身份認(rèn)證與訪問控制

1、電子商務(wù)安全與保密,第五章 身份認(rèn)證與訪問控制,,身份認(rèn)證與訪問控制一 口令識別法二 指紋識別技術(shù)三 人臉識別技術(shù)四 簽名鑒別與筆跡鑒別五 聲紋識別技術(shù)六 虹膜識別技術(shù)七 視網(wǎng)膜圖像識別技術(shù)八 掌紋識別技術(shù)九 生物特征識別技術(shù)的發(fā)展前景十 訪問控制十一 訪問控制類產(chǎn)品,一 口令識別法,ISO在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)中定義了5個層次的安全服務(wù)，包括身份認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)保密服務(wù)，數(shù)據(jù)完整性服務(wù)，反否認(rèn)服務(wù)。①身份認(rèn)

2、證服務(wù)即鑒別認(rèn)證，是指在揭示敏感信息或進行事務(wù)處理之前先確定對方身份；②訪問控制服務(wù)：訪問控制是通過某種途徑顯示地準(zhǔn)許或限制訪問能力及范圍，從而限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作而造成破壞；,一 口令識別法,③數(shù)據(jù)保密服務(wù)：數(shù)據(jù)保密是指保護信息不被未授權(quán)者訪問；④數(shù)據(jù)完整性服務(wù)：數(shù)據(jù)完整性是指保證數(shù)據(jù)信息的完好，不會被非法破壞；⑤反否認(rèn)服務(wù)：發(fā)否認(rèn)是指防止用戶否認(rèn)已經(jīng)完成的某項操作。,一 口令識別法,1

3、.用戶識別方法分類1）根據(jù)用戶知道什么來判斷。通過用戶能不能說出口令來判斷，如Unix口令系統(tǒng)。2）根據(jù)用戶擁有什么來判斷。能否提供正確的物理鑰匙，如普通的門鑰匙和磁卡鑰匙。3）根據(jù)用戶是什么來判斷。用戶生理特征和記錄對比，如指紋、聲音、視網(wǎng)膜、簽名等。,一 口令識別法,2.不安全口令的分析1）使用用戶名（賬號）作為口令2）使用用戶名（賬號）的變換形式作為口令3）使用自己或者親友的生日作為口令4）使用學(xué)號、身份證號、單位內(nèi)

4、的員工號碼等作為口令5）使用常見的英文單詞作為口令上述方式幾乎都能輕易破解。,一 口令識別法,怎樣設(shè)置我們的口令呢？原則：首先必須8位長度或者更長，其次必須包括大小寫、數(shù)字字母，再次設(shè)置一定使用時間，最后就是不要太常見。,一 口令識別法,3.一次性口令 由哈希函數(shù)產(chǎn)生一次性口令，即用戶在每次同服務(wù)器連接過程中所使用的口令在網(wǎng)上傳輸時都是加密的密文，這些密文在每次連接時都是不同的，即口令密文是一次有效的。1） 特點：

5、概念簡單，易于使用。基于一個被記憶的密碼，不需要任何附加的硬件。安全算法。不需要存儲諸如秘鑰、口令等敏感信息。2） OTP認(rèn)證技術(shù)的原理 基本思想：在摘錄過程中基于用戶的秘密通行短語加入不確定因素，使每次登陸過程中摘錄所得的密碼都不相同，用戶真正的密碼通行短語根本不在網(wǎng)上傳輸，從而提高登錄過程的安全性。,一 口令識別法,3）OTP技術(shù)的實現(xiàn)機制（基本概念） （1）挑戰(zhàn)/應(yīng)答機制 （2）口令序列機制 （3）時間同步

6、 （4）事件同步,一 口令識別法,4）一次性口令協(xié)議及其安全性 一次性密碼(One Time Password，簡稱OTP)，又稱"一次性口令"，是指只能使用一次的密碼。一次性密碼是根據(jù)專門算法、每隔60秒生成一個不可預(yù)測的隨機數(shù)字組合，iKEY一次性密碼已在金融、電信、網(wǎng)游等領(lǐng)域被廣泛應(yīng)用，有效地保護了用戶的安全。,一 口令識別法,原理:動態(tài)密碼采用基于時間、事件和密鑰三個變量產(chǎn)生的一次性密碼代替?zhèn)?/p>

7、統(tǒng)的靜態(tài)密碼。每個動態(tài)密碼卡都有一個唯一的密鑰，該密鑰同時存放在服務(wù)器端，每次認(rèn)證時動態(tài)密碼卡與服務(wù)器分別根據(jù)同樣的密鑰，同樣的隨機參數(shù)(時間、事件)和同樣的算法計算待認(rèn)證的動態(tài)密碼，從而雙邊確保密碼的一致性，實現(xiàn)用戶的身份認(rèn)證。因每次認(rèn)證時的隨機參數(shù)不同，所以每次產(chǎn)生的動態(tài)密碼也不同，而參數(shù)的隨機性保證了每次密碼的不可預(yù)測性，從而在最基本也是最重要的密碼認(rèn)證環(huán)節(jié)保證了系統(tǒng)的安全性。 安全性：①小數(shù)攻擊②改進方案 應(yīng)用：短信

8、密碼、手機令牌、郵件密碼,一 口令識別法,4.SecurID卡系統(tǒng)是基于時間同步的一次性口令系統(tǒng)。,一 口令識別法,日常各類軟件的應(yīng)用：聊天工具、購物平臺、郵箱、在線支付、手機令牌等,,二 指紋識別技術(shù),1.簡介 指紋識別（fingerprinting），生物識別技術(shù)。指紋識別系統(tǒng)是一個典型的模式識別系統(tǒng)，包括指紋圖像獲取、處理、特征提取和比對等模塊。指紋識別技術(shù)是目前最成熟且價格便宜的生物特征識別技術(shù)。目前來說指紋識別

9、的技術(shù)應(yīng)用最為廣泛，我們不僅在門禁、考勤系統(tǒng)中可以看到指紋識別技術(shù)的身影，市場上有了更多指紋識別的應(yīng)用：如筆記本電腦、手機、汽車、銀行支付都可應(yīng)用指紋識別的技術(shù)。2.幾種技術(shù)和特點光學(xué)全反射技術(shù)、硅晶體電容傳感技術(shù)、超聲波技術(shù),二 指紋識別技術(shù),指紋識別技術(shù)的主要優(yōu)點為：1、指紋是人體獨一無二的特征，并且它們的復(fù)雜度足以提供用于鑒別的足夠特征；2、如果要增加可靠性，只需登記更多的指紋、鑒別更多的手指，最多可以多達(dá)十個，而每一個

10、指紋都是獨一無二的；3、掃描指紋的速度很快，使用非常方便；4、讀取指紋時，用戶必需將手指與指紋采集頭相互接觸，與指紋采集頭直接；5、接觸是讀取人體生物特征最可靠的方法；6、指紋采集頭可以更加小型化，并且價格會更加的低廉；,二 指紋識別技術(shù),指紋識別技術(shù)的主要缺點為：1、某些人或某些群體的指紋指紋特征少，難成像；2、過去因為在犯罪記錄中使用指紋，使得某些人害怕“將指紋記錄在案”。3、實際上指紋鑒別技術(shù)可以不存儲任何含有指紋

11、圖像的數(shù)據(jù)，而只是存儲從指紋中得到的加密的指紋特征數(shù)據(jù)；4、每一次使用指紋時都會在指紋采集頭上留下用戶的指紋印痕，而這些指紋痕跡存在被用來復(fù)制指紋的可能性。5、指紋是用戶的重要個人信息，某些應(yīng)用場合用戶擔(dān)心信息泄漏。,二 指紋識別技術(shù),4.可靠性 指紋識別技術(shù)是成熟的生物識別技術(shù)。因為每個人包括指紋在內(nèi)的皮膚紋路在圖案、斷點和交叉點上各不相同，是唯一的，并且終生不變。通過他的指紋和預(yù)先保存的指紋進行比較，就可以驗證他的真實身

12、份。自動指紋識別是利用計算機來進行指紋識別的一種方法。它得益于現(xiàn)代電子集成制造技術(shù)和快速而可靠的算法理論研究。盡管指紋只是人體皮膚的一小部分，但用于識別的數(shù)據(jù)量相當(dāng)大，對這些數(shù)據(jù)進行比對是需要進行大量運算的模糊匹配算法。利用現(xiàn)代電子集成制造技術(shù)生產(chǎn)的小型指紋圖像讀取設(shè)備和速度更快的計算機，提供了在微機上進行指紋比對運算的可能。另外，匹配算法可靠性也不斷提高。因此，指紋識別技術(shù)己經(jīng)非常簡單實用。由于計算機處理指紋時，只是涉及了一些有限的信

13、息，而且比對算法并不是十分精確匹配，其結(jié)果也不能保證100%準(zhǔn)確。,二 指紋識別技術(shù),指紋識別系統(tǒng)的特定應(yīng)用的重要衡量標(biāo)志是識別率。主要包括拒識率和誤識率，兩者成反比關(guān)系。根據(jù)不同的用途來調(diào)整這兩個值。盡管指紋識別系統(tǒng)存在著可靠性問題，但其安全性也比相同可靠性級別的“用戶ID+密碼”方案的安全性要高得多。拒識率實際上也是系統(tǒng)易用性的重要指標(biāo)。在應(yīng)用系統(tǒng)的設(shè)計中，要權(quán)衡易用性和安全性。通常用比對兩個或更多的指紋來達(dá)到不損失易用性的同時，

14、極大提高系統(tǒng)的安全性。5.應(yīng)用 市場上有了更多指紋識別的應(yīng)用：如筆記本電腦、手機、汽車、銀行支付都可應(yīng)用指紋識別的技術(shù)。,二 指紋識別技術(shù),筆記本電腦、手機、汽車、銀行支付等應(yīng)用,三 人臉識別技術(shù),1.簡介 人臉識別，是基于人的臉部特征信息進行身份識別的一種生物識別技術(shù)。用攝像機或攝像頭采集含有人臉的圖像或視頻流，并自動在圖像中檢測和跟蹤人臉，進而對檢測到的人臉進行臉部的一系列相關(guān)技術(shù)，通常也叫做人像識別、面部

15、識別。,三 人臉識別技術(shù),2.應(yīng)用數(shù)碼相機：人臉自動對焦和笑臉快門技術(shù)門禁系統(tǒng)：人臉識別門禁身份辨識：如電子護照及身份證網(wǎng)絡(luò)應(yīng)用：利用人臉識別輔助信用卡網(wǎng)絡(luò)支付，以防止非信用卡的擁有者使用信用卡等,三 人臉識別技術(shù),數(shù)碼相機、門禁系統(tǒng)、身份辨識、網(wǎng)絡(luò)應(yīng)用,四 簽名鑒別與筆跡鑒別,1.聯(lián)機簽名鑒別 4個步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別2.脫機簽名鑒別 4個步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別,四 簽名

16、鑒別與筆跡鑒別,3.筆跡鑒別 筆跡鑒別也叫筆跡檢驗，即是通過對可疑筆跡和嫌疑人的筆跡進行比較鑒別，確定是否為同一人的筆跡，或確定檢材是否為某人書寫的一項專門技術(shù)，其任務(wù)就是要通過研究筆跡中反映的書寫動作習(xí)慣特征、文字布局和書面的語言特征，用以分析時間情況，為訴訟提供線索和證據(jù)。筆跡的特征分為運筆特征、筆畫搭配特征、字的結(jié)構(gòu)特征；筆跡的鑒別方法有分別檢驗、比較檢驗和綜合評斷。,五 聲紋識別技術(shù),1.簡介： 聲紋識別，生物識別

17、技術(shù)的一種。也稱為說話人識別，有兩類，即說話人辨認(rèn)和說話人確認(rèn)。不同的任務(wù)和應(yīng)用會使用不同的聲紋識別技術(shù)，如縮小刑偵范圍時可能需要辨認(rèn)技術(shù)，而銀行交易時則需要確認(rèn)技術(shù)。,五 聲紋識別技術(shù),聲紋識別的應(yīng)用有一些缺點，比如同一個人的聲音具有易變性，易受身體狀況、年齡、情緒等的影響；比如不同的麥克風(fēng)和信道對識別性能有影響；比如環(huán)境噪音對識別有干擾；又比如混合說話人的情形下人的聲紋特征不易提??；……等等。 盡管如此，與其他生物特征相比，

18、聲紋識別的應(yīng)用有一些特殊的優(yōu)勢：(1)蘊含聲紋特征的語音獲取方便、自然，聲紋提取可在不知不覺中完成，因此使用者的接受程度也高；(2)獲取語音的識別成本低廉，使用簡單，一個麥克風(fēng)即可，在使用通訊設(shè)備時更無需額外的錄音設(shè)備；,五 聲紋識別技術(shù),(3)適合遠(yuǎn)程身份確認(rèn)，只需要一個麥克風(fēng)或電話、手機就可以通過網(wǎng)路(通訊網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò))實現(xiàn)遠(yuǎn)程登錄；(4)聲紋辨認(rèn)和確認(rèn)的算法復(fù)雜度低；(5)配合一些其他措施，如通過語音識別進行內(nèi)容鑒別等，

19、可以提高準(zhǔn)確率；……等等。這些優(yōu)勢使得聲紋識別的應(yīng)用越來越收到系統(tǒng)開發(fā)者和用戶青睞，聲紋識別的世界市場占有率15.8%，僅次于指紋和掌紋的生物特征識別，并有不斷上升的趨勢。,五 聲紋識別技術(shù),2.技術(shù)分類說話人辨認(rèn)、說話人確認(rèn)、說話人探測/跟蹤。3.聲紋識別系統(tǒng)研究關(guān)鍵問題1）常用聲紋特征2）分類識別技術(shù)3）信道問題4）多說話人問題,五 聲紋識別技術(shù),4.應(yīng)用領(lǐng)域1）考勤系統(tǒng)2）語音電話撥號3）電話銀行4）安全控

20、制5）司法系統(tǒng)6）軍隊和國防,五 聲紋識別技術(shù),考勤系統(tǒng)、語音電話撥號、電話銀行、安全控制、司法系統(tǒng)、軍隊和國防,六 虹膜識別技術(shù),1.簡介 虹膜識別技術(shù)是基于眼睛中的虹膜進行身份識別，應(yīng)用于安防設(shè)備（如門禁等），以及有高度保密需求的場所。 人的眼睛結(jié)構(gòu)由鞏膜、虹膜、瞳孔晶狀體、視網(wǎng)膜等部分組成。虹膜是位于黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分，其包含有很多相互交錯的斑點、細(xì)絲、冠狀、條紋、隱窩等的細(xì)節(jié)特征。而且虹膜

21、在胎兒發(fā)育階段形成后，在整個生命歷程中將是保持不變的。這些特征決定了虹膜特征的唯一性，同時也決定了身份識別的唯一性。因此，可以將眼睛的虹膜特征作為每個人的身份識別對象。 例如，在好萊塢大片中，通過掃描眼睛視網(wǎng)膜開啟保密房間或保險箱的炫酷場景，大家一定還記憶猶新吧！使用虹膜識別技術(shù)，為需要高度保密的場所提供了高度安全保障。,六 虹膜識別技術(shù),2.關(guān)鍵技術(shù)1）虹膜圖像采集2）虹膜圖像預(yù)處理3）特征提取4）分類3.應(yīng)用領(lǐng)域

22、1）門禁和考勤2）金融和證券3）電子護照和第二代身份證4）其他需要身份認(rèn)證的場合5）信息安全6）特殊行業(yè),六 虹膜識別技術(shù),門禁和考勤、電子護照和第二代身份證、其他需要身份認(rèn)證的場合等,,七 視網(wǎng)膜圖像識別技術(shù),優(yōu)點·視網(wǎng)膜是一種極其固定的生物特征，不磨損、不老化、不受疾病影響；·使用者無需和設(shè)備直接接觸；·是一個最難欺騙的系統(tǒng)，因為視網(wǎng)膜不可見，所以不會被偽造。缺點·未經(jīng)測試

23、；·激光照射眼球的背面可能會影響使用者健康，這需要進一步的研究；·對消費者而言，視網(wǎng)膜技術(shù)沒有吸引力；·很難進一步降低成本。,七 視網(wǎng)膜圖像識別技術(shù),思考：和虹膜識別技術(shù)的區(qū)別 虹膜是一種在眼睛中瞳孔內(nèi)的織物狀各色環(huán)狀物，每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細(xì)絲、斑點、結(jié)構(gòu)、凹點、射線、皺紋和條紋等特征的結(jié)構(gòu)。而視網(wǎng)膜也是一種用于生物識別的特征，有人甚至認(rèn)為視網(wǎng)膜是比虹膜更唯一的

24、生物特征，視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面以獲得視網(wǎng)膜特征的唯一性。,七 視網(wǎng)膜圖像識別技術(shù),谷歌眼鏡、手機視網(wǎng)膜識別、考勤系統(tǒng)等,八 掌紋識別技術(shù),簡介: 身份識別是加強信息和系統(tǒng)等安全性的基本方法之一。傳統(tǒng)的身份識別技術(shù)具有不方便、不安全、不可靠等諸多缺點，而生物識別技術(shù)是克服這些缺點的有效途徑。作為一種新興的生物識別技術(shù)，掌紋識別是具有精度高、速度快、價格底、容易被用戶接受等優(yōu)點，因而具有非常廣闊的應(yīng)用前景。,八 掌

25、紋識別技術(shù),1.概念 掌紋識別技術(shù)是近幾年提出的一種較新的生物特征識別技術(shù)。掌紋是指手指末端到手腕部分的手掌圖像。其中很多特征可以用來進行身份識別：如主線、皺紋、細(xì)小的紋理、脊末梢、分叉點等。掌紋識別技術(shù)也是一種非侵犯性的識別方法，用戶比較容易接受，對采集設(shè)備要求不高。隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息安全顯示出前所未有的重要性。生物識別技術(shù)以其特有的穩(wěn)定性、唯一性和方便性，得到越來越廣泛的應(yīng)用。掌紋識別作為一項新興的生

26、物識別技術(shù)，因具有采樣簡單、圖像信息豐富、用戶接受程度高、不易偽造、受噪聲干擾小等特點受到國內(nèi)外研究人員的廣泛關(guān)注。但是由于掌紋識別技術(shù)起步較晚，尚處于學(xué)習(xí)和借鑒其他生物特征識別技術(shù)的階段,八 掌紋識別技術(shù),2.技術(shù)原理 首先對采集的掌紋訓(xùn)練樣本進行預(yù)處理，然后進行特征提取，把提取的掌紋特征存入特征數(shù)據(jù)庫中留待與被分類樣本進行匹配。測試樣本分類階段是對獲取的測試樣本經(jīng)過與訓(xùn)練樣本相同的預(yù)處理、特征提取步驟后，送入分類器進行分類。

27、這兩部分都包括以下三步：掌紋圖像采集、預(yù)處理以及特征提取。 掌紋圖像采集：掌紋圖像采集的目的就是利用某種數(shù)字設(shè)備實現(xiàn)把掌紋轉(zhuǎn)換成可以用計算機處理的矩陣數(shù)據(jù)。一般采集的都是二維灰度圖像。,八 掌紋識別技術(shù),考勤、網(wǎng)絡(luò)應(yīng)用、身份檢測等,十 訪問控制,1.概念 訪問控制是幾乎所有系統(tǒng)（包括計算機系統(tǒng)和非計算機系統(tǒng)）都需要用到的一種技術(shù)。訪問控制是：給出一套方法，將系統(tǒng)中的所有功能標(biāo)識出來，組織起來，托管起來，將所有的數(shù)據(jù)組織

28、起來標(biāo)識出來托管起來， 然后提供一個簡單的唯一的接口，這個接口的一端是應(yīng)用系統(tǒng)一端是權(quán)限引擎。權(quán)限引擎所回答的只是：誰是否對某資源具有實施 某個動作（運動、計算）的權(quán)限。返回的結(jié)果只有：有、沒有、權(quán)限引擎異常了。,十 訪問控制,2.功能主要有以下：① 防止非法的主體進入受保護的網(wǎng)絡(luò)資源。 ②允許合法用戶訪問受保護的網(wǎng)絡(luò)資源。 ③防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。,十 訪問控制,訪問控制的功能及原理 訪問控制

29、的主要功能包括：保證合法用戶訪問受權(quán)保護的網(wǎng)絡(luò)資源，防止非法的主體進入受保護的網(wǎng)絡(luò)資源，或防止合法用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。 訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當(dāng)用戶身份和訪問權(quán)限驗證之后，還需要對越權(quán)操作進行監(jiān)控。因此，訪問控制的內(nèi)容包括認(rèn)證、控制策略實現(xiàn)和安全審計。,,（1）認(rèn)證。包括主體對客體的識別及客體對主體的檢驗確認(rèn)。（2）控制策略。通過合理地設(shè)定控制規(guī)則集