1、 基于安全等級的校園身份識別系統(tǒng)設計 陳挺摘 要：在信息化時代下，現(xiàn)有的校園身份識別方式存在諸多安全隱患和不便之處。文章討論了現(xiàn)有身份識別方式的不足之處，通過分析業(yè)務需求、業(yè)務流程和數(shù)據(jù)需求，結合面部識別、指紋識別、手機認證等多種身份識別方式，提出了基于安全等級的認證方式，并進一步設計了面向高校校園的統(tǒng)一身份識別系統(tǒng)，向校園內(nèi)各應用系統(tǒng)提供接口，為校園身份識別系統(tǒng)的設計提供了一種思路。Key：安全等級;身份識別;系統(tǒng)設計;高校校園;門禁系統(tǒng)：TP391 文獻標志碼：A ：2095-2945（2020）25-0096-04Abstract： In the information age， the

2、re are many security risks and inconveniences in the existing campus identification methods. This paper discusses the shortcomings of the existing identification methods. By analyzing the business requirements， business processes and data requirements， combined with face recognition， fingerprint ide

3、ntification， mobile phone authentication， etc.， this paper proposes an authentication method based on security level， and further designs a unified identity recognition system for university campus， which provides interfaces for various application systems on campus， it provides an idea for the desi

4、gn of campus identity recognition system.Keywords： security level; identity recognition; system design; college campus; access control system身份認證是采用某種方式，對使用者的身份進行驗證，從而驗證使用者的身份，并進行下一步的服務。校園中也有多重身份識別方式，例如身份證、學生證、校園卡、賬號密碼等。然而，現(xiàn)有的身份識別系統(tǒng)仍然存在諸多問題，如安全性不足、使用不夠方便、漏洞較多等。本文梳理了校園身份識別的業(yè)務需求和業(yè)務流程，并設計了基于安全等級的統(tǒng)一身份認證

5、系統(tǒng)，旨在聚合身份識別業(yè)務，提供更為安全、高效、科學的身份識別服務。1 背景1.1 業(yè)務背景從學生的角度而言，校園生活時常需要驗證身份，例如校園卡消費、圖書館借閱、課堂考勤、參加考試等。而校內(nèi)大部分的身份識別依賴于校園卡和學生證，而校園卡、學生證并不一定隨身攜帶，且容易丟失，不能很好地驗證身份。尤其是基于RFID （Radio Frequency Identification） 技術的校園卡，單獨作為身份驗證的方式時安全性較低，容易被他人盜用或冒用。而學生證則沒有電子驗證功能，依賴于人工驗證，如果遇到工作人員離開的情況就無法驗證。從學校的角度而言，身份識別關系到學生的切身利益，學校作為規(guī)則的制

6、定者，需要與時俱進地設計一個方便使用、安全性高的身份識別方案。同時，一個完善的校園身份識別系統(tǒng)能夠在管理上節(jié)約人力，并取得更好的效果。而許多學?，F(xiàn)有的身份識別沒有統(tǒng)一的方式，依賴于人工，且仍然處于各自為營的狀態(tài)，各系統(tǒng)的數(shù)據(jù)也不能夠很好地互通，數(shù)據(jù)滯后性嚴重。在信息化時代的今天，設計并建立一個識別媒介多樣化、信息高度互通、使用便捷高效的校園身份識別系統(tǒng)存在一定的必要性。1.2 技術背景身份識別的實現(xiàn)方式包括射頻識別、指紋識別、面部識別、靜脈識別、植入式芯片、終端關聯(lián)等等，各種識別方式準確度、效率和成本有所差異。射頻識別技術采用射頻的方式進行非接觸式通信，具有壽命長、耐高溫、防水、數(shù)據(jù)可加密修改

7、等多種優(yōu)點1，目前已廣泛應用在公交、小區(qū)門禁、學校食堂等多個領域。但射頻識別對于用戶而言往往依賴于硬件設備，用戶需要額外攜帶一張卡片或其他媒介，存在一定的不便;隨著手機、智能手環(huán)等NFC功能的普及，某些情況下可以使用手機替代卡片完成識別操作，但復制卡帶來的安全問題也降低了系統(tǒng)的安全性。同時，卡片出借對系統(tǒng)安全而言是較大的漏洞，對于安全性需求較高的業(yè)務不能作為唯一識別的手段。指紋識別、面部識別、靜脈識別等通過人體特定的生理特征進行識別，同屬于生物識別技術。指紋識別利用人的指紋紋路不同對個體進行區(qū)分，技術成熟，安全性較好，成本較低，是一種兼?zhèn)浒踩⒊杀竞透咝У纳矸葑R別方式;然而，物理接觸式的識別方

8、式具有侵犯性，且指紋磨損、濕手等情況給指紋識別帶來了較大的挑戰(zhàn)。面部識別根據(jù)人面部的特征進行識別，分為2D人臉識別和3D人臉識別，2D人臉識別將識別到的人臉照片與系統(tǒng)中存有的照片進行對比，識別速度較快，但容易使用照片模仿真正的人臉，安全性有限;而3D人臉識別通過點陣投射器將光點投射到臉部，利用反射計算臉部不同位置的深度，并進行計算比對和識別，安全性較高，但3D人臉識別的核心技術“飛時測距”具有專利壁壘，難以大規(guī)模應用2。靜脈識別通過人體靜脈血管的紋路對人進行區(qū)分，準確度較高;由于靜脈是人體的內(nèi)部特征，難以偽造，且只有活體才能夠被識別，具有較高的安全性;但該領域研究起步較晚，技術成熟度偏低，市場

9、占有率也較低3。終端關聯(lián)包括賬號關聯(lián)、設備關聯(lián)等，如使用微信掃描二維碼并進行登錄驗證操作，或在連接時使用手機或手環(huán)設備ID進行驗證，具有低成本、應用場景廣泛的優(yōu)點。2 業(yè)務需求2.1 需求分類與安全等級校園中需要用到身份識別的業(yè)務包括門禁、圖書借閱和考試等，各業(yè)務對安全性的需求不盡相同，部分業(yè)務內(nèi)容嚴肅必須由本人完成，而部分業(yè)務可以授權他人完成，本文使用如表1的方式對業(yè)務在安全方面的需求進行等級劃分，如表2的方式對業(yè)務效率需求進行等級劃分。為保證系統(tǒng)安全需要，不同認證方式有不同的安全等級、設備成本和效率，如表3所示。其中手機認證包括二維碼認證、設備認證和短信驗證等多種方式。2.2 業(yè)務需求分析

10、基于日常生活、學習考試、消費繳費、信息系統(tǒng)四個方面對校園身份識別需求進行識別，并采用上節(jié)中的安全和效率需求等級進行劃分，校園身份識別業(yè)務需求如表2.4所示。其中手機認證后的數(shù)字代表認證強度，數(shù)字越大認證強度越大，1、2、3分別對應初級、中級、高級。3 業(yè)務流程目前，各系統(tǒng)的身份認證存在各自為營的情況，數(shù)據(jù)冗余且不統(tǒng)一、各部分信息不互通、效率低下、部分認證方式依賴人工或安全性較低、容易信息泄露等問題。對此，建立嚴格的信息安全等級制度，設計一個數(shù)據(jù)互通而不冗余的統(tǒng)一校園身份識別系統(tǒng)，并加以較強的數(shù)據(jù)安全防護，有助于解決以上問題。以下就部分業(yè)務流程進行分析。3.1 校園門禁如圖1所示，學校師生和工作

11、人員使用校園卡或初級手機認證可以通過門禁，忘記攜帶或手機沒電時可以通過人臉識別進入;舉辦活動等邀請外校人員進入時，由學校老師或?qū)W生組織、社團管理人員在管理系統(tǒng)中申報人員信息，取得臨時授權口令后將其發(fā)給校外人員使用，一個口令僅在指定時間內(nèi)有效，且只能使用一次，受邀人員需要在申報的受邀時間段內(nèi)離開校園;外賣、快遞等工作人員通過學校平臺認證后可以使用人臉識別入內(nèi)，并在45分鐘內(nèi)離開;校外人員如需參訪或健身，可申請參訪許可，憑人臉識別進入并在允許參訪時間段內(nèi)離開。系統(tǒng)記錄的限期離開人員如未按時離開，系統(tǒng)會將其列入異常名單并向校保衛(wèi)處告警。3.2 宿舍樓門禁如圖2所示，本宿舍樓住宿學生、老師宿管和保潔人

12、員通過人臉識別或中級手機認證進入宿舍;其他校內(nèi)同性同學或老師在允許參訪時間段內(nèi)也可通過同樣方式進入，非參訪時間段或異性無許可拒絕進入;家長、物業(yè)維修人員可通過學生、宿管在管理系統(tǒng)中申請臨時口令進入，臨時口令僅限在申報時間段內(nèi)有效，且需及時離開。系統(tǒng)記錄的限期離開人員如未按時離開，系統(tǒng)會將其列入異常名單并向宿管告警。4 校園身份識別系統(tǒng)設計4.1 數(shù)據(jù)模型如圖3所示，數(shù)據(jù)模型將校園內(nèi)人員分為學生、教師、物業(yè)工作人員、其他工作人員和外賣快遞健身人員5大類。其中，所有人員均需采集照片，用于校園門禁、考試等業(yè)務的面部識別;學生、物業(yè)工作人員需采集指紋，用于宿舍門指紋開鎖;除外賣快遞健身人員外，均持有校

13、園卡;對通過外賣快遞健身許可或臨時授權口令進入校園的人員記錄進入時間和離開情況。4.2 應用架構如圖4所示，統(tǒng)一身份認證系統(tǒng)位于應用系統(tǒng)的更深層次，用戶使用系統(tǒng)需要認證身份時，首先將認證材料（如臨時授權口令、手機認證二維碼或采集到的人臉、指紋等信息）輸入到業(yè)務應用系統(tǒng)中，業(yè)務系統(tǒng)收到信息后，向統(tǒng)一身份認證系統(tǒng)發(fā)起身份認證請求，統(tǒng)一身份認證系統(tǒng)反饋認證結果，業(yè)務應用系統(tǒng)收到后通過用戶界面反饋給用戶，用戶可以進行下一步操作。系統(tǒng)使用人員包括學校師生、學校物業(yè)及其他工作人員、快遞外賣人員、校外參訪人員和臨時授權人員。使用人員直接面向業(yè)務應用系統(tǒng)，在需要身份認證時由業(yè)務系統(tǒng)的采集設備進行信息采集（如賬

14、號密碼、人臉影像、指紋等），通過后可以繼續(xù)操作。業(yè)務應用系統(tǒng)包括各類門禁系統(tǒng)、信息系統(tǒng)、第二課堂和考勤等，承擔采集使用人員信息和執(zhí)行業(yè)務流程的作用。業(yè)務應用系統(tǒng)有身份識別需求時，首先通過末端的采集設備采集認證信息，然后提交給統(tǒng)一身份認證系統(tǒng)，由統(tǒng)一認證系統(tǒng)完成認證后反饋結果，業(yè)務應用系統(tǒng)收到反饋后將結果通過用戶界面展示。統(tǒng)一身份認證系統(tǒng)專門負責身份識別和認證，包括人臉識別系統(tǒng)、賬號密碼認證系統(tǒng)等子模塊，業(yè)務應用系統(tǒng)通過專用的接口將認證信息發(fā)送到統(tǒng)一身份認證系統(tǒng)，認證系統(tǒng)接收后與數(shù)據(jù)庫中的信息完成比對，將認證結果反饋給業(yè)務應用系統(tǒng)。5 結束語本文對現(xiàn)有校園身份識別方式的不足之處進行了討論，分析了各種身份識別方式的優(yōu)缺點，并面向高校校園，設計了基于安全等級的校園身份識別系統(tǒng)，相比于現(xiàn)有的身份識別方式有更高的集成性和統(tǒng)一性，為校園身份識別