Биометрическая идентификация - это предъявление пользователем своего уникального биометрического параметра и процесс сравнения его со всей базой имеющихся данных. Для извлечения такого рода персональных данных используются .
Биометрические системы контроля доступа удобны для пользователей тем, что носители информации находятся всегда при них, не могут быть утеряны либо украдены. считается более надежным, т.к. не могут быть переданы третьим лицам, скопированы.
1. Статические, основанные на физиологических признаках человека, присутствующих с ним на протяжении всей его жизни:
Динамические берут за основу поведенческие характеристики людей, а именно подсознательные движения в процессе повторения какого-либо обыденного действия: почерк, голос, походка.
Одним из приоритетных видов поведенческой биометрии - манера печатать на клавиатуре. При её определении фиксируется скорость печати, давление на клавиши, длительность нажатия на клавишу, промежутки времени между нажатиями.
Отдельным биометрическим фактором может служить манера использования мыши. Помимо этого, поведенческая биометрия охватывает большое число факторов, не связанных с компьютером, - походка, особенности того, как человек поднимается по лестнице.
Существуют также комбинированные системы идентификации, использующие несколько биометрических характеристик, что позволяет удовлетворить самые строгие требования к надежности и безопасности систем контроля доступа.
Для определения эффективности СКУД на основе биометрической идентификации используют следующие показатели:
В России использование биометрических данных регулируются Статьей 11 Федерального закона «О персональных данных» от 27.07.2006 г.
Главными, для оценки любой биометрической системы, являются два параметра:
FAR (False Acceptance Rate) - коэффициент ложного пропуска, т.е. процент возникновения ситуаций, когда система разрешает доступ пользователю, незарегистрированному в системе.
FRR (False Rejection Rate) - коэффициент ложного отказа, т.е. отказ в доступе настоящему пользователю системы.
Обе характеристики получают расчетным путем на основе методов математической статистики. Чем ниже эти показатели, тем точнее распознавание объекта.
Для самых популярных на сегодняшний день методов биометрической идентификации средние значения FAR и FRR выглядят следующим образом:
Но для построения эффективной системы контроля доступа недостаточно отличных показателей FAR и FRR. Например, сложно представить СКУД на основе анализа ДНК, хотя при таком методе аутентификации указанные коэффициенты стремятся к нулю. Зато растет время идентификации, увеличивается влияние человеческого фактора, неоправданно возрастает стоимость системы.
Таким образом, для качественного анализа биометрической системы контроля доступа необходимо использовать и другие данные, получить которые, порой, возможно только опытным путем.
В первую очередь, к таким данным нужно отнести возможность подделки биометрических данных для идентификации в системе и способы повышения уровня безопасности.
Во- вторых, стабильность биометрических факторов: их неизменность со временем и независимость от условий окружающей среды.
Как логичное следствие, - скорость аутентификации, возможность быстрого бесконтактного снятия биометрических данных для идентификации.
И, конечно, стоимость реализации биометрической СКУД на основе рассматриваемого метода аутентификации и доступность составляющих.
Фальсификация биометрических данных это в любом случае достаточно сложный процесс, зачастую требующий специальной подготовки и технического сопровождения. Но если подделать отпечаток пальца можно и в домашних условиях, то об успешной фальсификации радужной оболочки - пока не известно. А для систем биометрической аутентификации по сетчатке глаза создать подделку попросту невозможно.
Повышение уровня безопасности биометрической системы контроля доступа, как правило, достигается программно-аппаратными методами. Например, технологии «живого пальца» для отпечатков, анализ непроизвольных подрагиваний – для глаз. Для увеличения уровня безопасности биометрический метод может являться одной из составляющих многофакторной системы аутентификации.
Включение в программно-аппаратный комплекс дополнительных средств защиты обычно довольно ощутимо увеличивает его стоимость. Однако, для некоторых методов возможна строгая аутентификация на основе стандартных составляющих: использование нескольких шаблонов для идентификации пользователя (например, отпечатки нескольких пальцев).
Неизменность биометрической характеристики с течением времени понятие также условное: все биометрические параметры могут измениться вследствие медицинской операции или полученной травмы. Но если обычный бытовой порез, который может затруднить верификацию пользователя по отпечатку пальца, - ситуация обычная, то операция, изменяющая рисунок радужной оболочки глаза – редкость.
Влияние параметров окружающей среды на эффективность работы СКУД зависит от алгоритмов и технологий работы, реализованных производителем оборудования, и может значительно отличаться даже в рамках одного биометрического метода. Ярким примером подобных различий могут послужить считыватели отпечатков пальцев, которые в целом довольно чувствительны к влиянию внешних факторов.
Если сравнивать остальные методы биометрической идентификации – самым чувствительным окажется распознавание лиц 2D: здесь критичным может стать наличие очков, шляпы, новой прически или отросшей бороды.
Системы, использующие метод аутентификации по сетчатке, требуют довольно жесткого положения глаза относительно сканера, неподвижности пользователя и фокусировки самого глаза.
Методы идентификации пользователя по рисунку вен и радужной оболочке глаза сравнительно стабильны в работе, если не пытаться использовать их в экстремальных условиях работы (например, бесконтактная аутентификация на большом расстоянии во время «грибного» дождя).
Наименее чувствительна к влиянию внешних факторов трехмерная идентификация по лицу. Единственным параметром, который может повлиять на работу подобной СКУД, является чрезмерная освещенность.
Скорость аутентификации зависит от времени захвата данных, размеров шаблона и объема ресурсов, отведенных на его обработку, и основных программных алгоритмов применяемых для реализации конкретного биометрического метода.
Бесконтактная аутентификация дает массу преимуществ использования биометрических методов в системах физической безопасности на объектах с высокими санитарно-гигиеническими требованиями (медицина, пищевая промышленность, научно-исследовательские институты и лаборатории). Кроме того, возможность идентификации удаленного объекта ускоряет процедуру проверки, что актуально для крупных СКУД с высокой поточностью. А также, бесконтактная идентификация может использоваться правоохранительными органами в служебных целях. Именно поэтому , но еще не достигли устойчивых результатов. Особенно эффективны методы, позволяющие захватывать биометрические характеристики объекта на большом расстоянии и во время движения. С распространением видеонаблюдения реализация подобного принципа работы становится все более легкой.
Психологический комфорт пользователей – также достаточно актуальный показатель при выборе системы безопасности. Если в случае с двухмерным распознаванием лиц или радужной оболочкой – оно происходит незаметно, то сканирование сетчатки глаза – довольно неприятный процесс. А идентификация по отпечатку пальца, хоть и не приносит неприятных ощущений, может вызывать негативные ассоциации с методами криминалистической экспертизы.
Стоимость систем контроля и учета доступа в зависимости от используемых методов биометрической идентификации крайне различается между собой. Впрочем, разница может быть ощутимой и внутри одного метода, в зависимости от назначения системы (функциональности), технологий производства, способов повышающих защиту от несанкционированного доступа и т.п.
Идентификация как Услуга на рынке биометрических технологий понятие достаточно новое, но сулящее массу очевидных преимуществ: простота использования, экономия времени, безопасность, удобство, универсальность и масштабируемость – как и другие системы, базирующиеся на Облачном хранении и обработке данных.
В первую очередь, Identification-as-a-service представляет интерес для крупных проектов с широким спектром задач по безопасности, в частности, для государственных и местных правоохранительных органов, позволяя создать инновационные автоматизированные системы биометрической идентификации, которые обеспечивают идентификацию в режиме реального времени подозреваемых и преступников.
Развитие биометрической идентификации идет параллельно развитию Облачных сервисов. Современные технологические решения направлены на интеграцию различных сегментов в комплексные решения, удовлетворяющие всем потребностям клиента, при чем, не только в обеспечении физической безопасности. Так что объединение Cloud-сервисов и биометрии в составе СКУД – шаг, полностью отвечающий духу времени и обращенный в перспективу.
Каковы перспективы объединения биометрических технологий с облачными сервисами?
Этот вопрос редакция сайт адресовала крупнейшему российскому системному интегратору, компании «Техносерв»:
"Начнем с того, что интеллектуальные комплексные системы безопасности, которые мы демонстрируем – и есть, собственно, один из вариантов облака. А вариант из фильма: человек один раз прошел мимо камеры и он уже занесен системы… Это будет. Со временем, с увеличением вычислительных мощностей, но будет.
Сейчас на одну идентификацию в потоке, с гарантированным с качеством, - нужно как минимум восемь компьютерных ядер: это чтобы оцифровать изображение и быстро сравнить его с базой данных. Сегодня это технически возможно, но невозможно коммерчески - такая высокая стоимость просто не сообразна. Однако, с повышением мощностей, мы придем к тому, что единую базу биоидентификации всё-таки создадут, " - отвечает Александр Абрамов, директор департамента мультимедиа и ситуационных центров компании "Техносерв".
О принятии Облачных сервисов в качестве удобного и безопасного решения, говорит первое развертывание автоматизированной системы биометрической идентификации для государственных правоохранительных органов в коммерческой облачной среде, завершившееся в сентябре 2016 гола: MorphoTrak, дочерняя компания Safran Identity & Security, и Департамент полиции Альбукерке успешно развернули MorphoBIS в облаке MorphoCloud. Полицейские уже отметили значительное увеличение скорости обработки, а также возможность распознавания отпечатков значительно худшего качества.
Служба, разработанная MorphoTrak) базируется на Microsoft Azure Government и включает в себя несколько биометрические механизмов идентификации: дактилоскопическая биометрия, биометрия лица и радужной оболочки глаза. Кроме того, возможно распознавание татуировок, голоса, услуги (VSaaS).
Кибербезопасность системы отчасти гарантируется размещением на правительственном сервере уголовного правосудия Criminal Justice Information Services (CJIS), а отчасти совокупным опытом работы в области безопасности компаний Morpho и Microsoft.
"Мы разработали наше решение, чтобы помочь правоохранительным органам добиться экономии времени и увеличения эффективности. Безопасность, конечно, является ключевым элементом. Мы хотели, чтобы облачное решение отвечало бы жесткой политике безопасности правительства CJIS и нашли Microsoft идеальным партнером, чтобы обеспечить жесткий контроль над уголовными и национальными данными по безопасности, в рамках территориально-распределенной среды центров обработки данных." - говорит Франк Баррет, директор Cloud Services в MorphoTrak, LLC.
В результате Morpho Cloud является выдающимся примером аутсорсингового управления идентификацией , которая может обеспечить эффективность и экономичность улучшений в системах безопасности правоохранительных органов. Идентификация как сервис предоставляет преимущества, недоступные для большинства учреждений. Например, гео-распределенное аварийное восстановление данных, как правило, не целесообразно с точки зрения высокой стоимости проекта, и повышение уровня безопасности таким образом возможно только благодаря масштабу Microsoft Azure и Morpho Cloud.
Исследование Biometrics Research Group, Inc . посвящено анализу и прогнозу развития рынка биометрической аутентификации в мобильных устройствах. Исследование спонсировано ведущими производителями рынка биометрии Cognitec, VoicePIN и Applied Recognition .
Рынок мобильной биометрии в цифрах
По данным исследования объем сегмента мобильной биометрии оценивается в 9 млрд. долл. к 2018 г. и $ 45 млрд к 2020 году по всему миру. При этом использование биометрических характеристик для аутентификации будет применяться не только для разблокировки мобильных устройств, а также для организации многофакторной аутентификации и мгновенного подтверждения электронных платежей.
Развитие сегмента рынка мобильной биометрии связано с активным использованием смартфонов с предустановленными сенсорами. Отмечается, что к концу 2015 года, мобильные устройства с биометрией будут использовать не менее 650 млн человек. Число пользователей мобильных с биометрическими датчиками согласно прогнозам, будет расти на 20.1% в год и к 2020 году составит не менее 2 млрд. человек.
Материал спецпроекта "Без ключа"
Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт
Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием, например: почерк, голос или походка.
Принцип работы
Все биометрические системы работают практически по одинаковой схеме. Во-первых, система запоминает образец биометрической характеристики (это и называется процессом записи). Во время записи некоторые биометрические системы могут попросить сделать несколько образцов для того, чтобы составить наиболее точное изображение биометрической характеристики. Затем полученная информация обрабатывается и преобразовывается в математический код. Кроме того, система может попросить произвести ещё некоторые действия для того, чтобы «приписать» биометрический образец к определённому человеку. Например, персональный идентификационный номер (PIN) прикрепляется к определённому образцу, либо смарт-карта, содержащая образец, вставляется в считывающее устройство. В таком случае, снова делается образец биометрической характеристики и сравнивается с представленным образцом. Идентификация по любой биометрической системе проходит четыре стадии:
Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности.
Статические методы идентификации
По отпечатку пальца
В основе этого метода лежит уникальность для каждого человека рисунка паппилярных узоров на пальцах. Отпечаток, полученный с помощью специального сканера, преобразуется в цифровой код (свертку), и сравнивается с ранее введенным эталоном. Данная технология является самой распространенной по сравнению с другими методами биометрической аутентификации.
По форме ладони
Данный метод построен на геометрии кисти руки. С помощью специального устройства, состоящего из камеры и нескольких подсвечивающих диодов, которые, включаясь по очереди, дают разные 
проекции ладони, строится трехмерный образ кисти руки, по которому формируется свертка и идентифицируется человек.
По расположению вен на лицевой стороне ладони
С помощь инфракрасной камеры считывается рисунок вен на лицевой стороне ладони или кисти руки. Полученная картинка обрабатывается и по схеме расположения вен формируется цифровая свертка.
По сетчатке глаза
Точнее это способ называется идентификация по рисунку кровеносных сосудов глазного дна. Для того чтобы этот рисунок стал виден, нужно посмотреть на удаленную световую точку, глазное дно подсвечивается и сканируется специальной камерой.
По радужной оболочке глаза
Рисунок радужной оболочки глаза также является уникальной характеристикой человека. Для ее сканирования существуют специальные портативные камеры со специализированным программным обеспечением. Опознавание происходит следующим образом. Камера захватывает изображение части лица, из которого выделяется изображение глаза. Из изображения глаза выделяется рисунок радужной оболочки, по которому, строится цифровой код для идентификации человека.
По форме лица
В данном методе идентификации строится трехмерный образ лица человека. На лице выделяются контуры бровей, глаз, носа, губ и т.д., вычисляется расстояние между ними и строится не просто образ, а еще множество его вариантов на случаи поворота лица, наклона, изменения выражения. Количество образов варьируется в зависимости от целей использования данного способа (для аутентификации, верификации, удаленного поиска на больших территориях и т.д.).
По термограмме лица
В основе данного способа идентификации лежит уникальность распределения на лице артерий, снабжающих кровью кожу, которые выделяют тепло. Для получения термограммы, используются специальные камеры инфракрасного диапазона. В отличие от идентификации по форме лица, этот метод позволяет различать близнецов.
По ДНК
Преимущества данного способы очевидны. Однако, существующие в настоящее время методы получения и обработки ДНК, занимают так много времени, что могут использоваться только для специализированных экспертиз.
Другие методы статической идентификации
Существуют и другие методы идентификации по биометрическим характеристикам человек. Здесь описаны только самые распространенные из них. Например, есть такие уникальные способы, как идентификация по подногтевому слою кожи, по объему указанных для сканирования пальцев, форме уха, запаху тела и т.д.
Динамические методы
Динамические методы биометрической аутентификации основываются на поведенческой (динамической) характеристике человека, то есть построенны на особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия.
По рукописному почерку
Как правило, для этого вида идентификации человека используется его роспись (иногда написание кодового слова). Цифровой код идентификации формируется, в зависимости от необходимой степени защиты и наличия оборудования (графический планшет, экран карманного компьютера Palm и т.д.), двух типов:
По клавиатурному почерку
Метод в целом аналогичен описанному выше, но вместо росписи используется некое кодовое слово (когда для этого используется личный пароль пользователя, такую аутентификацию называют двухфакторной) и не нужно никакого специального оборудования, кроме стандартной клавиатуры. Основной характеристикой, по которой строится свертка для идентификации, является динамика набора кодового слова.
Это одна из старейших биометрических технологий. В настоящее время ее развитие активизировалось, ей прочится большое будущее и широкое использование в построении «интеллектуальных зданий». Существует достаточно много способов построения кода идентификации по голосу, как правило, это различные сочетания частотных и статистических характеристик голоса.
Другие методы динамической идентификации
Для данной группы методов также описаны только самые распространенные методы, существуют еще такие уникальные способы - как идентификация по движению губ при воспроизведении кодового слова, по динамике поворота ключа в дверном замке и т.д.
Применение
Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности, в целях:
Стандарты
BioAPI является стандартом BioAPI Consortium, разработанным специально для унификации программных интерфейсов программного обеспечения разработчиков биометрических устройств.
AAMVA Fingerprint Minutiae Format/National Standard for the Driver License/Identification Card DL/ID-2000 - американский стандарт на формат представления, хранения и передачи отпечатков пальцев для водительских прав. Совместим со спецификациями BioAPI и стандартом CBEFF.
CBEFF (Common Biometric Exchange File Format) — единый формат представления биометрических данных, который предлагается для замены биометрических форматов, используемых производителями различных сегментов рынка биометрических систем, в своем оборудовании и программном обеспечении. При создании CBEFF были учтены все возможные аспекты его применения, в том числе криптография, многофакторная биометрическая идентификация и интеграция с карточными системами идентификации.
CDSA/HRS (Human Recognition Services) - биометрический модуль в архитектуре Common Data Security Architecture, разработанной Intel Architecture Labs и одобренного консорциумом Open Group. CDSA определяет набор API, представляющих собой логически связанное множество функций, охватывающих такие компоненты защиты, как шифрование, цифровые сертификаты, различные способы аутентификации пользователей, в список которых благодаря HRS добавлена и биометрия. CDSA/HRS совместим со спецификациями BioAPI и стандартом CBEFF.
ANSI/NIST-ITL 1-2000 Fingerprint Standard Revision - американский стандарт, определяющий общий формат представления и передачи данных по отпечаткам пальцев, лицу, нательным шрамам и татуировкам для использования в правоохранительных органах США.
В России вопросы стандартизации находятся в ведении соответствующего подкомитета Национального технического комитета по стандартизации ТК 355, который с 2003 года представляет РФ в международном подкомитете по стандартизации в области биометрии ISO/IEC JTC1/SC37 “Biometrics” (ИСО/МЭК СТК 1 /ПК37 «Биометрия»).
Одним из важнейших методов защиты для соблюдения конфиденциальности является разграничение доступа. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.
Операционные системы Windows 95/98 сохраняли пароль в PWL-файле (как правило, USERNAME.PWL) в каталоге Windows. Вместе с тем стоит отметить, что несмотря на то, что содержимое PWL-файла было зашифровано, извлечь из него пароли было довольно просто. Первый алгоритм шифрования версии Windows 95 позволял создавать программы для расшифровки PWL-файлов. Однако в версии Windows 95 OSR2 этот недостаток был устранен. Тем не менее система защиты паролей в OSR2 содержала несколько серьезных недостатков, а именно:
В операционных системах, используемых в настоящее время (Windows XP/2000/2003), применяется более надежная защита парольного метода аутентификации. Но в то же время необходимо выполнять следующие рекомендации Microsoft:
В дальнейшем эти требования будут только ужесточаться. К чему это приведет, вернее, увы, уже привело? Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль, к тому же записывая его на бумаге. Хорошо это или плохо? Допустимо ли?
С одной стороны - явно недопустимо, так как резко возрастает риск компрометации пароля, с другой - слишком сложный пароль (типа PqSh*98+) трудно удержать в голове. Пользователи явно будут или выбирать простой пароль, или постоянно забывать сложный и отвлекать администратора от более важных дел. Исследования Gartner показывают, что от 10 до 30% звонков в службу технической поддержки компаний составляют просьбы сотрудников по поводу восстановления забытых ими паролей.
По данным IDC, каждый забытый пароль обходится организации в 10-25 долл. Добавим сюда еще необходимость его постоянной смены и требование неповторяемости паролей. Что делать? Каков выход?
На самом деле уже сегодня существует несколько вариантов решения этой нелегкой проблемы.
Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.
Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. При этом указанный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив их целостность. Примером такого конверта может служить конверт с PIN-кодом к платежной карте. Эти конверты хранятся в сейфе начальника подразделения или в сейфе службы информационной безопасности. Единственной сложностью при таком способе является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если принять во внимание экономию времени администраторов сети и приложений, то эта плата не является чрезмерной.
Третий вариант - использование многофакторной аутентификации на базе новейших технологий аутентификации. В качестве примера рассмотрим двухфакторную аутентификацию. Основным преимуществом такой аутентификации является наличие физического ключа и PIN-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометацию пароля, поскольку, кроме ключа, для доступа к системе нужен еще PIN-код к ключу.
Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием интернет-технологий, и системы биометрической аутентификации.
В настоящее время основным способом защиты информации от несанкционированного доступа (НСД) является внедрение так называемых средств AAA (Authentication, Authorization, Accounting - аутентификация, авторизация, управление правами пользователей). При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошел процедуры идентификации` и аутентификации.
Стоит учесть, что на мировом рынке ИТ-услуг сегмент ААА постоянно растет. Эта тенденция подчеркивается в аналитических обзорах IDC, Gartner и других консалтинговых фирм. Такой же вывод можно сделать, внимательно просмотрев ежегодный обзор компьютерной преступности Института компьютерной безопасности США и ФБР за 2005 год (рис. 1).
Рис. 1. Данные по объему потерь от разных видов атак за 2005 год, долл.
Суммарный объем потерь
за 2005 год - 130 104 542 долл.
Количество предприятий-респондентов (США) - 700
Как видно из диаграммы, ущерб от кражи конфиденциальной информации значительно увеличился. То есть каждая из опрошенных компаний потеряла в среднем более 350 тыс. долл. вследствие кражи конфиденциальной информации. Это исследование подтверждает тенденции, наметившиеся в последние несколько лет. Согласно отчету Института компьютерной безопасности США и ФБР за 2004 год, кража чувствительных данных уже тогда входила в число опаснейших угроз - ущерб от нее составлял около 40% от общего объема ущерба всех его угроз. При этом средний объем потерь был равен более 300 тыс. долл., а максимальный объем - 1,5 млн долл.
Исходя из этого, можно сделать вывод, что кража конфиденциальной информации имеет один из наиболее высоких рейтингов среди всех ИТ-угроз в США. Стоит отметить, что найти виновного без решения вопросов идентификации и аутентификации невозможно!
Среди основных сервисов безопасности:
Отметим, что вопросы разграничения доступа решаются в обязательном порядке при создании любой информационной системы. В наше время, когда системы становятся все более распределенными, трудно переоценить важность корректного разграничения доступа. При этом требуется все более надежная защита систем аутентификации как от внешних, так и от внутренних злоумышленников. Стоит понимать, что пользователи не склонны усложнять себе жизнь и стараются пользоваться как можно менее сложными паролями. А следовательно, для устранения этого в дальнейшем все чаще будут применяться программно-аппаратные средства аутентификации, которые постепенно придут на смену традиционным паролям (рис. 2).
Рис. 2. Рост рынка средств информационной безопасности
Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные (рис. 3). В отдельную подгруппу в связи с их специфическим применением можно выделить входящие в состав электронных средств системы одноразовых паролей.
Рис. 3. Классификация программно-аппаратных систем идентификации
и аутентификации
В электронных системах идентификационные признаки представляются в виде кода, хранящегося в защищенной области памяти идентификатора (носителя) и, за редким исключением, фактически не покидающего ее. Идентификаторы в этом случае бывают следующие:
В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.
Статическая биометрия основывается на данных (шаблонах), полученных путем измерения анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.), а динамическая - на анализе действий человека (голос, параметры подписи, ее динамика).
На мой взгляд, биометрические системы аутентификации не получили широкого распространения по нескольким причинам:
В комбинированных системах применяется одновременно несколько признаков, причем они могу принадлежать как к системам одного класса, так и к разным.
В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-ключи (USB-token).
USB-ключи работают с USB-портом компьютера и изготавливаются в виде брелоков. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin.
eToken - персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде стандартной смарт-карты или USB-ключа:
Если сравнивать две эти технологии, то становится очевидно, что выбор одной из них зависит от технологии безопасности, принятой в компании. Так, если планируется введение автоматизированного пропускного режима и при этом на пропусках должны быть фотография, имя владельца и прочая информация, то предпочтительно воспользоваться смарт-картами. Однако стоит учесть, что потребуется купить также устройства чтения смарт-карт.
Если пропускной режим уже введен и необходимо лишь обеспечить дополнительный контроль и ужесточить режим входа в некоторые помещения - стоит обратить внимание на eToken PRO со встроенными радиометками. Ведь службе физической безопасности, отвечающей за пропускной режим, гораздо проще контролировать пропуска при наличии на них фотографии, фамилии и имени владельца, хотя eToken PRO со встроенным RFID-чипом и аналогичная смарт-карта одинаковы по функциональности.
Основные области применения eToken (рис. 4):
Рис. 4. Возможности eToken
При работе с многофакторной аутентификацией пользователь получает целый ряд преимуществ. В частности, ему требуется помнить всего один пароль к eToken вместо нескольких паролей к приложениям. Кроме того, теперь отпадает необходимость в регулярной смене паролей. Да и в случае утери eToken ничего страшного не произойдет. Ведь для того, чтобы воспользоваться найденным (украденным) eToken, необходимо еще знать его пароль. Все это существенно повышает уровень безопасности организации. Вместе с тем стоит понимать, что eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure), - так называемыми PKI-ready-приложениями.
Основное назначение eToken:
В качестве средства аутентификации eToken поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности и может применяться для решения следующих задач:
Характеристики USB-ключей приведены в табл. 1 .
Сегодня на рынке представлены следующие типы USB-ключей:
USB-ключи - это преемники смарт-карт, в силу этого структура USB-ключей и смарт-карт идентична.
Бесконтактные смарт-карты (БСК) широко используются в различных приложениях как для аутентификации (режим электронного пропуска, электронный ключ к двери и т.д.), так и для разного рода транспортных, идентификационных, расчетных и дисконтных приложений.
Важным свойством БСК, выделяющим ее из ряда других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Фактически надежность технических элементов систем, использующих БСК, определяется надежностью микросхем. Последнее обстоятельство приводит к существенному снижению эксплуатационных расходов на систему по сравнению с аналогичными системами, применяющими смарт-карты с внешними контактами.
Порядок проведения операций с БСК и устройством чтения/записи памяти карты (в дальнейшем - считывателем) определяется программным приложением. При поднесении пользователем карты к считывателю происходит транзакция, то есть обмен данными между картой и считывателем, и возможное изменение информации в памяти карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. При этом карту можно и не вынимать из бумажника. С одной стороны, это позволяет пользователю удобно и быстро произвести транзакцию, а с другой - при попадании в поле антенны карта вовлекается в процесс обмена информацией независимо от того, желал этого пользователь или нет.
Типичная начальная последовательность команд для работы приложения с картой включает:
Указанная последовательность команд выполняется за 3 мс, то есть практически мгновенно.
Далее следует аутентификация выбранной области памяти карты. Она основана на использовании секретных ключей и будет описана ниже. Если карта и считыватель узнали друг друга, то данная область памяти открывается для обмена данными и в зависимости от условий доступа могут быть выполнены команды чтения и записи, а также специализированные команды электронного кошелька (если, конечно, область соответствующим образом была размечена при персонализации карты). Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька - за 9-10 мс. Таким образом, типичная транзакция, начинающаяся с захвата карты и приводящая к изменению 16 байтов памяти, совершается максимум за 16 мс.
Для аутентификации сектора памяти карты применяется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2.
В общих чертах процесс аутентификации можно представить так. Чипы карты и устройства для работы с ней обмениваются случайными числами. На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает свое случайное число с числом, полученным в сообщении; при совпадении она заново зашифровывает сообщение и направляет его считывателю. Считыватель расшифровывает послание карты, сравнивает свое случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной.
Итак, работа с сектором памяти возможна только после успешной аутентификации сектора выбранной карты и пока карта находится в поле антенны считывателя. При этом все данные, передаваемые по радиочастотному каналу, всегда шифруются.
Начальные (так называемые транспортные) ключи, а также условия доступа к секторам задаются во время первичной персонализации карты на заводе-изготовителе и секретным образом сообщаются эмитенту. В дальнейшем, в процессе вторичной персонализации карточки эмитентом или пользователем приложения, ключи обычно меняются на другие, известные только эмитенту или пользователю. Также (это определяется конкретным приложением) при вторичной персонализации изменяются и условия доступа к секторам памяти карты.
Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (табл. 2).
Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64-разрядные серийные номера.
Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем.
Каждый ключ имеет прошиваемый 32/64-разрядный серийный номер.
Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность (табл. 3).
В настоящее время существуют комбинированные системы следующих типов:
В корпус брелока USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволяет организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Такая схема применения идентификатора исключает ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что дает возможность работать под его идентификатором.
Сегодня наибольшее распространение получили два идентификатора подобного типа: RFiKey - от компании Rainbow Technologies и eToken PRO RM - от фирмы Aladdin Software Security R.D. Устройство RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM - USB-ключи и смарт-карты eToken PRO, дополненные пассивными RFID-метками.
RFID-технология (Radio Frequency IDentification - радиочастотная идентификация) является наиболее популярной сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.
Из семейства USB-ключей eToken RFID-меткой может быть дополнен eToken PRO/32K и выше. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13,56 МГц, например производства «Ангстрем» и HID.
Помимо традиционных преимуществ RFID-технологий, комбинированные USB-ключи и смарт-карты eToken, используя единый «электронный пропуск» для контроля доступа в помещения и к информационным ресурсам, позволяют:
Гибридные смарт-карты содержат разнородные чипы: один чип поддерживает контактный интерфейс, другой - бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: контроль доступа в помещение и к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет заменить на такие карты обычные пропуска и перейти к единому электронному пропуску.
Смарт-карты подобного типа предлагают следующие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin и др.
В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken PRO/SC RM. В них микросхемы с контактным интерфейсом eToken PRO встраиваются в бесконтактные смарт-карты. Смарт-карты eToken PRO могут быть дополнены пассивными RFID-метками производства HID/ISOPROx II, EM-Marin (частота 125 кГц), Cotag (частота 122/66 кГц), «Ангстрем»/КИБИ-002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет отказаться от обычных пропусков и перейти к единому электронному пропуску.
Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем - биометрической и контактной на базе смарт-карт или USB-ключей.
Что скрывается за понятием «биометрия»? Фактически мы используем такие технологии каждый день, однако как технический способ аутентификации биометрия стала применяться относительно недавно. Биометрия - это идентификация пользователя по уникальным, присущим только ему одному биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, поскольку не нужно ничего запоминать, а потерять биологические характеристики весьма сложно.
При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает конкретный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом, содержащимся в базе данных.
Просто? С точки зрения пользователя - безусловно. Однако у данного метода существуют как достоинства, так и недостатки.
К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, пользователь может ошибиться при вводе пароля) и пользователь не может передать свой биологический идентификатор другому человеку, в отличие от пароля. А, например, подделать узор, имеющийся на пальце у каждого человека, практически невозможно. Однако, как показали исследования, проведенные в США, биометрические сканеры, основанные на отпечатках пальцев, довольно легко вводили в заблуждение с помощью муляжа отпечатка пальца или даже пальца трупа. Распространен также отказ в доступе, осуществляемый на основании распознавания голоса, если человек просто простыл. Но самый большой недостаток биометрических систем - это их высокая цена.
Все биометрические технологии можно разделить на две группы:
Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной и собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность - что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность - независимость БХЧ от времени. Собираемость - возможность получения биометрической характеристики от каждого индивидуума. Реальные БХЧ не идеальны, и это ограничивает их применение. В результате экспертной оценки таких источников БХЧ, как форма и термограмма лица, отпечатки пальцев, геометрия руки, структура радужной оболочки глаза (РОГ), узор сосудов сетчатки, подпись, особенности голоса, форма губ и ушей, динамика почерка и походки, было установлено, что ни один из них не удовлетворяет всем требованиям по перечисленным выше свойствам (табл. 5). Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.
Это самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации).
Ведущие производители сканеров отпечатков пальцев:
Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), делаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека.
Ведущие производители такого оборудования:
Данный метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации этого метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, выделяющее из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.
В данном разделе будут рассмотрены некоторые технические меры повышения защищенности систем. Выбор рассматриваемых мер обусловлен возможностью их реализации встроенными средствами операционных систем семейства Microsoft Windows . Соответственно, уровень защищенности может быть повышен без дополнительных затрат на специализированные средства защиты.
В теоретической части курса будут методы, лежащие в основе соответствующих средств и механизмов. В лабораторных работах рассматриваются конкретные настройки операционных систем.
Рассматриваемые вопросы можно разделить на две группы:
Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система "знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация - установление подлинности - проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль . На основании этих данных система проводит идентификацию ( по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль ).
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. В соответствии с рассмотренной ранее моделью многоуровневой защиты, аутентификация пользователя компьютера относится к уровню защиты узлов.
Обычно выделяют 3 группы методов аутентификации.
Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация - пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.
Наиболее распространенными на данный момент являются парольные системы аутентификации . У пользователя есть идентификатор и пароль , т.е. секретная информация , известная только пользователю (и возможно - системе), которая используется для прохождения аутентификации.
В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Операционные системы, как правило, проводят аутентификацию с использованием многоразовых паролей. Совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя составляют учетную запись пользователя .
Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особой внимание.
Как отмечалось при рассмотрении стандарта ISO 17799 , рекомендуется, чтобы пользователи системы подписывали документ о сохранении конфиденциальности пароля. Но нарушитель также может попытаться подобрать пароль , угадать его, перехватить и т.д. Рассмотрим некоторые рекомендации по администрированию парольной системы, позволяющие снизить вероятность реализации подобных угроз.
Современные операционные системы семейства Windows позволяют делать установки, автоматически контролирующие выполнение требований 1,2,4-6. При использовании домена Windows , эти требования можно распространить на все компьютеры, входящие в домен и таким образом повысить защищенность всей сети.
Но при внедрении новых механизмов защиты могут появиться и нежелательные последствия. Например, требования "сложности" паролей могут поставить в тупик недостаточно подготовленного пользователя. В данном случае потребуется объяснить, что с точки зрения операционной системы Windows надежный пароль содержит 3 из 4 групп символов (большие буквы, малые буквы, цифры, служебные знаки). Аналогичным образом, надо подготовить пользователей и к внедрению блокировки учетных записей после нескольких неудачных попыток ввода пароля. Требуется объяснить пользователям, что происходит, а сами правила блокировки должны быть хорошо продуманы. Например, если высока вероятность того, что пользователь заблокирует свою запись в период отсутствия администратора, лучше ставить блокировку не насовсем, а на какой-то срок (30 минут, час и т.д.).
Это приводит к тому, что должна быть разработана политика управления паролями , сопровождающие ее документы, а потом уже проведено внедрение.
При использовании ОС семейства Windows , выявить учетные записи со слабыми или отсутствующими паролями можно, например, с помощью утилиты Microsoft Baseline Security Analyzer . Она же позволяет выявить и другие ошибки администрирования. Вопросам использования этой утилиты, а также настройке политики паролей посвящена лабораторная работа № 3.
Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows "2000), есть реализации для Mac OS.
В сетях Windows (начиная с Windows "2000 Serv.) аутентификация по протоколу Kerberos v.5 ( RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM .
Перед тем, как рассмотреть порядок работы Kerberos, разберем зачем он изначально разрабатывался. Централизованное распределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ , который используется для взаимодействия с центром распределения ключей (сервером ключей). Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ .
Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos - это программная система, построенная по архитектуре "клиент- сервер ". Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).
Серверная часть Kerberos называется центром распределения ключей (англ. Key Distribution Center , сокр. KDC ) и состоит из двух компонент :
Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей. Схема функционирования протокола Kerberos представлена на рис. 5.1 .
Рис.
5.1.
Пусть клиент C собирается начать взаимодействие с сервером SS (англ. Service Server - сервер , предоставляющий сетевые сервисы). В несколько упрощенном виде, протокол предполагает следующие шаги [ , ]:
Клиент C посылает серверу аутентификации AS свой идентификатор c (идентификатор передается открытым текстом).
{TGT}={c, tgs ,t 1 ,p 1 , K C_TGS } , где tgs - идентификатор сервера выдачи разрешений, t 1 - отметка времени, p 1 - период действия билета.
На этом шаге сервер аутентификации AS , проверив, что клиент C имеется в его базе, возвращает ему билет для доступа к серверу выдачи разрешений и ключ для взаимодействия с сервером выдачи разрешений. Вся посылка зашифрована на ключе клиента C . Таким образом, даже если на первом шаге взаимодействия идентификатор с послал не клиент С , а нарушитель X , то полученную от AS посылку X расшифровать не сможет.
Получить доступ к содержимому билета TGT не может не только нарушитель, но и клиент C , т.к. билет зашифрован на ключе, который распределили между собой сервер аутентификации и сервер выдачи разрешений.
где {Aut 1 } - аутентификационный блок - Aut 1 = {с,t 2 } , t 2 - метка времени; ID - идентификатор запрашиваемого сервиса (в частности, это может быть идентификатор сервера SS ).
Клиент C на этот раз обращается к серверу выдачи разрешений ТGS . Он пересылает полученный от AS билет, зашифрованный на ключе K AS_TGS , и аутентификационный блок, содержащий идентификатор c и метку времени, показывающую, когда была сформирована посылка.Сервер выдачи разрешений расшифровывает билет TGT и получает из него информацию о том, кому был выдан билет, когда и на какой срок, ключ шифрования, сгенерированный сервером AS для взаимодействия между клиентом C и сервером TGS . С помощью этого ключа расшифровывается аутентификационный блок. Если метка в блоке совпадает с меткой в билете, это доказывает, что посылку сгенерировал на самом деле С (ведь только он знал ключ K C_TGS и мог правильно зашифровать свой идентификатор). Далее делается проверка времени действия билета и времени отправления посылки 3 ). Если проверка проходит и действующая в системе политика позволяет клиенту С обращаться к клиенту SS , тогда выполняется шаг 4 ).
где K C_SS - ключ для взаимодействия C и SS , { TGS } - Ticket Granting Service - билет для доступа к SS (обратите внимание, что такой же аббревиатурой в описании протокола обозначается и сервер выдачи разрешений). { TGS } ={с,ss,t 3 ,p 2 , K C_SS } .
Сейчас сервер выдачи разрешений TGS посылает клиенту C ключ шифрования и билет, необходимые для доступа к серверу SS . Структура билета такая же, как на шаге 2): идентификатор того, кому выдали билет; идентификатор того, для кого выдали билет; отметка времени; период действия ; ключ шифрования.
где Aut 2 ={c,t 4 } .
Клиент C посылает билет, полученный от сервера выдачи разрешений, и свой аутентификационный блок серверу SS , с которым хочет установить сеанс защищенного взаимодействия. Предполагается, что SS уже зарегистрировался в системе и распределил с сервером TGS ключ шифрования K TGS_SS . Имея этот ключ, он может расшифровать билет, получить ключ шифрования K C_SS и проверить подлинность отправителя сообщения .
Смысл последнего шага заключается в том, что теперь уже SS должен доказать C свою подлинность. Он может сделать это, показав, что правильно расшифровал предыдущее сообщение. Вот поэтому, SS берет отметку времени из аутентификационного блока C , изменяет ее заранее определенным образом (увеличивает на 1), шифрует на ключе K C_SS и возвращает C .сеть логически делится на области действия серверов Kerberos. Kerberos-область - это участок сети, пользователи и серверы которого зарегистрированы в базе данных одного сервера Kerberos (или в одной базе, разделяемой несколькими серверами). Одна область может охватывать сегмент локальной сети, всю локальную сеть или объединять несколько связанных локальных сетей. Схема взаимодействия между Kerberos-областями представлена на рис. 5.2 .
Для взаимодействия между областями, должна быть осуществлена взаимная регистрация серверов Kerberos, в процессе которой сервер выдачи разрешений одной области регистрируется в качестве клиента в другой области (т.е. заносится в базу сервера аутентификации и разделяет с ним ключ ).
После установки взаимных соглашений, клиент из области 1 (пусть это будет K 11 ) может установить сеанс взаимодействия с клиентом из области 2 (например, К 21 ). Для этого K 11 должен получить у своего сервера выдачи разрешений билет на доступ к Kerberos-серверу, с клиентом которого он хочет установить взаимодействие (т.е. серверу Kerberos KDC2). Полученный билет содержит отметку о том, в какой области зарегистрирован владелец билета. Билет шифруется на ключе, разделенном между серверами KDC1 и KDC2. При успешной расшифровке билета, удаленный Kerberos- сервер может быть уверен, что билет выдан клиенту Kerberos-области, с которой установлены доверительные отношения . Далее протокол работает как обычно.
ключ , но и убедились в подлинности друг друга, иными словами - аутентифицировали друг друга.Что касается реализации протокола Kerberos в Windows , то надо отметить следующее.
Для увеличения уровня защищенности процесса аутентификации пользователей, рекомендуется отключить использование менее надежного протокола NTLM и оставить только Kerberos (если использования NTLM не требуют устаревшие клиентские ОС).
Полное название:
Биометрические системы идентификации и аутентификации.
Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.
Назначение:
Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.
При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.
В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.
Биометрическая идентификация – это способ идентификации личности по отдельным специфическим биометрическим признакам (идентификаторам), присущим конкретному человеку.
Биометрическая аутентификация - это опознание индивидуума на основе его физиологических характеристик и поведения. Аутентификация проводится посредством компьютерной технологии без какого-либо нарушения личной сферы человека. Собранные таким образом в базе данных приметы человека сравниваются с теми, которые актуально регистрируются системами безопасности.
Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:
Установление подлинности и определение полномочий субъекта при его допуске в систему,
Контролирование установленных полномочий в процессе сеанса работы;
Регистрация действий и др.
Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.
Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности.
Применения биометрических технологий разнообразны: доступ к рабочим местам и сетевым ресурсам, защита информации, обеспечение доступа к определённым ресурсам и безопасность. Ведение электронного бизнеса и электронных правительственных дел возможно только после соблюдения определённых процедур по идентификации личности. Биометрические технологии используются в области безопасности банковских обращений, инвестирования и других финансовых перемещений, а также розничной торговле, охране правопорядка, вопросах охраны здоровья, а также в сфере социальных услуг. Биометрические технологии в скором будущем будут играть главную роль в вопросах персональной идентификации во многих сферах. Применяемые отдельно или используемые совместно со смарт-картами, ключами и подписями, биометрия скоро станет применяться во всех сферах экономики и частной жизни.
| № п/п | Области применения | Основные характеристики |
| 1 | Компьютер-ная безопас-ность | В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.). |
| 2 | Торговля | Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; - в торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; - в электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты. |
| 3 | Системы СКУД | В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос. |
| 4 | Системы АДИС | Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих. |
| 5 | Комплексные системы | К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами. |
Кроме этих основных секторов применения в настоящее время начинается активное использование биометрии и в некоторых других областях, таких как:
Игорный бизнес. Биометрия используется по двум направлениям: проверка всех находящихся по "черным спискам" (аналог массовой идентификации по лицам, используемой в аэропортах), а также как система идентификации и платежное средство постоянных клиентов;
Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;
В транспортной области как платежное средство;
Медицина. Биометрия используется для идентификации медицинских работников при получении доступа к закрытым данным и для электронной подписи записей в истории болезни.
Представители:
Еkey biometric systems GmbH – основанная в 1999 году австрийская компания по биометрическим системам доступа по отпечаткам пальцев, на сегодняшний день является компанией №1 в этой области. Слоган –«ваш палец – это ключ».
BioLink - создана в 2000г. и за это время превратилась в ведущего российского разработчика, поставщика и провайдера решений в сфере биометрической идентификации. Компания успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).
Многочисленные партнеры компании BioLink в России и за рубежом объединены в Биометрический альянс - уникальное содружество ведущих поставщиков передовых решений и систем на основе биометрической идентификации.
Ряд фирм США (Miros, Lau Technologies, Identification Technologies International) уже разработали системы опознавания человека по лицу, действующие подобно полицейскому, проверяющему права водителя автомобиля и сравнивающему его лицо с фотографией в предъявленном документе.
По данным фирмы Master Card (США), разработавшей оптическую биометрическую систему идентификации по отпечаткам пальцев, с времени установки в 1996 г. этой системы в офисах фирмы было проверено 6700 посетителей. Фирма считает, что эта система является наиболее удобной для держателей кредитных карточек.
В системе идентификации фирмы San Bruno (США) используется светодиод с излучением в ближней инфракрасной области спектра для бокового освещения пальцев и получения рельефного дактилоскопического рисунка.
Фирма Fingermatrix (США) разработала принтеры для одного и десяти пальцев, в которых оптическая система располагается под ванночкой со спиртом и водой. Слой жидкости предохраняет поверхность, на которой воспроизводится изображение, от загрязнения и повышает светопропускание.
Другая американская фирма Quatalmage разработала более совершенный коррелятор, в котором применен созданный фирмой пространственный модулятор света высокого быстродействия (время отклика менее 1 мкс) с разрешением 200 линий/мм. Сформированное компьютером изображение направляется в два сегнетоэлектрических пространственных модулятора света, облучаемых светом лазерного диода с длиной волны 830 нм. Лазерный луч проходит через объектив преобразователя Фурье. Быстродействующий пространственный модулятор света усиливает преобразованное по Фурье изображение. Второй лазерный луч с длиной волны излучения 850 нм считывает усиленное изображение и переносит результаты обратно через объектив преобразователя Фурье на интеллек-туальный чувствительный элемент, способный обнаруживать пики корреляции при сравнении до 4000 отпечатков пальцев в 1 с.
