计算机安全保密身份认证优质课件

计算机安全保密身份认证计算机安全保密身份认证第七章

身份认证7.1认证的基本原理7.2认证协议7.3典型的认证应用12/13/20222第七章

身份认证7.1认证的基本原理12/11/202227.1认证的基本原理1身份认证概述认证：是对网络中的主体进行验证的过程；认证过程中用户必须提供他是谁的证明。授权：身份认证的过程证明了一个对象的身份，进而决定授权赋予该对象的权利是什么。审计：基于日志，核查责任。12/13/202237.1认证的基本原理1身份认证概述12/11/202237.1认证的基本原理12/13/202247.1认证的基本原理12/11/202247.1认证的基本原理认证需要提供身份证明；认证与记账相关联；单向认证和双向认证。12/13/202257.1认证的基本原理认证需要提供身份证明；12/11/207.1认证的基本原理身份认证系统主要组成元件有三：认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。认证系统用户端软件认证设备：来产生或计算密码的软硬件设备。12/13/202267.1认证的基本原理身份认证系统主要组成元件有三：12/17.1认证的基本原理对身份认证系统进行攻击：数据窃听(Sniffer)拷贝/重传修改和伪造12/13/202277.1认证的基本原理对身份认证系统进行攻击：12/11/27.1认证的基本原理在计算机网络中，使用三种方法去验证主体身份：只有该主体了解的秘密，如口令，密钥；主体携带物品，如智能卡；只有该主体具有的特征或能力，如指纹，零知识认证。12/13/202287.1认证的基本原理在计算机网络中，使用三种方法去验证主体7.1认证的基本原理彩虹天地ikey12/13/202297.1认证的基本原理彩虹天地ikey12/11/202297.1认证的基本原理2口令机制账号+口令=身份认证账号代表网络系统中某人的身份；口令验证某人的身份。口令不坚固。12/13/2022107.1认证的基本原理2口令机制12/11/2022107.1认证的基本原理3智能卡(IC卡)1974年法国人RolandMorono发明IC卡。将具有存储、加密及数据处理能力的集成电路模块封装于信用卡大小的塑料片基中，便构成了智能(IC)卡。12/13/2022117.1认证的基本原理3智能卡(IC卡)12/11/2027.1认证的基本原理IC卡可分几种：非加密卡；加密卡；CPU卡；非接触型射频卡。IC卡标准：ISO781612/13/2022127.1认证的基本原理IC卡可分几种：12/11/202217.1认证的基本原理IC卡特点信息保存期：2-10年信息存储量：几千个字节保密性：高耐用性：擦写次数1万次以上灵活性:带有智能性被动的存储介质12/13/2022137.1认证的基本原理IC卡特点12/11/2022137.1认证的基本原理IC卡技术主要包括四个方面：芯片技术制卡技术相关设备技术应用系统集成技术。12/13/2022147.1认证的基本原理IC卡技术主要包括四个方面：12/117.1认证的基本原理IC卡芯片生产厂家德SIEMENS美Motorola、Atmel法Gemplus、Solatic、Schlumberger荷兰Philips12/13/2022157.1认证的基本原理IC卡芯片生产厂家12/11/20227.1认证的基本原理按安全级别分类:非加密存储卡逻辑加密存储卡CPU卡12/13/2022167.1认证的基本原理按安全级别分类:12/11/20221鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成鉴别码。使用TokenCard(硬件)计算一次性口令。(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。1974年法国人RolandMorono发明IC卡。1962年IBM做出第一台型号为7772的商用语音输出装置。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。基于事件同步认证技术是把变动的数字序列(事件序列)作为密码产生器的一个运算因子，与用户的私有密钥共同产生动态密码。再将随机字符串的值和单向函数运算结果存入主机。主体携带物品，如智能卡；用户从TGS处得到服务器票据Tickets主用户有最高的使用权限。登录DRMServer服务器。h()是哈希函数、R是随机数数据窃听(Sniffer)CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。此系统中用户每次登录系统时，都使用哈希链中不同的值；IC卡标准：ISO7816增加集合口令的数目，提高口令的字符个数。1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。对恶意或错误的身份认证限制检测次数。7.1认证的基本原理按与终端设备连接方式分类接触式：符合ISO标准的8个触点相连；非接触式卡；则通过光或无线电波完成与读写设备之间的通讯，目前的技术已可达到100mm的距离。12/13/202217鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成7.1认证的基本原理12/13/2022187.1认证的基本原理12/11/2022187.1认证的基本原理12/13/2022197.1认证的基本原理12/11/2022197.1认证的基本原理12/13/2022207.1认证的基本原理12/11/2022207.1认证的基本原理12/13/2022217.1认证的基本原理12/11/2022217.1认证的基本原理非加密存储卡当对卡中内容进行操作（读/写/擦除）时无需核对密码；12/13/2022227.1认证的基本原理非加密存储卡12/11/2022227.1认证的基本原理逻辑加密卡具有防止对卡中信息随意改写功能的存储IC卡；当对加密卡进行操作时必须首先核对卡中密码。IC卡核对密码方式与磁卡的不同，它是将密码送入卡中，当核对正确时卡中送出一串正确应答信号，然后才能进行下一步操作。12/13/2022237.1认证的基本原理逻辑加密卡12/11/2022237.1认证的基本原理逻辑加密卡一般加密卡均有一个错误计数器，每核对密码错误一次，计数器加1，如4次错误，卡片自动锁死不有再次使用。这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广和应用，尤其做为电子钱包、信息密码等十分适合。12/13/2022247.1认证的基本原理逻辑加密卡12/11/2022247.1认证的基本原理CPU卡CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。CPU卡除了有数据存储器(EEPROM)外，还有处理器、工作存储器(RAM)、程序存储器(ROM)等。12/13/2022257.1认证的基本原理CPU卡12/11/2022257.1认证的基本原理智能卡认证机制挑战/响应认证时间/同步认证事件/同步认证12/13/2022267.1认证的基本原理智能卡认证机制12/11/202226当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自己的身份A发送给服务器；R：进攻者单位时间内猜测不同口令次数美Motorola、Atmel在网络中，除Kerberos服务器外，其它都是危险区。1997年，GavinLowe提出Denning-Sacco协议的改进版。(6)远程用户拨号认证服务RADIUS认证协议1889年英国《自然》杂志发表了福尔茨医生的论文，指出一个人的指纹是终生不变而且是不可能更改的。用户可以根据数据交换窃取信息，并使用重发攻击服务器。文档内容本身的加密，用户与DRMServer通讯加密，数据库关键字段的加密；使用零知识证明技术，被认证方掌握某些秘密信息，想设法让认证方相信他确实掌握那些信息，但又不想让认证方知道那些秘密信息。ApabiDRMServer：采用DRM技术，通过加密、密钥管理、文档使用权限控制、硬件绑定管理等功能，对CEB文档进行安全保护。ApabiReader：用于用于Ceb文档的阅读，以及与ApabiDRMServer之间的通信获得对应的文档权限，控制文档的阅读、打印、打印份数等信息。属性认证技术把基于属性证书的授权方案和认证技术相结合，可解决完全分布式的网络环境中的身份认证与细粒度的权限分配问题。Schlumberger1997年Philips推出C/S解决方案SpeechMagic。身份认证系统主要组成元件有三：密钥分发中心(KDC)是可信任机构；KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]]Kc是基于用户密码的、只有用户和AS知道的密钥。控制使用者的截屏操作，防止截屏软件拷贝屏幕造成信息泄密；7.1认证的基本原理(1)挑战/响应认证12/13/202227当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自7.1认证的基本原理(2)时间/同步认证,需要服务器端与客户端时间同步。12/13/2022287.1认证的基本原理(2)时间/同步认证,需要服务器端与客7.1认证的基本原理(2)时间/同步认证,需要服务器端与客户端时间同步。12/13/2022297.1认证的基本原理(2)时间/同步认证,需要服务器端与客7.1认证的基本原理(3)事件同步认证，密码序列，动态密码。基于事件同步认证技术是把变动的数字序列(事件序列)作为密码产生器的一个运算因子，与用户的私有密钥共同产生动态密码。这里的同步是指每次认证时，认证服务器与密码卡保持相同的事件序列。12/13/2022307.1认证的基本原理(3)事件同步认证，密码序列，动态密码7.1认证的基本原理12/13/2022317.1认证的基本原理12/11/2022317.1认证的基本原理12/13/2022327.1认证的基本原理12/11/2022327.1认证的基本原理JAVA卡是一种可以运行JAVA程序的接触式微处理器IC卡，卡中运行的程序叫Applet。Applet可以动态装载到JAVA卡上。JAVA卡的API为IC卡制定了一个JAVA语言特殊子集。JAVA卡的出现使智能卡的编程变得既快又简单，其应用程序可以在任何支持JAVA卡API的IC卡上运行。12/13/2022337.1认证的基本原理JAVA卡是一种可以运行JAVA程序的7.1认证的基本原理4生物特征认证用于认证的生物特征应具有：普遍性唯一行稳定性易采集性可接受性12/13/2022347.1认证的基本原理4生物特征认证12/11/202237.1认证的基本原理应用生物特征是别身份的关键步骤：采集/特征提取编码/解码匹配认证12/13/2022357.1认证的基本原理应用生物特征是别身份的关键步骤：12/7.1认证的基本原理(1)指纹独特性稳定性方便性(2)掌纹(3)视网膜血管图12/13/2022367.1认证的基本原理(1)指纹12/11/202236这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广和应用，尤其做为电子钱包、信息密码等十分适合。(1)A->KDC：A欲与B通信，明文消息中含大随机数Ra；口令在许多情况下是明码形式。该系统已经包含有上下文检测功能。身份认证系统主要组成元件有三：(3)事件同步认证，密码序列，动态密码。只有该主体具有的特征或能力，如指纹，零知识认证。密钥分发中心(KDC)是可信任机构；1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。选择很难破译的加密算法,硬件解密技术。(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。主体携带物品，如智能卡；使用TokenCard(硬件)计算一次性口令。采用信息摘要，防止对电子文档内容和权限的篡改；认证需要提供身份证明；每个计算过程持续数分钟，大约能够识别五千个英文单词。Applet可以动态装载到JAVA卡上。防止重要电子文档的非授权扩散，且授权是可“召回”的；1686年马尔丕哥教授运用当时新发明的显微镜观察手指，发现指纹都是从手指顶端的圆环和螺旋线中引出来的；鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成鉴别码。7.1认证的基本原理(4)虹膜(5)面孔(6)声音(7)笔迹(8)红外温谱图(9)步态识别(10)DNA12/13/202237这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广7.1认证的基本原理四个月大的人类胎儿已经形成指纹；1686年马尔丕哥教授运用当时新发明的显微镜观察手指，发现指纹都是从手指顶端的圆环和螺旋线中引出来的；1858年英国驻印度的行政长官威廉赫胥尔要求居民不但要在契约上签字，还要按上指纹印。1877年廉赫胥尔把指纹作为鉴定和识别犯人的工具，并在自己管辖的省内推广；12/13/2022387.1认证的基本原理四个月大的人类胎儿已经形成指纹；12/7.1认证的基本原理1889年英国《自然》杂志发表了福尔茨医生的论文，指出一个人的指纹是终生不变而且是不可能更改的。1905年英国伦敦破获的一起凶杀案，被认为是世界上第一个用指纹来确定罪犯的案例，警视厅探员福克斯则是第一个运用指纹破案的人。12/13/2022397.1认证的基本原理1889年英国《自然》杂志发表了福尔茨7.1认证的基本原理指纹识别12/13/2022407.1认证的基本原理指纹识别12/11/2022407.1认证的基本原理Logware公司的i-LoqTM协议保证了指纹识别模块与硬盘控制器之间的通信安全性。使用128位Blowfish算法加密文件。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。12/13/2022417.1认证的基本原理Logware公司的i-LoqTM协议7.1认证的基本原理指纹处理匹配运算的全过程在“盘”上进行。一块盘只有一个主用户，主用户添加自己的指纹硬盘加锁。主用户可以添加、管理以及删除授权用户。其他用户在被授权后要添加自己的指纹。12/13/2022427.1认证的基本原理指纹处理匹配运算的全过程在“盘”上进行7.1认证的基本原理12/13/2022437.1认证的基本原理12/11/2022437.1认证的基本原理12/13/2022447.1认证的基本原理12/11/2022447.1认证的基本原理不依赖于操作系统、主板BIOS、应用程序和磁盘系统。断电或拔掉USB接口线后硬盘自动加锁。对恶意或错误的身份认证限制检测次数。使用专用屏幕保护，自动加锁硬盘。可对Email附件具有加密的功能。具有有效的备份机制和分区管理。主用户有最高的使用权限。12/13/2022457.1认证的基本原理不依赖于操作系统、主板BIOS、应用程7.1认证的基本原理12/13/2022467.1认证的基本原理12/11/202246此系统中用户每次登录系统时，都使用哈希链中不同的值；主体携带物品，如智能卡；增加集合口令的数目，提高口令的字符个数。Kerberos是古希腊神话里的一条多头狗。它们同时连结并维护一个中央数据库中的用户口令、标识等信息。认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。每个计算过程持续数分钟，大约能够识别五千个英文单词。(3)C请求服务器票据CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。S：所有可能口令的数目。Kerberos把身份认证工作集中于身份服务器。(1)C请求票据许可票据1984年第一套基于大型计算机的语音识别系统面世。当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自己的身份A发送给服务器；RemoteAuthenticationDialInUserService，RADIUS509还定义了基于使用公开密钥证书的可选认证协议。主用户有最高的使用权限。按与终端设备连接方式分类认证：是对网络中的主体进行验证的过程；(6)远程用户拨号认证服务RADIUS认证协议7.1认证的基本原理12/13/202247此系统中用户每次登录系统时，都使用哈希链中不同的值；7.17.1认证的基本原理12/13/2022487.1认证的基本原理12/11/2022487.1认证的基本原理12/13/2022497.1认证的基本原理12/11/2022497.1认证的基本原理12/13/2022507.1认证的基本原理12/11/20225012/13/20225112/11/2022517.1认证的基本原理眼部识别器12/13/2022527.1认证的基本原理眼部识别器12/11/2022527.1认证的基本原理每个人的血管排布格局都不同，测试“血管排布格局”，验证使用者的身份。12/13/2022537.1认证的基本原理每个人的血管排布格局都不同，测试“血管12/13/20225412/11/20225412/13/20225512/11/20225512/13/20225612/11/202256根据哈希函数的性质，窃听者无法根据截获到的hn-i+1(R)计算出h(hn-i(R))。增加口令强度，长度、混合、大小写认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。按与终端设备连接方式分类使用零知识证明技术，被认证方掌握某些秘密信息，想设法让认证方相信他确实掌握那些信息，但又不想让认证方知道那些秘密信息。防止重要电子文档的非授权扩散，且授权是可“召回”的；在本机对需要保密的文件加密授权,系统自动上传文件密钥、授权信息到DRMServer服务器。h()是哈希函数、R是随机数这里的同步是指每次认证时，认证服务器与密码卡保持相同的事件序列。KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]]口令猜中概率公式：P=L•R/S(2)KDC->A：使用KDC和A的共享密钥Ka加密消息：A与B的会话密钥Ks、Ra、B的名字、只有B看得懂的许可证Ekb[Ks||A]。在计算机网络中，使用三种方法去验证主体身份：用户可以访问特定的工作站并伪装成该工作站用户；1962年IBM做出第一台型号为7772的商用语音输出装置。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。不依赖于操作系统、主板BIOS、应用程序和磁盘系统。登录DRMServer服务器。增加口令强度，长度、混合、大小写Applet可以动态装载到JAVA卡上。12/13/202257根据哈希函数的性质，窃听者无法根据截获到的hn-i+1(R12/13/20225812/11/20225812/13/20225912/11/20225912/13/20226012/11/2022607.1认证的基本原理NTTDoCoMo开发出一种不需要发声的语音识别系统。演示中能地识别出研究人员口形发出的元音。12/13/2022617.1认证的基本原理NTTDoCoMo开发出一种不需要发语音识别的发展历史1962年IBM做出第一台型号为7772的商用语音输出装置。1984年第一套基于大型计算机的语音识别系统面世。每个计算过程持续数分钟，大约能够识别五千个英文单词。1986年Tangora4样机通过专用微处理器第一次在台式机上能够实时处理和编辑语言。该系统已经包含有上下文检测功能。1990年DragonSystems公司做出第一套美国版本的Dragon语音识别系统。12/13/202262语音识别的发展历史1962年IBM做出第一台型号为7772的语音识别的发展历史1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。1993年IBM做出售价为1000美元的纯粹PC机语音识别系统。Philips做出可进行连续语音识别的软件。1995年在CeBIT上IBM展示了一种带有医药学和法律学专业词汇的VoiceType语音识别系统。12/13/202263语音识别的发展历史1992年采用C/S模型的Tangora技语音识别的发展历史1997年Philips推出C/S解决方案SpeechMagic。Lernout&Hauspie公司开发出英文版的语音识别软件。1998年：IBM、Dragon、Lernout&Hauspie和Philips公司相继推出了它们产品的个人版本。12/13/202264语音识别的发展历史1997年Philips推出C/S解决方案7.2认证协议1基于口令的认证固定口令一次性口令口令在许多情况下是明码形式。12/13/2022657.2认证协议1基于口令的认证12/11/2022657.2认证协议针对固定口令攻击：网络数据流窃听认证信息截取/重放字典攻击穷举攻击窥探社交工程垃圾搜索12/13/2022667.2认证协议针对固定口令攻击：12/11/2022667.2认证协议口令猜中概率公式：P=L•R/SL：口令生命周期R：进攻者单位时间内猜测不同口令次数S：所有可能口令的数目。12/13/2022677.2认证协议口令猜中概率公式：P=L•R/S12/117.2认证协议为降低猜中的概率：缩短口令使用寿命;降低进攻者单位时间内猜测尝试口令的次数;增加集合口令的数目，提高口令的字符个数。12/13/2022687.2认证协议为降低猜中的概率：12/11/2022687.2认证协议安全口令：位数〉6位增加口令强度，长度、混合、大小写把数字无序地加在字母中间使用非常用符号选择很难破译的加密算法,硬件解密技术。限制口令尝试次数。系统中只保存口令的加密形式。12/13/2022697.2认证协议安全口令：12/11/2022697.2认证协议对口令需要：审计管理找出弱口令控制弱口令12/13/2022707.2认证协议对口令需要：12/11/2022707.2认证协议基于口令的认证：基于单向函数，系统内只存放单向函数的值，不存储口令。掺杂口令：用一随机字符串与口令连接，再用单向函数计算。再将随机字符串的值和单向函数运算结果存入主机。SKEY，一次性口令。12/13/2022717.2认证协议基于口令的认证：12/11/2022717.2认证协议一次性口令(OTP：OneTimePassword)在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以对付重放攻击。进行口令认证的双方共同拥有一串随机口令，在该串的某一位置保持同步，适用于人工控制环境中。进行口令认证的双方共同使用一个随机序列生成器，使用相同的“种子”，保持同步。进行口令认证的双方维持时钟同步，使用时间戳。12/13/2022727.2认证协议一次性口令(OTP：OneTimePas7.2认证协议一次性口令的生成方式：使用TokenCard(硬件)计算一次性口令。使用挑战/回答方式时，该卡配有数字按键，输入挑战值；使用时间同步方式时，该卡每隔一段时间就重新计算口令；卡上还可带有PIN码保护装置。SoftToken(软件)，某些软件能够限定用户登录的地点。12/13/2022737.2认证协议一次性口令的生成方式：12/11/202277.2认证协议增加基于口令认证的安全性：利用时延；使用“生僻”口令；避免暴露无效用户；一次性口令。12/13/2022747.2认证协议增加基于口令认证的安全性：12/11/2027.2认证协议2基于对称密码的认证1978年，Needham和Schroeder双向身份认证。密钥分发中心(KDC)是可信任机构；12/13/2022757.2认证协议2基于对称密码的认证12/11/202277.2认证协议(1)A->KDC：A欲与B通信，明文消息中含大随机数Ra；A->KDC：A||B||Ra(2)KDC->A：使用KDC和A的共享密钥Ka加密消息：A与B的会话密钥Ks、Ra、B的名字、只有B看得懂的许可证Ekb[Ks||A]。Kb是KDC与B的共享密钥。KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]](3)A->B：发许可证Ekb[Ks||A]12/13/2022767.2认证协议(1)A->KDC：A欲与B通信，明文消KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]]用户可以访问特定的工作站并伪装成该工作站用户；SKEY，一次性口令。在网络中，除Kerberos服务器外，其它都是危险区。RemoteAuthenticationDialInUserService，RADIUS用户可以改动工作站的网络地址伪装成该其它工作站；应用生物特征是别身份的关键步骤：Applet可以动态装载到JAVA卡上。Kc是基于用户密码的、只有用户和AS知道的密钥。Philips做出可进行连续语音识别的软件。主用户有最高的使用权限。文档内容本身的加密，用户与DRMServer通讯加密，数据库关键字段的加密；1978年Needham和Schroeder公开密钥认证协议；把数字无序地加在字母中间在网络中，除Kerberos服务器外，其它都是危险区。信息保存期：2-10年认证需要提供身份证明；(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。设定文档的有效访问时间，可以“召回”某些人的权限。CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。7.2认证协议(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。B->A：Eks[Rb](5)A->B：Eks[Rb-1]；之后，A、B开始使用Ks加密通信。12/13/202277KDC->A：Eka[Ra||B||Ks||Ekb[Ks|7.2认证协议2基于对称密码的认证12/13/2022787.2认证协议2基于对称密码的认证12/11/202277.2认证协议1987年修正了安全漏洞，防止重放攻击，加入了时间戳。1997年，GavinLowe提出Denning-Sacco协议的改进版。12/13/2022797.2认证协议1987年修正了安全漏洞，防止重放攻击，加入7.2认证协议3基于公钥密码的认证双方已知对方公钥ISO认证的基本步骤；1978年Needham和Schroeder公开密钥认证协议；不知对方公钥，借助第三方公钥库。Denning-Sacco认证12/13/2022807.2认证协议3基于公钥密码的认证12/11/202287.2认证协议4零知识身份认证如不传输信息也能证明身份，就需要零知识证明技术(Theproofofzeroknowledge)。使用零知识证明技术，被认证方掌握某些秘密信息，想设法让认证方相信他确实掌握那些信息，但又不想让认证方知道那些秘密信息。12/13/2022817.2认证协议4零知识身份认证12/11/2022817.2认证协议解释零知识证明的洞穴问：有一个洞，设P知道咒语，可打开C和D之间的秘密门，不知道者都将走入死胡同中，那么P如何向V出示证明、使V相信P知道这个秘密，但又不告诉V有关咒语。12/13/2022827.2认证协议解释零知识证明的洞穴问：12/11/20227.2认证协议12/13/2022837.2认证协议12/11/2022837.2认证协议(5)基于哈希链技术的身份认证Lamport于1981年提出了利用传统的单向哈希函数实现类似于公钥密码系统的认证机制，在该协议中利用一串单向哈希函数形成哈希链。哈希链具有如下形式：h0(R)、h1(R)、h2(R)……hn-1(R)、hn(R)h()是哈希函数、R是随机数h0(R)=Rhi(R)=h(hi-1(R))，1≤i≤n。12/13/2022847.2认证协议(5)基于哈希链技术的身份认证12/11/27.2认证协议身份认证系统中，A在自己的终端上生成随机数R，随后生成哈希链；A将hn(R)作为公钥存放在服务器端。当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自己的身份A发送给服务器；服务器根据A的身份从数据库中取出hn-i+1(R)，并比较与h(hn-i(R))是否相同。对于合法用户用hn-i(R)更新数据库中的hn-i+1(R)。12/13/2022857.2认证协议身份认证系统中，A在自己的终端上生成随机数R7.2认证协议此系统中用户每次登录系统时，都使用哈希链中不同的值；根据哈希函数的性质，窃听者无法根据截获到的hn-i+1(R)计算出h(hn-i(R))。服务器端的人员也无法假冒A登录到服务器上使用服务器提供的服务。12/13/2022867.2认证协议此系统中用户每次登录系统时，都使用哈希链中不7.2认证协议(6)远程用户拨号认证服务RADIUS认证协议RemoteAuthenticationDialInUserService，RADIUSRADIUS协议是由朗讯(Lucent)实验室开发的基于C/S模式的拨号用户身份认证协议，定义了网络访问服务器NAS和集中存放认证信息的RADIUS服务器之间传输认证、授权和配置信息的标准。12/13/2022877.2认证协议(6)远程用户拨号认证服务RADIUS认证协7.2认证协议RADIUS服务器为网络接入服务的服务器(NAS)提供集中的认证服务，该系统中NAS作为客户端请求RADIUS服务器对接入用户进行认证。认证过程中，拨号用户传送用户名和口令等认证信息到接入服务器，接入服务器把用户的用户名和口令、访问端口等信息作为“接入请求”发送到RADIUS服务器，其中用户口令使用对称密钥算法加密。12/13/2022887.2认证协议RADIUS服务器为网络接入服务的服务器(N7.2认证协议RADIUS服务器通过接入服务器的ID，端口号等信息来验证接入服务器及用户的合法性。必要时采用挑战/应答方式进一步要求用户进行认证。RADIUS支持代理功能和漫游功能。代理功能可以提供RADIUS认证和计费数据包的转发功能。通过代理功能用户可以漫游到别的RADIUS服务器进行认证。12/13/2022897.2认证协议RADIUS服务器通过接入服务器的ID，端口认证技术的发展趋势1.生物认证2.多因素认证有效地结合各种单因素认证技术，可以达到最佳的投入产出比。目前应用例子有：基于Web的口令认证与手机短信确认相结合双因素认证。多种生物特征的多数据融合与识别技术也将是未来的研究方向。12/13/202290认证技术的发展趋势1.生物认证12/11/202290认证技术的发展趋势3.属性认证把认证技术与访问授权相结合，可有效地实现用户身份认证和权限的管理与分配。属性认证技术把基于属性证书的授权方案和认证技术相结合，可解决完全分布式的网络环境中的身份认证与细粒度的权限分配问题。12/13/202291认证技术的发展趋势3.属性认证12/11/2022917.3典型的认证应用1Kerberos认证Kerberos是古希腊神话里的一条多头狗。Kerberos提供了一种在开放网络环境下进行身份认证的方法。假设在网络环境中存在3种威胁：用户可以访问特定的工作站并伪装成该工作站用户；用户可以改动工作站的网络地址伪装成该其它工作站；用户可以根据数据交换窃取信息，并使用重发攻击服务器。12/13/2022927.3典型的认证应用1Kerberos认证12/11/27.3典型的认证应用Kerberos认证身份不依赖于主机操作系统的认证、不信任主机地址、不要求网络中的主机保障物理上的安全。在网络中，除Kerberos服务器外，其它都是危险区。Kerberos把身份认证工作集中于身份服务器。12/13/2022937.3典型的认证应用Kerberos认证身份不依赖于主机操7.3典型的认证应用Kerberos认证服务由两个独立服务器完成：认证服务器AS票据服务器TGS它们同时连结并维护一个中央数据库中的用户口令、标识等信息。12/13/2022947.3典型的认证应用Kerberos认证服务由两个独立服务7.3典型的认证应用Kerberos由四部分组成：认证服务器AS票据服务器TGS客户Client服务器ServerKerberos使用两种凭证,它们使用不同的私钥加密：票据(Ticket)鉴别码(Authentication)12/13/2022957.3典型的认证应用Kerberos由四部分组成：12/17.3典型的认证应用12/13/2022967.3典型的认证应用12/11/2022967.3典型的认证应用12/13/2022977.3典型的认证应用12/11/2022977.3典型的认证应用票据(Ticket)用于安全地在认证服务器和用户服务器之间传递用户身份信息，也传递附加信息来保证Ticket用户必须是Ticket中制定的用户。Ticket生成后可以多次使用。鉴别码(Authentication)提供信息与Ticket中的信息进行比较，一起保证用户就是Ticket制定的用户。鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成鉴别码。12/13/2022987.3典型的认证应用票据(Ticket)用于安全地在认证服7.3典型的认证应用(1)C请求票据许可票据用户登录服务器认证服务器AS：用户名、票据服务器TGS名、时间戳。12/13/2022997.3典型的认证应用(1)C请求票据许可票据12/11/27.3典型的认证应用(2)AS发放票据许可证和会话密钥用户会话密钥是用户与TGS之间的密钥KC,tgs创建一个票据许可票据TickettgsTickettgs包括：用户名、TGS服务名、用户地址、当前时间、有效时间、会话密钥KC,TGS，并使用Ktgs加密；Kc是基于用户密码的、只有用户和AS知道的密钥。12/13/20221007.3典型的认证应用(2)AS发放票据许可证和会话密钥用7.3典型的认证应用12/13/20221017.3典型的认证应用12/11/20221017.3典型的认证应用(3)C请求服务器票据用户从TGS处得到服务器票据TicketsCTGS:IDs||Tickettgs||Authenticationc这里:Tickettgs=Ektgs[kc,tgs||IDC||ADC||IDTGS||Lifetime2]Authenticationc=Ekc,tgs[IDC||ADC||IDTGS||TS3]12/13/20221027.3典型的认证应用(3)C请求服务器票据12/11/207.3典型的认证应用(4)TGS发放服务器票据和会话密钥TGS得到请求后用私有密钥ktgs和会话密钥kc,tgs解密Tickettgs和Authenticationc，从而确定用户身份后，生成C和S间的会话密钥Ktc,s，并生成C申请得到S服务的票据Tickets，包括C和S间的会话密钥，并发给用户。12/13/20221037.3典型的认证应用(4)TGS发放服务器票据和会话密钥17.3典型的认证应用(5)C请求服务C向S发送Tickets和Authenticationc其中包含会话密钥12/13/20221047.3典型的认证应用(5)C请求服务12/11/202217.3典型的认证应用12/13/20221057.3典型的认证应用12/11/20221057.3典型的认证应用2X.509认证X.509还定义了基于使用公开密钥证书的可选认证协议。X.509认证可分为：一路单向认证二路双向认证三路双向认证12/13/20221067.3典型的认证应用2X.509认证12/11/2022方正Apabi文档防扩散解决方案防止重要电子文档的非授权扩散，且授权是可“召回”的；为电子文档的泄密提供了追查依据。适用于共享、e-mail附件、网站发布等文档管理方式，同一文档对不同人的使用权限不同，体现管理层次；为机密电子文档的管理提供了一套有效的管理办法，解决了信息系统使用方便性和安全可控的难点。12/13/2022107方正Apabi文档防扩散解决方案防止重要电子文档的非授权扩散方正Apabi文档防扩散解决方案ApabiMaker：把DOC、WPS、PDF、EPS、TIFF、Autocad、S2、PS2、PS等格式的文件转换为用于发布的Ceb文件，并完全保持原文的版式，Ceb文件可防篡改；ApabiDRMServer：采用DRM技术，通过加密、密钥管理、文档使用权限控制、硬件绑定管理等功能，对CEB文档进行安全保护。ApabiReader：用于用于Ceb文档的阅读，以及与ApabiDRMServer之间的通信获得对应的文档权限，控制文档的阅读、打印、打印份数等信息。可嵌入IE中使用。12/13/2022108方正Apabi文档防扩散解决方案ApabiMaker：把D方正Apabi文档防扩散解决方案12/13/2022109方正Apabi文档防扩散解决方案12/11/2022109方正Apabi文档防扩散解决方案12/13/2022110方正Apabi文档防扩散解决方案12/11/2022110方正Apabi文档防扩散解决方案12/13/2022111方正Apabi文档防扩散解决方案12/11/2022111方正Apabi文档防扩散解决方案使用流程：使用流程分为：加密、授权、发送、使用这几个环节。文档作者:1.登录DRMServer服务器。2.在本机对需要保密的文件加密授权,系统自动上传文件密钥、授权信息到DRMServer服务器。3.共享/发布该文件。12/13/2022112方正Apabi文档防扩散解决方案使用流程：12/11/202方正Apabi文档防扩散解决方案文档使用者:1.获得经过授权的文件；2.打开文件，输入用户名和密码；3.与DRMServer进行身份和权限验证，验证通过则可以正常打开文件，否则没有权限打开；4.打开文件，ApabiReader根据授权信息控制使用者的操作权限；5.操作记录自动上传回DRMServer；12/13/2022113方正Apabi文档防扩散解决方案文档使用者:12/11/2方正Apabi文档防扩散解决方案12/13/2022114方正Apabi文档防扩散解决方案12/11/2022114方正Apabi文档防扩散解决方案文档内容本身的加密，用户与DRMServer通讯加密，数据库关键字段的加密；采用192位的对称加密算法。权限可控。不同的人对同一文档有不同的使用权限；设定文档的有效访问时间，可以“召回”某些人的权限。控制使用者的截屏操作，防止截屏软件拷贝屏幕造成信息泄密；12/13/2022115方正Apabi文档防扩散解决方案文档内容本身的加密，用户与D方正Apabi文档防扩散解决方案身份认证。支持PKI体系，采用用户名、密码、机器绑定等综合信息进行认证，文档只能被合法的用户打开，防止二次传播；采用信息摘要，防止对电子文档内容和权限的篡改；文档的使用过程追踪。记录受保护文档的使用情况，文档在何时、被何人、在那台机器上、做了何种操作，追踪非法访问记录。为泄密事情提供追查依据；12/13/2022116方正Apabi文档防扩散解决方案身份认证。支持PKI体系，采谢谢观看！谢谢观看！计算机安全保密身份认证计算机安全保密身份认证第七章

身份认证7.1认证的基本原理7.2认证协议7.3典型的认证应用12/13/2022119第七章

身份认证7.1认证的基本原理12/11/202227.1认证的基本原理1身份认证概述认证：是对网络中的主体进行验证的过程；认证过程中用户必须提供他是谁的证明。授权：身份认证的过程证明了一个对象的身份，进而决定授权赋予该对象的权利是什么。审计：基于日志，核查责任。12/13/20221207.1认证的基本原理1身份认证概述12/11/202237.1认证的基本原理12/13/20221217.1认证的基本原理12/11/202247.1认证的基本原理认证需要提供身份证明；认证与记账相关联；单向认证和双向认证。12/13/20221227.1认证的基本原理认证需要提供身份证明；12/11/207.1认证的基本原理身份认证系统主要组成元件有三：认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。认证系统用户端软件认证设备：来产生或计算密码的软硬件设备。12/13/20221237.1认证的基本原理身份认证系统主要组成元件有三：12/17.1认证的基本原理对身份认证系统进行攻击：数据窃听(Sniffer)拷贝/重传修改和伪造12/13/20221247.1认证的基本原理对身份认证系统进行攻击：12/11/27.1认证的基本原理在计算机网络中，使用三种方法去验证主体身份：只有该主体了解的秘密，如口令，密钥；主体携带物品，如智能卡；只有该主体具有的特征或能力，如指纹，零知识认证。12/13/20221257.1认证的基本原理在计算机网络中，使用三种方法去验证主体7.1认证的基本原理彩虹天地ikey12/13/20221267.1认证的基本原理彩虹天地ikey12/11/202297.1认证的基本原理2口令机制账号+口令=身份认证账号代表网络系统中某人的身份；口令验证某人的身份。口令不坚固。12/13/20221277.1认证的基本原理2口令机制12/11/2022107.1认证的基本原理3智能卡(IC卡)1974年法国人RolandMorono发明IC卡。将具有存储、加密及数据处理能力的集成电路模块封装于信用卡大小的塑料片基中，便构成了智能(IC)卡。12/13/20221287.1认证的基本原理3智能卡(IC卡)12/11/2027.1认证的基本原理IC卡可分几种：非加密卡；加密卡；CPU卡；非接触型射频卡。IC卡标准：ISO781612/13/20221297.1认证的基本原理IC卡可分几种：12/11/202217.1认证的基本原理IC卡特点信息保存期：2-10年信息存储量：几千个字节保密性：高耐用性：擦写次数1万次以上灵活性:带有智能性被动的存储介质12/13/20221307.1认证的基本原理IC卡特点12/11/2022137.1认证的基本原理IC卡技术主要包括四个方面：芯片技术制卡技术相关设备技术应用系统集成技术。12/13/20221317.1认证的基本原理IC卡技术主要包括四个方面：12/117.1认证的基本原理IC卡芯片生产厂家德SIEMENS美Motorola、Atmel法Gemplus、Solatic、Schlumberger荷兰Philips12/13/20221327.1认证的基本原理IC卡芯片生产厂家12/11/20227.1认证的基本原理按安全级别分类:非加密存储卡逻辑加密存储卡CPU卡12/13/20221337.1认证的基本原理按安全级别分类:12/11/20221鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成鉴别码。使用TokenCard(硬件)计算一次性口令。(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。1974年法国人RolandMorono发明IC卡。1962年IBM做出第一台型号为7772的商用语音输出装置。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。基于事件同步认证技术是把变动的数字序列(事件序列)作为密码产生器的一个运算因子，与用户的私有密钥共同产生动态密码。再将随机字符串的值和单向函数运算结果存入主机。主体携带物品，如智能卡；用户从TGS处得到服务器票据Tickets主用户有最高的使用权限。登录DRMServer服务器。h()是哈希函数、R是随机数数据窃听(Sniffer)CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。此系统中用户每次登录系统时，都使用哈希链中不同的值；IC卡标准：ISO7816增加集合口令的数目，提高口令的字符个数。1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。对恶意或错误的身份认证限制检测次数。7.1认证的基本原理按与终端设备连接方式分类接触式：符合ISO标准的8个触点相连；非接触式卡；则通过光或无线电波完成与读写设备之间的通讯，目前的技术已可达到100mm的距离。12/13/2022134鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成7.1认证的基本原理12/13/20221357.1认证的基本原理12/11/2022187.1认证的基本原理12/13/20221367.1认证的基本原理12/11/2022197.1认证的基本原理12/13/20221377.1认证的基本原理12/11/2022207.1认证的基本原理12/13/20221387.1认证的基本原理12/11/2022217.1认证的基本原理非加密存储卡当对卡中内容进行操作（读/写/擦除）时无需核对密码；12/13/20221397.1认证的基本原理非加密存储卡12/11/2022227.1认证的基本原理逻辑加密卡具有防止对卡中信息随意改写功能的存储IC卡；当对加密卡进行操作时必须首先核对卡中密码。IC卡核对密码方式与磁卡的不同，它是将密码送入卡中，当核对正确时卡中送出一串正确应答信号，然后才能进行下一步操作。12/13/20221407.1认证的基本原理逻辑加密卡12/11/2022237.1认证的基本原理逻辑加密卡一般加密卡均有一个错误计数器，每核对密码错误一次，计数器加1，如4次错误，卡片自动锁死不有再次使用。这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广和应用，尤其做为电子钱包、信息密码等十分适合。12/13/20221417.1认证的基本原理逻辑加密卡12/11/2022247.1认证的基本原理CPU卡CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。CPU卡除了有数据存储器(EEPROM)外，还有处理器、工作存储器(RAM)、程序存储器(ROM)等。12/13/20221427.1认证的基本原理CPU卡12/11/2022257.1认证的基本原理智能卡认证机制挑战/响应认证时间/同步认证事件/同步认证12/13/20221437.1认证的基本原理智能卡认证机制12/11/202226当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自己的身份A发送给服务器；R：进攻者单位时间内猜测不同口令次数美Motorola、Atmel在网络中，除Kerberos服务器外，其它都是危险区。1997年，GavinLowe提出Denning-Sacco协议的改进版。(6)远程用户拨号认证服务RADIUS认证协议1889年英国《自然》杂志发表了福尔茨医生的论文，指出一个人的指纹是终生不变而且是不可能更改的。用户可以根据数据交换窃取信息，并使用重发攻击服务器。文档内容本身的加密，用户与DRMServer通讯加密，数据库关键字段的加密；使用零知识证明技术，被认证方掌握某些秘密信息，想设法让认证方相信他确实掌握那些信息，但又不想让认证方知道那些秘密信息。ApabiDRMServer：采用DRM技术，通过加密、密钥管理、文档使用权限控制、硬件绑定管理等功能，对CEB文档进行安全保护。ApabiReader：用于用于Ceb文档的阅读，以及与ApabiDRMServer之间的通信获得对应的文档权限，控制文档的阅读、打印、打印份数等信息。属性认证技术把基于属性证书的授权方案和认证技术相结合，可解决完全分布式的网络环境中的身份认证与细粒度的权限分配问题。Schlumberger1997年Philips推出C/S解决方案SpeechMagic。身份认证系统主要组成元件有三：密钥分发中心(KDC)是可信任机构；KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]]Kc是基于用户密码的、只有用户和AS知道的密钥。控制使用者的截屏操作，防止截屏软件拷贝屏幕造成信息泄密；7.1认证的基本原理(1)挑战/响应认证12/13/2022144当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自7.1认证的基本原理(2)时间/同步认证,需要服务器端与客户端时间同步。12/13/20221457.1认证的基本原理(2)时间/同步认证,需要服务器端与客7.1认证的基本原理(2)时间/同步认证,需要服务器端与客户端时间同步。12/13/20221467.1认证的基本原理(2)时间/同步认证,需要服务器端与客7.1认证的基本原理(3)事件同步认证，密码序列，动态密码。基于事件同步认证技术是把变动的数字序列(事件序列)作为密码产生器的一个运算因子，与用户的私有密钥共同产生动态密码。这里的同步是指每次认证时，认证服务器与密码卡保持相同的事件序列。12/13/20221477.1认证的基本原理(3)事件同步认证，密码序列，动态密码7.1认证的基本原理12/13/20221487.1认证的基本原理12/11/2022317.1认证的基本原理12/13/20221497.1认证的基本原理12/11/2022327.1认证的基本原理JAVA卡是一种可以运行JAVA程序的接触式微处理器IC卡，卡中运行的程序叫Applet。Applet可以动态装载到JAVA卡上。JAVA卡的API为IC卡制定了一个JAVA语言特殊子集。JAVA卡的出现使智能卡的编程变得既快又简单，其应用程序可以在任何支持JAVA卡API的IC卡上运行。12/13/20221507.1认证的基本原理JAVA卡是一种可以运行JAVA程序的7.1认证的基本原理4生物特征认证用于认证的生物特征应具有：普遍性唯一行稳定性易采集性可接受性12/13/20221517.1认证的基本原理4生物特征认证12/11/202237.1认证的基本原理应用生物特征是别身份的关键步骤：采集/特征提取编码/解码匹配认证12/13/20221527.1认证的基本原理应用生物特征是别身份的关键步骤：12/7.1认证的基本原理(1)指纹独特性稳定性方便性(2)掌纹(3)视网膜血管图12/13/20221537.1认证的基本原理(1)指纹12/11/202236这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广和应用，尤其做为电子钱包、信息密码等十分适合。(1)A->KDC：A欲与B通信，明文消息中含大随机数Ra；口令在许多情况下是明码形式。该系统已经包含有上下文检测功能。身份认证系统主要组成元件有三：(3)事件同步认证，密码序列，动态密码。只有该主体具有的特征或能力，如指纹，零知识认证。密钥分发中心(KDC)是可信任机构；1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。选择很难破译的加密算法,硬件解密技术。(4)B->A：B解密许可证得到与A的会话密钥匙Ks，再产生一个随机数Rb，将Eks[Rb]发给A。主体携带物品，如智能卡；使用TokenCard(硬件)计算一次性口令。采用信息摘要，防止对电子文档内容和权限的篡改；认证需要提供身份证明；每个计算过程持续数分钟，大约能够识别五千个英文单词。Applet可以动态装载到JAVA卡上。防止重要电子文档的非授权扩散，且授权是可“召回”的；1686年马尔丕哥教授运用当时新发明的显微镜观察手指，发现指纹都是从手指顶端的圆环和螺旋线中引出来的；鉴别码只在一次服务中使用，当客户向服务器申请服务时，重新生成鉴别码。7.1认证的基本原理(4)虹膜(5)面孔(6)声音(7)笔迹(8)红外温谱图(9)步态识别(10)DNA12/13/2022154这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广7.1认证的基本原理四个月大的人类胎儿已经形成指纹；1686年马尔丕哥教授运用当时新发明的显微镜观察手指，发现指纹都是从手指顶端的圆环和螺旋线中引出来的；1858年英国驻印度的行政长官威廉赫胥尔要求居民不但要在契约上签字，还要按上指纹印。1877年廉赫胥尔把指纹作为鉴定和识别犯人的工具，并在自己管辖的省内推广；12/13/20221557.1认证的基本原理四个月大的人类胎儿已经形成指纹；12/7.1认证的基本原理1889年英国《自然》杂志发表了福尔茨医生的论文，指出一个人的指纹是终生不变而且是不可能更改的。1905年英国伦敦破获的一起凶杀案，被认为是世界上第一个用指纹来确定罪犯的案例，警视厅探员福克斯则是第一个运用指纹破案的人。12/13/20221567.1认证的基本原理1889年英国《自然》杂志发表了福尔茨7.1认证的基本原理指纹识别12/13/20221577.1认证的基本原理指纹识别12/11/2022407.1认证的基本原理Logware公司的i-LoqTM协议保证了指纹识别模块与硬盘控制器之间的通信安全性。使用128位Blowfish算法加密文件。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。12/13/20221587.1认证的基本原理Logware公司的i-LoqTM协议7.1认证的基本原理指纹处理匹配运算的全过程在“盘”上进行。一块盘只有一个主用户，主用户添加自己的指纹硬盘加锁。主用户可以添加、管理以及删除授权用户。其他用户在被授权后要添加自己的指纹。12/13/20221597.1认证的基本原理指纹处理匹配运算的全过程在“盘”上进行7.1认证的基本原理12/13/20221607.1认证的基本原理12/11/2022437.1认证的基本原理12/13/20221617.1认证的基本原理12/11/2022447.1认证的基本原理不依赖于操作系统、主板BIOS、应用程序和磁盘系统。断电或拔掉USB接口线后硬盘自动加锁。对恶意或错误的身份认证限制检测次数。使用专用屏幕保护，自动加锁硬盘。可对Email附件具有加密的功能。具有有效的备份机制和分区管理。主用户有最高的使用权限。12/13/20221627.1认证的基本原理不依赖于操作系统、主板BIOS、应用程7.1认证的基本原理12/13/20221637.1认证的基本原理12/11/202246此系统中用户每次登录系统时，都使用哈希链中不同的值；主体携带物品，如智能卡；增加集合口令的数目，提高口令的字符个数。Kerberos是古希腊神话里的一条多头狗。它们同时连结并维护一个中央数据库中的用户口令、标识等信息。认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。每个计算过程持续数分钟，大约能够识别五千个英文单词。(3)C请求服务器票据CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。S：所有可能口令的数目。Kerberos把身份认证工作集中于身份服务器。(1)C请求票据许可票据1984年第一套基于大型计算机的语音识别系统面世。当用户第i次登录时(1≤i≤n)，用户A将hn-i(R)与自己的身份A发送给服务器；RemoteAuthenticationDialInUserService，RADIUS509还定义了基于使用公开密钥证书的可选认证协议。主用户有最高的使用权限。按与终端设备连接方式分类认证：是对网络中的主体进行验证的过程；(6)远程用户拨号认证服务RADIUS认证协议7.1认证的基本原理12/13/2022164此系统中用户每次登录系统时，都使用哈希链中不同的值；7.17.1认证的基本原理12/13/20221657.1认证的基本原理12/11/2022487.1认证的基本原理12/13/20221667.1认证的基本原理12/11/2022497.1认证的基本原理12/13/20221677.1认证的基本原理12/11/20225012/13/202216812/11/2022517.1认证的基本原理眼部识别器12/13/20221697.1认证的基本原理眼部识别器12/11/2022527.1认证的基本原理每个人的血管排布格局都不同，测试“血管排布格局”，验证使用者的身份。12/13/20221707.1认证的基本原理每个人的血管排布格局都不同，测试“血管12/13/202217112/11/20225412/13/202217212/11/20225512/13/202217312/11/202256根据哈希函数的性质，窃听者无法根据截获到的hn-i+1(R)计算出h(hn-i(R))。增加口令强度，长度、混合、大小写认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。按与终端设备连接方式分类使用零知识证明技术，被认证方掌握某些秘密信息，想设法让认证方相信他确实掌握那些信息，但又不想让认证方知道那些秘密信息。防止重要电子文档的非授权扩散，且授权是可“召回”的；在本机对需要保密的文件加密授权,系统自动上传文件密钥、授权信息到DRMServer服务器。h()是哈希函数、R是随机数这里的同步是指每次认证时，认证服务器与密码卡保持相同的事件序列。KDC->A：Eka[Ra||B||Ks||Ekb[Ks||A]]口令猜中概率公式：P=L•R/S(2)KDC->A：使用KDC和A的共享密钥Ka加密消息：A与B的会话密钥Ks、Ra、B的名字、只有B看得懂的许可证Ekb[Ks||A]。在计算机网络中，使用三种方法去验证主体身份：用户可以访问特定的工作站并伪装成该工作站用户；1962年IBM做出第一台型号为7772的商用语音输出装置。该硬盘与所有病毒防范软件、后备公用程序及分区管理软件等兼容。不依赖于操作系统、主板BIOS、应用程序和磁盘系统。登录DRMServer服务器。增加口令强度，长度、混合、大小写Applet可以动态装载到JAVA卡上。12/13/2022174根据哈希函数的性质，窃听者无法根据截获到的hn-i+1(R12/13/202217512/11/20225812/13/202217612/11/20225912/13/202217712/11/2022607.1认证的基本原理NTTDoCoMo开发出一种不需要发声的语音识别系统。演示中能地识别出研究人员口形发出的元音。12/13/20221787.1认证的基本原理NTTDoCoMo开发出一种不需要发语音识别的发展历史1962年IBM做出第一台型号为7772的商用语音输出装置。1984年第一套基于大型计算机的语音识别系统面世。每个计算过程持续数分钟，大约能够识别五千个英文单词。1986年Tangora4样机通过专用微处理器第一次在台式机上能够实时处理和编辑语言。该系统已经包含有上下文检测功能。1990年DragonSystems公司做出第一套美国版本的Dragon语音识别系统。12/13/2022179语音识别的发展历史1962年IBM做出第一台型号为7772的语音识别的发展历史1992年采用C/S模型的Tangora技术，使用AIX操作系统的IBMRS/6000系统，在OS/2工作站上进行语音输入。1993年IBM做出售价为1000美元的纯粹PC机语音识别系统。Philips做出可进行连续语音识别的软件。1995年在CeBIT上IBM展示了一种带有医药学和法律学专业词汇的VoiceType语音识别系统。12/13/2022180语音识别的发展历史1992年采用C/S模型的Tangora技语音识别的发展历史1997年Philips推出C/S解决方案SpeechMagic。Lernout&Hauspie公司开发出英文版的语音识别软件。1998年：IBM、Dragon、Lernout&Hauspie和Philips公司相继推出了它们产品的个人版本。12/13/2022181语音识别的发展历史1997年Philips推出C/S解决方案7.2认证协议1基于口令的认证固定口令一次性口令口令在许多情况下是明码形式。12/13/20221827.2认证协议1基于口