金晓峰++黎明++梁添才++徐俊++王彪

摘 要 本论文基于安全芯片和加密机构建一套用于金融领域安全可信的身份认证解决方案，在安全运行环境方面，指静脉设备内置安全芯片，保证设备底层各模块在安全可信的环境中运行；平台端内置加密机，保障密钥的机密性和完整性；在数据机密性方面，采用金融行业密钥机制，引入了数字签名及证书保证生物特征模板及密钥等机密数据的安全通信及存储，保障在传输过程中的不可篡改性及不可抵赖性，并认证设备合法性。本论文提供的技术方案可为金融服务等高安全要求领域的应用提供可信的身份识别及安全服务，并为使用者提供更加安全快捷、简单方便的支持方式。

关键词 身份认证；高安全性；金融领域；指静脉识别

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2017）190-0065-02

在当今金融信息化、网络化的潮流中，如何保证信息的安全，准确鉴别个人身份逐渐成为金融认证领域的首要问题。传统的IC卡、银行卡等由于可能丢失或被复制，密码可能被遗忘或窃取，这些都成为潜在的安全隐患。作为人的一种内在属性，并且具有很强的自身稳定性及个体差异性，生物特征成为了自动身份验证的最理想依据。

随着社会的不断进步以及各方面对于快速有效的自动身份验证的迫切要求，生物特征识别技术在近几十年中得到了飞速的发展。当前的生物特征识别技术主要包括有指纹识别、虹膜识别、步态识别、静脉识别和人脸识别等。指静脉识别技术是通过对手指中静脉图像进行活体识别来达到认证目的，具有以下优点：

1）高度防伪：静脉信息处于手指内部无法改变，被盗用和复制的机会小。

2）活体检测：真正活体身份认证，被砍断的手指无法使用，实现本人亲临现场的身份唯一性。

3）高度准确：每个人的静脉都不同且终身不变，即使同卵双胞胎，稳定性非常高；拒真率小于0.01%，认假率小于0.0001%。

4）适应性强：不受环境影响，表皮的皱纹、干裂、湿润、脏时仍可正常使用，适用年龄段广。

5）简便易用：采集认证采用非接触方式，不留痕迹，扫描过程简单自然。

本论文基于安全芯片和硬加密机构建一套安全可信的身份认证解决方案，为金融服务等高安全要求领域的应用提供可信的身份识别及安全服务，并为使用者提供更加安全快捷、简单方便的支持方式。

1 系统架构

指静脉认证系统主要分为两部分：客户端系统和平台端系统。在银行的柜面终端或者ATM终端集成指静脉硬件设备，接入银行的系统，通过部署的指静脉认证平台进行指静脉数据的注册和认证。为了保证指静脉数据的安全性，传输过程中的指静脉数据和存入数据库中的指静脉数据均进行了加密处理，同时，引入加密机来保障系统达到金融行业的安全性要求。

2 安全设计

指静脉认证系统利用指静脉生物识别技术，基于安全芯片硬加密机构建一套安全可信的身份认证解决方案，为金融服务等高安全要求领域的应用提供可信的身份识别及安全服务，并为使用者提供更加安全快捷、简单方便的支持方式。

在安全运行环境方面，指静脉设备内置安全芯片，保证设备底层各模块在安全可信的环境中运行；平台端内置加密机，保障密钥的机密性和完整性；在数据机密性方面，采用金融行业密钥机制，引入了数字签名及证书保证生物特征模板及密钥等机密数据的安全通信及存储，保障在传输过程中的不可篡改性及不可抵赖性，并认证设备合法性。设计思路分为逻辑安全设计和物理安全设计。

2.1 逻辑安全设计

1）符合金融系统的加密算法要求；

2）采用多层密钥管理系统；

3）敏感数据传输和存储都是密文形式，确保数据的机密性。

2.2 物理安全设计

1）防暴力破坏、外壳开封等密钥自毁设计，保证指静脉设备在被破坏后立即处于不可操作状态，并自动立即擦除设备中存放的密钥信息。

2）采用专用安全芯片。只能存储，不能读取。确保存储在安全芯片中的密钥不能被截取。

3 硬件设计

广电运通VRS指静脉身份认证系列产品立足于为银行、社保、教育行业提供指静脉识别及身份认证，历经7年自主研发而成，具有高度防伪、活体检测、高度准确、适应性强和简便易用等特点，相关性能居国内一流水平。基于广电运通指静脉系列产品具有良好的系统兼容性，可与金融银行、社保、教育行业等各类管道对接，支持Windows操作系统，支持所有主流数据库。指静脉设备如图2所示，所涉及的特点如下。

3.1 外形美观，拥有优越的操作体验

广电运通指静脉设备造型方中带圆，无棱角设计，充分考虑人的使用习惯，配色上采用上下使用两种手感颜色的材质，能减少深色带来的沉重感。广电运通指静脉设备结构上采用人机工程学设计，确保长短粗细不同的手指均能采到指静脉，大小不同的手均能舒适的使用指静脉模块。

3.2 高安全性设计，控制业务风险

指静脉设备内置安全芯片，密钥及指静脉敏感数据的加解密均在安全芯片内进行，具有高安全的密钥保护机制。每台指静脉设备拥有唯一的終端密钥，通过金融行业算法进行终端密钥的生产和加载。

3.3 符合指静脉技术相关标准要求

设备符合指静脉技术ISO/IEC 19794-9、GA_T 938-2012、GA_T 939-2012、GA_T 940-2012等相关技术标准，设备成像视场符合指静脉的特定应用场景的需求，手指长度方向上大于30mm，宽度方向上大于10mm，长度和宽度方向上成像分辨率大于300dpi，图像畸变率小于5%。产品符合安防指静脉设备的通用技术标准GA/T938-2012要求，核心器件均来自于国内外知名供货商，稳定性和可靠性经过了高低温、老化、电磁兼容性等测试项目。

3.4 适应人群广泛，对手指姿势容许度高

指静脉识别的主要特征是手指内血管纹路图像，该纹路具有唯一性，且是体内特征，很难受外界因素影响。使用自主、独立的方法提取指静脉血管纹特征，广泛适用于各种人群。为了适应各种手指姿势的变化，采用手指中心线曲线拟合和静脉图像拼接与融合技术，使得在不影响识别精度的情况，可以容许采集手指移动范围具有较大的变化。

4 结论

生物特征识别技术采用的是人与生俱来且独一无二的特征，具有唯一性和不可抵赖性，在基于互联网等的金融终端中具有重要应用前景。本论文提供的技术方案可为金融服务等高安全要求领域的应用提供可信的身份识别及安全服务，并为使用者提供更加安全快捷、简单方便的支持

方式。

参考文献

[1]ISO/IEC 19794-9，《Information technology-Biometric data interchange formats-Part9：Vascular image data》.

[2]GA_T 938-2012，《安防指静脉识别应用系统设备通用技术要求》.

[3]GA_T 939-2012，《安防指静脉识别应用系统算法评测方法》.

[4]GA_T 940-2012，《安防指静脉识别应用系统图像技术

要求》.