курсовая. Курсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб
Скачать 403.29 Kb.
|
1 2 Реализация методов биометрического контроля Идентификация по рисунку папиллярных линий Применение данной технологии получило широкое распространение в системах автоматической идентификации по отпечатку пальца (AFIS). Весь процесс идентификации занимает не более нескольких секунд и не требует усилий от тех, кто использует данную систему доступа. В настоящее время уже производятся подобные системы размером меньше колоды карт. Определенным недостатком, сдерживающим развитие данного метода, является предубеждение части людей, которые не желают оставлять информацию о своих отпечатках пальцев. При этом контраргументом разработчиков аппаратуры является заверение в том, что информация о папиллярном узоре пальца не хранится - хранится лишь короткий идентификационный код, построенный на базе характерных особенностей отпечатка вашего пальца. По данному коду нельзя воссоздать узор и сравнить его с отпечатками пальцев, оставленными, допустим, на месте преступления. Преимущества доступа по отпечатку пальца - простота использования, удобство и надежность. Хотя процент ложных отказов при идентификации составляет около 3 %, ошибка ложного доступа - меньше 0,00001 % (1 на 1 000 000). Существует два основных алгоритма сравнения полученного кода с имеющимся в базе шаблоном: по характерным точкам и по рельефу всей поверхности пальца. В первом случае выявляются характерные участки и запоминается их взаиморасположение. Во втором случае запоминается вся «картина» в целом. В современных системах используется также комбинация обоих алгоритмов, что позволяет повысить уровень надежности системы. Традиционно американские компании занимают лидирующие позиции в разработке биометрических систем безопасности, в этом направлении успешно работают такие фирмы, как Identix, T-Netix, AmericanBiometricCompany, NationalRegistry, sagem, Morpho, Verditicom, Infenion. Из российских компаний-разработчиков идентификационных устройств по папиллярным узорам пальцев заслуживает внимания компания «Биолинк». С целью идентификации личности по рисунку папиллярных линий пальца проверяемый набирает на клавиатуре свой идентификационный номер и помещает указательный палец на окошко сканирующего устройства. При совпадении получаемых признаков с эталонными, предварительно заложенными в память ЭВМ и активизированными при наборе идентификационного номера, подается команда исполнительному устройству. Хотя рисунок папиллярных линий пальцев индивидуален, использование полного набора их признаков чрезмерно усложняет устройство идентификации. Поэтому с целью его удешевления применяют признаки, наиболее легко измеряемые автоматом. Выпускают сравнительно недорогие устройства идентификации по отпечаткам пальцев, действие которых основано на измерении расстояния между основными дактилоскопическими признаками. На величину вероятности ошибки опознания влияют также различные факторы, в том числе температура пальцев (рис. 3). Кроме того, процедура аутентификации у некоторых пользователей ассоциируется с процедурой снятия отпечатков у преступников, что вызывает у них психологический дискомфорт. Дактилоскопия построена на двух основных качествах, присущих папиллярным узорам кожи пальцев и ладоней: - стабильность рисунка узора на протяжении всей жизни человека; - уникальность рисунка, что означает отсутствие двух индивидуумов с одинаковыми дактилоскопическими отпечатками. Рис. 3. Процесс аутентификации по отпечаткам пальцев Распознавание отпечатка пальца основано на анализе распределения особых точек (концевых точек и точек разветвления папиллярных линий), местоположение которых задается в декартовой системе координат. Для снятия отпечатков в режиме реального времени применяются специальные контактные датчики различных типов. Системы идентификации по отпечаткам пальцев выпускаются в течение почти трех десятков лет Однако благодаря достигнутым успехам в области машинного распознавания отпечатков только в последние годы заметно увеличилось число фирм, выпускающих терминалы персональной аутентификации на базе дактилоскопии. Таблица 4. Сравнительные характеристики устройств, использующих методы идентификации по отпечаткам пальцев
Отметим, что все представленные устройства предназначены для работы только внутри помещения. Поверхность сканера должна быть чистой, поэтому априори исключаются запыленные склады, бензоколонки и т. д. Наиболее частое применение - банковские системы (доступ к сейфам, хранилищам ценностей), контроль доступа в различные клубы и загородные резиденции, системы электронной коммерции. Идентификация по радужной оболочке глаз Первооткрывателем в области идентификации личности по радужной оболочке глаза является доктор Джон Даугман. В 1994 г. он запатентовал в США метод распознавания радужной оболочки глаза (US Patent S, 291, 560). Разработанные им алгоритмы используются до сих пор. С помощью этих алгоритмов необработанные видеоизображения глаза преобразуются в уникальный идентификационный двоичный поток Iris-код, полученный в результате определения позиции радужки, ее границы и выполнения других математических операций для описания текстуры радужки в виде последовательности чередования фаз, похожей на штрих-код. Полученный таким образом Iris-код используется для поиска совпадений в базах данных (скорость поиска - около 1 млн. сравнения Iris-кодов в 1 с) и для подтверждения или неподтверждения заявленной личности Преимущество сканеров для радужной оболочки глаза состоит в том, что они не требуют от пользователя сосредоточения на цели, так как образец пятен на радужной оболочке находится на поверхности глаза. Фактически видеоизображение глаза может быть отсканировано на расстоянии менее 1 м, что делает возможным использование сканеров для радужной оболочки глаза, допустим, в банкоматах. Разработкой технологии идентификации личности на основе принципа сканирования радужной оболочки глаза в настоящее время занимаются более 20 компаний, в том числе BritishTelecom, Sensar, японская компания Oki. Различают активные и пассивные системы распознавания. В системах первого типа пользователь должен сам настроить камеру, передвигая ее для более точной наводки. Пассивные системы проще в использовании, поскольку камера в них настраивается автоматически. Высокая надежность этого оборудования позволяет применять его даже в исправительных учреждениях. В качестве примера современной системы идентификации на основе анализа радужной оболочки глаза рассмотрим решение, предложенное компанией LG. Система IrisAccess позволяет менее чем за 1 с отсканировать рисунок радужной оболочки глаза, обработать и сравнить с 4 тыс. других записей, которые она хранит в своей памяти, а затем послать соответствующий сигнал в охранную систему. Технология - полностью бесконтактная. На основе изображения радужной оболочки глаза строится компактный цифровой код размером 512 байт. Устройство имеет высокую надежность по сравнению с большинством известных систем биометрического контроля, поддерживает объемную базу данных, выдает звуковые инструкции на русском языке, позволяет интегрировать в систему карты доступа и ПИН-клавиатуры. Один контроллер поддерживает четыре считывателя Система может быть интегрирована с LAN Система IrisAccess 3000 состоит из оптического устройства внесения в реестр E01J3000, удаленного оптического устройства R01J3000, контрольного устройства опознавания ICLI3000, платы захвата изображения, дверной интерфейсной платы и PC-сервера. Если требуется осуществлять контроль за несколькими входами, то ряд удаленных устройств, включая ICU3000 и R01J3000, может быть подключен к PC-серверу через локальную сеть (LAN). Представляет интерес камера для идентификации личности путем сканирования радужной оболочки глаза, используемая в системах защиты и безопасности для компьютеров типа десктоп/лэптоп. Разработки визуальных систем (VisionSystems) компании Panasonic и хорошо показавшие себя на прак-тике разработки в области идентификации личности на основе рисунка радужной оболочки глаз компании IridianTechnologies позволили создать легкие в использовании и отличающиеся высокой точностью средства, которые можно использовать в широком диапазоне современных и будущих потребностей в области обеспечения безопасности. Камера Authenticam™ компании Panasonic в сочетании с программным продуктом PrivatelD™ компании IndianTechnologies представляет собой экономически выгодный и надежный путь обеспечения безопасности доступа. Для такой камеры характерны безопасность и простота использования. Достаточно взглянуть в объектив камеры с расстояния приблизительно 50 см, и менее чем через 2 с произойдет захват изображения. Программный продукт PrivatelD™ обрабатывает рисунок радужной оболочки глаз и кодирует полученную информацию в виде 512-байтовой записи IrisCode. Эти записи вводятся для хранения в память и используются для сравнения с другими записями кодов IrisCodes - для идентификации личности при любых транзакциях и деловых операциях, когда для сравнения представляется радужная оболочка глаза живого человека. Дифференциатор ключей для идентификации личности по рисунку радужной оболочки глаза осуществляет поиск в базе данных для нахождения соответствующего идентификационного кода. При этом база данных может состоять из неограниченного числа записей кодов IrisCode. Технология допуска, основанная на сканировании радужной оболочки глаза, уже несколько лет успешно применяется в государственных организациях США и в учреждениях с высокой степенью секретности (в частности, на заводах по производству ядерного вооружения). Эффективность этого способа доказана, он безопасен для пользователя и надежен в работе. Он обеспечивает моментальную аутентификацию личности, предназначенную для замены символов ПИН-кодов и паролей. Многие эксперты подчеркивают «незрелость» технологии, хотя потенциальные возможности метода достаточно высоки, так как характеристики рисунка радужной оболочки человеческого глаза достаточно стабильны и не изменяются практически в течение всей жизни человека, невосприимчивы к загрязнению и ранам. Отметим также, что радужки правого и левого глаза по рисунку существенно различаются. Этот метод идентификации отличается от других большей сложностью в использовании, более высокой стоимостью аппаратуры и жесткими условиями регистрации. Идентификация по капиллярам сетчатки глаз При идентификации по сетчатке глаза измеряется угловое распределение кровеносных сосудов на поверхности сетчатки относительно слепого пятна глаза и другие признаки. Капиллярный рисунок сетчатки глаз различается даже у близнецов и может быть с большим успехом использован для идентификации личности. Всего насчитывают около 250 признаков. Такие биометрические терминалы обеспечивают высокую достоверность идентификации, сопоставимую с дактилоскопией, но требуют от проверяемого лица фиксации взгляда на объективе сканера. Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в СКУД особо секретных объектов, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа. Однако изображение радужной оболочки должно быть четким, поэтому катаракта может отрицательно воздействовать на качество идентификации личности. Начало разработок этого направления идентификации относится к 1976 г., когда в США была образована компания EyeDentify, которая до настоящего времени сохраняет монополию на производство коммерческих систем аутентификации по ретине. Основным устройством для системы такого типа является бинокулярный объектив. При осуществлении процедуры аутентификации пользователь должен прильнуть глазами к окулярам и, глядя вовнутрь, сфокусировать взгляд на изображении красного цвета. Затем ему следует дождаться смены цвета на зеленый (что укажет на правильную фокусировку) и нажать на стартовую кнопку. Сканирование глазного дна выполняется источником инфракрасного излучения, безопасного для глаз. Достаточно смотреть в глазок камеры менее минуты. За это время система успевает подсветить сетчатку и получить отраженный сигнал. Для сканирования сетчатки используется инфракрасное излучение низкой интенсивности, направленное через зрачок к кровеносным сосудам на задней стенке глаза. Отраженное от ретины излучение фиксируется специальной чувствительной камерой. Замеры ведутся по 320 точкам фотодатчиками и результирующий аналоговый сигнал с помощью микропроцессора преобразуется в цифровой вид. При этом используется алгоритм быстрого преобразования Фурье. Полученный цифровой вектор, состоящий из коэффициентов Фурье, сравнивается с зарегистрированным эталоном, хранящимся в памяти системы. Благодаря такому методу преобразования и представления изображения глазного дна для хранения каждого эталона расходуется по 40 байт. Память терминала EyeDentificationSystem 7.5, реализующего этот алгоритм, рассчитана на запоминание до 1200 эталонов. Время регистрации составляет примерно 30 с, время аутентификации - 1,5 с. Коэффициент ошибок 1-го рода - 0,01 %, 2-го рода - 0,0001 % (т. е. вероятность ошибок 1-го рода - 0,0001, 2-го рода - 0,000001). С точки зрения безопасности данная система выгодно отличается от всех других, использующих биометрические терминалы, не только малым значением коэффициентов ошибок как l-ro, так и 2-го рода, но и использованием специфического аутентификациоиного атрибута, который практически невозможно негласно подменить для обмана системы при проверке. К недостаткам подобных систем следует отнести психологический фактор: не всякий человек отважится посмотреть в неведомое темное отверстие, где что-то светит в глаз. К тому же надо следить за положением глаза относительно отверстия, поскольку подобные системы, как правило, чувствительны к неправильной ориентации сетчатки. Сканеры для сетчатки глаза гарантируют один из самых низкихпроцентов отказа в доступе зарегистрированных пользователей и почти нулевой процент ошибок. Разграничение доступа После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа. Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д. Обычно выделяют следующие методы разграничения доступа: - разграничение доступа по спискам; - использование матрицы установления полномочий; - по уровням секретности и категориям; - парольное разграничение доступа. При разграничении доступа по спискам задаются соответствия: - каждому пользователю – список ресурсов и прав доступа к ним. - каждому ресурсу – список пользователей и их прав доступа к данному ресурсу. Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице (см. таблицу 2.7) строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др. Таблица 2. Фрагмент матрицы доступа
c – создание, d – удаление, r – чтение, w – запись, e – выполнение. Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и не совсем оптимальное использование ресурсов (большинство клеток – пустые). Разграничения доступа по уровням секретности и категориям состоят в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категорий. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет. При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю. Соответственно, все ресурсы АС декомпозируют по уровню важности, причем определенному уровню соответствует некоторый ранг персонала (типа: руководитель, администратор, пользователь). Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях. На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой. В завершении подраздела заметим, что руководящие документы могут регламентировать два вида (принципа) разграничения доступа: - дискретное управление доступом; - мандатное управление доступом. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы. Мандатное управление доступом регламентирует разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Иначе, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Ясно, что методы разграничения доступа по уровням секретности и категориям являются примерами мандатного управления доступом. Заключение Биометрические технологии используются уже более 20 лет. Тем не менее участники рынка безопасности продолжают внимательно следить за их развитием, а также прогнозировать: как инновации в области биометрии могут повлиять на облик индустрии в течение ближайших 10 лет. Результаты исследования, проведенного в Европе компанией LogicaCMG, позволили выделить те области, применительно к которым европейцы хотели бы чувствовать себя более защищенными: передвижение на транспорте, путешествия; финансовые операции; персональные данные. При этом если раньше наиболее широко обсуждались вопросы общественно-приемлемой и этичной биометрии, то сейчас дискуссии сместились в сферу эффективности и удобства для решения тех или иных задач. В Великобритании системы безопасности на базе биометрических технологий успешно используются в различных сферах: их можно встретить в школьных библиотеках и столовых, аэропортах и тюрьмах. В других странах Европы биометрия находит применение также в финансовых учреждениях и дипломатических представительствах. Защита биометрических данных (удостоверения, визы, паспорта и др.) остается вопросом, обсуждаемым на самых разных государственных уровнях. Активные технологические разработки идут как в области анализа биометрических данных, так и в области считывания и обработки. Со времен первых дактилоскопических считывателей (которые до сих пор ассоциируются с идентификацией преступников, а также со скепсисом пользователей о том, что считыватель нетрудно "обмануть") появился целый ряд технологий на базе различных идентификаторов (радужная оболочка глаза, рисунок вен, лицо, голос). Сегодня у руководителей есть из чего выбирать (по соотношению достоверность качество надежность быстродействие стоимость) с учетом особенностей решаемых задач. В то время как дактилоскопические считыватели традиционно находятся на нижней ступени ценовой шкалы биометрических технологий, они обеспечивают и менее точный результат, поэтому предназначены для использования на объектах с невысоким риском опасности и в системах с большим количеством пользователей. Системы на базе технологии распознавания лица - на втором месте по доле рынка. Их стоимость выше, но и уровень точности работы системы лучше. Преимуществами решений на основе данного идентификатора является лояльное отношение к ним со стороны пользователей и относительная простота интеграции с другими системами, например видеонаблюдением. Перед разработчиками стоит задача обеспечить возможность корректировать шаблоны биометрической характеристики с течением времени, дабы отразить, в частности, возрастные изменения человека. Биометрические системы на базе распознавания венозного рисунка и радужной оболочки глаза обеспечивают комбинацию высокой достоверности идентификации, надежности и привлекательности цены. В ближайшие годы они найдут широкое применение для систем, устанавливаемых на объектах повышенного уровня опасности. Список литературы Барабанова М.И., Кияев В.И. Информационные технологии: открытые системы, сети, безопасность в системах и сетях: Учебное пособие.- СПб.: Изд-во СПбГУЭФ, 2010.- 267 с. Горлицин И. Контроль и управление доступом - просто и надежно КТЦ «Охранные системы», 2002. Барсуков В. С. Интегральная защита информации // Системы безопасности, 2002. №5, 6. Стасенко Л. СКУД - система контроля и управления доступом // Все о вашей безопасности. Группа компаний «Релвест» (Sleo@relvest.ru). Абрамов А. М., Никулин О. Ю, Петрушин А. И. Системы управления доступом. М.: «Оберег-РБ», 1998. Гинце А. Новые технологии в СКУД // Системы безопасности, 2005. 1 2 |