一种基于指纹认证的电信运维系统的设计与应用

耿波

（联通宽带在线有限公司，北京 100032）

一种基于指纹认证的电信运维系统的设计与应用

耿波

（联通宽带在线有限公司，北京 100032）

针对以往电信运维系统中运维工作人员身份识别和权限管理中存在的问题，提出并实现了基于指纹认证的电信运维系统，解决了以往身份认证和授权存在的问题。此外，针对以往C/S架构系统自身的缺点，本系统采用具有跨平台特性的J2EE架构进行重新设计实现。

指纹认证；运维管理；J2EE；1：1比对

1．引言

指纹识别技术作为生物特征识别技术的一种，是通过采集指纹图像进行匹配识别来确认指纹所有人身份的生物特征识别技术。由于人体指纹具有不变性和唯一性，同时该技术已具成熟性和稳定性，指纹识别技术已经成为应用比较广泛的生物识别技术。

在电信运维业务系统中，运维人员身份的识别和权限的管理还是通过密码或权限卡的方式来进行的。而密码自身局限性以及权限卡方式存在人卡分离、保管不善等原因，从而导致身份认证失败或者授权失误的问题，由此会给电信运维业务带来巨大的操作风险。因此利用人体生物特征自身特性的优势，实现身份识别、权限认证等需求来完成运维业务的操作势在必行。此外，由于以往系统的设计开发采用CS架构设计，系统只能在一种平台中运行，为系统的升级和维护带来很多困难。

基于以上分析，本文提出一种利用指纹认证方式实现对运维人员身份和权限识别和认证的方式。首先将全省运维人员指纹数据进行集中采集和存储，再将每个运维人员的指纹数据下载到指纹比对设备中，然后提交到业务系统进行运维人员身份的识别和比对。该系统将指纹采集、下载等管理工作与业务系统中的身份认证工作分离开来，同时又兼顾原有系统权限卡系统识别方式，实现了原有电信运维系统业务系统在不进行大规模改造的前提下的运维人员身份识别和权限认证。整个系统的设计开发基于J2EE架构设计开发，利用Java跨平台特性以及J2EE规范的多层、分布式、基于组件的企业级应用系统开发模型设计特性，从而很好地解决C/ S系统在跨平台开发中存在缺陷的问题，同时也提高系统的安全性和应用性。

2．指纹认证系统结构图

图1给出了所设计的电信运维系统指纹认证系统结构图，并给出了指纹认证系统与电信运维业务系统间的关系。一般来说，为了确保电信运维业务系统的安全可靠，同时不影响原有业务工作的正常运行，指纹认证系统原则上与电信运维业务系统在网络设计时是物理分离的。由于指纹认证系统中需要实时共享业务主机中的运维人员数据信息，因此为了实现二者运维人员数据的一致性，在指纹服务器和业务主机之间设立网关服务器来实现二者数据通信，二者之间的通信需要按照事先设立的通信接口标准来进行，从而确保通信安全。

此外，为了确保指纹数据的安全管理，将指纹采集功能、指纹下载功能和指纹认证功能三者进行分离。指纹采集功能集中在省分和地市管理部门；指纹下载功能集中在各个管理网点，而指纹识别和认证处于业务主机终端中。

图1 电信运维系统指纹认证系统结构图

3．指纹认证系统关键技术

3．1 指纹采集

在实现指纹仪运维人员身份验证功能之前，需要将运维人员标准指纹信息采集到指纹数据库中。利用该系统，上级管理用户通过浏览器调用指纹仪Applet实现运维人员指纹数据的集中采集。根据指纹特性，利用指纹仪获取指纹图像提取特征点，然后形成指纹模板存入后端指纹数据库。由于该模板要作为运维人员验证的标准依据，为确保其准确性需要对同一指纹连续采集三次，只有三次采集到的指纹模板数据完全一致才能够正确登记该运维人员指纹信息。具体采集流程如图2所示。

图2 指纹采集流程图

3．2 指纹下载

指纹设备投入使用之前，需要在运维网点的指纹管理终端中下载该网点运维人员的指纹数据，并将其存入指纹比对设备中，用于业务系统终端中运维人员指纹的比对。在下载指纹数据的同时也要与业务系统的主机服务器进行通信，获取运维人员标识ID，并将运维人员标识ID与运维人员指纹数据进行绑定，然后下载到指纹比对设备中。在运维人员指纹比对的同时通过输入运维人员ID来实现运维人员指纹信息的1：1比对，提高了工作效率。

3．3 指纹比对

指纹的比对可以有两种方式，一种是在指纹数据库服务器内部比对，通过上传指纹模板和运维人员标识信息在服务器内实现1：1比对，然后将比对结果返回到前端系统；另一种比对方式是在指纹仪设备内部来进行。由于指纹数据库系统和业务系统是两个独立系统，二者从功能上和逻辑上可以说是分离的，所以业务系统终端指纹的比对，只能采取指纹仪设备内部模板的比对。

在该系统中，输入运维人员ID并采集指纹后与存储在指纹仪设备中的指纹模板进行1：1比对，根据比对结果来获取该运维人员登陆身份和权限。为了提高系统安全性，在系统实现时，指纹仪设备驱动需要和业务系统在底层进行绑定。

3．4 系统安全性

安全和可靠是该系统需要着重考虑的一个问题。第一是需要考虑系统页面安全问题。为了确保系统页面安全，用户密码采用MD5算法加密后保存在数据库中，从而防止对数据库信息非法窃取后登陆；每一页面的调用都要对当前操作用户身份和权限的核验，非法用户或低权限用户都无法进入该页面；采用Session保护机制确保用户长时间不用后页面的自动失效。第二是对运维人员指纹采集的保护措施。在指纹采集时除了采用同一指纹三次采集并确认的措施之外，对于每一采集网点采用了信任站点保护机制来确保每一个采集点的合法性，不受信任站点将无法进行指纹的采集工作。此外，在电信运维业务系统中，指纹仪设备的驱动程序同业务系统在底层进行了绑定，从而确保运维人员登陆时指纹采集的正确性与合法性。

4．电信运维系统J2EE架构设计

J2EE是建立在Java 2平台上的企业级应用的解决方案。作为一个企业级开发的工业标准和首选平台，J2EE体系结构提供中间层集成框架用来满足无需太多费用而又需要高可用性、高可靠性以及可扩展性的应用的需求。通过提供统一的开发平台，J2EE降低了开发多层应用的费用和复杂性，同时提供对现有应用程序集成强有力支持，完全支持Enterprise JavaBeans，有良好的向导支持打包和部署应用，添加目录支持，增强了安全机制，提高了性能。

J2EE使用多层的分布式应用模型，应用逻辑按功能划分为组件，各个应用组件根据他们所在的层分布在不同的机器上。事实上，Sun设计J2EE的初衷正是为了解决两层模式(Client/Server)的弊端，在传统模式中，客户端担当了过多的角色而显得臃肿，在这种模式中，第一次部署的时候比较容易，但难于升级或改进，可伸展性也不理想，而且经常基于某种专有的协议――通常是某种数据库协议。它使得重用业务逻辑和界面逻辑非常困难。现在J2EE的多层企业级应用模型将两层化模型中的不同层面切分成许多层。一个多层化应用能够为不同的每种服务提供一个独立的层，以下是J2EE典型的四层结构：

(1)运行在客户端机器上的用户层

用户层与用户交互，并把来自系统的信息显示给用户。J2EE平台支持不同类型的用户，包括HTML用户，JavaApplet和Java应用。获得授权的用户可以通过浏览器实现用户管理，指纹采集和指纹下载等工作。

(2)运行在Web服务器上的Web层

Web层产生表示逻辑，并接收来自用户层客户端的用户反馈，在及基础上对用户产生相应回应。在J2EE平台中，Web层是由Web容器内的Servlet组件和JSP组件来实现的。

(3)运行在J2EE应用服务器上的业务层

业务层处理系统的核心业务逻辑，为底层业务组件提供必要的接口。业务组件通常由J2EE容器内的EJB组件构成。业务层是系统实现的关键，一方面它需要将数据库中的数据转为对象，使数据可以用面向对象的方法来分析、设计和实现；另一方面它又向Web层提供应用逻辑的调用接口，并且EJB容器封装了核心和关键的计算及处理过程，扩充新的服务功能只需要对EJB组件进行扩展即可。

(4)数据层

一般来说数据层是由J2EE应用和非J2EE应用或原有系统的连接点组成，负责对整个数据库系统的维护和存储，并根据请求的业务操作数据。由于指纹数据库系统是一个独立的系统，因此在该系统的数据层只由一个满足J2EE应用的数据库系统构成。

根据J2EE设计规范以及电信运维业务系统开发要求，本文设计了基于J2EE架构的电信运维系统指纹认证系统的分层结构图，如图3所示。

图3 基于J2EE架构的电信运维系统分层结构图

5．结论

本文根据电信运维系统业务特点，提出了一种基于指纹认证的运维管理系统，实现对操作人员身份和权限的识别和认证。整个系统采用J2EE架构设计和实现，利用Java跨平台特性解决C/S系统在跨平台开发中存在缺陷的问题；此外，利用J2EE规范的多层、分布式、基于组件的企业级应用系统开发模型设计思想，提高系统复用性、灵活性和安全性，并同时将该系统成功应用到相关行业中。该系统开放性较好，并具备较强的扩展性，对开发同类信息管理系统具有一定的借鉴作用。

[1]韩涛，朱明富．基于指纹识别和CMS结构的保管箱管理系统[J]．微机发展，2005，15(6)：145-148．

[2]倪凯，冯翔，鲁铭，叶雷等．基于J2EE架构的WebGIS协同平台系统集成[J]．小型微型计算机系统，2007，28(1)：132-135．

[3]刘满华，许超，邵惠鹤．一种实用的指纹自动识别系统的设计[J]．计算机工程，2002，28(5)：123-181．

[4]游振渭．江西联通电子运维系统的研究与实践[D]．北京：北京邮电大学，2010．

Design and Implementation of the Communications Operation and Maintenance System Based on Fingerprint Authen tication

Geng Bo
(China Unicom Broadband Online Limited Corporation,Beijing 100032)

To solve the problem of identification and authorization management in current communications operation and maintenance system,a new communications operation and maintenance system based on fingerprint identification is introduced in the paper.The system uses J2EE architecture with cross-platform features to avoid the shortcoming of C/S architecture.

fingerprint authentication;operation and maintenance;J2EE;1:1 verification

耿波,男,北京人，学士,工程师,研究方向：计算机网络和管理信息系统，生物特征识别等。