邢媛媛　王金榮

[摘要]身份認(rèn)證又稱身份識(shí)別，歷來(lái)都是商業(yè)銀行的重要工作之一，手工錄入和肉眼識(shí)別的繁瑣和易受欺詐一直困擾著商業(yè)銀行的工作人員。在銀行領(lǐng)域采用先進(jìn)的指紋身份認(rèn)證系統(tǒng)，可以杜絕身份偽造等問(wèn)題，提供更安全、更快捷的金融服務(wù)。

[關(guān)鍵詞]銀行身份認(rèn)證指紋識(shí)別

目前銀行業(yè)內(nèi)部身份認(rèn)證模式比較

銀行業(yè)內(nèi)部身份認(rèn)證體系對(duì)保障銀行業(yè)務(wù)的安全運(yùn)營(yíng)起著至關(guān)重要的作用。目前，商業(yè)銀行通常采用以下幾種模式對(duì)業(yè)務(wù)人員身份的合法性進(jìn)行認(rèn)證：

柜員號(hào)+密碼方式。這是目前普遍使用的身份認(rèn)證方法，登陸系統(tǒng)無(wú)需任何實(shí)物介質(zhì)作為校驗(yàn)，只要輸入正確的柜員號(hào)和密碼，系統(tǒng)就會(huì)認(rèn)定操作者是合法用戶。這種認(rèn)證方式安全性極差，存在以下風(fēng)險(xiǎn)：第一，采取鍵盤輸入密碼的方式，隱蔽性不高，容易泄露；第二，系統(tǒng)“只認(rèn)密碼不認(rèn)人”，造成管理漏洞，密碼一旦被盜、仿制或泄露，出現(xiàn)問(wèn)題時(shí)會(huì)導(dǎo)致責(zé)任不明、無(wú)法落實(shí)責(zé)任人、無(wú)法確定作案者身份的情況；第三，很多柜員喜歡用容易記憶的生日、身份證號(hào)碼、電話號(hào)碼、節(jié)日等數(shù)字作為密碼，較易破譯。

柜員權(quán)限磁卡+密碼方式。該方式將Ic卡中存人與用戶身份相關(guān)的數(shù)據(jù)，由用戶隨身攜帶，登錄時(shí)系統(tǒng)校驗(yàn)IC卡信息及用戶密碼，以驗(yàn)證用戶的合法身份。該方式在安全性上比“柜員號(hào)+密碼”的身份認(rèn)證方式有了很大的提高，但在具體應(yīng)用上仍存在以下問(wèn)題：第一，柜員權(quán)限磁卡易被復(fù)制；第二，柜員權(quán)限磁卡易被盜??；第三，被他人代用，即將本人權(quán)限卡交由他人代為使用。

商業(yè)銀行內(nèi)部身份認(rèn)證體系現(xiàn)行模式存在的問(wèn)題

除上述認(rèn)證方式本身存在的缺陷外，從實(shí)際操作情況看，柜員權(quán)限磁卡十密碼和柜員號(hào)+密碼這兩種身份認(rèn)證方式仍存在一些不容忽視的問(wèn)題。

柜員號(hào)+密碼認(rèn)證方式：該種方式廣泛應(yīng)用于商業(yè)銀行除NOVA系統(tǒng)之外的各個(gè)業(yè)務(wù)處理系統(tǒng)，如內(nèi)部統(tǒng)一認(rèn)證系統(tǒng)、業(yè)務(wù)憑證影像傳輸系統(tǒng)、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)控系統(tǒng)等等。存在問(wèn)題如下：

第一，系統(tǒng)初始密碼的公開性。就目前的情況看，每次投產(chǎn)一個(gè)新的業(yè)務(wù)處理系統(tǒng)，都會(huì)由商業(yè)銀行支行申請(qǐng)各級(jí)別操作柜員，新申請(qǐng)的柜員號(hào)均有一個(gè)初始密碼。雖然要求柜員在第一次進(jìn)入系統(tǒng)時(shí)及時(shí)更改密碼，但柜員是否更改密碼系統(tǒng)不能硬性控制，因密碼是柜員進(jìn)入系統(tǒng)的唯一認(rèn)證要素，如柜員不對(duì)初始密碼進(jìn)行更改則密碼形同虛設(shè)。

第二，柜員號(hào)交接環(huán)節(jié)不嚴(yán)密。新系統(tǒng)申請(qǐng)的柜員號(hào)往往通過(guò)NOSE系統(tǒng)下傳至支行，再由網(wǎng)點(diǎn)業(yè)務(wù)主管通知柜員，柜員號(hào)交接環(huán)節(jié)不嚴(yán)密可能導(dǎo)致柜員號(hào)被業(yè)務(wù)主管截流，出現(xiàn)柜員在不知情的情況下由主管“操作授權(quán)一手清”的現(xiàn)象。

第三，規(guī)章制度不完善，監(jiān)督檢查力度薄弱。目前商業(yè)銀行尚未針對(duì)“柜員號(hào)+密碼”的認(rèn)證方式制定完整的操作流程，也尚未形成有效的監(jiān)督檢查機(jī)制。因此，柜員對(duì)上述業(yè)務(wù)處理系統(tǒng)重視程度普遍不高，違規(guī)操作現(xiàn)象時(shí)有發(fā)生。

第四，違規(guī)操作隱蔽性強(qiáng)。由于使用該方式登陸的業(yè)務(wù)處理系統(tǒng)大多是在后臺(tái)進(jìn)行操作，絕大部分操作區(qū)域無(wú)錄像監(jiān)控，這使違規(guī)操作具有較強(qiáng)的隱蔽性，也給日后的監(jiān)督檢查帶來(lái)很大困難。

柜員權(quán)限磁卡+密碼認(rèn)證方式：目前商業(yè)銀行NOVA系統(tǒng)采用此方式對(duì)業(yè)務(wù)人員身份進(jìn)行認(rèn)證。為提商業(yè)務(wù)的安全性，商業(yè)銀行對(duì)柜員權(quán)限卡的管理非常嚴(yán)格。例如，要求定期更換密碼，規(guī)定“章隨人走、卡不離身”，成立稽查部門對(duì)柜員遵守制度情況進(jìn)行檢查，對(duì)違反制度的員工進(jìn)行處罰等等。盡管如此，柜員管理上的問(wèn)題依然存在：

首先，雖然要求權(quán)限卡密碼不定期更換，但很多柜員往往習(xí)慣于采用在二套或三套密碼之間定期更換，長(zhǎng)此以往，其密碼的安全性已大大降低，容易破譯，有些密碼已變成“明碼”。

其次，目前很多商業(yè)銀行采取的授權(quán)方式為授權(quán)柜員在經(jīng)辦柜員的鍵盤上劃卡輸入密碼，這種方式很容易造成密碼泄露。

基于以上分析，內(nèi)部身份認(rèn)證體系暴露出來(lái)的諸多問(wèn)題目前已對(duì)商業(yè)銀行業(yè)務(wù)運(yùn)行的安全構(gòu)成威脅。傳統(tǒng)的密碼身份識(shí)別方法由于其不可克服的缺點(diǎn)已難以滿足新形勢(shì)的需要，針對(duì)銀行現(xiàn)行計(jì)算機(jī)系統(tǒng)及銀行內(nèi)部管理中存在的問(wèn)題，從技術(shù)優(yōu)缺點(diǎn)、可行性、實(shí)用性等方面來(lái)看，新的指紋識(shí)別系統(tǒng)作為商業(yè)銀行內(nèi)部認(rèn)證的依據(jù)不僅具有許多獨(dú)到的信息安全角度的優(yōu)點(diǎn)，更重要的是還具有更高的實(shí)用性、可行性。

指紋識(shí)別系統(tǒng)在商業(yè)銀行內(nèi)部身份認(rèn)證體系中的應(yīng)用

指紋識(shí)別方式的原理在于，人體的生物特征具有不可復(fù)制的特點(diǎn)。每個(gè)人包括指紋在內(nèi)的皮膚紋路，其圖案、斷點(diǎn)以及交叉點(diǎn)等各不相同，是唯一的，并且終生不變。因此指紋識(shí)別技術(shù)作為一項(xiàng)比較成熟的生物識(shí)別技術(shù)，可以通過(guò)對(duì)指紋的事先保存與被鑒別對(duì)象的指紋進(jìn)行對(duì)比，驗(yàn)證其真實(shí)身份。指紋識(shí)別技術(shù)一般分為指紋登記和指紋識(shí)別兩個(gè)部分。其中，指紋登記過(guò)程是指初次采集指紋并通過(guò)計(jì)算機(jī)生成供識(shí)別的指紋特征，存放于指紋特征庫(kù)(或者Ic卡等存儲(chǔ)介質(zhì))中。而指紋識(shí)別過(guò)程，是指采集、提取用戶的指紋特征，將待驗(yàn)證特征與指紋記錄中的指紋特征進(jìn)行對(duì)比，得出比對(duì)結(jié)果的過(guò)程。

指紋識(shí)別方式在商業(yè)銀行柜員身份認(rèn)證方面具有很大的優(yōu)勢(shì)：

第一，安全性能高，責(zé)任分明。指紋是相對(duì)固定的，很難發(fā)生變化，可以保證用戶安全信息的長(zhǎng)期有效性。系統(tǒng)通過(guò)對(duì)柜員本人生物特征的識(shí)別來(lái)確認(rèn)身份的合法性，實(shí)現(xiàn)了“認(rèn)人不認(rèn)密碼”的認(rèn)證方式，使“人控制”變?yōu)椤跋到y(tǒng)控制”、“人管理”變?yōu)椤跋到y(tǒng)管理”，因此杜絕了盜用、冒用、復(fù)制、他人代用等違規(guī)或作案手段，大大提高了銀行身份認(rèn)證系統(tǒng)的安全性。并且一個(gè)人的十指指紋皆不相同，可以方便地利用多個(gè)指紋，提高系統(tǒng)的安全性，也不會(huì)增加系統(tǒng)的設(shè)計(jì)負(fù)擔(dān)。對(duì)于案發(fā)后的調(diào)查取證，因?yàn)橛辛酥讣y身份認(rèn)證系統(tǒng)，就能夠達(dá)到無(wú)法抵賴、責(zé)任明確的效果。

第二，易于采集，操作快捷。指紋與生俱來(lái)，隨身攜帶，不需記憶。掃描指紋的速度很快，采集非常方便，只要將手指平放在指紋識(shí)別器上，一兩秒鐘即可完成，這易于開發(fā)認(rèn)證系統(tǒng)，實(shí)用性強(qiáng)。由于指紋可“隨身攜帶”，進(jìn)入指紋識(shí)別系統(tǒng)只需“輕輕一按”，操作簡(jiǎn)單快捷，免去了丟失印章、遺忘密碼等煩惱。

第三，難偽造、難破譯。由于指紋識(shí)別具有上述特點(diǎn)，識(shí)別指紋時(shí)必須將真正的手指與指紋采集頭接觸，因此偽造、假冒、攻擊、破譯指紋的難度就變得相當(dāng)大。例如，對(duì)于一個(gè)4位數(shù)字密碼，有10x10x10x10=10000種組合，破解概率為萬(wàn)分之一，入侵者可以很容易地通過(guò)嘗試所有的組合而破解，而你很難找10000個(gè)人(誤識(shí)率為萬(wàn)分之一)為你的企圖入侵提供指紋f即便是1000個(gè)人將10個(gè)手指頭全部用上)。以現(xiàn)有的指紋識(shí)別系統(tǒng)為例，其誤識(shí)率小于百萬(wàn)分之一，能儲(chǔ)存數(shù)百萬(wàn)個(gè)指紋，其破譯難度可想而知。

第四，符合現(xiàn)行的銀行柜員管理制度。指紋身份認(rèn)證系統(tǒng)相對(duì)獨(dú)立、操作簡(jiǎn)便，不會(huì)因?yàn)槭褂弥讣y認(rèn)證而加大

商業(yè)銀行的業(yè)務(wù)管理難度。系統(tǒng)實(shí)施簡(jiǎn)便，對(duì)銀行原有業(yè)務(wù)、應(yīng)用軟件等所作的相應(yīng)改造較小，可有效保護(hù)銀行原有的硬件投資，快速實(shí)現(xiàn)與業(yè)務(wù)系統(tǒng)的平滑聯(lián)接，從而在商業(yè)銀行建立起一個(gè)安全、穩(wěn)定、高效、靈活、方便的內(nèi)部身份認(rèn)證體系。

第五，經(jīng)濟(jì)性。指紋識(shí)別得益于現(xiàn)代電子集成制造技術(shù)和快速而可靠的算法研究。只要建立一個(gè)指紋認(rèn)證中心，既可以面向銀行內(nèi)部柜員等需要進(jìn)行身份認(rèn)證的系統(tǒng)接入，又可以面向客戶進(jìn)行指紋認(rèn)證，實(shí)現(xiàn)了真正的資源共享，大大提高系統(tǒng)使用的經(jīng)濟(jì)效益。

目前的指紋識(shí)別系統(tǒng)，多采用以下兩種指紋識(shí)別方式：

外掛式：此方式以外掛式指紋身份認(rèn)證系統(tǒng)集成于現(xiàn)有的基于密碼的柜員身份認(rèn)證系統(tǒng)中，針對(duì)銀行原有的柜員密碼登錄系統(tǒng)，無(wú)需對(duì)原有系統(tǒng)進(jìn)行代碼級(jí)的修改，即可將身份驗(yàn)證改為指紋方式。外掛式指紋識(shí)別系統(tǒng)中的客戶端子系統(tǒng)采集指紋特征，將提取的特征發(fā)送給指紋識(shí)別服務(wù)器，指紋識(shí)別服務(wù)器子系統(tǒng)響應(yīng)指紋識(shí)別的請(qǐng)求，將指紋特征進(jìn)行比對(duì)，比對(duì)通過(guò)后在網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)是柜員號(hào)和密碼數(shù)據(jù)，服務(wù)器的認(rèn)證方式和原有系統(tǒng)相同，因此不必對(duì)原業(yè)務(wù)系統(tǒng)進(jìn)行更改。它的優(yōu)點(diǎn)在于對(duì)銀行原有的業(yè)務(wù)系統(tǒng)無(wú)影響，改造實(shí)施速度快、見效快。

嵌入式：它與外掛式系統(tǒng)最大的區(qū)別在于采用指紋完全替代了基于密碼、磁卡或Ic卡的身份認(rèn)證體系。嵌人式指紋系統(tǒng)中指紋認(rèn)證服務(wù)器獨(dú)立存在于業(yè)務(wù)系統(tǒng)中，后臺(tái)主機(jī)針對(duì)身份認(rèn)證方式進(jìn)行程序修改。進(jìn)行身份認(rèn)證時(shí)，指紋掃描器件采集指紋圖像，并將采集到的指紋圖像傳送到處理器中，在指紋錄入狀態(tài)下，處理器將指紋圖像轉(zhuǎn)換為二進(jìn)制的指紋模板數(shù)據(jù)，然后將指紋模板數(shù)據(jù)存入到芯片中，作為指紋比對(duì)的原始數(shù)據(jù)。在指紋比對(duì)狀態(tài)下，處理器將指紋圖像與已存儲(chǔ)的指紋模板數(shù)據(jù)進(jìn)行比對(duì)運(yùn)算，并輸出比對(duì)結(jié)果，中間不再有密碼、磁卡或者Ic卡信息存在。其特點(diǎn)是安全性能高，真正實(shí)現(xiàn)指紋技術(shù)和銀行業(yè)務(wù)的有機(jī)結(jié)合，但需要對(duì)銀行的服務(wù)器軟件和業(yè)務(wù)軟件進(jìn)行修改。

指紋識(shí)別系統(tǒng)在商業(yè)銀行的應(yīng)用范圍應(yīng)循序漸進(jìn)、逐步推廣?？煽紤]將指紋識(shí)別系統(tǒng)應(yīng)用于商業(yè)銀行NO-VA系統(tǒng)及各業(yè)務(wù)處理平臺(tái)中，以提高商業(yè)銀行內(nèi)部身份認(rèn)證系統(tǒng)的安全性能。可采取逐步投入的方式，先將其應(yīng)用于商業(yè)銀行管理較為薄弱的以“柜員號(hào)+密碼”方式登陸的業(yè)務(wù)處理系統(tǒng)中，再逐步擴(kuò)展到NOVA系統(tǒng)，最終全面實(shí)現(xiàn)商業(yè)銀行身份認(rèn)證體系指紋化。