身份认证西安交通大学教师个人主页.ppt

* * 判定模块将最终对是否匹配做出“是”或“否”的结论。一般情况下，判定方法是给质量分数和匹配分数各设置一个阈值，当两个分数都大于阈值时，就认为匹配成功。如果达到了质量阈值而没有达到匹配阈值，则认为匹配失败；如果质量阈值没有达到，那么就认为数据的质量太差，系统可以拒绝匹配，并要求重新输入新数据。最后的判定结果要返回给应用系统。 * * 权威机构认为，生物认证系统在应用中1%的误判率就可以满足需要。 整体上来讲，FRR是安全的，但安全性越高，越容易被误判拒绝，这样就变成用户的不便利，需要用户多次尝试；而FAR越小越好，一般是10万分之1到百万分之1为可接受范围。因此，对于生物认证系统来说，最好的情况就是CER和FAR越小越好。 * * 模板数据库安全：如果一个认证系统是由人制造的，那么它也能被人击败。如果不能保证模板数据库的安全，那么数据库的模板就有可能被复制、篡改和窃取。因此，生物认证系统要保证模板数据库的安全。例如，银行卡，持卡人必须拥有这张卡，而且他还必须知道正确的PIN，否则就不能使用ATM。大部分生物认证系统也依靠类似的令牌来采集样本并加密保护他们。 模板传输过程中的安全：如果采用网络传输模板，就可能遭到攻击，导致模板的不安全。因此，当我们要采用网络传输时，尽可能选择安全的网络通道或安全的传输方式。 生物特征模板不同于口令和私钥这样的认证凭证。对于像口令、令牌和私钥这样的认证凭证，如果发现受到攻击或者是被怀疑不可靠时，只要撤销掉原有的凭证并重新获得一个凭证就可以保证认证系统的安全。而生物特征模板，由于其具有稳定性，即使发现系统面临危险，也无法在生物认证系统中予以撤销，这是生物特征认证有别于其他认证系统的独特问题。更糟糕的是，由于生物特征的唯一性，不同生物认证系统对于同一个人来讲，可能使用的是同一个模板。如果这个模板在某一个地方泄露，那么所有使用这个模板的系统都面临被攻击的危险，而且这个模板还无法撤销更换。 一些学者提出了一种解决这个问题的办法，就是在生物特征模板中掺入可以被撤销更换的其他因素。例如，将用户的生物特征模板与狮子合成，将合成结果作为新的模板存储在数据库中。这种方法可以避免原有生物特征模板的泄露，而且间接地实现了生物特征可撤销的目的。 * * * 金字塔型的，下面的最重要。定义完整直观的安全策略是最重要。 ISO7498提到的最重要的是用户认证。 认证还满足不了我们要求，还要辅助其它的安全功能，例如加密和访问控制。 通过审计和管理，知道我们的系统是否曾经遭受过攻击或者正在遭受攻击，进行追查。 好的操作系统应方便管理，对于windows系统，虽然漏洞很多，但用户这么多说明了它还是有优势的，其中就包括了管理很方便。 * (1) A向B发起连接请求 (2) B向A发送挑战(一组随机数据) (3) A用源自明文口令的DESKEY对挑战进行标准DES加密得到响应，并发往B (4) B从SAM中获取A的LM Hash、NTLM Hash，计算出DESKEY，并对前面发往A的挑战进 行标准DES加密 (5) 如果(4)中计算结果与A送过来的响应匹配，A被允许访问B * (7)登录进程。是一个运行WINLOGON.EXE的用户态进程，它负责搜寻用户名和密码，并发送给LSA用以验证它们，并在用户会话中创建初始化进程。 本地安全权限(LSA)服务器。是一个运行映像LSASS.EXE的用户态进程，它负责本地系统安全性规则(例如允许用户登录到机器的规则、密码规则、授予用户和组的权限列表以及系统安全性审计设置)、用户身份验证以及向“事件日志”发送安全性审计消息。 LSA策略数据库。是一个包含了系统安全性规则设置的数据库，该数据库被保存在注册表中的HKEY-LOCAL-MACHINE/security下。它包含的信息有：哪些域被信任用于认证登录企图；哪些用户可以访问系统以及怎样访问(交互、网络和服务登录方式)；谁被赋予了哪些权限；执行的安全性审计的种类。 * (5)SAM数据库。是一个包含定义用户和组以及它们的密码和属性的数据库，它被保存在HKEY-LOCAL-MACHINE＼SAM下的注册表中。 (6)默认身份认证包。是一个被称为MSV1_0的动态链接库(DLL)，在进行Windows 身份验证的LSASS进程的描述表中运行。这个DLL负责检查给定的用户名和密码是否和SAM数据库中指定的相匹配，如果匹配，返回该用户的信息。 (8)网络登录(Net Logon )服务。是一个响应网络登录请求的SERVICES.EXE进程内部的用户态服务。身份验证同本地登录一样，是通过把它们发送到LSASS进程来验证的。 * 登录是通过登录进程WinLogon、LSA、身份认证包和SAM相互作用完成的。 用户按下热键