基于手掌静脉认证的银行授权授信系统及其方法
技术领域
本发明涉及安全认证技术领域,特别涉及一种基于手掌静脉认证的银行授权授信系统及其方法。
背景技术
随着计算机技术在金融领域应用的不断深化,银行的金融电子化程度越来越高,银行对计算机系统的依赖性越来越大。根据相关统计,金融案件正以每年30%的速度递增,而其中内部人员利用计算机实施的犯罪占有很大比重。
目前,金融系统普遍使用业务授权的形式对内部人员的计算机犯罪进行防范。传统的商业银行授权方式包括如下流程:柜员进行业务操作时遇到授权业务,向授权主管请求授权;授权主管核实柜员之前所做操作是否有误,待授权业务是否实时发生,客户是否在现场,客户提交的凭证和客户是否有关联;授权主管根据核实结果决定是否进行授权。
授权执行方式包括:输入密码、磁卡、IC卡、指纹等。然而,密码易被遗忘或破解;磁卡和IC卡携带不方便,容易丢失;指纹容易被复制或污染,准确度不高,尤其是当操作者指纹较浅时,可能导致无法识别;再加上授权流程中,柜员和授权主管处于同一物理地点,很容易通过盗取或复制的方式获得授权,给不法分子提供了内部金融犯罪的机会。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题在于,如何克服现有的银行授权授信系统中基于密码、磁卡、IC卡、指纹技术的授权方式中存在的易被盗用、复制或污染所导致的授权或漏授权的缺陷。
(二)技术方案
未解决上述技术问题,本发明的技术方案提供了一种基于手掌静脉认证的银行授权授信系统,所述系统包括:授权终端、授权认证装置和手掌静脉识别装置;其中,
所述授权终端根据银行业务流程需要向认证服务器发送业务请求信息;接收认证服务器的认证结果并识别授权信息;
所述授权认证装置接收所述业务请求信息,识别并提取授权请求信息,发送给所述手掌静脉识别装置;读取所述手掌静脉识别装置发送的待认证用户的手掌静脉图像,并将其与预先存储的与所述业务请求相关的授权人的手掌静脉数据进行比对;若相符,则视为认证成功,向所述授权终端发送授权信息;若不相符,则视为认证失败,向授权终端返回授权失败错误信息,等待下一个业务请求信息;
所述手掌静脉识别装置响应所述授权请求信息,采集待认证用户的手掌静脉图像,处理后发送给所述授权认证装置。
其中,所述授权终端和所述手掌静脉识别装置通过局域网连接;所述授权认证装置通过无线方式与所述授权终端和所述手掌静脉识别装置连接。
其中,所述授权终端、所述手掌静脉识别装置和所述授权认证装置通过局域网连接。
其中,所述手掌静脉识别装置进一步包括:
近红外线发生器,用于生成近红外线并照射待验证用户手掌;
传感器,接收由待认证用户手掌反射的近红外线,并获取静脉图像;以及,
数据处理单元,用于实现静脉图像的压缩和加密处理。
相应地,本发明还提供了上述基于手掌静脉认证的银行授权授信系统的授权方法,所述方法包括:
S1:授权认证装置接收授权终端发送的业务请求信息,识别并提取所述业务请求信息中的授权请求信息,将其发送给手掌静脉识别装置;
S2:手掌静脉识别装置响应所述授权请求信息,采集待认证用户的手掌静脉图像,处理后发送给授权认证装置;
S3:授权认证装置读取所述手掌静脉图像,并将其与预先存储的、与所述业务相关的授权人的手掌静脉数据进行比对;若相符,则识别所述待认证用户为授权人,同时向授权认证装置发送授权信息;
S4:授权终端识别所述授权信息,执行被请求的业务操作。
其中,所述步骤S3还包括:若不相符,则判断认证失败,同时向授权终端返回授权失败错误信息,等待下一次授权请求。
其中,所述业务请求信息通过局域网传输;所述授权请求信息、待认证用户的手掌静脉图像、授权信息以及所述授权失败错误信息通过无线通信方式传输。
其中,所述业务请求信息、授权请求信息、待认证用户的手掌静脉图像、授权信息以及所述授权失败错误信息通过局域网传输。
(三)有益效果
与现有技术相比,本发明提供的技术方案杜绝了密码易遗忘、IC卡磁卡易丢失、盗用、指纹易复制等安全隐患;解决了授权授信体系中的认证到人的难题;操作简单;由于手掌静脉信息的独特性和不可复制性而具有防抵赖性和可追溯性;此外,不需要对现有的银行后台业务系统进行任何改造,可方便地与银行其他系统集成。
附图说明
图1为本发明的基于手掌静脉认证的银行授权授信系统的结构图;
图2为本发明的基于手掌静脉认证的银行授权授信方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明的目的,但不用来限定本发明的范围。
人体静脉中红血球的血红素已失去氧气,这种还原血红素会吸收特定的近红外光线。因此,当使用近红外光线照射人体时,只有静脉部分会有微弱的反射,从而形成暗淡的图像。手掌静脉隐藏于皮肤以下3毫米深处,属于人体内部信息,极难复制;且静脉图像具备活体检知功能,无法盗用,即:截肢后的手掌无血液流动,无法获得图像;此外,手掌中的静脉数量多、线条复杂,容易形成个体差异,可读取到更稳定的信息,由此实现高精度的识别。经实验验证,手掌静脉识别的本人拒绝率为0.001%(万分之一),他人接受率为0.00008%(千万分之八),能够满足较高的安保要求。
基于上述手掌静脉识别原理,本发明的技术方案提供了一种基于手掌静脉认证的银行授权授信系统。
如图1所示,本发明的基于手掌静脉认证的银行授权授信系统包括:授权终端1、授权认证装置2和手掌静脉识别装置3。
本发明的授权终端1的功能包括:根据银行柜员业务流程需要向认证服务器发送业务请求信息;以及,接收认证服务器的认证结果,识别授权信息以执行被请求的业务操作。授权终端通常为银行的柜员终端。
本发明的授权认证装置2的功能包括:接收授权终端1发送的业务请求信息;对所述业务请求信息进行处理,识别并提取授权请求信息,发送给手掌静脉识别装置3;读取所述手掌静脉识别装置3发送的待认证用户的手掌静脉图像,并将其与预先存储的与所述业务请求相关的授权人的手掌静脉数据进行比对;若相符,则视为认证成功,向所述授权终端发送授权信息;若不相符,则视为认证失败,向授权终端返回授权失败错误信息,等待下一个业务请求信息。
进一步地,该授权认证装置2可以通过服务器实现。该服务器应包含数据库,该数据库应至少存储有与银行业务流程中需要授权的所有业务相关的授权人的ID和手掌静脉数据。此外,该服务器还应包含能实现其功能的多个子模块。这些功能子模块可以包括:业务接收模块,用于接收授权终端的业务请求信息,并对其进行分析处理,识别并提取授权请求信息,发送给手掌静脉识别装置;静脉信息比对模块,读取接收到的手掌静脉图像中的静脉信息,例如,静脉的形状,并将其与上述数据库中相关业务授权人的手掌静脉图像进行重合比对判断,若形状一致,则将该待认证用户视为授权人,并将结果发送给授权终端。
授权认证装置2可以通过局域网与授权终端连接,也可以外挂于银行业务系统,甚至可以不在一个局域网内,设置于远端,通过无线通信方式与手掌静脉识别装置和授权终端实现数据传输,由此对各应用系统提供统一的跨平台授权人身份认证服务,各个应用系统将根据统一认证授权平台所授予的权限实现对实际权限的控制。相应地,授权认证装置应该提供基于HTTP协议及SAML规范的统一标准认证授权接口以及标准规范,以便银行其他系统与本发明的授权平台的集成,而不需要对银行后台业务系统进行任何修改。
本发明的手掌静脉识别装置的功能包括:响应授权认证装置的授权请求信息,采集待认证用户的手掌静脉图像,处理后发送给授权认证装置。优选地,手掌静脉识别装置设置于授权终端附近,以便于数据采集。
优选地,手掌静脉识别装置可以包括:近红外线发生器,用于生成近红外线并照射待验证用户手掌;传感器,接收由待认证用户手掌反射的近红外线,并获取静脉图像;以及,数据处理单元,用于实现静脉图像的压缩和加密处理。其中,近红外线发生器和传感器可集成为一手掌静脉识别传感器,例如,富士通Palm Secure传感器;待认证用户将手掌置于触摸屏上即可接受照射和图像采集。加密过程可以通过AES(Advanced Encryption Standard,高级数据加密标准)实现。
相应地,本发明还提供了一种基于手掌静脉认证的银行授权授信方法,该方法包括:
S1:接收业务请求信息,识别并提取所述业务请求信息中的授权请求信息;
S2:响应所述授权请求信息,采集待认证用户的手掌静脉图像;
S3:读取所述手掌静脉图像,并将其与预先存储的、与所述业务相关的授权人的手掌静脉数据进行比对;若相符,则识别所述待认证用户为授权人,发送授权信息;若不相符,则返回授权失败错误信息,等待下一次授权请求;
S4:识别授权结果,根据授权信息执行相关业务操作。
上述步骤S1中的业务请求信息由授权终端(柜员终端)根据业务流程需要发送。步骤S1由授权认证装置执行,其对银行业务请求信息进行处理,识别授权请求信息。即:分析该项业务是否需要基于授权执行,若是,则发送认证请求信息。
上述步骤S2由本发明的手掌静脉识别装置执行。具体地,当手掌静脉识别装置接收到认证请求信息时,通过其自带的提示单元,例如液晶屏,提醒业务授权请求人执行手掌静脉认证。此时,业务授权请求人只需将手掌放置于手掌静脉识别装置的触摸屏上即可接受照射和图像采集。
上述步骤S3由授权认证装置执行,读取由手掌静脉识别装置采集并处理过的手掌静脉图像中的静脉信息,例如,静脉的形状,并将其与预先存储的相关业务授权人的手掌静脉图像进行重合比对判断,若形状一致,则将视为认证成功,将授权结果发送给授权终端。进一步地,若步骤S3中的授权认证失败,则返回授权失败错误信息,并等待下一次授权请求。本步骤中,预先存储的所述相关业务授权人的手掌静脉图像可以通过授权人自行或被动采集后注册提交而获得。
上述步骤S4由授权终端执行,其接收到授权认证装置发送的授权结果后,识别授权结果中的授权信息,执行S1中请求的业务操作。
其中,业务请求信息、授权请求信息、待认证用户的手掌静脉图像、授权信息以及授权失败错误信息可以通过局域网传输;或,业务请求信息通过局域网传输;授权请求信息、待认证用户的手掌静脉图像、授权信息以及所述授权失败错误信息通过无线通信方式传输。
根据本发明的技术方案,无需再使用密码、IC卡或磁卡进行授权授信;杜绝了密码易遗忘、IC卡磁卡易丢失、盗用、指纹易复制等安全隐患;解决了授权授信体系中的认证到人的难题;操作简单;此外,由于手掌静脉信息的独特性和不可复制性而具有防抵赖性和可追溯性。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。