基于生物识别身份认证系统研究与应用.docVIP

基于生物识别身份认证系统研究与应用 　　摘 要：在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段，针对人员真实身份验证问题，尚未有信息系统支撑。人员可信身份安全认证是守护电网核心业务资产的一道防线，为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题，提出基于二代身份证的生物识别身份验证系统在电网核心业务中的应用方案，该系统实现了身份认证、身份模型管理、凭证管理、属性管理、身份全生命周期管理、访问控制管理、签验管理和安全管理等功能，为电网核心应用系统和网络用户提供“实名+实人+实证”的真实身份管理服务和身份认证服务，有效解决实名认证、人证合一的问题，在保护用户隐私信息的同时，有效解决现有电力核心业务应用身份认证模式中易被“盗用”、“冒用”难题。 　　关键词：电网核心业务；身份验证；二代身份证；生物识别；实名认证 　　中图分类号：TP391.4 文献标识码：A 文章编号：1671-2064（2018）01-0021-02 　　《中华人民共和国网络安全法》明确网络实名制和实施网络可信身份要求，在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段，针对人员真实身份验证问题，目前在电网核心业务中尚未建立，缺乏信息系统支撑。随着公司智能电网、能源互联网等业务发展迅速，促使实名验证、远程身份验证的需求越来越强烈，迫使电网核心业务人员真实身份验证必须在传统身份认证模式基础上，不断深化与创新以解决新的人员安全可信身份认证问题。人员可信身份安全认证是守护电网核心业务资产的一道防线，为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题，因此有必要开展人员可信身份认证系统研究，实现电网核心业务用户“实名+实人+实证”的真实身份认证，确保电网核心业务应用信息安全。 　　1 基于二代身份证的生物识别身份验证系统架构 　　基于二代身份证的生物识别身份验证系统主要由基于二代身份证的生物识别身份验证前端系统、基于二代身份证的生物识别身份验证后端系统、电网核心业务应用可信人员管控、公安部可信身份认证平台以及统一权限平台、人资权威源组成。 　　（1）基于二代身份证的生物识别身份验证前端系统主要负责人脸、指纹等生物特征信息的采集以及二代身份证信息及图像信息的采集；（2）HR权威源集成通过集成组件与基于二代身份证的生物识别身份验证后端系统进行集成，HR权威源系统主要为基于二代身份证的生物识别身份验证后端系统提供用户、组织、岗位、凭证、生物属性信息等可信数据源；（3）基于二代身份证的生物识别身份验证后端系统与ISC系统的集成采用数据同步集成模式，ISC系统为基于二代身份证的生物识别身份验证后端系统提供相关用户身份权限数据，同时基于二代身份证的生物识别身份验证后端系统可以为ISC系统提供高安全级别的人员可信身份认证服务；（4）公安部可信身份认证平台集成通过集成组件与基于二代身份证的生物识别身份验证后端系统进行集成，公安部可信身份认证平台为基于二代身份证的生物识别身份验证后端系统提供权威用户身份证真实信息校验服务，实现可信身份认证的权威性；（5）基于二代身份证的生物识别身份验证后端系统对基建、运检、安监、营销、后勤、信通等电网核心业务应用采用适配器集成模式，为电网核心业务应用提供高级别的人员可信身份认证服务功能，并同时通过业务应用提供的接口进行可信身份认证更新数据同步。 　　2 基于二代身份证的生物识别身份验证系统功能架构 　　基于二代身份证的生物识别身份验证系统包括8个部分：身份认证模块、身份模型管理模块、凭证管理模块、属性管理模块、身份全生命周期管理、访问控制管理、签验管理和安全管理。 　　身份生命周期管理模块包括身份的创建、存储、使用、维护和注销等功能。这些功能主要由电网人资、业务部门、信通部以及用户组成的全局身份提供方负责实现。身份创建流程完成用户可信身份的创建；身份的维护主要是指身份模型中各个身份数据项内容的更新，控制对可信身份信息的访问；身份存储确保对人员可信身份信息提供安全的存储功能；身份注销是指删除用户可信身份信息，并通知电网各业务应用该用户已被注销。 　　凭证管理模块主要完成人员可信凭证的创建、发布、注册、保证和撤销等功能，实现对人员可信凭证的生命周期管理。凭证是指作为被声称的身份或权利的证明的一组数据。可信凭证在具体载体形式上包括智能卡、工作证、口令、生物特征（如人脸、指纹、声纹等）等。 　　属性管理模块完成用户可信身份相关属性的获取、更新、使用和删除等功能。属性管理模块由电网人资、业务部门、信通部以及用户组成的全局身份提供方负责实现。身份属性获取对身份数据权威数据源进行定位的索引、目录或映射。身份属性更新对用户改名或生物特征信息更新等信息，或对将不同的权威身份数据源连接起来，共享不同身份数据源中的身份