身份認(rèn)證與訪問控制

1、電子商務(wù)安全與保密,第五章 身份認(rèn)證與訪問控制,,身份認(rèn)證與訪問控制一 口令識別法二 指紋識別技術(shù)三 人臉識別技術(shù)四 簽名鑒別與筆跡鑒別五 聲紋識別技術(shù)六 虹膜識別技術(shù)七 視網(wǎng)膜圖像識別技術(shù)八 掌紋識別技術(shù)九 生物特征識別技術(shù)的發(fā)展前景十 訪問控制十一 訪問控制類產(chǎn)品,一 口令識別法,ISO在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)中定義了5個(gè)層次的安全服務(wù)，包括身份認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)保密服務(wù)，數(shù)據(jù)完整性服務(wù)，反否認(rèn)服務(wù)。①身份認(rèn)

2、證服務(wù)即鑒別認(rèn)證，是指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確定對方身份；②訪問控制服務(wù)：訪問控制是通過某種途徑顯示地準(zhǔn)許或限制訪問能力及范圍，從而限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作而造成破壞；,一 口令識別法,③數(shù)據(jù)保密服務(wù)：數(shù)據(jù)保密是指保護(hù)信息不被未授權(quán)者訪問；④數(shù)據(jù)完整性服務(wù)：數(shù)據(jù)完整性是指保證數(shù)據(jù)信息的完好，不會(huì)被非法破壞；⑤反否認(rèn)服務(wù)：發(fā)否認(rèn)是指防止用戶否認(rèn)已經(jīng)完成的某項(xiàng)操作。,一 口令識別法,1

3、.用戶識別方法分類1）根據(jù)用戶知道什么來判斷。通過用戶能不能說出口令來判斷，如Unix口令系統(tǒng)。2）根據(jù)用戶擁有什么來判斷。能否提供正確的物理鑰匙，如普通的門鑰匙和磁卡鑰匙。3）根據(jù)用戶是什么來判斷。用戶生理特征和記錄對比，如指紋、聲音、視網(wǎng)膜、簽名等。,一 口令識別法,2.不安全口令的分析1）使用用戶名（賬號）作為口令2）使用用戶名（賬號）的變換形式作為口令3）使用自己或者親友的生日作為口令4）使用學(xué)號、身份證號、單位內(nèi)

4、的員工號碼等作為口令5）使用常見的英文單詞作為口令上述方式幾乎都能輕易破解。,一 口令識別法,怎樣設(shè)置我們的口令呢？原則：首先必須8位長度或者更長，其次必須包括大小寫、數(shù)字字母，再次設(shè)置一定使用時(shí)間，最后就是不要太常見。,一 口令識別法,3.一次性口令 由哈希函數(shù)產(chǎn)生一次性口令，即用戶在每次同服務(wù)器連接過程中所使用的口令在網(wǎng)上傳輸時(shí)都是加密的密文，這些密文在每次連接時(shí)都是不同的，即口令密文是一次有效的。1） 特點(diǎn)：

5、概念簡單，易于使用?；谝粋€(gè)被記憶的密碼，不需要任何附加的硬件。安全算法。不需要存儲(chǔ)諸如秘鑰、口令等敏感信息。2） OTP認(rèn)證技術(shù)的原理 基本思想：在摘錄過程中基于用戶的秘密通行短語加入不確定因素，使每次登陸過程中摘錄所得的密碼都不相同，用戶真正的密碼通行短語根本不在網(wǎng)上傳輸，從而提高登錄過程的安全性。,一 口令識別法,3）OTP技術(shù)的實(shí)現(xiàn)機(jī)制（基本概念） （1）挑戰(zhàn)/應(yīng)答機(jī)制 （2）口令序列機(jī)制 （3）時(shí)間同步

6、 （4）事件同步,一 口令識別法,4）一次性口令協(xié)議及其安全性 一次性密碼(One Time Password，簡稱OTP)，又稱"一次性口令"，是指只能使用一次的密碼。一次性密碼是根據(jù)專門算法、每隔60秒生成一個(gè)不可預(yù)測的隨機(jī)數(shù)字組合，iKEY一次性密碼已在金融、電信、網(wǎng)游等領(lǐng)域被廣泛應(yīng)用，有效地保護(hù)了用戶的安全。,一 口令識別法,原理:動(dòng)態(tài)密碼采用基于時(shí)間、事件和密鑰三個(gè)變量產(chǎn)生的一次性密碼代替?zhèn)?/p>

7、統(tǒng)的靜態(tài)密碼。每個(gè)動(dòng)態(tài)密碼卡都有一個(gè)唯一的密鑰，該密鑰同時(shí)存放在服務(wù)器端，每次認(rèn)證時(shí)動(dòng)態(tài)密碼卡與服務(wù)器分別根據(jù)同樣的密鑰，同樣的隨機(jī)參數(shù)(時(shí)間、事件)和同樣的算法計(jì)算待認(rèn)證的動(dòng)態(tài)密碼，從而雙邊確保密碼的一致性，實(shí)現(xiàn)用戶的身份認(rèn)證。因每次認(rèn)證時(shí)的隨機(jī)參數(shù)不同，所以每次產(chǎn)生的動(dòng)態(tài)密碼也不同，而參數(shù)的隨機(jī)性保證了每次密碼的不可預(yù)測性，從而在最基本也是最重要的密碼認(rèn)證環(huán)節(jié)保證了系統(tǒng)的安全性。 安全性：①小數(shù)攻擊②改進(jìn)方案 應(yīng)用：短信

8、密碼、手機(jī)令牌、郵件密碼,一 口令識別法,4.SecurID卡系統(tǒng)是基于時(shí)間同步的一次性口令系統(tǒng)。,一 口令識別法,日常各類軟件的應(yīng)用：聊天工具、購物平臺(tái)、郵箱、在線支付、手機(jī)令牌等,,二 指紋識別技術(shù),1.簡介 指紋識別（fingerprinting），生物識別技術(shù)。指紋識別系統(tǒng)是一個(gè)典型的模式識別系統(tǒng)，包括指紋圖像獲取、處理、特征提取和比對等模塊。指紋識別技術(shù)是目前最成熟且價(jià)格便宜的生物特征識別技術(shù)。目前來說指紋識別

9、的技術(shù)應(yīng)用最為廣泛，我們不僅在門禁、考勤系統(tǒng)中可以看到指紋識別技術(shù)的身影，市場上有了更多指紋識別的應(yīng)用：如筆記本電腦、手機(jī)、汽車、銀行支付都可應(yīng)用指紋識別的技術(shù)。2.幾種技術(shù)和特點(diǎn)光學(xué)全反射技術(shù)、硅晶體電容傳感技術(shù)、超聲波技術(shù),二 指紋識別技術(shù),指紋識別技術(shù)的主要優(yōu)點(diǎn)為：1、指紋是人體獨(dú)一無二的特征，并且它們的復(fù)雜度足以提供用于鑒別的足夠特征；2、如果要增加可靠性，只需登記更多的指紋、鑒別更多的手指，最多可以多達(dá)十個(gè)，而每一個(gè)

10、指紋都是獨(dú)一無二的；3、掃描指紋的速度很快，使用非常方便；4、讀取指紋時(shí)，用戶必需將手指與指紋采集頭相互接觸，與指紋采集頭直接；5、接觸是讀取人體生物特征最可靠的方法；6、指紋采集頭可以更加小型化，并且價(jià)格會(huì)更加的低廉；,二 指紋識別技術(shù),指紋識別技術(shù)的主要缺點(diǎn)為：1、某些人或某些群體的指紋指紋特征少，難成像；2、過去因?yàn)樵诜缸镉涗浿惺褂弥讣y，使得某些人害怕“將指紋記錄在案”。3、實(shí)際上指紋鑒別技術(shù)可以不存儲(chǔ)任何含有指紋

11、圖像的數(shù)據(jù)，而只是存儲(chǔ)從指紋中得到的加密的指紋特征數(shù)據(jù)；4、每一次使用指紋時(shí)都會(huì)在指紋采集頭上留下用戶的指紋印痕，而這些指紋痕跡存在被用來復(fù)制指紋的可能性。5、指紋是用戶的重要個(gè)人信息，某些應(yīng)用場合用戶擔(dān)心信息泄漏。,二 指紋識別技術(shù),4.可靠性 指紋識別技術(shù)是成熟的生物識別技術(shù)。因?yàn)槊總€(gè)人包括指紋在內(nèi)的皮膚紋路在圖案、斷點(diǎn)和交叉點(diǎn)上各不相同，是唯一的，并且終生不變。通過他的指紋和預(yù)先保存的指紋進(jìn)行比較，就可以驗(yàn)證他的真實(shí)身

12、份。自動(dòng)指紋識別是利用計(jì)算機(jī)來進(jìn)行指紋識別的一種方法。它得益于現(xiàn)代電子集成制造技術(shù)和快速而可靠的算法理論研究。盡管指紋只是人體皮膚的一小部分，但用于識別的數(shù)據(jù)量相當(dāng)大，對這些數(shù)據(jù)進(jìn)行比對是需要進(jìn)行大量運(yùn)算的模糊匹配算法。利用現(xiàn)代電子集成制造技術(shù)生產(chǎn)的小型指紋圖像讀取設(shè)備和速度更快的計(jì)算機(jī)，提供了在微機(jī)上進(jìn)行指紋比對運(yùn)算的可能。另外，匹配算法可靠性也不斷提高。因此，指紋識別技術(shù)己經(jīng)非常簡單實(shí)用。由于計(jì)算機(jī)處理指紋時(shí)，只是涉及了一些有限的信

13、息，而且比對算法并不是十分精確匹配，其結(jié)果也不能保證100%準(zhǔn)確。,二 指紋識別技術(shù),指紋識別系統(tǒng)的特定應(yīng)用的重要衡量標(biāo)志是識別率。主要包括拒識率和誤識率，兩者成反比關(guān)系。根據(jù)不同的用途來調(diào)整這兩個(gè)值。盡管指紋識別系統(tǒng)存在著可靠性問題，但其安全性也比相同可靠性級別的“用戶ID+密碼”方案的安全性要高得多。拒識率實(shí)際上也是系統(tǒng)易用性的重要指標(biāo)。在應(yīng)用系統(tǒng)的設(shè)計(jì)中，要權(quán)衡易用性和安全性。通常用比對兩個(gè)或更多的指紋來達(dá)到不損失易用性的同時(shí)，

14、極大提高系統(tǒng)的安全性。5.應(yīng)用 市場上有了更多指紋識別的應(yīng)用：如筆記本電腦、手機(jī)、汽車、銀行支付都可應(yīng)用指紋識別的技術(shù)。,二 指紋識別技術(shù),筆記本電腦、手機(jī)、汽車、銀行支付等應(yīng)用,三 人臉識別技術(shù),1.簡介 人臉識別，是基于人的臉部特征信息進(jìn)行身份識別的一種生物識別技術(shù)。用攝像機(jī)或攝像頭采集含有人臉的圖像或視頻流，并自動(dòng)在圖像中檢測和跟蹤人臉，進(jìn)而對檢測到的人臉進(jìn)行臉部的一系列相關(guān)技術(shù)，通常也叫做人像識別、面部

15、識別。,三 人臉識別技術(shù),2.應(yīng)用數(shù)碼相機(jī)：人臉自動(dòng)對焦和笑臉快門技術(shù)門禁系統(tǒng)：人臉識別門禁身份辨識：如電子護(hù)照及身份證網(wǎng)絡(luò)應(yīng)用：利用人臉識別輔助信用卡網(wǎng)絡(luò)支付，以防止非信用卡的擁有者使用信用卡等,三 人臉識別技術(shù),數(shù)碼相機(jī)、門禁系統(tǒng)、身份辨識、網(wǎng)絡(luò)應(yīng)用,四 簽名鑒別與筆跡鑒別,1.聯(lián)機(jī)簽名鑒別 4個(gè)步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別2.脫機(jī)簽名鑒別 4個(gè)步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別,四 簽名

16、鑒別與筆跡鑒別,3.筆跡鑒別 筆跡鑒別也叫筆跡檢驗(yàn)，即是通過對可疑筆跡和嫌疑人的筆跡進(jìn)行比較鑒別，確定是否為同一人的筆跡，或確定檢材是否為某人書寫的一項(xiàng)專門技術(shù)，其任務(wù)就是要通過研究筆跡中反映的書寫動(dòng)作習(xí)慣特征、文字布局和書面的語言特征，用以分析時(shí)間情況，為訴訟提供線索和證據(jù)。筆跡的特征分為運(yùn)筆特征、筆畫搭配特征、字的結(jié)構(gòu)特征；筆跡的鑒別方法有分別檢驗(yàn)、比較檢驗(yàn)和綜合評斷。,五 聲紋識別技術(shù),1.簡介： 聲紋識別，生物識別

17、技術(shù)的一種。也稱為說話人識別，有兩類，即說話人辨認(rèn)和說話人確認(rèn)。不同的任務(wù)和應(yīng)用會(huì)使用不同的聲紋識別技術(shù)，如縮小刑偵范圍時(shí)可能需要辨認(rèn)技術(shù)，而銀行交易時(shí)則需要確認(rèn)技術(shù)。,五 聲紋識別技術(shù),聲紋識別的應(yīng)用有一些缺點(diǎn)，比如同一個(gè)人的聲音具有易變性，易受身體狀況、年齡、情緒等的影響；比如不同的麥克風(fēng)和信道對識別性能有影響；比如環(huán)境噪音對識別有干擾；又比如混合說話人的情形下人的聲紋特征不易提??；……等等。 盡管如此，與其他生物特征相比，

18、聲紋識別的應(yīng)用有一些特殊的優(yōu)勢：(1)蘊(yùn)含聲紋特征的語音獲取方便、自然，聲紋提取可在不知不覺中完成，因此使用者的接受程度也高；(2)獲取語音的識別成本低廉，使用簡單，一個(gè)麥克風(fēng)即可，在使用通訊設(shè)備時(shí)更無需額外的錄音設(shè)備；,五 聲紋識別技術(shù),(3)適合遠(yuǎn)程身份確認(rèn)，只需要一個(gè)麥克風(fēng)或電話、手機(jī)就可以通過網(wǎng)路(通訊網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò))實(shí)現(xiàn)遠(yuǎn)程登錄；(4)聲紋辨認(rèn)和確認(rèn)的算法復(fù)雜度低；(5)配合一些其他措施，如通過語音識別進(jìn)行內(nèi)容鑒別等，

19、可以提高準(zhǔn)確率；……等等。這些優(yōu)勢使得聲紋識別的應(yīng)用越來越收到系統(tǒng)開發(fā)者和用戶青睞，聲紋識別的世界市場占有率15.8%，僅次于指紋和掌紋的生物特征識別，并有不斷上升的趨勢。,五 聲紋識別技術(shù),2.技術(shù)分類說話人辨認(rèn)、說話人確認(rèn)、說話人探測/跟蹤。3.聲紋識別系統(tǒng)研究關(guān)鍵問題1）常用聲紋特征2）分類識別技術(shù)3）信道問題4）多說話人問題,五 聲紋識別技術(shù),4.應(yīng)用領(lǐng)域1）考勤系統(tǒng)2）語音電話撥號3）電話銀行4）安全控

20、制5）司法系統(tǒng)6）軍隊(duì)和國防,五 聲紋識別技術(shù),考勤系統(tǒng)、語音電話撥號、電話銀行、安全控制、司法系統(tǒng)、軍隊(duì)和國防,六 虹膜識別技術(shù),1.簡介 虹膜識別技術(shù)是基于眼睛中的虹膜進(jìn)行身份識別，應(yīng)用于安防設(shè)備（如門禁等），以及有高度保密需求的場所。 人的眼睛結(jié)構(gòu)由鞏膜、虹膜、瞳孔晶狀體、視網(wǎng)膜等部分組成。虹膜是位于黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分，其包含有很多相互交錯(cuò)的斑點(diǎn)、細(xì)絲、冠狀、條紋、隱窩等的細(xì)節(jié)特征。而且虹膜

21、在胎兒發(fā)育階段形成后，在整個(gè)生命歷程中將是保持不變的。這些特征決定了虹膜特征的唯一性，同時(shí)也決定了身份識別的唯一性。因此，可以將眼睛的虹膜特征作為每個(gè)人的身份識別對象。 例如，在好萊塢大片中，通過掃描眼睛視網(wǎng)膜開啟保密房間或保險(xiǎn)箱的炫酷場景，大家一定還記憶猶新吧！使用虹膜識別技術(shù)，為需要高度保密的場所提供了高度安全保障。,六 虹膜識別技術(shù),2.關(guān)鍵技術(shù)1）虹膜圖像采集2）虹膜圖像預(yù)處理3）特征提取4）分類3.應(yīng)用領(lǐng)域

22、1）門禁和考勤2）金融和證券3）電子護(hù)照和第二代身份證4）其他需要身份認(rèn)證的場合5）信息安全6）特殊行業(yè),六 虹膜識別技術(shù),門禁和考勤、電子護(hù)照和第二代身份證、其他需要身份認(rèn)證的場合等,,七 視網(wǎng)膜圖像識別技術(shù),優(yōu)點(diǎn)·視網(wǎng)膜是一種極其固定的生物特征，不磨損、不老化、不受疾病影響；·使用者無需和設(shè)備直接接觸；·是一個(gè)最難欺騙的系統(tǒng)，因?yàn)橐暰W(wǎng)膜不可見，所以不會(huì)被偽造。缺點(diǎn)·未經(jīng)測試

23、；·激光照射眼球的背面可能會(huì)影響使用者健康，這需要進(jìn)一步的研究；·對消費(fèi)者而言，視網(wǎng)膜技術(shù)沒有吸引力；·很難進(jìn)一步降低成本。,七 視網(wǎng)膜圖像識別技術(shù),思考：和虹膜識別技術(shù)的區(qū)別 虹膜是一種在眼睛中瞳孔內(nèi)的織物狀各色環(huán)狀物，每一個(gè)虹膜都包含一個(gè)獨(dú)一無二的基于像冠、水晶體、細(xì)絲、斑點(diǎn)、結(jié)構(gòu)、凹點(diǎn)、射線、皺紋和條紋等特征的結(jié)構(gòu)。而視網(wǎng)膜也是一種用于生物識別的特征，有人甚至認(rèn)為視網(wǎng)膜是比虹膜更唯一的

24、生物特征，視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面以獲得視網(wǎng)膜特征的唯一性。,七 視網(wǎng)膜圖像識別技術(shù),谷歌眼鏡、手機(jī)視網(wǎng)膜識別、考勤系統(tǒng)等,八 掌紋識別技術(shù),簡介: 身份識別是加強(qiáng)信息和系統(tǒng)等安全性的基本方法之一。傳統(tǒng)的身份識別技術(shù)具有不方便、不安全、不可靠等諸多缺點(diǎn)，而生物識別技術(shù)是克服這些缺點(diǎn)的有效途徑。作為一種新興的生物識別技術(shù)，掌紋識別是具有精度高、速度快、價(jià)格底、容易被用戶接受等優(yōu)點(diǎn)，因而具有非常廣闊的應(yīng)用前景。,八 掌

25、紋識別技術(shù),1.概念 掌紋識別技術(shù)是近幾年提出的一種較新的生物特征識別技術(shù)。掌紋是指手指末端到手腕部分的手掌圖像。其中很多特征可以用來進(jìn)行身份識別：如主線、皺紋、細(xì)小的紋理、脊末梢、分叉點(diǎn)等。掌紋識別技術(shù)也是一種非侵犯性的識別方法，用戶比較容易接受，對采集設(shè)備要求不高。隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息安全顯示出前所未有的重要性。生物識別技術(shù)以其特有的穩(wěn)定性、唯一性和方便性，得到越來越廣泛的應(yīng)用。掌紋識別作為一項(xiàng)新興的生

26、物識別技術(shù)，因具有采樣簡單、圖像信息豐富、用戶接受程度高、不易偽造、受噪聲干擾小等特點(diǎn)受到國內(nèi)外研究人員的廣泛關(guān)注。但是由于掌紋識別技術(shù)起步較晚，尚處于學(xué)習(xí)和借鑒其他生物特征識別技術(shù)的階段,八 掌紋識別技術(shù),2.技術(shù)原理 首先對采集的掌紋訓(xùn)練樣本進(jìn)行預(yù)處理，然后進(jìn)行特征提取，把提取的掌紋特征存入特征數(shù)據(jù)庫中留待與被分類樣本進(jìn)行匹配。測試樣本分類階段是對獲取的測試樣本經(jīng)過與訓(xùn)練樣本相同的預(yù)處理、特征提取步驟后，送入分類器進(jìn)行分類。

27、這兩部分都包括以下三步：掌紋圖像采集、預(yù)處理以及特征提取。 掌紋圖像采集：掌紋圖像采集的目的就是利用某種數(shù)字設(shè)備實(shí)現(xiàn)把掌紋轉(zhuǎn)換成可以用計(jì)算機(jī)處理的矩陣數(shù)據(jù)。一般采集的都是二維灰度圖像。,八 掌紋識別技術(shù),考勤、網(wǎng)絡(luò)應(yīng)用、身份檢測等,十 訪問控制,1.概念 訪問控制是幾乎所有系統(tǒng)（包括計(jì)算機(jī)系統(tǒng)和非計(jì)算機(jī)系統(tǒng)）都需要用到的一種技術(shù)。訪問控制是：給出一套方法，將系統(tǒng)中的所有功能標(biāo)識出來，組織起來，托管起來，將所有的數(shù)據(jù)組織

28、起來標(biāo)識出來托管起來， 然后提供一個(gè)簡單的唯一的接口，這個(gè)接口的一端是應(yīng)用系統(tǒng)一端是權(quán)限引擎。權(quán)限引擎所回答的只是：誰是否對某資源具有實(shí)施 某個(gè)動(dòng)作（運(yùn)動(dòng)、計(jì)算）的權(quán)限。返回的結(jié)果只有：有、沒有、權(quán)限引擎異常了。,十 訪問控制,2.功能主要有以下：① 防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。 ②允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。 ③防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。,十 訪問控制,訪問控制的功能及原理 訪問控制

29、的主要功能包括：保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，或防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。 訪問控制首先需要對用戶身份的合法性進(jìn)行驗(yàn)證，同時(shí)利用控制策略進(jìn)行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗(yàn)證之后，還需要對越權(quán)操作進(jìn)行監(jiān)控。因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實(shí)現(xiàn)和安全審計(jì)。,,（1）認(rèn)證。包括主體對客體的識別及客體對主體的檢驗(yàn)確認(rèn)。（2）控制策略。通過合理地設(shè)定控制規(guī)則集