一个基于生物特征认证技术的PKI系统:BPKI
网络安全复习题15125
选择(考20题)1。
下面不属于木马特征的是( D )A。
自动更换文件名,难于被发现B。
程序执行时不占太多系统资源C。
不需要服务端用户的允许就能获得系统的使用权D。
造成缓冲区的溢出,破坏程序的堆栈2.负责产生、分配并管理PKI结构下所有用户的证书的机构是(D )A。
LDAP目录服务器B。
业务受理点 C。
注册机构RA D。
认证中心CA3。
基于SET 协议的电子商务系统中对商家和持卡人进行认证的是( B )A. 收单银行B. 支付网关 C。
认证中心 D. 发卡银行4.下列(B)加密技术在加解密数据时采用的是双钥.A。
对称密钥加密 B. 公开密钥加密 C.Hash加密 D.文本加密5.防火墙是常用的一种网络安全装置,下列关于它的用途的说法(B)是对的.A。
防止内部攻击B。
防止外部攻击C。
防止内部对外部的非法访问D。
既防外部攻击,又防内部对外部非法访问6。
计算机病毒从本质上说是(B)。
A。
蛋白质 B.程序代码 C.应用程序 D。
硬件7.下列不属于IDS功能的是(D)。
A。
分析系统活动 B.识别已知攻击 C.OS日志管理 D.代理8。
密码学的目的是(C).A。
研究数据加密 B。
研究数据解密 C. 研究数据保密 D. 研究信息安全9。
网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。
A。
用户的方便性 B。
管理的复杂性C。
对现有系统的影响及对不同平台的支持 D。
上面3项都是10。
A 方有一对密钥K A(公开) 和key A(秘密),B 方有一对密钥K B(公开)和key B(秘密),现A要向B发送一条消息M,并对消息进行签名和加密,则以下方案正确的是( C ).A. E ( E ( M , K A), key B) B。
E ( E ( M , key A) , key B) C。
E ( E ( M , key A) , K B)D。
E ( E ( M , K A) , K B)11。
国开一体化平台04979《网络安全技术》形考任务(4-7)试题及答案
国开一体化平台《网络安全技术》形考任务(4-7)试题及答案(课程代码:04979,整套相同,Ctrl+F查找更快捷,李老师祝同学们取得优异成绩!)----------------------------------------------------------------形考任务(四)---------------------------------------------------------------- 1、没有网络安全就没有(),就没有(),广大人民群众利益也难以得到保障。
【A】:国家发展、社会进步【B】:国家安全、经济社会稳定运行【C】:社会稳定运行、经济繁荣【D】:社会安全、国家稳定运行【答案】:B2、《中华人民共和国网络安全法》正式施行的时间是?()【A】:2017年6月1日【B】:2016年11月7日【C】:2017年1月1日【D】:2016年12月1日【答案】:A3、网络安全的基本属性有:可用性、完整性和()。
【A】:多样性【B】:复杂性【C】:保密性【D】:不可否认性【答案】:C4、CTF(CaptureTheFlag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
常见的CTF竞赛模式有:()。
【A】:解题模式(Jeopardy)【B】:攻防模式(Attack-Defense)【C】:渗透模式(Penatration)【D】:混合模式(Mix)【答案】:ABD5、可以通过以下哪种方式来获取网络安全情报与科技信息()。
【A】:网络安全会议【B】:网络安全期刊【C】:网络安全网站【D】:CTF比赛【答案】:ABCD6、2019年5月13日,《信息安全技术网络安全等级保护基本要求》(简称等保2.0)正式发布,并已于2019年12月1日起正式实行。
“等保2.0”保护对象包括:()。
【A】:基础信息网络(广电网、电信网等)【B】:信息系统(采用传统技术的系统)【C】:云计算平台、以及大数据平台【D】:移动互联、物联网和工业控制系统等【答案】:ABCD7、我国网络安全领域的基础性法律《中华人民共和国网络安全法》正式施行,对保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。
PKI体系
PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。
简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。
公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。
这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
PKI似乎可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案,它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。
该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。
但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。
PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。
PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。
公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。
PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
《云计算》课程试卷 (A卷)及答案
《云计算》课程试卷(A卷)一、单项选择题(共10小题,每题2分,共20分)1、SaaS是( A )的简称。
A. 软件即服务B. 平台即服务C. 基础设施即服务D. 硬件即服务2、云计算是对( D )技术的发展与运用A. 并行计算B. 网格计算C. 分布式计算D. 三个选项都是3、与开源云计算系统Hadoop HDFS相对应的商用云计算软件系统是( A )。
A. Google GFSB. Google MapReduceC. Google BigtableD. Google Chubby4、从研究现状上看,下面不属于云计算特点的是( C )。
A. 超大规模B. 虚拟化C. 私有化D. 高可靠性5、Swift通过Proxy Server向外提供基于( B )的接口服务。
A. TCP/UDP接口B. HTTP的REST服务C. 远程过程调用D. 服务库服务6、Hypervisor是一种运行在( A )的中间层软件,可以允许多个操作系统和应用共享一套基础物理硬件。
A. 物理服务器和操作系统之间B. 不同服务器之间C. 不同网络之间D. 不同操作系统之间7、防火墙是在( B )执行访问控制策略的一组硬件和软件系统。
A. 单个网络内B. 两个网络之间C. 单个VLAN内D. 都不对8、云存储系统结构模型由4个层次组成,包括存储层、( B )、应用接口层、访问层。
A.网络层B. 基础管理层C. 中间层D. 物理层9、MapReduce适用于( D ).A. 任意应用程序B. 任意可在Windows Server 2008上的应用程序C. 可以串行处理的应用程序D. 可以并行处理的应用程序10、以下不属于云计算数据中心关键技术是( B )A. 虚拟化技术B. 网格计算C. 弹性伸缩和动态调配D. 并行计算框架二、判断题(共5小题,每题2分,共10分)1、简单地理解,云计算等于资源的闲置而产生的。
(√)2、云计算真正实现按需计算,从而有效地提高对软硬件资源的利用效率。
PKI详解——精选推荐
PKI详解⼀、什么是PKI?官⽅定义:PKI是Public Key Infrastructure的⾸字母缩写,翻译过来就是公钥基础设施;PKI是⼀种遵循标准的利⽤公钥加密技术为电⼦商务的开展提供⼀套安全基础平台的技术和规范。
PKI技术是⼀种遵循既定标准的密钥管理平台,它的基础是加密技术,核⼼是证书服务,⽀持集中⾃动的密钥管理和密钥分配,能够为所有的⽹络应⽤提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
通俗理解:PKI就是利⽤公开密钥理论和技术建⽴提供安全服务的、具有通⽤性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以⽤来建⽴不同实体间的"信任"关系,它是⽬前⽹络安全建设的基础与核⼼。
PKI的主要任务是在开放环境中为开放性业务提供基于⾮对称密钥密码技术的⼀系列安全服务,包括⾝份证书和密钥管理、机密性、完整性、⾝份认证和数字签名等。
因此,⽤户可利⽤PKI平台提供的服务进⾏电⼦商务和电⼦政务应⽤。
⼆、 PKI技术原理与组成架构2.1 PKI技术要解决哪些问题先了解什么是密钥?什么是证书?密钥在我之前写的"密码学原理"⽂章⾥有提到过。
密钥通俗理解就是你想传送⽂件和数据时,怕被别⼈截获后看到,就在传输前⽤⼀种算法加上密,使别⼈截获了也不容易得到明⽂,然后接受⽅得到密⽂后,解密出来就可以看到你传给他的数据和⽂件了。
密钥的作⽤就是保密,算法是加密的⽅法。
证书的通俗理解:要开车得先考驾照,驾照上⾯记有本⼈的照⽚、姓名、出⽣⽇期等个⼈信息,以及有效期、准驾车辆的类型等信息,并由公安局在上⾯盖章。
我们只要看到驾照,就可以知道公安局认定此⼈具有驾驶车辆的资格。
证书其实和驾照很相似,⾥⾯记有姓名、组织、邮箱地址等个⼈信息,以及属于此⼈的公钥,并由认证机构( Certification Authority. Certifying Authority, CA )施加数字签名。
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)第64期
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)一.综合题(共15题)1.单选题PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。
以下不会导致证书被撤销的是()。
问题1选项A.密钥泄漏B.系统升级C.证书到期D.从属变更【答案】B【解析】本题考查PKI相关知识。
每个证书都有一个有效使用期限,有效使用期限的长短由 CA 的政策决定。
有效使用期限到期的证书应当撤销。
证书的公钥所对应的私钥泄露,或证书的持证人死亡,证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。
故本题选B。
点播:公钥基础设施(PKI)是一种遵循既定标准的密钥管理平台,它提供了一种系统化的、可扩展的、统一的、可控制的公钥分发方法。
和证书的签发一样,证书的撤销也是一个复杂的过程。
证书的撤销要经过申请、批准、撤销三个过程。
2.案例题阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。
密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。
一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。
在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。
【问题1】(6分)用户AB双方采用的保密通信的基本过程如图2-1所示。
请问图2-1所设计的保密通信模型能实现信息的哪些安全目标?图2-1中的用户A侧的H和E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的影响。
【问题2】(4分)图2-2给出了另一种保密通信的基本过程:请问图2-2设计的保密通信模型能实现信息安全的哪些特性?【问题3】(5分)为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图2-3所示:请问图2-3中(1),(2)分别应该填什么内容?【答案】【问题1】实现完整性。
电子商务安全与应用考题
电子商务安全与应用考j一单项选择1、计算机病毒(D )A、不影响计算机的运算速度B、可能会造成计算机器件的永久失效C、不影响计算机的运算结果IK影响程序执行,破坏数据与程序2、数字签名通常使用(B )方式。
A、公钥密码体系中的私钥B、公钥密码体系中的私钥对数字摘要加密C、密钥密码体系D、公钥密码体系中公钥对数字摘要加密3、不对称密码体系中加密和解密使用(B )个密钥。
A、1B、2C、3D、44、在非对称加密体制中,(A )是最著名和实用。
A、RSAB、PGPC、SETD、SSL5、数字证书的内容不包含(B )A、签名算法B、证书拥有者的信用等级C、数字证书的序列号D、颁发数字证书单位的数字签名6、关于数字签名的说法正确的是(A )。
A.数字签名的加密方法以目前计算机技术水平破解是不现实的B.采用数字签名,不能够保证信息自签发后至收到为止未曾经作过任何修改,签发的文件真实性。
C.采用数字签名,能够保证信息是由签名者自己签名发送的,但由于不是真实签名,签名者容易否认D.用户可以釆用公钥对信息加以处理,形成为了数字签名7、公钥机制利用一对互相匹配的(B )进行加密、解密。
A.私钥B.密钥C.数字签名D.数字证书8、网络安全是目前电子交易中存在的问题,(D )不是网络安全的主要因素。
A.信息传输的完整性B.数据交换的保密性C.发送信息的可到达性D.交易者身份的确定性9、在进行网上交易时,信用卡的帐号、用户名、证件号码等被他人知晓,这是破坏了信息的(D )oA.完整性B.身份的可确定性C.有效性D.保密性10、DES 属于(C )A、SETB、非对称密码体系C、对称密码体系D、公钥密码体系11> SET协议又称为(BXA.安全套接层协议C.信息传输安全协议B.安全电子交易协议D.网上购物协议12、下面哪一个不是信息失真的原因(D)。
A.信源提供的信息不彻底、不许确B.信息在编码、译码和传递过程中受到干扰C.信宿(信箱)接受信息浮现偏差D.信息在理解上的偏差13、下列关于防火墙的说法正确的是(A)。
电子商务安全(作业3)
电子商务安全(作业3)《电子商务安全》作业3一、选择题1.CA的中文含义是( D )。
A. 电子中心B. 金融中心C. 银行中心D. 认证中心2. 以下关于身份鉴别叙述不正确的是(B)。
A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制3. KDC的中文含义是(D )。
A. 共享密钥B. 公钥基础设施C. 会话密钥D. 密钥分配中心4.(C )是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是KDC。
A. TicketB. GrantC. KerberosD. PKI5. (B )负责签发证书、验证证书、管理已颁发证书,以及制定政策和具体步骤来验证、识别用户身份。
A. RAB. CAC. PKID. LDAP6.MAC的中文含义是(B )。
A. 消息鉴别码B. 消息认证码C. 消息摘要D. 媒体存取码7. PIN的中文含义是(B)。
A. 消息信息码B. 身份识别码C. 个人信息码D. 身份证号码8.(D)是通信双方判定消息完整性的参数依据,散列函数是计算的重要函数,该函数的输入与输出能够反应消息的特征。
A. 消息信息码B. 消息验证码C. 消息加密D. 消息摘要9. (C )是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信对象的身份。
A. 消息验证B. 身份认证C. 数字证书D. 消息摘要10.“公钥基础设施”的英文缩写是(C )。
A. RAB. CAC. PKID. MD11. PKI支持的服务不包括(D)。
A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务12. PKI的主要组成不包括(B )。
A. 证书授权CAB. SSLC. 注册授权RAD. 证书存储库CR13. PKI管理对象不包括(A )。
A. ID和口令B. 证书C. 密钥D. 证书撤消14. 下面不属于PKI组成部分的是(D)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一个基于生物特征认证技术的PKI系统:BPKI刘远航高建峰鞠九滨(吉林大学计算机科学与技术学院长春前进大街95号 130012)摘要生物特征认证技术是鉴别一个人的最有效的方法。
PKI技术是传统的网络身份认证的技术和手段,在PKI 系统中如何更有效的对PKI用户进行身份鉴别以及对其似钥如何更有效的保护一直是网络安全领域研究的中心问题。
本文将生物特征认证技术与PKI技术相结合,提出一套基于生物特征认证技术的PKI系统:BPKI,从而实现对PKI用户的身份鉴别以及对用户私钥保护程度的加强。
文末提出了在该领域的研究结论与进一步的工作。
关键词Biometrics PKI 私钥证书A PKI System Based on The Biometrics: BPKILiu Yuanhang Gao Jianfeng Ju Jiubin( JiLin University No.95 Qianjin Road Changchun 130012,China) Abstract Biometric is the most effective mechanism to be used to authenticate people. PKI is the traditional way to be used to enhance the network security. In this paper we introduce the technique for more private form of biometric identification to be used in PKI systems. And bring out a PKI system based on the biometric, which is called BPKI, to bridge the gap between authentication and the end-user in PKI applications. Finally, we make some conclusion and outline future directions based on the BPKI system.Key words Biometrics PKI Private Key Certificate1 引言网络信息化时代的一大特征就是身份的数字化和隐性化,如何准确鉴定一个人的身份,保护信息安全是当今信息化时代必须解决的一个关键问题。
信用卡号、银行帐号、身份证号、网络登录号,我们可能被生活中越来越多的需要记忆的密码搅得心烦意乱。
如何不用记忆这些密码而又不用担心自己身份无法认定呢?正在悄然兴起的生物特征识别技术正好可以解决上述问题。
2 生物特征认证技术所谓生物特征识别 (Biometrics)1技术是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份鉴定。
生理特征与生俱来,多为先天性的;行为特征则是习惯使然,多为后天性的。
我们将生理和行为特征统称为生物特征。
常用的生物特征包括:指纹、掌纹、虹膜、脸像、声音、笔迹等。
鉴别人的身份是一个非常困难的问题,传统的身份鉴别方法把这个问题转化为鉴别一些标识个人身份的事物,这包括两个方面2:1)身份标识物品,比如钥匙、证件、ATM卡等;2)身份标识知识,比如用户名和密码。
在一些安全性要求严格的系统中,可以将这两者结合起来,即所谓的“双因子(Two Factors)认证”,比如ATM机要求用户同时提供ATM 卡和密码。
这些传统的身份鉴别方法存在明显的缺点:个人拥有的物品容易丢失或被伪造,个人的密码容易遗忘或记错。
更为严重的是这些系统无法区分真正的拥有者和取得身份标识物的冒充者,一旦他人获得了这些身份标识事物,就可以拥有相同的权力。
与传统的身份鉴定手段相比,基于生物特征识别的身份鉴定技术(也称为生物特征认证技术)具有以下优点:1)不易遗忘或丢失;2)防伪性能好,不易伪造或被盗;3)"随身携带",随时随地可用。
随着我们逐渐迈入数字时代,生物特征的身份鉴定技术愈加显示出它的价值。
以美国为例3,基于这项技术的产业规模已经达到数十亿美元。
在美国,每年约有上亿美元的福利款被人以假冒的身份领取;据MasterCard公司估计,每年约有价值四亿五千万美元的信用卡诈骗案发生,其中就包括利用丢失和被盗的信用卡的犯罪,如果销售场所可以准确地鉴别持卡人的身份就会大大减少这种诈骗案的发生;由于使用盗窃来的身份识别码(PIN),造成移动电话通讯的损失高达十亿美元;据估计,利用可靠的方法鉴别ATM持卡人的身份可以使全美国每年ATM诈骗案造成的损失减少3亿美元;可靠地鉴别支票领款人可以减少上亿美元的冒领金额;随着网络的发展,非法登录计算机的案件呈上升趋势,有效的身份鉴定技术可以防止这类案件的发生;据美国移民局统计,如果在美国-墨西哥边境采用快速准确的身份鉴别系统,可以在不影响正常入境人员的情况下,每天查出3,000件非法入境案件。
以上的这组数据表明,有效地鉴定个人的身份有着重大的社会和经济意义,它可以有效地防止犯罪和诈骗、提高办公效率、节约资源。
目前,国外许多高技术公司正在试图用眼睛虹膜、指纹、面貌特征等取代人们手中的信用卡或密码,并且已经开始在机场、银行和各种电子器具上进行了实际应用。
美国一家名为"Iriscan"的高技术公司研制出的虹膜识别系统已经应用在美国得克萨斯州联合银行的三个营业部内。
储户两手空空地来办理银行业务,无需银行卡,更没有回忆密码的烦恼。
他们在该取款机上取钱时,一台摄像机首先对用户的眼睛进行扫描,然后将扫描图像转化成数字信息与数据库中的资料核对,以对用户的身份进行检验。
日本三菱电机公司不久前将"指纹认证装置"微型化,并内置于公司将要推出的手机中。
在使用者打电话时只要用手指触摸手机的传感部,手机就能马上识别出指纹是否与使用者事先登记的指纹一致。
如果与事先登记的指纹不相符合,电话就不能接通。
这使手机用户再也不必担心手机被人盗用了。
生物识别技术虽然在机场,银行,公安方面有不错的应用前景,但是它最有应用前途的地方或许是在电子商务领域。
2002年,全球通过入门网站达成的贸易额将达5万亿美元。
此外,预计到2005年全球因特网用户将达到7.65亿。
与此同时,网络黑客的破坏活动也会层出不穷,人们不难想象信息安全如果得不到保障会造成多么大的损失。
鉴于生物识别的可靠性,未来人们在上网购物或者交易时,首先在生物识别仪上进行一下身份认证,可以保证网络管理机构有效监督网络交易的参与者,大大降低不法分子对网络交易的破坏活动。
可用来鉴别身份的生物特征应该具有以下特点:1)广泛性:每个人都应该具有这种特征;2)唯一性:每个人拥有的特征应该各不相同;3)稳定性:所选择的特征应该不随时间发生变化;4)可采集性:所选择的特征应该便于测量;实际的应用还给基于生物特征的身份鉴别系统提出了更多的要求,如:1)性能的要求:所选择的生物统计特征能够达到多高的识别率,对于资源的要求如何,识别的效率如何;2)可接受性:使用者在多大程度上愿意接受基于所选择的生物统计特征的系统;3)安全性能:系统是否能够防止被攻击;4)是否具有相关的、可信的研究背景作为技术支持;5)提取的特征容量,特征模板是否占有较小的存储空间;6)价格;是否达到用户所接受的价格;7)速度:是否具有较高的注册和识别速度;8)是否具有非侵犯性;到目前为止,还没有任何一种单独的生物特征可以满足上述的全部要求。
基于不同生物特征的身份鉴别系统都有各自的优缺点,适用于一定的范围。
但对于不同的生物特征身份鉴别系统,具有统一的评价标准。
介绍如何评价一个生物特征身份鉴别系统之前,先介绍一下理想的生物身份鉴别系统是什么样的。
理想的生物身份鉴别系统应满足:1)所有人都拥有这一生物特征,并且不同人的生物特征是可以区分的;2)生物特征的采集不随采集的条件而不同;3)系统能够区分冒充者。
对身份鉴别系统进行评估,实际上就是判断其符合上述理想系统的程度。
由于身份鉴别系统有两种工作模式(识别模式和鉴定模式),两种模式下系统给出的结果有较大差别,因此有不同的性能标准。
下面将对两种工作模式进行比较。
在识别模式状态工作,系统的输出通常是输入的若干个可能的拥有着。
系统性能的主要指标是真正的用户在结果中的概率以及匹配一个特征所需的平均时间。
在鉴定模式状态工作,身份鉴别系统有两个重要的统计性能指标:错误拒绝率FRR(漏报)和错误接受率FAR(虚警)。
错误接受是指将冒充者识别为真正的生物特征拥有者;错误拒绝是指生物特征拥有者被系统拒绝。
对于理想的系统来说,这两个错误率都应该是零。
但实际中,这两个指标是相关的,当错误拒绝率比较低时,错误接受率会比较高。
反之亦然。
系统往往需要在两个错误率之间取一个折衷。
一般用ROC曲线(Receiver Operating Curve)能够很好得反映两个错误率之间的关系。
在刑事应用中,需要把可能的嫌疑人都找出来,应尽量减小错误拒绝率,所以错误接受率非常大;而对于高度保密应用来说,错误接受造成的损失非常大,因此要求错误接受率很低。
因此,一般以两个错误率作为作为指纹身份鉴别系统的性能标准。
3 PKI技术PKI(Public Key Infrastructure)即公开密钥基础设施,是一个包括硬件、软件、人员、策略和标准的集合,用来实现公钥密码体制证书的产生、存储、管理、分发、撤消和归档等功能,最终目标是要在网络空间建立类似于现实生活中的信任体系4。
PKI的信任关系是通过数字证书来传递的,数字证书是显示生活中身份证、护照、学历证书等在网络中的反映。
在我国,PKI得到了相当的重视和广泛的发展,被列入863信息领域信息安全技术主题的重大项目,在全国各行各业、各区域。
针对各种应用已经或正在建立起的PKI建设项目的数量多达几十家。
这些对推动我国的信息化进程和信息产业的发展发挥了重要作用。
同时,PKI的建设也遇到了政策、模式以及技术等方方面面的挑战。
其中,关于PKI体系中用户私钥的存储与认证的安全性问题就是PKI安全领域的一个技术性课题。
4 问题的提出PKI技术体系主要是以非对称算法为基础的,其中非对称算法主要是采用的是密钥保密、算法公开的RSA、ECC等公钥算法,其中密钥分为公钥和私钥,私钥作为个人身份的象征,需要严格的保密。
目前建设的PKI系统中用户的私钥保护主要是采用磁盘、令牌卡如(如Memory IC卡、CPU 卡和USB 棒)存储私钥,采用口令开启。
由于存在口令丢失、密码被攻破以及令牌丢失等问题,传统的私钥保护方式已经不能满足用户的需要5。