指纹识别系统问题详解

1.何谓 IBM 集成指纹识别器？

IBM集成式指纹识别器是一种新的安全设备，该设备正被引入到IBM ThinkPad T42的某些型号上。 IBM集成式指纹识别器允许其用户在他们的系统上注册指纹并且作为认证设备来取代BIOS以及Windows密码。该指纹读卡器也能够作为认证设备应用在已全线预装了IBM嵌入式安全子系统的IBM ThinkPad T42系统上。我们 T42 产品线的某些机型上正在引用这一技术。该设备将使用户在这些系统上注册他们的指纹，然后将这种识别器用作验证设备来取代 BIOS 和 Windows 密码。该集成指纹识别器还可用作带有 IBM 嵌入式安全子系统的验证设备，现在 T42 机上均已预装IBM 嵌入式安全子系统。


2. IBM 为什么要推出这种技术？

IBM集成式指纹识别器简化了认证到Windows系统的手段，消除了用户记住多个密码的烦恼并籍此降低IT部门接收到的因密码忘记产生的求助。
IBM 集成指纹识别器提供了 Windows 系统验证的简单方法，从而使用户无需记住多个密码，因此减少了因忘记密码而致电支持中心的次数。当与带有密码管理器的 IBM 客户端安全软件结合使用时，指纹识别器可作为使用 IBM 嵌入式安全子系统保护操作的验证方法。指纹技术提供了唯一用户身份识别的安全性，以及无需繁琐的外部设备的集成设计方法。

3. ThinkPad T42 中使用的 IBM 指纹识别器是哪家制造商制造的？

其原始制造商为 ST Micro。自 IBM 与 ST 签定合同以来，ST 就成立新的公司 UPEK，致力于生物识别方面业务

4. 哪些软件可用于帮助管理集成指纹识别器？

IBM 拥有已经过 UPEK 许可的指纹管理软件，并且正在将该软件重新命名为“IBM 指纹软件”。该软件运行于 Windows 2000 和 XP，它可用作
1) 注册和管理用户指纹的指纹识别器界面
2) IBM 客户端安全软件 (CSS)管理验证呼叫的一个界面（见问题 15）
3) 保存／管理指纹以用于替代 BIOS 和 Windows 登录密码的方法。

5. 集成指纹识别器具有什么样的外形尺寸？

其外形在指纹识别器外形界中是一种新的创新。传统的邮票型指纹传感器称为按压式传感器。即，您的手指需平压在该设备上以让识别器获取您的指纹印痕。

T42 集成的指纹识别器称为滑动式传感器。为进行读取，您必须在识别器上滑动或拖动手指，或将手指刷过识别器。当手指在滑觉传感器表面上滑动时，它会对您的手指连续进行“快照”。然后，滑觉传感器将这些快照“缝合”在一起，形成尺寸可如同触觉传感器所拍摄的图像一般大甚至更大的指纹图像。

与按压式传感器相比，滑动式传感器有如下优势：
· 滑动可实现读取更大的指纹图像。即，匹配器软件对更多数据进行分析，因此出错率非常小。
· 滑动式传感器的尺寸仅为按压式传感器的 20%。与按压式传感器相比，滑动式传感器更小的“占地面积”是符合人体工程学方面是一个关键特性。

6. 集成指纹识别器基于哪种技术？

感应或读取指纹有多种不同方式；以下将探讨其中的一些方式。 集成指纹识别器所采用的技术称为电容式传感。该技术的基本原理是，它根据活体手指——请注意“活体”一词——表层上的电阻变化传导指纹图像。皮肤的表皮层，包括手指的表皮层的细胞是非活体的。剥掉非活体细胞的表皮层可以看到第一层活体皮肤细胞，这些皮肤细胞具有一定量电阻。它们还在皮肤表层上组成特定形状——常见的指纹嵴线和沟。细胞中的特定电学品质与细胞的排列方式这二者的结合使得皮肤表面的电阻能够被测量到且其变化唯一。这就是电容式读取器的工作方式——它首先读取手指活体表皮的电阻变化，然后传导显示这些变化的手指图。该图看起来就像警察展示的标准指纹图像。

电阻变化图称作指纹图像。产生指纹图像后会对其进行保存，或将其与另一个指纹图像进行比较，以确定它们是否相同。

产生指纹图像的其它方式有多种。

· 光学。该技术实质上是对手指表层进行拍照。警察使用印台获取指纹，这是光纤图像的一个示例。它是一种较早的数字技术。

· 红外线。其测量手指的温度。这一因素的使用之一是验证是否存在活体手指（死的或非常冷的手指不会通过验证）。

· 雷达。它是一种光学变异，可发射雷达能量并读取从呈现的手指上反射的信号。通过雷达可构建图像并进行比较。

· 激光。激光的种类有多种。一种是使用激光灯来读取皮肤表层下的毛细血管。激光有多种优势。一种是您无法利用从玻璃等物体上盗取的指纹来以假乱真。它不会在意皮肤的外观，只关注皮肤下毛细血管的排列。另一种是如果手指是死的（切断的或仍在尸体上），毛细血管便会干瘪（无心搏），传感器根本不会传导图像。该技术非常昂贵。

IBM 选择了电容式传感器，因为该技术在指纹界中占有主导地位；其它所有指纹识别技术均为技术跟随者。该技术还非常成熟、稳定可*，并且是当今市场中价格相对最低廉的指纹传感技术之一。

7. 指纹匹配是如何进行的？

对指纹扫描（无论使用什么方法）只是匹配过程的开始。匹配过程中第一步为注册。信息技术中，生物匹配的目的是验证。这意味着您必须首先定义用户 ID，然后注册与该用户 ID 相关的指纹。当您注册指纹时，您必须重复将一个手指呈现给传感器，直至注册软件已从该手指上捕获了在未来进行指纹验证时足以能够识别指纹的信息。通常，三次测量足以实现这一目的。

如果您放置一个手指进行验证，连接在指纹识别器上的软件匹配器便对所放置的手指图像进行分析，并将其与该指纹识别器所具有的已注册指纹进行比较。如果匹配，您便通过了验证。如果不匹配，您便通不过验证。

指纹匹配战略有三种。

1. 细节匹配器。如同大多数警匪剧中所使用的，这是指纹匹配的原始方法。其寻找指纹中嵴线形成的唯一模式，包括嵴线末端的位置和它们分*的方式。嵴线末端或分*点称为“节点”。一些节点数被视为指纹注册的一部分。当指纹与已注册指纹进行比较时，匹配器会寻找所呈现的指纹中与保存的已注册指纹中相同的节点。如果各点间出现足够的匹配，则有效 ID 便被确定。从计算上讲，这很容易快速执行，并且需要的程序较小。执行匹配时，它在这三种方式中错误率最高。保存的数据就是一系列节点，而非手指图像。

2. 相关匹配器。这种方法更加复杂，它将两种指纹的所有方面进行比较，以寻找匹配。这些特性包括嵴线宽度、沟宽度、嵴线的方向与排列，以及其它众多因素。从计算上讲，这比细节更苛刻。其程序较大且缓慢。总体上它比细节匹配器更可*。相关匹配器保存了已注册指纹的图像。

3. 细节匹配器与相关匹配器的组合。这是一种新的方法，它将这两种战略相结合，获得了如同细节匹配器一般小和快、如同相关匹配器一样可*的优势。

IBM集成指纹识别器使用细节匹配器。

8.我可以通过什么方式使用集成指纹识别器？

1. 您可以注册指纹，以便用于“预引导验证”。 即，您可以配置您的 T42，使其在开机时需要提供指纹——假设您已为系统配置了一个或多个 BIOS 密码。指纹识别器子系统能够安全地记住这些密码，并且在您正确通过指纹验证时可代表您将这些密码提供给 BIOS。该识别器能够保存和重新调用 BIOS 开机密码 (POP) 和三个不同的硬盘驱动器 (HDD) 密码（每一个均针对三个驱动器）。提示时，如果您提供了一个匹配的指纹，则指纹软件便会将请求的密码（假定先前已保存了它们）提供给 BIOS。此外，该指纹识别器还提供了一个配置选项，该选项可使您使用相同指纹登录到 Windows 帐户——启动时只要手指一刷，您的 PC 即可登录到桌面。

2. 带有集成指纹识别器的所有 T42 机型均标配 IBM 嵌入式安全子系统 (ESS)。因此，T42 用户可将该识别器用作现有 IBM 客户端安全子系统 (CSS) 的另一种验证方法，这些应用包括密码管理器、Windows 密码更换、文件与文件夹加密 (FFE) 及认证保护。

. 您可以使用该识别器来取代 Windows 2000 和 Windows XP 登录密码。IBM 指纹软件有能力依据您所提供的指纹辨别出您是谁从而选择您的用户名和密码-您无需在登陆界面手动敲入，这些均由该应用程序帮您处理。该功能独立于 IBM 客户端安全软件，因此不受可信赖平台模块（TPM，也称为安全芯片）的保护。为运行 IBM CSS 的用户实现最佳的安全结果，还请通过 CSS 策略实施 Windows 密码更换。

9.使用指纹识别器时用户具有什么样的随需即用体验？

用户第一次打开配有集成指纹识别器的新 IBM 计算机时，会看到 Windows 桌面上出现闪屏。该屏幕提示您开始注册指纹。用户可同意并进行注册，或忽略该闪屏。进而，用户可选 “Don’t remind me again” 框。

如果用户选择注册，则注册一个或多个指纹的注册过程便开始。指纹模板以与有效用户 ID 相关的方式保存在系统中。该注册过程包括保存用户的 Windows 密码，注册一个或多个指纹，以及配置预引导支持（选择在预引导环境中使用的指纹）。

用户已完成注册后，系统会询问是否要启用针对预引导环境的这些密码。这与开机密码 (POP) 和硬盘驱动器 (HDD) 密码相关。

注意：如果您设置了所有这些密码，请不要将其丢失。例如，如果识别器出现故障，而您设置了某些密码，那么您将需要输入这些密码以通过认证。

针对 BIOS 密码的使用，您可以选择指定 21 个注册指纹。

10. 如何保存我的指纹？它们是否安全？

在指纹注册过程中，要求用户将每一个注册手指刷三次。每一次刷手指时，指纹软件仅记录指纹的某些图案元素。取三次刷手指所获得的这些图案元素的平均值，然后生成一个数学公式，这一公式在统计上是该手指的唯一公式。随后对称为模板的该公式进行加密，并将其保存到硬盘驱动器上。注意，该指纹软件不保存指纹的实际数字图像。
11. 是否有在公司中集中管理指纹的方法？

有。 由于指纹模板保存在文件夹中，它们可通过 Windows Active Directory 由标准 Windows 管理软件加以管理。此外，还有 UPEK 提供的指纹模板管理工具此外，UPEK也有指纹模块管理工具，但 IBM 不提供也不支持该服务器应用程序。

12. 我是否可以注册其他人，以便其通过指纹识别器访问我的计算机？可以注册多少人？

可以。用户可使用集成指纹识别器共享相同 PC。每当有新的用户注册的时候，该用户能够将其最多10个手指的指纹信息与其Windows用户ID和密码一起存储下来。每次新用户登录时，用户可注册十个 (10) 指纹，保存这些指纹时可设置该用户的 Windows 用户 ID 和密码。即，如果 Bob 与 Alice 共享一台 PC，当 Bob 打开 PC 并滑动手指时，他会登录到 Bob 的桌面。当 Alice 打开该 PC 并滑动手指时，她会登录到 Alice 的桌面。

可为预引导验证保存的指纹数为 21 个。即支持最多不超过 21 个人对同一台PC的共享。而对于通过注册指纹来替代Windows登陆密码或与IBM客户端安全密码管理软件共同使用时，可以注册的用户数并没有实际限制。可共享 PC 上的这一功能。可注册指纹来替代 Windows 登录密码或与 IBM 客户端安全密码管理器结合使用的 Windows 用户数没有实际限制。但对于密码管理器运行而言，每位用户必须在 CSS 中进行注册，这样 CSS 可将每位用户的密码与该 PC 上其他人的分离开来。

13. 当我需要更改 BIOS 和／或 Windows 密码时会出现哪些操作？

通过 IBM 指纹软件，用户可配置系统来取代他们的 BIOS 和 Windows 密码。然后指纹软件就将这些密码保存在安全的缓存中。在验证过程中，当指纹软件获得了一次有效的指纹匹配时，它会检索出相应的密码，并根据要求将密码交付给BIOS或/和Windows系统。要求时将其提供给 BIOS 和／或 Windows。

用户可通过他们在无指纹机型中所采用的相同方式，利用 BIOS 实用程序更改他们的 BIOS 密码。同样，他们会像往常一样通过 Windows 软件更改他们的 Windows 密码。但在做过密码更改过的下一次出现指纹验证提示的时候，用户会被要求重新输入一下那个新的密码。IBM指纹软件将验证用户键入了正确的密码，并将该密码该密码保存到硬盘驱动器上安全的加密缓存区域中。 但下一次他们进行这种密码更改后，系统会显示指纹提示，并提示用户重新输入新密码。IBM 指纹软件验证用户是否键入了正确的密码，之后将该密码保存到硬盘驱动器上安全的加密缓存区域中。

14. 如果集成指纹识别器出现故障怎么办？我是否还能够登录到我的计算机？

如果集成指纹识别器出现故障，您的系统将会恢复到使用密码的状态。在启动时用户则被要求您输入开机密码和／或硬盘驱动器密码（如果使用了这些密码）。在登录 Windows 时将提示输入 Windows 密码。在使用密码管理器等客户端安全软件应用程序过程中，您将需要输入 CSS 密码。

15. 集成指纹识别器如何与 IBM 客户端安全软件进行互操作？

指纹识别器与 CSS 之间的所有对话均通过 IBM 指纹软件进行。IBM 指纹软件主要用于注册和管理指纹模板。所有来自 于CSS 的指纹验证请求均被传递给 IBM 指纹软件，以进行验证。从 CSS 角度讲，集成式指纹识别器的角色就是另外一个提供验证的设备。

指纹识别器与 CSS 之间的所有诊断均通过 IBM 指纹软件进行。IBM 指纹软件主要用于注册和管理指纹模板。来自 CSS 的所有指纹验证请求均被传递给 IBM 指纹软件，以进行验证。从 CSS 角度讲，集成指纹识别器可作为另一个验证设备。

16. 集成指纹识别器如何与利用 IBM 嵌入式安全子系统 (ESS) 的 IBM 合作伙伴应用程序协调工作？

集成式指纹识别器可作为支持 ESS 的另一个验证设备。任何产生用户验证请求的CSS应用程序均可受益于该设备。可生成针对用户的验证请求的所有 CSS 应用程序均可利用该识别器。例如，它可与 IBM 客户端安全密码管理器和文件与文件夹加密工具结合使用。

任何需要自身验证的第三方应用程序仍将需要验证，即使存在指纹识别器时也是如此。例如，Utimaco SafeGuard Easy 将自身预引导用户 ID 和密码作为安全元素。IBM 指纹软件与 Utimaco SGE 之间无当前功能。因此，如果用户通过刷指纹旁路了 BIOS 密码设置，则启动过程将是刷手指进入 BIOS，输入 Utimaco SGE 用户 ID 和密码，然后继续登录到 Windows。由于大多数对完全硬盘驱动器加密感兴趣的用户最关心安全性，因此这可以作为双因素验证方法
安全性提问：如手指被切断

17. 指纹匹配器的可*性如何？其不让我登录的几率有多少？有人即使没有注册也能“以假乱真”并登录到系统的几率有多少？

用于评估匹配器可*性的等级有三个。

1. 拒识率。是指实际匹配，但匹配器觉得不匹配的情况。实际上存在匹配时匹配器确定没有匹配。当安全性不太重要，重要的是仅通过一次测量便可顺利登录时，用户需要较低的拒识率。

2. 误识率。是指实际不匹配，但匹配器误以为匹配的情况。实际上不存在匹配时匹配器确定存在匹配。当真正重要的是确信存在匹配时，您需要极低的误识率。

3. 交*错误率。总体上，匹配器程序可加以调谐，以改善拒识率而牺牲误识率，或者反过来。为进行这两个操作，您必须改善匹配器程序或更改为本身更精确的匹配器程序类型（本质上相关匹配器优胜于细节匹配器，但比细节匹配器更大、更缓慢。）交*错误率是误识率等同于拒识率的点。

随着匹配技术与传感器技术的发展，错误率一直在平稳地降低。总体而言，指纹识别器厂商将对该软件进行调谐，以提高拒识率而降低误识率。其原因是如果您被错误的拒绝，您只要再次刷一下手指即可。但如果您被错误的通过验证，您便能够访问您本应没有访问权的内容。

一次测量时，最新传感器的错误率为 3% 左右的拒识率和 1% 或更低的误识率。即，随便一个人在您的 PC 上滑动手指时，通过验证的几率不足 1%。对于 IBM 集成指纹识别器而言，进行三次指纹验证时，拒识率不足 0.5%。

已知的指纹识别器攻击有许多种。有些非常具有想象力，例如用弹道凝胶或软塑料等物体造一个假手指，将从玻璃上采集的指纹用胶带绑在该手指上，然后用它来触摸传感器。在实验室设置中，对传感器技术的攻击成功次数有限。该传感器制造商将这些攻击放在首要位置，并且不断更新他们的匹配器，以抵制这些攻击。到现在为止，所有已知的现有攻击均针对触觉传感器。

18. 如果我割破了手指、切断了手指或以其它方式损伤了手指肉垫该怎么办？

手指上的严重的创伤导致集成式指纹识别器无法进行匹配比对的情况时可能的。
手指可能严重受损，以致集成指纹识别器无法进行匹配。如果损伤是永久性的，则一旦复原后应重新注册。由于一个手指可能受到损伤，或者一只手上的所有手指均可能受到损伤，因此建议用户每只手至少注册一个手指。

如果您发现自己遇到无法匹配指纹的情况，您可以旁路集成指纹识别器，并根据您的设置，返回使用 BIOS 和／或 CSS 密码。

19. 如果我的手指被切断了，该手指是否还能够用于访问我的 PC？

像集成指纹识别器这样的电容式传感器用于测量活体手指的电属性。断指的电属性与活体手指的不同。实际上，一旦手指的电属性腐烂超过一定程度，它们是完全不同的，以致电容式传感器无法读取断指。手指一脱落身体或身体死亡后，该手指的电属性立即开始腐烂。断指电属性腐烂到电容式传感器不再识别该手指时需要约 15 分钟。

20. 现有指纹数据库能否与集成指纹识别器结合使用？

不能。众多执法机构出于各种原因保留他们自己人员的数字指纹，其中包括将这些指纹从犯罪现场消除。为此目的收集的指纹通常为利用某些其它光学技术拍摄的印台手指的数字图像。如上所述，集成指纹识别器使用电容式传感器。因此，数字指纹不能用于替代正常注册过程。注意，电容式传感器不读取死表皮，而是读取或表皮下的活皮肤。光学指纹只是外观如同相同手指的电容指纹，但它们之间存在许多细微的差别。如果您运行匹配软件来对这两种指纹进行匹配验证，您会发现光学指纹的匹配结果极差——即拒识率非常高（图像指纹实际上是相同手指的指纹时，该软件确定不是）。总之，具有现有数字指纹集的任何人仍需要使用 IBM 指纹软件注册他们的指纹。

机器买回来指纹就没有用挝