IBM指紋識(shí)別技術(shù)揭密(數(shù)據(jù)永遠(yuǎn)偷不走 )

何謂集成指紋識(shí)別器

1.何謂 IBM 集成指紋識(shí)別器？

　　IBM集成式指紋識(shí)別器是一種新的安全設(shè)備，該設(shè)備正被引入到IBM ThinkPad T42的某些型號(hào)上。IBM集成式指紋識(shí)別器允許其用戶在他們的系統(tǒng)上注冊(cè)指紋并且作為認(rèn)證設(shè)備來取代BIOS以及Windows密碼。該指紋讀卡器也能夠作為認(rèn)證設(shè)備應(yīng)用在已全線預(yù)裝了IBM嵌入式安全子系統(tǒng)的IBM ThinkPad T42系統(tǒng)上。我們 T42 產(chǎn)品線的某些機(jī)型上正在引用這一技術(shù)。該設(shè)備將使用戶在這些系統(tǒng)上注冊(cè)他們的指紋，然后將這種識(shí)別器用作驗(yàn)證設(shè)備來取代 BIOS 和 Windows 密碼。該集成指紋識(shí)別器還可用作帶有 IBM 嵌入式安全子低車難櫓ど璞福?衷?T42 機(jī)上均已預(yù)裝IBM 嵌入式安全子系統(tǒng)。

2. IBM 為什么要推出這種技術(shù)？

　　IBM集成式指紋識(shí)別器簡(jiǎn)化了認(rèn)證到Windows系統(tǒng)的手段，消除了用戶記住多個(gè)密碼的煩惱并籍此降低IT部門接收到的因密碼忘記產(chǎn)生的求助。

　　IBM 集成指紋識(shí)別器提供了 Windows 系統(tǒng)驗(yàn)證的簡(jiǎn)單方法，從而使用戶無需記住多個(gè)密碼，因此減少了因忘記密碼而致電支持中心的次數(shù)。當(dāng)與帶有密碼管理器的 IBM 客戶端安全軟件結(jié)合使用時(shí)，指紋識(shí)別器可作為使用 IBM 嵌入式安全子系統(tǒng)保護(hù)操作的驗(yàn)證方法。指紋技術(shù)提供了唯一用戶身份識(shí)別的安全性，以及無需繁瑣的外部設(shè)備的集成設(shè)計(jì)方法。

3. ThinkPad T42 中使用的 IBM 指紋識(shí)別器是哪家制造商制造的？

　　其原始制造商為 ST Micro。自 IBM 與 ST 簽定合同以來，ST 就成立新的公司 UPEK，致力于生物識(shí)別方面業(yè)務(wù)

4. 哪些軟件可用于幫助管理集成指紋識(shí)別器？

　　IBM 擁有已經(jīng)過 UPEK 許可的指紋管理軟件，并且正在將該軟件重新命名為“IBM 指紋軟件”。該軟件運(yùn)行于 Windows 2000 和 XP，它可用作

　　1） 注冊(cè)和管理用戶指紋的指紋識(shí)別器界面

　　2） IBM 客戶端安全軟件 （CSS）管理驗(yàn)證呼叫的一個(gè)界面（見問題 15）

　　3） 保存／管理指紋以用于替代 BIOS 和 Windows 登錄密碼的方法。

　　5. 集成指紋識(shí)別器具有什么樣的外形尺寸？

　　其外形在指紋識(shí)別器外形界中是一種新的創(chuàng)新。傳統(tǒng)的郵票型指紋傳感器稱為按壓式傳感器。即，您的手指需平壓在該設(shè)備上以讓識(shí)別器獲取您的指紋印痕。

　　T42 集成的指紋識(shí)別器稱為滑動(dòng)式傳感器。為進(jìn)行讀取，您必須在識(shí)別器上滑動(dòng)或拖動(dòng)手指，或?qū)⑹种杆⑦^識(shí)別器。當(dāng)手指在滑覺傳感器表面上滑動(dòng)時(shí)，它會(huì)對(duì)您的手指連續(xù)進(jìn)行“快照”。然后，滑覺傳感器將這些快照“縫合”在一起，形成尺寸可如同觸覺傳感器所拍攝的圖像一般大甚至更大的指紋圖像。

　　與按壓式傳感器相比，滑動(dòng)式傳感器有如下優(yōu)勢(shì)：

　　· 滑動(dòng)可實(shí)現(xiàn)讀取更大的指紋圖像。即，匹配器軟件對(duì)更多數(shù)據(jù)進(jìn)行分析，因此出錯(cuò)率非常小。

　　· 滑動(dòng)式傳感器的尺寸僅為按壓式傳感器的 20%。與按壓式傳感器相比，滑動(dòng)式傳感器更小的“占地面積”是符合人體工程學(xué)方面是一個(gè)關(guān)鍵特性。

　　指紋識(shí)別器基于哪種技術(shù)

6. 集成指紋識(shí)別器基于哪種技術(shù)？

　　感應(yīng)或讀取指紋有多種不同方式；以下將探討其中的一些方式。集成指紋識(shí)別器所采用的技術(shù)稱為電容式傳感。該技術(shù)的基本原理是，它根據(jù)活體手指——請(qǐng)注意“活體”一詞——表層上的電阻變化傳導(dǎo)指紋圖像。皮膚的表皮層，包括手指的表皮層的細(xì)胞是非活體的。剝掉非活體細(xì)胞的表皮層可以看到第一層活體皮膚細(xì)胞，這些皮膚細(xì)胞具有一定量電阻。它們還在皮膚表層上組成特定形狀——常見的指紋嵴線和溝。細(xì)胞中的特定電學(xué)品質(zhì)與細(xì)胞的排列方式這二者的結(jié)合使得皮膚表面的電阻能夠被測(cè)量到且其變化唯一。這就是電容式讀取器的工作方式——它首先讀取手指活體表皮的電阻變化，然后傳導(dǎo)顯示這些變化的手指圖。該圖看起來就像警察展示的標(biāo)準(zhǔn)指紋圖像。

　　電阻變化圖稱作指紋圖像。產(chǎn)生指紋圖像后會(huì)對(duì)其進(jìn)行保存，或?qū)⑵渑c另一個(gè)指紋圖像進(jìn)行比較，以確定它們是否相同。

　　產(chǎn)生指紋圖像的其它方式有多種。

　　· 光學(xué)。該技術(shù)實(shí)質(zhì)上是對(duì)手指表層進(jìn)行拍照。警察使用印臺(tái)獲取指紋，這是光纖圖像的一個(gè)示例。它是一種較早的數(shù)字技術(shù)。

　　· 紅外線。其測(cè)量手指的溫度。這一因素的使用之一是驗(yàn)證是否存在活體手指（死的或非常冷的手指不會(huì)通過驗(yàn)證）。

　　· 雷達(dá)。它是一種光學(xué)變異，可發(fā)射雷達(dá)能量并讀取從呈現(xiàn)的手指上反射的信號(hào)。通過雷達(dá)可構(gòu)建圖像并進(jìn)行比較。

　　· 激光。激光的種類有多種。一種是使用激光燈來讀取皮膚表層下的毛細(xì)血管。激光有多種優(yōu)勢(shì)。一種是您無法利用從玻璃等物體上盜取的指紋來以假亂真。它不會(huì)在意皮膚的外觀，只關(guān)注皮膚下毛細(xì)血管的排列。另一種是如果手指是死的（切斷的或仍在尸體上），毛細(xì)血管便會(huì)干癟（無心搏），傳感器根本不會(huì)傳導(dǎo)圖像。該技術(shù)非常昂貴。

　　IBM 選擇了電容式傳感器，因?yàn)樵摷夹g(shù)在指紋界中占有主導(dǎo)地位；其它所有指紋識(shí)別技術(shù)均為技術(shù)跟隨者。該技術(shù)還非常成熟、穩(wěn)定可靠，并且是當(dāng)今市場(chǎng)中價(jià)格相對(duì)最低廉的指紋傳感技術(shù)之一。

7. 指紋匹配是如何進(jìn)行的？

　　對(duì)指紋掃描（無論使用什么方法）只是匹配過程的開始。匹配過程中第一步為注冊(cè)。信息技術(shù)中，生物匹配的目的是驗(yàn)證。這意味著您必須首先定義用戶 ID，然后注冊(cè)與該用戶 ID 相關(guān)的指紋。當(dāng)您注冊(cè)指紋時(shí)，您必須重復(fù)將一個(gè)手指呈現(xiàn)給傳感器，直至注冊(cè)軟件已從該手指上捕獲了在未來進(jìn)行指紋驗(yàn)證時(shí)足以能夠識(shí)別指紋的信息。通常，三次測(cè)量足以實(shí)現(xiàn)這一目的。

　　如果您放置一個(gè)手指進(jìn)行驗(yàn)證，連接在指紋識(shí)別器上的軟件匹配器便對(duì)所放置的手指圖像進(jìn)行分析，并將其與該指紋識(shí)別器所具有的已注冊(cè)指紋進(jìn)行比較。如果匹配，您便通過了驗(yàn)證。如果不匹配，您便通不過驗(yàn)證。

　　指紋匹配戰(zhàn)略有三種。

　　1. 細(xì)節(jié)匹配器。如同大多數(shù)警匪劇中所使用的，這是指紋匹配的原始方法。其尋找指紋中嵴線形成的唯一模式，包括嵴線末端的位置和它們分叉的方式。嵴線末端或分叉點(diǎn)稱為“節(jié)點(diǎn)”。一些節(jié)點(diǎn)數(shù)被視為指紋注冊(cè)的一部分。當(dāng)指紋與已注冊(cè)指紋進(jìn)行比較時(shí)，匹配器會(huì)尋找所呈現(xiàn)的指紋中與保存的已注冊(cè)指紋中相同的節(jié)點(diǎn)。如果各點(diǎn)間出現(xiàn)足夠的匹配，則有效 ID 便被確定。從計(jì)算上講，這很容易快速執(zhí)行，并且需要的程序較小。執(zhí)行匹配時(shí)，它在這三種方式中錯(cuò)誤率最高。保存的數(shù)據(jù)就是一系列節(jié)點(diǎn)，而非手指圖像。

　　2. 相關(guān)匹配器。這種方法更加復(fù)雜，它將兩種指紋的所有方面進(jìn)行比較，以尋找匹配。這些特性包括嵴線寬度、溝寬度、嵴線的方向與排列，以及其它眾多因素。從計(jì)算上講，這比細(xì)節(jié)更苛刻。其程序較大且緩慢。總體上它比細(xì)節(jié)匹配器更可靠。相關(guān)匹配器保存了已注冊(cè)指紋的圖像。

　　3. 細(xì)節(jié)匹配器與相關(guān)匹配器的組合。這是一種新的方法，它將這兩種戰(zhàn)略相結(jié)合，獲得了如同細(xì)節(jié)匹配器一般小和快、如同相關(guān)匹配器一樣可靠的優(yōu)勢(shì)。

　　IBM集成指紋識(shí)別器使用細(xì)節(jié)匹配器。

　　如何使用指紋識(shí)別器

8.我可以通過什么方式使用集成指紋識(shí)別器？

　　1. 您可以注冊(cè)指紋，以便用于“預(yù)引導(dǎo)驗(yàn)證”。即，您可以配置您的 T42，使其在開機(jī)時(shí)需要提供指紋——假設(shè)您已為系統(tǒng)配置了一個(gè)或多個(gè) BIOS 密碼。指紋識(shí)別器子系統(tǒng)能夠安全地記住這些密碼，并且在您正確通過指紋驗(yàn)證時(shí)可代表您將這些密碼提供給 BIOS。該識(shí)別器能夠保存和重新調(diào)用 BIOS 開機(jī)密碼 （POP） 和三個(gè)不同的硬盤驅(qū)動(dòng)器 （HDD） 密碼（每一個(gè)均針對(duì)三個(gè)驅(qū)動(dòng)器）。提示時(shí)，如果您提供了一個(gè)匹配的指紋，則指紋軟件便會(huì)將請(qǐng)求的密碼（假定先前已保存了它們）提供給 BIOS。此外，該指紋識(shí)別器還提供了一個(gè)配置選項(xiàng)，該選項(xiàng)可使您使用相同指紋登錄到 Windows 帳戶——啟動(dòng)時(shí)只要手指一刷，您的 PC 即可登錄到桌面。

　　2. 帶有集成指紋識(shí)別器的所有 T42 機(jī)型?昱?IBM 嵌入式安全子系統(tǒng) （ESS）。因此，T42 用戶可將該識(shí)別器用作現(xiàn)有 IBM 客戶端安全子系統(tǒng) （CSS） 的另一種驗(yàn)證方法，這些應(yīng)用包括密碼管理器、Windows 密碼更換、文件與文件夾加密 （FFE） 及認(rèn)證保護(hù)。

　　3. 您可以使用該識(shí)別器來取代 Windows 2000 和 Windows XP 登錄密碼。IBM 指紋軟件有能力依據(jù)您所提供的指紋辨別出您是誰(shuí)從而選擇您的用戶名和密碼-您無需在登陸界面手動(dòng)敲入，這些均由該應(yīng)用程序幫您處理。該功能獨(dú)立于 IBM 客戶端安全軟件，因此不受可信賴平臺(tái)模塊（TPM，也稱為安全芯片）的保護(hù)。為運(yùn)行 IBM CSS 的用戶實(shí)現(xiàn)最佳的安全結(jié)果，還請(qǐng)通過 CSS 策略實(shí)施 Windows 密碼更換。

9.使用指紋識(shí)別器時(shí)用戶具有什么樣的隨需即用體驗(yàn)？

　　用戶第一次打開配有集成指紋識(shí)別器的新 IBM 計(jì)算機(jī)時(shí)，會(huì)看到 Windows 桌面上出現(xiàn)閃屏。該屏幕提示您開始注冊(cè)指紋。用戶可同意并進(jìn)行注冊(cè)，或忽略該閃屏。進(jìn)而，用戶可選 “Don’t remind me again” 框。

　　如果用戶選擇注冊(cè)，則注冊(cè)一個(gè)或多個(gè)指紋的注冊(cè)過程便開始。指紋模板以與有效用戶 ID 相關(guān)的方式保存在系統(tǒng)中。該注冊(cè)過程包括保存用戶的 Windows 密碼，注冊(cè)一個(gè)或多個(gè)指紋，以及配置預(yù)引導(dǎo)支持（選擇在預(yù)引導(dǎo)環(huán)境中使用的指紋）。

　　用戶已完成注冊(cè)后，系統(tǒng)會(huì)詢問是否要啟用針對(duì)預(yù)引導(dǎo)環(huán)境的這些密碼。這與開機(jī)密碼 （POP） 和硬盤驅(qū)動(dòng)器 （HDD） 密碼相關(guān)。

　　注意：如果您設(shè)置了所有這些密碼，請(qǐng)不要將其丟失。例如，如果識(shí)別器出現(xiàn)故障，而您設(shè)置了某些密碼，那么您將需要輸入這些密碼以通過認(rèn)證。

　　針對(duì) BIOS 密碼的使用，您可以選擇指定 21 個(gè)注冊(cè)指紋。

10. 如何保存我的指紋？它們是否安全？

　　在指紋注冊(cè)過程中，要求用戶將每一個(gè)注冊(cè)手指刷三次。每一次刷手指時(shí)，指紋軟件僅記錄指紋的某些圖案元素。取三次刷手指所獲得的這些圖案元素的平均值，然后生成一個(gè)數(shù)學(xué)公式，這一公式在統(tǒng)計(jì)上是該手指的唯一公式。隨后對(duì)稱為模板的該公式進(jìn)行加密，并將其保存到硬盤驅(qū)動(dòng)器上。注意，該指紋軟件不保存指紋的實(shí)際數(shù)字圖像。

　　如何管理指紋識(shí)別器

11. 是否有在公司中集中管理指紋的方法？

　　有。由于指紋模板保存在文件夾中，它們可通過 Windows Active Directory 由標(biāo)準(zhǔn) Windows 管理軟件加以管理。此外，還有 UPEK 提供的指紋模板管理工具此外，UPEK也有指紋模塊管理工具，但 IBM 不提供也不支持該服務(wù)器應(yīng)用程序。詳情請(qǐng)參見 www.upek.com。

12. 我是否可以注冊(cè)其他人，以便其通過指紋識(shí)別器訪問我的計(jì)算機(jī)？可以注冊(cè)多少人？

　　可以。用戶可使用集成指紋識(shí)別器共享相同 PC。每當(dāng)有新的用戶注冊(cè)的時(shí)候，該用戶能夠?qū)⑵渥疃?0個(gè)手指的指紋信息與其Windows用戶ID和密碼一起存儲(chǔ)下來。每次新用戶登錄時(shí)，用戶可注冊(cè)十個(gè) （10） 指紋，保存這些指紋時(shí)可設(shè)置該用戶的 Windows 用戶 ID 和密碼。即，如果 Bob 與 Alice 共享一臺(tái) PC，當(dāng) Bob 打開 PC 并滑動(dòng)手指時(shí)，他會(huì)登錄到 Bob 的桌面。當(dāng) Alice 打開該 PC 并滑動(dòng)手指時(shí)，她會(huì)登錄到 Alice 的桌面。

　　可為預(yù)引導(dǎo)驗(yàn)證保存的指紋數(shù)為 21 個(gè)。即支持最多不超過 21 個(gè)人對(duì)同一臺(tái)PC的共享。而對(duì)于通過注冊(cè)指紋來替代Windows登陸密碼或與IBM客戶端安全密碼管理軟件共同使用時(shí)，可以注冊(cè)的用戶數(shù)并沒有實(shí)際限制。可共享 PC 上的這一功能。可注冊(cè)指紋來替代 Windows 登錄密碼或與 IBM 客戶端安全密碼管理器結(jié)合使用的 Windows 用戶數(shù)沒有實(shí)際限制。但對(duì)于密碼管理器運(yùn)行而言，每位用戶必須在 CSS 中進(jìn)行注冊(cè)，這樣 CSS 可將每位用戶的密碼與該 PC 上其他人的分離開來。