Построение системы комплексной идентификации пользователей на базе ПСКЗИ ШИПКА

Традиционные смарт - карты в технологических процессах защиты информации в настоящий момент все чаще и чаще заменяются токенами. Идея снабдить смарткарточный чип USB - интерфейсом пришлась по душе не только специалистам по безопасности и конечным пользователям, но и финансовым руководителям. Действительно, пользоваться компактным и стильным брелоком удобнее, чем кусочком пластика, а отсутствие специальных устройств для коммутации средств защиты с конечными системами существенно увеличивает привлекательность таких средств как с точки зрения надежности (уменьшается общее число элементов системы), так и с точки зрения материальных затрат (уменьшается стоимость системы в целом). И это все происходит на фоне неуменьшающегося общего уровня защищенности систем, так как технологические составляющие средств защиты остались прежними. Следующим этапом развития средств защиты явилось создание персональных криптографических средств защиты информации (ПСКЗИ). Ярким и пока единственным представителем таких устройств является ПСКЗИ ШИПКА. Для пользователей появление таких устройств прошло как естественный этап развития токенов: прежние устройства заменились новыми - такими же привычными в использовании, только с расширенным функционалом по сравнению со смарт - картами. Специалисты по безопасности также признали ПСКЗИ после проведения соответствующих проверок и экспертиз. С финансовой точки зрения новые устройства тоже выглядели достаточно привлекательно, особенно на фоне расширения функциональности. Но весь этот эволюционный процесс протекал в области компьютерных технологий. Другая сфера применения смарт - карт как средства идентификации в системах контроля физического доступа оставалась в прежнем состоянии: физические размеры токенов и ПСКЗИ позволяют разместить в них радиометки для открывания дверей, но о размещении на корпусе ПСКЗИ фотографии владельца не может быть и речи.

В первом приближении кажется, что этот вопрос можно закрыть раз и навсегда: размещение качественной фотографии владельца на корпусе ПСКЗИ возможно только в случае увеличения размеров корпуса, что сделает использование таких средств неоправданно неудобным. Однако можно попробовать разместить фотографию владельца внутри устройства. Понятно, что речь идет о размещении цифровой фотографии непосредственно в памяти ПСКЗИ. И только ПСКЗИ, так как речь идет о создании технологии, которая позволит защищено хранить и передавать фотографию владельца устройства вовне по запросу со стороны средств контроля физического доступа, что повлечет за собой расширение функционала внутреннего программного обеспечения устройства, что возможно только с ПСКЗИ, и никак невозможно для токена.

Применение ПСКЗИ в системах контроля физического доступа может осуществляться следующим образом: фотография владельца устройства, дополненная различными идентификационными параметрами (ФИО, должность, отдел, номер ПСКЗИ), сохраняется в файле, подписывается на ключе Службы Безопасности и размещается в энергонезависимой памяти устройства. Кроме того, в ПСКЗИ создается пара ключей ЭЦП, которая будет использоваться для подтверждения подлинности устройства. Открытый ключ этой пары сохраняется в системе контроля физического доступа. При проходе через систему контроля физического доступа пользователь предъявляет ПСКЗИ. Система контроля проверяет подлинность устройства на основании ранее созданных ключей ЭЦП, получает фотографию владельца из устройства, проверяет ее подлинность и предоставляет ее сотруднику Службы Безопасности. Понятно, что предлагаемая система сложнее, чем прежний вариант с размещением фотографии владельца на смарт - карте. Но зато предлагаемую систему можно всячески расширять и развивать. Одним из вариантов такого расширения может быть система дистанционного контроля за пользователями. Сотрудник Службы безопасности может получать фотографию владельца из ПСКЗИ через ЛВС, а непосредственное изображение пользователя, работающего за компьютером, через систему видеонаблюдения. И на основании полученных данных принять решение о том, имеет ли право этот пользователь работать с этим компьютером в этот момент времени.

Еще одним положительным моментом перехода на предлагаемую технологию является унификация и типизация устройств идентификации пользователей: вместо связки различных устройств, карт, брелоков пользователь владеет одним красивым и элегантным устройством.

Таким образом, применения ПСКЗИ ШИПКА может позволить заменить смарт - карты не только в автоматизированных системах обработки информации, но и в системах контроля физического доступа, а также предоставить и много других полезных возможностей.

Автор: Счастный Д. Ю.

Дата публикации: 01.01.2008

Библиографическая ссылка: Счастный Д. Ю. Построение системы комплексной идентификации пользователей на базе ПСКЗИ ШИПКА // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 170–171.

---