基于云终端系统的指纹单点登录技术在电网一体化平台中的应用研究

1、基于云终端系统的指纹单点登录技术在电网一体化平台中的应用研究摘 要：公司电网一体化项目中现有的身份认证方式需要用户在进入云终端系统和业务系统时多次输入密码，存在一定的安全隐患，也给用户造成了不便。本文将单点登录技术与指纹识别技术相结合，设计和实现了一个基于云终端系统的指纹单点登录系统，已注册指纹的用户在开机后仅需完成一次指纹认证即可透明无缝地访问所有授权的应用系统和资源。测试结果表明，该系统能够较好的实现指纹识别和单点登录功能，具有较高的准确性，有效的简化了系统的身份认证流程，同时也进一步提升了系统的可用性与安全性。关键词：单点登录；指纹识别；云终端系统；电网一体化1 引言“十二五”期间，以特

2、高压为主干网架的一体化大电网格局将逐步形成，电网运行的整体性要求进一步增强，公司“大运行”体系和电网业务一体化运作体系将逐步建设完善，对支撑电网业务的通信手段提出了更高的要求。公司电网一体化项目基于电力云及统一通信平台实现了语音、数据、视频的综合接入，对于提高电力通信网生产调度、公司管理信息业务综合接入支撑能力具有重要意义。该项目中所研制桌面云服务系统和瘦客户端将计算能力、存储能力以及软件、办公文件集中在数据中心内，保护公司核心数据的安全，防止机密数据和敏感信息泄流，且无需复杂的IT系统即可实现严格的安全管控，满足公司信息安全要求，有利于实现集中管控。通常来说，每个单独的系统都会有自己的安全体

3、系和身份认证系统。整合以前，用户在使用云终端系统登录虚拟桌面及进入业务系统时需要输入多个帐户和口令，为了安全性需要还需定期修改复杂的密码，这不仅给用户带来不便，而且对平台的整体安全性也造成了很大的威胁，主要表现为用户如使用多个复杂密码，常常发生忘记账号密码的情况，如多系统共用一套简单用户名和密码，则会降低系统的保密强度；此外，用户数据的重复和冗余也增加了系统管理与维护成本，重复采取的安全访问策略从一定程度上来说降低了系统的可用性与系统的执行效率，无法适应现代对高效自动化办公的需求 吴贤平. 基于指纹识别和CAS的单点登录模型技术研究J. 计算机应用研究. 2012.4(29)：13811383

4、。在虚拟化系统中，这一问题显得更为严峻。随着云计算的普及，云端存储了大量的用户敏感数据, 一旦用户身份被仿冒，就很容易造成隐私和敏感数据的泄露 余幸杰，高能，江伟玉. 云计算中的身份认证技术研究C. 第27次全国计算机安全学术交流会. 2012(8)：7174。没有加入生物识别等强身份认证手段，将意味着任何人可以在任何有网络的地方，通过任意一种能联网的设备即可非法登录他人的虚拟系统。传统的认证方式无法确保虚拟系统的访问者“到底是谁”，安全策略无法被严格执行。由安全木桶原理得知，身份认证是整个信息安全体系的基础，用于解决访问者的物理身份和数字身份的一致性问题，为其他安全技术提供权限管理的依据 赵

5、红. 广西移动网上营业厅系统设计与实现D. 山东大学. 2008。基于系统的效率和安全等因素，如何建立安全可靠的应用系统，为企业用户提供集中式、安全快捷的统一认证与授权方式，保证企业的各项业务不受外界因素的破坏和干扰，已成为现代企业的信息化建设中急需解决的核心问题之一。本文将单点登录与指纹识别技术相结合，用户通过指纹设备采集指纹,只需进行一次身份认证就可以透明无缝地访问所有授权的应用系统或资源，极大的方便了用户的使用，提高了系统的安全性。2 相关技术简介2.1 单点登录技术单点登录是应用系统中的一种用户管理机制。它通过单次的用户认证授权行为，就可以实现用户对所有被授权的计算机和系统的存取访问，

6、不需要用户多次提供密码 江淇，王群. 单点登录技术及其在图书馆中的应用J. 图书馆数字化技术平台. 2007(4)：106108。具体来说，就是当用户想要访问若干个需要认证的网络资源或应用系统时，仅需要完成一次身份认证授权，之后该用户就可以无缝地访问所有有权访问的系统或资源，而不需要再次主动或被动地参与身份认证的过程。它的目的是简化账号登陆过程并保护账号和密码安全，对账号进行统一管理 孙井峰. 一种基于Cookie票据的网络用户身份认证系统的设计与实现D. 北京邮电大学. 2007。单点登录的基本实现机制是，当用户第一次访问应用系统A的时候，因为尚未完成登录操作，系统会将其引导至相应的认证系统

7、中完成登录操作；根据用户所提供的相关身份认证信息，认证系统对其进行身份效验。如果认证信息通过效验，系统将返回一个认证凭据给用户；当该用户需要访问其它应用系统的时候，就会将其作为自己的认证凭据，当前应用系统在接受到用户请求之后，会把将目标用户的认证凭据发送至认证系统进行相关的效验，以检查当前用户认证凭据的合法性。如果校验通过，用户访问其它的应用系统就不需要再次进行登录陈渌漪，管小清. 单点登录(SSO)系统的设计与实现J. 信息安全. 2008(24)：7577。本文对于单点登录的应用主要是在与将用户登录虚拟桌面的认证过程与登录电网一体化平台系统的认证过程做了整合。用户在开启瘦终端后，通过一次认

8、证即可访问业务平台，较大的提高了用户体验与系统效率。2.2 指纹识别技术人类的不同手指具有不同的指纹，同时，每个手指的指纹是终身不变的。相关研究已经证明了指纹的唯一性与不变性，业界认为可将其作为身份认定的依据刘记. 无线指纹考勤系统的设计与实现D. 河北工程大学. 2007.。随着生物识别技术成为安全与便捷身份认证的最佳选择之一, 指纹识别也因其易用性强、普及性广、技术不断成熟, 成为了当前生物识别领域的主流身份认证技术。作为目前最可靠、最便捷、非侵害、低成本的解决方案，指纹识别技术与业务系统的紧密结合，能够有效的杜绝由人为因素带来的系统漏洞，较好的保证业务系统的访问控制与用户权限安全，充分体

9、现验证了开放、安全、唯一等特点。一个基本的指纹识别系统，包括与采集人员交互的前端子系统、完成指纹识别的后台子系统，以及存储指纹数据的数据库子系统 刘雪梅，张应翔，舒畅. 基于指纹识别技术的单点登录系统的设计与实现J. 计算机与现代化. 2012.10(206)：121124。本文将指纹识别身份认证技术无缝集成到虚拟桌面，通过指纹识别强身份鉴别机制，提高应用虚拟化接入的安全性能，确保系统安全策略被严格执行，改善用户的整体体验，净化设备运行环境。3 指纹单点登录系统3.1 系统概述在电网一体化项目中，用户可以通过云终端系统登录由管理员统一定制的虚拟桌面，在此基础上使用电网一体化平台的相关业务，如视

10、频会议、语音呼叫等。现有的平台，需要用户在登录虚拟桌面及进入业务系统时输入多次用户名和密码，这种身份认证方式给系统带来了效率和安全问题，分析得到相关的鱼骨图，具体如图1所示。图1现有身份认证方式存在的问题的鱼骨图针对现有身份认证方式所存在的主要问题，系统引入了基于指纹识别技术的单点登录认证系统，借助最安全可靠的生物识别身份认证手段，取代传统的“用户名+密码”认证模式，降低因身份冒用、共用等非法进入内网虚拟化桌面窃取机密资料的风险。同时，利用与单点登录技术的结合，极大的简化了用户的操作，用户在开启瘦终端后，只需进行一次指纹认证就可以透明无缝地访问电网一体化平台的相关业务与资源，不再需要记忆和修改

11、多处密码，同时也减少了系统的管理和维护成本，提高了系统的效率和可用性。3.2 系统体系架构本文所设计的指纹单点登录系统基于云终端系统，主要组成部分包括瘦终端设备、指纹验证设备、虚拟系统服务器、指纹身份认证服务器、指纹数据库服务器等，具体的体系架构图如图2。（1） 瘦终端：用户连接虚拟桌面获取相关应用的设备。（2） 虚拟系统服务器：提供虚拟桌面及相关的业务系统。（3） 指纹验证设备：采集用户指纹，并将数据上传指纹身份认证服务器。（4） 指纹身份认证服务器：计算指纹特征码，完成指纹识别与认证。（5） 指纹数据库服务器：存储用户的指纹信息及相应的账户数据。图2系统的体系架构图3.3 系统业务流程3.

12、3.1 指纹注册指纹注册即指纹登记，是从目标指纹的采集图像中提取对应的指纹特征值，得到指纹特征值模板，并结合当前用户的身份认证信息，存入指纹识别系统的过程吴贤平. 基于校园网身份管理的指纹考勤系统的设计与实现J. 制造业自动化. 2011.33(24)：141144。所以当系统进行指纹注册的时候，为了保证用户的指纹与相关身份信息的准确对应, 需要现场督导人员参与。用户首次使用系统时，首先需要在相应的用户ID下按压录入指纹。系统将当前指纹与指纹数据库中的数据进行1：N模式的指纹比对，若指纹不重复，则由审核员审核后录入指纹完成注册。若指纹重复，则由用户重新按压指纹。注册时，为了保证核心业务系统中一

13、个人只能做单一职能的业务，需要保证此人指纹只出现在对应ID号下，具体流程图如图3。图3系统指纹注册流程图3.3.2 指纹识别指纹认证方式分为1:1与1:N两种模式，采用何种模式取决于应用系统的具体要求和特点。其中，指纹识别是指系统在1:N模式下对指纹特征值进行的匹配。它能够从大量的指纹模板中分辨识别出目标指纹。指纹识别的结果是,“存在”或者“不存在”，同时也能给出具体的身份信息。指纹验证则指的是系统在1:1模式下对指纹特征值进行的匹配。它将目标指纹的特征模板同的另一个已经事先存在的指纹特征模板进行一次比对与匹配，指纹验证的结果是“是”或者“不是”。本系统中，主要采用1：N的指纹识别模式。已注册

14、的用户在开启瘦终端设备之后，在客户端进行指纹扫描，指纹数据通过网络上传至指纹身份认证服务器。该服务器在指纹数据库中发起查询，寻找与当前指纹匹配的用户数据。如果查询得到匹配结果，则返回当前用户信息至瘦终端；若查询失败，则返回空值，用户重新录入指纹，具体流程图如图4。图4系统指纹识别流程图3.3.3 单点登录当系统完成指纹识别确认当前用户身份后，将返回当前用户的所有账号信息至瘦终端。瘦终端基于该用户数据，通过ICA协议启动相应的虚拟桌面，并自动完成电网一体化系统的登录认证。用户在开机后，只需要一次指纹验证即登录电网一体化平台，极大的简化了系统的身份认证流程，具体流程图如图5。图5系统单点登录流程图

15、3.4 系统功能模块3.4.1 指纹采集模块指纹采集模块用于指纹采集人员进行指纹采集，能够依照采集流程的具体要求，与采集设备完成信息交互，从而实现用户指纹图像、指纹特征等信息的采集功能。为适用于不同的网络环境，该模块同时支持离线和在线两种指纹采集方式。其中，离线采集模式能够在采集人员离线上门或网络状况不好的情况下提供采集服务。离线指纹采集完成后，当系统网络状况恢复，模块将统一上传采集完成的指纹信息到后台。在线模式则主要用于网络状况较好的场景，模块可以与后台服务器直接进行信息交互，从而实现实时采集、实时传输等功能。该模块提供语音提示功能，具有较高的人机友好性，提高了指纹采集的工作效率。同时，模块

16、支持数据上传与指纹采集的分离，保证了采集过程的连续性。模块还支持对采集人员的权限进行细化管理、支持远程的参数动态加载，方便运维系统对各个采集点进行统一的管理和调度。此外，该模块能够通过一定的算法对登记入系统的指纹数据进行质量预判，以确保当前采集的指纹数据质量在一定的标准之上，从最初的采集部分保证了指纹数据的质量，提高了系统的准确性与可用性。3.4.2 指纹识别模块指纹识别模块是可基于集群和分布式处理的云计算平台进行大规模指纹比对，能够满足海量指纹数据的大规模应用要求, 具有高可靠性、高稳定性、支持高并发访问。该模块通过多线程、内存缓存、非阻塞式 IO、分布式计算等技术，以高起点方式进行系统结构

17、设计，每一个引擎支持每秒20万枚指纹的搜寻度，系统最大可实现每秒钟上千万枚指纹的比对。指纹识别的核心流程如下：首先系统对已采集的指纹图像进行预处理，主要使用动态优化算法和智能修复算法对指纹图像进行数据修复，接着系统提取当前指纹的特征值，并与指纹模版库中的指纹模板特征值进行比对，若相似度在系统设置的阈值范围内，则指纹认证通过；否则视为认证失败，具体流程如图6所示。图6指纹识别模块核心流程在指纹识别模块中，我们通过智能学习算法对指纹模板进行学习修补，系统可对指纹模板进行动态优化以提高指纹模版的质量。同时系统能够基于线数比对技术，利用指纹数据的细节特征点与纹线间的推理关系进行相关匹配，通过多重比对提

18、高结果的精准度。此外，系统还采用多机、多CPU、多内核、多线程、多指令并行计算,多角度全面提升系统的比对速度。3.4.3 指纹支撑模块指纹支撑模块主要负责提供外部接口，完成比对引擎的数据访问以及系统数据的存储管理。同时，该模块是系统全平台的安全架构中心，与指纹采集仪、指纹采集客户端、存储子系统一起构建平台的端到端安全性。该模块的主要功能包括接口通信、业务处理、接入者鉴权、数据存储与提取、数据加密与解密、比对引擎调度、网络服务接口等。指纹支撑模块的一个重要功能是，确保系统网络间的所有指纹信息皆采用高效加密技术进行传输，同时通过相关优化技术，系统能在网络环境下快捷传输指纹数据库中所储存的指纹资料。

19、此外，所有数据库内的指纹资料都以比对档方式储存，而非储存指纹本身的特征档。所以即使是窃取了数据库内的指纹数据，也无法利用此资料进行相关的指纹认证，较好的保证了系统的可靠性与安全性。3.4.4 指纹运维模块指纹运维模块的主要功能是对指纹采集客户端进行权限控制、远程参数管理、对指纹图像的查看与统计，对指纹采集过程的查询、统计与分析，对指纹比对过程的查询、统计与分析，以及对指纹认证系统的配置维护与集中监控。3.4.5 单点登录模块单点登录模块集成于云终端系统，主要实现与指纹身份认证服务器的通信，获取已验证用户的账户信息，通过ICA协议启动相应的虚拟桌面，并且自动登录电网一体化平台的相应功能。4 系统

20、的测试与结果4.1 测试指标4.1.1 FRRFRR（False Rejection Rate）即拒真率，表示把应该相互匹配成功的指纹当做不能匹配的指纹的概率 张承杰. 基于指纹单点登录的协同办公系统研究与设计D. 上海交通大学.2011。在计算FRR的时候，在同一个指纹库中，对于同一个算法，我们需要给出一个匹配相似度的阈值，用以判定两个指纹是否相似。当两个指纹的相似度大于阈值的情况下，系统认定为匹配成功；否则，表示匹配失败。FRR的计算公式为：FRR（拒真率） = ×100%可以看出FRR 是随阈值增大而增大的，即判定相似的门槛值越高，则真的指纹被判定为假的机率就越大。针对同一个指

21、纹库，每个指纹识别算法的匹配失败率FRR是固定的。一般来说，国际上是以国际指纹识别竞赛（FVC）公布的指纹库为统一的指纹识别算法测试库，测试得到的FRR结果将作为指纹算法性能衡量的重要标准。4.1.2 FMRFMR（False Match Rate）即为认假率，表示为将不应匹配的指纹当作匹配指纹的概率。类似的，在计算FMR的时候，在同一个指纹库中，对于同一个指纹识别算法，我们仍需要给出一个匹配相似度的阈值，用以判定两个指纹是否相似。当两个指纹的相似度大于阈值的情况下，系统认定为匹配成功；否则，表示匹配失败。FMR的计算公式为：FMR（认假率） = ×100%可以看出，FMR 是随阈值

22、增大而减小的，即随着判定相似度的门槛值越高，把假的指纹判定为真的概率就会越小。同样的，对于指纹识别算法来讲，针对同一个指纹库，每个指纹识别算法的认假率FMR也是固定的。4.2 测试结果与分析4.2.1 测试环境(1)硬件环境表格1系统测试的硬件环境列表硬件类别基本配置瘦终端CPU: X86 1.0GHz 双核内存：2GB DDR3 闪存：4GB服务器DELLR720 CPU：2路6核内存：16G 指纹采集器采用CMOS 光学按压式指纹芯片(2) 软件环境表格2系统测试的软件环境列表软件类别产品版本虚拟化软件XenServerv5.6 SP2虚拟化软件云终端系统v5.5 SP1虚拟化软件访问站点

23、组件v5.4虚拟化软件授权服务器v11.1操作系统Microsoft Windows ClientXP Pro SP3 32 Bit操作系统Microsoft Windows Server2008 R2 Enterprise数据库软件Microsoft SQL Server 2008 R2 Enterprise 4.2.2 测试结果及分析在本次测试中，指纹数据来源于500个不同手指，每个手指注册有3个指纹图像。其中，指纹特征模板大小为150300字节，指纹模板产生平均时间为3.27秒。在指纹识别方面，系统的相似性阈值设定为90%，通过测试软件我们将系统中的每个指纹与其它所有指纹进行匹配。理论上，存在500*3*(500*3-1)=2248500种匹配方式，其中匹配成功次数应为500*6=3000次，匹配失败次数为500*3*499*3 = 2248500-3000=2245500次。实际测试中，本该匹配成功却拒识的次数为4次，错误匹配次数18次。因此，最终得到系统的拒真率约为0.01%，认假率为0.0008%。由此，我们可以看出本系统能够较为准确的完成指纹识别功能。同时，系统还基于2002年FVC大赛的四个标准指纹库进行了不同阈值的拒真率与认假率的测试。由测试结果可以看出，系统