信息安全-身份認證技術(shù)與應(yīng)用

信息安全-身份認證技術(shù)與應(yīng)用信息安全-身份認證技術(shù)與應(yīng)用信息安全-身份認證技術(shù)與應(yīng)用V:1.0精細整理，僅供參考信息安全-身份認證技術(shù)與應(yīng)用日期：20xx年X月信息安全技術(shù)及應(yīng)用————————身份認證技術(shù)與應(yīng)用當(dāng)今，信息安全越來越受到人們的重視。建立信息安全體系的目的就是要保證存儲在計算機及網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能夠被有權(quán)操作的人訪問，所有未被授權(quán)的人無法訪問到這些數(shù)據(jù)。這里說的是對“人”的權(quán)限的控制，即對操作者物理身份的權(quán)限控制。不論安全性要求多高的數(shù)據(jù)，它存在就必然要有相對應(yīng)的授權(quán)人可以訪問它，否則，保存一個任何人都無權(quán)訪問的數(shù)據(jù)有什么意義然而，如果沒有有效的身份認證手段，這個有權(quán)訪問者的身份就很容易被偽造，那么，不論投入再大的資金，建立再堅固安全防范體系都形同虛設(shè)。就好像我們建造了一座非常結(jié)實的保險庫，安裝了非常堅固的大門，卻沒有安裝門鎖一樣。所以身份認證是整個信息安全體系的基礎(chǔ)，是信息安全的第一道關(guān)隘。1．身份認證技術(shù)簡介相信大家都還記得一個經(jīng)典的漫畫，一條狗在計算機面前一邊打字，一邊對另一條狗說：“在互聯(lián)網(wǎng)上，沒有人知道你是一個人還是一條狗！”這個漫畫說明了在互聯(lián)網(wǎng)上很難識別身份。身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。計算機系統(tǒng)和計算機網(wǎng)絡(luò)是一個虛擬的數(shù)字世界，在這個數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)，就成為一個很重要的問題。身份認證技術(shù)的誕生就是為了解決這個問題。如何通過技術(shù)手段保證用戶的物理身份與數(shù)字身份相對應(yīng)呢在真實世界中，驗證一個人的身份主要通過三種方式判定，一是根據(jù)你所知道的信息來證明你的身份（你知道什么），假設(shè)某些信息只有某個人知道，比如暗號等，通過詢問這個信息就可以確認這個人的身份；二是根據(jù)你所擁有的東西來證明你的身份(你有什么)

，假設(shè)某一個東西只有某個人有，比如印章等，通過出示這個東西也可以確認這個人的身份；三是直接根據(jù)你獨一無二的身體特征來證明你的身份(你是誰)，比如指紋、面貌等。所謂“沒有不透風(fēng)的墻”，你所知道的信息有可能被泄露或者還有其他人知道，楊子榮就是掌握了“天王蓋地虎，寶塔鎮(zhèn)河妖”的接頭暗號成功的偽造了自己的身份。而僅憑借一個人擁有的物品判斷也是不可靠的，這個物品有可能丟失，也有可能被人盜取，從而偽造這個人的身份。只有人的身體特征才是獨一無二，不可偽造的，然而這需要我們對這個特征具有可靠的識別能力。2.常用身份認證技術(shù)信息系統(tǒng)中，對用戶的身份認證手段也大體可以分為這三種，僅通過一個條件的符合來證明一個人的身份稱之為單因子認證，由于僅使用一種條件判斷用戶的身份容易被仿冒，可以通過組合兩種不同條件來證明一個人的身份，稱之為雙因子認證。身份認證技術(shù)從是否使用硬件可以分為軟件認證和硬件認證，從認證需要驗證的條件來看，可以分為單因子認證和雙因子認證。從認證信息來看，可以分為靜態(tài)認證和動態(tài)認證。身份認證技術(shù)的發(fā)展，經(jīng)歷了從軟件認證到硬件認證，從單因子認證到雙因子認證，從靜態(tài)認證到動態(tài)認證的過程?，F(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認證方式主要有以下幾種：1、用戶名/密碼方式用戶名/密碼是最簡單也是最常用的身份認證方法，它是基于“你知道什么”的驗證手段。每個用戶的密碼是由這個用戶自己設(shè)定的，只有他自己才知道，因此只要能夠正確輸入密碼，計算機就認為他就是這個用戶。然而實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼，或者把密碼抄在一個自己認為安全的地方，這都存在著許多安全隱患，極易造成密碼泄露。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗證過程使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此用戶名/密碼方式是一種極不安全的身份認證方式?？梢哉f基本上沒有任何安全性可言。2、IC卡認證IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關(guān)的數(shù)據(jù)，

IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)，可以認為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認證是基于“你有什么”的手段，通過IC卡硬件不可復(fù)制來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在根本的安全隱患。

3、動態(tài)口令

動態(tài)口令技術(shù)是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)。它采用一種稱之為動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認證服務(wù)器采用相同的算法計算當(dāng)前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機，即可實現(xiàn)身份的確認。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

動態(tài)口令技術(shù)采用一次一密的方法，有效地保證了用戶身份的安全性。但是如果客戶端硬件與服務(wù)器端程序的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登陸的問題。并且用戶每次登錄時還需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦看錯或輸錯就要重新來過，用戶的使用非常不方便。4、生物特征認證

生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別、虹膜識別等。從理論上說，生物特征認證是最可靠的身份認證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。

生物特征認證基于生物特征識別技術(shù)，受到現(xiàn)在的生物特征識別技術(shù)成熟度的影響，采用生物特征認證還具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往導(dǎo)致無法正常識別，造成合法用戶無法登陸的情況。其次，由于研發(fā)投入較大和產(chǎn)量較小的原因，生物特征認證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場合如銀行、部隊等使用，還無法做到大面積推廣。

5、USB

Key認證

基于USB

Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的身份認證技術(shù)，它采用軟硬件相結(jié)合一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB

Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB

Key內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認證?；赨SB

Key身份認證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/相應(yīng)的認證方式，二是基于PKI體系的認證方式。（1）基于沖擊/響應(yīng)的雙因子認證方式當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時，先由客戶端向服務(wù)器發(fā)出一個驗證請求。服務(wù)器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端（此為沖擊）?？蛻舳藢⑹盏降碾S機數(shù)通過USB接口提供給ePass，由ePass使用該隨機數(shù)與存儲在ePass中的密鑰進行MD5-HMAC運算并得到一個結(jié)果作為認證證據(jù)傳給服務(wù)器（此為響應(yīng)）。與此同時，服務(wù)器也使用該隨機數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進行MD5-HMAC運算，如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認為客戶端是一個合法用戶。密鑰運算分別在ePass硬件和服務(wù)器中運行，不出現(xiàn)在客戶端內(nèi)存中，也不在網(wǎng)絡(luò)上傳輸，由于MD5-HMAC算法是一個不可逆的算法，就是說知道密鑰和運算用隨機數(shù)就可以得到運算結(jié)果，而知道隨機數(shù)和運算結(jié)果卻無法計算出密鑰，從而保護了密鑰的安全，也就保護了用戶身份的安全。（2）基于PKI體系的認證方式隨著PKI技術(shù)日趨成熟，許多應(yīng)用中開始使用數(shù)字證書進行身份認證與數(shù)字加密。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)，可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性（詳見本站文章：PKI體系介紹）。USBKey作為數(shù)字證書的存儲介質(zhì)，可以保證數(shù)字證書不被復(fù)制，并可以實現(xiàn)所有數(shù)字證書的功能。3。認證協(xié)議及應(yīng)用概述協(xié)議起源于協(xié)議，后者是標(biāo)準的無線局域網(wǎng)協(xié)議，協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題?，F(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入。為了對端口加以控制，以實現(xiàn)用戶級的接入控制。就是IEEE為了解決基于端口的接入控制（Port-BasedAccessControl）而定義的一個標(biāo)準。1、首先是一個認證協(xié)議，是一種對用戶進行認證的方法和策略。

2、是基于端口的認證策略（這里的端口可以是一個實實在在的物理端口也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網(wǎng)來說“端口”就是一條信道）。

3、的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，此時只允許的認證報文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通過。認證體系結(jié)構(gòu)認證體系分為三部分結(jié)構(gòu)：1、SupplicantSystem，客戶端(PC/網(wǎng)絡(luò)設(shè)備)2、AuthenticatorSystem，認證系統(tǒng)3、AuthenticationServerSystem，認證服務(wù)器認證過程

1、認證通過前，通道的狀態(tài)為unauthorized，此時只能通過EAPOL的認證報文；2、認證通過時，通道的狀態(tài)切換為authorized，此時從遠端認證服務(wù)器可以傳遞來自用戶的信息，比如VLAN、優(yōu)先級、用戶的訪問控制列表等等；

3、認證通過后，用戶的流量就將接受上述參數(shù)的監(jiān)管，此時該通道可以通過任何報文，注意只有認證通過后才有DHCP等過程。

4、SupplicantSystem-Client（客戶端）是—臺接入LAN，及享受switch提供服務(wù)的設(shè)備（如PC機），客戶端需要支持EAPOL協(xié)議，客戶端必須運行客戶端軟件，如：、WindowsXP等。配置實例

在具有協(xié)議的CISCO交換機上，配置如下：1、先配置switch到radiusserver的通訊

全局啟用身份驗證功能

Switch#configureterminal

Switch(config)#aaanew-model

Switch(config)#aaaauthenticationdot1x{default}method1[method2...]

指定radius服務(wù)器和密鑰

switch(config)#radius-serverhostip_addkeystring

2、在port上起用

Switch#configureterminal

Switch(config)#interfacefastethernet0/1

Switch(config-if)#switchportmodeaccess

Switch(config-if)#dot1xport-controlauto

Switch(config-if)#end4.基于USBKEY的身份認證解決方案

下面以北京飛天公司的ePass1000為例，說明使用USB

Key進行身份認證的過程。ePass1000內(nèi)置單向散列算法（MD5），預(yù)先在ePass1000和服務(wù)器中存儲著一個證明用戶身份的密鑰（共享秘密），當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時，先由客戶端向服務(wù)器發(fā)出一個驗證請求。服務(wù)器接到此請求后生成一個隨機數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端（此為沖擊）?？蛻舳藢⑹盏降碾S機數(shù)提供給插在客戶端USB接口上的ePass1000，由ePass1000使用該隨機數(shù)與存儲在ePass1000中的密鑰進行帶密鑰的單向散列運算（HMAC-MD5）并得到一個結(jié)果作為認證證據(jù)傳給服務(wù)器（此為響應(yīng)）。與此同時，服務(wù)器也使用該隨機數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進行HMAC-MD5運算，如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認為客戶端是一個合法用戶。沖擊響應(yīng)模式可以保證用戶身份不被仿冒，卻無法保護用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全。而基于PKI（PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施）構(gòu)架的數(shù)字證書認證方式可以有效保證用戶的身份安全和數(shù)據(jù)安全。數(shù)字證書是由可信任的第三方認證機構(gòu)頒發(fā)的一組包含用戶身份信息（密鑰）的數(shù)據(jù)結(jié)構(gòu)，PKI體系通過采用密碼學(xué)算法構(gòu)建了一套完善的流程和保證了只有數(shù)字證書的持有人的身份和數(shù)據(jù)安全。然而，數(shù)字證書本身也是一種數(shù)字身份，還是存在被復(fù)制的危險，于是，USBKey作為數(shù)字證書存儲介質(zhì)稱為實現(xiàn)PKI體系安全的保障。使用USBKey可以保證用戶數(shù)字證書無法被復(fù)制，所有密鑰運算由USBKey實現(xiàn)，用戶密鑰不在計算機內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播。只有USBKey的持有人才能夠?qū)?shù)字證書進行操作。由于USBKey具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點，加上PKI體系完善的數(shù)據(jù)保護機制，使用USBKey存儲數(shù)字證書的認證方式已經(jīng)成為目前以及未來最具有前景的主要認證模式。未來，身份認證技術(shù)將朝著更加安全、易用，多種技術(shù)手段相結(jié)合的方向發(fā)展。USBKey會成為身份認證硬件的主要發(fā)展方向，USBKey的運算能力及易用性也將不斷提高。北京飛天誠信科技有限公司本月就推出了國內(nèi)第一個內(nèi)置32位智能卡芯片的無驅(qū)型USBKey——ePass3000就代表了這個方向。生成RSA密鑰對運算的平均時間是USBKey性能的一項重要指標(biāo)，目前市場上的8位USBKey生成RSA密鑰對平均時間普遍在10-15秒左右，而ePass3000生成RSA密鑰對平均時間僅為4秒左右。ePass3000的出現(xiàn)，標(biāo)志著USBKey的運算能力提高到了一個新的量級。每個USBKey硬件都具有用戶PIN碼保護，以實現(xiàn)雙因子認證功能，未來，隨著指紋識別技術(shù)的成熟和成本降低，USBKey將會使用指紋識別來保證硬件本身的安全性。大家熟悉的如防火墻、入侵檢測、VPN、安全網(wǎng)關(guān)、安全目錄等，與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢我們從這些安全產(chǎn)品實現(xiàn)的功能來分析就明白了：防火墻保證了未經(jīng)授權(quán)的用戶無法訪問相應(yīng)的端口或使用相應(yīng)的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖；VPN在公共網(wǎng)絡(luò)上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權(quán)的用戶使用；安全網(wǎng)關(guān)保證了用戶無法進入未經(jīng)授權(quán)的網(wǎng)段，安全目錄保證了授權(quán)用戶能夠?qū)Υ鎯υ谙到y(tǒng)中的資源迅速定位和訪問。這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權(quán)限管理，他們解決了那個數(shù)字身份對應(yīng)能干什么的問題。而身份認證解決了用戶的物理身份和數(shù)字身份相對應(yīng)的問題，給他們提供了權(quán)限管理的依據(jù)如果把信息安全體系看作一個木桶，那么這些安全產(chǎn)品就是組成木桶的一塊塊木板，則整個系統(tǒng)的安全性取決于最短的一塊木板。這些模塊在不同的層次上阻止了未經(jīng)授權(quán)的用戶訪問系統(tǒng)，這些授權(quán)的對象都是用戶的數(shù)字身份。而身份認證模塊就相當(dāng)于木桶的桶底，由它來保證物理身份和數(shù)字身份的統(tǒng)一，如果桶底是漏的，那桶壁上的木板再長也沒有用。因此，身份認證是整個信息安全體系最基礎(chǔ)的環(huán)節(jié)，身份安全是信息安全的基礎(chǔ)。5.基于生物特征的身份認證技術(shù)及應(yīng)用聲紋識別技術(shù)以其特有準確性、方便性進行身份認證，在公安、軍隊、金融、證券等部門有著重要作用。它和通信技術(shù)相結(jié)合，實現(xiàn)遠程身份認證，為案件偵破、證券交易、網(wǎng)絡(luò)安全等提供準確、快捷、經(jīng)濟的手段。聲紋、指紋、掌紋等身體特征具有唯一性、穩(wěn)定性特點，即每個人的這些特征都與別人不同、且終生不變。由于身體特征不可復(fù)制，基于這些特征應(yīng)運而生多種生物識別身份手段，如聲紋識別、指紋識別、掌紋識別等，并廣泛用于諸多領(lǐng)域。其中，聲紋識別以其特有準確性、方便性、經(jīng)濟性倍受矚目，成為重要且普及的身份驗證方式，它主要根據(jù)聲音波形中反映講話人生理及行為特征參數(shù)進行身份識別。特別是它與通信技術(shù)相結(jié)合，能有效實現(xiàn)身份認證，在諸多領(lǐng)域有著極其廣泛的用途。

聲紋識別技術(shù)

聲紋是借助聲譜儀繪出的聲音圖像。研究表明：年齡、語言習(xí)慣、發(fā)音器官等的差異會導(dǎo)致聲紋各不相同，且聲紋從十幾歲到五十幾歲基本不變。據(jù)此，構(gòu)成聲紋識別基礎(chǔ)，即通過分析聲紋唯一性作為識別身份的手段。而聲紋識別是基于生理學(xué)和行為特征的說話者嗓音、語言模式的運用。根據(jù)應(yīng)用環(huán)境不同，分為說話人辨識和說話人確認。前者指識別說話人是否已注冊，是哪個注冊人，其辨識結(jié)果要好于說話人確認；后者指識別說話人的身份與其聲明的是否一致，刑偵工作中更具實際價值。聲紋識別系統(tǒng)包括聲紋特征提取和聲紋模式匹配。前者提取唯一表現(xiàn)說話人身份的有效且穩(wěn)定可靠的特征；后者對訓(xùn)練和識別時的特征模式做相似性匹配。聲紋提取聲紋提取即提取聲音信號中表征人身份的基本特征，該特征能有效區(qū)分不同的說話人，且對同一人的變化保持相對穩(wěn)定?？紤]到訓(xùn)練樣本數(shù)量、聲紋特征可量化性、聲紋識別系統(tǒng)性能評價等因素，目前主要對較低層次的聲紋特征進行識別。說話人聲紋特征大體歸為以下幾類：

（1）基音輪廓、共振峰頻率帶寬及其軌跡?；诎l(fā)聲器官生理結(jié)構(gòu)提取的特征參數(shù)。

（2）譜包絡(luò)參數(shù)。聲音通過濾波器組輸出，并以合適的速率對輸出抽樣作為聲紋識別特征。

（3）聽覺特性參數(shù)。模擬人耳對聲音頻率感知特性而提出的，如美倒譜系數(shù)、感知線性預(yù)測等。

（4）線性預(yù)測系數(shù)。線性預(yù)測與聲道參數(shù)模型相符合，由它導(dǎo)出的各種參數(shù)，如反射系數(shù)、自相關(guān)系數(shù)、線性預(yù)測系數(shù)等作為識別特征，效果較好。

此外，還可通過對不同特征參量的組合來提高識別系統(tǒng)性能。特別是組合參量間相關(guān)性不大時，由于它們分別反映聲音信號不同特征，因而效果更好。

聲紋匹配

聲紋研究的重點是對各種聲學(xué)參數(shù)線性、非線性處理及新的模式匹配方法。主要包括：

（1）矢量量化。通過把每個人的特定文本編成碼本，識別時將測試文本按此碼本進行編碼，以量化產(chǎn)生的失真度作為判決標(biāo)準。其識別精度較高，判斷速度較快。

（2）概率統(tǒng)計?？紤]到短時間內(nèi)聲音信息相對平穩(wěn)，通過對穩(wěn)態(tài)特征如基音、聲門增益、低階反射系數(shù)的統(tǒng)計分析，利用均值、方差等統(tǒng)計量和概率密度函數(shù)進行判決。其優(yōu)點是不用對特征參量在時域上進行規(guī)整，適合文本無關(guān)的說話人識別。

（3）動態(tài)時間規(guī)整。聲紋信息既有發(fā)聲習(xí)慣、發(fā)音器官結(jié)構(gòu)等穩(wěn)定因素，又有語速、語調(diào)、重音、韻律等時變因素。將識別模板與參考模板進行時間對比，并按照某種距離測定得出兩模板間的相似程度。常用方法是基于最近鄰原則的動態(tài)時間規(guī)整DTW。

（4）人工神經(jīng)網(wǎng)絡(luò)。這種分布式并行處理結(jié)構(gòu)的網(wǎng)絡(luò)模型在某種程度上模擬生物感知特性，具有自組織和自學(xué)習(xí)能力、很強的復(fù)雜分類邊界區(qū)分能力、及對不完全信息的魯棒性，其性能近似理想的分類器。缺點是訓(xùn)練時間長、動態(tài)時間規(guī)整能力弱，且網(wǎng)絡(luò)規(guī)?？赡茈S說話人數(shù)目增加到難以訓(xùn)練的程度。

（5）隱馬爾可夫模型。這種基于轉(zhuǎn)移概率和傳輸概率的隨機模型，最早被美國的IBM公司用于聲音識別。它把聲音看成由可觀察到的符號序列組成的隨機過程，該序列是發(fā)聲系統(tǒng)狀態(tài)序列的輸出。識別時，為每個說話人建立發(fā)聲模型，通過訓(xùn)練得到狀態(tài)轉(zhuǎn)移概率矩陣和符號輸出概率矩陣。具體應(yīng)用時，計算未知聲音在狀態(tài)轉(zhuǎn)移過程中最大概率，根據(jù)最大概率對應(yīng)的模型進行判決。它不需時間規(guī)整，可節(jié)約判決的計算時間和存儲量。這是目前廣泛采用的一種技術(shù)，其缺點是訓(xùn)練時的計算量較大。

實際應(yīng)用中，常將上述方法有機組合，顯著提高聲紋識別準確率。如NTT實驗室的S.Furui和T.Matsui使用倒譜、差分倒譜、基音和差分基音，采用VQ與HMM混和的方法使說話人確認率達到%。而美國空軍為加強基地安全性，所采用的極其先進的聲紋識別系統(tǒng)，準確率更高達%。

身份認證

認證方式

身份認證系統(tǒng)主要由用戶、通信網(wǎng)絡(luò)、用戶數(shù)據(jù)庫、認證管理服務(wù)器等構(gòu)成。系統(tǒng)基于聲紋識別和音頻通信兩方面，通過語音通信系統(tǒng)與用戶交流，在人機語音交流過程中實現(xiàn)身份認證，認證系統(tǒng)采用的信息主要有用戶聲紋特征和合法用戶資料。系統(tǒng)識別用戶身份時，通常需用戶提供一段語音。根據(jù)所選擇發(fā)音材料內(nèi)容的差異，分為與文本有關(guān)、與文本無關(guān)兩種。前者要求用戶按規(guī)定內(nèi)容發(fā)音，并根據(jù)特定發(fā)音內(nèi)容建立精確模型，識別效果較好，但需要用戶配合。如發(fā)音內(nèi)容與規(guī)定的不符，則無法正確識別其身份；后者不規(guī)定用戶發(fā)音內(nèi)容，因而建立精確模型較為困難，身份識別效果存在一定的局限性，但在案件偵破等方面的應(yīng)用更為普遍。

聲紋識別技術(shù)作為身份認證重要手段，無論是否與文本有關(guān)，系統(tǒng)都面臨無法區(qū)分所識別聲音是現(xiàn)場實時發(fā)音還是錄音回放的問題。對此，可采用隨機等方式生成提示文本，使對方無法事先錄音，從而顯著提高用戶身份識別準確性?？煽康挠脩羯矸葑R別系統(tǒng)應(yīng)具備以下幾點：不易被他人模仿并能較好地解決被模仿問題；在聲學(xué)環(huán)境變化時能夠保持良好穩(wěn)定性，即抗噪聲性能好；能有效區(qū)分對方，對同一對象要能保持相對穩(wěn)定，允許感冒等情況時其語音發(fā)生的變化。

認證應(yīng)用

近年來，聲紋識別技術(shù)的迅猛發(fā)展使得其應(yīng)用領(lǐng)域日趨廣泛，由于聲紋這一人體生物特征的特殊性，通過聲紋進行身份認證迅速走向?qū)嵱没?。特別是該技術(shù)與通信技術(shù)想結(jié)合，實現(xiàn)遠程認證，已展現(xiàn)極其巨大的市場潛力。在基于通信技術(shù)的身份識別中，如案件偵破、證券交易、網(wǎng)絡(luò)安全等，與其他生物識別技術(shù)相比，遠程聲紋識別具有準確、快捷、經(jīng)濟可靠、可擴展性好等獨特優(yōu)勢，且用戶無須添加硬件設(shè)備，顯著降低推廣成本。同時，該方案一般不涉及對方隱私問題，接受程度高、無心理障礙。