物联网信息安全(第5章).pptVIP

传统身份认证技术 5.3.1 身份认证 * 基于用户所拥有的标识身份的持有物的身份认证：持有物如身份证、智能卡、钥匙、银行卡（储蓄卡和信用卡）、驾驶证、护照等，这种身份认证方式称之为基于标识物（Token）的身份认证。 基于用户所拥有的特定知识的身份认证：特定知识可以是密码、用户名、卡号、暗语等。 基本认证技术 双方认证。 可信第三方认证。 基于PKI/WPKI轻量级认证 5.3.1 身份认证 * 基于PKI/WPKI轻量级认证技术研究包括： 物联网安全认证体系。重点研究在物联网应用系统中，如何基于PKI/WPKI系统实现终端设备和网络之间的双向认证，研究保证PKI/WPKI能够向终端设备安全发放设备证书的方式。 终端身份安全存储。重点研究终端身份信息在终端设备中的安全存储方式以及终端身份信息的保护。重点关注在重点设备遗失情况下，终端设备的身份信息、密钥、安全参数等关键信息不能被读取和破解，从而保证整个网络系统的安全。 基于PKI/WPKI轻量级认证 5.3.1 身份认证 * 基于PKI/WPKI轻量级认证技术研究包括： （3）身份认证协议 研究并设计终端设备与物联网承载网络之间的双向认证协议。终端设备与互联网和移动网络等核心网之间的认证分别采用PKI或WPKI颁发的证书进行认证，对于异构网络之间在进行通信之前也需要进行双向认证。从而保证只有持有信任的CA机构颁发的合法证书的终端设备才能接入持有合法证书的物联网系统。 （4）分布式身份认证技术 物联网应用业务的特点是接入设备多，分布地域广，在网络系统上建立身份认证时，如果采用集中式的方式在响应速度方面不能达到要求，就会给网络的建设带来一定的影响，因此需要建立分布式的轻量级鉴别认证系统。研究分布式终端身份认证技术、系统部署方法、身份信息在分布式轻量级鉴别认证系统中的安全、可靠性传输。 新型身份认证 5.3.1 身份认证 * 一般基于以下一个或几个因素：静态口令、用户所拥有的东西（如令牌、智能卡等）、用户所具有的生物特征（如指纹、虹膜、动态签名等）。在对身份认证安全性要求较高的情况下，通常会选择以上因素中的两种从而构成“双因素认证”。 非对称密钥认证 非对称加密算法的认证要求认证双方的个人秘密信息（如口令）不用在网络上传送，减少了认证的风险。这种认证方式通过请求认证者和认证者之间对一个随机数作数字签名与验证数字签名的方法来实现。 口令认证协议 5.3.2 用户口令 * 口令认证协议（PAP）是一种简单的明文验证方式。网络接入服务器（Network Access Server, NAS）要求提供用户名和口令，PAP以明文方式返回用户信息。 一次性口令机制 利用散列函数产生一次性口令的思想，即用户每次同服务器连接过程中使用的口令在网上传输时都是加密的密文，而且这些密文在每次连接时都是不同的，也就是说口令明文是一次有效的。 基于智能卡的身份认证 5.3.3 介质 * 基于介质（如USB key，手机等） 以其具有的安全可靠、便于携带、使用方便等诸多优点，正在被越来越多的用户所认识和使用。 基于智能手机的身份认证 当前，智能手机非常普及，给身份认证带来了新的机遇。 智能手机是一个相对安全的环境。 智能手机比USB Key,Token更容易携带 基于智能卡的身份认证机制要求用户在认证时持有智能卡（智能卡中存有秘密信息，可以是用户密码的加密文件或者是随机数），只有持卡人才能被认证。 指纹识别 5.3.4 生物特征 * 指纹图像增强。 特征提取 指纹分类 指纹匹配 虹膜识别 虹膜图像获取 图像预处理 虹膜特征提取 匹配与识别。 步态识别 5.3.5 行为 * 步态识别作为一种新兴的生物特征识别技术，它旨在根据人们走路的姿势进行身份识别。步态特征是在远距离情况下唯一可提取的生物特征，早期的医学研究证明了步态具有唯一性，因此可以通过对步态的分析来进行人的身份识别。它与其他的生物特征识别方法（如指纹、虹膜、人脸等）相比有其独特的特点： 远距离性 侵犯性 难于隐藏和伪装 便于采集 访问控制系统 5.4 访问控制 * 访问控制是对用户合法使用资源的认证和控制。 认证 认证就是证实用户的身份。认证必须和标识符共同其作用。 授权 系统正确认证用户之后，根据不同的用户标识分配给不同的使用资源。 文件保护 对文件提供附加保护，使非授权用户不可读。 审计 记录用户的行动，以说明安全方案的有效性。 访问控制功能 访问控制的关键要素 5.4.1 访问控制系统 * 主体。是可以在信息客体间流动的一种实体。通常指的是访问用户，但是进程或设备也可以成为主体。 客体。是一种信息实体，或者是从