Способы идентификации и аутентификации субъектов компьютерных систем

Рассмотрим способы аутентификации пользователей в компьютерной системе (иногда их называют факторами аутентификации). Эти способы можно объединить в три группы. К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (владеет секретом). К таким способам относятся парольная аутентификация и аутентификация на основе модели «рукопожатия». К преимуществам этого фактора аутентификации относятся простота реализации, удобство для мобильных пользователей. Недостатками являются наличие развитых методов и средств организации атак, высокая вероятность нарушения пользователями правил выбора и использования секрета (так называемый человеческий фактор), а также то, что достоверность результатов аутентификации в этом случае полностью определяется сохранением секретности аутентификатора.

Вторую группу способов аутентификации образуют способы, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией). Достоинства этого фактора аутентификации заключаются в сложности его обхода нарушителем (из-за сложности дублирования устройства аутентификации), простоте обнаружения хищения устройства, сложности разделения аутентификатора с другим пользователем. К недостаткам можно отнести более высокую стоимость реализации, риск потери или отказа устройства, сложность обеспечения переносимости (для мобильных пользователей).

К третьей группе способов аутентификации относятся способы, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (статические и динамические биометрические данные: отпечатки пальцев и радужная оболочка глаза, тембр голоса и особенности клавиатурного почерка и т. п.). К достоинствам этого фактора аутентификации относятся удобство для пользователя (не надо ничего запоминать или носить с собой) и высокая достоверность аутентификации (из-за уникальности биометрических характеристик и сложности их фальсификации). Недостатки заключаются в дополнительных затратах на специальное оборудование, риске разглашения персональных данных пользователей (из-за особенностей проверки биометрических данных их эталоны должны храниться в регистрационной базе данных в открытом виде), возможности отклонения входа зарегистрированного пользователя.

Выбор способа аутентификации в конкретной информационной системе определяется выявленными рисками и допустимыми для организации затратами (например, потенциальные потери от слабостей парольной аутентификации могут быть явно больше величины затрат на использование смарт-карт).

В компьютерных системах с двух- или трехфакторной аутентификацией (системах с сильной или строгой аутентификацией) преимущества одного способа аутентификации могут блокировать недостатки другого (например, аутентификация на основе устройств, доступ посторонних к которым усложняется использованием РШ-кодов).

Рассмотрим более подробно аутентификацию пользователей КС на основе паролей. Принципиальная слабость парольной аутентификации пользователей определяется тем, что при выборе паролей пользователи должны руководствоваться двумя, по сути взаимоисключающими, правилами — пароли должны трудно подбираться и легко запоминаться (поскольку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).

Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе пароля (АО, и минимально возможной длиной пароля (к). В этом случае количество различных паролей может быть оценено снизу как Ср = Мк. Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то Ср = 263 = 17 5 76 (что совсем немного для программного подбора). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также цифр, и минимальная длина пароля равна 6, то Ср = 626 = 56 800 235 584.

Сложность и минимальная длина выбираемых пользователями компьютерной системы паролей может устанавливаться ее администратором при реализации установленной для данной системы политики безопасности. Другими параметрами политики учетных записей при использовании парольной аутентификации могут быть:

  • • максимальный срок действия пароля (никакой секрет не может сохраняться втайне вечно);
  • • несовпадение пароля с именем пользователя, под которым он зарегистрирован в компьютерной системе;
  • • неповторяемость паролей одного пользователя.

Требование неповторяемости паролей может быть реализовано с помощью двух взаимосвязанных параметров. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужденный по истечении срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вести список уже использовавшихся данных пользователем паролей (максимальная длина списка при этом может устанавливаться администратором).

Обеспечить сложность и минимальную дину паролей пользователей компьютерной системы можно следующими способами:

  • 1. Осуществлять проверку вновь назначаемых или изменяемых паролей пользователей на их соответствие установленным в системе правилам (фильтрация выбираемых паролей).
  • 2. Использовать только случайные пароли, автоматически сгенерированные специальными программами, позволяющими устанавливать длину и состав символов создаваемых паролей.
  • 3. Использовать специальные программы, позволяющие администратору компьютерной системы выявить «слабые» пароли пользователей путем их случайного или словарного подбора (для последующей смены таких паролей на более сложные).

Недостатком первых двух способов является то, что они относятся к способам принуждения пользователей к совершению неудобных для них действий. Применение подобных способов может дать и обратный эффект: пользователи начнут записывать пароли, которые они не могут запомнить, на бумаге (в том числе и рядом со своими компьютерами).

Недостаток третьего способа — возможность его «двойного» применения («слабые» пароли могут выявляться не для их замены, а для осуществления «маскарада»). Поэтому несанкционированное применение этого способа администратором может навлечь на него подозрения со стороны руководителей организации.

К сожалению, обеспечить реальную сложность и уникальность каждого вновь выбираемого пользователем пароля даже с помощью указанных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли Р|| 1, Р|| 2 и т. д. (где Р — первый пароль пользователя, удовлетворяющий требованиям сложности, а || — операция конкатенации).

Еще одним аспектом политики учетных записей пользователей компьютерной системы при использовании парольной аутентификации должно стать определение противодействия системы попыткам подбора паролей. Могут применяться следующие правила:

  • • ограничение числа попыток входа в систему;
  • • скрытие логического имени последнего работавшего пользователя (знание логического имени может помочь нарушителю подобрать или угадать его пароль);
  • • учет всех попыток (успешных и неудачных) входа в систему в журнале аудита.

Реакцией системы на неудачную попытку входа пользователя может быть:

  • • блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного количества попыток — на заданное время или до «ручного» снятия блокировки администратором;
  • • нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа.

Постоянная блокировка учетной записи при обнаружении попытки подбора пароля (до снятия блокировки администратором) менее целесообразна, поскольку позволит нарушителю намеренно заблокировать работу в компьютерной системе легального пользователя (реализовать угрозу нарушения доступности информации).

При любой реакции системы на попытку подбора пароля необходимо в настройках параметров политики учетных записей обеспечить сброс значения счетчика попыток входа в систему под конкретной учетной записью через заданный промежуток времени (иначе значения счетчика будут суммироваться для разных сеансов работы пользователя).

При первоначальном назначении или смене пароля пользователя обычно применяются два классических правила, обеспечивающих защиту от угрозы «подглядывания» пароля:

  • • символы вводимого пароля не отображаются на экране или заменяются другими (это же правило применяется и для ввода пользователем пароля при его входе в систему);
  • • для подтверждения правильности ввода назначаемого или сменяемого пароля (с учетом первого правила) этот ввод повторяется дважды.

При регистрации пользователей в компьютерной системе с парольной аутентификацией могут использоваться следующие способы назначения ему начального пароля:

  • 1) создание администратором учетной записи без установки для пользователя начального пароля или с начальным паролем по умолчанию. Этот способ не требует личного присутствия пользователя при его регистрации в компьютерной системе, но облегчает неправомерное использование новой учетной записи посторонним лицом. Обязательное условие при использовании этого способа — установка требования обязательной смены пароля при первом входе пользователя в систему;
  • 2) создание учетной записи с личным присутствием пользователя, что позволяет самому пользователю назначить себе начальный пароль (в том числе скрытно от администратора) и практически исключает возможность использования посторонним новой учетной записи (особенно при обязательном предъявлении пользователем удостоверяющих его личность документов). Этот способ единственно возможный при использовании биометрической аутентификации. Недостаток этого способа — сложность его практической реализации в больших организациях;
  • 3) создание учетной записи с начальным случайным паролем, который должен быть передан вновь зарегистрированному пользователю по защищенному каналу (например, в запечатанном конверте через секретариат организации). Этот способ должен применяться при использовании аутентификации на основе устройств. Недостаток способа — необходимость разработки и выполнения дополнительных организационных мероприятий.

Очевидно, что в базе данных учетных записей пользователей компьютерной системы пароли не могут храниться в открытом виде (иначе к ним может получить доступ как минимум администратор системы). Для хранения паролей требуется их предварительное хеширование (иногда называемое шифрованием с помощью необратимой функции). Недостатком при этом является то, что не существует даже теоретической возможности восстановить забытый пользователем пароль (кроме возможности его подбора с помощью специальной программы, что может занять достаточно много времени). Поэтому администратор компьютерной системы должен иметь возможность назначить новый пароль пользователю, забывшему свой текущий пароль. Различие между функциями смены и назначения пароля в том, что при смене пароля, как правило, требуется ввод текущего пароля для исключения риска смены пароля нарушителем, получившем доступ к терминалу после входа легального пользователя.

Рассмотрим аутентификацию пользователей на основе модели «рукопожатия», во многом свободную от недостатков парольной аутентификации.

В соответствии с этой моделью пользователь и и система 5 согласовывают при регистрации пользователя в КС функцию /, известную только им. Протокол аутентификации пользователя в этом случае выглядит так:

  • 1. генерация случайного значения х (запроса); вычисление у = /(х); сообщение запроса х пользователю.
  • 2. II: вычисление отклика у' = /'(*); сообщение отклика у' системе.
  • 3. если у и у' совпадают, то пользователь авторизуется в системе, иначе попытка входа в систему отклоняется.

К функции / предъявляется требование, чтобы нарушитель по известным ему (перехваченным) запросу х и отклику /(х) не мог «угадать» / Преимущества аутентификации на основе модели «рукопожатия» перед парольной аутентификацией:

  • • между пользователем и системой не передается никакой конфиденциальной информации, которую надо сохранять втайне;
  • • каждый следующий сеанс входа пользователя в систему отличен от предыдущего, поэтому даже длительное наблюдение за этими сеансами ничего не даст нарушителю.

К недостаткам аутентификации на основе модели «рукопожатия» относится большая длительность этой процедуры по сравнению с парольной аутентификацией.

Парольная аутентификация совершенно неприменима в случае взаимного подтверждения подлинности пользователей компьютерной сети. Действительно, пусть А и В обозначают двух пользователей сети, имеющих соответственно пароли РА и Рв. Тогда протокол взаимной аутентификации А и В мог бы выглядеть так:

  • 1. А -> В: А, запрос Рв.
  • 2. В -> А: В, запрос РА.
  • 3. А^ В: А, РА.
  • 4. ВА: В, Рв.

Но в момент отправки своего пароля (неважно, в открытой или защищенной форме) А не может быть уверен в подлинности В, который может воспользоваться паролем А, чтобы выдать себя за А при взаимодействии с еще одним пользователем компьютерной сети С.

Модель «рукопожатия» вполне приемлема для взаимной аутентификации:

  • 1. А: выбор значения х; вычисление у = /(х).
  • 2. А -> В: А, х.
  • 3. В: вычисление у' = /(х).
  • 4. А: В, у'.
  • 5. А: если у и у' совпадают, то А может доверять В.

Затем процедура аутентификации повторяется с переменой «ролей» (теперь В начинает процесс и выбирает значение х), чтобы В мог также быть уверен в подлинности А.

Для повышения безопасности протокола взаимной аутентификации перед отправкой по сети значений хну' (пункты 2 и 4 протокола) они могут быть зашифрованы на секретном ключе, которым должны предварительно обменяться по физически защищенному каналу А и В. В этом случае потенциальному нарушителю, который имеет возможность перехвата всех передаваемых по сети данных и желает выдать себя за одного из легальных пользователей сети, придется не только определить функцию /, но и предварительно «взломать» шифротекст.

Функция / может быть задана таблицей своих значений. Рассмотрим два примера табличного задания функции вычисления отклика. В первом случае система предлагает пользователю ответить при регистрации его в КС на несколько вопросов, имеющих частично объективное и частично вымышленное содержание (например, «девичья фамилия вашей матери», «в каком городе вы проживали в июне прошлого года», «где находится клуб», «когда откроется пул» и т. п.). При входе пользователя в систему ему предлагается ответить на другой список вопросов, среди которых есть как некоторые из заданных ему при регистрации, так и другие. Для правильной аутентификации пользователь должен дать те же ответы, которые он давал на аналогичные вопросы при регистрации.

Второй пример аутентификации на основе модели «рукопожатия». При регистрации пользователя в КС ему предлагается набор небольших изображений (например, пиктограмм), среди которых он должен выбрать заданное количество картинок. При последующем входе в систему ему выводится другой набор изображений, часть из которых он видел при регистрации, а часть являются совершенно другими. Для правильной аутентификации пользователь должен отметить те картинки, которые он выбрал при регистрации.

Другой вариант задания функции / в модели рукопожатия предполагает использование специального устройства аутентификации, имеющего клавиатуру для ввода запроса, дисплей для отображения отклика, микропроцессор и оперативную память для вычисления и кодирования отклика. Например, устройства аутентификации, поддерживающие стандарт ANSI X 9.9, вычисляют отклик следующим образом:

где Е — функция шифрования DES; к — записанный на устройстве и известный системе, в которой зарегистрирован владелец устройства, секретный ключ симметричного шифрования.

Устройства, которые используются для аутентификации пользователей КС, делятся на две группы:

  • 1) пассивные (устройства для хранения аутентификатора);
  • 2) активные (могут в разных ситуациях генерировать различные аутентификаторы).

Примеры пассивных устройств аутентификации:

  • • механические ключи;
  • • пластиковые карты с магнитной полосой (рис. 1.1);
  • • элементы Touch Memory (iButton) — рис. 1.2;
  • • бесконтактные карты Proximity (рис. 1.3).

Механизм аутентификации компьютерной системы принимает с пассивного устройства аутентификатор (иногда с расстоя-

Карта с магнитной полосой (а) и считыватель для нее (б)

Рис. 1.1. Карта с магнитной полосой (а) и считыватель для нее (б)

Элемент (а) и считыватель TouchMemory (б)

Рис. 1.2. Элемент (а) и считыватель TouchMemory (б)

Карта Proximity (д), программатор (б) и считыватель для нее {в)

Рис. 1.3. Карта Proximity (д), программатор (б) и считыватель для нее {в)

ния в несколько метров). Недостаток пассивных устройств аутентификации заключается в большей (по сравнению с активными устройствами) простоте копирования хранящейся на них аутентифицирующей информации пользователя. Защита может заключаться во введение PIN-кода для снижения риска подмены проверяемого лица. Угрозы для PIN-кодов:

  • • подглядывание ввода;
  • • перехват при передаче от считывателя к компьютеру по открытым линиям связи;
  • • чтение с устройства (если PIN-код там записан);
  • • привлечение сотрудников организации;
  • • поиск и использование «люков» в программном обеспечении механизма аутентификации.

Примеры активных устройств аутентификации:

  • • смарт-карты (пластиковые карты с микропроцессором) — рис. 1.4;
  • • токены (USB-ключи) — рис. 1.5;
  • • генераторы одноразовых паролей (рис. 1.6).

Реализация в активных устройствах криптографических протоколов нейтрализует атаки активной разведки (перехвата аутентификатора) и воспроизведения. Правильно спроектированный

Смарт-карта (а) и считыватели для нее (б, в)

Рис. 1.4. Смарт-карта (а) и считыватели для нее (б, в)

Токен

Рис. 1.5. Токен

Генераторы одноразовых паролей

Рис. 1.6. Генераторы одноразовых паролей

протокол не позволяет нарушителю предсказать следующий аутентификатор.

Активные устройства аутентификации можно разделить на две группы:

  • 1. Автономные генераторы одноразовых паролей (не требуют специальной аппаратной поддержки, имеют клавиатуру или кнопки для интерактивного взаимодействия с пользователем и компьютерной системой). Однако существуют ограничения на сложность протоколов аутентификации, так как в процессе передачи аутентифицирующих данных участвует пользователь.
  • 2. Подключаемые к компьютеру смарт-карты и токены (требуется специальный считыватель или порт). Могут использоваться более сложные протоколы аутентификации. Для применения таких устройств в системах аутентификации может потребоваться использование асимметричной криптографии.

К преимуществам подключаемых устройств аутентификации относится создание для нарушителя достаточно сложного периметра защиты (протокол аутентификации реализован внутри одной микросхемы). Недостатки таких устройств:

  • • требуется достоверность и надежность дополнительного оборудования (возможна подмена программного обеспечения для взаимодействия со считывателем);
  • • не всегда достаточная устойчивость к зондированию (попытке извлечения секрета из устройства);
  • • необходимость использования портов компьютера.

Общая проблема использования устройств аутентификации — возможность их хищения и применения нарушителем. Решение этой проблемы — использование РШ-кода в качестве многоразового пароля и второго фактора аутентификации.

Возможны следующие методы применения РШ-кода.

  • 1. Дополнение к внешнему паролю (например, объединение с генерируемым устройством одноразовым паролем-откликом на случайный запрос — пользователь вводит на клавиатуре компьютера выведенный на дисплее устройства пароль, а затем РШ-код для устройства, не имеющего клавиатуры). Существует риск получения РШ-кода с помощью физического доступа к компьютеру и активной разведки.
  • 2. В качестве внутреннего пароля для доступа к устройству аутентификации:
    • • ввод РШ-кода с клавиатуры непосредственно в устройство, хранящее его копию (неправильный ввод блокирует устройство или увеличивает задержку);
    • • устройство генерирует одноразовый пароль (отклик на случайный запрос);
    • • если введенный РШ-код отличается от истинного определенным образом, то возможна генерация сигнала работы пользователя под принуждением;
    • • при использовании блокирования устройство должно быть перепрограммировано администратором, что неудобно для легального пользователя и сложно в случае использования одноразовых паролей;
    • • увеличение задержки менее болезненно и снижает риск использования похищенного устройства (появляется возможность обнаружить пропажу и принять меры).

Способность устройства проверять правильность РШ-кода без подключения к системе дает нарушителю возможность анализа данных в устройстве и определения РШ-кода. Защита может заключаться в хешировании РШ-кода или использовании его в качестве ключа шифрования хранящегося в устройстве аутентификатора пользователя, но угроза подбора РШ-кода остается.

3. В качестве части аутентификатора пользователя (в устройстве не хранятся ни РШ-код, ни полностью аутентификатор) — ввод неправильного РШ-кода будет обнаружен только при попытке входа в систему. Возможно применение специального РШ-кода для подачи сигнала о работе под принуждением, но этот факт также сможет быть обнаружен только системой.

Заметим, что регистрация пользователей в системах с аутентификацией на основе устройств является более сложной задачей, состоящей из следующих подзадач:

  • 1) получения серийного номера устройства и имени учетной записи пользователя;
  • 2) генерации случайного аутентификатора (кода доступа) и, при использовании двухфакторной аутентификации, случайного РШ-кода;
  • 3) программирования устройства (запись на него аутентификатора и, возможно, РШ-кода);
  • 4) формирования и экспорта в регистрационную базу данных учетной записи пользователя, содержащую серийный номер его устройства, логическое имя пользователя и аутентификатор;
  • 5) при использовании РШ-кода печать паспорта на специальном бланке (в запечатанном конверте), содержащем имя пользователя, серийный номер его устройства и РШ-код;
  • 6) передачи пользователю паспорта и устройства по физически защищенному каналу.

При использовании устройств аутентификации необходимо предусмотреть защиту от следующих возможных угроз:

  • • изготовления «лишних» копий устройств, выдаваемых легальным пользователям;
  • • подготовки фиктивных устройств для фиктивных или ранее уже зарегистрированных пользователей.

Методом защиты от этих угроз может быть разделение обязанностей между двумя или более администраторами, например:

  • • учет неиспользованных устройств и их программирование;
  • • программирование устройств и создание учетных записей в регистрационной базе данных;
  • • регистрация пользователей и аудит всех действий, выполняемых в ходе этого процесса (с дополнительной защитой журнала аудита).

Недостатком подобного метода защиты является необходимость привлечения дополнительных сотрудников к администрированию учетных записей.

На основе рассмотренных подключаемых устройств аутентификации могут быть созданы программно-аппаратные комплексы защиты от несанкционированного доступа к автономным компьютерам, а также серверам и рабочим станциям локальной вычислительной сети организации (так называемые электронные замки). Основными компонентами электронного замка (рис. 1.7) являются:

  • • аппаратный контроллер (плата расширения базовой системы ввода-вывода компьютера, BIOS);
  • • считыватель информации с устройства аутентификации (на рисунке — с устройства Touch Memory);
  • • интерфейсы для блокировки загрузки операционной системы с внешних устройств (FDD, CD-ROM, ZIP, LPT- и SCSI-портов, на рисунке — два таких интерфейса);
  • • размещенный на контроллере аппаратный датчик псевдослучайных чисел;
  • • размещенное в энергонезависимой памяти аппаратного контроллера программное обеспечение администрирования, ведения списка зарегистрированных пользователей и журнала аудита.
Электронный замок для защиты от НСД к компьютеру

Рис. 1.7. Электронный замок для защиты от НСД к компьютеру

Основными возможностями такого электронного замка являются:

  • • идентификация и аутентификация пользователей с помощью идентификаторов Touch Memory и пароля (операционная система загружается с жесткого диска только после успешной аутентификации);
  • • блокирование доступа при включении питания компьютера к внешним носителям (FDD, CD-ROM, ZIP, LPT- и SCSI-портам), что исключает несанкционированный доступ к информации на компьютере с помощью загрузки внештатной операционной системы;
  • • проверка целостности файлов операционной системы, программ и данных пользователей на жестком диске после включения компьютера и до загрузки операционной системы (в случае нарушения целостности контролируемых файлов комплекс блокирует доступ к компьютеру всех пользователей, кроме администратора); на рис. 1.8 приведен пример выбора контролируемых файлов;
  • • защита от подбора пароля (администратор может задать в парольной политике количество попыток входа пользова-
Выбор файлов, целостность которых будет контролироваться электронным замком теля, превышение которого приведет к блокированию учетной записи пользователя)

Рис 1.8. Выбор файлов, целостность которых будет контролироваться электронным замком теля, превышение которого приведет к блокированию учетной записи пользователя);

  • • защита ВЮБ компьютера от несанкционированной модификации (если пользователь не прошел идентификацию и аутентификацию в течение короткого интервала времени, то электронный замок выключает компьютер);
  • • регистрация несанкционированных действий (в случае попытки входа в систему незарегистрированного пользователя в журнал аудита вносится информация о следующих событиях — факте попытки входа пользователя, предъявлении незарегистрированного идентификатора пользователя, вводе неправильного пароля, превышении числа попыток входа в систему и т. п.).

Компонентами системы биометрической аутентификации являются:

  • • устройства считывания биометрических характеристик;
  • • алгоритмы сравнения измеренных биометрических характеристик с эталонными из учетной записи пользователя.

Проблемы биометрической аутентификации:

  • • риски ошибочного отказа и допуска (из-за неполного совпадения считанной характеристики с эталонной);
  • • угроза атак воспроизведения (попыток представления копии характеристики):
    • — использование внешнего записывающего устройства;
    • — копирование двоичного представления характеристики;
  • • угроза атак подделки считываемых данных.

Помимо аутентификации биометрия может применяться для следующих задач:

  • • идентификации субъекта (поиска конкретного лица по измеренной характеристике);
  • • определения уникальности субъекта (проверки присутствия проверяемого лица в базе данных получателей пособий, избирателей и т. п.).

Биометрические характеристики принято делить на физические (статические) и поведенческие (динамические). К преимуществам физических характеристик относятся их максимальная уникальность (в том числе для близнецов), постоянство в течение длительного периода, отсутствие воздействия состояния человека или косметики. К достоинствам поведенческих характеристик относится то, что не требуется измерение одного и того же параметра для снижения риска воспроизведения.

Аутентификация с помощью физических характеристик:

  • • отпечатков пальцев (папиллярных узоров на них) — рис. 1.9;
  • • геометрической формы руки (рис. 1.10);
  • • радужной оболочки глаза (образец пятен на радужной оболочке находится на поверхности глаза, и его видеоизображение может быть отснято на расстоянии метра; сканирование возможно и у людей с ослабленным зрением, но неповрежденной радужной оболочкой; катаракта — повреждение хрусталика глаза, который находится позади радужной оболочки, не влияет на процесс сканирования радужной оболочки) — рис. 1.11;
Аутентификация по отпечаткам пальцев

Рис. 1.9. Аутентификация по отпечаткам пальцев

Аутентификация по форме руки

Рис. 1.10. Аутентификация по форме руки

Сканеры радужной оболочки глаза

Рис. 1.11. Сканеры радужной оболочки глаза

  • • сетчатки глаза (с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза; обеспечивает один из самых низких процентов отказа в доступе зарегистрированным пользователям и почти нулевой процент ошибочного доступа; катаракта может отрицательно воздействовать на качество получаемого изображения и увеличивать вероятность ошибок) — рис. 1.12;
  • • геометрической формы лица (основан на анализе большого количества параметров, таких как цвет, форма, контраст, черты и т. д.; недостатки — большая чувствительность к освещенности и ракурсу лица во время снятия характеристики, проблема двойников или близнецов) — рис. 1.13;
  • • термограммы лица — схемы расположения кровеносных сосудов лица (используется специально разработанная инфракрасная камера) — рис. 1.14;
Портативный сканер сетчатки глаза

Рис. 1.12. Портативный сканер сетчатки глаза

ЗЭ-сканер лица (работает в инфракрасном диапазоне)

Рис. 1.13. ЗЭ-сканер лица (работает в инфракрасном диапазоне)

Термограмма лица, шеи и передней поверхности груди

Рис. 1.14. Термограмма лица, шеи и передней поверхности груди

• фрагментов генетического кода (ДНК) — в настоящее время эти средства применяются редко по причине их сложности и высокой стоимости.

Аутентификация с помощью поведенческих характеристик:

  • • голоса;
  • • рукописной подписи (учитывается интенсивность каждого усилия подписывающегося и частотные характеристики написания каждого элемента подписи и начертания подписи в целом) — рис. 1.15;
  • • темпа работы с клавиатурой (клавиатурного «почерка»);
  • • темпа работы с мышью («росписи» мышью).
Графический планшет для ввода рукописной подписи

Рис. 1.15. Графический планшет для ввода рукописной подписи

Эти характеристики зависят от физического и психического состояния человека (в определенных случаях может являться преимуществом, например, для предотвращения работы в компьютерной системе критического назначения пользователя, находящегося в стрессовом состоянии, которое не может быть выявлено обычным медицинским контролем).

Процесс аутентификации пользователя с помощью его биометрической характеристики состоит из следующих этапов:

  • 1) снятия и преобразования в цифровую форму отличительной характеристики пользователя;
  • 2) извлечения из считанной характеристики биометрической «подписи» проверяемого лица (например, пересечения и ветвления папиллярных линий на пальце и их взаимного расположения);
  • 3) поиска учетной записи пользователя, извлечения из нее биометрического эталона и сравнения его с полученной подписью.

При использовании биометрии в задачах идентификации и проверки уникальности имя пользователя может не запрашиваться, а полученная биометрическая подпись сравнивается с каждым эталоном в базе данных.

Создание биометрического эталона при регистрации пользователя в компьютерной системе отличается от создания других видов аутентификаторов:

  • • требуется достаточное количество измерений (для исключения естественных расхождений в измерениях и получения достоверного эталона);
  • • возможно снятие нескольких подписей (например, отпечатков нескольких пальцев) для снижения риска ошибочного отказа;
  • • иногда может потребоваться обучение пользователя, если снимаемая характеристика подвержена большим вариациям.

Проверка биометрической подписи также отличается от проверки пароля или кода доступа:

  • • не требуется точное совпадение считанной биометрической подписи и эталона, сравниваются округленные значения;
  • • для хранения биометрического эталона не может применяться хеширование.

Порог допустимого отклонения при сравнении считанной и эталонной биометрической характеристик может определяться опытным путем (рис. 1.16). Точность системы биометрической аутентификации определяется двумя характеристиками: вероят-

Определение порога допустимого отклонения от биометрического

Рис. 1.16. Определение порога допустимого отклонения от биометрического

эталона:

1 — легальный пользователь; 2 — нарушитель ностью ошибочного отказа (ошибки 1-го рода, False Rejection Rate — FRR) и вероятностью ошибочного допуска (ошибки 2-го рода, False Acceptance Rate — FAR). Необходимо достижение компромисса между уровнем безопасности и удобством использования: уменьшение порога допустимого отклонения от эталона снижает риск ошибочного допуска, но увеличивает риск ошибочного отказа.

Оценка равной интенсивности ошибок при биометрической аутентификации

Рис. 1.17. Оценка равной интенсивности ошибок при биометрической аутентификации:

1 — кривая рабочих характеристик приемника (ЯОС-кривая)

Поскольку FRR и FAR зависят от порога допустимого отклонения, для объективной оценки точности биометрической системы используется коэффициент равной интенсивности ошибок (Error Equal Rate — EER) — рис. 1.17. Чем меньше EER, тем выше обеспечиваемый уровень безопасности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >