Главная страница
Навигация по странице:

  • Идентификация/аутентификация с помощью биометрических данных

  • Методы биометрического контроля Идентификация по рисунку папиллярных линий

  • Идентификация по радужной оболочке глаз

  • Идентификация по голосу и особенностям речи.

  • Управление доступом

  • Курсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб


    Скачать 360.65 Kb.
    НазваниеКурсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб
    Дата12.04.2023
    Размер360.65 Kb.
    Формат файлаdocx
    Имя файлаkursovaya l.docx
    ТипКурсовая
    #1057203
    страница2 из 3
    1   2   3

    Рис. 1.  Проверка сервером S подлинности клиента C.

    Здесь c и s - сведения (например, имя), соответственно, о клиенте и сервере, d1 и d2 - дополнительная (по отношению к билету) информация, Tc.s - билет для клиента C на обслуживание у сервера S, Kc и Ks - секретные ключи клиента и сервера, {info}K - информация info, зашифрованная ключом K.

    Приведенная схема - крайне упрощенная версия реальной процедуры проверки подлинности. Более подробное рассмотрение системы Kerberos можно найти, например, в статье В. Галатенко "Сервер аутентификации Kerberos (JetInfo, 1996, 12-13). Нам же важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и поддерживает концепцию единого входа в сеть.


    1. Идентификация/аутентификация с помощью биометрических данных

    Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.

    Биометрией во всем мире занимаются очень давно, однако долгое время все, что было связано с ней, отличалось сложностью и дороговизной. В последнее время спрос на биометрические продукты, в первую очередь в связи с развитием электронной коммерции, постоянно и весьма интенсивно растет. Это понятно, поскольку с точки зрения пользователя гораздо удобнее предъявить себя самого, чем что-то запоминать. Спрос рождает предложение, и на рынке появились относительно недорогие аппаратно-программные продукты, ориентированные в основном на распознавание отпечатков пальцев.

      1. Создание

    В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).

    В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.

    Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.

      1. Методы биометрического контроля

    Идентификация по рисунку папиллярных линий. Применение данной технологии получило широкое распространение в системах автоматической идентификации по отпечатку пальца (AFIS). Весь процесс идентификации занимает не более нескольких секунд и не требует усилий от тех, кто использует данную систему доступа. В настоящее время уже производятся подобные системы размером меньше колоды карт. Определенным недостатком, сдерживающим развитие данного метода, является предубеждение части людей, которые не желают оставлять информацию о своих отпечатках пальцев. При этом контраргументом разработчиков аппаратуры является заверение в том, что информация о папиллярном узоре пальца не хранится - хранится лишь короткий идентификационный код, построенный на базе характерных особенностей отпечатка вашего пальца. По данному коду нельзя воссоздать узор и сравнить его с отпечатками пальцев, оставленными, допустим, на месте преступления. Преимущества доступа по отпечатку пальца - простота использования, удобство и надежность. Хотя процент ложных отказов при идентификации составляет около 3 %, ошибка ложного доступа - меньше 0,00001 % (1 на 1 000 000). Существует два основных алгоритма сравнения полученного кода с имеющимся в базе шаблоном: по характерным точкам и по рельефу всей поверхности пальца. В первом случае выявляются характерные участки и запоминается их взаиморасположение. Во втором случае запоминается вся «картина» в целом. В современных системах используется также комбинация обоих алгоритмов, что позволяет повысить уровень надежности системы. Традиционно американские компании занимают лидирующие позиции в разработке биометрических систем безопасности, в этом направлении успешно работают такие фирмы, как Identix, T-Netix, AmericanBiometricCompany, NationalRegistry, sagem, Morpho, Verditicom, Infenion. Из российских компаний-разработчиков идентификационных устройств по папиллярным узорам пальцев заслуживает внимания компания «Биолинк». С целью идентификации личности по рисунку папиллярных линий пальца проверяемый набирает на клавиатуре свой идентификационный номер и помещает указательный палец на окошко сканирующего устройства. При совпадении получаемых признаков с эталонными, предварительно заложенными в память ЭВМ и активизированными при наборе идентификационного номера, подается команда исполнительному устройству. Хотя рисунок папиллярных линий пальцев индивидуален, использование полного набора их признаков чрезмерно усложняет устройство идентификации. Поэтому с целью его удешевления применяют признаки, наиболее легко измеряемые автоматом. Выпускают сравнительно недорогие устройства идентификации по отпечаткам пальцев, действие которых основано на измерении расстояния между основными дактилоскопическими признаками. На величину вероятности ошибки опознания влияют также различные факторы, в том числе температура пальцев. Кроме того, процедура аутентификации у некоторых пользователей ассоциируется с процедурой снятия отпечатков у преступников, что вызывает у них психологический дискомфорт. Дактилоскопия построена на двух основных качествах, присущих папиллярным узорам кожи пальцев и ладоней: - стабильность рисунка узора на протяжении всей жизни человека; - уникальность рисунка, что означает отсутствие двух индивидуумов с одинаковыми дактилоскопическими отпечатками.

    Распознавание отпечатка пальца основано на анализе распределения особых точек (концевых точек и точек разветвления папиллярных линий), местоположение которых задается в декартовой системе координат. Для снятия отпечатков в режиме реального времени применяются специальные контактные датчики различных типов. Системы идентификации по отпечаткам пальцев выпускаются в течение почти трех десятков лет Однако благодаря достигнутым успехам в области машинного распознавания отпечатков только в последние годы заметно увеличилось число фирм, выпускающих терминалы персональной аутентификации на базе дактилоскопии. Американская фирма Fingermatrix предложила терминал RidgeReader, который благодаря процедуре компенсации различных отклонений, возникающих при снятии отпечатка пальца в реальных условиях, а также применяемому способу «очищения» изображения и восстановления папилярного узора (который может быть «затуманен» из-за наличия на пальце грязи, масла или пота) допускает коэффициент ошибок 1-го рода не более 0,1 %, 2-го рода - не более 0,0001 %. Время обработки изображения составляет 5 с, регистрации пользователя составляет 2-3 мин. Для хранения одного цифрового образа отпечатка (эталона) расходуется 256 байт памяти. Компания DeLaRuePrintrakInc. производит систему PIV-100 на базе терминала аутентификации по отпечаткам пальцев. Кроме этих терминалов, в состав аппаратуры входят центральный процессор, контрольный пульт, дисплей, принтер, накопители на винчестерских дисках (для хранения базы данных), накопители на гибких дисках (для резервной памяти). В этой системе требуемые коэффициенты ошибок могут выбираться в зависимости от необходимого уровня обеспечения безопасности путем под-стройки внутренних зависимых системных параметров, таких как пороговые значения принятия решения, сопоставляемые характеристики, стратегия распознавания. Но за возросшую точность приходится расплачиваться уменьшением быстродействия и снижением удобств для пользователей. Автоматическая обработка полученного дактилоскопического изображения начинается с преобразования первичного образа с разрешением 512 х 512 точек изображения и плотностью 8 бит на точку к конечному набору (множеству), состоящему примерно из 100 особых точек папиллярного узора, каждая из которых занимает 3 байт памяти. В результате объем памяти для хранения одного отпечатка по сравнению с первоначальным изображением уменьшается примерно в 1000 раз. Сопоставление двух дактилоскопических образов - оригинального и эталонного, хранящегося в памяти системы, - производится с помощью некоторой корреляционной процедуры. Время регистрации пользователя в базе данных - меньше 2 мин; вся процедура проверки пользователя занимает около 10 с, из которых 2 с уходит на аутентификацию, т. е. на вычисления по сопоставлению отпечатков. Говоря о надежности аутентификационной процедуры по отпечаткам пальцев, необходимо рассмотреть также вопрос о возможности их копирования и использования другими лицами для получения несанкционированного доступа. В качестве одной из возможностей по обману терминала специалисты называют изготовление искусственной кисти с требуемыми отпечатками пальцев (или изъятия «подлинника» у законного владельца). Но существует и способ борьбы с такой фальсификацией. Для этого в состав терминального оборудования должны быть включены инфракрасный детектор, который позволит зафиксировать тепловое излучение от руки (или пальца), и (или) фотоплетизмограф, который определяет наличие изменений отражения света от поверхности потока крови. Другим способом подделки является непосредственное нанесение папиллярного узора пальцев законного пользователя на руки злоумышленника с помощью специальных пленок или пленкообразующих составов. Такой способ довольно успешно может быть использован для получения доступа через КПП. Однако в этом случае необходимо получить качественные отпечатки пальцев законного пользователя, причем именно тех пальцев, которые были зарегистрированы системой, и именно в определенной последовательности (например, если система настроена на проверку не одного, а двух и более пальцев по очереди), но эта информация неизвестна законному пользователю и, следовательно, он не может войти в сговор с нарушителем. По оценкам западных экспертов до 80% рынка биометрии сегодня занимают устройства идентификации по отпечаткам пальцев. Это объясняется следующим: во-первых, это один самых доступных и недорогих методов, во-вторых, методика идентификации по отпечаткам пальцев проста в использовании, удобна и лишена психологических барьеров, которые имеются, например, у систем, требующих воздействия на глаз световым пучком.

    Идентификация по радужной оболочке глаз. Первооткрывателем в области идентификации личности по радужной оболочке глаза является доктор Джон Даугман. В 1994 г. он запатентовал в США метод распознавания радужной оболочки глаза (US Patent S, 291, 560). Разработанные им алгоритмы используются до сих пор. С помощью этих алгоритмов необработанные видеоизображения глаза преобразуются в уникальный идентификационный двоичный поток Iris-код, полученный в результате определения позиции радужки, ее границы и выполнения других математических операций для описания текстуры радужки в виде последовательности чередования фаз, похожей на штрих-код. Полученный таким образом Iris-код используется для поиска совпадений в базах данных (скорость поиска - около 1 млн. сравнения Iris-кодов в 1 с) и для подтверждения или неподтверждения заявленной личности Преимущество сканеров для радужной оболочки глаза состоит в том, что они не требуют от пользователя сосредоточения на цели, так как образец пятен на радужной оболочке находится на поверхности глаза. Фактически видеоизображение глаза может быть отсканировано на расстоянии менее 1 м, что делает возможным использование сканеров для радужной оболочки глаза, допустим, в банкоматах. Разработкой технологии идентификации личности на основе принципа сканирования радужной оболочки глаза в настоящее время занимаются более 20 компаний, в том числе BritishTelecom, Sensar, японская компания Oki. Различают активные и пассивные системы распознавания. В системах первого типа пользователь должен сам настроить камеру, передвигая ее для более точной наводки. Пассивные системы проще в использовании, поскольку камера в них настраивается автоматически. Высокая надежность этого оборудования позволяет применять его даже в исправительных учреждениях. В качестве примера современной системы идентификации на основе анализа радужной оболочки глаза рассмотрим решение, предложенное компанией LG. Система IrisAccess позволяет менее чем за 1 с отсканировать рисунок радужной оболочки глаза, обработать и сравнить с 4 тыс. других записей, которые она хранит в своей памяти, а затем послать соответствующий сигнал в охранную систему. Технология - полностью бесконтактная. На основе изображения радужной оболочки глаза строится компактный цифровой код размером 512 байт. Устройство имеет высокую надежность по сравнению с большинством известных систем биометрического контроля, поддерживает объемную базу данных, выдает звуковые инструкции на русском языке, позволяет интегрировать в систему карты доступа и ПИН-клавиатуры. Один контроллер поддерживает четыре считывателя Система может быть интегрирована с LAN Система IrisAccess 3000 состоит из оптического устройства внесения в реестр E01J3000, удаленного оптического устройства R01J3000, контрольного устройства опознавания ICLI3000, платы захвата изображения, дверной интерфейсной платы и PC-сервера. Если требуется осуществлять контроль за несколькими входами, то ряд удаленных устройств, включая ICU3000 и R01J3000, может быть подключен к PC-серверу через локальную сеть (LAN). Представляет интерес камера для идентификации личности путем сканирования радужной оболочки глаза, используемая в системах защиты и безопасности для компьютеров типа десктоп/лэптоп. Разработки визуальных систем (VisionSystems) компании Panasonic и хорошо показавшие себя на прак-тике разработки в области идентификации личности на основе рисунка радужной оболочки глаз компании IridianTechnologies позволили создать легкие в использовании и отличающиеся высокой точностью средства, которые можно использовать в широком диапазоне современных и будущих потребностей в области обеспечения безопасности. Камера Authenticam™ компании Panasonic в сочетании с программным продуктом PrivatelD™ компании IndianTechnologies представляет собой экономически выгодный и надежный путь обеспечения безопасности доступа. Для такой камеры характерны безопасность и простота использования. Достаточно взглянуть в объектив камеры с расстояния приблизительно 50 см, и менее чем через 2 с произойдет захват изображения. Программный продукт PrivatelD™ обрабатывает рисунок радужной оболочки глаз и кодирует полученную информацию в виде 512-байтовой записи IrisCode. Эти записи вводятся для хранения в память и используются для сравнения с другими записями кодов IrisCodes - для идентификации личности при любых транзакциях и деловых операциях, когда для сравнения представляется радужная оболочка глаза живого человека. Дифференциатор ключей для идентификации личности по рисунку радужной оболочки глаза осуществляет поиск в базе данных для нахождения соответствующего идентификационного кода. При этом база данных может состоять из неограниченного числа записей кодов IrisCode. Технология допуска, основанная на сканировании радужной оболочки глаза, уже несколько лет успешно применяется в государственных организациях США и в учреждениях с высокой степенью секретности (в частности, на заводах по производству ядерного вооружения). Эффективность этого способа доказана, он безопасен для пользователя и надежен в работе. Он обеспечивает моментальную аутентификацию личности, предназначенную для замены символов ПИН-кодов и паролей. Многие эксперты подчеркивают «незрелость» технологии, хотя потенциальные возможности метода достаточно высоки, так как характеристики рисунка радужной оболочки человеческого глаза достаточно стабильны и не изменяются практически в течение всей жизни человека, невосприимчивы к загрязнению и ранам. Отметим также, что радужки правого и левого глаза по рисунку существенно различаются. Этот метод идентификации отличается от других большей сложностью в использовании, более высокой стоимостью аппаратуры и жесткими условиями регистрации.

    Идентификация по голосу и особенностям речи.Биометрический подход, связанный с идентификацией голоса, удобен в применении. Однако основным и определяющим недостатком этого подхода является низкая точность идентификации. Например, человек с простудой или ларингитом может испытывать трудности при использовании данных систем. Причинами внедрения этих систем являются повсеместное распространение телефонных сетей и практика встраивания микрофонов в компьютеры и периферийные устройства. В качестве недостатков таких систем можно назвать факторы, влияющие на результаты распознавания: помехи в микрофонах, влияние окружающей обстановки на результаты распознавания (шум), ошибки при произнесении, различное эмоциональное состояние проверяемого в момент регистрации эталона и при каждой идентификации, использование разных устройств регистрации при записи эталонов и идентификации, помехи в низкокачественных каналах передачи данных и т. п. При рассмотрении проблемы аутентификации по голосу важными вопросами с точки зрения безопасности являются следующие: - Как бороться против использования магнитофонных записей парольных фраз, перехваченных во время установления контакта законного пользователя с аутентификационным терминалом? - Как защитить систему от злоумышленников, обладающих способностью к имитации голоса, если им удастся узнать парольную фразу? Ответом на первый вопрос является генерация системой псевдослучайных паролей, которые повторяются вслед за ней пользователем, а также применение комбинированных методов проверки (дополняя вводом идентификационной карточки или цифрового персонального кода). Ответ на второй вопрос не так однозначен. Человек вырабатывает свое мнение о специфике воспринимаемого голоса путем оценки некоторых его характерных качеств, не обращая внимание при этом на количественную сторону разнообразных мелких компонент речевого сигнала. Автомат же наоборот, не обладая способностью улавливать обобщенную характеристику голоса, свой вывод делает, основываясь на конкретных параметрах речевого сигнала и производя их точный количественный анализ. Специфическое слуховое восприятие человека приводит к тому, что безупречное воспроизведение профессиональными имитаторами голосов возможно лишь тогда, когда подражаемый субъект характеризуется ярко выраженными особенностями произношения (интонационной картиной, акцентом, темпом речи и т. д.) или тембра (гнусавостью, шепелявостью, картавостью и т. д.). Именно этим следует объяснить тот факт, что даже профессиональные имитаторы оказываются не в состоянии подражать ординарным, не примечательным голосам. В противоположность людям распознающие автоматы, свободные от субъективного отношения к воспринимаемым образам, производят аутентификацию (распознавание) голосов объективно, на основе строго детерминированных и априори заданных признаков. Обладая «нечеловеческим» критерием оценки схожести голосов, системы воспринимают голос человека через призму своих признаков. Вследствие этого, чем сложнее и «непонятнее» будет совокупность признаков, по которым автомат распознает голос, тем меньше будет вероятность его обмана. В гоже время, несмотря на то, что проблема имитации очень важна и актуальна с практической точки зрения, она все же далека от окончательного решения. Прежде всего до конца не ясен ответ на вопрос, какие именно параметры речевого сигнала наиболее доступны подражанию и какие из них наиболее трудно поддаются ему. Выбор параметров речевого сигнала способных наилучшим образом описать индивидуальность голоса является, пожалуй, самым важным этапом при построении систем автоматической аутентификации по голосу. Такие параметры сигнала, называемые признаками индивидуальности, помимо эффективности представления информации об особенностях голоса диктора, должны обладать рядом других свойств. Во-первых, они должны быть легко измеряемы и мало зависеть от мешающих факторов окружающей среды (шумов и помех). Во-вторых, они должны быть стабильными во времени. В-третьих, не должны поддаваться имитации. Постоянно ведутся работы по повышению эффективности систем идентификации по голосу. Известны системы аутентификации по голосу, где применяется метод совместного анализа голоса и мимики, ибо, как оказалось, мимика говорящего характерна только ему и будет отличаться от говорящего те же слова мимики другого человека. Разрабатываются комбинированные системы, состоящие из блоков идентификации и верификации голоса. При решении задачи идентификации находится ближайший голос (или несколько голосов) из фонотеки, затем в результате решения задачи верификации подтверждается или опровергается принадлежность фонограммы конкретному лицу. Система практически используется при обеспечении безопасности некоторых особо важных объектов. В последнее время ведутся активные разработки по усовершенствованию и модификации голосовых систем идентификации личности, поиск новых подходов для характеристики человеческой речи, комбинации физиологических и поведенческих факторов. Задача повышения надежности распознавания может быть решена за счет привлечения грамматической и семантической информации в системах распознавания речи. Для решения этой задачи разработана (при участии экспертов: лингвистов, рядовых носителей языка) модель входного языка, учитывающая особенности их грамматического и семантического поведения (28 основных грамматических классов, около 300 грамматических разрядов слов), ее компьютерное воплощение - лингвистическая база знаний (ЛБЗ) и лингвистический процессор (ЛП). В состав ЛБЗ входят: обширный грамматический словарь - объемом около 100000 единиц; словари словосочетаний; словари униграмм и лексических биграмм; грамматические таблицы и словарь моделей управления. Программы синтактико-семантического анализа, входящие в состав ЛП, обеспечивают: быстрое отсеивание маловероятных вариантов распознавания (локальный анализ), учет обнаруженных при анализе грамматических событий, характеризующих регулярность грамматической структуры и степень грамматичности предложения в целом или отдельных групп (и тем самым возможность выбора в качестве окончательного результата распознавания неграмматичных, но допустимых в речи вариантов). Для решения многокритериальной задачи выбора окончательного варианта были разработаны специальные эвристики метауровня. Лингвистический модуль (ЛБЗ и ЛП) позволяет повысить надежность акустического и фонетического распознавания с 94-95 до 95-97 %. Уделяется внимание проблемам автоматизированного формирования и сопровождения ЛБЗ систем распознавания речи (для английского и русского языков): построение тезауруса, коррекция словаря лексических n-грамм на основе синтактико-семантической информации и др. Новые методы, как показывают результаты экспериментов, позволяют повысить надежность распознавания еще на 1 %. Сегодня идентификация по голосу используется для управления доступом в помещения средней степени секретности, например, лаборатории производственных компаний. Лидерами в разработке таких систем являются компании T-Netix, ITT Nuance, Veritel. В системе фирмы TexasInstruments (TI) парольные фразы состояли из 4-словного предложения, причем каждое слово было односложным. Каждая фраза являлась 84 байтами информации. Время аутентификации составляло 5,3 с. Для предотвращения использования заранее записанного на магнитофон пароля система генерировала слова в произвольной последовательности. Общее время проверки на КПП составляло 15 с на одного человека. Для четырех парольных фраз ошибка 1-го рода составила 0,3 %, 2-го рода - 1 %.


    1. Управление доступом
    1   2   3


    написать администратору сайта