第4章+数字签名与身份认证.pptVIP

4.2 身份认证技术 身份认证概念 身份认证（身份识别）：证实客户的真实身份与其所声称的身份是否相符的过程。它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径。 身份认证的依据 身份认证的主要方法 基于口令的身份认证 安全口令的建议 一次性口令 一次性口令系统实例 基于智能卡的身份认证 基于生物特征的身份认证 基于生物特征的身份认证 指纹识别技术 语音识别技术 视网膜识别技术 身份识别系统的选择 4.2.3 身份认证协议 一次一密机制 X.509认证协议 Kerberos认证协议 零知识身份识别 2 2 2 2 2 2 2 2 2 2 访问控制器 授权数据库 安全管理员 管理 用户 身份验证 资源 访问控制 （1）根据用户知道什么来判断，Something the user know （所知） 口令、密码等 （2）根据用户拥有什么来判断，Something the user possesses （拥有） 身份证、护照、门钥匙、磁卡钥匙等 （3）根据用户是什么来判断， Something the user is (or How he behaves) （特征） 指纹、声音、视网膜、签名、DNA等 （1）基于口令的身份认证 （2）基于智能卡的身份认证 （3）基于生物特征的身份认证 签名识别法 指纹识别技术 语音识别系统 视网膜图像识别系统 还有其他一些不常见的方法：唇印、脚印、头盖骨的轮廓、人体骨骼对物理刺激的反应 口令识别是应用最为广泛的身份认证技术。 口令选择原则：易记、难猜、抗分析能力强。 口令识别的脆弱点： 网络窃听 重放攻击 字典攻击 暴力攻击 窥探 社交工程 垃圾有哪些信誉好的足球投注网站 口令长度至少要有8位 口令应包括大小写字母、数字，或者控制符等 不要太常见，如：e8B3Z6vO 不要将口令写在电脑上或纸条上 要养成定期更换口令的习惯 尽量不要在电脑上保存口令 一次性口令（OTP，One Time Password）： 一次性的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的口令都不相同，以提高登录过程安全性。 一次性口令的安全原理 使用一次性口令序列 n次 第一个口令——使用单向函数n次 p(1)=f(f(f(f(s)))) 第二个口令——使用单向函数n-1次 p(2)=f(f(f(s))) 依次类推 1991年，贝尔通信研究中心（Bellcore）首次研制出了基于一次性口令思想的身份认证系统S/KEY。 FreeBSD操作系统下的一次性口令系统——OPIE(One-time Passwords In Everything) 动态口令牌 智能卡是一种便携式设备，包括一个CPU、输入输出端口和一个存储器。 将智能卡集成到用户的登录终端或工作站上，那么智能卡可以执行验证。 USB KEY 常用的用于身份识别的技术：签名识别法，指纹识别法，语音识别法等等。 不常见的方法：使用头盖骨的轮廓（机器骨相学）、唇印、脚印、甚至利用人体骨骼对物理刺激的反应进行身份识别。 强调：身份识别的方法必须能被系统所接受。 系统误差：一个实用系统必须允许测量误差的存在。 错误警告或第一类错误 错误接受或第二类错误 签名识别法——不是能识别出被鉴别的签名是什么字，而是要能识别出签名的人。 签名识别的方法： 根据最后的签名进行识别 根据签名的书写过程进行识别 签名识别法 记录签名书写过程的技术 最早使用这种技术的设备是电动绘图仪 NPL（国家物理实验室）开发的CHIT的书写器 指纹识别——基于每个人指纹的唯一性和稳定性。 指纹识别技术发展基础： 现代电子集成制造技术 快速可靠的匹配算法 光学全反射技术：利用光的全反射原理 晶体传感器技术：硅电容传感器 超声波扫描技术：利用超声波扫描反射原理 目前指纹取像主要有三种技术： 语音识别的要求： 创造一个良好的环境 规定用户朗读的单词 语音识别的过程 首先对用户的语音进行采样； 系统提取语音特征，得到参考样本； 通过比较参考样本和语音结果，判别真伪。 应用：德克萨斯仪器公司研制的语音识别系统。P92 语音识别技术的弱点 要求受测者多次重复语音，分析过程较长； 语音受人的身体状况和精神状态的影响。 E