《第05讲 加密与认证_认证技术(11正式)(精品).ppt》由会员分享,可在线阅读,更多相关《第05讲 加密与认证_认证技术(11正式)(精品).ppt(55页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、主讲 杨照峰E-mail:计算机网络与信息安全技术2023/1/25(二)(二)认证技术认证技术第第4讲讲 加密与认证技术加密与认证技术2023/1/25l认证技术概述认证技术概述l常用认证技术常用认证技术 数字签名技术;身份认证技术;消息认证技术;数字水印技术;本节要点本节要点2023/1/25一、认证技术概述一、认证技术概述l在现实生活中,我们个人的身份主要是通过各种证件在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。来确认的,比如:身份证、户口本等。l认证是对网络中的主体进行验证的过程,用户必须提认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明
2、供他是谁的证明:他是某个雇员,某个组织的代理、某他是某个雇员,某个组织的代理、某个软件过程(如交易过程)。个软件过程(如交易过程)。l认证认证(authentication)是证明一个对象的身份的过程。是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权与决定把什么特权附加给该身份的授权(authorization)不同。不同。l认证服务提供了关于某个实体(人或事物)身份的保认证服务提供了关于某个实体(人或事物)身份的保证。这意味着当某个实体声称具有一个特定的身份要证。这意味着当某个实体声称具有一个特定的身份要求对某些信息进行操作时,认证服务将提供某种方法求对某些信息进行操作时,认证
3、服务将提供某种方法来证实这一声明是否正确。来证实这一声明是否正确。2023/1/25认证技术的目的认证技术的目的l消息的完整性认证,即验证消息在传输过程中消息的完整性认证,即验证消息在传输过程中是否被篡改;(是否被篡改;(消息认证消息认证)l身份认证,即验证消息的收发者是否持有正确身份认证,即验证消息的收发者是否持有正确的身份认证符;(的身份认证符;(实体认证实体认证)l消息的序号和操作时间等的认证,用来防止消消息的序号和操作时间等的认证,用来防止消息重放攻击。息重放攻击。2023/1/25认证的需求认证的需求l网络环境中的攻击网络环境中的攻击(认证的需求认证的需求)l1.泄漏泄漏l2.通信量
4、分析通信量分析l3.伪装伪装(假报文假报文)l4.内容篡改内容篡改(插入插入,删除删除,调换和修改调换和修改)l5.序号篡改序号篡改(报文序号的修改报文序号的修改)l6.计时篡改计时篡改(报文延迟或回放报文延迟或回放)l7.抵赖抵赖(否认收或发某报文否认收或发某报文)1,2加密加密,36报文认证报文认证,7数字签名数字签名(36)2023/1/25认证的重要性认证的重要性 认证是一种最重要的安全服务,在某种程度认证是一种最重要的安全服务,在某种程度上其他的安全服务都依赖于它:上其他的安全服务都依赖于它:(1)认证是对付假冒攻击的最有效方法。)认证是对付假冒攻击的最有效方法。(2)认证服务是访问
5、控制服务的一种必要支持,)认证服务是访问控制服务的一种必要支持,后者的执行依赖于确知的身份。后者的执行依赖于确知的身份。(3)认证服务也是保证数据完整性目标的直接)认证服务也是保证数据完整性目标的直接而有力的手段。而有力的手段。(4)认证服务是非否认服务的基础。)认证服务是非否认服务的基础。2023/1/25保密和认证保密和认证l 保密和认证同时是信息系统安全的两个方面,但它们是两保密和认证同时是信息系统安全的两个方面,但它们是两个不同属性的问题,认证不能自动提供保密性,而保密性个不同属性的问题,认证不能自动提供保密性,而保密性也不能自然提供认证功能。一个纯也不能自然提供认证功能。一个纯认证系
6、统认证系统认证系统认证系统的模型如下图的模型如下图所示:所示:窜扰者信宿信源认证编码器认证译码器信道信道安全信道密钥源2023/1/25认证技术认证技术 认证技术一般可以分为三个层次:安全管理协认证技术一般可以分为三个层次:安全管理协议、认证体制和密码体制。议、认证体制和密码体制。l安全管理协议的主要任务是在安全体制的支持安全管理协议的主要任务是在安全体制的支持下,建立、强化和实施整个网络系统的安全策下,建立、强化和实施整个网络系统的安全策略;略;l认证体制在安全管理协议的控制和密码体制的认证体制在安全管理协议的控制和密码体制的支持下,完成各种认证功能;支持下,完成各种认证功能;l密码体制是认
7、证技术的基础,它为认证体制提密码体制是认证技术的基础,它为认证体制提供数学方法支持。供数学方法支持。2023/1/25认证技术认证技术一个安全的认证体制满足的基本要求:一个安全的认证体制满足的基本要求:1、接收者能够检验和证实消息的合法性、真、接收者能够检验和证实消息的合法性、真实性和完整性。实性和完整性。2、消息的发送者对所发的消息不能抵赖,有、消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。时也要求消息的接收者不能否认收到的消息。3、除了合法的消息发送者外,其他人不能伪、除了合法的消息发送者外,其他人不能伪造发送消息。造发送消息。2023/1/25认证技术认证技
8、术l认证体制中通常存在一个可信中心或可信第三认证体制中通常存在一个可信中心或可信第三方方(如认证机构如认证机构CA,即证书授权中心,即证书授权中心),用于仲,用于仲裁、颁发证书或管理某些机密信息。通过数字裁、颁发证书或管理某些机密信息。通过数字证书实现公钥的分配和身份的认证。证书实现公钥的分配和身份的认证。l数字证书是标志通信各方身份的数据,是一种数字证书是标志通信各方身份的数据,是一种安全分发公钥的方式。安全分发公钥的方式。CA负责密钥的发放、负责密钥的发放、注销及验证,所以注销及验证,所以CA也称密钥管理中心。也称密钥管理中心。CA为每个申请公开密钥的用户发放一个证书,证为每个申请公开密钥
9、的用户发放一个证书,证明该用户拥有证书中列出的公钥。明该用户拥有证书中列出的公钥。CA的数字的数字签名保证不能伪造和篡改该证书,因此,数字签名保证不能伪造和篡改该证书,因此,数字证书既能分配公钥,又实现了身份认证。证书既能分配公钥,又实现了身份认证。2023/1/25认证的分类认证的分类(1)数据起源认证)数据起源认证 主要认证某个指定的数据项是否来源于某个特主要认证某个指定的数据项是否来源于某个特定的实体。也是保证数据完整性的直接方法。定的实体。也是保证数据完整性的直接方法。采用的技术如:数字签名技术采用的技术如:数字签名技术。(2)实体认证)实体认证 所需认证的身份由参加通信连接或会话的远
10、程所需认证的身份由参加通信连接或会话的远程参与者提交,我们一般称之为身份认证。参与者提交,我们一般称之为身份认证。2023/1/25二、常用认证技术二、常用认证技术l数字签名技术数字签名技术l身份认证技术身份认证技术l消息认证技术消息认证技术l数字水印技术数字水印技术2023/1/251、数字签名技术、数字签名技术l数字签名数字签名是以电子化的形式,使用密码方法,在数字消息是以电子化的形式,使用密码方法,在数字消息中嵌入一个密码信息(一次性签名密钥和签名者私钥),中嵌入一个密码信息(一次性签名密钥和签名者私钥),以验证这个秘密信息(签名结果)是否是正确的来达到识以验证这个秘密信息(签名结果)是
11、否是正确的来达到识别的目的。别的目的。数字签名对应于手写签名的数字版,是对电子数字签名对应于手写签名的数字版,是对电子文件进行签名认证的手段。可以用来提供数据源认证、数文件进行签名认证的手段。可以用来提供数据源认证、数据完整性和不可否认性等。通常由可信任的认证中心使用据完整性和不可否认性等。通常由可信任的认证中心使用数字签名来签署将通信实体和其公钥项绑定的证书,是现数字签名来签署将通信实体和其公钥项绑定的证书,是现代网络办公和网上交易的关键环节。代网络办公和网上交易的关键环节。l数字签名的实质是一种数字签名的实质是一种密码密码变换变换,就是,就是信息发送者使用公信息发送者使用公开密钥算法技术,
12、产生别人无法伪造的一段数字串。发送开密钥算法技术,产生别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可以确定消息来自于谁,同时也者的公钥解开数据后,就可以确定消息来自于谁,同时也是对发送者发送信息的真实性的一个证明。发送者对所发是对发送者发送信息的真实性的一个证明。发送者对所发信息不能抵赖。信息不能抵赖。2023/1/25数字签名使用要求数字签名使用要求数字签名的使用至少要达到三点安全要求:数字签名的使用至少要达到三点安全要求:1)不可否认性。签名者事后不能否认自己的)不可否认性。签名者事
13、后不能否认自己的签名。签名。2)可验证性。接收者能验证签名,且任何其)可验证性。接收者能验证签名,且任何其他的人都无法伪造签名。他的人都无法伪造签名。3)可仲裁性。当签名方与验证方发生争执时,)可仲裁性。当签名方与验证方发生争执时,可以由公正的第三方来证实签名,解决争端。可以由公正的第三方来证实签名,解决争端。2023/1/25数字签名结构数字签名结构一个数字签名方案一般包括三个部分:一个数字签名方案一般包括三个部分:1)系统的初始化过程:初始化过程产生整个)系统的初始化过程:初始化过程产生整个方案中需要的参数;方案中需要的参数;2)签名过程:签名过程中签名者对信息操作)签名过程:签名过程中签
14、名者对信息操作得到签名;得到签名;3)验证过程:验证过程中验证者对收到的信)验证过程:验证过程中验证者对收到的信息签名进行认证,验证其正确性。息签名进行认证,验证其正确性。2023/1/25数字签名的实现过程数字签名的实现过程利用公钥密码体制实现利用公钥密码体制实现数字签名的的基本过程数字签名的的基本过程如下:如下:1)发送方发送方A向接收方发向接收方发B发送带有发送带有A签名的信息签名的信息 时,时,A先用自己的私钥加密消息先用自己的私钥加密消息,再用,再用B的公钥加密所得的的公钥加密所得的结果结果,这一过程即为,这一过程即为 C=QB(dA(m);2)当当B接收到后,先用自己的私钥解密接收
15、到后,先用自己的私钥解密,再用,再用A的公的公钥解密所得结果钥解密所得结果,这一过程为,这一过程为m=QA(dB(c)。因为在这一过程中用因为在这一过程中用A的私钥加过密的,只有的私钥加过密的,只有A的的公钥才能解开,所以可以确定消息是公钥才能解开,所以可以确定消息是A发送的。又因发送的。又因为消息是经过为消息是经过B的公钥加密过的,只有的公钥加密过的,只有B的私钥才能的私钥才能解密,可保证只有解密,可保证只有B才能看到消息。这一过程需要用才能看到消息。这一过程需要用到发送方到发送方A和接收方和接收方B各自的私钥,因此双方都无法各自的私钥,因此双方都无法否认自己曾经对消息否认自己曾经对消息m操
16、作过,具有不可否认性。操作过,具有不可否认性。由由于消息于消息m一般都相对较大,直接对消息一般都相对较大,直接对消息m加密签名和加密签名和验证的速度都会很慢。验证的速度都会很慢。2023/1/25数字签名的实现过程数字签名的实现过程 双钥密码体制既可用于实现公共通信网的保密通信,也可用于双钥密码体制既可用于实现公共通信网的保密通信,也可用于认证系统中对消息进行数字签名。为了同时实现保密性和对消息进认证系统中对消息进行数字签名。为了同时实现保密性和对消息进行确认,在明文消息空间和密文消息空间等价,且加密、解密运算行确认,在明文消息空间和密文消息空间等价,且加密、解密运算次序可换,即次序可换,即E
17、 Eklkl(D(Dk2k2(m)=D(m)=Dk2k2(E(Ek1k1(m)=m(m)=m。双钥保密和认证体制双钥保密和认证体制 2023/1/25数字签名与传统签名数字签名与传统签名数字签名与传统签名的区别:数字签名与传统签名的区别:需要将签名与消需要将签名与消息绑定在一起;息绑定在一起;通常任何人都可以验证;通常任何人都可以验证;要考虑防止签名的复制、重用。要考虑防止签名的复制、重用。数字签名必须保证:数字签名必须保证:1)可验证。签字是可以被确认的。)可验证。签字是可以被确认的。2)防抵赖。发送者事后不承认发送报文并签名。)防抵赖。发送者事后不承认发送报文并签名。3)防假冒。攻击者冒充
18、发送者向收方发送文件。)防假冒。攻击者冒充发送者向收方发送文件。4)防篡改。收方对收到的文件进行篡改。)防篡改。收方对收到的文件进行篡改。5)防伪造。收方伪造对报文的签名。)防伪造。收方伪造对报文的签名。签名对安全、防伪、速度要求比加密更高。签名对安全、防伪、速度要求比加密更高。2023/1/25常用的几种公钥签名方案常用的几种公钥签名方案1、RSA数字签名系统数字签名系统 现有的公钥密码体制中最具有代表性的就是RSA密码算法,它的理论基础是可逆的模指数运算,安全性基于大整数的因子分解困难问题。RSA公钥密码体制是一个既可以用于加密又可以用于数字签名的密码方案2、Elgamal数字签名系统数字
19、签名系统 Elgamal数字签名系统是T.Elgamal在1985年发表关于Elgamal公钥密码时提出的系统,它的安全性是基于求解离散对数问题的困难性3、基于椭圆曲线密码的数字签名系统基于椭圆曲线密码的数字签名系统 基于椭圆曲线的数字签名系统是将椭圆曲线加密系统应用于数字签名中,椭圆曲线数字签名算法(ECDSA:Elliptic Curve Digital Signature Algorithm)是数字签名算法的椭圆曲线版本2023/1/25特殊的签名方案特殊的签名方案l群签名群签名:即群数字签名。在一个群签名方案中,一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。l盲签
20、名盲签名:允许消息者先将消息盲化,而后让签名对盲化的消息进行签名,最后消息拥有者对签字除去盲因子,得到签名者关于原消息的签名。盲签名就是接收者在不让签名者获取所签署消息具体内容的情况下所采取的一种特殊的数字签名技术。l代理签名代理签名:指用户由于某种原因指定某个代理代替自己签名(A在不把其私钥给B的情况下,可以请B代理)。l多重数字签名多重数字签名2023/1/252、身份认证技术、身份认证技术l身份认证身份认证,是指被认证方在没有泄露自己身份信息的前提,是指被认证方在没有泄露自己身份信息的前提下,能够以电子的方式来证明自己的身份,其本质就是被下,能够以电子的方式来证明自己的身份,其本质就是被
21、认证方拥有一些秘密信息,除被认证方自己外,任何第三认证方拥有一些秘密信息,除被认证方自己外,任何第三方(某些需认证权威的方案中认证权威除外)无法伪造,方(某些需认证权威的方案中认证权威除外)无法伪造,被认证方能够使认证方相信他确实拥有那些秘密,则他的被认证方能够使认证方相信他确实拥有那些秘密,则他的身份就得到了认证。身份就得到了认证。l身份认证的定义:身份认证的定义:l声称者向验证者出示自己的身份的证明过程声称者向验证者出示自己的身份的证明过程l证实客户的真实身份与其所声称的身份是否相符的过程证实客户的真实身份与其所声称的身份是否相符的过程l身份认证又叫身份鉴别、实体认证、身份识别身份认证又叫
22、身份鉴别、实体认证、身份识别2023/1/25认证的目的、依据认证的目的、依据l认证目的:认证目的:身份认证的目的是验证信息收发方是否持有合法的身份身份认证的目的是验证信息收发方是否持有合法的身份认证符(口令、密钥和实物证件等),使别的成员(认证符(口令、密钥和实物证件等),使别的成员(验验证者证者)获得对声称者所声称的事实的信任。身份认证是)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。获得系统服务所必须的第一道关卡。l身份认证的依据:身份认证的依据:(1)根据用户知道什么来判断(所知):口令、密码等)根据用户知道什么来判断(所知):口令、密码等(2)根据用户拥有
23、什么来判断(拥有):身份证、护照、)根据用户拥有什么来判断(拥有):身份证、护照、门钥匙、磁卡钥匙等门钥匙、磁卡钥匙等(3)根据用户是什么来判断(特征):指纹、声音、视)根据用户是什么来判断(特征):指纹、声音、视网膜、签名、网膜、签名、DNA等等独用一种方法进行认证不充分独用一种方法进行认证不充分2023/1/25身份认证技术分类身份认证技术分类l身份认证技术分类身份认证技术分类 从认证机制上从认证机制上讲,身份认证技术可分为两类:讲,身份认证技术可分为两类:1、专门进行身份认证的、专门进行身份认证的直接身份认证技术直接身份认证技术;2、在消息签名和加密认证过程中,通过检验收发方是否持、在消
24、息签名和加密认证过程中,通过检验收发方是否持有合法的密钥进行的认证,称为有合法的密钥进行的认证,称为间接身份认证技术间接身份认证技术。l从认证方式上从认证方式上讲讲,身份认证可以分为身份认证可以分为本地本地和和远程远程两类。两类。l本地:本地:实体在本地环境的初始化鉴别(就是说,作为实实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)体个人,和设备物理接触,不和网络中的其他设备通信)。l远程:远程:连接远程设备、实体和环境的实体鉴别。连接远程设备、实体和环境的实体鉴别。l实体鉴别可以是实体鉴别可以是单向的单向的也可以是也可以是双向的双向的。l 单向认证
25、单向认证是指通信双方中只有一方向另一方进行鉴别。是指通信双方中只有一方向另一方进行鉴别。l 双向认证双向认证是指通信双方相互进行鉴别。是指通信双方相互进行鉴别。2023/1/25常见的认证协议(详见补充讲义)常见的认证协议(详见补充讲义)PAP:用于用户向用于用户向PPP(Point-to Point Protocol)服务器证明自服务器证明自己的身份己的身份l仅在链路建立初期进行认证,一旦完成认证,以仅在链路建立初期进行认证,一旦完成认证,以后即不再进行认证后即不再进行认证CHAP:挑战应答认证协议挑战应答认证协议CHAP,用于用户与,用于用户与PPP服务器服务器之间的认证之间的认证l在链路
26、建立初期进行认证在链路建立初期进行认证l与与PAP不同,以后可以再次进行认证不同,以后可以再次进行认证Kerberos:是美国麻省理工学院(是美国麻省理工学院(MIT)开发的一种身份鉴别)开发的一种身份鉴别服务。提供了一个集中式的认证服务器结构,认证服务器的服务。提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。功能是实现用户与其访问的服务器间的相互鉴别。X.509:是一套有关目录服务的建议,定义了目录服务中向用是一套有关目录服务的建议,定义了目录服务中向用户提供认证服务的框架。户提供认证服务的框架。X.509协议的实现基于公开密钥加协议的实现基于公开密
27、钥加密算法和数字签名技术。密算法和数字签名技术。2023/1/25常用的身份认证技术常用的身份认证技术(1)口令识别技术)口令识别技术(2)签名识别技术)签名识别技术(3)生物特征识别技术)生物特征识别技术2023/1/251)口令识别)口令识别l用户名用户名/口令认证技术口令认证技术:最简单、最普遍的身份识别技:最简单、最普遍的身份识别技术,如:各类系统的登录等。术,如:各类系统的登录等。l口令具有共享秘密的属性口令具有共享秘密的属性,是相互约定的代码,只有,是相互约定的代码,只有用户和系统知道。例如,用户把他的用户名和口令送用户和系统知道。例如,用户把他的用户名和口令送服务器,服务器操作系
28、统鉴别该用户。服务器,服务器操作系统鉴别该用户。l口令有时由用户选择,有时由系统分配口令有时由用户选择,有时由系统分配。通常情况下,。通常情况下,用户先输入某种标志信息,比如用户名和用户先输入某种标志信息,比如用户名和ID号,然后号,然后系统询问用户口令,若口令与用户文件中的相匹配,系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。用户即可进入访问。l口令有多种口令有多种,如一次性口令;还有基于时间的口令,如一次性口令;还有基于时间的口令2023/1/251)口令识别)口令识别l口令识别是应用最为广泛的身份认证技术。口令识别是应用最为广泛的身份认证技术。口令长度:通常为长度为口令
29、长度:通常为长度为58的字符串。的字符串。选择原则:易记、难猜、抗分析能力强。选择原则:易记、难猜、抗分析能力强。l口令识别的脆弱点:口令识别的脆弱点:网络窃听网络窃听 重放攻击重放攻击 字典攻击字典攻击 暴力攻击暴力攻击 社交工程社交工程2023/1/25口令识别的脆弱点:口令识别的脆弱点:l 网络窃听:网络窃听:网络数据流窃听。由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失,并且危及他人信息安全,计算机只认口令不认人。最常见的是电子邮件
30、被非法截获。l 重放攻击:重放攻击:认证信息截取/重放(Record/Replay)有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。攻击者仍可以采用离线方式对口令密文实施字典攻击;对付重放的方法对付重放的方法:1、在认证交换中使用一个序数来给每一个消息报文编号,仅当收到的消息序号合法时才接受之;2、使用时间戳(A接受一个新消息仅当该消息包含一个 A认为是足够接近 A所知道的时间戳);3、询问/应答方式(A期望从 B获得一个新消息,则先发给 B一个临时值,并要求后续从 B收到的消息包含正确的这个临时值)2023/1/25口令识别的脆弱点:
31、口令识别的脆弱点:l 字典攻击:字典攻击:由于多数用户习惯使用有意义的单词或数字作为密码,某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。l暴力攻击:暴力攻击:这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。l 社交工程:社交工程:攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。2023/1/25不安全口令的分析不安全口令的分析l使用用户名(账号)作为口令使用用户名(账号)作为口令 l使用用户名(账号)的变换形式作为口令使用用户名(账号)的变
32、换形式作为口令 l使用自己或者亲友的生日作为口令使用自己或者亲友的生日作为口令 l使用学号、身份证号、单位内的员工号码等作为口令使用学号、身份证号、单位内的员工号码等作为口令 l使用常用的英文单词作为口令使用常用的英文单词作为口令 2023/1/25安全口令的建议安全口令的建议l口令长度至少要有口令长度至少要有8位位 l口令应包括大小写字母、数字,或者控制符等口令应包括大小写字母、数字,或者控制符等 l不要将口令写在电脑上或纸条上不要将口令写在电脑上或纸条上l要养成定期更换口令的习惯要养成定期更换口令的习惯 一月一换一月一换l尽量不要在电脑上保存口令尽量不要在电脑上保存口令2023/1/252
33、)签名识别技术)签名识别技术l签名识别签名识别不是能识别出被鉴别的签名是什不是能识别出被鉴别的签名是什么字,而是要能识别出签名的人。么字,而是要能识别出签名的人。l签名识别的方法签名识别的方法:根据最后的签名进行识别根据最后的签名进行识别 根据签名的书写过程进行识别根据签名的书写过程进行识别l签名识别法的使用签名识别法的使用首先提供一定数量的签名首先提供一定数量的签名系统分析签名,提取特征系统分析签名,提取特征通过比较签名,进行身份识别通过比较签名,进行身份识别2023/1/253)生物特征识别技术)生物特征识别技术l生物特征识别是一种典型的模式识别:生物特征识别是一种典型的模式识别:生物特征
34、识别技术生物特征识别技术是指通过计算机技术利用人的生理是指通过计算机技术利用人的生理特征或行为特征进行身份鉴定,它以生物技术为基础,特征或行为特征进行身份鉴定,它以生物技术为基础,以信息技术为手段,将本世纪生物和信息这两大技术以信息技术为手段,将本世纪生物和信息这两大技术融为一体。融为一体。l对用户固有的某些特征进行测量,如指纹、声音或签对用户固有的某些特征进行测量,如指纹、声音或签字。字。这些需要特殊硬件,这就限制了生物技术只能用在比较少的环境中。其吸引人的地方是生物识别绝不可能丢失和被偷窃。实际上,存在着某些局限性。传统的安全常识认为认证数据应有规则地进行变化。而使用指纹阅读器难于做到这一
35、点。某些方法也遭到了用户的反对。还有,因为生物技术具有极为本质的特点,因此不可能给出准确的答案。2023/1/25l比如说:没有两个签字是绝对相同的,即使来自一个人,还有一些莫明其妙的影响,例如疲劳程度、心境状况和健康状况等。在匹配算法中必须建立某些公差。例:假如某个调用者经认证只有例:假如某个调用者经认证只有93%的可信度,是否让其的可信度,是否让其登录?登录?l某些系统使用智能卡存储每个用户的生物技术数据。这避免了需要主机数据库,而是依赖于卡的安全性来防止篡改。在用户和智能卡之间的协议中,结合了来自主机的随机质询,因而避免了重播攻击。2023/1/25生物识别的方法生物识别的方法l利用生理
36、特征进行生物识别的方法主要有:指纹识别 虹膜识别 掌纹识别 面像识别 其中,虹膜虹膜和指纹识别指纹识别被公认为是最可靠的两种生物识别。l利用行为特征进行识别的主要有:声音、笔迹和击键识别等。除了这些比较成熟的识别技术之外,还有许多新兴的技术,如:耳形识别、气味识别、血管识别、步态识别、DNA识别或基因识别等。2023/1/25生物识别技术生物识别技术l较成熟的生物识别技术较成熟的生物识别技术 不少生物识别技术已形成产品,指纹考勤、指纹锁指纹考勤、指纹锁等比较成熟的技术产品已有一定规模的市场应用。生物识别极其广阔的应用前景,已引起国际学术界、企业界、政府以及国防军事部门的高度关注。指纹识别技术指
37、纹识别技术 虹膜识别技术虹膜识别技术 笔迹识别技术笔迹识别技术 语音识别技术语音识别技术l其他生物识别技术其他生物识别技术 DNA识别技术识别技术 红外温谱图识别技术红外温谱图识别技术 红外热像纹识别技术红外热像纹识别技术 静脉血管纹路识别技术静脉血管纹路识别技术 击键力度识别识别技术击键力度识别识别技术 颅像重合识别技术颅像重合识别技术 发纹识别技术发纹识别技术2023/1/25生物识别技术生物识别技术 指纹识别指纹识别优点:绝对无法仿冒的使用者认证技术。缺点:较昂贵。不够稳定(辩识失败率高)。2023/1/25基于生物特征的身份鉴别系统基于生物特征的身份鉴别系统l实际的应用给基于生物特征的
38、身份鉴别系统提出实际的应用给基于生物特征的身份鉴别系统提出了下列要求:了下列要求:性能的要求:所选择的生物统计特征能够达到多高的识别率,对于资源的要求如何,识别的效率如何:可接受性:使用者在多大程度上愿意接受基于所选择的生物统计特征的系统;安全性能:系统是否能够防止被攻击;是否具有相关的、可信的研究背景作为技术支持;提取的特征容量,特征模板是否占有较小的存储空间:价格;是否达到用户所接受的价格;速度:是否具有较高的注册和识别速度;是否具有非侵犯性。2023/1/25基于生物特征的身份鉴别系统基于生物特征的身份鉴别系统l鉴别身份的生物特征的特点以及评价标准鉴别身份的生物特征的特点以及评价标准 人
39、体生物特征种类居多,但能够用来鉴别身份的生物特征人体生物特征种类居多,但能够用来鉴别身份的生物特征应该具有以下的特点。应该具有以下的特点。广泛性:每个人都应该具有这种特征:唯一性:每个人拥有的特征应该各不相同;稳定性:所选择的特征应该不随时间发生变化;可采集性:所选择的特征应该便于测量。2023/1/25基于生物特征的身份鉴别系统基于生物特征的身份鉴别系统l理想的生物身份鉴别系统应满足以下几点理想的生物身份鉴别系统应满足以下几点所有人都拥有这一生物特征,并且不同人的生物特征是可以区分的:生物特征的采集不随采集的条件而不同;系统能够区分冒充者。对身份鉴别系统进行评估,实际上就是判断其对身份鉴别系
40、统进行评估,实际上就是判断其符合上述理想系统的程度。由于身份鉴别系统符合上述理想系统的程度。由于身份鉴别系统有两种工作模式,两种模式下系统给出的结果有两种工作模式,两种模式下系统给出的结果有较大差别,因此有不同的性能标准。有较大差别,因此有不同的性能标准。2023/1/253、消息认证技术、消息认证技术1)1)消息认证概念消息认证概念 消消息息认认证证是是指指通通过过对对消消息息或或消消息息相相关关信信息息进进行行加加密密或或签签名名变变换换进进行行的的认认证证,目目的的是是为为防防止止传传输输和和存存储储的的消消息息被被有有意意或或无意地篡改。无意地篡改。2)2)消息认证方法消息认证方法 消
41、息认证方法一般采用提取信息摘要方法实现消息认证。消息认证方法一般采用提取信息摘要方法实现消息认证。消消息息认认证证的的摘摘要要算算法法与与一一般般的的对对称称或或非非对对称称加加密密算算法法不不同同,它它并并不不用用于于防防止止信信息息被被窃窃取取,而而是是用用于于证证明明原原文文的的完完整整性性和和准确性。也就是说,消息认证主要用于防止信息被篡改。准确性。也就是说,消息认证主要用于防止信息被篡改。2023/1/253、消息认证技术、消息认证技术3)3)消息认证分类消息认证分类 消息内容认证消息内容认证(即消息完整性认证即消息完整性认证)消息的源和宿认证消息的源和宿认证(即身份认证即身份认证)
42、消息的序号和操作时间认证等。消息的序号和操作时间认证等。2023/1/253、消息认证技术、消息认证技术 1 1消息内容认证消息内容认证消消息息内内容容认认证证常常用用的的方方法法是是:消消息息发发送送者者在在消消息息中中加加入入一一个个鉴鉴别别码码(MAC、MDC等等)并并经经加加密密后后发发送送给给接接收收者者(有有时时只只需需加加密密鉴鉴别别码码即即可可)。接接收收者者利利用用约约定定的的算算法法对对解解密密后后的的消消息息进进行行鉴鉴别别运运算算,将将得得到到的的鉴鉴别别码码与与收收到到的的鉴鉴别别码码进进行行比比较较,若若二二者者相相等等,则则接收,否则拒绝接收。接收,否则拒绝接收。
43、2 2源和宿的认证源和宿的认证一一种种是是通通信信双双方方事事先先约约定定发发送送消消息息的的数数据据加加密密密密钥钥,接接收收者者只只需证实发送来的消息是否能用该密钥还原成明文就能鉴别发送者。需证实发送来的消息是否能用该密钥还原成明文就能鉴别发送者。另另一一种种是是通通信信双双方方实实现现约约定定各各自自发发送送消消息息所所使使用用的的通通行行字字,发发送送消消息息中中含含有有此此通通行行字字并并进进行行加加密密,接接收收者者只只需需判判别别消消息息中中解解密的通行字是否等于约定的通行字就能鉴定发送者。密的通行字是否等于约定的通行字就能鉴定发送者。2023/1/253、消息认证技术、消息认证
44、技术 3 3消息序号和操作时间的认证消息序号和操作时间的认证消消息息的的序序号号和和时时间间性性的的认认证证主主要要是是阻阻止止消消息息的的重重放放攻攻击击。常常用用的的方方法法有有消消息息的的流流水水作作业业、链链接接认认证证符符随随机机数数认认证证法法和和时间戳等。时间戳等。1 1)MD5MD5。信信息息摘摘要要算算法法,由由RSA RSA Data Data SecuritySecurity公公司司的的RivestRivest于于19921992年年提提出出,能能对对任任何何长长度度的的输输入入消消息进行处理,产生息进行处理,产生128bit128bit长的长的“消息摘要消息摘要”输出输
45、出。2 2)SHASHA算算法法。它它能能为为任任意意长长度度的的输输入入产产生生160bit160bit的杂凑值。的杂凑值。典典型型算算法法 2023/1/254、数字水印技术、数字水印技术l 数字水印数字水印就是将特定的标记隐藏在数字产品中,用就是将特定的标记隐藏在数字产品中,用以证明原创者对产品的所有权,并作为起诉侵权者的以证明原创者对产品的所有权,并作为起诉侵权者的证据。证据。1996年,在英国召开了首届国际信息隐藏会议,提出了数字水印技术,用来对付数字产品的非法复制、传播和篡改,保护产权。在多媒体信息中隐蔽地嵌入可辨别的标记,实现版权声明与跟踪。数字水印还可以广泛应用于其他信息的隐藏
46、,如在一个正常的文件中嵌入文本、图像、音频等信息。数字水印技术必须不影响原系统,还要善于伪装,数字水印技术必须不影响原系统,还要善于伪装,使人不易察觉。隐藏信息的分布范围要广,能抵抗数使人不易察觉。隐藏信息的分布范围要广,能抵抗数据压缩、过滤等变换及人为攻击。总之,数字水印应据压缩、过滤等变换及人为攻击。总之,数字水印应“透明透明”、“健壮健壮”和和“安全安全”。2023/1/25数字水印技术数字水印技术l 数字水印技术数字水印技术是通过对水印载体媒质的分析、嵌入是通过对水印载体媒质的分析、嵌入水印的预处理、嵌入点的选择、嵌入方法的设计等几水印的预处理、嵌入点的选择、嵌入方法的设计等几个相关技
47、术环节进行合理优化,寻求满足水印的透明个相关技术环节进行合理优化,寻求满足水印的透明性、鲁棒性和安全性等诸多要求的最佳组合方案。性、鲁棒性和安全性等诸多要求的最佳组合方案。水印与数字水印水印与数字水印 水印的最大特点就是它的存在不影响票据的使用价水印的最大特点就是它的存在不影响票据的使用价值,而且在一定程度上防止伪造。值,而且在一定程度上防止伪造。为了对数字产品版权等进行保护,数字水印采用了信息技术来实现水印的功能。数字水印技术是将特定的标记(作者名、创数字水印技术是将特定的标记(作者名、创作时间、所有权等信息)利用数字内嵌的方法嵌入到作时间、所有权等信息)利用数字内嵌的方法嵌入到数字图像、声
48、音、视频或文本等数字产品中,用以证数字图像、声音、视频或文本等数字产品中,用以证明创作者对其作品的所有权。明创作者对其作品的所有权。2023/1/25数字水印的应用数字水印的应用l在数字产品版权保护应用领域内,可根据水印载体的不同将其应用分为三大类。音像制品静止图像视频1)声音文件可以被看作是一个一维信号。流行的MP3和MP4深得人们喜爱。但由于最初MP3的制定并没有考虑到版权保护的问题,所以版权保护的效果很不理想。每首MP4都内置了版权信息和作品所有者的版权说明。MP4乐曲含有“Solana技术”的数字水印,并由其版权持有者发行,不仅能追踪发现盗版发行,而且任何未经合法授权的解压行为都将招致
49、原文件的彻底失效。2023/1/25数字水印的应用数字水印的应用 2)图像可以被看作是一个二维信号。数字图像是在网络上广泛流传的一种多媒体数据,也是经常因其版权而引起纠纷的一类载体。在静止图像中嵌入数字水印可以起到保护著作产权的作用。目前市场上已有了多种应用于静止图像版权保护的数字水印系统和产品。3)视频可以被看作是一个三维信号。大量消费类数字视频产品的推出加速了盗版的泛滥。因此,对数字视频的版权保护、盗版跟踪、拷贝保护、产品认证等逐渐成为电子消费市场迫切需要解决的问题。为了保护版权,可以在数字视频内容中嵌入水印信号,以此作为版权保护的依据和凭证。如:VCD和DVD产品,制作公司可以在压缩视频
50、节目销售之前,在每个拷贝中都加上特定的水印,用于对复制者和传播者进行跟踪监督。2023/1/25数字水印的应用数字水印的应用数字水印认证的新品数字水印认证的新品第二代第二代“机读机读”身份证身份证 身份证是公民自我保护的凭证,是公民的护身符,国家用法律的形式规范居民身份证的管理,使我国居民身份证的管理向法制化、现代化、规范化迈上了一个台阶。机读身份证是由多层聚酯材料复合而成的单页卡式证件,证件正面印有国徽、证件名称、长城图案、证件的签发机关和有效期限及彩色花纹。证件背面彩色花纹,图案底纹同正面,印有持证人姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、证件的有效期和签发
黑公网安备:91230400333293403D