指纹识别技术在办公中的身份认证

2.5.4　指纹识别技术在办公中的身份认证

1.方案背景

在网络时代里，企业的管理重点已从物流、资金流逐渐向信息流跨越，信息流更多地体现为电子文档，它的交互性能有效改善办公的效率，而“办公”实际上又是通过单位内部人与人、人与部门、部门与部门之间信息的收集、组织、共享、传播等行为的协调来实现单位整体目标的过程。因此，实现办公自动化(OA)正是控制管理信息流的直接手段，办公自动化能够帮助我们对信息流进行科学合理的控制，提高办公效率。所以OA是管理信息系统(MIS)的基础。总而言之，OA无论在企业信息化和电子政务中都起着举足轻重的作用，它已经成为应用系统的核心。因此，安全的OA已经得到越来越多的重视。

为确保唯有授权者和特许用户才能访问和交换干净的数据，许多公司部署了防火墙、入侵检测方案和防病毒软件。但是调查表明，只有20%的数据破坏是由公司外部人所为。这等于说即便充分利用现有技术也只能解决五分之一的安全问题。这些解决方案并不能消除来自内部授权用户的安全隐患。80/20法则也就在网络安全中一直流行着。另一数据同时说明了相同的问题，对533名IT经理的调查报告表明，在公司内非授权使用计算机系统的系数从1996年的42%增长到1997年的49%，因此造成的损失超过1亿美元。

如何保证办公自动化系统的安全呢?就目前来说，在OA中，主要存在假冒身份，进行违法操作；非法访问进行窃密。而形成的原因则是目前的OA中，绝大部分在权限和访问控制方面采用的是传统“用户名+密码”，容易被遗忘、失窃、代替、破解等都是此种方式的弱点。在OA中，对身份的识别就格外重要，就像一个上了锁的门，一旦被打开，那一切完全尽在眼中。

针对OA存在的问题，我们引入了生物识别技术，来有效地保障OA系统中的身份安全。在众多的用于身份验证的生物识别技术中，指纹识别技术是目前最方便、可靠、非侵害和价格便宜的解决方案，对于广大市场的应用有着很大的潜力。指纹识别作为识别技术有着悠久的历史，按照一般人的看法，指纹识别技术通过分析指纹的全局特征和局部特征，特征点如脊、谷和终点、分叉点或分歧点，从指纹中抽取的特征值可以非常地详尽以便可靠地通过指纹来确认一个人的身份。平均每个指纹都有几个独一无二可测量的特征点，每个特征点都有大约七个特征，我们的十个手指产生最少4900个独立可测量的特征——这足够来确认指纹识别是否为一个更加可靠的鉴别方式。

如果我们想要增加可靠性，我们只需登记更多的指纹，鉴别更多的手指，最多可以多达十个，而每一个指纹都是独一无二的；扫描指纹的速度很快，使用非常方便；读取指纹时，用户必须将手指与指纹采集头相互接触，与指纹采集头直接接触是读取人体生物特征最可靠的方法。这也是指纹识别技术能够占领大部分市场的一个主要原因。

指纹的唯一性(不同手指的指纹不同)和不变性(同一手指的指纹终身不变)已被公认，指纹可作为法律认定身份的依据，与信息系统的嵌入结合，有效地杜绝了人为因素造成的系统漏洞，保证了在OA系统中，权限与访问控制的安全。而另一方面，也避免了密码容易被遗忘，密码要经常更换所带来的不便，充分体现验证了开放、安全、唯一等特点。

2.方案描述

针对现在政府企业中OA办公自动化系统的使用过程中出现的身份安全问题，采用了以指纹识别技术这一生物识别技术为核心的新一代网络身份识别安全解决方案——“指纹身份认证平台”，它克服了原有传统识别技术中存在的不安全性和操作复杂性，更大地提高了OA系统的安全防范能力和实际工作效率。

(1)先进的指纹识别技术。

原有政府企业的OA系统多是采用“用户口令+密码”方式或使用单独的“IC卡”以及其他身份认证方式。对于“用户口令+密码”方式要保证这种登录方式的安全性的前提是要生成高质量的口令，否则容易被破译，而高质量的口令常常是无意义的字符串，这给口令的记忆和保管带来了难度；使用IC卡登录方式，IC卡必须随身携带，同时也给用户带来了不便，用户常常担心IC卡遗失、被盗或被伪造。对用户来说，这两种使用方式实在是不方便，而TrustLink使用了人体指纹作为系统标识，大大方便了用户对系统的使用，不仅安全可靠，而且简单易行。

TrustLink在技术上还采用了指纹特征档加密传输方式，确保了指纹采集传输的可靠性。应用双重的保护机制，可以保证指纹特征资料及时安全地在网络间的传输。还将所有存在数据库内的指纹资料，都以对比档方式存储，而不是存储指纹本身的特征档，如图2-48所示。即使是客户内部系统人员窃取了数据库内的指纹资料，也无法利用此资料进行指纹认证，保证了用户身份的“内外一致”，因此，对于政府企业的OA系统来说不仅在使用操作上减少了使用者的不便，同时也对系统的整体安全性进行了更好的改善。

图2-48　政府企业的OA系统

(2)完善的安全架构。

在整个身份认证环节中，均采用了相应的安全措施，以保障OA用户指纹信息的绝对安全，如图2-49所示。

图2-49　OA用户安全构架

指纹识别系统在指纹采集和传输过程中，采用了多重保护和加密措施，以保障用户指纹信息不会被黑客窃取或盗用。采用的措施如下:

①指纹防盗功能，同一枚指纹不能二次认证；

②传输加密机制；

③时间戳记安全机制；

④非特征档传输机制。

与传统认证方式的存储环节相比较，改善了大量安全机制，用户将不用担心自己身份信息被拥有超级权限的内部人士进行盗用和冒用。其改善如下:

①多重保护加密机制；

②数据库稽查机制；

③锁存储机制。

(3)领先的组件化设计。

产品趋于设计组件化，提供全功能组件，方便用户在最短的时间内完成与既有系统的无缝集成，能够有效降低系统开发成本和时间，同时不用考虑未来升级及维护的问题。

同时其本身还具有高度开放性和整合性:支持多种开发语言VC、VB、net、Pb、ASP、Delphi、Notes、JAVA等。支持C/S、B/S网络架构，在所有的产品应用和整合过程中，用户可以根据提供的任何语言的整合示例代码，简单粘贴，即完成了指纹识别强大功能的整合动作，而无须更动用户既有系统的任何重要资源，大大减少了用户的开发负担，降低用户成本到最低。