身份認(rèn)證技術(shù) 課件全套 第1-6章 概述、用戶(hù)知道什么-身份認(rèn)證中對(duì)抗性攻擊和防御

第一章

概論目錄CONTENTS04身份認(rèn)證中的安全威脅01身份認(rèn)證的定義和分類(lèi)02身份認(rèn)證的應(yīng)用場(chǎng)景03典型的身份認(rèn)證方法01身份認(rèn)證的定義和分類(lèi)01身份認(rèn)證的定義和分類(lèi)身份認(rèn)證（或“身份驗(yàn)證”）是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程，也就是證實(shí)用戶(hù)的真實(shí)身份與其所聲稱(chēng)的身份是否符合的過(guò)程。驗(yàn)證用戶(hù)記憶的信息跟系統(tǒng)預(yù)先保存的信息是否一致。使用最多的認(rèn)證方式有靜態(tài)文本口令和圖形口令。用戶(hù)知道什么：用戶(hù)知道什么驗(yàn)證用戶(hù)是否持有某個(gè)實(shí)物（智能卡、USBKey、RFID設(shè)備、藍(lán)牙設(shè)備、動(dòng)態(tài)口令設(shè)備等）。用戶(hù)有什么：用戶(hù)有什么驗(yàn)證用戶(hù)獨(dú)特的生物特征（人臉、指紋、語(yǔ)音、掌紋、虹膜、靜脈、手寫(xiě)簽名、走路姿態(tài)等）。用戶(hù)是誰(shuí)：用戶(hù)是誰(shuí)01身份認(rèn)證的定義和分類(lèi)作為確認(rèn)操作者身份合法性的有效機(jī)制，身份認(rèn)證的主要依據(jù)可以分為三類(lèi)：用戶(hù)知道什么（Somethingyouknow）、用戶(hù)有什么（Somethingyouhave）、和用戶(hù)是誰(shuí)（Somethingyouare）。02身份認(rèn)證的應(yīng)用場(chǎng)景在登錄社交媒體與通訊工具時(shí)，用戶(hù)輸入用戶(hù)名和密碼來(lái)驗(yàn)證其身份。購(gòu)物軟件除了事先需要通過(guò)用戶(hù)名密碼進(jìn)行賬號(hào)登錄，還可能需要通過(guò)生物特征驗(yàn)證，如人臉識(shí)別等方式完成支付確認(rèn)。智能手機(jī)除可通過(guò)PIN碼或密碼進(jìn)行解鎖外，可通過(guò)繪制特定的圖案實(shí)現(xiàn)圖案鎖解鎖，或利用生物信息識(shí)別解鎖。身份認(rèn)證的應(yīng)用在物聯(lián)網(wǎng)場(chǎng)景中可以確保每個(gè)設(shè)備都是可信任的，數(shù)據(jù)傳輸是安全的，系統(tǒng)不受惡意實(shí)體的侵入。許多國(guó)家現(xiàn)在都使用含有微芯片的電子身份證和護(hù)照，這些芯片存儲(chǔ)了持卡人的基本信息和生物識(shí)別數(shù)據(jù)，如指紋或面部掃描。在銀行和金融領(lǐng)域，身份認(rèn)證是確保交易安全、防范欺詐和維護(hù)客戶(hù)信任的關(guān)鍵組成部分。02身份認(rèn)證的應(yīng)用場(chǎng)景在線服務(wù)與應(yīng)用程序場(chǎng)景中：

設(shè)備及建筑物訪問(wèn)場(chǎng)景中：公共服務(wù)與金融交易場(chǎng)景中：03典型的身份認(rèn)證方法賬號(hào)\密碼模式是目前大多數(shù)網(wǎng)絡(luò)系統(tǒng)使用的身份認(rèn)證方法，是通過(guò)用戶(hù)擁有的密碼與系統(tǒng)中的密碼進(jìn)行匹配來(lái)確認(rèn)用戶(hù)的合法性。智能卡廣泛應(yīng)用于銀行、通信、交通以及門(mén)禁等各個(gè)領(lǐng)域，通過(guò)其內(nèi)含芯片的不可復(fù)制性來(lái)保證用戶(hù)身份不被冒用。隨著技術(shù)的不斷革新，指紋、人臉等生物特征已經(jīng)開(kāi)始應(yīng)用于考勤、支付等系統(tǒng)中。驗(yàn)證碼是一種區(qū)分用戶(hù)是計(jì)算機(jī)還是人的全自動(dòng)程序，是維護(hù)網(wǎng)絡(luò)空間安全的重要屏障之一。03典型的身份認(rèn)證方法賬號(hào)\密碼：智能卡：生物特征：驗(yàn)證碼：04身份認(rèn)證中的安全威脅為了獲取用戶(hù)信息，攻擊者通常會(huì)針對(duì)不同的身份認(rèn)證技術(shù)進(jìn)行攻擊，從而帶來(lái)安全威脅。對(duì)于口令密碼來(lái)說(shuō)，用戶(hù)在設(shè)定密碼的時(shí)候通常會(huì)選擇自己熟悉的數(shù)字編號(hào)。攻擊者可以通過(guò)窮舉、猜測(cè)、遍歷等方式來(lái)推斷用戶(hù)的口令。攻擊威脅除了存在口令被復(fù)制、盜取等面對(duì)攻擊的安全威脅，在用戶(hù)認(rèn)證的過(guò)程中也存在一定的安全威脅，導(dǎo)致用戶(hù)信息的泄露，例如肩窺攻擊、網(wǎng)絡(luò)竊聽(tīng)攻擊、重放攻擊等等。信息泄露風(fēng)險(xiǎn)人工智能模型本身還存在一定的缺陷，容易受到對(duì)抗樣本攻擊、模型反演攻擊等等，這會(huì)導(dǎo)致身份認(rèn)證系統(tǒng)認(rèn)證失效，網(wǎng)絡(luò)空間失去安全屏障，安全性能難以保證等問(wèn)題。人工智能相關(guān)安全04身份認(rèn)證中的安全威脅第二章

用戶(hù)知道什么目錄CONTENTS01靜態(tài)文本口令02圖形口令01靜態(tài)文本口令1.1靜態(tài)文本口令

自20世紀(jì)90年代互聯(lián)網(wǎng)進(jìn)入千家萬(wàn)戶(hù)以來(lái)，互聯(lián)網(wǎng)服務(wù)（如電子商務(wù)、社交網(wǎng)絡(luò)）蓬勃發(fā)展，賬號(hào)密碼稱(chēng)為互聯(lián)網(wǎng)世界里保護(hù)用戶(hù)信息安全最重要的手段之一。目前大多數(shù)網(wǎng)絡(luò)系統(tǒng)所使用的最簡(jiǎn)單的訪問(wèn)控制方法，也是通過(guò)口令的匹配來(lái)確認(rèn)用戶(hù)的合法性的。系統(tǒng)為每一個(gè)合法用戶(hù)建立一個(gè)ID/PW（賬號(hào)/密碼）對(duì)，當(dāng)用戶(hù)登錄系統(tǒng)時(shí)，提示用戶(hù)輸入自己的賬號(hào)和密碼，系統(tǒng)通過(guò)核對(duì)用戶(hù)輸入的賬號(hào)密碼與系統(tǒng)內(nèi)已有的合法用戶(hù)的ID/PW是否匹配，來(lái)驗(yàn)證用戶(hù)的身份。

“賬號(hào)+密碼”身份驗(yàn)證方式中提及的口令即為靜態(tài)文本口令，是由用戶(hù)自己設(shè)定的一串靜態(tài)數(shù)據(jù)，靜態(tài)文本口令一旦設(shè)定之后，除非用戶(hù)更改，否則將保持不變。這也成為了靜態(tài)文本口令的缺點(diǎn)，比如容易遭受偷窺、猜測(cè)、字典攻擊、暴力破解、竊取、監(jiān)聽(tīng)、重放攻擊、木馬攻擊等。

靜態(tài)文本口令在系統(tǒng)安全性許可范圍內(nèi)簡(jiǎn)單易用，認(rèn)證過(guò)程中不需要其它的輔助設(shè)備，成本低，容易更改，因而通用性較強(qiáng)。靜態(tài)文本口令仍是目前應(yīng)用最為廣泛的認(rèn)證方式之一，并且在未來(lái)一段時(shí)間內(nèi)，其將仍然作為身份認(rèn)證的一項(xiàng)重要手段。1.1靜態(tài)文本口令靜態(tài)文本口令的易用性和安全性互相排斥，兩者不能兼顧，簡(jiǎn)單容易記憶的口令安全性弱，復(fù)雜的靜態(tài)口令安全性高但是不易記憶和維護(hù)；靜態(tài)文本口令的安全性低，容易遭受各種形式的安全攻擊；靜態(tài)文本口令的風(fēng)險(xiǎn)成本高，一旦泄密將可能造成最大程度的損失，而且在發(fā)生損失以前，用戶(hù)通常不知道口令已經(jīng)泄露。靜態(tài)文本口令的使用和維護(hù)不便，特別一個(gè)用戶(hù)有幾個(gè)，甚至十幾個(gè)靜態(tài)口令需要使用和維護(hù)時(shí)，靜態(tài)口令遺忘以及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)較多的時(shí)間和精力，為靜態(tài)口令的正常使用帶來(lái)影響。靜態(tài)口令文本的缺點(diǎn)：要求用戶(hù)在固定時(shí)間段內(nèi)、固定設(shè)備上登陸不允許多人共享一個(gè)用戶(hù)名和口令限制口令的長(zhǎng)度和內(nèi)容要求定期更換口令1.1靜態(tài)文本口令靜態(tài)文本口令認(rèn)證技術(shù)在面臨網(wǎng)絡(luò)攻擊時(shí)顯得非常脆弱。為了提高靜態(tài)文本口令認(rèn)證系統(tǒng)的安全性，一些系統(tǒng)對(duì)用戶(hù)的口令管理設(shè)置了一定的限制，例如：助記符口令策略致力于幫助用戶(hù)創(chuàng)建易于記憶且難以破解的口令，通常是采取某種容易記憶的方式設(shè)置口令，例如，通過(guò)一個(gè)句子、一個(gè)數(shù)學(xué)公式、一個(gè)鍵盤(pán)位置組合的變形表達(dá)來(lái)幫助記憶，具有口令安全性強(qiáng)且容易記憶的特點(diǎn)。助記符口令策略：隨機(jī)口令策略利用隨機(jī)性來(lái)確?？诹畹陌踩?，但是用戶(hù)在記憶時(shí)存在很大的困難。用戶(hù)若為了方便記憶口令，借用記事本等記錄工具，則會(huì)帶來(lái)另外的安全隱患。以此隨機(jī)口令策略不具備很好的可用性，通常與其他口令策略結(jié)合使用。隨機(jī)口令策略：為了使口令集中的口令多樣化，當(dāng)系統(tǒng)中一定數(shù)量的用戶(hù)創(chuàng)建了某同一模式的口令時(shí)，則系統(tǒng)要求該模式在之后不能被使用，即在此刻之后要注冊(cè)的用戶(hù)將被禁止創(chuàng)建該模式的口令。動(dòng)態(tài)口令策略（“自適應(yīng)口令生成策略”):1.2文本口令生成策略1.2文本口令生成策略

1.2文本口令生成策略基于馬爾可夫鏈模型的口令生成方法：馬爾可夫鏈用于描述系統(tǒng)狀態(tài)的轉(zhuǎn)換過(guò)程。馬爾可夫鏈每當(dāng)需要執(zhí)行下一動(dòng)作時(shí)，系統(tǒng)將根據(jù)所有可選動(dòng)作的概率進(jìn)行選擇，從而實(shí)現(xiàn)從一個(gè)狀態(tài)到另一個(gè)狀態(tài)的轉(zhuǎn)變，當(dāng)然也可以選擇保持當(dāng)前狀態(tài)。在處理序列與口令時(shí)，大多使用n階（n>=2）馬爾可夫鏈，即當(dāng)前狀態(tài)的概率只與其前n-1個(gè)狀態(tài)相關(guān)。該方法分為訓(xùn)練模型和口令生成兩個(gè)階段。首先為每條口令設(shè)定起始符和終止符。然后，在口令生成階段，利用條件概率表生成一個(gè)概率遞減的口令字典?；谏窠?jīng)網(wǎng)絡(luò)的口令生成方法：基于神經(jīng)網(wǎng)絡(luò)的Melicher口令生成方法：該方法使用長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)(LongShortTermMemory,LSTM)生成口令，網(wǎng)絡(luò)的預(yù)測(cè)值取決于其前文字符，如對(duì)于口令“bad”，前文字符為“ba”，預(yù)測(cè)值“d”?？诹钌呻A段與馬爾可夫鏈模型相似，不同的是，訓(xùn)練完成后的模型理論上可以生成無(wú)限多條口令，所以生成口令時(shí)，給定一個(gè)閾值，若口令概率低于此閾值，則舍棄該口令。然后根據(jù)口令的概率對(duì)口令進(jìn)行排序。對(duì)訓(xùn)練文本進(jìn)行預(yù)處理對(duì)訓(xùn)練口令集進(jìn)行學(xué)習(xí)建立口令字典加入自然語(yǔ)言處理規(guī)則對(duì)文本進(jìn)行篩查，可以有針對(duì)性的去除某種類(lèi)型的口令?？梢匀サ裟繕?biāo)網(wǎng)站不支持的口令類(lèi)型、規(guī)則簡(jiǎn)單的口令類(lèi)型、包含中文或亂碼的口令，將得到的結(jié)果保存到集合中得到訓(xùn)練口令集。首先需要導(dǎo)入預(yù)測(cè)目標(biāo)信息，在訓(xùn)練口令集中隨機(jī)挑選一組口令作為目標(biāo)信息進(jìn)行口令預(yù)測(cè)；然后根據(jù)預(yù)測(cè)得到的索引標(biāo)號(hào)進(jìn)行概率取樣，將結(jié)果還原為口令；最后將產(chǎn)生的口令去除重復(fù)項(xiàng)目后保存到集合中返回給口令字典。對(duì)訓(xùn)練口令集進(jìn)行學(xué)習(xí)，主要是使用長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)模型對(duì)訓(xùn)練文本進(jìn)行訓(xùn)練1.3生成文本口令字典口令字典就是用來(lái)窮舉用戶(hù)口令的字典文件，只有當(dāng)字典中包含將要預(yù)測(cè)的口令才有可能破解成功。生成一個(gè)包含可能口令的小字典是提高字典攻擊效率和成功率的重要途徑?？梢允褂瞄L(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)模型學(xué)習(xí)用戶(hù)編寫(xiě)口令的習(xí)慣，生成一定數(shù)量的口令并制作出一個(gè)高效的口令字典來(lái)提高破解的效率和成功率。使用長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)模型的口令字典生成方法可以分為三個(gè)階段：文本口令強(qiáng)度評(píng)估是保障互聯(lián)網(wǎng)用戶(hù)信息安全的一個(gè)主動(dòng)防御性工具。當(dāng)互聯(lián)網(wǎng)用戶(hù)注冊(cè)、提交信息并設(shè)計(jì)口令密碼之后，密碼會(huì)提交給互聯(lián)網(wǎng)服務(wù)商進(jìn)行文本口令強(qiáng)度的檢查和評(píng)估，如果密碼設(shè)計(jì)達(dá)到預(yù)先設(shè)定的強(qiáng)度等級(jí)（例如要求密碼強(qiáng)度等級(jí)為中等），而該用戶(hù)密碼低于預(yù)先設(shè)定的強(qiáng)度等級(jí)，就返回信息要求互聯(lián)網(wǎng)用戶(hù)重新設(shè)計(jì)密碼直到通過(guò)為止?？诹顝?qiáng)度評(píng)估工具（PasswordStrengthMeter，PSM）就是上述流程中提供文本口令強(qiáng)度檢查和評(píng)估的軟件，它會(huì)按照展示的流程進(jìn)行算法設(shè)計(jì)并提供給互聯(lián)網(wǎng)服務(wù)商使用，從而對(duì)互聯(lián)網(wǎng)用戶(hù)進(jìn)行主動(dòng)保護(hù)。1.4文本口令強(qiáng)度評(píng)估工具的方法與應(yīng)用文本口令強(qiáng)度評(píng)估基于信息熵算法，通過(guò)口令的猜測(cè)空間評(píng)估口令的強(qiáng)度。設(shè)定口令長(zhǎng)度為N，口令字符種類(lèi)為|∑|，那么口令的猜測(cè)空間就是N|∑|。由于基于信息熵算法的口令強(qiáng)度評(píng)估工具是測(cè)度隨機(jī)生成的口令，而現(xiàn)實(shí)中的口令具有一定規(guī)則，所以這類(lèi)口令強(qiáng)度評(píng)估工具的實(shí)用性較低。基于信息熵的方法：預(yù)先對(duì)某一類(lèi)口令種類(lèi)賦予權(quán)重，例如字母序列、鍵盤(pán)序列等，之后對(duì)互聯(lián)網(wǎng)用戶(hù)提交的口令進(jìn)行特征值檢測(cè)，依據(jù)檢測(cè)到的每一類(lèi)口令類(lèi)型賦予其一定的權(quán)重，最后加總得到用戶(hù)口令的強(qiáng)弱程度，并賦予一定的分值?；谔卣髌ヅ浞椒ɑ诟怕收Z(yǔ)言模型的評(píng)價(jià)方法，主要分為基于模板的口令模型（其主要基于概率上下文無(wú)關(guān)文法）和基于全串的口令模型（其主要基于馬爾科夫鏈模型）兩類(lèi)算法?；诟怕收Z(yǔ)言模型方法1.4文本口令強(qiáng)度評(píng)估工具的方法與應(yīng)用文本口令強(qiáng)度評(píng)估主要方法：基于神經(jīng)網(wǎng)絡(luò)方法能夠有效避免基于概率語(yǔ)言模型中對(duì)于基礎(chǔ)口令數(shù)據(jù)庫(kù)的依賴(lài)，但目前這個(gè)方法仍處于探索之中，未能形成有效應(yīng)用?；谏窠?jīng)網(wǎng)絡(luò)方法1.5文本口令設(shè)置偏好分析雖然不同類(lèi)型的網(wǎng)站對(duì)用戶(hù)的要求不盡相同，但是基本上都限制了口令最低長(zhǎng)度，現(xiàn)在大部分網(wǎng)站建議用戶(hù)創(chuàng)建至少包含字母、數(shù)字、特殊符號(hào)中兩種字符類(lèi)型，部分網(wǎng)站將字符類(lèi)型劃分得更明晰，區(qū)分了大小寫(xiě)字母。采用更為嚴(yán)格的口令策略要求的網(wǎng)站中，占比最多的為互聯(lián)網(wǎng)技術(shù)網(wǎng)站，其次是購(gòu)物網(wǎng)站。在購(gòu)物網(wǎng)站中，“淘寶”對(duì)用戶(hù)登陸口令設(shè)置的要求略低一些，可能因?yàn)槠浣灰字Ц渡婕暗狡渌麘?yīng)用支付口令，需要第三方口令也輸入正確。而“京東”和“蘇寧易購(gòu)”都支持貨到付款，且都支持開(kāi)通應(yīng)用自身特有的支付方式，如“京東”的白條、“蘇寧”的易付寶等，所以它們對(duì)于口令的要求更為嚴(yán)格。1）網(wǎng)站口令策略設(shè)置的偏好分析：1.5文本口令設(shè)置偏好分析口令數(shù)據(jù)集中出現(xiàn)頻率較高的口令被稱(chēng)為常用口令。列出了頻率排名前20的口令文本、口令數(shù)量以及在口令數(shù)據(jù)集中所占的百分比。表中國(guó)內(nèi)用戶(hù)使用頻率最高的20個(gè)口令大致可以分為純數(shù)字序列（如“123456”、“111111”、“123123”）、情感內(nèi)涵（如“5201314“）、簡(jiǎn)單的字母數(shù)字拼接（如“a123456”、“123456a”、“qq123456”）以及鍵盤(pán)模式（如“1qaz2wsx”、“1q2w3e4r”）幾類(lèi)；國(guó)外用戶(hù)使用頻率最高的口令大致可以分為純數(shù)字序列、簡(jiǎn)單單詞短語(yǔ)（如“password”、“princess）、情感內(nèi)涵（“iloveyou”、“babygirl”、“l(fā)ovely”）以及常見(jiàn)人名（如“Nicole”、“Daniel”、“Michael”、“Jessica”）。2）用戶(hù)創(chuàng)建口令的偏好分析：1.5文本口令設(shè)置偏好分析對(duì)口令的長(zhǎng)度進(jìn)行要求，是保障口令強(qiáng)度的基礎(chǔ)。網(wǎng)站的口令長(zhǎng)度分布：3）口令長(zhǎng)度分布：1.5文本口令設(shè)置偏好分析將口令組成類(lèi)型分為7種：純數(shù)字類(lèi)型、純字母類(lèi)型、純符號(hào)類(lèi)型、數(shù)字+字母組合類(lèi)型（不分先后，口令同時(shí)包含且僅包含數(shù)字和字母）、數(shù)字+符號(hào)類(lèi)型、字母+符號(hào)類(lèi)型、字母+數(shù)字+特殊符號(hào)組合類(lèi)型。根據(jù)用戶(hù)選擇的字符組合的頻率對(duì)用戶(hù)的口令組成類(lèi)型傾向進(jìn)行分析。4）口令組成類(lèi)型分析：1.5文本口令設(shè)置偏好分析過(guò)于嚴(yán)格的口令策略可能會(huì)引起用戶(hù)反感，為了分析用戶(hù)愿意接受的最嚴(yán)格的策略，對(duì)用戶(hù)自主創(chuàng)建的口令所符合的最嚴(yán)策略做出了統(tǒng)計(jì)。5）用戶(hù)選擇文本口令策略的偏好：1.6文本口令攻擊與保護(hù)1）社會(huì)工程學(xué)(SocialEngineering)：通過(guò)人際交往這一非技術(shù)手段以欺騙、套取的方式來(lái)獲得口令。2）猜測(cè)攻擊：口令猜測(cè)程序往往根據(jù)用戶(hù)定義口令的習(xí)慣猜測(cè)用戶(hù)口令，像名字縮寫(xiě)、生日、寵物名、部門(mén)名等。3）字典攻擊：對(duì)所有英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的單詞，進(jìn)行一次又一次嘗試，直到成功。4）窮舉攻擊：一般從長(zhǎng)度為1的口令開(kāi)始，按長(zhǎng)度遞增進(jìn)行嘗試攻擊。5）混合攻擊：結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。6）直接破解系統(tǒng)口令文件：所有的攻擊都不能夠奏效，入侵者會(huì)尋找目標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié)，飼機(jī)偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶(hù)訪問(wèn)這臺(tái)主機(jī)。7）網(wǎng)絡(luò)嗅探(sniffer)：通過(guò)嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?）鍵盤(pán)記錄：在目標(biāo)系統(tǒng)中安裝鍵盤(pán)記錄后門(mén)，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會(huì)盜取你的口述。9）其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時(shí)間攻擊?？诹罟舻闹饕椒ㄓ幸韵聨最?lèi)：2005年，Narayanan和Shmatikov首次將自然語(yǔ)言中所使用的馬爾可夫鏈引入到口令猜測(cè)中，極大地縮小了所需搜素的口令空間，同時(shí)通過(guò)對(duì)口令集合進(jìn)行分析得到口令中字符的分布規(guī)律，進(jìn)而利用零階和一階馬爾可夫鏈，并結(jié)合有限狀態(tài)機(jī)對(duì)生成的口令進(jìn)行過(guò)濾，使生成的口令更加符合用戶(hù)的使用習(xí)慣。Ma等人提出了一種優(yōu)化算法，他們利用統(tǒng)計(jì)語(yǔ)言中最常用的馬爾可夫鏈技術(shù)對(duì)口令結(jié)構(gòu)進(jìn)行評(píng)估，并使用不同的平滑處理技術(shù)，如拉普拉斯平滑、古德-圖靈平滑，處理馬爾可夫鏈階數(shù)的選擇，通過(guò)不斷地選擇臨界值來(lái)生成概率大于該臨界值且小于上一次臨界值的口令，并舍棄概率過(guò)小的口令。隨后，MDürmuth等人。在此基礎(chǔ)上提出了有序馬爾可夫枚舉器（orderedMarkovenumerator，OMEN），顯著的提高了口令猜測(cè)的生成速度。1.6文本口令攻擊與保護(hù)基于馬爾可夫模型的口令猜測(cè)方法：2009年，Weir等人提出了基于概率上下文無(wú)關(guān)文法（probabilisticcontextfreegrammar，PCFG）的口令猜測(cè)攻擊算法。算法思想主要是假設(shè)不同種類(lèi)的字符組成的字符結(jié)構(gòu)在口令中是相互獨(dú)立的，并且在口令中出現(xiàn)的概率是不同的。因此通過(guò)分析口令集得到不同口令結(jié)構(gòu)以及組成口令的子串結(jié)構(gòu)的概率分布，然后按照所得字符結(jié)構(gòu)的概率，以降序順序使用不同字符結(jié)構(gòu)進(jìn)行填充，生成猜測(cè)口令集合。通過(guò)使用概率降序?qū)诹钸M(jìn)行猜測(cè)，從而實(shí)現(xiàn)在有限的猜測(cè)次數(shù)下猜測(cè)出盡可能多的口令的目的。1.6文本口令攻擊與保護(hù)基于概率上下文無(wú)關(guān)文法的口令猜測(cè)方法：基于概率上下文無(wú)關(guān)文法的口令猜測(cè)方法：2017年，Hitaj等人提出了首個(gè)基于生成對(duì)抗網(wǎng)絡(luò)(GenerativeAdversarialNetworks,GAN)的口令猜測(cè)攻擊模型PassGAN汪定等人提出了基于隨機(jī)森林的口令猜測(cè)方法和系統(tǒng)，旨在通過(guò)使用隨機(jī)森林模型擬合口令猜測(cè)模型生成猜測(cè)口令并給出該口令的概率大小，克服原始Markov模型由于模型擬合原理導(dǎo)致的容易過(guò)擬合的問(wèn)題。1.6文本口令攻擊與保護(hù)基于隨機(jī)森林的口令猜測(cè)方法：參數(shù)化混合口令猜測(cè)方法：韓偉力等學(xué)者提出了一個(gè)通用的參數(shù)化混合猜測(cè)的框架。該框架可以混合不同數(shù)據(jù)驅(qū)動(dòng)方法的猜測(cè)優(yōu)勢(shì)以生成更高效的猜測(cè)集。模型剪枝可以確保框架中的每個(gè)方法僅生成自身擅長(zhǎng)猜測(cè)的口令，從而避免與其他方法生成重復(fù)口令；理論證明最優(yōu)的猜測(cè)數(shù)分配方案可以確保不同方法生成指定猜測(cè)數(shù)的口令時(shí)，框架的整體猜測(cè)效率將達(dá)到最優(yōu)。為了便于記憶，用戶(hù)在構(gòu)造口令時(shí)往往會(huì)摻入個(gè)人相關(guān)信息。攻擊者可以結(jié)合已知的用戶(hù)信息和相關(guān)口令構(gòu)造模型來(lái)猜測(cè)用戶(hù)口令?；趥€(gè)人信息構(gòu)造口令：01口令重用可以使得攻擊者在獲得已知用戶(hù)口令的情況下，提取用戶(hù)口令構(gòu)造特征，從而推測(cè)用戶(hù)未知口令?？诹钪赜茫?2用戶(hù)傾向于用特定的模式來(lái)構(gòu)造口令，這種構(gòu)造模式可能與其所處文化環(huán)境、語(yǔ)言特點(diǎn)有關(guān)，并且具有群體特征。用戶(hù)的傾向性口令構(gòu)造模式：031.6文本口令攻擊與保護(hù)用戶(hù)脆弱口令行為：1）增強(qiáng)用戶(hù)的安全意識(shí)2）加強(qiáng)弱口令檢測(cè)識(shí)別基于規(guī)則的口令強(qiáng)度評(píng)估器：使用最為廣泛的口令強(qiáng)度評(píng)估，僅根據(jù)口令長(zhǎng)度和口令所包含的字符類(lèi)型來(lái)判斷口令的強(qiáng)度?；谀Ｊ綑z測(cè)的口令強(qiáng)度評(píng)估器：通過(guò)檢測(cè)口令是否含有固定模式的子段來(lái)判斷口令的強(qiáng)度。基于攻擊算法的口令強(qiáng)度評(píng)估器：通過(guò)攻擊算法對(duì)口令進(jìn)行破解，根據(jù)口令對(duì)攻擊算法的抵抗能力來(lái)判斷口令的強(qiáng)度。3）提升口令傳輸與存儲(chǔ)保護(hù)技術(shù)Blocki等人基于用戶(hù)選擇的口令數(shù)據(jù)集生成頻率列表，并利用抽樣算法發(fā)布擾動(dòng)后的口令頻率列表。Chan等人針對(duì)本地差分隱私模型中的隱私保護(hù)程度，進(jìn)一步給出了近似精度的下界值。Naor等人提出的一種具有強(qiáng)抗干擾能力的多方計(jì)算協(xié)議，不需泄露口令明文就可以計(jì)算出口令中出現(xiàn)頻率較高的弱口令，即可以在不損害用戶(hù)口令隱私的同時(shí)識(shí)別高頻率出現(xiàn)的弱口令，且識(shí)別結(jié)果具有一定的防篡改能力。1.6文本口令攻擊與保護(hù)針對(duì)文本口令的保護(hù)：02圖形口令2.1基于無(wú)提示回憶的圖形口令機(jī)制1)DAS機(jī)制:用戶(hù)使用鼠標(biāo)或手寫(xiě)筆直接在一定的網(wǎng)格界面上畫(huà)一幅簡(jiǎn)單的圖畫(huà)。這幅畫(huà)由一個(gè)連續(xù)的筆畫(huà)或幾個(gè)筆畫(huà)組成，筆畫(huà)之間用“筆畫(huà)”隔開(kāi)。它允許用戶(hù)在一個(gè)網(wǎng)格界面上設(shè)置和重現(xiàn)自己的口令。用戶(hù)進(jìn)行認(rèn)證時(shí)，只需憑記憶再次畫(huà)出圖形，如果所畫(huà)圖形與注冊(cè)的圖形具有相同的編碼序列，則認(rèn)證通過(guò)，否則認(rèn)證失敗。DAS機(jī)制采取了以下的約束來(lái)限制用戶(hù)的繪畫(huà)過(guò)程：1)用戶(hù)所畫(huà)線條不能過(guò)分靠近網(wǎng)格線或與網(wǎng)格線重合；2)此外用戶(hù)所畫(huà)的線條不能過(guò)分靠近或穿越網(wǎng)格線的交叉點(diǎn)。2)GridSelection機(jī)制:為了擴(kuò)大DAS的有效口令空間，GridSelection網(wǎng)格選擇認(rèn)證方式被提出。它由繪圖網(wǎng)格和DAS密碼兩部分組成。在這種方式下，用戶(hù)需要首先從一個(gè)精密的網(wǎng)格上選擇一個(gè)矩形繪畫(huà)區(qū)，然后在放大的繪畫(huà)區(qū)里按照DAS中的規(guī)則創(chuàng)建和輸入口令。雖然網(wǎng)格的選擇增加了密碼空間，但是，用戶(hù)必須記住所選區(qū)域的位置，這增加了記憶的難度。2.1基于無(wú)提示回憶的圖形口令機(jī)制3)Multi-Grid機(jī)制:它是一種使用不均勻單元大小的DAS機(jī)制的改進(jìn)版本，該機(jī)制提供了多種不規(guī)則的網(wǎng)格模板，用戶(hù)可以按習(xí)慣從預(yù)定義的多網(wǎng)格模板中選擇一個(gè)網(wǎng)格，然后在網(wǎng)格上繪制圖片，最終的網(wǎng)格可以由幾個(gè)內(nèi)部網(wǎng)格組成。Multi-Grid希望借此來(lái)引導(dǎo)用戶(hù)設(shè)置復(fù)雜的、非對(duì)稱(chēng)的圖形口令，同時(shí)也可以有效地幫助用戶(hù)記憶口令，增加了暴力攻擊的難度。4)BDAS機(jī)制:BDAS機(jī)制通過(guò)在DAS的網(wǎng)格上加入背景圖像的方式來(lái)改善DAS的性能。當(dāng)背景圖像有很強(qiáng)的引導(dǎo)意義時(shí)，能夠在很大程度上引導(dǎo)用戶(hù)設(shè)置復(fù)雜的口令，認(rèn)證階段也能幫助用戶(hù)回憶。人們?cè)谟袌D像背景的網(wǎng)格上確實(shí)更傾向于設(shè)置一些復(fù)雜的口令，并且導(dǎo)致弱DAS密碼的其他可預(yù)測(cè)特征也被減少，例如全局對(duì)稱(chēng)性和在繪圖網(wǎng)格內(nèi)居中等。因此能夠獲得較好的安全保障。背景圖像還提高了密碼的記憶性。2.1基于無(wú)提示回憶的圖形口令機(jī)制5)QDAS機(jī)制:QDAS機(jī)制將固定的網(wǎng)格擴(kuò)展為動(dòng)態(tài)的變形網(wǎng)格來(lái)隱藏用戶(hù)設(shè)置口令的過(guò)程，利用用戶(hù)筆畫(huà)和密碼之間的定性映射和動(dòng)態(tài)網(wǎng)格來(lái)混淆用戶(hù)秘密的屬性并鼓勵(lì)他們使用秘密的不同表面特點(diǎn)實(shí)現(xiàn)，使得該機(jī)制可以在一定程度上抵御肩窺攻擊。此外，QDAS機(jī)制還采用了另外一種筆畫(huà)與口令序列對(duì)應(yīng)的關(guān)系，放松了DAS機(jī)制對(duì)用戶(hù)繪畫(huà)的限制，只要求用戶(hù)記憶起始網(wǎng)格的編號(hào)以及筆畫(huà)的方向（上、下、左或右），允許與原始信息有一定范圍的偏差，降低了用戶(hù)的記憶負(fù)擔(dān)，且促使用戶(hù)設(shè)置強(qiáng)口令。6)Pass-Go機(jī)制:Pass-Go機(jī)制是一種基于網(wǎng)格的方案，要求用戶(hù)選擇(或觸摸)交叉點(diǎn)作為輸入密碼的一種方式。因此，坐標(biāo)系指的是交點(diǎn)矩陣，而不是DAS中的單元格。由于網(wǎng)格結(jié)構(gòu)更精細(xì)，且允許對(duì)角線移動(dòng)和選擇不同參數(shù)的筆畫(huà)顏色，Pass-Go的具有比DAS更大的理論密碼空間，它保留了DAS大部分的優(yōu)點(diǎn)并且能夠得到更高的安全性和更良好的可用性。Google公司于2008年推出了一個(gè)與Pass-Go機(jī)制類(lèi)似的手機(jī)解鎖機(jī)制，應(yīng)用于Android手機(jī)上。2.1基于無(wú)提示回憶的圖形口令機(jī)制7)BPG機(jī)制和MGBPG機(jī)制:BPG機(jī)制在Pass-Go中加入了背景圖像，以幫助用戶(hù)記憶密碼，降低猜測(cè)攻擊的成功率。BPG機(jī)制也是一種基于網(wǎng)格的圖像背景算法，需要用戶(hù)選擇(或觸摸)交叉點(diǎn)，而不是單元格，作為輸入密碼的一種方式。BPG機(jī)制通過(guò)調(diào)節(jié)敏感區(qū)域來(lái)建立容錯(cuò)機(jī)制。敏感區(qū)域也對(duì)與輸入設(shè)備的交互敏感。因此，單擊敏感區(qū)域內(nèi)的任意點(diǎn)將被視為與單擊完全對(duì)應(yīng)的交叉點(diǎn)相同，即單擊正確交叉點(diǎn)周?chē)舾袇^(qū)域內(nèi)的任意點(diǎn)也將被視為點(diǎn)擊交叉點(diǎn)成功。MGBPG機(jī)制，用戶(hù)可以選擇個(gè)性化的背景圖像和網(wǎng)格線縮放來(lái)降低記憶性。MGBPG方案與BPG方案的主要區(qū)別在于，MGBPG的背景可以疊加到用戶(hù)可以選擇的圖像上。同時(shí)，增加了額外的網(wǎng)格線縮放功能，方便用戶(hù)更好地記住自己的密碼，這樣他們就能夠通過(guò)使用網(wǎng)格線縮放來(lái)更準(zhǔn)確地定位和記住背景圖像特定部分的密碼起點(diǎn)和形狀。MGBPG的未來(lái)研究方向主要是如何在密碼復(fù)雜性和更高的安全性之間找到平衡。2.1基于無(wú)提示回憶的圖形口令機(jī)制8)YAGP（YetAnotherGraphicalPassword）機(jī)制:YAGP和DAS的主要區(qū)別在于軟匹配。引入了筆劃框、圖像框、趨勢(shì)象限、相似度等概念來(lái)描述圖像的軟匹配特征。在軟匹配中減少了嚴(yán)格的用戶(hù)輸入規(guī)則，提高了可用性，因此具有明顯優(yōu)勢(shì)。YAGP中的繪畫(huà)網(wǎng)格更為精細(xì)，因此獲得了比DAS更大的口令空間，同時(shí)高密度網(wǎng)格也有效地引導(dǎo)了用戶(hù)設(shè)置長(zhǎng)度較長(zhǎng)的口令，增加了機(jī)制的安全性。YAGP采用三重配準(zhǔn)過(guò)程創(chuàng)建多模板，提高了特征提取的準(zhǔn)確性和記憶性。但是該機(jī)制忽略了筆畫(huà)間相對(duì)位置的關(guān)系，會(huì)造成系統(tǒng)誤判。9)Passdoodle機(jī)制:Passdoodle機(jī)制允許用戶(hù)在沒(méi)有網(wǎng)格的繪畫(huà)區(qū)域上繪制一個(gè)涂鴉圖形作為口令?？诹顖D形可以由多種顏色繪制；每個(gè)口令都必須至少包含兩筆，并且可以位于屏幕的任何位置。Passdoodle機(jī)制使用了比DAS機(jī)制更為復(fù)雜的匹配過(guò)程，并且采用三種方法來(lái)識(shí)別不同的口令圖形：圖形在網(wǎng)格上的分布、繪畫(huà)速度和圖形形狀的相似度。2.1基于無(wú)提示回憶的圖形口令機(jī)制10)PassShapes機(jī)制:PassShapes機(jī)制與DAS類(lèi)似，但其口令是由八個(gè)相隔45°角的筆畫(huà)組成的幾何圖形，每一個(gè)方向的筆畫(huà)都有一個(gè)對(duì)應(yīng)的內(nèi)部編碼。登錄時(shí)，由于繪制區(qū)域沒(méi)有網(wǎng)格，因此口令的位置和大小不受限制。另外，PassShapes機(jī)制對(duì)用戶(hù)的繪畫(huà)要求也不高。雖然該機(jī)制提供了更好的可記憶性，但是每一筆只有八個(gè)方向可供選擇極大地減小了其口令空間。2.2基于有提示回憶的圖形口令機(jī)制1)PassPoints機(jī)制:PassPoints機(jī)制是有提示回憶圖形口令機(jī)制的代表性機(jī)制，也是該類(lèi)機(jī)制中被研究最為廣泛和深入的機(jī)制。它改進(jìn)了V-GO機(jī)制對(duì)圖片選擇的限制，使得任何圖片，包括自定義圖片都可以作為背景圖片供用戶(hù)選擇。用戶(hù)需要點(diǎn)擊其希望作為口令的區(qū)域并記住點(diǎn)擊順序即可完成注冊(cè)。PassPoints機(jī)制最主要的優(yōu)點(diǎn)就是口令空間大，能有效地抵御試探性攻擊。2)Blonder機(jī)制:圖形口令的概念是最初就是由Blonder于1996年提出。其實(shí)現(xiàn)機(jī)制為，注冊(cè)時(shí)在可視設(shè)備上提供給用戶(hù)一張預(yù)定義的圖片，認(rèn)證時(shí)用戶(hù)需要按照一定的順序選擇多個(gè)預(yù)定義的位置，才能訪問(wèn)限制系統(tǒng)。Blonder機(jī)制的背景圖片必須為簡(jiǎn)單的人工圖片，圖片信息量很少，并且需要人工預(yù)定義口令區(qū)域的位置和大小，增加了用戶(hù)操作的難度；在安全性方面，由于用戶(hù)定義的口令位置少且相對(duì)明確，使得口令空間較小，且試探性攻擊的成功率較高。2.2基于有提示回憶的圖形口令機(jī)制3)V-GO機(jī)制:V-GO機(jī)制的基本思路來(lái)自于Blonder的圖形口令機(jī)制。此機(jī)制向用戶(hù)提供含有若干日常生活物品的圖片，每個(gè)物品都有一個(gè)不可見(jiàn)的預(yù)定義邊界，系統(tǒng)根據(jù)這些物品的邊界定義來(lái)響應(yīng)鼠標(biāo)的點(diǎn)擊事件，進(jìn)而進(jìn)行用戶(hù)認(rèn)證。即在具體實(shí)現(xiàn)中，用戶(hù)需要正確地按照一定的順序選擇圖片上的多個(gè)不同的物品，才能訪問(wèn)系統(tǒng)。4)CCP(CuedClickPoints)與PCCP(PersuasiveCuedClickPoints)機(jī)制:CCP機(jī)制主要是針對(duì)PassPoints機(jī)制進(jìn)行改進(jìn)。用戶(hù)在每張圖片中只能選擇一個(gè)口令區(qū)域，根據(jù)用戶(hù)所點(diǎn)擊的區(qū)域，系統(tǒng)通過(guò)一個(gè)確定性的函數(shù)獲取并跳轉(zhuǎn)到下一張圖片。雖然CCP機(jī)制消除了PassPoints中的模式問(wèn)題，但熱點(diǎn)問(wèn)題依然存在。PCCP機(jī)制主要是在CCP的基礎(chǔ)上誘導(dǎo)用戶(hù)選擇更加隨機(jī)的口令。它的功能和界面與CCP基本相同，不同之處在于用戶(hù)注冊(cè)時(shí)只能在系統(tǒng)顯示的亮色小視窗內(nèi)選擇口令區(qū)域。登錄時(shí)，系統(tǒng)正常顯示圖片。這種設(shè)計(jì)使不同用戶(hù)設(shè)置的口令隨機(jī)性更強(qiáng)，使得熱點(diǎn)問(wèn)題進(jìn)一步減小。然而不管是CCP還是PCCP都沒(méi)能解決不防肩窺這一缺點(diǎn)，只要攻擊者獲取了登錄過(guò)程或登錄點(diǎn)擊序列，用戶(hù)口令將被攻破。DéjàVu機(jī)制是最早的基于圖片識(shí)別的圖形口令機(jī)制，它利用哈希函數(shù)生成的隨機(jī)藝術(shù)圖形替代傳統(tǒng)的文本字符來(lái)進(jìn)行用戶(hù)身份驗(yàn)證。4）DéjàVu機(jī)制CHC是一個(gè)能防止肩窺攻擊的機(jī)制，最初由Sobrado等人于2002年提出，之后又做了進(jìn)一步改進(jìn)。認(rèn)證時(shí)首先要從界面上找到自己的口令圖標(biāo)，然后點(diǎn)擊這些口令圖標(biāo)組成的凸多邊形內(nèi)的任意一個(gè)圖標(biāo)即可完成認(rèn)證，可進(jìn)行多輪這樣的認(rèn)證以減小試探性攻擊成功的概率。5）CHC機(jī)制基于識(shí)別的圖形口令機(jī)制中研究最多是RealUser公司開(kāi)發(fā)的基于人臉的圖形口令系統(tǒng)Passfaces機(jī)制。1）Passfaces機(jī)制Story機(jī)制是在Passfaces的基礎(chǔ)上提出的，它要求用戶(hù)從所給圖片中選擇幾張圖片組成一個(gè)故事，強(qiáng)調(diào)了用戶(hù)選擇口令圖片的順序2）Story機(jī)制2.3基于識(shí)別的圖形口令機(jī)制ColorLogin機(jī)制首次考慮了圖片的背景顏色這一因素，加快了戶(hù)查找圖片的速度。在注冊(cè)階段，用戶(hù)根據(jù)安全需求從3到5種顏色中選擇一種顏色作為自己口令圖片的背景色，然后從以該顏色為背景色的圖片集中選擇若干張圖片（至少3張）作為口令圖片。3）ColorLogin機(jī)制2.4混合制的圖形口令機(jī)制1.圖形口令與文本口令結(jié)合Man等人于2003年提出了另外一種用于防止肩窺的圖形口令機(jī)制Pass-objects。原理是每個(gè)口令圖標(biāo)都有幾個(gè)變種，而且每個(gè)變種都有唯一的編號(hào)。整個(gè)登錄過(guò)程包括多輪認(rèn)證。在每輪認(rèn)證中，用戶(hù)需要從系統(tǒng)顯示的一堆圖標(biāo)中找出口令圖標(biāo)并識(shí)別出當(dāng)前的變種形式，然后輸入口令圖標(biāo)相對(duì)于屏幕中眼睛的位置編碼和當(dāng)前口令圖標(biāo)變種的編碼。認(rèn)證時(shí)，用戶(hù)需要輸入圖標(biāo)所對(duì)應(yīng)的編號(hào)，而不是通過(guò)鼠標(biāo)直接點(diǎn)擊圖標(biāo)來(lái)進(jìn)行，所以此機(jī)制可以有效地防止肩窺。GrIDsure機(jī)制是一種把圖形口令和PIN密碼結(jié)合起來(lái)的防肩窺機(jī)制。注冊(cè)時(shí)用戶(hù)要在一個(gè)5×5的空白網(wǎng)格上選擇一個(gè)包含四個(gè)網(wǎng)格的模式（稱(chēng)為PIP），并記住組成該P(yáng)IP的各網(wǎng)格的選擇順序。驗(yàn)證時(shí)，系統(tǒng)會(huì)隨機(jī)顯示由數(shù)字0~9填充的5×5的網(wǎng)格，用戶(hù)只需按序輸入與PIP對(duì)應(yīng)的網(wǎng)格中出現(xiàn)的數(shù)字。2.4混合制的圖形口令機(jī)制2.基本類(lèi)型的圖形口令結(jié)合CDS（ComefromDASandStory）機(jī)制設(shè)計(jì)思路來(lái)源于DAS和Story，它將圖片識(shí)別與手動(dòng)繪畫(huà)相結(jié)合，是可以應(yīng)用于PDA等手持設(shè)備上的一款圖形口令機(jī)制。CDS的注冊(cè)方式需要用戶(hù)在圖片庫(kù)中順序選擇若干張圖片作為口令圖片并記住選擇的順序，機(jī)制也提醒用戶(hù)構(gòu)造一個(gè)故事來(lái)幫助記憶。認(rèn)證時(shí)，認(rèn)證界面中的圖片經(jīng)過(guò)了淡化處理并且圖片顯示位置隨機(jī)，用戶(hù)需要從實(shí)線方框開(kāi)始，通過(guò)畫(huà)線順序通過(guò)自己的口令圖片，最后在虛線方框中停止。2.4混合制的圖形口令機(jī)制2.基本類(lèi)型的圖形口令結(jié)合CBFG（ClickButtonsaccordingtoFiguresinGrids）機(jī)制設(shè)置口令的基本原理，并引入了圖片識(shí)別的思想。它將背景圖片劃分為網(wǎng)格矩陣作為用戶(hù)的備選口令區(qū)域，使得用戶(hù)更傾向于設(shè)置較為復(fù)雜的口令，并且在一定程度上降低了熱點(diǎn)問(wèn)題。2.4混合制的圖形口令機(jī)制3.其他混合型圖形口令PassHands機(jī)制首次將基于手部特征的生物認(rèn)證引入到圖形口令的范疇中。該機(jī)制的實(shí)現(xiàn)方式和Passfaces機(jī)制類(lèi)似，采用經(jīng)過(guò)預(yù)處理的手部圖片來(lái)代Passfaces中的人臉圖片。CGP（usingCAPTCHAinGraphicalPassword）機(jī)制[75]是將基于識(shí)別的圖形口令與CAPTCHA結(jié)合的一種機(jī)制。在注冊(cè)階段，用戶(hù)從系統(tǒng)的圖片庫(kù)中選擇K張作為自己的口令圖片，并且分別設(shè)置每張圖片的口令位。在認(rèn)證階段，界面為一個(gè)的網(wǎng)格矩陣，用戶(hù)需找到自己的口令圖片，并在口令框中輸入口令圖片對(duì)應(yīng)的驗(yàn)證碼中口令位上的字符。第三章用戶(hù)有什么目錄CONTENTS04RFID05二維碼/條形碼06基于藍(lán)牙的身份認(rèn)證01智能卡02動(dòng)態(tài)口令認(rèn)證03USBkey認(rèn)證技術(shù)01智能卡01智能卡智能卡（SmartCard）是一種應(yīng)用極為廣泛的個(gè)人安全器件，是一種內(nèi)嵌微型芯片的集成電路卡（ICcard，IntegratedCircuitCard），一般由專(zhuān)門(mén)的廠商通過(guò)專(zhuān)門(mén)的設(shè)備進(jìn)行生產(chǎn)，是一種不可復(fù)制的硬件，各種銀行卡，電卡、手機(jī)的用戶(hù)身份識(shí)別模塊（SIM，SubscriberIdentityModule）卡都屬于智能卡。智能卡自身就是一個(gè)功能齊備的計(jì)算機(jī)，它有自己的內(nèi)存和微處理器，該微處理器具備數(shù)據(jù)讀取和寫(xiě)入能力，也允許對(duì)智能卡上的數(shù)據(jù)進(jìn)行訪問(wèn)和更改。從安全的角度來(lái)看，智能卡技術(shù)能夠提供安全的驗(yàn)證機(jī)制來(lái)保護(hù)持卡人的信息，由合法用戶(hù)隨身攜帶，登錄時(shí)必須將智能卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶(hù)的身份。智能卡智能卡最初是磁卡的替代產(chǎn)品，智能卡能夠把生活中單項(xiàng)使用的各種生活繳費(fèi)、購(gòu)物儲(chǔ)值以及身份卡片融為一體，只要一卡在手，便能買(mǎi)到各類(lèi)物品、得到各種服務(wù)并且進(jìn)行有效的身份認(rèn)證。20世紀(jì)90年代，隨著微電子技術(shù)的蓬勃發(fā)展，帶動(dòng)了以計(jì)算機(jī)技術(shù)和集成電路為核心的智能卡的迅速崛起。智能卡可以克服磁卡的弱點(diǎn)，具有容量大、計(jì)算功能強(qiáng)、安全性能高等一系列優(yōu)點(diǎn)，為電子貨幣、身份認(rèn)證提供更可靠和更安全的服務(wù)。01智能卡的發(fā)展磁卡（上）與智能卡（下）智能卡按嵌入芯片可以分為存儲(chǔ)卡、加密存儲(chǔ)卡和CPU卡。按嵌入芯片類(lèi)型分類(lèi)智能卡按照操作模式可以分為接觸式IC卡、非接觸式IC卡以及混合卡。按操作模式方式分類(lèi)智能卡按照數(shù)據(jù)傳輸方式可以分為串行IC卡和并行IC。按數(shù)據(jù)傳輸方式分類(lèi)智能卡按卡的應(yīng)用領(lǐng)域可分為金融卡和非金融卡。按卡的應(yīng)用領(lǐng)域分類(lèi)01智能卡的分類(lèi)智能卡的規(guī)格是有統(tǒng)一標(biāo)準(zhǔn)的，需要遵循相關(guān)的國(guó)際標(biāo)準(zhǔn)，即ISO7810。一般智能卡是一個(gè)塑料的長(zhǎng)方形卡，它的尺寸是從通用磁卡演化而來(lái)的，有些IC卡上還貼有磁條，可以和磁卡兼容。IC卡一般在卡片的左上角封裝芯片，并在芯片上覆蓋有6或8個(gè)觸點(diǎn)用來(lái)與外部設(shè)備進(jìn)行通訊，每個(gè)觸點(diǎn)的尺寸和位置應(yīng)滿(mǎn)足相關(guān)國(guó)際標(biāo)準(zhǔn)中做出的規(guī)定，且觸點(diǎn)位于IC卡的正面，其下面為凸型字符，印有一些發(fā)卡及用戶(hù)信息，背面有磁條。01智能卡的結(jié)構(gòu)智能卡示意圖芯片中主要由CPU、存儲(chǔ)器以及其他外設(shè)接口組成。一般智能卡所使用的芯片通?？梢苑譃橥ㄓ眯酒蛯?zhuān)用芯片兩大類(lèi)，其中通用芯片是普通的集成電路芯片，比較適合于初期對(duì)安全性要求不高的智能卡應(yīng)用，而專(zhuān)用芯片是專(zhuān)門(mén)為智能卡而設(shè)計(jì)、制造的芯片，這種芯片符合目前IC卡的ISO國(guó)際標(biāo)準(zhǔn)，具有較高的安全性。與此同時(shí)，專(zhuān)用芯片按照卡芯的不同還可以分為存儲(chǔ)器芯片和微處理器芯片兩大類(lèi)，其中帶安全邏輯的存儲(chǔ)器芯片和帶有加密運(yùn)算的微控制器芯片在智能卡中使用的最為普遍，這兩種常見(jiàn)芯片的典型邏輯結(jié)構(gòu)見(jiàn)圖3.2和圖3.3。01智能卡的結(jié)構(gòu)帶安全邏輯的存儲(chǔ)器芯片邏輯結(jié)構(gòu)帶加密運(yùn)算的微控制芯片讀卡器是對(duì)IC卡操作的直接設(shè)備，根據(jù)IC卡操作模式的不同，讀卡器也可以分為接觸式讀卡器、非接觸式讀卡器以及混合讀卡器等不同形式，一般來(lái)說(shuō)讀卡器包括了讀卡頭和設(shè)備驅(qū)動(dòng)，讀卡器和卡片的接口需滿(mǎn)足一定的國(guó)際規(guī)范（接觸式IC卡，遵循ISO7816接口標(biāo)準(zhǔn)；非接觸式IC卡讀卡器，遵循ISO14443接口標(biāo)準(zhǔn)），標(biāo)準(zhǔn)讀卡器一般是通用的。應(yīng)用程序是應(yīng)用邏輯控制的核心，根據(jù)不同應(yīng)用所對(duì)應(yīng)的程序規(guī)模、運(yùn)行方式的不同，其應(yīng)用程序的形式都有很大區(qū)別。對(duì)于獨(dú)立的脫機(jī)應(yīng)用，應(yīng)用程序一般較小，邏輯結(jié)構(gòu)比較簡(jiǎn)單，程序可以安裝在讀卡器等設(shè)備上，不需要額外增加個(gè)人電腦（PC，PersonalComputer）機(jī)等輔助設(shè)備。01智能卡的結(jié)構(gòu)讀卡器信息安全至少應(yīng)該具有以下五個(gè)方面的特性：機(jī)密性：防止未經(jīng)過(guò)授權(quán)的信息獲取。完整性：防止未經(jīng)授權(quán)的信息更改。可獲取性：防止未經(jīng)授權(quán)的信息節(jié)流，也就是防止在信息傳播過(guò)程中的非法截取。真實(shí)性：就是通過(guò)一系列的技術(shù)手段驗(yàn)證信息的真實(shí)性。持久性：長(zhǎng)時(shí)間信息保存的可靠性、準(zhǔn)確性。智能卡不僅具有大的存儲(chǔ)容量，而且其安全性能也是其他種類(lèi)的卡無(wú)法比擬的，確切的說(shuō)，智能卡所用到安全技術(shù)就是基于信息安全的五個(gè)特性提出與實(shí)施的。01智能卡安全智能卡的安全狀態(tài)是指智能卡當(dāng)前所處的安全級(jí)別狀態(tài)，通?？梢苑譃槿职踩珷顟B(tài)、特定文件安全狀態(tài)和特定命令安全狀態(tài)三種安全級(jí)別。智能卡安全狀態(tài)數(shù)據(jù)對(duì)象的安全屬性定義了對(duì)這些數(shù)據(jù)執(zhí)行命令操作時(shí)所需要滿(mǎn)足的條件，包括文件訪問(wèn)安全屬性和命令安全屬性。智能卡安全屬性智能卡的安全機(jī)制和安全狀態(tài)、安全屬性是緊密聯(lián)系在一起?？梢詫踩珯C(jī)制視為安全狀態(tài)在實(shí)現(xiàn)狀態(tài)轉(zhuǎn)移時(shí)所采用的方法和手段。智能卡安全機(jī)制01智能卡安全體系01智能卡攻擊技術(shù)攻擊類(lèi)型攻擊內(nèi)容網(wǎng)絡(luò)數(shù)據(jù)流截取攻擊者可以根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息簡(jiǎn)單過(guò)濾掉不關(guān)心的數(shù)據(jù)，再將感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進(jìn)行分析從而得到用戶(hù)的隱私信息。木馬竊聽(tīng)若用戶(hù)電腦遭受到了病毒或木馬的攻擊，電腦就可能會(huì)被監(jiān)聽(tīng)，用戶(hù)在進(jìn)行交易的過(guò)程中，用戶(hù)的交易信息會(huì)被木馬記錄，與用戶(hù)相關(guān)的隱私信息，例如交易密碼等就有被盜的風(fēng)險(xiǎn)。窮舉攻擊對(duì)用戶(hù)密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止的一種攻擊方式。網(wǎng)絡(luò)釣魚(yú)在此處添加文字內(nèi)容智能卡具有自己的微處理器，這些芯片具備存儲(chǔ)功能和信息處理功能，同時(shí)，智能卡內(nèi)可存儲(chǔ)安全控制軟件及有關(guān)用戶(hù)的個(gè)人化參數(shù)和數(shù)據(jù)，外部應(yīng)用程序不能直接訪問(wèn)這些數(shù)據(jù)，這樣，智能卡中個(gè)人化的參數(shù)數(shù)據(jù)從硬件上就實(shí)現(xiàn)了保密性。01智能卡身份認(rèn)證智能卡微處理器基于智能卡的身份認(rèn)證結(jié)合了基于秘密信息和信任物體的實(shí)現(xiàn)方式，利用智能卡的信息存儲(chǔ)和數(shù)據(jù)計(jì)算的能力，能夠?qū)崿F(xiàn)軟/硬件的對(duì)稱(chēng)、非對(duì)稱(chēng)加解密算法，存儲(chǔ)用戶(hù)個(gè)人信息、密鑰、數(shù)字證書(shū)等秘密數(shù)據(jù)。認(rèn)證服務(wù)器和智能卡客戶(hù)端之間按照一定的協(xié)議和操作來(lái)完成用戶(hù)身份認(rèn)證的過(guò)程。在基于智能卡的身份認(rèn)證方法中，結(jié)合了密碼技術(shù)以及實(shí)物對(duì)用戶(hù)進(jìn)行身份認(rèn)證，不再需要遠(yuǎn)程服務(wù)器存儲(chǔ)用戶(hù)的口令等信息，減輕了服務(wù)器維護(hù)口令表所產(chǎn)生的負(fù)擔(dān)，也降低了口令表被盜的風(fēng)險(xiǎn)。01智能卡技術(shù)原理智能卡身份認(rèn)證示意圖02動(dòng)態(tài)口令認(rèn)證02動(dòng)態(tài)口令認(rèn)證基于口令的認(rèn)證方式是較為常用的一種認(rèn)證技術(shù)。動(dòng)態(tài)口令一般不需要用戶(hù)記憶口令，而是依賴(lài)于用戶(hù)所擁有的設(shè)備（動(dòng)態(tài)口令牌、口令卡等），屬于“用戶(hù)有什么”這一類(lèi)。而靜態(tài)口令一般需要用戶(hù)記憶口令，屬于“用戶(hù)知道什么”這一類(lèi)。針對(duì)靜態(tài)口令認(rèn)證機(jī)制在安全方面的脆弱性，為了避免靜態(tài)口令認(rèn)證機(jī)制帶來(lái)的安全隱患，研究口令認(rèn)證的學(xué)者提出了動(dòng)態(tài)口令認(rèn)證技術(shù)以保護(hù)重要的網(wǎng)絡(luò)系統(tǒng)資源，動(dòng)態(tài)口令認(rèn)證也逐漸成為了口令認(rèn)證的主流技術(shù)。20世紀(jì)80年代初，貝爾實(shí)驗(yàn)室的Lamport博士基于哈希函數(shù)算法首次提出了一種生成動(dòng)態(tài)口令的方法，用戶(hù)每次登錄時(shí)發(fā)送給服務(wù)器的口令都會(huì)改變。在2000年以前，動(dòng)態(tài)口令方案的實(shí)施都依靠于動(dòng)態(tài)口令卡，但是隨著使用人數(shù)的不斷增加，對(duì)口令卡的維護(hù)成為了亟待解決的難題。動(dòng)態(tài)口令卡算法在加載到每一個(gè)口令卡的時(shí)候就被固定，一旦遭到破譯就有可能存在冒用，同時(shí)口令卡的壽命較短，使用起來(lái)也相對(duì)麻煩。為了解決這些弊端研究人員發(fā)明了依附于網(wǎng)絡(luò)的動(dòng)態(tài)口令的傳送方法，即移動(dòng)口令。02動(dòng)態(tài)口令認(rèn)證的發(fā)展現(xiàn)狀哈希函數(shù)示意圖動(dòng)態(tài)口令卡是根據(jù)特定算法生成不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每個(gè)口令只能使用一次，以保證用戶(hù)安全。動(dòng)態(tài)口令卡態(tài)口令通常通過(guò)一種稱(chēng)為令牌的專(zhuān)用硬件來(lái)生成，即為硬件令牌。硬件令牌是一種采用內(nèi)置電源、存儲(chǔ)器、密碼計(jì)算芯片和顯示屏的設(shè)備，具有使用便利、安全性高等特點(diǎn)。硬件口令牌動(dòng)態(tài)手機(jī)口令牌也稱(chēng)移動(dòng)口令，是用來(lái)生成動(dòng)態(tài)口令的手機(jī)客戶(hù)端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的分類(lèi)電子銀行口令卡示例動(dòng)態(tài)手機(jī)口令牌也稱(chēng)移動(dòng)口令，是用來(lái)生成動(dòng)態(tài)口令的手機(jī)客戶(hù)端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的分類(lèi)電子銀行口令卡示例高等學(xué)校招生考試動(dòng)態(tài)口令卡中國(guó)工商銀行的口令卡上有橫縱坐標(biāo)，對(duì)應(yīng)的有數(shù)字，客戶(hù)在使用電子銀行（包括網(wǎng)上銀行或電話(huà)銀行）進(jìn)行對(duì)外轉(zhuǎn)賬、客對(duì)商（B2C，Business-to-Consumer）購(gòu)物、繳費(fèi)等支付交易時(shí)，電子銀行系統(tǒng)會(huì)隨機(jī)給出一組口令卡坐標(biāo)，客戶(hù)根據(jù)坐標(biāo)從卡片中找到口令組合并輸入到電子銀行系統(tǒng)。只有當(dāng)口令組合輸入正確時(shí)，客戶(hù)才能完成相關(guān)交易。另外，一些省市在普通高等學(xué)校招生（高考）也引入了動(dòng)態(tài)口令卡這種工具，如圖3.5所示。其主要功能是用于查詢(xún)成績(jī)，填報(bào)志愿，查詢(xún)錄取結(jié)果等方面，“考生動(dòng)態(tài)口令卡”有隨機(jī)生成的64個(gè)密碼，密碼采用覆膜覆蓋以防止泄密，考生使用時(shí)，每次刮開(kāi)一條對(duì)應(yīng)的密碼，根據(jù)“XX省教育考試院”網(wǎng)站上要求的動(dòng)態(tài)口令填寫(xiě)。動(dòng)態(tài)手機(jī)口令牌也稱(chēng)移動(dòng)口令，是用來(lái)生成動(dòng)態(tài)口令的手機(jī)客戶(hù)端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的分類(lèi)硬件令牌通常是獨(dú)立于終端的、授權(quán)用戶(hù)可隨身攜帶的、信用片或鑰匙鏈大小的器件，并且令牌本身可使用PIN來(lái)保護(hù)。動(dòng)態(tài)口令認(rèn)證系統(tǒng)通過(guò)使用令牌產(chǎn)生的無(wú)法猜測(cè)和復(fù)制的動(dòng)態(tài)口令以接入系統(tǒng)，保證了接入遠(yuǎn)程系統(tǒng)的終端用戶(hù)確實(shí)為授權(quán)實(shí)體，有效地保護(hù)了信息系統(tǒng)的安全性，大大降低了非法訪問(wèn)的風(fēng)險(xiǎn)。一些雙因子身份認(rèn)證系統(tǒng)后臺(tái)可以設(shè)置錯(cuò)誤嘗試次數(shù)，比如3次，當(dāng)輸入錯(cuò)誤超過(guò)3次時(shí)，就會(huì)鎖定當(dāng)前賬號(hào)。硬件令牌示例動(dòng)態(tài)手機(jī)口令牌也稱(chēng)移動(dòng)口令，是用來(lái)生成動(dòng)態(tài)口令的手機(jī)客戶(hù)端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的分類(lèi)利用動(dòng)態(tài)口令與手機(jī)（或者其他移動(dòng)設(shè)備）綁定進(jìn)行身份認(rèn)證，與硬件令牌相同都是客戶(hù)端自己生成動(dòng)態(tài)口令，直接發(fā)給服務(wù)端認(rèn)證。通常也是基于時(shí)間同步的原理，每隔60秒產(chǎn)生一個(gè)隨機(jī)6位動(dòng)態(tài)密碼。在生成動(dòng)態(tài)口令牌的過(guò)程中，不會(huì)產(chǎn)生通信及費(fèi)用，不存在通信信道中被截取的可能性。手機(jī)作為動(dòng)態(tài)口令生成的載體，欠費(fèi)和無(wú)信號(hào)對(duì)其不產(chǎn)生任何影響。由于其在具有高安全性、成本低、不易丟失、容易獲取等優(yōu)勢(shì)，其應(yīng)用也十分廣泛。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的技術(shù)原理動(dòng)態(tài)（一次）口令認(rèn)證機(jī)制的主要原理是：在登錄過(guò)程中加入不確定因素。使每次登錄過(guò)程中所得到的密碼都不相同，以提高登錄過(guò)程的安全性。每次的口令是3個(gè)因子按一定算法計(jì)算得到的結(jié)果，這3個(gè)因子分別是種子（Seed）、迭代值（Iteration）和秘密通行短語(yǔ)。它們之間應(yīng)具備一種相同的“認(rèn)證器件”，該認(rèn)證器件實(shí)際上由某種算法的硬件或軟件實(shí)現(xiàn)，它的作用是生成一次性口令。一次性口令認(rèn)證模式根據(jù)不確定因素的不同，分為以下幾種模式：挑戰(zhàn)應(yīng)答模式、時(shí)間同步認(rèn)證模式與事件同步認(rèn)證模式。動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)，是有客戶(hù)端設(shè)備認(rèn)證系統(tǒng)和一個(gè)對(duì)稱(chēng)密鑰算法（客戶(hù)端設(shè)備上的個(gè)人密鑰是由認(rèn)證系統(tǒng)發(fā)放的）組成的。動(dòng)態(tài)口令則是由于算法中變量的不同而不同。動(dòng)態(tài)口令認(rèn)證原理動(dòng)態(tài)口令的優(yōu)越性使其在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用，首先其動(dòng)態(tài)性就具有極大的優(yōu)勢(shì)，不同時(shí)刻使用不同的口令，并且每個(gè)口令還都具有失效性。其次，由于口令是隨機(jī)的，每個(gè)口令可能存在100萬(wàn)以上的變化方式，同時(shí)結(jié)合口令一次性的特點(diǎn)，有效防止了暴力破解的可能性。最后，動(dòng)態(tài)口令還有操作方便、體積小、成本低等優(yōu)點(diǎn)，可以隨身攜帶，沒(méi)有記憶口令的煩惱，丟失也能及時(shí)發(fā)現(xiàn)補(bǔ)辦。雖然動(dòng)態(tài)口令具有眾多優(yōu)點(diǎn)，但是還存在一定的缺陷。首先是受一些場(chǎng)景的限制，如果手機(jī)沒(méi)電或者無(wú)法使用手機(jī)，軟件令牌就無(wú)法正常使用。其實(shí)是技術(shù)的限制，如果用戶(hù)終端與遠(yuǎn)程系統(tǒng)的時(shí)間或登錄次數(shù)不能保持良好的同步，就可能發(fā)生授權(quán)用戶(hù)無(wú)法登錄的問(wèn)題。最后是用戶(hù)體驗(yàn)感，有些口令為了增加安全性密鑰長(zhǎng)度會(huì)較長(zhǎng)，終端用戶(hù)每次登錄時(shí)都需要輸入一長(zhǎng)串無(wú)規(guī)律的密碼，使用起來(lái)較為不便。02動(dòng)態(tài)口令認(rèn)證的安全評(píng)估03USBKey認(rèn)證技術(shù)03USBKey認(rèn)證技術(shù)USBKey又名智能電子密碼鑰匙，是一種USB接口的硬件身份認(rèn)證設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，具有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶(hù)的私鑰以及數(shù)字證書(shū)，利用USBKey內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證，保障用戶(hù)安全?；赨SBKey的身份認(rèn)證方式結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)屬于強(qiáng)雙因子認(rèn)證模式，USBKey安全可靠的認(rèn)證方式、小巧便捷的外觀設(shè)計(jì)以及簡(jiǎn)單易用的特性使其廣泛應(yīng)用于銀行的網(wǎng)絡(luò)交易中，是大多數(shù)國(guó)內(nèi)銀行采用的客戶(hù)端解決方案，使用USBKey存放代表用戶(hù)唯一身份的數(shù)字證書(shū)和用戶(hù)私鑰USBKey示例一代U盾是由一塊內(nèi)置安全系統(tǒng)芯片、電子數(shù)字證書(shū)與簽名密鑰構(gòu)成的，其中安全芯片的作用是對(duì)U盾進(jìn)行安全掃描；數(shù)字證書(shū)與網(wǎng)站證書(shū)共同作用以保障用戶(hù)的登錄安全；簽名密鑰是每一個(gè)U盾特有的，其唯一性可以進(jìn)步提升安全防護(hù)。二代U盾以“基于可參與性的網(wǎng)絡(luò)可信交易理論”為基礎(chǔ)，提出了操作控制列表技術(shù)（OperationControlList，OCL），該技術(shù)從硬件認(rèn)證設(shè)備端入手，考慮已有應(yīng)用環(huán)境的兼容性與便利性，避免造成平臺(tái)及交易環(huán)境的改變，解決了終端交易環(huán)境不安全所帶來(lái)的“交易偽造”和“交易劫持”問(wèn)題，因而得到了產(chǎn)業(yè)界和各商業(yè)銀行的廣泛認(rèn)可和支持。03USBKey的發(fā)展中國(guó)建設(shè)銀行的U盾隨著PKI的不斷發(fā)展與普及，具有PKI功能的金融IC卡也開(kāi)始發(fā)行，這使得在金融IC卡中實(shí)現(xiàn)數(shù)字證書(shū)應(yīng)用在技術(shù)上成為可能，第三代U盾就是集成了第二代U盾、智能卡讀寫(xiě)器和多應(yīng)用金融IC卡功能的產(chǎn)品并逐漸成為業(yè)界關(guān)注的熱點(diǎn)。具體來(lái)說(shuō)，三代USBKey是指帶有智能卡芯片的USBKey，它可以通過(guò)內(nèi)置的智能卡芯片在USBKey內(nèi)部硬件實(shí)現(xiàn)DES/3DES、RSA等加解密運(yùn)算，并支持USBKey內(nèi)生成RSA密鑰對(duì)，杜絕了密鑰在客戶(hù)端內(nèi)存中出現(xiàn)的可能性，大大提高了安全性并解決了以下問(wèn)題：1)存儲(chǔ)型的U盾受其硬件功能的限制，僅能實(shí)現(xiàn)簡(jiǎn)單的數(shù)據(jù)算法，在PKI中廣泛使用的對(duì)稱(chēng)和非對(duì)稱(chēng)加密算法只能在PC的中間件上來(lái)運(yùn)行，黑客有一定可能截取到在內(nèi)存中的密鑰；2)智能卡運(yùn)算能力不斷提高，實(shí)現(xiàn)了可以運(yùn)行加密算法的智能卡，但與電腦連接方式不夠便利。03USBKey的發(fā)展PKI技術(shù)即公鑰基礎(chǔ)設(shè)施所謂沖擊響應(yīng)模式，就是在服務(wù)端的數(shù)據(jù)庫(kù)中和USBKey的硬件中均保存用戶(hù)密鑰信息，用戶(hù)在系統(tǒng)登錄表單中輸入U(xiǎn)serPIN信息，在瀏覽器中使用Javascript腳本語(yǔ)言進(jìn)行用戶(hù)PIN碼進(jìn)行驗(yàn)證，這一步操作相當(dāng)于用戶(hù)登錄了USBKey硬件，同時(shí)獲得USBKey的讀取權(quán)利，驗(yàn)證通過(guò)后即可讀取USBKey硬件中用戶(hù)密鑰信息，再把從USBKey中讀到的用戶(hù)密鑰信息發(fā)送到服務(wù)器端，與數(shù)據(jù)庫(kù)中保存的用戶(hù)密鑰信息進(jìn)行比較進(jìn)而完成用戶(hù)身份認(rèn)證過(guò)程。03USBKey的認(rèn)證方式?jīng)_擊響應(yīng)模式基本流程PKI技術(shù)PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI能利用一對(duì)互相匹配的密鑰進(jìn)行數(shù)據(jù)的加密、解密，即使用一個(gè)密鑰進(jìn)行分析加密，另一個(gè)配對(duì)的密鑰進(jìn)行解密。PKI的建立并應(yīng)用于信息安全服務(wù)，有效地解決了網(wǎng)絡(luò)通信應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性等安全問(wèn)題。一個(gè)典型的PKI系統(tǒng)是由證書(shū)機(jī)構(gòu)CA其作用是為用戶(hù)產(chǎn)生證書(shū)、注冊(cè)機(jī)構(gòu)數(shù)字證書(shū)注冊(cè)中心（RA，RegistrationAuthority）其作用是接受用戶(hù)的證書(shū)申請(qǐng)和審核、證書(shū)發(fā)布系統(tǒng)以及PKI策略、軟硬件系統(tǒng)、PKI應(yīng)用組成的。PKI體系通過(guò)采用加密算法構(gòu)建了一套完整的流程，CA為系統(tǒng)內(nèi)每個(gè)合法用戶(hù)辦一個(gè)網(wǎng)上身份認(rèn)證，有效的保障了數(shù)字證書(shū)持有人的身份安全，結(jié)合USBKey可以保障數(shù)字證書(shū)無(wú)法復(fù)制，只有USBKey的持有人才可以對(duì)數(shù)字證書(shū)進(jìn)行操作，這樣對(duì)身份認(rèn)證過(guò)程中的安全性就有了很大的保障。03USBKey的認(rèn)證方式04RFIDXidianUniversity04RFID無(wú)線射頻識(shí)別（RFID），是利用無(wú)線射頻方式進(jìn)行對(duì)象識(shí)別與數(shù)據(jù)交換，實(shí)現(xiàn)對(duì)需要的物體的識(shí)別，是一種非物理性接觸、低成本、低功耗的新興自動(dòng)識(shí)別技術(shù)，是應(yīng)用最廣泛的自動(dòng)識(shí)別（Auto-ID）技術(shù)之一。其基本原理為，利用射頻信號(hào)通過(guò)空間耦合以及反射的傳輸性，實(shí)現(xiàn)無(wú)接觸信息傳遞和物體自動(dòng)識(shí)別的功能。RFID具有識(shí)別距離遠(yuǎn)，攜帶信息大，可移植性強(qiáng)，環(huán)境局限性小，使用壽命長(zhǎng)，安全性好等優(yōu)勢(shì)。因此通常結(jié)合身份認(rèn)證技術(shù)中的雙因子認(rèn)證技術(shù)以及RFID設(shè)備自身特點(diǎn)實(shí)現(xiàn)安全性能較高的身份認(rèn)證系統(tǒng)。將密碼技術(shù)應(yīng)用于認(rèn)證RFID系統(tǒng)中各通信方的身份在已有的RFID安全認(rèn)證協(xié)議中非常常見(jiàn)，也是眾多研究者研究的重點(diǎn)。而RFID具有掃描快速、體積小、抗污染能力強(qiáng)、數(shù)據(jù)容量大、可重復(fù)使用、無(wú)屏障閱讀、安全性高等特點(diǎn)，在提高計(jì)算機(jī)用戶(hù)信息的安全性中有較大優(yōu)勢(shì)。RFID系統(tǒng)的主要構(gòu)成1941—1950年1961—1970年1971—1980年1981—1990年哈里.斯托克曼發(fā)表的“利用反射功率的通訊”奠定了射頻識(shí)別RFID的理論基礎(chǔ)出現(xiàn)了一些最早的RFID應(yīng)用，基于IC的RFID系統(tǒng)開(kāi)始在制造與運(yùn)輸?shù)刃袠I(yè)進(jìn)行開(kāi)發(fā)和研究Sensormatic等公司開(kāi)始推廣稍微不那么復(fù)雜的RFID系統(tǒng)商用，主要用于電子物品監(jiān)控。RFID技術(shù)及產(chǎn)品進(jìn)入商業(yè)應(yīng)用階段，各種規(guī)模應(yīng)用開(kāi)始出現(xiàn)。04RFID的發(fā)展RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動(dòng)態(tài)車(chē)輛識(shí)別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波04RFID的優(yōu)勢(shì)1.抗干擾性超強(qiáng)RFID一個(gè)最重要的優(yōu)點(diǎn)就是非接觸式識(shí)別，它在急劇惡劣的環(huán)境下都可以工作，可以并且穿透力極強(qiáng)。2.RFID標(biāo)簽的數(shù)據(jù)容量大標(biāo)簽的數(shù)據(jù)容量可以根據(jù)用戶(hù)的需求擴(kuò)充到10KB，遠(yuǎn)遠(yuǎn)高于二維碼2725個(gè)數(shù)字的容量。3.可以動(dòng)態(tài)操作RFID的標(biāo)簽數(shù)據(jù)可以利用編程進(jìn)行動(dòng)態(tài)的修改，并且還可以動(dòng)態(tài)追蹤和監(jiān)控。4.使用壽命長(zhǎng)標(biāo)簽不易被破壞，使用時(shí)間長(zhǎng)。5.防沖突在頻率解讀器的有效識(shí)別范圍內(nèi)，RFID可以同時(shí)讀取多個(gè)標(biāo)簽進(jìn)行識(shí)別，并不會(huì)導(dǎo)致讀取標(biāo)簽沖突。6.安全性高RFID標(biāo)簽可以以任何形式附著在產(chǎn)品上，可以為標(biāo)簽數(shù)據(jù)進(jìn)行密碼加密，以提高其安全性。7.識(shí)別速度快只要RFID標(biāo)簽一進(jìn)入解讀器的有效識(shí)別范圍內(nèi)，可能毫秒級(jí)就能獲取到數(shù)據(jù)。RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動(dòng)態(tài)車(chē)輛識(shí)別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波04RFID的安全問(wèn)題根據(jù)RFID系統(tǒng)的組成與工作流程可以發(fā)現(xiàn)，RFID的安全威脅主要來(lái)自?xún)蓚€(gè)方面：一是標(biāo)簽自身的安全問(wèn)題，二是信息傳輸?shù)陌踩珕?wèn)題。標(biāo)簽自身的安全問(wèn)題體現(xiàn)在：RFID系統(tǒng)很難具備保證自身信息足夠安全的能力，面臨著自身信息被竊聽(tīng)、破解、截獲與復(fù)制的安全威脅。身份認(rèn)證的任務(wù)是識(shí)別、驗(yàn)證信息系統(tǒng)中用戶(hù)身份的合法性和真實(shí)性。如果能夠保證RFID系統(tǒng)中參與通信的各方均擁有合法身份，那么就能保證RFID系統(tǒng)工作環(huán)境的安全。05二維碼/條形碼05二維碼/條形碼二維碼/條形碼是一種可印刷的機(jī)器語(yǔ)言，以規(guī)則排列的圖形符號(hào)來(lái)表示數(shù)據(jù)。早在40年代就誕生了條碼，經(jīng)過(guò)不斷的發(fā)展在70年代得到了實(shí)際的應(yīng)用，現(xiàn)在條碼技術(shù)已經(jīng)普遍應(yīng)用于世界上的各個(gè)國(guó)家和地區(qū)，其應(yīng)用領(lǐng)域也越來(lái)越廣泛。使用條碼進(jìn)行識(shí)別時(shí)，需要通過(guò)條碼閱讀機(jī)進(jìn)行掃描，得到一組反射光信號(hào)，此信號(hào)經(jīng)光電轉(zhuǎn)換后變?yōu)橐唤M與線條、空白相對(duì)應(yīng)的電子訊號(hào)，經(jīng)解碼后還原為相應(yīng)的文數(shù)字，再傳入電腦經(jīng)由數(shù)據(jù)庫(kù)查詢(xún)條碼中包含的相關(guān)信息。目前條碼識(shí)別技術(shù)已經(jīng)很完善了，讀取識(shí)別的錯(cuò)誤率約為百萬(wàn)分之一，是一種可靠性高、輸入快速、準(zhǔn)確性高、成本低、應(yīng)用面廣的身份認(rèn)證技術(shù)。二維碼示例堆疊式/行排式二維條碼又稱(chēng)堆積式二維條碼或?qū)优攀蕉S條碼，其編碼原理是建立在一維條碼基礎(chǔ)之上，按需要堆積成二行或多行。堆疊式/行排式二維條碼矩陣式二維條碼（又稱(chēng)棋盤(pán)式二維條碼）它是在一個(gè)矩形空間通過(guò)黑、白像素在矩陣中的不同分布進(jìn)行編碼。在矩陣相應(yīng)元素位置上，用點(diǎn)（方點(diǎn)、圓點(diǎn)或其他形狀）的出現(xiàn)表示二進(jìn)制“1”，點(diǎn)的不出現(xiàn)表示二進(jìn)制的“0”，點(diǎn)的排列組合確定了矩陣式二維條碼所代表的意義。矩陣式二維條碼郵政碼是通過(guò)不同長(zhǎng)度的條進(jìn)行編碼，主要用于郵件編碼，如：Postnet、BPO4-State。郵政碼05二維碼/條形碼分類(lèi)05二維碼/條形碼糾錯(cuò)碼二維碼/條形碼的自動(dòng)糾錯(cuò)功能是通過(guò)對(duì)其存儲(chǔ)信息進(jìn)行糾錯(cuò)編碼而實(shí)現(xiàn)的，當(dāng)二維碼/條形碼存在部分信息缺損、變形或被誤識(shí)時(shí)，糾錯(cuò)碼可以利用獲取的部分信息來(lái)還原二維碼/條形碼中的正確信息，里德-所羅門(mén)碼（Reed-Solomon，RS）編碼就是常用的糾錯(cuò)碼之一，又稱(chēng)里所碼。在RS的譯碼過(guò)程中，若需要糾錯(cuò)的t數(shù)值較大時(shí)，直接進(jìn)行解方程組計(jì)算難度和計(jì)算成本都會(huì)增加，為了提高效率提出了一些快速譯碼方法，彼德森直接算法、伯利坎普算法和Peterson．Gorenstein—Zierler算法都是常用于RS譯碼的經(jīng)典算法。RS碼編碼譯碼器結(jié)構(gòu)示意圖05基于二維碼/條形碼的身份認(rèn)證基于二維碼/條形碼的身份認(rèn)證系統(tǒng)是目前較為常見(jiàn)的身份認(rèn)證方式之一，其目的是為了實(shí)現(xiàn)安全、快捷的身份認(rèn)證。它使用圖形化的方式存儲(chǔ)信息，對(duì)信息內(nèi)容進(jìn)行了加密和隱藏，并利用其本身自動(dòng)糾錯(cuò)的能力，保證了信息在被破壞、干擾的情況下依然能被讀取。二維碼/條形碼也可以有效地由機(jī)器進(jìn)行識(shí)別，這使他可以應(yīng)用于各種自動(dòng)系統(tǒng)。基于二維碼/條形碼的身份認(rèn)證系統(tǒng)主要由客戶(hù)端和服務(wù)器端構(gòu)成，其中智能手機(jī)作為客戶(hù)端由用戶(hù)持有，身份認(rèn)證服務(wù)器端由身份認(rèn)證服務(wù)器、存儲(chǔ)用戶(hù)認(rèn)證信息的數(shù)據(jù)庫(kù)以及實(shí)現(xiàn)認(rèn)證結(jié)果的模塊組成。藍(lán)牙通訊也經(jīng)常被應(yīng)用于二維碼/條形碼的身份認(rèn)證，利用其短距離無(wú)線傳輸技術(shù)與方便靈活的使用，取代不可信的無(wú)線傳輸，不僅保證了安全性還增加了認(rèn)證系統(tǒng)的易用性。二維碼身份認(rèn)證系統(tǒng)圖05身份認(rèn)證安全性分析作為一個(gè)身份認(rèn)證系統(tǒng)，安全性是其核心問(wèn)題?；诙S碼的身份認(rèn)證系統(tǒng)的安全機(jī)制主要包含以下幾個(gè)方面：1）最終的安全信息通過(guò)顯示在手機(jī)屏幕上的二維條碼傳遞。由于手機(jī)屏幕相對(duì)較小，并且手機(jī)屏幕是定向的攝像頭展示，不易被攻擊者截取。2）在藍(lán)牙設(shè)備進(jìn)行連接的過(guò)程中，使用個(gè)人ID碼（PIN碼）進(jìn)行口令-應(yīng)答方式的認(rèn)證，當(dāng)雙方的PIN碼一致時(shí)才能夠能建立藍(lán)牙連接。3）分別存儲(chǔ)在智能手機(jī)與用戶(hù)信息數(shù)據(jù)集庫(kù)的用戶(hù)密碼使用MD5等加密方法進(jìn)行加密。此信息無(wú)法逆向還原為密碼原文，即便使用碰撞算法也需要多次嘗試。4）用戶(hù)每次連接均會(huì)由認(rèn)證服務(wù)器隨機(jī)產(chǎn)生一個(gè)動(dòng)態(tài)密鑰，每次產(chǎn)生的動(dòng)態(tài)密鑰均不相同，此動(dòng)態(tài)密鑰與本次認(rèn)證相對(duì)應(yīng)。MD5加密算法示意圖06藍(lán)牙06藍(lán)牙藍(lán)牙設(shè)備簡(jiǎn)化了設(shè)備與設(shè)備之間、設(shè)備與網(wǎng)絡(luò)之間的通信，使數(shù)據(jù)傳輸變的更加快捷高效。藍(lán)牙模塊可以被植入到各種設(shè)備中得到了廣泛的應(yīng)用，比如手機(jī)、耳機(jī)、手表、汽車(chē)等，這都與藍(lán)牙技術(shù)的特點(diǎn)密不可分：1.射頻特性與數(shù)據(jù)傳輸藍(lán)牙技術(shù)選擇對(duì)全世界公開(kāi)的2.4GHz頻段作為工作頻段?？梢院芎玫闹С?jǐn)?shù)據(jù)和語(yǔ)言之間的傳輸，其中針對(duì)語(yǔ)音數(shù)據(jù)屬于重點(diǎn)。2.開(kāi)放性藍(lán)牙技術(shù)無(wú)線通信的規(guī)范是公開(kāi)的，任何廠家都可拿來(lái)生產(chǎn)藍(lán)牙模塊，只要能通過(guò)SIG的質(zhì)量檢測(cè)和兼容性檢測(cè)，產(chǎn)品就可以順利進(jìn)入市場(chǎng)，并沒(méi)有其他限制。3.功率低藍(lán)牙保持休眠狀態(tài)的時(shí)候因?yàn)椴还ぷ鲙缀醪幌墓β?。同時(shí)，加上藍(lán)牙的傳輸距離相對(duì)較短，因此藍(lán)牙消耗的功率是很低的。4.價(jià)格低在供需關(guān)系的引導(dǎo)下，藍(lán)牙產(chǎn)品的價(jià)格也逐漸減低，應(yīng)用也越來(lái)越廣泛。5.鑒權(quán)和加密藍(lán)牙進(jìn)行第二次連接的時(shí)候藍(lán)牙便會(huì)自動(dòng)連接，為用戶(hù)提供了極大的便利。同時(shí)藍(lán)牙信道是加密的，密鑰是由程序的高層進(jìn)行管理的，保證了傳輸數(shù)據(jù)的安全性。6.輻射低藍(lán)牙的輻射量為1毫瓦，與其他帶有輻射的設(shè)備相比，是微波爐使用功率的百萬(wàn)分之一，是電話(huà)的千分之一。06藍(lán)牙協(xié)議藍(lán)牙的協(xié)議內(nèi)容很多，但是并非每一種藍(lán)牙應(yīng)用都需要使用全部協(xié)議，藍(lán)牙協(xié)議結(jié)構(gòu)主要包含藍(lán)牙模塊與藍(lán)牙主機(jī)，其中藍(lán)牙模塊部分包含一個(gè)主機(jī)控制器（HC，HostController），用于解釋從主機(jī)接收到的信息，并負(fù)責(zé)將收集到的藍(lán)牙模塊各部分狀態(tài)信息傳送給主機(jī)。藍(lán)牙技術(shù)中的一些可選協(xié)議為藍(lán)牙的廣泛應(yīng)用提供了便利。BNEP與PPP分別基于L2CAP和RFCOMM，實(shí)現(xiàn)了對(duì)TCP/IP等網(wǎng)絡(luò)協(xié)議的封裝，為設(shè)備之間的連接與通信提供了良好的途徑。藍(lán)牙結(jié)構(gòu)圖06藍(lán)牙的安全機(jī)制藍(lán)牙無(wú)線通信安全機(jī)制包含五個(gè)不同的功能模塊:配對(duì)、綁定、設(shè)備鑒權(quán)、加密和消息完整性。配對(duì)是指創(chuàng)建一個(gè)或多個(gè)共享安全碼的過(guò)程；綁定是通過(guò)保存配對(duì)中創(chuàng)建的安全碼用于形成可信設(shè)備對(duì)以進(jìn)行連接；設(shè)備鑒權(quán)用于驗(yàn)證兩臺(tái)設(shè)備擁有共同的安全碼；加密是為了消息保密；消息完整性是為了有效防止消息偽造。藍(lán)牙通信結(jié)構(gòu)圖PIN碼是最后一道防護(hù)，如果抓包藍(lán)牙設(shè)備配對(duì)的數(shù)據(jù)包，然后通過(guò)惡意軟件爆破PIN碼后，藍(lán)牙的整個(gè)加密認(rèn)證體系就摧毀了。PIN碼威脅藍(lán)牙MAC地址是藍(lán)牙唯一的設(shè)備地址，攻擊者可以通過(guò)修改自身的設(shè)備地址，來(lái)偽造身份，或者通過(guò)掃描附近的藍(lán)牙設(shè)備，把自己的地址信息修改成另一個(gè)設(shè)備一模一樣的地址，完成身份克隆。身份偽造藍(lán)牙傳輸范圍是有限的，如果使用藍(lán)牙信號(hào)增幅的設(shè)備，盡可能的擴(kuò)大藍(lán)牙的傳輸范圍，被藍(lán)牙解鎖設(shè)備感受到了藍(lán)牙電波的存在就可能觸發(fā)設(shè)備解鎖。中繼攻擊攻擊者偽裝成發(fā)起方嘗試連接目標(biāo)設(shè)備，故意失敗多次，從而配對(duì)間隔時(shí)間不斷增大，當(dāng)達(dá)到一個(gè)最大值時(shí)，真正的設(shè)備也將無(wú)法進(jìn)行連接。拒絕服務(wù)攻擊06藍(lán)牙安全威脅數(shù)字鑰匙藍(lán)牙智能門(mén)鎖智能手環(huán)06藍(lán)牙身份認(rèn)證第四章用戶(hù)是什么現(xiàn)代生物識(shí)別技術(shù)目錄CONTENTS04聲音識(shí)別05掌紋識(shí)別06未來(lái)發(fā)展與挑戰(zhàn)01人臉識(shí)別02指紋識(shí)別03虹膜識(shí)別00引言現(xiàn)代生物識(shí)別技術(shù)我們生活在一個(gè)高度信息化的社會(huì)，越來(lái)越多的人意識(shí)到信息保護(hù)的重要性。隨著技術(shù)的發(fā)展，傳統(tǒng)的身份驗(yàn)證方法，如數(shù)字密碼、字符密碼，甚至數(shù)字和字符的組合，已經(jīng)逐漸無(wú)法滿(mǎn)足用戶(hù)對(duì)隱私保護(hù)的要求。信息保護(hù)的重要性相對(duì)于傳統(tǒng)身份驗(yàn)證方法，生物識(shí)別技術(shù)提供了一種更為可靠且方便的解決方案。每個(gè)人的生物特征都是獨(dú)一無(wú)二的，包括指紋、虹膜、面部結(jié)構(gòu)等，這些都不容易被復(fù)制或模仿。生物識(shí)別技術(shù)的優(yōu)勢(shì)生物識(shí)別技術(shù)已經(jīng)被廣泛應(yīng)用于金融、電子商務(wù)、網(wǎng)絡(luò)安全、門(mén)禁安全等領(lǐng)域，顯示出其跨行業(yè)的適應(yīng)性和實(shí)用性應(yīng)用范圍的廣泛性00現(xiàn)代生物識(shí)別技術(shù)00生物識(shí)別技術(shù)概覽生物識(shí)別技術(shù)是一種利用人的生物學(xué)特征進(jìn)行身份認(rèn)證的技術(shù)。它基于每個(gè)人獨(dú)有的生理或行為特征，如指紋、虹膜、人臉、聲音等，提供一種安全、便捷的身份驗(yàn)證方式。定義隨著數(shù)字化時(shí)代的到來(lái)，傳統(tǒng)的身份驗(yàn)證方法（如密碼和PIN碼）由于安全性和便利性問(wèn)題逐漸顯示出局限性。生物識(shí)別技術(shù)提供了一種固有的、難以偽造的身份驗(yàn)證手段，極大地增強(qiáng)了個(gè)人和企業(yè)的數(shù)據(jù)安全。重要性技術(shù)分類(lèi)人臉識(shí)別利用個(gè)體面部的結(jié)構(gòu)特征進(jìn)行識(shí)別。常見(jiàn)于公安識(shí)別、手機(jī)解鎖及自動(dòng)邊檢應(yīng)用。指紋識(shí)別分析手指上的紋理圖案，是最早被商用的生物識(shí)別技術(shù)。廣泛用于門(mén)禁系統(tǒng)、手機(jī)安全及銀行認(rèn)證。虹膜識(shí)別通過(guò)分析眼睛虹膜的復(fù)雜圖案進(jìn)行身份驗(yàn)證。由于其高準(zhǔn)確性，常用于高安全場(chǎng)所的身份認(rèn)證。聲音識(shí)別基于語(yǔ)音的特點(diǎn)進(jìn)行個(gè)體識(shí)別，常用于電話(huà)銀行服務(wù)和智能助理。掌紋識(shí)別使用手掌的紋理和脈絡(luò)圖案進(jìn)行識(shí)別。相較于其他生物特征，掌紋提供了更多的特征區(qū)域，用于增加識(shí)別的準(zhǔn)確性。01人臉識(shí)別01人臉識(shí)別技術(shù)人臉識(shí)別是一種基于個(gè)體面部特征來(lái)進(jìn)行身份驗(yàn)證的生物識(shí)別技術(shù)。它通過(guò)分析面部結(jié)構(gòu)的關(guān)鍵點(diǎn)，如眼睛、鼻子、嘴巴以及臉型等，識(shí)別個(gè)人身份?；靖拍钊四樧R(shí)別技術(shù)廣泛應(yīng)用于安全驗(yàn)證系統(tǒng)、公安系統(tǒng)、移動(dòng)設(shè)備安全、銀行安全驗(yàn)證等領(lǐng)域。它也被用于監(jiān)控系統(tǒng)以提升公共安全，如機(jī)場(chǎng)、購(gòu)物中心和重要基礎(chǔ)設(shè)施的監(jiān)控系統(tǒng)。應(yīng)用背景

(a)門(mén)禁身份認(rèn)證(b)面容支付01人臉識(shí)別技術(shù)-技術(shù)原理

人臉檢測(cè)與預(yù)處理特征提取特征匹配與識(shí)別系統(tǒng)需要檢測(cè)出圖像中的人臉，通常是通過(guò)人臉的顏色和特定結(jié)構(gòu)特征來(lái)實(shí)現(xiàn)。之后，將檢測(cè)到的人臉進(jìn)行預(yù)處理，包括調(diào)整圖像尺寸和方向，確保后續(xù)處理的一致性。提取的特征數(shù)據(jù)將與數(shù)據(jù)庫(kù)中預(yù)存的面部數(shù)據(jù)進(jìn)行比對(duì)。匹配過(guò)程通常涉及復(fù)雜的算法，以確保識(shí)別的準(zhǔn)確性和效率。系統(tǒng)將提取面部的關(guān)鍵特征點(diǎn)，這些特征點(diǎn)包括但不限于眼睛、鼻子、嘴巴的位置，以及臉的輪廓。這些特征點(diǎn)將轉(zhuǎn)化為數(shù)據(jù)，以便進(jìn)行進(jìn)一步的分析。01人臉識(shí)別技術(shù)-挑戰(zhàn)與解決方案人臉識(shí)別技術(shù)面臨的主要挑戰(zhàn)包括光線變化、面部遮擋（如戴眼鏡或口罩）、表情變化等因素的影響。挑戰(zhàn)人臉識(shí)別技術(shù)廣泛應(yīng)用于安全驗(yàn)證系統(tǒng)、公安系統(tǒng)、移動(dòng)設(shè)備安全、銀行安全驗(yàn)證等領(lǐng)域。它也被用于監(jiān)控系統(tǒng)以提升公共安全，如機(jī)場(chǎng)、購(gòu)物中心和重要基礎(chǔ)設(shè)施的監(jiān)控系統(tǒng)。解決方案02指紋識(shí)別02指紋識(shí)別技術(shù)指紋識(shí)別是一種通過(guò)分析個(gè)人手指上的紋理圖案進(jìn)行身份驗(yàn)證的生物識(shí)別技術(shù)。它依據(jù)的是指紋中的脊線、分叉點(diǎn)和終止點(diǎn)等微小特征，這些特征在每個(gè)人身上都是獨(dú)一無(wú)二的?；靖拍钪讣y識(shí)別技術(shù)被廣泛用于門(mén)禁控制、身份驗(yàn)證、移動(dòng)支付和法律執(zhí)法等領(lǐng)域。它的便捷性和高安全性使其成為最普遍應(yīng)用的生物識(shí)別技術(shù)之一。應(yīng)用背景

(a)電腦指紋解鎖

(b)手機(jī)指紋解鎖

(c)指紋打卡02指紋識(shí)別技術(shù)

-技術(shù)原理

指紋采集特征提取特征匹配與識(shí)別通過(guò)指紋掃描器或傳感器捕獲指紋圖像。這些設(shè)備利用光學(xué)、電容或超聲波技術(shù)來(lái)捕捉指紋的高分辨率圖像。提取的特征將與數(shù)據(jù)庫(kù)中存儲(chǔ)的指紋模板進(jìn)行匹配。通過(guò)算法計(jì)算兩者之間的相似度，從而驗(yàn)證用戶(hù)的身份。從采集到的指紋圖像中提取特征點(diǎn)，主要關(guān)注脊線的流向、分叉點(diǎn)和終止點(diǎn)等關(guān)鍵特征。02指紋識(shí)別技術(shù)-挑戰(zhàn)與解決方案指紋識(shí)別可能受到手指表面的干凈度、損傷或磨損以及環(huán)境因素（如濕度和污漬）的影響。挑戰(zhàn)開(kāi)發(fā)更先進(jìn)的傳感器技術(shù)，如多光譜成像和增強(qiáng)的圖像處理算法，以提高在不理想條件下的識(shí)別準(zhǔn)確性。解決方案03虹膜識(shí)別03虹膜識(shí)別技術(shù)虹膜識(shí)別是一種利用眼睛虹膜中獨(dú)特圖案進(jìn)行身份驗(yàn)證的生物識(shí)別技術(shù)。虹膜具有復(fù)雜的紋理，這些紋理即使在同卵雙胞胎中也是獨(dú)特的，且從出生到死亡過(guò)程中保持不變?；靖拍詈缒ぷR(shí)別技術(shù)因其極高的識(shí)別準(zhǔn)確率和難以偽造的特性，被廣泛應(yīng)用于高安全級(jí)別的身份驗(yàn)證場(chǎng)合，如機(jī)場(chǎng)邊檢、國(guó)防安全和重要設(shè)施的訪問(wèn)控制。應(yīng)用背景

(a)入境管理身份認(rèn)證

(b)政府機(jī)構(gòu)身份認(rèn)證03虹膜識(shí)別技術(shù)

-技術(shù)原理

虹膜捕獲特征提取特征匹配與識(shí)別使用專(zhuān)門(mén)的攝像設(shè)備，在一定距離內(nèi)通過(guò)紅外光照射捕獲眼睛的虹膜圖像。紅外光有助于突出虹膜的細(xì)節(jié)紋理，即使在光線較暗的環(huán)境中也能獲得高質(zhì)量的圖像。將提取的虹膜特征與數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)的虹膜模板進(jìn)行比對(duì)。匹配算法評(píng)估兩者之間的相似度，若足夠高，則確認(rèn)身份匹配。從捕獲的虹膜圖像中提取特征，包括各種環(huán)、褶皺和紋理點(diǎn)。這些特征將轉(zhuǎn)換成數(shù)字代碼，形成虹膜模板。03虹膜識(shí)別技術(shù)-挑戰(zhàn)與解決方案用戶(hù)需要直視攝像頭，可能導(dǎo)致操作上的不便。此外，眼鏡、隱形眼鏡或眼部疾病也可能影響圖像質(zhì)量和識(shí)別效果。挑戰(zhàn)采用更先進(jìn)的成像技術(shù)和圖像處理算法，以提高系統(tǒng)對(duì)上述問(wèn)題的魯棒性。增加系統(tǒng)的用戶(hù)指導(dǎo)，確保正確捕獲虹膜圖像。解決方案(a)近紅外虹膜圖像

(b)可見(jiàn)光虹膜圖像04聲音識(shí)別04聲音識(shí)別技術(shù)聲音識(shí)別技術(shù)基于分析個(gè)體的聲音特征進(jìn)行身份驗(yàn)證，主要利用語(yǔ)音的音調(diào)、節(jié)奏、音色和發(fā)音等特點(diǎn)。每個(gè)人的聲音具有獨(dú)特的生理和行為特征，這些可以用于明確個(gè)人身份?；靖拍盥曇糇R(shí)別技術(shù)常用于電話(huà)銀行系統(tǒng)、智能家居控制、虛擬助理和安全門(mén)禁系統(tǒng)等。由于其非接觸式和遠(yuǎn)程操作的特點(diǎn)，聲音識(shí)別為用戶(hù)提供了極大的便利。應(yīng)用背景基于HMM的聲學(xué)模型結(jié)構(gòu)圖04聲音識(shí)別技術(shù)

-技術(shù)原理

聲音采集特征提取特征匹配與識(shí)別使用麥克風(fēng)設(shè)備捕獲語(yǔ)音樣本。在環(huán)境噪音可控的情況下，盡可能清晰地記錄下說(shuō)話(huà)者的聲音。將提取的聲學(xué)特征與數(shù)據(jù)庫(kù)中存儲(chǔ)的聲紋模板進(jìn)行比對(duì)。通過(guò)各種聲紋匹配算法計(jì)算相似度，以驗(yàn)證說(shuō)話(huà)者的身份。從捕獲的語(yǔ)音中提取有區(qū)別性的聲學(xué)特征，如基頻、共振峰和語(yǔ)速等。這些特征被轉(zhuǎn)換成數(shù)值形式，以便進(jìn)行后續(xù)處理。05掌紋識(shí)別05掌紋識(shí)別技術(shù)掌紋識(shí)別技術(shù)是通過(guò)分析手掌的紋理圖案、線條和脊線來(lái)識(shí)別個(gè)體身份的一種生物識(shí)別方法。掌紋包括掌紋紋理、主線、皺紋和脊線等，具有高度的復(fù)雜性和個(gè)體差異性。基本概念掌紋識(shí)別由于其穩(wěn)定性和獨(dú)特性，被用于高安全需求的場(chǎng)景，如銀行安全系統(tǒng)、企業(yè)門(mén)禁控制以及高安全級(jí)別的身份驗(yàn)證系統(tǒng)。應(yīng)用背景

(c)掌紋支付

(d)掌紋解鎖(a)掌紋打卡

(b)掌紋采集05掌紋識(shí)別