身份认证技术-第三章-用户有什么

目录CONTENTS04RFID05二维码/条形码06基于蓝牙的身份认证01智能卡02动态口令认证03USBkey认证技术XidianUniversity01智能卡XidianUniversity01智能卡智能卡（SmartCard）是一种应用极为广泛的个人安全器件，是一种内嵌微型芯片的集成电路卡（ICcard，IntegratedCircuitCard），一般由专门的厂商通过专门的设备进行生产，是一种不可复制的硬件，各种银行卡，电卡、手机的用户身份识别模块（SIM，SubscriberIdentityModule）卡都属于智能卡。智能卡自身就是一个功能齐备的计算机，它有自己的内存和微处理器，该微处理器具备数据读取和写入能力，也允许对智能卡上的数据进行访问和更改。从安全的角度来看，智能卡技术能够提供安全的验证机制来保护持卡人的信息，由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。XidianUniversity智能卡智能卡最初是磁卡的替代产品，智能卡能够把生活中单项使用的各种生活缴费、购物储值以及身份卡片融为一体，只要一卡在手，便能买到各类物品、得到各种服务并且进行有效的身份认证。20世纪90年代，随着微电子技术的蓬勃发展，带动了以计算机技术和集成电路为核心的智能卡的迅速崛起。智能卡可以克服磁卡的弱点，具有容量大、计算功能强、安全性能高等一系列优点，为电子货币、身份认证提供更可靠和更安全的服务。XidianUniversity01智能卡的发展磁卡（上）与智能卡（下）智能卡按嵌入芯片可以分为存储卡、加密存储卡和CPU卡。按嵌入芯片类型分类智能卡按照操作模式可以分为接触式IC卡、非接触式IC卡以及混合卡。按操作模式方式分类智能卡按照数据传输方式可以分为串行IC卡和并行IC。按数据传输方式分类智能卡按卡的应用领域可分为金融卡和非金融卡。按卡的应用领域分类XidianUniversity01智能卡的分类智能卡的规格是有统一标准的，需要遵循相关的国际标准，即ISO7810。一般智能卡是一个塑料的长方形卡，它的尺寸是从通用磁卡演化而来的，有些IC卡上还贴有磁条，可以和磁卡兼容。IC卡一般在卡片的左上角封装芯片，并在芯片上覆盖有6或8个触点用来与外部设备进行通讯，每个触点的尺寸和位置应满足相关国际标准中做出的规定，且触点位于IC卡的正面，其下面为凸型字符，印有一些发卡及用户信息，背面有磁条。XidianUniversity01智能卡的结构智能卡示意图芯片中主要由CPU、存储器以及其他外设接口组成。一般智能卡所使用的芯片通常可以分为通用芯片和专用芯片两大类，其中通用芯片是普通的集成电路芯片，比较适合于初期对安全性要求不高的智能卡应用，而专用芯片是专门为智能卡而设计、制造的芯片，这种芯片符合目前IC卡的ISO国际标准，具有较高的安全性。与此同时，专用芯片按照卡芯的不同还可以分为存储器芯片和微处理器芯片两大类，其中带安全逻辑的存储器芯片和带有加密运算的微控制器芯片在智能卡中使用的最为普遍，这两种常见芯片的典型逻辑结构见图3.2和图3.3。XidianUniversity01智能卡的结构带安全逻辑的存储器芯片逻辑结构带加密运算的微控制芯片读卡器是对IC卡操作的直接设备，根据IC卡操作模式的不同，读卡器也可以分为接触式读卡器、非接触式读卡器以及混合读卡器等不同形式，一般来说读卡器包括了读卡头和设备驱动，读卡器和卡片的接口需满足一定的国际规范（接触式IC卡，遵循ISO7816接口标准；非接触式IC卡读卡器，遵循ISO14443接口标准），标准读卡器一般是通用的。应用程序是应用逻辑控制的核心，根据不同应用所对应的程序规模、运行方式的不同，其应用程序的形式都有很大区别。对于独立的脱机应用，应用程序一般较小，逻辑结构比较简单，程序可以安装在读卡器等设备上，不需要额外增加个人电脑（PC，PersonalComputer）机等辅助设备。XidianUniversity01智能卡的结构读卡器信息安全至少应该具有以下五个方面的特性：机密性：防止未经过授权的信息获取。完整性：防止未经授权的信息更改。可获取性：防止未经授权的信息节流，也就是防止在信息传播过程中的非法截取。真实性：就是通过一系列的技术手段验证信息的真实性。持久性：长时间信息保存的可靠性、准确性。智能卡不仅具有大的存储容量，而且其安全性能也是其他种类的卡无法比拟的，确切的说，智能卡所用到安全技术就是基于信息安全的五个特性提出与实施的。XidianUniversity01智能卡安全智能卡的安全状态是指智能卡当前所处的安全级别状态，通常可以分为全局安全状态、特定文件安全状态和特定命令安全状态三种安全级别。智能卡安全状态数据对象的安全属性定义了对这些数据执行命令操作时所需要满足的条件，包括文件访问安全属性和命令安全属性。智能卡安全属性智能卡的安全机制和安全状态、安全属性是紧密联系在一起。可以将安全机制视为安全状态在实现状态转移时所采用的方法和手段。智能卡安全机制XidianUniversity01智能卡安全体系01智能卡攻击技术攻击类型攻击内容网络数据流截取攻击者可以根据信息源主机，目标主机，服务协议端口等信息简单过滤掉不关心的数据，再将感兴趣的数据发送给更高层的应用程序进行分析从而得到用户的隐私信息。木马窃听若用户电脑遭受到了病毒或木马的攻击，电脑就可能会被监听，用户在进行交易的过程中，用户的交易信息会被木马记录，与用户相关的隐私信息，例如交易密码等就有被盗的风险。穷举攻击对用户密码进行逐个推算，直到找出真正的密码为止的一种攻击方式。网络钓鱼在此处添加文字内容XidianUniversity智能卡具有自己的微处理器，这些芯片具备存储功能和信息处理功能，同时，智能卡内可存储安全控制软件及有关用户的个人化参数和数据，外部应用程序不能直接访问这些数据，这样，智能卡中个人化的参数数据从硬件上就实现了保密性。XidianUniversity01智能卡身份认证智能卡微处理器基于智能卡的身份认证结合了基于秘密信息和信任物体的实现方式，利用智能卡的信息存储和数据计算的能力，能够实现软/硬件的对称、非对称加解密算法，存储用户个人信息、密钥、数字证书等秘密数据。认证服务器和智能卡客户端之间按照一定的协议和操作来完成用户身份认证的过程。在基于智能卡的身份认证方法中，结合了密码技术以及实物对用户进行身份认证，不再需要远程服务器存储用户的口令等信息，减轻了服务器维护口令表所产生的负担，也降低了口令表被盗的风险。XidianUniversity01智能卡技术原理智能卡身份认证示意图02动态口令认证XidianUniversity02动态口令认证基于口令的认证方式是较为常用的一种认证技术。动态口令一般不需要用户记忆口令，而是依赖于用户所拥有的设备（动态口令牌、口令卡等），属于“用户有什么”这一类。而静态口令一般需要用户记忆口令，属于“用户知道什么”这一类。针对静态口令认证机制在安全方面的脆弱性，为了避免静态口令认证机制带来的安全隐患，研究口令认证的学者提出了动态口令认证技术以保护重要的网络系统资源，动态口令认证也逐渐成为了口令认证的主流技术。XidianUniversity20世纪80年代初，贝尔实验室的Lamport博士基于哈希函数算法首次提出了一种生成动态口令的方法，用户每次登录时发送给服务器的口令都会改变。在2000年以前，动态口令方案的实施都依靠于动态口令卡，但是随着使用人数的不断增加，对口令卡的维护成为了亟待解决的难题。动态口令卡算法在加载到每一个口令卡的时候就被固定，一旦遭到破译就有可能存在冒用，同时口令卡的寿命较短，使用起来也相对麻烦。为了解决这些弊端研究人员发明了依附于网络的动态口令的传送方法，即移动口令。XidianUniversity02动态口令认证的发展现状哈希函数示意图动态口令卡是根据特定算法生成不可预测的随机数字组合，每个口令只能使用一次，以保证用户安全。动态口令卡态口令通常通过一种称为令牌的专用硬件来生成，即为硬件令牌。硬件令牌是一种采用内置电源、存储器、密码计算芯片和显示屏的设备，具有使用便利、安全性高等特点。硬件口令牌动态手机口令牌也称移动口令，是用来生成动态口令的手机客户端软件，即软件令牌。动态手机口令牌XidianUniversity02动态口令认证的分类电子银行口令卡示例动态手机口令牌也称移动口令，是用来生成动态口令的手机客户端软件，即软件令牌。动态手机口令牌XidianUniversity02动态口令认证的分类电子银行口令卡示例高等学校招生考试动态口令卡中国工商银行的口令卡上有横纵坐标，对应的有数字，客户在使用电子银行（包括网上银行或电话银行）进行对外转账、客对商（B2C，Business-to-Consumer）购物、缴费等支付交易时，电子银行系统会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入到电子银行系统。只有当口令组合输入正确时，客户才能完成相关交易。另外，一些省市在普通高等学校招生（高考）也引入了动态口令卡这种工具，如图3.5所示。其主要功能是用于查询成绩，填报志愿，查询录取结果等方面，“考生动态口令卡”有随机生成的64个密码，密码采用覆膜覆盖以防止泄密，考生使用时，每次刮开一条对应的密码，根据“XX省教育考试院”网站上要求的动态口令填写。动态手机口令牌也称移动口令，是用来生成动态口令的手机客户端软件，即软件令牌。动态手机口令牌XidianUniversity02动态口令认证的分类硬件令牌通常是独立于终端的、授权用户可随身携带的、信用片或钥匙链大小的器件，并且令牌本身可使用PIN来保护。动态口令认证系统通过使用令牌产生的无法猜测和复制的动态口令以接入系统，保证了接入远程系统的终端用户确实为授权实体，有效地保护了信息系统的安全性，大大降低了非法访问的风险。一些双因子身份认证系统后台可以设置错误尝试次数，比如3次，当输入错误超过3次时，就会锁定当前账号。硬件令牌示例动态手机口令牌也称移动口令，是用来生成动态口令的手机客户端软件，即软件令牌。动态手机口令牌XidianUniversity02动态口令认证的分类利用动态口令与手机（或者其他移动设备）绑定进行身份认证，与硬件令牌相同都是客户端自己生成动态口令，直接发给服务端认证。通常也是基于时间同步的原理，每隔60秒产生一个随机6位动态密码。在生成动态口令牌的过程中，不会产生通信及费用，不存在通信信道中被截取的可能性。手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响。由于其在具有高安全性、成本低、不易丢失、容易获取等优势，其应用也十分广泛。动态手机口令牌02动态口令认证的技术原理动态（一次）口令认证机制的主要原理是：在登录过程中加入不确定因素。使每次登录过程中所得到的密码都不相同，以提高登录过程的安全性。每次的口令是3个因子按一定算法计算得到的结果，这3个因子分别是种子（Seed）、迭代值（Iteration）和秘密通行短语。它们之间应具备一种相同的“认证器件”，该认证器件实际上由某种算法的硬件或软件实现，它的作用是生成一次性口令。一次性口令认证模式根据不确定因素的不同，分为以下几种模式：挑战应答模式、时间同步认证模式与事件同步认证模式。动态口令身份认证系统，是有客户端设备认证系统和一个对称密钥算法（客户端设备上的个人密钥是由认证系统发放的）组成的。动态口令则是由于算法中变量的不同而不同。XidianUniversity动态口令认证原理动态口令的优越性使其在各个领域得到了广泛的应用，首先其动态性就具有极大的优势，不同时刻使用不同的口令，并且每个口令还都具有失效性。其次，由于口令是随机的，每个口令可能存在100万以上的变化方式，同时结合口令一次性的特点，有效防止了暴力破解的可能性。最后，动态口令还有操作方便、体积小、成本低等优点，可以随身携带，没有记忆口令的烦恼，丢失也能及时发现补办。虽然动态口令具有众多优点，但是还存在一定的缺陷。首先是受一些场景的限制，如果手机没电或者无法使用手机，软件令牌就无法正常使用。其实是技术的限制，如果用户终端与远程系统的时间或登录次数不能保持良好的同步，就可能发生授权用户无法登录的问题。最后是用户体验感，有些口令为了增加安全性密钥长度会较长，终端用户每次登录时都需要输入一长串无规律的密码，使用起来较为不便。XidianUniversity02动态口令认证的安全评估03USBKey认证技术XidianUniversity03USBKey认证技术USBKey又名智能电子密码钥匙，是一种USB接口的硬件身份认证设备，它内置单片机或智能卡芯片，具有一定的存储空间，可以存储用户的私钥以及数字证书，利用USBKey内置的公钥算法可以实现对用户身份的认证，保障用户安全。基于USBKey的身份认证方式结合了现代密码学技术、智能卡技术和USB技术属于强双因子认证模式，USBKey安全可靠的认证方式、小巧便捷的外观设计以及简单易用的特性使其广泛应用于银行的网络交易中，是大多数国内银行采用的客户端解决方案，使用USBKey存放代表用户唯一身份的数字证书和用户私钥XidianUniversityUSBKey示例一代U盾是由一块内置安全系统芯片、电子数字证书与签名密钥构成的，其中安全芯片的作用是对U盾进行安全扫描；数字证书与网站证书共同作用以保障用户的登录安全；签名密钥是每一个U盾特有的，其唯一性可以进步提升安全防护。二代U盾以“基于可参与性的网络可信交易理论”为基础，提出了操作控制列表技术（OperationControlList，OCL），该技术从硬件认证设备端入手，考虑已有应用环境的兼容性与便利性，避免造成平台及交易环境的改变，解决了终端交易环境不安全所带来的“交易伪造”和“交易劫持”问题，因而得到了产业界和各商业银行的广泛认可和支持。XidianUniversity03USBKey的发展中国建设银行的U盾随着PKI的不断发展与普及，具有PKI功能的金融IC卡也开始发行，这使得在金融IC卡中实现数字证书应用在技术上成为可能，第三代U盾就是集成了第二代U盾、智能卡读写器和多应用金融IC卡功能的产品并逐渐成为业界关注的热点。具体来说，三代USBKey是指带有智能卡芯片的USBKey，它可以通过内置的智能卡芯片在USBKey内部硬件实现DES/3DES、RSA等加解密运算，并支持USBKey内生成RSA密钥对，杜绝了密钥在客户端内存中出现的可能性，大大提高了安全性并解决了以下问题：1)存储型的U盾受其硬件功能的限制，仅能实现简单的数据算法，在PKI中广泛使用的对称和非对称加密算法只能在PC的中间件上来运行，黑客有一定可能截取到在内存中的密钥；2)智能卡运算能力不断提高，实现了可以运行加密算法的智能卡，但与电脑连接方式不够便利。XidianUniversity03USBKey的发展PKI技术即公钥基础设施所谓冲击响应模式，就是在服务端的数据库中和USBKey的硬件中均保存用户密钥信息，用户在系统登录表单中输入UserPIN信息，在浏览器中使用Javascript脚本语言进行用户PIN码进行验证，这一步操作相当于用户登录了USBKey硬件，同时获得USBKey的读取权利，验证通过后即可读取USBKey硬件中用户密钥信息，再把从USBKey中读到的用户密钥信息发送到服务器端，与数据库中保存的用户密钥信息进行比较进而完成用户身份认证过程。XidianUniversity03USBKey的认证方式冲击响应模式基本流程PKI技术PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施，PKI能利用一对互相匹配的密钥进行数据的加密、解密，即使用一个密钥进行分析加密，另一个配对的密钥进行解密。PKI的建立并应用于信息安全服务，有效地解决了网络通信应用中的机密性、真实性、完整性、不可否认性等安全问题。一个典型的PKI系统是由证书机构CA其作用是为用户产生证书、注册机构数字证书注册中心（RA，RegistrationAuthority）其作用是接受用户的证书申请和审核、证书发布系统以及PKI策略、软硬件系统、PKI应用组成的。PKI体系通过采用加密算法构建了一套完整的流程，CA为系统内每个合法用户办一个网上身份认证，有效的保障了数字证书持有人的身份安全，结合USBKey可以保障数字证书无法复制，只有USBKey的持有人才可以对数字证书进行操作，这样对身份认证过程中的安全性就有了很大的保障。XidianUniversity03USBKey的认证方式04RFIDXidianUniversity04RFID无线射频识别（RFID），是利用无线射频方式进行对象识别与数据交换，实现对需要的物体的识别，是一种非物理性接触、低成本、低功耗的新兴自动识别技术，是应用最广泛的自动识别（Auto-ID）技术之一。其基本原理为，利用射频信号通过空间耦合以及反射的传输性，实现无接触信息传递和物体自动识别的功能。RFID具有识别距离远，携带信息大，可移植性强，环境局限性小，使用寿命长，安全性好等优势。因此通常结合身份认证技术中的双因子认证技术以及RFID设备自身特点实现安全性能较高的身份认证系统。将密码技术应用于认证RFID系统中各通信方的身份在已有的RFID安全认证协议中非常常见，也是众多研究者研究的重点。而RFID具有扫描快速、体积小、抗污染能力强、数据容量大、可重复使用、无屏障阅读、安全性高等特点，在提高计算机用户信息的安全性中有较大优势。XidianUniversityRFID系统的主要构成1941—1950年1961—1970年1971—1980年1981—1990年哈里.斯托克曼发表的“利用反射功率的通讯”奠定了射频识别RFID的理论基础出现了一些最早的RFID应用，基于IC的RFID系统开始在制造与运输等行业进行开发和研究Sensormatic等公司开始推广稍微不那么复杂的RFID系统商用，主要用于电子物品监控。RFID技术及产品进入商业应用阶段，各种规模应用开始出现。XidianUniversity04RFID的发展RFID微波2.4GHz频段主要应用于船舶管理系统、煤矿人员定位系统、动态车辆识别系统、微型胶囊内窥镜系统。RFID微波XidianUniversity04RFID的优势1.抗干扰性超强RFID一个最重要的优点就是非接触式识别，它在急剧恶劣的环境下都可以工作，可以并且穿透力极强。2.RFID标签的数据容量大标签的数据容量可以根据用户的需求扩充到10KB，远远高于二维码2725个数字的容量。3.可以动态操作RFID的标签数据可以利用编程进行动态的修改，并且还可以动态追踪和监控。4.使用寿命长标签不易被破坏，使用时间长。5.防冲突在频率解读器的有效识别范围内，RFID可以同时读取多个标签进行识别，并不会导致读取标签冲突。6.安全性高RFID标签可以以任何形式附着在产品上，可以为标签数据进行密码加密，以提高其安全性。7.识别速度快只要RFID标签一进入解读器的有效识别范围内，可能毫秒级就能获取到数据。RFID微波2.4GHz频段主要应用于船舶管理系统、煤矿人员定位系统、动态车辆识别系统、微型胶囊内窥镜系统。RFID微波XidianUniversity04RFID的安全问题根据RFID系统的组成与工作流程可以发现，RFID的安全威胁主要来自两个方面：一是标签自身的安全问题，二是信息传输的安全问题。标签自身的安全问题体现在：RFID系统很难具备保证自身信息足够安全的能力，面临着自身信息被窃听、破解、截获与复制的安全威胁。身份认证的任务是识别、验证信息系统中用户身份的合法性和真实性。如果能够保证RFID系统中参与通信的各方均拥有合法身份，那么就能保证RFID系统工作环境的安全。05二维码/条形码XidianUniversity05二维码/条形码二维码/条形码是一种可印刷的机器语言，以规则排列的图形符号来表示数据。早在40年代就诞生了条码，经过不断的发展在70年代得到了实际的应用，现在条码技术已经普遍应用于世界上的各个国家和地区，其应用领域也越来越广泛。使用条码进行识别时，需要通过条码阅读机进行扫描，得到一组反射光信号，此信号经光电转换后变为一组与线条、空白相对应的电子讯号，经解码后还原为相应的文数字，再传入电脑经由数据库查询条码中包含的相关信息。目前条码识别技术已经很完善了，读取识别的错误率约为百万分之一，是一种可靠性高、输入快速、准确性高、成本低、应用面广的身份认证技术。XidianUniversity二维码示例堆叠式/行排式二维条码又称堆积式二维条码或层排式二维条码，其编码原理是建立在一维条码基础之上，按需要堆积成二行或多行。堆叠式/行排式二维条码矩阵式二维条码（又称棋盘式二维条码）它是在一个矩形空间通过黑、白像素在矩阵中的不同分布进行编码。在矩阵相应元素位置上，用点（方点、圆点或其他形状）的出现表示二进制“1”，点的不出现表示二进制的“0”，点的排列组合确定了矩阵式二维条码所代表的意义。矩阵式二维条码邮政码是通过不同长度的条进行编码，主要用于邮件编码，如：Postnet、BPO4-State。邮政码XidianUniversity05二维码/条形码分类05二维码/条形码纠错码二维码/条形码的自动纠错功能是通过对其存储信息进行纠错编码而实现的，当二维码/条形码存在部分信息缺损、变形或被误识时，纠错码可以利用获取的部分信息来还原二维码/条形码中的正确信息，里德-所罗门码（Reed-Solomon，RS）编码就是常用的纠错码之一，又称里所码。在RS的译码过程中，若需要纠错的t数值较大时，直接进行解方程组计算难度和计算成本都会增加，为了提高效率提出了一些快速译码方法，彼德森直接算法、伯利坎普算法和Peterson．Gorenstein—Zierler算法都是常用于RS译码的经典算法。XidianUniversityRS码编码译码器结构示意图05基于二维码/条形码的身份认证基于二维码/条形码的身份认证系统是目前较为常见的身份认证方式之一，其目的是为了实现安全、快捷的身份认证。它使用图形化的方式存储信息，对信息内容进行了加密和隐藏，并利用其本身自动纠错的能力，保证了信息在被破坏、干扰的情况下依然能被读取。二维码/条形码也可以有效地由机器进行识别，这使他可以应用于各种自动系统。基于二维码/条形码的身份认证系统主要由客户端和服务器端构成，其中智能手机作为客户端由用户持有，身份认证服务器端由身份认证服务器、存储用户认证信息的数据库以及实现认证结果的模块组成。蓝牙通讯也经常被应用于二维码/条形码的身份认证，利用其短距离无线传输技术与方便灵活的使用，取代不可信的无线传输，不仅保证了安全性还增加了认证系统的易用性。XidianUniversity二维码身份认证系统图05身份认证安全性分析作为一个身份认证系统，安全性是其核心问题。基于二维码的身份认证系统的安全机制主要包含以下几个方面：1）最终的安全信息通过显示在手机屏幕上的二维条码传递。由于手机屏幕相对较小，并且手机屏幕是定向的摄像头展示，不易被攻击者截取。2）在蓝牙设备进行连接的过程中，使用个人ID码（PIN码）进行口令-应答方式的认证，当双方的PIN码一致时才能够能建立蓝牙连接。3）分别存储在智能手机与用户信息数据集库的用户密码使用MD5等加密方法进行加密。此信息无法逆向还原为密码原文，即便使用碰撞算法也需要多次尝试。4）用户每次连接均会由认证服务器随机产生一个动态密钥，每次产生的动态密钥均不相同，此动态密钥与本次认证相对应。XidianUniversityMD5加密算法示意图06蓝牙XidianUniversity06蓝牙蓝牙设备简化了设备与设备之间、设备与网络之间的通信，使数据传输变的更加快捷高效。蓝牙模块可以被植入到各种设备中得到了广泛的应用，比如手机、耳机、手表、汽车等，这都与蓝牙技术的特点密不可分：1.射频特性与数据传输蓝牙技术选择对全世界公开的2.4GHz频段作为工作频段。可以很好的支持数据和语言之间的传输，其中针对语音