PKIPMI技術分類和身份認證

1、PKI/PMI技術分類和身份認證2一、PKI技術二、PMI技術三、身份認證技術3PKI就在我們身邊電子商務（包括移動商務）電子支付，電子合同、數(shù)字簽名國防在線訪問軍事資源、通信保密、文件保密、秘密分級管理、各部門通信協(xié)調(diào)。電子政務電子公章、資源訪問控制、文件保密登錄授權VPN456國內(nèi)外PKI發(fā)展二十世紀八十年代，美國學者提出了PKI（公開密鑰基礎設施）的概念1996年成立了聯(lián)邦PKI指導委員會1999年，PKI論壇成立 2000年4月，美國國防部宣布要采用PKI安全倡議方案 2001年6月13日， “亞洲PKI論壇”成立2002年2月經(jīng)國家計委批準，正式成立了“中國PKI論壇”籌備工作組20

2、02年7月2日到5日在北京召開了“亞洲PKI論壇”第二屆年會 2007年11月7日，“亞洲PKI聯(lián)盟”（APKIC，Asia PKI Consortium）成立大會在中國西安召開。7中國的PKI建設(1)區(qū)域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（簡稱HBECA）；海南電子商務認證中心（HNECA）；廣東省電子商務認證中心 行業(yè)型金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關證書機構 國內(nèi)十三家商業(yè)銀行聯(lián)合建設中國金融認證中心(CFCA)中國電信組建的CTCA由國家外經(jīng)貿(mào)部建立的中國國際電子商務中心（CIECC）國家根CA國家密碼管理局8中國的PKI建設(

3、2)獲證機構和發(fā)證數(shù)量，逐年增加至2005年底，15家CA，發(fā)證總量236萬至2006年底，21家CA，累計發(fā)證546萬至2007年底，26家CA，初步統(tǒng)計發(fā)證約740多萬上海CA累計發(fā)證突破90萬（2007年7月）CFCA累計發(fā)證突破100萬（2006年7月）山東CA已發(fā)放證書40多萬張（2006年1月）9中國的PKI建設(3)應用領域網(wǎng)上支付2006年3月，支付寶公司推出國內(nèi)支付領域首張數(shù)字證書電子病歷截至2007年12月，廣西醫(yī)科大學第一附屬醫(yī)院36個臨床病區(qū)采用電子病歷，5萬份電子病歷使用電子簽名2007年，廣東中山市人民醫(yī)院1300余名醫(yī)護人員制作了證書網(wǎng)上交易平臺2007年，廣東省

4、開通網(wǎng)上藥品采購平臺，發(fā)放6000多張證書10一、PKI技術PKI的概述PKI （Public Key Infrastructure）是硬件、軟件、策略和人組成的系統(tǒng)，當完全并且正確的實施后，能夠提供一整套的信息安全保障，這些保障對保護敏感的通信和交易是非常重要的。PKI的主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下應用PKI提供的服務，從而實現(xiàn)網(wǎng)上傳輸數(shù)據(jù)的機密性、完整性、真實性和有效性要求。普適性：只要遵循必要的原則，就能使用提供的服務。比如：網(wǎng)絡基礎設施、電力基礎設施等。安全服務：公鑰密碼的功能、密碼的功能等。11PKI是一個完整系統(tǒng)維

5、持一個可靠的網(wǎng)絡環(huán)境 提供非對稱式加密算法數(shù)字簽名可向許多不同類型的應用提供服務PKI意味著密鑰管理證書管理 PKI模式12認證：采用數(shù)字簽名技術，簽名作用于相應的數(shù)據(jù)之上被認證的數(shù)據(jù) 數(shù)據(jù)源認證服務用戶發(fā)送的遠程請求 身份認證服務遠程設備生成的challenge信息 身份認證完整性：PKI采用了兩種技術數(shù)字簽名：既可以是實體認證，也可以是數(shù)據(jù)完整性MAC(消息認證碼)：如DES-CBC-MAC或者HMAC-MD5保密性：用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密不可否認：發(fā)送方的不可否認 數(shù)字簽名其他：性能問題、使用方式問題等 PKI作用13PKI系統(tǒng)由認證中心CA(Certificate

6、 Authority)、證書庫、密鑰備份及恢復系統(tǒng)、證書作廢處理系統(tǒng)和應用接口等主要組成部分，如圖 PKI認證中心CA證書庫密鑰備份和恢復系統(tǒng)證書作廢處理系統(tǒng)應用接口 PKI組成141CA CA是PKI的核心，它是數(shù)字證書的簽發(fā)機構。 CA的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書。 CA主要由安全服務器、 CA服務器 、注冊機構RA (Registry Authority，負責證書申請受理審核)、數(shù)據(jù)庫服務器、LDAP目錄服務器等部分組成。 2證書庫 證書庫就是證書的集中存放地，包括LDAP(輕型目錄訪問協(xié)議)目錄服務器和普通數(shù)據(jù)庫，用于對用戶申請

7、、證書、密鑰、CRL(證書撤銷列表)和日志等信息進行存儲和管理，并提供一定的查詢功能。 一般來說，為了獲得及時的服務，證書庫的訪問和查詢操作時間必須盡量的短，證書和證書撤銷信息必須盡量小，這樣才能減少總共要消耗的網(wǎng)絡帶寬。 PKI組成153密鑰備份及恢復系統(tǒng) 密鑰的備份與恢復應該由可信的機構來完成，認證中心CA可以充當這一角色。4證書作廢處理系統(tǒng) 作廢證書一般通過將證書列入作廢證書列表（CRL）來完成。證書的作廢處理必須在安全及可驗證的情況下進行，系統(tǒng)還必須保證CRL的完整性。5應用接口 PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務，因此，一個完整的PKI必須提供良好的應用接口

8、系統(tǒng)，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡環(huán)境的可信性，同時降低管理維護成本。 PKI組成16 PKI關鍵技術數(shù)字證書證書認證中心（CA）證書廢除機制CA信任模式17數(shù)字證書什么是數(shù)字證書一段包括用戶身份信息、用戶公鑰信息以及身份驗證機構數(shù)字簽名的數(shù)據(jù)一個經(jīng)證書認證中心（CA）簽名的包括公鑰擁有者信息及公鑰信息的文件數(shù)字證書的作用網(wǎng)絡通信的身份證明，解決相互間信任問題用戶公鑰信息用于數(shù)據(jù)加密，保證數(shù)據(jù)保密性、用戶身份的不可抵賴性18相互關系示意圖證書序列號 xxxxx:有效期: Nov.08,2001 - Nov.08,2008用戶名組織名部門Sta

9、tus:公鑰: ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl簽名信息公鑰認證機構私鑰19數(shù)字證書的格式公鑰證書是專為Internet的應用環(huán)境制定的，但很多建議都可以應用于企業(yè)環(huán)境 ,第3版的證書結(jié)構如圖: 證書的有效時間段證書的版本標識符(例如，版本3)標識證書的唯一整數(shù)用于簽證書的算法識別符和簽名值證書頒發(fā)者的唯一識別名證書擁有者的公鑰(和算法識別符）由授權CA簽名(頒發(fā)者)版本號序列號簽名頒發(fā)者有效期主體主體公鑰信息頒發(fā)者唯一標識符主體唯一標識符擴展頒發(fā)者的可選唯一標識符主體的唯一標識符可選擴展證書

10、擁有者的唯一識別名2021證書的申請有兩種方式，一是在線申請，另外一個就是離線申請。在線申請就是通過瀏覽器或其他應用系統(tǒng)通過在線的方式來申請證書，這種方式一般用于申請普通用戶證書或測試證書。離線方式一般通過人工的方式直接到證書機構證書受理點去辦理證書申請手續(xù)，通過審核后獲取證書，這種方式一般用于比較重要的場合，如服務器證書和商家證書等。 證書的申請和撤銷22一般的證書產(chǎn)生流程狀態(tài)查詢認證機構證書資料庫注冊機構RA發(fā)布證書及CRL私鑰證書公鑰證書申請證書公鑰公鑰公鑰23證書申請的步驟用戶首先下載CA的證書，又叫根證書。然后在證書的申請過程中使用SSL安全方式與服務器建立連接，用戶填寫個人信息，瀏

11、覽器生成私鑰和公鑰對，將私鑰保存客戶端特定文件中，并且要求用口令保護私鑰，同時將公鑰和個人信息提交給安全服務器。安全服務器將用戶的申請信息傳送給注冊機構服務器。 24注冊機構審核用戶與注冊機構人員聯(lián)系，證明自己的真實身份。 注冊機構操作員利用自己的瀏覽器與注冊機構服務器建立SSL安全通信，該服務器需要對操作員進行嚴格的身份認證，包括操作員的數(shù)字證書、IP地址，為了進一步保證安全性，可以設置固定的訪問時間。操作員首先查看目前系統(tǒng)中的申請人員，從列表中找出相應的用戶，點擊用戶名，核對用戶信息，并且可以進行適當?shù)男薷模绻僮鲉T同意用戶申請證書請求，必須對證書申請信息進行數(shù)字簽名。操作員也有權利拒絕

12、用戶的申請。操作員與服務器之間的所有通信都采用加密和簽名，保證了系統(tǒng)的安全性和有效性。25CA發(fā)行證書注冊機構RA通過硬拷貝的方式向CA傳輸用戶的證書申請與操作員的數(shù)字簽名，CA操作員查看用戶的詳細信息，并且驗證操作員的數(shù)字簽名，如果簽名驗證通過，則同意用戶的證書請求，頒發(fā)證書。然后CA將證書輸出。反之，則拒絕證書申請。 CA頒發(fā)的數(shù)字證書中包含關于用戶及CA自身的各種信息，如：能唯一標識用戶的姓名及其他標識信息，如個人的email地址；證書持有者的公鑰。 公鑰用于為證書持有者加密敏感信息、簽發(fā)個人證書的認證機構的名稱、個人證書的序列號和個人證書的有效期等 。26注冊機構證書轉(zhuǎn)發(fā)注冊機構RA操

13、作員從CA處得到新的證書，首先將證書輸出到LDAP目錄服務器以提供目錄瀏覽服務，最后操作員向用戶發(fā)送一封電子郵件，通知用戶證書已經(jīng)發(fā)行成功，并且把用戶的證書序列號告訴用戶到指定的網(wǎng)址去下載自己的數(shù)字證書。并且告訴用戶如何使用安全服務器上的LDAP配置，讓用戶修改瀏覽器的客戶端配置文件以便訪問LDAP服務器，獲得他人的數(shù)字證書。 27用戶證書獲取用戶使用證書申請時的瀏覽器到指定的網(wǎng)址，鍵入自己的證書序列號，服務器要求用戶必須使用申請證書時的瀏覽器，因為瀏覽器需要用該證書相應的私鑰去驗證數(shù)字證書。只有保存了相應私鑰的瀏覽器才能成功下載用戶的數(shù)字證書。 這時用戶打開瀏覽器的安全屬性，就可以發(fā)現(xiàn)自己已

14、經(jīng)擁有了CA頒發(fā)的數(shù)字證書，可以利用該數(shù)字證書與其他人以及web服務器（擁有相同CA頒發(fā)的證書）使用加密、數(shù)字簽名進行安全通信。28證書撤銷流程用戶向注冊機構操作員CRLManager發(fā)送一封簽名加密的郵件，聲明自己自愿撤消證書。注冊機構同意證書撤消，操作員鍵入用戶的序列號，對請求進行數(shù)字簽名。CA查詢證書撤消請求列表，選出其中的一個，驗證操作員的數(shù)字簽名，如果正確的話，則同意用戶的證書撤消申請，同時更新CRL列表，然后將CRL以多種格式輸出。注冊機構轉(zhuǎn)發(fā)證書撤消列表。操作員導入CRL，以多種不同的格式將CRL公布于眾。 用戶瀏覽安全服務器，下載或瀏覽CRL。 29證書認證中心（CA）CA的功

15、能證書的申請證書的審批和頒發(fā)證書的更新證書的查詢證書的注銷證書的歸檔CA自身的管理30CA的層次結(jié)構自上而下信任，下級信任上級、下級由上級簽發(fā)31CA的分類 1、區(qū)域性CA針對某一特定區(qū)域進行證書服務。上海、山東、廣東、深圳及福建等省份。 2、行業(yè)性CA針對某一特定行業(yè)進行證書服務。CFCA（人行）、外經(jīng)貿(mào)委CA、電信CA等。 3、企業(yè)級CA企業(yè)內(nèi)部的小型CA，一般不對外服務。32CA根證書CA自身擁有一對密鑰對，是CA的核心秘密。CA利用自己的私有密鑰簽發(fā)用戶的公鑰證書。根證書是上級CA給本CA簽發(fā)的數(shù)字證書，是CA自身的公鑰證書。構成證書信任鏈： CA根證書用戶公鑰證書用戶33證書廢除機制

16、CRL數(shù)據(jù)格式3435CA信任模式級聯(lián)模式(層次信任模型)適合大型組織機構部署方便不適合互聯(lián)網(wǎng)不適合非層次機構信任是絕對的單點失敗危害大和現(xiàn)實生活中的信任關系差別大36網(wǎng)狀模型(分布式信任模型)具有更好的靈活性增加新的CA容易系統(tǒng)的安全性較高路徑發(fā)現(xiàn)比較困難37橋接模式實用性強，保證不同信任之間的互通增加了復雜度策略對應困難可操作性差38Web信任模型 Web信任模型構建在Web瀏覽器的基礎上，瀏覽器廠商在瀏覽器（如Internet Explorer、Tencent Traveler、Mozilla Firefox、Opera等）中內(nèi)置了多個根CA，每個根CA相互間是平行的，瀏覽器用戶同時信任

17、多個根CA并把這些根CA作為自己的信任錨。 39二、PMI技術 授權管理基礎設施（Privilege Management Infrastructure，PMI）是國家信息安全基礎設施的一個重要組成部分，目標是向用戶和應用程序提供授權管理服務，提供用戶身份到應用授權的映射功能，提供與實際應用處理模式相對應的、與具體應用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機制，簡化具體應用系統(tǒng)的開發(fā)和維護。40PMI的概念 PMI是在PKI發(fā)展的過程中為了將用戶權限的管理與其公鑰的管理分離，由IETF提出的一種標準。PKI以公鑰證書為基礎，實現(xiàn)用戶身份的統(tǒng)一管理，而PMI以2000年推出的X.509 v4標準中提

18、出的屬性證書為基礎，實現(xiàn)用戶權限的統(tǒng)一管理。 概括地講：PMI以資源管理為核心，對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個用戶有什么權限、能干什么。PMI需要PKI為其提供身份認證。 41PMI的組成 PMI主要由屬性權威（Attribute Authority，AA)、屬性證書（Attribute Certification，AC)和屬性證書庫3部分組成。1屬性權威（AA） 屬性權威（AA）也稱為“授權管理中心”或“屬性權威機構”，是整個PMI系統(tǒng)的核心，它為不同的用戶和機構進行屬性證書（AC）創(chuàng)建、存儲、簽發(fā)和撤銷，負責管

19、理AC的整個生命周期。 42 如圖3-10所示的是AA的層次結(jié)構。其中，在該樹型結(jié)構最頂端（樹根）的是權威源（Source of Authority，SOA）。 圖3-10 AA的層次結(jié)構 432屬性證書（AC） 屬性證書（AC）是由PMI的權威機構（即屬性權威，AA）簽發(fā)的將實體與其享有的權限屬性捆綁在一起的數(shù)據(jù)結(jié)構，權威機構的數(shù)字簽名保證了綁定的有效性和合法性。AC主要用于授權管理。屬性證書的格式如圖所示。 443屬性證書庫 屬性證書庫用于存儲屬性證書，一般情況下采用LDAP目錄服務器。在屬性證書庫中采用LDAP目錄服務器主要出于以下幾點考慮：(1) LDAP目錄服務器能夠處理大量的用戶并

20、發(fā)，便于屬性證書的檢索，并具有更快的響應速度；(2) LDAP服務器具有完善的安全機制，可以通過訪問控制列表(ACL)設置對目錄數(shù)據(jù)的讀和寫的權限，通過支持基于SSL的安全機制完成對明文的加密，可以為屬性證書的管理提供安全保障；(3) LDAP服務可以跨平臺操作，支持幾乎所有的主流操作系統(tǒng)；(4) 同步復制功能。例如，分布在不同地理位置的兩臺目錄服務器可以使服務器保持數(shù)據(jù)的同步和一致；(5) LDAP服務器的數(shù)據(jù)的組織方式采用樹型層次結(jié)構，便于擴展。45基于角色的訪問控制 傳統(tǒng)的訪問控制機制主要有自主訪問控制（Discretionary Access Control，DAC）和強制訪問控制（M

21、andatory Access Control，MAC）。1）自主訪問控制（基于身份的訪問控制） 主要思想：系統(tǒng)的主體可以自主地將其擁有的對客體的訪問權限授予其 他主體，且這種授予具有可傳遞性。 特點：靈活性高，但授權管理復雜，安全性低。 2）強制訪問控制（基于規(guī)則的訪問控制） 主要思想：將主體和客體分級，根據(jù)主體和客體的級別標識來決定訪問 控制。 特點：便于管理，但靈活性差，完整性方面控制不夠。 463）基于角色的訪問控制RBAC：Role-Based Access Control， 20世紀90年代發(fā)展起來。主要思想：根據(jù)用戶在組織內(nèi)的職稱、職務及所屬的業(yè)務部門等信息 來定義用戶擁有的角色

22、。特點：減少授權管理的復雜度，降低管理開銷，提高訪問控制的安全性，而且能夠?qū)崿F(xiàn)基于策略的授權管理和訪問控制。 以資源分配管理為主的PMI系統(tǒng)，其授權管理是基于角色的。與傳統(tǒng)的訪問控制機制相比，在PMI系統(tǒng)中的基于角色的授權管理模式主要存在以下三個方面的優(yōu)勢： （1）授權管理的靈活性。 （2）授權操作與業(yè)務操作相分離。 （3）多授權模型的靈活支持。47PMI系統(tǒng)框架 授權管理基礎設施（PMI）在體系上可以分為三級，分別是：權威源（Source of Authority, SOA）、屬性權威（AA）和AA代理點。在實際應用中，這種分級體系可以根據(jù)需要進行靈活配置，可以是三級、二級或一級。PMI系統(tǒng)

23、的基本框架如圖所示。 48PMI與PKI之間的關系 在建設PMI設施時，必須擁有足夠安全性的PKI設施。其中，PKI負責公鑰信息的管理，而PMI負責權限的管理。PMI設施中的每一個AA實體和終端用戶都是PKI設施的用戶，所以此從應用角度來看，PMI和PKI的發(fā)展是相輔相成并互為條件的。雖然PMI是在PKI的基礎上提出的，但是PMI的應用和發(fā)展離不開PKI設施的支持。 可以將PMI和PKI綁定在一起，也可以讓PMI與PKI在物理上分開。 49三、身份認證技術在現(xiàn)實社會中，常常被問到：你是誰？在網(wǎng)絡世界里，這個問題仍然很重要，許多信息系統(tǒng)在使用前，都要求用戶注冊，通過驗證后才能進入。身份認證也稱“

24、身份驗證”或“身份鑒別”，是防止未授權用戶進入信息系統(tǒng)的第一道防線。是指在計算機及計算機網(wǎng)絡系統(tǒng)中確認操作者身份的過程。50身份認證含義身份認證包含身份的識別和驗證， 身份識別就是確定某一實體的身份，知道這個實體是誰； 身份驗證就是對聲稱是誰的聲稱者的身份進行或檢驗的過程。前者是主動識別對方的身份，后者是對對方身份的檢驗和證明。51身份認證含義在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權也是針對用戶數(shù)字身份進行的。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。保證操作者的物理身份與數(shù)字身份相對應，就是身

25、份認證管理系統(tǒng)所需要解決的問題。52身份認證的基本途徑基于所知道的（What you know ）知識、口令、密碼基于所擁有的（What you have ）身份證、信用卡、鑰匙、智能卡、令牌等基于個人特征（What you are）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認證53身份認證方法1. 基于用戶已知信息的身份認證(1) 口令 口令（或通行字）是最被廣泛研究和應用的一種身份驗證方法，也是最簡單的身份認證方法。 口令的優(yōu)點：用戶名/口令方式已經(jīng)成為信息系統(tǒng)最為常見的限制非法 用戶的手段，使用非常方便。只要管理適當，口令不失 為一種有效的安全保障手段。 口令的缺點：信息系

26、統(tǒng)的安全依賴于口令的安全。 此外，許多信息系統(tǒng)對用戶名/口令的身份認證方式進行了改進，采用用戶名+口令+驗證碼的方式，驗證碼要求用戶從圖片或其他載體中讀取，有效地避免了暴力攻擊。 54身份認證方法(2) 密鑰 此處密鑰的概念是針對密碼學原理而言的，即指對稱密碼算法的密鑰、非對稱密碼算法的公開密鑰和私有密鑰。 密鑰的優(yōu)點：基于復雜的密碼運算，算法的安全性大為提高。 密鑰的缺點：運算復雜，效率不高，使用不方便。使用對稱密 鑰算法時，認證對方身份的前提是他必須保守共 享密鑰這個秘密，這本身就是脆弱的。55身份認證方法2. 基于用戶所擁有的物品的身份認證(1) 記憶卡最普通的記憶卡是磁卡，磁卡的表面貼

27、有磁條，磁條上記錄用于機器識別的個人信息。 記憶卡的優(yōu)點：記憶卡明顯比口令安全，廉價易于生產(chǎn)。 記憶卡的缺點：易于制造，磁條上的數(shù)據(jù)也不難轉(zhuǎn)錄。(2) 智能卡智能卡是一種內(nèi)置集成電路的芯片，包含微處理器、存儲器和輸入輸出接口設備。存儲信息遠大于磁條的250字節(jié)的容量，具有信息處理功能。智能卡由合法用戶隨身攜帶，登錄時將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。56身份認證方法智能卡內(nèi)存有用戶的密鑰和數(shù)字證書等信息，而且還能進行有關加密和數(shù)字簽名運算，功能比較強大。這些運算都在卡內(nèi)完成，不使用計算機內(nèi)存，因而十分安全。由于智能卡結(jié)合了先進的集成電路芯片，具有快速運算、存儲量大、安全

28、性高以及難以破譯等優(yōu)點，是未來卡片的發(fā)展趨勢。(3) USB KeyUSB Key是一種USB接口的硬件存儲設備，它內(nèi)置單片機或芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key 內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證?；赨SB Key 身份認證系統(tǒng)主要有兩種應用模式：一是基于沖擊/響應的認證模式，二是基于PKI 體系的認證模式。它的原理類似智能卡，區(qū)別在于外形、功能和使用方式方面。57身份認證方法3. 基于用戶生物特征的身份認證生物識別技術主要是指通過可測量的身體或行為等生物特征進行身份認證的一種技術。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和

29、行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型和DNA 等；行為特征包括：簽名、語音、行走步態(tài)等。目前部分學者將視網(wǎng)膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、DNA 識別等歸為“深奧的”生物識別技術。58身份認證方法與傳統(tǒng)身份認證技術相比，生物識別技術具有以下特點：( 1) 隨身性：生物特征是人體固有的特征，具有隨身性。( 2) 安全性：人體特征是個人身份的最好證明，滿足更高的安全需求。( 3) 唯一性：每個人擁有的生物特征各不相同。( 4) 穩(wěn)定性：人體特征不會隨時間等條件的變化而變化。(5) 方便性：生物識別技術不需記憶密碼與使用特殊工具， 不會遺失。59身份認證協(xié)議之SSL協(xié)議SSL (Secure socket Layer)安全套接層協(xié)議是一種在客戶端和服務器端之間建立安全通道的協(xié)議，主要是使用公開密鑰體制和數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的