身份認證技術(shù) 課件全套 第1-6章 概述、用戶知道什么-身份認證中對抗性攻擊和防御

第一章

概論目錄CONTENTS04身份認證中的安全威脅01身份認證的定義和分類02身份認證的應(yīng)用場景03典型的身份認證方法01身份認證的定義和分類01身份認證的定義和分類身份認證（或“身份驗證”）是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程，也就是證實用戶的真實身份與其所聲稱的身份是否符合的過程。驗證用戶記憶的信息跟系統(tǒng)預(yù)先保存的信息是否一致。使用最多的認證方式有靜態(tài)文本口令和圖形口令。用戶知道什么：用戶知道什么驗證用戶是否持有某個實物（智能卡、USBKey、RFID設(shè)備、藍牙設(shè)備、動態(tài)口令設(shè)備等）。用戶有什么：用戶有什么驗證用戶獨特的生物特征（人臉、指紋、語音、掌紋、虹膜、靜脈、手寫簽名、走路姿態(tài)等）。用戶是誰：用戶是誰01身份認證的定義和分類作為確認操作者身份合法性的有效機制，身份認證的主要依據(jù)可以分為三類：用戶知道什么（Somethingyouknow）、用戶有什么（Somethingyouhave）、和用戶是誰（Somethingyouare）。02身份認證的應(yīng)用場景在登錄社交媒體與通訊工具時，用戶輸入用戶名和密碼來驗證其身份。購物軟件除了事先需要通過用戶名密碼進行賬號登錄，還可能需要通過生物特征驗證，如人臉識別等方式完成支付確認。智能手機除可通過PIN碼或密碼進行解鎖外，可通過繪制特定的圖案實現(xiàn)圖案鎖解鎖，或利用生物信息識別解鎖。身份認證的應(yīng)用在物聯(lián)網(wǎng)場景中可以確保每個設(shè)備都是可信任的，數(shù)據(jù)傳輸是安全的，系統(tǒng)不受惡意實體的侵入。許多國家現(xiàn)在都使用含有微芯片的電子身份證和護照，這些芯片存儲了持卡人的基本信息和生物識別數(shù)據(jù)，如指紋或面部掃描。在銀行和金融領(lǐng)域，身份認證是確保交易安全、防范欺詐和維護客戶信任的關(guān)鍵組成部分。02身份認證的應(yīng)用場景在線服務(wù)與應(yīng)用程序場景中：

設(shè)備及建筑物訪問場景中：公共服務(wù)與金融交易場景中：03典型的身份認證方法賬號\密碼模式是目前大多數(shù)網(wǎng)絡(luò)系統(tǒng)使用的身份認證方法，是通過用戶擁有的密碼與系統(tǒng)中的密碼進行匹配來確認用戶的合法性。智能卡廣泛應(yīng)用于銀行、通信、交通以及門禁等各個領(lǐng)域，通過其內(nèi)含芯片的不可復(fù)制性來保證用戶身份不被冒用。隨著技術(shù)的不斷革新，指紋、人臉等生物特征已經(jīng)開始應(yīng)用于考勤、支付等系統(tǒng)中。驗證碼是一種區(qū)分用戶是計算機還是人的全自動程序，是維護網(wǎng)絡(luò)空間安全的重要屏障之一。03典型的身份認證方法賬號\密碼：智能卡：生物特征：驗證碼：04身份認證中的安全威脅為了獲取用戶信息，攻擊者通常會針對不同的身份認證技術(shù)進行攻擊，從而帶來安全威脅。對于口令密碼來說，用戶在設(shè)定密碼的時候通常會選擇自己熟悉的數(shù)字編號。攻擊者可以通過窮舉、猜測、遍歷等方式來推斷用戶的口令。攻擊威脅除了存在口令被復(fù)制、盜取等面對攻擊的安全威脅，在用戶認證的過程中也存在一定的安全威脅，導(dǎo)致用戶信息的泄露，例如肩窺攻擊、網(wǎng)絡(luò)竊聽攻擊、重放攻擊等等。信息泄露風(fēng)險人工智能模型本身還存在一定的缺陷，容易受到對抗樣本攻擊、模型反演攻擊等等，這會導(dǎo)致身份認證系統(tǒng)認證失效，網(wǎng)絡(luò)空間失去安全屏障，安全性能難以保證等問題。人工智能相關(guān)安全04身份認證中的安全威脅第二章

用戶知道什么目錄CONTENTS01靜態(tài)文本口令02圖形口令01靜態(tài)文本口令1.1靜態(tài)文本口令

自20世紀90年代互聯(lián)網(wǎng)進入千家萬戶以來，互聯(lián)網(wǎng)服務(wù)（如電子商務(wù)、社交網(wǎng)絡(luò)）蓬勃發(fā)展，賬號密碼稱為互聯(lián)網(wǎng)世界里保護用戶信息安全最重要的手段之一。目前大多數(shù)網(wǎng)絡(luò)系統(tǒng)所使用的最簡單的訪問控制方法，也是通過口令的匹配來確認用戶的合法性的。系統(tǒng)為每一個合法用戶建立一個ID/PW（賬號/密碼）對，當用戶登錄系統(tǒng)時，提示用戶輸入自己的賬號和密碼，系統(tǒng)通過核對用戶輸入的賬號密碼與系統(tǒng)內(nèi)已有的合法用戶的ID/PW是否匹配，來驗證用戶的身份。

“賬號+密碼”身份驗證方式中提及的口令即為靜態(tài)文本口令，是由用戶自己設(shè)定的一串靜態(tài)數(shù)據(jù)，靜態(tài)文本口令一旦設(shè)定之后，除非用戶更改，否則將保持不變。這也成為了靜態(tài)文本口令的缺點，比如容易遭受偷窺、猜測、字典攻擊、暴力破解、竊取、監(jiān)聽、重放攻擊、木馬攻擊等。

靜態(tài)文本口令在系統(tǒng)安全性許可范圍內(nèi)簡單易用，認證過程中不需要其它的輔助設(shè)備，成本低，容易更改，因而通用性較強。靜態(tài)文本口令仍是目前應(yīng)用最為廣泛的認證方式之一，并且在未來一段時間內(nèi)，其將仍然作為身份認證的一項重要手段。1.1靜態(tài)文本口令靜態(tài)文本口令的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的口令安全性弱，復(fù)雜的靜態(tài)口令安全性高但是不易記憶和維護；靜態(tài)文本口令的安全性低，容易遭受各種形式的安全攻擊；靜態(tài)文本口令的風(fēng)險成本高，一旦泄密將可能造成最大程度的損失，而且在發(fā)生損失以前，用戶通常不知道口令已經(jīng)泄露。靜態(tài)文本口令的使用和維護不便，特別一個用戶有幾個，甚至十幾個靜態(tài)口令需要使用和維護時，靜態(tài)口令遺忘以及遺忘以后所進行的掛失、重置等操作通常需要花費較多的時間和精力，為靜態(tài)口令的正常使用帶來影響。靜態(tài)口令文本的缺點：要求用戶在固定時間段內(nèi)、固定設(shè)備上登陸不允許多人共享一個用戶名和口令限制口令的長度和內(nèi)容要求定期更換口令1.1靜態(tài)文本口令靜態(tài)文本口令認證技術(shù)在面臨網(wǎng)絡(luò)攻擊時顯得非常脆弱。為了提高靜態(tài)文本口令認證系統(tǒng)的安全性，一些系統(tǒng)對用戶的口令管理設(shè)置了一定的限制，例如：助記符口令策略致力于幫助用戶創(chuàng)建易于記憶且難以破解的口令，通常是采取某種容易記憶的方式設(shè)置口令，例如，通過一個句子、一個數(shù)學(xué)公式、一個鍵盤位置組合的變形表達來幫助記憶，具有口令安全性強且容易記憶的特點。助記符口令策略：隨機口令策略利用隨機性來確?？诹畹陌踩?，但是用戶在記憶時存在很大的困難。用戶若為了方便記憶口令，借用記事本等記錄工具，則會帶來另外的安全隱患。以此隨機口令策略不具備很好的可用性，通常與其他口令策略結(jié)合使用。隨機口令策略：為了使口令集中的口令多樣化，當系統(tǒng)中一定數(shù)量的用戶創(chuàng)建了某同一模式的口令時，則系統(tǒng)要求該模式在之后不能被使用，即在此刻之后要注冊的用戶將被禁止創(chuàng)建該模式的口令。動態(tài)口令策略（“自適應(yīng)口令生成策略”):1.2文本口令生成策略1.2文本口令生成策略

1.2文本口令生成策略基于馬爾可夫鏈模型的口令生成方法：馬爾可夫鏈用于描述系統(tǒng)狀態(tài)的轉(zhuǎn)換過程。馬爾可夫鏈每當需要執(zhí)行下一動作時，系統(tǒng)將根據(jù)所有可選動作的概率進行選擇，從而實現(xiàn)從一個狀態(tài)到另一個狀態(tài)的轉(zhuǎn)變，當然也可以選擇保持當前狀態(tài)。在處理序列與口令時，大多使用n階（n>=2）馬爾可夫鏈，即當前狀態(tài)的概率只與其前n-1個狀態(tài)相關(guān)。該方法分為訓(xùn)練模型和口令生成兩個階段。首先為每條口令設(shè)定起始符和終止符。然后，在口令生成階段，利用條件概率表生成一個概率遞減的口令字典?；谏窠?jīng)網(wǎng)絡(luò)的口令生成方法：基于神經(jīng)網(wǎng)絡(luò)的Melicher口令生成方法：該方法使用長短期記憶神經(jīng)網(wǎng)絡(luò)(LongShortTermMemory,LSTM)生成口令，網(wǎng)絡(luò)的預(yù)測值取決于其前文字符，如對于口令“bad”，前文字符為“ba”，預(yù)測值“d”?？诹钌呻A段與馬爾可夫鏈模型相似，不同的是，訓(xùn)練完成后的模型理論上可以生成無限多條口令，所以生成口令時，給定一個閾值，若口令概率低于此閾值，則舍棄該口令。然后根據(jù)口令的概率對口令進行排序。對訓(xùn)練文本進行預(yù)處理對訓(xùn)練口令集進行學(xué)習(xí)建立口令字典加入自然語言處理規(guī)則對文本進行篩查，可以有針對性的去除某種類型的口令?？梢匀サ裟繕司W(wǎng)站不支持的口令類型、規(guī)則簡單的口令類型、包含中文或亂碼的口令，將得到的結(jié)果保存到集合中得到訓(xùn)練口令集。首先需要導(dǎo)入預(yù)測目標信息，在訓(xùn)練口令集中隨機挑選一組口令作為目標信息進行口令預(yù)測；然后根據(jù)預(yù)測得到的索引標號進行概率取樣，將結(jié)果還原為口令；最后將產(chǎn)生的口令去除重復(fù)項目后保存到集合中返回給口令字典。對訓(xùn)練口令集進行學(xué)習(xí)，主要是使用長短期記憶神經(jīng)網(wǎng)絡(luò)模型對訓(xùn)練文本進行訓(xùn)練1.3生成文本口令字典口令字典就是用來窮舉用戶口令的字典文件，只有當字典中包含將要預(yù)測的口令才有可能破解成功。生成一個包含可能口令的小字典是提高字典攻擊效率和成功率的重要途徑?？梢允褂瞄L短期記憶神經(jīng)網(wǎng)絡(luò)模型學(xué)習(xí)用戶編寫口令的習(xí)慣，生成一定數(shù)量的口令并制作出一個高效的口令字典來提高破解的效率和成功率。使用長短期記憶神經(jīng)網(wǎng)絡(luò)模型的口令字典生成方法可以分為三個階段：文本口令強度評估是保障互聯(lián)網(wǎng)用戶信息安全的一個主動防御性工具。當互聯(lián)網(wǎng)用戶注冊、提交信息并設(shè)計口令密碼之后，密碼會提交給互聯(lián)網(wǎng)服務(wù)商進行文本口令強度的檢查和評估，如果密碼設(shè)計達到預(yù)先設(shè)定的強度等級（例如要求密碼強度等級為中等），而該用戶密碼低于預(yù)先設(shè)定的強度等級，就返回信息要求互聯(lián)網(wǎng)用戶重新設(shè)計密碼直到通過為止?？诹顝姸仍u估工具（PasswordStrengthMeter，PSM）就是上述流程中提供文本口令強度檢查和評估的軟件，它會按照展示的流程進行算法設(shè)計并提供給互聯(lián)網(wǎng)服務(wù)商使用，從而對互聯(lián)網(wǎng)用戶進行主動保護。1.4文本口令強度評估工具的方法與應(yīng)用文本口令強度評估基于信息熵算法，通過口令的猜測空間評估口令的強度。設(shè)定口令長度為N，口令字符種類為|∑|，那么口令的猜測空間就是N|∑|。由于基于信息熵算法的口令強度評估工具是測度隨機生成的口令，而現(xiàn)實中的口令具有一定規(guī)則，所以這類口令強度評估工具的實用性較低?；谛畔㈧氐姆椒ǎ侯A(yù)先對某一類口令種類賦予權(quán)重，例如字母序列、鍵盤序列等，之后對互聯(lián)網(wǎng)用戶提交的口令進行特征值檢測，依據(jù)檢測到的每一類口令類型賦予其一定的權(quán)重，最后加總得到用戶口令的強弱程度，并賦予一定的分值?；谔卣髌ヅ浞椒ɑ诟怕收Z言模型的評價方法，主要分為基于模板的口令模型（其主要基于概率上下文無關(guān)文法）和基于全串的口令模型（其主要基于馬爾科夫鏈模型）兩類算法。基于概率語言模型方法1.4文本口令強度評估工具的方法與應(yīng)用文本口令強度評估主要方法：基于神經(jīng)網(wǎng)絡(luò)方法能夠有效避免基于概率語言模型中對于基礎(chǔ)口令數(shù)據(jù)庫的依賴，但目前這個方法仍處于探索之中，未能形成有效應(yīng)用?；谏窠?jīng)網(wǎng)絡(luò)方法1.5文本口令設(shè)置偏好分析雖然不同類型的網(wǎng)站對用戶的要求不盡相同，但是基本上都限制了口令最低長度，現(xiàn)在大部分網(wǎng)站建議用戶創(chuàng)建至少包含字母、數(shù)字、特殊符號中兩種字符類型，部分網(wǎng)站將字符類型劃分得更明晰，區(qū)分了大小寫字母。采用更為嚴格的口令策略要求的網(wǎng)站中，占比最多的為互聯(lián)網(wǎng)技術(shù)網(wǎng)站，其次是購物網(wǎng)站。在購物網(wǎng)站中，“淘寶”對用戶登陸口令設(shè)置的要求略低一些，可能因為其交易支付涉及到其他應(yīng)用支付口令，需要第三方口令也輸入正確。而“京東”和“蘇寧易購”都支持貨到付款，且都支持開通應(yīng)用自身特有的支付方式，如“京東”的白條、“蘇寧”的易付寶等，所以它們對于口令的要求更為嚴格。1）網(wǎng)站口令策略設(shè)置的偏好分析：1.5文本口令設(shè)置偏好分析口令數(shù)據(jù)集中出現(xiàn)頻率較高的口令被稱為常用口令。列出了頻率排名前20的口令文本、口令數(shù)量以及在口令數(shù)據(jù)集中所占的百分比。表中國內(nèi)用戶使用頻率最高的20個口令大致可以分為純數(shù)字序列（如“123456”、“111111”、“123123”）、情感內(nèi)涵（如“5201314“）、簡單的字母數(shù)字拼接（如“a123456”、“123456a”、“qq123456”）以及鍵盤模式（如“1qaz2wsx”、“1q2w3e4r”）幾類；國外用戶使用頻率最高的口令大致可以分為純數(shù)字序列、簡單單詞短語（如“password”、“princess）、情感內(nèi)涵（“iloveyou”、“babygirl”、“l(fā)ovely”）以及常見人名（如“Nicole”、“Daniel”、“Michael”、“Jessica”）。2）用戶創(chuàng)建口令的偏好分析：1.5文本口令設(shè)置偏好分析對口令的長度進行要求，是保障口令強度的基礎(chǔ)。網(wǎng)站的口令長度分布：3）口令長度分布：1.5文本口令設(shè)置偏好分析將口令組成類型分為7種：純數(shù)字類型、純字母類型、純符號類型、數(shù)字+字母組合類型（不分先后，口令同時包含且僅包含數(shù)字和字母）、數(shù)字+符號類型、字母+符號類型、字母+數(shù)字+特殊符號組合類型。根據(jù)用戶選擇的字符組合的頻率對用戶的口令組成類型傾向進行分析。4）口令組成類型分析：1.5文本口令設(shè)置偏好分析過于嚴格的口令策略可能會引起用戶反感，為了分析用戶愿意接受的最嚴格的策略，對用戶自主創(chuàng)建的口令所符合的最嚴策略做出了統(tǒng)計。5）用戶選擇文本口令策略的偏好：1.6文本口令攻擊與保護1）社會工程學(xué)(SocialEngineering)：通過人際交往這一非技術(shù)手段以欺騙、套取的方式來獲得口令。2）猜測攻擊：口令猜測程序往往根據(jù)用戶定義口令的習(xí)慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。3）字典攻擊：對所有英文單詞進行嘗試，程序?qū)葱蛉〕鲆粋€又一個的單詞，進行一次又一次嘗試，直到成功。4）窮舉攻擊：一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。5）混合攻擊：結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。6）直接破解系統(tǒng)口令文件：所有的攻擊都不能夠奏效，入侵者會尋找目標主機的安全漏洞和薄弱環(huán)節(jié)，飼機偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。7）網(wǎng)絡(luò)嗅探(sniffer)：通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?）鍵盤記錄：在目標系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。9）其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊?？诹罟舻闹饕椒ㄓ幸韵聨最悾?005年，Narayanan和Shmatikov首次將自然語言中所使用的馬爾可夫鏈引入到口令猜測中，極大地縮小了所需搜素的口令空間，同時通過對口令集合進行分析得到口令中字符的分布規(guī)律，進而利用零階和一階馬爾可夫鏈，并結(jié)合有限狀態(tài)機對生成的口令進行過濾，使生成的口令更加符合用戶的使用習(xí)慣。Ma等人提出了一種優(yōu)化算法，他們利用統(tǒng)計語言中最常用的馬爾可夫鏈技術(shù)對口令結(jié)構(gòu)進行評估，并使用不同的平滑處理技術(shù)，如拉普拉斯平滑、古德-圖靈平滑，處理馬爾可夫鏈階數(shù)的選擇，通過不斷地選擇臨界值來生成概率大于該臨界值且小于上一次臨界值的口令，并舍棄概率過小的口令。隨后，MDürmuth等人。在此基礎(chǔ)上提出了有序馬爾可夫枚舉器（orderedMarkovenumerator，OMEN），顯著的提高了口令猜測的生成速度。1.6文本口令攻擊與保護基于馬爾可夫模型的口令猜測方法：2009年，Weir等人提出了基于概率上下文無關(guān)文法（probabilisticcontextfreegrammar，PCFG）的口令猜測攻擊算法。算法思想主要是假設(shè)不同種類的字符組成的字符結(jié)構(gòu)在口令中是相互獨立的，并且在口令中出現(xiàn)的概率是不同的。因此通過分析口令集得到不同口令結(jié)構(gòu)以及組成口令的子串結(jié)構(gòu)的概率分布，然后按照所得字符結(jié)構(gòu)的概率，以降序順序使用不同字符結(jié)構(gòu)進行填充，生成猜測口令集合。通過使用概率降序?qū)诹钸M行猜測，從而實現(xiàn)在有限的猜測次數(shù)下猜測出盡可能多的口令的目的。1.6文本口令攻擊與保護基于概率上下文無關(guān)文法的口令猜測方法：基于概率上下文無關(guān)文法的口令猜測方法：2017年，Hitaj等人提出了首個基于生成對抗網(wǎng)絡(luò)(GenerativeAdversarialNetworks,GAN)的口令猜測攻擊模型PassGAN汪定等人提出了基于隨機森林的口令猜測方法和系統(tǒng)，旨在通過使用隨機森林模型擬合口令猜測模型生成猜測口令并給出該口令的概率大小，克服原始Markov模型由于模型擬合原理導(dǎo)致的容易過擬合的問題。1.6文本口令攻擊與保護基于隨機森林的口令猜測方法：參數(shù)化混合口令猜測方法：韓偉力等學(xué)者提出了一個通用的參數(shù)化混合猜測的框架。該框架可以混合不同數(shù)據(jù)驅(qū)動方法的猜測優(yōu)勢以生成更高效的猜測集。模型剪枝可以確?？蚣苤械拿總€方法僅生成自身擅長猜測的口令，從而避免與其他方法生成重復(fù)口令；理論證明最優(yōu)的猜測數(shù)分配方案可以確保不同方法生成指定猜測數(shù)的口令時，框架的整體猜測效率將達到最優(yōu)。為了便于記憶，用戶在構(gòu)造口令時往往會摻入個人相關(guān)信息。攻擊者可以結(jié)合已知的用戶信息和相關(guān)口令構(gòu)造模型來猜測用戶口令?；趥€人信息構(gòu)造口令：01口令重用可以使得攻擊者在獲得已知用戶口令的情況下，提取用戶口令構(gòu)造特征，從而推測用戶未知口令?？诹钪赜茫?2用戶傾向于用特定的模式來構(gòu)造口令，這種構(gòu)造模式可能與其所處文化環(huán)境、語言特點有關(guān)，并且具有群體特征。用戶的傾向性口令構(gòu)造模式：031.6文本口令攻擊與保護用戶脆弱口令行為：1）增強用戶的安全意識2）加強弱口令檢測識別基于規(guī)則的口令強度評估器：使用最為廣泛的口令強度評估，僅根據(jù)口令長度和口令所包含的字符類型來判斷口令的強度?；谀Ｊ綑z測的口令強度評估器：通過檢測口令是否含有固定模式的子段來判斷口令的強度?；诠羲惴ǖ目诹顝姸仍u估器：通過攻擊算法對口令進行破解，根據(jù)口令對攻擊算法的抵抗能力來判斷口令的強度。3）提升口令傳輸與存儲保護技術(shù)Blocki等人基于用戶選擇的口令數(shù)據(jù)集生成頻率列表，并利用抽樣算法發(fā)布擾動后的口令頻率列表。Chan等人針對本地差分隱私模型中的隱私保護程度，進一步給出了近似精度的下界值。Naor等人提出的一種具有強抗干擾能力的多方計算協(xié)議，不需泄露口令明文就可以計算出口令中出現(xiàn)頻率較高的弱口令，即可以在不損害用戶口令隱私的同時識別高頻率出現(xiàn)的弱口令，且識別結(jié)果具有一定的防篡改能力。1.6文本口令攻擊與保護針對文本口令的保護：02圖形口令2.1基于無提示回憶的圖形口令機制1)DAS機制:用戶使用鼠標或手寫筆直接在一定的網(wǎng)格界面上畫一幅簡單的圖畫。這幅畫由一個連續(xù)的筆畫或幾個筆畫組成，筆畫之間用“筆畫”隔開。它允許用戶在一個網(wǎng)格界面上設(shè)置和重現(xiàn)自己的口令。用戶進行認證時，只需憑記憶再次畫出圖形，如果所畫圖形與注冊的圖形具有相同的編碼序列，則認證通過，否則認證失敗。DAS機制采取了以下的約束來限制用戶的繪畫過程：1)用戶所畫線條不能過分靠近網(wǎng)格線或與網(wǎng)格線重合；2)此外用戶所畫的線條不能過分靠近或穿越網(wǎng)格線的交叉點。2)GridSelection機制:為了擴大DAS的有效口令空間，GridSelection網(wǎng)格選擇認證方式被提出。它由繪圖網(wǎng)格和DAS密碼兩部分組成。在這種方式下，用戶需要首先從一個精密的網(wǎng)格上選擇一個矩形繪畫區(qū)，然后在放大的繪畫區(qū)里按照DAS中的規(guī)則創(chuàng)建和輸入口令。雖然網(wǎng)格的選擇增加了密碼空間，但是，用戶必須記住所選區(qū)域的位置，這增加了記憶的難度。2.1基于無提示回憶的圖形口令機制3)Multi-Grid機制:它是一種使用不均勻單元大小的DAS機制的改進版本，該機制提供了多種不規(guī)則的網(wǎng)格模板，用戶可以按習(xí)慣從預(yù)定義的多網(wǎng)格模板中選擇一個網(wǎng)格，然后在網(wǎng)格上繪制圖片，最終的網(wǎng)格可以由幾個內(nèi)部網(wǎng)格組成。Multi-Grid希望借此來引導(dǎo)用戶設(shè)置復(fù)雜的、非對稱的圖形口令，同時也可以有效地幫助用戶記憶口令，增加了暴力攻擊的難度。4)BDAS機制:BDAS機制通過在DAS的網(wǎng)格上加入背景圖像的方式來改善DAS的性能。當背景圖像有很強的引導(dǎo)意義時，能夠在很大程度上引導(dǎo)用戶設(shè)置復(fù)雜的口令，認證階段也能幫助用戶回憶。人們在有圖像背景的網(wǎng)格上確實更傾向于設(shè)置一些復(fù)雜的口令，并且導(dǎo)致弱DAS密碼的其他可預(yù)測特征也被減少，例如全局對稱性和在繪圖網(wǎng)格內(nèi)居中等。因此能夠獲得較好的安全保障。背景圖像還提高了密碼的記憶性。2.1基于無提示回憶的圖形口令機制5)QDAS機制:QDAS機制將固定的網(wǎng)格擴展為動態(tài)的變形網(wǎng)格來隱藏用戶設(shè)置口令的過程，利用用戶筆畫和密碼之間的定性映射和動態(tài)網(wǎng)格來混淆用戶秘密的屬性并鼓勵他們使用秘密的不同表面特點實現(xiàn)，使得該機制可以在一定程度上抵御肩窺攻擊。此外，QDAS機制還采用了另外一種筆畫與口令序列對應(yīng)的關(guān)系，放松了DAS機制對用戶繪畫的限制，只要求用戶記憶起始網(wǎng)格的編號以及筆畫的方向（上、下、左或右），允許與原始信息有一定范圍的偏差，降低了用戶的記憶負擔(dān)，且促使用戶設(shè)置強口令。6)Pass-Go機制:Pass-Go機制是一種基于網(wǎng)格的方案，要求用戶選擇(或觸摸)交叉點作為輸入密碼的一種方式。因此，坐標系指的是交點矩陣，而不是DAS中的單元格。由于網(wǎng)格結(jié)構(gòu)更精細，且允許對角線移動和選擇不同參數(shù)的筆畫顏色，Pass-Go的具有比DAS更大的理論密碼空間，它保留了DAS大部分的優(yōu)點并且能夠得到更高的安全性和更良好的可用性。Google公司于2008年推出了一個與Pass-Go機制類似的手機解鎖機制，應(yīng)用于Android手機上。2.1基于無提示回憶的圖形口令機制7)BPG機制和MGBPG機制:BPG機制在Pass-Go中加入了背景圖像，以幫助用戶記憶密碼，降低猜測攻擊的成功率。BPG機制也是一種基于網(wǎng)格的圖像背景算法，需要用戶選擇(或觸摸)交叉點，而不是單元格，作為輸入密碼的一種方式。BPG機制通過調(diào)節(jié)敏感區(qū)域來建立容錯機制。敏感區(qū)域也對與輸入設(shè)備的交互敏感。因此，單擊敏感區(qū)域內(nèi)的任意點將被視為與單擊完全對應(yīng)的交叉點相同，即單擊正確交叉點周圍敏感區(qū)域內(nèi)的任意點也將被視為點擊交叉點成功。MGBPG機制，用戶可以選擇個性化的背景圖像和網(wǎng)格線縮放來降低記憶性。MGBPG方案與BPG方案的主要區(qū)別在于，MGBPG的背景可以疊加到用戶可以選擇的圖像上。同時，增加了額外的網(wǎng)格線縮放功能，方便用戶更好地記住自己的密碼，這樣他們就能夠通過使用網(wǎng)格線縮放來更準確地定位和記住背景圖像特定部分的密碼起點和形狀。MGBPG的未來研究方向主要是如何在密碼復(fù)雜性和更高的安全性之間找到平衡。2.1基于無提示回憶的圖形口令機制8)YAGP（YetAnotherGraphicalPassword）機制:YAGP和DAS的主要區(qū)別在于軟匹配。引入了筆劃框、圖像框、趨勢象限、相似度等概念來描述圖像的軟匹配特征。在軟匹配中減少了嚴格的用戶輸入規(guī)則，提高了可用性，因此具有明顯優(yōu)勢。YAGP中的繪畫網(wǎng)格更為精細，因此獲得了比DAS更大的口令空間，同時高密度網(wǎng)格也有效地引導(dǎo)了用戶設(shè)置長度較長的口令，增加了機制的安全性。YAGP采用三重配準過程創(chuàng)建多模板，提高了特征提取的準確性和記憶性。但是該機制忽略了筆畫間相對位置的關(guān)系，會造成系統(tǒng)誤判。9)Passdoodle機制:Passdoodle機制允許用戶在沒有網(wǎng)格的繪畫區(qū)域上繪制一個涂鴉圖形作為口令?？诹顖D形可以由多種顏色繪制；每個口令都必須至少包含兩筆，并且可以位于屏幕的任何位置。Passdoodle機制使用了比DAS機制更為復(fù)雜的匹配過程，并且采用三種方法來識別不同的口令圖形：圖形在網(wǎng)格上的分布、繪畫速度和圖形形狀的相似度。2.1基于無提示回憶的圖形口令機制10)PassShapes機制:PassShapes機制與DAS類似，但其口令是由八個相隔45°角的筆畫組成的幾何圖形，每一個方向的筆畫都有一個對應(yīng)的內(nèi)部編碼。登錄時，由于繪制區(qū)域沒有網(wǎng)格，因此口令的位置和大小不受限制。另外，PassShapes機制對用戶的繪畫要求也不高。雖然該機制提供了更好的可記憶性，但是每一筆只有八個方向可供選擇極大地減小了其口令空間。2.2基于有提示回憶的圖形口令機制1)PassPoints機制:PassPoints機制是有提示回憶圖形口令機制的代表性機制，也是該類機制中被研究最為廣泛和深入的機制。它改進了V-GO機制對圖片選擇的限制，使得任何圖片，包括自定義圖片都可以作為背景圖片供用戶選擇。用戶需要點擊其希望作為口令的區(qū)域并記住點擊順序即可完成注冊。PassPoints機制最主要的優(yōu)點就是口令空間大，能有效地抵御試探性攻擊。2)Blonder機制:圖形口令的概念是最初就是由Blonder于1996年提出。其實現(xiàn)機制為，注冊時在可視設(shè)備上提供給用戶一張預(yù)定義的圖片，認證時用戶需要按照一定的順序選擇多個預(yù)定義的位置，才能訪問限制系統(tǒng)。Blonder機制的背景圖片必須為簡單的人工圖片，圖片信息量很少，并且需要人工預(yù)定義口令區(qū)域的位置和大小，增加了用戶操作的難度；在安全性方面，由于用戶定義的口令位置少且相對明確，使得口令空間較小，且試探性攻擊的成功率較高。2.2基于有提示回憶的圖形口令機制3)V-GO機制:V-GO機制的基本思路來自于Blonder的圖形口令機制。此機制向用戶提供含有若干日常生活物品的圖片，每個物品都有一個不可見的預(yù)定義邊界，系統(tǒng)根據(jù)這些物品的邊界定義來響應(yīng)鼠標的點擊事件，進而進行用戶認證。即在具體實現(xiàn)中，用戶需要正確地按照一定的順序選擇圖片上的多個不同的物品，才能訪問系統(tǒng)。4)CCP(CuedClickPoints)與PCCP(PersuasiveCuedClickPoints)機制:CCP機制主要是針對PassPoints機制進行改進。用戶在每張圖片中只能選擇一個口令區(qū)域，根據(jù)用戶所點擊的區(qū)域，系統(tǒng)通過一個確定性的函數(shù)獲取并跳轉(zhuǎn)到下一張圖片。雖然CCP機制消除了PassPoints中的模式問題，但熱點問題依然存在。PCCP機制主要是在CCP的基礎(chǔ)上誘導(dǎo)用戶選擇更加隨機的口令。它的功能和界面與CCP基本相同，不同之處在于用戶注冊時只能在系統(tǒng)顯示的亮色小視窗內(nèi)選擇口令區(qū)域。登錄時，系統(tǒng)正常顯示圖片。這種設(shè)計使不同用戶設(shè)置的口令隨機性更強，使得熱點問題進一步減小。然而不管是CCP還是PCCP都沒能解決不防肩窺這一缺點，只要攻擊者獲取了登錄過程或登錄點擊序列，用戶口令將被攻破。DéjàVu機制是最早的基于圖片識別的圖形口令機制，它利用哈希函數(shù)生成的隨機藝術(shù)圖形替代傳統(tǒng)的文本字符來進行用戶身份驗證。4）DéjàVu機制CHC是一個能防止肩窺攻擊的機制，最初由Sobrado等人于2002年提出，之后又做了進一步改進。認證時首先要從界面上找到自己的口令圖標，然后點擊這些口令圖標組成的凸多邊形內(nèi)的任意一個圖標即可完成認證，可進行多輪這樣的認證以減小試探性攻擊成功的概率。5）CHC機制基于識別的圖形口令機制中研究最多是RealUser公司開發(fā)的基于人臉的圖形口令系統(tǒng)Passfaces機制。1）Passfaces機制Story機制是在Passfaces的基礎(chǔ)上提出的，它要求用戶從所給圖片中選擇幾張圖片組成一個故事，強調(diào)了用戶選擇口令圖片的順序2）Story機制2.3基于識別的圖形口令機制ColorLogin機制首次考慮了圖片的背景顏色這一因素，加快了戶查找圖片的速度。在注冊階段，用戶根據(jù)安全需求從3到5種顏色中選擇一種顏色作為自己口令圖片的背景色，然后從以該顏色為背景色的圖片集中選擇若干張圖片（至少3張）作為口令圖片。3）ColorLogin機制2.4混合制的圖形口令機制1.圖形口令與文本口令結(jié)合Man等人于2003年提出了另外一種用于防止肩窺的圖形口令機制Pass-objects。原理是每個口令圖標都有幾個變種，而且每個變種都有唯一的編號。整個登錄過程包括多輪認證。在每輪認證中，用戶需要從系統(tǒng)顯示的一堆圖標中找出口令圖標并識別出當前的變種形式，然后輸入口令圖標相對于屏幕中眼睛的位置編碼和當前口令圖標變種的編碼。認證時，用戶需要輸入圖標所對應(yīng)的編號，而不是通過鼠標直接點擊圖標來進行，所以此機制可以有效地防止肩窺。GrIDsure機制是一種把圖形口令和PIN密碼結(jié)合起來的防肩窺機制。注冊時用戶要在一個5×5的空白網(wǎng)格上選擇一個包含四個網(wǎng)格的模式（稱為PIP），并記住組成該PIP的各網(wǎng)格的選擇順序。驗證時，系統(tǒng)會隨機顯示由數(shù)字0~9填充的5×5的網(wǎng)格，用戶只需按序輸入與PIP對應(yīng)的網(wǎng)格中出現(xiàn)的數(shù)字。2.4混合制的圖形口令機制2.基本類型的圖形口令結(jié)合CDS（ComefromDASandStory）機制設(shè)計思路來源于DAS和Story，它將圖片識別與手動繪畫相結(jié)合，是可以應(yīng)用于PDA等手持設(shè)備上的一款圖形口令機制。CDS的注冊方式需要用戶在圖片庫中順序選擇若干張圖片作為口令圖片并記住選擇的順序，機制也提醒用戶構(gòu)造一個故事來幫助記憶。認證時，認證界面中的圖片經(jīng)過了淡化處理并且圖片顯示位置隨機，用戶需要從實線方框開始，通過畫線順序通過自己的口令圖片，最后在虛線方框中停止。2.4混合制的圖形口令機制2.基本類型的圖形口令結(jié)合CBFG（ClickButtonsaccordingtoFiguresinGrids）機制設(shè)置口令的基本原理，并引入了圖片識別的思想。它將背景圖片劃分為網(wǎng)格矩陣作為用戶的備選口令區(qū)域，使得用戶更傾向于設(shè)置較為復(fù)雜的口令，并且在一定程度上降低了熱點問題。2.4混合制的圖形口令機制3.其他混合型圖形口令PassHands機制首次將基于手部特征的生物認證引入到圖形口令的范疇中。該機制的實現(xiàn)方式和Passfaces機制類似，采用經(jīng)過預(yù)處理的手部圖片來代Passfaces中的人臉圖片。CGP（usingCAPTCHAinGraphicalPassword）機制[75]是將基于識別的圖形口令與CAPTCHA結(jié)合的一種機制。在注冊階段，用戶從系統(tǒng)的圖片庫中選擇K張作為自己的口令圖片，并且分別設(shè)置每張圖片的口令位。在認證階段，界面為一個的網(wǎng)格矩陣，用戶需找到自己的口令圖片，并在口令框中輸入口令圖片對應(yīng)的驗證碼中口令位上的字符。第三章用戶有什么目錄CONTENTS04RFID05二維碼/條形碼06基于藍牙的身份認證01智能卡02動態(tài)口令認證03USBkey認證技術(shù)01智能卡01智能卡智能卡（SmartCard）是一種應(yīng)用極為廣泛的個人安全器件，是一種內(nèi)嵌微型芯片的集成電路卡（ICcard，IntegratedCircuitCard），一般由專門的廠商通過專門的設(shè)備進行生產(chǎn)，是一種不可復(fù)制的硬件，各種銀行卡，電卡、手機的用戶身份識別模塊（SIM，SubscriberIdentityModule）卡都屬于智能卡。智能卡自身就是一個功能齊備的計算機，它有自己的內(nèi)存和微處理器，該微處理器具備數(shù)據(jù)讀取和寫入能力，也允許對智能卡上的數(shù)據(jù)進行訪問和更改。從安全的角度來看，智能卡技術(shù)能夠提供安全的驗證機制來保護持卡人的信息，由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡智能卡最初是磁卡的替代產(chǎn)品，智能卡能夠把生活中單項使用的各種生活繳費、購物儲值以及身份卡片融為一體，只要一卡在手，便能買到各類物品、得到各種服務(wù)并且進行有效的身份認證。20世紀90年代，隨著微電子技術(shù)的蓬勃發(fā)展，帶動了以計算機技術(shù)和集成電路為核心的智能卡的迅速崛起。智能卡可以克服磁卡的弱點，具有容量大、計算功能強、安全性能高等一系列優(yōu)點，為電子貨幣、身份認證提供更可靠和更安全的服務(wù)。01智能卡的發(fā)展磁卡（上）與智能卡（下）智能卡按嵌入芯片可以分為存儲卡、加密存儲卡和CPU卡。按嵌入芯片類型分類智能卡按照操作模式可以分為接觸式IC卡、非接觸式IC卡以及混合卡。按操作模式方式分類智能卡按照數(shù)據(jù)傳輸方式可以分為串行IC卡和并行IC。按數(shù)據(jù)傳輸方式分類智能卡按卡的應(yīng)用領(lǐng)域可分為金融卡和非金融卡。按卡的應(yīng)用領(lǐng)域分類01智能卡的分類智能卡的規(guī)格是有統(tǒng)一標準的，需要遵循相關(guān)的國際標準，即ISO7810。一般智能卡是一個塑料的長方形卡，它的尺寸是從通用磁卡演化而來的，有些IC卡上還貼有磁條，可以和磁卡兼容。IC卡一般在卡片的左上角封裝芯片，并在芯片上覆蓋有6或8個觸點用來與外部設(shè)備進行通訊，每個觸點的尺寸和位置應(yīng)滿足相關(guān)國際標準中做出的規(guī)定，且觸點位于IC卡的正面，其下面為凸型字符，印有一些發(fā)卡及用戶信息，背面有磁條。01智能卡的結(jié)構(gòu)智能卡示意圖芯片中主要由CPU、存儲器以及其他外設(shè)接口組成。一般智能卡所使用的芯片通?？梢苑譃橥ㄓ眯酒蛯Ｓ眯酒瑑纱箢?，其中通用芯片是普通的集成電路芯片，比較適合于初期對安全性要求不高的智能卡應(yīng)用，而專用芯片是專門為智能卡而設(shè)計、制造的芯片，這種芯片符合目前IC卡的ISO國際標準，具有較高的安全性。與此同時，專用芯片按照卡芯的不同還可以分為存儲器芯片和微處理器芯片兩大類，其中帶安全邏輯的存儲器芯片和帶有加密運算的微控制器芯片在智能卡中使用的最為普遍，這兩種常見芯片的典型邏輯結(jié)構(gòu)見圖3.2和圖3.3。01智能卡的結(jié)構(gòu)帶安全邏輯的存儲器芯片邏輯結(jié)構(gòu)帶加密運算的微控制芯片讀卡器是對IC卡操作的直接設(shè)備，根據(jù)IC卡操作模式的不同，讀卡器也可以分為接觸式讀卡器、非接觸式讀卡器以及混合讀卡器等不同形式，一般來說讀卡器包括了讀卡頭和設(shè)備驅(qū)動，讀卡器和卡片的接口需滿足一定的國際規(guī)范（接觸式IC卡，遵循ISO7816接口標準；非接觸式IC卡讀卡器，遵循ISO14443接口標準），標準讀卡器一般是通用的。應(yīng)用程序是應(yīng)用邏輯控制的核心，根據(jù)不同應(yīng)用所對應(yīng)的程序規(guī)模、運行方式的不同，其應(yīng)用程序的形式都有很大區(qū)別。對于獨立的脫機應(yīng)用，應(yīng)用程序一般較小，邏輯結(jié)構(gòu)比較簡單，程序可以安裝在讀卡器等設(shè)備上，不需要額外增加個人電腦（PC，PersonalComputer）機等輔助設(shè)備。01智能卡的結(jié)構(gòu)讀卡器信息安全至少應(yīng)該具有以下五個方面的特性：機密性：防止未經(jīng)過授權(quán)的信息獲取。完整性：防止未經(jīng)授權(quán)的信息更改?？色@取性：防止未經(jīng)授權(quán)的信息節(jié)流，也就是防止在信息傳播過程中的非法截取。真實性：就是通過一系列的技術(shù)手段驗證信息的真實性。持久性：長時間信息保存的可靠性、準確性。智能卡不僅具有大的存儲容量，而且其安全性能也是其他種類的卡無法比擬的，確切的說，智能卡所用到安全技術(shù)就是基于信息安全的五個特性提出與實施的。01智能卡安全智能卡的安全狀態(tài)是指智能卡當前所處的安全級別狀態(tài)，通?？梢苑譃槿职踩珷顟B(tài)、特定文件安全狀態(tài)和特定命令安全狀態(tài)三種安全級別。智能卡安全狀態(tài)數(shù)據(jù)對象的安全屬性定義了對這些數(shù)據(jù)執(zhí)行命令操作時所需要滿足的條件，包括文件訪問安全屬性和命令安全屬性。智能卡安全屬性智能卡的安全機制和安全狀態(tài)、安全屬性是緊密聯(lián)系在一起?？梢詫踩珯C制視為安全狀態(tài)在實現(xiàn)狀態(tài)轉(zhuǎn)移時所采用的方法和手段。智能卡安全機制01智能卡安全體系01智能卡攻擊技術(shù)攻擊類型攻擊內(nèi)容網(wǎng)絡(luò)數(shù)據(jù)流截取攻擊者可以根據(jù)信息源主機，目標主機，服務(wù)協(xié)議端口等信息簡單過濾掉不關(guān)心的數(shù)據(jù)，再將感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進行分析從而得到用戶的隱私信息。木馬竊聽若用戶電腦遭受到了病毒或木馬的攻擊，電腦就可能會被監(jiān)聽，用戶在進行交易的過程中，用戶的交易信息會被木馬記錄，與用戶相關(guān)的隱私信息，例如交易密碼等就有被盜的風(fēng)險。窮舉攻擊對用戶密碼進行逐個推算，直到找出真正的密碼為止的一種攻擊方式。網(wǎng)絡(luò)釣魚在此處添加文字內(nèi)容智能卡具有自己的微處理器，這些芯片具備存儲功能和信息處理功能，同時，智能卡內(nèi)可存儲安全控制軟件及有關(guān)用戶的個人化參數(shù)和數(shù)據(jù)，外部應(yīng)用程序不能直接訪問這些數(shù)據(jù)，這樣，智能卡中個人化的參數(shù)數(shù)據(jù)從硬件上就實現(xiàn)了保密性。01智能卡身份認證智能卡微處理器基于智能卡的身份認證結(jié)合了基于秘密信息和信任物體的實現(xiàn)方式，利用智能卡的信息存儲和數(shù)據(jù)計算的能力，能夠?qū)崿F(xiàn)軟/硬件的對稱、非對稱加解密算法，存儲用戶個人信息、密鑰、數(shù)字證書等秘密數(shù)據(jù)。認證服務(wù)器和智能卡客戶端之間按照一定的協(xié)議和操作來完成用戶身份認證的過程。在基于智能卡的身份認證方法中，結(jié)合了密碼技術(shù)以及實物對用戶進行身份認證，不再需要遠程服務(wù)器存儲用戶的口令等信息，減輕了服務(wù)器維護口令表所產(chǎn)生的負擔(dān)，也降低了口令表被盜的風(fēng)險。01智能卡技術(shù)原理智能卡身份認證示意圖02動態(tài)口令認證02動態(tài)口令認證基于口令的認證方式是較為常用的一種認證技術(shù)。動態(tài)口令一般不需要用戶記憶口令，而是依賴于用戶所擁有的設(shè)備（動態(tài)口令牌、口令卡等），屬于“用戶有什么”這一類。而靜態(tài)口令一般需要用戶記憶口令，屬于“用戶知道什么”這一類。針對靜態(tài)口令認證機制在安全方面的脆弱性，為了避免靜態(tài)口令認證機制帶來的安全隱患，研究口令認證的學(xué)者提出了動態(tài)口令認證技術(shù)以保護重要的網(wǎng)絡(luò)系統(tǒng)資源，動態(tài)口令認證也逐漸成為了口令認證的主流技術(shù)。20世紀80年代初，貝爾實驗室的Lamport博士基于哈希函數(shù)算法首次提出了一種生成動態(tài)口令的方法，用戶每次登錄時發(fā)送給服務(wù)器的口令都會改變。在2000年以前，動態(tài)口令方案的實施都依靠于動態(tài)口令卡，但是隨著使用人數(shù)的不斷增加，對口令卡的維護成為了亟待解決的難題。動態(tài)口令卡算法在加載到每一個口令卡的時候就被固定，一旦遭到破譯就有可能存在冒用，同時口令卡的壽命較短，使用起來也相對麻煩。為了解決這些弊端研究人員發(fā)明了依附于網(wǎng)絡(luò)的動態(tài)口令的傳送方法，即移動口令。02動態(tài)口令認證的發(fā)展現(xiàn)狀哈希函數(shù)示意圖動態(tài)口令卡是根據(jù)特定算法生成不可預(yù)測的隨機數(shù)字組合，每個口令只能使用一次，以保證用戶安全。動態(tài)口令卡態(tài)口令通常通過一種稱為令牌的專用硬件來生成，即為硬件令牌。硬件令牌是一種采用內(nèi)置電源、存儲器、密碼計算芯片和顯示屏的設(shè)備，具有使用便利、安全性高等特點。硬件口令牌動態(tài)手機口令牌也稱移動口令，是用來生成動態(tài)口令的手機客戶端軟件，即軟件令牌。動態(tài)手機口令牌02動態(tài)口令認證的分類電子銀行口令卡示例動態(tài)手機口令牌也稱移動口令，是用來生成動態(tài)口令的手機客戶端軟件，即軟件令牌。動態(tài)手機口令牌02動態(tài)口令認證的分類電子銀行口令卡示例高等學(xué)校招生考試動態(tài)口令卡中國工商銀行的口令卡上有橫縱坐標，對應(yīng)的有數(shù)字，客戶在使用電子銀行（包括網(wǎng)上銀行或電話銀行）進行對外轉(zhuǎn)賬、客對商（B2C，Business-to-Consumer）購物、繳費等支付交易時，電子銀行系統(tǒng)會隨機給出一組口令卡坐標，客戶根據(jù)坐標從卡片中找到口令組合并輸入到電子銀行系統(tǒng)。只有當口令組合輸入正確時，客戶才能完成相關(guān)交易。另外，一些省市在普通高等學(xué)校招生（高考）也引入了動態(tài)口令卡這種工具，如圖3.5所示。其主要功能是用于查詢成績，填報志愿，查詢錄取結(jié)果等方面，“考生動態(tài)口令卡”有隨機生成的64個密碼，密碼采用覆膜覆蓋以防止泄密，考生使用時，每次刮開一條對應(yīng)的密碼，根據(jù)“XX省教育考試院”網(wǎng)站上要求的動態(tài)口令填寫。動態(tài)手機口令牌也稱移動口令，是用來生成動態(tài)口令的手機客戶端軟件，即軟件令牌。動態(tài)手機口令牌02動態(tài)口令認證的分類硬件令牌通常是獨立于終端的、授權(quán)用戶可隨身攜帶的、信用片或鑰匙鏈大小的器件，并且令牌本身可使用PIN來保護。動態(tài)口令認證系統(tǒng)通過使用令牌產(chǎn)生的無法猜測和復(fù)制的動態(tài)口令以接入系統(tǒng)，保證了接入遠程系統(tǒng)的終端用戶確實為授權(quán)實體，有效地保護了信息系統(tǒng)的安全性，大大降低了非法訪問的風(fēng)險。一些雙因子身份認證系統(tǒng)后臺可以設(shè)置錯誤嘗試次數(shù)，比如3次，當輸入錯誤超過3次時，就會鎖定當前賬號。硬件令牌示例動態(tài)手機口令牌也稱移動口令，是用來生成動態(tài)口令的手機客戶端軟件，即軟件令牌。動態(tài)手機口令牌02動態(tài)口令認證的分類利用動態(tài)口令與手機（或者其他移動設(shè)備）綁定進行身份認證，與硬件令牌相同都是客戶端自己生成動態(tài)口令，直接發(fā)給服務(wù)端認證。通常也是基于時間同步的原理，每隔60秒產(chǎn)生一個隨機6位動態(tài)密碼。在生成動態(tài)口令牌的過程中，不會產(chǎn)生通信及費用，不存在通信信道中被截取的可能性。手機作為動態(tài)口令生成的載體，欠費和無信號對其不產(chǎn)生任何影響。由于其在具有高安全性、成本低、不易丟失、容易獲取等優(yōu)勢，其應(yīng)用也十分廣泛。動態(tài)手機口令牌02動態(tài)口令認證的技術(shù)原理動態(tài)（一次）口令認證機制的主要原理是：在登錄過程中加入不確定因素。使每次登錄過程中所得到的密碼都不相同，以提高登錄過程的安全性。每次的口令是3個因子按一定算法計算得到的結(jié)果，這3個因子分別是種子（Seed）、迭代值（Iteration）和秘密通行短語。它們之間應(yīng)具備一種相同的“認證器件”，該認證器件實際上由某種算法的硬件或軟件實現(xiàn)，它的作用是生成一次性口令。一次性口令認證模式根據(jù)不確定因素的不同，分為以下幾種模式：挑戰(zhàn)應(yīng)答模式、時間同步認證模式與事件同步認證模式。動態(tài)口令身份認證系統(tǒng)，是有客戶端設(shè)備認證系統(tǒng)和一個對稱密鑰算法（客戶端設(shè)備上的個人密鑰是由認證系統(tǒng)發(fā)放的）組成的。動態(tài)口令則是由于算法中變量的不同而不同。動態(tài)口令認證原理動態(tài)口令的優(yōu)越性使其在各個領(lǐng)域得到了廣泛的應(yīng)用，首先其動態(tài)性就具有極大的優(yōu)勢，不同時刻使用不同的口令，并且每個口令還都具有失效性。其次，由于口令是隨機的，每個口令可能存在100萬以上的變化方式，同時結(jié)合口令一次性的特點，有效防止了暴力破解的可能性。最后，動態(tài)口令還有操作方便、體積小、成本低等優(yōu)點，可以隨身攜帶，沒有記憶口令的煩惱，丟失也能及時發(fā)現(xiàn)補辦。雖然動態(tài)口令具有眾多優(yōu)點，但是還存在一定的缺陷。首先是受一些場景的限制，如果手機沒電或者無法使用手機，軟件令牌就無法正常使用。其實是技術(shù)的限制，如果用戶終端與遠程系統(tǒng)的時間或登錄次數(shù)不能保持良好的同步，就可能發(fā)生授權(quán)用戶無法登錄的問題。最后是用戶體驗感，有些口令為了增加安全性密鑰長度會較長，終端用戶每次登錄時都需要輸入一長串無規(guī)律的密碼，使用起來較為不便。02動態(tài)口令認證的安全評估03USBKey認證技術(shù)03USBKey認證技術(shù)USBKey又名智能電子密碼鑰匙，是一種USB接口的硬件身份認證設(shè)備，它內(nèi)置單片機或智能卡芯片，具有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用USBKey內(nèi)置的公鑰算法可以實現(xiàn)對用戶身份的認證，保障用戶安全。基于USBKey的身份認證方式結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)屬于強雙因子認證模式，USBKey安全可靠的認證方式、小巧便捷的外觀設(shè)計以及簡單易用的特性使其廣泛應(yīng)用于銀行的網(wǎng)絡(luò)交易中，是大多數(shù)國內(nèi)銀行采用的客戶端解決方案，使用USBKey存放代表用戶唯一身份的數(shù)字證書和用戶私鑰USBKey示例一代U盾是由一塊內(nèi)置安全系統(tǒng)芯片、電子數(shù)字證書與簽名密鑰構(gòu)成的，其中安全芯片的作用是對U盾進行安全掃描；數(shù)字證書與網(wǎng)站證書共同作用以保障用戶的登錄安全；簽名密鑰是每一個U盾特有的，其唯一性可以進步提升安全防護。二代U盾以“基于可參與性的網(wǎng)絡(luò)可信交易理論”為基礎(chǔ)，提出了操作控制列表技術(shù)（OperationControlList，OCL），該技術(shù)從硬件認證設(shè)備端入手，考慮已有應(yīng)用環(huán)境的兼容性與便利性，避免造成平臺及交易環(huán)境的改變，解決了終端交易環(huán)境不安全所帶來的“交易偽造”和“交易劫持”問題，因而得到了產(chǎn)業(yè)界和各商業(yè)銀行的廣泛認可和支持。03USBKey的發(fā)展中國建設(shè)銀行的U盾隨著PKI的不斷發(fā)展與普及，具有PKI功能的金融IC卡也開始發(fā)行，這使得在金融IC卡中實現(xiàn)數(shù)字證書應(yīng)用在技術(shù)上成為可能，第三代U盾就是集成了第二代U盾、智能卡讀寫器和多應(yīng)用金融IC卡功能的產(chǎn)品并逐漸成為業(yè)界關(guān)注的熱點。具體來說，三代USBKey是指帶有智能卡芯片的USBKey，它可以通過內(nèi)置的智能卡芯片在USBKey內(nèi)部硬件實現(xiàn)DES/3DES、RSA等加解密運算，并支持USBKey內(nèi)生成RSA密鑰對，杜絕了密鑰在客戶端內(nèi)存中出現(xiàn)的可能性，大大提高了安全性并解決了以下問題：1)存儲型的U盾受其硬件功能的限制，僅能實現(xiàn)簡單的數(shù)據(jù)算法，在PKI中廣泛使用的對稱和非對稱加密算法只能在PC的中間件上來運行，黑客有一定可能截取到在內(nèi)存中的密鑰；2)智能卡運算能力不斷提高，實現(xiàn)了可以運行加密算法的智能卡，但與電腦連接方式不夠便利。03USBKey的發(fā)展PKI技術(shù)即公鑰基礎(chǔ)設(shè)施所謂沖擊響應(yīng)模式，就是在服務(wù)端的數(shù)據(jù)庫中和USBKey的硬件中均保存用戶密鑰信息，用戶在系統(tǒng)登錄表單中輸入UserPIN信息，在瀏覽器中使用Javascript腳本語言進行用戶PIN碼進行驗證，這一步操作相當于用戶登錄了USBKey硬件，同時獲得USBKey的讀取權(quán)利，驗證通過后即可讀取USBKey硬件中用戶密鑰信息，再把從USBKey中讀到的用戶密鑰信息發(fā)送到服務(wù)器端，與數(shù)據(jù)庫中保存的用戶密鑰信息進行比較進而完成用戶身份認證過程。03USBKey的認證方式?jīng)_擊響應(yīng)模式基本流程PKI技術(shù)PKI是一種遵循標準的利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI能利用一對互相匹配的密鑰進行數(shù)據(jù)的加密、解密，即使用一個密鑰進行分析加密，另一個配對的密鑰進行解密。PKI的建立并應(yīng)用于信息安全服務(wù)，有效地解決了網(wǎng)絡(luò)通信應(yīng)用中的機密性、真實性、完整性、不可否認性等安全問題。一個典型的PKI系統(tǒng)是由證書機構(gòu)CA其作用是為用戶產(chǎn)生證書、注冊機構(gòu)數(shù)字證書注冊中心（RA，RegistrationAuthority）其作用是接受用戶的證書申請和審核、證書發(fā)布系統(tǒng)以及PKI策略、軟硬件系統(tǒng)、PKI應(yīng)用組成的。PKI體系通過采用加密算法構(gòu)建了一套完整的流程，CA為系統(tǒng)內(nèi)每個合法用戶辦一個網(wǎng)上身份認證，有效的保障了數(shù)字證書持有人的身份安全，結(jié)合USBKey可以保障數(shù)字證書無法復(fù)制，只有USBKey的持有人才可以對數(shù)字證書進行操作，這樣對身份認證過程中的安全性就有了很大的保障。03USBKey的認證方式04RFIDXidianUniversity04RFID無線射頻識別（RFID），是利用無線射頻方式進行對象識別與數(shù)據(jù)交換，實現(xiàn)對需要的物體的識別，是一種非物理性接觸、低成本、低功耗的新興自動識別技術(shù)，是應(yīng)用最廣泛的自動識別（Auto-ID）技術(shù)之一。其基本原理為，利用射頻信號通過空間耦合以及反射的傳輸性，實現(xiàn)無接觸信息傳遞和物體自動識別的功能。RFID具有識別距離遠，攜帶信息大，可移植性強，環(huán)境局限性小，使用壽命長，安全性好等優(yōu)勢。因此通常結(jié)合身份認證技術(shù)中的雙因子認證技術(shù)以及RFID設(shè)備自身特點實現(xiàn)安全性能較高的身份認證系統(tǒng)。將密碼技術(shù)應(yīng)用于認證RFID系統(tǒng)中各通信方的身份在已有的RFID安全認證協(xié)議中非常常見，也是眾多研究者研究的重點。而RFID具有掃描快速、體積小、抗污染能力強、數(shù)據(jù)容量大、可重復(fù)使用、無屏障閱讀、安全性高等特點，在提高計算機用戶信息的安全性中有較大優(yōu)勢。RFID系統(tǒng)的主要構(gòu)成1941—1950年1961—1970年1971—1980年1981—1990年哈里.斯托克曼發(fā)表的“利用反射功率的通訊”奠定了射頻識別RFID的理論基礎(chǔ)出現(xiàn)了一些最早的RFID應(yīng)用，基于IC的RFID系統(tǒng)開始在制造與運輸?shù)刃袠I(yè)進行開發(fā)和研究Sensormatic等公司開始推廣稍微不那么復(fù)雜的RFID系統(tǒng)商用，主要用于電子物品監(jiān)控。RFID技術(shù)及產(chǎn)品進入商業(yè)應(yīng)用階段，各種規(guī)模應(yīng)用開始出現(xiàn)。04RFID的發(fā)展RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動態(tài)車輛識別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波04RFID的優(yōu)勢1.抗干擾性超強RFID一個最重要的優(yōu)點就是非接觸式識別，它在急劇惡劣的環(huán)境下都可以工作，可以并且穿透力極強。2.RFID標簽的數(shù)據(jù)容量大標簽的數(shù)據(jù)容量可以根據(jù)用戶的需求擴充到10KB，遠遠高于二維碼2725個數(shù)字的容量。3.可以動態(tài)操作RFID的標簽數(shù)據(jù)可以利用編程進行動態(tài)的修改，并且還可以動態(tài)追蹤和監(jiān)控。4.使用壽命長標簽不易被破壞，使用時間長。5.防沖突在頻率解讀器的有效識別范圍內(nèi)，RFID可以同時讀取多個標簽進行識別，并不會導(dǎo)致讀取標簽沖突。6.安全性高RFID標簽可以以任何形式附著在產(chǎn)品上，可以為標簽數(shù)據(jù)進行密碼加密，以提高其安全性。7.識別速度快只要RFID標簽一進入解讀器的有效識別范圍內(nèi)，可能毫秒級就能獲取到數(shù)據(jù)。RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動態(tài)車輛識別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波04RFID的安全問題根據(jù)RFID系統(tǒng)的組成與工作流程可以發(fā)現(xiàn)，RFID的安全威脅主要來自兩個方面：一是標簽自身的安全問題，二是信息傳輸?shù)陌踩珕栴}。標簽自身的安全問題體現(xiàn)在：RFID系統(tǒng)很難具備保證自身信息足夠安全的能力，面臨著自身信息被竊聽、破解、截獲與復(fù)制的安全威脅。身份認證的任務(wù)是識別、驗證信息系統(tǒng)中用戶身份的合法性和真實性。如果能夠保證RFID系統(tǒng)中參與通信的各方均擁有合法身份，那么就能保證RFID系統(tǒng)工作環(huán)境的安全。05二維碼/條形碼05二維碼/條形碼二維碼/條形碼是一種可印刷的機器語言，以規(guī)則排列的圖形符號來表示數(shù)據(jù)。早在40年代就誕生了條碼，經(jīng)過不斷的發(fā)展在70年代得到了實際的應(yīng)用，現(xiàn)在條碼技術(shù)已經(jīng)普遍應(yīng)用于世界上的各個國家和地區(qū)，其應(yīng)用領(lǐng)域也越來越廣泛。使用條碼進行識別時，需要通過條碼閱讀機進行掃描，得到一組反射光信號，此信號經(jīng)光電轉(zhuǎn)換后變?yōu)橐唤M與線條、空白相對應(yīng)的電子訊號，經(jīng)解碼后還原為相應(yīng)的文數(shù)字，再傳入電腦經(jīng)由數(shù)據(jù)庫查詢條碼中包含的相關(guān)信息。目前條碼識別技術(shù)已經(jīng)很完善了，讀取識別的錯誤率約為百萬分之一，是一種可靠性高、輸入快速、準確性高、成本低、應(yīng)用面廣的身份認證技術(shù)。二維碼示例堆疊式/行排式二維條碼又稱堆積式二維條碼或?qū)优攀蕉S條碼，其編碼原理是建立在一維條碼基礎(chǔ)之上，按需要堆積成二行或多行。堆疊式/行排式二維條碼矩陣式二維條碼（又稱棋盤式二維條碼）它是在一個矩形空間通過黑、白像素在矩陣中的不同分布進行編碼。在矩陣相應(yīng)元素位置上，用點（方點、圓點或其他形狀）的出現(xiàn)表示二進制“1”，點的不出現(xiàn)表示二進制的“0”，點的排列組合確定了矩陣式二維條碼所代表的意義。矩陣式二維條碼郵政碼是通過不同長度的條進行編碼，主要用于郵件編碼，如：Postnet、BPO4-State。郵政碼05二維碼/條形碼分類05二維碼/條形碼糾錯碼二維碼/條形碼的自動糾錯功能是通過對其存儲信息進行糾錯編碼而實現(xiàn)的，當二維碼/條形碼存在部分信息缺損、變形或被誤識時，糾錯碼可以利用獲取的部分信息來還原二維碼/條形碼中的正確信息，里德-所羅門碼（Reed-Solomon，RS）編碼就是常用的糾錯碼之一，又稱里所碼。在RS的譯碼過程中，若需要糾錯的t數(shù)值較大時，直接進行解方程組計算難度和計算成本都會增加，為了提高效率提出了一些快速譯碼方法，彼德森直接算法、伯利坎普算法和Peterson．Gorenstein—Zierler算法都是常用于RS譯碼的經(jīng)典算法。RS碼編碼譯碼器結(jié)構(gòu)示意圖05基于二維碼/條形碼的身份認證基于二維碼/條形碼的身份認證系統(tǒng)是目前較為常見的身份認證方式之一，其目的是為了實現(xiàn)安全、快捷的身份認證。它使用圖形化的方式存儲信息，對信息內(nèi)容進行了加密和隱藏，并利用其本身自動糾錯的能力，保證了信息在被破壞、干擾的情況下依然能被讀取。二維碼/條形碼也可以有效地由機器進行識別，這使他可以應(yīng)用于各種自動系統(tǒng)?；诙S碼/條形碼的身份認證系統(tǒng)主要由客戶端和服務(wù)器端構(gòu)成，其中智能手機作為客戶端由用戶持有，身份認證服務(wù)器端由身份認證服務(wù)器、存儲用戶認證信息的數(shù)據(jù)庫以及實現(xiàn)認證結(jié)果的模塊組成。藍牙通訊也經(jīng)常被應(yīng)用于二維碼/條形碼的身份認證，利用其短距離無線傳輸技術(shù)與方便靈活的使用，取代不可信的無線傳輸，不僅保證了安全性還增加了認證系統(tǒng)的易用性。二維碼身份認證系統(tǒng)圖05身份認證安全性分析作為一個身份認證系統(tǒng)，安全性是其核心問題?；诙S碼的身份認證系統(tǒng)的安全機制主要包含以下幾個方面：1）最終的安全信息通過顯示在手機屏幕上的二維條碼傳遞。由于手機屏幕相對較小，并且手機屏幕是定向的攝像頭展示，不易被攻擊者截取。2）在藍牙設(shè)備進行連接的過程中，使用個人ID碼（PIN碼）進行口令-應(yīng)答方式的認證，當雙方的PIN碼一致時才能夠能建立藍牙連接。3）分別存儲在智能手機與用戶信息數(shù)據(jù)集庫的用戶密碼使用MD5等加密方法進行加密。此信息無法逆向還原為密碼原文，即便使用碰撞算法也需要多次嘗試。4）用戶每次連接均會由認證服務(wù)器隨機產(chǎn)生一個動態(tài)密鑰，每次產(chǎn)生的動態(tài)密鑰均不相同，此動態(tài)密鑰與本次認證相對應(yīng)。MD5加密算法示意圖06藍牙06藍牙藍牙設(shè)備簡化了設(shè)備與設(shè)備之間、設(shè)備與網(wǎng)絡(luò)之間的通信，使數(shù)據(jù)傳輸變的更加快捷高效。藍牙模塊可以被植入到各種設(shè)備中得到了廣泛的應(yīng)用，比如手機、耳機、手表、汽車等，這都與藍牙技術(shù)的特點密不可分：1.射頻特性與數(shù)據(jù)傳輸藍牙技術(shù)選擇對全世界公開的2.4GHz頻段作為工作頻段?？梢院芎玫闹С謹?shù)據(jù)和語言之間的傳輸，其中針對語音數(shù)據(jù)屬于重點。2.開放性藍牙技術(shù)無線通信的規(guī)范是公開的，任何廠家都可拿來生產(chǎn)藍牙模塊，只要能通過SIG的質(zhì)量檢測和兼容性檢測，產(chǎn)品就可以順利進入市場，并沒有其他限制。3.功率低藍牙保持休眠狀態(tài)的時候因為不工作幾乎不消耗功率。同時，加上藍牙的傳輸距離相對較短，因此藍牙消耗的功率是很低的。4.價格低在供需關(guān)系的引導(dǎo)下，藍牙產(chǎn)品的價格也逐漸減低，應(yīng)用也越來越廣泛。5.鑒權(quán)和加密藍牙進行第二次連接的時候藍牙便會自動連接，為用戶提供了極大的便利。同時藍牙信道是加密的，密鑰是由程序的高層進行管理的，保證了傳輸數(shù)據(jù)的安全性。6.輻射低藍牙的輻射量為1毫瓦，與其他帶有輻射的設(shè)備相比，是微波爐使用功率的百萬分之一，是電話的千分之一。06藍牙協(xié)議藍牙的協(xié)議內(nèi)容很多，但是并非每一種藍牙應(yīng)用都需要使用全部協(xié)議，藍牙協(xié)議結(jié)構(gòu)主要包含藍牙模塊與藍牙主機，其中藍牙模塊部分包含一個主機控制器（HC，HostController），用于解釋從主機接收到的信息，并負責(zé)將收集到的藍牙模塊各部分狀態(tài)信息傳送給主機。藍牙技術(shù)中的一些可選協(xié)議為藍牙的廣泛應(yīng)用提供了便利。BNEP與PPP分別基于L2CAP和RFCOMM，實現(xiàn)了對TCP/IP等網(wǎng)絡(luò)協(xié)議的封裝，為設(shè)備之間的連接與通信提供了良好的途徑。藍牙結(jié)構(gòu)圖06藍牙的安全機制藍牙無線通信安全機制包含五個不同的功能模塊:配對、綁定、設(shè)備鑒權(quán)、加密和消息完整性。配對是指創(chuàng)建一個或多個共享安全碼的過程；綁定是通過保存配對中創(chuàng)建的安全碼用于形成可信設(shè)備對以進行連接；設(shè)備鑒權(quán)用于驗證兩臺設(shè)備擁有共同的安全碼；加密是為了消息保密；消息完整性是為了有效防止消息偽造。藍牙通信結(jié)構(gòu)圖PIN碼是最后一道防護，如果抓包藍牙設(shè)備配對的數(shù)據(jù)包，然后通過惡意軟件爆破PIN碼后，藍牙的整個加密認證體系就摧毀了。PIN碼威脅藍牙MAC地址是藍牙唯一的設(shè)備地址，攻擊者可以通過修改自身的設(shè)備地址，來偽造身份，或者通過掃描附近的藍牙設(shè)備，把自己的地址信息修改成另一個設(shè)備一模一樣的地址，完成身份克隆。身份偽造藍牙傳輸范圍是有限的，如果使用藍牙信號增幅的設(shè)備，盡可能的擴大藍牙的傳輸范圍，被藍牙解鎖設(shè)備感受到了藍牙電波的存在就可能觸發(fā)設(shè)備解鎖。中繼攻擊攻擊者偽裝成發(fā)起方嘗試連接目標設(shè)備，故意失敗多次，從而配對間隔時間不斷增大，當達到一個最大值時，真正的設(shè)備也將無法進行連接。拒絕服務(wù)攻擊06藍牙安全威脅數(shù)字鑰匙藍牙智能門鎖智能手環(huán)06藍牙身份認證第四章用戶是什么現(xiàn)代生物識別技術(shù)目錄CONTENTS04聲音識別05掌紋識別06未來發(fā)展與挑戰(zhàn)01人臉識別02指紋識別03虹膜識別00引言現(xiàn)代生物識別技術(shù)我們生活在一個高度信息化的社會，越來越多的人意識到信息保護的重要性。隨著技術(shù)的發(fā)展，傳統(tǒng)的身份驗證方法，如數(shù)字密碼、字符密碼，甚至數(shù)字和字符的組合，已經(jīng)逐漸無法滿足用戶對隱私保護的要求。信息保護的重要性相對于傳統(tǒng)身份驗證方法，生物識別技術(shù)提供了一種更為可靠且方便的解決方案。每個人的生物特征都是獨一無二的，包括指紋、虹膜、面部結(jié)構(gòu)等，這些都不容易被復(fù)制或模仿。生物識別技術(shù)的優(yōu)勢生物識別技術(shù)已經(jīng)被廣泛應(yīng)用于金融、電子商務(wù)、網(wǎng)絡(luò)安全、門禁安全等領(lǐng)域，顯示出其跨行業(yè)的適應(yīng)性和實用性應(yīng)用范圍的廣泛性00現(xiàn)代生物識別技術(shù)00生物識別技術(shù)概覽生物識別技術(shù)是一種利用人的生物學(xué)特征進行身份認證的技術(shù)。它基于每個人獨有的生理或行為特征，如指紋、虹膜、人臉、聲音等，提供一種安全、便捷的身份驗證方式。定義隨著數(shù)字化時代的到來，傳統(tǒng)的身份驗證方法（如密碼和PIN碼）由于安全性和便利性問題逐漸顯示出局限性。生物識別技術(shù)提供了一種固有的、難以偽造的身份驗證手段，極大地增強了個人和企業(yè)的數(shù)據(jù)安全。重要性技術(shù)分類人臉識別利用個體面部的結(jié)構(gòu)特征進行識別。常見于公安識別、手機解鎖及自動邊檢應(yīng)用。指紋識別分析手指上的紋理圖案，是最早被商用的生物識別技術(shù)。廣泛用于門禁系統(tǒng)、手機安全及銀行認證。虹膜識別通過分析眼睛虹膜的復(fù)雜圖案進行身份驗證。由于其高準確性，常用于高安全場所的身份認證。聲音識別基于語音的特點進行個體識別，常用于電話銀行服務(wù)和智能助理。掌紋識別使用手掌的紋理和脈絡(luò)圖案進行識別。相較于其他生物特征，掌紋提供了更多的特征區(qū)域，用于增加識別的準確性。01人臉識別01人臉識別技術(shù)人臉識別是一種基于個體面部特征來進行身份驗證的生物識別技術(shù)。它通過分析面部結(jié)構(gòu)的關(guān)鍵點，如眼睛、鼻子、嘴巴以及臉型等，識別個人身份?；靖拍钊四樧R別技術(shù)廣泛應(yīng)用于安全驗證系統(tǒng)、公安系統(tǒng)、移動設(shè)備安全、銀行安全驗證等領(lǐng)域。它也被用于監(jiān)控系統(tǒng)以提升公共安全，如機場、購物中心和重要基礎(chǔ)設(shè)施的監(jiān)控系統(tǒng)。應(yīng)用背景

(a)門禁身份認證(b)面容支付01人臉識別技術(shù)-技術(shù)原理

人臉檢測與預(yù)處理特征提取特征匹配與識別系統(tǒng)需要檢測出圖像中的人臉，通常是通過人臉的顏色和特定結(jié)構(gòu)特征來實現(xiàn)。之后，將檢測到的人臉進行預(yù)處理，包括調(diào)整圖像尺寸和方向，確保后續(xù)處理的一致性。提取的特征數(shù)據(jù)將與數(shù)據(jù)庫中預(yù)存的面部數(shù)據(jù)進行比對。匹配過程通常涉及復(fù)雜的算法，以確保識別的準確性和效率。系統(tǒng)將提取面部的關(guān)鍵特征點，這些特征點包括但不限于眼睛、鼻子、嘴巴的位置，以及臉的輪廓。這些特征點將轉(zhuǎn)化為數(shù)據(jù)，以便進行進一步的分析。01人臉識別技術(shù)-挑戰(zhàn)與解決方案人臉識別技術(shù)面臨的主要挑戰(zhàn)包括光線變化、面部遮擋（如戴眼鏡或口罩）、表情變化等因素的影響。挑戰(zhàn)人臉識別技術(shù)廣泛應(yīng)用于安全驗證系統(tǒng)、公安系統(tǒng)、移動設(shè)備安全、銀行安全驗證等領(lǐng)域。它也被用于監(jiān)控系統(tǒng)以提升公共安全，如機場、購物中心和重要基礎(chǔ)設(shè)施的監(jiān)控系統(tǒng)。解決方案02指紋識別02指紋識別技術(shù)指紋識別是一種通過分析個人手指上的紋理圖案進行身份驗證的生物識別技術(shù)。它依據(jù)的是指紋中的脊線、分叉點和終止點等微小特征，這些特征在每個人身上都是獨一無二的。基本概念指紋識別技術(shù)被廣泛用于門禁控制、身份驗證、移動支付和法律執(zhí)法等領(lǐng)域。它的便捷性和高安全性使其成為最普遍應(yīng)用的生物識別技術(shù)之一。應(yīng)用背景

(a)電腦指紋解鎖

(b)手機指紋解鎖

(c)指紋打卡02指紋識別技術(shù)

-技術(shù)原理

指紋采集特征提取特征匹配與識別通過指紋掃描器或傳感器捕獲指紋圖像。這些設(shè)備利用光學(xué)、電容或超聲波技術(shù)來捕捉指紋的高分辨率圖像。提取的特征將與數(shù)據(jù)庫中存儲的指紋模板進行匹配。通過算法計算兩者之間的相似度，從而驗證用戶的身份。從采集到的指紋圖像中提取特征點，主要關(guān)注脊線的流向、分叉點和終止點等關(guān)鍵特征。02指紋識別技術(shù)-挑戰(zhàn)與解決方案指紋識別可能受到手指表面的干凈度、損傷或磨損以及環(huán)境因素（如濕度和污漬）的影響。挑戰(zhàn)開發(fā)更先進的傳感器技術(shù)，如多光譜成像和增強的圖像處理算法，以提高在不理想條件下的識別準確性。解決方案03虹膜識別03虹膜識別技術(shù)虹膜識別是一種利用眼睛虹膜中獨特圖案進行身份驗證的生物識別技術(shù)。虹膜具有復(fù)雜的紋理，這些紋理即使在同卵雙胞胎中也是獨特的，且從出生到死亡過程中保持不變?；靖拍詈缒ぷR別技術(shù)因其極高的識別準確率和難以偽造的特性，被廣泛應(yīng)用于高安全級別的身份驗證場合，如機場邊檢、國防安全和重要設(shè)施的訪問控制。應(yīng)用背景

(a)入境管理身份認證

(b)政府機構(gòu)身份認證03虹膜識別技術(shù)

-技術(shù)原理

虹膜捕獲特征提取特征匹配與識別使用專門的攝像設(shè)備，在一定距離內(nèi)通過紅外光照射捕獲眼睛的虹膜圖像。紅外光有助于突出虹膜的細節(jié)紋理，即使在光線較暗的環(huán)境中也能獲得高質(zhì)量的圖像。將提取的虹膜特征與數(shù)據(jù)庫中預(yù)先存儲的虹膜模板進行比對。匹配算法評估兩者之間的相似度，若足夠高，則確認身份匹配。從捕獲的虹膜圖像中提取特征，包括各種環(huán)、褶皺和紋理點。這些特征將轉(zhuǎn)換成數(shù)字代碼，形成虹膜模板。03虹膜識別技術(shù)-挑戰(zhàn)與解決方案用戶需要直視攝像頭，可能導(dǎo)致操作上的不便。此外，眼鏡、隱形眼鏡或眼部疾病也可能影響圖像質(zhì)量和識別效果。挑戰(zhàn)采用更先進的成像技術(shù)和圖像處理算法，以提高系統(tǒng)對上述問題的魯棒性。增加系統(tǒng)的用戶指導(dǎo)，確保正確捕獲虹膜圖像。解決方案(a)近紅外虹膜圖像

(b)可見光虹膜圖像04聲音識別04聲音識別技術(shù)聲音識別技術(shù)基于分析個體的聲音特征進行身份驗證，主要利用語音的音調(diào)、節(jié)奏、音色和發(fā)音等特點。每個人的聲音具有獨特的生理和行為特征，這些可以用于明確個人身份?；靖拍盥曇糇R別技術(shù)常用于電話銀行系統(tǒng)、智能家居控制、虛擬助理和安全門禁系統(tǒng)等。由于其非接觸式和遠程操作的特點，聲音識別為用戶提供了極大的便利。應(yīng)用背景基于HMM的聲學(xué)模型結(jié)構(gòu)圖04聲音識別技術(shù)

-技術(shù)原理

聲音采集特征提取特征匹配與識別使用麥克風(fēng)設(shè)備捕獲語音樣本。在環(huán)境噪音可控的情況下，盡可能清晰地記錄下說話者的聲音。將提取的聲學(xué)特征與數(shù)據(jù)庫中存儲的聲紋模板進行比對。通過各種聲紋匹配算法計算相似度，以驗證說話者的身份。從捕獲的語音中提取有區(qū)別性的聲學(xué)特征，如基頻、共振峰和語速等。這些特征被轉(zhuǎn)換成數(shù)值形式，以便進行后續(xù)處理。05掌紋識別05掌紋識別技術(shù)掌紋識別技術(shù)是通過分析手掌的紋理圖案、線條和脊線來識別個體身份的一種生物識別方法。掌紋包括掌紋紋理、主線、皺紋和脊線等，具有高度的復(fù)雜性和個體差異性?；靖拍钫萍y識別由于其穩(wěn)定性和獨特性，被用于高安全需求的場景，如銀行安全系統(tǒng)、企業(yè)門禁控制以及高安全級別的身份驗證系統(tǒng)。應(yīng)用背景

(c)掌紋支付

(d)掌紋解鎖(a)掌紋打卡

(b)掌紋采集05掌紋識別