一種用于金融領域的高安全性身份認證系統

金曉峰++黎明++梁添才++徐俊++王彪

摘 要 本論文基于安全芯片和加密機構建一套用于金融領域安全可信的身份認證解決方案，在安全運行環境方面，指靜脈設備內置安全芯片，保證設備底層各模塊在安全可信的環境中運行；平臺端內置加密機，保障密鑰的機密性和完整性；在數據機密性方面，采用金融行業密鑰機制，引入了數字簽名及證書保證生物特征模板及密鑰等機密數據的安全通信及存儲，保障在傳輸過程中的不可篡改性及不可抵賴性，并認證設備合法性。本論文提供的技術方案可為金融服務等高安全要求領域的應用提供可信的身份識別及安全服務，并為使用者提供更加安全快捷、簡單方便的支持方式。

關鍵詞 身份認證；高安全性；金融領域；指靜脈識別

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）190-0065-02

在當今金融信息化、網絡化的潮流中，如何保證信息的安全，準確鑒別個人身份逐漸成為金融認證領域的首要問題。傳統的IC卡、銀行卡等由于可能丟失或被復制，密碼可能被遺忘或竊取，這些都成為潛在的安全隱患。作為人的一種內在屬性，并且具有很強的自身穩定性及個體差異性，生物特征成為了自動身份驗證的最理想依據。

隨著社會的不斷進步以及各方面對于快速有效的自動身份驗證的迫切要求，生物特征識別技術在近幾十年中得到了飛速的發展。當前的生物特征識別技術主要包括有指紋識別、虹膜識別、步態識別、靜脈識別和人臉識別等。指靜脈識別技術是通過對手指中靜脈圖像進行活體識別來達到認證目的，具有以下優點：

1）高度防偽：靜脈信息處于手指內部無法改變，被盜用和復制的機會小。

2）活體檢測：真正活體身份認證，被砍斷的手指無法使用，實現本人親臨現場的身份唯一性。

3）高度準確：每個人的靜脈都不同且終身不變，即使同卵雙胞胎，穩定性非常高；拒真率小于0.01%，認假率小于0.0001%。

4）適應性強：不受環境影響，表皮的皺紋、干裂、濕潤、臟時仍可正常使用，適用年齡段廣。

5）簡便易用：采集認證采用非接觸方式，不留痕跡，掃描過程簡單自然。

本論文基于安全芯片和硬加密機構建一套安全可信的身份認證解決方案，為金融服務等高安全要求領域的應用提供可信的身份識別及安全服務，并為使用者提供更加安全快捷、簡單方便的支持方式。

1 系統架構

指靜脈認證系統主要分為兩部分：客戶端系統和平臺端系統。在銀行的柜面終端或者ATM終端集成指靜脈硬件設備，接入銀行的系統，通過部署的指靜脈認證平臺進行指靜脈數據的注冊和認證。為了保證指靜脈數據的安全性，傳輸過程中的指靜脈數據和存入數據庫中的指靜脈數據均進行了加密處理，同時，引入加密機來保障系統達到金融行業的安全性要求。

2 安全設計

指靜脈認證系統利用指靜脈生物識別技術，基于安全芯片硬加密機構建一套安全可信的身份認證解決方案，為金融服務等高安全要求領域的應用提供可信的身份識別及安全服務，并為使用者提供更加安全快捷、簡單方便的支持方式。

在安全運行環境方面，指靜脈設備內置安全芯片，保證設備底層各模塊在安全可信的環境中運行；平臺端內置加密機，保障密鑰的機密性和完整性；在數據機密性方面，采用金融行業密鑰機制，引入了數字簽名及證書保證生物特征模板及密鑰等機密數據的安全通信及存儲，保障在傳輸過程中的不可篡改性及不可抵賴性，并認證設備合法性。設計思路分為邏輯安全設計和物理安全設計。

2.1 邏輯安全設計

1）符合金融系統的加密算法要求；

2）采用多層密鑰管理系統；

3）敏感數據傳輸和存儲都是密文形式，確保數據的機密性。

2.2 物理安全設計

1）防暴力破壞、外殼開封等密鑰自毀設計，保證指靜脈設備在被破壞后立即處于不可操作狀態，并自動立即擦除設備中存放的密鑰信息。

2）采用專用安全芯片。只能存儲，不能讀取。確保存儲在安全芯片中的密鑰不能被截取。

3 硬件設計

廣電運通VRS指靜脈身份認證系列產品立足于為銀行、社保、教育行業提供指靜脈識別及身份認證，歷經7年自主研發而成，具有高度防偽、活體檢測、高度準確、適應性強和簡便易用等特點，相關性能居國內一流水平。基于廣電運通指靜脈系列產品具有良好的系統兼容性，可與金融銀行、社保、教育行業等各類管道對接，支持Windows操作系統，支持所有主流數據庫。指靜脈設備如圖2所示，所涉及的特點如下。

3.1 外形美觀，擁有優越的操作體驗

廣電運通指靜脈設備造型方中帶圓，無棱角設計，充分考慮人的使用習慣，配色上采用上下使用兩種手感顏色的材質，能減少深色帶來的沉重感。廣電運通指靜脈設備結構上采用人機工程學設計，確保長短粗細不同的手指均能采到指靜脈，大小不同的手均能舒適的使用指靜脈模塊。

3.2 高安全性設計，控制業務風險

指靜脈設備內置安全芯片，密鑰及指靜脈敏感數據的加解密均在安全芯片內進行，具有高安全的密鑰保護機制。每臺指靜脈設備擁有唯一的終端密鑰，通過金融行業算法進行終端密鑰的生產和加載。

3.3 符合指靜脈技術相關標準要求

設備符合指靜脈技術ISO/IEC 19794-9、GA_T 938-2012、GA_T 939-2012、GA_T 940-2012等相關技術標準，設備成像視場符合指靜脈的特定應用場景的需求，手指長度方向上大于30mm，寬度方向上大于10mm，長度和寬度方向上成像分辨率大于300dpi，圖像畸變率小于5%。產品符合安防指靜脈設備的通用技術標準GA/T938-2012要求，核心器件均來自于國內外知名供貨商，穩定性和可靠性經過了高低溫、老化、電磁兼容性等測試項目。

3.4 適應人群廣泛，對手指姿勢容許度高

指靜脈識別的主要特征是手指內血管紋路圖像，該紋路具有唯一性，且是體內特征，很難受外界因素影響。使用自主、獨立的方法提取指靜脈血管紋特征，廣泛適用于各種人群。為了適應各種手指姿勢的變化，采用手指中心線曲線擬合和靜脈圖像拼接與融合技術，使得在不影響識別精度的情況，可以容許采集手指移動范圍具有較大的變化。

4 結論

生物特征識別技術采用的是人與生俱來且獨一無二的特征，具有唯一性和不可抵賴性，在基于互聯網等的金融終端中具有重要應用前景。本論文提供的技術方案可為金融服務等高安全要求領域的應用提供可信的身份識別及安全服務，并為使用者提供更加安全快捷、簡單方便的支持

方式。

參考文獻

[1]ISO/IEC 19794-9，《Information technology-Biometric data interchange formats-Part9：Vascular image data》.

[2]GA_T 938-2012，《安防指靜脈識別應用系統設備通用技術要求》.

[3]GA_T 939-2012，《安防指靜脈識別應用系統算法評測方法》.

[4]GA_T 940-2012，《安防指靜脈識別應用系統圖像技術

要求》.