商业银行内部身份认证体系问题初探

[摘要]身份认证又称身份识别，历来都是商业银行的重要工作之一，手工录入和肉眼识别的繁琐和易受欺诈一直困扰着商业银行的工作人员。在银行领域采用先进的指纹身份认证系统，可以杜绝身份伪造等问题，提供更安全、更快捷的金融服务。

[关键词]银行　身份认证　指纹识别

目前银行业内部身份认证模式比较

银行业内部身份认证体系对保障银行业务的安全运营起着至关重要的作用。目前，商业银行通常采用以下几种模式对业务人员身份的合法性进行认证：

柜员号+密码方式。这是目前普遍使用的身份认证方法，登陆系统无需任何实物介质作为校验，只要输入正确的柜员号和密码，系统就会认定操作者是合法用户。这种认证方式安全性极差，存在以下风险：第一，采取键盘输入密码的方式，隐蔽性不高，容易泄露；第二，系统“只认密码不认人”，造成管理漏洞，密码一旦被盗、仿制或泄露，出现问题时会导致责任不明、无法落实责任人、无法确定作案者身份的情况；第三，很多柜员喜欢用容易记忆的生日、身份证号码、电话号码、节日等数字作为密码，较易破译。

柜员权限磁卡+密码方式。该方式将Ic卡中存人与用户身份相关的数据，由用户随身携带，登录时系统校验IC卡信息及用户密码，以验证用户的合法身份。该方式在安全性上比“柜员号+密码”的身份认证方式有了很大的提高，但在具体应用上仍存在以下问题：第一，柜员权限磁卡易被复制；第二，柜员权限磁卡易被盗取；第三，被他人代用，即将本人权限卡交由他人代为使用。

商业银行内部身份认证体系现行模式存在的问题

除上述认证方式本身存在的缺陷外，从实际操作情况看，柜员权限磁卡十密码和柜员号+密码这两种身份认证方式仍存在一些不容忽视的问题。

柜员号+密码认证方式：该种方式广泛应用于商业银行除NOVA系统之外的各个业务处理系统，如内部统一认证系统、业务凭证影像传输系统、数据风险监控系统等等。存在问题如下：

第一，系统初始密码的公开性。就目前的情况看，每次投产一个新的业务处理系统，都会由商业银行支行申请各级别操作柜员，新申请的柜员号均有一个初始密码。虽然要求柜员在第一次进入系统时及时更改密码，但柜员是否更改密码系统不能硬性控制，因密码是柜员进入系统的唯一认证要素，如柜员不对初始密码进行更改则密码形同虚设。

第二，柜员号交接环节不严密。新系统申请的柜员号往往通过NOSE系统下传至支行，再由网点业务主管通知柜员，柜员号交接环节不严密可能导致柜员号被业务主管截流，出现柜员在不知情的情况下由主管“操作授权一手清”的现象。

第三，规章制度不完善，监督检查力度薄弱。目前商业银行尚未针对“柜员号+密码”的认证方式制定完整的操作流程，也尚未形成有效的监督检查机制。因此，柜员对上述业务处理系统重视程度普遍不高，违规操作现象时有发生。

第四，违规操作隐蔽性强。由于使用该方式登陆的业务处理系统大多是在后台进行操作，绝大部分操作区域无录像监控，这使违规操作具有较强的隐蔽性，也给日后的监督检查带来很大困难。

柜员权限磁卡+密码认证方式：目前商业银行NOVA系统采用此方式对业务人员身份进行认证。为提商业务的安全性，商业银行对柜员权限卡的管理非常严格。例如，要求定期更换密码，规定“章随人走、卡不离身”，成立稽查部门对柜员遵守制度情况进行检查，对违反制度的员工进行处罚等等。尽管如此，柜员管理上的问题依然存在：

首先，虽然要求权限卡密码不定期更换，但很多柜员往往习惯于采用在二套或三套密码之间定期更换，长此以往，其密码的安全性已大大降低，容易破译，有些密码已变成“明码”。

其次，目前很多商业银行采取的授权方式为授权柜员在经办柜员的键盘上划卡输入密码，这种方式很容易造成密码泄露。

基于以上分析，内部身份认证体系暴露出来的诸多问题目前已对商业银行业务运行的安全构成威胁。传统的密码身份识别方法由于其不可克服的缺点已难以满足新形势的需要，针对银行现行计算机系统及银行内部管理中存在的问题，从技术优缺点、可行性、实用性等方面来看，新的指纹识别系统作为商业银行内部认证的依据不仅具有许多独到的信息安全角度的优点，更重要的是还具有更高的实用性、可行性。

指纹识别系统在商业银行内部身份认证体系中的应用

指纹识别方式的原理在于，人体的生物特征具有不可复制的特点。每个人包括指纹在内的皮肤纹路，其图案、断点以及交叉点等各不相同，是唯一的，并且终生不变。因此指纹识别技术作为一项比较成熟的生物识别技术，可以通过对指纹的事先保存与被鉴别对象的指纹进行对比，验证其真实身份。指纹识别技术一般分为指纹登记和指纹识别两个部分。其中，指纹登记过程是指初次采集指纹并通过计算机生成供识别的指纹特征，存放于指纹特征库(或者Ic卡等存储介质)中。而指纹识别过程，是指采集、提取用户的指纹特征，将待验证特征与指纹记录中的指纹特征进行对比，得出比对结果的过程。

指纹识别方式在商业银行柜员身份认证方面具有很大的优势：

第一，安全性能高，责任分明。指纹是相对固定的，很难发生变化，可以保证用户安全信息的长期有效性。系统通过对柜员本人生物特征的识别来确认身份的合法性，实现了“认人不认密码”的认证方式，使“人控制”变为“系统控制”、“人管理”变为“系统管理”，因此杜绝了盗用、冒用、复制、他人代用等违规或作案手段，大大提高了银行身份认证系统的安全性。并且一个人的十指指纹皆不相同，可以方便地利用多个指纹，提高系统的安全性，也不会增加系统的设计负担。对于案发后的调查取证，因为有了指纹身份认证系统，就能够达到无法抵赖、责任明确的效果。

第二，易于采集，操作快捷。指纹与生俱来，随身携带，不需记忆。扫描指纹的速度很快，采集非常方便，只要将手指平放在指纹识别器上，一两秒钟即可完成，这易于开发认证系统，实用性强。由于指纹可“随身携带”，进入指纹识别系统只需“轻轻一按”，操作简单快捷，免去了丢失印章、遗忘密码等烦恼。

第三，难伪造、难破译。由于指纹识别具有上述特点，识别指纹时必须将真正的手指与指纹采集头接触，因此伪造、假冒、攻击、破译指纹的难度就变得相当大。例如，对于一个4位数字密码，有10x10x10x10=10000种组合，破解概率为万分之一，入侵者可以很容易地通过尝试所有的组合而破解，而你很难找10000个人(误识率为万分之一)为你的企图入侵提供指纹f即便是1000个人将10个手指头全部用上)。以现有的指纹识别系统为例，其误识率小于百万分之一，能储存数百万个指纹，其破译难度可想而知。

第四，符合现行的银行柜员管理制度。指纹身份认证系统相对独立、操作简便，不会因为使用指纹认证而加大

商业银行的业务管理难度。系统实施简便，对银行原有业务、应用软件等所作的相应改造较小，可有效保护银行原有的硬件投资，快速实现与业务系统的平滑联接，从而在商业银行建立起一个安全、稳定、高效、灵活、方便的内部身份认证体系。

第五，经济性。指纹识别得益于现代电子集成制造技术和快速而可靠的算法研究。只要建立一个指纹认证中心，既可以面向银行内部柜员等需要进行身份认证的系统接入，又可以面向客户进行指纹认证，实现了真正的资源共享，大大提高系统使用的经济效益。

目前的指纹识别系统，多采用以下两种指纹识别方式：

外挂式：此方式以外挂式指纹身份认证系统集成于现有的基于密码的柜员身份认证系统中，针对银行原有的柜员密码登录系统，无需对原有系统进行代码级的修改，即可将身份验证改为指纹方式。外挂式指纹识别系统中的客户端子系统采集指纹特征，将提取的特征发送给指纹识别服务器，指纹识别服务器子系统响应指纹识别的请求，将指纹特征进行比对，比对通过后在网络传输的数据是柜员号和密码数据，服务器的认证方式和原有系统相同，因此不必对原业务系统进行更改。它的优点在于对银行原有的业务系统无影响，改造实施速度快、见效快。

嵌入式：它与外挂式系统最大的区别在于采用指纹完全替代了基于密码、磁卡或Ic卡的身份认证体系。嵌人式指纹系统中指纹认证服务器独立存在于业务系统中，后台主机针对身份认证方式进行程序修改。进行身份认证时，指纹扫描器件采集指纹图像，并将采集到的指纹图像传送到处理器中，在指纹录入状态下，处理器将指纹图像转换为二进制的指纹模板数据，然后将指纹模板数据存入到芯片中，作为指纹比对的原始数据。在指纹比对状态下，处理器将指纹图像与已存储的指纹模板数据进行比对运算，并输出比对结果，中间不再有密码、磁卡或者Ic卡信息存在。其特点是安全性能高，真正实现指纹技术和银行业务的有机结合，但需要对银行的服务器软件和业务软件进行修改。

指纹识别系统在商业银行的应用范围应循序渐进、逐步推广。可考虑将指纹识别系统应用于商业银行NO-VA系统及各业务处理平台中，以提高商业银行内部身份认证系统的安全性能。可采取逐步投入的方式，先将其应用于商业银行管理较为薄弱的以“柜员号+密码”方式登陆的业务处理系统中，再逐步扩展到NOVA系统，最终全面实现商业银行身份认证体系指纹化。