身份认证与访问控制.ppt

1、电子商务安全与保密,第五章 身份认证与访问控制,身份认证与访问控制一 口令识别法二 指纹识别技术三 人脸识别技术四 签名鉴别与笔迹鉴别五 声纹识别技术六 虹膜识别技术七 视网膜图像识别技术八 掌纹识别技术九 生物特征识别技术的发展前景十 访问控制十一 访问控制类产品,一 口令识别法,ISO在网络安全标准中定义了5个层次的安全服务，包括身份认证服务，访问控制服务，数据保密服务，数据完整性服务，反否认服务。身份认证服务即鉴别认证，是指在揭示敏感信息或进行事务处理之前先确定对方身份；访问控制服务：访问控制是通过某种途径显示地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合

2、法用户的不慎操作而造成破坏；,一 口令识别法,数据保密服务：数据保密是指保护信息不被未授权者访问；数据完整性服务：数据完整性是指保证数据信息的完好，不会被非法破坏；反否认服务：发否认是指防止用户否认已经完成的某项操作。,一 口令识别法,1.用户识别方法分类1）根据用户知道什么来判断。通过用户能不能说出口令来判断，如Unix口令系统。2）根据用户拥有什么来判断。能否提供正确的物理钥匙，如普通的门钥匙和磁卡钥匙。3）根据用户是什么来判断。用户生理特征和记录对比，如指纹、声音、视网膜、签名等。,一 口令识别法,2.不安全口令的分析1）使用用户名（账号）作为口令2）使用用户名（账号）的变换形式作为口令

3、3）使用自己或者亲友的生日作为口令4）使用学号、身份证号、单位内的员工号码等作为口令5）使用常见的英文单词作为口令上述方式几乎都能轻易破解。,一 口令识别法,怎样设置我们的口令呢？原则：首先必须8位长度或者更长，其次必须包括大小写、数字字母，再次设置一定使用时间，最后就是不要太常见。,一 口令识别法,3.一次性口令 由哈希函数产生一次性口令，即用户在每次同服务器连接过程中所使用的口令在网上传输时都是加密的密文，这些密文在每次连接时都是不同的，即口令密文是一次有效的。1） 特点：概念简单，易于使用。基于一个被记忆的密码，不需要任何附加的硬件。安全算法。不需要存储诸如秘钥、口令等敏感信息。2） O

4、TP认证技术的原理 基本思想：在摘录过程中基于用户的秘密通行短语加入不确定因素，使每次登陆过程中摘录所得的密码都不相同，用户真正的密码通行短语根本不在网上传输，从而提高登录过程的安全性。,一 口令识别法,3）OTP技术的实现机制（基本概念） （1）挑战/应答机制 （2）口令序列机制 （3）时间同步 （4）事件同步,一 口令识别法,4）一次性口令协议及其安全性 一次性密码(One Time Password，简称OTP)，又称一次性口令，是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合，iKEY一次性密码已在金融、电信、网游等领域被广泛应用，有效地保护了

5、用户的安全。,一 口令识别法,原理:动态密码采用基于时间、事件和密钥三个变量产生的一次性密码代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数(时间、事件)和同样的算法计算待认证的动态密码，从而双边确保密码的一致性，实现用户的身份认证。因每次认证时的随机参数不同，所以每次产生的动态密码也不同，而参数的随机性保证了每次密码的不可预测性，从而在最基本也是最重要的密码认证环节保证了系统的安全性。 安全性：小数攻击改进方案 应用：短信密码、手机令牌、邮件密码,一 口令识别法,4.SecurID卡系统是基于时间同

6、步的一次性口令系统。,一 口令识别法,日常各类软件的应用：聊天工具、购物平台、邮箱、在线支付、手机令牌等,二 指纹识别技术,1.简介 指纹识别（fingerprinting），生物识别技术。指纹识别系统是一个典型的模式识别系统，包括指纹图像获取、处理、特征提取和比对等模块。指纹识别技术是目前最成熟且价格便宜的生物特征识别技术。目前来说指纹识别的技术应用最为广泛，我们不仅在门禁、考勤系统中可以看到指纹识别技术的身影，市场上有了更多指纹识别的应用：如笔记本电脑、手机、汽车、银行支付都可应用指纹识别的技术。2.几种技术和特点光学全反射技术、硅晶体电容传感技术、超声波技术,二 指纹识别技术,指纹识别技

7、术的主要优点为：1、指纹是人体独一无二的特征，并且它们的复杂度足以提供用于鉴别的足够特征；2、如果要增加可靠性，只需登记更多的指纹、鉴别更多的手指，最多可以多达十个，而每一个指纹都是独一无二的；3、扫描指纹的速度很快，使用非常方便；4、读取指纹时，用户必需将手指与指纹采集头相互接触，与指纹采集头直接；5、接触是读取人体生物特征最可靠的方法；6、指纹采集头可以更加小型化，并且价格会更加的低廉；,二 指纹识别技术,指纹识别技术的主要缺点为：1、某些人或某些群体的指纹指纹特征少，难成像；2、过去因为在犯罪记录中使用指纹，使得某些人害怕“将指纹记录在案”。3、实际上指纹鉴别技术可以不存储任何含有指纹图

8、像的数据，而只是存储从指纹中得到的加密的指纹特征数据；4、每一次使用指纹时都会在指纹采集头上留下用户的指纹印痕，而这些指纹痕迹存在被用来复制指纹的可能性。5、指纹是用户的重要个人信息，某些应用场合用户担心信息泄漏。,二 指纹识别技术,4.可靠性 指纹识别技术是成熟的生物识别技术。因为每个人包括指纹在内的皮肤纹路在图案、断点和交叉点上各不相同，是唯一的，并且终生不变。通过他的指纹和预先保存的指纹进行比较，就可以验证他的真实身份。自动指纹识别是利用计算机来进行指纹识别的一种方法。它得益于现代电子集成制造技术和快速而可靠的算法理论研究。尽管指纹只是人体皮肤的一小部分，但用于识别的数据量相当大，对这些

9、数据进行比对是需要进行大量运算的模糊匹配算法。利用现代电子集成制造技术生产的小型指纹图像读取设备和速度更快的计算机，提供了在微机上进行指纹比对运算的可能。另外，匹配算法可靠性也不断提高。因此，指纹识别技术己经非常简单实用。由于计算机处理指纹时，只是涉及了一些有限的信息，而且比对算法并不是十分精确匹配，其结果也不能保证100%准确。,二 指纹识别技术,指纹识别系统的特定应用的重要衡量标志是识别率。主要包括拒识率和误识率，两者成反比关系。根据不同的用途来调整这两个值。尽管指纹识别系统存在着可靠性问题，但其安全性也比相同可靠性级别的“用户ID+密码”方案的安全性要高得多。拒识率实际上也是系统易用性的

10、重要指标。在应用系统的设计中，要权衡易用性和安全性。通常用比对两个或更多的指纹来达到不损失易用性的同时，极大提高系统的安全性。5.应用 市场上有了更多指纹识别的应用：如笔记本电脑、手机、汽车、银行支付都可应用指纹识别的技术。,二 指纹识别技术,笔记本电脑、手机、汽车、银行支付等应用,三 人脸识别技术,1.简介 人脸识别，是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部的一系列相关技术，通常也叫做人像识别、面部识别。,三 人脸识别技术,2.应用数码相机：人脸自动对焦和笑脸快门技术门禁系统：人

11、脸识别门禁身份辨识：如电子护照及身份证网络应用：利用人脸识别辅助信用卡网络支付，以防止非信用卡的拥有者使用信用卡等,三 人脸识别技术,数码相机、门禁系统、身份辨识、网络应用,四 签名鉴别与笔迹鉴别,1.联机签名鉴别 4个步骤：签名数据采集，预处理，特征提取，分类鉴别2.脱机签名鉴别 4个步骤：签名数据采集，预处理，特征提取，分类鉴别,四 签名鉴别与笔迹鉴别,3.笔迹鉴别 笔迹鉴别也叫笔迹检验，即是通过对可疑笔迹和嫌疑人的笔迹进行比较鉴别，确定是否为同一人的笔迹，或确定检材是否为某人书写的一项专门技术，其任务就是要通过研究笔迹中反映的书写动作习惯特征、文字布局和书面的语言特征，用以分析时间情况，

12、为诉讼提供线索和证据。笔迹的特征分为运笔特征、笔画搭配特征、字的结构特征；笔迹的鉴别方法有分别检验、比较检验和综合评断。,五 声纹识别技术,1.简介： 声纹识别，生物识别技术的一种。也称为说话人识别，有两类，即说话人辨认和说话人确认。不同的任务和应用会使用不同的声纹识别技术，如缩小刑侦范围时可能需要辨认技术，而银行交易时则需要确认技术。,五 声纹识别技术,声纹识别的应用有一些缺点，比如同一个人的声音具有易变性，易受身体状况、年龄、情绪等的影响；比如不同的麦克风和信道对识别性能有影响；比如环境噪音对识别有干扰；又比如混合说话人的情形下人的声纹特征不易提取；等等。 尽管如此，与其他生物特征相比，声

13、纹识别的应用有一些特殊的优势：(1)蕴含声纹特征的语音获取方便、自然，声纹提取可在不知不觉中完成，因此使用者的接受程度也高；(2)获取语音的识别成本低廉，使用简单，一个麦克风即可，在使用通讯设备时更无需额外的录音设备；,五 声纹识别技术,(3)适合远程身份确认，只需要一个麦克风或电话、手机就可以通过网路(通讯网络或互联网络)实现远程登录；(4)声纹辨认和确认的算法复杂度低；(5)配合一些其他措施，如通过语音识别进行内容鉴别等，可以提高准确率；等等。这些优势使得声纹识别的应用越来越收到系统开发者和用户青睐，声纹识别的世界市场占有率15.8%，仅次于指纹和掌纹的生物特征识别，并有不断上升的趋势。,

14、五 声纹识别技术,2.技术分类说话人辨认、说话人确认、说话人探测/跟踪。3.声纹识别系统研究关键问题1）常用声纹特征2）分类识别技术3）信道问题4）多说话人问题,五 声纹识别技术,4.应用领域1）考勤系统2）语音电话拨号3）电话银行4）安全控制5）司法系统6）军队和国防,五 声纹识别技术,考勤系统、语音电话拨号、电话银行、安全控制、司法系统、军队和国防,六 虹膜识别技术,1.简介 虹膜识别技术是基于眼睛中的虹膜进行身份识别，应用于安防设备（如门禁等），以及有高度保密需求的场所。 人的眼睛结构由巩膜、虹膜、瞳孔晶状体、视网膜等部分组成。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分，其包含有很多相

15、互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征。而且虹膜在胎儿发育阶段形成后，在整个生命历程中将是保持不变的。这些特征决定了虹膜特征的唯一性，同时也决定了身份识别的唯一性。因此，可以将眼睛的虹膜特征作为每个人的身份识别对象。 例如，在好莱坞大片中，通过扫描眼睛视网膜开启保密房间或保险箱的炫酷场景，大家一定还记忆犹新吧！使用虹膜识别技术，为需要高度保密的场所提供了高度安全保障。,六 虹膜识别技术,2.关键技术1）虹膜图像采集2）虹膜图像预处理3）特征提取4）分类3.应用领域1）门禁和考勤2）金融和证券3）电子护照和第二代身份证4）其他需要身份认证的场合5）信息安全6）特殊行业,六 虹膜识别技术

16、,门禁和考勤、电子护照和第二代身份证、其他需要身份认证的场合等,七 视网膜图像识别技术,优点视网膜是一种极其固定的生物特征，不磨损、不老化、不受疾病影响；使用者无需和设备直接接触；是一个最难欺骗的系统，因为视网膜不可见，所以不会被伪造。缺点未经测试；激光照射眼球的背面可能会影响使用者健康，这需要进一步的研究；对消费者而言，视网膜技术没有吸引力；很难进一步降低成本。,七 视网膜图像识别技术,思考：和虹膜识别技术的区别 虹膜是一种在眼睛中瞳孔内的织物状各色环状物，每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。而视网膜也是一种用于生物识别的特征

17、，有人甚至认为视网膜是比虹膜更唯一的生物特征，视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。,七 视网膜图像识别技术,谷歌眼镜、手机视网膜识别、考勤系统等,八 掌纹识别技术,简介: 身份识别是加强信息和系统等安全性的基本方法之一。传统的身份识别技术具有不方便、不安全、不可靠等诸多缺点，而生物识别技术是克服这些缺点的有效途径。作为一种新兴的生物识别技术，掌纹识别是具有精度高、速度快、价格底、容易被用户接受等优点，因而具有非常广阔的应用前景。,八 掌纹识别技术,1.概念 掌纹识别技术是近几年提出的一种较新的生物特征识别技术。掌纹是指手指末端到手腕部分的手掌图像。其中很多特征可以用来

18、进行身份识别：如主线、皱纹、细小的纹理、脊末梢、分叉点等。掌纹识别技术也是一种非侵犯性的识别方法，用户比较容易接受，对采集设备要求不高。随着信息技术和网络技术的高速发展，信息安全显示出前所未有的重要性。生物识别技术以其特有的稳定性、唯一性和方便性，得到越来越广泛的应用。掌纹识别作为一项新兴的生物识别技术，因具有采样简单、图像信息丰富、用户接受程度高、不易伪造、受噪声干扰小等特点受到国内外研究人员的广泛关注。但是由于掌纹识别技术起步较晚，尚处于学习和借鉴其他生物特征识别技术的阶段,八 掌纹识别技术,2.技术原理 首先对采集的掌纹训练样本进行预处理，然后进行特征提取，把提取的掌纹特征存入特征数据库

19、中留待与被分类样本进行匹配。测试样本分类阶段是对获取的测试样本经过与训练样本相同的预处理、特征提取步骤后，送入分类器进行分类。这两部分都包括以下三步：掌纹图像采集、预处理以及特征提取。 掌纹图像采集：掌纹图像采集的目的就是利用某种数字设备实现把掌纹转换成可以用计算机处理的矩阵数据。一般采集的都是二维灰度图像。,八 掌纹识别技术,考勤、网络应用、身份检测等,十 访问控制,1.概念 访问控制是几乎所有系统（包括计算机系统和非计算机系统）都需要用到的一种技术。访问控制是：给出一套方法，将系统中的所有功能标识出来，组织起来，托管起来，将所有的数据组织起来标识出来托管起来， 然后提供一个简单的唯一的接口

20、，这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是：谁是否对某资源具有实施 某个动作（运动、计算）的权限。返回的结果只有：有、没有、权限引擎异常了。,十 访问控制,2.功能主要有以下： 防止非法的主体进入受保护的网络资源。 允许合法用户访问受保护的网络资源。 防止合法的用户对受保护的网络资源进行非授权的访问。,十 访问控制,访问控制的功能及原理 访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。 访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计。,（1）认证。包括主体对客体的识别及客体对主体的检验确认。（2）控制策略。通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围。（3）安全审计。系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。,