本发明专利技术提供了一种金融终端认证方法与装置,结合了银行卡号、生物特征和传统密码产生认证信息,具体为以用户银行卡号、结合生物特征和传统密码三个参数使用单向散列函数通过运算产生认证信息,在银行系统服务器存储的认证信息不是用户的密码和生物信息本身,也不是这些信息加密后的信息,并且这三个参数任何一个不同将产生完全不同的认证信息,产生的认证信息不可伪造也不可通过密码破解的方法获得。本发明专利技术能防止认证信息盗用、被破解的安全问题,并且对于同样的原始认证信息如同样的密码和生物信息在银行系统产生的最终认证信息是完全不同,有很高的认证安全性。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体涉及一种金融终端认证方法与装置。
技术介绍
目前国内银行卡用户在金融终端上进行支付、转账等业务处理时,一般都是通过密码来认证用户的身份,如信用卡支付一般情况下默认为凭密码交易,在ATM机上也是通过密码来确认用户,但单凭密码进行用户的身份认证是不够安全的。比如如果密码被不法分子通过偷窥、威逼等手段盗取到用户的密码后,不法分子可通过在异地克隆用户的银行卡,就可以通过盗取到用户的密码盗取用户的资金,这种事件层出不穷,给用户带来安全隐患。更有甚者,不法分子通过威逼等手段抢劫了用户的银行卡后,再进一步威逼用户说出密码,再到银行终端上非法支取或转移用户的资金,这不但给用户造成经济损失,严重的还会威胁到用户的人身安全。为解决凭密码进行身份确认所存在的安全隐患问题,利用用户的生物特征来进行身份认证引起了人们的重视,生物特征识别技术是利用人类自身的生理行为特征进行识别身份的一种技术,人类的很多生物特征如指纹和虹膜等具有稳定性、方便性、“随身携带”和唯一性的特点,利用这些特点可用于识别用户身份,能有效防止用户身份被假冒,目前在门禁和考勤等方面已有不少成功应用,在金融终端上也有应用案例。但指纹和虹膜等生物特征属于个人隐私,用于用户身份认证时,使用不当容易造成隐私泄漏而引起新的安全问题。为解决认证信息在存储和传输时的安全问题,目前主要使用的方法是对这些信息进行加密处理,如专利201110373961.3就是对生物信息和用户私密信息通过加密芯片进行加密处理,但从密码学的角度,由于加密和解密的可逆性可知,采用加密的方式对认证信息的处理仍存在巨大的隐患,比如别有用心的人可通过穷举字典攻击的方法破解强度较弱的密码,获得用户的机密信息,窃取用户的财产和个人隐私。特别是很多用户为了使密码简单容易记忆,都会采用同一密码来应对不同的应用,例如多张银行卡共用一个密码等等,而同一用户的生物特征也是固定不变的,不管认证信息是否加密,这些银行卡的认证信息是相同的,一旦一张卡的认证信息被盗用,其它卡也会同时失去安全性,因此即使采用加密的方法对认证进行加密,整个认证过程仍存在安全隐患。因此,有必要设计一种安全性更高的金融终端认证方法与装置。
技术实现思路
本专利技术的目的在于,针对现有技术的不足,提供一种金融终端认证方法与装置,能防止认证信息盗用、被破解的安全问题,具有很高的认证安全性,可有效保护用户账户的资金安全,同时能防止用户的隐私泄漏和认证信息被盗用问题。本专利技术的技术方案为:一种金融终端认证方法,基于认证系统进行认证,认证系统包括柜员终端、自助终端和银行系统服务器;柜员终端和自助终端均与银行系统服务器相连;认证方法包括(A)生成认证信息和(B)进行认证两个部分;(A)生成认证信息的步骤为:(1)用户在银行开户时,柜员终端读取用户的生物特征信息B,并对读取到的生物特征信息B进行处理,提取其特征数据BD,特征数据与生物特征信息一样稳定性和唯一性的特点,能够唯一识别用户;(2)然后将发给用户的银行卡号ID、特征数据BD通过连接运算构成认证信息链BDL,即BDL=ID||BD,运算符||表示连接运算,再使用一个有效的散列函数hash(·)对BDL进行运算;得到用户的生物认证信息A,即A=hash(BDL);目前常用的散列函数hash(·),如MD5、SHA-1、SHA-256或其它单向函数均可用于本专利技术中;(3)用户通过柜员终端预设一个银行终端操作密码KEY;(4)柜员终端将生物认证信息A和银行终端操作密码KEY通过连接运算构成认证信息链C,即C=A||KEY,最后用与(2)中相同散列函数hash(·)对C进行运算,得到用户的综合认证信息D,即D=hash(C);(5)柜员终端以银行卡号ID为关键字,将银行卡号ID、用户的生物防假冒认证信息A及用户的综合认证信息D作为一条记录存储至银行系统服务器;由于散列函数具有单向不可逆的特点可知,攻击者无法通过生物认证信息A推导出用户的生物特征信息B或推导出特征数据BD,不会造成用户的隐私泄漏;由于散列函数具有抗碰撞性的特点可知,在不知道用户的生物特征信息B的情况下,无法仿造生物认证信息A,即攻击者不能假冒真正的用户。由于散列函数具有抗碰撞性的特点还可知,对于同一用户有多张银行卡的情况,不管用户是否使用相同的生物信息和密码信息,只要银行卡号不同,用户的生物认证信息A及用户的综合认证信息D都会不同,不存在一张卡的认证信息被盗用而导致其它卡同时失去安全性的问题。(B)进行认证包括以下步骤:(a)金融卡读取设备读取操作者的银行卡号ID;(b)生物信息读取设备读取操作者的生物特征信息B*,再通过自助终端提取生物特征信息B*的特征数据BD*;(c)自助终端将操作者的银行卡号ID、生物特征信息BD*通过连接运算构成认证信息链BDL*,即BDL*=ID||BD*,最后使用与生成认证信息时相同的散列函数hash(·)对BDL*进行运算,得到操作者的生物认证信息A*,即A*=hash(BDL*);(d)主体提示操作者输入密码;(e)操作者输入密码KEY*后,自助终端将操作者的生物认证信息A*和操作者输入的密码KEY*通过连接运算构成操作者的认证信息链C*,即C*=A*||KEY*,最后用同一个散列函数hash(·)对C*进行运算,得到操作者的综合认证信息D*,即D*=hash(C*);(f)自助终端将银行卡号ID、操作者的生物认证信息A*及操作者的综合认证信息D*,传给银行系统服务器;(g)银行系统服务器从数据库中读取银行卡号ID相应的生物认证信息A和综合认证信息D,先将D与D*进行比较,如果两者一致则通过认证;否则再对A与A*进行比较,如果一致,说明操作者就是进行此银行卡开户的用户,则通知终端提示操作者密码输入错误,要求操作者重新输入密码,返回步骤(e),否则说明操作者不是进行此银行卡开户的用户,不通过认证。生物特征信息为指纹信息和/或面部信息或其它生物特征信息。一种金融终端认证装置,设置于柜员终端和自助终端;认证装置包括:主机、金融卡读取设备、生物信息读取设备和键盘,如图1所示,所述金融卡读取设备、生物信息读取设备和键盘均与主机相连;所述生物信息读取设备,用于读取用户的生物特征信息;所述金融卡读取设备,用于读取用户的银行卡号ID;所述键盘,用于用户进行密码输入操作;所述主机用于进行连接运算和执行散列算法。所述的金融终端认证装置,还包括与主机相连的凭证打印设备,用于打印交易凭证。还包括与主机相连的显示屏,用于显示操作界面。所述生物信息读取设备为摄像头,用于采集用户的面部信息。所述生物信息读取设备为指纹读取设备,用于读取客户的指纹信息。所述的金融终端认证装置,还包括与主机相连的语音提示模块,用于提示用户进行指定操作,如输入密码、录入指纹、拍照等。在整个认证过程中,终端没有传输用户的生物特征信息B或生物特征信息的特征数据BD,也没有传输用户在银行系统预设的终端操作密码KEY,并且从传输的数据中无法推导出用户的生物特征信息或生物特征信息的特征数据BD,也没有传输银行终端输入的操作密码KEY*,因此传输的数据是安全的。由于在整个认证过程中,终端没有传输BD和KEY的加密信息,因此可抵抗各本文档来自技高网...
【技术保护点】
一种金融终端认证方法,其特征在于,基于认证系统进行认证,认证系统包括柜员终端、自助终端和银行系统服务器;柜员终端和自助终端均与银行系统服务器相连;认证方法包括(A)生成认证信息和(B)进行认证两个部分;(A)生成认证信息的步骤为:(1)用户在银行开户时,柜员终端读取用户的生物特征信息B,并对读取到的生物特征信息B进行处理,提取其特征数据BD;(2)然后将发给用户的银行卡号ID、特征数据BD通过连接运算构成认证信息链BDL,即BDL=ID‖BD,运算符‖表示连接运算,再使用一个散列函数hash(·)对BDL进行运算,得到用户的生物认证信息A,即A=hash(BDL);(3)用户通过柜员终端预设一个银行终端操作密码KEY;(4)柜员终端将生物认证信息A和银行终端操作密码KEY通过连接运算构成认证信息链C,即C=A‖KEY,运算符‖表示连接运算,最后用与步骤(2)中相同散列函数hash(·)对C进行运算,得到用户的综合认证信息D,即D=hash(C);(5)柜员终端以银行卡号ID为关键字,将银行卡号ID、用户的生物认证信息A及用户的综合认证信息D作为一条记录存储至银行系统服务器;(B)进行认证包括以下步骤:(a)自助终端读取操作者的银行卡号ID;(b)自助终端读取操作者的生物特征信息B*,再提取生物特征信息B*的特征数据BD*;(c)自助终端将操作者的银行卡号ID、生物特征信息BD*通过连接运算构成认证信息链BDL*,即BDL*=ID‖BD*,最后使用与生成认证信息时相同的散列函数hash(·)对BDL*进行运算,得到操作者的生物认证信息A*,即A*=hash(BDL*);(d)自助终端提示操作者输入密码;(e)操作者输入密码KEY*后,自助终端将操作者的生物认证信息A*和操作者输入的密码KEY*通过连接运算构成操作者的认证信息链C*,即C*=A*‖KEY*,最后用同一个散列函数hash(·)对C*进行运算,得到操作者的综合认证信息D*,即D*=hash(C*);(f)自助终端将银行卡号ID、操作者的生物认证信息A*及操作者的综合认证信息D*,传给银行系统服务器;(g)银行系统服务器从数据库中读取银行卡号ID相应的生物认证信息A和综合认证信息D,先将D与D*进行比较,如果两者一致则通过认证;否则再对A与A*进行比较,如果一致,说明操作者就是进行此银行卡开户的用户,则通知自助终端提示操作者密码输入错误,要求操作者重新输入密码,返回步骤(e),否则说明操作者不是进行此银行卡开户的用户,不通过认证。...
【技术特征摘要】
1.一种金融终端认证方法,其特征在于,基于认证系统进行认证,认证系统包括柜员终端、自助终端和银行系统服务器;柜员终端和自助终端均与银行系统服务器相连;认证方法包括(A)生成认证信息和(B)进行认证两个部分;(A)生成认证信息的步骤为:(1)用户在银行开户时,柜员终端读取用户的生物特征信息B,并对读取到的生物特征信息B进行处理,提取其特征数据BD;(2)然后将发给用户的银行卡号ID、特征数据BD通过连接运算构成认证信息链BDL,即BDL=ID‖BD,运算符‖表示连接运算,再使用一个散列函数hash(·)对BDL进行运算,得到用户的生物认证信息A,即A=hash(BDL);(3)用户通过柜员终端预设一个银行终端操作密码KEY;(4)柜员终端将生物认证信息A和银行终端操作密码KEY通过连接运算构成认证信息链C,即C=A‖KEY,运算符‖表示连接运算,最后用与步骤(2)中相同散列函数hash(·)对C进行运算,得到用户的综合认证信息D,即D=hash(C);(5)柜员终端以银行卡号ID为关键字,将银行卡号ID、用户的生物认证信息A及用户的综合认证信息D作为一条记录存储至银行系统服务器;(B)进行认证包括以下步骤:(a)自助终端读取操作者的银行卡号ID;(b)自助终端读取操作者的生物特征信息B*,再提取生物特征信息B*的特征数据BD*;(c)自助终端将操作者的银行卡号ID、生物特征信息BD*通过连接运算构成认证信息链BDL*,即BDL*=ID‖BD*,最后使用与生成认证信息时相同的散列函数hash(·)对BDL*进行运算,得到操作者的生物认证信息A*,即A*=hash(BDL*);(d)自助终端提示操作者输入密码;(e)操作者输入密码KEY*后,自助终端将操作者的生物认证信息A*和操作者输入的密码KEY*通过连接运算构成操作者的认证信息链C*,即C*=A*‖KEY*,最后用同一个散列函数hash(·)对C*进行运算,得到操作者的综合认证信息D*,即D*=h...
【专利技术属性】
技术研发人员:谢建全,
申请(专利权)人:湖南财政经济学院,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。