指纹识别技术在网上支付的应用

主页（http://www.pttcn.net）：指纹识别技术在网上支付的应用

　　来自中国互联网网络信息中心(CNNIC)第15次互联网发展状况统计报告的数据显示：41.5%的网络购物者使用信用卡或储蓄卡通过网络进行支付，显现出网上支付正在逐渐替代原来处于第一位的现金交易。

　　但是，在享受便利的同时，网络支付的安全问题也越来越突出，盗用、失号等事件频出。据来自艾瑞的调查显示：受到层出不穷的“网银被盗”案等影响，68.1%的网民对使用网上银行的安全性存在担忧，这严重地影响了电子支付行业的发展，也成为网上支付所面临的主要技术难题。

　　网上支付概述

　　网上支付是指以计算机网络系统，特别是互联网系统为平台，以电子信息传递的形式来实现资金的流通和支付的方式的总和。

　　目前，国际上通行的网上支付工具主要有电子信用卡、电子借记卡、电子支票和电子现金等。有了这些常用的支付工具，人们就可以通过互联网，例如登录网上银行，以及第三方支付平台如PayPal和支付宝等，来实现网络支付。

　　信用卡支付是电子支付中最常用的工具，信用卡在欧美发达国家和地区已经成为最普通的支付方式，可以在许多公共场合使用，可以用来刷卡、POS结帐以及在自动取款机上提取现金等。广义的信用卡是指能够为持卡人提供信用证明，持卡人可以据此进行消费和享受服务的卡片，包括银行贷记卡、借记卡、储蓄卡和支票卡。

　　信用卡比较适用于计算机网络空间的操作。在电子商务中最简单的形式是让用户提前在某一公司登记一个信用卡号码和口令，当用户通过网络在该公司购物时，用户只需将口令传送到该公司，购物完成后，用户会收到一个确认的电子邮件，询问购买是否有效。若用户对电子邮件回答有效时，公司就会从用户的信用卡帐户上减去这笔交易的费用。此种方式的缺点在于安全措施差，持卡人主要是依靠商家的诚信来保护自己的信用卡隐私信息，但是一旦信息出现纰漏，则难免会出现安全问题和网络支付纠纷。

　　目前常用的一种方法是在互联网的环境下通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互，进行网络支付。其突出的特点是用户在网上发送信用卡号和密码，加密后发送到银行进行支付。这样一来就降低了用户的信用卡号和密码泄露的风险，相对地提高了安全性。

　　还有一种方式也可以相对降低网络支付的风险，那就是正在迅猛发展起来的利用第三方机构的支付模式及其支付流程，而这个第三方机构必须具有一定的诚信度。在实际的操作过程中这个第三方机构可以是发行信用卡的银行本身。在进行网络支付时，信用卡号以及密码的披露只在持卡人和银行之间转移，降低了应通过商家转移而导致的风险。

　　同样当第三方是除了银行以外的具有良好信誉和技术支持能力的某个机构时，支付也通过第三方在持卡人或者客户和银行之间进行。持卡人首先和第三方以替代银行帐号的某种电子数据的形式(例如邮件)传递帐户信息，避免了持卡人将银行信息直接透露给商家，另外也可以不必登录不同的网上银行界面，而取而代之的是每次登录时，都能看到相对熟悉和简单的第三方机构的界面。

　　第三方机构与各个主要银行之间又签订有关协议，使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在持卡人或消费者与各个银行，以及最终的收款人或者是商家之间建立一个支付的流程。(如图1所示)

图1  电子商务支付框架指纹识别技术在网上支付身份认证领域的应用

　　网上支付的身份鉴别

　　从上述流程分析可以看出，网上支付的一个关键问题就是第三方机构(如支付宝、无忧钱包、首信易支付、银联电子支付等)对付款人和收款人的身份鉴别。

　　实现身份鉴别有以下几种途径，使用时可以是三种途径之一或他们的组合：

　　·所知(Knowledge)：密码、口令;

　　·所有(Possesses)：身份证、护照、信用卡、钥匙;

　　·个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA，以及个人动作方面的一些特征设计依据：如安全水平、系统通过率、用户可接受性、成本等。

　　在网上支付的环节里面，可能发生问题比较多还是用户的身份认证。对网上认证手段分析表明，身份确认是信息安全的薄弱环节。目前网上身份认证普遍采用的是用户名和密码的方式，而这种方式又是不安全的，特别是在网上木马、病毒等特别泛滥的情况下，只使用用户名和密码非常容易出现安全故障。

　　另外，动态密码技术也被用于网络身份管理，一种是有源动态密码，本身在客户手里随机动态产生获得用户身份认证码或者叫交易授权。另一种是无源动态密码。动态密码只是一种认证的辅助手段，没有丝毫身份信息。有源动态密码价格比较昂贵，一般个人用得很少;无源动态密码现在越来越多地开始用起来，在电子商务网站或者游戏网站都被选用。无源动态密码最早在欧洲开始使用，欧洲银行用得较多，但这种机制对钓鱼攻击是没有防范能力的。

　　从目前情况看，将指纹识别技术应用于网络支付是优于其它生物识别技术。指纹特征可用于对付款人所涉及到的服务中的隐私信息加密。指纹特征可以代替用户登录支付网站时的登录密码、交易确认等需要个人身份识别的情况。

图2  第三方代理支付流程示意图

　　网上支付的指纹识别

　　如何消除大部分网民的担心，让不想使用网上支付的人使用网上支付，是各个第三方机构迅速扩大市场份额的最好手段。基于网民对密码认证方式的担心，引入指纹识别的认证方式可以大大提高网民对网上支付的信心，使网上支付平台成为“可信赖的安全支付平台”。

　　指纹卡指纹识别算法网上认证接口提供浏览器接口和服务器接口，供认证网站进行二次开发，其中浏览器接口提供浏览插件(以下简称器插件)供调用，服务器接口提供连接库(Windows版本和Unix版本，以下简称连接库)。
(中国集群通信网 | 责任编辑：陈晓亮)