身份認(rèn)證與訪問控制課件

電子商務(wù)安全與保密第五章身份認(rèn)證與訪問控制身份認(rèn)證與訪問控制一口令識別法二指紋識別技術(shù)三人臉識別技術(shù)四簽名鑒別與筆跡鑒別五聲紋識別技術(shù)六虹膜識別技術(shù)七視網(wǎng)膜圖像識別技術(shù)八掌紋識別技術(shù)九生物特征識別技術(shù)的發(fā)展前景十訪問控制十一訪問控制類產(chǎn)品一口令識別法ISO在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)中定義了5個層次的安全服務(wù)，包括身份認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)保密服務(wù)，數(shù)據(jù)完整性服務(wù)，反否認(rèn)服務(wù)。①身份認(rèn)證服務(wù)即鑒別認(rèn)證，是指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確定對方身份；②訪問控制服務(wù)：訪問控制是通過某種途徑顯示地準(zhǔn)許或限制訪問能力及范圍，從而限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作而造成破壞；一口令識別法1.用戶識別方法分類1）根據(jù)用戶知道什么來判斷。通過用戶能不能說出口令來判斷，如Unix口令系統(tǒng)。2）根據(jù)用戶擁有什么來判斷。能否提供正確的物理鑰匙，如普通的門鑰匙和磁卡鑰匙。3）根據(jù)用戶是什么來判斷。用戶生理特征和記錄對比，如指紋、聲音、視網(wǎng)膜、簽名等。一口令識別法2.不安全口令的分析1）使用用戶名（賬號）作為口令2）使用用戶名（賬號）的變換形式作為口令3）使用自己或者親友的生日作為口令4）使用學(xué)號、身份證號、單位內(nèi)的員工號碼等作為口令5）使用常見的英文單詞作為口令上述方式幾乎都能輕易破解。一口令識別法怎樣設(shè)置我們的口令呢？原則：首先必須8位長度或者更長，其次必須包括大小寫、數(shù)字字母，再次設(shè)置一定使用時間，最后就是不要太常見。一口令識別法3.一次性口令由哈希函數(shù)產(chǎn)生一次性口令，即用戶在每次同服務(wù)器連接過程中所使用的口令在網(wǎng)上傳輸時都是加密的密文，這些密文在每次連接時都是不同的，即口令密文是一次有效的。1）特點：概念簡單，易于使用?；谝粋€被記憶的密碼，不需要任何附加的硬件。安全算法。不需要存儲諸如秘鑰、口令等敏感信息。2）OTP認(rèn)證技術(shù)的原理基本思想：在摘錄過程中基于用戶的秘密通行短語加入不確定因素，使每次登陸過程中摘錄所得的密碼都不相同，用戶真正的密碼通行短語根本不在網(wǎng)上傳輸，從而提高登錄過程的安全性。一口令識別法4）一次性口令協(xié)議及其安全性一次性密碼(OneTimePassword，簡稱OTP)，又稱"一次性口令"，是指只能使用一次的密碼。一次性密碼是根據(jù)專門算法、每隔60秒生成一個不可預(yù)測的隨機(jī)數(shù)字組合，iKEY一次性密碼已在金融、電信、網(wǎng)游等領(lǐng)域被廣泛應(yīng)用，有效地保護(hù)了用戶的安全。

一口令識別法4.SecurID卡系統(tǒng)是基于時間同步的一次性口令系統(tǒng)。二指紋識別技術(shù)1.簡介指紋識別（fingerprinting），生物識別技術(shù)。指紋識別系統(tǒng)是一個典型的模式識別系統(tǒng)，包括指紋圖像獲取、處理、特征提取和比對等模塊。指紋識別技術(shù)是目前最成熟且價格便宜的生物特征識別技術(shù)。目前來說指紋識別的技術(shù)應(yīng)用最為廣泛，我們不僅在門禁、考勤系統(tǒng)中可以看到指紋識別技術(shù)的身影，市場上有了更多指紋識別的應(yīng)用：如筆記本電腦、手機(jī)、汽車、銀行支付都可應(yīng)用指紋識別的技術(shù)。2.幾種技術(shù)和特點光學(xué)全反射技術(shù)、硅晶體電容傳感技術(shù)、超聲波技術(shù)二指紋識別技術(shù)指紋識別技術(shù)的主要優(yōu)點為：1、指紋是人體獨一無二的特征，并且它們的復(fù)雜度足以提供用于鑒別的足夠特征；2、如果要增加可靠性，只需登記更多的指紋、鑒別更多的手指，最多可以多達(dá)十個，而每一個指紋都是獨一無二的；3、掃描指紋的速度很快，使用非常方便；4、讀取指紋時，用戶必需將手指與指紋采集頭相互接觸，與指紋采集頭直接；5、接觸是讀取人體生物特征最可靠的方法；6、指紋采集頭可以更加小型化，并且價格會更加的低廉；二指紋識別技術(shù)指紋識別技術(shù)的主要缺點為：1、某些人或某些群體的指紋指紋特征少，難成像；2、過去因為在犯罪記錄中使用指紋，使得某些人害怕“將指紋記錄在案”。3、實際上指紋鑒別技術(shù)可以不存儲任何含有指紋圖像的數(shù)據(jù)，而只是存儲從指紋中得到的加密的指紋特征數(shù)據(jù)；4、每一次使用指紋時都會在指紋采集頭上留下用戶的指紋印痕，而這些指紋痕跡存在被用來復(fù)制指紋的可能性。5、指紋是用戶的重要個人信息，某些應(yīng)用場合用戶擔(dān)心信息泄漏。二指紋識別技術(shù)4.可靠性指紋識別技術(shù)是成熟的生物識別技術(shù)。因為每個人包括指紋在內(nèi)的皮膚紋路在圖案、斷點和交叉點上各不相同，是唯一的，并且終生不變。通過他的指紋和預(yù)先保存的指紋進(jìn)行比較，就可以驗證他的真實身份。自動指紋識別是利用計算機(jī)來進(jìn)行指紋識別的一種方法。它得益于現(xiàn)代電子集成制造技術(shù)和快速而可靠的算法理論研究。盡管指紋只是人體皮膚的一小部分，但用于識別的數(shù)據(jù)量相當(dāng)大，對這些數(shù)據(jù)進(jìn)行比對是需要進(jìn)行大量運算的模糊匹配算法。利用現(xiàn)代電子集成制造技術(shù)生產(chǎn)的小型指紋圖像讀取設(shè)備和速度更快的計算機(jī)，提供了在微機(jī)上進(jìn)行指紋比對運算的可能。另外，匹配算法可靠性也不斷提高。因此，指紋識別技術(shù)己經(jīng)非常簡單實用。由于計算機(jī)處理指紋時，只是涉及了一些有限的信息，而且比對算法并不是十分精確匹配，其結(jié)果也不能保證100%準(zhǔn)確。二指紋識別技術(shù)筆記本電腦、手機(jī)、汽車、銀行支付等應(yīng)用三人臉識別技術(shù)1.簡介人臉識別，是基于人的臉部特征信息進(jìn)行身份識別的一種生物識別技術(shù)。用攝像機(jī)或攝像頭采集含有人臉的圖像或視頻流，并自動在圖像中檢測和跟蹤人臉，進(jìn)而對檢測到的人臉進(jìn)行臉部的一系列相關(guān)技術(shù)，通常也叫做人像識別、面部識別。三人臉識別技術(shù)數(shù)碼相機(jī)、門禁系統(tǒng)、身份辨識、網(wǎng)絡(luò)應(yīng)用四簽名鑒別與筆跡鑒別1.聯(lián)機(jī)簽名鑒別4個步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別2.脫機(jī)簽名鑒別4個步驟：簽名數(shù)據(jù)采集，預(yù)處理，特征提取，分類鑒別五聲紋識別技術(shù)1.簡介：聲紋識別，生物識別技術(shù)的一種。也稱為說話人識別，有兩類，即說話人辨認(rèn)和說話人確認(rèn)。不同的任務(wù)和應(yīng)用會使用不同的聲紋識別技術(shù)，如縮小刑偵范圍時可能需要辨認(rèn)技術(shù)，而銀行交易時則需要確認(rèn)技術(shù)。五聲紋識別技術(shù)聲紋識別的應(yīng)用有一些缺點，比如同一個人的聲音具有易變性，易受身體狀況、年齡、情緒等的影響；比如不同的麥克風(fēng)和信道對識別性能有影響；比如環(huán)境噪音對識別有干擾；又比如混合說話人的情形下人的聲紋特征不易提?。弧鹊取１M管如此，與其他生物特征相比，聲紋識別的應(yīng)用有一些特殊的優(yōu)勢：(1)蘊含聲紋特征的語音獲取方便、自然，聲紋提取可在不知不覺中完成，因此使用者的接受程度也高；(2)獲取語音的識別成本低廉，使用簡單，一個麥克風(fēng)即可，在使用通訊設(shè)備時更無需額外的錄音設(shè)備；五聲紋識別技術(shù)(3)適合遠(yuǎn)程身份確認(rèn)，只需要一個麥克風(fēng)或電話、手機(jī)就可以通過網(wǎng)路(通訊網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò))實現(xiàn)遠(yuǎn)程登錄；(4)聲紋辨認(rèn)和確認(rèn)的算法復(fù)雜度低；(5)配合一些其他措施，如通過語音識別進(jìn)行內(nèi)容鑒別等，可以提高準(zhǔn)確率；……等等。這些優(yōu)勢使得聲紋識別的應(yīng)用越來越收到系統(tǒng)開發(fā)者和用戶青睞，聲紋識別的世界市場占有率15.8%，僅次于指紋和掌紋的生物特征識別，并有不斷上升的趨勢。五聲紋識別技術(shù)4.應(yīng)用領(lǐng)域1）考勤系統(tǒng)2）語音電話撥號3）電話銀行4）安全控制5）司法系統(tǒng)6）軍隊和國防五聲紋識別技術(shù)考勤系統(tǒng)、語音電話撥號、電話銀行、安全控制、司法系統(tǒng)、軍隊和國防六虹膜識別技術(shù)1.簡介虹膜識別技術(shù)是基于眼睛中的虹膜進(jìn)行身份識別，應(yīng)用于安防設(shè)備（如門禁等），以及有高度保密需求的場所。人的眼睛結(jié)構(gòu)由鞏膜、虹膜、瞳孔晶狀體、視網(wǎng)膜等部分組成。虹膜是位于黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分，其包含有很多相互交錯的斑點、細(xì)絲、冠狀、條紋、隱窩等的細(xì)節(jié)特征。而且虹膜在胎兒發(fā)育階段形成后，在整個生命歷程中將是保持不變的。這些特征決定了虹膜特征的唯一性，同時也決定了身份識別的唯一性。因此，可以將眼睛的虹膜特征作為每個人的身份識別對象。例如，在好萊塢大片中，通過掃描眼睛視網(wǎng)膜開啟保密房間或保險箱的炫酷場景，大家一定還記憶猶新吧！使用虹膜識別技術(shù)，為需要高度保密的場所提供了高度安全保障。六虹膜識別技術(shù)2.關(guān)鍵技術(shù)1）虹膜圖像采集2）虹膜圖像預(yù)處理3）特征提取4）分類3.應(yīng)用領(lǐng)域1）門禁和考勤2）金融和證券3）電子護(hù)照和第二代身份證4）其他需要身份認(rèn)證的場合5）信息安全6）特殊行業(yè)六虹膜識別技術(shù)門禁和考勤、電子護(hù)照和第二代身份證、其他需要身份認(rèn)證的場合等七視網(wǎng)膜圖像識別技術(shù)優(yōu)點·視網(wǎng)膜是一種極其固定的生物特征，不磨損、不老化、不受疾病影響；·使用者無需和設(shè)備直接接觸；·是一個最難欺騙的系統(tǒng)，因為視網(wǎng)膜不可見，所以不會被偽造。缺點·未經(jīng)測試；·激光照射眼球的背面可能會影響使用者健康，這需要進(jìn)一步的研究；·對消費者而言，視網(wǎng)膜技術(shù)沒有吸引力；·很難進(jìn)一步降低成本。七視網(wǎng)膜圖像識別技術(shù)思考：和虹膜識別技術(shù)的區(qū)別虹膜是一種在眼睛中瞳孔內(nèi)的織物狀各色環(huán)狀物，每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細(xì)絲、斑點、結(jié)構(gòu)、凹點、射線、皺紋和條紋等特征的結(jié)構(gòu)。而視網(wǎng)膜也是一種用于生物識別的特征，有人甚至認(rèn)為視網(wǎng)膜是比虹膜更唯一的生物特征，視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面以獲得視網(wǎng)膜特征的唯一性。七視網(wǎng)膜圖像識別技術(shù)谷歌眼鏡、手機(jī)視網(wǎng)膜識別、考勤系統(tǒng)等八掌紋識別技術(shù)簡介:身份識別是加強(qiáng)信息和系統(tǒng)等安全性的基本方法之一。傳統(tǒng)的身份識別技術(shù)具有不方便、不安全、不可靠等諸多缺點，而生物識別技術(shù)是克服這些缺點的有效途徑。作為一種新興的生物識別技術(shù)，掌紋識別是具有精度高、速度快、價格底、容易被用戶接受等優(yōu)點，因而具有非常廣闊的應(yīng)用前景。八掌紋識別技術(shù)1.概念掌紋識別技術(shù)是近幾年提出的一種較新的生物特征識別技術(shù)。掌紋是指手指末端到手腕部分的手掌圖像。其中很多特征可以用來進(jìn)行身份識別：如主線、皺紋、細(xì)小的紋理、脊末梢、分叉點等。掌紋識別技術(shù)也是一種非侵犯性的識別方法，用戶比較容易接受，對采集設(shè)備要求不高。隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息安全顯示出前所未有的重要性。生物識別技術(shù)以其特有的穩(wěn)定性、唯一性和方便性，得到越來越廣泛的應(yīng)用。掌紋識別作為一項新興的生物識別技術(shù)，因具有采樣簡單、圖像信息豐富、用戶接受程度高、不易偽造、受噪聲干擾小等特點受到國內(nèi)外研究人員的廣泛關(guān)注。但是由于掌紋識別技術(shù)起步較晚，尚處于學(xué)習(xí)和借鑒其他生物特征識別技術(shù)的階段

八掌紋識別技術(shù)2.技術(shù)原理首先對采集的掌紋訓(xùn)練樣本進(jìn)行預(yù)處理，然后進(jìn)行特征提取，把提取的掌紋特征存入特征數(shù)據(jù)庫中留待與被分類樣本進(jìn)行匹配。測試樣本分類階段是對獲取的測試樣本經(jīng)過與訓(xùn)練樣本相同的預(yù)處理、特征提取步驟后，送入分類器進(jìn)行分類。這兩部分都包括以下三步：掌紋圖像采集、預(yù)處理以及特征提取。掌紋圖像采集：掌紋圖像采集的目的就是利用某種數(shù)字設(shè)備實現(xiàn)把掌紋轉(zhuǎn)換成可以用計算機(jī)處理的矩陣數(shù)據(jù)。一般采集的都是二維灰度圖像。八掌紋識別技術(shù)考勤、網(wǎng)絡(luò)應(yīng)用、身份檢測等十訪問控制1.概念訪問控制是幾乎所有系統(tǒng)（包括計算機(jī)系統(tǒng)和非計算機(jī)系統(tǒng)）都需要用到的一種技術(shù)。訪問控制是：給出一套方法，將系統(tǒng)中的所有功能標(biāo)識出來，組織起來，托管起來，將所有的數(shù)據(jù)組織起來標(biāo)識出來托管起來，然后提供一個簡單的唯一的接口，這個接口的一端是應(yīng)用系統(tǒng)一端是權(quán)限引擎。權(quán)限引擎所回答的只是：誰是否對某資源具有實施某個動作（運動、計算）的權(quán)限。返回的結(jié)果只有：有、沒有、權(quán)限引擎異常了。十訪問控制2.功能主要有以下：①防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。②允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。③防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。十訪問控制訪問控制的功能及原理訪問控制的主要功能包括：保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，或防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。訪問控制首先需要對用戶身份的合法性進(jìn)行驗證，同時利用控制策略進(jìn)行