指紋信息庫管理系統應用設計

李向明

（國電財務有限公司，北京 100044）

0 引言

近年來，指紋認證技術以其安全可靠、方便隨身、不可轉讓等優勢［1］越來越多的應用在重要信息系統認證中，例如企業集團資金管理系統［2］、財務系統［3］、金融機構業務系統［4］等，常用的使用模式是用戶按持有的指紋UsbKey查驗指紋，指紋認證通過則進入系統，用戶在執行重要操作時也進行指紋認證確認。如何管理指紋信息，如何對指紋信息采集、存儲、下發、查詢、監督審計進行全流程安全管理，是使用指紋認證技術中一個重要前提，關系到指紋認證的安全性和方便性，本文對指紋信息庫管理系統設計和應用進行了一些研究探索，可供借鑒參考。

1 應用場景和管理需求

某大型企業集團為加強財務信息系統安全管理，在系統登錄和資金支付環節加入指紋認證，用戶按持有的指紋UsbKey（見圖1）查驗指紋，指紋認證通過則進入系統，用戶在執行資金支付或付款審核操作時，再次進行指紋認證確認［5］。指紋認證的運行有賴于指紋信息的采集，以及將指紋灌輸到指紋UsbKey中，這是保障信息系統指紋認證模式的基礎條件［6］。為實現系統用戶指紋信息的采集管理及指紋在UsbKey中灌輸使用，需要構建指紋信息庫管理系統，實現客戶指紋信息的集中存儲管理［7］；實現通過指紋信息管理系統生成用戶指紋UsbKey，能夠為用戶方便地灌制生成帶有指紋的UsbKey，同時實現客戶指紋業務的全流程安全管理，指紋的采集、驗證、存儲、下發、查詢、日志審計都在指紋庫統一管控下完成，保證指紋UsbKey信息的合法性和安全性。

2 系統設計

2.1 應用設計

2.1.1 基本功能設計

圖1 指紋UsbKey示意圖

指紋采集管理：對用戶指紋采集進行管理，指紋采集設備（見圖2）可以讀取二代身份證信息［8］，具有登陸語音提示功能，通過語音提示指導用戶采集指紋。為確保指紋采集質量、確保指紋采集的唯一性，指紋采集后系統能夠進行指紋驗證確認滿足正常使用要求。

圖2 指紋采集設備示意圖

指紋核查：用戶進行指紋采集時，系統對該用戶采集的當前手指先進行指紋核查處理，如發現該枚手指在指紋信息庫中已經存在，系統會自動拒絕該枚手指再次注冊。

指紋驗證：在用戶完成指紋采集后可驗證指紋采集質量滿足正常使用要求，提供兩個驗證方式，一是指紋采集入庫后，直接按手指與剛采集的指紋信息比對，檢查入庫指紋信息的可識別性；二是指紋下發到指紋UsbKey中后，與指紋UsbKey中存儲的指紋信息比對，檢查指紋UsbKey中指紋信息的可識別性。

指紋更新管理：對用戶采集的指紋進行重新采集或補充采集未采集的手指指紋。

指紋下發管理：把已采集完成的用戶指紋信息下發到用戶UsbKey中。

指紋信息管理：指紋信息的重新采集、刪除，修改指紋UsbKey關聯編號等信息。

雙人操作：為保證指紋采集安全性，系統設計為操作員采集完成后需要另外一個操作員按指紋復核，之后指紋信息才能入庫。

日志管理：指紋采集、更新、下發日志及日常操作日志。

業務統計：對指紋采集的數量、指紋下發的數量、手指指紋數量等進行統計分析；

離線指紋采集：在暫時不能與指紋信息庫聯網的情況下，對用戶進行指紋采集，并將指紋加密存儲于本地計算機并下發到用戶UsbKey中；在與指紋庫聯網時，能夠進行指紋上傳及核查。

2.1.2 應用流程設計

指紋信息庫管理系統主要應用流程有：指紋采集流程、指紋更新流程、指紋下發流程，每個流程都有在線和離線兩種方式。下面以在線采集和離線采集為例，設計流程如下：

（1）在線指紋采集流程：通過專用網絡直接連到指紋信息管理系統，必填信息項為身份證號、用戶指紋UsbKey編號、用戶名，其中身份證號、用戶名可以通過身份證閱讀器讀入，用戶指紋UsbKey編號由指紋管理員分配。（具體流程見圖3）

圖3 在線指紋采集流程示意圖

（2）離線指紋采集流程：當用戶在采集地不能通過網絡直接連到指紋庫管理系統時，采用指紋離線客戶端軟件采集用戶的指紋信息，用戶指紋暫時保存在離線客戶端軟件中。待能夠與指紋庫管理系統聯網時，通過離線客戶端軟件的上傳功能將已經采集的指紋信息上傳到指紋信息庫中。（具體流程見圖4）

2.2 系統部署架構設計

指紋信息管理系統由指紋硬件引擎、指紋信息庫、前臺在線管理系統、指紋離線采集軟件、指紋采集設備、指紋UsbKey等組成（見圖5）。指紋引擎為指紋信息庫管理系統提供基礎的支撐服務，采用雙機熱備模式，提供算法引擎、建庫查重功能，提供安全控制機制，確保指紋信息庫的安全，提供標準Web Service接口給指紋信息庫管理系統調用；在線指紋信息管理系統采用B／S架構，實現指紋信息全流程管理，包括在線指紋采集、指紋下發、用戶管理、指紋稽查、日志管理、統計分析、系統配置等功能；指紋信息庫利用Oracle數據庫RoseMirrorHA實現雙機熱備，為指紋數據提供安全可靠的存儲空間；指紋硬件采集設備是提供指紋注冊與二代身份證信息讀取功能為一體的硬件終端設備；指紋離線管理軟件提供離線指紋采集、指紋下發及在線指紋上傳等功能的C／S架構客戶端軟件。

圖4 離線指紋采集流程示意圖

圖5 系統部署架構示意圖

2.3 系統安全設計

指紋信息的安全性是指紋認證的前提，指紋信息管理系統在安全方面采用如下設計。

2.3.1 指紋信息防重放

由于指紋具備獨一無二的特性，所以使用者每次產生的指紋特征值皆會有所不同。利用這一點系統設計為如果在驗證服務的過程中出現相同重復的指紋特征值，顯示該指紋信息極有可能被中途攔截或破解，系統將自動拒絕認證。

2.3.2 指紋傳輸防篡改

指紋信息管理系統網絡間傳輸的指紋信息采用密鑰加密來進行信息的整體保護（見圖6），同時在保障加密質量的同時，為平衡安全性與傳輸效率，可以控制指紋信息傳輸包不大于一定字節數，有效保證指紋信息在網絡環境下能夠快捷傳輸。

2.3.3 指紋存儲防篡改

如圖7所示，為防止數據庫所儲存的指紋信息被篡改，系統設計為將所有存儲數據庫內的指紋信息，都以比對模板方式儲存，而不是儲存指紋本身的特征值，所以即使是竊取了數據庫內的指紋信息，也無法利用此信息進行指紋認證。

2.3.4 指紋比對錯誤次數鎖定機制

圖6 指紋安全傳輸示意圖

圖7 系統設計方式圖

為保證指紋信息庫管理系統的登錄安全，系統設計為可以設定登錄用戶指紋比對錯誤次數，當某用戶指紋比對失敗達N（自定義設定）次后，系統自動鎖定該用戶下的所有權限，并可以根據需要設定自動解鎖時間或人工解鎖。

3 結語

本文從具體應用場景出發，針對指紋識別技術應用中面臨的問題，從系統功能、系統部署、應用流程、安全措施方面對指紋信息“如何管理”進行了研究設計。此設計方案已成功應用于某央企資金業務指紋認證管理中，成為支撐指紋認證的重要配套系統，在有效保障集團資金安全方面發揮了重要作用。