Методы идентификации и аутентификации пользователей
Реализация защиты от несанкционированного доступа должна опираться на соответствующие административные (процедурные) мероприятия и технические средства, направленные, в первую очередь, на идентификацию и аутентификацию пользователей автоматизи-рованной системы.
Проверка подлинности (аутентификация) может проводиться различными методами и средствами. В настоящее время в автоматизи-рованных системах используются три основных способа аутентификации по следующим признакам:
паролю или личному идентифицирующему номеру (пользователь “знает”);
некоторому предмету, который есть у пользователя (пользователь “имеет”);
каким-либо физиологическим признакам, свойственным конкретным лицам (пользователь “есть”).
Первый способ реализует программные средства аутентификации, применяемые в большинстве операционных систем, систем управления базами данных, мониторов телеобработки, сетевых пакетов. Суть этого способа, о котором ранее уже упоминалось, заключается в том, что каждому зарегистрированному пользователю выдается персональный пароль, который он должен держать в тайне и вводить в автоматизи-рованную систему при каждом обращении к ней. Специальная программа сравнивает введенный пароль с эталоном, хранящимся в памяти, и при совпадении паролей запрос пользователя принимается к исполнению.
Простота данного способа очевидна, но очевидны также и его явные недостатки: пароль может быть подобран перебором возможных комбинаций, а искусный злоумышленник может проникнуть в ту область памяти, где хранятся эталонные пароли. Например, в ОС RSX-11M, применявшейся в свое время в банковской сфере, в стандартной конфигурации отсутствовали средства шифрования паролей в файле счетов пользователей. В процессе загрузки этой ОС можно было легко просмотреть пароли всех пользователей. Более безопасные системы осуществляют хранение списков паролей в зашифрованном виде. В то же время, перехват даже зашифрованного пароля позволяет при его использовании получить несанкционированный доступ к системе.
К мерам повышения безопасности парольных систем аутентификации, помимо упомянутого хранения списков паролей в зашифрованном виде, может быть отнесено сокращение сроков действия паролей вплоть до применения паролей однократного использования. В последнее время для целей аутентификации широко используется так называемый метод “запрос–ответ”, который позволяет не только аутентифицировать пользователя, но и дает возможность пользователю осуществлять аутентификацию системы, с которой он работает. Это имеет принципиальное значение при работе в сети, так как использование подставной ЭВМ, ОС или программы является одним из путей несанкционированного получения сообщений или паролей законных пользователей. Следует отметить, что необходимость такой взаимной аутентификации подтверждена международным стандартом по взаимодействию открытых систем.
Разновидностью первого способа аутентификации является и опознавание в диалоговом режиме, осуществляемое по следующей схеме. В файлах механизмов защиты заблаговременно создаются записи, содержащие персонифицирующие пользователя данные (дата рождения, рост, вес, имена и даты рождения родных и близких и т.п.) или достаточно большой и упорядоченный набор паролей. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи, которые сравниваются с хранящимися в файле. По результатам сравнения принимается решение о допуске. Для повышения надежности опознавания запрашиваемые у пользователя данные могут выбираться каждый раз разные.
В качестве предмета, имеющегося у пользователя (второй способ аутентификации), применяются карты идентификации (КИ), на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные заносятся на карточку в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку он может быть известен только пользователю, вводится им каждый раз при обращении к системе и уничтожается сразу же после использования.
Информация, находящаяся на карте, может быть записана и считана различными способами или комбинацией нескольких способов. Например, КИ помещается в считывающее устройство, источник света освещает микрокристаллическую точечную матрицу, установленную на карте. Как только неполяризованные элементы матрицы будут прозрачны для света, то будет прочитан соответствующий код, содержащий информацию о конкретном пользователе.
Еще одним типом КИ является информационная карточка с нанесенными особым способом (с применением фосфора) на ее поверхность несколькими рядами знаков, букв и т.п. Считывающее устройство в этом случае представляет собой два электрода, один из которых прозрачен. Карточка помещается между электродами, и при подаче на них напряжения электроны, возбуждаемые между изолирующим слоем (основой карточки) и слоем фосфора, вызывают свечение последнего. Таким образом, информационные знаки могут быть считаны только специальным способом, исключающим визуальное распознавание информации.
Другим типом КИ является электронная идентифицирующая карта, построенная на интегральной микросхеме. У этой карты на короткой стороне печатной платы располагаются катушки индуктивности, через которые передается электропитание на плату и осуществляется обмен кодированной информацией с опознающим устройством. Интегральная схема содержит арифметический блок, а также постоянное и оперативное запоминающие устройства.
На поверхность карты может также наноситься покрытие, позволяющее видеть изображение или текст только в инфракрасном или ультрафиолетовом диапазоне. Над текстом или изображением можно разместить жидкокристаллическую матрицу, прозрачную только при определенной ориентации кристаллов.
Наибольшее распространение среди устройств аутентификации по типу “пользователь имеет” получили индивидуальные магнитные карты. Популярность таких устройств объясняется универсальностью их применения (не только в автоматизированных системах), относительно низкой стоимостью и высокой точностью, они легко комплексируются с терминалом и персональной ЭВМ. Поскольку считыватели этих устройств идентифицируют не личность, а магнитную карту, то они комплектуются специальной, часто цифровой клавиатурой для ввода владельцем карты своего шифра, пароля. Для защиты карт от несанкционированного считывания и подделки, как и в предыдущих случаях, применяются специальные физические и криптографические методы.
В качестве разновидностей КИ можно рассматривать специально помеченные дискеты, предназначенные для аутентификации законного владельца программного пакета. Обычно поверхность такой дискеты искусственно повреждается при помощи лазера или тонкой иглы. Иногда применяют нестандартное форматирование отдельных треков или всей дискеты, а также специальную нумерацию секторов.
Для опознавания компонентов обработки данных, т.е. ЭВМ, ОС, программ функциональной обработки, массивов данных (такое опознавание особенно актуально при работе в сети ЭВМ), используются специальные аппаратные блоки-приставки, представляющие собой устройства, генерирующие индивидуальные сигналы. В целях предупреждения перехвата этих сигналов и последующего их злоумышленного использования они могут передаваться в зашифрован-ном виде, причем периодически может меняться не только ключ шифрования, но и используемый способ (алгоритм) криптографического преобразования.
Все возрастающее значение в последнее время начинают приобретать системы опознавания пользователей по физиологическим признакам. Только при таком подходе действительно устанавливается, что пользователь, претендующий на доступ к терминалу, именно тот, за кого себя выдает. При использовании данного класса средств аутентификации возникает проблема “социальной приемлемости”: процедура аутентификации не должна унижать человеческое достоинство, создавать дискомфорт, быть слишком хлопотной и занимать много времени.
Существует достаточно физиологических признаков, однозначно указывающих на конкретного человека. К ним относятся: отпечатки ног и рук, зубы, ферменты, динамика дыхания, черты лица и т.д. Для аутентификации терминальных пользователей автоматизированных систем наиболее приемлемыми считаются отпечатки пальцев, геометрия руки, голос, личная подпись.
Аутентификация по отпечаткам пальцев. Установление личности по отпечаткам пальцев – старый и проверенный прием. В настоящее время существуют два возможных способа использования этого приема для аутентификации терминального пользователя:
непосредственное сравнение изображений отпечатков пальцев, полученных с помощью оптических устройств, с отпечатками из архива;
сравнение характерных деталей отпечатка в цифровом виде, которые получают в процессе сканирования изображений отпечатка.
На сегодняшний день разработаны специальные чувствительные материалы, обеспечивающие получение отпечатков без использования краски, основанные на способности веществ изменять свои отражательные характеристики в зависимости от температуры прикладываемых предметов.
При непосредственном сравнении изображений отпечатков устройство аутентификации определяет оптическое соотношение двух изображений и вырабатывает сигнал, определяющий степень совпадения отпечатков. Сравнение отпечатков обычно выполняется непосредственно на месте установки устройства. Передача изображения отпечатка по каналам связи не применяется из-за ее сложности, высокой стоимости и необходимости дополнительной защиты этих каналов.
Большое распространение получил способ, построенный на сравнении деталей отпечатков (метод соотнесения бороздок на отпечатках). При этом пользователь вводит с клавиатуры идентифицирующую информацию, по которой устройство аутентификации проводит поиск необходимого списка деталей отпечатка в архиве. После этого он помещает палец на оптическое окошко устройства, и начинается процесс сканирования, в результате которого вычисляются координаты 12 точек, определяющих относительное расположение бороздок отпечатка. Объем информации при этом составляет около 100 байт на отпечаток. Сравнение проводится в ЭВМ по специальным алгоритмам. Недостатком данного способа, однако, является то, что практически невозможно обеспечить точную центровку и стабильную пластичность пальца, поэтому невозможно получить и точное положение бороздок, вследствие чего оценка соответствия имеет вероятностный характер.
Одним из примеров устройства аутентификации по отпечаткам пальцев может служить американская система Fingerscan. Эта система состоит из центрального устройства управления и устройств для снятия отпечатков пальцев. Компания Fingermatrix Inc. по контракту с министерством обороны США разработала другое устройство аутентификации пользователей по отпечаткам пальцев Ridge Reader (устройство считывания рельефа). Пользователь вводит свой идентифицирующий номер, помещает палец в специальную щель, и устройство осуществляет оптическое сканирование кожи. В состав устройства входят лазерная оптическая система, аппаратура обработки сигналов и микропроцессор с программами построения “образа” отпечатка пальца. Рельеф кожи считывается устройством почти безошибочно. Для занесения эталона отпечатка одного пальца требуется от 3 до 5 мин, требуемый объем памяти 256 байт.
Аутентификация по форме кисти руки. Принцип действия таких устройств аутентификации основан на том, что на руку испытуемому направляют яркий свет и анализируют освещенность чувствительных элементов, которая зависит от длины пальцев, закругленности их кончиков и прозрачности кожи. Выходная информация от каждого фоторезистора преобразуется в цифровой код. Идентифицирующая информация может храниться централизованно в главной ЭВМ. Преимуществом подобных систем является большое число анализируемых параметров, что уменьшает вероятность ошибки.
Аутентификация с помощью автоматического анализа подписи. Известно, что почерк каждого человека строго индивидуален, еще более индивидуальна его подпись. Она становится чрезвычайно стилизованной и со временем приобретает характер условного рефлекса. В настоящее время существуют два принципиально разных способа анализа подписи: визуальное сканирование и исследование динамических характеристик движения руки при выполнении подписи (ускорения, скорости, давления, длительности пауз). Считается, что второй способ предпочтительней, так как очевидно, что две подписи одного и того же человека не могут быть абсолютно идентичными. С другой стороны, обладая оригиналом подписи, можно научиться повторять ее практически точно.
При втором способе аутентификации предполагается применение специальных измерительных авторучек с датчиками, чувствительными к указанным выше динамическим характеристикам движения. Эти параметры уникальны для каждого человека, их невозможно подделать. В авторучку встроен двухмерный датчик ускорения, позволяющий измерять характеристики на плоскости, а также датчик давления, фиксирующий параметры вертикальной силы. Существуют два способа сравнения результатов измерений. Первый основан на сравнении амплитуд ускорения каждые 5–10 мс. Требуемая память в этом случае – 2 кбайт. Второй способ основан на вычислении средних величин полного времени написания, промежутков “молчания”, скорости и ускорения по осям Х и Y и средней силы по оси Z. Требуемая память для хранения одного эталонного вектора в этом случае составляет 200 байт. Специалисты считают, что система установления подлинности подписи при меньшей стоимости и большей социальной приемлемости не уступает по надежности устройствам, сверяющим отпечатки пальцев.
Аутентификация по характеру голоса. По мнению ряда специалистов, наиболее надежными средствами аутентификации пользователей являются средства верификации по голосам. Это направление очень перспективно потому, что для аутентификации могут быть использованы телефонные каналы связи, а алгоритм опознавания может быть реализован в центральной ЭВМ. Можно выделить три основных направления реализации данного способа аутентификации:
анализ кратковременных сегментов речи (длительностью до 20 мс) – выбирается серия коротких фрагментов, обрабатывается, составляется статистический образ, который и сравнивается с эталоном;
контурный анализ речи – из фрагмента речи выделяется несколько характеристик, например, высота тона, для них определяется характеристическая функция, которая сравнивается с эталонной;
статистическая оценка голоса – речь должна звучать достаточно долго (около 12 с), на протяжении всего этого периода собирается информация о нескольких параметрах голоса, на основе которой создается цифровой образ и сравнивается с эталоном.
В качестве примера практической реализации последнего подхода можно привести устройство, разработанное фирмой Philips, включающее 43-канальный фильтр с полосой пропускания
100–6200 Гц, что практически покрывает весь диапазон частот человеческого голоса. Каждый канал опрашивается один раз в 18 мс. В результате определяются амплитудно-частотные характеристики всех каналов и сравниваются с эталоном. Слова, которые произносит пользователь, выбираются по принципу наибольшего разнообразия звуков и предварительно выводятся на экран дисплея в случайной последовательности, что исключает подделки, в том числе использование магнитофонной записи.
Основными характеристиками устройств аутентификации являются:
частота ошибочного отрицания законного пользователя;
частота ошибочного признания постороннего;
среднее время наработки на отказ;
число обслуживаемых пользователей;
стоимость;
объем информации, циркулирующей между считывающим устройством и блоком сравнения;
приемлемость устройства со стороны пользователей.
Исследования и испытания устройств аутентификации различных типов показали, что частота ошибочного отрицания несколько превышает частоту ошибочного признания и составляет величину, как правило, не превышающую 1–2%. Так, отечественное устройство аутентификации по подписи имеет частоту ошибочного отрицания, приблизительно равную частоте ошибочного признания и составляющую около 0,5%.
Основным выводом, следующим из опыта создания устройств аутентификации, является то, что получение высокой точности опознавания пользователя возможно только при сочетании различных методов.
Необходимо отметить, что все рассмотренные методы аутентифи-кации в случае не подтверждения подлинности должны осуществлять временную задержку перед обслуживанием следующего запроса. Это необходимо для снижения угрозы подбора идентифицирующих признаков (особенно паролей) в автоматическом режиме. При этом все неуспешные попытки получения доступа должны регистрироваться в целях обеспечения эффективного надзора (контроля) за безопасностью системы.
Защита информации в сетях