论文部分内容阅读
黑龙江邮储银行指纹身份认证系统是面向邮政金融系统内部人员的指纹身份认证。该系统可对邮政储蓄、电子汇兑、公司业务等邮政金融业务系统操作人员的登录和业务授权进行身份认证,防止相关人员非法进入系统及业务人员越权操作,降低邮政金融风险,加强邮政金融系统安全。黑龙江邮储银行指纹身份认证系统,以下简称指纹认证系统。
指纹认证系统主要包括指纹认证平台和指纹管理系统。指纹认证平台是指纹认证系统的重要组成部分,是整个指纹系统的核心,利用指纹识别作为关键核心技术,负责完成指纹的管理和认证;指纹系统管理部分负责完成指纹采集、信息管理、人员岗位的调整及设备管理等功能。
1.系统总体结构
指纹认证系统采用客户/服务器的组成模式,本地认证采用基于TCP/IP协议的SOCKET通讯方式,远程认证通过TUXEDO建立远程业务系统与认证服务器的通讯连接。指纹认证系统软件架构如下图所示:
系统架构图
1.1认证及管理中心系统
认证及管理中心包括指纹认证平台、短信平台、远程认证转换模块以及指纹系统管理后台,其中指纹认证平台是指纹认证系统的核心,是系统开发运行的基础。除短信平台运行在Windows操作系统上,其它模块均运行在Unix/Linux操作系统平台上。
1.1.1指纹认证平台
指纹认证平台的主要功能是指纹登记、身份认证及平台管理等。身份认证负责柜员的用户信息确认、指纹合法性判断及指纹比对等功能,认证结果存储到数据库,同时返回认证客户端;平台管理是平台正常工作运行所需要的管理和服务功能,包括:日常管理、日志管理、参数管理、加密管理及通讯管理等。
1.1.2短信平台
短信平台对应的硬件是SMS短消息设备,该设备能够完成短消息的接收和发送。短信平台本身并不属于指纹的应用范畴,引入目的是为了实现业务系统主管人员不在现场的授权认证,以及一些安全告警的短信发送。
1.1.3远程认证转发模块
负责与远程认证转发系统的通讯连接和协议转换。如果是本地系统的认证,则不需要远程通讯连接和转换。
1.1.4指纹管理系统后台
完成认证管理系统的机构设置、柜员管理、指纹建档、轮岗、告警及指纹参数管理等,是指纹认证系统重要组成部分。指纹管理系统按照客户端功能划分为四个子系统,即省中心指纹管理系统、地市指纹管理系统、市县指纹管理系统和网点指纹管理系统。
1.2认证管理数据库
认证管理数据库包括用户信息、指纹图片、特征数据、分析数据、日志及参数等,是指纹系统信息资料的总称。指纹认证系统的核心是指纹识别技术,而指纹技术的安全可靠还取决于指纹数据的真实性,因此,数据库内信息的安全至关重要,平台对指纹等关键数据进行加密存储,并进行数据校验,防止泄密或篡改。
1.3远程认证转换系统
为支持业务系统从省集中方式到区域集中和全国集中的变化和过渡,保证认证信息在远程网络上的可靠传输,在指纹认证系统中应开发适应这一要求的远程认证转换系统。该系统的主要作用是将业务系统不同省份柜员的身份认证请求,转发给不同的认证中心,转发时将本地局域网的短连接网络访问,转换为基于广域网通讯的长连接(暂定利用Tuxedo中间件作为连接工具)。该转发系统和认证系统配合,可以支持认证中心部署在省中心、区域中心和全国中心等模式。
1.4认证客户端、各级指纹管理系统
认证客户端与业务系统的客户端对应,用于实现指纹仪的设备驱动、运行环境和参数的配置,保证业务客户端对指纹认证API的正确调用;指纹管理系统相当于管理客户端,完成机构建立、柜员增加、指纹采集建档等操作。
1.5指纹认证API
提供给业务系统调用的标准程序接口,简称指纹认证API。指纹认证API支持基于C语言,JAVA语言,COM组件等多种接口方式,方便用户针对各种系统应用进行嵌入改造工作。本期解决基于C语言的标准接口。
2.软件体系结构
指纹认证系统后台的主机操作系统为Red Flag DC4.1版本,数据库使用oracle的RAC集群管理软件,版本为oracle9i-9.2.0.5。两台服务器的Oracle同时启动,通过RAC共享磁盘阵列。两台服务器做为数据库服务器的同时,又是应用服务器,其上运行同样的应用程序,对外提供两个服务器的IP地址,相对于客户端而言,可以按照一定的优先级访问其中一台,通过应用软件设计实现应用系统的集群管理功能。
前台指纹客户端软件包括:省、市县及网点指纹管理软件,操作系统为Sco Unix、Linux、Windows等,与认证服务器通讯采用TCP/IP协议及SOCKET编程技术。
后台服务端软件层次可以分为四层,每层作用不同,包括:接口层、应用层、核心层及数据层。
其中:
数据层:存储指纹、柜员信息、密钥信息、认证日志及运行参数信息等。
核心层:抽象各种功能实现的共同特性,提供指纹比对、密钥管理、加密/解密、身份管理、权限管理、数据接口等功能组件。
应用层:利用核心层提供的功能组件,根据不同交易要求,通过应用编程实现不同的应用功能。
接口层:分为内部接口和外部接口,负责数据通讯、交易解析、数据转换及交易分发等,外部接口是业务系统与指纹认证系统连接的纽带。
3.指纹认证原理:
应用原理如下图所示:
指纹认证实现原理图
实现过程:
* 内部工作人员或客户按捺指纹后,指纹仪处理生成指纹特征数据;
* 将指纹特征数据上传至认证中心,与建档指纹进行比对。比对通过,则生成一次有效的动态校验码,并返给业务系统客户端;
* 业务客户端利用业务交易报文的原密码字段将动态校验码上传至业务中心;
* 业务主机通过接口向认证系统进行动态校验码的一致性校验,完成指纹身份认证功能。
注:人员首先验证的是指纹,业务系统认证的是由认证平台中心随机生成、一次有效的动态数字校验码,延用原有业务系统的密码验证方式。这样,既实现了指纹验证,又与原有业务系统平滑衔接。
4.系统功能划分
5.省中心
按省建立机构,便于将来数据集中的管理;建立省级管理员,设立下属指纹管理员;实现对全省人员、指纹、认证信息管理;完成本地指纹身份认证和短信远程认证;完成远程认证的处理和转发。
6.地市中心
只具有查询、统计、监督等权限,不具有设置职能;实现对下级市县机构信息的汇总、分析。注:该层根据需要可设,也可不设!
7.市县机构
具有网点、人员、指纹等具体管理职能;人员信息、指纹信息统一管理(信息共享);软件功能按照业务系统分类,包括:储蓄、汇兑、公司业务。
8.网点机构
实现指纹设备共用、专用管理;网点柜员签到、授权的认证和管理;
软件功能按照业务系统分类,包括:绿卡、汇兑、公司业务。
9.主机能力测试与实验
进行针对性的系统压力测试,在不同情况下,从操作系统的配置参数、数据库配置参数、应用系统、网络等方面分析系统处理瓶颈,以整体调优策略提出系统最优配置组合,提前解决影响系统性能的问题。
进行技术选择的验证实验,保证所采用技术的可用性。
具体测试
9.1指纹特征数据批量提取
数据和索引同处一个表空间,按照人员信息的顺序,从数据库中提取指纹特征,统计主机CPU利用率,并将数据写入共享内存;
数据和索引分别建立在不同的表空间,做同样的测试,并进行结果比较。
9.2 指纹批量比对
利用内存中的指纹数据进行指纹比对,启动多进程进行循环比对,统计主机CPU利用率。
9.3联机交易响应
模拟指纹认证客户端,以一定的时间间隔向认证服务器发送批量认证,记录交易相应时间,统计主机CPU利用率。一般,CPU额度利用率不超过75%,都可以视为正常能力范围。
(作者单位:中国邮政储蓄银行黑龙江省分行)
指纹认证系统主要包括指纹认证平台和指纹管理系统。指纹认证平台是指纹认证系统的重要组成部分,是整个指纹系统的核心,利用指纹识别作为关键核心技术,负责完成指纹的管理和认证;指纹系统管理部分负责完成指纹采集、信息管理、人员岗位的调整及设备管理等功能。
1.系统总体结构
指纹认证系统采用客户/服务器的组成模式,本地认证采用基于TCP/IP协议的SOCKET通讯方式,远程认证通过TUXEDO建立远程业务系统与认证服务器的通讯连接。指纹认证系统软件架构如下图所示:
系统架构图
1.1认证及管理中心系统
认证及管理中心包括指纹认证平台、短信平台、远程认证转换模块以及指纹系统管理后台,其中指纹认证平台是指纹认证系统的核心,是系统开发运行的基础。除短信平台运行在Windows操作系统上,其它模块均运行在Unix/Linux操作系统平台上。
1.1.1指纹认证平台
指纹认证平台的主要功能是指纹登记、身份认证及平台管理等。身份认证负责柜员的用户信息确认、指纹合法性判断及指纹比对等功能,认证结果存储到数据库,同时返回认证客户端;平台管理是平台正常工作运行所需要的管理和服务功能,包括:日常管理、日志管理、参数管理、加密管理及通讯管理等。
1.1.2短信平台
短信平台对应的硬件是SMS短消息设备,该设备能够完成短消息的接收和发送。短信平台本身并不属于指纹的应用范畴,引入目的是为了实现业务系统主管人员不在现场的授权认证,以及一些安全告警的短信发送。
1.1.3远程认证转发模块
负责与远程认证转发系统的通讯连接和协议转换。如果是本地系统的认证,则不需要远程通讯连接和转换。
1.1.4指纹管理系统后台
完成认证管理系统的机构设置、柜员管理、指纹建档、轮岗、告警及指纹参数管理等,是指纹认证系统重要组成部分。指纹管理系统按照客户端功能划分为四个子系统,即省中心指纹管理系统、地市指纹管理系统、市县指纹管理系统和网点指纹管理系统。
1.2认证管理数据库
认证管理数据库包括用户信息、指纹图片、特征数据、分析数据、日志及参数等,是指纹系统信息资料的总称。指纹认证系统的核心是指纹识别技术,而指纹技术的安全可靠还取决于指纹数据的真实性,因此,数据库内信息的安全至关重要,平台对指纹等关键数据进行加密存储,并进行数据校验,防止泄密或篡改。
1.3远程认证转换系统
为支持业务系统从省集中方式到区域集中和全国集中的变化和过渡,保证认证信息在远程网络上的可靠传输,在指纹认证系统中应开发适应这一要求的远程认证转换系统。该系统的主要作用是将业务系统不同省份柜员的身份认证请求,转发给不同的认证中心,转发时将本地局域网的短连接网络访问,转换为基于广域网通讯的长连接(暂定利用Tuxedo中间件作为连接工具)。该转发系统和认证系统配合,可以支持认证中心部署在省中心、区域中心和全国中心等模式。
1.4认证客户端、各级指纹管理系统
认证客户端与业务系统的客户端对应,用于实现指纹仪的设备驱动、运行环境和参数的配置,保证业务客户端对指纹认证API的正确调用;指纹管理系统相当于管理客户端,完成机构建立、柜员增加、指纹采集建档等操作。
1.5指纹认证API
提供给业务系统调用的标准程序接口,简称指纹认证API。指纹认证API支持基于C语言,JAVA语言,COM组件等多种接口方式,方便用户针对各种系统应用进行嵌入改造工作。本期解决基于C语言的标准接口。
2.软件体系结构
指纹认证系统后台的主机操作系统为Red Flag DC4.1版本,数据库使用oracle的RAC集群管理软件,版本为oracle9i-9.2.0.5。两台服务器的Oracle同时启动,通过RAC共享磁盘阵列。两台服务器做为数据库服务器的同时,又是应用服务器,其上运行同样的应用程序,对外提供两个服务器的IP地址,相对于客户端而言,可以按照一定的优先级访问其中一台,通过应用软件设计实现应用系统的集群管理功能。
前台指纹客户端软件包括:省、市县及网点指纹管理软件,操作系统为Sco Unix、Linux、Windows等,与认证服务器通讯采用TCP/IP协议及SOCKET编程技术。
后台服务端软件层次可以分为四层,每层作用不同,包括:接口层、应用层、核心层及数据层。
其中:
数据层:存储指纹、柜员信息、密钥信息、认证日志及运行参数信息等。
核心层:抽象各种功能实现的共同特性,提供指纹比对、密钥管理、加密/解密、身份管理、权限管理、数据接口等功能组件。
应用层:利用核心层提供的功能组件,根据不同交易要求,通过应用编程实现不同的应用功能。
接口层:分为内部接口和外部接口,负责数据通讯、交易解析、数据转换及交易分发等,外部接口是业务系统与指纹认证系统连接的纽带。
3.指纹认证原理:
应用原理如下图所示:
指纹认证实现原理图
实现过程:
* 内部工作人员或客户按捺指纹后,指纹仪处理生成指纹特征数据;
* 将指纹特征数据上传至认证中心,与建档指纹进行比对。比对通过,则生成一次有效的动态校验码,并返给业务系统客户端;
* 业务客户端利用业务交易报文的原密码字段将动态校验码上传至业务中心;
* 业务主机通过接口向认证系统进行动态校验码的一致性校验,完成指纹身份认证功能。
注:人员首先验证的是指纹,业务系统认证的是由认证平台中心随机生成、一次有效的动态数字校验码,延用原有业务系统的密码验证方式。这样,既实现了指纹验证,又与原有业务系统平滑衔接。
4.系统功能划分
5.省中心
按省建立机构,便于将来数据集中的管理;建立省级管理员,设立下属指纹管理员;实现对全省人员、指纹、认证信息管理;完成本地指纹身份认证和短信远程认证;完成远程认证的处理和转发。
6.地市中心
只具有查询、统计、监督等权限,不具有设置职能;实现对下级市县机构信息的汇总、分析。注:该层根据需要可设,也可不设!
7.市县机构
具有网点、人员、指纹等具体管理职能;人员信息、指纹信息统一管理(信息共享);软件功能按照业务系统分类,包括:储蓄、汇兑、公司业务。
8.网点机构
实现指纹设备共用、专用管理;网点柜员签到、授权的认证和管理;
软件功能按照业务系统分类,包括:绿卡、汇兑、公司业务。
9.主机能力测试与实验
进行针对性的系统压力测试,在不同情况下,从操作系统的配置参数、数据库配置参数、应用系统、网络等方面分析系统处理瓶颈,以整体调优策略提出系统最优配置组合,提前解决影响系统性能的问题。
进行技术选择的验证实验,保证所采用技术的可用性。
具体测试
9.1指纹特征数据批量提取
数据和索引同处一个表空间,按照人员信息的顺序,从数据库中提取指纹特征,统计主机CPU利用率,并将数据写入共享内存;
数据和索引分别建立在不同的表空间,做同样的测试,并进行结果比较。
9.2 指纹批量比对
利用内存中的指纹数据进行指纹比对,启动多进程进行循环比对,统计主机CPU利用率。
9.3联机交易响应
模拟指纹认证客户端,以一定的时间间隔向认证服务器发送批量认证,记录交易相应时间,统计主机CPU利用率。一般,CPU额度利用率不超过75%,都可以视为正常能力范围。
(作者单位:中国邮政储蓄银行黑龙江省分行)