Методы идентификации и аутентификации пользователей

Реализация защиты от несанкционированного доступа должна опираться на соответствующие административные (про­цедурные) мероприятия и технические средства, направленные, в первую очередь, на идентификацию и аутентификацию пользователей автомати­зи-рованной системы.

Проверка подлинности (аутентификация) может проводиться раз­личными методами и средствами. В настоящее время в автоматизи-рован­ных системах используются три основных способа аутентификации по следующим признакам:

 паролю или личному идентифицирующему номеру (пользователь “знает”);

 некоторому предмету, который есть у пользователя (пользователь “имеет”);

 каким-либо физиологическим признакам, свойственным конкрет­ным лицам (пользователь “есть”).

Первый способ реализует программные средства аутентификации, применяемые в большинстве операционных систем, систем управления базами данных, мониторов телеобработки, сетевых пакетов. Суть этого способа, о котором ранее уже упоминалось, заключается в том, что каждому зарегистрированному пользова­телю выдается персональный пароль, который он должен держать в тайне и вводить в автоматизи-рованную систему при каждом обращении к ней. Специальная программа сравнивает введенный пароль с эталоном, хра­нящимся в памяти, и при совпадении паролей запрос пользователя при­нимается к исполнению.

Простота данного способа очевидна, но очевидны также и его яв­ные недостатки: пароль может быть подобран перебором возможных ком­бинаций, а искусный злоумышленник может проникнуть в ту область па­мяти, где хранятся эталонные пароли. Например, в ОС RSX-11M, приме­нявшейся в свое время в банковской сфере, в стандартной конфигурации отсутствовали средства шифрования паролей в файле счетов пользовате­лей. В процессе загрузки этой ОС можно было легко просмотреть пароли всех пользователей. Более безопасные системы осуществляют хранение списков паролей в зашифрованном виде. В то же время, перехват даже зашифрованного пароля позволяет при его использовании получить несанкционированный доступ к системе.

К мерам повышения безопасности парольных систем аутентифика­ции, помимо упомянутого хранения списков паролей в зашифрованном виде, может быть отнесено сокращение сроков действия паролей вплоть до применения паролей однократного использования. В последнее время для целей аутентификации широко используется так называемый метод “запрос–ответ”, который позволяет не только аутентифицировать пользо­вателя, но и дает возможность пользователю осуществлять аутентифика­цию системы, с которой он работает. Это имеет принципиальное значение при работе в сети, так как использование подставной ЭВМ, ОС или про­граммы является одним из путей несанкционированного получения сооб­щений или паролей законных пользователей. Следует отметить, что необ­ходимость такой взаимной аутентификации подтверждена международ­ным стандартом по взаимодействию открытых систем.

Разновидностью первого способа аутентификации является и опознавание в диалоговом режиме, осуществляемое по сле­дующей схеме. В файлах механизмов защиты заблаговременно создаются записи, содержащие персонифицирующие пользователя данные (дата ро­ждения, рост, вес, имена и даты рождения родных и близких и т.п.) или достаточно большой и упорядоченный набор паролей. При обращении пользователя программа защиты предлагает ему назвать некоторые дан­ные из имеющейся записи, которые сравниваются с хранящимися в файле. По результатам сравнения принимается решение о допуске. Для повыше­ния надежности опознавания запрашиваемые у пользователя данные мо­гут выбираться каждый раз разные.

В качестве предмета, имеющегося у пользователя (второй способ аутентификации), применяются карты идентификации (КИ), на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные заносятся на карточку в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим па­раметром, поскольку он может быть известен только пользователю, вво­дится им каждый раз при обращении к системе и уничтожается сразу же после использования.

Информация, находящаяся на карте, может быть записана и счита­на различными способами или комбинацией нескольких способов. На­пример, КИ помещается в считывающее устройство, источник света ос­вещает микрокристаллическую точечную матрицу, установленную на карте. Как только неполяризованные элементы матрицы будут про­зрачны для света, то будет прочитан соответствующий код, содержащий информацию о конкретном пользователе.

Еще одним типом КИ является информационная карточка с нане­сенными особым способом (с применением фосфора) на ее поверхность несколькими рядами знаков, букв и т.п. Считывающее устройство в этом случае представляет собой два электрода, один из которых прозрачен. Карточка помещается между электродами, и при подаче на них напряже­ния электроны, возбуждаемые между изолирующим слоем (основой кар­точки) и слоем фосфора, вызывают свечение последнего. Таким образом, информационные знаки могут быть считаны только специальным спосо­бом, исключающим визуальное распознавание информации.

Другим типом КИ является электронная идентифицирующая карта, построенная на интегральной микросхеме. У этой карты на короткой сто­роне печатной платы располагаются катушки индуктивности, через кото­рые передается электропитание на плату и осуществляется обмен кодиро­ванной информацией с опознающим устройством. Интегральная схема содержит арифметический блок, а также постоянное и оперативное запо­минающие устройства.

На поверхность карты может также наноситься покрытие, позво­ляющее видеть изображение или текст только в инфракрасном или ультрафиолетовом диапазоне. Над текстом или изображением можно размес­тить жидкокристаллическую матрицу, прозрачную только при определенной ориентации кристаллов.

Наибольшее распространение среди устройств аутентификации по типу “пользователь имеет” получили индивидуальные магнитные карты. Популярность таких устройств объясняется универсальностью их приме­нения (не только в автоматизированных системах), относительно низкой стоимостью и высокой точностью, они легко комплексируются с терми­налом и персональной ЭВМ. Поскольку считыватели этих устройств идентифицируют не личность, а магнитную карту, то они комплектуются специальной, часто цифровой клавиатурой для ввода владельцем карты своего шифра, пароля. Для защиты карт от несанкционированного считы­вания и подделки, как и в предыдущих случаях, применяются специаль­ные физические и криптографические методы.

В качестве разновидностей КИ можно рассматривать специально помеченные дискеты, предназначенные для аутентификации законного владельца программного пакета. Обычно поверхность такой дискеты искусственно повреждается при помощи лазера или тонкой иглы. Иногда применяют нестандартное форматирование отдельных треков или всей дискеты, а также специальную нумерацию секторов.

Для опознавания компонентов обработки данных, т.е. ЭВМ, ОС, программ функциональной обработки, массивов данных (такое опознава­ние особенно актуально при работе в сети ЭВМ), используются специаль­ные аппаратные блоки-приставки, представляющие собой устройства, генерирующие индивидуальные сигналы. В целях предупреждения пере­хвата этих сигналов и последующего их злоумышленного использования они могут передаваться в зашифрован-ном виде, причем периодически может меняться не только ключ шифрования, но и используемый способ (алгоритм) криптографического преобразования.

Все возрастающее значение в последнее время начинают приобре­тать системы опознавания пользователей по физиологическим признакам. Только при таком подходе действительно устанавливается, что пользова­тель, претендующий на доступ к терминалу, именно тот, за кого себя вы­дает. При использовании данного класса средств аутентификации возни­кает проблема “социальной приемлемости”: процедура аутентификации не должна унижать человеческое достоинство, создавать дискомфорт, быть слишком хлопотной и занимать много времени.

Существует достаточно физиологических признаков, однозначно указывающих на конкретного человека. К ним относятся: отпечатки ног и рук, зубы, ферменты, динамика дыхания, черты лица и т.д. Для аутенти­фикации терминальных пользователей автоматизированных систем наи­более приемлемыми считаются отпечатки пальцев, геометрия руки, голос, личная подпись.

Аутентификация по отпечаткам пальцев. Установление лично­сти по отпечаткам пальцев – старый и проверенный прием. В настоящее время существуют два возможных способа использования этого приема для аутентификации терминального пользователя:

 непосредственное сравнение изображений отпечатков пальцев, по­лученных с помощью оптических устройств, с отпечатками из архива;

 сравнение характерных деталей отпечатка в цифровом виде, кото­рые получают в процессе сканирования изображений отпечатка.

На сегодняшний день разработаны специальные чувствительные материалы, обеспечивающие получение отпечатков без использования краски, основанные на способности веществ изменять свои отражатель­ные характеристики в зависимости от температуры прикладываемых предметов.

При непосредственном сравнении изображений отпечатков устрой­ство аутентификации определяет оптическое соотношение двух изобра­жений и вырабатывает сигнал, определяющий степень совпадения отпе­чатков. Сравнение отпечатков обычно выполняется непосредственно на месте установки устройства. Передача изображения отпечатка по каналам связи не применяется из-за ее сложности, высокой стоимости и необхо­димости дополнительной защиты этих каналов.

Большое распространение получил способ, построенный на срав­нении деталей отпечатков (метод соотнесения бороздок на отпечатках). При этом пользователь вводит с клавиатуры идентифицирующую инфор­мацию, по которой устройство аутентификации проводит поиск необхо­димого списка деталей отпечатка в архиве. После этого он помещает па­лец на оптическое окошко устройства, и начинается процесс сканирова­ния, в результате которого вычисляются координаты 12 точек, опреде­ляющих относительное расположение бороздок отпечатка. Объем инфор­мации при этом составляет около 100 байт на отпечаток. Сравнение проводится в ЭВМ по специальным алгоритмам. Недостатком данного спо­соба, однако, является то, что практически невозможно обеспечить точ­ную центровку и стабильную пластичность пальца, поэтому невозможно получить и точное положение бороздок, вследствие чего оценка соответ­ствия имеет вероятностный характер.

Одним из примеров устройства аутентификации по отпечаткам пальцев может служить американская система Fingerscan. Эта систе­ма состоит из центрального устройства управления и устройств для сня­тия отпечатков пальцев. Компания Fingermatrix Inc. по контракту с мини­стерством обороны США разработала другое устройство аутентификации пользователей по отпечаткам пальцев Ridge Reader (устройство считыва­ния рельефа). Пользователь вводит свой идентифицирующий номер, по­мещает палец в специальную щель, и устройство осуществляет оптическое сканирование кожи. В состав устройства входят лазерная оптическая сис­тема, аппаратура обработки сигналов и микропроцессор с программами построения “образа” отпечатка пальца. Рельеф кожи считывается устрой­ством почти безошибочно. Для занесения эталона отпечатка одного паль­ца требуется от 3 до 5 мин, требуемый объем памяти 256 байт.

Аутентификация по форме кисти руки. Принцип действия таких устройств аутентификации основан на том, что на руку испытуемому на­правляют яркий свет и анализируют освещенность чувствительных эле­ментов, которая зависит от длины пальцев, закругленности их кончиков и прозрачности кожи. Выходная информация от каждого фоторезистора преобразуется в цифровой код. Идентифицирующая информация может храниться централизованно в главной ЭВМ. Преимуществом подобных систем является большое число анализируемых параметров, что уменьша­ет вероятность ошибки.

Аутентификация с помощью автоматического анализа подпи­си. Известно, что почерк каждого человека строго индивидуален, еще бо­лее индивидуальна его подпись. Она становится чрезвычайно стилизован­ной и со временем приобретает характер условного рефлекса. В настоя­щее время существуют два принципиально разных способа анализа под­писи: визуальное сканирование и исследование динамических характери­стик движения руки при выполнении подписи (ускорения, скорости, дав­ления, длительности пауз). Считается, что второй способ предпочтитель­ней, так как очевидно, что две подписи одного и того же человека не мо­гут быть абсолютно идентичными. С другой стороны, обладая оригина­лом подписи, можно научиться повторять ее практически точно.

При втором способе аутентификации предполагается применение специальных измерительных авторучек с датчиками, чувствительными к указанным выше динамическим характеристикам движения. Эти парамет­ры уникальны для каждого человека, их невозможно подделать. В авто­ручку встроен двухмерный датчик ускорения, позволяющий измерять ха­рактеристики на плоскости, а также датчик давления, фиксирующий па­раметры вертикальной силы. Существуют два способа сравнения резуль­татов измерений. Первый основан на сравнении амплитуд ускорения каж­дые 5–10 мс. Требуемая память в этом случае – 2 кбайт. Второй способ основан на вычислении средних величин полного времени написания, промежутков “молчания”, скорости и ускорения по осям Х и Y и средней силы по оси Z. Требуемая память для хранения одного эталонного вектора в этом случае составляет 200 байт. Специалисты считают, что система установления подлинности подписи при меньшей стоимости и большей социальной приемлемости не уступает по надежности устройствам, све­ряющим отпечатки пальцев.

Аутентификация по характеру голоса. По мнению ряда специа­листов, наиболее надежными средствами аутентификации пользователей являются средства верификации по голосам. Это направление очень пер­спективно потому, что для аутентификации могут быть использованы те­лефонные каналы связи, а алгоритм опознавания может быть реализован в центральной ЭВМ. Можно выделить три основных направления реализа­ции данного способа аутентификации:

 анализ кратковременных сегментов речи (длительностью до 20 мс) – выбирается серия коротких фрагментов, обрабатывается, составляется статистический образ, который и сравнивается с эталоном;

 контурный анализ речи – из фрагмента речи выделяется несколько характеристик, например, высота тона, для них определяется характери­стическая функция, которая сравнивается с эталонной;

 статистическая оценка голоса – речь должна звучать достаточно долго (около 12 с), на протяжении всего этого периода собирается информация о нескольких параметрах голоса, на основе которой создает­ся цифровой образ и сравнивается с эталоном.

В качестве примера практической реализации последнего подхода можно привести устройство, разработанное фирмой Philips, включающее 43-канальный фильтр с полосой пропускания
100–6200 Гц, что практи­чески покрывает весь диапазон частот человеческого голоса. Каждый ка­нал опрашивается один раз в 18 мс. В результате определяются амплитуд­но-частотные характеристики всех каналов и сравниваются с эталоном. Слова, которые произносит пользователь, выбираются по принципу наи­большего разнообразия звуков и предварительно выводятся на экран дис­плея в случайной последовательности, что исключает подделки, в том числе использование магнитофонной записи.

Основными характеристиками устройств аутентификации являются:

 частота ошибочного отрицания законного пользователя;

 частота ошибочного признания постороннего;

 среднее время наработки на отказ;

 число обслуживаемых пользователей;

 стоимость;

 объем информации, циркулирующей между считывающим устройством и блоком сравнения;

 приемлемость устройства со стороны пользователей.

Исследования и испытания устройств аутентификации различных типов показали, что частота ошибочного отрицания несколько превышает частоту ошибочного признания и составляет величину, как правило, не превышающую 1–2%. Так, отечественное устройство аутентификации по подписи имеет частоту ошибочного отрицания, приблизительно равную частоте ошибочного признания и составляющую около 0,5%.

Основным выводом, следующим из опыта создания устройств ау­тентификации, является то, что получение высокой точности опознавания пользователя возможно только при сочетании различных методов.

Необходимо отметить, что все рассмотренные методы аутентифи­-кации в случае не подтверждения подлинности должны осуществлять временную задержку перед обслуживанием следующего запроса. Это не­обходимо для снижения угрозы подбора идентифицирующих признаков (особенно паролей) в автоматическом режиме. При этом все неуспешные попытки получения доступа должны регистрироваться в целях обеспече­ния эффективного надзора (контроля) за безопасностью системы.

Защита информации в сетях