电子商务安全教学课件作者张波04数字签名与身份认证技术课件幻灯片.pptVIP

1.口令识别法 1)根据用户知道什么来判断。如果用户能说出正确的口令，则说明他是真的，如经典的UNIX口令系统； 2)根据用户拥有什么来判断。如果用户能提供正确的物理钥匙，则说明他是真的，如普通的门钥匙和磁卡钥匙； 3)根据用户是什么来判断。如果用户生理特征与记录相符，则说明他是真的，如指纹、声音。视网膜等。 （1）不安全口令的分析 1）使用用户名(账号)作为口令 2）使用用户名(账名)的变换形式作为口令 3）使用自己或者亲友的生日作为口令 4）使用学号、身份证号、单位内的员工号码等作为口令 5）使用常用的英文单词作为口令 那么，怎样的口令才是安全的呢，首先必须是8位长度，其次必须包括大小写字母、数字，如果有控制符那就更好，最后就是不要太常见。 比如说：e8B3Z6vO或者fooL6mAN这样的密码都是比较安全的。当然，这样的口令也存在一个问题——难于记忆。 （2）一次性口令 1)一次性口令的特点 一次性口令是一种比较简单的认证机制。虽然没有Kerberos强大，但可以免于被动攻击。具体地讲，一次性口令的主要特点有： ●概念简单，易于使用 ●基于一个被记忆的密码，不需要任何附加的硬件 ●算法安全 ●不需要存储诸如密钥、口令等敏感信息 2)一次性口令的原理 一次件口令是基于客户／服务器模式的，它有操作的两方，一方是用户端，它必须在一次登录时生成正确的一次性口令；另一方是服务器端，一次性口令必须被验证。一次性口令的生成和认证都是基于公开的单向函数，如MD5，MD4。 一次性口令的多次使用形成了一次性口令序列，序列中各个元素是按以下规律生成的。假设一次性口令序列共有n个元素，即有一个可使用n次的一次性口令序列。它的第一个口令是使用单向函数n次，第二个口令使用单向函数n—1次，依次类推。如n＝4，则第一个口令为p(1)＝f(f(f(f(s))))，第二个口令为p(2)＝f(f(f(f)))，…………这样，即使窃听者监听到第i个口令(Pi)，却不能生成第i+1个，因为这就需要求得单向函数的反函数，而不知道单向函数循环起始点使用的密键，这一点是不可实现的。而循环起始点使用的密键只有用户自己知道，这就是一次性口令的安全原理。 3)一次性口令协议 ①用户输入登录名和相关身份信息ID。 ②如果系统接受用户的访问，则给用户传送一次性口令建立所使用的单向函数f及一次性密码k，这种传送通常采用加密方式。在电子商务系统中，可根据用户交费的多少和实际需要，给出允许用户访问系统的次数n。 ③用户选择“种子”密钥x，并计算第一次访问系统的口令z=fn(x)。向第一次正是访问系统所传送的数据为(k，z)。 ④系统核对k，若正确，则将(ID，fn(x))保存。 ⑤当用户第二次访问系统时，将(ID,fn-1(x))送系统。系统计算 f(fn-1(x)),将其与存储的数据对照，如果一致，则接受用户的访问，并将(ID，fn-1(x))保存。 ⑥当用户第三次访问系统时，将(ID,fn-2(x)))送系统。系统计算f(fn-2(x)),将其与存储的数据对照，如果一致，则接受用户的访问，并保存新计算的数据。 ⑦当用户每一次想要登录时，函数相乘的次数只需－1。 通常情况下，系统在口令的输入过程中不予显示，以防旁观者窥视口令。使用一次性口令就没有这个必要了。因为即使口令被看到，也不能在下一次登录中使用。 2.个人特征识别法 (1)机器识别 (2)系统误差3.签名识别法 （1）记录书写过程的技术 （2）签名识别法的使用 4.指纹识别技术（1）指纹识别技术简介（2）指纹取像的几种技术和特点（3）指纹识别系统中的软件和固件表4-1给出了三种主要技术的比较。 表4-1 三种主要技术的比较 （4）指纹识别技术的优缺点 指纹识别的优点： ①是人体独一无二的特征，并且它们的复杂度足以提供用于鉴别的足够特征；如果想要增加可靠性、只需登记更多的指纹，鉴别更多的手指，最多可以多达10个，而每一个指纹都是独一无二的； ②指纹识别的速度很快．使用非常方便； ③识别指纹时，用户必须将手指与指纹采集头相互接触，与指纹采集头直接接触是读取人体生物特征最可靠的方法。这也是指纹识别技术能够占领大部份市场的一个主要原因。 ④采集头可以更加小型化，并且价格会更加的低廉。 指纹识别的缺点： ①某些群体的指纹因为指纹特征很少，故而很难成像； ②在犯罪记录中使用指纹，使得某些人害怕“将指纹记录在案”。 ③