Устройства ввода идентификационных признаков Обучающая работа: Выполнили Харламова И.Ю. Иванова С.А. Адамова О.В. Лежнева Ю.А.

На мировом рынке информационной безопасности стабильно развиваются так называемые средства ААА(от англ. authentication,authorization, administration – аутентификация, авторизация, администрирование), предназначенные для защиты от несанкционированного доступа(НСД) к информационным ресурсам автономных и сетевых компьютеров. Согласно прогнозам Infonetics Research (www. Infonetics.com), рынок средств ААА к 2005 году составит примерно 9,5 млрд. Долл., или 67% от всего рынка информационной безопасности. Этот прогноз не вызывает удивления, ведь известно, что основной ущерб предприятиям вследствие нарушений политики безопасности наносят злоупотребления со стороны собственных недобросовестных сотрудников. Как показывают исследования компании Ernst&Young ( 80% случаев потерь конфиденциальной информации происходит именно на внутрикорпоративные угрозы.

Среди средств ААА важное место занимают аппаратно- программные инструменты контроля доступа к компьютерам – электронные замки, устройства ввода идентификационных признаков (УВИП) и соответствующие ПО. Совместное применение УВИП и электронного замка дает возможность воздвигнуть перед злоумышленником две линии обороны, преодолеть которые не так – то просто. Разумеется, речь идет здесь не просто о физическом взломе компьютера

Устройства ввода идентификационных признаков В состав аппаратных средств УВИП входят идентификаторы и считывающие устройства (иногда считыватели могут отсутствовать). Современные УВИП принято квалифицировать по виду идентификационных признаков и по способу их считывания.

У нас в стране биометрию в качестве средства аутентификации для серверов и рабочих станций пока что можно считать скорее экзотикой. Гораздо чаще используются чисто цифровые алгоритмы, такие как инфраструктура открытых ключей (Public Key Infrastructure, PKI), чьи принципы были описаны ещё во второй половине 70-х годов Витфилдом Диффи и Мартином Хеллманом. В электронных УВИП идентификационные признаки представляются в виде кода, записанного в электронную микросхему памяти идентификатора.

iButton. УСТРОЙСТВО. Разработанное компанией Dallas Semiconductor устройство ввода идентификационных признаков на базе идентификатора iButton относится к ряду электронных контактных УВИП. В общем виде iButton представляет собой микросхему, вмонтированную в герметичный стальной корпус. Корпус отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм при высоте 5,89 мм или 3,1 мм. Он защищает и обеспечивает высокую степень защищённости идентификатора от воздействия агрессивных сред, пыли, влаги, внешних электромагнитных полей, механических ударов и т. д. Идентификатор легко крепится на носителе (карточке, брелке). + и -

ДОСТОИНСТВА Надёжность, долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет); Высокая степень механической и электромагнитной защищённости; Малые размеры; Относительно невысокая стоимость; НЕДОСТАТКОМ Является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.

Proximity. УСТРОЙСТВО. Устройство ввода идентификационных признаков на базе идентификаторов Proximity (от англ. proximity – близость, соседство) или RFID-системы (radio- frequency identification – радиочастотная идентификация) относятся к классу электронных бесконтактных радиочастотных устройств. + и - Радиочастотные идентификаторы выпускаются в виде карточек, брелков, браслетов, ключей и т. п. Каждый из них имеет собственный уникальный серийный номер. Основными их компонентами являются интегральная микросхема, осуществляющая связь со считывателем, и встроенная антенна. Внутри Proximity может находиться источник питания – литиевая батарейка.

ДДОСТОИНСТВА Бесконтактная технология считывания; Долговечность пассивных идентификаторов; Точность, надёжность и удобство считывания идентификационных признаков. ННЕДОСТАТКИ К недостаткам RFID-систем относят слабую электромагнитную защищённость и высокую стоимость.

Смарт-карты УСТРОЙСТВО Устройства ввода идентификационных признаков на базе смарт-карт относятся к классу электронных устройств. Они могут быть контактными и бесконтактными (дистанционными). Основой внутренней организации смарт-карты является так называемая архитектура (Self Programming One-chip Memory), предусматривающая наличие центрального процессора (CPU), ОЗУ, ПЗУ и электрически перепрограммируемой постоянной памяти EEPROM. Как правило, в карте присутствует специализированный сопроцессор. + и -

ДОСТОИНСТВО Достоинством УВИП на базе смарт-карт считаются удобство хранения идентификатора и считывания идентификационных признаков. НЕДОСТАТКИ К недостаткам можно отнести ограниченный срок эксплуатации.

USB-ключи УСТРОЙСТВО Устройства ввода идентификационных признаков на базе USB-ключей относятся к классу электронных контактных устройств. В составе УВИП данного типа отсутствуют дорогостоящие аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля. Конструктивно USB-ключи выпускаются в виде брелков, которые легко размещаются на связке с обычными ключами. Брелки выпускаются в цветных корпусах и снабжены цветными индикаторами работы. Каждый идентификатор имеет собственный уникальный серийный номер. Основными компонентами USB- ключей являются встроенный процессор и память. + и -

ДОСТОИНСТВА Достоинства УВИП на базе USB-ключей заключается в отсутствии аппаратного считывателя, малых размерах и удобстве хранения идентификаторов, а также в простоте подсоединения идентификатора к USB-порту. НЕДОСТАТКИ К недостаткам можно отнести сравнительно высокую стоимость (на российском рынке цена USB-ключей в зависимости от типа превышает $20) и слабую механическую защищённость брелка.

БИОМЕТРИЧЕСКИЕ УСТРОЙСТВА ВВОДА ИДЕНТИФИКАЦИОННЫХ ПРИЗНАКОВ

Биометрические устройства аутентификации существуют около двадцати лет. На рынке имеется множество систем био идентификации стоимостью от нескольких десятков до нескольких миллионов долларов. С их помощью можно защитить и отдельно стоящий ПК, и большую корпоративную сеть. Высокий уровень защиты определяется тем, что биометрия позволяет идентифицировать человека, а не устройство. Биоидентификация основана на уникальности характеристик человеческого тела: не существует двух людей с одинаковыми биометрическими признаками. Биометрия – это прикладная область знаний, использующая при создании различных автоматических систем разграничение доступа уникальные признаки, присущие каждому отдельному человеку.

Следует различать биометрическую характеристику и биометрический образец- наблюдений выбранной биометрической характеристики. Большинство биометрических систем функционирует следующим образом: в базе данных системы безопасности хранится цифровой образ отпечатка пальца, радужной оболочки глаза, голоса и т.д. Человек, получающий доступ, с помощью микрофона, сканера или других устройств вводит в систему свой биометрический образец. Система извлекает из него данные (особые точки их параметры), сравнивает их с теми, что хранятся в базе данных, определяет степень совпадения и делает заключение о том, удалось ли идентифицировать человека по предъявленным данным, или подтверждает, что он именно тот, за кого себя выдает.

Все технически реализуемые сегодня методы измерения биометрических параметров целесообразно разбить на 13 групп, каждая из которых будет характеризоваться своей степенью уникальности наблюдаемых биометрических характеристик (табл.).

Голос. Одним из способов получения тайного биометрического образа является произнесение слова-пароля (фразы) голосом легитимного пользователя. В 2002 году верификация голоса была использована в 11 % случаев использования технологии био идентификации. устройство + и -

Устройство. Такие системы имеют гребенку из 16 полосовых фильтров, равномерно делящих наиболее энергетически значимую часть спектра частот голоса (от 300 до 3500 Гц). Системы строятся на запоминании кривых изменения энергии на выходе каждого из фильтров. Современные системы голосовой аутентификации дополнительно осуществляют обработку данных линейным предсказателем голосового сигнала и анализируют функцию изменения частоты основного тона, а также учитывают значения коэффициентов линейного предсказателя.

Серьезный недостаток метода голосовой аутентификации – им нельзя пользоваться в присутствии посторонних людей. Плюсы и минусы.

Почерк. Биометрические системы аутентификации личности по особенностям рукописного почерка могут работать со сканированной и простой подписью. Система, позволяющая анализировать сканированные подписи, работают с их двухмерными изображениями. Обычно биометрические системы могут надежно различать порядка 100 различных почерков, воспроизводящих одни и те же буквы. Автоматический перебор рукописного пароля при разархивировании данных потребует примерно часов. Увеличивая длину рукописного пароля, можно добиться необходимой защищенности. Тайна биометрических паролей умножается на уникальность почерка легального пользователя. В 2002 году верификация подписи была использована в 3 % случаев использования технологии био идентификации.

Устройства идентификации по отпечаткам пальцев

Отпечаток пальцев образует папиллярные линии на гребешковых выступах кожи, разделенных бороздками. Из этих линий складываются сложные узоры, обладающие свойствами индивидуальности и неповторимости, устойчивости и восстанавливаемости. Согласно отчету International Biometric Group, доля устройств дактилоскопического доступа в 2002 г. составила 52,1% мирового биометрического рынка.

Достоинства: Отпечаток пальца один из наиболее устойчивых идентификационных признаков(не изменяется со временем, при повреждение кожного покрова идентичный папиллярный узор восстанавливается). Устройства просты и удобны в применении- достаточно прикоснуться к сканеру. При сканирование не вызывает дискомфорта у пользователя. Системы распознавания по отпечаткам пальцев демонстрируют высокие показатели точности – вероятность того, что доступ к секретным сведениям получит неавторизованный пользователь, практически равна нулю. Устройства могут быть интегрированы в компьютерную мышь, клавиатуру или ноутбук в силу своих малых размеров и эргономичности. Недостатки: Возможность получения отпечатков пальцев легального пользователя мошенниками достаточно велика. Непригодность некоторых отпечатков пальцев для анализа. Невозможность бесконтактного применения.

Устройства идентификации по радужной оболочке и сетчатке глаза.

У данных устройств имеется ряд преимуществ, предполагающие их применение в разных сферах: возможность сканирования на расстоянии; у этих сканеров самый низкий процент отказа в доступе зарегистрированному пользователю; практически не бывает ошибочного разрешения доступа. Однако сам метод несвободен от принципиальных недостатков: изменения радужной оболочки и сетчатки глаза(с возрастом; вследствие заболеваний, травм, либо большой нагрузки на глазное яблоко) могут быть незначительны, но системы идентификации могут отказать в доступе.

Устройство основано на использовании инфракрасного света низкой интенсивности, направленный через зрачок к кровеносным сосудам на задней стенке глаза. + и -

Достоинство: Недостатки: Изображение сетчатки должно быть четким.

Лицо. Уровень развития технологий распознавания лиц несовершенен. Технология основана на поиске в режиме "один ко многим" и сопоставления видеоизображения (320 Х 240 пикселей на дюйм) конкретного лица с тысячами других из базы данных в потоке 3-5 кадров в секунду.

Методы распознавания лица Eigenfaces. Анализ изображения в градациях серого для выявления уникальных характеристик лица. Анализ отличительных черт. Используется наиболее часто. Адаптирован в изменениям мимики. Анализ на основе нейронных сетей. Сравнение по "особым точкам". Применяется в трудных условиях. Автоматическая обработка изображения лица. Определение расстояния и соотношения расстояний между легко определяемыми особенностями лица человека. + и -

Достоинство: Контроль лица – биометрическая технология, позволяющая экспериментировать при ограниченном бюджете (видеокамера -70 $, а демонстрационные версии – в Интернете).

Комбинированные устройства ввода: Эффективность защиты компьютеров от НСД может быть повышена за счет комбинирования различных УВИП. Эта тенденция наглядно просматривается в изделиях ведущих мировых компаний.

Корпорация HID разработала карты-индикаторы, объединяющие в себе различные технологии считывания идентификационных признаков. Например в устройстве Smart ISOProx II сочетаются Proximity 125 к Гц и контактная смарт-карт-технология MIFARE 13,56 МГц, в HID MIFARE Card – контактные и бесконтактные смарт-карт-технологии. В идентификаторе НID Proximity and MIFARE Card собран букет из трех технологий: Proximity 125 к Гц, MIFARE 13,56 МГц и контактная смарт- карта.

Альянс Fujitsu Siemens Computers предлагает комбинированное УВИП под названием KBPC-CID. Данное изделие представляет собой объединенные встроенные в клавиатуру компьютера считыватель для смарт-карт и дактилоскопический сканер. Клавиатура подключается к USB-порту защищаемого компьютера. В компании Siemens найдено решение, позволяющее хранить в смарт - карте три биометрических признака пользователя: отпечаток пальца, черты лица и голос.

Представляется интересным желание объединить USB-ключ с биометрической системой идентификации. Подобное предложение поступило от компании Trektor, выпустивший изделие Thumb-Drive Touch. Устройство

Устройство: Основными компонентами данного устройства, выполненного в виде USB- брелока, является дактилоскопический сканер и энергонезависимая флеш- память емкостью от 32 до 512 Мб. В памяти выделяются открытая и защищенная области. Пользователь получает доступ к защищенной области памяти после проверки отпечатков пальцев. Скорость чтения и записи данных составляет Кб/с соответственно.

При выборе того и иного комбинированного УВИП следует не забывать известную пословицу: «Где тонко, там и рвется»,- что в переводе на язык теории систем означает: эффективность системы определяется эффективностью самого слабого звена.