IC卡終端身份認證系統

使用背景

　　在目前銀行的業(yè)務(wù)系統中，絕大部份交易是在終端上完成的。柜員在進(jìn)入系統前，必須輸入用戶(hù)ID以及個(gè)人密碼。“用戶(hù)ID+密碼”作為對人員的身份認證手段，在進(jìn)入系統時(shí)實(shí)現對操作者的認證，對終端設備是否合法，是沒(méi)有認證手段的。這樣，就給惡意的攻擊留下了可乘之機。

　　由于終端是一種非智能的輸入輸出設備，因此，在柜員登錄后，其他仿冒設備非常容易進(jìn)行切入，替代原合法終端來(lái)向主機發(fā)起各種非法交易，導致銀行的資金安全直接受到攻擊。

　　另外，傳統的口令驗證方式由于方式簡(jiǎn)單，如果稍有疏忽，口令泄密、被竊取或者被試探出來(lái)的可能性非常大。況且，口令是否已經(jīng)不安全了，對使用者來(lái)說(shuō)，是無(wú)法得知或者不可衡量的，在一定意義上來(lái)說(shuō)，其安全性是不可控的。

系統實(shí)現

終端身份認證系統著(zhù)重解決兩方面的問(wèn)題：

1.操作人員的身份認證

　　人員的身份認證過(guò)程既可以用于所有的業(yè)務(wù)處理，也可以針對某些特定的業(yè)務(wù)例如大額授權等，加入的專(zhuān)用的硬件認證設備可選用兩種方式：

方式一：IC卡方式

　　在終端上加入IC卡認證設備，操作者在登錄時(shí)，首先必須插入個(gè)人的IC卡，否則即使密碼正確，也不能夠進(jìn)入系統。因此，只要妥善保管了個(gè)人的IC卡，就可以確信自己的身份是不能被竊取的。

方式二：指紋方式

　　在終端上加入指紋機，操作者在登錄時(shí)，首先在指紋機按下個(gè)人的拇指，否則即使密碼正確，也不能夠進(jìn)入系統。由于每個(gè)人的活體指紋是不同的，且無(wú)法復制，因此，可以確保個(gè)人身份不被竊取。

2.終端的合法性認證

　　在服務(wù)器收到終端發(fā)來(lái)的交易信息，在進(jìn)行交易的下一步處理之前，首先對終端的認證設備進(jìn)行一次認證過(guò)程。而且，認證的內容與登錄的操作員緊密相關(guān)。因此，除非是具備合法終端認證設備，且得到合法登錄的終端才能夠通過(guò)認證，這樣有效的狙擊了仿冒設備無(wú)法在中途進(jìn)入系統。

圖一 終端身份認證系統

系統特點(diǎn)

1. 安全性好，采用國密的加密芯片；

2. 技術(shù)先進(jìn)，結構緊湊，兼容各種終端類(lèi)型；

3. 嚴格的層次化密鑰管理；

4. 嚴格的設備、人員的身份認證過(guò)程，保障金融業(yè)務(wù)的安全；

成功案例

中國工商銀行黑龍江分行