目錄CONTENTS04RFID05二維碼/條形碼06基于藍(lán)牙的身份認(rèn)證01智能卡02動(dòng)態(tài)口令認(rèn)證03USBkey認(rèn)證技術(shù)XidianUniversity01智能卡XidianUniversity01智能卡智能卡（SmartCard）是一種應(yīng)用極為廣泛的個(gè)人安全器件，是一種內(nèi)嵌微型芯片的集成電路卡（ICcard，IntegratedCircuitCard），一般由專門的廠商通過專門的設(shè)備進(jìn)行生產(chǎn)，是一種不可復(fù)制的硬件，各種銀行卡，電卡、手機(jī)的用戶身份識(shí)別模塊（SIM，SubscriberIdentityModule）卡都屬于智能卡。智能卡自身就是一個(gè)功能齊備的計(jì)算機(jī)，它有自己的內(nèi)存和微處理器，該微處理器具備數(shù)據(jù)讀取和寫入能力，也允許對(duì)智能卡上的數(shù)據(jù)進(jìn)行訪問和更改。從安全的角度來看，智能卡技術(shù)能夠提供安全的驗(yàn)證機(jī)制來保護(hù)持卡人的信息，由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。XidianUniversity智能卡智能卡最初是磁卡的替代產(chǎn)品，智能卡能夠把生活中單項(xiàng)使用的各種生活繳費(fèi)、購(gòu)物儲(chǔ)值以及身份卡片融為一體，只要一卡在手，便能買到各類物品、得到各種服務(wù)并且進(jìn)行有效的身份認(rèn)證。20世紀(jì)90年代，隨著微電子技術(shù)的蓬勃發(fā)展，帶動(dòng)了以計(jì)算機(jī)技術(shù)和集成電路為核心的智能卡的迅速崛起。智能卡可以克服磁卡的弱點(diǎn)，具有容量大、計(jì)算功能強(qiáng)、安全性能高等一系列優(yōu)點(diǎn)，為電子貨幣、身份認(rèn)證提供更可靠和更安全的服務(wù)。XidianUniversity01智能卡的發(fā)展磁卡（上）與智能卡（下）智能卡按嵌入芯片可以分為存儲(chǔ)卡、加密存儲(chǔ)卡和CPU卡。按嵌入芯片類型分類智能卡按照操作模式可以分為接觸式IC卡、非接觸式IC卡以及混合卡。按操作模式方式分類智能卡按照數(shù)據(jù)傳輸方式可以分為串行IC卡和并行IC。按數(shù)據(jù)傳輸方式分類智能卡按卡的應(yīng)用領(lǐng)域可分為金融卡和非金融卡。按卡的應(yīng)用領(lǐng)域分類XidianUniversity01智能卡的分類智能卡的規(guī)格是有統(tǒng)一標(biāo)準(zhǔn)的，需要遵循相關(guān)的國(guó)際標(biāo)準(zhǔn)，即ISO7810。一般智能卡是一個(gè)塑料的長(zhǎng)方形卡，它的尺寸是從通用磁卡演化而來的，有些IC卡上還貼有磁條，可以和磁卡兼容。IC卡一般在卡片的左上角封裝芯片，并在芯片上覆蓋有6或8個(gè)觸點(diǎn)用來與外部設(shè)備進(jìn)行通訊，每個(gè)觸點(diǎn)的尺寸和位置應(yīng)滿足相關(guān)國(guó)際標(biāo)準(zhǔn)中做出的規(guī)定，且觸點(diǎn)位于IC卡的正面，其下面為凸型字符，印有一些發(fā)卡及用戶信息，背面有磁條。XidianUniversity01智能卡的結(jié)構(gòu)智能卡示意圖芯片中主要由CPU、存儲(chǔ)器以及其他外設(shè)接口組成。一般智能卡所使用的芯片通?？梢苑譃橥ㄓ眯酒蛯Ｓ眯酒瑑纱箢?，其中通用芯片是普通的集成電路芯片，比較適合于初期對(duì)安全性要求不高的智能卡應(yīng)用，而專用芯片是專門為智能卡而設(shè)計(jì)、制造的芯片，這種芯片符合目前IC卡的ISO國(guó)際標(biāo)準(zhǔn)，具有較高的安全性。與此同時(shí)，專用芯片按照卡芯的不同還可以分為存儲(chǔ)器芯片和微處理器芯片兩大類，其中帶安全邏輯的存儲(chǔ)器芯片和帶有加密運(yùn)算的微控制器芯片在智能卡中使用的最為普遍，這兩種常見芯片的典型邏輯結(jié)構(gòu)見圖3.2和圖3.3。XidianUniversity01智能卡的結(jié)構(gòu)帶安全邏輯的存儲(chǔ)器芯片邏輯結(jié)構(gòu)帶加密運(yùn)算的微控制芯片讀卡器是對(duì)IC卡操作的直接設(shè)備，根據(jù)IC卡操作模式的不同，讀卡器也可以分為接觸式讀卡器、非接觸式讀卡器以及混合讀卡器等不同形式，一般來說讀卡器包括了讀卡頭和設(shè)備驅(qū)動(dòng)，讀卡器和卡片的接口需滿足一定的國(guó)際規(guī)范（接觸式IC卡，遵循ISO7816接口標(biāo)準(zhǔn)；非接觸式IC卡讀卡器，遵循ISO14443接口標(biāo)準(zhǔn)），標(biāo)準(zhǔn)讀卡器一般是通用的。應(yīng)用程序是應(yīng)用邏輯控制的核心，根據(jù)不同應(yīng)用所對(duì)應(yīng)的程序規(guī)模、運(yùn)行方式的不同，其應(yīng)用程序的形式都有很大區(qū)別。對(duì)于獨(dú)立的脫機(jī)應(yīng)用，應(yīng)用程序一般較小，邏輯結(jié)構(gòu)比較簡(jiǎn)單，程序可以安裝在讀卡器等設(shè)備上，不需要額外增加個(gè)人電腦（PC，PersonalComputer）機(jī)等輔助設(shè)備。XidianUniversity01智能卡的結(jié)構(gòu)讀卡器信息安全至少應(yīng)該具有以下五個(gè)方面的特性：機(jī)密性：防止未經(jīng)過授權(quán)的信息獲取。完整性：防止未經(jīng)授權(quán)的信息更改?？色@取性：防止未經(jīng)授權(quán)的信息節(jié)流，也就是防止在信息傳播過程中的非法截取。真實(shí)性：就是通過一系列的技術(shù)手段驗(yàn)證信息的真實(shí)性。持久性：長(zhǎng)時(shí)間信息保存的可靠性、準(zhǔn)確性。智能卡不僅具有大的存儲(chǔ)容量，而且其安全性能也是其他種類的卡無法比擬的，確切的說，智能卡所用到安全技術(shù)就是基于信息安全的五個(gè)特性提出與實(shí)施的。XidianUniversity01智能卡安全智能卡的安全狀態(tài)是指智能卡當(dāng)前所處的安全級(jí)別狀態(tài)，通?？梢苑譃槿职踩珷顟B(tài)、特定文件安全狀態(tài)和特定命令安全狀態(tài)三種安全級(jí)別。智能卡安全狀態(tài)數(shù)據(jù)對(duì)象的安全屬性定義了對(duì)這些數(shù)據(jù)執(zhí)行命令操作時(shí)所需要滿足的條件，包括文件訪問安全屬性和命令安全屬性。智能卡安全屬性智能卡的安全機(jī)制和安全狀態(tài)、安全屬性是緊密聯(lián)系在一起?？梢詫踩珯C(jī)制視為安全狀態(tài)在實(shí)現(xiàn)狀態(tài)轉(zhuǎn)移時(shí)所采用的方法和手段。智能卡安全機(jī)制XidianUniversity01智能卡安全體系01智能卡攻擊技術(shù)攻擊類型攻擊內(nèi)容網(wǎng)絡(luò)數(shù)據(jù)流截取攻擊者可以根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息簡(jiǎn)單過濾掉不關(guān)心的數(shù)據(jù)，再將感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進(jìn)行分析從而得到用戶的隱私信息。木馬竊聽若用戶電腦遭受到了病毒或木馬的攻擊，電腦就可能會(huì)被監(jiān)聽，用戶在進(jìn)行交易的過程中，用戶的交易信息會(huì)被木馬記錄，與用戶相關(guān)的隱私信息，例如交易密碼等就有被盜的風(fēng)險(xiǎn)。窮舉攻擊對(duì)用戶密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止的一種攻擊方式。網(wǎng)絡(luò)釣魚在此處添加文字內(nèi)容XidianUniversity智能卡具有自己的微處理器，這些芯片具備存儲(chǔ)功能和信息處理功能，同時(shí)，智能卡內(nèi)可存儲(chǔ)安全控制軟件及有關(guān)用戶的個(gè)人化參數(shù)和數(shù)據(jù)，外部應(yīng)用程序不能直接訪問這些數(shù)據(jù)，這樣，智能卡中個(gè)人化的參數(shù)數(shù)據(jù)從硬件上就實(shí)現(xiàn)了保密性。XidianUniversity01智能卡身份認(rèn)證智能卡微處理器基于智能卡的身份認(rèn)證結(jié)合了基于秘密信息和信任物體的實(shí)現(xiàn)方式，利用智能卡的信息存儲(chǔ)和數(shù)據(jù)計(jì)算的能力，能夠?qū)崿F(xiàn)軟/硬件的對(duì)稱、非對(duì)稱加解密算法，存儲(chǔ)用戶個(gè)人信息、密鑰、數(shù)字證書等秘密數(shù)據(jù)。認(rèn)證服務(wù)器和智能卡客戶端之間按照一定的協(xié)議和操作來完成用戶身份認(rèn)證的過程。在基于智能卡的身份認(rèn)證方法中，結(jié)合了密碼技術(shù)以及實(shí)物對(duì)用戶進(jìn)行身份認(rèn)證，不再需要遠(yuǎn)程服務(wù)器存儲(chǔ)用戶的口令等信息，減輕了服務(wù)器維護(hù)口令表所產(chǎn)生的負(fù)擔(dān)，也降低了口令表被盜的風(fēng)險(xiǎn)。XidianUniversity01智能卡技術(shù)原理智能卡身份認(rèn)證示意圖02動(dòng)態(tài)口令認(rèn)證XidianUniversity02動(dòng)態(tài)口令認(rèn)證基于口令的認(rèn)證方式是較為常用的一種認(rèn)證技術(shù)。動(dòng)態(tài)口令一般不需要用戶記憶口令，而是依賴于用戶所擁有的設(shè)備（動(dòng)態(tài)口令牌、口令卡等），屬于“用戶有什么”這一類。而靜態(tài)口令一般需要用戶記憶口令，屬于“用戶知道什么”這一類。針對(duì)靜態(tài)口令認(rèn)證機(jī)制在安全方面的脆弱性，為了避免靜態(tài)口令認(rèn)證機(jī)制帶來的安全隱患，研究口令認(rèn)證的學(xué)者提出了動(dòng)態(tài)口令認(rèn)證技術(shù)以保護(hù)重要的網(wǎng)絡(luò)系統(tǒng)資源，動(dòng)態(tài)口令認(rèn)證也逐漸成為了口令認(rèn)證的主流技術(shù)。XidianUniversity20世紀(jì)80年代初，貝爾實(shí)驗(yàn)室的Lamport博士基于哈希函數(shù)算法首次提出了一種生成動(dòng)態(tài)口令的方法，用戶每次登錄時(shí)發(fā)送給服務(wù)器的口令都會(huì)改變。在2000年以前，動(dòng)態(tài)口令方案的實(shí)施都依靠于動(dòng)態(tài)口令卡，但是隨著使用人數(shù)的不斷增加，對(duì)口令卡的維護(hù)成為了亟待解決的難題。動(dòng)態(tài)口令卡算法在加載到每一個(gè)口令卡的時(shí)候就被固定，一旦遭到破譯就有可能存在冒用，同時(shí)口令卡的壽命較短，使用起來也相對(duì)麻煩。為了解決這些弊端研究人員發(fā)明了依附于網(wǎng)絡(luò)的動(dòng)態(tài)口令的傳送方法，即移動(dòng)口令。XidianUniversity02動(dòng)態(tài)口令認(rèn)證的發(fā)展現(xiàn)狀哈希函數(shù)示意圖動(dòng)態(tài)口令卡是根據(jù)特定算法生成不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每個(gè)口令只能使用一次，以保證用戶安全。動(dòng)態(tài)口令卡態(tài)口令通常通過一種稱為令牌的專用硬件來生成，即為硬件令牌。硬件令牌是一種采用內(nèi)置電源、存儲(chǔ)器、密碼計(jì)算芯片和顯示屏的設(shè)備，具有使用便利、安全性高等特點(diǎn)。硬件口令牌動(dòng)態(tài)手機(jī)口令牌也稱移動(dòng)口令，是用來生成動(dòng)態(tài)口令的手機(jī)客戶端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌XidianUniversity02動(dòng)態(tài)口令認(rèn)證的分類電子銀行口令卡示例動(dòng)態(tài)手機(jī)口令牌也稱移動(dòng)口令，是用來生成動(dòng)態(tài)口令的手機(jī)客戶端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌XidianUniversity02動(dòng)態(tài)口令認(rèn)證的分類電子銀行口令卡示例高等學(xué)校招生考試動(dòng)態(tài)口令卡中國(guó)工商銀行的口令卡上有橫縱坐標(biāo)，對(duì)應(yīng)的有數(shù)字，客戶在使用電子銀行（包括網(wǎng)上銀行或電話銀行）進(jìn)行對(duì)外轉(zhuǎn)賬、客對(duì)商（B2C，Business-to-Consumer）購(gòu)物、繳費(fèi)等支付交易時(shí)，電子銀行系統(tǒng)會(huì)隨機(jī)給出一組口令卡坐標(biāo)，客戶根據(jù)坐標(biāo)從卡片中找到口令組合并輸入到電子銀行系統(tǒng)。只有當(dāng)口令組合輸入正確時(shí)，客戶才能完成相關(guān)交易。另外，一些省市在普通高等學(xué)校招生（高考）也引入了動(dòng)態(tài)口令卡這種工具，如圖3.5所示。其主要功能是用于查詢成績(jī)，填報(bào)志愿，查詢錄取結(jié)果等方面，“考生動(dòng)態(tài)口令卡”有隨機(jī)生成的64個(gè)密碼，密碼采用覆膜覆蓋以防止泄密，考生使用時(shí)，每次刮開一條對(duì)應(yīng)的密碼，根據(jù)“XX省教育考試院”網(wǎng)站上要求的動(dòng)態(tài)口令填寫。動(dòng)態(tài)手機(jī)口令牌也稱移動(dòng)口令，是用來生成動(dòng)態(tài)口令的手機(jī)客戶端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌XidianUniversity02動(dòng)態(tài)口令認(rèn)證的分類硬件令牌通常是獨(dú)立于終端的、授權(quán)用戶可隨身攜帶的、信用片或鑰匙鏈大小的器件，并且令牌本身可使用PIN來保護(hù)。動(dòng)態(tài)口令認(rèn)證系統(tǒng)通過使用令牌產(chǎn)生的無法猜測(cè)和復(fù)制的動(dòng)態(tài)口令以接入系統(tǒng)，保證了接入遠(yuǎn)程系統(tǒng)的終端用戶確實(shí)為授權(quán)實(shí)體，有效地保護(hù)了信息系統(tǒng)的安全性，大大降低了非法訪問的風(fēng)險(xiǎn)。一些雙因子身份認(rèn)證系統(tǒng)后臺(tái)可以設(shè)置錯(cuò)誤嘗試次數(shù)，比如3次，當(dāng)輸入錯(cuò)誤超過3次時(shí)，就會(huì)鎖定當(dāng)前賬號(hào)。硬件令牌示例動(dòng)態(tài)手機(jī)口令牌也稱移動(dòng)口令，是用來生成動(dòng)態(tài)口令的手機(jī)客戶端軟件，即軟件令牌。動(dòng)態(tài)手機(jī)口令牌XidianUniversity02動(dòng)態(tài)口令認(rèn)證的分類利用動(dòng)態(tài)口令與手機(jī)（或者其他移動(dòng)設(shè)備）綁定進(jìn)行身份認(rèn)證，與硬件令牌相同都是客戶端自己生成動(dòng)態(tài)口令，直接發(fā)給服務(wù)端認(rèn)證。通常也是基于時(shí)間同步的原理，每隔60秒產(chǎn)生一個(gè)隨機(jī)6位動(dòng)態(tài)密碼。在生成動(dòng)態(tài)口令牌的過程中，不會(huì)產(chǎn)生通信及費(fèi)用，不存在通信信道中被截取的可能性。手機(jī)作為動(dòng)態(tài)口令生成的載體，欠費(fèi)和無信號(hào)對(duì)其不產(chǎn)生任何影響。由于其在具有高安全性、成本低、不易丟失、容易獲取等優(yōu)勢(shì)，其應(yīng)用也十分廣泛。動(dòng)態(tài)手機(jī)口令牌02動(dòng)態(tài)口令認(rèn)證的技術(shù)原理動(dòng)態(tài)（一次）口令認(rèn)證機(jī)制的主要原理是：在登錄過程中加入不確定因素。使每次登錄過程中所得到的密碼都不相同，以提高登錄過程的安全性。每次的口令是3個(gè)因子按一定算法計(jì)算得到的結(jié)果，這3個(gè)因子分別是種子（Seed）、迭代值（Iteration）和秘密通行短語(yǔ)。它們之間應(yīng)具備一種相同的“認(rèn)證器件”，該認(rèn)證器件實(shí)際上由某種算法的硬件或軟件實(shí)現(xiàn)，它的作用是生成一次性口令。一次性口令認(rèn)證模式根據(jù)不確定因素的不同，分為以下幾種模式：挑戰(zhàn)應(yīng)答模式、時(shí)間同步認(rèn)證模式與事件同步認(rèn)證模式。動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)，是有客戶端設(shè)備認(rèn)證系統(tǒng)和一個(gè)對(duì)稱密鑰算法（客戶端設(shè)備上的個(gè)人密鑰是由認(rèn)證系統(tǒng)發(fā)放的）組成的。動(dòng)態(tài)口令則是由于算法中變量的不同而不同。XidianUniversity動(dòng)態(tài)口令認(rèn)證原理動(dòng)態(tài)口令的優(yōu)越性使其在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用，首先其動(dòng)態(tài)性就具有極大的優(yōu)勢(shì)，不同時(shí)刻使用不同的口令，并且每個(gè)口令還都具有失效性。其次，由于口令是隨機(jī)的，每個(gè)口令可能存在100萬以上的變化方式，同時(shí)結(jié)合口令一次性的特點(diǎn)，有效防止了暴力破解的可能性。最后，動(dòng)態(tài)口令還有操作方便、體積小、成本低等優(yōu)點(diǎn)，可以隨身攜帶，沒有記憶口令的煩惱，丟失也能及時(shí)發(fā)現(xiàn)補(bǔ)辦。雖然動(dòng)態(tài)口令具有眾多優(yōu)點(diǎn)，但是還存在一定的缺陷。首先是受一些場(chǎng)景的限制，如果手機(jī)沒電或者無法使用手機(jī)，軟件令牌就無法正常使用。其實(shí)是技術(shù)的限制，如果用戶終端與遠(yuǎn)程系統(tǒng)的時(shí)間或登錄次數(shù)不能保持良好的同步，就可能發(fā)生授權(quán)用戶無法登錄的問題。最后是用戶體驗(yàn)感，有些口令為了增加安全性密鑰長(zhǎng)度會(huì)較長(zhǎng)，終端用戶每次登錄時(shí)都需要輸入一長(zhǎng)串無規(guī)律的密碼，使用起來較為不便。XidianUniversity02動(dòng)態(tài)口令認(rèn)證的安全評(píng)估03USBKey認(rèn)證技術(shù)XidianUniversity03USBKey認(rèn)證技術(shù)USBKey又名智能電子密碼鑰匙，是一種USB接口的硬件身份認(rèn)證設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，具有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書，利用USBKey內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證，保障用戶安全?；赨SBKey的身份認(rèn)證方式結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)屬于強(qiáng)雙因子認(rèn)證模式，USBKey安全可靠的認(rèn)證方式、小巧便捷的外觀設(shè)計(jì)以及簡(jiǎn)單易用的特性使其廣泛應(yīng)用于銀行的網(wǎng)絡(luò)交易中，是大多數(shù)國(guó)內(nèi)銀行采用的客戶端解決方案，使用USBKey存放代表用戶唯一身份的數(shù)字證書和用戶私鑰XidianUniversityUSBKey示例一代U盾是由一塊內(nèi)置安全系統(tǒng)芯片、電子數(shù)字證書與簽名密鑰構(gòu)成的，其中安全芯片的作用是對(duì)U盾進(jìn)行安全掃描；數(shù)字證書與網(wǎng)站證書共同作用以保障用戶的登錄安全；簽名密鑰是每一個(gè)U盾特有的，其唯一性可以進(jìn)步提升安全防護(hù)。二代U盾以“基于可參與性的網(wǎng)絡(luò)可信交易理論”為基礎(chǔ)，提出了操作控制列表技術(shù)（OperationControlList，OCL），該技術(shù)從硬件認(rèn)證設(shè)備端入手，考慮已有應(yīng)用環(huán)境的兼容性與便利性，避免造成平臺(tái)及交易環(huán)境的改變，解決了終端交易環(huán)境不安全所帶來的“交易偽造”和“交易劫持”問題，因而得到了產(chǎn)業(yè)界和各商業(yè)銀行的廣泛認(rèn)可和支持。XidianUniversity03USBKey的發(fā)展中國(guó)建設(shè)銀行的U盾隨著PKI的不斷發(fā)展與普及，具有PKI功能的金融IC卡也開始發(fā)行，這使得在金融IC卡中實(shí)現(xiàn)數(shù)字證書應(yīng)用在技術(shù)上成為可能，第三代U盾就是集成了第二代U盾、智能卡讀寫器和多應(yīng)用金融IC卡功能的產(chǎn)品并逐漸成為業(yè)界關(guān)注的熱點(diǎn)。具體來說，三代USBKey是指帶有智能卡芯片的USBKey，它可以通過內(nèi)置的智能卡芯片在USBKey內(nèi)部硬件實(shí)現(xiàn)DES/3DES、RSA等加解密運(yùn)算，并支持USBKey內(nèi)生成RSA密鑰對(duì)，杜絕了密鑰在客戶端內(nèi)存中出現(xiàn)的可能性，大大提高了安全性并解決了以下問題：1)存儲(chǔ)型的U盾受其硬件功能的限制，僅能實(shí)現(xiàn)簡(jiǎn)單的數(shù)據(jù)算法，在PKI中廣泛使用的對(duì)稱和非對(duì)稱加密算法只能在PC的中間件上來運(yùn)行，黑客有一定可能截取到在內(nèi)存中的密鑰；2)智能卡運(yùn)算能力不斷提高，實(shí)現(xiàn)了可以運(yùn)行加密算法的智能卡，但與電腦連接方式不夠便利。XidianUniversity03USBKey的發(fā)展PKI技術(shù)即公鑰基礎(chǔ)設(shè)施所謂沖擊響應(yīng)模式，就是在服務(wù)端的數(shù)據(jù)庫(kù)中和USBKey的硬件中均保存用戶密鑰信息，用戶在系統(tǒng)登錄表單中輸入U(xiǎn)serPIN信息，在瀏覽器中使用Javascript腳本語(yǔ)言進(jìn)行用戶PIN碼進(jìn)行驗(yàn)證，這一步操作相當(dāng)于用戶登錄了USBKey硬件，同時(shí)獲得USBKey的讀取權(quán)利，驗(yàn)證通過后即可讀取USBKey硬件中用戶密鑰信息，再把從USBKey中讀到的用戶密鑰信息發(fā)送到服務(wù)器端，與數(shù)據(jù)庫(kù)中保存的用戶密鑰信息進(jìn)行比較進(jìn)而完成用戶身份認(rèn)證過程。XidianUniversity03USBKey的認(rèn)證方式?jīng)_擊響應(yīng)模式基本流程PKI技術(shù)PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI能利用一對(duì)互相匹配的密鑰進(jìn)行數(shù)據(jù)的加密、解密，即使用一個(gè)密鑰進(jìn)行分析加密，另一個(gè)配對(duì)的密鑰進(jìn)行解密。PKI的建立并應(yīng)用于信息安全服務(wù)，有效地解決了網(wǎng)絡(luò)通信應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性等安全問題。一個(gè)典型的PKI系統(tǒng)是由證書機(jī)構(gòu)CA其作用是為用戶產(chǎn)生證書、注冊(cè)機(jī)構(gòu)數(shù)字證書注冊(cè)中心（RA，RegistrationAuthority）其作用是接受用戶的證書申請(qǐng)和審核、證書發(fā)布系統(tǒng)以及PKI策略、軟硬件系統(tǒng)、PKI應(yīng)用組成的。PKI體系通過采用加密算法構(gòu)建了一套完整的流程，CA為系統(tǒng)內(nèi)每個(gè)合法用戶辦一個(gè)網(wǎng)上身份認(rèn)證，有效的保障了數(shù)字證書持有人的身份安全，結(jié)合USBKey可以保障數(shù)字證書無法復(fù)制，只有USBKey的持有人才可以對(duì)數(shù)字證書進(jìn)行操作，這樣對(duì)身份認(rèn)證過程中的安全性就有了很大的保障。XidianUniversity03USBKey的認(rèn)證方式04RFIDXidianUniversity04RFID無線射頻識(shí)別（RFID），是利用無線射頻方式進(jìn)行對(duì)象識(shí)別與數(shù)據(jù)交換，實(shí)現(xiàn)對(duì)需要的物體的識(shí)別，是一種非物理性接觸、低成本、低功耗的新興自動(dòng)識(shí)別技術(shù)，是應(yīng)用最廣泛的自動(dòng)識(shí)別（Auto-ID）技術(shù)之一。其基本原理為，利用射頻信號(hào)通過空間耦合以及反射的傳輸性，實(shí)現(xiàn)無接觸信息傳遞和物體自動(dòng)識(shí)別的功能。RFID具有識(shí)別距離遠(yuǎn)，攜帶信息大，可移植性強(qiáng)，環(huán)境局限性小，使用壽命長(zhǎng)，安全性好等優(yōu)勢(shì)。因此通常結(jié)合身份認(rèn)證技術(shù)中的雙因子認(rèn)證技術(shù)以及RFID設(shè)備自身特點(diǎn)實(shí)現(xiàn)安全性能較高的身份認(rèn)證系統(tǒng)。將密碼技術(shù)應(yīng)用于認(rèn)證RFID系統(tǒng)中各通信方的身份在已有的RFID安全認(rèn)證協(xié)議中非常常見，也是眾多研究者研究的重點(diǎn)。而RFID具有掃描快速、體積小、抗污染能力強(qiáng)、數(shù)據(jù)容量大、可重復(fù)使用、無屏障閱讀、安全性高等特點(diǎn)，在提高計(jì)算機(jī)用戶信息的安全性中有較大優(yōu)勢(shì)。XidianUniversityRFID系統(tǒng)的主要構(gòu)成1941—1950年1961—1970年1971—1980年1981—1990年哈里.斯托克曼發(fā)表的“利用反射功率的通訊”奠定了射頻識(shí)別RFID的理論基礎(chǔ)出現(xiàn)了一些最早的RFID應(yīng)用，基于IC的RFID系統(tǒng)開始在制造與運(yùn)輸?shù)刃袠I(yè)進(jìn)行開發(fā)和研究Sensormatic等公司開始推廣稍微不那么復(fù)雜的RFID系統(tǒng)商用，主要用于電子物品監(jiān)控。RFID技術(shù)及產(chǎn)品進(jìn)入商業(yè)應(yīng)用階段，各種規(guī)模應(yīng)用開始出現(xiàn)。XidianUniversity04RFID的發(fā)展RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動(dòng)態(tài)車輛識(shí)別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波XidianUniversity04RFID的優(yōu)勢(shì)1.抗干擾性超強(qiáng)RFID一個(gè)最重要的優(yōu)點(diǎn)就是非接觸式識(shí)別，它在急劇惡劣的環(huán)境下都可以工作，可以并且穿透力極強(qiáng)。2.RFID標(biāo)簽的數(shù)據(jù)容量大標(biāo)簽的數(shù)據(jù)容量可以根據(jù)用戶的需求擴(kuò)充到10KB，遠(yuǎn)遠(yuǎn)高于二維碼2725個(gè)數(shù)字的容量。3.可以動(dòng)態(tài)操作RFID的標(biāo)簽數(shù)據(jù)可以利用編程進(jìn)行動(dòng)態(tài)的修改，并且還可以動(dòng)態(tài)追蹤和監(jiān)控。4.使用壽命長(zhǎng)標(biāo)簽不易被破壞，使用時(shí)間長(zhǎng)。5.防沖突在頻率解讀器的有效識(shí)別范圍內(nèi)，RFID可以同時(shí)讀取多個(gè)標(biāo)簽進(jìn)行識(shí)別，并不會(huì)導(dǎo)致讀取標(biāo)簽沖突。6.安全性高RFID標(biāo)簽可以以任何形式附著在產(chǎn)品上，可以為標(biāo)簽數(shù)據(jù)進(jìn)行密碼加密，以提高其安全性。7.識(shí)別速度快只要RFID標(biāo)簽一進(jìn)入解讀器的有效識(shí)別范圍內(nèi)，可能毫秒級(jí)就能獲取到數(shù)據(jù)。RFID微波2.4GHz頻段主要應(yīng)用于船舶管理系統(tǒng)、煤礦人員定位系統(tǒng)、動(dòng)態(tài)車輛識(shí)別系統(tǒng)、微型膠囊內(nèi)窺鏡系統(tǒng)。RFID微波XidianUniversity04RFID的安全問題根據(jù)RFID系統(tǒng)的組成與工作流程可以發(fā)現(xiàn)，RFID的安全威脅主要來自兩個(gè)方面：一是標(biāo)簽自身的安全問題，二是信息傳輸?shù)陌踩珕栴}。標(biāo)簽自身的安全問題體現(xiàn)在：RFID系統(tǒng)很難具備保證自身信息足夠安全的能力，面臨著自身信息被竊聽、破解、截獲與復(fù)制的安全威脅。身份認(rèn)證的任務(wù)是識(shí)別、驗(yàn)證信息系統(tǒng)中用戶身份的合法性和真實(shí)性。如果能夠保證RFID系統(tǒng)中參與通信的各方均擁有合法身份，那么就能保證RFID系統(tǒng)工作環(huán)境的安全。05二維碼/條形碼XidianUniversity05二維碼/條形碼二維碼/條形碼是一種可印刷的機(jī)器語(yǔ)言，以規(guī)則排列的圖形符號(hào)來表示數(shù)據(jù)。早在40年代就誕生了條碼，經(jīng)過不斷的發(fā)展在70年代得到了實(shí)際的應(yīng)用，現(xiàn)在條碼技術(shù)已經(jīng)普遍應(yīng)用于世界上的各個(gè)國(guó)家和地區(qū)，其應(yīng)用領(lǐng)域也越來越廣泛。使用條碼進(jìn)行識(shí)別時(shí)，需要通過條碼閱讀機(jī)進(jìn)行掃描，得到一組反射光信號(hào)，此信號(hào)經(jīng)光電轉(zhuǎn)換后變?yōu)橐唤M與線條、空白相對(duì)應(yīng)的電子訊號(hào)，經(jīng)解碼后還原為相應(yīng)的文數(shù)字，再傳入電腦經(jīng)由數(shù)據(jù)庫(kù)查詢條碼中包含的相關(guān)信息。目前條碼識(shí)別技術(shù)已經(jīng)很完善了，讀取識(shí)別的錯(cuò)誤率約為百萬分之一，是一種可靠性高、輸入快速、準(zhǔn)確性高、成本低、應(yīng)用面廣的身份認(rèn)證技術(shù)。XidianUniversity二維碼示例堆疊式/行排式二維條碼又稱堆積式二維條碼或?qū)优攀蕉S條碼，其編碼原理是建立在一維條碼基礎(chǔ)之上，按需要堆積成二行或多行。堆疊式/行排式二維條碼矩陣式二維條碼（又稱棋盤式二維條碼）它是在一個(gè)矩形空間通過黑、白像素在矩陣中的不同分布進(jìn)行編碼。在矩陣相應(yīng)元素位置上，用點(diǎn)（方點(diǎn)、圓點(diǎn)或其他形狀）的出現(xiàn)表示二進(jìn)制“1”，點(diǎn)的不出現(xiàn)表示二進(jìn)制的“0”，點(diǎn)的排列組合確定了矩陣式二維條碼所代表的意義。矩陣式二維條碼郵政碼是通過不同長(zhǎng)度的條進(jìn)行編碼，主要用于郵件編碼，如：Postnet、BPO4-State。郵政碼XidianUniversity05二維碼/條形碼分類05二維碼/條形碼糾錯(cuò)碼二維碼/條形碼的自動(dòng)糾錯(cuò)功能是通過對(duì)其存儲(chǔ)信息進(jìn)行糾錯(cuò)編碼而實(shí)現(xiàn)的，當(dāng)二維碼/條形碼存在部分信息缺損、變形或被誤識(shí)時(shí)，糾錯(cuò)碼可以利用獲取的部分信息來還原二維碼/條形碼中的正確信息，里德-所羅門碼（Reed-Solomon，RS）編碼就是常用的糾錯(cuò)碼之一，又稱里所碼。在RS的譯碼過程中，若需要糾錯(cuò)的t數(shù)值較大時(shí)，直接進(jìn)行解方程組計(jì)算難度和計(jì)算成本都會(huì)增加，為了提高效率提出了一些快速譯碼方法，彼德森直接算法、伯利坎普算法和Peterson．Gorenstein—Zierler算法都是常用于RS譯碼的經(jīng)典算法。XidianUniversityRS碼編碼譯碼器結(jié)構(gòu)示意圖05基于二維碼/條形碼的身份認(rèn)證基于二維碼/條形碼的身份認(rèn)證系統(tǒng)是目前較為常見的身份認(rèn)證方式之一，其目的是為了實(shí)現(xiàn)安全、快捷的身份認(rèn)證。它使用圖形化的方式存儲(chǔ)信息，對(duì)信息內(nèi)容進(jìn)行了加密和隱藏，并利用其本身自動(dòng)糾錯(cuò)的能力，保證了信息在被破壞、干擾的情況下依然能被讀取。二維碼/條形碼也可以有效地由機(jī)器進(jìn)行識(shí)別，這使他可以應(yīng)用于各種自動(dòng)系統(tǒng)?；诙S碼/條形碼的身份認(rèn)證系統(tǒng)主要由客戶端和服務(wù)器端構(gòu)成，其中智能手機(jī)作為客戶端由用戶持有，身份認(rèn)證服務(wù)器端由身份認(rèn)證服務(wù)器、存儲(chǔ)用戶認(rèn)證信息的數(shù)據(jù)庫(kù)以及實(shí)現(xiàn)認(rèn)證結(jié)果的模塊組成。藍(lán)牙通訊也經(jīng)常被應(yīng)用于二維碼/條形碼的身份認(rèn)證，利用其短距離無線傳輸技術(shù)與方便靈活的使用，取代不可信的無線傳輸，不僅保證了安全性還增加了認(rèn)證系統(tǒng)的易用性。XidianUniversity二維碼身份認(rèn)證系統(tǒng)圖05身份認(rèn)證安全性分析作為一個(gè)身份認(rèn)證系統(tǒng)，安全性是其核心問題?；诙S碼的身份認(rèn)證系統(tǒng)的安全機(jī)制主要包含以下幾個(gè)方面：1）最終的安全信息通過顯示在手機(jī)屏幕上的二維條碼傳遞。由于手機(jī)屏幕相對(duì)較小，并且手機(jī)屏幕是定向的攝像頭展示，不易被攻擊者截取。2）在藍(lán)牙設(shè)備進(jìn)行連接的過程中，使用個(gè)人ID碼（PIN碼）進(jìn)行口令-應(yīng)答方式的認(rèn)證，當(dāng)雙方的PIN碼一致時(shí)才能夠能建立藍(lán)牙連接。3）分別存儲(chǔ)在智能手機(jī)與用戶信息數(shù)據(jù)集庫(kù)的用戶密碼使用MD5等加密方法進(jìn)行加密。此信息無法逆向還原為密碼原文，即便使用碰撞算法也需要多次嘗試。4）用戶每次連接均會(huì)由認(rèn)證服務(wù)器隨機(jī)產(chǎn)生一個(gè)動(dòng)態(tài)密鑰，每次產(chǎn)生的動(dòng)態(tài)密鑰均不相同，此動(dòng)態(tài)密鑰與本次認(rèn)證相對(duì)應(yīng)。XidianUniversityMD5加密算法示意圖06藍(lán)牙XidianUniversity06藍(lán)牙藍(lán)牙設(shè)備簡(jiǎn)化了設(shè)備與設(shè)備之間、設(shè)備與網(wǎng)絡(luò)之間的通信，使數(shù)據(jù)傳輸變的更加快捷高效。藍(lán)牙模塊可以被植入到各種設(shè)備中得到了廣泛的應(yīng)用，比如手機(jī)、耳機(jī)、手表、汽車等，這都與藍(lán)牙技術(shù)的特點(diǎn)密不可分：1.射頻特性與數(shù)據(jù)傳輸藍(lán)牙技術(shù)選擇對(duì)全世界公開的2.4GHz頻段作為工作頻段?？梢院芎玫闹С?jǐn)?shù)據(jù)和語(yǔ)言之間的傳輸，其中針對(duì)語(yǔ)音