·98· 北京科技大学学报 2006年第1期 实的，原因是代价太高、线路上窃取、动态图像复 3,2银行机语音智能验证方案 制传送欺骗银行机， 显然，在客户端增设加密模块容易被高水平 由上可知，增加客户端的设备来保证身份甄 的窃密者破解.如果把身份甄别的功能驻留在银 别的可靠性是普通客户较难承受的，而简单的语 行机上，则除了银行业务员外，客户是无法接触到 音验证又是不可靠的，所以需要引入新的身份验 银行机的.而此时，储户的访问信息全部裸露（未 证机制. 加密)在通信线路上，用语音验证客户身份.因为 语音是人的一种行为生理属性，完全可以作为一 3系统防伪技术方案与策略 种身份验证的判据 本文设计了两种防伪方案：动静双密钥方案 储户在银行机里生成一个只有他自己清楚的 和语言智能验证方案.假设前提如下： 客观事实语音库（即语音语义模块），包括社会关 (1)银行模型为“音一机”现代模型，不失家 系/历史/爱好/特征描述/工作等，以这个客观事 庭硬件普适性； 实语音库为基础，采用人工智能的思想[6刊来构 (2)传递信息为：声音/数字数据（包括密码、 建身份甄别智能方案[8].其构成有语音库、问讯 身份证号、账号、操作数据)； 器、分析比较器、判决准则库、判决器等五部分，如 (3)随机语音查询数据 图4. 3,1动静双密钥智能防伪方案 在客户端增加一个数据加密模块（智能代理 储户事 问话集 实语音 AGENT),此模块处理储户的密钥（静态密钥）和 收岳车 银行机送来的时钟密钥（动态密钥），将数据加密 询问器 后传给银行机4).其特点是：伪储户（窃密者）虽 答案 模板库 分析比较器 可窃得加密后的数据，但很难解读出其语义；在银 行端增加一个同步时钟核实模块（智能代理 判决 AGENT),通过对回馈的时钟密钥进行验查来阻 准则 判快器 程控交换机 数据库 止伪储户利用窃得的真储户的信息与银行机交 互5] 拒绝服务 N 或报警 伪储户？ 提供服务 营业交互与可能的窃密过程如下： (1)储户接通银行机； 图4储户身份瓶别智能语音方案流程 (2)数据→电话→加密器∩时钟信号→加密 Fig.4 Flow chart of the automatic speech recognition scheme for identifying depositors 数据： (3)加密数据在通信线路上失窃； 该方案的工作原理是：系统获取储户的信息 (4)加密数据→银行机 (如帐号、电话号码等)，根据储户的帐号从语音库 伪储户（窃密者）窃密后进行的非法操作过程 V中抽取问题句子集组成对话序列的子集V, 如下： 从答案模板库A中得到答案模板A·,从判决准 (1)伪储户接通银行机； 则数据库E中选取判决准则E·: (2)非法装置绕过加密器与银行机连接； S(V",A",E*)=Select(UID,V,A,E). (3)窃得的加密信息经非法装置→银行机； 其中V*={V;|1≤i≤n,A*是对应UID的 (4)银行机判断是否为伪储户操作一银行 答案模板，E·为判决准则. 机将客户的时钟信息解读出来与先前存于本机上 (1)问讯器按对话序列V"发问： 的时间对照，若不符则为非法用户， L,=R(Vj),1≤j≤n. 假如第一次操作是真正的储户，第二次操作 (2)储户回答，(1)和(2)反复若千次，将I= 是伪储户，两次操作的基本数据完全相同，惟一不 111≤j≤n}送入比较器与答案模板A比较， 同的是时钟信号（此次信号可用一随机密码代 得到其合一概率p: 替).另外，伪储户可能对加密模块进行破解，或 p=P(I,A"). 者储户的密钥可能泄露，这些安全问题可用其他 (3)判决器依据判决准则E·甄别储户的身 机制加以解决 份，并获取储户的电话号码（程控交换机）：北 京 科 技 大 学 学 报 年第 期 实的 ， 原 因是代价太 高 、 线路 上 窃取 、 动态 图像复 制传送欺骗银行机 由上可知 ， 增 加 客 户端的设 备 来保证 身份 甄 别的可靠性是普通 客户 较难 承 受 的 ， 而 简单 的语 音验证 又是不 可靠的 ， 所 以 需要 引入 新 的身份验 证机制 系统防伪技术方案与策略 本文设计 了两 种 防 伪方 案 动静双 密 钥 方 案 和语言智能验证方案 假设前提如下 银 行模型 为 “ 音一机 ” 现 代模型 ， 不 失 家 庭硬件普适性 传递信息为 声 音 数字数据 包括 密码 、 身份证号 、 账号 、 操作数据 随机语音查询数据 动静双密钥智能防伪方案 在客户端增 加 一个 数据加 密模块 智能代理 ， 此模块处 理 储户 的 密钥 静 态 密 钥 和 银行机送来的时钟 密钥 动 态 密钥 ， 将数据 加 密 后传给银行机 ’ 其特 点是 伪储 户 窃 密者 虽 可窃得 加密后 的数据 ， 但很难解读 出其语义 在银 行端 增 加 一 个 同 步 时 钟 核 实 模 块 智 能 代 理 ， 通过对 回馈 的时钟 密 钥进 行验 查 来 阻 止 伪储户利 用 窃 得 的真 储 户 的 信 息与银 行 机 交 互 营业交互 与可能的窃密过程如 下 储 户接通银行机 数据 电话 加密器 时钟 信号 加 密 数据 加 密数据在通 信线路上 失窃 加密数据 银行机 伪储户 窃密者 窃密后进行 的非法操作过程 如下 伪储户接通银行机 非法装置 绕过 加密器与银行机连接 窃得 的加密信息经非法 装置 银行机 银行机判断是否 为 伪储户操作－ 银 行 机将客户 的时钟信息解读 出来与先前存于本 机上 的时间对照 ， 若不符则 为非法 用 户 假如第一次操 作是 真 正 的储户 ， 第二 次 操 作 是 伪储户 ， 两次操作 的基本数据完全相 同 ， 惟 一不 同的是 时 钟 信号 此 次 信号 可 用 一 随 机 密 码 代 替 另外 ， 伪储 户可能对 加 密模块进 行破 解 ， 或 者储户的密钥可能泄露 ， 这 些 安 全 问题可 用 其他 机制加 以解决 银行机语音智能验证方案 显然 ， 在客户端增 设 加 密模块 容易被高水平 的窃密者破解 如果把身份甄别的功 能驻 留在银 行机上 ， 则 除了银行业务员外 ， 客户是无法接触到 银行机 的 而此 时 ， 储户的访 问信息全 部裸 露 未 加密 在通信线路上 ， 用语音验证客 户身份 因为 语音是人 的一 种行 为生 理属 性 ， 完全 可 以 作 为一 种身份验证 的判据 储户在银行机里生成一个 只有他 自己清楚 的 客观事实语音库 即语 音语 义模块 ， 包 括 社 会关 系 历史 爱好 特征 描 述 工 作等 ， 以 这 个 客观 事 实语音库 为基 础 ， 采 用 人 工 智能 的 思 想 〔 一 来构 建身份 甄 别智 能方案 其构成 有语 音库 、 问讯 器 、 分析 比较器 、 判决准则库 、 判决器等五部分 ， 如 图 答案 模板库 程控交换机 拒绝服务 或报警 图 储户身份甄别智能语音方案流程 · 玩 砚 沐 吃川 触皿 勺 脚〕 该方案的工 作原理 是 系统获取 储户 的信息 如帐号 、 电话号码等 ， 根据储户的帐号从语音库 中抽取 问题 句子 集组 成对 话 序列 的子 集 ’ ， 从答 案模板库 中得 到 答案模板 ’ ， 从 判决 准 则数据库 中选取判决准则 ’ ‘ ， ’ ， ’ ， ， ， 其中 ’ 厂 镇 簇 ， ’ 是 对 应 的 答案模板 ， ’ 为判决准则 问讯器按对话序列 ‘ 发 问 户 ， 镇 镇 ， 储户 回答 ， 和 反 复 若干次 ， 将 二 划 镇 簇 ， 送 人 比较器 与答案 模板 ’ 比较 ， 得到其合一概率 二 尸 ， ’ 判决器 依据判决准则 ’ 甄 别储 户 的身 份 ， 并获取储户 的 电话号码 程控 交换 机