Комбинированные системы идентификации и аутентификации
В последнее время предметом пристального внимания и интереса стали средства двухфакторной аутентификации, которые эффективно решают задачу по обеспечению безопасного доступа к информационным ресурсам. Такие средства аутентификации можно получить с помощью комбинированных средств идентификации и аутентификации. Внедрение комбинированных средств идентификации и аутентификации в систему информационной безопасности позволяет увеличить количество используемых идентификационных признаков (факторов). Эффективность защиты компьютеров от несанкционированного доступа повышается при комбинировании идентификаторов различных типов (табл. 5.3).
Таблица 5.3. Основные функции комбинированных СИА
Функция | СИА на базе бесконтактных идентификаторов и USB-ключей | СИА на базе гибридных смарт-карт | Биоэлектронные системы |
Идентификация и аутентификация пользователей компьютеров | Есть | Есть | Есть |
Блокировка работы компьютера и разблокирование при предъявлении персонального идентификатора | Есть | Нет | Есть |
Идентификация и аутентификация сотрудников при их доступе в здание, помещение (и при выходе из него) | Есть | Есть | Нет |
Хранение конфиденциальной информации (ключей шифрования, паролей, сертификатов и др.) | Есть | Есть | Есть |
Визуальная идентификация | Нет | Есть | Есть |
В настоящее время применяются комбинированные системы идентификации и аутентификации следующих типов:
· системы на базе радиочастотных идентификаторов и USB-ключей;
· системы на базе гибридных смарт-карт;
· биоэлектронные системы.
Радиочастотные идентификаторы и USB-ключи
Аппаратная интеграция USB-ключей и радиочастотных идентификаторов предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещение.
Для входа в служебное помещение идентификатор используется в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным – в качестве USB-ключа. Кроме того, при выходе из помещения идентификатор извлекается из USB-разъема и тем самым автоматически блокирует работу компьютера.
В 2004 году появилось два комбинированных идентификатора такого типа:
· RFiKey – разработка компании Rainbow Technologies;
· eToken PRO RM – разработка компании Aladdin Software Security.
Идентификатор RFiKey (рис. 5.14) представляет собой USB-ключ іКеу со встроенной микросхемой Proximity. RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation и российской компании Parsec.
Рис. 5.14. Идентификатор RFiKey
Основные характеристики RFiKey:
· частота функционирования радиочастотного –125 кГц;
· тактовая частота процессора – 12 МГц;
· реализуемые криптографические алгоритмы – MD5, RSA DES, 3-DES, RC2, RC4, RC5;
· наличие аппаратного датчика случайных чисел;
· поддерживаемые стандарты – PKCS#11, MS Crypto API, PC/SC;
· файловая система с тремя уровнями доступа к данным;
· поддерживаемые операционные системы – Windows 95/98/ME/NT4 (SP3)/ 2000/ХР.
Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс. Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память СППЗУ емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.
Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене радиочастотного идентификатора Proximity. Отсюда следует, что интеграция бесконтактных радиочастотных идентификаторов и USB- ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш очевиден: один идентификатор вместо двух.
Гибридные смарт-карты
Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 5.15). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) – бесконтактный. Как и в случае интеграции USB-ключей и радиочастотных идентификаторов, средства идентификации и аутентификации на базе гибридных смарт-карт решают двоякую задачу: защиту от несанкционированного доступа к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.
Рис. 5.15. Структура гибридной смарт-карты
Анализ затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования радиочастотных идентификаторов и USB-ключей, подтверждает торжество принципа «два в одном». Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в «три в одном».
Биоэлектронные системы
Для защиты компьютеров от несанкционированного доступа биометрические системы обычно объединяются с двумя классами электронных средств идентификации и аутентификации – на базе контактных смарт-карт и на базе USB-ключей.
Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.
Сканеры отпечатков пальцев широко используются в качестве составной части комбинированных средств идентификации и аутентификации, применяемых для защиты компьютеров от несанкционированного доступа.
Примером такого рода интеграции служат изделия Precise 100 МС (рис. 5.16) компании Precise Biometrics АВ. Чтобы получить доступ к информационным ресурсам компьютера с помощью подобных средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.
Рис. 5.16. Изделие Precise 100MC
Изделие Precise 100 МС – это USB-устройство, работающее в среде Windows. Считыватель смарт-карт поддерживает все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3. Дактилоскопический считыватель представляет собой сканер емкостного типа со скоростью сканирования 4 отпечатка пальцев в секунду.
Объединение USB-ключа с дактилоскопической системой идентификации называют USB-биоключом. USB-биоключи обладают следующими достоинствам:
· высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);
· аппаратная реализация криптографических преобразований;
· отсутствие аппаратного считывателя;
· уникальность признака, малые размеры и удобство хранения идентификаторов.
Электронные замки
На электронные замки возлагается выполнение следующих функций:
· идентификации и аутентификации пользователей с помощью устройств ввода идентификационных признаков;
· блокировки загрузки операционной системы с внешних съемных носителей;
· контроля целостности программной среды компьютера;
· регистрации действий пользователей и программ.
Конструктивно электронные замки выполняются в виде плат расширения, устанавливаемых в разъемы системных шин PCI или ISA Свои основные функции электронные замки реализуют до загрузки операционной системы компьютера.
Для этого в составе каждого изделия имеется собственное ЭСППЗУ, дополняющее базовую систему ввода-вывода BIOS компьютера.
При включении компьютера выполняется копирование содержимого ЭСППЗУ замка в так называемую теневую область (Shadow Memory) оперативной памяти компьютера, с которой и ведется дальнейшая работа.
Примером электронного замка является «Соболь-РСІ» и «Соболь 1.0», выпускаемые отечественным научно-инженерным предприятием «Информзащита». Электронные замки устанавливаются в компьютеры, функционирующие под управлением операционных систем MS-DOS, Windows, UNIX FreeBSD.