Автор: Пользователь скрыл имя, 18 Октября 2011 в 20:45, реферат
Комбинированные системы идентификации и аутентификации
Идентификация – процедура распознавания субъекта по его идентификатору (некоторой информацией – числу, строке символов).
Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации.
В основе самого надёжного
на сегодня метода
По сути, токен – это небольшой USB-карт-ридер с интегрированным чипом смарт-карты. Токены, реализованные на основе смарт-карт, позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам.
Токен можно использовать для решения целого ряда различных задач, связанных с шифрованием пользовательских данных, электронной цифровой подписью документов и аутентификацией самого пользователя. С одной и той же смарт-картой пользователь может входить в операционную систему, участвовать в защищенном информационном обмене с удаленным офисом (например, с помощью технологии VPN), работать с web-сервисами (технология SSL), подписывать документы (ЭЦП), а также надежно сохранять закрытые ключи, логины, пароли и сертификаты в памяти своего токена.
В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности ИС для организаций любого масштаба со сколь угодно высоким уровнем требований к системе информационной безопасности и защиты данных.
Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».
К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:
- частота функционирования БИМ-002 — 13,56 МГц;
- дальность чтения идентификационного кода — до 30 мм;
- тактовая частота процессора — 6 МГц;
- реализуемые криптографические алгоритмы — RSA-1024, DES, 3DES, SHA-1;
- наличие аппаратного датчика случайных чисел;
- поддерживаемые стандарты — PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
- поддерживаемые операционные системы — Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.
Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.
Встроенная флэш-память
Несмотря
на возможность с помощью печати
на специальных принтерах
Ведущие производители
Приложения безопасности
Большой объём памяти (до 4 ГБ) позволяет
размещать и автоматически
Драйверы самого токена;
Приложения безопасности (например, приложения для шифрования данных);
Приложения, предназначенные специально для отдельных пользователей или групп пользователей;
Операционные системы;
Файлы установки.
Подобные устройства позволяют реализовать доверенную загрузку рабочих станций, терминальных клиентов и даже серверов непосредственно из самой памяти токена вне зависимости от установленной на недоверенном компьютере операционной системы и наличия у него жёсткого диска. Интересным решением с таким токеном может быть поставка, дистрибуция, установка и тиражирование ПО.
Генераторы одноразовых паролей
Для
работы вне стен офиса с необорудованных
и ненастроенных рабочих мест,
например, в интернет-кафе использовать
USB-ключи и смарт-карты
Использование классических «
Для сохранения принципа
Генераторы одноразовых
Стоит отметить, что в России в связи с более поздним становлением рынка аппаратных токенов и из-за наличия к тому времени более совершенных смарт-карт, генераторы одноразовых паролей не так широко распространены, как, например, на западе.
Java-токены
Смарт-карта, а точнее её чип, имплантированный в пластик или встроенный в корпус USB-ключа является полноценным компьютером в миниатюре: с жёстким диском (EEPROM), оперативной памятью (ROM), процессором и, конечно, операционной системой. Функционалом, операционной системой и «установленными» на неё приложениями и определяются возможности токена.
Предыдущие поколения токенов, как правило, использовали проприетарную лицензируемую операционную систему (один из монополистов этого рынка – компания Siemens с её CardOS). Закрытая архитектура делала крайне сложной разработку дополнительных приложений и компонентов самой операционной системы, например, реализацию поддержки национальных криптографических алгоритмов.
Современные токены строятся на базе Java-карты, являющейся стандартом на рынке (более 10 крупных производителей). Функциональность конкретного токена определятся набором загруженных апплетов, выполняющихся на виртуальной Java-машине. Открытая платформа и широкая популярность языка программирования Java позволяет разрабатывать и в короткие сроки внедрять новые возможности. Среди перспективных разработок – реализация мобильного электронного кошелька пользователя, контроль целостности критических данных средствами апплета, выполняющего в заведомо доверенной среде смарт-карты и т.п.
Важной особенностью
USB CCID Class Driver встроен в операционную систему Windows Vista и автоматически скачивается с сайта Windows Update при обнаружении нового подключенного устройства в Windows XP, 2003.
Описанные технологии
Token Management System (TMS).
TMS – это система, предназначенная для внедрения, управления, использования и учета аппаратных средств аутентификации пользователей (USB-ключей и смарт-карт) в масштабах предприятия. С момента инициализации токена и до его отзыва, то есть на протяжении всего времени его функционирования в инфраструктуре компании, основным инструментом для управления им является TMS. К базовым функциям TMS относятся: ввод в эксплуатацию токена (смарт-карты, USB-ключа, комбинированного USB-ключа или генератора одноразовых паролей), персонализация токена сотрудником, добавление возможности доступа к новым приложениям, а так же его отзыв, замена или временная выдача новой карты, разблокирование PIN-кода, обслуживание вышедшей из строя смарт-карты и отзыв её.
Итоги
При всём обилии методов аутентификации наиболее популярными на рынке по-прежнемуостаются аппаратные токены во всех их модификациях и вариантах исполнения. Данная технология вне всякого сомнения будет востребована и спрос на неё будет расти. Производители аппаратных токенов постоянно предлагают всё новые и новые модели, а разработчики прикладного ПО и операционных систем встраивают в свои продукты поддержку смарт-карт и не спешат от них отказываться.
Современные токены позволяют решить широкий спектр задач по обеспечение информационной безопасности и не редки случаи, когда крупные многофилиальные компании принимают токены как корпоративный стандарт, делая обязательным применение аппаратных средств аутентификации во всех своих дочерних подразделениях. Наличие у ведущих производителей токенов в России соответствующих лицензий и сертификатов на сами токены сделало возможным использование этой технологии в том числе и во многих государственных министерствах и ведомствах.
Средний и малый бизнес вслед
за крупными компаниями и
Пример внедрения
В
апреле этого года Компания BCC, бизнес-партнер
Aladdin Software Security R.D., завершила проект по
модернизации информационной инфраструктуры
Юридического факультета Санкт-Петербургского
государственного университета. В рамках
проекта, выполненного с применением продуктов
и технологий корпорации Microsoft и средств
аутентификации от Aladdin, факультет получил
одну из наиболее совершенных информационных
систем, функционирующих в российских
государственных высших учебных заведениях.
Для поддержки образовательного процесса
были установлены десятки терминалов
со считывателями смарт-карт для публичного
доступа к библиотеке факультета, введена
система аутентификации по смарт-картам,
обеспечивающая защищенный доступ всех
студентов и аспирантов к факультетскому
Web-порталу. Построенный на базе продукта
Microsoft SharePoint Portal, портал юрфака служит
не только для создания и хранения файлов,
но и включает возможность сдачи экзаменов
в режиме он-лайн, что будет полностью
реализовано на последующих этапах проекта.
Информация о работе Комбинированные системы идентификации и аутентификации