第三章 认证技术

生物统计特征识别技术的性能对比
较成熟的生物识别技术简介
（一）指纹识别技术
指纹识别技术主要涉及四个功能：读取指纹图像、提取特征数 据、保存特征数据和特征数据的比对。 1、指纹识别的原理和方法 自动指纹识别技术的发展得益于现代电子集成制造技术和快速 而可靠的算法研究。指纹识别流程如图所示：
较成熟的生物识别技术简介 2、利用指纹识别技术的应用系统分类
同时使用两种依据的认证叫做双因素（Twofactor）认证方式
常见的身份认证技术
(1) 基于口令的身份认证
口令（也成为密码）：
用户与计算机之间以及计算机与计算机之间共享的一 个秘密，在通信过程中其中一方向另一方提交口令，表示 自己知道秘密，从而通过另一方的认证。
静态口令：
• 用户名 + 密码
可信赖者TP 鉴别信息
声称者P
验证者V
身份认证的分类
身份认证可分为单向认证和双向认证。 单向身份认证是指通信双方中只有一方向另一 方进行认证 双向身份认证是指通信双方相互进行认证 身份认证还可分为非密码的认证机制和基于密码 算法的认证机制。
身份认证的依据
用户所知道的某种信息（Something the user knows），如口令或某个秘密。 用户拥有的某种物品（Something the user possesses），如身份证、银行卡、密钥盘、IP 地址等。 用户具有的某种特征（Something the user is or how he/she behaves），如指纹、笔迹、虹膜、 DNA、脸型等。
A
B
C
D
P使V相信自己掌握洞穴秘密的过程如下：
(1) Vetor站在A点； (2) Petor进入洞中任一点C或D； (3) 当Petor进洞之后，Vetor走到B点； (4) V随机叫P：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)；
(6) P和V重复执行 (1)～(5)共n次。
• 带有安全存储空间 （用于存储数字证书、用户私钥等）
• 硬件实现加密算法 （内置CPU或智能卡芯片，保证用户 私钥不会出现在计算机内存中）
USB Key身份认证系统的应用方式：
基于冲击-响应的双因子认证方式
• 不可逆的MD5-HMAC算法
基于数字证书的认证方式
• PKI技术
常见的身份认证技术
单向散列函数
生成摘要 信息 摘要 信息 摘要 信息 摘要 解密过程
信息 摘要 比较
生成摘要 明文
加密过程
信息 摘要
信息 摘要
身 份 认 证
发送方 公钥
公钥加密技术(RSA,DSS,ECC)和散列算法
•散列算法 :输入：可以任意长度;输出：必须固定长度，一 般64、128、160bits.
散列函数(公开的Hash算法)
•消息认证：这消息真的是他发出来的吗？是不是 假冒的？有没有被篡改过？ •身份的鉴别：和我通话/信的这个人真的是他吗？ 是不是假冒的？是不是录音重放？
3.1 身份认证
身份认证：
身份认证是系统审查用户身份，从而确定该用户是否 具有对某种资源的访问和使用权限。
身份认证的含义：
声称者向验证者出示自己的身份的证明过程 证实客户的真实身份与其所声称的身份是否相符的过程
数字签名应具有的性质
（1）能够验证签名产生者的身份(独有信息,以防伪造和否认)，以 及产生签名的日期和时间； （2）能用于证实被签消息的内容；
（3）数字签名可由第三方验证，从而能够解决通信双方的争议。
（4）签名的产生应较为容易； （5）签名的识别和验证应较为容易； （6）对已知的数字签名构造一新的消息或对已知的消息构造一假 冒的数字签名在计算上都是不可行的。
身份认证又叫身份鉴别、实体认证、身份识别 身份认证目的：
使别的成员（验证者）获得对声称者所声称的事实的信 任。身份认证是获得系统服务所必须的第一道关卡。
身份认证系统的组成
一方是出示证件的人，称为示证者P(Prover)，又称声称 者(Claimant)。 另一方验证者V(Verifier)，检验声称者提出的身份的正确 性和合法性，决定是否满足其要求。 第三方是可信赖者TP (Trusted third party)，
数字签名的分类
直接的数字签名 仅涉及到通信双方，数字签名直接发送给通 信的另一方。 需仲裁的数字签名 每个发方X发往收方Y的签名报文先被发送给 总裁者A，总裁者对该报文和它的签名进行一系 列的测试以验证它的出处和内容，然后对报文注 明日期，附上一个已经经过仲裁证实属实的说明 后发给Y。
接收方 发送方 单向散列函数 发送方 私钥 明文 明文 明文
另一种意义上的笔迹分析是根据笔迹来分析书写人的 性格，及与性格特点有关的生活习惯、为人处世等 。
身份认证协议
零知识证明： 示证者：Petor； 验证者：Vetor； 被认证方P掌握某些秘密信息，P想设法让认 证方V相信他确实掌握那些信息，但又不想让V也
知道那些信息（如果连V都不知道那些秘密信息
，第三者想盗取那些信息当然就更难了）。
散列函数易于实现：输出H(M)是相对易于计算(使得硬件和软件易于
实现) ；
散列函数具有单向性：已知散列函数的输出散列码H(M)计算其输入M 是很困难的，即已知C=H(M)，求M是很难的；

散列函数具有防伪造性(又称弱抗冲突性)：已知C1=H(M1)，构造不
等于M1的M2使得H(M2)=C1是很困难的；
较成熟的生物识别技术简介
2．虹膜识别技术的原理 虹膜识别技术的基本原理是通过特制的光学成像系统、电子控 制单元以及适当的计算机软件算法来提取虹膜的图像，通过预处理 技术实现虹膜的定位、归一和去噪;再使用活体虹膜检测，就是要可 靠的鉴别出采集到的图像是否来自有生命的个体，再使虹膜用特征 提取器对虹膜进行有效的特征的提取，最后再使用分类器完成基于 虹膜特征向量的分类任务。虹膜组织如下图：
第三章 认证技术
本章主要内容
3.1 身份认证
3.2 数字签名
3.3 消息认证
认证技术是解决电子商务活动中的安全问题的技术基础 。认证采用对称密码、公钥加密、散列函数等技术为电 子商务活动中的信息完整性和不可否认性以及电子商务 实体的身份真实性提供技术保障。 认证可分为消息认证（也称数据源认证）和身份认证。
动态口令：
• 利用散列函数产生动态口令 • 主要思想：在登录过程中加入不确定因素，使每次登录 传送的认证信息都不同，以提高登录过程的安全性
常见的身份认证技术
(2) 基于硬件令牌的认证方式
硬件令牌认证是利用授权用户随身携带身份认证令牌来进
行身份认证的技术，如：智能卡，USB Key。 IC卡可简单地分为三种类型： 按集成电路的类别,存储卡、逻辑加密卡、CPU卡。 按通信的方式，可分为接触型、非接触型和混合型三类。
输途中未被更改； （2）提供保密性：因为只有A和B知道密钥k； （3）不能提供数字签名：接收方可以伪造消息， 发送方可以抵赖消息的发送
利用公钥加密体制实现消息认证
① 公钥加密：保密性
M Bob
E
EKa(M)
D
K’a
M Alice
Ka 提供保密 不能提供认证
利用公钥加密体制实现消息认证
② 私钥加密：认证与签名
利用对称加密体制实现消息认证 利用公钥加密体制实现消息认证 利用MAC实现消息认证
利用对称加密体制实现消息认证
发送方A和接收方B事先共享一个密钥
M Bob
E
D
M Alice
K 提供保密、提供认证 不能提供签名
EK(M)
K
利用对称加密体制实现消息认证
（1）它能提供鉴别：可确认消息只能发自A，传
若P不知咒语，则在B点，只有50 %的机会猜中V的要求， 协议执行n次，则只有2-n的机会完全猜中，若n=16，则若 每次均通过B的检验，V受骗机会仅为1/65536。
3.2 数字签名
在书面文件上签名是确认文件的一种手段，其作用有两点： 第一，因为自己的签名难以否认，从而确认了文件已签署 这一事实； 第二，因为签名不易仿冒，从而确定了文件是真的这一事 实。 数字签名也能确认以下两点： 第一，信息是由签名者发送的； 第二，信息自签发后到收到为止未曾作过任何修改。 因此，数字签名就是用来防止电子信息因容易被修改而有人 造假、或冒用他人名义发送信息、或发出（收到）信件后又 加以否认等情况的发生。
(3) 生物特征识别认证
依据人类自身所固有的生理或行为特征进行识别。 生理特征（characteristics）: 人的指纹、声音、笔迹、手型、脸型、血型、视网 膜、虹膜、DNA，以及个人动作方面的特征；
目前人们研究的个人特征主要包括：
容貌、肤色、发质、身材、姿势、手印、指纹、脚 印、唇印等。

散列函数具有很好的抵抗攻击能力(又称强抗冲突性)：对任何M1，寻
找不等于M1的M2使得H(M2)=H(M1)在计算上是不可行的。
3.3 消息认证
消息认证是指消息的接收者能够检验收到的消息 是否真实的方法。 含义：
检验消息来源的真实（对消息发送者身份的认证） 完整性（未被篡改、插入、删除） 验证消息的顺序性和时间性（未重排、重放、延迟）
M Bob
D
K’b EK’b(M)
E
M Alice
Kb
提供认证 提供签名
应用系统利用指纹识别技术可以分为两类，即验证和 辨识。 验证就是通过把一个现场采集到的指纹与一个己经登 记的指纹进行一对一的比对（one-to-one matching），来 确认身份的过程。 辨识则是把现场采集到的指纹同指纹数据厍中的指纹 逐一对比，从中找出与现场指纹相匹配的指纹。 验证和辨识在比对算法和系统设计上各具技术特点。
所谓数字签名，就是通过一个单向函数对要传送的报文进 行处理，得到用于认证报文来源并核实报文是否发生变化 的一个字符串，用这个字符串来代替书写签名或印章，起 到与书写签名或印章同样的法律效用。
消息的接收者利用通过验证签名来确认信息来源的正确性 、完整性和可靠性。
数字签名必须能保证：
接收者能够核实发送者对报文的签名； 发送者事后不能抵赖对报文的签名； 接收者不能伪造对报文的签名。
常见的身份认证技术
Hale Waihona Puke Baidu3) 生物特征识别认证
局限性：
• 不能用于对网络中其它实体（主机、机构等）的认证
特点： 普遍性、唯一性、稳定性、易采集性和可接受性 优点：
• 不易遗忘或丢失 • 防伪性能好，不易伪造或被盗 • 随身携带，可随时随地使用
缺点：
• 成本昂贵 • 识别的准确性和稳定性有待提高
数字签名的作用
（1）签名是可以被确认的，即收方可以确认或证实签名确实 是由发方签名的； （2）签名是不可伪造的，即收方和第三方都不能伪造签名；
（3）签名不可重用，即签名是消息（文件）的一部分，不能
把签名移到其它消息（文件）上； （4）签名是不可抵赖的，即发方不能否认他所签发的消息； （5）第三方可以确认收发双方之间的消息传送但不能篡改消 息。
智能卡是一种接触型的认证设备，需要与读卡设备进行对
话。受PIN码保护。 智能卡对微电子技术的要求相当高，所以成本较高。
常见的身份认证技术
USB Key
结合了现代密码学技术、智能卡技术和USB技术 所有读写和加密运算都在芯片内部完成，安全性很高 特点：
• 双因子认证 （USB Key + 用户PIN码）
较成熟的生物识别技术简介
（三） 笔迹识别技术
1、笔迹分析的几大科学基础
① 人在恒常状态下的书写机制 ② 人在激动时书写的生理机制 ③ 人在神情非常专注时书写的生理机制 ④ 人在运气状态下的书写生理机制 2、笔迹分析的类型 有两种意义上的笔迹分析：
一种意义上的笔迹分析是侦察工作中应用的、对书写 材料进行的案情分析。
较成熟的生物识别技术简介
（二）虹膜识别
虹膜特征识别具有上述其他生物特征所具有的一些优点，近年来 被广泛认为是最有前途的生物识别技术之一。统计表明，到目前为 止，虹膜识别的错误率是各种生物特征识别中最低的。 目前，国际上掌握虹膜识别核心技术的仅有美国公司IRIDIAN和 我国的中国科学院自动化研究所模式识别国家重点研究室两家单位。 1、虹膜 虹膜实体图像可参见下图。