Trang Chủ-Từ-Tóm tắt: Hệ thống nhận dạng và xác thực sinh trắc học. Nhận dạng hình dạng bàn tay

Tóm tắt: Hệ thống nhận dạng và xác thực sinh trắc học. Nhận dạng hình dạng bàn tay

Công nghệ sinh trắc học dựa trên sinh trắc học, phép đo các đặc điểm riêng biệt của một người. Đây có thể là những dấu hiệu duy nhất mà anh ta nhận được từ khi sinh ra, ví dụ: DNA, dấu vân tay, mống mắt; cũng như các đặc điểm có được theo thời gian hoặc có khả năng thay đổi theo độ tuổi hoặc ảnh hưởng bên ngoài, ví dụ: chữ viết tay, giọng nói hoặc dáng đi.

Nguyên lý hoạt động

Tất cả các hệ thống sinh trắc học đều hoạt động theo cùng một cách. Đầu tiên, hệ thống ghi nhớ một mẫu đặc tính sinh trắc học (đây được gọi là quá trình ghi). Trong quá trình ghi, một số hệ thống sinh trắc học có thể yêu cầu lấy nhiều mẫu để tạo ra hình ảnh chính xác nhất về đặc tính sinh trắc học. Sau đó, thông tin nhận được sẽ được xử lý và chuyển thành mã toán học. Ngoài ra, hệ thống có thể yêu cầu bạn thực hiện thêm một số thao tác để “gán” mẫu sinh trắc học cho một người cụ thể. Ví dụ, cá nhân một số nhận dạng(PIN) được gắn vào một hình cụ thể hoặc một thẻ thông minh có chứa hình đó được lắp vào đầu đọc. Trong trường hợp này, một mẫu sinh trắc học được lấy lại và so sánh với mẫu đã nộp. Việc nhận dạng bằng bất kỳ hệ thống sinh trắc học nào trải qua bốn giai đoạn:

  • Bản ghi - một mẫu vật lý hoặc hành vi được hệ thống ghi nhớ;
  • Trích xuất - thông tin duy nhất được trích xuất từ ​​mẫu và một mẫu sinh trắc học được tổng hợp;
  • So sánh - mẫu đã lưu được so sánh với mẫu đã trình bày;
  • Khớp / Không khớp - Hệ thống quyết định xem các mẫu sinh trắc học có khớp hay không và đưa ra quyết định.

Đại đa số mọi người tin rằng mẫu dấu vân tay, giọng nói của một người hoặc hình ảnh mống mắt của mắt người đó được lưu trữ trong bộ nhớ của máy tính. Nhưng trên thực tế, trong hầu hết các hệ thống hiện đại, điều này không xảy ra. Cơ sở dữ liệu đặc biệt lưu trữ mã kỹ thuật số dài tới 1000 bit, được liên kết với người cụ thể với quyền truy cập. Máy quét hoặc bất kỳ thiết bị nào khác được sử dụng trong hệ thống đọc một thông số sinh học nhất định của một người. Tiếp theo, nó xử lý hình ảnh hoặc âm thanh thu được, chuyển chúng thành mã kỹ thuật số. Đây là chìa khóa được so sánh với nội dung cơ sở đặc biệt dữ liệu để nhận dạng cá nhân.

Các phương pháp nhận dạng tĩnh

Bằng dấu vân tay

Phương pháp này dựa trên sự độc đáo đối với từng người của hình thái các nốt sùi mào gà trên ngón tay. Bản in nhận được với sự trợ giúp của máy quét đặc biệt được chuyển đổi thành mã kỹ thuật số (tích chập) và được so sánh với tiêu chuẩn đã giới thiệu trước đó. Công nghệ này là phổ biến nhất so với các phương pháp khác. xác thực sinh trắc học.

Theo hình dạng của lòng bàn tay

Phương pháp này dựa trên hình học của bàn tay. Qua thiết bị đặc biệt, bao gồm một máy ảnh và một số điốt chiếu sáng, lần lượt được bật lên, cho các hình chiếu của lòng bàn tay, một hình ảnh ba chiều của bàn tay được xây dựng, theo đó tích chập được hình thành và người được xác định.

Theo vị trí của các tĩnh mạch ở mặt trước của lòng bàn tay

Với sự trợ giúp của máy ảnh hồng ngoại, mô hình của các tĩnh mạch ở mặt trước của lòng bàn tay hoặc bàn tay sẽ được đọc. Hình ảnh kết quả được xử lý và một tích chập kỹ thuật số được hình thành theo sự sắp xếp của các tĩnh mạch.

Trên võng mạc

Chính xác hơn, phương pháp này được gọi là xác định bằng mô hình của các mạch máu của quỹ đạo. Để hình ảnh này có thể nhìn thấy được, bạn cần nhìn vào một điểm sáng ở xa, quỹ đạo của mắt được chiếu sáng và quét bởi một máy ảnh đặc biệt.

Trên mống mắt của mắt

Hoa văn của mống mắt cũng là một đặc điểm riêng của con người. Để quét nó, có những máy ảnh cầm tay đặc biệt với phần mềm chuyên dụng. Việc công nhận diễn ra theo cách sau. Máy ảnh ghi lại hình ảnh của một phần khuôn mặt từ đó hình ảnh của mắt được trích xuất. Bản vẽ mống mắt được trích xuất từ ​​hình ảnh của mắt, theo đó một mã kỹ thuật số được xây dựng để xác định một người.

Theo hình dạng của khuôn mặt

Trong phương pháp nhận dạng này, một hình ảnh ba chiều về khuôn mặt của một người được xây dựng. Các đường nét của lông mày, mắt, mũi, môi, v.v. được làm nổi bật trên khuôn mặt, khoảng cách giữa chúng được tính toán và không chỉ là một hình ảnh được xây dựng mà còn nhiều biến thể khác của nó trong các trường hợp xoay khuôn mặt, nghiêng, thay đổi biểu cảm. . Số lượng hình ảnh khác nhau tùy thuộc vào mục đích sử dụng phương pháp này (để xác thực, xác minh, tìm kiếm từ xa trên các khu vực rộng lớn, v.v.).

Theo biểu đồ nhiệt của khuôn mặt

Phương pháp xác định này dựa trên sự phân bố độc đáo của các động mạch trên mặt cung cấp máu cho da và sinh nhiệt. Để có được một biểu đồ nhiệt, các máy ảnh hồng ngoại đặc biệt được sử dụng. Không giống như nhận dạng bằng hình dạng khuôn mặt, phương pháp này cho phép bạn phân biệt giữa các cặp song sinh. .

Bằng DNA

Những lợi thế của phương pháp này là rõ ràng. Tuy nhiên, các phương pháp hiện có để lấy và xử lý DNA mất rất nhiều thời gian nên chúng chỉ có thể được sử dụng cho các cuộc kiểm tra chuyên khoa.

Các phương pháp nhận dạng tĩnh khác

Có những phương pháp nhận dạng khác bằng các đặc điểm sinh trắc học của một người. Chỉ những điểm chung nhất trong số chúng được mô tả ở đây. Ví dụ, có những phương pháp độc đáo như xác định bằng lớp dưới da, bằng thể tích ngón tay được chỉ định để quét, hình dạng của tai, mùi cơ thể, v.v.

Phương pháp động

Các phương pháp xác thực sinh trắc học động dựa trên các đặc điểm hành vi (năng động) của một người, tức là chúng được xây dựng dựa trên các đặc điểm đặc trưng của chuyển động tiềm thức trong quá trình tái tạo một hành động.

Bằng chữ viết tay

Theo quy định, đối với loại hình nhận dạng một người, bức tranh của anh ta được sử dụng (đôi khi viết một từ mã). Mã nhận dạng kỹ thuật số được tạo, tùy thuộc vào mức độ bảo vệ cần thiết và tính khả dụng của thiết bị (máy tính bảng đồ họa, màn hình máy tính bỏ túi Palm, v.v.), hai loại:

  • Theo bản thân bức tranh (để xác định mức độ trùng khớp của hai bức tranh được sử dụng đơn giản);
  • Theo cách vẽ và đặc điểm động của chữ viết (để xác định, một phép chập được xây dựng, bao gồm thông tin về bức vẽ, đặc điểm thời gian của bức tranh và các đặc điểm thống kê về động lực của áp lực trên bề mặt).

Bằng bàn phím viết tay

Phương pháp nói chung tương tự như phương pháp được mô tả ở trên, nhưng thay vì tô vẽ, một từ mã nhất định được sử dụng (khi mật khẩu cá nhân của người dùng được sử dụng cho việc này, xác thực đó được gọi là xác thực hai yếu tố) và không cần thiết bị đặc biệt, ngoại trừ một bàn phím tiêu chuẩn. Đặc điểm chính, theo đó tích chập được xây dựng để nhận dạng, là tính năng động của tập hợp từ mã.

Đây là một trong những công nghệ sinh trắc học lâu đời nhất. Hiện tại, sự phát triển của nó ngày càng mạnh mẽ, nó có một tương lai lớn và được sử dụng rộng rãi trong việc xây dựng các "tòa nhà thông minh". Có khá nhiều cách để tạo mã nhận dạng bằng giọng nói, theo quy luật, đây là kết hợp khác nhau tần số và đặc điểm thống kê bỏ phiếu.

Các phương pháp nhận dạng động khác

Đối với nhóm phương pháp này, chỉ mô tả các phương pháp phổ biến nhất, cũng có các phương pháp độc đáo như nhận dạng bằng chuyển động của môi khi tái tạo từ mã, bằng động lực vặn chìa khóa cửa, v.v.

Ứng dụng

Công nghệ sinh trắc học được sử dụng tích cực trong nhiều lĩnh vực liên quan đến việc đảm bảo an ninh cho quyền truy cập thông tin và các đối tượng vật chất, cũng như trong các nhiệm vụ nhận dạng duy nhất của một người, nhằm:

  • Kiểm soát truy cập;
  • Bảo vệ thông tin;
  • Nhận dạng khách hàng.

Tiêu chuẩn

BioAPI là một tiêu chuẩn của BioAPI Consortium được thiết kế đặc biệt cho sự thống nhất giao diện phần mềm phần mềm dành cho các nhà phát triển thiết bị sinh trắc học.

Định dạng tối thiểu dấu vân tay AAMVA / Tiêu chuẩn quốc gia cho Giấy phép lái xe / Thẻ nhận dạng DL / ID-2000- Tiêu chuẩn Hoa Kỳ về định dạng trình bày, lưu trữ và truyền dấu vân tay cho bằng lái xe. Tương thích với thông số kỹ thuật BioAPI và tiêu chuẩn CBEFF.

CBEFF (Định dạng tệp trao đổi sinh trắc học chung)định dạng đơn trình bày dữ liệu sinh trắc học, được đề xuất để thay thế các định dạng sinh trắc học được các nhà sản xuất thuộc các phân khúc khác nhau của thị trường hệ thống sinh trắc học sử dụng trong phần cứng và phần mềm của họ. Khi tạo CBEFF, tất cả các khía cạnh có thể có của ứng dụng của nó đã được tính đến, bao gồm mật mã, nhận dạng sinh trắc học đa yếu tố và tích hợp với hệ thống nhận dạng thẻ.

CDSA / HRS (Dịch vụ Nhận dạng Con người)- một mô-đun sinh trắc học trong Kiến trúc Bảo mật Dữ liệu Chung, được phát triển bởi Phòng thí nghiệm Kiến trúc Intel và được tập đoàn Open Group phê duyệt. CDSA định nghĩa một tập hợp các API, là một tập hợp các chức năng được kết nối hợp lý bao gồm các thành phần bảo mật như mã hóa, chứng chỉ kỹ thuật số, các phương pháp xác thực người dùng khác nhau, vào danh sách mà nhờ HRS, sinh trắc học cũng đã được thêm vào. CDSA / HRS tuân thủ các thông số kỹ thuật của BioAPI và tiêu chuẩn CBEFF.

Bản sửa đổi tiêu chuẩn vân tay ANSI / NIST-ITL 1-2000 là một tiêu chuẩn của Mỹ xác định một định dạng chung cho việc trình bày và truyền dữ liệu về dấu vân tay, khuôn mặt, vết sẹo trên cơ thể và hình xăm để các cơ quan thực thi pháp luật Hoa Kỳ sử dụng.

Ở Nga, các vấn đề tiêu chuẩn hóa thuộc thẩm quyền của tiểu ban liên quan của Ủy ban kỹ thuật quốc gia về tiêu chuẩn hóa TK 355, từ năm 2003 đã đại diện cho Liên bang Nga trong tiểu ban quốc tế về tiêu chuẩn hóa trong lĩnh vực sinh trắc học. ISO / IEC JTC1 / SC37“Sinh trắc học” (ISO / IEC STK 1 / PK37 "Sinh trắc học").

một hệ thống nhận dạng và xác thực ( ESIA) - một hệ thống thông tin ở Liên bang Nga cung cấp quyền truy cập được phép cho những người tham gia tương tác thông tin (người nộp đơn là công dân và các quan chức của cơ quan hành pháp) đối với thông tin được công khai hệ thông thông tinà và các hệ thống thông tin khác.

ESIA - mật khẩu cho mọi trường hợp.

ESIA là gì?

ESIA là Hệ thống Nhận dạng và Xác thực Hợp nhất. Một mật khẩu để truy cập tất cả các trang web của chính phủ.

Tại sao cần có ESIA?

Với mật khẩu ESIA, bạn không cần phải đăng ký mọi lúc trên mọi trang web của chính phủ.

ESIA - mật khẩu cho mọi trường hợp. Cảm ơn anh ấy, ngay tại nhà, bằng cách sử dụng Internet:

Đặt lịch hẹn với bác sĩ trực tuyến

Tìm hiểu về mức phạt cảnh sát giao thông của bạn

Đăng ký kết hôn

Trả tiền cho "tiện ích"

· Đăng ký xe

・ Được trợ cấp khi mang thai

· Báo cáo vấn đề của thành phố và nhận giải pháp sau 10 ngày

Và nhiều dịch vụ và dịch vụ khác thông qua các thông tin xác thực duy nhất!

Dữ liệu cá nhân được bảo vệ như thế nào? Ai có quyền truy cập vào chúng?

Chỉ chủ sở hữu của mật khẩu mới có quyền truy cập vào dữ liệu cá nhân.

Dữ liệu được truyền độc quyền qua các kênh an toàn với mức mã hóa cao nhất

· hệ thống bảo mật thông tin tuân thủ tiêu chuẩn bảo vệ dữ liệu cao nhất K1

Tất cả thông tin được lưu trữ trên các máy chủ trạng thái an toàn

Bạn cần những gì để đăng ký ESIA?

1. Hộ chiếu và SNILS - để xác nhận danh tính,

2. Số điện thoại di động - để xác nhận đăng ký.

Làm thế nào để lấy mật khẩu?

1. Vào trang đăng ký, nhập Họ, Tên và số điện thoại liên hệ. Sau đó bấm vào nút "Đăng ký"

2. Một mã xác nhận sẽ được gửi đến điện thoại của bạn. Nhập nó và nhấp vào nút "Xác nhận"

3. Đặt mật khẩu của bạn và nhấp vào nút "Lưu"

4. Đăng nhập vào ESIA bằng số điện thoại và mật khẩu của bạn.

5. Nhập dữ liệu cá nhân của bạn (đừng quên cho biết tên đệm của bạn) và chờ xác nhận trong vòng năm phút!

Tài khoản "Đã xác minh" và "Chưa xác minh" có nghĩa là gì?

· mật khẩu chưa được xác nhận cung cấp các tùy chọn hạn chế, chẳng hạn như quyền truy cập vào dịch vụ thông tin, ví dụ, xem các khoản nợ và tiền phạt.

· từ mật khẩu xác nhận bạn có thể nhận bất kỳ dịch vụ điện tử nào trong số 119 dịch vụ điện tử có sẵn trên các cổng dịch vụ công của liên bang và khu vực và sử dụng tất cả các dịch vụ có sẵn mà không bị hạn chế.

Trong phần này, một số biện pháp kỹ thuật để cải thiện tính bảo mật của hệ thống sẽ được xem xét. Việc lựa chọn các biện pháp đang được xem xét là do khả năng thực hiện chúng bằng các phương tiện tích hợp của hệ điều hành thuộc họ Microsoft Windows. Theo đó, mức độ bảo mật có thể được tăng lên mà không cần tốn thêm chi phí cho các công cụ bảo vệ chuyên dụng.

Trong phần lý thuyết của khóa học sẽ có các phương pháp làm cơ sở cho các công cụ và cơ chế tương ứng. Phòng thí nghiệm bao gồm các cài đặt cụ thể cho hệ điều hành.

Các vấn đề đang được xem xét có thể được chia thành hai nhóm:

  • câu hỏi liên quan đến nhận dạng và xác thực người dùng;
  • bảo vệ các thông điệp được truyền đi.

Nhận dạng và xác thực

Nhận biết- gán cho người dùng số nhận dạng (tên hoặc nhãn duy nhất) mà theo đó hệ thống "biết" người dùng. Ngoài việc xác định người dùng, có thể tiến hành xác định nhóm người dùng, tài nguyên IP, v.v. Nhận dạng cũng cần thiết cho các tác vụ hệ thống khác, chẳng hạn như ghi nhật ký sự kiện. Trong hầu hết các trường hợp, nhận dạng đi kèm với xác thực. Xác thực- Xác thực - xác minh quyền sở hữu của người dùng định danh do anh ta xuất trình. Ví dụ: ở đầu phiên trong IS, người dùng nhập tên và mật khẩu. Dựa trên những dữ liệu này, hệ thống thực hiện nhận dạng (theo tên người dùng) và xác thực (bằng cách đối sánh tên tài khoản và mật khẩu đã nhập).

Hệ thống nhận dạng và xác thực là một trong những yếu tố quan trọng của cơ sở hạ tầng để bảo vệ chống lại sự truy cập trái phép (UAS) của bất kỳ hệ thống thông tin nào. Theo mô hình bảo mật phân lớp đã thảo luận trước đó, xác thực người dùng máy tính thuộc cấp độ bảo vệ máy chủ.

Thường có 3 nhóm phương pháp xác thực.

  1. Xác thực dựa trên việc liệu người dùng có một đối tượng duy nhất của một loại nhất định hay không. Loại phương thức xác thực này đôi khi được gọi bằng tiếng Anh là "I have". Một ví dụ là xác thực bằng thẻ thông minh hoặc khóa USB điện tử.
  2. Xác thực dựa trên thực tế là người dùng biết một số thông tin bí mật - "Tôi biết" ("Tôi biết"). Ví dụ: xác thực mật khẩu. Hệ thống mật khẩu sẽ được thảo luận chi tiết hơn ở phần sau của phần này.
  3. Xác thực người dùng bằng các đặc điểm độc đáo của riêng anh ta - "Tôi là" ("Tôi là"). Các phương pháp này còn được gọi là sinh trắc học.

Thông thường, các lược đồ xác thực kết hợp được sử dụng để kết hợp các phương thức từ các lớp khác nhau. Ví dụ, xác thực hai yếu tố - người dùng xuất trình thẻ thông minh cho hệ thống và nhập mã pin để kích hoạt thẻ.

Phổ biến nhất hiện nay là mật khẩu. hệ thống xác thực. Người dùng có một id và một mật khẩu, tức là thông tin bí mật chỉ được biết đến với người dùng (và có thể cả hệ thống) được sử dụng để xác thực.

Tùy thuộc vào việc triển khai hệ thống, mật khẩu có thể được sử dụng một lần hoặc tái sử dụng. Hệ điều hành thường thực hiện xác thực bằng mật khẩu có thể sử dụng lại. Tập hợp số nhận dạng, mật khẩu và, có thể, thông tin bổ sung dùng để mô tả người dùng là tài khoản người dùng.

Nếu một kẻ xâm nhập biết mật khẩu của một người dùng hợp pháp, thì chẳng hạn, hắn có thể đăng nhập bằng tài khoản của mình và có quyền truy cập vào dữ liệu bí mật. Do đó, việc bảo mật bằng mật khẩu cần được đặc biệt chú ý.

Như đã lưu ý khi xem xét tiêu chuẩn ISO 17799, người dùng của hệ thống nên ký vào tài liệu bảo mật bằng mật khẩu. Nhưng kẻ xâm nhập cũng có thể cố gắng đoán mật khẩu, đoán mật khẩu, chặn nó, v.v. Chúng ta hãy xem xét một số khuyến nghị về quản lý hệ thống mật khẩu để giảm khả năng xảy ra các mối đe dọa như vậy.

  1. Đặt độ dài tối thiểu của mật khẩu được sử dụng trong hệ thống. Điều này làm phức tạp cuộc tấn công bằng cách đoán mật khẩu. Theo quy định, bạn nên đặt độ dài tối thiểu là 6-8 ký tự.
  2. Đặt ra yêu cầu sử dụng các nhóm ký tự khác nhau trong mật khẩu - chữ hoa và chữ thường, số, ký tự đặc biệt. Nó cũng làm cho việc lựa chọn trở nên khó khăn.
  3. Kiểm tra định kỳ quản trị viên bảo mật chất lượng của mật khẩu được sử dụng bằng cách mô phỏng các cuộc tấn công như đoán từ điển (tức là kiểm tra các từ ngôn ngữ tự nhiên và các tổ hợp ký tự đơn giản như "1234") làm mật khẩu.
  4. Đặt thời gian tồn tại của mật khẩu tối đa và tối thiểu, sử dụng cơ chế bắt buộc thay đổi mật khẩu cũ.
  5. Giới hạn số lần nhập mật khẩu không thành công (khóa tài khoản sau một số lần nhập không thành công được chỉ định vào hệ thống).
  6. Ghi nhật ký lịch sử mật khẩu để người dùng, sau khi bắt buộc thay đổi mật khẩu, không thể chọn lại mật khẩu cũ, có thể bị xâm phạm.

Các hệ điều hành hiện đại thuộc họ Windows cho phép bạn thực hiện các cài đặt tự động kiểm soát việc thực hiện các yêu cầu 1,2,4-6. Khi sử dụng miền Windows, các yêu cầu này có thể được mở rộng cho tất cả các máy tính là thành viên của miền và do đó tăng tính bảo mật của toàn bộ mạng.

Nhưng với sự ra đời của các cơ chế bảo vệ mới, những hậu quả không mong muốn có thể xuất hiện. Ví dụ: các yêu cầu về độ "phức tạp" của mật khẩu có thể gây nhầm lẫn cho người dùng không được đào tạo bài bản. TRONG trường hợp này sẽ cần được giải thích rằng, từ quan điểm của hoạt động Hệ thống Windows mật khẩu mạnh chứa 3 trong số 4 nhóm ký tự (chữ in hoa, chữ nhỏ, số, ký tự đặc biệt). Tương tự, người dùng nên chuẩn bị cho việc khóa tài khoản sau nhiều lần thử mật khẩu không thành công. Cần phải giải thích cho người dùng những gì đang xảy ra và bản thân các quy tắc chặn cũng phải được suy nghĩ kỹ càng. Ví dụ: nếu người dùng có khả năng cao sẽ chặn tài khoản của mình khi không có quản trị viên, tốt hơn nên đặt chặn không phải vĩnh viễn mà trong một khoảng thời gian nhất định (30 phút, một giờ, v.v.).

Điều này dẫn đến nhu cầu xây dựng chính sách quản lý mật khẩu tài liệu kèm theo nó, và sau đó việc thực hiện đã được thực hiện.

Khi sử dụng hệ điều hành họ Windows, bạn có thể xác định các tài khoản có mật khẩu yếu hoặc bị thiếu, chẳng hạn như sử dụng tiện ích Microsoft Baseline Security Analyzer. Nó cũng cho phép bạn xác định các lỗi quản trị khác. Lab 3 dành cho việc sử dụng tiện ích này, cũng như thiết lập chính sách mật khẩu.

Giao thức Kerberos được phát triển tại Viện Công nghệ Massachusetts vào giữa những năm 1980 và hiện là tiêu chuẩn thực tế để xác thực tập trung và phân phối chính mã hóa đối xứng. Được hỗ trợ bởi các hệ điều hành thuộc họ Unix, Windows (bắt đầu từ Windows "2000"), có các triển khai cho Mac OS.

Trên mạng Windows (bắt đầu với Windows "2000 Serv."), Xác thực Kerberos v.5 (RFC 1510) được triển khai ở cấp miền. Kerberos là giao thức xác thực chính trong miền, nhưng để tương thích với các phiên bản trước, NTLM cũng được hỗ trợ.

Trước khi xem xét cách hoạt động của Kerberos, hãy xem tại sao nó được phát triển ban đầu. tập trung phân phối chính mã hóa đối xứng ngụ ý rằng mỗi thuê bao mạng chỉ có một khóa chính, được sử dụng để liên lạc với trung tâm phân phối chính(máy chủ chính). Để có được khóa mã hóa nhằm bảo vệ việc trao đổi dữ liệu với người đăng ký khác, người dùng liên hệ với máy chủ khóa, máy chủ này sẽ chỉ định cho người dùng này và người đăng ký tương ứng một phiên khóa đối xứng.

Giao thức Kerberos cung cấp phân phối chính mã hóa đối xứng và xác thực người dùng làm việc trong mạng không an toàn. Việc triển khai Kerberos là hệ thống phần mềmđược xây dựng trên kiến ​​trúc máy khách-máy chủ. Phần máy khách được cài đặt trên tất cả các máy tính của mạng được bảo vệ, ngoại trừ những máy tính đã cài đặt cấu phần máy chủ Kerberos. Đặc biệt, vai trò của các ứng dụng khách Kerberos có thể máy chủ mạng (máy chủ tập tin, máy chủ in, v.v.).

Phần cuối của Kerberos được gọi là trung tâm phân phối chính(trung tâm phân phối chính của công ty, abbr. KDC) và bao gồm hai thành phần:

  • máy chủ xác thực (máy chủ xác thực eng, abbr. AS);
  • máy chủ quyền (Máy chủ cấp vé tiếng Anh, abbr. TGS).

Đối với mỗi chủ thể mạng, máy chủ Kerberos chỉ định một khóa mã hóa đối xứng được chia sẻ với nó và duy trì cơ sở dữ liệu về các chủ thể và khóa bí mật của chúng. Sơ đồ hoạt động của giao thức Kerberos được hiển thị trong hình. 5.1.


Cơm. 5.1.

Để máy khách C bắt đầu tương tác với máy chủ SS (tiếng Anh là Service Server - máy chủ cung cấp dịch vụ mạng). Ở dạng đơn giản hơn một chút, giao thức bao gồm các bước sau [,]:

  1. C-> NHƯ: (c).

    Máy khách C gửi đến máy chủ xác thực AS mã định danh c của nó (mã định danh được truyền dưới dạng văn bản rõ ràng).

  2. AS-> C: ((TGT) K AS_TGS, K C_TGS) K C,
    • K C - khóa chính C;
    • K C_TGS - khóa do C cấp để truy cập máy chủ quyền TGS ;
    • (TGT) - Ticket Granting Ticket - vé vào máy chủ cấp giấy phép

    (TGT) = (c, tgs, t 1, p 1, K C_TGS), ở đâu tgs- mã định danh của máy chủ cấp giấy phép, t 1 - dấu thời gian, p 1 - thời hạn hiệu lực của vé.

    Tại bước này, máy chủ xác thực AS, sau khi xác minh rằng máy khách C có trong cơ sở dữ liệu của nó, trả về cho nó một vé để truy cập máy chủ ủy quyền và một khóa để tương tác với máy chủ ủy quyền. Toàn bộ gói được mã hóa bằng khóa C của máy khách. Do đó, ngay cả khi ở bước đầu tiên của tương tác, mã định danh c không được gửi bởi máy khách C mà bởi kẻ xâm nhập X, thì X sẽ không thể giải mã thông điệp nhận được từ AS.

    Không chỉ kẻ xâm nhập, mà cả khách hàng C cũng không thể truy cập nội dung của phiếu TGT, bởi vì vé được mã hóa bằng một khóa được chia sẻ giữa máy chủ xác thực và máy chủ ủy quyền.

  3. C-> TGS: (TGT) K AS_TGS, (Aut 1) K C_TGS, (ID)

    trong đó (Aut 1) - khối xác thực - Aut 1 = (с, t 2), t 2 - timestamp; ID - mã định danh của dịch vụ được yêu cầu (đặc biệt, nó có thể là mã định danh của máy chủ SS).

    Máy khách C, lần này, liên hệ với máy chủ ủy quyền TGS. Nó chuyển tiếp vé nhận được từ AS, được mã hóa bằng khóa K AS_TGS và một khối xác thực chứa mã định danh c và dấu thời gian cho biết khi nào gói được tạo. Khi nào và trong bao lâu, khóa mã hóa do máy chủ AS tạo ra để giao tiếp giữa máy khách C và máy chủ TGS. Khóa này được sử dụng để giải mã khối xác thực. Nếu nhãn trong khối khớp với nhãn trong vé, điều này chứng tỏ rằng thông điệp thực sự được tạo ra bởi C (sau cùng, chỉ anh ta biết khóa K C_TGS và có thể mã hóa chính xác mã định danh của mình). Tiếp theo, thời hạn hiệu lực của vé và thời gian khởi hành của bưu kiện được kiểm tra. 3 ). Nếu kiểm tra được thông qua và chính sách có hiệu lực trên hệ thống cho phép khách hàng C liên hệ với SS của khách hàng, thì bước 4 ).

  4. TGS -> C: ((TGS) K TGS_SS, K C_SS) K C_TGS,

    trong đó K C_SS là khóa cho tương tác C và SS, ( TGS)- Dịch vụ cấp vé - một vé để truy cập vào SS (lưu ý rằng chữ viết tắt tương tự trong mô tả giao thức cũng biểu thị máy chủ cấp giấy phép). ( TGS) = (с, ss, t 3, p 2, K C_SS).

    Bây giờ máy chủ cấp quyền TGS gửi cho máy khách C khóa mã hóa và vé cần thiết để truy cập SS máy chủ. Cấu trúc của vé giống như ở bước 2): ID của người được xuất vé; Giấy tờ tùy thân của người xuất vé; dấu thời gian; hiệu lực; khóa mã hóa.

  5. C-> SS: ( TGS) K TGS_SS, (Aut 2) K C_SS

    trong đó Aut 2 = (c, t 4).

    Máy khách C gửi vé mà nó nhận được từ máy chủ cấp và khối xác thực của nó tới SS máy chủ mà nó muốn thiết lập một phiên bảo mật. Giả định rằng SS đã đăng ký với hệ thống và được phân phối với máy chủ TGS khóa mã hóa K TGS_SS. Với khóa này, anh ta có thể giải mã vé, lấy khóa mã hóa K C_SS và xác thực người gửi tin nhắn.

  6. SS-> C: (t 4 +1) K C_SS

    Ý nghĩa của bước cuối cùng là bây giờ SS phải chứng minh tính xác thực của nó với C. Anh ta có thể làm điều này bằng cách cho thấy rằng anh ta đã giải mã chính xác tin nhắn trước đó. Đó là lý do tại sao SS lấy dấu thời gian từ khối xác thực C, thay đổi nó theo cách xác định trước (tăng thêm 1), mã hóa nó bằng khóa K C_SS và trả về C. Mạng được phân chia hợp lý thành các phạm vi máy chủ Kerberos. Vùng Kerberos là một phần của mạng có người dùng và máy chủ được đăng ký trong cơ sở dữ liệu của một máy chủ Kerberos (hoặc trong một cơ sở dữ liệu được nhiều máy chủ chia sẻ). Một khu vực có thể bao gồm một phân đoạn của mạng cục bộ, toàn bộ mạng cục bộ hoặc kết hợp một số mạng cục bộ. Sơ đồ tương tác giữa các cảnh giới Kerberos được thể hiện trong hình. 5.2.

    Để tương tác giữa các vùng, phải thực hiện đăng ký lẫn nhau các máy chủ Kerberos, trong đó máy chủ cấp phép của một vùng đăng ký như một máy khách ở một vùng khác (nghĩa là nó được nhập vào cơ sở dữ liệu của máy chủ xác thực và chia sẻ khóa với nó).

    Sau khi thiết lập các thỏa thuận chung, khách hàng từ khu vực 1 (ví dụ: K 11) có thể thiết lập một phiên làm việc với khách hàng từ khu vực 2 (ví dụ: K 21). Để thực hiện việc này, K 11 phải lấy từ máy chủ quyền của nó một vé truy cập đến máy chủ Kerberos với máy khách mà nó muốn giao tiếp (tức là máy chủ Kerberos KDC2). Vé nhận được có đánh dấu chủ sở hữu của vé được đăng ký ở khu vực nào. Vé được mã hóa bằng một khóa chia sẻ giữa máy chủ KDC1 và KDC2. Sau khi giải mã thành công vé, máy chủ Kerberos từ xa có thể chắc chắn rằng vé đã được cấp cho máy khách của vùng Kerberos mà từ đó mối quan hệ tin cậy. Hơn nữa, giao thức hoạt động như bình thường.

    nhưng cũng đảm bảo tính xác thực của nhau, nói cách khác, chúng đã xác thực lẫn nhau.

    Đối với việc triển khai giao thức Kerberos trong Windows, cần lưu ý những điều sau.

    1. Khóa của người dùng được tạo dựa trên mật khẩu của anh ta. Vì vậy, khi sử dụng mật khẩu yếu, hiệu quả bảo vệ mạnh mẽ của quá trình xác thực sẽ giảm xuống bằng không.
    2. Bộ điều khiển miền hoạt động như máy chủ Kerberos, mỗi máy chủ phải chạy dịch vụ Trung tâm phân phối khóa Kerberos (KDC). Vai trò lưu trữ thông tin về người dùng và mật khẩu do dịch vụ thư mục Active Directory đảm nhận. Khóa được chia sẻ giữa máy chủ xác thực và máy chủ ủy quyền được hình thành dựa trên mật khẩu của tài khoản dịch vụ krbtgt- mục nhập này được tạo tự động khi tổ chức miền và luôn bị chặn.
    3. Microsoft sử dụng tiện ích mở rộng Kerberos trong hệ điều hành của họ để triển khai mật mã khóa công khai. Điều này cho phép đăng ký miền và thẻ thông minh lưu trữ thông tin chính và kỹ thuật số chứng chỉ người dùng.
    4. Sử dụng Kerberos yêu cầu đồng bộ hóa đồng hồ bên trong của các máy tính là thành viên của miền Windows.

    Để tăng mức độ bảo mật của quá trình xác thực người dùng, bạn nên tắt việc sử dụng giao thức NTLM kém tin cậy hơn và chỉ để lại Kerberos (nếu hệ điều hành khách lỗi thời không yêu cầu sử dụng NTLM).

Một trong những phương pháp bảo vệ quan trọng nhất để duy trì tính bảo mật là kiểm soát truy cập. Hầu như kể từ khi tạo ra hệ điều hành nhiều người dùng đầu tiên, mật khẩu đã được sử dụng để hạn chế quyền truy cập. Hãy ghi nhớ lịch sử.

Hệ điều hành Windows 95/98 đã lưu trữ mật khẩu trong tệp PWL (thường là USERNAME.PWL) trong thư mục Windows. Tuy nhiên, điều đáng chú ý là mặc dù thực tế là nội dung của tệp PWL đã được mã hóa, nhưng việc trích xuất mật khẩu từ nó khá dễ dàng. Thuật toán mã hóa đầu tiên trong Windows 95 cho phép bạn tạo các chương trình để giải mã các tệp PWL. Tuy nhiên, trong Windows 95 OSR2, khuyết điểm này đã được khắc phục. Tuy nhiên, hệ thống bảo vệ bằng mật khẩu trong OSR2 có một số lỗ hổng nghiêm trọng, đó là:

  • tất cả mật khẩu đã được chuyển đổi thành chữ hoa, điều này làm giảm đáng kể số lượng mật khẩu có thể;
  • các thuật toán mã hóa MD5 và RC4 được sử dụng để mã hóa cho phép mã hóa mật khẩu nhanh hơn, nhưng mật khẩu Windows hợp lệ phải dài ít nhất chín ký tự.
  • hệ thống bộ nhớ đệm mật khẩu vốn dĩ không đáng tin cậy. Mật khẩu chỉ có thể được lưu nếu không có nhân viên nào có quyền truy cập vào máy tính của bạn mà không có sự cho phép thích hợp.

Các hệ điều hành hiện đang được sử dụng (Windows XP / 2000/2003) sử dụng nhiều hơn bảo vệ đáng tin cậy phương pháp xác thực mật khẩu. Nhưng đồng thời, cần phải những khuyến nghị sau đây Microsoft:

  • mật khẩu phải dài ít nhất tám ký tự;
  • mật khẩu phải có chữ hoa và chữ thường, số và các ký tự đặc biệt;
  • mật khẩu phải có giá trị không quá 42 ngày;
  • mật khẩu không được lặp lại.

Trong tương lai, những yêu cầu này sẽ trở nên nghiêm ngặt hơn. Điều này sẽ dẫn đến điều gì, hay đúng hơn, nó đã dẫn đến điều gì rồi? Mật khẩu càng phức tạp, càng nhiều ứng dụng yêu cầu mật khẩu, thì xác suất người dùng cho tất cả các ứng dụng, bao gồm xác thực trong HĐH, sẽ sử dụng cùng một mật khẩu, bên cạnh việc viết ra giấy càng cao. Nó là tốt hay xấu? Nó có được phép không?

Một mặt, điều này rõ ràng là không thể chấp nhận được, vì nguy cơ xâm phạm mật khẩu tăng lên đáng kể, mặt khác, một mật khẩu quá phức tạp (chẳng hạn như PqSh * 98+) rất khó lưu ý. Người dùng rõ ràng sẽ chọn một mật khẩu đơn giản hoặc liên tục quên một mật khẩu phức tạp và khiến người quản trị phân tâm khỏi những vấn đề quan trọng hơn. Nghiên cứu của Gartner cho thấy từ 10% đến 30% các cuộc gọi đến bộ phận trợ giúp của công ty là yêu cầu từ nhân viên khôi phục mật khẩu đã quên.

Theo IDC, mỗi Đã quên mật khẩu chi phí tổ chức từ 10-25 đô la. Hãy nói thêm ở đây nhu cầu thay đổi liên tục và yêu cầu mật khẩu phải là duy nhất. Để làm gì? Lối thoát là gì?

Trên thực tế, ngày nay có một số lựa chọn để giải quyết vấn đề khó khăn này.

Lựa chọn đầu tiên.Ở nơi dễ thấy trong phòng (trên tường, trên bàn) một tấm áp phích có khẩu hiệu được treo. Sau đó, một đoạn văn bản, chẳng hạn như mọi ký tự thứ ba của khẩu hiệu, bao gồm khoảng trắng và dấu chấm câu, được sử dụng làm mật khẩu. Nếu không biết thuật toán chọn ký tự, việc lấy một mật khẩu như vậy là khá khó khăn.

Sự lựa chọn thứ hai. Dưới dạng mật khẩu, một chuỗi ngẫu nhiên gồm các chữ cái, số và ký tự đặc biệt. Trong đó mật khẩu được chỉ định in trên máy in điểm ma trận trên phong bì đặc biệt không thể mở ra mà không vi phạm tính toàn vẹn của chúng. Một ví dụ về phong bì như vậy là phong bì có mã PIN cho thẻ thanh toán. Các phong bì này được cất giữ trong két sắt của trưởng bộ phận hoặc trong két sắt của dịch vụ bảo mật thông tin. Khó khăn duy nhất đối với phương pháp này là cần phải thay đổi mật khẩu ngay sau khi mở phong bì và lập một phong bì khác tương tự với mật khẩu mới, cũng như tổ chức hạch toán các phong bì. Tuy nhiên, nếu tính đến việc tiết kiệm thời gian của người quản trị mạng và ứng dụng thì mức phí này cũng không quá đáng.

Tùy chọn thứ ba- sử dụng xác thực đa yếu tố dựa trên công nghệ mới nhất xác thực. Hãy lấy xác thực hai yếu tố làm ví dụ. Ưu điểm chính của xác thực như vậy là sự hiện diện của khóa vật lý và mã PIN trên đó, giúp cung cấp thêm khả năng chống hack. Xét cho cùng, việc mất khóa phần cứng không dẫn đến việc mật khẩu bị xâm phạm, vì ngoài khóa, để truy cập vào hệ thống, bạn cũng cần có mã PIN cho khóa.

Riêng biệt, cần xem xét các hệ thống sử dụng mật khẩu một lần, ngày càng trở nên phổ biến do phát triển rộng rãi Công nghệ Internet và hệ thống xác thực sinh trắc học.

Hiện tại, cách chính để bảo vệ thông tin khỏi truy cập trái phép (UAS) là sự ra đời của cái gọi là các công cụ AAA (Authentication, Authorization, Accounting - xác thực, ủy quyền, quản lý quyền người dùng). Khi sử dụng công nghệ này, người dùng chỉ được truy cập vào máy tính sau khi đã vượt qua thành công các thủ tục xác thực và nhận dạng.

Điều đáng chú ý là phân khúc AAA đang không ngừng phát triển trên thị trường dịch vụ CNTT toàn cầu. Xu hướng này được nhấn mạnh trong các đánh giá phân tích của IDC, Gartner và các công ty tư vấn khác. Kết luận tương tự có thể được rút ra khi xem xét kỹ lưỡng Viện An ninh Máy tính năm 2005 và Cuộc Điều tra Tội phạm Máy tính Thường niên của FBI (Hình 1).

Cơm. 1. Dữ liệu về khối lượng thiệt hại từ các kiểu tấn công khác nhau trong năm 2005, USD
Tổng số lỗ cho năm 2005 là $ 130.104.542.
Số doanh nghiệp trả lời (Hoa Kỳ) - 700

Có thể thấy qua sơ đồ, thiệt hại do trộm cắp thông tin mật tăng đáng kể. Tức là, mỗi công ty được khảo sát bị mất trung bình hơn 350.000 USD do đánh cắp thông tin bí mật. Nghiên cứu này xác nhận các xu hướng đã xuất hiện trong vài năm qua. Theo một báo cáo năm 2004 của Viện An ninh Máy tính Hoa Kỳ và FBI, việc đánh cắp dữ liệu nhạy cảm đã nằm trong số các mối đe dọa nguy hiểm nhất - thiệt hại do nó gây ra là khoảng 40% tổng thiệt hại của tất cả các mối đe dọa. Đồng thời, khối lượng thiệt hại trung bình lên tới hơn 300 nghìn đô la, và khối lượng tối đa là 1,5 triệu đô la.

Dựa trên điều này, chúng tôi có thể kết luận rằng hành vi trộm cắp thông tin bí mật có một trong những hành vi xếp hạng cao trong số tất cả các mối đe dọa CNTT ở Hoa Kỳ. Điều đáng chú ý là không thể tìm ra thủ phạm nếu không giải quyết các vấn đề về nhận dạng và xác thực!

Các dịch vụ bảo mật chính bao gồm:

  • nhận dạng và xác thực;
  • kiểm soát an ninh;
  • kiểm soát tính toàn vẹn và tính xác thực của thông tin;
  • tường lửa;
  • xây dựng một VPN;
  • ghi nhật ký / kiểm toán;
  • kiểm soát truy cập;
  • quản lý an ninh;
  • lọc nội dung;
  • mã hóa.

Lưu ý rằng các vấn đề về kiểm soát truy cập được giải quyết mà không thất bại khi tạo bất kỳ hệ thống thông tin nào. Trong thời đại của chúng ta, khi các hệ thống đang trở nên phân tán hơn, thật khó để đánh giá quá cao tầm quan trọng của việc kiểm soát truy cập đúng. Điều này đòi hỏi sự bảo vệ ngày càng đáng tin cậy hơn của hệ thống xác thực khỏi những kẻ xâm nhập bên ngoài và bên trong. Cần hiểu rằng người dùng không có xu hướng làm phức tạp cuộc sống của họ và cố gắng sử dụng những mật khẩu ít phức tạp nhất. Và do đó, để loại bỏ điều này, trong tương lai, các công cụ xác thực phần mềm và phần cứng sẽ ngày càng được sử dụng nhiều hơn, sẽ dần thay thế các mật khẩu truyền thống (Hình 2).

Cơm. 2. Sự phát triển của thị trường an toàn thông tin

Phân loại các phương tiện nhận dạng và xác thực

Theo loại đặc điểm nhận dạng, phần mềm và phương tiện phần cứng hiện đại để nhận dạng và xác thực có thể được chia thành điện tử, sinh trắc học và kết hợp (Hình 3). Liên quan đến ứng dụng cụ thể của chúng, hệ thống mật khẩu dùng một lần là một phần của phương tiện điện tử có thể được tách ra thành một nhóm con riêng biệt.

Cơm. 3. Phân loại hệ thống nhận dạng phần mềm và phần cứng
và xác thực

Trong các hệ thống điện tử, các đặc điểm nhận dạng được trình bày dưới dạng mã được lưu trữ trong vùng được bảo vệ của bộ nhớ định danh (sóng mang) và, với một số ngoại lệ hiếm hoi, không thực sự rời khỏi nó. Trong trường hợp này, các số nhận dạng như sau:

  • liên hệ thẻ thông minh;
  • thẻ thông minh không tiếp xúc;
  • Khóa USB (USB-token);
  • iButton.

Trong hệ thống sinh trắc học, nhận dạng là đặc điểm cá nhân người, trong trường hợp này được gọi là các tính năng sinh trắc học. Việc nhận dạng được thực hiện bằng cách so sánh các đặc điểm sinh trắc học thu được và các mẫu được lưu trữ trong cơ sở dữ liệu. Tùy thuộc vào các đặc điểm được sử dụng trong trường hợp này, hệ thống sinh trắc học được chia thành tĩnh và động.

Sinh trắc học tĩnh dựa trên dữ liệu (mẫu) thu được bằng cách đo các đặc điểm giải phẫu của một người (dấu vân tay, mẫu mống mắt, v.v.), trong khi sinh trắc học động dựa trên phân tích hành động của con người (giọng nói, thông số chữ ký, động lực của nó).

Theo tôi, hệ thống xác thực sinh trắc học không được sử dụng rộng rãi vì một số lý do:

  • chi phí cao của các hệ thống như vậy;
  • thiếu đội ngũ nhân viên chuyên nghiệp được đào tạo bài bản;
  • sự phức tạp của việc thiết lập các hệ thống như vậy;
  • sự phản đối của nhân viên, vì ban lãnh đạo có cơ hội kiểm soát mọi hoạt động của họ và thực sự kiểm soát giờ làm việc.

Trong các hệ thống kết hợp, một số tính năng được sử dụng đồng thời và chúng có thể thuộc cả hai hệ thống cùng lớp và khác nhau.

Hệ thống nhận dạng và xác thực điện tử

Hệ thống nhận dạng và xác thực điện tử bao gồm thẻ thông minh tiếp xúc và không tiếp xúc và khóa USB (USB-token).

Liên hệ với thẻ thông minh và khóa USB

Các phím USB hoạt động với cổng USB máy tính và được làm dưới dạng các phím bấm. Khóa USB là gì, chúng ta sẽ xem xét ví dụ về eToken từ Aladdin.

eToken là phương tiện xác thực và lưu trữ dữ liệu cá nhân, được hỗ trợ phần cứng để làm việc với chứng chỉ số và chữ ký số điện tử (EDS). eToken có thể được tạo ra dưới dạng thẻ thông minh tiêu chuẩn hoặc khóa USB:

  • thẻ thông minh yêu cầu đầu đọc thẻ thông minh tương thích PC / SC để kết nối với máy tính. Nó có thể được sử dụng như một phương tiện nhận dạng trực quan (thẻ thông minh eToken PRO / SC có thể chứa thông tin về chủ sở hữu của nó và một bức ảnh (ID-huy hiệu) để dịch vụ bảo mật doanh nghiệp sử dụng). Thẻ thông minh có thể được làm bằng nhựa trắng để in sau (ảnh, dữ liệu cá nhân, v.v.) với in sẵn, cũng như với một dải từ được dán hoặc ở dạng thẻ dập nổi (với các biểu tượng dập nổi);
  • Chìa khóa USB - kết nối trực tiếp với máy tính thông qua cổng USB(Universal Serial Bus), kết hợp các chức năng của thẻ thông minh và thiết bị đọc thẻ.

Nếu chúng ta so sánh hai công nghệ này, rõ ràng là việc lựa chọn một trong số chúng phụ thuộc vào công nghệ bảo mật được áp dụng trong công ty. Vì vậy, nếu dự định áp dụng chế độ truy cập tự động, đồng thời thẻ thông hành phải có ảnh, tên chủ sở hữu và các thông tin khác thì nên sử dụng thẻ thông minh. Tuy nhiên, điều đáng xem xét là bạn cũng sẽ cần mua đầu đọc thẻ thông minh.

Nếu kiểm soát truy cập đã được giới thiệu và chỉ cần cung cấp kiểm soát bổ sung và thắt chặt chế độ nhập cảnh cho một số cơ sở, bạn nên chú ý đến eToken PRO với các thẻ RFID tích hợp sẵn. Rốt cuộc, dịch vụ an ninh vật lý chịu trách nhiệm kiểm soát ra vào sẽ dễ dàng hơn nhiều nếu chúng có ảnh, họ và tên của chủ sở hữu, mặc dù eToken PRO với chip RFID tích hợp và thẻ thông minh tương tự giống hệt nhau trong chức năng.

Các lĩnh vực ứng dụng chính của eToken (Hình 4):

Cơm. 4. Tính năng eToken

  • xác thực hai yếu tố của người dùng khi truy cập vào máy chủ, cơ sở dữ liệu, ứng dụng, mục của trang web;
  • lưu trữ an toàn thông tin mật: mật khẩu, Phím EDS và mã hóa, chứng chỉ số;
  • bảo vệ e-mail (chữ ký số và mã hóa, truy cập);
  • bảo vệ máy tính khỏi bị truy cập trái phép (NSD);
  • bảo vệ mạng và kênh truyền dữ liệu (VPN, SSL);
  • khách hàng-ngân hàng, các hệ thống như ngân hàng điện tử và thương mại điện tử.

Khi làm việc với xác thực đa yếu tố người dùng nhận được toàn bộ dòng những lợi ích. Đặc biệt, anh chỉ cần nhớ một mật khẩu eToken thay vì nhiều mật khẩu ứng dụng. Ngoài ra, không còn phải thay đổi mật khẩu thường xuyên. Và trong trường hợp mất eToken, không có gì xấu sẽ xảy ra. Thật vậy, để sử dụng eToken được tìm thấy (bị đánh cắp), bạn cũng phải biết mật khẩu của nó. Tất cả điều này làm tăng đáng kể mức độ bảo mật của tổ chức. Đồng thời, cần hiểu rằng eToken hỗ trợ và tích hợp với tất cả các hệ thống và ứng dụng chính sử dụng công nghệ thẻ thông minh hoặc PKI (Cơ sở hạ tầng khóa công khai), được gọi là ứng dụng sẵn sàng cho PKI.

Mục đích chính của eToken:

  • xác thực hai yếu tố mạnh mẽ của người dùng khi truy cập các tài nguyên được bảo vệ (máy tính, mạng, ứng dụng);
  • lưu trữ an toàn các khóa riêng của chứng chỉ kỹ thuật số, khóa mật mã, hồ sơ người dùng, cài đặt ứng dụng, v.v. trong bộ nhớ không thay đổi của khóa;
  • thực thi phần cứng các hoạt động mật mã trong môi trường đáng tin cậy (tạo khóa mã hóa, đối xứng và mã hóa bất đối xứng, tính toán hàm băm, hình thành EDS).

Là một công cụ xác thực, eToken được hỗ trợ bởi hầu hết các hệ điều hành, ứng dụng kinh doanh và sản phẩm bảo mật thông tin hiện đại và có thể được sử dụng để giải quyết các tác vụ sau:

  • xác thực người dùng mạnh mẽ khi truy cập các nguồn thông tin: máy chủ, cơ sở dữ liệu, phần trang web, kho lưu trữ an toàn, đĩa mã hóa, v.v.;
  • đăng nhập vào hệ điều hành, dịch vụ thư mục, mạng không đồng nhất (hệ điều hành Microsoft, Linux, UNIX, Novell) và các ứng dụng kinh doanh (SAP R / 3, IBM Lotus Notes / Domino);
  • triển khai các hệ thống PKI (Entrust, Microsoft CA, RSA Keon, cũng như trong các trung tâm chứng nhận và hệ thống sử dụng các nhà cung cấp tiền điện tử trong nước "Crypto-Pro", "Signal-Com", v.v.) - lưu trữ thông tin chính, tạo phần cứng của khóa ghép nối và thực hiện các hoạt động mật mã trong một môi trường đáng tin cậy (trên chip thẻ thông minh);
  • xây dựng hệ thống quy trình làm việc, hệ thống thư an toàn (dựa trên Microsoft Exchange, Novell GroupWise, Lotus Notes / Domino) - chữ ký số và mã hóa dữ liệu, lưu trữ chứng chỉ và khóa riêng;
  • tổ chức các kênh truyền dữ liệu an toàn sử dụng truyền tải Internet (công nghệ VPN, Giao thức IPSec và SSL) - xác thực người dùng, tạo khóa, trao đổi khóa;
  • tường lửa và bảo vệ chu vi mạng (Cisco Systems, sản phẩm Check Point) - xác thực người dùng;
  • mã hóa dữ liệu trên đĩa (trong các sản phẩm như Secret Disk NG) - xác thực người dùng, tạo khóa mã hóa, lưu trữ thông tin chính;
  • một điểm vào của người dùng duy nhất vào các hệ thống và cổng thông tin (trong eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) và các ứng dụng chạy Oracle DBMS - xác thực hai yếu tố mạnh mẽ;
  • bảo vệ máy chủ web và ứng dụng thương mại điện tử(dựa trên Microsoft IIS, Apache Web Server) - xác thực người dùng, tạo khóa, trao đổi khóa;
  • quản lý bảo mật hệ thống thông tin doanh nghiệp, tích hợp hệ thống bảo mật thông tin (Hệ thống quản lý mã thông báo) - eToken là một định danh chungđể truy cập các ứng dụng khác nhau;
  • hỗ trợ cho các ứng dụng kế thừa và phát triển các giải pháp bảo mật thông tin độc quyền.

Đặc điểm của các khóa USB được đưa ra trong Bảng. một .

Các loại khóa USB sau trên thị trường hiện nay:

  • eToken R2, eToken PRO - công ty Aladdin;
  • iKey10xx, iKey20xx, iKey 3000 - Rainbow Technologies;
  • ePass 1000, ePass 2000 - Feitian Technologies;
  • ruToken - được phát triển bởi Aktiv và ANKAD;
  • uaToken là một công ty của Technotrade LLC.

Khóa USB là sự kế thừa của thẻ thông minh, vì vậy cấu trúc của khóa USB và thẻ thông minh là giống hệt nhau.

Thẻ thông minh không tiếp xúc

Thẻ thông minh không tiếp xúc (BCC) được sử dụng rộng rãi trong Các ứng dụng khác nhau cả để xác thực (chế độ thông hành điện tử, chìa khóa điện tử vào cửa, v.v.) và cho các loại ứng dụng vận tải, nhận dạng, thanh toán và chiết khấu.

Một thuộc tính quan trọng của BSC, giúp phân biệt nó với một số thẻ thông minh khác, là không có tiếp xúc cơ học với thiết bị xử lý dữ liệu từ thẻ. Trên thực tế, độ tin cậy của các yếu tố kỹ thuật của hệ thống sử dụng BSC được xác định bởi độ tin cậy của vi mạch. Trường hợp thứ hai dẫn đến giảm đáng kể chi phí vận hành cho hệ thống so với các hệ thống tương tự sử dụng thẻ thông minh với các điểm tiếp xúc bên ngoài.

Quy trình thực hiện các hoạt động với BSC và đầu đọc / ghi thẻ nhớ (sau đây gọi là đầu đọc) được xác định bởi ứng dụng phần mềm. Khi người dùng đưa thẻ đến đầu đọc, một giao dịch sẽ xảy ra, tức là trao đổi dữ liệu giữa thẻ và đầu đọc, và có thể có sự thay đổi thông tin trong bộ nhớ thẻ. Khoảng cách tối đa để giao dịch giữa đầu đọc và thẻ là 10 cm, trong trường hợp này không thể rút thẻ ra khỏi ví. Một mặt, điều này cho phép người dùng thực hiện giao dịch một cách thuận tiện và nhanh chóng, mặt khác, khi nó đi vào vùng ăng-ten, thẻ sẽ tham gia vào quá trình trao đổi thông tin, bất kể người dùng có muốn hay không.

Chuỗi lệnh ban đầu điển hình để chạy ứng dụng bản đồ bao gồm:

  • chụp thẻ (thẻ đầu tiên trong trường ăng-ten của đầu đọc được chọn), nếu cần, bao gồm thuật toán chống va chạm (lệnh chống va chạm cho ứng dụng biết số sê-ri duy nhất của thẻ được chụp, chính xác hơn là số duy nhất của vi mạch tích hợp trong thẻ);
  • lựa chọn thẻ có số sê-ri đã cho để làm việc tiếp theo với bộ nhớ của thẻ hoặc số sê-ri của thẻ.

Chuỗi lệnh được chỉ định được thực hiện trong 3 ms, tức là gần như ngay lập tức.

Tiếp theo là xác thực vùng bộ nhớ đã chọn của thẻ. Nó dựa trên việc sử dụng các khóa bí mật và sẽ được mô tả bên dưới. Nếu thẻ và đầu đọc nhận ra nhau, thì Khu vực nhất định bộ nhớ được mở để trao đổi dữ liệu và tùy thuộc vào điều kiện truy cập, các lệnh đọc và ghi, cũng như các lệnh chuyên biệt có thể được thực hiện ví điện tử(tất nhiên, trừ khi khu vực được đánh dấu tương ứng khi cá nhân hóa bản đồ). Lệnh đọc 16 byte của bộ nhớ thẻ mất 2,5 ms, các lệnh đọc và thay đổi số dư của ví mất 9-10 ms. Do đó, một giao dịch điển hình bắt đầu bằng việc lấy thẻ và dẫn đến thay đổi 16 byte bộ nhớ được hoàn thành trong tối đa 16 mili giây.

Khu vực bộ nhớ thẻ được xác thực bằng thuật toán ba lần sử dụng số ngẫu nhiên và khóa bí mật theo tiêu chuẩn ISO / IEC DIS 9798-2.

Nói chung, quá trình xác thực có thể được biểu diễn như sau. Các chip thẻ và thiết bị để làm việc với nó trao đổi các số ngẫu nhiên. Ở bước đầu tiên, thẻ sẽ gửi một số ngẫu nhiên do nó tạo ra cho người đọc. Người đọc thêm số ngẫu nhiên của mình vào đó, mã hóa tin nhắn và gửi vào thẻ. Thẻ giải mã tin nhắn đã nhận, so sánh số ngẫu nhiên của nó với số nhận được trong tin nhắn; nếu khớp, nó sẽ mã hóa lại thông điệp và gửi đến người đọc. Người đọc giải mã thông điệp của thẻ, so sánh số ngẫu nhiên của nó với số nhận được trong tin nhắn và nếu các số trùng khớp, xác thực khu vực được coi là thành công.

Vì vậy, chỉ có thể làm việc với khu vực bộ nhớ sau khi xác thực thành công khu vực của thẻ đã chọn và khi thẻ nằm trong trường ăng-ten của đầu đọc. Trong trường hợp này, tất cả dữ liệu truyền qua kênh tần số vô tuyến luôn được mã hóa.

Các khóa ban đầu (được gọi là giao thông vận tải), cũng như các điều kiện để truy cập các lĩnh vực, được đặt trong quá trình cá nhân hóa ban đầu của thẻ tại nhà máy và được thông báo bí mật đến nhà phát hành. Trong tương lai, trong quá trình cá nhân hóa thứ cấp thẻ bởi nhà phát hành hoặc người dùng ứng dụng, các khóa thường được thay đổi thành những khóa khác mà chỉ nhà phát hành hoặc người dùng mới biết. Ngoài ra (điều này được xác định bởi một ứng dụng cụ thể) trong quá trình cá nhân hóa thứ cấp, các điều kiện để truy cập các khu vực trong bộ nhớ của thẻ cũng thay đổi.

Thẻ thông minh không tiếp xúc được chia thành mã nhận dạng tiệm cận và thẻ thông minh dựa trên tiêu chuẩn quốc tế ISO / IEC 15693 và ISO / IEC 14443. Hầu hết các thiết bị dựa trên thẻ thông minh không tiếp xúc đều dựa trên công nghệ RFID (Bảng 2).

Các thành phần chính của thiết bị không tiếp xúc là một con chip và một ăng-ten. Bộ nhận dạng có thể là hoạt động (có pin) hoặc thụ động (không có nguồn điện). Số nhận dạng có số sê-ri 32/64-bit duy nhất.

Hệ thống nhận dạng dựa trên vùng lân cận không an toàn bằng mật mã, ngoại trừ các hệ thống tùy chỉnh đặc biệt.

Mỗi khóa có một số sê-ri 32/64 bit có thể nhấp nháy được.

Hệ thống kết hợp

Sự ra đời của các hệ thống kết hợp làm tăng đáng kể số lượng các tính năng nhận dạng và do đó tăng tính bảo mật (Bảng 3).

Hiện tại, có các hệ thống kết hợp của các loại sau:

  • hệ thống dựa trên thẻ thông minh không tiếp xúc và chìa khóa USB;
  • hệ thống dựa trên thẻ thông minh lai;
  • hệ thống điện tử sinh học.

Một ăng-ten và một con chip được tích hợp trong thân của bàn phím USB để tạo ra một giao diện không tiếp xúc. Điều này cho phép bạn tổ chức kiểm soát truy cập vào phòng và máy tính bằng cách sử dụng một mã định danh. Một sơ đồ sử dụng số nhận dạng như vậy giúp loại bỏ tình huống khi nhân viên rời khỏi nơi làm việc, để lại khóa USB trong đầu nối máy tính, giúp nhân viên có thể hoạt động dưới số nhận dạng của anh ta.

Ngày nay, hai định danh kiểu này được sử dụng rộng rãi nhất: RFiKey - từ Rainbow Technologies và eToken PRO RM - từ Aladdin Software Security R.D. Thiết bị RFiKey hỗ trợ Giao diện USB 1.1 / 2.0 và làm việc với các đầu đọc của HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) và công ty Parsec của Nga (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM - eToken PRO Chìa khóa USB và thẻ thông minh được bổ sung thẻ RFID thụ động.

Sử dụng eToken để kiểm soát quyền truy cập vật lý

Công nghệ RFID (Radio Frequency IDentification - nhận dạng tần số vô tuyến) là công nghệ nhận dạng không tiếp xúc phổ biến nhất hiện nay. Nhận dạng tần số vô tuyến được thực hiện bằng cách sử dụng cái gọi là thẻ RFID gắn vào đối tượng, thẻ này mang thông tin nhận dạng và các thông tin khác.

Từ dòng khóa USB eToken, thẻ RFID có thể được bổ sung với eToken PRO / 32K và cao hơn. Trong trường hợp này, cần phải tính đến các hạn chế do kích thước của khóa: thẻ RFID phải có đường kính không quá 1,2 cm. Các kích thước như vậy có thẻ hoạt động ở tần số 13,56 MHz, ví dụ, do Angstrem và HID sản xuất.

Ngoài những ưu điểm truyền thống của công nghệ RFID, khóa USB kết hợp và thẻ thông minh eToken, sử dụng một "thẻ điện tử" duy nhất để kiểm soát quyền truy cập vào cơ sở và tài nguyên thông tin, cho phép:

  • cắt giảm chi phí;
  • bảo vệ các khoản đầu tư được thực hiện vào các hệ thống kiểm soát truy cập đã mua trước đó bằng cách tích hợp eToken với hầu hết các loại thẻ RFID;
  • giảm tác động của yếu tố con người đến mức độ an toàn thông tin của tổ chức: nhân viên sẽ không thể rời khỏi cơ sở, để lại thẻ kết hợp tại nơi làm việc;
  • tự động hóa việc hạch toán thời gian làm việc và di chuyển của nhân viên xung quanh văn phòng;
  • tiến hành giới thiệu theo từng giai đoạn bằng cách thay thế dần các định danh lỗi thời.

Sử dụng thẻ thông minh kết hợp để kiểm soát truy cập vật lý

Thẻ thông minh lai chứa các chip không đồng nhất: một chip hỗ trợ giao diện tiếp xúc, chip còn lại hỗ trợ giao diện không tiếp xúc. Như trong trường hợp khóa USB lai, thẻ thông minh lai thực hiện hai nhiệm vụ: kiểm soát quyền truy cập vào cơ sở và vào máy tính. Ngoài ra, logo của công ty, ảnh của nhân viên hoặc dải từ có thể được áp dụng cho thẻ, giúp bạn có thể thay thế thẻ thông thường bằng thẻ như vậy và chuyển sang thẻ điện tử duy nhất.

Thẻ thông minh loại này được cung cấp bởi các công ty sau: HID Corporation, Axalto, GemPlus, Indala, Aladdin, v.v.

Tại Nga, Aladdin Software Security R.D. công nghệ sản xuất thẻ thông minh lai eToken PRO / SC RM được phát triển. Trong đó, các vi mạch có giao diện tiếp xúc eToken PRO được nhúng vào thẻ thông minh không tiếp xúc. Thẻ thông minh eToken PRO có thể được bổ sung bằng thẻ RFID thụ động được sản xuất bởi HID / ISOPROx II, EM-Marin (tần số 125 kHz), Cotag (tần số 122/66 kHz), Angstrem / KIBI-002 (tần số 13,56 MHz), Mifare và các các công ty. Việc lựa chọn phương án kết hợp do khách hàng quyết định. Ngoài ra, logo của công ty, ảnh của nhân viên hoặc dải từ có thể được áp dụng cho thẻ, cho phép bạn từ bỏ các thẻ thông thường và chuyển sang thẻ điện tử duy nhất.

Hệ thống điện tử sinh học

Thường để bảo vệ hệ thống máy tính khỏi truy cập trái phép, sự kết hợp của hai hệ thống được sử dụng - sinh trắc học và liên lạc dựa trên thẻ thông minh hoặc khóa USB.

Điều gì ẩn đằng sau khái niệm "sinh trắc học"? Trên thực tế, chúng tôi sử dụng các công nghệ như vậy hàng ngày, nhưng như một phương pháp xác thực kỹ thuật, sinh trắc học đã được sử dụng tương đối gần đây. Sinh trắc học là việc xác định người dùng bằng các đặc điểm sinh học độc đáo vốn có chỉ dành cho anh ta. Hệ thống như vậy là thuận tiện nhất từ ​​quan điểm của chính người sử dụng, vì không cần phải ghi nhớ bất cứ điều gì, và rất khó làm mất các đặc tính sinh học.

Với nhận dạng sinh trắc học, cơ sở dữ liệu lưu trữ một mã kỹ thuật số được liên kết với một người cụ thể. Máy quét hoặc thiết bị khác được sử dụng để xác thực đọc một thông số sinh học cụ thể. Sau đó, nó được xử lý theo các thuật toán nhất định và so sánh với mã có trong cơ sở dữ liệu.

Chỉ cần? Từ quan điểm của người dùng, hoàn toàn. Tuy nhiên, phương pháp này có cả lợi thế và bất lợi.

Ưu điểm của máy quét sinh trắc học thường bao gồm thực tế là chúng không phụ thuộc vào người dùng theo bất kỳ cách nào (ví dụ: người dùng có thể mắc lỗi khi nhập mật khẩu) và người dùng không thể chuyển mã nhận dạng sinh học của mình cho người khác, không giống như mật khẩu. . Và, ví dụ, hầu như không thể làm giả một mẫu có trên ngón tay của mỗi người. Tuy nhiên, các nghiên cứu ở Mỹ đã chỉ ra rằng máy quét sinh trắc học dựa trên dấu vân tay khá dễ gây nhầm lẫn với dấu vân tay giả hoặc thậm chí là ngón tay của tử thi. Việc từ chối quyền truy cập dựa trên nhận dạng giọng nói cũng rất phổ biến nếu một người vừa bị cảm lạnh. Nhưng nhược điểm lớn nhất của hệ thống sinh trắc học là giá thành cao.

Tất cả các công nghệ sinh trắc học có thể được chia thành hai nhóm:

  • phương pháp tĩnh, dựa trên các đặc điểm sinh lý (tĩnh) của một người, nghĩa là, một thuộc tính duy nhất vốn có trong người đó từ khi sinh ra và không thể chuyển nhượng được từ người đó. Các đặc điểm sinh học tĩnh bao gồm hình dạng của lòng bàn tay, dấu vân tay, mống mắt, võng mạc của mắt, hình dạng của khuôn mặt, vị trí của các tĩnh mạch trên bàn tay, v.v. (Bảng 4);
  • phương pháp động, dựa trên các đặc điểm hành vi (động) của một người - các đặc điểm đặc trưng cho các chuyển động của tiềm thức trong quá trình tái tạo bất kỳ hành động nào (chữ ký, lời nói, động lực gõ bàn phím).

Một đặc tính sinh trắc học lý tưởng của con người (HCP) phải phổ biến, duy nhất, ổn định và có thể thu thập được. Tính phổ quát có nghĩa là mỗi người có một đặc điểm sinh trắc học. Tính duy nhất - không có hai người nào có thể có giá trị BHN giống hệt nhau. Tính ổn định - độc lập của BHCh với thời gian. Khả năng thu thập - khả năng thu được đặc tính sinh trắc học từ mỗi cá nhân. HCP thực không hoàn hảo và điều này hạn chế ứng dụng của chúng. Là kết quả đánh giá của chuyên gia về các nguồn HCP như hình dạng và biểu đồ nhiệt của khuôn mặt, dấu vân tay, hình dạng bàn tay, cấu trúc của mống mắt (ROG), mô hình mạch máu võng mạc, chữ ký, đặc điểm giọng nói, hình dạng của môi và động lực học về tai, chữ viết tay và dáng đi, người ta nhận thấy rằng không có cái nào đáp ứng được tất cả các yêu cầu đối với các đặc tính được liệt kê ở trên (Bảng 5). Điều kiện cần thiết để sử dụng các HCP nhất định là tính phổ biến và tính duy nhất của chúng, điều này có thể được chứng minh gián tiếp bằng mối quan hệ của chúng với kiểu gen hoặc karyotype của con người.

Nhận dạng vân tay

Đây là phương pháp nhận dạng sinh trắc học tĩnh phổ biến nhất, dựa trên tính duy nhất đối với từng người của hình thái các nốt nhú trên ngón tay. Hình ảnh dấu vân tay thu được bằng máy quét đặc biệt được chuyển đổi thành mã kỹ thuật số (tích chập) và được so sánh với mẫu đã nhập trước đó (tham chiếu) hoặc tập hợp các mẫu (trong trường hợp xác thực).

Các nhà sản xuất máy quét vân tay hàng đầu:

  • BioLink (http://www.biolink.ru/, http://www.biolinkusa.com/);
  • Bioscrypt (http://www.bioscrypt.com/);
  • DigitalPersona (http://www.digitalpersona.com/);
  • Ethentica (http://www.ethentica.com/);
  • Sinh trắc học Chính xác (http://www.precisebiometrics.com/);
  • Các nhà sản xuất cảm biến hàng đầu (đầu đọc cho thiết bị quét):
  • Atmel (http://www.atmel.com/, http://www.atmel-grenoble.com/);
  • AuthenTec (http://www.authentec.com/);
  • Veridicom (http://www.veridicom.com/);

Nhận dạng hình dạng bàn tay

Phương pháp tĩnh này dựa trên sự nhận biết hình dạng của bàn tay, đây cũng là một đặc điểm sinh trắc học duy nhất của một người. Sử dụng một thiết bị đặc biệt cho phép bạn có được hình ảnh ba chiều của bàn tay (một số nhà sản xuất quét hình dạng của một số ngón tay), các phép đo được thực hiện để thu được một tích chập kỹ thuật số duy nhất nhận dạng một người.

Các nhà sản xuất hàng đầu của các thiết bị như vậy:

  • Hệ thống nhận dạng (http://www.recogsys.com/, http://www.handreader.com/);
  • Đối tác BioMet (http://www.biomet.ch/).

Nhận dạng mống mắt

Phương pháp nhận dạng này dựa trên tính duy nhất của mẫu mống mắt. Để thực hiện phương pháp này, bạn cần một máy ảnh cho phép bạn có được hình ảnh mắt người với độ phân giải đủ người.

V. Shramko

PCWeek / RE số 45 năm 2004

Ngăn ngừa thiệt hại liên quan đến việc mất thông tin bí mật được lưu trữ trên máy tính là một trong những nhiệm vụ quan trọng nhất đối với bất kỳ công ty nào. Được biết, nhân sự của doanh nghiệp thường là thủ phạm chính của những thất thoát này. Theo một nghiên cứu của Viện An ninh Máy tính, lỗi vô ý của nhân viên gây ra 55% thiệt hại, hành động không trung thực và xúc phạm đồng nghiệp - lần lượt là 10% và 9%. Phần còn lại của thiệt hại là do các vấn đề bảo vệ vật lý (thiên tai, nguồn điện) - 20%, virus - 4% và các cuộc tấn công bên ngoài - 2%.

Cách chính để bảo vệ thông tin khỏi những kẻ xâm nhập là sự ra đời của cái gọi là công cụ AAA, hoặc 3A (xác thực, ủy quyền, quản trị - xác thực, ủy quyền, quản trị). Trong số các quỹ AAA nơi quan trọng bị chiếm giữ bởi các hệ thống xác thực và nhận dạng phần cứng-phần mềm (SIA) và các thiết bị để nhập các đặc điểm nhận dạng (thuật ngữ tương ứng với GOST R 51241-98), được thiết kế để bảo vệ chống lại sự truy cập trái phép (UAS) vào máy tính.

Khi sử dụng SIA, nhân viên chỉ có quyền truy cập vào máy tính hoặc mạng công ty sau khi vượt qua thành công quy trình nhận dạng và xác thực. Nhận dạng bao gồm việc nhận dạng người dùng bằng một đặc điểm nhận dạng vốn có hoặc được gán cho người đó. Việc xác minh thuộc về người dùng đặc điểm nhận dạng do anh ta trình bày được thực hiện trong quá trình xác thực.

Phần cứng-phần mềm IIA bao gồm số nhận dạng, thiết bị đầu vào-đầu ra (đầu đọc, thiết bị tiếp xúc, bộ điều hợp, thẻ khởi động tin cậy, đầu nối bảng hệ thống, v.v.) và phần mềm tương ứng. Số nhận dạng được thiết kế để lưu trữ các đặc điểm nhận dạng duy nhất. Ngoài ra, chúng có thể lưu trữ và xử lý nhiều loại dữ liệu nhạy cảm. Các thiết bị I / O và phần mềm truyền dữ liệu giữa mã định danh và máy tính được bảo vệ.

Trên thị trường an toàn thông tin toàn cầu, phân khúc AAA đang tăng trưởng ổn định. Xu hướng này được nhấn mạnh trong các đánh giá và dự báo phân tích của Infonetics Research, IDC, Gartner và các công ty tư vấn khác.

Trong bài viết của chúng tôi, trọng tâm sẽ là hệ thống nhận dạng và xác thực kết hợp. Sự lựa chọn này là do hiện tại các hệ thống thuộc lớp này cung cấp sự bảo vệ hiệu quả nhất cho các máy tính khỏi bị truy cập trái phép.

Phân loại hệ thống nhận dạng và xác thực

Theo loại đặc điểm nhận dạng được sử dụng, SIA hiện đại được chia thành điện tử, sinh trắc học và kết hợp (xem Hình 1).

Hình 1 - Phân loại SIA theo loại đặc điểm nhận dạng

Trong hệ thống điện tử, các đặc điểm nhận dạng được biểu diễn dưới dạng mã số được lưu trong bộ nhớ của mã định danh. Các SIA như vậy được phát triển trên cơ sở các dấu hiệu nhận biết sau:

  • liên hệ thẻ thông minh;
  • thẻ thông minh không tiếp xúc;
  • Khóa USB (tên khác là USB tokens);
  • định danh iButton.

Trong hệ thống sinh trắc học, các đặc điểm nhận dạng là các đặc điểm riêng biệt của một người, được gọi là các đặc điểm sinh trắc học. Việc nhận dạng và xác thực kiểu này dựa trên quy trình đọc đặc điểm sinh trắc học được trình bày của người dùng và so sánh với mẫu đã nhận trước đó. Tùy thuộc vào loại đặc tính được sử dụng, hệ thống sinh trắc học được chia thành tĩnh và động.

Sinh trắc học tĩnh (còn gọi là sinh trắc học) dựa trên dữ liệu thu được từ các phép đo các đặc điểm giải phẫu của một người (dấu vân tay, hình dạng bàn tay, kiểu mống mắt, kiểu mạch máu trên khuôn mặt, kiểu võng mạc, đặc điểm khuôn mặt, các đoạn mã di truyền, v.v.).

Sinh trắc học động (còn gọi là hành vi) dựa trên việc phân tích các hành động được thực hiện bởi một người (thông số giọng nói, động lực và hình thức chữ ký).

Mặc dù có nhiều đặc điểm sinh trắc học, các nhà phát triển của SIA tập trung vào công nghệ nhận dạng dựa trên dấu vân tay, đặc điểm khuôn mặt, hình học bàn tay và mống mắt của mắt. Vì vậy, chẳng hạn, theo báo cáo của Tập đoàn Sinh trắc học Quốc tế, trên thị trường thế giới bảo vệ sinh trắc học năm 2004, thị phần của hệ thống nhận dạng dấu vân tay là 48%, đặc điểm khuôn mặt - 12%, hình học bàn tay - 11%, mống mắt - 9%, thông số giọng nói - 6%, chữ ký - 2%. Phần còn lại (12%) thuộc về phần mềm trung gian.

Trong các hệ thống kết hợp, một số đặc điểm nhận dạng được sử dụng đồng thời để nhận dạng. Sự tích hợp như vậy cho phép kẻ tấn công dựng lên các rào cản bổ sung mà anh ta sẽ không thể vượt qua, và nếu có thể, thì sẽ gặp phải những khó khăn đáng kể. Việc phát triển các hệ thống kết hợp được thực hiện theo hai hướng:

  • tích hợp các số nhận dạng trong một hệ thống lớp học duy nhất;
  • tích hợp các hệ thống của các lớp khác nhau.

Trong trường hợp đầu tiên, các hệ thống dựa trên thẻ thông minh không tiếp xúc và khóa USB, cũng như thẻ thông minh kết hợp (tiếp xúc và không tiếp xúc) được sử dụng để bảo vệ máy tính khỏi bị truy cập trái phép. Trong trường hợp thứ hai, các nhà phát triển đã khéo léo "lai" SIA sinh trắc học và điện tử (sau đây trong bài viết, một tập đoàn như vậy được gọi là hệ thống xác thực và nhận dạng điện tử sinh học).

Tính năng của hệ thống nhận dạng và xác thực điện tử

Bạn có thể làm quen với CIA điện tử và phân tích các đặc điểm chính của chúng cho phép bạn đưa ra lựa chọn có lợi cho một sản phẩm cụ thể trong bài đánh giá của tôi “Bảo vệ máy tính: hệ thống xác thực và nhận dạng điện tử” (xem PC Week / RE, số 12 / 2004, trang 18). Tôi sẽ chỉ đưa ra những đặc điểm chính của SIA điện tử, những kiến ​​thức giúp hiểu được cấu trúc và nguyên lý hoạt động của các hệ thống kết hợp.

Các SIA kết hợp có thể bao gồm thẻ tiếp xúc điện tử và thẻ thông minh không tiếp xúc và chìa khóa USB. Thành phần chính của các thiết bị này là một hoặc nhiều thiết bị được tích hợp sẵn mạch tích hợp(chip), có thể là chip nhớ, chip logic cứng và bộ vi xử lý (Processors). Hiện tại, số nhận dạng với bộ xử lý có chức năng và mức độ bảo mật cao nhất.

Chip thẻ thông minh tiếp xúc bộ vi xử lý dựa trên bộ xử lý trung tâm, bộ xử lý mật mã chuyên dụng (tùy chọn), bộ nhớ truy cập ngẫu nhiên (RAM), bộ nhớ chỉ đọc (ROM), bộ nhớ chỉ đọc lập trình không bay hơi (PROM), số ngẫu nhiên máy phát điện, bộ định thời, cổng giao tiếp nối tiếp.

RAM được sử dụng để lưu trữ tạm thời dữ liệu, chẳng hạn như kết quả của các phép tính được thực hiện bởi bộ xử lý. Dung lượng của nó là vài kilobyte.

Bộ nhớ chỉ đọc lưu trữ các lệnh được thực thi bởi bộ xử lý và các dữ liệu bất biến khác. Thông tin trong ROM được ghi khi thẻ được sản xuất. Dung lượng bộ nhớ có thể là hàng chục kilobyte.

Thẻ thông minh tiếp xúc sử dụng hai loại bộ nhớ PROM: bộ nhớ EPROM có thể lập trình một lần và bộ nhớ EEPROM đa lập trình được sử dụng phổ biến hơn. Bộ nhớ PROM được sử dụng để lưu trữ dữ liệu người dùng có thể đọc, ghi và sửa đổi và dữ liệu bí mật (ví dụ: khóa mật mã) không thể truy cập được chương trình ứng dụng. Dung lượng của PROM là hàng chục và hàng trăm kilobyte.

Bộ xử lý trung tâm của thẻ thông minh (thường là bộ xử lý RISC) thực hiện nhiều quy trình xử lý dữ liệu, kiểm soát truy cập bộ nhớ và kiểm soát quy trình tính toán.

Bộ xử lý chuyên biệt chịu trách nhiệm thực hiện các thủ tục khác nhau cần thiết để cải thiện tính bảo mật của SIA:

  • thế hệ khóa mật mã;
  • triển khai các thuật toán mật mã (GOST 28147-89, DES, 3DES, RSA, SHA-1, v.v.);
  • thực hiện các giao dịch với điện tử chữ ký số(tạo và xác minh);
  • thực hiện các hoạt động với mã PIN, v.v.

Thẻ thông minh không tiếp xúc được chia thành định danh tiệm cận và thẻ thông minh dựa trên tiêu chuẩn quốc tế ISO / IEC 15693 và ISO / IEC 14443. Hoạt động của hầu hết IAS dựa trên thẻ thông minh không tiếp xúc dựa trên công nghệ nhận dạng tần số vô tuyến. Về mặt cấu trúc, các bộ nhận dạng tần số vô tuyến (xem Bảng 1) được tạo ra dưới dạng thẻ nhựa, thẻ khóa, mã thông báo, đĩa, thẻ, v.v.

Bảng 1 - Bộ nhận dạng RF

Các thành phần chính của thẻ thông minh không tiếp xúc là một con chip và một ăng-ten. Cũng có thể có một pin lithium bên trong các mã nhận dạng. Các mã nhận dạng có pin được gọi là hoạt động, không có pin - thụ động. Mỗi ID có một số sê-ri 32/64 bit duy nhất.

ID vùng lân cận hoạt động ở 125 kHz. Con chip này bao gồm một chip nhớ (hoặc chip logic cứng) với các khối phụ trợ: một môđun lập trình, một bộ điều chế, một khối điều khiển,… Dung lượng bộ nhớ từ 8 đến 256 byte. Proximity chủ yếu sử dụng EPROM bộ nhớ chỉ đọc có thể lập trình một lần, nhưng cũng có một EEPROM có thể ghi lại. Bộ nhớ chứa một số định danh duy nhất, mã thiết bị và thông tin dịch vụ (bit chẵn lẻ, bit để bắt đầu và kết thúc quá trình truyền mã, v.v.).

Thông thường, ID vùng lân cận là thụ động và không chứa nguồn năng lượng hóa học - pin lithium. Trong trường hợp này, vi mạch được cung cấp năng lượng bởi trường điện từ do đầu đọc phát ra. Đầu đọc đọc dữ liệu với tốc độ 4 kbps ở khoảng cách đến 1 m.

Hệ thống nhận dạng và xác thực dựa trên Vùng lân cận không được bảo vệ bằng mật mã (ngoại trừ các hệ thống tùy chỉnh).

Thẻ thông minh không tiếp xúc hoạt động ở tần số 13,56 MHz và được chia thành hai loại, dựa trên các tiêu chuẩn quốc tế ISO / IEC 15693 và ISO / IEC 14443.

Tiêu chuẩn ISO / IEC 14443 bao gồm các phiên bản A và B, khác nhau về cách điều chế tín hiệu vô tuyến truyền đi. Chuẩn hỗ trợ trao đổi (đọc-ghi) dữ liệu với tốc độ 106 kbps (có thể tăng tốc độ lên 212, 424 hoặc 848 kbps), khoảng cách đọc lên đến 10 cm.

Để thực hiện các chức năng mã hóa và xác thực trong mã định danh ISO / IEC 14443, ba loại chip có thể được sử dụng: chip logic cứng MIFARE, bộ xử lý hoặc bộ xử lý mật mã. Công nghệ MIFARE được phát triển bởi Philips Electronics và là phần mở rộng của ISO / IEC 14443 (phiên bản A).

Tiêu chuẩn ISO / IEC 15693 tăng khoảng cách ứng dụng định danh không tiếp xúc lên 1 m. Ở khoảng cách này, dữ liệu được trao đổi với tốc độ 26,6 Kbps.

Khóa USB (xem Bảng 2) được thiết kế để hoạt động với cổng USB máy tính. Chúng được tạo ra về mặt cấu trúc dưới dạng các vòng chìa khóa, được sản xuất trong các hộp màu, có đèn báo hoạt động và dễ dàng đặt trên móc khóa. Mỗi ID có một số sê-ri 32/64-bit duy nhất được ghi tại nhà máy.

Bảng 2 - Đặc điểm của khóa USB

Các khóa USB sau đây phổ biến nhất trên thị trường Nga:

  • iKey 10xx, iKey 20xx, iKey 3000 series - được phát triển bởi Rainbow Technologies;
  • eToken R2, eToken Pro của Aladdin Knowledge Systems;
  • ePass1000, ePass2000 từ Feitian Technologies;
  • ruToken là sự phát triển chung của Aktiv và ANKAD.

USB dongle là sự kế thừa để liên lạc với thẻ thông minh. Do đó, cấu trúc của khóa USB và thẻ thông minh, cũng như khối lượng của các thiết bị lưu trữ tương tự, gần như giống hệt nhau. Khóa USB có thể bao gồm:

  • bộ xử lý - quản lý và xử lý dữ liệu;
  • bộ xử lý mật mã - thực hiện các thuật toán GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 và các phép biến đổi mật mã khác;
  • Bộ điều khiển USB - cung cấp giao diện với cổng USB của máy tính;
  • RAM - lưu trữ dữ liệu có thể thay đổi;
  • EEPROM - lưu trữ các khóa mã hóa, mật khẩu, chứng chỉ và các dữ liệu quan trọng khác;
  • ROM - lưu trữ các lệnh và hằng số.

Hệ thống kết hợp

Việc đưa các SIA kết hợp (xem Bảng 3) vào hệ thống an toàn thông tin của công ty làm tăng số lượng các đặc điểm nhận dạng, do đó có thể bảo vệ hiệu quả hơn các máy tính và mạng công ty khỏi bị truy cập trái phép. Ngoài ra, một số loại hệ thống có khả năng quản lý và kiểm soát việc truy cập vật lý vào các tòa nhà và cơ sở.

Bảng 3 - Các chức năng chính của AIS kết hợp

Ngày nay, thị trường bảo mật máy tính đã kết hợp các hệ thống nhận dạng và xác thực thuộc các loại sau:

  • hệ thống dựa trên thẻ thông minh không tiếp xúc và chìa khóa USB;
  • hệ thống dựa trên thẻ thông minh lai;
  • hệ thống điện tử sinh học.

Thẻ thông minh không tiếp xúc và chìa khóa USB

Tích hợp phần cứng của khóa USB và thẻ thông minh không tiếp xúc ngụ ý rằng một ăng-ten và một vi mạch hỗ trợ giao diện không tiếp xúc được tích hợp vào thân khóa. Điều này cho phép sử dụng một mã định danh để tổ chức kiểm soát truy cập vào cả máy tính và cơ sở văn phòng. Một nhân viên sử dụng ID của mình làm thẻ không tiếp xúc để vào không gian văn phòng và làm khóa USB khi truy cập dữ liệu máy tính an toàn. Ngoài ra, khi rời khỏi phòng, nó sẽ xóa mã nhận dạng khỏi đầu nối USB (để sau đó đăng nhập lại) và do đó tự động khóa máy tính.

Năm 2004, hai số nhận dạng kết hợp của loại này đã xuất hiện trên thị trường Nga:

  • RFiKey - được phát triển bởi Rainbow Technologies;
  • eToken PRO RM được phát triển bởi Aladdin Software Security R.D. .

ID RFiKey (Hình 2) là một USB iKey có gắn chip Proximity được phát triển bởi HID Corporation.

Hình 2 - ID RFiKey

Sản phẩm RFiKey hỗ trợ giao diện USB 1.1 / 2.0 và các chức năng với đầu đọc của HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) và công ty Parsec của Nga (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

Các đặc điểm chính của RFiKey bao gồm các chỉ số sau:

  • tần số hoạt động của chip Proximity - 125 kHz;
  • tần số xung nhịp bộ xử lý - 12 MHz;
  • các thuật toán mật mã được triển khai - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
  • các tiêu chuẩn được hỗ trợ - PKCS # 11, MS Crypto API, PC / SC;
  • hệ thống tệp với ba cấp độ truy cập dữ liệu;
  • hệ điều hành được hỗ trợ - Windows 95/98 / ME / NT4 (SP3) / 2000 / XP / 2003.

ID eToken RM là một khóa eToken Pro USB với một chip nhúng hỗ trợ giao diện không tiếp xúc (Hình 3). Nhà cung cấp và loại chip có thể được khách hàng lựa chọn theo nhu cầu của mình. Hiện tại, công ty cung cấp các đài vô tuyến do HID Corporation, EM Microelectronic-Marin, Philips Electronics (công nghệ MIFARE), Cotag International và Angstrem OJSC sản xuất.

Hình 3 - ID eToken RM

Ví dụ, mã định danh thụ động tần số vô tuyến BIM-002 của công ty nội địa Angstrem được làm dưới dạng nhãn tròn. Nó được xây dựng trên cơ sở chip KB5004XK1, dựa trên bộ nhớ EPROM 64-bit và đơn vị lập trình được sử dụng để viết mã nhận dạng duy nhất.

Các đặc điểm chính của eToken RM với mã định danh tích hợp BIM-002 bao gồm các chỉ số sau:

  • tần số hoạt động BIM-002 - 13,56 MHz;
  • phạm vi đọc mã nhận dạng - lên đến 30 mm;
  • tần số xung nhịp bộ xử lý - 6 MHz;
  • các thuật toán mật mã được triển khai - RSA-1024, DES, 3DES, SHA-1;
  • sự hiện diện của một bộ tạo số ngẫu nhiên phần cứng;
  • các tiêu chuẩn được hỗ trợ - PKCS # 11, PKCS # 15 (CRYPTOKI), MS Crypto API, PC / SC, X.509 v3, SSL v3, S / MIME, IPSec / IKE, GINA, RAS / Radius / PAP / CHAP / PAP;
  • hệ điều hành được hỗ trợ - Windows 98 / ME / NT / 2000 / XP / 2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Tại thị trường trong nước, giá gần đúng của các số nhận dạng kết hợp là: RFiKey 1032 - từ $ 41, RFiKey 2032 và RFiKey 3000 - từ $ 57, eToken RM với 32 KB bộ nhớ an toàn và BIM-002 - từ $ 52.

Sự khác biệt giữa chi phí của combo và khóa USB thông thường gần tương ứng với giá của thẻ thông minh Proximity. Theo đó, việc tích hợp thẻ thông minh không tiếp xúc và khóa USB gần như không dẫn đến việc tăng chi phí phần cứng khi chuyển sang hệ thống xác thực và nhận dạng kết hợp. Lợi ích là rõ ràng: một định danh thay vì hai.

Thẻ thông minh kết hợp

Thẻ thông minh lai chứa các chip không đồng nhất không được kết nối với nhau (Hình 4). Một chip hỗ trợ giao diện tiếp xúc, những chip khác (Proximity, ISO 14443/15693) hỗ trợ không tiếp xúc. Như trong trường hợp tích hợp khóa USB và thẻ thông minh không tiếp xúc, SIA dựa trên thẻ thông minh kết hợp giải quyết một vấn đề kép: bảo vệ khỏi truy cập trái phép vào máy tính và đến cơ sở của công ty nơi chúng được lưu giữ. Ngoài ra, một bức ảnh của một nhân viên được đặt trên thẻ thông minh, cho phép anh ta được nhận dạng trực quan.

Hình 4 - Cấu trúc của thẻ thông minh lai

Mong muốn tích hợp công nghệ thẻ thông minh không tiếp xúc và tiếp xúc RF được phản ánh trong sự phát triển của nhiều công ty: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems và những công ty khác.

Ví dụ, HID Corporation, nhà phát triển hàng đầu của AIM dựa trên ID không tiếp xúc, đã phát hành thẻ ID kết hợp nhiều công nghệ khác nhau để đọc các tính năng nhận dạng. Kết quả của những phát triển này là sự ra đời của thẻ thông minh kết hợp:

  • Smart ISOProx II - tích hợp chip Proximity và chip có giao diện tiếp xúc (tùy chọn);
  • iCLASS - tích hợp chip ISO / IEC 15693 và chip giao diện tiếp xúc (tùy chọn);
  • iCLASS Prox - tích hợp chip Proximity, chip ISO / IEC 15693 và chip giao diện tiếp xúc (tùy chọn).

Tại thị trường trong nước, giá của các sản phẩm này là: iCLASS - từ $ 5,1; Smart ISOProx II - từ $ 5,7; iCLASS Prox - từ $ 8,9.

Tại Nga, Aladdin Software Security R.D. công nghệ sản xuất thẻ thông minh lai eToken Pro / SC RM được phát triển. Trong đó, các vi mạch có giao diện tiếp xúc eToken Pro được nhúng vào thẻ thông minh không tiếp xúc. Công ty cung cấp thẻ thông minh các nhà sản xuất khác nhau: Angstrem OJSC (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (công nghệ MIFARE) và các hãng khác. Việc lựa chọn phương án kết hợp do khách hàng quyết định.

Phân tích chi phí tài chính của việc chuyển sang sử dụng thẻ thông minh lai, như trong trường hợp kết hợp thẻ thông minh không tiếp xúc và khóa USB, một lần nữa khẳng định thành công của nguyên tắc "hai trong một". Nếu bạn đặt ảnh của một nhân viên trên mã nhận dạng, thì nguyên tắc này được chuyển thành "ba trong một".

Hệ thống điện tử sinh học

Để bảo vệ máy tính khỏi bị truy cập trái phép, hệ thống sinh trắc học thường được kết hợp với hai lớp SIA điện tử - dựa trên thẻ thông minh tiếp xúc và dựa trên khóa USB.

Hội nhập với hệ thống điện tử dựa trên thẻ thông minh không tiếp xúc, nó chủ yếu được sử dụng trong các hệ thống kiểm soát truy cập vật lý đến cơ sở.

Như đã nói, công nghệ nhận dạng vân tay đang dẫn đầu thị trường bảo mật sinh trắc học ngày nay. Nơi lấy dấu vân tay danh giá như vậy là do các trường hợp sau:

  • nó là phương pháp công nhận lâu đời nhất và được nghiên cứu nhiều nhất;
  • Tính năng sinh trắc học của nó là ổn định: bề mặt da trên ngón tay không thay đổi theo thời gian;
  • giá trị cao của các chỉ số về độ chính xác nhận dạng (theo các nhà phát triển công cụ bảo mật vân tay, xác suất từ ​​chối truy cập sai là 10-2 và xác suất truy cập sai là 10-9);
  • sự đơn giản và thuận tiện của quy trình quét;
  • công thái học và kích thước nhỏ của thiết bị quét;
  • nhiều nhất giá thấp giữa các hệ thống nhận dạng sinh trắc học.

Do đó, máy quét dấu vân tay đã trở nên được sử dụng nhiều nhất một phần không thể thiếu SIA kết hợp được sử dụng để bảo vệ máy tính khỏi bị truy cập trái phép. Đứng thứ hai về mức độ phổ biến trên thị trường bảo mật máy tính là SIA dựa trên thẻ thông minh tiếp xúc.

Một ví dụ về loại tích hợp này là các sản phẩm Precise 100 MC (Hình 5) và AET60 BioCARDKey (Hình 6) của Precise Biometrics AB và Advanced Card Systems, tương ứng. Để truy cập các nguồn thông tin máy tính bằng các công cụ này, người dùng cần lắp thẻ thông minh vào đầu đọc và đặt ngón tay lên máy quét. Các mẫu dấu vân tay được lưu trữ mã hóa trong bộ nhớ bảo mật của thẻ thông minh. Nếu hình ảnh dấu vân tay khớp với mẫu, quyền truy cập vào máy tính được phép. Người dùng rất hài lòng: không cần nhớ mật khẩu hoặc mã PIN, thủ tục đăng nhập được đơn giản hóa rất nhiều.

Hình 5 - Sản phẩm 100 MC chính xác

Hình 6 - Sản phẩm AET60 BioCARDKey

Các sản phẩm Precise 100 MC và AET60 BioCARDKey là các thiết bị USB hoạt động trong Môi trường Windows. Đầu đọc thẻ thông minh hỗ trợ tất cả các loại thẻ vi xử lý đáp ứng tiêu chuẩn ISO 7816-3 (giao thức T = 0, T = 1). Máy đọc dấu vân tay là máy quét loại điện dung với tốc độ quét 4 và 14 dấu vân tay mỗi giây tương ứng cho Precise 100 MC và AET60 BioCARDKey.

Để giảm số lượng thiết bị ngoại vi, bạn có thể tích hợp máy quét vân tay và đầu đọc thẻ thông minh vào bàn phím USB của máy tính được bảo vệ. Ví dụ về các thiết bị như vậy là các sản phẩm KBPC-CID (Hình 7) từ liên minh Máy tính Fujitsu Siemens, Bàn phím Precise 100 SC (Hình 8) và Bàn phím 100 MC chính xác từ Precise Biometrics AB.

Hình 7 - Sản phẩm KBPC-CID

Hình 8 - Sản phẩm Bàn phím 100 SC chính xác

Để truy cập tài nguyên thông tin của máy tính, như phiên bản trước, người dùng cần đặt thẻ thông minh vào đầu đọc và đặt ngón tay lên máy quét. Việc kết hợp khóa USB với hệ thống nhận dạng dấu vân tay có vẻ thú vị và đầy hứa hẹn đối với các nhà phát triển hệ thống bảo mật kết hợp (sau đây, một thiết bị như vậy sẽ được gọi là USB biokey). Một ví dụ về giải pháp này là biokeys USB FingerQuick (Hình 9) của tập đoàn Nhật Bản NTT Electronics và ClearedKey (Hình 10) từ công ty Priva Technologies của Mỹ.

Hình 9 - Cổng USB FingerQuick

Hình 10 - Ổ cắm USB ClearedKey

Trong tương lai gần, ổ cắm USB có thể trở nên phổ biến do những ưu điểm của chúng:

  • mức độ bảo mật cao máy quét dấu vân tay, lưu trữ dữ liệu bí mật, đặc biệt là các mẫu dấu vân tay, trong một bộ nhớ an toàn không thay đổi của mã định danh, mã hóa trao đổi dữ liệu với máy tính);
  • thực hiện phần cứng của các phép biến đổi mật mã;
  • thiếu một đầu đọc phần cứng;
  • tính độc đáo của tính năng, kích thước nhỏ và thuận tiện trong việc lưu trữ số nhận dạng.

Nhược điểm chính của ổ cắm USB là giá cao. Ví dụ: chi phí gần đúng của FingerQuick là $ 190.

Phần kết luận

Thoạt nhìn, hệ thống nhận dạng và xác thực kết hợp trông giống như những sản phẩm kỳ lạ, đắt tiền. Nhưng kinh nghiệm thế giới về sự phát triển của các hệ thống an ninh máy tính cho thấy rằng tất cả các phương tiện bảo vệ đang được sử dụng hiện nay cũng đã từng là những sản phẩm kỳ lạ như vậy. Và bây giờ họ là tiêu chuẩn của một cuộc sống an toàn. Do đó, với một xác suất cao, có thể lập luận rằng một số phận tương tự đang chờ các hệ thống kết hợp.

Bài viết liên quan: