操作系统——身份验证
2012-3-24 20
基于智能卡认证方式
• 基于智能卡的认证可提供双重认证,即你所拥有 的东西认证(您的智能卡)和你所知道的东西认 证(您的PIN代码)。 • 智能卡提高硬件保护措施和加密算法,可以利用 这些功能加强安全性能。
2012-3-24
21
基于智能卡验证方式
• 日常应用 – 例如,打IC电话的IC卡,手机里的SIM卡,银行里 的IC银行卡等等。 • 安全应用 – 由于智能卡具有安全存储和处理能力,因此智能卡 在个人身份识别方面有着得天独厚的优势。 – 最著名的是Secue ID系统,已经被普遍应用于安全 性要求较高的系统中
2012-3-24 12
创建安全口令
• 在创建安全口令的时候,最好能遵循以下准则:不要 做以下的事: • 不要只使用单词或数字 — 决不要在口令中只使用单 词或数字。 • 不要使用常规名称、术语和单词。非常规的字符组合 会增大攻击者穷举搜索的难度,而不能使用简单的字 典搜索。因此,既要选择不太可能的字符串作口令, 又需要易于记忆,是一对矛盾。
2012-3-24
统中被采用 。
30
基于生物特征验证方式
虹膜图样识别技术 :
• 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分,具有分叉 ,颜色,环状,光环以及皱褶;其图样具有个人特征, 可以提供比指纹更为细致的信息。 • 存储一个虹膜图样需要256个字节,所需的计算时间为 100毫秒。 • 开发出基于虹膜的识别系统可用于安全入口、接入控制 、信用卡、POS、ATM等应用系统中,能有效进行身份 识别。
2012-3-24 28
基于生物特征验证方式
语音识别技术 :
• 每个人说话的声音都有自己的特点,人对语音的识别 能力是特别强的。 • 在商业和军事等安全性要求较高的系统中,常常靠人 的语音来实现个人身份的验证。 • 机器识别语音的系统可提高系统安全,并在个人的身 份验证方面有广泛的应用。 • 现在美国、德国等已经开发出了基于语音的识别系统 ,在用于防止黑客进入语音函件和电话服务系统。
2012-3-24
34
THANKS
2012-3-24
35
基于生物特征验证方式
•
自动的签名系统作为接入控制设备的 组成部分时,应先让用户书写几个签名进 行分析,提取适当参数存档备用。
2012-3-24
27
基于生物特征验证方式
• 指纹识别技术 :
• 指纹作为身份验证的准确而可靠的手段 – 指纹相同的概率不到10-10,唯一性 – 形状不随时间变化,终身不变性 – 提取方便 • 将指纹作为接入控制的手段大大提高了其安全性和可靠性。 • 缺憾 – 通常和犯罪联系在一起,人们一般都不愿接受这种方式 – 机器识别指纹成本很高。
2012-3-24 23
基于生物特征验证方式
• • • • • • (1)手写签名识别技术 (2)指纹识别技术 (3)语音识别技术 (4)视网膜图样识别技术 4 (5)虹膜图样识别技术 (6)脸型识别
2012-3-24
24
基于生物特征验证方式
• 手写签名识别技术: 手写签名识别技术: 传统的协议和契约等都以手写签名生效。发 生争执时则由法庭判决,一般都要经过专家鉴定 。由于签名动作和字迹具有强烈的个性而可作为 身份验证的可靠依据。
2012-3-24 9
用户名/口令验证技术
ID(标识符)使用下列方式提供了安全性: • ID确定 用户是否有权获得对系统的访问。 • ID确定用户相应的权限。 • ID用于所谓的自主访问控制中。
2012-3-24
10
用户名/口令验证技术
• 用户名/口令具有实现简单的优点,但存在以下安全 缺点: – 大多数系统的口令是明文传送到验证服务器的,容 易被截获。 – 口令维护的成本较高。为保证安全性,口令应当经 常更换。另外为避免对口令的字典攻击,口令应当 保证一定的长度,并且尽量采用随机的字符。但缺 点是难于记忆。 – 口令容易在输入的时候被攻击者偷窥,而且用户无 法及时发现。 • 简单和安全是互相矛盾的两个因素
2012-3-24
32
基于生物特征验证方式
各种生物特征识别特征认证方案的成本与精确度的对应关系
2012-3-24 33
身份验证
• 精度的概念不适合用于智能卡或密码来进行身份验 证的方案。例如:如果用户输入一个密码,它只有 两种可能,完全匹配与完全不匹配。 • 对于生物识别技术而言,系统必须确定目前的这个 生物识别特征与存储的特征匹配到什么程度。
19
基于智能卡认证方式
• 智能卡是一种芯片卡,是由一个或多个集成电路芯片 组成,并封装成便于人们携带的卡片,在集成电路中 具有微电脑CPU和存储器。 • 智能卡具有暂时或永久的数据存储能力,其内容可供 外部读取或供内部处理和判断之用,同时还具有逻辑 处理功能,用于识别和响应外部提供的信息和芯片本 身判定路线和指令执行的逻辑功能。 • 计算芯片镶嵌在一张名片大小的塑料卡片上,从而完 成数据的存储与计算,并可以通过读卡器访问智能卡 中的数据
2012-3-24 16
• •
创建安全口令
• 口令长度至少为八个字符 — 口令越长越好。 • 由八位字符组成的密码应该说是非常保险的,即 使对于今天高速运行的计算机来说也是这样。尽 管有些密码破译程序可以在Pentium 4处理器上在 一秒钟内测试近八百万种组合方式,但是要破译 一个八位密码仍然需要13年的时间。
2012-3-24 2
操作系统安全——身份验证
• 身份验证概述 • 身份验证方法:
– 基于口令的认证方式 – 基于智能卡的认证方式 – 基于生物特征的认证方式
2012-3-24
3
身份验证
• 网络的普及使任何人都可以试图登录进入 系统。确定用户合法身份,是进入网络和 系统的第一道安全关口,也是用户获取权 限的关键。 • 身份验证,用来确定用户在系统中的身份 的真实性,包括用户的标识和鉴别,是用 户进入系统后的第一道防线。
2012-3-24
25
基于生物特征验证方式
• 机器自动识别手写签名成为模式识别的重要研究之一。 • 进行机器识别要做到: – 签名的机器含义, – 手写的字迹风格(对于身份验证尤为重要) • 可能的伪造签名有两种情况: – 不知道真迹,按得到的信息随手签名; – 已知真迹时模仿签名或影描签名。
2012-3-24 26
2012-3-24
6
身份验证的方法
• 用户或系统可以用以下三种方法中的 一种,证明他们是自己所声明的什么身份: 个人知道什么 个人拥有什么 个人是什么
2012-3-24
7
基于口令的身份验证
• 个人知道什么: 基于你所知道的(what you know)— — 个人识别码(pin)、口令、密码,或对 预先设置的一组问题的回答。
2012-3-24
4
身份验证
• 身份验证解决“你是谁”(Who are you?) 的问题。它是验证用户、系统或系统组件 身份的一种能力。系统组件可以包括内部 过程,如应用程序,或从一台计算机传到另一 , , 台计算机的网络包。 。
2012-3-24
5
身份验证
• 身份验证过程包括两个步骤: (1)识别步骤:为安全系统提供一个标识符 (ID)。 (2)验证步骤:提供或生成验证信息,确定实体与 标识符之间的绑定。 • 用户标识是指用户登录注册在信息系统中的身份 标识,代表用户的身份信息。
• 不要笔录你的口令 — 决不要把口令写在纸上。把它 牢记在心才更为安全。 • 不要在所有机器上都使用同样的口令 — 在每个机器 上使用不同的口令是及其重要的。这样,如果一个 系统泄密了,所有其它系统都不会立即受到威胁。
2012-3-24
15
创建安全口令
• • 在创建安全口令的时候,需要做的: 混和大小写字母 —混和大小写会增加口令的强健程 度。 混和字母和数字 — 在口令中添加数字,特别是在中 间添加(不只在开头和结尾处)能够加强口令的强 健性。 包括字母和数字以外的字符 — &、$、和 > 之类的 特殊字符可以极大地增强口令的强健性。 挑选一个你可以记住的口令 — 如果你记不住你的口 令,那么它再好也没有用。
2012-3-24
17
身份验证的方法
• 个人拥有什么: 基于你所拥有的(What you have )—身份证、信 用卡、密钥、智能卡、令牌、物理密钥等。 • 令牌:用户使用自身拥有的一个对象来验证自己的身 份。 • 智能卡:被广泛应用的令牌,与银行卡的外形和大小 相似。
2012-3-24
18
基于智能卡认证方式
2012-3-24
22
身份验证的方法
• 我是什么: 基于你的个人特征(What you are)—指纹, 笔迹,声音,手型,脸型,视网膜,虹膜等。 • 生物统计学正在成为自动化世界所需要的自动化个 人身份认证技术中最简单而安全的方法。 • 它是利用个人的生理特征来实现。 • 因人而已、随身携带,不会丢失且难以伪造,极适 用于个人身份验证
2012-3-24 11
用户名/口令验证技术
• 在现实中,黑客攻击目标的时候,90%会把破 译普通用户的口令作为第一步。比如先用“finger 远端主机名”找出主机上的用户账号,然后用字典 穷举法进行攻击。因为事实上,很多用户都把自己 常用的英文单词或者自己的姓名作为口令。通过一 些程序,自动地从计算机字典里面去找单词作为用 户的口令输入给远端的主机,尝试进入系统。这个 破译过程是由程序来完成的。
2012-3-24 29
基于生物特征验证方式
视网膜图样识别技术: 视网膜图样识别技术:
• 人的视网膜血管的图样具有良好的个人特征。 • 基本方法: – 用光学和电子仪器将视网膜血管图样纪录下来,一个 视网膜血管的图样可压缩为小于35字节的数字信息。 – 可根据对图样的节点和分支的检测结果进行分类识别。 • 要求被识别人要合作允许进行视网膜特征的采样。 • 验证效果相当好,但成本较高,只是在军事或者银行系
