基于安全等级的校园身份识别系统设计

1、 基于安全等级的校园身份识别系统设计 陈挺摘 要：在信息化时代下，现有的校园身份识别方式存在诸多安全隐患和不便之处。文章讨论了现有身份识别方式的不足之处，通过分析业务需求、业务流程和数据需求，结合面部识别、指纹识别、手机认证等多种身份识别方式，提出了基于安全等级的认证方式，并进一步设计了面向高校校园的统一身份识别系统，向校园内各应用系统提供接口，为校园身份识别系统的设计提供了一种思路。Key：安全等级;身份识别;系统设计;高校校园;门禁系统：TP391 文献标志码：A ：2095-2945（2020）25-0096-04Abstract： In the information age， the

2、re are many security risks and inconveniences in the existing campus identification methods. This paper discusses the shortcomings of the existing identification methods. By analyzing the business requirements， business processes and data requirements， combined with face recognition， fingerprint ide

3、ntification， mobile phone authentication， etc.， this paper proposes an authentication method based on security level， and further designs a unified identity recognition system for university campus， which provides interfaces for various application systems on campus， it provides an idea for the desi

4、gn of campus identity recognition system.Keywords： security level; identity recognition; system design; college campus; access control system身份認证是采用某种方式，对使用者的身份进行验证，从而验证使用者的身份，并进行下一步的服务。校园中也有多重身份识别方式，例如身份证、学生证、校园卡、账号密码等。然而，现有的身份识别系统仍然存在诸多问题，如安全性不足、使用不够方便、漏洞较多等。本文梳理了校园身份识别的业务需求和业务流程，并设计了基于安全等级的统一身份认证

5、系统，旨在聚合身份识别业务，提供更为安全、高效、科学的身份识别服务。1 背景1.1 业务背景从学生的角度而言，校园生活时常需要验证身份，例如校园卡消费、图书馆借阅、课堂考勤、参加考试等。而校内大部分的身份识别依赖于校园卡和学生证，而校园卡、学生证并不一定随身携带，且容易丢失，不能很好地验证身份。尤其是基于RFID （Radio Frequency Identification） 技术的校园卡，单独作为身份验证的方式时安全性较低，容易被他人盗用或冒用。而学生证则没有电子验证功能，依赖于人工验证，如果遇到工作人员离开的情况就无法验证。从学校的角度而言，身份识别关系到学生的切身利益，学校作为规则的制

6、定者，需要与时俱进地设计一个方便使用、安全性高的身份识别方案。同时，一个完善的校园身份识别系统能够在管理上节约人力，并取得更好的效果。而许多学校现有的身份识别没有统一的方式，依赖于人工，且仍然处于各自为营的状态，各系统的数据也不能够很好地互通，数据滞后性严重。在信息化时代的今天，设计并建立一个识别媒介多样化、信息高度互通、使用便捷高效的校园身份识别系统存在一定的必要性。1.2 技术背景身份识别的实现方式包括射频识别、指纹识别、面部识别、静脉识别、植入式芯片、终端关联等等，各种识别方式准确度、效率和成本有所差异。射频识别技术采用射频的方式进行非接触式通信，具有寿命长、耐高温、防水、数据可加密修改

7、等多种优点1，目前已广泛应用在公交、小区门禁、学校食堂等多个领域。但射频识别对于用户而言往往依赖于硬件设备，用户需要额外携带一张卡片或其他媒介，存在一定的不便;随着手机、智能手环等NFC功能的普及，某些情况下可以使用手机替代卡片完成识别操作，但复制卡带来的安全问题也降低了系统的安全性。同时，卡片出借对系统安全而言是较大的漏洞，对于安全性需求较高的业务不能作为唯一识别的手段。指纹识别、面部识别、静脉识别等通过人体特定的生理特征进行识别，同属于生物识别技术。指纹识别利用人的指纹纹路不同对个体进行区分，技术成熟，安全性较好，成本较低，是一种兼备安全、成本和高效的身份识别方式;然而，物理接触式的识别方

8、式具有侵犯性，且指纹磨损、湿手等情况给指纹识别带来了较大的挑战。面部识别根据人面部的特征进行识别，分为2D人脸识别和3D人脸识别，2D人脸识别将识别到的人脸照片与系统中存有的照片进行对比，识别速度较快，但容易使用照片模仿真正的人脸，安全性有限;而3D人脸识别通过点阵投射器将光点投射到脸部，利用反射计算脸部不同位置的深度，并进行计算比对和识别，安全性较高，但3D人脸识别的核心技术“飞时测距”具有专利壁垒，难以大规模应用2。静脉识别通过人体静脉血管的纹路对人进行区分，准确度较高;由于静脉是人体的内部特征，难以伪造，且只有活体才能够被识别，具有较高的安全性;但该领域研究起步较晚，技术成熟度偏低，市场

9、占有率也较低3。终端关联包括账号关联、设备关联等，如使用微信扫描二维码并进行登录验证操作，或在连接时使用手机或手环设备ID进行验证，具有低成本、应用场景广泛的优点。2 业务需求2.1 需求分类与安全等级校园中需要用到身份识别的业务包括门禁、图书借阅和考试等，各业务对安全性的需求不尽相同，部分业务内容严肃必须由本人完成，而部分业务可以授权他人完成，本文使用如表1的方式对业务在安全方面的需求进行等级划分，如表2的方式对业务效率需求进行等级划分。为保证系统安全需要，不同认证方式有不同的安全等级、设备成本和效率，如表3所示。其中手机认证包括二维码认证、设备认证和短信验证等多种方式。2.2 业务需求分析

10、基于日常生活、学习考试、消费缴费、信息系统四个方面对校园身份识别需求进行识别，并采用上节中的安全和效率需求等级进行划分，校园身份识别业务需求如表2.4所示。其中手机认证后的数字代表认证强度，数字越大认证强度越大，1、2、3分别对应初级、中级、高级。3 业务流程目前，各系统的身份认证存在各自为营的情况，数据冗余且不统一、各部分信息不互通、效率低下、部分认证方式依赖人工或安全性较低、容易信息泄露等问题。对此，建立嚴格的信息安全等级制度，设计一个数据互通而不冗余的统一校园身份识别系统，并加以较强的数据安全防护，有助于解决以上问题。以下就部分业务流程进行分析。3.1 校园门禁如图1所示，学校师生和工作

11、人员使用校园卡或初级手机认证可以通过门禁，忘记携带或手机没电时可以通过人脸识别进入;举办活动等邀请外校人员进入时，由学校老师或学生组织、社团管理人员在管理系统中申报人员信息，取得临时授权口令后将其发给校外人员使用，一个口令仅在指定时间内有效，且只能使用一次，受邀人员需要在申报的受邀时间段内离开校园;外卖、快递等工作人员通过学校平台认证后可以使用人脸识别入内，并在45分钟内离开;校外人员如需参访或健身，可申请参访许可，凭人脸识别进入并在允许参访时间段内离开。系统记录的限期离开人员如未按时离开，系统会将其列入异常名单并向校保卫处告警。3.2 宿舍楼门禁如图2所示，本宿舍楼住宿学生、老师宿管和保洁人

12、员通过人脸识别或中级手机认证进入宿舍;其他校内同性同学或老师在允许参访时间段内也可通过同样方式进入，非参访时间段或异性无许可拒绝进入;家长、物业维修人员可通过学生、宿管在管理系统中申请临时口令进入，临时口令仅限在申报时间段内有效，且需及时离开。系统记录的限期离开人员如未按时离开，系统会将其列入异常名单并向宿管告警。4 校园身份识别系统设计4.1 数据模型如图3所示，数据模型将校园内人员分为学生、教师、物业工作人员、其他工作人员和外卖快递健身人员5大类。其中，所有人员均需采集照片，用于校园门禁、考试等业务的面部识别;学生、物业工作人员需采集指纹，用于宿舍门指纹开锁;除外卖快递健身人员外，均持有校

13、园卡;对通过外卖快递健身许可或临时授权口令进入校园的人员记录进入时间和离开情况。4.2 应用架构如图4所示，统一身份认证系统位于应用系统的更深层次，用户使用系统需要认证身份时，首先将认证材料（如临时授权口令、手机认证二维码或采集到的人脸、指纹等信息）输入到业务应用系统中，业务系统收到信息后，向统一身份认证系统发起身份认证请求，统一身份认证系统反馈认证结果，业务应用系统收到后通过用户界面反馈给用户，用户可以进行下一步操作。系统使用人员包括学校师生、学校物业及其他工作人员、快递外卖人员、校外参访人员和临时授权人员。使用人员直接面向业务应用系统，在需要身份认证时由业务系统的采集设备进行信息采集（如账

14、号密码、人脸影像、指纹等），通过后可以继续操作。业务应用系统包括各类门禁系统、信息系统、第二课堂和考勤等，承担采集使用人员信息和执行业务流程的作用。业务应用系统有身份识别需求时，首先通过末端的采集设备采集认证信息，然后提交给统一身份认证系统，由统一认证系统完成认证后反馈结果，业务应用系统收到反馈后将结果通过用户界面展示。统一身份认证系统专门负责身份识别和认证，包括人脸识别系统、账号密码认证系统等子模块，业务应用系统通过专用的接口将认证信息发送到统一身份认证系统，认证系统接收后与数据库中的信息完成比对，将认证结果反馈给业务应用系统。5 结束语本文对现有校园身份识别方式的不足之处进行了讨论，分析了各种身份识别方式的优缺点，并面向高校校园，设计了基于安全等级的校园身份识别系统，相比于现有的身份识别方式有更高的集成性和统一性，为校园身份识别