采用最新的第二代生物识别技术“指静脉生物识别技术及设备”,解决用户在办公内网(涉密)计算机开机登录等应用场景下,需要输入繁琐密码的实际问题。使用指静脉身份认证技术,可以在确保安全的前提下,最大限度减轻用户的密码记忆负担。
一、项目名称:
中国电子科技集团XX研究所OA指静脉身份认证系统。
项目实施时间:2020年6月-9月
二、项目背景
以往用户进行系统登录的管理(开机操作系统登录和应用系统登录),主要依靠“用户名+口令”的形式,任何获取到登录密码的使用者都可以顺利登录该系统。这种管理方式,存在很多越权使用的隐患,主要表现为管理员/用户权限账号易被盗用、密码易泄漏,同时也无法在问题出现后进行追责,无法满足用户方高安全、精确化管理的要求。
为了保障系统使用者操作的规范性和安全性,将手指静脉生物识别技术引入到信息系统安全管理中,能够有效杜绝用户方人员身份的冒用、替换等问题,使信息系统授权和管理更加安全、准确。
增加指静脉身份认证系统后:
●采用“密码/指静脉”等多因子认证手段,在保留原口令密码安全机制基础上,利用指静脉特征不会丢失、不会被窃、不易被复制的技术优势,提升系统安全性;
●指静脉身份认证平台本身能够独立实现人员身份认证的全部功能,只需与关键的“OA应用系统”及“华普操作系统”做数据/接口对接,即可实现操作系统和OA应用系统的双重登录。
三、建设目标
采用最新的第二代生物识别技术“指静脉生物识别技术及设备”,解决用户在办公内网(涉密)计算机开机登录等应用场景下,需要输入繁琐密码的实际问题。使用指静脉身份认证技术,可以在确保安全的前提下,最大限度减轻用户的密码记忆负担。
●全程管理:通过指静脉身份认证系统建设,满足XX研究所要求的覆盖全体职工、实时监控、贯穿OA访问、审批全过程的审计和溯源,不留管理死角。
●身份唯一:以指静脉生物特征作为研究所工作人员PC开机登录、OA系统登录身份验证的唯一标识,将指静脉生物特征与所内职工的身份信息相绑定,通过指静脉的判定可以实时跟踪使用者的相关操作,查询该人员的访问权限。
●安全受控:指静脉身份认证系统建设采用多级用户、多级权限的管理方式,不同级别的用户能操作不同的系统功能;另外,系统所有的终端数据采用加密传输的方式,无法被识别和修改,保证用户自身身份特征数据的安全性。
●数据合规:指静脉身份认证系统力图建立一个统一、标准的数据源,并预留接口,为研究所下一步扩大身份认证应用打下坚实基础;在标准化数据基础上提供多种人员录入(导入)、权限设置、多种异常登录处理、个人查询、部门查询、统计查询等查询方式。
四、指静脉识别技术及优势
指静脉识别技术是利用手指内的静脉分布图像来进行身份识别。根据指静脉中血红蛋白对近红外线的吸收情况,利用近红外线照射手指,可得到手指静脉的清晰图像,然后利用静脉识别算法对图像进行分析对比,从而进行身份识别。
●体内特征,受外部环境影响小。
●活体认证,身份无法仿冒。
●“安全性”与“便利性”完美平衡,是目前最适合计算机登录认证的技术手段。
五、系统建设内容
5.1指静脉身份认证平台与应用系统集成架构
5.2指静脉认证流程图
5.3指静脉身份认证平台系统功能
指静脉身份认证平台为了能够对应用系统提供统一的生物识别服务,其自身也有着一套完善的管理功能来对系统、用户、日志、监控以及数据信息进行统一的管理。其功能图如下:
5.4系统响应能力
●响应时间
响应时间就是用户感受软件系统为其服务所耗费的时间,对于指静脉身份认证系统来说,响应时间就是从职工伸手指进入指静脉采集窗口计时开始,到认证成功时间这个反馈结果完全在浏览器里展现计时结束的这一段时间间隔。
1:N(后台比对)身份验证响应时间≤1秒。
●吞吐量
本解决方案配置的服务器处理能力以及国产数据库的处理性能,完全能够满足研究所指静脉考勤系统对吞吐量的需求。
●并发设备数
设备并发数反映了指静脉身份认证系统的设备并发处理能力。本系统的并发设备数满足≤10000台设备同时在线的访问要求。
●用户容量数
本系统满足10万用户规模的身份认证需求。
5.5主要指静脉认证设备
六、实施情况
采用指静脉身份认证方式后,我们跟踪了约100个用户的日常使用结果,一次认证通过率在95%以上,认假率为0(无一认假)。用户登录计算机过程简单易用、速度快,满意度提升,办公效率提升。