Расширение средств идентификации в СЗИ НСД.

Презентация: скачать

Тема идентификации пользователей компьютерных систем разрабатывается давно и плодотворно. Обобщающий результат этих разработок можно представить следующим образом: в качестве идентификатора пользователя компьютерной системы может выступать имя учетной записи, аппаратный идентификатор и биометрический параметр пользователя.

Имя учетной записи в качестве идентификатора пользователя в программно-аппаратных комплексах средств защиты информации от несанкционированного доступа (ПАК СЗИ НСД) в силу специфики области применения и благодаря нормативным документам применятся крайне редко.

Применение аппаратных средств идентификации пользователей в ПАК СЗИ НСД давно стало привычным и обыденным делом. Обычно в качестве аппаратных идентификаторов используются удобные неприхотливые вандалоустойчивые TM-идентификаторы. Уже около двадцати лет применяются они в ПАК СЗИ НСД и сдавать свои позиции не собираются. Вторую группу идентификаторов представляют различные USB-устройства: токены, смарт-карты (в совокупности со считывателями), ПСКЗИ. Эти устройства начали применяться в ПАК СЗИ НСД лет десять назад и применяются в основном в тех системах, где они также используются и в другом качестве (например, как носитель криптографического ключа). Действительно, если USB-устройство все равно будет использоваться в автоматизированной системе, то какой смысл награждать пользователя двумя устройствами, если можно обойтись одним. Да и для производителей ПАК СЗИ НСД поддержка таких устройств не представляется сложной задачей в силу простоты интерфейса и проработанности стандартов взаимодействия с устройством.

Биометрические системы идентификации пользователей в ПАК СЗИ НСД применяются крайне редко. Можно сказать, что вообще не применяются. Хотя спрос на такие решения есть. Причины такой ситуации видятся в следующем: аппаратная часть ПАК СЗИ НСД имеет крайне ограниченные собственные ресурсы (память для хранения данных ограничена десятками килобайт, память кода составляет сотни килобайт), среда исполнения аппаратной части чаще всего плохо масштабируется, идентификация пользователя должна быть надежной и быстрой, обязательность автономности работы без возможности обращения к серверу.

Методы биометрической идентификации делятся на динамические и статические. Динамические связаны с оценкой поведения человека, например, по голосу, по динамике рукописного подчерка, по клавиатурному почерку. Статические основаны на анализе форм тела человека. В качестве примера можно привести отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.

Динамические методы плохо подходят для использования в ПАК СЗИ НСД: их математические модели сложны, реализация алгоритмов распознавания занимает значительный объем кода, время работы составляет единицы секунд. Все эти недостатки делают динамические методы биометрической идентификации пользователей неприемлемыми для применения в аппаратных составляющих ПАК СЗИ НСД на данном этапе развития этих самых составляющих.

В настоящее время наибольшее развитие получили статические биометрические технологии идентификации пользователей, основанные на анализе рисунка радужной оболочки глаза, геометрии лица, папиллярного рисунка на пальцах, биометрических особенностей ладони человека, основанных на венозной системе. Рассмотрим все эти технологии в аспекте применения в ПАК СЗИ НСД.

Анализ рисунка радужной оболочки глаза характеризуется высокой статистической надёжностью алгоритма. Захват изображения радужной оболочки можно производить на расстоянии от нескольких сантиметров до нескольких метров, при этом физического контакта человека с устройством не происходит. Радужная оболочка защищена от повреждений - а значит не будет изменяться во времени. Однако цена системы, основанной на анализе радужной оболочки достаточно высока. Кроме того, доступность готовых решений низкая - приобрести оборудование достаточно сложно.

Анализ геометрии лица в отличие от большинства биометрических методов, не требует дорогостоящего оборудования. При соответствующем оборудовании есть возможность распознавания на значительных расстояниях от камеры. Однако, этот метод характеризуется низкой статистической достоверностью. Кроме того, предъявляются высокие требования к освещению (например, не удается регистрировать лица входящих с улицы людей в солнечный день). Для многих алгоритмов анализа каких-либо внешние помехи, как то очки, борода, некоторые элементы прически, представляют существенные трудности. Обязательно фронтальное изображение лица, с весьма небольшими отклонениями. Многие алгоритмы не учитывают возможные изменения мимики лица, то есть выражение должно быть нейтральным, а человек не всегда в силах владеть выражением своего лица.

Анализ папиллярного рисунка на пальцах - наиболее зрелая технология биометрической идентификации пользователей. На рынке представлено множество сканеров с различными параметрами и ценами, что позволяет выбрать приемлемое решение для систем с разными требованиями. Кроме того, сканеры легко интегрируются с ПАК СЗИ НСД как по подключению (есть множество моделей с USB-интерфейсом подключения к ПЭВМ), так и по интерфейсам: производители предлагают библиотеки подключения для различных ОС (Windows 32 и 64 бита, Linux). К недостаткам технологии следует отнести достаточно большой размер эталонного образца (порядка 3 килобайт на один палец) и необходимость хранения эталонов нескольких пальцев для одного пользователя (производители сканеров рекомендуют для каждого пользователя хранить три-четыре эталона разных пальцев).

Анализ биометрических особенностей ладони человека, основанных на венозной системе, сравнительно новая технология, дающая поразительные результаты. Суть технологии состоит в инфракрасном сканировании рисунка кровонесущих венозных сосудов ладони. Технология является бесконтактной. Время сканирования составляет порядка секунды. Существуют отдельно стоящие USB-сканеры и сканеры, совмещенные с USB-мышью. Производители сканеров предоставляют библиотеки взаимодействия под различные ОС (Windows 32 и 64 бита, Linux). Дополнительным преимуществом для поддержки таких устройств в ПАК СЗИ НСД является объем эталонного образца - на одну ладонь требуется порядка 800 байт. Недостатком данного решения может являться более высокая цена, по сравнению со сканером отпечатков пальца.

Резюмируя, можно сказать, что о крайней мере две технологии (отпечатки пальцев и венозная система ладони) уже вполне готовы к применению в ПАК СЗИ НСД. Важно правильно встроить эти технологии в существующие реализации ПАК СЗИ НСД. Для этого необходимо более детально рассмотреть режимы работы систем биометрической идентификации. Их два:

• Верификация - сравнение предъявленного биометрического параметра один к одному с эталоном. При этом проверяется, что пользователь тот, за кого он себя выдает
• Идентификация - сравнение один ко многим: после «захвата» биометрических данных идет соединение с базой биометрических данных для определения личности. Идентификация личности проходит успешно, если в базе данных найден эталон, соответствующий предъявленным данным.

Общим местом обоих режимов (впрочем, как и любой системы идентификации) является наличие эталона. Эталон может либо предъявляться пользователем, либо храниться в локальной базе ПАК СЗИ НСД, либо храниться в централизованной базе, доступ к которой осуществляется через сеть.

Применительно к ПАК СЗИ НСД вариант с хранением эталона в централизованной базе неприемлем по нескольким причинам: во-первых, интеграция модулей для сетевого взаимодействия в аппаратную часть ПАК СЗИ НСД достаточно сложный и нетривиальный процесс. Во-вторых, комфортное время проведения процедуры идентификации должно составлять единицы секунд, что нельзя гарантировать в варианте с централизованной базой эталонов. В-третьих, неопределенность разрешения ситуации в случае отсутствия связи центральной базой: не загружать компьютер нельзя (сбой сетевого оборудования не должен приводить к выходу из строя локального рабочего места), а как загружать - не понятно. В-четвертых, база с эталонами становится объектом, содержащим биометрические персональные данные пользователей, который в свою очередь становится защиты. Причем, классифицироваться такая система может вплоть до класса К1 - в зависимости от ее объема.

Поэтому предъявления эталона пользователем является более приемлемым вариантом. Пользователь приносит на своем идентификаторе (TM-идентификаторе или USB-устройстве) биометрический эталон, этот эталон считывается в момент идентификации пользователя, проверяется возможность его использования именно на этом АРМ и проводится процедура биометрической верификации пользователя.

Описанное решение уже реализовано в опытных образцах и будет доступно в качестве промышленного решения в ближайшее время.

Автор: Счастный Д. Ю.

Дата публикации: 01.01.2012

Библиографическая ссылка: Счастный Д. Ю. Расширение средств идентификации в СЗИ НСД // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 231–232.

---