用戶認(rèn)證課件

用戶身份認(rèn)證一般信息資源審計(jì)重要信息資源訪問(wèn)控制訪問(wèn)監(jiān)視器授權(quán)信息系統(tǒng)中的身份認(rèn)證在數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)？身份認(rèn)證技術(shù)用于解決訪問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。身份認(rèn)證是信息安全體系的重要組成部分，它是保護(hù)信息系統(tǒng)安全的第一道大門。它的任務(wù)是檢驗(yàn)信息系統(tǒng)用戶身份的合法性和真實(shí)性，并按系統(tǒng)授予的權(quán)限訪問(wèn)系統(tǒng)資源，將非法訪問(wèn)者拒之門外。廣州大學(xué)53.1認(rèn)證方法實(shí)現(xiàn)身份認(rèn)證的基本途徑

所知：個(gè)人所知道的或所掌握的知識(shí)，如密碼、口令等。所有：個(gè)人所具有的東西，如身份證、護(hù)照、信用卡、鑰匙等。個(gè)人特征個(gè)人生理特征：指紋、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA等。個(gè)人行為特征：語(yǔ)音模式、筆跡特征、打字節(jié)奏等。

所有（Possesses）所知（Knowlege）個(gè)人特征（charecteristics）

3.1認(rèn)證方法廣州大學(xué)73.2基于口令的認(rèn)證最常使用的認(rèn)證方式你是如何實(shí)現(xiàn)的？3.2基于口令的認(rèn)證賬戶/口令認(rèn)證方式是基于“whatyouknow”的認(rèn)證手段。用戶賬號(hào)（也稱用戶標(biāo)識(shí)UserID）+口令（Password）=某人的身份①明文式口令：由用戶自己確定一個(gè)一般由數(shù)字和字母組合而成的字符串，要盡量避免使用單詞、姓名、生日、電話號(hào)碼等易被猜出或者易被字典式攻擊的字符組合。②計(jì)算式口令：可以在一定程度上解決口令文件丟失或泄密問(wèn)題。用的口令不是直接存放在信息系統(tǒng)中，而是經(jīng)過(guò)了某種數(shù)學(xué)計(jì)算后才存放到系統(tǒng)中，而從存放的內(nèi)容不可能推算出原始的口令。廣州大學(xué)103.2基于口令的認(rèn)證口令的脆弱性工作站劫持控制已登錄的機(jī)器利用用戶疏漏預(yù)設(shè)口令，記錄下來(lái)的口令等利用口令重用不同系統(tǒng)，同一用戶，往往會(huì)設(shè)置相同ID，相同口令電子監(jiān)視網(wǎng)上攔截廣州大學(xué)123.2基于口令的認(rèn)證使用鹽值的好處防止重復(fù)的口令可見增加了離線字典攻擊的難度不能發(fā)現(xiàn)在不同系統(tǒng)中使用了相同的口令得到管理員密碼使用FindPass等工具可以對(duì)該進(jìn)程進(jìn)行解碼，然后將當(dāng)前用戶的密碼顯示出來(lái)。將FindPass.exe拷貝到C盤根目錄，執(zhí)行該程序，將得到當(dāng)前用戶得登錄名，如下圖所示。字典文件一次字典攻擊能否成功，很大因素上決定于字典文件。一個(gè)好的字典文件可以高效快速的得到系統(tǒng)的密碼。攻擊不同的公司、不通地域的計(jì)算機(jī)，可以根據(jù)公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡(jiǎn)稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。一個(gè)字典文件本身就是一個(gè)標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個(gè)可能的密碼。目前有很多工具軟件專門來(lái)創(chuàng)建字典文件，下圖是一個(gè)簡(jiǎn)單的字典文件。暴力破解操作系統(tǒng)密碼字典文件為暴力破解提供了一條捷徑，程序首先通過(guò)掃描得到系統(tǒng)的用戶，然后利用字典中每一個(gè)密碼來(lái)登錄系統(tǒng)，看是否成功，如果成功則將密碼顯示案例暴力破解操作系統(tǒng)密碼比如使用上面所示的字典文件，利用工具軟件GetNTUser依然可以將管理員密碼破解出來(lái)，如圖所示。暴力破解軟件密碼目前許多軟件都具有加密的功能，比如Office文檔、Winzip文檔和Winrar文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。但是如果密碼位數(shù)不夠長(zhǎng)的話，同樣容易被破解。案例Office文檔暴力破解

修改權(quán)限密碼在對(duì)話框中選擇選項(xiàng)卡“安全性”，在打開權(quán)限密碼和修改權(quán)限密碼的兩個(gè)文本框中都輸入“999”，如圖所示。破解Word文檔密碼該密碼是三位的，使用工具軟件，AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼，主界面如圖所示。破解Word文檔密碼點(diǎn)擊工具欄按鈕“OpenFile”，打開剛才建立的Word文檔，程序打開成功后會(huì)在LogWindow中顯示成功打開的消息，如圖所示。廣州大學(xué)233.2基于口令的認(rèn)證口令選擇策略用戶教育強(qiáng)口令的重要性；具體選擇原則。計(jì)算機(jī)生成口令難以記憶后續(xù)口令檢查系統(tǒng)運(yùn)行自己的口令破解程序，若破解，則取消并通知用戶。先驗(yàn)口令檢查目前在Web應(yīng)用中比較常見廣州大學(xué)243.3基于令牌的認(rèn)證存儲(chǔ)卡只能存取數(shù)據(jù)而不能處理數(shù)據(jù)房卡銀行卡數(shù)碼相機(jī)卡廣州大學(xué)263.3基于令牌的認(rèn)證USB

Key不需專門的讀卡器。USBKey身份認(rèn)證USBKEY這個(gè)概念最早是由加密鎖廠家提出來(lái)的，用來(lái)防止軟件盜版，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，USBKEY被用于網(wǎng)絡(luò)用戶身份識(shí)別和數(shù)據(jù)保護(hù)的“電子鑰匙”。USBKEY結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)，是新一代身份認(rèn)證產(chǎn)品，它具有以下特點(diǎn)：

1、雙因子認(rèn)證

每一個(gè)USBKey都具有硬件PIN碼保護(hù)，PIN碼和硬件構(gòu)成了用戶使用USBKey的兩個(gè)必要因素，即所謂"雙因子認(rèn)證"。用戶只有同時(shí)取得了USBKey和用戶PIN碼，才可以登錄系統(tǒng)。即使用戶的PIN碼被泄漏，只要用戶持有的USBKey不被盜取，合法用戶的身份就不會(huì)被仿冒；如果用戶的USBKey遺失，拾到者由于不知道用戶PIN碼，也無(wú)法仿冒合法用戶的身份。

2、帶有安全存儲(chǔ)空間

USBKey具有8K-128K的安全數(shù)據(jù)存儲(chǔ)空間，可以存儲(chǔ)數(shù)字證書、用戶密鑰等秘密數(shù)據(jù)，對(duì)該存儲(chǔ)空間的讀寫操作必須通過(guò)程序?qū)崿F(xiàn)，用戶無(wú)法直接讀取，其中用戶私鑰是不可導(dǎo)出的，杜絕了復(fù)制用戶數(shù)字證書或身份信息的可能性。

3、硬件實(shí)現(xiàn)加密算法

USBKey內(nèi)置CPU或智能卡芯片，可以實(shí)現(xiàn)PKI體系中使用的數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法，加解密運(yùn)算在USBKey內(nèi)進(jìn)行，保證了用戶密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中，從而杜絕了用戶密鑰被黑客截取的可能性。支持RSA，DES,SSF33和3DES算法。

4、便于攜帶，安全可靠

如拇指般大的USBKey非常方便隨身攜帶，并且密鑰和證書不可導(dǎo)出，Key的硬件不可復(fù)制，更顯安全可靠。2、基于數(shù)字證書的認(rèn)證方式

隨著PKI技術(shù)日趨成熟，許多應(yīng)用中開始使用數(shù)字證書進(jìn)行身份認(rèn)證與數(shù)字加密。

PKI即公共密鑰體系，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一個(gè)僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一個(gè)公開密鑰（公鑰）用于文件發(fā)送者加密和接收者驗(yàn)證簽名。

用戶也可以采用自己的私鑰對(duì)信息進(jìn)行加密，接收者用發(fā)送者的公鑰解密，由于私鑰僅為用戶本人所有，所以就能夠確認(rèn)該信息確實(shí)是由該用戶發(fā)送的，此過(guò)程稱之為數(shù)字簽名。

USBKey作為數(shù)字證書的存儲(chǔ)介質(zhì)，可以保證數(shù)字證書不被復(fù)制，并可以實(shí)現(xiàn)所有數(shù)字證書的功能。廣州大學(xué)313.4生物特征認(rèn)證所謂生物特征識(shí)別技術(shù)是指通過(guò)計(jì)算機(jī)利用人體所固有的特征或行為來(lái)進(jìn)行個(gè)人身份鑒定。常用的生物特征包括面相、虹膜、指紋、掌紋、聲音等。與傳統(tǒng)的身份鑒定手段相比，基于生物特征識(shí)別的身份認(rèn)證技術(shù)具有以下優(yōu)點(diǎn)：一是不易遺忘或丟失；二是防偽性能好，不易偽造或被盜；三是“隨身攜帶”，隨時(shí)隨地可以使用。通用生物特征認(rèn)證系統(tǒng)廣州大學(xué)321.指紋識(shí)別認(rèn)證指紋的三個(gè)特性是指紋識(shí)別技術(shù)的基礎(chǔ)，指紋的三個(gè)特性分別指的是：（1）每個(gè)人的指紋形狀終身不變

指紋的嵴線形狀在一生中不會(huì)改變；具有一定的復(fù)原性和難以毀滅性。（2）每個(gè)人的指紋各不相同

試驗(yàn)—亨利.福爾茨（英），數(shù)學(xué)證明—勃太柴（法）（3）指紋的觸物留痕

人工采集時(shí)期—油墨；電子化指紋采集設(shè)備—光學(xué)式、硅芯片式、超聲波式。指紋圖象采集儀圖象輸入通道指紋細(xì)節(jié)匹配認(rèn)證結(jié)果指紋自動(dòng)識(shí)別系統(tǒng)主要部分

指紋識(shí)別系統(tǒng)利用人類指紋的特性，通過(guò)特殊的光電掃描和計(jì)算機(jī)圖像處理技術(shù)，對(duì)活體指紋進(jìn)行采集、分析和比對(duì)，自動(dòng)、迅速、準(zhǔn)確地認(rèn)證出個(gè)人身份。自動(dòng)指紋認(rèn)證的過(guò)程是按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫(kù)中的模板指紋調(diào)出來(lái)，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。指紋分類與特征弓型紋箕型紋斗型紋傷殘紋指紋掃描儀HPIPAQDigitalPersonaU.are.UProIBMThinkpadT422.虹膜識(shí)別認(rèn)證虹膜是環(huán)繞在瞳孔四周有色彩的部分。每一個(gè)虹膜都包含一個(gè)獨(dú)一無(wú)二的基于像冠、水晶體、細(xì)絲、斑點(diǎn)、結(jié)構(gòu)、凹點(diǎn)、射線、皺紋和條紋等特征的結(jié)構(gòu)。每一個(gè)人的虹膜各不相同，一個(gè)人的左眼和右眼就可能不一樣，即使是雙胞胎的虹膜也可能不一樣。人的虹膜在出生后6-18個(gè)月成型后終生不再發(fā)生變化。虹膜識(shí)別的工作流程由一個(gè)專用的攝像頭拍攝虹膜圖像專用的轉(zhuǎn)換算法會(huì)將虹膜的可視特征轉(zhuǎn)換成一個(gè)512字節(jié)長(zhǎng)度的虹膜代碼（iriscode）識(shí)別系統(tǒng)會(huì)將生成的代碼與代碼庫(kù)中的虹膜代碼進(jìn)行逐一比較，當(dāng)相似率超過(guò)某個(gè)邊界值（一般是67%），系統(tǒng)判斷檢測(cè)者的身份與某個(gè)樣本相符，而如果相似程度低于這個(gè)邊界值，系統(tǒng)就會(huì)認(rèn)為檢測(cè)者的身份與該樣本預(yù)期不符，接著進(jìn)入下一輪的比較。整個(gè)過(guò)程不超過(guò)2秒?！罁?jù)17世紀(jì)數(shù)學(xué)家JakobBermoull提出的擲硬幣理論，得出：當(dāng)兩個(gè)虹膜模板的特征吻合度超過(guò)67%時(shí)，虹膜不同的概率只有120萬(wàn)分之一。虹膜技術(shù)的優(yōu)點(diǎn)：

識(shí)別精度高，錯(cuò)誤率小于百萬(wàn)分之一；

穩(wěn)定性好，兩歲后虹膜終生不變，受損害的可能性?。?/p>

采集相對(duì)方便；虹膜技術(shù)的缺點(diǎn)：

很難將圖像獲取設(shè)備的尺寸小型化；

需要昂貴的攝像頭聚焦，一個(gè)這樣的攝像頭的最低價(jià)為7000美元；

黑眼睛極難讀??；

需要較好光源。

3.視網(wǎng)膜識(shí)別認(rèn)證視網(wǎng)膜識(shí)別原理是通過(guò)分析視網(wǎng)膜上的血管圖案來(lái)區(qū)分每個(gè)人的。視網(wǎng)膜掃描是用低強(qiáng)度紅外線照亮視網(wǎng)膜，以拍攝下主要血管構(gòu)成的圖像。由于視網(wǎng)膜位于眼球的后面，因此采集過(guò)程需要用戶高度配合，以保證正確的照亮和對(duì)準(zhǔn)視網(wǎng)膜。并且要求站在2-3英寸的地方，保持靜止1-2秒的時(shí)間。更重要的是被辨識(shí)者對(duì)視網(wǎng)膜掃描技術(shù)的憂慮，擔(dān)心會(huì)影響眼睛健康。由于這些原因視網(wǎng)膜識(shí)別技術(shù)并未成為生物識(shí)別技術(shù)中的主流技術(shù)。4.語(yǔ)音驗(yàn)證語(yǔ)音識(shí)別包括“語(yǔ)義識(shí)別”和“說(shuō)話人識(shí)別”?！罢Z(yǔ)義識(shí)別”的目的在于理解說(shuō)話內(nèi)容中的單詞和句子，并把它變成文字。這主要是解決人機(jī)交互的方便。“說(shuō)話人識(shí)別”其實(shí)才是生物識(shí)別的范疇。它通過(guò)一個(gè)人的聲音來(lái)確認(rèn)一個(gè)人的身份是否是他宣稱的?！罢f(shuō)話人識(shí)別”是唯一同時(shí)結(jié)合了生理和行為兩種成分的生物識(shí)別技術(shù)。生理特征體現(xiàn)在人的聲音特點(diǎn)首先由其氣管的物理形狀決定。行為特征體現(xiàn)在聲音還會(huì)受吐字時(shí)的嘴部運(yùn)動(dòng)方式影響。所以說(shuō)語(yǔ)言識(shí)別同時(shí)受生理和行為特征制約。

5.臉型驗(yàn)證臉形識(shí)別技術(shù)是目前已經(jīng)產(chǎn)品化的技術(shù)中相對(duì)較為復(fù)雜的一項(xiàng)技術(shù)。主要是因?yàn)槟樞巫R(shí)別，不僅僅是比對(duì)，還包括捕捉。需要從一堆移動(dòng)著的影像中，識(shí)別出哪里是人相，并且把人相分離出來(lái)，再進(jìn)行臉形成像。用于捕捉面部圖像的兩項(xiàng)技術(shù)分別是視頻技術(shù)和熱成像技術(shù)。視頻技術(shù)通過(guò)一個(gè)攝像頭攝取面部的圖像或者一系列圖像，在面部被捕捉之后，一些核心特征點(diǎn)被記錄，例如，眼睛，鼻子和嘴的位置以及它們之間的相對(duì)位置。熱成像技術(shù)是通過(guò)分析由面部的毛細(xì)血管的血液產(chǎn)生的熱線來(lái)勾畫出面部圖像。

6.掌形識(shí)別技術(shù)手掌特征含手和手指的大小和形狀。它包括長(zhǎng)度、寬度、厚度以及手掌和除大拇指之外的其余四個(gè)手指的表面特征。掌形采集的原理是通過(guò)紅外、CCD成像等方法獲得手掌的三維圖像，作為掌形特征處理的輸入數(shù)據(jù)。廣州大學(xué)453.5遠(yuǎn)程用戶認(rèn)證遠(yuǎn)程用戶認(rèn)證網(wǎng)絡(luò)竊聽重放攻擊動(dòng)態(tài)口令認(rèn)證動(dòng)態(tài)口令（DynamicPassword），又叫“一次性口令（OTP：OneTimePassword）”主要思想是：在登錄過(guò)程中加入不確定因素，使每次登錄過(guò)程中傳送的信息都不相同，以提高登錄過(guò)程安全性。例如：登錄密碼=MD5（用戶名+密碼+時(shí)間），系統(tǒng)接收到登錄口令后做一個(gè)驗(yàn)算即可驗(yàn)證用戶的合法性。

1.口令序列（S/KEY）口令為一個(gè)單向的前后相關(guān)的序列，系統(tǒng)只用記錄第N個(gè)口令，用戶用第N-1個(gè)口令登錄時(shí)，系統(tǒng)用Hash算法（也可以用其他算法）算出第N個(gè)口令與自己保存的第N個(gè)口令匹配，以判斷用戶的合法性。由于N是有限的，用戶登錄N次后必須重新初始化口令序列。初始化系統(tǒng)：用戶輸入隨機(jī)數(shù)R，系統(tǒng)利用單向函數(shù)f計(jì)算f(R)，f(f(R))，f(f(f(R)))等i次，結(jié)果存入X1，X2，X3，…，Xi中，并記入U(xiǎn)盤或打印出X1至Xi+1的列表。用戶把U盤或列表妥善保管，系統(tǒng)也在登錄數(shù)據(jù)庫(kù)中存入用戶名和Xi。用戶每次登錄時(shí)，輸入他列表中未刪除的最后的數(shù)Xj，系統(tǒng)計(jì)算f(Xj)，并與存儲(chǔ)在數(shù)據(jù)庫(kù)中的Xj+1比較，如果匹配，那么身份認(rèn)證成功，則用戶將從他的列表中刪除Xj。所以每個(gè)數(shù)都被使用一次。2.挑戰(zhàn)/響應(yīng)（Challenge/Response）基本思想是：當(dāng)用戶要求登錄時(shí)，系統(tǒng)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶。用戶將自己的秘密口令和隨機(jī)數(shù)混合起來(lái)用某種Hash算法進(jìn)行運(yùn)算，即，Result=Hash（用戶秘密口令+系統(tǒng)隨機(jī)數(shù)），把運(yùn)算結(jié)果Result發(fā)送回系統(tǒng)，系統(tǒng)用同樣的方法做驗(yàn)算即可驗(yàn)證用戶身份。①：客戶請(qǐng)求接入應(yīng)用服務(wù)器;②：應(yīng)用服務(wù)器請(qǐng)求認(rèn)證服務(wù)器對(duì)客戶的身份的合法性和真實(shí)性進(jìn)行認(rèn)證;③：客戶終端彈出身份認(rèn)證對(duì)話框;④：客戶在持有的口令卡上鍵入PIN碼(或開機(jī)碼)，激活口令卡;⑤：客戶將帳號(hào)和口令鍵入終端的身份認(rèn)證對(duì)話框;⑥：客戶終端將帳號(hào)和口令通過(guò)網(wǎng)絡(luò)傳輸給認(rèn)證服務(wù)器;⑦：認(rèn)證服務(wù)器調(diào)用客戶信息，產(chǎn)生與客戶信息和時(shí)