IBM指紋識別器

（目前IBM有T42，T43，T60等機型採用指紋識別器．）

1.何謂 IBM 集成指紋識別器？

IBM集成式指紋識別器是一種新的安全設備，該設備正被引入到IBM ThinkPad T42的某些型號上。
IBM集成式指紋識別器允許其用戶在他們的系統上註冊指紋並且作為認證設備來取代BIOS以及Windows密碼。該指紋讀卡器也能夠作為認證設備套用在已全線預裝了IBM嵌入式安全子系統的IBM
ThinkPad T42系統上。我們 T42 產品線的某些機型上正在引用這一技術。該設備將使用戶在這些系統上註冊他們的指紋，然後將這種識別器用作驗證設備來取代 BIOS 和 Windows 密碼。該集成指紋識別器還可用作帶有 IBM 嵌入式安全子系統的驗證設備，現在 T42 機上均已預裝IBM 嵌入式安全子系統。

2. IBM 為什麼要推出這種技術？

IBM集成式指紋識別器簡化了認證到Windows系統的手段，消除了用戶記住多個密碼的煩惱並籍此降低IT部門接收到的因密碼忘記產生的求助。 IBM 集成指紋識別器提供了 Windows 系統驗證的簡單方法，從而使用戶無需記住多個密碼，因此減少了因忘記密碼而致電支持中心的次數。當與帶有密碼管理器的 IBM 客戶端安全軟體結合使用時，指紋識別器可作為使用 IBM 嵌入式安全子系統保護操作的驗證方法。指紋技術提供了唯一用戶身份識別的安全性，以及無需繁瑣的外部設備的集成設計方法。

3. ThinkPad T42 中使用的 IBM 指紋識別器是哪家製造商製造的？

其原始製造商為 ST Micro。自 IBM 與 ST 簽定契約以來，ST 就成立新的公司 UPEK，致力於生物識別方面業務

4. 哪些軟體可用於幫助管理集成指紋識別器？

IBM 擁有已經過 UPEK 許可的指紋管理軟體，並且正在將該軟體重新命名為“IBM 指紋軟體”。該軟體運行於 Windows 2000 和 XP，它可用作
1) 註冊和管理用戶指紋的指紋識別器界面
2) IBM 客戶端安全軟體 (CSS)管理驗證呼叫的一個界面（見問題 15）
3) 保存/管理指紋以用於替代 BIOS 和 Windows 登錄密碼的方法。

5. 集成指紋識別器具有什麼樣的外形尺寸？

其外形在指紋識別器外形界中是一種新的創新。傳統的郵票型指紋感測器稱為按壓式感測器。即，您的手指需平壓在該設備上以讓識別器獲取您的指紋印痕。

T42 集成的指紋識別器稱為滑動式感測器。為進行讀取，您必須在識別器上滑動或拖動手指，或將手指刷過識別器。當手指在滑覺感測器表面上滑動時，它會對您的手指連續進行“快照”。然後，滑覺感測器將這些快照“縫合”在一起，形成尺寸可如同觸覺感測器所拍攝的圖像一般大甚至更大的指紋圖像。

與按壓式感測器相比，滑動式感測器有如下優勢：
· 滑動可實現讀取更大的指紋圖像。即，匹配器軟體對更多數據進行分析，因此出錯率非常小。
· 滑動式感測器的尺寸僅為按壓式感測器的 20%。與按壓式感測器相比，滑動式感測器更小的“占地面積”是符合人體工程學方面是一個關鍵特性。

6. 集成指紋識別器基於哪種技術？

感應或讀取指紋有多種不同方式；以下將探討其中的一些方式。集成指紋識別器所採用的技術稱為電容式感測。該技術的基本原理是，它根據活體手指——請注意“活體”一詞——表層上的電阻變化傳導指紋圖像。皮膚的表皮層，包括手指的表皮層的細胞是非活體的。剝掉非活體細胞的表皮層可以看到第一層活體皮膚細胞，這些皮膚細胞具有一定量電阻。它們還在皮膚表層上組成特定形狀——常見的指紋嵴線和溝。細胞中的特定電學品質與細胞的排列方式這二者的結合使得皮膚表面的電阻能夠被測量到且其變化唯一。這就是電容式讀取器的工作方式——它首先讀取手指活體表皮的電阻變化，然後傳導顯示這些變化的手指圖。該圖看起來就像警察展示的標準指紋圖像。

電阻變化圖稱作指紋圖像。產生指紋圖像後會對其進行保存，或將其與另一個指紋圖像進行比較，以確定它們是否相同。

· 光學。該技術實質上是對手指表層進行拍照。警察使用印台獲取指紋，這是光纖圖像的一個示例。它是一種較早的數位技術。

· 紅外線。其測量手指的溫度。這一因素的使用之一是驗證是否存在活體手指（死的或非常冷的手指不會通過驗證）。

· 雷達。它是一種光學變異，可發射雷達能量並讀取從呈現的手指上反射的信號。通過雷達可構建圖像並進行比較。

· 雷射。雷射的種類有多種。一種是使用雷射燈來讀取皮膚表層下的毛細血管。雷射有多種優勢。一種是您無法利用從玻璃等物體上盜取的指紋來以假亂真。它不會在意皮膚的外觀，只關注皮膚下毛細血管的排列。另一種是如果手指是死的（切斷的或仍在屍體上），毛細血管便會幹癟（無心搏），感測器根本不會傳導圖像。該技術非常昂貴。

IBM 選擇了電容式感測器，因為該技術在指紋界中占有主導地位；其它所有指紋識別技術均為技術跟隨者。該技術還非常成熟、穩定可靠，並且是當今市場中價格相對最低廉的指紋感測技術之一。

7. 指紋匹配是如何進行的？

對指紋掃描（無論使用什麼方法）只是匹配過程的開始。匹配過程中第一步為註冊。信息技術中，生物匹配的目的是驗證。這意味著您必須首先定義用戶 ID，然後註冊與該用戶ID 相關的指紋。當您註冊指紋時，您必須重複將一個手指呈現給感測器，直至註冊軟體已從該手指上捕獲了在未來進行指紋驗證時足以能夠識別指紋的信息。通常，三次測量足以實現這一目的。

如果您放置一個手指進行驗證，連線在指紋識別器上的軟體匹配器便對所放置的手指圖像進行分析，並將其與該指紋識別器所具有的已註冊指紋進行比較。如果匹配，您便通過了驗證。如果不匹配，您便通不過驗證。

1. 細節匹配器。如同大多數警匪劇中所使用的，這是指紋匹配的原始方法。其尋找指紋中嵴線形成的唯一模式，包括嵴線末端的位置和它們分*的方式。嵴線末端或分叉點稱為“節點”。一些節點數被視為指紋註冊的一部分。當指紋與已註冊指紋進行比較時，匹配器會尋找所呈現的指紋中與保存的已註冊指紋中相同的節點。如果各點間出現足夠的匹配，則有效ID 便被確定。從計算上講，這很容易快速執行，並且需要的程式較小。執行匹配時，它在這三種方式中錯誤率最高。保存的數據就是一系列節點，而非手指圖像。

2. 相關匹配器。這種方法更加複雜，它將兩種指紋的所有方面進行比較，以尋找匹配。這些特性包括嵴線寬度、溝寬度、嵴線的方向與排列，以及其它眾多因素。從計算上講，這比細節更苛刻。其程式較大且緩慢。總體上它比細節匹配器更可靠。相關匹配器保存了已註冊指紋的圖像。

3. 細節匹配器與相關匹配器的組合。這是一種新的方法，它將這兩種戰略相結合，獲得了如同細節匹配器一般小和快、如同相關匹配器一樣可*的優勢。

IBM集成指紋識別器使用細節匹配器。

8.我可以通過什麼方式使用集成指紋識別器？

1. 您可以註冊指紋，以便用於“預引導驗證”。 即，您可以配置您的 T42，使其在開機時需要提供指紋——假設您已為系統配置了一個或多個 BIOS 密碼。指紋識別器子系統能夠安全地記住這些密碼，並且在您正確通過指紋驗證時可代表您將這些密碼提供給 BIOS。該識別器能夠保存和重新調用 BIOS 開機密碼 (POP) 和三個不同的硬碟驅動器 (HDD) 密碼（每一個均針對三個驅動器）。提示時，如果您提供了一個匹配的指紋，則指紋軟體便會將請求的密碼（假定先前已保存了它們）提供給BIOS。此外，該指紋識別器還提供了一個配置選項，該選項可使您使用相同指紋登錄到 Windows 帳戶——啟動時只要手指一刷，您的 PC 即可登錄到桌面。

2. 帶有集成指紋識別器的所有 T42 機型均標配 IBM 嵌入式安全子系統 (ESS)。因此，T42 用戶可將該識別器用作現有 IBM 客戶端安全子系統(CSS) 的另一種驗證方法，這些套用包括密碼管理器、Windows 密碼更換、檔案與資料夾加密 (FFE) 及認證保護。

.　您可以使用該識別器來取代 Windows 2000 和 Windows XP 登錄密碼。IBM 指紋軟體有能力依據您所提供的指紋辨別出您是誰從而選擇您的用戶名和密碼-您無需在登入界面手動敲入，這些均由該應用程式幫您處理。該功能獨立於 IBM 客戶端安全軟體，因此不受可信賴平台模組（TPM，也稱為安全晶片）的保護。為運行 IBM CSS 的用戶實現最佳的安全結果，還請通過 CSS 策略實施 Windows 密碼更換。

9.使用指紋識別器時用戶具有什麼樣的隨需即用體驗？

用戶第一次打開配有集成指紋識別器的新 IBM 計算機時，會看到 Windows
桌面上出現閃屏。該螢幕提示您開始註冊指紋。用戶可同意並進行註冊，或忽略該閃屏。進而，用戶可選 “Don’t remind me again” 框。

如果用戶選擇註冊，則註冊一個或多個指紋的註冊過程便開始。指紋模板以與有效用戶 ID 相關的方式保存在系統中。該註冊過程包括保存用戶的 Windows 密碼，註冊一個或多個指紋，以及配置預引導支持（選擇在預引導環境中使用的指紋）。

用戶已完成註冊後，系統會詢問是否要啟用針對預引導環境的這些密碼。這與開機密碼 (POP) 和硬碟驅動器 (HDD) 密碼相關。

注意：如果您設定了所有這些密碼，請不要將其丟失。例如，如果識別器出現故障，而您設定了某些密碼，那么您將需要輸入這些密碼以通過認證。

針對 BIOS 密碼的使用，您可以選擇指定 21 個註冊指紋。

10. 如何保存我的指紋？它們是否安全？

在指紋註冊過程中，要求用戶將每一個註冊手指刷三次。每一次刷手指時，指紋軟體僅記錄指紋的某些圖案元素。取三次刷手指所獲得的這些圖案元素的平均值，然後生成一個數學公式，這一公式在統計上是該手指的唯一公式。隨後對稱為模板的該公式進行加密，並將其保存到硬碟驅動器上。注意，該指紋軟體不保存指紋的實際數字圖像。

11. 是否有在公司中集中管理指紋的方法？

有。由於指紋模板保存在資料夾中，它們可通過 Windows Active Directory 由標準 Windows 管理軟體加以管理。此外，還有 UPEK 提供的指紋模板管理工具此外，UPEK也有指紋模組管理工具，但 IBM 不提供也不支持該服務?人，以便其通過指紋識別器訪問我的計算機？可以註冊多少人？

可以。用戶可使用集成指紋識別器共享相同PC。每當有新的用戶註冊的時候，該用戶能夠將其最多10個手指的指紋信息與其Windows用戶ID和密碼一起存儲下來。每次新用戶登錄時，用戶可註冊十個 (10) 指紋，保存這些指紋時可設定該用戶的 Windows 用戶 ID 和密碼。即，如果 Bob 與 Alice 共享一台 PC，當 Bob 打開 PC 並滑動手指時，他會登錄到 Bob 的桌面。當 Alice 打開該 PC 並滑動手指時，她會登錄到 Alice 的桌面。

可為預引導驗證保存的指紋數為 21 個。即支持最多不超過 21
個人對同一台PC的共享。而對於通過註冊指紋來替代Windows登入密碼或與IBM客戶端安全密碼管理軟體共同使用時，可以註冊的用戶數並沒有實際限制。可共享 PC
上的這一功能。可註冊指紋來替代 Windows 登錄密碼或與 IBM 客戶端安全密碼管理器結合使用的 Windows
用戶數沒有實際限制。但對於密碼管理器運行而言，每位用戶必須在 CSS 中進行註冊，這樣 CSS 可將每位用戶的密碼與該 PC 上其他人的分離開來。

13. 當我需要更改 BIOS 和/或 Windows 密碼時會出現哪些操作？

通過 IBM 指紋軟體，用戶可配置系統來取代他們的 BIOS 和 Windows 密碼。然後指紋軟體就將這些密碼保存在安全的快取中。在驗證過程中，當指紋軟體獲得了一次有效的指紋匹配時，它會檢索出相應的密碼，並根據要求將密碼交付給BIOS或/和Windows系統。要求時將其提供給 BIOS 和/或 Windows。

用戶可通過他們在無指紋機型中所採用的相同方式，利用 BIOS 實用程式更改他們的 BIOS 密碼。同樣，他們會像往常一樣通過 Windows 軟體更改他們的 Windows 密碼。但在做過密碼更改過的下一次出現指紋驗證提示的時候，用戶會被要求重新輸入一下那個新的密碼。IBM指紋軟體將驗證用戶鍵入了正確的密碼，並將該密碼該密碼保存到硬碟驅動器上安全的加密快取區域中。 但下一次他們進行這種密碼更改後，系統會顯示指紋提示，並提示用戶重新輸入新密碼。IBM 指紋軟體驗證用戶是否鍵入了正確的密碼，之後將該密碼保存到硬碟驅動器上安全的加密快取區域中。

14. 如果集成指紋識別器出現故障怎么辦？我是否還能夠登錄到我的計算機？

如果集成指紋識別器出現故障，您的系統將會恢復到使用密碼的狀態。在啟動時用戶則被要求您輸入開機密碼和/或硬碟驅動器密碼（如果使用了這些密碼）。在登錄 Windows 時將提示輸入 Windows 密碼。在使用密碼管理器等客戶端安全軟體應用程式過程中，您將需要輸入 CSS 密碼。

15. 集成指紋識別器如何與 IBM 客戶端安全軟體進行互操作？

指紋識別器與 CSS 之間的所有對話均通過 IBM 指紋軟體進行。IBM 指紋軟體主要用於註冊和管理指紋模板。所有來自 於CSS 的指紋驗證請求均被傳遞給 IBM 指紋軟體，以進行驗證。從 CSS 角度講，集成式指紋識別器的角色就是另外一個提供驗證的設備。

指紋識別器與 CSS 之間的所有診斷均通過 IBM 指紋軟體進行。IBM 指紋軟體主要用於註冊和管理指紋模板。來自 CSS 的所有指紋驗證請求均被傳遞給 IBM 指紋軟體，以進行驗證。從 CSS 角度講，集成指紋識別器可作為另一個驗證設備。

16. 集成指紋識別器如何與利用 IBM 嵌入式安全子系統 (ESS) 的 IBM 合作夥伴應用程式協調工作？

集成式指紋識別器可作為支持 ESS 的另一個驗證設備。任何產生用戶驗證請求的CSS應用程式均可受益於該設備。可生成針對用戶的驗證請求的所有 CSS 應用程式均可利用該識別器。例如，它可與 IBM 客戶端安全密碼管理器和檔案與資料夾加密工具結合使用。

任何需要自身驗證的第三方應用程式仍將需要驗證，即使存在指紋識別器時也是如此。例如，Utimaco SafeGuard Easy 將自身預引導用戶 ID 和密碼作為安全元素。IBM 指紋軟體與 Utimaco SGE 之間無當前功能。因此，如果用戶通過刷指紋旁路了 BIOS 密碼設定，則啟動過程將是刷手指進入 BIOS，輸入Utimaco SGE 用戶 ID 和密碼，然後繼續登錄到 Windows。由於大多數對完全硬碟驅動器加密感興趣的用戶最關心安全性，因此這可以作為雙因素驗證方法安全性提問：如手指被切斷

17. 指紋匹配器的可*性如何？其不讓我登錄的幾率有多少？有人即使沒有註冊也能“以假亂真”並登錄到系統的幾率有多少？

用於評估匹配器可靠性的等級有三個。

1. 拒識率。是指實際匹配，但匹配器覺得不匹配的情況。實際上存在匹配時匹配器確定沒有匹配。當安全性不太重要，重要的是僅通過一次測量便可順利登錄時，用戶需要較低的拒識率。

2. 誤識率。是指實際不匹配，但匹配器誤以為匹配的情況。實際上不存在匹配時匹配器確定存在匹配。當真正重要的是確信存在匹配時，您需要極低的誤識率。

3. 交叉錯誤率。總體上，匹配器程式可加以調諧，以改善拒識率而犧牲誤識率，或者反過來。為進行這兩個操作，您必須改善匹配器程式或更改為本身更精確的匹配器程式類型（本質上相關匹配器優勝於細節匹配器，但比細節匹配器更大、更緩慢。）交叉錯誤率是誤識率等同於拒識率的點。

隨著匹配技術與感測器技術的發展，錯誤率一直在平穩地降低。總體而言，指紋識別器廠商將對該軟體進行調諧，以提高拒識率而降低誤識率。其原因是如果您被錯誤的拒絕，您只要再次刷一下手指即可。但如果您被錯誤的通過驗證，您便能夠訪問您本應沒有訪問權的內容。

一次測量時，最新感測器的錯誤率為 3% 左右的拒識率和 1% 或更低的誤識率。即，隨便一個人在您的 PC 上滑動手指時，通過驗證的幾率不足 1%。對於 IBM集成指紋識別器而言，進行三次指紋驗證時，拒識率不足 0.5%。

已知的指紋識別器攻擊有許多種。有些非常具有想像力，例如用彈道凝膠或軟塑膠等物體造一個假手指，將從玻璃上採集的指紋用膠帶綁在該手指上，然後用它來觸摸感測器。在實驗室設定中，對感測器技術的攻擊成功次數有限。該感測器製造商將這些攻擊放在首要位置，並且不斷更新他們的匹配器，以抵制這些攻擊。到現在為止，所有已知的現有攻擊均針對觸覺感測器。

18. 如果我割破了手指、切斷了手指或以其它方式損傷了手指肉墊該怎么辦？

手指上的嚴重的創傷導致集成式指紋識別器無法進行匹配比對的情況時可能的。手指可能嚴重受損，以致集成指紋識別器無法進行匹配。如果損傷是永久性的，則一旦復原後應重新註冊。由於一個手指可能受到損傷，或者一隻手上的所有手指均可能受到損傷，因此建議用戶每隻手至少註冊一個手指。

如果您發現自己遇到無法匹配指紋的情況，您可以旁路集成指紋識別器，並根據您的設定，返回使用 BIOS 和/或 CSS 密碼。

19. 如果我的手指被切斷了，該手指是否還能夠用於訪問我的 PC？

像集成指紋識別器這樣的電容式感測器用於測量活體手指的電屬性。斷指的電屬性與活體手指的不同。實際上，一旦手指的電屬性腐爛超過一定程度，它們是完全不同的，以致電容式感測器無法讀取斷指。手指一脫落身體或身體死亡後，該手指的電屬性立即開始腐爛。斷指電屬性腐爛到電容式感測器不再識別該手指時需要約15 分鐘。

20. 現有指紋資料庫能否與集成指紋識別器結合使用？

不能。眾多執法機構出於各種原因保留他們自己人員的數字指紋，其中包括將這些指紋從犯罪現場消除。為此目的收集的指紋通常為利用某些其它光學技術拍攝的印台手指的數字圖像。如上所述，集成指紋識別器使用電容式感測器。因此，數字指紋不能用於替代正常註冊過程。注意，電容式感測器不讀取死表皮，而是讀取或表皮下的活皮膚。光學指紋只是外觀如同相同手指的電容指紋，但它們之間存在許多細微的差別。如果您運行匹配軟體來對這兩種指紋進行匹配驗證，您會發現光學指紋的匹配結果極差——即拒識率非常高（圖像指紋實際上是相同手指的指紋時，該軟體確定不是）。總之，具有現有數字指紋集的任何人仍需要使用 IBM 指紋軟體註冊他們的指紋。