Аутентификация пользователей в персональном средстве криптографической защиты информации ШИПКА

По своей сути ПСКЗИ ШИПКА - это персональное средство защиты информации, но в силу его универсальности это устройство можно использовать и для решения задач в корпоративной среде. Часто в организациях существует формальное изложение правил, регулирующих управление, защиту и распределение информационных ресурсов в автоматизированной системе, называемых политикой безопасности. Этим правилам должны подчиняться все лица, получающие доступ к корпоративным данным. Обычно одной из составляющих частей политики безопасности является документ, описывающий политику аутентификации пользователей. С помощью ПСКЗИ ШИПКА можно организовать доступ к приложениям на основе аппаратной аутентификации, при которой для подтверждения пользователя используется физический носитель и знание некоторой последовательности символов. Эта последовательность символов (пароль) дает право доступа к персональным данным пользователя, хранящимся внутри ПСКЗИ ШИПКА. Поэтому для улучшения защиты этих данных следует обращать внимание на качество пароля к устройству.

В ПСКЗИ ШИПКА предусмотрено две роли пользователей: администратор и пользователь. Администратор - лицо, устанавливающее правила аутентификации и режимы работы пользователя с ПСКЗИ ШИПКА. Пользователь - лицо, непосредственно работающее с ПСКЗИ ШИПКА. Аутентифицирующей информацией администратора является пароль администратора, а пользователя - пароль пользователя (далее PIN - Personal Identification Number).

Перед началом использования ПСКЗИ ШИПКА администратору необходимо провести процедуру инициализации, в результате которой будут установлены параметры политики безопасности. Политика безопасности определяет параметры PIN-кода, а также возможность разблокировки с помощью PUK (Personal Unblocking Key) кода устройств, которые были заблокированы. PIN-код представляет собой последовательность символов длиной от 6 до 32 знаков. Администратор устанавливает ограничения на длину PIN/PUK кодов и количество попыток, которое дается пользователю для ввода неверных PIN/PUK кодов, а также задает алфавит для PIN-кода. В качестве символов PIN-кода можно использовать цифры, строчные и заглавные буквы, спецсимволы. Возможность комбинирования нескольких алфавитов повышает надежность процедуры аутентификации. Мощность алфавита (общее число символов) становится больше, а, следовательно, число вариантов PIN-кода резко возрастает. Тем самым можно задать более трудно подбираемый PIN-код. Для последующих изменений параметров политики безопасности необходимо установить пароль администратора. В ПСКЗИ ШИПКА пароль администратора других возможностей, кроме смены ранее установленных параметров, не предоставляет. Особенностью ПСКЗИ ШИПКА является то, что администратор может зафиксировать политику безопасности таким образом, что ее нельзя будет изменить в дальнейшем. Использовать эту возможность нужно очень осторожно и только в том случае, если есть уверенность, что требования к политике безопасности не изменятся.

Перед началом работы пользователь должен отформатировать ПСКЗИ ШИПКА с выработкой кода разблокировки - PUK, если это предусмотрено политикой, а так же установить PIN-код, в соответствии с установленной политикой безопасности. Аутентификация пользователя в ПСКЗИ ШИПКА происходит внутри устройства на основе введенного им PIN-кода. Надежность защиты персональных данных пользователя определяется качеством PIN-кода, а также блокировкой устройства после нескольких попыток неправильного ввода PIN-кода.

Возможность хранения персональных данных в ПСКЗИ ШИПКА обуславливает регламент доступа к устройству. В отличие от многих систем, где администратор может восстанавливать пароли пользователей в случае утери, ПСКЗИ ШИПКА спроектирована таким образом, что доступ к собственным данным получает только тот пользователь, который является владельцем устройства. Администратор имеет право только на инициализацию и задание политики безопасности, а за сохранность PIN/PUK кодов, а, следовательно, и за все хранимые данные отвечает пользователь. В случае, когда ПСКЗИ ШИПКА используется персонально, а не в корпоративной среде, в роли администратора и пользователя выступает одно лицо - владелец устройства.

Архитектура ПСКЗИ ШИПКА построена таким образом, что доступ к информации имеет только владелец, но правила доступа к устройству задает администратор в соответствии с корпоративными документами. Это позволяет правильно использовать персональное средство защиты информации в корпоративной среде.

Авторы: Карелина А. В.; Счастный Д. Ю.

Дата публикации: 01.01.2007

Библиографическая ссылка: Карелина А. В., Счастный Д. Ю. Аутентификация пользователей в персональном средстве криптографической защиты информации ШИПКА // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 года, Новополоцк. Мн., 2007. С. 122–123.

---