金曉峰++黎明++梁添才++徐俊++王彪

摘 要 本論文基于安全芯片和加密機構(gòu)建一套用于金融領(lǐng)域安全可信的身份認證解決方案，在安全運行環(huán)境方面，指靜脈設(shè)備內(nèi)置安全芯片，保證設(shè)備底層各模塊在安全可信的環(huán)境中運行；平臺端內(nèi)置加密機，保障密鑰的機密性和完整性；在數(shù)據(jù)機密性方面，采用金融行業(yè)密鑰機制，引入了數(shù)字簽名及證書保證生物特征模板及密鑰等機密數(shù)據(jù)的安全通信及存儲，保障在傳輸過程中的不可篡改性及不可抵賴性，并認證設(shè)備合法性。本論文提供的技術(shù)方案可為金融服務(wù)等高安全要求領(lǐng)域的應(yīng)用提供可信的身份識別及安全服務(wù)，并為使用者提供更加安全快捷、簡單方便的支持方式。

關(guān)鍵詞 身份認證；高安全性；金融領(lǐng)域；指靜脈識別

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）190-0065-02

在當今金融信息化、網(wǎng)絡(luò)化的潮流中，如何保證信息的安全，準確鑒別個人身份逐漸成為金融認證領(lǐng)域的首要問題。傳統(tǒng)的IC卡、銀行卡等由于可能丟失或被復(fù)制，密碼可能被遺忘或竊取，這些都成為潛在的安全隱患。作為人的一種內(nèi)在屬性，并且具有很強的自身穩(wěn)定性及個體差異性，生物特征成為了自動身份驗證的最理想依據(jù)。

隨著社會的不斷進步以及各方面對于快速有效的自動身份驗證的迫切要求，生物特征識別技術(shù)在近幾十年中得到了飛速的發(fā)展。當前的生物特征識別技術(shù)主要包括有指紋識別、虹膜識別、步態(tài)識別、靜脈識別和人臉識別等。指靜脈識別技術(shù)是通過對手指中靜脈圖像進行活體識別來達到認證目的，具有以下優(yōu)點：

1）高度防偽：靜脈信息處于手指內(nèi)部無法改變，被盜用和復(fù)制的機會小。

2）活體檢測：真正活體身份認證，被砍斷的手指無法使用，實現(xiàn)本人親臨現(xiàn)場的身份唯一性。

3）高度準確：每個人的靜脈都不同且終身不變，即使同卵雙胞胎，穩(wěn)定性非常高；拒真率小于0.01%，認假率小于0.0001%。

4）適應(yīng)性強：不受環(huán)境影響，表皮的皺紋、干裂、濕潤、臟時仍可正常使用，適用年齡段廣。

5）簡便易用：采集認證采用非接觸方式，不留痕跡，掃描過程簡單自然。

本論文基于安全芯片和硬加密機構(gòu)建一套安全可信的身份認證解決方案，為金融服務(wù)等高安全要求領(lǐng)域的應(yīng)用提供可信的身份識別及安全服務(wù)，并為使用者提供更加安全快捷、簡單方便的支持方式。

1 系統(tǒng)架構(gòu)

指靜脈認證系統(tǒng)主要分為兩部分：客戶端系統(tǒng)和平臺端系統(tǒng)。在銀行的柜面終端或者ATM終端集成指靜脈硬件設(shè)備，接入銀行的系統(tǒng)，通過部署的指靜脈認證平臺進行指靜脈數(shù)據(jù)的注冊和認證。為了保證指靜脈數(shù)據(jù)的安全性，傳輸過程中的指靜脈數(shù)據(jù)和存入數(shù)據(jù)庫中的指靜脈數(shù)據(jù)均進行了加密處理，同時，引入加密機來保障系統(tǒng)達到金融行業(yè)的安全性要求。

2 安全設(shè)計

指靜脈認證系統(tǒng)利用指靜脈生物識別技術(shù)，基于安全芯片硬加密機構(gòu)建一套安全可信的身份認證解決方案，為金融服務(wù)等高安全要求領(lǐng)域的應(yīng)用提供可信的身份識別及安全服務(wù)，并為使用者提供更加安全快捷、簡單方便的支持方式。

在安全運行環(huán)境方面，指靜脈設(shè)備內(nèi)置安全芯片，保證設(shè)備底層各模塊在安全可信的環(huán)境中運行；平臺端內(nèi)置加密機，保障密鑰的機密性和完整性；在數(shù)據(jù)機密性方面，采用金融行業(yè)密鑰機制，引入了數(shù)字簽名及證書保證生物特征模板及密鑰等機密數(shù)據(jù)的安全通信及存儲，保障在傳輸過程中的不可篡改性及不可抵賴性，并認證設(shè)備合法性。設(shè)計思路分為邏輯安全設(shè)計和物理安全設(shè)計。

2.1 邏輯安全設(shè)計

1）符合金融系統(tǒng)的加密算法要求；

2）采用多層密鑰管理系統(tǒng)；

3）敏感數(shù)據(jù)傳輸和存儲都是密文形式，確保數(shù)據(jù)的機密性。

2.2 物理安全設(shè)計

1）防暴力破壞、外殼開封等密鑰自毀設(shè)計，保證指靜脈設(shè)備在被破壞后立即處于不可操作狀態(tài)，并自動立即擦除設(shè)備中存放的密鑰信息。

2）采用專用安全芯片。只能存儲，不能讀取。確保存儲在安全芯片中的密鑰不能被截取。

3 硬件設(shè)計

廣電運通VRS指靜脈身份認證系列產(chǎn)品立足于為銀行、社保、教育行業(yè)提供指靜脈識別及身份認證，歷經(jīng)7年自主研發(fā)而成，具有高度防偽、活體檢測、高度準確、適應(yīng)性強和簡便易用等特點，相關(guān)性能居國內(nèi)一流水平?；趶V電運通指靜脈系列產(chǎn)品具有良好的系統(tǒng)兼容性，可與金融銀行、社保、教育行業(yè)等各類管道對接，支持Windows操作系統(tǒng)，支持所有主流數(shù)據(jù)庫。指靜脈設(shè)備如圖2所示，所涉及的特點如下。

3.1 外形美觀，擁有優(yōu)越的操作體驗

廣電運通指靜脈設(shè)備造型方中帶圓，無棱角設(shè)計，充分考慮人的使用習(xí)慣，配色上采用上下使用兩種手感顏色的材質(zhì)，能減少深色帶來的沉重感。廣電運通指靜脈設(shè)備結(jié)構(gòu)上采用人機工程學(xué)設(shè)計，確保長短粗細不同的手指均能采到指靜脈，大小不同的手均能舒適的使用指靜脈模塊。

3.2 高安全性設(shè)計，控制業(yè)務(wù)風(fēng)險

指靜脈設(shè)備內(nèi)置安全芯片，密鑰及指靜脈敏感數(shù)據(jù)的加解密均在安全芯片內(nèi)進行，具有高安全的密鑰保護機制。每臺指靜脈設(shè)備擁有唯一的終端密鑰，通過金融行業(yè)算法進行終端密鑰的生產(chǎn)和加載。

3.3 符合指靜脈技術(shù)相關(guān)標準要求

設(shè)備符合指靜脈技術(shù)ISO/IEC 19794-9、GA_T 938-2012、GA_T 939-2012、GA_T 940-2012等相關(guān)技術(shù)標準，設(shè)備成像視場符合指靜脈的特定應(yīng)用場景的需求，手指長度方向上大于30mm，寬度方向上大于10mm，長度和寬度方向上成像分辨率大于300dpi，圖像畸變率小于5%。產(chǎn)品符合安防指靜脈設(shè)備的通用技術(shù)標準GA/T938-2012要求，核心器件均來自于國內(nèi)外知名供貨商，穩(wěn)定性和可靠性經(jīng)過了高低溫、老化、電磁兼容性等測試項目。

3.4 適應(yīng)人群廣泛，對手指姿勢容許度高

指靜脈識別的主要特征是手指內(nèi)血管紋路圖像，該紋路具有唯一性，且是體內(nèi)特征，很難受外界因素影響。使用自主、獨立的方法提取指靜脈血管紋特征，廣泛適用于各種人群。為了適應(yīng)各種手指姿勢的變化，采用手指中心線曲線擬合和靜脈圖像拼接與融合技術(shù)，使得在不影響識別精度的情況，可以容許采集手指移動范圍具有較大的變化。

4 結(jié)論

生物特征識別技術(shù)采用的是人與生俱來且獨一無二的特征，具有唯一性和不可抵賴性，在基于互聯(lián)網(wǎng)等的金融終端中具有重要應(yīng)用前景。本論文提供的技術(shù)方案可為金融服務(wù)等高安全要求領(lǐng)域的應(yīng)用提供可信的身份識別及安全服務(wù)，并為使用者提供更加安全快捷、簡單方便的支持

方式。

參考文獻

[1]ISO/IEC 19794-9，《Information technology-Biometric data interchange formats-Part9：Vascular image data》.

[2]GA_T 938-2012，《安防指靜脈識別應(yīng)用系統(tǒng)設(shè)備通用技術(shù)要求》.

[3]GA_T 939-2012，《安防指靜脈識別應(yīng)用系統(tǒng)算法評測方法》.

[4]GA_T 940-2012，《安防指靜脈識別應(yīng)用系統(tǒng)圖像技術(shù)

要求》.