身份认证技术
虹膜识别的主要技术:
➢ 虹膜图像获取 ➢ 虹膜识别算法
20
3.2 身份认证协议
网络通信中主要通过认证协议对有关实体的身份进行验证。
从实用角度而言,一个安全的身份认证协议至少应满足以下两个条件: 1. A能向验证者B证明他的确是A; 2. 在A向验证者B证明他的身份后,验证者B不能获得A的任何有用信息,B不能模
10
一次性口令系统实例
➢1991年,贝尔通信研究中心(Bellcore)首次研制出了基于一次性口令思想的身份认证系统S/KEY。
S/KEY最初使用DES算法,后因安全问题改用MD4作为其加密算法。
➢FreeBSD操作系统下的一次性口令系统——OPIE(One-time Passwords In Everything)
缺点:
(1)某些群体的指纹因为指纹特征很少,故而很难成像; (2)在犯罪记录中使用指纹,使得某些人害怕“将指纹记录在案”。 (3)每一次使用指纹时都会在指纹采集头上留下用的指纹印痕,这些指纹有可能被他人复制。
17
三、语音识别技术 语音识别——不是能识别出用户说的是什么,而是要能识别出是谁说的。 语音识别的要求:
CRL分发点(CRLDistributionPoints)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
15
比较项目
体积 耐用性
成像能力 耗电 成本
指纹取像常用技术的比较
光学全反射
大
硅晶体电容传感
小
非常耐用
容易损坏
干手指差,汗多的 和稍胀的手指成像 模糊
干手指好,但汗多的和 稍胀的手指不能成像
较多
较少
低
低
超声波扫描
中 一般
非常好 较多 很高
16
指纹识别技术的优缺点
优点:
(1)是独一无二的特征,并且它们的复杂度足以提供用于鉴别的足够特征; (2)指纹识别的速度很快,使用非常方便; (3)识别指纹时,用户的手指与指纹采集头直接接触,这是读取人体生物特征最可靠的方法。 (4)采集头会更小型化,并且价格会更低廉。
29
1)单向身份认证
A
B
单向身份认证
AB: IDA|| EKRa(TA||RA||IDB|| EKUb(KAB))说源自:IDA、IDB:A和B的身份标识。
EKRa: 用A的私钥加密 EKUb:用B的公钥加密 TA: A产生消息的时戳,包括产生时间、截止时间
RA: A产生的不会重复的随机数,防止重放、伪造;B在收到的消息截止时间内要一 直保存RA。
地市(localityName) 主 体 名 称(subject)
组织名称(organizationName)
机构名称(organizationalUnitName)
服务器名称(CommanName)
主体公钥信息(subjectPublicKeyInfo)
颁发机构的密钥标识(authorityKeyIdentifier)
13
二、指纹识别技术 指纹识别——基于每个人指纹的唯一性和稳定性。 指纹识别的主要技术:
➢ 现代电子集成制造技术 ➢ 可靠的匹配算法
14
指纹取像的几种技术和特点
目前指纹取像主要有三种技术: 光学全反射技术、晶体传感器技术和超声波扫描技术。 ➢光学全反射技术:利用光的全反射原理 ➢晶体传感器技术:硅电容传感器 ➢超声波扫描技术:利用超声波扫描反射原理
2
(1)保密性 (2)真实性
身份的真实性 信息的真实性
(3)完整性
(4)不可否认性
安全需求分析
身份认证 信息认证
加密技术
认证技术
数字证书 数字签名
3
3.1 身份认证的方法
3.1.1 身份认证的定义
证实客户的真实身份与其所声称的身份是否相符的过程。
身份认证的依据: (1)根据用户知道什么来判断(所知)
KAB:双方欲建立的会话密钥
B要验证:A的证书的有效性;A的签名;消息完整性;接收者是否为B;时戳是否是 当前时间;
RA有无重复
30
2)双向身份认证
A
B
双向身份认证
在单向认证基础上,B向A做出应答,以证明: B的身份、应答是B产生的; 应答的意欲接收者是A; 应答消息是完整的和新鲜的。
9
一次性口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。 ② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用的单向函数f及一次性密 钥k,这种传送通常采用加密方式。 ③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x)。第一次正式访问系 统所传送的数据为(k,z)。 ④ 系统核对k,若正确,则将(ID,fn(x))保存。 ⑤ 当用户第二次访问系统时,将(ID,fn-1(x))送系统。系统计算f(fn-1(x)),将 其与存储的数据对照,如果一致,则接受用户的访问,并将(ID,fn-1(x))保存。 ⑥ 当用户第三次访问系统时,将(ID,fn-2(x))送系统。系统计算f(fn-2(x)),将 其与存储的数据对照,如果一致,则接受用户的访问,并保存新计算的数据。 ⑦ 当用户每一次想要登录时,函数运算的次数只需-1。
地市(localityName) 组织名称(organizationName)
机构名称(organizationalUnitName)
用户名称(CommanName)
主体公钥信息(subjectPublicKeyInfo)
颁发机构的密钥标识(authorityKeyIdentifier)
主体密钥标识符(subjiectKeyIdentifier)
OPIE使用比S/KEY的MD4更为强壮的MD5算法,因此一般认为OPIE更为安全。
11
3.1.3 持证认证
主要类型
➢条码卡 ➢磁卡 ➢IC卡 存储卡 智能卡
12
3.1.4 生物识别认证 一、签名认证——不是能识别出被鉴别的签名是什么字,而是要能识别出签名的人。
签名认证的使用
➢首先提供一定数量的签名 ➢系统分析签名,提取特征 ➢通过比较签名,进行身份识别
➢ 创造一个良好的环境 ➢ 规定用户朗读的单词
18
语音识别的过程
➢首先对用户的语音进行采样; ➢系统提取语音特征,得到参考样本; ➢通过比较参考样本和语音结果,判别真伪。
语音识别技术的弱点
➢要求受测者多次重复语音,分析过程较长; ➢语音受人的身体状况和精神状态的影响。
19
四、虹膜识别技术 虹膜识别——基于每个人眼睛虹膜的唯一性和稳定性。
主体密钥标识符(subjiectKeyIdentifier)
CRL分发点(CRLDistributionPoints) 28
X.509认证过程: 假设通信双方都知道对方的公钥,或者双方都从目录服务器获得对方
的公钥证书。 认证过程有三种: 1)单向身份认证:用户A将消息发往B,以向B证明:
A的身份、消息是由A产生的; 消息的意欲接收者是B; 消息的完整性和新鲜性。
25
数字证书-证书格式
标准的X.509数字证书包含以下一些内容: ①版本号:标示证书的版本(v1, v2, 或是v3); ②序列号:由证书颁发者分配的本证书的唯一标识符; ③签名算法:签名算法标识符; ④颁发者:证书颁发者的可识别名(DN),这是必须说明的; ⑤有效期:证书有效的时间段,本字段由”Not Valid Before”和”Not Valid After”
用户证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
主 体 名 称(subject)
第3章 身份认证技术
安全需求分析
• (1)保密性 • (2)真实性
▪ 信息的真实性:对信息的来源进行验证; ▪ 身份的真实性:对信息发送方的身份进行验证,以确保信息由合法的用户发出;
• (3)完整性
• 防止非法用户对信息进行无意或恶意的修改、插入,防止信息丢失等。
• (4)不可否认性
• 防止信息发送方在发出信息后又加以否认;防止接收方在收到信息后又否认曾收 到过此信息及篡改信息。
两项组成; ⑥主体:证书拥有者的可识别名,此字段必须是非空的,除非使用了其它的名字形式; ⑦主体公钥信息:主体的公钥(以及算法标识符) – 这是必须说明的; ⑧颁发者唯一标识符:证书颁发者的唯一标识符; ⑨主体唯一标识符:证书拥有者的唯一标识符; ⑩扩展:可选的标准和专用扩展(仅在版本3中使用)
数字证书的信息
仿A向第三方证明他是A。
目前已经设计出四类身份认证协议——一次一密机制、公钥认证体系、 Kerberos认证体系、零知识身份识别协议。
21
3.2.1 一次一密机制
1、请求/应答方式: 方法1:用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用
户输入此口令字完成一次登录过程;或者用户对此信息进行数字签名发送给验证方进行鉴别。 方法2:用户根据系统提供的同步时钟信息连同其个人化数据共同产生一个口令字 。
2、询问/应答方式: 验证者随机提出问题由用户回答,以验证用户的真实性。
22
3.2.2 X.509公钥认证协议 X.509协议是利用公钥密码技术提供身份认证服务的标准。协议