身份认证方法.ppt

身份认证方法身份认证方法 经管学院.计算机网络世界中一切信计算机网络世界中一切信息包括用户的身份信息都是用息包括用户的身份信息都是用一组特定的数据来表示的，计一组特定的数据来表示的，计算机只能识别用户的数字身份，算机只能识别用户的数字身份，所有对用户的授权也是针对用所有对用户的授权也是针对用户数字身份的授权。户数字身份的授权。.在真实世界，对用户的身份认证基本方法可以分为这三种：(1)根据你所知道的信息来证明你的身份(what you know，你知道什么)；(2)根据你所拥有的东西来证明你的身份(what you have，你有什么)；(3)直接根据独一无二的身体特征来证明你的身份(who you are，你是谁)，比如指纹、面貌等。在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。以下罗列几种常见的认证形式：身份认证方法身份认证方法.用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制如论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。静态密码静态密码.一种内置集成电路的芯片，芯片中存有与用一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，户身份相关的数据，智能卡由专门的厂商通过专智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。的读卡器读取其中的信息，以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。它利用因此还是存在安全隐患。它利用what you have方方法。法。智能卡（智能卡（IC卡）卡）.短信密码以手机短信形式请求包含短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统位随机数的动态密码，身份认证系统以短信形式发送随机的以短信形式发送随机的6位密码到客户位密码到客户的手机上。客户在登录或者交易认证时的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份候输入此动态密码，从而确保系统身份认证的安全性。它利用认证的安全性。它利用what you have方方法。法。短信密码（短信密码（1/3）.优点（优点（1）安全性）安全性 由于手机与客户绑定比较紧密，短信密码生成与使用场景是由于手机与客户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取几率降至最低。物理隔绝的，因此密码在通路上被截取几率降至最低。（2）普及性）普及性 只要会接收短信即可使用，大大降低短信密码技术的使用门只要会接收短信即可使用，大大降低短信密码技术的使用门槛，学习成本几乎为槛，学习成本几乎为0，所以在市场接受度上面不会存在阻力。，所以在市场接受度上面不会存在阻力。（3）易收费）易收费 由于移动互联网用户天然养成了付费的习惯，这和由于移动互联网用户天然养成了付费的习惯，这和PC时代互时代互联网截然不同的理念，而且收费通道非常的发达，如果是网银、联网截然不同的理念，而且收费通道非常的发达，如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务，每月通第三方支付、电子商务可将短信密码作为一项增值业务，每月通过过SP收费不会有阻力，因此也可增加收益。收费不会有阻力，因此也可增加收益。（4）易维护）易维护 由于短信网关技术非常成熟，大大降低短信密码由于短信网关技术非常成熟，大大降低短信密码系统上马的复杂度和风险，短信密码业务后期客服成本低，稳定系统上马的复杂度和风险，短信密码业务后期客服成本低，稳定的系统在提升安全同时也营造良好的口碑效应，这也是目前银行的系统在提升安全同时也营造良好的口碑效应，这也是目前银行也大量采纳这项技术很重要的原因。也大量采纳这项技术很重要的原因。短信密码（短信密码（2/3）.短信密码（短信密码（2/3）.目前最为安全的身份认证方式，也利用目前最为安全的身份认证方式，也利用what you have方法，也是方法，也是一种动态密码。一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，秒变换一次动态口令，口令一次有效，它产生它产生6位动态数字进行一次一密的方式认证。位动态数字进行一次一密的方式认证。由于它使用起来非常便捷，由于它使用起来非常便捷，85%以上的世界以上的世界500强企业运用它强企业运用它保护登录安全，广泛应用在保护登录安全，广泛应用在VPN、网上银行、电子政务、电子商务、网上银行、电子政务、电子商务等领域。等领域。动态口令是应用最广的一种身份识别方式，一般是长度为动态口令是应用最广的一种身份识别方式，一般是长度为58的字符串，由数字、字母、特殊字符、控制字符等组成。用户名的字符串，由数字、字母、特殊字符、控制字符等组成。用户名和口令的方法几十年来一直用于提供所属权和准安全的认证来对和口令的方法几十年来一直用于提供所属权和准安全的认证来对服务器提供一定程度的保护。当你每天访问自己的电子邮件服务服务器提供一定程度的保护。当你每天访问自己的电子邮件服务器、服务器要采用用户名与动态口令对用户进行认证的，一般还器、服务器要采用用户名与动态口令对用户进行认证的，一般还要提供动态口令更改工具。现在系统（尤其是互联网上新兴的系要提供动态口令更改工具。现在系统（尤其是互联网上新兴的系统）通常还提供用户提醒工具以防忘记口令。统）通常还提供用户提醒工具以防忘记口令。动态口令牌（动态口令牌（1/2）.动态口令牌（动态口令牌（2/2）.基于基于USB Key的身份认证方式是近几年发展起的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。好地解决了安全性与易用性之间的矛盾。USB Key是一种是一种USB接口的硬件设备，它内置单片机或智接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利能卡芯片，可以存储用户的密钥或数字证书，利用用USBKey内置的密码算法实现对用户身份的认证。内置的密码算法实现对用户身份的认证。基于基于USB Key身份认证系统主要有两种应用模式：身份认证系统主要有两种应用模式：一是基于冲击一是基于冲击/响应响应(挑战挑战/应答应答)的认证模式，二是的认证模式，二是基于基于PKI体系的认证模式，目前运用在电子政务、体系的认证模式，目前运用在电子政务、网上银行。网上银行。USB KEY（1/2）.USB KEY（2/2）.运用运用who you are方法，方法，通过可测量的身体或行为等通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括：生物特征分为身体特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和管和DNA等；行为特征包括：签名、语音、行走步态等。等；行为特征包括：签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将掌型识别、脸型识别、语音识为高级生物识别技术；将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将血管纹理识别和签名识别等归为次级生物识别技术；将血管纹理识别、人体气味识别、别、人体气味识别、DNA识别等归为识别等归为“深奥的深奥的”生物识别生物识别技术，指纹识别技术目前应用广泛的领域有门禁系统、技术，指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。微型支付等。生物识别技术生物识别技术.所谓双因素就是将两种认证方法结合起来，进一所谓双因素就是将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双因步加强认证的安全性，目前使用最为广泛的双因素有：素有：动态口令牌动态口令牌+静态密码静态密码 USB KEY+静态密码静态密码 二层静态密码二层静态密码 等等。等等。双因素认证双因素认证（1/2）.双因素认证双因素认证（2/2）.