Samenvatting: Biometrische identificatie- en authenticatiesystemen. Herkenning van handvorm

biometrische technologie op basis van biometrie, het meten van de unieke kenmerken van een individu. Het kan zijn als unieke kenmerken die hij vanaf de geboorte heeft ontvangen, bijvoorbeeld: DNA, vingerafdrukken, iris van het oog; evenals kenmerken die in de loop van de tijd zijn verworven of die kunnen veranderen met de leeftijd of externe invloed, bijvoorbeeld: handschrift, stem of gang.

Werkingsprincipe

Alle biometrische systemen werken op bijna dezelfde manier. Ten eerste onthoudt het systeem een ​​steekproef van het biometrische kenmerk (dit wordt het opnameproces genoemd). Tijdens de opname kunnen sommige biometrische systemen u vragen om meerdere monsters te nemen om het meest nauwkeurige beeld van het biometrische kenmerk samen te stellen. Vervolgens wordt de ontvangen informatie verwerkt en omgezet in wiskundige code. Daarnaast kan het systeem u vragen om nog enkele handelingen uit te voeren om een ​​biometrisch monster aan een bepaalde persoon te "toewijzen". Bijvoorbeeld persoonlijk een identificatienummer(PIN) is bevestigd aan een specifiek monster, of een smartcard met het monster wordt in de lezer gestoken. In dit geval wordt opnieuw een biometrisch monster genomen en vergeleken met het ingeleverde monster. Identificatie door een biometrisch systeem doorloopt vier fasen:

• Record - een fysiek of gedragspatroon wordt door het systeem onthouden;
• Toewijzing - unieke informatie wordt uit het monster verwijderd en er wordt een biometrisch monster samengesteld;
• Vergelijk - het opgeslagen monster wordt vergeleken met het gepresenteerde;
• Match / mismatch - Het systeem beslist of de biometrische monsters overeenkomen en neemt een beslissing.

De overgrote meerderheid van de mensen gelooft dat een monster van een vingerafdruk, de stem van een persoon of een foto van hun iris is opgeslagen in het geheugen van de computer. Maar in de meeste moderne systemen is dit niet het geval. Een speciale database slaat een digitale code op tot 1000 bits lang, die is gekoppeld aan: een specifieke persoon geautoriseerd om toegang te krijgen. Een scanner of een ander apparaat dat in het systeem wordt gebruikt, leest een specifieke biologische parameter van een persoon. Vervolgens verwerkt hij het resulterende beeld of geluid en zet het om in een digitale code. Het is deze sleutel die wordt vergeleken met de inhoud. speciale basis persoonlijke identificatiegegevens.

Statische identificatiemethoden

Vingerafdruk

Deze methode is gebaseerd op het unieke karakter van het tekenen van papillaire patronen op de vingers voor elke persoon. De afdruk, verkregen met behulp van een speciale scanner, wordt omgezet in een digitale code (convolutie) en vergeleken met de eerder ingevoerde standaard. Deze technologie is het meest wijdverbreid in vergelijking met andere methoden. biometrische authenticatie.

Palmvorm

Deze methode is gebaseerd op de geometrie van de hand. Via speciaal apparaat bestaande uit een camera en verschillende verlichtingsdiodes, die beurtelings aangaan, verschillende projectie van de handpalm, wordt een driedimensionaal beeld van de hand gebouwd, volgens welke een winding wordt gevormd en een persoon wordt geïdentificeerd.

Door de locatie van de aderen op het gezicht van de handpalm

Met behulp van een infraroodcamera wordt een aderpatroon op de handpalm of hand afgelezen. Het resulterende beeld wordt verwerkt en een digitale convolutie wordt gevormd volgens de opstelling van de aderen.

Op het netvlies van het oog

Om precies te zijn, deze methode wordt de identificatie van fundusbloedvaten genoemd. Om deze foto zichtbaar te maken, moet je naar een ver lichtpunt kijken, de fundus wordt verlicht en gescand met een speciale camera.

Op de iris van het oog

Het irispatroon is ook een uniek menselijk kenmerk. Om het te scannen zijn er speciale draagbare camera's met gespecialiseerde software. De identificatie vindt als volgt plaats. De camera legt een beeld vast van het deel van het gezicht waaruit het oogbeeld opvalt. Een tekening van de iris wordt gemarkeerd vanuit het beeld van het oog, volgens welke een digitale code is gebouwd om een ​​persoon te identificeren.

Op gezichtsvorm

Deze identificatiemethode bouwt een driedimensionaal beeld van het gezicht van een persoon. De contouren van de wenkbrauwen, ogen, neus, lippen, enz. worden gemarkeerd op het gezicht, de afstand ertussen wordt berekend en niet alleen een afbeelding wordt gebouwd, maar ook veel van zijn opties voor gevallen van gezichtsrotatie, kanteling, verandering van uitdrukking. Het aantal afbeeldingen varieert afhankelijk van het doel van het gebruik van deze methode (voor authenticatie, verificatie, zoeken op afstand in grote gebieden, enz.).

Gezichtsthermogram

Deze identificatiemethode is gebaseerd op de unieke verdeling van de slagaders in het gezicht die de huid van bloed voorzien en die warmte genereren. Voor het verkrijgen van een thermogram worden speciale infraroodcamera's gebruikt. In tegenstelling tot identificatie op gezichtsvorm, kunt u met deze methode onderscheid maken tussen tweelingen .

door DNA

De voordelen van deze methode zijn duidelijk. De momenteel bestaande methoden voor het verkrijgen en verwerken van DNA zijn echter zo tijdrovend dat ze alleen voor gespecialiseerde onderzoeken kunnen worden gebruikt.

Andere statische identificatiemethoden

Er zijn andere identificatiemethoden op basis van biometrische kenmerken van een persoon. Alleen de meest voorkomende worden hier beschreven. Er zijn bijvoorbeeld unieke methoden zoals identificatie door de subunguale laag van de huid, door het volume van de vingers gespecificeerd voor het scannen, de vorm van het oor, lichaamsgeur, enz.

Dynamische methoden

Dynamische methoden voor biometrische authenticatie zijn gebaseerd op de (dynamische) gedragskenmerken van een persoon, dat wil zeggen dat ze zijn gebaseerd op de kenmerken die kenmerkend zijn voor onbewuste bewegingen in het proces van het reproduceren van een actie.

door handschrift

In de regel wordt voor dit type identificatie van een persoon zijn schilderij gebruikt (soms de spelling van een codewoord). Er wordt een digitale identificatiecode gegenereerd, afhankelijk van de vereiste mate van bescherming en de beschikbaarheid van apparatuur (grafisch tablet, scherm zakcomputer Palm, enz.), van twee soorten:

• Door het schilderij zelf (ter identificatie wordt simpelweg de mate van samenvallen van de twee afbeeldingen gebruikt);
• Door te schilderen en dynamische kenmerken van het schrift (ter identificatie wordt een convolutie opgebouwd, die informatie bevat over schilderen, tijdkenmerken van schilderen en statistische kenmerken van de dynamiek van druk op het oppervlak).

Door toetsenbordhandschrift

De methode is over het algemeen gelijk aan die hierboven beschreven, maar in plaats van te schrijven wordt een bepaald codewoord gebruikt (wanneer het persoonlijke wachtwoord van de gebruiker hiervoor wordt gebruikt, wordt dergelijke authenticatie tweefactor genoemd) en is er geen speciale apparatuur nodig, behalve een standaard toetsenbord. Het belangrijkste kenmerk dat wordt gebruikt om de convolutie voor identificatie te construeren, is de dynamiek van de verzameling van het codewoord.

Het is een van de oudste biometrische technologieën. Op dit moment is de ontwikkeling ervan geïntensiveerd, een grote toekomst en wijdverbreid gebruik bij de constructie van "slimme gebouwen" is voorzien. Er zijn veel manieren om een ​​spraakidentificatiecode te construeren, in de regel zijn dit: verschillende combinaties frequentie en statistische kenmerken stemmen.

Andere dynamische identificatiemethoden

Voor deze groep methoden worden ook alleen de meest gebruikelijke methoden beschreven, er zijn ook dergelijke unieke methoden - zoals identificatie door lipbeweging bij het spelen van een codewoord, door de dynamiek van het draaien van een sleutel in een deurslot, enz.

Sollicitatie

Biometrische technologieën worden actief gebruikt op veel gebieden die verband houden met het waarborgen van de veiligheid van toegang tot informatie en materiële objecten, evenals bij de taken van unieke identificatie van een persoon, om:

• Toegangscontrole;
• Informatiebescherming;
• Identificatie van de klant.

normen

Bio-API is een BioAPI Consortium-standaard die speciaal is ontworpen om te verenigen: software-interfaces softwareontwikkelaars van biometrische apparaten.

AAMVA Fingerprint Minutiae Format / Nationale norm voor het rijbewijs / identificatiekaart DL / ID-2000- Amerikaanse standaard voor het formaat van presentatie, opslag en verzending van vingerafdrukken voor rijbewijs... Voldoet aan de BioAPI-specificaties en de CBEFF-standaard.

CBEFF (Common Biometric Exchange File Format) — uniform formaat presentatie van biometrische gegevens, die wordt voorgesteld ter vervanging van de biometrische formaten die worden gebruikt door fabrikanten van verschillende segmenten van de markt voor biometrische systemen in hun hardware en software. Bij het creëren van CBEFF werd rekening gehouden met alle mogelijke aspecten van de toepassing ervan, waaronder cryptografie, biometrische identificatie met meerdere factoren en integratie met kaartidentificatiesystemen.

CDSA / HRS (diensten voor menselijke herkenning) is een biometrische module in de Common Data Security Architecture, ontwikkeld door Intel Architecture Labs en goedgekeurd door het Open Group-consortium. CDSA definieert een reeks API's, die een samenhangende reeks functies zijn die beveiligingscomponenten zoals codering, digitale certificaten, verschillende gebruikersauthenticatiemethoden en biometrie omvatten die dankzij HRS aan de lijst zijn toegevoegd. CDSA / HRS voldoet aan de BioAPI-specificaties en de CBEFF-standaard.

ANSI / NIST-ITL 1-2000 Vingerafdruk Standaard Revisie is een Amerikaanse norm die een algemeen formaat definieert voor de presentatie en verzending van gegevens over vingerafdrukken, gezicht, lichaamslittekens en tatoeages voor gebruik door Amerikaanse wetshandhavingsinstanties.

In Rusland vallen normalisatiekwesties onder de jurisdictie van de relevante subcommissie van de Nationale Technische Commissie voor Standaardisatie TK 355, die sinds 2003 de Russische Federatie vertegenwoordigt in de internationale subcommissie voor standaardisatie op het gebied van biometrie. ISO / IEC JTC1 / SC37"Biometrische gegevens" (ISO / IEC STK 1 / PK37 "Biometrie").

één systeem identificatie en authenticatie ( ESIA) is een informatiesysteem in de Russische Federatie dat geautoriseerde toegang biedt aan deelnemers aan informatie-interactie (burgers-aanvragers en functionarissen van uitvoerende autoriteiten) tot informatie die is opgenomen in de staat informatie Systemen ah en andere informatiesystemen.

ESЍA is een wachtwoord voor alle gelegenheden.

Wat is ESЍA?

ESЍA is het Unified Identification and Authentication System. Eén wachtwoord voor toegang tot alle overheidswebsites.

Waarom is ESIA nodig?

Met het ESIA-wachtwoord hoeft u zich niet elke keer op elke staatswebsite te registreren.

ESIA is een wachtwoord voor alle gelegenheden. Dankzij hem kunt u direct vanuit huis via internet:

Maak een afspraak met een arts via internet

Meer informatie over uw verkeersboetes

Huwelijksregistratie aanvragen

· Betalen voor het "gemeenschappelijke appartement"

Registreer een auto

Zwangerschapsuitkering aanvragen

· Meld een stadsprobleem en krijg binnen 10 dagen een oplossing

En vele andere services en services via één enkele referentie!

Hoe worden persoonsgegevens beschermd? Wie heeft er toegang toe?

Alleen de eigenaar van het wachtwoord heeft toegang tot persoonlijke gegevens.

Gegevens worden uitsluitend verzonden via beveiligde kanalen met het hoogste coderingsniveau

· systeem informatiebeveiliging voldoen aan de hoogste standaard van gegevensbescherming K1

Alle informatie wordt opgeslagen op beveiligde overheidsservers

Wat heeft u nodig om een ​​ESIA te registreren?

1. Paspoort en SNILS - om de identiteit te bevestigen,

2. Mobiel nummer - om de registratie te bevestigen.

Hoe kom ik aan een wachtwoord?

1. Ga naar de registratiepagina, voer uw achternaam, naam en telefoonnummer in. Klik vervolgens op de knop "Registreren"

2. Er wordt een bevestigingscode naar uw telefoon gestuurd. Voer het in en klik op de knop "Bevestigen"

3. Stel uw wachtwoord in en klik op de knop "Opslaan"

4. Log in op ESIA met uw telefoonnummer en wachtwoord.

5. Vul je persoonlijke gegevens in (vergeet niet je tweede naam te vermelden) en wacht binnen vijf minuten op bevestiging!

Wat betekenen "Geverifieerde" en "Niet-geverifieerde" accounts?

· onbevestigd wachtwoord geeft beperkte opties zoals toegang tot informatie diensten bijvoorbeeld het bekijken van schulden en boetes.

· Met met een geverifieerd wachtwoord u kunt een van de 119 elektronische diensten krijgen die beschikbaar zijn op federale en regionale portalen van openbare diensten en alle beschikbare diensten zonder beperkingen gebruiken.

In deze sectie worden enkele technische maatregelen besproken om de beveiliging van systemen te verbeteren. De keuze van de overwogen maatregelen is te wijten aan de mogelijkheid van implementatie door de ingebouwde middelen van de besturingssystemen van de Microsoft Windows-familie. Dienovereenkomstig kan het beschermingsniveau worden verhoogd zonder extra kosten voor gespecialiseerde beschermingsmiddelen.

In het theoretische deel van de cursus zullen methoden worden gebruikt die ten grondslag liggen aan de bijbehorende tools en mechanismen. De labs onderzoeken specifieke instellingen voor besturingssystemen.

De problemen die aan de orde zijn, kunnen in twee groepen worden verdeeld:

• problemen met betrekking tot identificatie en authenticatie gebruikers;
• bescherming van verzonden berichten.

Identificatie en authenticatie

Identificatie- toekenning aan gebruikers van identifiers (unieke namen of labels) waaronder het systeem de gebruiker "kent". Naast gebruikersidentificatie kan identificatie van gebruikersgroepen, IS-bronnen, enz. worden uitgevoerd. Identificatie is ook nodig voor andere systeemtaken, zoals het loggen van gebeurtenissen. In de meeste gevallen gaat identificatie gepaard met authenticatie. authenticatie- authenticatie - verificatie van de identiteit van de gebruiker met de aan hem gepresenteerde identifier. Aan het begin van een sessie in de IS voert de gebruiker bijvoorbeeld een naam en wachtwoord in. Op basis van deze gegevens voert het systeem identificatie (op gebruikersnaam) en authenticatie (matching .) uit gebruikersnaam en ingevoerd wachtwoord).

Het identificatie- en authenticatiesysteem is een van de belangrijkste elementen van de infrastructuur voor bescherming tegen ongeoorloofde toegang (NSD) van elk informatiesysteem. In overeenstemming met het eerder besproken meerlaagse beveiligingsmodel, verwijst authenticatie van computergebruikers naar de hostbeveiligingslaag.

Meestal zijn er 3 groepen authenticatiemethoden.

1. Authenticatie door de aanwezigheid van een uniek object van een bepaald type door de gebruiker. Deze klasse van authenticatiemethoden wordt in het Engels soms aangeduid als "I have". Een voorbeeld is authenticatie met smartcards of USB-dongles.
2. Authenticatie gebaseerd op het feit dat de gebruiker vertrouwelijke informatie kent - "Ik weet het". Bijvoorbeeld wachtwoordverificatie. Wachtwoordsystemen worden verderop in dit gedeelte in meer detail besproken.
3. Gebruikersauthenticatie door zijn eigen unieke kenmerken - "Ik ben" ("Ik ben"). Deze methoden worden ook wel biometrisch genoemd.

Gecombineerde authenticatieschema's worden vaak gebruikt die methoden uit verschillende klassen combineren. Bijvoorbeeld twee-factor-authenticatie - een gebruiker presenteert een smartcard aan het systeem en voert een pincode in om deze te activeren.

De meest voorkomende op dit moment zijn wachtwoord authenticatiesystemen... De gebruiker heeft een ID en een wachtwoord, d.w.z. geheime informatie die alleen bekend is bij de gebruiker (en mogelijk het systeem), die wordt gebruikt om authenticatie door te geven.

Afhankelijk van de implementatie van het systeem kan het wachtwoord eenmalig of herbruikbaar zijn. Besturingssystemen verifiëren doorgaans met herbruikbare wachtwoorden. De set van identifier, wachtwoord en, mogelijk, aanvullende informatie die dient om de gebruiker te beschrijven make-up gebruikers account.

Als een indringer het wachtwoord van een legale gebruiker heeft geleerd, kan hij bijvoorbeeld inloggen op het systeem onder zijn account en toegang krijgen tot vertrouwelijke gegevens. Daarom moet speciale aandacht worden besteed aan de beveiliging van wachtwoorden.

Zoals opgemerkt in de herziening van ISO 17799, wordt aanbevolen dat gebruikers van het systeem een ​​vertrouwelijkheidsdocument voor wachtwoorden ondertekenen. Maar een indringer kan ook proberen het wachtwoord te raden, te raden, te onderscheppen, enz. Laten we eens kijken naar enkele aanbevelingen voor het beheren van een wachtwoordsysteem om de kans te verkleinen dat dergelijke bedreigingen worden geïmplementeerd.

1. Instellen van de minimale lengte van wachtwoorden die in het systeem worden gebruikt. Dit maakt brute-force aanvallen moeilijker. In de regel wordt aanbevolen om de minimale lengte in te stellen op 6-8 tekens.
2. De vereiste instellen om verschillende groepen tekens in het wachtwoord te gebruiken - hoofdletters en kleine letters, cijfers, speciale tekens. Het bemoeilijkt ook de selectie.
3. Periodieke controle beveiligingsbeheerders de kwaliteit van de wachtwoorden die worden gebruikt door aanvallen te simuleren, zoals het raden van wachtwoorden "met behulp van een woordenboek" (dwz controleren op het gebruik van natuurlijke taalwoorden en eenvoudige combinaties van tekens zoals "1234" als wachtwoord).
4. De maximale en minimale levensduur van het wachtwoord instellen, met behulp van het mechanisme voor gedwongen wijziging van oude wachtwoorden.
5. Beperking van het aantal mislukte pogingen om een ​​wachtwoord in te voeren (blokkering van het account na een bepaald aantal mislukte pogingen om in te loggen op het systeem).
6. Logging van wachtwoordgeschiedenis zodat gebruikers, na een geforceerde wachtwoordwijziging, niet opnieuw een oud, mogelijk gecompromitteerd wachtwoord kunnen kiezen.

Met moderne besturingssystemen van de Windows-familie kunt u installaties maken die automatisch de vervulling van vereisten 1, 2, 4-6 regelen. Bij gebruik van een Windows-domein kunnen deze vereisten worden uitgebreid naar alle computers in het domein en zo de veiligheid van het hele netwerk verhogen.

Maar met de introductie van nieuwe beschermingsmechanismen kunnen ongewenste gevolgen optreden. De vereisten voor de "complexiteit" van wachtwoorden kunnen bijvoorbeeld verwarrend zijn voor een onervaren gebruiker. V in dit geval het zal nodig zijn om uit te leggen dat vanuit het oogpunt van de operationele Windows-systemen een sterk wachtwoord bevat 3 of 4 groepen tekens (grote letters, kleine letters, cijfers, servicetekens). Evenzo moeten gebruikers erop voorbereid zijn om accountvergrendeling te implementeren na meerdere mislukte wachtwoordpogingen. Het is nodig om gebruikers uit te leggen wat er gebeurt, en de blokkeringsregels zelf moeten goed doordacht zijn. Als er bijvoorbeeld een grote kans is dat de gebruiker zijn toegang blokkeert tijdens de afwezigheid van de beheerder, is het beter om de blokkering niet permanent in te stellen, maar voor een bepaalde periode (30 minuten, een uur, enz.).

Dit leidt ertoe dat er beleid moet worden ontwikkeld wachtwoordbeheer, begeleidende documenten, en vervolgens werd de implementatie uitgevoerd.

Als u een besturingssysteem uit de Windows-familie gebruikt, kunt u accounts met zwakke of ontbrekende wachtwoorden identificeren, bijvoorbeeld met het hulpprogramma Microsoft Baseline Security Analyzer. Het stelt u ook in staat om andere administratieve fouten te identificeren. Lab #3 is gewijd aan het gebruik van dit hulpprogramma en het configureren van een wachtwoordbeleid.

Kerberos is halverwege de jaren tachtig ontwikkeld aan het Massachusetts Institute of Technology en is nu de de facto standaard voor gecentraliseerde authenticatie en sleuteldistributie symmetrische encryptie... Ondersteund door besturingssystemen van de Unix-familie, Windows (vanaf Windows "2000), zijn er implementaties voor Mac OS.

Op Windows-netwerken (beginnend met Windows "2000 Serv.) wordt Kerberos v.5 (RFC 1510)-verificatie geïmplementeerd op domeinniveau. Kerberos is het belangrijkste verificatieprotocol in het domein, maar voor achterwaartse compatibiliteit wordt ook NTLM ondersteund. . ..

Laten we, voordat we bekijken hoe Kerberos werkt, eens kijken waarom het oorspronkelijk is ontwikkeld. gecentraliseerd sleuteldistributie symmetrische codering houdt in dat elke abonnee van het netwerk slechts één hoofdsleutel heeft, die wordt gebruikt om te communiceren met belangrijk distributiecentrum(sleutelserver). Om een ​​coderingssleutel te verkrijgen om gegevensuitwisseling met een andere abonnee te beschermen, neemt de gebruiker contact op met de sleutelserver, die deze gebruiker en de overeenkomstige abonnee een sessie toewijst symmetrische sleutel.

Kerberos biedt: sleuteldistributie symmetrische encryptie en authenticatie van gebruikers die werken in onveilig netwerk... De Kerberos-implementatie is: software systeem, gebouwd op de "client-server"-architectuur. Het clientgedeelte wordt geïnstalleerd op alle computers van het beveiligde netwerk, behalve die waarop de Kerberos-servercomponenten zijn geïnstalleerd. De rol van Kerberos-klanten kan in het bijzonder zijn, en netwerkservers (bestandsservers, printservers, enz.).

De serverkant van Kerberos heet belangrijk distributiecentrum(English Key Distribution Center, afgekort KDC) en bestaat uit twee componenten:

• Authenticatieserver (AS);
• server voor het uitgeven van vergunningen (Engelse Ticket Granting Server, afgekort TGS).

De Kerberos-server wijst een symmetrische coderingssleutel toe die wordt gedeeld met elk onderwerp op het netwerk en onderhoudt een database van de onderwerpen en hun privésleutels. Een diagram van de werking van het Kerberos-protocol wordt getoond in Fig. 5.1.

Rijst. 5.1.

Laten we zeggen dat client C gaat communiceren met de SS-server (Service Server). In enigszins vereenvoudigde vorm omvat het protocol de volgende stappen [,]:

1. C-> AS: (c).

   Client C stuurt zijn identifier c naar de authenticatieserver AS (de identifier wordt verzonden in leesbare tekst).

2. AS-> C: ((TGT) K AS_TGS, K C_TGS) K C,
   • K C - hoofdsleutel C;
   • K C_TGS - de sleutel uitgegeven door C om toegang te krijgen tot de autorisatieserver TGS ;
   • (TGT) - Ticket Granting Ticket - ticket voor toegang tot de verlenende server

   (TGT) = (c, tgs, t 1, p 1, K C_TGS), waar tgs is de identificatie van de server die de vergunning afgeeft, t 1 is de tijdstempel, p 1 is de geldigheidsperiode van het ticket.

   Bij deze stap stuurt de authenticatieserver AS, na te hebben geverifieerd dat de cliënt C zich in zijn database bevindt, hem een ​​ticket terug voor toegang tot de autorisatieserver en een sleutel voor communicatie met de autorisatieserver. Het hele pakket is versleuteld op de sleutel C van de klant. Dus zelfs als bij de eerste stap van interactie de identificator c niet door de cliënt C, maar door de indringer X werd verzonden, dan zal het bericht X ontvangen van de AS niet in staat zijn om te ontsleutelen.

   Niet alleen de indringer, maar ook de klant C kan geen toegang krijgen tot de inhoud van het TGT-ticket, omdat het ticket is versleuteld op een sleutel die wordt gedeeld door de authenticatieserver en de autorisatieserver.

3. C-> TGS: (TGT) K AS_TGS, (Aut 1) K C_TGS, (ID)

   waarbij (Aut 1) - authenticatieblok - Aut 1 = (s, t 2), t 2 - tijdstempel; ID - de identifier van de gevraagde service (het kan met name de identifier van de SS-server zijn).

   Client C maakt dit keer contact met de TGS-autorisatieserver. Het stuurt het van de AS ontvangen ticket door, gecodeerd op de sleutel K AS_TGS, en een authenticatieblok met de identifier c en een tijdstempel dat aangeeft wanneer het pakket is gevormd.De autorisatieserver decodeert het TGT-ticket en ontvangt informatie van wie het ticket is is uitgegeven aan. wanneer en voor hoe lang, een encryptiesleutel gegenereerd door AS voor communicatie tussen client C en server TGS... Met deze sleutel wordt het authenticatieblok ontsleuteld. Als het label in het blok overeenkomt met het label in het ticket, bewijst dit dat het pakket daadwerkelijk door C is gegenereerd (hij kende immers de sleutel K C_TGS en kon zijn identifier correct coderen). Vervolgens wordt de geldigheidsduur van het ticket en het tijdstip van vertrek van het pakket gecontroleerd. 3 ). Als de controle slaagt en het beleid dat in het systeem van kracht is, cliënt C toestaat contact op te nemen met cliënt SS, dan is de stap: 4 ).

4. TGS -> C: ((TGS) K TGS_SS, K C_SS) K C_TGS,

   waarbij K C_SS een sleutel is voor interactie tussen C en SS, ( TGS)- Ticket Granting Service - een ticket voor toegang tot SS (merk op dat dezelfde afkorting in de beschrijving van het protocol de autorisatieserver aangeeft). ( TGS) = (s, ss, t 3, p 2, K C_SS).

   De autorisatieserver is nu TGS stuurt client C de coderingssleutel en het ticket die nodig zijn om toegang te krijgen tot SS. De structuur van het ticket is hetzelfde als in stap 2): de identifier van de persoon aan wie het ticket is uitgegeven; de identificator van de persoon voor wie het ticket is uitgegeven; tijdstempel; Geldigheid ; encryptie sleutel.

5. C-> SS :( TGS) K TGS_SS, (Aut 2) K C_SS

   waarbij Aut 2 = (c, t 4).

   Client C stuurt het van de credentialserver ontvangen ticket en zijn authenticatieblok naar de SS waarmee hij een beveiligde communicatiesessie tot stand wil brengen. Er wordt aangenomen dat SS al in het systeem is geregistreerd en met de server is gedistribueerd TGS encryptiesleutel K TGS_SS. Met deze sleutel kan hij het ticket decoderen, de coderingssleutel K C_SS krijgen en de authenticiteit verifiëren de afzender van het bericht.

6. SS-> C: (t 4 +1) K C_SS

   Het punt van de laatste stap is dat SS nu zijn authenticiteit moet bewijzen aan C. Hij kan dit doen door aan te tonen dat hij het vorige bericht correct heeft gedecodeerd. Daarom neemt SS het tijdstempel van authenticatieblok C, wijzigt het op een vooraf bepaalde manier (verhoogt met 1), versleutelt het op de C_SS-sleutel K en retourneert C. Het netwerk is logisch verdeeld in Kerberos-serverbereiken. Een Kerberos-realm is een gebied van een netwerk waarvan de gebruikers en servers zijn geregistreerd in de database van één Kerberos-server (of in één database die door meerdere servers wordt gedeeld). Eén gebied kan een segment van een lokaal netwerk bestrijken, het hele lokale netwerk, of meerdere gerelateerde lokale netwerken... Het diagram van interactie tussen Kerberos-rijken wordt getoond in Fig. 5.2.

   Voor interactie tussen realms moet wederzijdse registratie van Kerberos-servers worden uitgevoerd, waarbij de autorisatieserver van een realm wordt geregistreerd als een client in een andere realm (dwz hij wordt ingevoerd in de basis van de authenticatieserver en deelt de sleutel ermee) .

   Na het maken van onderlinge afspraken kan de cliënt uit gebied 1 (laat het K 11 zijn) een sessie aangaan met de cliënt uit gebied 2 (bijvoorbeeld K 21). Om dit te doen, moet K 11 een ticket van zijn autorisatieserver verkrijgen om toegang te krijgen tot de Kerberos-server met wiens client hij wil communiceren (dat wil zeggen, de Kerberos-server KDC2). Op het ontvangen ticket staat een aantekening van de regio waarin de tickethouder is ingeschreven. Het ticket is versleuteld met een sleutel die wordt gedeeld tussen de KDC1- en KDC2-servers. Na succesvolle decodering van het ticket, kan de externe Kerberos-server er zeker van zijn dat het ticket is uitgegeven aan de client van de Kerberos-realm van waaruit de vertrouwensrelatie... Dan werkt het protocol zoals gewoonlijk.

   de sleutel, maar zorgden ook voor de authenticiteit van elkaar, met andere woorden, ze authenticeerden elkaar.

   Wat betreft de implementatie van het Kerberos-protocol in Windows, moet het volgende worden opgemerkt.

   1. De sleutel van de gebruiker wordt gegenereerd op basis van zijn wachtwoord. Dus bij het gebruik van zwakke wachtwoorden zal het effect van sterke bescherming van het authenticatieproces tot nul worden gereduceerd.
   2. Domeincontrollers fungeren als Kerberos-servers, die elk de Kerberos Key Distribution Center-service (KDC) moeten uitvoeren. De Active Directory-directoryservice neemt de rol van de opslagplaats voor gebruikers- en wachtwoordinformatie over. De sleutel die wordt gedeeld tussen de authenticatieserver en de autorisatieserver wordt gegenereerd op basis van het serviceaccountwachtwoord krbtgt- dit record wordt automatisch aangemaakt bij het organiseren van een domein en is altijd vergrendeld.
   3. Microsoft gebruikt de Kerberos-extensie in zijn besturingssysteem om cryptografie met openbare sleutels te gebruiken. Dit maakt registratie in het domein mogelijk en het gebruik van smartcards die belangrijke informatie opslaan en digitaal gebruikerscertificaat.
   4. Het gebruik van Kerberos vereist het synchroniseren van de interne klokken van computers in het Windows-domein.

   Om het beveiligingsniveau van het gebruikersauthenticatieproces te verhogen, wordt aanbevolen om het gebruik van het minder betrouwbare NTLM-protocol uit te schakelen en alleen Kerberos te laten staan ​​(als het gebruik van NTLM niet vereist is door verouderde clientbesturingssystemen).

Een van de belangrijkste beschermingsmethoden voor het handhaven van vertrouwelijkheid is toegangscontrole. Bijna sinds de oprichting van de eerste besturingssystemen voor meerdere gebruikers, zijn wachtwoorden gebruikt om de toegang te beperken. Laten we de geschiedenis onthouden.

Windows 95/98-besturingssystemen hebben het wachtwoord opgeslagen in een PWL-bestand (meestal USERNAME.PWL) in de Windows-directory. Er moet echter worden opgemerkt dat hoewel de inhoud van het PWL-bestand gecodeerd was, het vrij eenvoudig was om er wachtwoorden uit te halen. Het eerste coderingsalgoritme in Windows 95 maakte het mogelijk om programma's te maken om PWL-bestanden te decoderen. In Windows 95 OSR2 is deze fout echter gecorrigeerd. Het wachtwoordbeveiligingssysteem van OSR2 bevatte echter verschillende ernstige gebreken, namelijk:

• alle wachtwoorden zijn geconverteerd naar hoofdletters, waardoor het aantal mogelijke wachtwoorden;
• De MD5- en RC4-algoritmen die voor codering werden gebruikt, maakten een snellere wachtwoordcodering mogelijk, maar een geldig Windows-wachtwoord moest ten minste negen tekens lang zijn.
• het wachtwoordcachingsysteem was in wezen onbetrouwbaar. Het wachtwoord kon alleen worden opgeslagen als geen van de medewerkers zonder de juiste toestemming toegang tot uw computer had.

Huidige besturingssystemen (Windows XP / 2000/2003) gebruiken meer dan betrouwbare bescherming wachtwoord authenticatie methode. Maar tegelijkertijd is het noodzakelijk om uit te voeren de volgende aanbevelingen: Microsoft:

• het wachtwoord moet minimaal acht tekens lang zijn;
• het wachtwoord moet grote en kleine letters, cijfers en speciale tekens bevatten;
• het wachtwoord mag maximaal 42 dagen geldig zijn;
• wachtwoorden mogen niet worden herhaald.

In de toekomst zullen deze eisen alleen maar strenger worden. Waar zal dit toe leiden, of liever, helaas, heeft het al geleid? Hoe complexer de wachtwoorden, hoe meer applicaties een wachtwoord nodig hebben, hoe groter de kans dat gebruikers voor alle applicaties, ook voor authenticatie in het OS, hetzelfde wachtwoord zullen gebruiken, bovendien op papier. Is dit goed of slecht? Is het acceptabel?

Enerzijds is het duidelijk onaanvaardbaar, aangezien het risico op wachtwoordcompromis sterk toeneemt, anderzijds is een te complex wachtwoord (zoals PqSh * 98+) moeilijk in gedachten te houden. Gebruikers zullen uiteraard ofwel een eenvoudig wachtwoord kiezen, of constant een complex wachtwoord vergeten en de beheerder afleiden van belangrijkere dingen. Onderzoek van Gartner toont aan dat 10 tot 30% van de technische ondersteuningsgesprekken in bedrijven verzoeken van werknemers zijn om vergeten wachtwoorden op te halen.

Volgens IDC, elk vergeten wachtwoord kost de organisatie $ 10-25. Tel daarbij de noodzaak om het voortdurend te veranderen en de eis dat wachtwoorden niet herhaalbaar zijn. Wat te doen? Wat is de uitweg?

In feite zijn er tegenwoordig verschillende opties om dit moeilijke probleem op te lossen.

Eerste optie. Op een opvallende plek in de kamer (aan de muur, op tafel) hangt een poster met de slogan. Daarna is het wachtwoord een tekst die bijvoorbeeld elk derde teken van de slogan bevat, inclusief spaties en leestekens. Zonder het algoritme voor het selecteren van tekens te kennen, is het nogal moeilijk om zo'n wachtwoord te vinden.

Tweede optie. Een willekeurige reeks letters, cijfers en speciale tekens... Waarin opgegeven wachtwoord Afgedrukt op dot matrix printer op speciale enveloppen die niet kunnen worden geopend zonder hun integriteit te schenden. Een voorbeeld van zo'n envelop is een pincode envelop voor een betaalkaart. Deze enveloppen worden bewaard in de kluis van de unitmanager of in de informatiekluis. De enige moeilijkheid met deze methode is de noodzaak om het wachtwoord onmiddellijk te wijzigen onmiddellijk na het openen van de envelop en het maken van een andere soortgelijke envelop met een nieuw wachtwoord, evenals het organiseren van de envelopboekhouding. Als je echter kijkt naar de tijdwinst voor netwerk- en applicatiebeheerders, is deze vergoeding niet overdreven.

De derde optie:- gebruik van multi-factor authenticatie op basis van de nieuwste technologieën authenticatie. Laten we als voorbeeld tweefactorauthenticatie nemen. Het belangrijkste voordeel van een dergelijke authenticatie is de aanwezigheid van een fysieke sleutel en een pincode, die extra weerstand biedt tegen hacking. Het verlies van een hardwaresleutel brengt immers geen aantasting van het wachtwoord met zich mee, aangezien u naast de sleutel voor toegang tot het systeem ook een pincode voor de sleutel nodig heeft.

Los daarvan is het de moeite waard om systemen te overwegen die eenmalige wachtwoorden gebruiken, die steeds vaker voorkomen in verband met: uitgebreide ontwikkeling Internettechnologieën en biometrische authenticatiesystemen.

Momenteel is de belangrijkste manier om informatie te beschermen tegen ongeautoriseerde toegang (NSD) de introductie van de zogenaamde AAA (authenticatie, autorisatie, boekhouding - authenticatie, autorisatie, gebruikersrechtenbeheer). Bij gebruik van deze technologie krijgt de gebruiker pas toegang tot de computer nadat hij de identificatie- en authenticatieprocedures met succes heeft doorlopen.

Het is de moeite waard om te overwegen dat het AAA-segment voortdurend groeit op de wereldwijde markt voor IT-services. Deze trend wordt benadrukt in onderzoeksrapporten van IDC, Gartner en andere adviesbureaus. Dezelfde conclusie kan worden getrokken door het jaarlijkse onderzoek naar computercriminaliteit door het Amerikaanse Institute of Computer Security en de FBI voor 2005 zorgvuldig te bekijken (Fig. 1).

Rijst. 1. Gegevens over het verliesvolume van verschillende soorten aanvallen voor 2005, USD
Het totale verliesvolume in 2005 bedroeg USD 130 104 542.
Aantal reagerende ondernemingen (VS) - 700

Zoals u kunt zien in het diagram, diefstalschade vertrouwelijke informatie aanzienlijk toegenomen. Dat wil zeggen dat elk van de ondervraagde bedrijven gemiddeld meer dan $ 350.000 verloor door diefstal van vertrouwelijke informatie. Dit onderzoek bevestigt trends die zich de afgelopen jaren hebben voorgedaan. Volgens een rapport uit 2004 van het Amerikaanse Institute of Computer Security en de FBI was diefstal van gevoelige gegevens toen al een van de gevaarlijkste bedreigingen - de schade die hierdoor werd veroorzaakt, bedroeg ongeveer 40% van de totale schade van al zijn bedreigingen. Tegelijkertijd was het gemiddelde verliesvolume meer dan $ 300 duizend en het maximale volume $ 1,5 miljoen.

Op basis hiervan kunnen we concluderen dat diefstal van vertrouwelijke informatie een van de meest hoge beoordelingen tussen alle IT-bedreigingen in de Verenigde Staten. Het is vermeldenswaard dat het onmogelijk is om de boosdoener te vinden zonder identificatie- en authenticatieproblemen op te lossen!

Een van de belangrijkste beveiligingsdiensten:

• identificatie en authenticatie;
• veiligheidscontrole;
• controle van de integriteit en authenticiteit van informatie;
• firewalling;
• een VPN bouwen;
• logboekregistratie / controle;
• differentiatie van toegang;
• veiligheidsmanagement;
• inhoud filteren;
• encryptie.

Merk op dat de problemen met toegangscontrole zonder mankeren worden opgelost bij het maken van een informatiesysteem. In onze tijd, waarin systemen meer gedistribueerd worden, is het moeilijk om het belang van correcte toegangscontrole te overschatten. Tegelijkertijd is er een steeds betrouwbaardere bescherming van authenticatiesystemen nodig tegen zowel externe als interne aanvallers. Het moet duidelijk zijn dat gebruikers niet geneigd zijn hun leven ingewikkelder te maken en proberen zo ingewikkeld mogelijke wachtwoorden te gebruiken. Om dit te elimineren, zullen in de toekomst dus steeds meer software- en hardware-authenticatietools worden gebruikt, die de traditionele wachtwoorden geleidelijk zullen vervangen (Fig. 2).

Rijst. 2. Groei van de informatiebeveiligingsmarkt

Classificatie van identificatie- en authenticatiemiddelen

Moderne software- en hardwaremiddelen voor identificatie en authenticatie kunnen worden onderverdeeld in elektronische, biometrische en gecombineerde middelen door het type identificatietekens (Fig. 3). In verband met hun specifieke toepassing kunnen eenmalige wachtwoordsystemen die deel uitmaken van elektronische middelen worden onderscheiden in een aparte subgroep.

Rijst. 3. Classificatie van software- en hardware-identificatiesystemen
en authenticatie

In elektronische systemen worden identificatietekens weergegeven in de vorm van een code die is opgeslagen in een beveiligd geheugengebied van een identifier (drager) en, met zeldzame uitzonderingen, deze niet daadwerkelijk verlaat. In dit geval zijn de ID's als volgt:

• contact-smartcards;
• contactloze smartcards;
• USB-sleutels (USB-token);
• iKnop.

In biometrische systemen is identificatie individuele kenmerken een persoon, die in dit geval biometrische tekens worden genoemd. Identificatie wordt uitgevoerd door de verkregen biometrische kenmerken en sjablonen die zijn opgeslagen in de database te vergelijken. Afhankelijk van de kenmerken die in dit geval worden gebruikt, worden biometrische systemen onderverdeeld in statisch en dynamisch.

Statische biometrie is gebaseerd op gegevens (sjablonen) die zijn verkregen door het meten van de anatomische kenmerken van een persoon (vingerafdrukken, irispatroon, enz.), en dynamische biometrie - op de analyse van menselijke acties (stem, handtekeningparameters, de dynamiek ervan).

Naar mijn mening zijn biometrische authenticatiesystemen om verschillende redenen niet wijdverbreid:

• de hoge kosten van dergelijke systemen;
• gebrek aan goed opgeleid professioneel personeel;
• de complexiteit van het opzetten van dergelijke systemen;
• tegenwerking van werknemers, aangezien het management de mogelijkheid krijgt om al hun bewegingen te controleren en de werktijd daadwerkelijk te controleren.

In gecombineerde systemen worden verschillende functies tegelijkertijd gebruikt en ze kunnen zowel tot systemen van dezelfde klasse als tot verschillende systemen behoren.

Elektronische identificatie- en authenticatiesystemen

Elektronische identificatie- en authenticatiesystemen omvatten contact- en contactloze smartcards en USB-tokens.

Contact-smartcards en USB-dongles

USB-sleutels werken met een USB-poort van een computer en worden vervaardigd in de vorm van sleutelhangers. We zullen bekijken wat een USB-sleutel is aan de hand van het voorbeeld van een eToken van Aladdin.

eToken is een persoonlijk middel voor authenticatie en gegevensopslag dat het werken met digitale certificaten en elektronische digitale handtekeningen (EDS) in hardware ondersteunt. eToken kan de vorm hebben van een standaard smartcard of USB-sleutel:

• De smartcard vereist een pc / SC-compatibele smartcardlezer om verbinding te maken met de computer. Het kan worden gebruikt als een middel voor visuele identificatie (informatie over de eigenaar en een foto (ID-badge) kan op de eToken PRO / SC-smartcard worden geplaatst voor gebruik door de beveiligingsdienst van de onderneming). Smartcards kunnen gemaakt zijn van wit plastic voor latere bedrukking (foto's, persoonlijke gegevens, enz.) met voorlopige overdruk, evenals met een gelijmde magneetstrip of in de vorm van reliëfkaarten (met reliëfsymbolen);
• USB-dongle - maakt rechtstreeks verbinding met de computer via USB poort(Universal Serial Bus), een combinatie van de functies van een smartcard en een apparaat voor de lezer.

Als je deze twee technologieën vergelijkt, wordt het duidelijk dat de keuze voor een ervan afhangt van de beveiligingstechnologie die door het bedrijf wordt toegepast. Dus als het de bedoeling is om een ​​geautomatiseerde toegangscontrole in te voeren en tegelijkertijd de passen een foto, de naam van de eigenaar en andere informatie moeten hebben, dan verdient het de voorkeur om smartcards te gebruiken. Houd er echter rekening mee dat u ook smartcardlezers moet aanschaffen.

Als de toegangscontrole al is ingevoerd en het alleen nodig is om extra controle te bieden en het regime voor het betreden van sommige gebouwen aan te scherpen, moet u letten op de eToken PRO met ingebouwde RFID-tags. Voor de fysieke beveiligingsdienst die verantwoordelijk is voor de toegangscontrole is het immers veel gemakkelijker om pasjes te controleren als ze een foto, achternaam en voornaam van de eigenaar hebben, hoewel eToken PRO met een geïntegreerde RFID-chip en een vergelijkbare smartcard hetzelfde is qua functionaliteit.

De belangrijkste toepassingsgebieden van eToken (Fig. 4):

Rijst. 4. Mogelijkheden van eToken

• tweefactorauthenticatie van gebruikers bij toegang tot servers, databases, applicaties, secties van websites;
• veilige opslag vertrouwelijke informatie: wachtwoorden, EDS-sleutels en encryptie, digitale certificaten;
• e-mailbeveiliging (digitale handtekening en codering, toegang);
• bescherming van computers tegen ongeoorloofde toegang (NSD);
• bescherming van netwerken en datatransmissiekanalen (VPN, SSL);
• client-bank, systemen zoals e-banking en e-commerce.

Bij het werken met multi-factor authenticatie gebruiker krijgt hele regel voordelen. In het bijzonder hoeft hij slechts één eToken-wachtwoord te onthouden in plaats van meerdere applicatiewachtwoorden. Bovendien is het niet meer nodig om regelmatig wachtwoorden te wijzigen. En als u uw eToken verliest, gebeurt er niets ergs. Om het gevonden (gestolen) eToken te gebruiken, moet u inderdaad ook het wachtwoord weten. Dit alles verhoogt het beveiligingsniveau van de organisatie aanzienlijk. Tegelijkertijd moet worden begrepen dat eToken alle belangrijke systemen en applicaties ondersteunt en integreert met behulp van smartcardtechnologieën of PKI (Public Key Infrastructure), de zogenaamde PKI-ready applicaties.

Het belangrijkste doel van eToken:

• sterke twee-factor gebruikersauthenticatie bij toegang tot beschermde bronnen (computers, netwerken, applicaties);
• veilige opslag van privésleutels van digitale certificaten, cryptografische sleutels, gebruikersprofielen, applicatie-instellingen, enz. in het niet-vluchtige geheugen van de sleutel;
• hardware uitvoering van cryptografische bewerkingen in een vertrouwde omgeving (generatie van encryptiesleutels, symmetrische en asymmetrische encryptie, berekening van de hashfunctie, de vorming van een EDS).

Als authenticatiemiddel wordt eToken ondersteund door de meeste moderne besturingssystemen, bedrijfsapplicaties en informatiebeveiligingsproducten en kan het worden gebruikt om de volgende taken op te lossen:

• sterke gebruikersauthenticatie bij toegang tot informatiebronnen: servers, databases, secties van websites, beveiligde opslagplaatsen, versleutelde schijven, enz.;
• inloggen op besturingssystemen, directoryservices, heterogene netwerken (besturingssystemen Microsoft, Linux, UNIX, Novell) en zakelijke toepassingen (SAP R / 3, IBM Lotus Notes / Domino);
• implementatie van PKI-systemen (Entrust, Microsoft CA, RSA Keon, evenals in certificeringscentra en systemen die gebruik maken van binnenlandse crypto-providers "Crypto-Pro", "Signal-Com", enz.) - opslag van belangrijke informatie, hardwaregeneratie van sleutelparen en het uitvoeren van cryptografische bewerkingen in een vertrouwde omgeving (op een smartcard-chip);
• bouw van documentbeheersystemen, beveiligde mailsystemen (gebaseerd op Microsoft Exchange, Novell GroupWise, Lotus Notes / Domino) - EDS en gegevenscodering, opslag van certificaten en privésleutels;
• organisatie van beveiligde datatransmissiekanalen met behulp van internettransport (VPN-technologie, IPSec-protocollen en SSL) - gebruikersauthenticatie, sleutelgeneratie, sleuteluitwisseling;
• firewalls en bescherming van de netwerkperimeter (producten Cisco Systems, Check Point) - gebruikersauthenticatie;
• codering van gegevens op schijven (in producten zoals Secret Disk NG) - gebruikersauthenticatie, genereren van coderingssleutels, opslag van sleutelinformatie;
• een enkel toegangspunt voor gebruikers tot informatiesystemen en portals (in eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) en applicaties die worden beheerd door Oracle DBMS - sterke tweefactorauthenticatie;
• bescherming van webservers en applicaties e-commerce(gebaseerd op Microsoft IIS, Apache Web Server) - gebruikersauthenticatie, sleutelgeneratie, sleuteluitwisseling;
• beveiligingsbeheer van bedrijfsinformatiesystemen, integratie van informatiebeveiligingssystemen (Token Management System) - eToken is een single universele identificatie om toegang te krijgen tot verschillende applicaties;
• ondersteuning van legacy applicaties en ontwikkeling van eigen oplossingen op het gebied van informatiebeveiliging.

De kenmerken van USB-dongles worden gegeven in de tabel. een .

De volgende soorten USB-dongles zijn momenteel op de markt:

• eToken R2, eToken PRO - door Aladdin;
• iKey10xx, iKey20xx, iKey 3000 - Rainbow-technologieën;
• ePass 1000, ePass 2000 - Feitian Technologies;
• ruToken - ontwikkeld door Aktiv en ANKAD;
• uaToken - Technotrade LLC.

USB-dongles zijn de opvolgers van smartcards, daarom is de structuur van USB-dongles en smartcards identiek.

Contactloze smartcards

Contactloze smartcards (BSC) worden veel gebruikt in verschillende toepassingen zowel voor authenticatie (elektronische pasmodus, elektronische sleutel aan de deur, etc.), als voor diverse transport-, identificatie-, verrekenings- en kortingstoepassingen.

Een belangrijk kenmerk van de BSC dat zich onderscheidt van een aantal andere smartcards is de afwezigheid van mechanisch contact met het apparaat dat gegevens van de kaart verwerkt. In feite wordt de betrouwbaarheid van technische elementen van systemen die BSC gebruiken bepaald door de betrouwbaarheid van microschakelingen. De laatste omstandigheid leidt tot een aanzienlijke verlaging van de bedrijfskosten van het systeem in vergelijking met vergelijkbare systemen die gebruikmaken van smartcards met externe contacten.

De volgorde van bewerkingen met de BSC en de kaartgeheugenlezer/schrijver (hierna de lezer genoemd) wordt bepaald door de softwaretoepassing. Wanneer de gebruiker de kaart aan de lezer aanbiedt, vindt er een transactie plaats, dat wil zeggen de uitwisseling van gegevens tussen de kaart en de lezer, en een mogelijke verandering in informatie in het geheugen van de kaart. De maximale afstand voor transacties tussen de lezer en de kaart is 10 cm, in dit geval hoeft de kaart niet uit de portemonnee te worden verwijderd. Aan de ene kant stelt dit de gebruiker in staat om gemakkelijk en snel een transactie uit te voeren, en aan de andere kant, wanneer deze het antenneveld binnenkomt, is de kaart betrokken bij het proces van informatie-uitwisseling, ongeacht of de gebruiker dit wilde of niet .

Een typische initiële commandoreeks voor een kaarttoepassing omvat:

• vastleggen van de kaart (de eerste kaart in het antenneveld van de lezer wordt geselecteerd), indien nodig - inschakelen van het anti-collision-algoritme (het anti-collision-commando vertelt de applicatie het unieke serienummer van de vastgelegde kaart, of liever het unieke nummer van de microschakeling die in de kaart is ingebouwd);
• selectie van een kaart met een bepaald serienummer voor later werk met het kaartgeheugen of het serienummer ervan.

De gespecificeerde reeks opdrachten wordt uitgevoerd in 3 ms, dat wil zeggen vrijwel onmiddellijk.

Dit wordt gevolgd door de authenticatie van het geselecteerde geheugengebied van de kaart. Het is gebaseerd op het gebruik van geheime sleutels en zal hieronder worden beschreven. Als de kaart en de lezer elkaar herkennen, dan dit gebied geheugen wordt geopend voor gegevensuitwisseling en afhankelijk van de toegangsvoorwaarden kunnen lees- en schrijfcommando's en gespecialiseerde commando's worden uitgevoerd e-wallet(tenzij het gebied natuurlijk dienovereenkomstig was gemarkeerd bij het personaliseren van de kaart). De opdracht om 16 bytes van het geheugen van de kaart te lezen, wordt uitgevoerd in 2,5 ms, de opdrachten om het saldo van de portemonnee te lezen en te wijzigen - in 9-10 ms. Zo wordt een typische transactie, beginnend met het vastleggen van de kaart en resulterend in een verandering van 16 bytes geheugen, voltooid in maximaal 16 ms.

Een algoritme met drie doorgangen wordt gebruikt om de geheugensector van de kaart te verifiëren met behulp van willekeurige getallen en geheime sleutels volgens de ISO / IEC DIS 9798-2-standaard.

In algemene termen kan het authenticatieproces als volgt worden weergegeven. De chips van de kaart en apparaten om ermee te werken wisselen willekeurige getallen uit. Bij de eerste stap stuurt de kaart een willekeurig nummer dat door de kaart wordt gegenereerd naar de lezer. De lezer voegt er een eigen willekeurig nummer aan toe, versleutelt het bericht en stuurt het naar de kaart. De kaart decodeert het ontvangen bericht, vergelijkt het willekeurige nummer met het aantal dat in het bericht is ontvangen; als het overeenkomt, versleutelt het het bericht opnieuw en stuurt het door naar de lezer. De lezer decodeert het kaartbericht, vergelijkt het willekeurige nummer met het nummer dat in het bericht is ontvangen, en als de nummers overeenkomen, wordt sectorauthenticatie als succesvol beschouwd.

Werken met de geheugensector is dus alleen mogelijk na succesvolle authenticatie van de sector van de geselecteerde kaart en terwijl de kaart zich in het veld van de antenne van de lezer bevindt. In dit geval worden alle gegevens die via het radiofrequentiekanaal worden verzonden altijd gecodeerd.

De initiële (zogenaamde transport)sleutels, evenals de voorwaarden voor toegang tot de sectoren, worden ingesteld tijdens de initiële personalisatie van de kaart in de fabriek en worden in het geheim aan de uitgever gecommuniceerd. Later, in het proces van secundaire personalisatie van de kaart door de uitgever of gebruiker van de applicatie, worden de sleutels gewoonlijk veranderd in andere sleutels die alleen bekend zijn bij de uitgever of gebruiker. Ook (dit wordt bepaald door een specifieke toepassing) tijdens secundaire personalisatie veranderen ook de voorwaarden voor toegang tot de geheugensectoren van de kaart.

Contactloze smartcards zijn onderverdeeld in PROximity-ID's en smartcards op basis van internationale normen ISO / IEC 15693 en ISO / IEC 14443. De meeste apparaten op basis van contactloze smartcards zijn gebaseerd op radiofrequentie-identificatietechnologie (tabel 2).

De belangrijkste componenten van contactloze apparaten zijn de chip en de antenne. Identifiers kunnen actief (met batterijen) of passief (zonder voeding) zijn. De identifiers hebben unieke 32/64-bit serienummers.

Identiteitssystemen op basis van PROximity zijn niet cryptografisch beveiligd, behalve voor speciale aangepaste systemen.

Elke sleutel heeft een flashable 32/64-bit serienummer.

Gecombineerde systemen

Door de introductie van gecombineerde systemen neemt het aantal identificatiekenmerken aanzienlijk toe en daarmee de veiligheid (tabel 3).

Momenteel zijn er gecombineerde systemen van de volgende typen:

• systemen op basis van contactloze smartcards en USB-sleutels;
• systemen op basis van hybride smartcards;
• bio-elektronische systemen.

Een antenne en een microschakeling zijn ingebouwd in de behuizing van de USB-sleutelhanger om een ​​contactloze interface te creëren. Zo regelt u de toegangscontrole tot de ruimte en tot de computer met één identificatiecode. Een dergelijk schema voor het gebruik van de identifier sluit de situatie uit dat een werknemer bij het verlaten van de werkplek een USB-sleutel in de computerconnector achterlaat, waardoor het mogelijk is om onder zijn identifier te werken.

Tegenwoordig worden twee identifiers van dit type het meest gebruikt: RFiKey - van Rainbow Technologies en eToken PRO RM - van Aladdin Software Security R.D. Het RFiKey-apparaat ondersteunt: USB-interface 1.1 / 2.0 en werkt met lezers van HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) en het Russische bedrijf Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM - eToken PRO USB-dongles en smartcards aangevuld met passieve RFID-tags.

eToken gebruiken om fysieke toegang te controleren

RFID-technologie (Radio Frequency IDentification) is tegenwoordig de meest populaire contactloze identificatietechnologie. Radiofrequentieherkenning wordt uitgevoerd met behulp van zogenaamde RFID-tags die aan het object zijn bevestigd en identificatie- en andere informatie bevatten.

Van de eToken USB-dongle-familie kunnen eToken PRO / 32K en hoger worden toegevoegd aan de RFID-tag. In dit geval moet men rekening houden met de beperkingen vanwege de grootte van de sleutel: de RFID-tag mag niet meer dan 1,2 cm in diameter zijn. Dergelijke afmetingen hebben tags die werken op een frequentie van 13,56 MHz, bijvoorbeeld vervaardigd door Angstrem en HID.

Naast de traditionele voordelen van RFID-technologieën, maken gecombineerde USB-sleutels en eToken-smartcards, met behulp van een enkele "elektronische pas" om de toegang tot gebouwen en informatiebronnen te controleren, het volgende mogelijk:

• kosten verlagen;
• investeringen in eerder aangeschafte toegangscontrolesystemen beschermen door eToken te integreren met de meeste soorten RFID-tags;
• om de invloed van de menselijke factor op het niveau van informatiebeveiliging van de organisatie te verminderen: de medewerker zal het pand niet kunnen verlaten en de gecombineerde kaart op de werkplek achterlaten;
• het bijhouden van werkuren en verplaatsingen van werknemers op kantoor automatiseren;
• Implementeer een gefaseerde implementatie door out-of-service identifiers geleidelijk te vervangen.

Hybride smartcards gebruiken voor fysieke toegangscontrole

Hybride smartcards bevatten verschillende chips: de ene chip ondersteunt een contactinterface, de andere een contactloze. Net als bij hybride USB-dongles lossen hybride smartcards twee problemen op: controle van de toegang tot de kamer en tot de computer. Daarnaast kan een bedrijfslogo, een foto van een medewerker of een magneetstrip op de kaart worden aangebracht, waardoor u gewone passen door dergelijke kaarten kunt vervangen en naar één elektronische pas kunt gaan.

Smartcards van dit type worden aangeboden door de volgende bedrijven: HID Corporation, Axalto, GemPlus, Indala, Aladdin, enz.

In Rusland heeft Aladdin Software Security R.D. een technologie voor de productie van hybride smartcards eToken PRO / SC RM is ontwikkeld. Daarin zijn microschakelingen met een eToken PRO-contactinterface ingebed in contactloze smartcards. EToken PRO smartcards kunnen worden aangevuld met passieve RFID-tags geproduceerd door HID / ISOPROx II, EM-Marin (frequentie 125 kHz), Cotag (frequentie 122/66 kHz), Angstrem / KIBI-002 (frequentie 13,56 MHz), Mifare en andere bedrijven. De keuze voor de combinatiemogelijkheid wordt bepaald door de klant. Daarnaast kan een bedrijfslogo, een foto van een medewerker of een magneetstrip op de kaart worden aangebracht, waardoor u de gebruikelijke passen kunt verlaten en naar een enkele elektronische pas kunt gaan.

Bio-elektronische systemen

Typisch voor bescherming: computersystemen tegen ongeautoriseerde toegang wordt een combinatie van twee systemen gebruikt - biometrisch en contact op basis van smartcards of USB-sleutels.

Wat gaat er schuil achter het concept van "biometrie"? In feite gebruiken we dergelijke technologieën elke dag, maar als technische authenticatiemethode is biometrie relatief recentelijk gebruikt. Biometrie is de identificatie van een gebruiker aan de hand van unieke biologische kenmerken die alleen aan hem inherent zijn. Dergelijke systemen zijn het handigst vanuit het oogpunt van de gebruikers zelf, omdat het niet nodig is om iets te onthouden en het erg moeilijk is om biologische kenmerken te verliezen.

Met biometrische identificatie slaat de database een digitale code op die is gekoppeld aan een specifieke persoon. Een scanner of ander apparaat dat wordt gebruikt voor authenticatie leest een specifieke biologische parameter. Vervolgens wordt het verwerkt volgens bepaalde algoritmen en vergeleken met de code in de database.

Alleen maar? Vanuit het oogpunt van de gebruiker natuurlijk. Echter, in deze methode er zijn zowel voor- als nadelen.

De voordelen van biometrische scanners zijn meestal dat ze op geen enkele manier afhankelijk zijn van de gebruiker (de gebruiker kan bijvoorbeeld een fout maken bij het invoeren van het wachtwoord) en de gebruiker kan zijn biologische identificatie niet aan een andere persoon overdragen, in tegenstelling tot een wachtwoord. En het is bijvoorbeeld bijna onmogelijk om een ​​patroon op de vinger van elke persoon te smeden. Echter, zoals studies in de Verenigde Staten hebben aangetoond, werden biometrische vingerafdrukscanners vrij gemakkelijk misleid met een dummy-vingerafdruk of zelfs een vinger van een lijk. Weigering van toegang op basis van spraakherkenning komt ook vaak voor als de persoon gewoon verkouden is. Maar het grootste nadeel van biometrische systemen zijn hun hoge kosten.

Alle biometrische technologieën kunnen in twee groepen worden verdeeld:

• statische methoden, die gebaseerd zijn op de fysiologische (statische) kenmerken van een persoon, dat wil zeggen een unieke eigenschap die vanaf de geboorte inherent aan hem is en onvervreemdbaar van hem is. Statische biologische kenmerken zijn onder meer de vorm van de handpalm, vingerafdrukken, iris, netvlies, gezichtsvorm, locatie van aderen op de hand, enz. (Tabel 4);
• dynamische methoden, die zijn gebaseerd op de (dynamische) gedragskenmerken van een persoon - kenmerken die kenmerkend zijn voor onbewuste bewegingen in het proces van het reproduceren van een actie (handtekening, spraak, toetsenborddynamiek).

Ideale menselijke biometrische kenmerken (BHC) moeten universeel, uniek, stabiel en verzamelbaar zijn. Veelzijdigheid betekent dat ieder mens een biometrisch kenmerk heeft. Uniciteit - dat er geen twee mensen kunnen zijn met identieke BChH-waarden. Stabiliteit is de onafhankelijkheid van de BChC van tijd tot tijd. Verzamelbaarheid - het vermogen om biometrische kenmerken van elk individu te verkrijgen. Echte HCP's zijn niet perfect en dit beperkt hun gebruik. Als resultaat van een deskundige beoordeling van bronnen van HCP zoals de vorm en thermogram van het gezicht, vingerafdrukken, handgeometrie, structuur van de iris van het oog (ROG), patroon van retinale vaten, handtekening, stemkenmerken, vorm van lippen en oren, dynamiek van handschrift en gang, bleek dat geen van hen aan alle vereisten voor de bovengenoemde eigenschappen voldoet (tabel 5). Een noodzakelijke voorwaarde voor het gebruik van bepaalde BChP is hun universaliteit en uniciteit, die indirect kan worden gerechtvaardigd door hun relatie met het menselijke genotype of karyotype.

Vingerafdrukherkenning

Dit is de meest gebruikelijke statische methode voor biometrische identificatie, die is gebaseerd op het unieke patroon van papillaire patronen op de vingers voor elke persoon. Een vingerafdrukbeeld verkregen met een speciale scanner wordt omgezet in een digitale code (convolutie) en vergeleken met een eerder ingevoerd sjabloon (referentie) of een set sjablonen (in het geval van authenticatie).

Toonaangevende fabrikanten van vingerafdrukscanners:

• BioLink (http://www.biolink.ru/, http://www.biolinkusa.com/);
• Bioscrypt (http://www.bioscrypt.com/);
• DigitalPersona (http://www.digitalpersona.com/);
• Ethentica (http://www.ethentica.com/);
• Precieze biometrie (http://www.precisebiometrics.com/);
• Toonaangevende fabrikanten van sensoren (leeselementen voor scanapparatuur):
• Atmel (http://www.atmel.com/, http://www.atmel-grenoble.com/);
• AuthenTec (http://www.authentec.com/);
• Veridicom (http://www.veridicom.com/);

Herkenning van handvorm

Deze statische methode is gebaseerd op de herkenning van de geometrie van de hand, wat ook een uniek biometrisch kenmerk van een persoon is. Met behulp van een speciaal apparaat waarmee u een driedimensionaal beeld van de hand kunt verkrijgen (sommige fabrikanten scannen de vorm van meerdere vingers), worden metingen uitgevoerd om een ​​unieke digitale convolutie te verkrijgen die een persoon identificeert.

Toonaangevende fabrikanten van dergelijke apparatuur:

• Herkenningssystemen (http://www.recogsys.com/, http://www.handreader.com/);
• BioMet-partners (http://www.biomet.ch/).

Irisherkenning

Deze herkenningsmethode is gebaseerd op de uniciteit van het irispatroon. Om deze methode te implementeren, heb je een camera nodig waarmee je een beeld van het menselijk oog met voldoende resolutie kunt krijgen, en gespecialiseerde software die een patroon van de iris van het oog extraheert uit het resulterende beeld, dat wordt gebruikt om een ​​digitale code te bouwen voor het identificeren van een persoon.

V.Shramko

PCWeek / RE nr. 45, 2004

Het voorkomen van schade in verband met het verlies van vertrouwelijke informatie die op computers is opgeslagen, is een van de belangrijkste taken van elk bedrijf. Het is bekend dat het personeel van de onderneming vaak de hoofdschuldige is van deze verliezen. Volgens een onderzoek van het Computer Security Institute zijn onopzettelijke fouten van werknemers verantwoordelijk voor 55% van deze schade, en de acties van oneerlijke en wrokkige collega's - respectievelijk 10% en 9%. De rest van de verliezen houdt verband met fysieke beveiligingsproblemen (natuurrampen, stroomvoorziening) - 20%, virussen - 4% en externe aanvallen - 2%.

De belangrijkste manier om informatie tegen indringers te beschermen, is de introductie van de zogenaamde AAA- of 3A-tools (authenticatie, autorisatie, administratie). Onder AAA-fondsen belangrijke plaats bezetten hardware- en software-identificatie- en authenticatiesystemen (SIA) en apparaten voor het invoeren van identificatietekens (de term komt overeen met GOST R 51241-98), ontworpen om te beschermen tegen ongeautoriseerde toegang (NSD) tot computers.

Bij het gebruik van SIA krijgt een medewerker pas toegang tot een computer of bedrijfsnetwerk na het succesvol doorlopen van de identificatie- en authenticatieprocedure. Identificatie bestaat uit het herkennen van een gebruiker door een inherent of toegewezen identificatiekenmerk. De verificatie van het toebehoren aan de gebruiker van het aan hem gepresenteerde identificatieteken wordt uitgevoerd tijdens het authenticatieproces.

De hardware- en software-SIA omvat identificatiegegevens, invoer-uitvoerapparaten (lezers, contactapparaten, adapters, vertrouwde opstartborden, moederbordconnectoren, enz.) en de bijbehorende software. Identifiers zijn ontworpen om unieke identifiers op te slaan. Bovendien kunnen ze een verscheidenheid aan gevoelige gegevens opslaan en verwerken. Input-output-apparaten en software dragen gegevens over tussen de identifier en de beveiligde computer.

In de wereldwijde informatiebeveiligingsmarkt groeit het AAA-segment gestaag. Deze trend wordt benadrukt in analytische beoordelingen en prognoses van Infonetics Research, IDC, Gartner en andere adviesbureaus.

Dit artikel gaat over gecombineerde identificatie- en authenticatiesystemen. Deze keuze is te wijten aan het feit dat systemen van deze klasse momenteel de meest effectieve bescherming van computers tegen manipulatie bieden.

Classificatie van identificatie- en authenticatiesystemen

Moderne SIA, volgens het type gebruikte identificatietekens, zijn onderverdeeld in elektronisch, biometrisch en gecombineerd (zie figuur 1).

Figuur 1 - Classificatie van SIA naar het type identificatietekens

In elektronische systemen worden identificatietekens weergegeven in de vorm van een digitale code die is opgeslagen in het geheugen van de identificatiecode. Dergelijke SIA's worden ontwikkeld op basis van de volgende identifiers:

• contact-smartcards;
• contactloze smartcards;
• USB-sleutels (ook wel USB-tokens genoemd);
• iButton-ID's.

In biometrische systemen zijn identificatiekenmerken individuele kenmerken van een persoon, de zogenaamde biometrische kenmerken. De identificatie en authenticatie van dit type is gebaseerd op de procedure van het lezen van het gepresenteerde biometrische kenmerk van de gebruiker en het vergelijken met een eerder verkregen sjabloon. Afhankelijk van het type kenmerken dat wordt gebruikt, worden biometrische systemen onderverdeeld in statisch en dynamisch.

Statische biometrie (ook wel fysiologische genoemd) is gebaseerd op gegevens die zijn verkregen uit metingen van anatomische kenmerken van een persoon (vingerafdrukken, handvorm, irispatroon, diagram van gezichtsbloedvaten, netvliespatroon, gezichtskenmerken, fragmenten van de genetische code, enz.).

Dynamische biometrie (ook wel gedragsbiometrie genoemd) is gebaseerd op de analyse van menselijk handelen (stemparameters, dynamiek en signatuurvorm).

Ondanks de veelheid aan biometrische kenmerken richten de SIA-ontwikkelaars zich op herkenningstechnologieën op basis van vingerafdrukken, gelaatstrekken, handgeometrie en iris. Dus, bijvoorbeeld, volgens het rapport van de International Biometric Group, op de wereldmarkt biometrische beveiliging in 2004 was het aandeel van vingerafdrukherkenningssystemen 48%, gelaatstrekken - 12%, handgeometrie - 11%, iris - 9%, stemparameters - 6%, handtekeningen - 2%. Het resterende aandeel (12%) heeft betrekking op middleware.

In gecombineerde systemen worden meerdere identificatietekens tegelijkertijd gebruikt voor identificatie. Een dergelijke integratie stelt de aanvaller in staat om extra barrières op te werpen die hij niet kan overwinnen, en als hij dat wel kan, dan met aanzienlijke moeilijkheden. De ontwikkeling van gecombineerde systemen wordt in twee richtingen uitgevoerd:

• integratie van identifiers binnen een systeem van één klasse;
• integratie van systemen van verschillende klassen.

In het eerste geval worden systemen gebruikt op basis van contactloze smartcards en USB-sleutels, evenals hybride (contact en contactloze) smartcards om computers te beschermen tegen manipulatie. In het tweede geval kruisen de ontwikkelaars vakkundig biometrische en elektronische SIA's (hierna wordt een dergelijk conglomeraat in het artikel een bio-elektronisch identificatie- en authenticatiesysteem genoemd).

Kenmerken van elektronische identificatie- en authenticatiesystemen

Elektronische SIA's en een analyse van hun belangrijkste kenmerken, zodat u een keuze kunt maken voor een of ander product, vindt u in mijn recensie "Computerbescherming: elektronische identificatie- en authenticatiesystemen" (zie PC Week / RE, No. 12 /2004, blz. 18). Ik zal alleen de belangrijkste kenmerken van elektronische SIA geven, waarvan kennis helpt om de structuur en het werkingsprincipe van gecombineerde systemen te begrijpen.

De gecombineerde SIA kan elektronische contact- en contactloze smartcards en USB-sleutels omvatten. Het belangrijkste element van deze apparaten is een of meer ingebouwde geïntegreerde schakelingen(chips), dit kunnen geheugenchips zijn, chips met harde logica en microprocessors (processors). Momenteel hebben identifiers met een processor de grootste functionaliteit en mate van beveiliging.

De microprocessorcontact-smartcardchip is gebaseerd op een centrale processor, een gespecialiseerde cryptografische processor (optioneel), random access memory (RAM), read-only memory (ROM), niet-vluchtig programmeerbaar read-only memory (PROM), een random nummergenerator, timers en een seriële communicatiepoort.

Random Access Memory wordt gebruikt voor tijdelijke opslag van gegevens, bijvoorbeeld de resultaten van berekeningen die door de processor zijn uitgevoerd. De capaciteit is enkele kilobytes.

Permanent geheugen slaat instructies op die worden uitgevoerd door de processor en andere niet-vluchtige gegevens. De informatie in de ROM wordt vastgelegd wanneer de kaart wordt geproduceerd. De geheugencapaciteit kan tientallen kilobytes zijn.

Er zijn twee soorten PROM's die worden gebruikt in contact-smartcards: eenmalige programmeerbare EPROM's en de meer algemeen voorkomende herprogrammeerbare EEPROM's. De PROM wordt gebruikt om gebruikersgegevens op te slaan die kunnen worden gelezen, geschreven en gewijzigd, en vertrouwelijke gegevens (bijvoorbeeld cryptografische sleutels) die niet toegankelijk zijn voor toepassingsprogramma's... De PROM-capaciteit is tientallen en honderden kilobytes.

De centrale verwerkingseenheid van een smartcard (meestal een RISC-processor) zorgt voor de implementatie van verschillende gegevensverwerkingsprocedures, de controle van de toegang tot het geheugen en de controle van de uitvoering van het rekenproces.

Een gespecialiseerde verwerker is verantwoordelijk voor de implementatie verschillende procedures vereist om de beveiliging van de SIA te vergroten:

• generatie van cryptografische sleutels;
• implementatie van cryptografische algoritmen (GOST 28147-89, DES, 3DES, RSA, SHA-1, enz.);
• bewerkingen uitvoeren met elektronische digitaal ondertekend(generatie en verificatie);
• bewerkingen uitvoeren met een pincode, enz.

Contactloze smartcards zijn onderverdeeld in Proximity identifiers en smartcards op basis van de internationale normen ISO/IEC 15693 en ISO/IEC 14443. De meeste op contactloze smartcards gebaseerde SIA's zijn gebaseerd op radiofrequentie-identificatietechnologie. Structureel worden radiofrequentie-identifiers (zie tabel 1) vervaardigd in de vorm van plastic kaarten, sleutelhangers, penningen, schijven, tags, enz.

Tabel 1 - Radiofrequentie-ID's

De belangrijkste componenten van contactloze smartcards zijn de chip en de antenne. Er kan zich ook een lithiumbatterij in de identifiers bevinden. Identifiers met een batterij worden actief genoemd, zonder batterij - passief. Elke identifier heeft een uniek 32/64-bit serienummer.

Nabijheids-ID's werken op 125 kHz. De chip bevat een geheugenmicroschakeling (of een hard logische microschakeling) met hulpeenheden: programmeermodule, modulator, besturingseenheid, enz. De geheugencapaciteit varieert van 8 tot 256 bytes. Proximity gebruikt voornamelijk eenmalige programmeerbare read-only EPROM, maar er is ook een herschrijfbare EEPROM. Het geheugen bevat een uniek identificatienummer, apparaatcode en service-informatie (pariteitsbits, bits van het begin en einde van de codeoverdracht, enz.).

Proximity-ID's zijn doorgaans passief en bevatten geen chemische stroombron - lithium batterij... In dit geval wordt de microschakeling gevoed door een elektromagnetisch veld dat door de lezer wordt uitgezonden. De reader leest data uit met een snelheid van 4 kbps op een afstand van maximaal 1 m.

Op nabijheid gebaseerde identificatie- en authenticatiesystemen zijn niet cryptografisch veilig (behalve voor aangepaste systemen).

Contactloze smartcards werken op 13,56 MHz en zijn onderverdeeld in twee klassen op basis van de internationale normen ISO / IEC 15693 en ISO / IEC 14443.

De ISO / IEC 14443-standaard omvat versies A en B, die verschillen in de manier waarop het verzonden radiosignaal wordt gemoduleerd. De standaard ondersteunt het uitwisselen (lezen-schrijven) van gegevens met een snelheid van 106 kbps (de snelheid kan worden verhoogd tot 212, 424 of 848 kbps), de leesafstand is maximaal 10 cm.

Om coderings- en authenticatiefuncties in identifiers van de ISO / IEC 14443-standaard te implementeren, kunnen drie soorten chips worden gebruikt: een microschakeling met rigide MIFARE-logica, een processor of een cryptografische processor. MIFARE-technologie is een ontwikkeling van Philips Electronics en is een uitbreiding van ISO / IEC 14443 (revisie A).

De ISO / IEC 15693-norm breidt het bereik van de contactloze identifier uit tot 1 m. Op deze afstand vindt gegevensuitwisseling plaats met een snelheid van 26,6 kbps.

USB-sleutels (zie Tabel 2) zijn ontworpen om te werken met een USB-poort op een computer. Ze zijn structureel vervaardigd in de vorm van sleutelhangers, die worden geproduceerd in gekleurde koffers, hebben Indicatie lichten werkt en zijn gemakkelijk op een sleutelbos te plaatsen. Elke identifier heeft een uniek 32/64-bit serienummer dat in de fabriek is geflitst.

Tabel 2 - Kenmerken van USB-sleutels

De volgende USB-sticks zijn het populairst op de Russische markt:

• iKey 10xx, iKey 20xx, iKey 3000-serie - ontwikkeld door Rainbow Technologies;
• eToken R2, eToken Pro van Aladdin Knowledge Systems;
• ePass1000, ePass2000 van Feitian Technologies;
• ruToken is een gezamenlijke ontwikkeling van het bedrijf Aktiv en het bedrijf ANKAD.

USB-dongles zijn de opvolgers van contact-smartcards. Daarom zijn de structuren van USB-sleutels en smartcards, evenals de volumes van vergelijkbare opslagapparaten, praktisch identiek. USB-sleutels kunnen zijn:

• verwerker - controle en gegevensverwerking;
• cryptografische processor - implementatie van algoritmen GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 en andere cryptografische transformaties;
• USB-controller - biedt een interface met een USB-poort voor een computer;
• RAM - opslag van variabele gegevens;
• EEPROM - opslag van coderingssleutels, wachtwoorden, certificaten en andere belangrijke gegevens;
• ROM - het opslaan van commando's en constanten.

Gecombineerde systemen

De introductie van gecombineerde SIA (zie tabel 3) in het informatiebeveiligingssysteem van het bedrijf verhoogt het aantal identificatiefuncties, waardoor het mogelijk wordt om computers en het bedrijfsnetwerk beter te beschermen tegen ongeoorloofde aanvallen. Bovendien zijn sommige soorten systemen in staat om fysieke toegang tot gebouwen en terreinen te beheren en te controleren.

Tabel 3 - De belangrijkste functies van de gecombineerde SIA

Tegenwoordig zijn er op de computerbeveiligingsmarkt gecombineerde identificatie- en authenticatiesystemen van de volgende typen:

• systemen op basis van contactloze smartcards en USB-sleutels;
• systemen op basis van hybride smartcards;
• bio-elektronische systemen.

Contactloze smartcards en USB-dongles

De hardware-integratie van USB-dongles en contactloze smartcards houdt in dat een antenne en een microschakeling die een contactloze interface ondersteunen, in de behuizing van de sleutelhanger zijn ingebouwd. Dit maakt het mogelijk om één identificatiecode te gebruiken om de toegangscontrole tot zowel de computer als de kantoorruimte te organiseren. Om het kantoor te betreden, gebruikt de medewerker zijn identificatiecode als contactloze kaart en bij toegang tot beveiligde computergegevens als USB-sleutel. Bovendien haalt hij bij het verlaten van de kamer de identifier uit de USB-connector (zodat hij later terug kan) en blokkeert daarmee automatisch de werking van de computer.

In 2004 verschenen twee gecombineerde identificatiecodes van dit type op de Russische markt:

• RFiKey - ontwikkeld door Rainbow Technologies;
• eToken PRO RM - ontwikkeld door Aladdin Software Security R.D. ...

De RFiKey (Figuur 2) is een USB iKey met een ingebouwde Proximity-chip die is ontwikkeld door HID Corporation.

Afbeelding 2 - RFiKey-ID

RFiKey-product ondersteunt USB 1.1 / 2.0-interface en werkt met lezers van HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) en het Russische bedrijf Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader ) ...

De belangrijkste kenmerken van RFiKey zijn de volgende indicatoren:

• werkfrequentie van de Proximity-microschakeling - 125 kHz;
• kloksnelheid processor - 12 MHz;
• geïmplementeerde cryptografische algoritmen - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
• ondersteunde standaarden - PKCS # 11, MS Crypto API, PC / SC;
• bestandssysteem met drie niveaus van gegevenstoegang;
• Ondersteunde besturingssystemen - Windows 95/98 / ME / NT4 (SP3) / 2000 / XP / 2003.

De eToken RM-identifier is een eToken Pro USB-dongle met een ingebouwde chip die een contactloze interface ondersteunt (Fig. 3). De klant kan de leverancier en het type microschakeling kiezen op basis van zijn behoeften. Momenteel biedt het bedrijf radiochips aan van HID Corporation, EM Microelectronic-Marin, Philips Electronics (MIFARE-technologie), Cotag International en JSC Angstrem.

Afbeelding 3 - eToken RM-ID

De passieve radiofrequentie-identificatiecode BIM-002 van het binnenlandse bedrijf "Angstrem" is bijvoorbeeld gemaakt in de vorm van een ronde markering. Het is gebouwd op basis van de KB5004XK1-microschakeling, die is gebaseerd op 64-bits EPROM-geheugen en een programmeereenheid die wordt gebruikt om een ​​unieke identificatiecode te schrijven.

De belangrijkste kenmerken van eToken RM met een ingebouwde BIM-002-identifier zijn de volgende indicatoren:

• frequentie van BIM-002 werking - 13,56 MHz;
• leesbereik identificatiecode - tot 30 mm;
• kloksnelheid processor - 6 MHz;
• geïmplementeerde cryptografische algoritmen - RSA-1024, DES, 3DES, SHA-1;
• de aanwezigheid van een hardwarematige generator voor willekeurige getallen;
• ondersteunde standaarden - PKCS # 11, PKCS # 15 (CRYPTOKI), MS Crypto API, PC / SC, X.509 v3, SSL v3, S / MIME, IPSec / IKE, GINA, RAS / Radius / PAP / CHAP / PAP;
• Ondersteunde besturingssystemen - Windows 98 / ME / NT / 2000 / XP / 2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Op de binnenlandse markt zijn de geschatte prijzen voor gecombineerde ID's: RFiKey 1032 - vanaf $ 41, RFiKey 2032 en RFiKey 3000 - vanaf $ 57, eToken RM met 32 ​​KB beveiligd geheugen en BIM-002 - vanaf $ 52.

Het verschil tussen de kosten van combo- en gewone USB-dongles is ongeveer hetzelfde als de prijs van een Proximity-smartcard. Hieruit volgt dat de integratie van contactloze smartcards en USB-sleutels leidt tot bijna geen verhoging van de hardwarekosten bij de overstap naar een gecombineerd identificatie- en authenticatiesysteem. De uitbetaling is duidelijk: één identifier in plaats van twee.

Hybride smartcards

Hybride smartcards bevatten verschillende chips die niet met elkaar verbonden zijn (Figuur 4). Eén chip ondersteunt contactinterface, andere (Proximity, ISO 14443/15693) contactloos. Net als bij de integratie van USB-sleutels en contactloze smartcards, lossen SIA's op basis van hybride smartcards een dubbel probleem op: bescherming tegen geknoei met computers en in de gebouwen van het bedrijf waar ze worden bewaard. Daarnaast wordt een foto van de medewerker op de chipkaart geplaatst, waarmee hij visueel kan worden geïdentificeerd.

Figuur 4 - Structuur van een hybride smartcard

De wens om contactloze radiofrequentie- en contact-smartcardtechnologieën te integreren, wordt weerspiegeld in de ontwikkeling van veel bedrijven: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems, enz.

HID Corporation, een toonaangevende ontwikkelaar van SIA op basis van contactloze identificatiemiddelen, heeft bijvoorbeeld ID-kaarten uitgebracht die verschillende technologieën combineren voor het lezen van identificatieborden. Het resultaat van deze ontwikkelingen was de creatie van hybride smartcards:

• Smart ISOProx II - integratie van een Proximity-chip en een chip met een contactinterface (optioneel);
• iCLASS - Integratie van ISO / IEC 15693-chip en pin-interfacechip (optioneel);
• iCLASS Prox - Integratie van Proximity Chip, ISO / IEC 15693 Chip en Contact Interface Chip (optioneel).

Op de binnenlandse markt zijn de prijzen voor deze producten: iCLASS - vanaf $ 5,1; Slimme ISOProx II - vanaf $ 5,7; iCLASS Prox - vanaf $ 8,9.

In Rusland heeft Aladdin Software Security R.D. een technologie voor de productie van hybride smartcards eToken Pro / SC RM is ontwikkeld. Daarin zijn microschakelingen met een eToken Pro-contactinterface ingebed in contactloze smartcards. Het bedrijf biedt smartcards verschillende fabrikanten: JSC Angstrem (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (MIFARE-technologie) en anderen. De keuze voor de combinatiemogelijkheid wordt bepaald door de klant.

Een analyse van de financiële kosten van het overstappen op hybride smartcards, zoals bij het combineren van contactloze smartcards en USB-sleutels, bevestigt opnieuw de triomf van het 'twee in één'-principe. Als je een foto van een medewerker op de identifier plaatst, dan wordt dit principe omgezet in “drie in één”.

Bio-elektronische systemen

Om computers te beschermen tegen geknoei, worden biometrische systemen meestal gecombineerd met twee klassen elektronische SIA - op basis van contact-smartcards en op basis van USB-sleutels.

Integratie met elektronische systemen op basis van contactloze smartcards, wordt het voornamelijk gebruikt in toegangscontrolesystemen voor fysieke ruimtes.

Zoals reeds opgemerkt, zijn technologieën voor vingerafdrukidentificatie tegenwoordig toonaangevend op de biometrische beveiligingsmarkt. Zo'n eervolle plaats voor het nemen van vingerafdrukken is te wijten aan de volgende omstandigheden:

• het is de oudste en meest bestudeerde herkenningsmethode;
• het biometrische kenmerk is stabiel: het oppervlak van de huid op de vinger verandert niet in de loop van de tijd;
• hoge waarden van herke(volgens de verklaringen van de ontwikkelaars van vingerafdrukbeveiligingstools is de kans op een valse weigering van toegang 10-2 en de kans op een valse toegang is 10-9);
• eenvoud en gemak van de scanprocedure;
• ergonomie en kleine afmetingen van het scanapparaat;
• het meest lage prijs tussen biometrische identificatiesystemen.

Als gevolg hiervan zijn vingerafdrukscanners de meest gebruikte geworden deel van gecombineerde SIA, gebruikt om computers te beschermen tegen sabotage. Op de tweede plaats qua prevalentie in de markt voor computerbeveiliging staan ​​SIA's op basis van contact-smartcards.

Voorbeelden van dit soort integratie zijn Precise 100 MC (Fig. 5) en AET60 BioCARDKey (Fig. 6) van respectievelijk Precise Biometrics AB en Advanced Card Systems. Om toegang te krijgen tot informatiebronnen van een computer met behulp van deze tools, moet de gebruiker een smartcard in de lezer steken en zijn vinger op de scanner leggen. Vingerafdruksjablonen worden versleuteld opgeslagen in het beveiligde geheugen van de smartcard. Als de afbeelding van de vingerafdruk overeenkomt met de sjabloon, is toegang tot de computer toegestaan. De gebruiker is zeer tevreden: het is niet nodig om een ​​wachtwoord of pincode te onthouden, de procedure om in te loggen in het systeem is sterk vereenvoudigd.

Afbeelding 5 - Product Precieze 100 MC

Afbeelding 6 - Product AET60 BioCARDKey

De Precise 100 MC en AET60 BioCARDKey zijn USB-apparaten die werken in Windows-omgeving... Smartcardlezers ondersteunen alle soorten microprocessorkaarten die voldoen aan de ISO 7816-3-standaard (protocollen T = 0, T = 1). Vingerafdruklezers zijn scanners capacitief type: met scansnelheden van respectievelijk 4 en 14 vingerafdrukken per seconde voor de Precise 100 MC en AET60 BioCARDKey.

Om het aantal randapparatuur te verminderen, kunt u een vingerafdrukscanner en smartcardlezer integreren in het USB-toetsenbord van de beveiligde computer. Voorbeelden van dergelijke apparaten zijn de KBPC-CID (Fig. 7) van de Fujitsu Siemens Computers alliantie, het Precise 100 SC Keyboard (Fig. 8) en het Precise 100 MC Keyboard van Precise Biometrics AB.

Afbeelding 7 - Product KBPC-CID

Afbeelding 8 - Product Precise 100 SC-toetsenbord

Om toegang te krijgen tot de informatiebronnen van de computer, zoals in de vorige versie, moet de gebruiker de smartcard in de lezer plaatsen en zijn vinger op de scanner leggen. Het lijkt een interessante en veelbelovende beslissing van de ontwikkelaars van gecombineerde beveiligingssystemen om een ​​USB-dongle te combineren met een (hierna zullen we zo'n apparaat een USB-biokey noemen). Een voorbeeld van deze oplossing is de FingerQuick USB biokey (Fig. 9) van het Japanse bedrijf NTT Electronics en de ClearedKey (Fig. 10) van het Amerikaanse Priva Technologies.

Afbeelding 9 - FingerQuick USB-biokey

Afbeelding 10 - USB Biokey ClearedKey

In de nabije toekomst kunnen USB-biosleutels wijdverbreid worden vanwege hun voordelen:

• hoog beveiligingsniveau (beschikbaarheid) vingerafdrukscanner, opslag van geheime gegevens, met name vingerafdruksjablonen, in het beschermde niet-vluchtige geheugen van de identifier, encryptie van gegevensuitwisseling met een computer);
• hardware-implementatie van cryptografische transformaties;
• gebrek aan een hardwarelezer;
• uniciteit van de functie, kleine omvang en gemak van opslag van identifiers.

Het grootste nadeel van USB-biosleutels is hun hoge prijs. FingerQuick kost bijvoorbeeld ongeveer $ 190.

Gevolgtrekking

Op het eerste gezicht vertegenwoordigen de gecombineerde identificatie- en authenticatiesystemen een soort dure, exotische producten. Maar de wereldervaring met de ontwikkeling van computerbeveiligingssystemen leert dat alle momenteel gebruikte beveiligingsproducten ooit ook zulke exotische producten waren. En nu zijn ze de norm voor een veilig leven. Daarom is het zeer waarschijnlijk dat gecombineerde systemen een soortgelijk lot te wachten staan.