Автор: Пользователь скрыл имя, 18 Октября 2011 в 20:45, реферат
Комбинированные системы идентификации и аутентификации
Идентификация – процедура распознавания субъекта по его идентификатору (некоторой информацией – числу, строке символов).
Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации.
Комбинированные системы идентификации и аутентификации
Идентификация
– процедура распознавания
Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации.
Основным
способом защиты информации от злоумышленников
считается внедрение так
При
использовании СИА сотрудник
получает доступ к компьютеру или
в корпоративную сеть только после
успешного прохождения
Классификация систем идентификации и аутентификации
Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).
В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:
- контактных смарт-карт;
- бесконтактных смарт-карт;
- USB-ключей (другое название — USB-токенов);
- идентификаторов iButton.
В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.
Статическая
биометрия (также называемая физиологической)
основывается на данных, получаемых из
измерений анатомических
Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).
Несмотря
на многочисленность биометрических характеристик,
разработчики СИА основное внимание
уделяют технологиям
В
комбинированных системах для идентификации
используется одновременно несколько
идентификационных признаков. Такая
интеграция позволяет воздвигнуть
перед злоумышленником
- интеграция идентификаторов в рамках системы одного класса;
- интеграция систем разного класса.
В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).
Особенности электронных систем идентификации и аутентификации
В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.
Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.
Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.
В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.
В
контактных смарт-картах используется
два типа памяти PROM: однократно программируемая
память EPROM и чаще встречающаяся
многократно программируемая
Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.
На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:
- генерация криптографических ключей;
- реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);
- выполнение операций с электронной цифровой подписью (генерация и проверка);
- выполнение операций с PIN-кодом и др.
Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.
Основные компоненты бесконтактных смарт-карт — чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи — пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.
Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).
Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания — литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.
Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).
Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.
Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения — до 10 см.
Для
реализации функций шифрования и
аутентификации в идентификаторах
стандарта ISO/IEC 14443 могут применяться
чипы трех видов: микросхема с жесткой
логикой MIFARE, процессор или
Стандарт
ISO/IEC 15693 увеличивает дистанцию
USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.
USB-ключи
являются преемниками
- процессор — управление и обработка данных;
- криптографический процессор — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
- USB-контроллер — обеспечение интерфейса с USB-портом компьютера;
- RAM — хранение изменяемых данных;
- EEPROM — хранение ключей шифрования, паролей, сертификатов и других важных данных;
- ROM — хранение команд и констант.
Комбинированные системы
Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.
Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:
- системы на базе бесконтактных смарт-карт и USB-ключей;
- системы на базе гибридных смарт-карт;
- биоэлектронные системы.
Бесконтактные смарт-карты и USB-ключи
Аппаратная
интеграция USB-ключей и бесконтактных
смарт-карт предполагает, что в корпус
брелока встраиваются антенна и
микросхема, поддерживающая бесконтактный
интерфейс. Это позволяет с помощью
одного идентификатора организовать управление
доступом и к компьютеру, и в
помещения офиса. Для входа в
служебное помещение сотрудник
использует свой идентификатор в
качестве бесконтактной карты, а
при допуске к защищенным компьютерным
данным — в качестве USB-ключа. Кроме
того, при выходе из помещения он
извлекает идентификатор из USB-разъема
(чтобы потом войти обратно) и
тем самым автоматически
Многофакторная аутентификация
Для повышения безопасности на практике используют несколько факторов аутентификации сразу. Однако, при этом важно понимать, что не всякая комбинация нескольких методов является многофакторной аутентификацией. Например, использование для аутентификации лица и голоса пользователя не может быть признана таковой, поскольку оба используемых фактора относятся к одному типу— «на основе биометрических данных». Специалисты по информационной безопасности чаще всего относят биометрию (на данном этапе её развития) к дополнительным методам, позволяющим идентифицировать пользователя.
Информация о работе Комбинированные системы идентификации и аутентификации