Биометрическая идентификация. Методы идентификации, системы идентификации. Биометрические технологии

Идентификация и аутентификация представляют собой основу современных программно-технических средств безопасности, так как любые другие сервисы в основном рассчитаны на обслуживание указанных субъектов. Эти понятия представляют собой своеобразную первую линию обороны, обеспечивающую пространства организации.

Что это такое?

Идентификация и аутентификация имеют разные функции. Первая предоставляет субъекту (пользователю или процессу, который действует от его имени) возможность сообщить собственное имя. При помощи аутентификации уже вторая сторона окончательно убеждается в том, что субъект действительно представляет собой того, за кого он себя выдает. Нередко в идентификация и аутентификация заменяются словосочетаниями «сообщение имени» и «проверка подлинности».

Сами они подразделяются на несколько разновидностей. Далее мы рассмотрим, что собой представляют идентификация и аутентификация и какими они бывают.

Аутентификация

Данное понятие предусматривает два вида: одностороннюю, когда клиент предварительно должен доказать серверу свою подлинность, и двустороннюю, то есть когда ведется взаимное подтверждение. Стандартный пример того, как проводится стандартная идентификация и аутентификация пользователей, - это процедура входа в определенную систему. Таким образом, разные типы могут использоваться в различных объектах.

В сетевой среде, когда идентификация и аутентификация пользователей осуществляются на территориально разнесенных сторонах, рассматриваемый сервис отличается двумя основными аспектами:

• что выступает в качестве аутентификатора;
• как именно был организован обмен данными аутентификации и идентификации и как обеспечивается его защита.

Чтобы подтвердить свою подлинность, субъектом должна быть предъявлена одна из следующих сущностей:

• определенная информация, которая ему известна (личный номер, пароль, специальный криптографический ключ и т. д.);
• определенная вещь, которой он владеет (личная карточка или какое-то другое устройство, имеющее аналогичное назначение);
• определенная вещь, являющаяся элементом его самого (отпечатки пальцев, голос и прочие биометрические средства идентификации и аутентификации пользователей).

Особенности систем

В открытой сетевой среде стороны не имеют доверенного маршрута, а это говорит о том, что в общем случае информация, передаваемая субъектом, может в конечном итоге не совпадать с информацией, полученной и используемой при проверке подлинности. Требуется обеспечение безопасности активного и пассивного прослушивания сети, то есть защита от корректировки, перехвата или воспроизведения различных данных. Вариант передачи паролей в открытом виде является неудовлетворительным, и точно так же не может спасти положение и шифрование паролей, так как им не обеспечивается защита от воспроизведения. Именно поэтому сегодня используются более сложные протоколы аутентификации.

Надежная идентификация имеет трудности не только по причине различных но еще и по целому ряду других причин. В первую очередь практически любые аутентификационные сущности могут похищаться, подделываться или выведываться. Также присутствует определенное противоречие между надежностью используемой системы, с одной стороны, и удобствами системного администратора или пользователя - с другой. Таким образом, из соображения безопасности требуется с некоторой частотой запрашивать у пользователя повторное введение его аутентификационной информации (так как вместо него может уже сидеть какой-нибудь другой человек), а это не только создает дополнительные хлопоты, но еще и значительно увеличивает шанс на то, что кто-то может подсматривать ввод информации. Помимо всего прочего, надежность средства защиты существенно сказывается на его стоимости.

Современные системы идентификации и аутентификации поддерживают концепцию единого входа в сеть, что в первую очередь позволяет удовлетворять требования в плане удобства для пользователей. Если стандартная корпоративная сеть имеет множество информационных сервисов, предусматривающих возможность независимого обращения, то в таком случае многократное введение личных данных становится чересчур обременительным. На данный момент пока еще нельзя сказать, что использование единого входа в сеть считается нормальным, так как доминирующие решения еще не сформировались.

Таким образом, многие стараются найти компромисс между доступностью по цене, удобством и надежностью средств, которыми обеспечивается идентификация/аутентификация. Авторизация пользователей в данном случае осуществляется по индивидуальным правилам.

Отдельное внимание стоит уделить тому, что используемый сервис может быть выбран в качестве объекта атаки на доступность. Если выполнена таким образом, чтобы после некоторого числа неудачных попыток возможность ввода была заблокирована, то в таком случае злоумышленниками может останавливаться работа легальных пользователей путем буквально нескольких нажатий клавиш.

Парольная аутентификация

Главным достоинством такой системы является то, что она является предельно простой и привычной для большинства. Пароли уже давным-давно используются операционными системами и другими сервисами, и при грамотном использовании ими обеспечивается уровень безопасности, который является вполне приемлемым для большинства организаций. Но с другой стороны, по общей совокупности характеристик подобные системы представляют собой самое слабое средство, которым может осуществляться идентификация/аутентификация. Авторизация в таком случае становится достаточно простой, так как пароли должны быть запоминающимися, но при этом простые комбинации нетрудно угадать, особенно если человек знает пристрастия конкретного пользователя.

Иногда бывает так, что пароли, в принципе, не держатся в секрете, так как имеют вполне стандартные значения, указанные в определенной документации, и далеко не всегда после того, как устанавливается система, их меняют.

При вводе пароль можно посмотреть, причем в некоторых случаях люди используют даже специализированные оптические приборы.

Пользователи, основные субъекты идентификации и аутентификации, нередко могут сообщать пароли коллегам для того, чтобы те на определенное время подменили владельца. В теории в таких ситуациях будет правильнее всего применять специальные средства управления доступом, но на практике это никем не используется. А если пароль знают два человека, это крайне сильно увеличивает шансы на то, что в итоге о нем узнают и другие.

Как это исправить?

Есть несколько средств, как может быть защищена идентификация и аутентификация. Компонент обработки информации может обезопаситься следующим:

• Наложением различных технических ограничений. Чаще всего устанавливаются правила на длину пароля, а также содержание в нем определенных символов.
• Управлением срока действия паролей, то есть необходимостью их периодической замены.
• Ограничением доступа к основному файлу паролей.
• Ограничением общего количества неудачных попыток, доступных при входе в систему. Благодаря этому злоумышленниками должны выполняться только действия до выполнения идентификации и аутентификации, так как метод перебора нельзя будет использовать.
• Предварительным обучением пользователей.
• Использованием специализированных программных генераторов паролей, которые позволяют создавать такие комбинации, которые являются благозвучными и достаточно запоминающимися.

Все указанные меры могут использоваться в любом случае, даже если вместе с паролями будут применяться также и другие средства аутентификации.

Одноразовые пароли

Рассмотренные выше варианты являются многоразовыми, и в случае раскрытия комбинации злоумышленник получает возможность выполнять определенные операции от имени пользователя. Именно поэтому в качестве более сильного средства, устойчивого к возможности пассивного прослушивания сети, используются одноразовые пароли, благодаря которым система идентификации и аутентификации становится гораздо более безопасной, хоть и не такой удобной.

На данный момент одним из наиболее популярных программных генераторов одноразовых паролей является система под названием S/KEY, выпущенная компанией Bellcore. Основная концепция этой системы заключается в том, что имеется определенная функция F, которая известна как пользователю, так и серверу аутентификации. Далее представлен секретный ключ К, который известен только определенному пользователю.

При начальном администрировании пользователя данная функция используется к ключу определенное количество раз, после чего происходит сохранение полученного результата на сервере. В дальнейшем процедура проверки подлинности выглядит так:

1. На пользовательскую систему от сервера приходит число, которое на 1 меньше количества раз использования функции к ключу.
2. Пользователем используется функция к имеющемуся секретному ключу то количество раз, которое было установлено в первом пункте, после чего результат отправляется через сеть непосредственно на сервер аутентификации.
3. Сервером используется данная функция к полученному значению, после чего результат сравнивается с сохраненной ранее величиной. Если результаты совпадают, то в таком случае подлинность пользователя является установленной, а сервер сохраняет новое значение, после чего снижает счетчик на единицу.

На практике реализация данной технологии имеет несколько более сложную структуру, но на данный момент это не столь важно. Так как функция является необратимой, даже в случае перехвата пароля или получения несанкционированного доступа к серверу аутентификации не предоставляет возможности получить секретный ключ и каким-либо образом предсказать, как конкретно будет выглядеть следующий одноразовый пароль.

В России в качестве объединенного сервиса используется специальный государственный портал - "Единая система идентификации/аутентификации" ("ЕСИА").

Еще один подход к надежной системе аутентификации заключается в том, чтобы новый пароль генерировался через небольшие промежутки времени, что тоже реализуется через использование специализированных программ или различных интеллектуальных карт. В данном случае сервер аутентификации должен воспринимать соответствующий алгоритм генерации паролей, а также определенные ассоциированные с ним параметры, а помимо этого, должна присутствовать также синхронизация часов сервера и клиента.

Kerberos

Впервые сервер аутентификации Kerberos появился в середине 90-х годов прошлого века, но с тех пор он уже успел получить огромнейшее количество принципиальных изменений. На данный момент отдельные компоненты данной системы присутствуют практически в каждой современной операционной системе.

Главным предназначением данного сервиса является решение следующей задачи: присутствует определенная незащищенная сеть, и в ее узлах сосредоточены различные субъекты в виде пользователей, а также серверных и клиентских программных систем. У каждого такого субъекта присутствует индивидуальный секретный ключ, и для того чтобы у субъекта С появилась возможность доказать собственную подлинность субъекту S, без которой тот попросту не станет его обслуживать, ему необходимо будет не только назвать себя, но еще и показать, что он знает определенный секретный ключ. При этом у С нет возможности просто отправить в сторону S свой секретный ключ, так как в первую очередь сеть является открытой, а помимо этого, S не знает, да и, в принципе, не должен знать его. В такой ситуации используется менее прямолинейная технология демонстрации знания этой информации.

Электронная идентификация/аутентификация через систему Kerberos предусматривает ее использование в качестве доверенной третьей стороны, которая имеет информацию о секретных ключах обслуживаемых объектов и при необходимости оказывает им помощь в проведении попарной проверки подлинности.

Таким образом, клиентом сначала отправляется в систему запрос, который содержит необходимую информацию о нем, а также о запрашиваемой услуге. После этого Kerberos предоставляет ему своеобразный билет, который шифруется секретным ключом сервера, а также копию некоторой части данных из него, которая засекречивается ключом клиента. В случае совпадения устанавливается, что клиентом была расшифрована предназначенная ему информация, то есть он смог продемонстрировать, что секретный ключ ему действительно известен. Это говорит о том, что клиент является именно тем лицом, за которое себя выдает.

Отдельное внимание здесь следует уделить тому, что передача секретных ключей не осуществлялась по сети, и они использовались исключительно для шифрования.

Проверка подлинности с использованием биометрических данных

Биометрия включает в себя комбинацию автоматизированных средств идентификации/аутентификации людей, основанную на их поведенческих или физиологических характеристиках. Физические средства аутентификации и идентификации предусматривают проверку сетчатки и роговицы глаз, отпечатков пальцев, геометрии лица и рук, а также другой индивидуальной информации. Поведенческие же характеристики включают в себя стиль работы с клавиатурой и динамику подписи. Комбинированные методы представляют собой анализ различных особенностей голоса человека, а также распознавание его речи.

Такие системы идентификации/аутентификации и шифрования используются повсеместно во многих странах по всему миру, но на протяжении длительного времени они отличались крайне высокой стоимостью и сложностью в применении. В последнее же время спрос на биометрические продукты значительно увеличился по причине развития электронной коммерции, так как, с точки зрения пользователя, намного удобнее предъявлять себя самого, чем запоминать какую-то информацию. Соответственно, спрос рождает предложение, поэтому на рынке начали появляться относительно недорогие продукты, которые в основном ориентированы на распознавание отпечатков пальцев.

В преимущественном большинстве случаев биометрия используется в комбинации с другими аутентификаторами наподобие Нередко биометрическая аутентификация представляет собой только первый рубеж защиты и выступает в качестве средства активизации интеллектуальных карт, включающих в себя различные криптографические секреты. При использовании данной технологии биометрический шаблон сохраняется на этой же карте.

Активность в сфере биометрии является достаточно высокой. Уже существует соответствующий консорциум, а также довольно активно ведутся работы, направленные на стандартизацию различных аспектов технологии. Сегодня можно увидеть множество рекламных статей, в которых биометрические технологии преподносятся в качестве идеального средства обеспечения повышенной безопасности и при этом доступного широким массам.

ЕСИА

Система идентификации и аутентификации ("ЕСИА") представляет собой специальный сервис, созданный для того, чтобы обеспечить реализацию различных задач, связанных с проверкой подлинности заявителей и участников межведомственного взаимодействия в случае предоставления каких-либо муниципальных или государственных услуг в электронной форме.

Для того чтобы получить доступ к "Единому порталу государственных структур", а также каким-либо другим информационным системам инфраструктуры действующего электронного правительства, для начала нужно будет пройти регистрацию учетной записи и, как следствие, получить ПЭП.

Уровни

Портал предусматривает три основных уровня учетных записей для физических лиц:

• Упрощенная. Для ее регистрации достаточно просто указать свою фамилию и имя, а также какой-то определенный канал коммуникации в виде адреса электронной почты или мобильного телефона. Это первичный уровень, с помощью которого у человека открывается доступ только к ограниченному перечню различных государственных услуг, а также возможностей существующих информационных систем.
• Стандартная. Для ее получения изначально нужно оформить упрощенную учетную запись, а потом уже предоставить также дополнительные данные, включая информацию из паспорта и номер страхового индивидуального лицевого счета. Указанная информация автоматически проверяется через информационные системы Пенсионного фонда, а также Федеральную миграционную службу, и, если проверка проходит успешно, учетная запись переводится на стандартный уровень, что открывает пользователю расширенный перечень государственных услуг.
• Подтвержденная. Для получения такого уровня учетной записи единая система идентификации и аутентификации требует от пользователей стандартный аккаунт, а также подтверждение личности, которое выполняется через личное посещение отделения уполномоченной службы или посредством получения кода активации через заказное письмо. В том случае, если подтверждение личности окажется успешным, учетная запись перейдет на новый уровень, а перед пользователем откроется доступ к полному перечню необходимых государственных услуг.

Несмотря на то что процедуры могут показаться достаточно сложными, на самом деле ознакомиться с полным перечнем необходимых данных можно непосредственно на официальном сайте, поэтому полноценное оформление вполне возможно на протяжении нескольких дней.

Создавая аккаунт на официальном сайте госуслуги.ру, человек одновременно становится пользователем ЕСИА. Эта аббревиатура расшифровывается как Единая система идентификации и аутентификации. По сути, это ключ доступа, который подходит ко всем ресурсам, предоставляющим услуги федерального и муниципального масштаба. В чем преимущества этой системы и как зарегистрироваться в ЕСИА посредством портала Госуслуг, будет рассказано в этой статье.

Что такое ЕСИА?

Прежде всего стоит сказать, что ЕСИА – это система, за функционирование которой отвечает Минкомсвязь России. Участником системы может стать любое физическое лицо, юридическое лицо или организация. Регистрация в ЕСИА на портале Госуслуги происходит бесплатно, процедура доступна для всех пользователей интернета. В это же время каждый зарегистрированный участник системы имеет право в любой момент .

Зарегистрировавшись, человек получает пароль, который может использоваться для доступа ко всем государственным сайтам, участвующим в программе. То есть при активной сессии на Госуслугах и переходе, к примеру, на ресурс Виртуальная школа, подключенный к ЕСИА, проходить повторную идентификацию не потребуется.

Помимо единого входа на гос.порталы, система обеспечивает одновременный выход из них. То есть при завершении сеанса на Госуслугах будет прерван доступ и к учеткам на сайте ФМС, ПФР, ФНС и др.

ЕСИА обеспечивает возможность внесения и самостоятельного изменения персональных данных владельца аккаунта через Личный кабинет. Подлинность номера СНИЛС проверяется с использованием сервиса ПФР, корректность ИНН – с помощью сервиса Налоговой службы, а паспортных данных и сведений из миграционных карт (для иностранных граждан) – сервиса ФМС.

Что дает ЕСИА?

Регистрация в ЕСИА для физического лица – это возможность пользоваться функционалом сайта Госуслуги и другими информационными сервисами, подключенными к программе. Это открывает широкие возможности для владельца аккаунта, позволяя:

• оформлять через интернет различные документы, например, паспорт, водительское удостоверение;
• записываться к врачу через интернет, выбирая удобную для посещения дату и время;
• ставить ребенка на очередь в детский сад, записывать его в школу, кружки и секции, летние лагеря;
• узнавать о штрафах и задолженностях по налогам;
• подавать заявки на оказание различных услуг, к примеру, регистрацию брака, смену фамилии, оформления свидетельства ИНН;
• оплачивать счета за коммунальные услуги, телефон;
• оформлять пособия и социальные выплаты, получать льготы;
• узнавать о пенсионных накоплениях, проверять свой лицевой счет в ПФР и др.

Как стать участником системы?

Создавая учетную запись на портале Госуслуг, пользователь становится участником ЕСИА. Чтобы авторизоваться, нужно зайти на gosuslugi.ru и указать в специальной форме свои настоящие ФИО и телефон или email. Информация должна быть актуальной, так как дальше в профиль нужно будет добавить сведения из паспорта и персональные данные из других важных документов (СНИЛС, ИНН).

Для завершения процедуры регистрации учетной записи на портале ЕСИА требуется ввести код активации, отправленный системой на телефонный номер, введенный на предыдущем этапе. Второй вариант активации аккаунта – подтвердить учетную запись, перейдя по ссылке в электронном письме, полученном на email.

Важно: во время прохождения регистрации пользователь должен иметь доступ к мобильному телефону или почтовому ящику, используемому при создании аккаунта.

Как подтвердить аккаунт?

Пройдя простую процедуру создания аккаунта на сайте Госуслуги, человек становится участником ЕСИА с упрощенной учетной записью. Стоит разобраться, что это такое.

Упрощенная учетка дает право заходить на портал и просматривать информацию о различных услугах, которые на нем предоставляются. Однако получать эти услуги пользователь не сможет, так как действия на сайте будут ограничены.

Владельцам упрощенных записей доступна проверка задолженностей и штрафов в режиме онлайн и получение оповещений о них. Но каждый пользователь может «поднять» свою учетку, дополнив информацию о себе.

Указав номер СНИЛС и паспортные данные, владелец аккаунта после проверки информации системой получает стандартную учетную запись. Для присвоения статуса стандартной учетной записи потребуется указать в профиле:

• свои ФИО;
• пол, место рождения и дату;
• гражданство;
• серию/номер паспорта или другого документа, подтверждающего личность;
• номер СНИЛС.

Важно: иностранные граждане, не имеющие номера СНИЛС, не смогут повысить статус учетки до стандартной.

Стандартная учетка позволяет оплачивать штрафы и счета в режиме онлайн, используя банковские карты и электронные кошельки, записываться на прием к врачу, зарегистрировать товарный знак.

Следующий шаг, открывающий доступ ко всем функциям сайта – получение подтвержденной записи. Владельцы подтвержденного аккаунта могут оформлять различные документы (паспорт, загранпаспорт, справки, свидетельства и др.) через интернет, записывать ребенка в очередь в сад, получать доступ к лицевым счетам и прочее.

Важно: чтобы получать некоторые услуги, необходимо иметь электронную цифровую подпись.

Чтобы подтвердить аккаунт, необходимо либо лично явиться в МФЦ, либо заказать код подтверждения почтовым письмом, либо иметь . Самым популярным вариантом становится личное обращение в многофункциональный центр с паспортом и карточкой .

Защита персональных данных пользователя

В системе хранится важная персональная информация о зарегистрированных пользователях:

• паспортные данные;
• номер СНИЛС;

Поэтому портал Госуслуги должен иметь высокий уровень безопасности. Доступ к со всей личной информацией имеет только его владелец. Данные, переданные в систему владельцами аккаунтов, хранятся на государственных серверах, имеющих высокую защиту. Данные в системе передаются по защищенным каналам с высоким уровнем шифрования.

В свою очередь, владелец аккаунта должен понимать, что пароль учетной записи ЕСИА – это доступ к его персональным данным, поэтому сообщать его третьим лицам нельзя. Способ хранения пароля для входа в аккаунт его владелец выбирает самостоятельно, при этом вся ответственность за сохранность этих данных лежит на нем.

Сайт Госуслуги был запущен еще в 2010 году, но первые несколько лет активность на нем практически не наблюдалась. Однако сегодня портал стремительно развивается, открывая широкие возможности его пользователям. На сайте Госуслуги можно легко и быстро получить сотни услуг муниципального и федерального значения. Для этого нужно просто заполнить заявку через интернет и подтвердить операцию паролем учетной записи ЕСИА. Это избавляет от очередей, лишних стрессов и дополнительных финансовых расходов.

Одним из важнейших методов защиты для соблюдения конфиденциальности является разграничение доступа. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.

Операционные системы Windows 95/98 сохраняли пароль в PWL-файле (как правило, USERNAME.PWL) в каталоге Windows. Вместе с тем стоит отметить, что несмотря на то, что содержимое PWL-файла было зашифровано, извлечь из него пароли было довольно просто. Первый алгоритм шифрования версии Windows 95 позволял создавать программы для расшифровки PWL-файлов. Однако в версии Windows 95 OSR2 этот недостаток был устранен. Тем не менее система защиты паролей в OSR2 содержала несколько серьезных недостатков, а именно:

• все пароли были преобразованы к верхнему регистру, что значительно уменьшало количество возможных паролей;
• применяемые для шифрования алгоритмы MD5 и RC4 позволяли реализовать более быстрое шифрование пароля, но достоверный пароль Windows должен был иметь длину не менее девяти символов.
• система кэширования пароля, по существу, была ненадежна. Пароль мог быть сохранен только в том случае, если никто из персонала без соответствующего разрешения не имел доступа к вашему компьютеру.

В операционных системах, используемых в настоящее время (Windows XP/2000/2003), применяется более надежная защита парольного метода аутентификации. Но в то же время необходимо выполнять следующие рекомендации Microsoft:

• длина пароля должна составлять не менее восьми символов;
• в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы;
• время действия пароля должно составлять не более 42 дней;
• пароли не должны повторяться.

В дальнейшем эти требования будут только ужесточаться. К чему это приведет, вернее, увы, уже привело? Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль, к тому же записывая его на бумаге. Хорошо это или плохо? Допустимо ли?

С одной стороны - явно недопустимо, так как резко возрастает риск компрометации пароля, с другой - слишком сложный пароль (типа PqSh*98+) трудно удержать в голове. Пользователи явно будут или выбирать простой пароль, или постоянно забывать сложный и отвлекать администратора от более важных дел. Исследования Gartner показывают, что от 10 до 30% звонков в службу технической поддержки компаний составляют просьбы сотрудников по поводу восстановления забытых ими паролей.

По данным IDC, каждый забытый пароль обходится организации в 10-25 долл. Добавим сюда еще необходимость его постоянной смены и требование неповторяемости паролей. Что делать? Каков выход?

На самом деле уже сегодня существует несколько вариантов решения этой нелегкой проблемы.

Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. При этом указанный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив их целостность. Примером такого конверта может служить конверт с PIN-кодом к платежной карте. Эти конверты хранятся в сейфе начальника подразделения или в сейфе службы информационной безопасности. Единственной сложностью при таком способе является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если принять во внимание экономию времени администраторов сети и приложений, то эта плата не является чрезмерной.

Третий вариант - использование многофакторной аутентификации на базе новейших технологий аутентификации. В качестве примера рассмотрим двухфакторную аутентификацию. Основным преимуществом такой аутентификации является наличие физического ключа и PIN-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометацию пароля, поскольку, кроме ключа, для доступа к системе нужен еще PIN-код к ключу.

Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием интернет-технологий, и системы биометрической аутентификации.

В настоящее время основным способом защиты информации от несанкционированного доступа (НСД) является внедрение так называемых средств AAA (Authentication, Authorization, Accounting - аутентификация, авторизация, управление правами пользователей). При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошел процедуры идентификации` и аутентификации.

Стоит учесть, что на мировом рынке ИТ-услуг сегмент ААА постоянно растет. Эта тенденция подчеркивается в аналитических обзорах IDC, Gartner и других консалтинговых фирм. Такой же вывод можно сделать, внимательно просмотрев ежегодный обзор компьютерной преступности Института компьютерной безопасности США и ФБР за 2005 год (рис. 1).

Рис. 1. Данные по объему потерь от разных видов атак за 2005 год, долл.
Суммарный объем потерь за 2005 год - 130 104 542 долл.
Количество предприятий-респондентов (США) - 700

Как видно из диаграммы, ущерб от кражи конфиденциальной информации значительно увеличился. То есть каждая из опрошенных компаний потеряла в среднем более 350 тыс. долл. вследствие кражи конфиденциальной информации. Это исследование подтверждает тенденции, наметившиеся в последние несколько лет. Согласно отчету Института компьютерной безопасности США и ФБР за 2004 год, кража чувствительных данных уже тогда входила в число опаснейших угроз - ущерб от нее составлял около 40% от общего объема ущерба всех его угроз. При этом средний объем потерь был равен более 300 тыс. долл., а максимальный объем - 1,5 млн долл.

Исходя из этого, можно сделать вывод, что кража конфиденциальной информации имеет один из наиболее высоких рейтингов среди всех ИТ-угроз в США. Стоит отметить, что найти виновного без решения вопросов идентификации и аутентификации невозможно!

Среди основных сервисов безопасности:

• идентификация и аутентификация;
• контроль защищенности;
• контроль целостности и аутентичности информации;
• межсетевое экранирование;
• построение VPN;
• протоколирование/аудит;
• разграничение доступа;
• управление безопасностью;
• фильтрация контента;
• шифрование.

Отметим, что вопросы разграничения доступа решаются в обязательном порядке при создании любой информационной системы. В наше время, когда системы становятся все более распределенными, трудно переоценить важность корректного разграничения доступа. При этом требуется все более надежная защита систем аутентификации как от внешних, так и от внутренних злоумышленников. Стоит понимать, что пользователи не склонны усложнять себе жизнь и стараются пользоваться как можно менее сложными паролями. А следовательно, для устранения этого в дальнейшем все чаще будут применяться программно-аппаратные средства аутентификации, которые постепенно придут на смену традиционным паролям (рис. 2).

Рис. 2. Рост рынка средств информационной безопасности

Классификация средств идентификации и аутентификации

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные (рис. 3). В отдельную подгруппу в связи с их специфическим применением можно выделить входящие в состав электронных средств системы одноразовых паролей.

Рис. 3. Классификация программно-аппаратных систем идентификации
и аутентификации

В электронных системах идентификационные признаки представляются в виде кода, хранящегося в защищенной области памяти идентификатора (носителя) и, за редким исключением, фактически не покидающего ее. Идентификаторы в этом случае бывают следующие:

• контактные смарт-карты;
• бесконтактные смарт-карты;
• USB-ключи (USB-token);
• iButton.

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.

Статическая биометрия основывается на данных (шаблонах), полученных путем измерения анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.), а динамическая - на анализе действий человека (голос, параметры подписи, ее динамика).

На мой взгляд, биометрические системы аутентификации не получили широкого распространения по нескольким причинам:

• высокая стоимость подобных систем;
• отсутствие хорошо подготовленного профессионального персонала;
• сложность настройки таких систем;
• противодействие со стороны сотрудников, так как руководство получает возможность контролировать все их перемещения и фактически производить контроль рабочего времени.

В комбинированных системах применяется одновременно несколько признаков, причем они могу принадлежать как к системам одного класса, так и к разным.

Электронные системы идентификации и аутентификации

В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-ключи (USB-token).

Контактные смарт-карты и USB-ключи

USB-ключи работают с USB-портом компьютера и изготавливаются в виде брелоков. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin.

eToken - персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде стандартной смарт-карты или USB-ключа:

• смарт-карта требует для подключения к компьютеру PC/SC-совместимого устройства чтения смарт-карт. Она может применяться как средство визуальной идентификации (на смарт-карте eToken PRO/SC может быть размещена информация о ее владельце и фотография (ID-бэдж) для использования службой безопасности предприятия). Смарт-карты могут быть изготовлены из белого пластика для последующей печати (фотографии, персональных данных и т.д.) с предварительной надпечаткой, а также с наклеенной магнитной полосой либо в виде эмбосированных карт (с выдавленными символами);
• USB-ключ - напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для ее считывания.

Если сравнивать две эти технологии, то становится очевидно, что выбор одной из них зависит от технологии безопасности, принятой в компании. Так, если планируется введение автоматизированного пропускного режима и при этом на пропусках должны быть фотография, имя владельца и прочая информация, то предпочтительно воспользоваться смарт-картами. Однако стоит учесть, что потребуется купить также устройства чтения смарт-карт.

Если пропускной режим уже введен и необходимо лишь обеспечить дополнительный контроль и ужесточить режим входа в некоторые помещения - стоит обратить внимание на eToken PRO со встроенными радиометками. Ведь службе физической безопасности, отвечающей за пропускной режим, гораздо проще контролировать пропуска при наличии на них фотографии, фамилии и имени владельца, хотя eToken PRO со встроенным RFID-чипом и аналогичная смарт-карта одинаковы по функциональности.

Основные области применения eToken (рис. 4):

Рис. 4. Возможности eToken

• двухфакторная аутентификация пользователей при доступе к серверам, базам данных, приложениям, разделам веб-сайтов;
• безопасное хранение секретной информации: паролей, ключей ЭЦП и шифрования, цифровых сертификатов;
• защита электронной почты (цифровая подпись и шифрование, доступ);
• защита компьютеров от несанкционированного доступа (НСД);
• защита сетей и каналов передачи данных (VPN, SSL);
• клиент-банк, системы типа e-banking и e-commerce.

При работе с многофакторной аутентификацией пользователь получает целый ряд преимуществ. В частности, ему требуется помнить всего один пароль к eToken вместо нескольких паролей к приложениям. Кроме того, теперь отпадает необходимость в регулярной смене паролей. Да и в случае утери eToken ничего страшного не произойдет. Ведь для того, чтобы воспользоваться найденным (украденным) eToken, необходимо еще знать его пароль. Все это существенно повышает уровень безопасности организации. Вместе с тем стоит понимать, что eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure), - так называемыми PKI-ready-приложениями.

Основное назначение eToken:

• строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
• безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
• аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хеш-функции, формирование ЭЦП).

В качестве средства аутентификации eToken поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности и может применяться для решения следующих задач:

• строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам веб-сайтов, защищенным хранилищам, зашифрованным дискам и пр.;
• вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, UNIX, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino);
• внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в удостоверяющих центрах и системах с использованием отечественных криптопровайдеров «Крипто-Про», «Сигнал-Ком» и т.д.) - хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты);
• построение систем документооборота, защищенных почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) - ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей;
• организация защищенных каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) - аутентификация пользователей, генерация ключей, обмен ключами;
• межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) - аутентификация пользователей;
• шифрование данных на дисках (в продуктах типа Secret Disk NG) - аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации;
• единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle - строгая двухфакторная аутентификация;
• защита веб-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) - аутентификация пользователей, генерация ключей, обмен ключами;
• управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) - eToken является единым универсальным идентификатором для доступа к различным приложениям;
• поддержка унаследованных приложений и разработка собственных решений в области ИБ.

Характеристики USB-ключей приведены в табл. 1 .

Сегодня на рынке представлены следующие типы USB-ключей:

• eToken R2, eToken PRO - компания Aladdin;
• iKey10xx, iKey20xx,iKey 3000 - компания Rainbow Technologies;
• ePass 1000, ePass 2000 - фирма Feitian Technologies;
• ruToken - разработка компании «Актив» и фирмы АНКАД;
• uaToken - компания ООО «Технотрейд».

USB-ключи - это преемники смарт-карт, в силу этого структура USB-ключей и смарт-карт идентична.

Бесконтактные смарт-карты

Бесконтактные смарт-карты (БСК) широко используются в различных приложениях как для аутентификации (режим электронного пропуска, электронный ключ к двери и т.д.), так и для разного рода транспортных, идентификационных, расчетных и дисконтных приложений.

Важным свойством БСК, выделяющим ее из ряда других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Фактически надежность технических элементов систем, использующих БСК, определяется надежностью микросхем. Последнее обстоятельство приводит к существенному снижению эксплуатационных расходов на систему по сравнению с аналогичными системами, применяющими смарт-карты с внешними контактами.

Порядок проведения операций с БСК и устройством чтения/записи памяти карты (в дальнейшем - считывателем) определяется программным приложением. При поднесении пользователем карты к считывателю происходит транзакция, то есть обмен данными между картой и считывателем, и возможное изменение информации в памяти карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. При этом карту можно и не вынимать из бумажника. С одной стороны, это позволяет пользователю удобно и быстро произвести транзакцию, а с другой - при попадании в поле антенны карта вовлекается в процесс обмена информацией независимо от того, желал этого пользователь или нет.

Типичная начальная последовательность команд для работы приложения с картой включает:

• захват карты (выбирается первая находящаяся в поле антенны считывателя карта), если необходимо - включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный серийный номер захваченной карты, точнее уникальный номер встроенной в карту микросхемы);
• выбор карты с данным серийным номером для последующей работы с памятью карты или ее серийным номером.

Указанная последовательность команд выполняется за 3 мс, то есть практически мгновенно.

Далее следует аутентификация выбранной области памяти карты. Она основана на использовании секретных ключей и будет описана ниже. Если карта и считыватель узнали друг друга, то данная область памяти открывается для обмена данными и в зависимости от условий доступа могут быть выполнены команды чтения и записи, а также специализированные команды электронного кошелька (если, конечно, область соответствующим образом была размечена при персонализации карты). Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька - за 9-10 мс. Таким образом, типичная транзакция, начинающаяся с захвата карты и приводящая к изменению 16 байтов памяти, совершается максимум за 16 мс.

Для аутентификации сектора памяти карты применяется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2.

В общих чертах процесс аутентификации можно представить так. Чипы карты и устройства для работы с ней обмениваются случайными числами. На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает свое случайное число с числом, полученным в сообщении; при совпадении она заново зашифровывает сообщение и направляет его считывателю. Считыватель расшифровывает послание карты, сравнивает свое случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной.

Итак, работа с сектором памяти возможна только после успешной аутентификации сектора выбранной карты и пока карта находится в поле антенны считывателя. При этом все данные, передаваемые по радиочастотному каналу, всегда шифруются.

Начальные (так называемые транспортные) ключи, а также условия доступа к секторам задаются во время первичной персонализации карты на заводе-изготовителе и секретным образом сообщаются эмитенту. В дальнейшем, в процессе вторичной персонализации карточки эмитентом или пользователем приложения, ключи обычно меняются на другие, известные только эмитенту или пользователю. Также (это определяется конкретным приложением) при вторичной персонализации изменяются и условия доступа к секторам памяти карты.

Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (табл. 2).

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64-разрядные серийные номера.

Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем.

Каждый ключ имеет прошиваемый 32/64-разрядный серийный номер.

Комбинированные системы

Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность (табл. 3).

В настоящее время существуют комбинированные системы следующих типов:

• системы на базе бесконтактных смарт-карт и USB-ключей;
• системы на базе гибридных смарт-карт;
• биоэлектронные системы.

В корпус брелока USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволяет организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Такая схема применения идентификатора исключает ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что дает возможность работать под его идентификатором.

Сегодня наибольшее распространение получили два идентификатора подобного типа: RFiKey - от компании Rainbow Technologies и eToken PRO RM - от фирмы Aladdin Software Security R.D. Устройство RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM - USB-ключи и смарт-карты eToken PRO, дополненные пассивными RFID-метками.

Применение eToken для контроля физического доступа

RFID-технология (Radio Frequency IDentification - радиочастотная идентификация) является наиболее популярной сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен eToken PRO/32K и выше. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13,56 МГц, например производства «Ангстрем» и HID.

Помимо традиционных преимуществ RFID-технологий, комбинированные USB-ключи и смарт-карты eToken, используя единый «электронный пропуск» для контроля доступа в помещения и к информационным ресурсам, позволяют:

• сократить расходы;
• защитить инвестиции, сделанные в ранее приобретенные СКУД, за счет интеграции eToken с большинством типов RFID-меток;
• уменьшить влияние человеческого фактора на уровень информационной безопасности организации: сотрудник не сможет покинуть помещение, оставив комбинированную карту на рабочем месте;
• автоматизировать учет рабочего времени и перемещений сотрудников по офису;
• провести поэтапное внедрение путем постепенной замены выходящих из эксплуатации идентификаторов.

Применение гибридных смарт-карт для контроля физического доступа

Гибридные смарт-карты содержат разнородные чипы: один чип поддерживает контактный интерфейс, другой - бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: контроль доступа в помещение и к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет заменить на такие карты обычные пропуска и перейти к единому электронному пропуску.

Смарт-карты подобного типа предлагают следующие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin и др.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken PRO/SC RM. В них микросхемы с контактным интерфейсом eToken PRO встраиваются в бесконтактные смарт-карты. Смарт-карты eToken PRO могут быть дополнены пассивными RFID-метками производства HID/ISOPROx II, EM-Marin (частота 125 кГц), Cotag (частота 122/66 кГц), «Ангстрем»/КИБИ-002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет отказаться от обычных пропусков и перейти к единому электронному пропуску.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем - биометрической и контактной на базе смарт-карт или USB-ключей.

Что скрывается за понятием «биометрия»? Фактически мы используем такие технологии каждый день, однако как технический способ аутентификации биометрия стала применяться относительно недавно. Биометрия - это идентификация пользователя по уникальным, присущим только ему одному биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, поскольку не нужно ничего запоминать, а потерять биологические характеристики весьма сложно.

При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает конкретный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом, содержащимся в базе данных.

Просто? С точки зрения пользователя - безусловно. Однако у данного метода существуют как достоинства, так и недостатки.

К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, пользователь может ошибиться при вводе пароля) и пользователь не может передать свой биологический идентификатор другому человеку, в отличие от пароля. А, например, подделать узор, имеющийся на пальце у каждого человека, практически невозможно. Однако, как показали исследования, проведенные в США, биометрические сканеры, основанные на отпечатках пальцев, довольно легко вводили в заблуждение с помощью муляжа отпечатка пальца или даже пальца трупа. Распространен также отказ в доступе, осуществляемый на основании распознавания голоса, если человек просто простыл. Но самый большой недостаток биометрических систем - это их высокая цена.

Все биометрические технологии можно разделить на две группы:

• статические методы, которые основываются на физиологической (статической) характеристике человека, то есть уникальном свойстве, присущем ему от рождения и неотъемлемом от него. К статическим биологическим признакам относятся форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма лица, расположение вен на кисти руки и т.д.(табл. 4);
• динамические методы, которые основываются на поведенческой (динамической) характеристике человека - особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия (подписи, речи, динамики клавиатурного набора).

Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной и собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность - что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность - независимость БХЧ от времени. Собираемость - возможность получения биометрической характеристики от каждого индивидуума. Реальные БХЧ не идеальны, и это ограничивает их применение. В результате экспертной оценки таких источников БХЧ, как форма и термограмма лица, отпечатки пальцев, геометрия руки, структура радужной оболочки глаза (РОГ), узор сосудов сетчатки, подпись, особенности голоса, форма губ и ушей, динамика почерка и походки, было установлено, что ни один из них не удовлетворяет всем требованиям по перечисленным выше свойствам (табл. 5). Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.

Распознавание по отпечаткам пальцев

Это самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации).

Ведущие производители сканеров отпечатков пальцев:

• BioLink (http://www.biolink.ru/ , http://www.biolinkusa.com/);
• Bioscrypt (http://www.bioscrypt.com/);
• DigitalPersona (http://www.digitalpersona.com/);
• Ethentica (http://www.ethentica.com/);
• Precise Biometrics (http://www.precisebiometrics.com/);
• Ведущие производители сенсоров (считывающих элементов для сканирующих устройств):
• Atmel (http://www.atmel.com/ , http://www.atmel-grenoble.com/);
• AuthenTec (http://www.authentec.com/);
• Veridicom (http://www.veridicom.com/);

Распознавание по форме руки

Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), делаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека.

Ведущие производители такого оборудования:

• Recognition Systems (http://www.recogsys.com/ , http://www.handreader.com/);
• BioMet Partners (http://www.biomet.ch/).

Распознавание по радужной оболочке глаза

Данный метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации этого метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, выделяющее из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.

Полное название:

Биометрические системы идентификации и аутентификации.

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.

Назначение:

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

Биометрическая идентификация – это способ идентификации личности по отдельным специфическим биометрическим признакам (идентификаторам), присущим конкретному человеку.

Биометрическая аутентификация - это опознание индивидуума на основе его физиологических характеристик и поведения. Аутентификация проводится посредством компьютерной технологии без какого-либо нарушения личной сферы человека. Собранные таким образом в базе данных приметы человека сравниваются с теми, которые актуально регистрируются системами безопасности.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

Установление подлинности и определение полномочий субъекта при его допуске в систему,

Контролирование установленных полномочий в процессе сеанса работы;

Регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности.

Применения биометрических технологий разнообразны: доступ к рабочим местам и сетевым ресурсам, защита информации, обеспечение доступа к определённым ресурсам и безопасность. Ведение электронного бизнеса и электронных правительственных дел возможно только после соблюдения определённых процедур по идентификации личности. Биометрические технологии используются в области безопасности банковских обращений, инвестирования и других финансовых перемещений, а также розничной торговле, охране правопорядка, вопросах охраны здоровья, а также в сфере социальных услуг. Биометрические технологии в скором будущем будут играть главную роль в вопросах персональной идентификации во многих сферах. Применяемые отдельно или используемые совместно со смарт-картами, ключами и подписями, биометрия скоро станет применяться во всех сферах экономики и частной жизни.

	Области применения	Основные характеристики
	Компьютер-ная безопас-ность	В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.).
	Торговля	Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; В торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; В электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты.
	Системы СКУД	В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос.
	Системы АДИС	Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих.
	Комплексные системы	К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами.

Кроме этих основных секторов применения в настоящее время начинается активное использование биометрии и в некоторых других областях, таких как:

Игорный бизнес. Биометрия используется по двум направлениям: проверка всех находящихся по "черным спискам" (аналог массовой идентификации по лицам, используемой в аэропортах), а также как система идентификации и платежное средство постоянных клиентов;

Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;

В транспортной области как платежное средство;

Медицина. Биометрия используется для идентификации медицинских работников при получении доступа к закрытым данным и для электронной подписи записей в истории болезни.

Представители:

Еkey biometric systems GmbH – основанная в 1999 году австрийская компания по биометрическим системам доступа по отпечаткам пальцев, на сегодняшний день является компанией №1 в этой области. Слоган –«ваш палец – это ключ».

BioLink - создана в 2000г. и за это время превратилась в ведущего российского разработчика, поставщика и провайдера решений в сфере биометрической идентификации. Компания успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).

Многочисленные партнеры компании BioLink в России и за рубежом объединены в Биометрический альянс - уникальное содружество ведущих поставщиков передовых решений и систем на основе биометрической идентификации.

Ряд фирм США (Miros, Lau Technologies, Identification Technologies International) уже разработали системы опознавания человека по лицу, действующие подобно полицейскому, проверяющему права водителя автомобиля и сравнивающему его лицо с фотографией в предъявленном документе.

По данным фирмы Master Card (США), разработавшей оптическую биометрическую систему идентификации по отпечаткам пальцев, с времени установки в 1996 г. этой системы в офисах фирмы было проверено 6700 посетителей. Фирма считает, что эта система является наиболее удобной для держателей кредитных карточек.

В системе идентификации фирмы San Bruno (США) используется светодиод с излучением в ближней инфракрасной области спектра для бокового освещения пальцев и получения рельефного дактилоскопического рисунка.

Фирма Fingermatrix (США) разработала принтеры для одного и десяти пальцев, в которых оптическая система располагается под ванночкой со спиртом и водой. Слой жидкости предохраняет поверхность, на которой воспроизводится изображение, от загрязнения и повышает светопропускание.

Другая американская фирма Quatalmage разработала более совершенный коррелятор, в котором применен созданный фирмой пространственный модулятор света высокого быстродействия (время отклика менее 1 мкс) с разрешением 200 линий/мм. Сформированное компьютером изображение направляется в два сегнетоэлектрических пространственных модулятора света, облучаемых светом лазерного диода с длиной волны 830 нм. Лазерный луч проходит через объектив преобразователя Фурье. Быстродействующий пространственный модулятор света усиливает преобразованное по Фурье изображение. Второй лазерный луч с длиной волны излучения 850 нм считывает усиленное изображение и переносит результаты обратно через объектив преобразователя Фурье на интеллек-туальный чувствительный элемент, способный обнаруживать пики корреляции при сравнении до 4000 отпечатков пальцев в 1 с.

В системе "Fastgate", проходящей в настоящее время испытания, применена техника сканирования геометрии руки фирмы Recognition Systems и IBM(США).

С 17 по 19 ноября 2010 г. в Москве пройдет выставка Infosecurity Russia"2010, где отечественные и зарубежные компании примут участие.

Особенности и история

В 1938 г. была создана Биометрическая секция американской статистической ассоциации. Затем в 1947 г. в Вудс-Холе (США) была проведена «Первая международная биометрическая конференция», на которой было организовано Международное биометрическое общество. Конференции Международного биометрического общества проходили в 1949 г., 1953 г., 1958 г., 1963 г., 1967 г. и т. д.

В 1978 г. было организовано Международное общество клинической биостатистики (ISCB), национальные отделения которого есть в нескольких десятках стран, включая США, Англию, Францию, Италию, Канаду, Испанию, Польшу, Венгрию, Южную Африку, Кению и т. д. Кроме организованного в 1901 г. Пирсоном и Гальтоном журнала «Biometrika» стали выходить журналы «Biometrics» (с 1945 г.), «Biometrische Zeitschrift» (с 1959 г.)

До 11 сентября 2001 года, биометрические системы обеспечения безопасности использовались только для защиты военных секретов и самой важной коммерческой информации. Ну а после потрясшего весь мир террористического акта ситуация резко изменилась. Сначала биометрическими системами доступа оборудовали аэропорты, крупные торговые центры и другие места скопления народа.

В рамках безвизовой программы США подписала с 27 странами соглашение, по которому граждане этих государств смогут въезжать на территорию США сроком до 90 дней без визы при обязательном наличии биометрических документов. Начало действия программы - 26 октября 2005. Среди государств, участвующих в программе - Австралия, Австрия, Бельгия, Великобритания, Германия, Италия, Лихтенштейн, Люксембург, Монако, Нидерланды, Португалия, Сингапур, Финляндия, Франция, Швейцария, Швеция и Япония.

С 1 января 2007 года вводится в действие национальный стандарт ГОСТ 52633-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации».

В нём формулируются требования к средствам высоконадежной биометрической аутентификации на базе больших и сверхбольших многослойных искусственных нейронных сетей с большим числом входов и большим числом выходов.

За последние два десятилетия биометрические технологии сделали большой шаг вперед. Во многом этому способствовало распространение микропроцессорных технологий. Еще в 80-е годы систему контроля доступа, использующую биометрические характеристики человека, можно было увидеть лишь в фантастических фильмах. Сегодня же использование в системах контроля и управления доступом (СКУД) биометрических сканеров, практически, не усложняет систему безопасности, и их стоимость для некоторых биометрических методов очень низкая. Более того, около трети ноутбуков выходит сейчас со встроенной системой считывания отпечатка пальцев, а если в ноутбуке есть видеокамера, на него можно установить систему распознавания человека по лицу.

Основными характеристиками любой биометрической охранной системы являются два числа - FAR (False Acceptance Rate) и FRR (False Rejection Rate). Первое число характеризует вероятность ложного совпадения биометрических характеристик двух людей. Второе - вероятность отказа доступа человеку, имеющего допуск. Система тем лучше, чем меньше значение FRR при одинаковых значениях FAR. Устойчивость к подделке - это эмпирическая характеристика, обобщающая то, насколько легко обмануть биометрический идентификатор. Устойчивость к окружающей среде - характеристика, эмпирически оценивающая устойчивость работы системы при различных внешних условиях. Простота использования показывает, насколько сложно воспользоваться биометрическим сканером, возможна ли идентификация «на ходу». Важными характеристиками являются и скорость работы, и стоимость системы. Несомненно, существенным является и то, как в течение времени себя ведет биометрическая характеристика. Если она неустойчива и может измениться - это значительный минус.

Физиологические (статические) методы

Сканирование радужной оболочки глаза

Сканирование сетчатки глаза

Геометрия кисти руки (рисунок вен, отпечатки пальцев – дактилоскопия, размер, длина и ширина ладоней)

Распознавание черт лица (контур, форма; расположение глаз и носа)

Снятие отпечатков пальцев

Структура ДНК - сигнатура

Поведенческие (динамические) методы

Анализ подписи (форма букв, манера письма, нажим)

Анализ клавиатурного почерка

	Носитель биометрической информации	Вероятность ошибки	надежность	Сфера применения
Распознавание радужной оболочки глаза	Узор радужки			Критичные к количеству ошибок сервисы
Дактилоскопия	Отпечатки пальцев			Универсальная
Форма руки	Размер, длина и ширина ладоней
Распознавание лица	Контур, форма; расположение глаз и носа			Некритичные к количеству ошибок сервисы
	Форма букв, манера письма, нажим			Некритичные к количеству ошибок сервисы
				Телефонные серверы

Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.

Отпечатки пальцев

Дактилоскопия (распознавание отпечатков пальцев) - наиболее разработанный на сегодняшний день биометрический метод идентификации личности. Катализатором развития метода послужило его широкое использование в криминалистике ХХ века.

Каждый человек имеет уникальный папиллярный узор отпечатков пальцев, благодаря чему и возможна идентификация. Обычно алгоритмы используют характерные точки на отпечатках пальцев: окончание линии узора, разветвление линии, одиночные точки. Дополнительно привлекается информация о морфологической структуре отпечатка пальца: относительное положение замкнутых линий папиллярного узора, арочных и спиральных линий. Особенности папиллярного узора преобразовываются в уникальный код, который сохраняет информативность изображения отпечатка. И именно «коды отпечатков пальцев» хранятся в базе данных, используемой для поиска и сравнения. Время перевода изображения отпечатка пальца в код и его идентификация обычно не превышают 1с, в зависимости от размера базы. Время, затраченное на поднесение руки, не учитывается.

Радужная оболочка

Радужная оболочка глаза является уникальной характеристикой человека. Рисунок радужки формируется на восьмом месяце внутриутробного развития, окончательно стабилизируется в возрасте около двух лет и практически не изменяется в течение жизни, кроме как в результате сильных травм или резких патологий. Метод является одним из наиболее точных среди биометрических технологий.

Система идентификации личности по радужной оболочке логически делится на две части: устройство захвата изображения, его первичной обработки и передачи вычислителю; вычислитель, производящий сравнение изображения с изображениями в базе данных, передающий команду о допуске исполнительному устройству.

Время первичной обработки изображения в современных системах примерно 300-500 мс, скорость сравнения полученного изображения с базой имеет уровень 50000-150000 сравнений в секунду даже на обычном персональном компьютере. Такая скорость сравнения не накладывает ограничений на применение метода в больших организациях при использовании в системах доступа. При использовании же специализированных вычислителей и алгоритмов оптимизации поиска становится даже возможным идентифицировать человека среди жителей целой страны.

Геометрия лица

Существует множество методов распознавания по геометрии лица. Все они основаны на том, что черты лица и форма черепа каждого человека индивидуальны. Эта область биометрии многим кажется привлекательной, потому что мы узнаем друг друга в первую очередь по лицу. Данная область делится на два направления: 2D-распознавание и 3D-распознавание. У каждого из них есть достоинства и недостатки, однако многое зависит еще и от области применения и требований, предъявленных к конкретному алгоритму.

2D-распознавание лица

2D-распознавание лица - один из самых статистически неэффективных методов биометрии. Появился он довольно давно и применялся, в основном, в криминалистике, что и способствовало его развитию. Впоследствии появились компьютерные интерпретации метода, в результате чего он стал более надежным, но, безусловно, уступал и с каждым годом все больше уступает другим биометрическим методам идентификации личности. В настоящее время из-за плохих статистических показателей он применяется, в основном, в мультимодальной или, как ее еще называют, перекрестной биометрии.

Реализация данного метода представляет собой довольно сложную задачу. Несмотря на это, в настоящее время существует множество методов по 3D-распознаванию лица. Ниже рассматривается один из самых распространенных.

Метод проецирования шаблона состоит в том, что на объект (лицо) проецируется сетка. Далее камера делает снимки со скоростью десятки кадров в секунду, и полученные изображения обрабатываются специальной программой. Луч, падающий на искривленную поверхность, изгибается - чем больше кривизна поверхности, тем сильнее изгиб луча. Изначально при этом применялся источник видимого света, подаваемого через «жалюзи». Затем видимый свет был заменен инфракрасным, который обладает рядом преимуществ. Обычно на первом этапе обработки отбрасываются изображения, на которых лица не видно вообще или присутствуют посторонние предметы, мешающие идентификации. По полученным снимкам восстанавливается 3D-модель лица, на которой выделяются и удаляются ненужные помехи (прическа, борода, усы и очки). Затем производится анализ модели - выделяются антропометрические особенности, которые в итоге и записываются в уникальный код, заносящийся в базу данных. Время захвата и обработки изображения составляет 1-2 с для лучших моделей.

Венозный рисунок руки

Это новая технология в сфере биометрии. Инфракрасная камера делает снимки внешней или внутренней стороны руки. Рисунок вен формируется благодаря тому, что гемоглобин крови поглощает ИК-излучение. В результате степень отражения уменьшается и вены видны на камере в виде черных линий. Специальная программа на основе полученных данных создает цифровую свертку. Не требуется контакта человека со сканирующим устройством. Рисунок вен на ладони не меняется с двухлетнего возраста

Технология сравнима по надежности с распознаванием по радужной оболочке глаза, но имеет ряд минусов, указанных ниже.

Сетчатка глаза

До последнего времени считалось, что самый надежный метод биометрической идентификации и аутентификации личности - это метод, основанный на сканировании сетчатки глаза. Он содержит в себе лучшие черты идентификации по радужной оболочке и по венам руки. Сканер считывает рисунок капилляров на поверхности сетчатки глаза. Сетчатка имеет неподвижную структуру, неизменную во времени, кроме как в результате глазной болезни, например, катаракты.

Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в системах контроля доступа на особо секретные объекты, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа.

К сожалению, целый ряд трудностей возникает при использовании этого метода биометрии. Сканером тут является весьма сложная оптическая система, а человек должен значительное время не двигаться, пока система наводится, что вызывает неприятные ощущения.

Термический образ лица . Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.

Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 – 5%. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу – возбужден, болен, говорит правду, не в себе и т.д.

Ввод с клавиатуры . Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.

Подпись. Для контроля рукописной подписи используются дигитайзеры.

Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности

В данном разделе будут рассмотрены некоторые технические меры повышения защищенности систем. Выбор рассматриваемых мер обусловлен возможностью их реализации встроенными средствами операционных систем семейства Microsoft Windows . Соответственно, уровень защищенности может быть повышен без дополнительных затрат на специализированные средства защиты.

В теоретической части курса будут методы, лежащие в основе соответствующих средств и механизмов. В лабораторных работах рассматриваются конкретные настройки операционных систем.

Рассматриваемые вопросы можно разделить на две группы:

• вопросы, связанные с идентификацией и аутентификацией пользователей;
• защита передаваемых сообщений.

Идентификация и аутентификация

Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система "знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация - установление подлинности - проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль . На основании этих данных система проводит идентификацию ( по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль ).

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. В соответствии с рассмотренной ранее моделью многоуровневой защиты, аутентификация пользователя компьютера относится к уровню защиты узлов.

Обычно выделяют 3 группы методов аутентификации.

1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски "I have" ("у меня есть"). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация - "I know" ("я знаю"). Например, аутентификация по паролю. Более подробно парольные системы рассматриваются далее в этом разделе.
3. Аутентификация пользователя по его собственным уникальным характеристикам - "I am" ("я есть"). Эти методы также называются биометрическими.

Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация - пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.

Наиболее распространенными на данный момент являются парольные системы аутентификации . У пользователя есть идентификатор и пароль , т.е. секретная информация , известная только пользователю (и возможно - системе), которая используется для прохождения аутентификации.

В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Операционные системы, как правило, проводят аутентификацию с использованием многоразовых паролей. Совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя составляют учетную запись пользователя .

Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особой внимание.

Как отмечалось при рассмотрении стандарта ISO 17799 , рекомендуется, чтобы пользователи системы подписывали документ о сохранении конфиденциальности пароля. Но нарушитель также может попытаться подобрать пароль , угадать его, перехватить и т.д. Рассмотрим некоторые рекомендации по администрированию парольной системы, позволяющие снизить вероятность реализации подобных угроз.

1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
2. Установка требования использовать в пароле разные группы символов - большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак , таких как подбор паролей "по словарю" (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как "1234").
4. Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей.
5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).
6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.

Современные операционные системы семейства Windows позволяют делать установки, автоматически контролирующие выполнение требований 1,2,4-6. При использовании домена Windows , эти требования можно распространить на все компьютеры, входящие в домен и таким образом повысить защищенность всей сети.

Но при внедрении новых механизмов защиты могут появиться и нежелательные последствия. Например, требования "сложности" паролей могут поставить в тупик недостаточно подготовленного пользователя. В данном случае потребуется объяснить, что с точки зрения операционной системы Windows надежный пароль содержит 3 из 4 групп символов (большие буквы, малые буквы, цифры, служебные знаки). Аналогичным образом, надо подготовить пользователей и к внедрению блокировки учетных записей после нескольких неудачных попыток ввода пароля. Требуется объяснить пользователям, что происходит, а сами правила блокировки должны быть хорошо продуманы. Например, если высока вероятность того, что пользователь заблокирует свою запись в период отсутствия администратора, лучше ставить блокировку не насовсем, а на какой-то срок (30 минут, час и т.д.).

Это приводит к тому, что должна быть разработана политика управления паролями , сопровождающие ее документы, а потом уже проведено внедрение.

При использовании ОС семейства Windows , выявить учетные записи со слабыми или отсутствующими паролями можно, например, с помощью утилиты Microsoft Baseline Security Analyzer . Она же позволяет выявить и другие ошибки администрирования. Вопросам использования этой утилиты, а также настройке политики паролей посвящена лабораторная работа № 3.

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows "2000), есть реализации для Mac OS.

В сетях Windows (начиная с Windows "2000 Serv.) аутентификация по протоколу Kerberos v.5 ( RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM .

Перед тем, как рассмотреть порядок работы Kerberos, разберем зачем он изначально разрабатывался. Централизованное распределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ , который используется для взаимодействия с центром распределения ключей (сервером ключей). Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ .

Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos - это программная система, построенная по архитектуре "клиент- сервер ". Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).

Серверная часть Kerberos называется центром распределения ключей (англ. Key Distribution Center , сокр. KDC ) и состоит из двух компонент :

• сервер аутентификации (англ. Authentication Server , сокр. AS);
• сервер выдачи разрешений (англ. Ticket Granting Server, сокр. TGS ).

Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей. Схема функционирования протокола Kerberos представлена на рис. 5.1 .

Рис. 5.1.

Пусть клиент C собирается начать взаимодействие с сервером SS (англ. Service Server - сервер , предоставляющий сетевые сервисы). В несколько упрощенном виде, протокол предполагает следующие шаги [ , ]:

1. C->AS: {c} .

   Клиент C посылает серверу аутентификации AS свой идентификатор c (идентификатор передается открытым текстом).

2. AS->C: {{TGT}K AS_TGS , K C_TGS }K C ,
   • K C - основной ключ C ;
   • K C_TGS - ключ, выдаваемый C для доступа к серверу выдачи разрешений TGS ;
   • {TGT} - Ticket Granting Ticket - билет на доступ к серверу выдачи разрешений

   {TGT}={c, tgs ,t 1 ,p 1 , K C_TGS } , где tgs - идентификатор сервера выдачи разрешений, t 1 - отметка времени, p 1 - период действия билета.

   На этом шаге сервер аутентификации AS , проверив, что клиент C имеется в его базе, возвращает ему билет для доступа к серверу выдачи разрешений и ключ для взаимодействия с сервером выдачи разрешений. Вся посылка зашифрована на ключе клиента C . Таким образом, даже если на первом шаге взаимодействия идентификатор с послал не клиент С , а нарушитель X , то полученную от AS посылку X расшифровать не сможет.

   Получить доступ к содержимому билета TGT не может не только нарушитель, но и клиент C , т.к. билет зашифрован на ключе, который распределили между собой сервер аутентификации и сервер выдачи разрешений.

3. C-> TGS : {TGT}K AS_TGS , {Aut 1 } K C_TGS , {ID}

   где {Aut 1 } - аутентификационный блок - Aut 1 = {с,t 2 } , t 2 - метка времени; ID - идентификатор запрашиваемого сервиса (в частности, это может быть идентификатор сервера SS ).

   Клиент C на этот раз обращается к серверу выдачи разрешений ТGS . Он пересылает полученный от AS билет, зашифрованный на ключе K AS_TGS , и аутентификационный блок, содержащий идентификатор c и метку времени, показывающую, когда была сформирована посылка.Сервер выдачи разрешений расшифровывает билет TGT и получает из него информацию о том, кому был выдан билет, когда и на какой срок, ключ шифрования, сгенерированный сервером AS для взаимодействия между клиентом C и сервером TGS . С помощью этого ключа расшифровывается аутентификационный блок. Если метка в блоке совпадает с меткой в билете, это доказывает, что посылку сгенерировал на самом деле С (ведь только он знал ключ K C_TGS и мог правильно зашифровать свой идентификатор). Далее делается проверка времени действия билета и времени отправления посылки 3 ). Если проверка проходит и действующая в системе политика позволяет клиенту С обращаться к клиенту SS , тогда выполняется шаг 4 ).

4. TGS ->C: {{ TGS }K TGS_SS ,K C_SS }K C_TGS ,

   где K C_SS - ключ для взаимодействия C и SS , { TGS } - Ticket Granting Service - билет для доступа к SS (обратите внимание, что такой же аббревиатурой в описании протокола обозначается и сервер выдачи разрешений). { TGS } ={с,ss,t 3 ,p 2 , K C_SS } .

   Сейчас сервер выдачи разрешений TGS посылает клиенту C ключ шифрования и билет, необходимые для доступа к серверу SS . Структура билета такая же, как на шаге 2): идентификатор того, кому выдали билет; идентификатор того, для кого выдали билет; отметка времени; период действия ; ключ шифрования.

5. C->SS: { TGS }K TGS_SS , {Aut 2 } K C_SS

   где Aut 2 ={c,t 4 } .

   Клиент C посылает билет, полученный от сервера выдачи разрешений, и свой аутентификационный блок серверу SS , с которым хочет установить сеанс защищенного взаимодействия. Предполагается, что SS уже зарегистрировался в системе и распределил с сервером TGS ключ шифрования K TGS_SS . Имея этот ключ, он может расшифровать билет, получить ключ шифрования K C_SS и проверить подлинность отправителя сообщения .

6. SS->C: {t 4 +1}K C_SS

   Смысл последнего шага заключается в том, что теперь уже SS должен доказать C свою подлинность. Он может сделать это, показав, что правильно расшифровал предыдущее сообщение. Вот поэтому, SS берет отметку времени из аутентификационного блока C , изменяет ее заранее определенным образом (увеличивает на 1), шифрует на ключе K C_SS и возвращает C .сеть логически делится на области действия серверов Kerberos. Kerberos-область - это участок сети, пользователи и серверы которого зарегистрированы в базе данных одного сервера Kerberos (или в одной базе, разделяемой несколькими серверами). Одна область может охватывать сегмент локальной сети, всю локальную сеть или объединять несколько связанных локальных сетей. Схема взаимодействия между Kerberos-областями представлена на рис. 5.2 .

   Для взаимодействия между областями, должна быть осуществлена взаимная регистрация серверов Kerberos, в процессе которой сервер выдачи разрешений одной области регистрируется в качестве клиента в другой области (т.е. заносится в базу сервера аутентификации и разделяет с ним ключ ).

   После установки взаимных соглашений, клиент из области 1 (пусть это будет K 11 ) может установить сеанс взаимодействия с клиентом из области 2 (например, К 21 ). Для этого K 11 должен получить у своего сервера выдачи разрешений билет на доступ к Kerberos-серверу, с клиентом которого он хочет установить взаимодействие (т.е. серверу Kerberos KDC2). Полученный билет содержит отметку о том, в какой области зарегистрирован владелец билета. Билет шифруется на ключе, разделенном между серверами KDC1 и KDC2. При успешной расшифровке билета, удаленный Kerberos- сервер может быть уверен, что билет выдан клиенту Kerberos-области, с которой установлены доверительные отношения . Далее протокол работает как обычно.

   ключ , но и убедились в подлинности друг друга, иными словами - аутентифицировали друг друга.

   Что касается реализации протокола Kerberos в Windows , то надо отметить следующее.

   1. Ключ пользователя генерируется на базе его пароля. Таким образом, при использовании слабых паролей эффект от надежной защиты процесса аутентификации будет сведен к нулю.
   2. В роли Kerberos-серверов выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center ( KDC ). Роль хранилища информации о пользователях и паролях берет на себя служба каталога Active Directory. Ключ, который разделяют между собой сервер аутентификации и сервер выдачи разрешений формируется на основе пароля служебной учетной записи krbtgt - эта запись автоматически создается при организации домена и всегда заблокирована.
   3. Microsoft в своих ОС использует расширение Kerberos для применения криптографии с открытым ключом. Это позволяет осуществлять регистрацию в домене и с помощью смарт-карт, хранящих ключевую информацию и цифровой сертификат пользователя .
   4. Использование Kerberos требует синхронизации внутренних часов компьютеров, входящих в домен Windows.

   Для увеличения уровня защищенности процесса аутентификации пользователей, рекомендуется отключить использование менее надежного протокола NTLM и оставить только Kerberos (если использования NTLM не требуют устаревшие клиентские ОС).