摘要:在金融机构互联网化趋势的带动下,金融机构放开用户身份认证是大势所趋。而随着用户身份的放开,就需要建立一个高效、安全的计算平台来保证金融机构和用户身份认证,因此本文对金融机构对用户身份认证设计一套多层次、复合型的用户认证体系计算平台,最终达到具有较高的可扩展性、健壮性的单点登录技术构架。
关键词:金融服务,用户,身份认证,可信计算平台
0背景
随着金融机构产业的蓬勃发展,网络在信息化产业的普及,在此形势下,金融机构面对的客户不再是孤立的线下客户或企业个体,而是通过互联网、供应链紧密相连的客户群体,他们的金融互联网化需求日趋迫切。金融机构业在提供服务的时候要对用户身份进行认证,结合上述分析,可以设计一个在环境中的用户认证体系计算平台。
构造一个全国金融机构用户身份认证可信分析系统,金融机构及专业组织可以为此系统提供网格服务。各地各金融机构及其他授权用户则可通过此系统查询、分析,并可利用先进的数据挖掘技术对其进行深入分析用户身份认证可信。
1.用户身份认证可信计算平台系统的主要功能
用户身份认证系统主要由两部分组成认证服务器和认证客户端。认证服务器存放各种用户的身份认证信息,以及本地的一些安全参数信息。认证服务器在实际使用环境中将放置于企业单位网络的内部网络,受到防火墙的访问控制保护。认证客户端位于任何待认证的用户节点。身份认证服务器验证用户认证信息的真实性,从而认证用户身份的真实性。合法用户在通过认证服务器的身份认证之后,可以对网络中的资源服务器的资源进行使用,系统的主要功能:
(1)机密性。机密性是指保护消息内容不能被非授权者访问,即使是攻击者得到了消息也无法知晓消息的内容或得到任何有用的信息。在网络环境中,隔墙有耳,危机四伏,网上金融机构用户身份认证系统必须要实现数据传输的机密性,以确保即使有人窃取了传输内容也不知晓通信数据的具体内容。实现网上金融机构系统的机密性主要依靠数据加密技术,如传输信道中的SSL、HTTPS等安全传输协议。
(2)完整性。完整性是指维护消息的一致性,即避免消息在生成、存储、传输过程中内容受到任何形式的非法篡改。网上金融机构简化了传统的用户身份认证过程,提供了便捷的网上业务服务。同时,也带来了如何维护客户、金融机构、第三方认证机构信息完整和统一的问题。由于使用网上金融机构系统输入数据时的意外差错或欺诈行为便可能导致双方信息的差异,而给客户、金融机构带来损失。此外,数据传输过程中信息的丢失、重复或者次序差异也会导致网上金融机构交易信息的不同。因此,一个安全的网上金融机构系统必须要防止对信息的随意生成、篡改和删除,同时要避免数据传送过程中信息的丢失和重复并保证信息传送次序的统一。实现完整性保护最常用的方法是封装和签名,即用加密的方法或Hash函数产生一个明文的摘要附加在传送消息上以验证消息的完整性。
(3)认证性。认证性是信息系统中所有安全的基础,所有的其他安全性质都依赖于认证性而存在。认证性包括对消息本身的认证和对实体的认证。在网上金融机构系统中,企业或个人用户的交易都是依靠虚拟的网络环境来完成,不可能实现直接面对面的身份认证。所以网上金融机构必须拥有自己的身份认证体系,按照某种认证方法来为个人、企业用户身份的真实性提供确认。另一方面,网上金融机构身份认证系统需要能够鉴别传输过程中的消息本身是否来自它所声称的某个用户,而不是由其他人假冒或伪造的。网上金融机构系统中的认证性一般都是通过数字证书来实现,即通过权威的CA和数字签名来实现。
(4)确定性。即用户不可否认敏感的消息或文件。金融服务中,金融服务双方都是通过面对面的签署合同、契约或者贸易单据等书面文件,并且手写签名或者盖上印章以保证书面文件的不可抵赖性。而在网上金融机构系统中,金融机构与客户之间无法通面对面的通过手写签名、印章的方式来实现信息的确定性验证。为了防止金融机构或者用户否认曾执行过某项操作的时候,就需要启动不可否认服务,在交易信息的传输过程中为网上金融机构客户提供可靠的标识。
期刊文章分类查询,尽在期刊图书馆网上金融机构系统中的确定性服务一般也是通过数字证书来完成。
2.用户身份认证可信计算平台系统的注册过程
用户身份认证系统主要由两个部分组成:服务器。建立一个面向对象的大型特征数据库,用来存放用户的特征库及相关信息,服务器端主要完成特征提取、特征融合、特征匹配,并将匹配结果返回给客户端;客户端。配备了硬件采集设备,主要完成用户图像采集与图像预处理,然后将对齐的图像组及用户的相关信息传送到服务器做进一步处理。由于采集到的图像经客户端处理后通过网络传送到服务器数据库做进一步处理完成认证,在认证过程中,为避免黑客非法攻击,本系统采用RSA公钥密码加密体制对上传信息进行加密,确保信息安全。
(1)身份认证过程
本系统的身份认证过程主要分为两个阶段:注册阶段、验证阶段。
(2)注册阶段
用户向服务请求身份注册,服务器将客户端传送的图像信息及相关信息添加到已有数据库中以备认证使用。首先用户通过身份证阅读器读入个人ID,完成人脸及指纹图像采集,服务器将ID和通过图像获取的特征信息添加到已有数据库。服务器利用RSA算法实时产生服务器公共密钥KU和私有密钥KR。KU作为服务器的公开密钥交给用户,KR保存在服务器上。
(3)认证阶段
客户端:用户身份读入,系统获取用户ID。客户端通过ID搜索关联的公共密钥,若未搜索到则返回无效身份提示。若此ID已完成注册则用KU加密,并发送到服务器。
(4)完善阶段
服务器端:用KR解密,从中获取用户ID及其生物特征数据。对数据进行特征提取、特征融合、生成对应的生物特征密码。匹配当前生物特征密码与数据库的密码,将得到的匹配结果返回客户端。
3.用户身份认证可信计算平台系统优势
身份认证技术在信息安全中占有极其重要的地位,是安全系统中的第一道关卡。用户在登录安全系统之前,必须首先向身份认证系统表明自己的身份。身份验证系统首先验证用户的真实性,然后根据授权数据库中用户的权限设置确定其是否有权访问所申请的资源。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。
为保证身份认证过程的安全性和认证结果的可靠性,身份认证需要在可信环境中执行,应具备必要的采集设备,能够支持用户安全准确地提供身份证件或身份凭证信息,避免被他人意外获取;支持信息的安全存储、使用和传输;支持金融机构能够获取服务所应的客户身份信息,准确辨识身份证件或凭证的有效性;提供软硬件的安全加固手段,防止攻击、植入、伪造、篡改、侧录等恶意行为。
4.结束语
综上所述,本文从用户身份认证可信计算平台研发,通过分析平台的主要功能、优势,认证过程等,从不同的方面探讨了金融机构建立用户身份信息的重要性和平台的研发过程,为将来的产业化打了基础。
参考文献:
[1]范新灿,张来玉,基于的的三层结构幵发技术研究与实现[J].计算机与现代化年期,2012,6.
[2]王风华,孟文杰.一种基于特征级融合的多模态生物识别方法[J].科学技术与工程,2012,12,3.
[3]贾勤、刘尉尉,网上金融机构安全技术分析[J].网络安全技术与应用,2006,7.
[4]郝曼,曹阳,电子商务安全认证技术研究[J].武汉理工大学学报,2001,3.
论文作者:姚艳,林冠辰
论文发表刊物:《基层建设》2018年第23期
论文发表时间:2018/9/18
标签:金融机构论文; 用户论文; 身份认证论文; 系统论文; 信息论文; 服务器论文; 特征论文; 《基层建设》2018年第23期论文;