验证读写器采集用户(或授权用户)的指纹并和预存在其中的指纹或网络中的指纹认证平台进行比较,验证通过后,将验证结果和自动生成符合目前电力两票生成管理系统格式要求的用户(或授权用户)身份信息(用户号及权限代码),发送给电力两票生成管理系统,后由电力两票生成管理系统进行后续的处理。
7、指纹审核业务相关操作:在具体的业务操作过程中,存在审核的过程,即在不清楚审核人的情况下,完整的指纹验证过程也可以在后台完成,当电力两票生成管理系统需要验证用户(或授权用户)的身份时,采集指纹并将指纹特征数据及网点编号一同传到后台进行指纹分组验证,验证的结果是找到用户号并返回;同时也可以结合用户输入的口令,一并提供给电力两票生成管理系统进行验证。
综上所述,基于身份指纹验证读写器的企业用户身份指纹验证系统是在现有电力两票生成管理系统中“用户号+口令”的机制上,增加指纹验证用户身份的环节,一步到位的实现了口令与身份的相统一,安全性超过口令身份认证,获取“用户号角色及权限代码”的过程。
|
| | |