您好,欢迎来到安徽省安全技术防范行业协会!
0551- 62818875 64280445
网站首页>政策法规>行业资讯
行业动态

行业资讯

指纹识别技术在网上支付的应用

来源:互联网 发布时间:2010/06/13
       随着网上虚拟社区、网上店铺的出现,也引发了网上购物的热潮,继而也使得网上支付日益兴盛起来。但随之而来的网络支付安全问题也越来越突出,本文就结合指纹识别技术在网络支付中的应用,与您进行分析。
 
   随着经济的发展以及网络技术的进步,网络已越来越多地渗入到人们的生活中。网上虚拟社区、网上店铺的出现引发了网上购物的热潮,继而也使得网上支付日益兴盛起来。
 
   来自中国互联网网络信息中心(CNNIC)第15次互联网发展状况统计报告的数据显示:41.5%的网络购物者使用信用卡或储蓄卡通过网络进行支付,显现出网上支付正在逐渐替代原来处于第一位的现金交易。
 
   但是,在享受便利的同时,网络支付的安全问题也越来越突出,盗用、失号等事件频出。据来自艾瑞的调查显示:受到层出不穷的“网银被盗”案等影响,68.1%的网民对使用网上银行的安全性存在担忧,这严重地影响了电子支付行业的发展,也成为网上支付所面临的主要技术难题。
 
   网上支付概述
   
 网上支付是指以计算机网络系统,特别是互联网系统为平台,以电子信息传递的形式来实现资金的流通和支付的方式的总和。
 
   目前,国际上通行的网上支付工具主要有电子信用卡、电子借记卡、电子支票和电子现金等。有了这些常用的支付工具,人们就可以通过互联网,例如登录网上银行,以及第三方支付平台如PayPal和支付宝等,来实现网络支付。
 
   信用卡支付是电子支付中最常用的工具,信用卡在欧美发达国家和地区已经成为最普通的支付方式,可以在许多公共场合使用,可以用来刷卡、POS结帐以及在自动取款机上提取现金等。广义的信用卡是指能够为持卡人提供信用证明,持卡人可以据此进行消费和享受服务的卡片,包括银行贷记卡、借记卡、储蓄卡和支票卡。
 
   信用卡比较适用于计算机网络空间的操作。在电子商务中最简单的形式是让用户提前在某一公司登记一个信用卡号码和口令,当用户通过网络在该公司购物时,用户只需将口令传送到该公司,购物完成后,用户会收到一个确认的电子邮件,询问购买是否有效。若用户对电子邮件回答有效时,公司就会从用户的信用卡帐户上减去这笔交易的费用。此种方式的缺点在于安全措施差,持卡人主要是依靠商家的诚信来保护自己的信用卡隐私信息,但是一旦信息出现纰漏,则难免会出现安全问题和网络支付纠纷。
 
   目前常用的一种方法是在互联网的环境下通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付。其突出的特点是用户在网上发送信用卡号和密码,加密后发送到银行进行支付。这样一来就降低了用户的信用卡号和密码泄露的风险,相对地提高了安全性。
 
   还有一种方式也可以相对降低网络支付的风险,那就是正在迅猛发展起来的利用第三方机构的支付模式及其支付流程,而这个第三方机构必须具有一定的诚信度。在实际的操作过程中这个第三方机构可以是发行信用卡的银行本身。在进行网络支付时,信用卡号以及密码的披露只在持卡人和银行之间转移,降低了应通过商家转移而导致的风险。
 
   同样当第三方是除了银行以外的具有良好信誉和技术支持能力的某个机构时,支付也通过第三方在持卡人或者客户和银行之间进行。持卡人首先和第三方以替代银行帐号的某种电子数据的形式(例如邮件)传递帐户信息,避免了持卡人将银行信息直接透露给商家,另外也可以不必登录不同的网上银行界面,而取而代之的是每次登录时,都能看到相对熟悉和简单的第三方机构的界面。
 
   第三方机构与各个主要银行之间又签订有关协议,使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在持卡人或消费者与各个银行,以及最终的收款人或者是商家之间建立一个支付的流程。
 
   网上支付的身份鉴别
 
   从上述流程分析可以看出,网上支付的一个关键问题就是第三方机构(如支付宝、无忧钱包、首信易支付、银联电子支付等)对付款人和收款人的身份鉴别。
   实现身份鉴别有以下几种途径,使用时可以是三种途径之一或他们的组合:
   ·所知(Knowledge):密码、口令;
   ·所有(Possesses):身份证、护照、信用卡、钥匙;
   ·个人特征:指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA,以及个人动作
 
   方面的一些特征设计依据:如安全水平、系统通过率、用户可接受性、成本等。
   在网上支付的环节里面,可能发生问题比较多还是用户的身份认证。对网上认证手段分析表明,身份确认是信息安全的薄弱环节。目前网上身份认证普遍采用的是用户名和密码的方式,而这种方式又是不安全的,特别是在网上木马、病毒等特别泛滥的情况下,只使用用户名和密码非常容易出现安全故障。
 
   另外,动态密码技术也被用于网络身份管理,一种是有源动态密码,本身在客户手里随机动态产生获得用户身份认证码或者叫交易授权。另一种是无源动态密码。动态密码只是一种认证的辅助手段,没有丝毫身份信息。有源动态密码价格比较昂贵,一般个人用得很少;无源动态密码现在越来越多地开始用起来,在电子商务网站或者游戏网站都被选用。无源动态密码最早在欧洲开始使用,欧洲银行用得较多,但这种机制对钓鱼攻击是没有防范能力的。
 
   从目前情况看,将指纹识别技术应用于网络支付是优于其它生物识别技术。指纹特征可用于对付款人所涉及到的服务中的隐私信息加密。指纹特征可以代替用户登录支付网站时的登录密码、交易确认等需要个人身份识别的情况。
 
   网上支付的指纹识别
 
   如何消除大部分网民的担心,让不想使用网上支付的人使用网上支付,是各个第三方机构迅速扩大市场份额的最好手段。基于网民对密码认证方式的担心,引入指纹识别的认证方式可以大大提高网民对网上支付的信心,使网上支付平台成为“可信赖的安全支付平台”。
 
   指纹卡指纹识别算法网上认证接口提供浏览器接口和服务器接口,供认证网站进行二次开发,其中浏览器接口提供浏览插件(以下简称器插件)供调用,服务器接口提供连接库(Windows版本和Unix版本,以下简称连接库)。
 
   浏览器插件具有以下功能:获取指纹图像、生成指纹特征、生成指纹模板、指纹匹配。为了适应服务器多进程/线程的并行处理需要,动态连接库内部实现无全局变量,数据以参数形式传递,支持无限制的多进程/线程运行模式。
   运行模式示例:用户注册时,浏览器通过调用浏览器插件获取指纹图像,并生成指纹特征,将两次生成的特征合并为指纹模板发送到服务器存储。身份认证时,浏览器通过调用浏览器插件获取指纹图像并生成指纹特征,然后将该用户的电子邮件地址和指纹特征发送到服务器验证,服务器调用连接库指纹特征和该用户注册的指纹模板以匹配确认是否用户本人。
 
   第三方机构运用模式,通过第三方代理人的支付改善信用卡事务处理安全性的一个途径就是在买方和卖方之间启用第三方代理,目的是使卖方看不到买方信用卡信息,避免信用卡信息在网上多次公开传输而导致的信用卡信息被窃取。
 
   对于用户的充值过程,目前尚不具备指纹技术应用的基础。对于用户登录和支付过程,由于指纹特征的随机性(同一枚手指多次采集得到的指纹特征都不尽相同)和可匹配性(虽然同一枚手指多次采集得到的指纹特征都不相同,但可以通过算法来验证是不是同一指纹),指纹特征可以认为是随机密码,完全可以代替原有的登录密码和支付密码。
 
   与原注册流程图对比发现,在不改变原有注册方式的基础上,增加浏览器调用指纹插件,登记用户的指纹模板,为指纹身份认证作准备。没有登记指纹的用户使用密码验证身份,保证与原系统的兼容。
 
   结语
   随着网上支付安全隐患的逐步显现,众多的商家都意识到了网上支付安全将会制约网上支付行业的发展,这对网上商家来说是极为不利的。相对于传统意义的支付手段,应用指纹识别技术能更好地防止网上金融犯罪,最大限度地保证了消费者以及商家的利益,对于互联网事业的发展以及网上支付行业的发展有着积极的意义。