Идентификация и аутентификация пользователей

Когда какой-либо пользователь или программа (субъект) обращается к ресурсам АС (объекту), необходимо провести идентификацию и аутентификацию участников процесса доступа.

Идентификация представляет собой присвоение субъекту или объекту доступа уникального имени (идентификатора), а также сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Аутентификация - это проверка принадлежности субъекту доступа предъявляемого им идентификатора, подтверждение подлинности. Задачей установления подлинности какого-либо субъекта или объекта является подтверждение того, что обратившийся субъект или предъявляемый объект являются именно теми, которые должны участвовать в данном процессе.

В зависимости от сложности операций установления подлинности различают три основные группы операций: простое, усложненное и особое опознавание. Простое установление подлинности сводится, как правило, к сравнению кода (пароля), предъявленного пользователем или терминалом, с эталонным кодом

(паролем), хранящимся в оперативной памяти устройства, проводящего установление подлинности.

При усложненном опознавании кроме пароля используется дополнительная информация, например разовые пароли, персональная информация пользователя и т. п. Усложненное установление подлинности обычно осуществляется в режиме диалога.

Особое опознание использует такую совокупность опознавательных характеристик, при которой обеспечивается надежное опознавание субъекта или объекта.

Применяемые в настоящее время принципы опознавания можно разделить на основанные на знаниях, атрибутивные и персональные.

Принципы установления подлинности, основанные на знаниях, используют различаемую информацию (изображения, специальные символы) или хранимую информацию (личные номера, коды, пароли, персональную информацию).

Наибольшее применение получил метод паролей, который требует, чтобы пользователь ввел строку символов (пароль) для сравнения с эталонным паролем. Если пароль соответствует эталонному, то субъект доступа может работать с АС и пользоваться всей информацией, доступ к которой ему разрешен.

Важной характеристикой пароля является его длина. Чем больше длина пароля, тем большую безопасность будет обеспечивать подсистема установления подлинности, так как потребуются значительно большие усилия для отгадывания пароля. Для определения необходимой длины пароля в случае, когда нарушитель может вводить пароль через удаленный терминал, применяют формулу безопасности. Она учитывает: число символов в алфавите, из которого составляется пароль; длину пароля; скорость передачи через линию связи (в символах/мин); период времени, в течение которого могут быть предприняты систематические попытки отгадывания пароля (в месяцах при работе 24 ч/день); число символов в каждом передаваемом сообщении при попытке получить доступ к системе; вероятность того, что соответствующий пароль может быть раскрыт злоумышленником.

Задаваясь вероятностью, можно получить для заданных характеристик АС значение длины пароля, удовлетворяющее уравнению безопасности.

Для ввода пароля обычно используется клавиатура компьютера, специальный считыватель не нужен. Недостатком такой системы ввода информации является возможность выявления пароля путем наблюдения процесса его набора санкционированным пользователем, анализа загрязнений на клавиатуре и т. д. Кроме того, длинные пароли, необходимые для предотвращения раскрытия нарушителем, плохо запоминаются пользователями и часто записываются на бумаге, а иногда и прямо на клавиатуре, что делает систему защиты бесполезной. Затрудняет запоминание паролей и их частая смена.

Атрибутивные принципы установления подлинности используют документы (пропуска, идентификационные карты с фотографиями, удостоверения личности), различные карты (такие как магнитные карты, микропроцессорные карты, бесконтактные карты) и другие предметы (ключи, жетоны).

Для защиты от НСД непосредственно к ресурсам АС могут применяться практически все вышеперечисленные атрибутивные средства опознавания. Для этого требуется, чтобы считыватель обеспечивал тактическую надежность (исключал представление данных в обход считывателя) и не создавал помех работе АС.

Одним из первых способов опознавания пользователей АС было опознавание с помощью специальных карточек, развитие которых привело к появлению так называемых «интеллектуальных карточек» типа SmartCard, содержащих встроенный микропроцессор. Карточки, в которых записана специальная информация о владельцах, являются не только носителями, но и преобразователями информации. Микропроцессор может шифровать пароли, вести учет всех операций, выполненных с использованием карточки, и т. п. В ключе содержится микропроцессор, в запоминающее устройство которого заносится уникальная для каждого пользователя информация. Она может периодически заменяться или модифицироваться. При запросе пользователя на доступ ЭВМ генерирует случайное число, которое выводится на дисплей в виде мигающего штрихового кода. Пользователь должен поднести ключ к той зоне дисплея, где выведено случайное число, и оптические датчики ключа должны его считать. В микропроцессоре ключа осуществляется совместная обработка считанного кода и персональной информации, записанной в ЗУ микропроцессора. В итоге образуется шестизначный пароль, который воспроизводится на индикаторе ключа и который пользователь должен ввести в ЭВМ. ЭВМ в это же время выполняет аналогичные вычисления. Доступ пользователя к ЭВМ разрешается лишь при совпадении результатов вычислений. Процедуру доступа можно модифицировать так, чтобы пароль зависел от дня недели и времени суток.

Общим недостатком атрибутивных способов является то, что они наиболее подвержены различного рода подделкам, мошенничеству, хищениям. Недостатки атрибутивных и парольных принципов опознавания привели к активному развитию систем управления доступом, использующих персональные методы.

Персональные принципы установления подлинности основаны на уникальных характеристиках человека, присущих субъекту доступа.

При использовании рассмотренных выше методов опознавания по паролю или атрибуту применяются такие способы ввода информации, которые обеспечивают безошибочное считывание кода пользователя. Для принятия решения на допуск проверяется идентичность введенной для опознавания информации и информации из базы данных. Надежность предотвращения НСД при этом определяется уровнем сложности выявления нарушителем кода пользователя и предъявления его считывателю в требуемом виде. Иначе решается задача опознавания субъекта доступа по персональным признакам.

Повышенная сложность персональных принципов установления подлинности имеет ряд объективных причин. Во-первых, индивидуальные признаки человека обладают определенной изменчивостью под действием внешних факторов, а также психологического и физиологического состояния субъекта доступа. Во-вторых, регистрация персональных характеристик обычно сопровождается ошибками считывания. Считываемая персональная информация, как правило, обладает избыточностью. Индивидуальные характеристики зарегистрированного пользователя могут быть доступны с определенной точностью нарушителю, и надежность предотвращения НСД определяется в основном сложностью их детальной имитации.

Особую роль играет выбор персональных признаков для построения системы аутентификации. Такие признаки должны быть информативны и устойчивы. Информативность персональных признаков предполагает неповторимость выбранной совокупности характеристик у разных индивидуумов. Устойчивость персональных признаков заключается в сохранении ими основных параметров в определенных пределах в течение нескольких лет и более. Кроме того, должны учитываться удобство ввода и невозможность имитации выбранной совокупности признаков.

Персональные признаки и системы, на них основанные, можно разделить на квазистатические, или биометрические, использующие отпечатки пальцев (дактилоскопические), строение лица, форму черепа, форму ушной раковины, рисунок на сетчатке глаза, строение кровеносных сосудов, геометрию руки, а также квазидинамические, использующие пульс, кардиограмму, речь, почерк, стиль печатания.

Структура системы распознавания субъекта доступа по персональным признакам включает датчик ввода персональной информации, блок выделения признаков опознавания, блок сравнения, базу данных и пороговое устройство.

Датчик ввода персональной информации предназначен для преобразования физических характеристик субъекта доступа в аналоговые или дискретные электрические сигналы, которые являются первичными данными для системы опознавания. Конструкция и особенности функционирования считывателя персональной информации выбираются таким образом, чтобы исключить или существенно затруднить предъявление имитаторов персональных признаков.

В биометрических системах опознавания датчик формирует двухмерное или трехмерное изображение в видимом, инфракрасном или в исключительных случаях в рентгеновском диапазоне электромагнитных волн. Как правило, формируется черно-белое изображение с ограниченным числом полутонов (градаций серого тона), что сопровождается ошибками, свойственными квантованию уровня сигнала. Кроме того, в биометрических считывателях возникают искажения персональных признаков из-за изменений ракурса (относительной ориентации датчика и субъекта доступа), сдвига по одной или нескольким осям при последовательной регистрации элементов изображения, смещения центра изображения, масштабных искажений, связанных с изменением дальности до субъекта доступа, и т. д.

В системах опознавания по динамическим характеристикам датчик формирует последовательность отсчетов, описывающих изменение одного или группы физических параметров во времени. Регистрация динамических характеристик всегда сопровождается естественными или искусственными помехами. Кроме того, динамическим признакам свойственны нестабильность скорости изменения физических параметров во времени, изменчивость амплитудных соотношений для разных участков процесса, непостоянство пауз или интервалов между отдельными фрагментами процесса.

Указанные особенности приводят к тому, что при нескольких считываниях персональных признаков с одного субъекта доступа сигналы на выходе датчика будут отличаться друг от друга. Каждому субъекту доступа при опознавании соответствует не один конкретный сигнал (векторный в общем случае) на выходе считывателя (как это было при атрибутивном и парольном методах), а некоторое множество зарегистрированных (авторизованных) пользователей. Теоретически возможно хранение в базе данных всех возможных реализаций первичных данных для каждого субъекта доступа. Право доступа при этом будет основываться на идентичности предъявляемых данных одной из записанных ранее реализаций для данного лица. Однако объем требуемой базы данных чрезмерно велик. Поэтому из первичных данных формируется ограниченная по объему совокупность информативных и устойчивых признаков опознавания. Количество таких параметров и области возможных значений однозначно определяют объем базы данных по каждому субъекту доступа. Информативность признаков опознавания во многом определяет надежность правильного допуска зарегистрированных пользователей и эффективность предотвращения допуска нарушителя. Выбор наилучшей совокупности признаков опознавания является одной из наиболее сложных и наименее разработанных проблем в теории распознавания. База данных формируется в процессе обучения системы аутентификации. При этом зарегистрированный пользователь предъявляет один или несколько раз персональную информацию считывателю.

В базе данных могут храниться средние значения и (или) интервалы допустимых значений признаков распознавания. Блок сравнения формирует скалярную или векторную меру рассогласования между признаками опознавания субъекта доступа, полученными в процессе аутентификации, и признаками из базы данных по этому пользователю. Если мера рассогласования не превышает заданного в пороговом устройстве допустимого значения расхождения, то принимается решение о том, что предъявитель является законным пользователем, и формируется команда на разрешение допуска. Таким образом, система опознавания должна осуществлять отображение и сравнивать полученное значение меры рассогласования с порогом.

Корректность работы системы опознавания определяется двумя характеристиками: вероятностью ложного допуска и вероятностью ложного отказа в доступе. Вероятность ложного допуска есть выраженное в процентах число допусков системой неавторизованных на данной территории лиц. Пределы, в которых должна находиться эта величина, составляют от 0,0001 до 0,1% в зависимости от категории защищаемой информации. Вероятность ложного отказа в доступе есть выраженное в процентах число отказов в допуске системой авторизованных на данной территории лиц. Пределы, в которых должна находиться эта величина, составляют от 0,00066 до 1%. В однопороговых решающих устройствах эти две характеристики можно изменять, уменьшая или увеличивая значение порога. Уменьшая таким способом одну величину, мы одновременно увеличиваем другую.

Для обеспечения необходимых уровней вероятностей как ложного отказа в доступе, так и ложного допуска могут использоваться решающие правила с двумя порогами. В этом случае эффективность системы опознавания может быть охарактеризована тремя вероятностями: вероятность решения на повторную аутентификацию, которая определяет возможную задержку в опознавании пользователя в связи с необходимостью повторного ввода и обработки информации; вероятность предъявления идентификатора нарушителем и вероятность предъявления идентификатора зарегистрированным пользователем [!]• Наибольшее применение получили квазистатические способы. Они обеспечивают практически моментальное предъявление информации к опознаванию и обеспечивают высокую пропускную способность. Средства биометрического опознавания активно внедряются в

автоматизированные системы контроля доступа персонала к объектам.

Необходимо отметить активное развитие систем съема и обработки биометрических признаков. В качестве примера можно привести результаты объединения высокоточных инфракрасных дактилоскопических сканеров размерами 2x17 мм и

специализированного микропроцессора для анализа оптических изображений. Для регистрации теплового излучения пальца пользователя он должен провести им по поверхности датчика. Результаты сравнения отсканированного изображения и изображений, занесенных предварительно в базу данных, будут шифроваться для выдачи затребовавшей стороне. Планируется применять данное средство для аутентификации удаленных пользователей при проведении сетевых обменов конфиденциальной информацией. Данная разработка сочетает в себе свойства атрибутивных и персональных принципов аутентификации.

Достаточно надежным является способ опознавания пользователей по почерку. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает. Основная проблема заключается в разграничении обычных отклонений в истинной подписи от подделок. Для этого используются динамические характеристики процесса подписи (скорость, давление на бумагу) и статические (форма и размер подписи). В первом случае необходимо проводить динамические измерения в процессе написания, во втором - анализировать уже готовую подпись. При этом динамические измерения значительно более информативны, чем анализ формы подписи. Это определяется не только тем, что нарушитель, подделывая подпись, делает это более медленно. Кроме скорости росписи на динамические характеристики влияют недоступные подделке особенности строения кисти пользователя, приобретенные им индивидуальные навыки письма.

Динамический анализ почерка использует специальную ручку, содержащую преобразоватеь ускорения в плоскости поверхности, на которой выполняется роспись. Кроме ускорений могут измеряться: сила давления на бумагу, время контакта ручки с бумагой, общее время написания, время нарушения контакта ручки с бумагой, среднее ускорение, скорость и отклонения, среднее усилие, приложенное перпендикулярно к поверхности, и т. д. Эти параметры определяются в процессе контрольного написания по 5-10 образцов. Каждый параметр требует памяти 200 байт. Некоторые трудности возникают из-за нестабильности интервала между инициалами и фамилией. Это требует довольно сложных вычислений. С учетом сказанного эталонный образец требует емкости памяти не менее 2000 байт.

Достаточно полно разработаны теоретические вопросы опознавания по голосу. В среде специалистов идут споры о приоритете разработки принципов векторного квантования и динамического программирования для обработки речевой информации. Первый прибор, понимавший ограниченное число речевых команд, был создан в Ленинграде в конце 30-х годов. Разработки велись в военных целях и были засекречены. В конце 70-х годов ожидалось быстрое создание систем распознавания диктора и содержания речи на основе вычислительных систем. Однако исследования показали высокую изменчивость параметров речевого сигнала от состояния диктора, что сдерживает разработку надежных систем распознавания по голосу.

При построении систем распознавания по голосу могут решаться две основные задачи. Первая из них - идентификация личности, то есть отождествление человека, произносящего произвольный текст, с одним из дикторов, речевые образы которого заранее занесены в базу данных системы. Вторая задача - верификация личности - подразумевает подтверждение подлинности личности, за которую себя выдает говорящий.

В системах распознавания по голосу используются личные парольные фразы и индивидуальные характеристики голосов конкретных лиц, которым разрешен доступ. Такие системы предусматривают предварительное обучение системы каждым законным пользователем. Процесс обучения заключается в произнесении паролей, при этом голос может оцениваться по шести основным параметрам. В процессе распознавания компьютер через динамик задает пользователю несколько вопросов, на которые необходимо ответить в микрофон. Обработав полученные ответы, система либо разрешает загрузку ОС, либо запрещает ее, блокируя дисковод. Существующие системы задают говорящему от двух до восьми вопросов. Установлено, что для обеспечения надежности на 99% пользователь должен ответить на 3 - 4 вопроса. Время анализа любого вопроса - менее 0,5 с.

На индивидуальность голоса влияют анатомические особенности и привычки человека: диапазон частот вибрации голосовых связок (высота тона); частотные характеристики голосового тракта (резонансные частоты глотки, носовой и ротовой полости); громкость как функция времени (интонация); высота тона как функция времени (мелодичность). Существует три основных способа выделения характерных признаков речи человека.

Во-первых, может использоваться анализ кратковременных сегментов. Из гласных звуков выделяются короткие сегменты (например, длительностью 20 мс) и описываются коэффициентами различных преобразований (Фурье, Уолша и т. п.), которые характеризуют особенности голосового тракта. Этот метод не требует произнесения какой-либо заранее заданной фразы, но очень чувствителен к помехам.

Во-вторых, применим способ контурного анализа, описывающего временную структуру произнесения. Используется разбиение речи с выделением одного характеризующего компонента (высота тона, формат и т. п.). Последовательность характеризующих компонентов образует контур. Он зависит от текста, но является самым помехоустойчивым.

В-третьих, возможно использование статистических характеристик. Проводится эквидистантное сегментирование речевого сигнала. Для каждого сегмента вычисляются коэффициенты преобразования и рассчитываются векторы распределения, средние векторы и векторы разброса. Статистический метод является текстонезависимым при достаточной продолжительности произнесения (не менее 12 с). Для обработки статистической информации применяются методы анализа случайных величин, корреляционного анализа и др.

С точки зрения технической реализации наиболее приемлемо исследование частотных характеристик. Для этого применяются специальные многоканальные фильтры. Предлагаются 43-канальные фильтры с полосой пропускания от 100 Гц до 6,2 кГц. Опрос каждого канала происходит один раз в 18 мс. Найден способ уменьшить объем информации, требуемой для анализа речи. Достаточно 15 каналов при периоде сканирования 27 мс. Это сокращает количество информации в 2500 раз. Опознавание проводится сравнением текущих данных с эталонными по каждому каналу.

Качественная подделка голоса довольно сложна и доступна очень ограниченному кругу лиц, имеющих соответствующие способности. При этом на произнесение фразы нарушителем влияет его субъективное восприятие голоса законного пользователя и своего собственного.

Для предотвращения использования магнитной записи голоса настоящего пользователя вопросы или слова, которые необходимо произнести для проверки, могут высвечиваться на дисплее в случайном порядке. Предполагается, что нарушитель физически не сможет быстро перематывать пленку и это обстоятельство послужит дополнительной защитой. Кроме того, возможно распознание шума двигателя магнитофона и запрет на вход в систему при наличии подобных звуков. Необходимо отметить, что создание цифровых портативных магнитофонов, в которых поиск нужных слов проводится моментально, требует повышенной сложности обмена фраз между пользователем и системой распознавания.

Достоинством анализа речи является применимость стандартного оборудования, относительная дешевизна и надежность. Тем не менее, промышленное производство таких систем пока не налажено.

Сравнивая методы биометрической и квазидинамической персональной аутентификации, необходимо отметить, что при близкой информативности признаков устройства ввода первичных данных первой группы обычно сложнее. С другой стороны, изменчивость квазидинамических признаков приводит к тому, что в этом случае при более простых средствах регистрации персональных признаков необходимы более сложные алгоритмы обработки.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >