行业应用
N e t w o rk & C o m p ut e r S e c uri t y
指纹识别在银行业的应用
金晓伟
摘要本文论述了指纹识别技术实现于银行业务系统中的必要性与可能性,并提出了基于银行业务应用系统的指纹识别
验证的实现方案。
关键词指纹识别银行业务身份验证保管箱网上银行
银行属于国家的重点安全防范单位。作为当今社会货币
的主要流通场所、国家经济运作的重要环节,银行以其独特二、指纹识别的突出特点
的功能和先进的技术广泛服务于国内各行业中,因此,提高
银行系统的科学性和安全防范能力显得尤为重要。指纹识别
1. 高稳定性
处理在银行业务验证和安全防范中起到重要的作用,取得了
指纹具有很强的稳定性,它们的形成依赖于胚胎发育时不可估量的经济和社会双重效益。本文就指纹密码识别进行
期的环境,从胎儿指纹的完全形成到人死后,指纹的纹线类举例分析。
型、结构、统计特征的总体分布始终没有明显的变化。指纹
一、现有身份验证技术存在的问题是伴随人一生的最稳定的生物特征之一。
2. 惟一性
科学实验和无数的事实证明,指纹具有明显独特的惟一
银行在经营过程中,进行个人身份验证是一项必不可少性,并且纹理本身非常复杂,其复杂程度足以提供用于鉴别的内容。比如客户在办理取款业务时,必须确认其是否为账的足够证据,包括双胞胎在内都不可能有相同的指纹,任何户存款的合法拥有者,以防止客户存款被他人冒领;银行职两个人指纹相同的概率小于十亿分之一。
员进入计算机系统,也要对其身份进行确认,以防止非法操 3. 高可靠性
作。高稳定性和高惟一性决定了指纹识别的高可靠性。要想目前,银行在实现个人身份验证时,主要依靠密码和ID 再增加指纹识别的可靠性,只需要登记更多的指纹即可满足,卡(如身份证、工作证等有效的个人身份证件)等手段来实现。而随便一个人都可以毫不费力地提供10个手指的指纹信息。客户在银行开立账户时,预留账户密码,在办理取款业务时, 4.易采集性
通过输入的密码与预留的账户密码进行比较来验证客户身份,指纹与生俱来,随身携带,不需记忆。扫描指纹的速度而办理挂失业务(如存单折、储蓄卡或密码)时,要提供有效非常快,采集指纹时只要将手指平放在指纹识别器上,1、2的身份证件。同样,银行职员进入计算机系统,要通过用户秒钟即可完成,免去了记忆密码、丢失印章、遗忘密码和印ID和口令进行身份验证。这种传统的利用ID卡或密码进行身章等烦恼。
份验证的方法,对银行的安全经营起到重要作用,但随着科 5.难伪造、难破译性
学技术的发展,已面临巨大的挑战。其缺点已不止于证件的由于指纹识别具有上述特点,识别指纹时必须将真正的丢失或密码的遗忘带来的麻烦,证件被偷窃、密码被破译等手指与指纹采集头接触,因此伪造、假冒、攻击、破译指纹问题已成为银行安全经营的漏洞,因此必须采用更为先进有的难度就变得相当大。例如,对于一个 4 位数字密码,有 10 效的身份验证方法来替代传统的验证手段。基于指纹识别技×10 ×10 ×10=10000 种组合,破解概率为万分之一,入侵术的个人身份验证方法,由于利用人体本身固有的生物特征,者可以很容易地通过尝试所有的组合而破解,而你很难找
与传统的方法完全不同,不存在丢失、遗忘或被伪造等问题,10000个人(误识率为万分之一)为你的企图入侵提供指纹(即用它进行身份验证,具有更好的安全性、可靠性和有效性。便是1000 个人将10 个手指头全部用上)。以现有的指纹识别
12计算机安全2005·2
行业应用
N e t w o rk & C o m pu t e r S e cu ri t y
系统为例,其误识率小于百万分之一,能储存数百万个指纹,噪声。图像增强,噪声减弱后,准备开始选取一些脊。虽然,
其破译难度可想而知。在原始灰阶图像中,其强度是不同的,而按一定的梯度分布,
但真实的信息被二值化:脊及其相对的背景。二值化使一个
三、指纹密码识别原理灰阶图像变成二元图像,图像在强度层次上从原始的256 色
(8-bits)降为2 色(1-bits)。图像二值化后,随后的处理就指纹识别技术主要有:采集指纹图像、提取特征、保存会比较容易。
数据和匹配。在节点提取之前的最后一道工序是“细化(Thinning)”。
首先,通过指纹读取设备读取人体指纹的图像,取到指细化是将脊的宽度降为单个像素的宽度。一个好的细化方法
纹图像之后,要对原始图像进行预处理。是保持原有脊的连续性,降低由于人为因素所造成的影响。
其次,指纹辨识软件建立指纹的数字表示特征数据,是人为因素主要是毛刺,带有非常短的分支而被误认为是分叉。
一种单方向的转换,可以从指纹转换成特征数据但不能从特认识到合法的和不合法的节点后,在特征提取阶段排除这些
征数据转换成为指纹,而两枚不同的指纹不会产生相同的特节点。
3.指纹识别技术的基本原理
征数据。软件从指纹上找到被称为“节点”的数据点,也就
是那些指纹纹路的分叉、终止或打圈处的坐标位置,这些点指纹其实是比较复杂的。与人工处理不同,许多生物识
同时具有七种以上的惟一性特征。因为通常手指上平均具有别技术公司并不直接存储指纹的图像。多年来在各个公司及
70 个节点,所以这种方法会产生大约 500 个数据。其研究机构产生了许多数字化的算法。但指纹识别算法最终
有的算法把节点和方向信息组合产生了更多的数据,这都归结为在指纹图像上找到并比对指纹的特征。
些方向信息表明了各个节点之间的关系,也有的算法还处理(1)指纹的特征。一般定义指纹的两类特征来进行指纹
整幅指纹图像。总之,这些数据,通常称为模板,保存为1K 的验证:总体特征和局部特征。总体特征是指那些用人眼直
大小的记录。接就可以观察到的特征,包括基本纹路图案——环型(Loop), 最后,通过计算机模糊比较的方法,把两个指纹的模板弓型(Arch), 螺旋型(Whorl)。其他的指纹图案都基于这三
进行比较,计算出它们的相似程度,最终得到两个指纹的匹种基本图案。仅仅依靠图案类型来分辨指纹是远远不够的,
配结果。这只是一个粗略的分类,但通过分类使得在大数据库中搜寻1.取得指纹图像指纹更为方便。
刚获得的图像有很多噪声。这主要由于工作和环境引起(2)模式区(Pattern Area)。模式区是指指纹上包括了
的;比如,手指被弄脏,手指有刀伤、疤、痕、干燥、湿润总体特征的区域,即从模式区就能够分辨出指纹是属于那一
或撕破等。图像增强能减弱噪声,增强脊和谷的对比度。想种类型的。有的指纹识别算法只使用模式区的数据。
得到比较干净清晰的图像并不是容易的事情。为这个目标而(3)核心点(Core Point)。核心点位于指纹纹路的渐进
处理指纹图像所进行的操作是一个适合、匹配的滤镜和恰当中心,它作为读取指纹和比对指纹时的参考点。
的阀值。(4)三角点(Delta)。三角点位于从核心点开始的第一2.图像增强个分叉点或者断点、或者两条纹路会聚处、孤立点、折转处,有很多图像增强的方法。大多数是通过过滤图像与脊局或者指向这些奇异点。三角点提供了指纹纹路的计数和跟踪
部方向相匹配。图像首先分成几个小区域(窗口),并在每个的开始之处。
区域上计算出脊的局部方向来决定方向图。可以由空间域处(5)式样线( Type Lines)。式样线是指在包围模式区
理,或经过快速 2 维傅立叶变换后的频域处理来得到每个小的纹路线开始平行的地方所出现的交叉纹路,式样线通常很
窗口上的局部方向。设计合适的,相匹配的滤镜,使之实用短就中断了,但它的外侧线开始连续延伸。
于图像上所有的像素(空间场是其中的一个)。依据每个像素(6)纹数( Ridge Count)。指模式区内指纹纹路的数量。
处脊的局部走向,滤镜应增强在同一方向脊的走向,并且在在计算指纹的纹数时,一般先连接核心点和三角点,这条连
同一位置,减弱任何不同于脊的方向。后者含有横跨脊的噪线与指纹纹路相交的数量即可认为是指纹的纹数。
声,所以其垂直于脊的局部方向上的那些不正确的“桥”会(7)局部特征。局部特征是指指纹上的节点。两枚指纹
被滤镜过滤掉。所以,合适的、匹配的滤镜可以恰到好处地经常会具有相同的总体特征,但它们的局部特征——节点,
确定脊局部走向的自身的方向,它应该增强或匹配脊而不是却不可能完全相同。
计算机安全2005·213
行业应用
N e t w o rk & C o m p ut e r S e c uri t y
(8)节点(Minutia Points)指纹纹路并不是连续的,平滑笔直的,而是经常出现中断、分叉或打折。这些断点、分叉点和转折点就称为“节点” 。就是这些节点提供了指纹惟一性的确认信息。
四、银行实际应用
在实际应用中,许多商业银行开始为客户和内部用户提供指纹识别服务。主要应用是保管箱和网上银行安全认证。
1.保管箱业务
在银行的保管箱租赁业务中,客户和银行存在如何申明和验证身份的问题。准确验证客户身份是允许其开箱的必要条件,传统上一般采用填写申请单(提供个人资料)、查验证
件(身份证等)、核对预留印鉴等多重方式,尽可能保证核实
的准确性。显而易见,这种方式既繁琐又费时,同时,上述验证措施并不能从根本上杜绝假冒,因为被验证的只是证件和印章,而非客户本人,差错在所难免。指纹识别技术的引入,完美地解决了上述问题。
(1)工作方式
对新租箱客户,在办理租用手续时,将客户个人资料输入指纹仪中,然后登录指纹(整个过程需时约 1 分钟)。以后每次开箱前,只需到柜台,在指纹识别仪上输入自已所租用的箱号并验证指纹即可(整个过程需时约 3 秒钟),验证通过后,客户入库,与银行工作人员一起共同开箱,方式与传统一样,客户仍需携带钥匙,但不必携带证件和印章,指纹就是唯一的身份证明,既简单又快捷。对于老客户,银行在安装指纹识别仪时,先将个人资料输入然后等到该客户回来开箱时,要求其登录指纹,此后再来开箱,只需验证指纹既可领到入库单入库开箱。
(2)系统软件功能
系统软件功能有指纹登录,指纹验证,客户信息管理,开箱记录,缴费情况,查询,统计,打印等。
电控锁整套系统包括以下部分:
1)指纹识别仪;
2)控制电路及解码器,完成开门控制信号的传输及解码;
3)电控/ 机械二合一锁,专利锁具,电控部分开闭有LED 指示,其结构为必须先开启电控部分,才能开启机械部分,关闭箱门时,两部分自动复原锁闭状态;
4)保管箱箱体,与传统保管箱箱体一样; 5)电脑及
软件,电脑为普通标准 PC,WIN95/98/2000
操作系统、管理及控制软件安装于电脑中,它包含了指纹登录,指纹验证,控制信号发送、客户信息管理,开箱记录,缴
费情况,查询,统计,打印等功能,操作简便,界面友好。
2.网上银行安全认证
(1)认证机制
身份安全认证是一个证实用户真实身份的过程,是网上银行的重要组成部分。传统的身份认证方案使用用户名(或用户ID)和口令(或PIN)。一种身份认证方案的安全性通常与确定身份过程中需要提供的证据或者因素的数目有关。网上银行的身份认证以数字证书和 C A 认证中心为安全认证体系,它的技术架构就是基于指纹的惟一性,使用以密码体制为基础建立起来的PKI公钥基础设施,运用自动指纹认证与密码相结合的机制实现对用户真实身份的认证。数字证书又称数字凭证,是电子商务中标志交易各方身份信息的一系列数据,它提供一种在Intemet上的身份认证方式,其作用类似于司机的驾驶执照或日常生活中的身份证。目前,数字证书一般采用 X.509V3 国际标准。而一个标准的 X.509 数字证书包含以下内容:证书的版本信息;证书的序列号;证书所使用的签名算法;证书的发行机构;证书的有效期;证书所有人的名称;证书所有人的公开密钥;证书发行者对证书的签名。使用数字证书可以保证信息传输的保密性、数据交换的完整性、信息发送的不可否认性、交易者身份的确定性。
CA认证中心作为受信任的第三方,需要承担网上安全电子交易的认证服务。它主要负责产生、分配并管理用户的数字证书,对电子商务活动中的数据加密、数字签字、防抵赖、
数据完整性以及身份鉴别所需要的密钥和认证实施统一的集中化管理,支持网上银行的参与者在网络环境下建立和维护平等的信任关系,保证网上在线交易的安全。
注册机构 RA 充当 CA 认证中心和最终用户之间的中间实体,完成证书的处理工作。在中国金融 CA 的具体应用环境中,核心部分的 CA 认证由中国人民银行集中管理,而 RA 则主要由各商业银行管理。密码技术和指纹自动认证系统相结合的模型由三部分组成:客户、银行、CA 认证中心。CA 认证中心是客户和银行双方都认可的权威中间机构,确保交易的合法有效。注册机构RA 负责处理用户的证书申请,对证书进行审核,并通过客户系统进行授权,参与用户证书申请、发行和作废的过程(RA 的任务由银行完成)。
(2)运作方式
申请并获得数字证书。客户首先在银行的营业网点登记指纹,创建自己的指纹特征模型 QM ,并通过银行 RA 系统,采用公钥体制产生自己的密钥对 Kc-pri 和 Kc-pub。私钥Kc 一一由客户自己保存,公钥 Kc-pub 和指纹信息则传送给 CA 认证中心。CA 认证中心在核实身份后,经过处理将发给客户
14计算机安全2005·2
行业应用N e t w o rk & C o m pu t e r S e cu ri t y
一个数字证书,该证书包含用户的个人信息及其公钥信息,还附有 CA 认证中心的签名信息和指纹签名 Sign(QM,CA)信息(它们用CA认证中心的公钥Kca-pub加密后存储在一张颁发给客户的智能卡中)。
1)客户
①通过读卡机读出智能卡中的指纹模型 QM ,将其与交易信息 M 一起用 CA 认证中心的公钥加密后发送给 CA 认证中心,形成 S1。
②使用指纹仪获取现场指纹 QC,用 CA 的公钥 Kca-pub 加密( 保护指纹信息) 后,与交易信息 M 一起用客户的私钥 Kc-pri进行数字签名,然后用CA认证中心的公钥Kca-pub加密,并发送给 CA 认证中心,形成 S2。
2)CA 认证中心
①接收来自客户的S1、S2,然后用自己的一对密钥Kca-pub、Kca-pri 和客户的公钥 Kc-pub 解密,得到 QM 和 QC。
②分别检验从 S1、S2 中提取的交易信息 M1、M2,通过密码技术验证它们的正确性;如果信息正确无误,则通过CA 认证中心服务器上的指纹匹配算法对 QM 和 QC 进行匹配。
③指纹匹配通过,确定交易有效后,进行下一步处理;否则,客户身份认证失败,交易结束。
指纹识别技术目前已经能够有效地应用于银行的各个业务品种,为银行业务发展提供了必要的安全保障。指纹识别技术在各种安全控制、身份识别等领域将有更为广阔的应用前景(。作者单位浙江大学计算机学院中国工商银行淅江省分行)S
参考文献:
[1]罗希平,田捷《.自动指纹识别中的图像增强与细节匹配软件学报》。2002.I 3(5):946-956
[2]陈公超.《安全电子交易及其相关技术》,《电子技术》.1999,(1)
[3]Wu Yah,Tian Jie,Wang Xingming A fingerprint Image CompressionAlgorithmBasedonWaveletAnalysisandClassifica-tion Vector Quantization.Submitted to 4th International Con-ferenceonAdvancesinPatternRecognitionandDigitalTechniques,I999
小企业容易受垃圾邮件骚扰遏止措施多却未见功效
根据一项新的研究结果,小型的企业,以及在网站上提
供员工电邮账号的公司,更容易遭受垃圾邮件的骚扰。反垃圾邮件服务商Postini 26日发布的年度“电子邮件
安全报告(E”-mail Security Report)指出,小企业和特定行业的公司,受到垃圾邮件攻击的频率较其他企业为多。拥有100 个以下电邮号的公司所收到的垃圾邮件数量,比拥有 1 万个以上电邮账号的公司高出十倍。
如同最近其他类似的报告,Postini 的研究指出,遏止这类邮件数量窜升的现行措施,并未发挥多大功效。
研究人员发现,2004 年期间,垃圾邮件占所有电邮数量的 7 5 %到 8 0 %,借由电子邮件传播的病毒则暴增三倍。 Postini 也指出,所谓的“账号---集攻击(directory” harvest attack),也就是攻击者借由一个已知账号,推测其他相关账号,进而发出垃圾邮件的方式,持续对企业服务器造成破坏。
撰写这份报告的Postini 营销主任Chris Smith 表示,很难判断小公司究竟是哪里作错,还是单纯无法和狡猾的垃圾info邮件虫对抗。Smith说:“显然地,大多数小公司没有类似他们大型竞争者的IT资源,但你还是怀疑这些公司的人是否间接造成问题。许多小公司很可能缺乏和一般大企业相同程度的电子邮件防护或标准。”
Smith 说,如果小公司的问题的确是肇因于员工的行
为,就算他们负担得起大企业使用的精密IT防护系统,也
没有多大帮助。他相信小公司改善垃圾邮件问题的惟一方
法,是在员工之间不断重复强调垃圾邮件可能造成的损失有
多么庞大。
Postini 的研究显示,在网络上营运---特别是公开公
司的电邮账号 --- 是另一种绝对会招致大量垃圾邮件的行
为。报告指出,某些行业较有可能透露电邮账号,包括出版
业、广告业、法律和房地产业。这些企业收到的垃圾邮件,
是其他公司的十倍以上。
Postini 认为,尽管减缓垃圾邮件增长的措施相继实施
---如美国联邦政府的反垃圾邮件法(Can-Spam Act),和
执法机关加快起诉个别垃圾邮件发信者等努力---这类型的
破坏在 2005 年将持续扩散。
Smith 说:“法律和诉讼是好的进展,但它们尚未开始
发挥显著的遏阻效果。一般人太容易躲避侦查,而反垃圾
邮件法这类法律有太多的漏洞,根本无法吓阻这类行为。
垃圾邮件问题在大幅改善之前,还会持续恶化。”
计算机安全2005·215