Windows统一生物身份识别认证平台

---

一、功能概述

指纹识别平台（以下简称UniBAP）是中天一维指纹UKEY应用系统的平台服务，以指纹识别技术和商用密码技术为核心 ，结合先进的网络安全手段开发的跨平台的、开放的统一身份认证平台。UniBAP是运行在Windows Server系统以上的一组系统服务，它们一同工作，提供多种生物识别身份认证服务（包括指纹、掌纹、虹膜等，目前只实现了指纹识别）。提供安全便捷的认证方式， 实现“任何人、任何地方、任何设备”的统一认证方式(“Anyone Anywhere Any Device Just one touch”)。

利用人体生物特征——指纹所具有的唯一性、不变性、再生性，并结合商用密码技术来进行身份认证，它避免了传统的“用户名+密码”、磁卡、IC卡等认证方式存在的遗忘，失窃，代替，破解等不足和缺陷，有效地杜绝了人为因素造成的系统漏洞，充分体现了开放、安全、唯一等特点。

功能描述：

• 1.本平台为使用该系统的应用程序提供如下功能
  

  • 提供SDK开发报，以供二次开发使用。

• 2.本平台提供一个管理控制台，方便人机交互。要完成如下功能

  • 提供在该平台上开发的应用程序的注册管理。

  • 提供指纹验证的日志管理。

  • 提供一个其它认证方式（例如指纹、掌纹）的注册画面。

  • 提供一个负载平衡主机管理画面。

  • 提供管理数据库连接信息的配置画面。

  • 提供算法升级向导

• 3.数据处理方式

  • 指纹比对在服务器端进行。

  • 取指纹特征值可在客户端和服务器端任意一方进行。

  • WSQ压缩和解压缩可在客户端和服务器端任意一方进行。

• 4.数据存储

  • 实现特征值DES加密存储。

  • 实现图像数据的WSQ压缩存储。

  • 数据的存储要支持目前流行的数据库管理系统，例如MS SQL、ORACLE、SYBASE、ACCESS。

  • 支持LDAP活动目录存储。

• 5.通过LICENSE实现发行控制

  • 用户的LICENSE管理。

• 6.支持多种格式的数据变换

  • 接收指纹特征值，指纹特征值在数据库中加密存储。

  • 查找指纹特征值时，输出解密的指纹特征值。

二、平台结构

UNIBAP的总体目标是完成指纹信息的存储和认证管理，并为其它生物认证方式的加入提供容器，以使得使用UNIBAP的应用程序具有生物特征的认证能力。UNIBAP的最终产品是一个开发平台，在该平台上开发的应用程序将具有强大的生物特征的认证能力。

整个平台在三层结构模型的架构上进行构造，该系统由数据表示层、业务逻辑层和数据服务层组成。

架构图如下图所示：

数据表示层提供供应用程序开发指纹应用相关的应用程序接口，并通过TCP与服务器端的业务逻辑层进行通信。（这里数据表示层也可封装成一个WEB SERVICE，供其它应用程序在INTERNET上调用，成为了其它应用程序的服务端。）

业务逻辑层的组成包括：与客户端进行交互的通信程序、数据捣弄及处理程序、数据加密解密程序、数据压缩程序以及负载平衡策略管理服务程序。

数据服务层由数据库的访问程序和网络目录的访问程序构成，负责处理对各种主流数据库管理系统和活动目录的访问。

三、工作流程

UNIBAP的主要逻辑组成部分是各种生物特征信息的存储和认证，以及各个模块之间的通信。下面所述的各个组件不一定是相互独立的，只是为了逻辑上的清晰才分别开来。

• 指纹信息的存储（数据库和网络目录）

• 指纹特征值的提取和比对

• 指纹特征值的加密解密

• 应用程序的注册管理

• 其它生物特征（例如掌纹）信息处理程序的注册

• LICENSE管理

• 负载平衡策略

• 图像的压缩与还原

• TCP通信服务

• 支持SOAP（构建WEB SERVICE）

各个逻辑组件的概要描述:

• 1.指纹信息的存储
    在数据库或网络目录中新增一个用户并存储其指纹信息。

• 2.指纹特征值的提取和比对
    该组件负责从指纹图象提取指纹特征值以及两枚指纹比对的算法。

• 3.指纹特征值的加密解密
    在指纹特征值存储时，要加密，在两枚指纹的特征值进行比对时要解密，该组件提供加密解密算法。

• 4.应用程序的注册管理
     在UNIBAP上可以支持多个指纹相关的应用程序的运行，不同的应用程序在自己的空间内运行，访问自己的数据，并且可以通过设置使一个应用程序可以访问另外一个应用程序的数据。这些都通过应用程序的注册管理实现。

• 5其它生物特征（例如掌纹）信息处理程序的注册
     UNIBAP的全称是统一生物认证平台，即在UNIBAP中可以支持多种生物特征的认证（例如掌纹、虹膜等），所有的认证程序都以COM组件的形式存在，组件注册后，还需要在数据库增加一些对应的信息（什么组件处理什么种类的数据），在UNIBAP的服务中会根据这些信息创建这些组件的实例。

• 6.LICENSE管理
     在UNIBAP发行后，即面临着对UNIBAP客户端的数目进行管理的问题，使用客户端LICNESE可以解决这个问题。在发行时，发布一个LICENSE表，该表是一个文本文件，该文件中记录了各个LICENSE的加密号码，当客户端注册LICENSE时，客户端首先要根据本地的网卡地址生成一个KEY，然后将明码的LICENSE号和KEY发送到服务器端，服务器端将得到的LICNESE号与LICENSE表中的号码进行比较，如果二者相匹配，则将该KEY记录到LICENSE表中。通过加密手段可以保障LICENSE表中LICENSE号的真实性。

• 7.负载平衡策略
     在数据库中新增一个用户并存储其指纹信息。

• 8.图像的压缩与还原
     为了减少数据库的空间占用，需要对存储到数据库的图像数据进行压缩，当需要对数据进行变换（例如从图像提取特征值）时还原，该组件提供图像压缩与还原的算法。

• 9.TCP通信服务
     客户端与服务器端的通信使用TCP，该组件负责数据的发送与接收。

• 10.构建WEB SERVICE
     为了支持在INTERNET上的指纹认证方法的调用，需要构建一个WEB SERVICE，需要MS SOAPTOOLKIT2.0的工具包。

四、接口定义

指纹服务器接口：

• Enroll：新增一个用户，并保存其指纹信息。

• Super addition：为一个用户追加指纹信息。

• Unroll： 删除一个用户的指纹信息。

• Modify：修改一个已存在用户的指纹信息。

• Verify：验证一个用户的指纹。

• Identify：通过一枚指纹找到拥有该指纹的用户列表。

• Find Fingerprint Image：查找一个用户的指纹图像。

• Find Fingerprint Feature：查找一个用户的指纹特征值。

• 这些方法可以在局域网上通过COM调用，也可以在INTERNET上通过构建一个WEB SERVICE，远程使用SOAP通过HTTP调用。

五、基于平台的软件产品

本平台的架构几乎涵盖了目前软件系统的所有架构方式，它包括了Browser/Server、Browser/Server+移动终端、Client/Server、Server+嵌入式终端（含指纹UKEY模块）四种架构方式，其架构方式与对应的产品，如图下图所示：

六、安全性/核心点 /特点描述/可靠性认证

基于指纹识别的“一维”Windows域登录系统Biologon Pro 是我们基于自身指纹识别算法核心技术及系统软件开发能力推出的一款适合Windows域安全登录的网络操作系统安全产品，产品完全适用于Windows server 2003/2008/2012，是获得微软公司产品认证的指纹识别身份认证服务类产品。它提供了有关生物识别技术应用的计算机系统安全解决方案，能够通过指纹等生物认证方式代替密码识别，登录计算机及网络系统，该系统经过微软认证。

• 适用范围：Windows域管理环境

• 方案构成：系统由Unibap服务器端+Biologon客户端+指纹鼠标或者指纹采集仪构成。

• 服务器端：Windows Server 2008\2012 客户端：Biologon登陆软件+指纹采集设备

• 方案特点：
     1：不更改用户界面，用户很容易接受
     2：完整的系统事件日志追踪，可做到有据可查
     3：与Windows Server紧密衔接，使之更加安全
     4：指纹识别效率高，拒假水准好