分析:将生物特征验证与活动目录进行整合

关于生物识别技术一项值得注意的抱怨是,它与现有的企业网络结合得不好。不过,情况已经改变了。现在的许多生物识别设备都能够与微软的活动目录(Active Directory)整合,就像许多其他验证工具或产品一样。生物识别技术与活动目录协同工作的能力最近帮助提高了企业使用生物识别技术的可行性。

基本上,活动目录可以保存生物特征数据,作为用户身份验证配置文件的一部分,可与该用户其他的身份凭证一起使用。在本文中,我们将研究如何将你的生物特征识别设备无缝地集成到公司已有的活动目录架构中。

要不要密码?

生物特征凭据,像其他的身份验证凭据一样,需要安全地在设备间传输,并安全的保存在身份验证目录服务中。活动目录可满足这两方面的要求,这也是为什么它能实现生物识别技术部署的原因。

首先,确定一个基本的生物识别网络验证策略。在已有的身份验证系统中,生物特征识别设备可以有两种工作方式。它可以是替代用户ID和密码的唯一登录凭据,也可以是双因素(two-factor)身份认证系统的一部分,作为已有用户ID和密码的补充。这两种工作方式的区别在于在活动目录中设置生物特征识别的重要性。

如果用生物特征识别技术替代已有的用户ID和密码系统,那么可能就不需要专门的登录界面。在这种情况下,需确保生物特征识别设备直接并安全地与工作站的活动目录相连接。生物特征数据,像用户ID和密码一样,在传输过程中需要加密。

如果生物特征识别设备只是作为你现有用户ID和密码系统的补充,那么登录窗口应该修改,以显示生物特征识别设备的输入数据。首先要检查供应商是否提供了修改Windows图像识别和验证(graphical identification and authentication,GINA)代码的软件。GINA是用于创建Windows登录窗口的动态链接库。

硬件和软件要求

为成功地与活动目录集成,生物特征识别产品必须有一些关键元素。首先是在软件方面。试验方法就是测试它能否用已有的活动目录工具——如微软管理控制台(Microsoft Management Console,MMC)和活动目录应用程序模块(Active Directory Application Module,ADAM)接口——进行管理。

安全和审计政策也应该是可管理的,正如你现有的用户ID和密码一样,可通过“用户和计算机”MMC管理单元进行管理。

如果没有这些接口,管理生物特征识别产品将无从下手,因为很难以一致的方式有效地添加、更改或删除用户。此外,还应有用户友好的资料注册向导。该向导应易于新用户注册,例如,通过设备注册他们的指纹。同样,关键是管理软件要易用,还要有能够与活动目录内置工具结合使用的能力。

另一项试验测试是看软件是否满足BioAPI。BioAPI是2002年制定的关于生物特征识别软件契合Windows API的新标准。BioAPI支持18种不同的生物特征识别设备与活动目录相连,包括指纹和虹膜扫描器、面部和声纹识别系统以及嵌入生物特征凭据的智能卡。这种跨设备平台允许人们专注于最适合已有系统的生物特征识别设备,而不用担心不同的设备与活动目录连接后是否能工作。使用BioAPI时,设备的类别无关紧要。

而且,当然,为了审计和追踪事件,生物特征识别软件应该允许注册到Windows事件查看器(Windows Event Viewer)的登录。但不是所有的生物特征识别软件都能做到这一点。

在硬件方面,主要的要求是在设备和活动目录之间安全地保存和传输生物特征数据。当然,正如保存的其他身份验证凭据一样,活动目录也会将生物特征识别数据加密保存。但是,如果数据是明确地从生物特征识别设备发往活动目录服务器,那就像是通过网络发送未暴露的密码一样。

活动目录本身能安全地保存身份验证凭据。唯一需要给活动目录架构增加的安全措施是确保生物特征识别数据在发往活动目录服务器的过程中是加密的。

那么,在活动目录上安装生物识别技术会出现什么问题?通常,困扰生物特征识别技术本身的问题,也会影响到活动目录实施的性能问题——如漫长的登陆时间——和错误——比如误报。但是所有这些问题都是生物特征识别技术带来的,与活动目录没有多大的关系。围绕生物特征识别和活动目录的主要问题是生物特征识别软件的配置。如果没有合适地进行配置,即便有数据,活动目录也可能会无法正确地读取生物特征信息。

克服这些困难的最好的办法是在实验室环境中对你的活动目录系统进行完整的测试。可以从部分志愿者用户开始简单测试。请他们确定软件是否能工作,是否如预期般工作、没有断开或丢掉登陆,是否能从设备正确地读取信息,是否适当的保存了凭据,以及是否会对MMC或ADAM造成损害。

有些产品,如IdentiPHI公司的SAFsolution和DigitalPersona公司的Pro 4.0,能够帮助人们在活动目录中集成生物特征识别。这两款软件都可在服务器上安装,无缝地与活动目录结合。

为了能够容易地将生物特征识别技术加入到身份验证套件中,活动目录已经做了很多改进。而且微软还将推出更多的插件,并正与生物特征识别厂商建立合作关系,使得在未来生物特征识别技术能更加容易地集成到活动目录中。