专利名称:一种金融ic卡内指纹比对的实现方法及装置的制作方法
技术领域:
本发明属于信息安全技术领域,具体涉及一种金融IC卡内指纹比对的实现方法及装置。
背景技术:
在传统的消费支付手段中,我们历经了从现金到银行卡的变更,在这个变化中,我们体会到刷卡比现金更方便,也更安全。但是,信用卡被盗用、储蓄卡密码被破解的案例屡有发生,这种支付方式并没有彻底改变一旦银行卡被盗用或者丢失所带来的不便和资金损失问题。随着指纹技术的成熟,并且在银行内部系统安全防范中的广泛应用,为指纹技术在外部客户消费支付行为中的推广应用奠定了很好的基础。在银行系统使用指纹支付,通常需要在银行后台建立指纹认证系统,用于客户指纹的注册和认证,在前端各种交易渠道需要接入指纹读取设备,在技术实现上不存在问题,完全可行。不过,按照上述模式推广指纹支付,会遇到一些问题,受到了一些因素的制约,主要表现在银行业务系统的改造工作量较大,尤其是通过银联的跨行交易没有指纹数据的交换空间和传输标准,使指纹支付业务局限在本行和局部,影响指纹支付业务的开展。同时, 该模式下,指纹数据传输的安全性也受到各种攻击的威胁,存在数据重放、劫持攻击、网络欺诈等安全隐患。2011年3月15日,中国人民银行发布《中国人民银行关于推进金融IC卡应用工作的意见》,决定在全国范围内正式启动银行卡芯片迁移工作,“十二五”期间将全面推进金融IC卡应用,以促进中国银行卡的产业升级和可持续发展。金融IC卡的大力推广应用,为指纹支付的开展提供了条件,首先,银行卡由磁条卡变为IC卡,不仅增加了卡片安全,也为指纹信息存储提供了空间,同时,IC卡具有较强的处理能力,在卡内完全可以实现指纹的比对处理,为本地认证提供条件。在银行卡芯片迁移工作中,要实现IC卡读写操作,必然涉及到金融机具的改造,由此,为指纹读取模块的集成创造了契机,随着银行卡芯片迁移工作的深入,银行系统前后端的改造为指纹支付的实现提供了条件。
发明内容
本发明的目的是提供一种金融IC卡内指纹比对的实现方法及装置,解决目前银行指纹支付业务中存在的数据交换不便和数据传输无法标准化的问题;保证指纹数据提取、传输过程中数据的真实性、完整性及可鉴别性;减少指纹识别技术在银行业务系统中的推广使用难度,加强指纹技术应用的安全性。本发明的目的是通过以下技术方案来实现
一种金融IC卡内指纹比对装置,包括集成装置、PC机或终端、银行后台,所述集成装置由指纹读取模块、IC卡读写模块和转接板组成,指纹读取模块与转接板之间、IC卡读写模块与转接板之间均通过Rs232接口连接,集成装置与PC机或终端通过转接板的Rs232或 USB接口连接,PC机或终端通过TCP/IP方式与银行后台进行通信,银行后台包括后台服务器和数据库。一种金融IC卡内指纹比对的实现方法,包括以下步骤
1)指纹模板注册
客户在银行开立账户、办理IC卡后,通过指纹读取模块注册指纹模板,系统将指纹模板及对应手指序号保存在开户银行后台数据库中,同时,将数据写入IC卡内,数据加密保存,手指序号按照一定优先级排列;
2)指纹特征IC卡内比对
客户在办理银行交易时,如果该交易需要身份确认,那么就可以通过指纹验证进行身份确认,具体操作过程将IC卡插入或靠近IC卡读写器,客户在指纹读取模块的采集头上按捺已经采集过的手指,系统通过指纹读取模块采集指纹,并提取指纹特征,然后直接传送给IC卡读写模块,IC卡读写模块通过接触(IS07816)或非接触(IS014443)协议将指纹特征发送给IC卡,在IC卡内完成指纹特征与指纹模板的比对,1 =N比对时,比对的次序按照手指优先级进行,1 :1比对时,依据手指号找到对应模板进行比对;
3)银行后台服务器的二次认证
在IC卡内指纹比对通过后,由IC卡对通过比对的指纹模板和手指序号进行SHA-I运算,生成HASH值,然后由客户的IC卡私钥对HASH值签名,系统将HASH签名数据通过网络发送到发卡行后台服务器,对上述签名进行验签,验签通过后,将后台服务器内该客户对应的指纹模板进行SHA-I运算,如果两端HASH值相同,则表明IC卡与后台服务器的指纹模板是一致的,证明本次认证结果来自客户的IC卡内比对、且卡内指纹模板与后台服务器端一致。本发明的有益效果为1、通过金融IC卡内指纹比对方式解决了银行指纹支付业务中存在的指纹数据交换和数据传输的瓶颈问题,对指纹技术在行业内的推广应用将起到积极推进作用;2、通过指纹读取模块产生的指纹模板一旦写入IC卡内,将采用加密方式并按照手指优先级存储,指纹模板永不出卡,在卡内实现1:1和1:N的指纹比对;3、指纹比对过程中,通过指纹读取模块与IC卡读写模块内部连接,以及IC卡读写器与IC卡之间的动态加密技术,增强指纹特征数据传输的安全保密性,确保外部无法获取和复制;4、通过本地 IC卡内指纹比对和服务器端的二次认证,既实现了指纹身份识别,又确保了 IC卡与数据库指纹模板的一致性,实现了客户身份确认的唯一性、真实性、完整性及可鉴别性,杜绝数据篡改、数据重放、劫持攻击、网络欺诈等安全隐患;5、通过IC介质本身的认证和持卡人的指纹比对,构成名副其实的双因子认证,完全符合人民银行的相关规定。
下面根据附图对本发明作进一步详细说明。图1是本发明实施例所述的一种金融IC卡内指纹比对的实现方法及装置的装置结构示意图2是本发明实施例所述的一种金融IC卡内指纹比对的实现方法及装置的指纹模板注册原理图;图3是本发明实施例所述的一种金融IC卡内指纹比对的实现方法及装置的指纹认证原理图4是本发明实施例所述的一种金融IC卡内指纹比对的实现方法及装置的IC卡内指纹比对流程图5是本发明实施例所述的一种金融IC卡内指纹比对的实现方法及装置的后台服务器二次认证流程图。图中
1、集成装置;1. 1、指纹读取模块;1. 2、IC卡读写模块;1. 3、转接板;1. 4、指纹读头; 1.5、IC卡;2、PC机或终端;3、银行后台;3. 1、后台服务器;3. 2、数据库。
具体实施例方式如图1所示,本发明实施例所述的一种金融IC卡内指纹比对装置,包括集成装置 1、PC机或终端2、银行后台3,所述集成装置1由指纹读取模块1. 1、IC卡读写模块1. 2和转接板1. 3组成,指纹读取模块1. 1与转接板1. 3之间、IC卡读写模块1. 2与转接板1. 3之间均通过Rs232接口连接,集成装置1与PC机或终端2通过转接板1. 3的Rs232或USB接口连接,PC机或终端2通过TCP/IP方式与银行后台3进行通信,银行后台3包括后台服务器3.1和数据库3.2。指纹读取模块1. 1通过指纹读头1. 4获取指纹图像,同时还具有指纹图像处理、特征提取及指纹模板合成等功能,其所生成的客户指纹模板和指纹特征均为二进制数据,每枚指纹模板或特征大小为256个字节以内。转接板1. 3的主要作用是各模块之间连接纽带,包括指纹读取模块1. 1所产生的指纹模板和特征通过转接板1. 3传输给IC卡读写模块1. 2,集成装置1与PC机或终端2之间通过转接板1. 3进行指令下发和数据响应,指纹认证过程中,指纹特征只在集成装置1内部传输,使数据被截取的几率大大降低。IC卡读写模块1. 2用于IC卡1. 5的读写操作及通信数据加解密。IC卡1. 5的通信方式分为两种,接触式IS07816协议和非接触式IS014443协议,无论哪种方式,模块与卡之间的通信都需要动态加密,模块与卡之间通信加密方式采用对称加密,每次通信的会话密钥不同,会话密钥由IC卡1. 5随机产生,由模块与卡双方约定的主密钥进行保护,经主密钥保护的会话密钥传递给IC卡1. 5模块后,由主密钥解开即可使用。经过动态加密的数据传输,大大加强了 IC卡读写模块1. 2与IC卡1. 5之间通信的安全。IC卡1. 5采用智能卡芯片,支持PKI标准和银行PBOC的应用标准。在指纹支付中,在IC卡内保存客户指纹模板,指纹模板数量最多为10枚手指,并依照应用习惯,按手指优先级以密文形式存储。设置手指优先级目的是为了在1:N比对时能尽快找到匹配模板, 手指优先级按照拇指、食指、中指、无名指、小指的顺序由高到低排列。PC机或终端2起到承上启下的作用,对下负责对集成装置1的控制,对上负责对银行后台服务器3. 1的数据通信。客户指纹注册时,除了将指纹模板写入IC卡1. 5外,还要将指纹模板传输到银行后台3保存;客户身份认证时,在卡内指纹比对通过后,在后台以签名形式进行二次认证。银行后台3包括后台服务器3. 1和数据库3. 2,数据库3. 2存储客户账户信息和指
5纹模板信息。银行后台服务器3. 1负责交易的处理,在客户身份认证时,后台负责对前端数字签名的验签,确保了 IC卡1. 5与数据库3. 2指纹模板的一致性,实现了客户身份确认的真实性、完整性及可鉴别性,杜绝数据重放、劫持攻击、网络欺诈等安全隐患。如果前端指纹比对通过,而二次认证中的指纹模板前后台不同,那么可能存在数据被破坏或被篡改等问题,若经过再次认证仍然存在问题,则需要相关部门进一步查证处理。本发明实施例所述的一种金融IC卡内指纹比对的实现方法,包括指纹模板注册、 指纹特征IC卡内比对、后台服务器的二次认证三部分。其中,指纹特征的IC卡内比对属于本地指纹认证,后台服务器的二次认证是指纹模板HASH值之后的核对,目的是校验IC卡与服务器指纹模板的一致性。如图2所示,为本发明实施例所述的客户指纹模板注册,客户在银行开立了 IC卡账户后,如果有指纹支付的需要,那么就可以加办此项业务,加办指纹支付业务的同时,完成客户指纹模板注册过程。指纹模板注册实现过程说明如下
1)客户在网点柜面加办指纹支付业务,首先进行读IC卡1.5操作,由IC卡读写器对 IC卡1. 5进行脱机卡片认证,通过PIN码验证客户身份,验证通过后才能进行下一步的指纹模板注册;
2)客户通过指纹读取模块1.1采集指纹并处理,形成指纹特征,该过程需要重复三次, 然后将三次指纹特征进行算法合成、形成指纹模板,特征合成模板目的是丰富真特征、去除伪特征;
3)每个手指的指纹模板形成后,经过转接板1.3上送到PC机或终端2,由后者将数据组包上送到银行后台3,在此过程中的网络通信加密仍然采用银行系统现有的安全加密机制;
4)银行后台服务器3.1接收前端发来的数据,进行报文处理,将指纹模板信息与客户信息对应,保存到客户指纹模板数据库3. 2中,并修改客户身份认证方式为指纹方式;
5)后台交易处理成功后,开始前端的写IC卡过程,指纹模板数据经过转接板发送给IC 卡读写模块1. 2,IC卡读写模块1. 2收到指令后,先做动态会话密钥的交换,然后将加密后的手指序号和指纹模板发送给IC卡1. 5 ;
6)IC卡1.5接收到指纹模板数据,用会话密钥解密,然后用存储密钥加密指纹模板,将数据写入卡片FLASH的指纹存储区内,如果对应的手指已经采集,则进行覆盖处理。以上是一枚指纹模板的注册过程,银行可以根据需要进行多枚手指的注册,一般至少注册2枚,最多注册10枚,实际操作中,选择优先级高及质量好的手指注册,手指优先级按照拇指、食指、中指、无名指、小指的顺序由高到低排列。如图3-5所示,是本发明实施例所述的客户指纹身份认证,客户的指纹认证分为两大部分,首先要通过IC卡内指纹比对,然后将指纹比对结果发送到后台进行二次认证。IC卡内指纹比对的实现过程说明如下
1)在交易前,银行系统要对IC卡1.5进行脱机卡片认证以及是否启用了指纹方式,只有合法的、状态满足的IC卡1. 5,才能进行下一步的卡内指纹比对;
2)客户通过指纹读取模块1.1采集指纹并处理,形成指纹特征,该过程不需要指纹模板的合成过程。所生成的指纹特征通过内部转接直接发送给IC卡读写模块1. 2 ;3)IC卡读写模块1. 2收到信息后,先做动态会话密钥的交换,然后将经过加密的指纹特征发送给IC卡1. 5,如果是1 1指纹比对方式,那么还要将上层应用发来的手指序号一同发送给IC卡1.5;
4)IC卡1.5收到数据后,通过会话密钥解密指纹特征,根据指纹比对方式,进行指纹特征与模板之间的1:N比对或1:1比对,如果是1:N比对方式,那么IC卡会按照手指的优先级顺序逐枚比对,直到找到匹配的指纹模板;
5)IC卡内指纹比对通过后,将对匹配模板进行SHA-I运算,形成哈希值HASH1,然后用 IC卡内客户私钥对HASHl签名,将证书序列号、手指序号、签名数据及IC卡相关信息返回 IC卡读写模块1. 2,后者再把数据上送给PC机或终端2 ;
6)在PC机或终端2处,应用程序将证书序列号、手指序号、签名数据、IC卡相关信息组包上送到银行后台,在此过程中的网络通信加密仍然延用银行系统现有的安全加密机制。银行后台服务器收到前端报文后,进行解密解析处理,找到对应客户信息,对IC 卡信息进行常规验证,例如证书是否过期、吊销等,然后开始进行二次认证的处理过程。二次认证的实现过程说明如下
1)银行后台3验证系统对IC卡1.5发来的签名进行验签,利用客户公钥解出指纹模板的哈希值HASHl ;
2)根据本次IC卡内匹配通过的指纹序号,从数据库3.2中提取对应的指纹模板,进行 SHA-I运算,形成哈希值HASH2 ;
3 )判断HASHl和HASH2是否相同,如果二者相同,则表明IC卡内指纹模板与数据库3. 2
是一致的。在整个认证过程中,本发明都是遵照PKI体系来进行的,其特点是利用IC卡内的指纹比对代替了客户PIN码的验证过程,将IC卡与持卡人绑定在一起,真正实现了双因子认证。同时,通过银行后台的数字签名验签和指纹模板HASH值的一致性校验,实现了客户身份确认的真实性、完整性及可鉴别性,杜绝数据篡改、数据重放、劫持攻击、网络欺诈等安
全隐患。本发明中的IC卡交易的实现过程,完全遵照PBOC标准和银行卡联网联合技术规范,涉及网络通信的二次认证交易自定义报文传输使用《银行卡联网联合技术规范 2.0第二部分报文接口规范》的报文域57 “附加交易信息”,该域共100个字节,可用于 CardHolder Informixtion (持卡人身份信息)。因此,无论发卡行和收单行是否属于同一银行,只要按照标准报文接口规范设计系统,那么都可以实现行内和跨行的指纹支付业务。
权利要求
1.一种金融IC卡内指纹比对装置,包括集成装置(1)、PC机或终端(2)、银行后台 (3),其特征在于所述集成装置(1)由指纹读取模块(1. 1)、IC卡读写模块(1.2)和转接板 (1.3)组成,指纹读取模块(1. 1)与转接板(1.3)之间、IC卡读写模块(1.2)与转接板(1.3) 之间均通过Rs232接口连接,集成装置(1)与PC机或终端(2 )通过转接板(1. 3 )的Rs232 或USB接口连接,PC机或终端(2)通过TCP/IP方式与银行后台(3)进行通信,银行后台包括后台服务器(3. 1)和数据库(3. 2 )。
2.一种金融IC卡内指纹比对的实现方法,其特征在于,包括以下步骤1)指纹模板注册客户在银行开立账户、办理IC卡(1. 5)后,通过指纹读取模块(1.1)注册指纹模板,系统将指纹模板及对应手指序号保存在开户银行后台数据库(3. 2)中,同时,将数据写入IC 卡(1. 5)内,数据加密保存,手指序号按照一定优先级排列;2)指纹特征IC卡内比对客户在办理银行交易时,如果该交易需要身份确认,那么就可以通过指纹验证进行身份确认,具体操作过程将IC卡(1. 5)插入或靠近IC卡读写器,客户在指纹读取模块(1. 1) 的采集头上按捺已经采集过的手指,系统通过指纹读取模块(1.1)采集指纹,并提取指纹特征,然后直接传送给IC卡读写模块(1. 2),IC卡读写模块(1. 2)通过接触(IS07816)或非接触(IS014443)协议将指纹特征发送给IC卡(1. 5),在IC卡(1. 5)内完成指纹特征与指纹模板的比对,1 =N比对时,比对的次序按照手指优先级进行,1 1比对时,依据手指号找到对应模板进行比对;3)银行后台服务器的二次认证在IC卡内指纹比对通过后,由IC卡对通过比对的指纹模板和手指序号进行SHA-I运算,生成HASH值,然后由客户的IC卡私钥对HASH值签名,系统将HASH签名数据通过网络发送到发卡行后台服务器(3. 1),对上述签名进行验签,验签通过后,将后台服务器(3. 1) 内该客户对应的指纹模板进行SHA-I运算,如果两端HASH值相同,则表明IC卡与后台服务器(3. 1)的指纹模板是一致的,证明本次认证结果来自客户的IC卡内比对、且卡内指纹模板与后台服务器(3.1)端一致。
全文摘要
本发明涉及一种金融IC卡内指纹比对的实现方法及装置,金融IC卡内指纹比对装置包括指纹及IC卡读写集成装置(以下称集成装置)、PC机或终端、银行后台,集成装置与PC机或终端通过转接板的Rs232或USB接口连接,PC机或终端通过TCP/IP方式与银行后台进行通信;实现过程分为指纹模板注册、指纹特征IC卡内比对、后台服务器的二次认证三部分。本发明的有益效果为解决目前银行指纹支付业务中的数据交换不便和数据传输无法标准化的问题;通过数字签名技术,保证指纹数据提取、传输过程中的真实性、完整性及可鉴别性;通过IC介质本身认证和持卡人指纹比对,构成基于生物特征识别的双因子认证;减少指纹识别技术在银行业务系统中的推广使用难度,加强安全性。
文档编号G06K17/00GK102222389SQ20111018239
公开日2011年10月19日 申请日期2011年6月30日 优先权日2011年6月30日
发明者杨春林 申请人:北京天诚盛业科技有限公司