一種基于指紋認證的電信運維系統(tǒng)的設計與應用

耿波

（聯(lián)通寬帶在線有限公司，北京 100032）

一種基于指紋認證的電信運維系統(tǒng)的設計與應用

耿波

（聯(lián)通寬帶在線有限公司，北京 100032）

針對以往電信運維系統(tǒng)中運維工作人員身份識別和權限管理中存在的問題，提出并實現(xiàn)了基于指紋認證的電信運維系統(tǒng)，解決了以往身份認證和授權存在的問題。此外，針對以往C/S架構(gòu)系統(tǒng)自身的缺點，本系統(tǒng)采用具有跨平臺特性的J2EE架構(gòu)進行重新設計實現(xiàn)。

指紋認證；運維管理；J2EE；1：1比對

1．引言

指紋識別技術作為生物特征識別技術的一種，是通過采集指紋圖像進行匹配識別來確認指紋所有人身份的生物特征識別技術。由于人體指紋具有不變性和唯一性，同時該技術已具成熟性和穩(wěn)定性，指紋識別技術已經(jīng)成為應用比較廣泛的生物識別技術。

在電信運維業(yè)務系統(tǒng)中，運維人員身份的識別和權限的管理還是通過密碼或權限卡的方式來進行的。而密碼自身局限性以及權限卡方式存在人卡分離、保管不善等原因，從而導致身份認證失敗或者授權失誤的問題，由此會給電信運維業(yè)務帶來巨大的操作風險。因此利用人體生物特征自身特性的優(yōu)勢，實現(xiàn)身份識別、權限認證等需求來完成運維業(yè)務的操作勢在必行。此外，由于以往系統(tǒng)的設計開發(fā)采用CS架構(gòu)設計，系統(tǒng)只能在一種平臺中運行，為系統(tǒng)的升級和維護帶來很多困難。

基于以上分析，本文提出一種利用指紋認證方式實現(xiàn)對運維人員身份和權限識別和認證的方式。首先將全省運維人員指紋數(shù)據(jù)進行集中采集和存儲，再將每個運維人員的指紋數(shù)據(jù)下載到指紋比對設備中，然后提交到業(yè)務系統(tǒng)進行運維人員身份的識別和比對。該系統(tǒng)將指紋采集、下載等管理工作與業(yè)務系統(tǒng)中的身份認證工作分離開來，同時又兼顧原有系統(tǒng)權限卡系統(tǒng)識別方式，實現(xiàn)了原有電信運維系統(tǒng)業(yè)務系統(tǒng)在不進行大規(guī)模改造的前提下的運維人員身份識別和權限認證。整個系統(tǒng)的設計開發(fā)基于J2EE架構(gòu)設計開發(fā)，利用Java跨平臺特性以及J2EE規(guī)范的多層、分布式、基于組件的企業(yè)級應用系統(tǒng)開發(fā)模型設計特性，從而很好地解決C/ S系統(tǒng)在跨平臺開發(fā)中存在缺陷的問題，同時也提高系統(tǒng)的安全性和應用性。

2．指紋認證系統(tǒng)結(jié)構(gòu)圖

圖1給出了所設計的電信運維系統(tǒng)指紋認證系統(tǒng)結(jié)構(gòu)圖，并給出了指紋認證系統(tǒng)與電信運維業(yè)務系統(tǒng)間的關系。一般來說，為了確保電信運維業(yè)務系統(tǒng)的安全可靠，同時不影響原有業(yè)務工作的正常運行，指紋認證系統(tǒng)原則上與電信運維業(yè)務系統(tǒng)在網(wǎng)絡設計時是物理分離的。由于指紋認證系統(tǒng)中需要實時共享業(yè)務主機中的運維人員數(shù)據(jù)信息，因此為了實現(xiàn)二者運維人員數(shù)據(jù)的一致性，在指紋服務器和業(yè)務主機之間設立網(wǎng)關服務器來實現(xiàn)二者數(shù)據(jù)通信，二者之間的通信需要按照事先設立的通信接口標準來進行，從而確保通信安全。

此外，為了確保指紋數(shù)據(jù)的安全管理，將指紋采集功能、指紋下載功能和指紋認證功能三者進行分離。指紋采集功能集中在省分和地市管理部門；指紋下載功能集中在各個管理網(wǎng)點，而指紋識別和認證處于業(yè)務主機終端中。

圖1 電信運維系統(tǒng)指紋認證系統(tǒng)結(jié)構(gòu)圖

3．指紋認證系統(tǒng)關鍵技術

3．1 指紋采集

在實現(xiàn)指紋儀運維人員身份驗證功能之前，需要將運維人員標準指紋信息采集到指紋數(shù)據(jù)庫中。利用該系統(tǒng)，上級管理用戶通過瀏覽器調(diào)用指紋儀Applet實現(xiàn)運維人員指紋數(shù)據(jù)的集中采集。根據(jù)指紋特性，利用指紋儀獲取指紋圖像提取特征點，然后形成指紋模板存入后端指紋數(shù)據(jù)庫。由于該模板要作為運維人員驗證的標準依據(jù)，為確保其準確性需要對同一指紋連續(xù)采集三次，只有三次采集到的指紋模板數(shù)據(jù)完全一致才能夠正確登記該運維人員指紋信息。具體采集流程如圖2所示。

圖2 指紋采集流程圖

3．2 指紋下載

指紋設備投入使用之前，需要在運維網(wǎng)點的指紋管理終端中下載該網(wǎng)點運維人員的指紋數(shù)據(jù)，并將其存入指紋比對設備中，用于業(yè)務系統(tǒng)終端中運維人員指紋的比對。在下載指紋數(shù)據(jù)的同時也要與業(yè)務系統(tǒng)的主機服務器進行通信，獲取運維人員標識ID，并將運維人員標識ID與運維人員指紋數(shù)據(jù)進行綁定，然后下載到指紋比對設備中。在運維人員指紋比對的同時通過輸入運維人員ID來實現(xiàn)運維人員指紋信息的1：1比對，提高了工作效率。

3．3 指紋比對

指紋的比對可以有兩種方式，一種是在指紋數(shù)據(jù)庫服務器內(nèi)部比對，通過上傳指紋模板和運維人員標識信息在服務器內(nèi)實現(xiàn)1：1比對，然后將比對結(jié)果返回到前端系統(tǒng)；另一種比對方式是在指紋儀設備內(nèi)部來進行。由于指紋數(shù)據(jù)庫系統(tǒng)和業(yè)務系統(tǒng)是兩個獨立系統(tǒng)，二者從功能上和邏輯上可以說是分離的，所以業(yè)務系統(tǒng)終端指紋的比對，只能采取指紋儀設備內(nèi)部模板的比對。

在該系統(tǒng)中，輸入運維人員ID并采集指紋后與存儲在指紋儀設備中的指紋模板進行1：1比對，根據(jù)比對結(jié)果來獲取該運維人員登陸身份和權限。為了提高系統(tǒng)安全性，在系統(tǒng)實現(xiàn)時，指紋儀設備驅(qū)動需要和業(yè)務系統(tǒng)在底層進行綁定。

3．4 系統(tǒng)安全性

安全和可靠是該系統(tǒng)需要著重考慮的一個問題。第一是需要考慮系統(tǒng)頁面安全問題。為了確保系統(tǒng)頁面安全，用戶密碼采用MD5算法加密后保存在數(shù)據(jù)庫中，從而防止對數(shù)據(jù)庫信息非法竊取后登陸；每一頁面的調(diào)用都要對當前操作用戶身份和權限的核驗，非法用戶或低權限用戶都無法進入該頁面；采用Session保護機制確保用戶長時間不用后頁面的自動失效。第二是對運維人員指紋采集的保護措施。在指紋采集時除了采用同一指紋三次采集并確認的措施之外，對于每一采集網(wǎng)點采用了信任站點保護機制來確保每一個采集點的合法性，不受信任站點將無法進行指紋的采集工作。此外，在電信運維業(yè)務系統(tǒng)中，指紋儀設備的驅(qū)動程序同業(yè)務系統(tǒng)在底層進行了綁定，從而確保運維人員登陸時指紋采集的正確性與合法性。

4．電信運維系統(tǒng)J2EE架構(gòu)設計

J2EE是建立在Java 2平臺上的企業(yè)級應用的解決方案。作為一個企業(yè)級開發(fā)的工業(yè)標準和首選平臺，J2EE體系結(jié)構(gòu)提供中間層集成框架用來滿足無需太多費用而又需要高可用性、高可靠性以及可擴展性的應用的需求。通過提供統(tǒng)一的開發(fā)平臺，J2EE降低了開發(fā)多層應用的費用和復雜性，同時提供對現(xiàn)有應用程序集成強有力支持，完全支持Enterprise JavaBeans，有良好的向?qū)еС执虬筒渴饝?，添加目錄支持，增強了安全機制，提高了性能。

J2EE使用多層的分布式應用模型，應用邏輯按功能劃分為組件，各個應用組件根據(jù)他們所在的層分布在不同的機器上。事實上，Sun設計J2EE的初衷正是為了解決兩層模式(Client/Server)的弊端，在傳統(tǒng)模式中，客戶端擔當了過多的角色而顯得臃腫，在這種模式中，第一次部署的時候比較容易，但難于升級或改進，可伸展性也不理想，而且經(jīng)?；谀撤N專有的協(xié)議――通常是某種數(shù)據(jù)庫協(xié)議。它使得重用業(yè)務邏輯和界面邏輯非常困難?，F(xiàn)在J2EE的多層企業(yè)級應用模型將兩層化模型中的不同層面切分成許多層。一個多層化應用能夠為不同的每種服務提供一個獨立的層，以下是J2EE典型的四層結(jié)構(gòu)：

(1)運行在客戶端機器上的用戶層

用戶層與用戶交互，并把來自系統(tǒng)的信息顯示給用戶。J2EE平臺支持不同類型的用戶，包括HTML用戶，JavaApplet和Java應用。獲得授權的用戶可以通過瀏覽器實現(xiàn)用戶管理，指紋采集和指紋下載等工作。

(2)運行在Web服務器上的Web層

Web層產(chǎn)生表示邏輯，并接收來自用戶層客戶端的用戶反饋，在及基礎上對用戶產(chǎn)生相應回應。在J2EE平臺中，Web層是由Web容器內(nèi)的Servlet組件和JSP組件來實現(xiàn)的。

(3)運行在J2EE應用服務器上的業(yè)務層

業(yè)務層處理系統(tǒng)的核心業(yè)務邏輯，為底層業(yè)務組件提供必要的接口。業(yè)務組件通常由J2EE容器內(nèi)的EJB組件構(gòu)成。業(yè)務層是系統(tǒng)實現(xiàn)的關鍵，一方面它需要將數(shù)據(jù)庫中的數(shù)據(jù)轉(zhuǎn)為對象，使數(shù)據(jù)可以用面向?qū)ο蟮姆椒▉矸治?、設計和實現(xiàn)；另一方面它又向Web層提供應用邏輯的調(diào)用接口，并且EJB容器封裝了核心和關鍵的計算及處理過程，擴充新的服務功能只需要對EJB組件進行擴展即可。

(4)數(shù)據(jù)層

一般來說數(shù)據(jù)層是由J2EE應用和非J2EE應用或原有系統(tǒng)的連接點組成，負責對整個數(shù)據(jù)庫系統(tǒng)的維護和存儲，并根據(jù)請求的業(yè)務操作數(shù)據(jù)。由于指紋數(shù)據(jù)庫系統(tǒng)是一個獨立的系統(tǒng)，因此在該系統(tǒng)的數(shù)據(jù)層只由一個滿足J2EE應用的數(shù)據(jù)庫系統(tǒng)構(gòu)成。

根據(jù)J2EE設計規(guī)范以及電信運維業(yè)務系統(tǒng)開發(fā)要求，本文設計了基于J2EE架構(gòu)的電信運維系統(tǒng)指紋認證系統(tǒng)的分層結(jié)構(gòu)圖，如圖3所示。

圖3 基于J2EE架構(gòu)的電信運維系統(tǒng)分層結(jié)構(gòu)圖

5．結(jié)論

本文根據(jù)電信運維系統(tǒng)業(yè)務特點，提出了一種基于指紋認證的運維管理系統(tǒng)，實現(xiàn)對操作人員身份和權限的識別和認證。整個系統(tǒng)采用J2EE架構(gòu)設計和實現(xiàn)，利用Java跨平臺特性解決C/S系統(tǒng)在跨平臺開發(fā)中存在缺陷的問題；此外，利用J2EE規(guī)范的多層、分布式、基于組件的企業(yè)級應用系統(tǒng)開發(fā)模型設計思想，提高系統(tǒng)復用性、靈活性和安全性，并同時將該系統(tǒng)成功應用到相關行業(yè)中。該系統(tǒng)開放性較好，并具備較強的擴展性，對開發(fā)同類信息管理系統(tǒng)具有一定的借鑒作用。

[1]韓濤，朱明富．基于指紋識別和CMS結(jié)構(gòu)的保管箱管理系統(tǒng)[J]．微機發(fā)展，2005，15(6)：145-148．

[2]倪凱，馮翔，魯銘，葉雷等．基于J2EE架構(gòu)的WebGIS協(xié)同平臺系統(tǒng)集成[J]．小型微型計算機系統(tǒng)，2007，28(1)：132-135．

[3]劉滿華，許超，邵惠鶴．一種實用的指紋自動識別系統(tǒng)的設計[J]．計算機工程，2002，28(5)：123-181．

[4]游振渭．江西聯(lián)通電子運維系統(tǒng)的研究與實踐[D]．北京：北京郵電大學，2010．

Design and Implementation of the Communications Operation and Maintenance System Based on Fingerprint Authen tication

Geng Bo
(China Unicom Broadband Online Limited Corporation,Beijing 100032)

To solve the problem of identification and authorization management in current communications operation and maintenance system,a new communications operation and maintenance system based on fingerprint identification is introduced in the paper.The system uses J2EE architecture with cross-platform features to avoid the shortcoming of C/S architecture.

fingerprint authentication;operation and maintenance;J2EE;1:1 verification

耿波,男,北京人，學士,工程師,研究方向：計算機網(wǎng)絡和管理信息系統(tǒng)，生物特征識別等。