[发明专利]一种金融终端认证方法与装置

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种金融终端认证方法与装置。

背景技术

目前国内银行卡用户在金融终端上进行支付、转账等业务处理时，一般都是通过密码来认证用户的身份，如信用卡支付一般情况下默认为凭密码交易，在ATM机上也是通过密码来确认用户，但单凭密码进行用户的身份认证是不够安全的。比如如果密码被不法分子通过偷窥、威逼等手段盗取到用户的密码后，不法分子可通过在异地克隆用户的银行卡，就可以通过盗取到用户的密码盗取用户的资金，这种事件层出不穷，给用户带来安全隐患。更有甚者，不法分子通过威逼等手段抢劫了用户的银行卡后，再进一步威逼用户说出密码，再到银行终端上非法支取或转移用户的资金，这不但给用户造成经济损失，严重的还会威胁到用户的人身安全。

为解决凭密码进行身份确认所存在的安全隐患问题，利用用户的生物特征来进行身份认证引起了人们的重视，生物特征识别技术是利用人类自身的生理行为特征进行识别身份的一种技术，人类的很多生物特征如指纹和虹膜等具有稳定性、方便性、“随身携带”和唯一性的特点，利用这些特点可用于识别用户身份，能有效防止用户身份被假冒，目前在门禁和考勤等方面已有不少成功应用，在金融终端上也有应用案例。但指纹和虹膜等生物特征属于个人隐私，用于用户身份认证时，使用不当容易造成隐私泄漏而引起新的安全问题。为解决认证信息在存储和传输时的安全问题，目前主要使用的方法是对这些信息进行加密处理，如专利201110373961.3就是对生物信息和用户私密信息通过加密芯片进行加密处理，但从密码学的角度，由于加密和解密的可逆性可知，采用加密的方式对认证信息的处理仍存在巨大的隐患，比如别有用心的人可通过穷举字典攻击的方法破解强度较弱的密码，获得用户的机密信息，窃取用户的财产和个人隐私。特别是很多用户为了使密码简单容易记忆，都会采用同一密码来应对不同的应用，例如多张银行卡共用一个密码等等，而同一用户的生物特征也是固定不变的，不管认证信息是否加密，这些银行卡的认证信息是相同的，一旦一张卡的认证信息被盗用，其它卡也会同时失去安全性，因此即使采用加密的方法对认证进行加密，整个认证过程仍存在安全隐患。

因此，有必要设计一种安全性更高的金融终端认证方法与装置。

发明内容

本发明的目的在于，针对现有技术的不足，提供一种金融终端认证方法与装置，能防止认证信息盗用、被破解的安全问题，具有很高的认证安全性，可有效保护用户账户的资金安全，同时能防止用户的隐私泄漏和认证信息被盗用问题。

本发明的技术方案为：

一种金融终端认证方法，基于认证系统进行认证，认证系统包括柜员终端、自助终端和银行系统服务器；柜员终端和自助终端均与银行系统服务器相连；

认证方法包括(A)生成认证信息和(B)进行认证两个部分；

(A)生成认证信息的步骤为：

(1)用户在银行开户时，柜员终端读取用户的生物特征信息B，并对读取到的生物特征信息B进行处理，提取其特征数据BD，特征数据与生物特征信息一样稳定性和唯一性的特点，能够唯一识别用户；

(2)然后将发给用户的银行卡号ID、特征数据BD通过连接运算构成认证信息链BDL，即BDL＝ID||BD，运算符||表示连接运算，再使用一个有效的散列函数hash(·)对BDL进行运算；得到用户的生物认证信息A，即A＝hash(BDL)；目前常用的散列函数hash(·)，如MD5、SHA-1、SHA-256或其它单向函数均可用于本发明中；

(3)用户通过柜员终端预设一个银行终端操作密码KEY；

(4)柜员终端将生物认证信息A和银行终端操作密码KEY通过连接运算构成认证信息链C，即C＝A||KEY，最后用与(2)中相同散列函数hash(·)对C进行运算，得到用户的综合认证信息D，即D＝hash(C)；

(5)柜员终端以银行卡号ID为关键字，将银行卡号ID、用户的生物防假冒认证信息A及用户的综合认证信息D作为一条记录存储至银行系统服务器；