IC卡终端身份认证系统

使用背景

　　在目前银行的业务系统中，绝大部份交易是在终端上完成的。柜员在进入系统前，必须输入用户ID以及个人密码。“用户ID+密码”作为对人员的身份认证手段，在进入系统时实现对操作者的认证，对终端设备是否合法，是没有认证手段的。这样，就给恶意的攻击留下了可乘之机。

　　由于终端是一种非智能的输入输出设备，因此，在柜员登录后，其他仿冒设备非常容易进行切入，替代原合法终端来向主机发起各种非法交易，导致银行的资金安全直接受到攻击。

　　另外，传统的口令验证方式由于方式简单，如果稍有疏忽，口令泄密、被窃取或者被试探出来的可能性非常大。况且，口令是否已经不安全了，对使用者来说，是无法得知或者不可衡量的，在一定意义上来说，其安全性是不可控的。

系统实现

终端身份认证系统着重解决两方面的问题：

1.操作人员的身份认证

　　人员的身份认证过程既可以用于所有的业务处理，也可以针对某些特定的业务例如大额授权等，加入的专用的硬件认证设备可选用两种方式：

方式一：IC卡方式

　　在终端上加入IC卡认证设备，操作者在登录时，首先必须插入个人的IC卡，否则即使密码正确，也不能够进入系统。因此，只要妥善保管了个人的IC卡，就可以确信自己的身份是不能被窃取的。

方式二：指纹方式

　　在终端上加入指纹机，操作者在登录时，首先在指纹机按下个人的拇指，否则即使密码正确，也不能够进入系统。由于每个人的活体指纹是不同的，且无法复制，因此，可以确保个人身份不被窃取。

2.终端的合法性认证

　　在服务器收到终端发来的交易信息，在进行交易的下一步处理之前，首先对终端的认证设备进行一次认证过程。而且，认证的内容与登录的操作员紧密相关。因此，除非是具备合法终端认证设备，且得到合法登录的终端才能够通过认证，这样有效的狙击了仿冒设备无法在中途进入系统。

图一 终端身份认证系统

系统特点

1. 安全性好，采用国密的加密芯片；

2. 技术先进，结构紧凑，兼容各种终端类型；

3. 严格的层次化密钥管理；

4. 严格的设备、人员的身份认证过程，保障金融业务的安全；

成功案例

中国工商银行黑龙江分行