Единая система идентификации и аутентификации в инфраструктуре электронного правительства рф (есиа). Сравнение доступности методов биометрической идентификации в России. Подключение операторов сотовой связи к инфраструктуре электронного правительства

Единая система идентификации и аутентификации (ЕСИА ) - информационная система в Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах.

ЕСЍА - пароль на все случаи жизни.

Что такое ЕСЍА?

ЕСЍА – это Единая система идентификации и аутентификации. Один пароль для доступа ко всем государственным сайтам.

Зачем нужна ЕСИА?

С паролем ЕСИА вам не нужно каждый раз проходить регистрацию на каждом государственном сайте.

ЕСИА - пароль на все случаи жизни. Благодаря ему вы можете прямо из дома, используя интернет:

· Записаться через интернет к врачу

· Узнать о своих штрафах ГИБДД

· Подать заявление на регистрацию брака

· Заплатить за «коммуналку»

· Зарегистрировать автомобиль

· Оформить пособие по беременности

· Сообщить о городской проблеме и получить решение за 10 дней

И многие другие услуги и сервисы через единые учетные данные!

Как защищены личные данные? У кого есть к ним доступ?

Доступ к личным данным имеет только владелец пароля.

· данные передаются исключительно по защищённым каналам с самым высоким уровнем шифрования

· система информационной безопасности соответствуют высшему стандарту защиты данных К1

· вся информация хранится на защищённых государственных серверах

Что нужно для оформления ЕСИА?

1. Паспорт и СНИЛС – для подтверждения личности,

2. Мобильный номер – для подтверждения регистрации.

Как получить пароль?

1. Зайдите на страницу регистрации, укажите Ваше Фамилию Имя и номер контактного телефона. Затем нажмите кнопку «Зарегистрироваться»

2. На Ваш телефон придёт код подтверждения. Введите его и нажмите кнопку «Подтвердить»

3. Задайте свой пароль и нажмите кнопку «Сохранить»

4. Войдите в ЕСИА, используя Ваш номер телефона и пароль.

5. Введите Ваши персональные данные (не забудьте при этом указать Ваше отчество) и дождитесь подтверждения в течение пяти минут!

Что значит «Подтверждённая» и «Неподтверждённая» учётная запись?

· неподтвержденный пароль дает ограниченные возможности, такие как доступ к информационным сервисам, например, просмотр задолженностей и штрафов.

· с подтвержденным паролем вы можете получить любую из 119 электронных услуг, доступных на федеральном и региональном порталах госуслуг и без ограничений пользоваться всеми доступными сервисами.

В данном разделе будут рассмотрены некоторые технические меры повышения защищенности систем. Выбор рассматриваемых мер обусловлен возможностью их реализации встроенными средствами операционных систем семейства Microsoft Windows . Соответственно, уровень защищенности может быть повышен без дополнительных затрат на специализированные средства защиты.

В теоретической части курса будут методы, лежащие в основе соответствующих средств и механизмов. В лабораторных работах рассматриваются конкретные настройки операционных систем.

Рассматриваемые вопросы можно разделить на две группы:

• вопросы, связанные с идентификацией и аутентификацией пользователей;
• защита передаваемых сообщений.

Идентификация и аутентификация

Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система "знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация - установление подлинности - проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль . На основании этих данных система проводит идентификацию ( по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль ).

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. В соответствии с рассмотренной ранее моделью многоуровневой защиты, аутентификация пользователя компьютера относится к уровню защиты узлов.

Обычно выделяют 3 группы методов аутентификации.

1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски "I have" ("у меня есть"). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация - "I know" ("я знаю"). Например, аутентификация по паролю. Более подробно парольные системы рассматриваются далее в этом разделе.
3. Аутентификация пользователя по его собственным уникальным характеристикам - "I am" ("я есть"). Эти методы также называются биометрическими.

Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация - пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.

Наиболее распространенными на данный момент являются парольные системы аутентификации . У пользователя есть идентификатор и пароль , т.е. секретная информация , известная только пользователю (и возможно - системе), которая используется для прохождения аутентификации.

В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Операционные системы, как правило, проводят аутентификацию с использованием многоразовых паролей. Совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя составляют учетную запись пользователя .

Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особой внимание.

Как отмечалось при рассмотрении стандарта ISO 17799 , рекомендуется, чтобы пользователи системы подписывали документ о сохранении конфиденциальности пароля. Но нарушитель также может попытаться подобрать пароль , угадать его, перехватить и т.д. Рассмотрим некоторые рекомендации по администрированию парольной системы, позволяющие снизить вероятность реализации подобных угроз.

1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
2. Установка требования использовать в пароле разные группы символов - большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак , таких как подбор паролей "по словарю" (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как "1234").
4. Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей.
5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).
6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.

Современные операционные системы семейства Windows позволяют делать установки, автоматически контролирующие выполнение требований 1,2,4-6. При использовании домена Windows , эти требования можно распространить на все компьютеры, входящие в домен и таким образом повысить защищенность всей сети.

Но при внедрении новых механизмов защиты могут появиться и нежелательные последствия. Например, требования "сложности" паролей могут поставить в тупик недостаточно подготовленного пользователя. В данном случае потребуется объяснить, что с точки зрения операционной системы Windows надежный пароль содержит 3 из 4 групп символов (большие буквы, малые буквы, цифры, служебные знаки). Аналогичным образом, надо подготовить пользователей и к внедрению блокировки учетных записей после нескольких неудачных попыток ввода пароля. Требуется объяснить пользователям, что происходит, а сами правила блокировки должны быть хорошо продуманы. Например, если высока вероятность того, что пользователь заблокирует свою запись в период отсутствия администратора, лучше ставить блокировку не насовсем, а на какой-то срок (30 минут, час и т.д.).

Это приводит к тому, что должна быть разработана политика управления паролями , сопровождающие ее документы, а потом уже проведено внедрение.

При использовании ОС семейства Windows , выявить учетные записи со слабыми или отсутствующими паролями можно, например, с помощью утилиты Microsoft Baseline Security Analyzer . Она же позволяет выявить и другие ошибки администрирования. Вопросам использования этой утилиты, а также настройке политики паролей посвящена лабораторная работа № 3.

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows "2000), есть реализации для Mac OS.

В сетях Windows (начиная с Windows "2000 Serv.) аутентификация по протоколу Kerberos v.5 ( RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM .

Перед тем, как рассмотреть порядок работы Kerberos, разберем зачем он изначально разрабатывался. Централизованное распределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ , который используется для взаимодействия с центром распределения ключей (сервером ключей). Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ .

Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos - это программная система, построенная по архитектуре "клиент- сервер ". Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).

Серверная часть Kerberos называется центром распределения ключей (англ. Key Distribution Center , сокр. KDC ) и состоит из двух компонент :

• сервер аутентификации (англ. Authentication Server , сокр. AS);
• сервер выдачи разрешений (англ. Ticket Granting Server, сокр. TGS ).

Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей. Схема функционирования протокола Kerberos представлена на рис. 5.1 .

Рис. 5.1.

Пусть клиент C собирается начать взаимодействие с сервером SS (англ. Service Server - сервер , предоставляющий сетевые сервисы). В несколько упрощенном виде, протокол предполагает следующие шаги [ , ]:

1. C->AS: {c} .

   Клиент C посылает серверу аутентификации AS свой идентификатор c (идентификатор передается открытым текстом).

2. AS->C: {{TGT}K AS_TGS , K C_TGS }K C ,
   • K C - основной ключ C ;
   • K C_TGS - ключ, выдаваемый C для доступа к серверу выдачи разрешений TGS ;
   • {TGT} - Ticket Granting Ticket - билет на доступ к серверу выдачи разрешений

   {TGT}={c, tgs ,t 1 ,p 1 , K C_TGS } , где tgs - идентификатор сервера выдачи разрешений, t 1 - отметка времени, p 1 - период действия билета.

   На этом шаге сервер аутентификации AS , проверив, что клиент C имеется в его базе, возвращает ему билет для доступа к серверу выдачи разрешений и ключ для взаимодействия с сервером выдачи разрешений. Вся посылка зашифрована на ключе клиента C . Таким образом, даже если на первом шаге взаимодействия идентификатор с послал не клиент С , а нарушитель X , то полученную от AS посылку X расшифровать не сможет.

   Получить доступ к содержимому билета TGT не может не только нарушитель, но и клиент C , т.к. билет зашифрован на ключе, который распределили между собой сервер аутентификации и сервер выдачи разрешений.

3. C-> TGS : {TGT}K AS_TGS , {Aut 1 } K C_TGS , {ID}

   где {Aut 1 } - аутентификационный блок - Aut 1 = {с,t 2 } , t 2 - метка времени; ID - идентификатор запрашиваемого сервиса (в частности, это может быть идентификатор сервера SS ).

   Клиент C на этот раз обращается к серверу выдачи разрешений ТGS . Он пересылает полученный от AS билет, зашифрованный на ключе K AS_TGS , и аутентификационный блок, содержащий идентификатор c и метку времени, показывающую, когда была сформирована посылка.Сервер выдачи разрешений расшифровывает билет TGT и получает из него информацию о том, кому был выдан билет, когда и на какой срок, ключ шифрования, сгенерированный сервером AS для взаимодействия между клиентом C и сервером TGS . С помощью этого ключа расшифровывается аутентификационный блок. Если метка в блоке совпадает с меткой в билете, это доказывает, что посылку сгенерировал на самом деле С (ведь только он знал ключ K C_TGS и мог правильно зашифровать свой идентификатор). Далее делается проверка времени действия билета и времени отправления посылки 3 ). Если проверка проходит и действующая в системе политика позволяет клиенту С обращаться к клиенту SS , тогда выполняется шаг 4 ).

4. TGS ->C: {{ TGS }K TGS_SS ,K C_SS }K C_TGS ,

   где K C_SS - ключ для взаимодействия C и SS , { TGS } - Ticket Granting Service - билет для доступа к SS (обратите внимание, что такой же аббревиатурой в описании протокола обозначается и сервер выдачи разрешений). { TGS } ={с,ss,t 3 ,p 2 , K C_SS } .

   Сейчас сервер выдачи разрешений TGS посылает клиенту C ключ шифрования и билет, необходимые для доступа к серверу SS . Структура билета такая же, как на шаге 2): идентификатор того, кому выдали билет; идентификатор того, для кого выдали билет; отметка времени; период действия ; ключ шифрования.

5. C->SS: { TGS }K TGS_SS , {Aut 2 } K C_SS

   где Aut 2 ={c,t 4 } .

   Клиент C посылает билет, полученный от сервера выдачи разрешений, и свой аутентификационный блок серверу SS , с которым хочет установить сеанс защищенного взаимодействия. Предполагается, что SS уже зарегистрировался в системе и распределил с сервером TGS ключ шифрования K TGS_SS . Имея этот ключ, он может расшифровать билет, получить ключ шифрования K C_SS и проверить подлинность отправителя сообщения .

6. SS->C: {t 4 +1}K C_SS

   Смысл последнего шага заключается в том, что теперь уже SS должен доказать C свою подлинность. Он может сделать это, показав, что правильно расшифровал предыдущее сообщение. Вот поэтому, SS берет отметку времени из аутентификационного блока C , изменяет ее заранее определенным образом (увеличивает на 1), шифрует на ключе K C_SS и возвращает C .сеть логически делится на области действия серверов Kerberos. Kerberos-область - это участок сети, пользователи и серверы которого зарегистрированы в базе данных одного сервера Kerberos (или в одной базе, разделяемой несколькими серверами). Одна область может охватывать сегмент локальной сети, всю локальную сеть или объединять несколько связанных локальных сетей. Схема взаимодействия между Kerberos-областями представлена на рис. 5.2 .

   Для взаимодействия между областями, должна быть осуществлена взаимная регистрация серверов Kerberos, в процессе которой сервер выдачи разрешений одной области регистрируется в качестве клиента в другой области (т.е. заносится в базу сервера аутентификации и разделяет с ним ключ ).

   После установки взаимных соглашений, клиент из области 1 (пусть это будет K 11 ) может установить сеанс взаимодействия с клиентом из области 2 (например, К 21 ). Для этого K 11 должен получить у своего сервера выдачи разрешений билет на доступ к Kerberos-серверу, с клиентом которого он хочет установить взаимодействие (т.е. серверу Kerberos KDC2). Полученный билет содержит отметку о том, в какой области зарегистрирован владелец билета. Билет шифруется на ключе, разделенном между серверами KDC1 и KDC2. При успешной расшифровке билета, удаленный Kerberos- сервер может быть уверен, что билет выдан клиенту Kerberos-области, с которой установлены доверительные отношения . Далее протокол работает как обычно.

   ключ , но и убедились в подлинности друг друга, иными словами - аутентифицировали друг друга.

   Что касается реализации протокола Kerberos в Windows , то надо отметить следующее.

   1. Ключ пользователя генерируется на базе его пароля. Таким образом, при использовании слабых паролей эффект от надежной защиты процесса аутентификации будет сведен к нулю.
   2. В роли Kerberos-серверов выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center ( KDC ). Роль хранилища информации о пользователях и паролях берет на себя служба каталога Active Directory. Ключ, который разделяют между собой сервер аутентификации и сервер выдачи разрешений формируется на основе пароля служебной учетной записи krbtgt - эта запись автоматически создается при организации домена и всегда заблокирована.
   3. Microsoft в своих ОС использует расширение Kerberos для применения криптографии с открытым ключом. Это позволяет осуществлять регистрацию в домене и с помощью смарт-карт, хранящих ключевую информацию и цифровой сертификат пользователя .
   4. Использование Kerberos требует синхронизации внутренних часов компьютеров, входящих в домен Windows.

   Для увеличения уровня защищенности процесса аутентификации пользователей, рекомендуется отключить использование менее надежного протокола NTLM и оставить только Kerberos (если использования NTLM не требуют устаревшие клиентские ОС).

В.Шрамко

PCWeek/RE № 45, 2004 г.

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах конфиденциальной информации, — одна из важнейших задач для любой компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. По результатам исследования Computer Security Institute, на непреднамеренные ошибки сотрудников приходится 55% такого ущерба, на действия нечестных и обиженных коллег — соответственно 10% и 9%. Оставшуюся часть потерь связывают с проблемами физической защиты (стихийные бедствия, электропитание) — 20%, вирусами — 4% и внешними атаками — 2%.

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration — аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

На мировом рынке информационной безопасности сегмент ААА стабильно растет. Эта тенденция подчеркивается в аналитических обзорах и прогнозах Infonetics Research, IDC, Gartner и других консалтинговых компаний.

В нашей статье основное внимание будет уделено комбинированным системам идентификации и аутентификации. Такой выбор обусловлен тем, что в настоящее время системы этого класса обеспечивают наиболее эффективную защиту компьютеров от НСД.

Классификация систем идентификации и аутентификации

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рисунок 1 — Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

• контактных смарт-карт;
• бесконтактных смарт-карт;
• USB-ключей (другое название — USB-токенов);
• идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

Несмотря на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания по отпечаткам пальцев, чертам лица, геометрии руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group, на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица — 12%, геометрии руки — 11%, радужке глаза — 9%, параметрам голоса — 6%, подписи — 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

• интеграция идентификаторов в рамках системы одного класса;
• интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

Особенности электронных систем идентификации и аутентификации

С электронными СИА и анализом их ключевых характеристик, позволяющим сделать выбор в пользу того или иного продукта, можно познакомиться в моем обзоре «Защита компьютеров: электронные системы идентификации и аутентификации» (см. PC Week/RE, № 12/2004, с. 18). Приведу лишь основные особенности электронных СИА, знание которых помогает понять структуру и принцип работы комбинированных систем.

В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.

В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.

В контактных смарт-картах используется два типа памяти PROM: однократно программируемая память EPROM и чаще встречающаяся многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.

На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:

• генерация криптографических ключей;
• реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);
• выполнение операций с электронной цифровой подписью (генерация и проверка);
• выполнение операций с PIN-кодом и др.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

Таблица 1 — Радиочастотные идентификаторы

Основные компоненты бесконтактных смарт-карт — чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи — пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания — литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.

Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения — до 10 см.

Для реализации функций шифрования и аутентификации в идентификаторах стандарта ISO/IEC 14443 могут применяться чипы трех видов: микросхема с жесткой логикой MIFARE, процессор или криптографический процессор. Технология MIFARE является разработкой компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными осуществляется со скоростью 26,6 Кбит/с.

USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Таблица 2 — Характеристики USB-ключей

На российском рынке наибольшей популярностью пользуются следующие USB-ключи:

• серии iKey 10xx, iKey 20xx, iKey 3000 — разработка компании Rainbow Technologies;
• eToken R2, eToken Pro фирмы Aladdin Knowledge Systems;
• ePass1000, ePass2000 фирмы Feitian Technologies;
• ruToken — совместная разработка компании «Актив» и фирмы «АНКАД» .

USB-ключи являются преемниками контактных смарт-карт. Поэтому структуры USB-ключей и смарт-карт, как и объемы аналогичных запоминающих устройств, практически идентичны. В состав USB-ключей могут входить:

• процессор — управление и обработка данных;
• криптографический процессор — реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
• USB-контроллер — обеспечение интерфейса с USB-портом компьютера;
• RAM — хранение изменяемых данных;
• EEPROM — хранение ключей шифрования, паролей, сертификатов и других важных данных;
• ROM — хранение команд и констант.

Комбинированные системы

Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.

Таблица 3 — Основные функции комбинированных СИА

Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:

• системы на базе бесконтактных смарт-карт и USB-ключей;
• системы на базе гибридных смарт-карт;
• биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

Аппаратная интеграция USB-ключей и бесконтактных смарт-карт предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещения офиса. Для входа в служебное помещение сотрудник использует свой идентификатор в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным — в качестве USB-ключа. Кроме того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и тем самым автоматически блокирует работу компьютера.

В 2004 г. на российском рынке появились два комбинированных идентификатора такого типа:

• RFiKey — разработка компании Rainbow Technologies;
• eToken PRO RM — разработка компании Aladdin Software Security R.D. .

Идентификатор RFiKey (рис. 2) представляет собой USB-ключ iKey со встроенной микросхемой Proximity, разработанной HID Corporation.

Рисунок 2 — Идентификатор RFiKey

Изделие RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

К основным характеристикам RFiKey можно отнести следующие показатели:

• частота функционирования микросхемы Proximity — 125 кГц;
• тактовая частота процессора — 12 МГц;
• реализуемые криптографические алгоритмы — MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
• поддерживаемые стандарты — PKCS#11, MS Crypto API, PC/SC;
• файловая система с тремя уровнями доступа к данным;
• поддерживаемые операционные системы — Windows 95/98/ME/NT4 (SP3)/2000/XP/ 2003.

Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».

Рисунок 3 — Идентификатор eToken RM

Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память EPROM емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.

К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

• частота функционирования БИМ-002 — 13,56 МГц;
• дальность чтения идентификационного кода — до 30 мм;
• тактовая частота процессора — 6 МГц;
• реализуемые криптографические алгоритмы — RSA-1024, DES, 3DES, SHA-1;
• наличие аппаратного датчика случайных чисел;
• поддерживаемые стандарты — PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
• поддерживаемые операционные системы — Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

На отечественном рынке ориентировочные цены комбинированных идентификаторов составляют: RFiKey 1032 — от $41, RFiKey 2032 и RFiKey 3000 — от $57, eToken RM с 32 Кб защищенной памяти и БИМ-002 — от $52.

Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

Гибридные смарт-карты

Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 4). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) — бесконтактный. Как и в случае интеграции USB-ключей и бесконтактных смарт-карт, СИА на базе гибридных смарт-карт решают двоякую задачу: защиту от НСД к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.

Рисунок 4 — Структура гибридной смарт-карты

Стремление к интеграции радиочастотной бесконтактной и контактной смарт-карт-технологий находит отражение в разработках многих компаний: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

Например, корпорация HID, ведущий разработчик СИА на базе бесконтактных идентификаторов, выпустила идентификаторы-карты, объединяющие в себе различные технологии считывания идентификационных признаков. Результатом этих разработок явилось создание гибридных смарт-карт:

• Smart ISOProx II — интеграция Proximity-чипа и чипа с контактным интерфейсом (опционально);
• iCLASS — интеграция чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально);
• iCLASS Prox — интеграция Proximity-чипа, чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально).

На отечественном рынке цены на эти изделия составляют: iCLASS — от $5,1; Smart ISOProx II — от $5,7; iCLASS Prox — от $8,9.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Фирма предлагает смарт-карты различных производителей: ОАО «Ангстрем» (БИМ-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (технология MIFARE) и других. Выбор варианта комбинирования определяет заказчик.

Анализ финансовых затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования бесконтактных смарт-карт и USB-ключей, снова подтверждает торжество принципа «два в одном». Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в «три в одном».

Биоэлектронные системы

Для защиты компьютеров от НСД биометрические системы обычно объединяются с двумя классами электронных СИА — на базе контактных смарт-карт и на базе USB-ключей.

Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.

Как уже было замечено, технологии идентификации по отпечаткам пальцев сегодня лидируют на рынке биометрических средств защиты. Столь почетное место дактилоскопии вызвано следующими обстоятельствами:

• это самый старый и наиболее изученный метод распознавания;
• его биометрический признак устойчив: поверхность кожного покрова на пальце не меняется со временем;
• высокие значения показателей точности распознавания (по заявлениям разработчиков дактилоскопических средств защиты, вероятность ложного отказа в доступе составляет 10-2, а вероятность ложного доступа -10-9);
• простота и удобство процедуры сканирования;
• эргономичность и малый размер сканирующего устройства;
• самая низкая цена среди биометрических систем идентификации.

В связи с этим сканеры отпечатков пальцев стали наиболее используемой составной частью комбинированных СИА, применяемых для защиты компьютеров от НСД. На втором месте по распространенности на рынке компьютерной безопасности находятся СИА на базе контактных смарт-карт.

Примером такого рода интеграции служат изделия Precise 100 MC (рис. 5) и AET60 BioCARDKey (рис. 6) компаний Precise Biometrics AB и Advanced Card Systems соответственно. Чтобы получить доступ к информационным ресурсам компьютера с помощью этих средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.

Рисунок 5 — Изделие Precise 100 MC

Рисунок 6 — Изделие AET60 BioCARDKey

Изделия Precise 100 MC и AET60 BioCARDKey — это USB-устройства, работающие в среде Windows. Считыватели смарт-карт поддерживают все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3 (протоколы T=0, T=1). Дактилоскопические считыватели представляют собой сканеры емкостного типа со скоростями сканирования 4 и 14 отпечатков пальцев в секунду у Precise 100 MC и AET60 BioCARDKey соответственно.

Чтобы уменьшить число периферийных устройств, можно интегрировать дактилоскопический сканер и считыватель смарт-карт в USB-клавиатуру защищаемого компьютера. Примерами таких устройств служат изделия KBPC-CID (рис. 7) альянса Fujitsu Siemens Computers , Precise 100 SC Keyboard (рис. 8) и Precise 100 MC Keyboard компании Precise Biometrics AB.

Рисунок 7 — Изделие KBPC-CID

Рисунок 8 — Изделие Precise 100 SC Keyboard

Для доступа к информационным ресурсам компьютера, как и в предыдущем варианте, пользователю необходимо поместить смарт-карту в считыватель и к сканеру приложить палец. Представляется интересным и перспективным решение разработчиков комбинированных систем защиты объединить USB-ключ с дактилоскопической системой идентификации (далее такое устройство будем именовать USB-биоключом). Примером этого решения могут служить USB-биоключи FingerQuick (рис. 9) японской корпорации NTT Electronics и ClearedKey (рис. 10) американской компании Priva Technologies.

Рисунок 9 — USB-биоключ FingerQuick

Рисунок 10 — USB-биоключ ClearedKey

В ближайшем будущем USB-биоключи могут получить широкое распространение благодаря своим достоинствам:

• высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);
• аппаратная реализация криптографических преобразований;
• отсутствие аппаратного считывателя;
• уникальность признака, малые размеры и удобство хранения идентификаторов.

Главным недостатком USB-биоключей является их высокая цена. Например, приблизительная стоимость FingerQuick составляет $190.

Заключение

На первый взгляд комбинированные системы идентификации и аутентификации представляют собой какие-то дорогостоящие, экзотические продукты. Но мировой опыт разработок систем компьютерной безопасности показывает, что все используемые в настоящий момент средства защиты тоже когда-то были такими вот экзотическими изделиями. А сейчас они — норма безопасной жизни. Отсюда с высокой вероятностью можно утверждать, что подобная судьба ожидает и комбинированные системы.

Биометрическая идентификация - это предъявление пользователем своего уникального биометрического параметра и процесс сравнения его со всей базой имеющихся данных. Для извлечения такого рода персональных данных используются .

Биометрические системы контроля доступа удобны для пользователей тем, что носители информации находятся всегда при них, не могут быть утеряны либо украдены. считается более надежным, т.к. не могут быть переданы третьим лицам, скопированы.

Технологии биометрической идентификации

Методы биометрической идентификации:

1. Статические, основанные на физиологических признаках человека, присутствующих с ним на протяжении всей его жизни:

• Идентификация ;
• Идентификация ;
• Идентификация ;
• Идентификация по геометрии руки;
• Идентификация по термограмме лица;
• Идентификация по ДНК.
• Идентификация
• Идентификация

Динамические берут за основу поведенческие характеристики людей, а именно подсознательные движения в процессе повторения какого-либо обыденного действия: почерк, голос, походка.

• Идентификация ;
• Идентификация по рукописному почерку;
• Идентификация по клавиатурному почерку
• и другие.

Одним из приоритетных видов поведенческой биометрии - манера печатать на клавиатуре. При её определении фиксируется скорость печати, давление на клавиши, длительность нажатия на клавишу, промежутки времени между нажатиями.

Отдельным биометрическим фактором может служить манера использования мыши. Помимо этого, поведенческая биометрия охватывает большое число факторов, не связанных с компьютером, - походка, особенности того, как человек поднимается по лестнице.

Существуют также комбинированные системы идентификации, использующие несколько биометрических характеристик, что позволяет удовлетворить самые строгие требования к надежности и безопасности систем контроля доступа.

Критерии биометрической идентификации

Для определения эффективности СКУД на основе биометрической идентификации используют следующие показатели:

• - коэффициент ложного пропуска;
• FMR - вероятность, что система неверно сравнивает входной образец с несоответствующим шаблоном в базе данных;
• - коэффициент ложного отказа;
• FNMR - вероятность того, что система ошибётся в определении совпадений между входным образцом и соответствующим шаблоном из базы данных;
• График ROC - визуализация компромисса между характеристиками FAR и FRR;
• Коэффициент отказа в регистрации (FTE или FER) – коэффициент безуспешных попыток создать шаблон из входных данных (при низком качестве последних);
• Коэффициент ошибочного удержания (FTC) - вероятность того, что автоматизированная система не способна определить биометрические входные данные, когда они представлены корректно;
• Ёмкость шаблона - максимальное количество наборов данных, которые могут храниться в системе.

В России использование биометрических данных регулируются Статьей 11 Федерального закона «О персональных данных» от 27.07.2006 г.

Сравнительный анализ основных методов биометрической идентификации

Сравнение методов биометрической аутентификации с использованием математической статистики (FAR и FRR)

Главными, для оценки любой биометрической системы, являются два параметра:

FAR (False Acceptance Rate) - коэффициент ложного пропуска, т.е. процент возникновения ситуаций, когда система разрешает доступ пользователю, незарегистрированному в системе.

FRR (False Rejection Rate) - коэффициент ложного отказа, т.е. отказ в доступе настоящему пользователю системы.

Обе характеристики получают расчетным путем на основе методов математической статистики. Чем ниже эти показатели, тем точнее распознавание объекта.

Для самых популярных на сегодняшний день методов биометрической идентификации средние значения FAR и FRR выглядят следующим образом:

Но для построения эффективной системы контроля доступа недостаточно отличных показателей FAR и FRR. Например, сложно представить СКУД на основе анализа ДНК, хотя при таком методе аутентификации указанные коэффициенты стремятся к нулю. Зато растет время идентификации, увеличивается влияние человеческого фактора, неоправданно возрастает стоимость системы.

Таким образом, для качественного анализа биометрической системы контроля доступа необходимо использовать и другие данные, получить которые, порой, возможно только опытным путем.

В первую очередь, к таким данным нужно отнести возможность подделки биометрических данных для идентификации в системе и способы повышения уровня безопасности.

Во- вторых, стабильность биометрических факторов: их неизменность со временем и независимость от условий окружающей среды.

Как логичное следствие, - скорость аутентификации, возможность быстрого бесконтактного снятия биометрических данных для идентификации.

И, конечно, стоимость реализации биометрической СКУД на основе рассматриваемого метода аутентификации и доступность составляющих.

Сравнение биометрических методов по устойчивости к фальсификации данных

Фальсификация биометрических данных это в любом случае достаточно сложный процесс, зачастую требующий специальной подготовки и технического сопровождения. Но если подделать отпечаток пальца можно и в домашних условиях, то об успешной фальсификации радужной оболочки - пока не известно. А для систем биометрической аутентификации по сетчатке глаза создать подделку попросту невозможно.

Сравнение биометрических методов по возможности строгой аутентификации

Повышение уровня безопасности биометрической системы контроля доступа, как правило, достигается программно-аппаратными методами. Например, технологии «живого пальца» для отпечатков, анализ непроизвольных подрагиваний – для глаз. Для увеличения уровня безопасности биометрический метод может являться одной из составляющих многофакторной системы аутентификации.

Включение в программно-аппаратный комплекс дополнительных средств защиты обычно довольно ощутимо увеличивает его стоимость. Однако, для некоторых методов возможна строгая аутентификация на основе стандартных составляющих: использование нескольких шаблонов для идентификации пользователя (например, отпечатки нескольких пальцев).

Сравнение методов аутентификации по неизменности биометрических характеристик

Неизменность биометрической характеристики с течением времени понятие также условное: все биометрические параметры могут измениться вследствие медицинской операции или полученной травмы. Но если обычный бытовой порез, который может затруднить верификацию пользователя по отпечатку пальца, - ситуация обычная, то операция, изменяющая рисунок радужной оболочки глаза – редкость.

Сравнение по чувствительности к внешним факторам

Влияние параметров окружающей среды на эффективность работы СКУД зависит от алгоритмов и технологий работы, реализованных производителем оборудования, и может значительно отличаться даже в рамках одного биометрического метода. Ярким примером подобных различий могут послужить считыватели отпечатков пальцев, которые в целом довольно чувствительны к влиянию внешних факторов.

Если сравнивать остальные методы биометрической идентификации – самым чувствительным окажется распознавание лиц 2D: здесь критичным может стать наличие очков, шляпы, новой прически или отросшей бороды.

Системы, использующие метод аутентификации по сетчатке, требуют довольно жесткого положения глаза относительно сканера, неподвижности пользователя и фокусировки самого глаза.

Методы идентификации пользователя по рисунку вен и радужной оболочке глаза сравнительно стабильны в работе, если не пытаться использовать их в экстремальных условиях работы (например, бесконтактная аутентификация на большом расстоянии во время «грибного» дождя).

Наименее чувствительна к влиянию внешних факторов трехмерная идентификация по лицу. Единственным параметром, который может повлиять на работу подобной СКУД, является чрезмерная освещенность.

Сравнение по скорости аутентификации

Скорость аутентификации зависит от времени захвата данных, размеров шаблона и объема ресурсов, отведенных на его обработку, и основных программных алгоритмов применяемых для реализации конкретного биометрического метода.

Сравнение по возможности бесконтактной аутентификации

Бесконтактная аутентификация дает массу преимуществ использования биометрических методов в системах физической безопасности на объектах с высокими санитарно-гигиеническими требованиями (медицина, пищевая промышленность, научно-исследовательские институты и лаборатории). Кроме того, возможность идентификации удаленного объекта ускоряет процедуру проверки, что актуально для крупных СКУД с высокой поточностью. А также, бесконтактная идентификация может использоваться правоохранительными органами в служебных целях. Именно поэтому , но еще не достигли устойчивых результатов. Особенно эффективны методы, позволяющие захватывать биометрические характеристики объекта на большом расстоянии и во время движения. С распространением видеонаблюдения реализация подобного принципа работы становится все более легкой.

Сравнение биометрических методов по психологическому комфорту пользователя

Психологический комфорт пользователей – также достаточно актуальный показатель при выборе системы безопасности. Если в случае с двухмерным распознаванием лиц или радужной оболочкой – оно происходит незаметно, то сканирование сетчатки глаза – довольно неприятный процесс. А идентификация по отпечатку пальца, хоть и не приносит неприятных ощущений, может вызывать негативные ассоциации с методами криминалистической экспертизы.

Сравнение по стоимости реализации биометрических методов в СКУД

Стоимость систем контроля и учета доступа в зависимости от используемых методов биометрической идентификации крайне различается между собой. Впрочем, разница может быть ощутимой и внутри одного метода, в зависимости от назначения системы (функциональности), технологий производства, способов повышающих защиту от несанкционированного доступа и т.п.

Сравнение доступности методов биометрической идентификации в России

Идентификация как Услуга (Identification-as-a-service)

Идентификация как Услуга на рынке биометрических технологий понятие достаточно новое, но сулящее массу очевидных преимуществ: простота использования, экономия времени, безопасность, удобство, универсальность и масштабируемость – как и другие системы, базирующиеся на Облачном хранении и обработке данных.

В первую очередь, Identification-as-a-service представляет интерес для крупных проектов с широким спектром задач по безопасности, в частности, для государственных и местных правоохранительных органов, позволяя создать инновационные автоматизированные системы биометрической идентификации, которые обеспечивают идентификацию в режиме реального времени подозреваемых и преступников.

Облачная идентификация как технология будущего

Развитие биометрической идентификации идет параллельно развитию Облачных сервисов. Современные технологические решения направлены на интеграцию различных сегментов в комплексные решения, удовлетворяющие всем потребностям клиента, при чем, не только в обеспечении физической безопасности. Так что объединение Cloud-сервисов и биометрии в составе СКУД – шаг, полностью отвечающий духу времени и обращенный в перспективу.

Каковы перспективы объединения биометрических технологий с облачными сервисами?

Этот вопрос редакция сайт адресовала крупнейшему российскому системному интегратору, компании «Техносерв»:

"Начнем с того, что интеллектуальные комплексные системы безопасности, которые мы демонстрируем – и есть, собственно, один из вариантов облака. А вариант из фильма: человек один раз прошел мимо камеры и он уже занесен системы… Это будет. Со временем, с увеличением вычислительных мощностей, но будет.

Сейчас на одну идентификацию в потоке, с гарантированным с качеством, - нужно как минимум восемь компьютерных ядер: это чтобы оцифровать изображение и быстро сравнить его с базой данных. Сегодня это технически возможно, но невозможно коммерчески - такая высокая стоимость просто не сообразна. Однако, с повышением мощностей, мы придем к тому, что единую базу биоидентификации всё-таки создадут, " - отвечает Александр Абрамов, директор департамента мультимедиа и ситуационных центров компании "Техносерв".

Идентификация как Услуга Morpho Cloud

О принятии Облачных сервисов в качестве удобного и безопасного решения, говорит первое развертывание автоматизированной системы биометрической идентификации для государственных правоохранительных органов в коммерческой облачной среде, завершившееся в сентябре 2016 гола: MorphoTrak, дочерняя компания Safran Identity & Security, и Департамент полиции Альбукерке успешно развернули MorphoBIS в облаке MorphoCloud. Полицейские уже отметили значительное увеличение скорости обработки, а также возможность распознавания отпечатков значительно худшего качества.

Служба, разработанная MorphoTrak) базируется на Microsoft Azure Government и включает в себя несколько биометрические механизмов идентификации: дактилоскопическая биометрия, биометрия лица и радужной оболочки глаза. Кроме того, возможно распознавание татуировок, голоса, услуги (VSaaS).

Кибербезопасность системы отчасти гарантируется размещением на правительственном сервере уголовного правосудия Criminal Justice Information Services (CJIS), а отчасти совокупным опытом работы в области безопасности компаний Morpho и Microsoft.

"Мы разработали наше решение, чтобы помочь правоохранительным органам добиться экономии времени и увеличения эффективности. Безопасность, конечно, является ключевым элементом. Мы хотели, чтобы облачное решение отвечало бы жесткой политике безопасности правительства CJIS и нашли Microsoft идеальным партнером, чтобы обеспечить жесткий контроль над уголовными и национальными данными по безопасности, в рамках территориально-распределенной среды центров обработки данных." - говорит Франк Баррет, директор Cloud Services в MorphoTrak, LLC.

В результате Morpho Cloud является выдающимся примером аутсорсингового управления идентификацией , которая может обеспечить эффективность и экономичность улучшений в системах безопасности правоохранительных органов. Идентификация как сервис предоставляет преимущества, недоступные для большинства учреждений. Например, гео-распределенное аварийное восстановление данных, как правило, не целесообразно с точки зрения высокой стоимости проекта, и повышение уровня безопасности таким образом возможно только благодаря масштабу Microsoft Azure и Morpho Cloud.

Биометрическая аутентификация на мобильных устройствах

Аутентификация по отпечатку пальца на мобильных устройствах

Исследование Biometrics Research Group, Inc . посвящено анализу и прогнозу развития рынка биометрической аутентификации в мобильных устройствах. Исследование спонсировано ведущими производителями рынка биометрии Cognitec, VoicePIN и Applied Recognition .

Рынок мобильной биометрии в цифрах

По данным исследования объем сегмента мобильной биометрии оценивается в 9 млрд. долл. к 2018 г. и $ 45 млрд к 2020 году по всему миру. При этом использование биометрических характеристик для аутентификации будет применяться не только для разблокировки мобильных устройств, а также для организации многофакторной аутентификации и мгновенного подтверждения электронных платежей.

Развитие сегмента рынка мобильной биометрии связано с активным использованием смартфонов с предустановленными сенсорами. Отмечается, что к концу 2015 года, мобильные устройства с биометрией будут использовать не менее 650 млн человек. Число пользователей мобильных с биометрическими датчиками согласно прогнозам, будет расти на 20.1% в год и к 2020 году составит не менее 2 млрд. человек.

Материал спецпроекта "Без ключа"

Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием, например: почерк, голос или походка.

Принцип работы

Все биометрические системы работают практически по одинаковой схеме. Во-первых, система запоминает образец биометрической характеристики (это и называется процессом записи). Во время записи некоторые биометрические системы могут попросить сделать несколько образцов для того, чтобы составить наиболее точное изображение биометрической характеристики. Затем полученная информация обрабатывается и преобразовывается в математический код. Кроме того, система может попросить произвести ещё некоторые действия для того, чтобы «приписать» биометрический образец к определённому человеку. Например, персональный идентификационный номер (PIN) прикрепляется к определённому образцу, либо смарт-карта, содержащая образец, вставляется в считывающее устройство. В таком случае, снова делается образец биометрической характеристики и сравнивается с представленным образцом. Идентификация по любой биометрической системе проходит четыре стадии:

• Запись - физический или поведенческий образец запоминается системой;
• Выделение - уникальная информация выносится из образца и составляется биометрический образец;
• Сравнение - сохраненный образец сравнивается с представленным;
• Совпадение/несовпадение - система решает, совпадают ли биометрические образцы, и выносит решение.

Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности.

Статические методы идентификации

По отпечатку пальца

В основе этого метода лежит уникальность для каждого человека рисунка паппилярных узоров на пальцах. Отпечаток, полученный с помощью специального сканера, преобразуется в цифровой код (свертку), и сравнивается с ранее введенным эталоном. Данная технология является самой распространенной по сравнению с другими методами биометрической аутентификации.

По форме ладони

Данный метод построен на геометрии кисти руки. С помощью специального устройства, состоящего из камеры и нескольких подсвечивающих диодов, которые, включаясь по очереди, дают разные проекции ладони, строится трехмерный образ кисти руки, по которому формируется свертка и идентифицируется человек.

По расположению вен на лицевой стороне ладони

С помощь инфракрасной камеры считывается рисунок вен на лицевой стороне ладони или кисти руки. Полученная картинка обрабатывается и по схеме расположения вен формируется цифровая свертка.

По сетчатке глаза

Точнее это способ называется идентификация по рисунку кровеносных сосудов глазного дна. Для того чтобы этот рисунок стал виден, нужно посмотреть на удаленную световую точку, глазное дно подсвечивается и сканируется специальной камерой.

По радужной оболочке глаза

Рисунок радужной оболочки глаза также является уникальной характеристикой человека. Для ее сканирования существуют специальные портативные камеры со специализированным программным обеспечением. Опознавание происходит следующим образом. Камера захватывает изображение части лица, из которого выделяется изображение глаза. Из изображения глаза выделяется рисунок радужной оболочки, по которому, строится цифровой код для идентификации человека.

По форме лица

В данном методе идентификации строится трехмерный образ лица человека. На лице выделяются контуры бровей, глаз, носа, губ и т.д., вычисляется расстояние между ними и строится не просто образ, а еще множество его вариантов на случаи поворота лица, наклона, изменения выражения. Количество образов варьируется в зависимости от целей использования данного способа (для аутентификации, верификации, удаленного поиска на больших территориях и т.д.).

По термограмме лица

В основе данного способа идентификации лежит уникальность распределения на лице артерий, снабжающих кровью кожу, которые выделяют тепло. Для получения термограммы, используются специальные камеры инфракрасного диапазона. В отличие от идентификации по форме лица, этот метод позволяет различать близнецов.

По ДНК

Преимущества данного способы очевидны. Однако, существующие в настоящее время методы получения и обработки ДНК, занимают так много времени, что могут использоваться только для специализированных экспертиз.

Другие методы статической идентификации

Существуют и другие методы идентификации по биометрическим характеристикам человек. Здесь описаны только самые распространенные из них. Например, есть такие уникальные способы, как идентификация по подногтевому слою кожи, по объему указанных для сканирования пальцев, форме уха, запаху тела и т.д.

Динамические методы

Динамические методы биометрической аутентификации основываются на поведенческой (динамической) характеристике человека, то есть построенны на особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия.

По рукописному почерку

Как правило, для этого вида идентификации человека используется его роспись (иногда написание кодового слова). Цифровой код идентификации формируется, в зависимости от необходимой степени защиты и наличия оборудования (графический планшет, экран карманного компьютера Palm и т.д.), двух типов:

• По самой росписи (для идентификации используется просто степень совпадения двух картинок);
• По росписи и динамическим характеристикам написания (для идентификации строится свертка, в которую входит информация по росписи, временным характеристикам нанесения росписи и статистическим характеристикам динамики нажима на поверхность).

По клавиатурному почерку

Метод в целом аналогичен описанному выше, но вместо росписи используется некое кодовое слово (когда для этого используется личный пароль пользователя, такую аутентификацию называют двухфакторной) и не нужно никакого специального оборудования, кроме стандартной клавиатуры. Основной характеристикой, по которой строится свертка для идентификации, является динамика набора кодового слова.

Это одна из старейших биометрических технологий. В настоящее время ее развитие активизировалось, ей прочится большое будущее и широкое использование в построении «интеллектуальных зданий». Существует достаточно много способов построения кода идентификации по голосу, как правило, это различные сочетания частотных и статистических характеристик голоса.

Другие методы динамической идентификации

Для данной группы методов также описаны только самые распространенные методы, существуют еще такие уникальные способы - как идентификация по движению губ при воспроизведении кодового слова, по динамике поворота ключа в дверном замке и т.д.

Применение

Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности, в целях:

• Контроля доступа;
• Защиты информации;
• Идентификации клиентов.

Стандарты

BioAPI является стандартом BioAPI Consortium, разработанным специально для унификации программных интерфейсов программного обеспечения разработчиков биометрических устройств.

AAMVA Fingerprint Minutiae Format/National Standard for the Driver License/Identification Card DL/ID-2000 - американский стандарт на формат представления, хранения и передачи отпечатков пальцев для водительских прав. Совместим со спецификациями BioAPI и стандартом CBEFF.

CBEFF (Common Biometric Exchange File Format) — единый формат представления биометрических данных, который предлагается для замены биометрических форматов, используемых производителями различных сегментов рынка биометрических систем, в своем оборудовании и программном обеспечении. При создании CBEFF были учтены все возможные аспекты его применения, в том числе криптография, многофакторная биометрическая идентификация и интеграция с карточными системами идентификации.

CDSA/HRS (Human Recognition Services) - биометрический модуль в архитектуре Common Data Security Architecture, разработанной Intel Architecture Labs и одобренного консорциумом Open Group. CDSA определяет набор API, представляющих собой логически связанное множество функций, охватывающих такие компоненты защиты, как шифрование, цифровые сертификаты, различные способы аутентификации пользователей, в список которых благодаря HRS добавлена и биометрия. CDSA/HRS совместим со спецификациями BioAPI и стандартом CBEFF.

ANSI/NIST-ITL 1-2000 Fingerprint Standard Revision - американский стандарт, определяющий общий формат представления и передачи данных по отпечаткам пальцев, лицу, нательным шрамам и татуировкам для использования в правоохранительных органах США.

В России вопросы стандартизации находятся в ведении соответствующего подкомитета Национального технического комитета по стандартизации ТК 355, который с 2003 года представляет РФ в международном подкомитете по стандартизации в области биометрии ISO/IEC JTC1/SC37 “Biometrics” (ИСО/МЭК СТК 1 /ПК37 «Биометрия»).