硕士研究生网络安全课程分析报告

1、太原理工大学硕士研究生网络安全课程报告研究生姓名王瑞青学 号S20090482专 业计算机应用技术学 院计算机与软件学院任 课 教 师彭新光指 导 教 师闫宏印日 期2010年05月31日 目 录 TOC o 1-3 h z u HYPERLINK l _Toc263098195 摘 要 PAGEREF _Toc263098195 h 1 HYPERLINK l _Toc263098196 第一章 绪论 PAGEREF _Toc263098196 h 2 HYPERLINK l _Toc263098197 1.1 选题背景和意义 PAGEREF _Toc263098197 h 2 HYPERL

2、INK l _Toc263098198 1.2 本文研究的要紧内容 PAGEREF _Toc263098198 h 3 HYPERLINK l _Toc263098199 第二章 认证基础 PAGEREF _Toc263098199 h 3 HYPERLINK l _Toc263098200 2.1 身份认证的概念 PAGEREF _Toc263098200 h 3 HYPERLINK l _Toc263098201 2.2 身份认证技术的进展和分类 PAGEREF _Toc263098201 h 4 HYPERLINK l _Toc263098202 2.2.1身份认证技术的进展 PAGER

3、EF _Toc263098202 h 4 HYPERLINK l _Toc263098203 2.2.2 身份认证技术的分类 PAGEREF _Toc263098203 h 4 HYPERLINK l _Toc263098204 第三章 几种常见的身份认证技术 PAGEREF _Toc263098204 h 5 HYPERLINK l _Toc263098205 3.1 基于秘密知识的身份认证技术 PAGEREF _Toc263098205 h 5 HYPERLINK l _Toc263098206 3.2 基于智能卡的身份认证技术 PAGEREF _Toc263098206 h 6 HYPE

4、RLINK l _Toc263098207 3.3 基于生物特征的身份认证技术 PAGEREF _Toc263098207 h 7 HYPERLINK l _Toc263098208 3.3.1 指纹识不技术 PAGEREF _Toc263098208 h 9 HYPERLINK l _Toc263098209 3.3.2 虹膜识不 PAGEREF _Toc263098209 h 9 HYPERLINK l _Toc263098210 3.3.3人脸识不 PAGEREF _Toc263098210 h 10 HYPERLINK l _Toc263098211 3.3.4 笔迹识不 PAGERE

5、F _Toc263098211 h 10 HYPERLINK l _Toc263098212 第四章 动态口令身份认证技术综述 PAGEREF _Toc263098212 h 11 HYPERLINK l _Toc263098213 4.1 动态口令身份认证技术的产生 PAGEREF _Toc263098213 h 11 HYPERLINK l _Toc263098214 4.2 动态口令身份认证的设计思想及特点 PAGEREF _Toc263098214 h 12 HYPERLINK l _Toc263098215 4.3 动态口令的生成方式 PAGEREF _Toc263098215 h

6、13 HYPERLINK l _Toc263098216 第五章 地理位置 PAGEREF _Toc263098216 h 13 HYPERLINK l _Toc263098217 第六章 结束语 PAGEREF _Toc263098217 h 13认证综述摘 要身份认证是保障网络安全的关键,目前要紧的身份认证技术包括:基于口令的认证技术、基于智能卡的技术、基于密码的技术及基于生物特征的技术。本文着重介绍了几种要紧的个人身份认证的方法，并对各种方法进行了分析和比较。单一模式的生物特征识不系统有其固有的局限性，难以满足实际应用的需求。融合多种生物特征的多模式识不系统能够提高身份认证的准确率、鲁棒

7、性和普适性，是生物特征识不技术的进展方向。基于动态口令的身份认证方法也是我们在现实生活中经常用到的,本文也着重介绍了基于动态口令的身份认证方法.关键词：身份认证、口令、生物特征识不第一章 绪论1.1 选题背景和意义随着信息的多元化及数字化的迅猛进展，信息安全技术越来越显示其重要地位，而且信息安全技术应用水平的高低直接阻碍了信息高速公路建设的进一步进展。近二十年来，由于计算机硬件处理能力的极大提高和密码学的迅速进展，信息安全理论与技术也得到了丰富和逐步完善。认证技术是信息安全理论与技术的一个重要方面，其要紧包括用户认证和信息认证两个方面。前者用于鉴不用户身份，后者用于保证通信双方的不可抵赖性和信

8、息的完整性。身份认证是识不和证实主体的真实身份与其所声称的身份是否相符的过程。它是网络应用系统中的第一道防线，是安全的网络系统的门户。通过身份认证，能够了解谁试图访问资源，防止非法用户假冒合法用户窃取敏感数据，这对爱护资源是必要的；同时，可对特定资源进行必要的访问操纵和跟踪审计。身份认证的本质是被认证方有一些不为人知的信息(不管是一些秘密的信息依旧一些个人持有的专门硬件或个人特有的生物学信息)，除被认证方自己外，任何第三方(在有些需要认证权威的方案中，认证权威除外)不能伪造，被认证方能够使认证方相信他确实拥有那些秘密(不管是将那些信息出示给认证方或者采纳零知识证明的方法)，则他的身份就得到了认

9、证。那么，依照被认证方赖以证明身份的秘密的不同，身份认证能够分为三大类，认证方式能够是其中的一种，也能够是几种的结合使用。通过认真分析和比较，下面将各种认证方式及其不足概括如下：(1) 基于秘密知识的认证方式，包括基于口令的认证方式和基于密码体制的认证方式。其中，基于口令的认证方式要紧采纳静态口令列表法：即系统为每个合法用户建立一个二元组(用户名，口令)，当用户登录系统或使用某项功能时，通过核对用户输入的用户名和口令与系统保存的二元组信息是否匹配进行用户身份认证。这种方法简单易行，但难于抵抗口令推测、搭线窃听、重放、窃取破坏口令文件等攻击手段：基于密码体制的认证方式其安全性要紧依靠于密钥，而密

10、钥的分发与治理是一个相当复杂的问题。(2) 基于物品的认证方式，该认证方式依据个人所拥有的物品(如身份证、信用卡或钥匙、电子令牌等)进行认证。其中，电子令牌是一种具有计算能力的智能卡，由其动态生成用户每次登录的口令，提高了安全性，但其面临着丢失、被盗、被复制等危险。(3) 基于生物特征的认证方式，该认证方式依据个人所固有的生物特征(如指纹、语音、步态等)进行认证。由于指纹等生物特征具有普遍性、唯一性和永久性等特征，因此生物特征认证技术提供了比传统的身份认证技术更简单的认证方法。但在现有的大多数基于生物特征的认证技术中，认证信息几乎都以明文在网络上传输，不能爱护用户隐私，没有达到认证数据机密性的

11、要求。1.2 本文研究的要紧内容本文研究了身份认证所使用的身份认证技术包括有基于秘密知识的认证方式、基于物品的认证方式和基于生物特征的认证方式，重点研究了基于生物特征的认证方式和基于动态口令的认证方式，其中基于秘密知识和基于物品的认证方式均存在携带不便、容易伪造、容易遗失、因使用过多或不当而损坏或不可读密码易被破解等诸多问题，其安全性、可靠性差。因此，不妨采纳基于生物特征的认证方式，每个人所固有的生物特征，具有与其他人不同的唯一性和在一定时期内不变的稳定性，而且可不能丢失、不易伪造和假冒，因此被认为是终极的身份认证媒介。第二章 认证基础2.1 身份认证的概念认证技术是信息安全中的一个重要内容，

12、要紧包括消息认证与身份认证。在电子商务日益火爆的今天，从某种意义上讲，认证技术可能比信息加密本身更加重要。因为，专门多情况下用户并不要求购物信息保密，只要确认网上商店不是假冒的(这就需要身份认证)，自己与网上商店交换的信息未被第三方修改或伪造，同时网上商家不能赖帐(这就需要消息认证)，商家也是如此。如何保证参与交易的双方身份的真实性，从而保证双方的合法权益，这就需要进行身份认证。身份认证是指验证一个最终用户或设备(如客户机、服务器、交换机、路由器、防火墙等)所声称的身份的过程。身份认证一般包括两方面的内容：(1)识不一明确访问者的身份，要求可区分不同的用户，例如使用不同的标识符；(2)验证一对

13、访问者声称的身份进行证实。由于认证技术是一项包含专门广泛的技术，集中于某一方面可能更有针对性，因此，在这篇论文中要紧涉及用户身份认证技术。2.2 身份认证技术的进展和分类2.2.1身份认证技术的进展身份认证是网络应用系统中的第一道防线，是安全的网络系统的门户，通过它，可进行必要的访问操纵。用户名/口令对是最常用的身份认证技术，但由于用户为了经历方便，常常选用姓名、生日等易被推测破解的口令，使得这种技术变得极不安全，且口令通过网络传输，也加大了被攻击的风险。尽管，口令通过加密传输能够提高这种身份认证技术的安全性，但加密传输口令的另一个困难是加密密钥的交换：当采纳对称密钥加密方式时，要求认证方和被

14、认证方共享一个密钥，但由于身份认证前双方的身份还不明确，不可能预先共享一个密钥，解决的方法是求助于第三方一个可信任的权威机构；当采纳非对称密钥加密方式时，口令能够用认证方的公钥加密，由于公钥能够通过公开的渠道获得，这时不存在采纳对称密钥加密时遇到的那种矛盾，因此，这也需要密钥分发机制的配合。此外，密码技术不适用于个人身份认证，因为长的随机口令增加了用户经历和输入的负担。通常的解决方法是使用智能卡：用户首先向智能卡证实他自己，然后智能卡通过密码技术向最终验证方证实它自己。这种方案的安全性最终也弱化到用户口令上，一旦智能卡丢失或被复制，同样面临着口令推测攻击。2.2.2 身份认证技术的分类当前，身

15、份认证技术差不多在众多领域得到广泛应用，并形成了一套比较完整的理论体系，依照不同的划分标准，身份认证技术可分为以下几类：1. 依照实体间关系依照参与认证的双方之间的关系，身份认证技术能够分为单向认证和双向认证。在单向认证中，示证方无条件信任验证方，并向验证方提供示证信息；在双向认证中，双方处于平等地位，双方为了取得对方信任都必须向对方提供示证信息。2. 依照示证信息的性质依照示证信息的性质，身份认证技术能够分为基于秘密知识的身份认证技术、基于物品的身份认证技术和基于生物特征的身份认证技术。基于秘密知识的身份认证技术包括基于用户名/口令的身份认证、基于对称密钥的身份认证、基于KDC的身份认证、基

16、于公钥密码体制的身份认证和基于CA的身份认证等；基于物品的身份认证技术要紧包括基于智能卡的身份认证和基于非电子介质的身份认证；基于生物特征的身份认证技术要紧包括基于生理特征(指纹、虹膜等)的身份认证和基于行为特征(步态、签名等)的身份认证。3. 依照示证信息的数量依照示证信息的数量，身份认证技术能够分为单因素认证和多因素认证。4. 依照实体间的信任关系依照实体间的信任关系，身份认证技术能够分为有仲裁认证和无仲裁认证。无仲裁认证系统中，双方互相信任；在有仲裁认证中，双方互不信任，一旦出现纠纷，就需要可信第三方进行仲裁。5. 依照认证的方法依照认证的方法，身份认证技术又可分为非密码身份认证和基于密

17、码的身份认证。非密码身份认证包括口令方式；基于密码的身份认证既能够利用对称密码体制，也能够利用公钥密码体制。第三章 几种常见的身份认证技术身份认证的本质是被认证方有一些信息(不管是一些秘密的信息依旧一些个人持有的专门硬件或个人特有的生物学信息)，除被认证方自己外，任何第三方(在有些需要认证权威的方案中，认证权威除外)不能伪造，被认证方能够使认证方相信他确实拥有那些秘密(不管是将那些信息出示给认证方或者采纳零知识证明的方法)，则他的身份就得到了认证。身份认证技术的进展己经经历了相当长的时期，依照被认证方赖以证明身份的秘密的不同，身份认证能够通过以下三种差不多方式或其组合方式来实现：(1) 基于秘

18、密知识的身份认证方法，例如用户明白自己的口令；(2) 基于物品的身份认证方法，用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，访问系统资源时必须要有智能卡；(3) 基于生物特征的身份认证方法，如指纹、声音、DNA及虹膜等。下面详述三种技术的差不多原理。3.1 基于秘密知识的身份认证技术秘密知识包括用户ID、口令、密钥等。基于秘密知识的身份技术确实是将以上信息作为认证用户的唯一依据。基于秘密知识的身份认证技术包括许多种：1. 基于用户名/口令的身份认证基于用户名/口令的身份认证需要计算机系统分为两步处理：标识(询问你是谁)和认证(要求你证实)。首先，系统为每一个合法用户建

19、立二元组信息(ID，PW)，当用户登录系统或使用某项功能时，提示用户输入自己的ID和PW，系统通过匹配用户输入的信息与系统内保存的信息(这些用户信息在系统内可能是加密存储的)进行用户身份认证。但由于用户经常选择姓名、生日等易被推测破解的口令，使得这种技术变得极不安全；口令以明文形式在网络传输，使得攻击者专门容易通过搭线窃听猎取用户口令；另外，攻击者可能利用系统漏洞猎取并破解系统保留的用户口令文件，整个系统的安全性就受到了威胁；为提高该技术的安全强度，通常使用密码算法对口令进行加密保存和加密传输，但对重传和假冒攻击也毫无抵抗能力。2. 基于对称密钥的身份认证为了确保用户标识符和口令在信道中的安全

20、传输，通常采纳对称密码体制和公开密码体制。在对称密码体制中，加密和解密变换平等，而且加密和解密密钥相同。通常，基于对称密钥的用户身份认证方式分为两种：单向认证和双向认证。在单向认证中，总是由验证方提出一个信息交由示证方进行指定交换，以验证其身份，而双向认证则是把这一原则应用于认证双方，相互提出一个信息要求对方交换。3. 基于KDC的身份认证在基于对称密钥的身份认证中，每对需要认证的用户需共享一个对称密钥，当用户数量较大时，密钥的数量增长专门快，增加了密钥治理的难度，也降低了密钥的安全性。为此，就需要密钥分配中心KDC(Key Distribute Center)如此的可靠中介节点对密钥进行保存

21、和传递。4. 基于公钥密码体制的身份认证基于公钥密码体制的身份认证为了解决密钥治理不善带来的安全威胁。但如何取得对方的公钥，需要可靠中介的关心。5. 基于CA的身份认证在基于公钥的身份认证中，假如公钥有意假冒，则会导致严峻的安全问题，为了解决公钥的真实性，采纳数字证书的方式。但这种认证必须以完善的CA(证书授权中心)体系为基础，认证系统技术复杂，成本较高。3.2 基于智能卡的身份认证技术智能卡(Smart Card)是一种集成的带有智能的电路卡，集成了CPU、EPROM、E2PROM、RAM、ROM、和COS(Chip Operating System)，它不仅具有读写和存储数据的功能，而且能

22、对数据进行处理。其中，基于USB KEY的身份认证是当前比较流行的智能卡身份认证方式。1. 基于USB KEY的身份认证方式的特点USB KEY结合了现代密码学技术、智能卡技术和USB技术，是新一代身份认证产品，它具有以下特点：(1) 双因子认证每一个USB Key都具有硬件PNI码爱护，PIN码和硬件构成了用户使用USB Key的两个必要因素，即所谓“双因子认证”。用户只有同时取得了USB Key和用户PNI码，才能够登录系统。即使用户的PNI码被泄露，只要用户持有的USB Key不被盗取，合法用户的身份就可不能被假冒；假如用户的USB Key遗失，拾到者由于不明白用户的PNI码，也无法假冒

23、合法用户的身份。(2) 带有安全存储空间USB Key具有8K-128K的安全数据存储空间，能够存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。(3) 硬件实现加密算法USB Key内置CPU或智能卡芯片，能够实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USB Key内进行，保证了用户密钥可不能出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。(4) 便于携带，安全可靠如拇指般大的USB Key特不便于随身携带，同时密钥和证书不可导出；USB Ke

24、y的硬件不可复制，更显安全可靠。2. USB Key身份认证系统的应用方式(1) 基于挑战应答的双因子认证方式先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数(此为挑战)并通过网络传输给客户端。客户端将收到的随机数通过USB接口提供给计算单元，由计算单元使用该随机数与存储在安全存储空间中的密钥进行运算并得到一个结果(此为应答)作为认证证据传给服务器。与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行相同运算，假如服务器的运算结果与客户端回传的响应结果相同，则认为客户端是一个合法用户。密钥运算分不在硬件计算单元和服务器中运行，不出现在客户端内存中，也不在网络

25、上传输，从而爱护了密钥的安全，也就爱护了用户身份的安全。(2) 基于数字证书的认证方式随着PKI技术日趋成熟，许多应用中开始使用数字证书进行身份认证与数据加密。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术，能够对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。USB Key作为数字证书的存储介质，能够保证数字证书不被复制，并能够实现所有数字证书的功能。基于智能卡的身份认证也有其严峻的缺陷：系统只认卡不认人，智能卡可能丢失，拾到或窃得智能卡的人将可能假冒

26、原持卡人的身份。3.3 基于生物特征的身份认证技术1. 生物特征识不的特点生物特征身份鉴不技术是通过计算机将人体所固有的生理或行为特征收集并进行处理，由此进行个人身份鉴定的技术。包含身份认证和识不两方面内容。身份认证是确定用户是否是其所声明的那个人，身份识不是确定用户是目标人群中的那个人。常用的生物特征包括指纹、掌纹、人脸、虹膜、视网膜、声音、签名、步态等。与传统的身份认证技术相比，基于生物特征的身份认证技术具有以下优点：(1) 不易遗忘或丢失；(2) 防伪性能好，不易伪造或被盗；(3)“随身携带”，方便使用。2. 各种生物特征识不技术的比较可用于身份认证的生物必须满足以下几个差不多条件：(1

27、) 普遍性，即必须每个人都具备这种特征；(2) 唯一性，即任何两个人的特征是不一样的；(3) 可测量性，即特征可测量； (4) 稳定性，即特征在一段时刻内不改变。目前，已有的生物特征识不技术要紧有指纹识不、掌纹识不、手形识不、人脸识不、虹膜识不、视网膜识不、声音识不和签名识不等。其中，指纹识不是最早研究并利用的，且是最方便、最可靠的生物识不技术之一。此外，人们还研究了其他的一些生物特征，如手部静脉血管模式、DNA、耳形、躯体气味、击键的动态特性、指甲下面的真皮结构等等。这些技术与上述的几大技术相比，普遍性较差，要紧用于一些特定的应用领域。在实际应用中，还要考虑更多的要求，如：性能、可同意性等。

28、其中性能指所选用的生物特征的识不率，通常用错误授受率(FAR)和错误拒绝率(FRR)来衡量。各种生物特征的比较结果如表2-1所示。表2-1几种生物特征识不技术的性从以上比较能够看出，指纹识不技术是目前比较理想的身份认证技术。 图2-1典型的生物特征识不/认证系统结构典型的生物特征识不/认证系统结构如图2-1所示，其要紧包括两个逻辑模块：注册模块和认证模块。在注册模块中，首先登记用户的姓名和其他个人信息，通过生物特征识不传感器，猎取用户的生物特征信息，形成特征模板，存储在系统数据库中；在认证模块中，先猎取用户的生物特征信息，形成特征模板，再与系统数据库中的模板进行匹配，从而验证用户的身份。传统的

29、身份认证方法一个共有优点是判决结果黑白分明，对有效用户不存在误判问题，而生物特征识不系统则存在拒绝有效用户的问题，给使用带来不便，假如在作出拒绝判决前能结合密码口令等信息，会有效降低FRR。下面细述几种生物认证方法：3.3.1 指纹识不技术指纹识不技术要紧包括指纹图像增强、特征提取、指纹分类和指纹匹配几个部分。指纹识不是目前国际公认的应用最广、造价最低、易用性最高的身份认证技术。市场上推出的产品有指纹门锁、指纹考勤机、指纹保险箱、指纹无线鼠标、指纹储物柜、PDA、笔记本电脑等。把指纹识不技术同IC卡结合起来，是目前最有前景的一个应用方向。该技术把持卡人的指纹（加密后）存储在IC卡上，并在IC卡

30、的读卡机上加装指纹识不系统，当读卡机阅读卡上的信息时，一并采集持卡者的指纹，通过比对卡上的指纹与持卡者的指纹，就能够确认持卡者是否是卡的真正主人，从而进行下一步的交易。指纹IC卡有着广泛的应用，例如取代现行的ATM（银行自动取款机）卡、制造防伪证件（签证或护照、医疗保险卡、会员卡等）。3.3.2 虹膜识不虹膜时眼球前部含色素的环形薄膜，由结缔组织细胞、肌纤维组成。虹膜图像中含有及其丰富的结构和纹理特征，作为生物识不特征，它由如下优势：（1）虹膜在2-3岁时稳定，以后不随年龄的增长而变化；（2）每个人的虹膜纹理在人群中的分布是随机的或者是混沌的，同时虹膜具有唯一性；（3）虹膜不易受损；（4）不易

31、被假冒；（5）在识不的过程中，不需要和被识不者物理接触，具有非侵犯性；（6）虹膜具有高度的防伪性。从1998年至今我国差不多开发了三代虹膜识不系统，包括虹膜采集装置、图像预处理、特征抽取和匹配等差不多模块。从硬件到软件都实现了完全自主知识产权的目标，突破了早期西方国家的技术垄断与封锁。3.3.3人脸识不人脸识不具有主动性、非侵犯性和用户友好等许多优点，多年来一直受到许多研究者的关注。然而目前的人脸识不方法要紧集中在二维图像方面，由于受到光照、姿态、表情变化的阻碍，识不的准确度受到专门大限制，迄今为止，建立一个鲁棒的人脸识不系统仍然是一个专门困难的问题。一个较好的方法是利用三维信息进行人脸的识不

32、。三维信息能够更精确地描述人的脸部特征，三维信息的猎取不易受光照的阻碍，利用三维曲面的配准算法能专门好地克服姿态变化的阻碍，通过三维模型合成的面部动作在一定程度上也能克服表情变化的阻碍，因此，基于三维信息的人脸识不是一种较鲁棒的人脸识不技术，能有效地克服基于二维图像进行识不所遇到的困难。从总体上讲，目前三维人脸识不算法还专门不成熟，是极具挑战性的课题，如有突破将有专门强的创新性。除了采纳一般摄像机来捕捉人脸图像外，近来的进展趋势是热成像技术。这种技术是通过分析由脸部的毛细血管的血液产生的热线来形成脸部图像，即红外温谱图。热成像技术并不需要较好的光源条件，即使在黑暗的情况下也可使用，并可更好地排

33、除胡须、头发以及化妆的脸部变化的干扰。3.3.4 笔迹识不笔迹是书写者自身的生理特征和后天学习过程的综合反应。笔迹识不也是人们进行身份认证的重要手段之一。计算机笔迹识不要紧分联机和脱机两类。脱机笔迹识不的对象是写在纸上的字符，通过扫描仪、摄像机等设备输入到计算机里，然后进行分析与鉴定；而联机的笔迹识不则通过专用的数字版或数字仪实时采集书写信号，除了能够采集签名位置等静态信息，还能够记录书写使的速度、运笔压力、握笔倾斜度等动态信息。显然，较脱机笔迹识不而言，联机笔迹识不可利用的信息量更多，不易伪造，同时难度也更大。目前的笔迹识不研究要紧包括两类问题，即文本相关和文本无关的笔迹识不问题。文本相关笔

34、迹识不关于书写内容有固定限制，因此相对容易解决，然而应用范围较窄；而在文本无关的情况下，由于对书写内容不加限制，问题就变的更加复杂。到目前为止，关于文本无关的笔迹识不，世界上还没有准确而高效的识不系统投入市场，这有待于我们的进一步研究。多模式识不系统，通过多生物特征融合的方法，来提高识不的准确率和扩大应用范围，以满足实际的需求。2005年6月22日，由清华大学电子系自主研制的“TH-D多模式生物特征身份认证识不系统“，通过教育部组织的专家鉴定。该系统包括两大部分内容：人脸、笔迹、签字和虹膜4种生物特征的身份认证的4个子系统和利用多种生物特征的多模生物特征融合的身份认证系统。他们构建了基于统一数

35、据库的人脸、笔迹、签字、虹膜4种生物特征的多模生物特征身份认证系统，能够进行融合模式的选择，进行各种可能的融合模式。例如人脸与签字融合的身份识不/验证系统，人脸与虹膜融合的身份识不/验证系统，能够有效克服单一生物特征常有的缺陷，极大地提高了身份认证的准确度，从而也为生物特征身份认证的实际应用打下了坚实的基础。目前这一技术已被香港伟清创新科技有限公司等数家国内外公司支持并投入产品开发。集成这一技术的人脸认证软件的旅客自助通道系统最近在深圳罗湖口岸正式投入使用，通过率超过了97%。第四章 动态口令身份认证技术综述4.1 动态口令身份认证技术的产生为了解决静态口令面临的诸多安全问题，美国科学家此Le

36、slie Lamport在1981年首次提出了利用哈希函数产生一次性口令 (OTP：OneTime Password)的思想。由贝尔通信研究中心于1991年开发的S/KE Y是一次性口令的首次实现，它首先是由Phil Karn综合了Neil Haller和John Waden的贡献提出的。通过TCP/IP的业余无线电的活动，Phil Karn发觉网络用户面临着口令窃听问题。为此，Karn先生提出使用一次性口令模式来提供更高级的访问安全性，并减少口令被窃听的可能性(假如不能消除的话)。用户每次与服务器连接过程中使用的口令在网络上传输时都通过加密，且这些密文在每次连接时都不同，即口令密文一次有效，

37、因而口令就不可能在重复的攻击中被重用。现在一次性口令的实现版本有多个，包括Bellcoer的S/KEY，美国海军研究实验室(NRL)的One Time Password In Everything(OPIE)和Wietse venema的LogDaemon。4.2 动态口令身份认证的设计思想及特点动态口令的要紧机制是基于某种密码算法，将用户的身份代码和某种不确定因素作为密码算法的输入参数，通过算法变换得到一个变化的结果，即动态口令，将其作为用户的登录口令；认证服务器端使用相应的算法进行计算，并将计算结果与用户的登录口令进行匹配，若合法则同意登录。由此得到变化的、不重复的动态口令，且无需用户经历

38、，一个口令只能使用一次，重复使用将被拒绝同意。例如，登录口令=MD5(用户名+密码+登录时刻)，系统接收到登录口令后做一次验算即可验证用户的合法性。选择不同的不确定因子作为输入参数，将构成不同方式的认证系统。目前要紧有三种认证方式：基于哈希链方式、同步方式和异步方式：(1) 基于哈希链方式：口令为单向的前后相关的序列，系统只用记录第N个口令，用户用第N-1个口令登录系统时，系统用单向算法算出第N个口令与系统保存的口令进行匹配，从而对用户的合法性进行推断。最早由玩Leslie LamPort于1981年提出，在初始化时期，用户选取一个口令pw和一个整数n，并依照单向哈希函数f计算y=fn（pw）

39、，把y和n的值存到服务器上。用户第i次登录时，用户端计算fn-i（pw)并发送给服务器，服务器取出保存的fn-i+1（pw），假如fn-i+1（pw）等于fn-i（pw)，则用户的身份合法，并用fn-i（pw)更新fn-i+1（pw），如此，用户每次登录到服务器端的口令都不相同。这种方案易于实现，且无须专门硬件的支持。但其安全性依靠于单向哈希函数f，不宜在分布式网络环境下使用；此外通过该方案进行身份认证的用户需要进行多次Hash运算，而且用户成功登录n次后需要重新初始化系统。(2) 同步认证方式：将时刻戳作为不确定因子，用户与系统约定相同的口令生成算法，用户需要访问系统时，将用户端依照当前时刻连同用户的秘密口令生成的动态口令传送到认证服务器。服务器通过当前时刻计算出所期望的输出值，对用户进行验证，假如相匹配，则登录成功。由于认证服务器和用户