耿波

（聯(lián)通寬帶在線有限公司，北京 100032）

一種基于指紋認(rèn)證的電信運(yùn)維系統(tǒng)的設(shè)計(jì)與應(yīng)用

耿波

（聯(lián)通寬帶在線有限公司，北京 100032）

針對(duì)以往電信運(yùn)維系統(tǒng)中運(yùn)維工作人員身份識(shí)別和權(quán)限管理中存在的問題，提出并實(shí)現(xiàn)了基于指紋認(rèn)證的電信運(yùn)維系統(tǒng)，解決了以往身份認(rèn)證和授權(quán)存在的問題。此外，針對(duì)以往C/S架構(gòu)系統(tǒng)自身的缺點(diǎn)，本系統(tǒng)采用具有跨平臺(tái)特性的J2EE架構(gòu)進(jìn)行重新設(shè)計(jì)實(shí)現(xiàn)。

指紋認(rèn)證；運(yùn)維管理；J2EE；1：1比對(duì)

1．引言

指紋識(shí)別技術(shù)作為生物特征識(shí)別技術(shù)的一種，是通過采集指紋圖像進(jìn)行匹配識(shí)別來確認(rèn)指紋所有人身份的生物特征識(shí)別技術(shù)。由于人體指紋具有不變性和唯一性，同時(shí)該技術(shù)已具成熟性和穩(wěn)定性，指紋識(shí)別技術(shù)已經(jīng)成為應(yīng)用比較廣泛的生物識(shí)別技術(shù)。

在電信運(yùn)維業(yè)務(wù)系統(tǒng)中，運(yùn)維人員身份的識(shí)別和權(quán)限的管理還是通過密碼或權(quán)限卡的方式來進(jìn)行的。而密碼自身局限性以及權(quán)限卡方式存在人卡分離、保管不善等原因，從而導(dǎo)致身份認(rèn)證失敗或者授權(quán)失誤的問題，由此會(huì)給電信運(yùn)維業(yè)務(wù)帶來巨大的操作風(fēng)險(xiǎn)。因此利用人體生物特征自身特性的優(yōu)勢(shì)，實(shí)現(xiàn)身份識(shí)別、權(quán)限認(rèn)證等需求來完成運(yùn)維業(yè)務(wù)的操作勢(shì)在必行。此外，由于以往系統(tǒng)的設(shè)計(jì)開發(fā)采用CS架構(gòu)設(shè)計(jì)，系統(tǒng)只能在一種平臺(tái)中運(yùn)行，為系統(tǒng)的升級(jí)和維護(hù)帶來很多困難。

基于以上分析，本文提出一種利用指紋認(rèn)證方式實(shí)現(xiàn)對(duì)運(yùn)維人員身份和權(quán)限識(shí)別和認(rèn)證的方式。首先將全省運(yùn)維人員指紋數(shù)據(jù)進(jìn)行集中采集和存儲(chǔ)，再將每個(gè)運(yùn)維人員的指紋數(shù)據(jù)下載到指紋比對(duì)設(shè)備中，然后提交到業(yè)務(wù)系統(tǒng)進(jìn)行運(yùn)維人員身份的識(shí)別和比對(duì)。該系統(tǒng)將指紋采集、下載等管理工作與業(yè)務(wù)系統(tǒng)中的身份認(rèn)證工作分離開來，同時(shí)又兼顧原有系統(tǒng)權(quán)限卡系統(tǒng)識(shí)別方式，實(shí)現(xiàn)了原有電信運(yùn)維系統(tǒng)業(yè)務(wù)系統(tǒng)在不進(jìn)行大規(guī)模改造的前提下的運(yùn)維人員身份識(shí)別和權(quán)限認(rèn)證。整個(gè)系統(tǒng)的設(shè)計(jì)開發(fā)基于J2EE架構(gòu)設(shè)計(jì)開發(fā)，利用Java跨平臺(tái)特性以及J2EE規(guī)范的多層、分布式、基于組件的企業(yè)級(jí)應(yīng)用系統(tǒng)開發(fā)模型設(shè)計(jì)特性，從而很好地解決C/ S系統(tǒng)在跨平臺(tái)開發(fā)中存在缺陷的問題，同時(shí)也提高系統(tǒng)的安全性和應(yīng)用性。

2．指紋認(rèn)證系統(tǒng)結(jié)構(gòu)圖

圖1給出了所設(shè)計(jì)的電信運(yùn)維系統(tǒng)指紋認(rèn)證系統(tǒng)結(jié)構(gòu)圖，并給出了指紋認(rèn)證系統(tǒng)與電信運(yùn)維業(yè)務(wù)系統(tǒng)間的關(guān)系。一般來說，為了確保電信運(yùn)維業(yè)務(wù)系統(tǒng)的安全可靠，同時(shí)不影響原有業(yè)務(wù)工作的正常運(yùn)行，指紋認(rèn)證系統(tǒng)原則上與電信運(yùn)維業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)設(shè)計(jì)時(shí)是物理分離的。由于指紋認(rèn)證系統(tǒng)中需要實(shí)時(shí)共享業(yè)務(wù)主機(jī)中的運(yùn)維人員數(shù)據(jù)信息，因此為了實(shí)現(xiàn)二者運(yùn)維人員數(shù)據(jù)的一致性，在指紋服務(wù)器和業(yè)務(wù)主機(jī)之間設(shè)立網(wǎng)關(guān)服務(wù)器來實(shí)現(xiàn)二者數(shù)據(jù)通信，二者之間的通信需要按照事先設(shè)立的通信接口標(biāo)準(zhǔn)來進(jìn)行，從而確保通信安全。

此外，為了確保指紋數(shù)據(jù)的安全管理，將指紋采集功能、指紋下載功能和指紋認(rèn)證功能三者進(jìn)行分離。指紋采集功能集中在省分和地市管理部門；指紋下載功能集中在各個(gè)管理網(wǎng)點(diǎn)，而指紋識(shí)別和認(rèn)證處于業(yè)務(wù)主機(jī)終端中。

圖1 電信運(yùn)維系統(tǒng)指紋認(rèn)證系統(tǒng)結(jié)構(gòu)圖

3．指紋認(rèn)證系統(tǒng)關(guān)鍵技術(shù)

3．1 指紋采集

在實(shí)現(xiàn)指紋儀運(yùn)維人員身份驗(yàn)證功能之前，需要將運(yùn)維人員標(biāo)準(zhǔn)指紋信息采集到指紋數(shù)據(jù)庫中。利用該系統(tǒng)，上級(jí)管理用戶通過瀏覽器調(diào)用指紋儀Applet實(shí)現(xiàn)運(yùn)維人員指紋數(shù)據(jù)的集中采集。根據(jù)指紋特性，利用指紋儀獲取指紋圖像提取特征點(diǎn)，然后形成指紋模板存入后端指紋數(shù)據(jù)庫。由于該模板要作為運(yùn)維人員驗(yàn)證的標(biāo)準(zhǔn)依據(jù)，為確保其準(zhǔn)確性需要對(duì)同一指紋連續(xù)采集三次，只有三次采集到的指紋模板數(shù)據(jù)完全一致才能夠正確登記該運(yùn)維人員指紋信息。具體采集流程如圖2所示。

圖2 指紋采集流程圖

3．2 指紋下載

指紋設(shè)備投入使用之前，需要在運(yùn)維網(wǎng)點(diǎn)的指紋管理終端中下載該網(wǎng)點(diǎn)運(yùn)維人員的指紋數(shù)據(jù)，并將其存入指紋比對(duì)設(shè)備中，用于業(yè)務(wù)系統(tǒng)終端中運(yùn)維人員指紋的比對(duì)。在下載指紋數(shù)據(jù)的同時(shí)也要與業(yè)務(wù)系統(tǒng)的主機(jī)服務(wù)器進(jìn)行通信，獲取運(yùn)維人員標(biāo)識(shí)ID，并將運(yùn)維人員標(biāo)識(shí)ID與運(yùn)維人員指紋數(shù)據(jù)進(jìn)行綁定，然后下載到指紋比對(duì)設(shè)備中。在運(yùn)維人員指紋比對(duì)的同時(shí)通過輸入運(yùn)維人員ID來實(shí)現(xiàn)運(yùn)維人員指紋信息的1：1比對(duì)，提高了工作效率。

3．3 指紋比對(duì)

指紋的比對(duì)可以有兩種方式，一種是在指紋數(shù)據(jù)庫服務(wù)器內(nèi)部比對(duì)，通過上傳指紋模板和運(yùn)維人員標(biāo)識(shí)信息在服務(wù)器內(nèi)實(shí)現(xiàn)1：1比對(duì)，然后將比對(duì)結(jié)果返回到前端系統(tǒng)；另一種比對(duì)方式是在指紋儀設(shè)備內(nèi)部來進(jìn)行。由于指紋數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)系統(tǒng)是兩個(gè)獨(dú)立系統(tǒng)，二者從功能上和邏輯上可以說是分離的，所以業(yè)務(wù)系統(tǒng)終端指紋的比對(duì)，只能采取指紋儀設(shè)備內(nèi)部模板的比對(duì)。

在該系統(tǒng)中，輸入運(yùn)維人員ID并采集指紋后與存儲(chǔ)在指紋儀設(shè)備中的指紋模板進(jìn)行1：1比對(duì)，根據(jù)比對(duì)結(jié)果來獲取該運(yùn)維人員登陸身份和權(quán)限。為了提高系統(tǒng)安全性，在系統(tǒng)實(shí)現(xiàn)時(shí)，指紋儀設(shè)備驅(qū)動(dòng)需要和業(yè)務(wù)系統(tǒng)在底層進(jìn)行綁定。

3．4 系統(tǒng)安全性

安全和可靠是該系統(tǒng)需要著重考慮的一個(gè)問題。第一是需要考慮系統(tǒng)頁面安全問題。為了確保系統(tǒng)頁面安全，用戶密碼采用MD5算法加密后保存在數(shù)據(jù)庫中，從而防止對(duì)數(shù)據(jù)庫信息非法竊取后登陸；每一頁面的調(diào)用都要對(duì)當(dāng)前操作用戶身份和權(quán)限的核驗(yàn)，非法用戶或低權(quán)限用戶都無法進(jìn)入該頁面；采用Session保護(hù)機(jī)制確保用戶長時(shí)間不用后頁面的自動(dòng)失效。第二是對(duì)運(yùn)維人員指紋采集的保護(hù)措施。在指紋采集時(shí)除了采用同一指紋三次采集并確認(rèn)的措施之外，對(duì)于每一采集網(wǎng)點(diǎn)采用了信任站點(diǎn)保護(hù)機(jī)制來確保每一個(gè)采集點(diǎn)的合法性，不受信任站點(diǎn)將無法進(jìn)行指紋的采集工作。此外，在電信運(yùn)維業(yè)務(wù)系統(tǒng)中，指紋儀設(shè)備的驅(qū)動(dòng)程序同業(yè)務(wù)系統(tǒng)在底層進(jìn)行了綁定，從而確保運(yùn)維人員登陸時(shí)指紋采集的正確性與合法性。

4．電信運(yùn)維系統(tǒng)J2EE架構(gòu)設(shè)計(jì)

J2EE是建立在Java 2平臺(tái)上的企業(yè)級(jí)應(yīng)用的解決方案。作為一個(gè)企業(yè)級(jí)開發(fā)的工業(yè)標(biāo)準(zhǔn)和首選平臺(tái)，J2EE體系結(jié)構(gòu)提供中間層集成框架用來滿足無需太多費(fèi)用而又需要高可用性、高可靠性以及可擴(kuò)展性的應(yīng)用的需求。通過提供統(tǒng)一的開發(fā)平臺(tái)，J2EE降低了開發(fā)多層應(yīng)用的費(fèi)用和復(fù)雜性，同時(shí)提供對(duì)現(xiàn)有應(yīng)用程序集成強(qiáng)有力支持，完全支持Enterprise JavaBeans，有良好的向?qū)еС执虬筒渴饝?yīng)用，添加目錄支持，增強(qiáng)了安全機(jī)制，提高了性能。

J2EE使用多層的分布式應(yīng)用模型，應(yīng)用邏輯按功能劃分為組件，各個(gè)應(yīng)用組件根據(jù)他們所在的層分布在不同的機(jī)器上。事實(shí)上，Sun設(shè)計(jì)J2EE的初衷正是為了解決兩層模式(Client/Server)的弊端，在傳統(tǒng)模式中，客戶端擔(dān)當(dāng)了過多的角色而顯得臃腫，在這種模式中，第一次部署的時(shí)候比較容易，但難于升級(jí)或改進(jìn)，可伸展性也不理想，而且經(jīng)?；谀撤N專有的協(xié)議――通常是某種數(shù)據(jù)庫協(xié)議。它使得重用業(yè)務(wù)邏輯和界面邏輯非常困難?，F(xiàn)在J2EE的多層企業(yè)級(jí)應(yīng)用模型將兩層化模型中的不同層面切分成許多層。一個(gè)多層化應(yīng)用能夠?yàn)椴煌拿糠N服務(wù)提供一個(gè)獨(dú)立的層，以下是J2EE典型的四層結(jié)構(gòu)：

(1)運(yùn)行在客戶端機(jī)器上的用戶層

用戶層與用戶交互，并把來自系統(tǒng)的信息顯示給用戶。J2EE平臺(tái)支持不同類型的用戶，包括HTML用戶，JavaApplet和Java應(yīng)用。獲得授權(quán)的用戶可以通過瀏覽器實(shí)現(xiàn)用戶管理，指紋采集和指紋下載等工作。

(2)運(yùn)行在Web服務(wù)器上的Web層

Web層產(chǎn)生表示邏輯，并接收來自用戶層客戶端的用戶反饋，在及基礎(chǔ)上對(duì)用戶產(chǎn)生相應(yīng)回應(yīng)。在J2EE平臺(tái)中，Web層是由Web容器內(nèi)的Servlet組件和JSP組件來實(shí)現(xiàn)的。

(3)運(yùn)行在J2EE應(yīng)用服務(wù)器上的業(yè)務(wù)層

業(yè)務(wù)層處理系統(tǒng)的核心業(yè)務(wù)邏輯，為底層業(yè)務(wù)組件提供必要的接口。業(yè)務(wù)組件通常由J2EE容器內(nèi)的EJB組件構(gòu)成。業(yè)務(wù)層是系統(tǒng)實(shí)現(xiàn)的關(guān)鍵，一方面它需要將數(shù)據(jù)庫中的數(shù)據(jù)轉(zhuǎn)為對(duì)象，使數(shù)據(jù)可以用面向?qū)ο蟮姆椒▉矸治觥⒃O(shè)計(jì)和實(shí)現(xiàn)；另一方面它又向Web層提供應(yīng)用邏輯的調(diào)用接口，并且EJB容器封裝了核心和關(guān)鍵的計(jì)算及處理過程，擴(kuò)充新的服務(wù)功能只需要對(duì)EJB組件進(jìn)行擴(kuò)展即可。

(4)數(shù)據(jù)層

一般來說數(shù)據(jù)層是由J2EE應(yīng)用和非J2EE應(yīng)用或原有系統(tǒng)的連接點(diǎn)組成，負(fù)責(zé)對(duì)整個(gè)數(shù)據(jù)庫系統(tǒng)的維護(hù)和存儲(chǔ)，并根據(jù)請(qǐng)求的業(yè)務(wù)操作數(shù)據(jù)。由于指紋數(shù)據(jù)庫系統(tǒng)是一個(gè)獨(dú)立的系統(tǒng)，因此在該系統(tǒng)的數(shù)據(jù)層只由一個(gè)滿足J2EE應(yīng)用的數(shù)據(jù)庫系統(tǒng)構(gòu)成。

根據(jù)J2EE設(shè)計(jì)規(guī)范以及電信運(yùn)維業(yè)務(wù)系統(tǒng)開發(fā)要求，本文設(shè)計(jì)了基于J2EE架構(gòu)的電信運(yùn)維系統(tǒng)指紋認(rèn)證系統(tǒng)的分層結(jié)構(gòu)圖，如圖3所示。

圖3 基于J2EE架構(gòu)的電信運(yùn)維系統(tǒng)分層結(jié)構(gòu)圖

5．結(jié)論

本文根據(jù)電信運(yùn)維系統(tǒng)業(yè)務(wù)特點(diǎn)，提出了一種基于指紋認(rèn)證的運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)對(duì)操作人員身份和權(quán)限的識(shí)別和認(rèn)證。整個(gè)系統(tǒng)采用J2EE架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)，利用Java跨平臺(tái)特性解決C/S系統(tǒng)在跨平臺(tái)開發(fā)中存在缺陷的問題；此外，利用J2EE規(guī)范的多層、分布式、基于組件的企業(yè)級(jí)應(yīng)用系統(tǒng)開發(fā)模型設(shè)計(jì)思想，提高系統(tǒng)復(fù)用性、靈活性和安全性，并同時(shí)將該系統(tǒng)成功應(yīng)用到相關(guān)行業(yè)中。該系統(tǒng)開放性較好，并具備較強(qiáng)的擴(kuò)展性，對(duì)開發(fā)同類信息管理系統(tǒng)具有一定的借鑒作用。

[1]韓濤，朱明富．基于指紋識(shí)別和CMS結(jié)構(gòu)的保管箱管理系統(tǒng)[J]．微機(jī)發(fā)展，2005，15(6)：145-148．

[2]倪凱，馮翔，魯銘，葉雷等．基于J2EE架構(gòu)的WebGIS協(xié)同平臺(tái)系統(tǒng)集成[J]．小型微型計(jì)算機(jī)系統(tǒng)，2007，28(1)：132-135．

[3]劉滿華，許超，邵惠鶴．一種實(shí)用的指紋自動(dòng)識(shí)別系統(tǒng)的設(shè)計(jì)[J]．計(jì)算機(jī)工程，2002，28(5)：123-181．

[4]游振渭．江西聯(lián)通電子運(yùn)維系統(tǒng)的研究與實(shí)踐[D]．北京：北京郵電大學(xué)，2010．

Design and Implementation of the Communications Operation and Maintenance System Based on Fingerprint Authen tication

Geng Bo
(China Unicom Broadband Online Limited Corporation,Beijing 100032)

To solve the problem of identification and authorization management in current communications operation and maintenance system,a new communications operation and maintenance system based on fingerprint identification is introduced in the paper.The system uses J2EE architecture with cross-platform features to avoid the shortcoming of C/S architecture.

fingerprint authentication;operation and maintenance;J2EE;1:1 verification

耿波,男,北京人，學(xué)士,工程師,研究方向：計(jì)算機(jī)網(wǎng)絡(luò)和管理信息系統(tǒng)，生物特征識(shí)別等。