Главная страница
Навигация по странице:

  • ГБПОУ «Тверской колледж им. А.Н.Коняева» Курсовая работа

  • Тверь 2022 Содержание

  • Определение*

  • Идентификация и аутентификация

  • Парольная аутентификация

  • Одноразовые пароли

  • Система S/KEY имеет статус Internet-стандарта (RFC 1938).

  • Биометрические средства идентификации личности

  • Классификация и основные характеристики биометрических средств идентификации личности

    		•

    курсовая. Курсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб


    Скачать 403.29 Kb.
    НазваниеКурсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб
    Анкоркурсовая
    Дата12.04.2023
    Размер403.29 Kb.
    Формат файлаdocx
    Имя файлаkursovaya_2Д.docx
    ТипКурсовая
    #1057207
    страница1 из 2
      1   2

    Министерство промышленности и торговли Тверской области

    ГБПОУ «Тверской колледж им. А.Н.Коняева»

    Курсовая работа

    По теме “Безопасность ресурсов сети: средства идентификации и аутентифации”

    Выполнил студент

    Группы 3-ИБ

    Виноградов Данила Евгеньевич

    Тверь 2022

    Содержание

    Введение…………………………………………………………………………...3

    1. Идентификация и аутентификация………………………………………..4

    2. Парольная аутентификация………………………………………………..7

    3. Одноразовые пароли……………………………………………………….9

    4. Биометрические средства идентификации личности…………………..11

    5. Классификация и основные характеристики биометрических средств идентификации личности………………………………………………...12

    6. Реализация методов биометрического контроля……………………….19

    6.1. Идентификация по рисунку папиллярных линий………………….19

    6.2. Идентификация по радужной оболочке глаз……………………….23

    6.3. Идентификация по капиллярам сетчатки глаз……………………..26

    1. Разграничение доступа…………………………………………………...28

    Заключение…………………………………………………………………….....31

    Список литературы………………………………………………………………33

    Введение

    В настоящее время информационные системы (ИС) различного масштаба стали неотъемлемой частью базовой инфраструктуры государства, бизнеса, гражданского общества. Все больше защищаемой информации переносится в ИС. Современные информационные технологии не только обеспечивают новые возможности организации бизнеса, ведения государственной и общественной деятельности, но и создают значительные потребности в обеспечении безопасности для защиты информации.

    Известно, что более 25 % злоупотреблений информацией в ИС совершаются внутренними пользователями, партнерами и поставщиками услуг, имеющими прямой доступ к ИС. До 70 % из них - случаи несанкционированного получения прав и привилегий, кражи и передачи учетной информации пользователей ИС, что становится возможным из-за несовершенства технологий разграничения доступа и аутентификации пользователей ИС. Совершенствование методов системы управления доступом и регистрации пользователей является одним из приоритетных направлений развития ИС.

    Основными процедурами регистрации пользователей в ИС являются процедура идентификации - получение ответа на вопрос «Кто Вы?» и аутентификации - доказательства того, что «Вы именно тот, кем представляетесь». Несанкционированное получение злоумышленником доступа к ИС связано, в первую очередь, с нарушением процедуры аутентификации.

    Определение*

    Сетевая безопасность — набор требований и политик, которые предъявляются к сетевой корпоративной инфраструктуре для анализа ее работы и недопущения доступа к данным злоумышленникам, изменения этих данных, их модификации, а также отказа работы сети или ее отдельных ресурсов.


    1. Идентификация и аутентификация

    Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.

    Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова " аутентификация " иногда используют словосочетание "проверка подлинности".

    (Заметим в скобках, что происхождение русскоязычного термина " аутентификация " не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" – может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)

    Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.

    В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

    • что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);

    • как организован (и защищен) обмен данными идентификации / аутентификации.

    Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

    • нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

    • нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);

    • нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

    В открытой сетевой среде между сторонами идентификации / аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.

    Надежная идентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

    Современные средства идентификации / аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация / аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

    Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.

    Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.


    1. Парольная аутентификация

    Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

    Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф.

    Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.

    Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.

    Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.

    Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).

    Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

    • наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

    • управление сроком действия паролей, их периодическая смена;

    • ограничение доступа к файлу паролей;

    • ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");

    • обучение пользователей;

    • использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).

    Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации.


    1. Одноразовые пароли

    Рассмотренные выше пароли можно назвать многоразовыми ; их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Гораздо более сильным средством, устойчивым к пассивному прослушиванию сети, являются одноразовые пароли.

    Наиболее известным программным генератором одноразовых паролей является система S/KEY компании Bellcore. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция f (то есть функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Пусть, далее, имеется секретный ключ K, известный только пользователю.

    На этапе начального администрирования пользователя функция f применяется к ключу K n раз, после чего результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:

    • сервер присылает на пользовательскую систему число (n-1);

    • пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;

    • сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик (n).

    На самом деле реализация устроена чуть сложнее (кроме счетчика, сервер посылает затравочное значение, используемое функцией f), но для нас сейчас это не важно. Поскольку функция f необратима, перехват пароля, равно как и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразовый пароль.
    Система S/KEY имеет статус Internet-стандарта (RFC 1938).
    Другой подход к надежной аутентификации состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 секунд), для чего могут использоваться программы или специальные интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). Серверу аутентификации должен быть известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме того, часы клиента и сервера должны быть синхронизированы.


    1. Биометрические средства идентификации личности

    Для идентификации личности современные электронные систем контроля и управления доступом (СКУД) используют устройства нескольких типов. Наиболее распространенными являются:

    - кодонаборные устройства ПИН-кода (кнопочные клавиатуры);

    - считыватели бесконтактных смарт-карт (интерфейс Виганда);

    - считыватели проксимити-карт;

    - считыватели ключа «тач-мемори»;

    - считыватели штрих-кодов;

    - биометрические считыватели.

    В настоящее время самое широкое распространение получили всевозможные считыватели карт (проксимити, Виганда, с магнитной полосой и т. п). Они имеют свои неоспоримые преимущества и удобства в использовании, однако при этом в автоматизированном пункте доступа контролируется «проход карточки, а не человека». В то же время карточка может быть потеряна или украдена злоумышленниками. Все это снижает возможность использования СКУД, основанных исключительно на считывателях карт, в приложениях с высокими требованиями к уровню безопасности. Несравненно более высокий уровень безопасности обеспечивают всевозможные биометрические устройства контроля доступа, использующие в качестве идентифицирующего признака биометрические параметры человека (отпечаток пальца, геометрия руки, рисунок сетчатки глаза и т. п.), которые однозначно предоставляют доступ только определенному человеку - носителю кода (биометрических параметров). Но на сегодняшний день подобные устройства все еще остаются достаточно дорогими и сложными, и поэтому находят свое применение только в особо важных пунктах доступа.


    1. Классификация и основные характеристики биометрических средств идентификации личности

    Д
    остоинства биометрических идентификаторов на основе уникальных биологических, физиологических особенностей человека, однозначно удостоверяющих личность, привели к интенсивному развитию соответствующих средств. В биометрических идентификаторах используются статические методы, основанные на физиологических характеристиках человека, т. е. на уникальных характеристиках, данных ему от рождения (рисунки папиллярных линий пальцев, радужной оболочки глаз, капилляров сетчатки глаз, тепловое изображение лица, геометрия руки, ДНК), и динамические методы (почерк и динамика подписи, голос и особенности речи, ритм работы на клавиатуре). Предполагается использовать такие уникальные статические методы, как идентификация по подноггевому слою кожи, по объему указанных для сканирования пальцев, форме уха, запаху тела, и динамические методы -идентификация по движению губ при воспроизведении кодового слова, по динамике поворота ключа в дверном замке и т. д. Классификация современных биометрических средств идентификации показана на рис. 1.

    Рис. 1. Классификация современных биометрических средств идентификации

    Биометрические идентификаторы хорошо работают только тогда, когда оператор может проверить две вещи: во-первых, что биометрические данные получены от конкретного лица именно во время проверки, а во-вторых, что эти данные совпадают с образцом, хранящимся в картотеке. Биометрические характеристики являются уникальными идентификаторами, но вопрос их надежного хранения и защиты от перехвата по-прежнему остается открытым

    Биометрические идентификаторы обеспечивают очень высокие показатели: вероятность несанкционированного доступа - 0,1 - 0,0001 %, вероятность ложного задержания - доли процентов, время идентификации - единицы секунд, но имеют более высокую стоимость по сравнению со средствами атрибутной идентификации.

    Известны разработки СКУД, основанные на считывании и сравнении конфигураций сетки вен на запястье, образцов запаха, преобразованных в цифровой вид, анализе носящего уникальный характер акустического отклика среднего уха человека при облучении его специфическими акустическими импульсами и т. д.

    Тенденция значительного улучшения характеристик биометрических идентификаторов и снижения их стоимости приведет к широкому применению биометрических идентификаторов в различных системах контроля и управления доступом. В настоящее время структура этого рынка представляется следующим образом: верификация голоса - 11 %, распознавание лица -15 %, сканирование радужной оболочки глаза - 34 %, сканирование отпечатков пальцев - 34 %, геометрия руки - 25 %, верификация подписи - 3 %.

    Любая биометрическая технология применяется поэтапно:

    - сканирование объекта;

    - извлечение индивидуальной информации;

    - формирование шаблона;

    - сравнение текущего шаблона с базой данных.

    Методика биометрической аутентификации заключается в следующем. Пользователь, обращаясь с запросом к СКУД на доступ, прежде всего, идентифицирует себя с помощью идентификационной карточки, пластикового ключа или личного идентификационного номера. Система по предъявленному пользователем идентификатору находит в своей памяти личный файл (эталон) пользователя, в котором вместе с номером хранятся данные его биометрии, предварительно зафиксированные во время процедуры регистрации пользователя. После этого пользователь предъявляет системе для считывания обусловленный носитель биометрических параметров. Сопоставив полученные и зарегистрированные данные, система принимает решение о предоставлении или запрещении доступа.

     Основные биометрические средства защиты информации, предоставляемые сегодня российским рынком обеспечения безопасности, приведены в табл. 1, технические характеристики некоторых биометрических систем представлены в табл. 2.
    Таблица 1. Современные биометрические средства защиты информации

    Наименование
    Производитель
    Биопризнак
    Примечание

    SACcat
    SAC Technologies
    Рисунок кожи пальца
    Приставка к компьютеру

    TouchLock, TouchSafe,
    Identix
    Рисунок кожи
    СКУД объекта

    TouchNet
    пальца



    Eye Dentification
    Eyedentify
    Рисунок сетчатки
    СКУД объекта

    System 7,5
    глаза
    (моноблок)

    Ibex 10
    Eyedentify
    Рисунок сетчатки глаза
    СКУД объекта (порт, камера)

    eriprint 2000
    Biometric Identification
    Рисунок кожи пальца
    СКУД универсал

    ID3D-R Handkey
    Recognition Systems
    Рисунок ладони руки
    СКУД универсал

    HandKey
    Escape
    Рисунок ладони руки
    СКУД универсал

    ICAM 2001
    Eyedentify
    Рисунок сетчатки глаза
    СКУД универсал

    Secure Touch
    Biometric Access Corp.
    Рисунок кожи пальца
    Приставка к компьютеру

    BioMouse
    American Biometric Corp
    Рисунок кожи пальца
    Приставка к компьютеру

    Fingerprint Identification Unit
    Sony
    Рисунок кожи пальца
    Приставка к компьютеру

    Secure Keyboard Scanner
    National Registry Inc.
    Рисунок кожи пальца
    Приставка к компьютеру

    Рубеж
    НПФ «Кристалл»
    Динамика подписи, спектр голоса
    Приставка к компьютеру

    ДакточипDelsy
    Элсис, НПП Электрон (Россия), Опак

    (Белоруссия), Р&Р (Германия)
    Рисунок кожи пальца
    Приставка к компьютеру

    BioLink U-Match Mouse,Мышь SFM-

    2000A
    BioLink Technologies
    Рисунок кожи пальца
    Стандартная мышь со встроенным сканером отпечатка пальца

    Биометрическая система защиты компьютерной информации Дакто
    ОАО «Черниговский завод радиоприборов»
    Биологически активные точки и папиллярные линии кожи
    Отдельный блок

    Биометрическая система контроля Iris

    Access 3000
    LG Electronics, Inc
    Рисунок радужной оболочки глаза
    Интеграция со считывателем карт

    Таблица 2. Технические характеристики некоторых биометрических систем

    Модель
    Принцип действия
    Вероятность
    Вероятность
    Время

    ложного задержания,
    ложного допуска, %
    идентификации, с

    Eye Dentify
    Параметры глаза
    0,001
    0,4
    1,5-4

    Iriscan
    Параметры зрачка
    0,00078
    0,00068
    2

    Identix
    Отпечаток пальца
    0,0001
    1,0
    0,5

    StartekBioMet
    Отпечаток пальца
    0,0001
    1,0
    1

    Partners Recognition
    Геометрия руки
    0,1
    0,1
    1

    Systems
    Геометрия руки
    0,1
    0,1
    1

    «Кордон»
    Отпечаток пальца
    0,0001
    1,0
    1

    DS-100
    Отпечаток пальца
    0,001
    -
    1-3

    TouchSafe Personal(8)
    Отпечаток пальца
    2
    0,001
    1

    Eyedentify ICAM 2001

    (Eyedentify)
    Параметры сетчатки глаза
    0,4
    0,0001
    1,5-4

    Iriscan (Iriscan)
    Параметры радужной оболочки глаза



    0,00078
    2

    FingerScan (Identix)
    Отпечаток пальца
    1,0
    0,0001
    0,5

    TouchSafe (Identix)
    Отпечаток пальца
    2,0
    0,001
    1

    TouchNet (Identix)
    Отпечаток пальца
    1,0
    0,001
    3

    Startek
    Отпечаток пальца
    1,0
    0,0001
    1

    1D3D-R NDKEY

    (Recognition Systems)
    Геометрия руки
    0,1
    0,1
    1

    U.areU.

    (Digital Persona)
    Отпечаток пальца
    3,0
    0,01
    1

    Fill (Sony, I/O

    Software)
    Отпечаток пальца
    0,1
    1,0
    0,3

    BioMause (ABC)
    Отпечаток пальца
    -
    0,2
    1

    Кордон (Россия)
    Отпечаток пальца
    1,0
    0,0001
    1

    DS-100 (Россия)
    Отпечаток пальца
    -
    0,001
    1... 3

    BioMet
    Геометрия руки
    0,1
    0,1
    1

    Veriprint 2100
    Отпечаток пальца
    0,001
    0,01
    1

    (Biometric ID)












    Говоря о точности автоматической аутентификации, принято выделять два типа ошибок. Ошибки 1-го рода («ложная тревога») связаны с запрещением доступа законному пользователю. Ошибки 1-го рода («пропуск цели»)- предоставление доступа незаконному пользователю. Причина возникновения ошибок состоит в том, что при измерениях биометрических характеристик существует определенный разброс значений. В биометрии совершенно невероятно, чтобы образцы и вновь полученные характеристики давали полное совпадение. Это справедливо для всех биометрических характеристик, включая отпечатки пальцев, сканирование сетчатки глаза или опознание подписи. Например, пальцы руки не всегда могут быть помещены в одно и то же положение, под тем же самым углом или с тем же самым давлением. И так каждый раз при проверке.

    Таким образом, биометрический процесс (под ним здесь понимается автоматизация оценки биометрических характеристик) констатирует уровень надежности, который гарантирует система в выявлении истинности проверяемого лица. Процесс не заявляет, что предъявленные характеристики являются точной копией образцов, а говорит о том, что вероятность того, что пользователь именно то лицо, за которое себя выдает, составляет величину X %. Всегда ожидается (предполагается), что автоматический процесс должен обеспечить вероятность правильного распознавания равную пли очень близкую к 100 %. Таким образом, намек на то, что здесь могут быть элементы ошибки, заставляет некоторых думать, что биометрия не может играть существенной роли в организации входного контроля. Анализ показывает, что хотя ни одна система аутентификации не обеспечивает 100 %-ной надежности и что биометрический процесс не дает точного совпадения характеристик, все же он дает чрезвычайно высокий уровень точности. Некоторые зарубежные охранные структуры к разработчикам (производителям) СКУД применяют априори заданные требования, при выполнении которых последние могут рассчитывать на продажу своих систем.

    Уровень надежности, дозволенный для системы контроля доступа, может быть совершенно различным, однако уровень ложных отказов истинным пользователям не вызывает какого-либо беспокойства, в то время как уровень фальшивых доступов фактически должен быть доведен до нуля.

    Поскольку уровень надежности при сравнении может в конечном итоге регулироваться с тем, чтобы удовлетворить запросы конкретного потребителя, чрезвычайно важно этому пользователю реально представлять себе, чего данная система способна достигнуть. Наибольшую степень озабоченности вносит то, что фирмы-производители часто задают степени точности: скажем, 0,01% (т. е. 1 ошибка на 10 000 случаев аутентификации).

    Можно получить статистические доказательства, позволяющие компьютеру сделать соответствующие расчеты, подтверждающие приведенные цифры, однако большинство пользователей не совсем доверяют этим результатам. Тем не менее реальная картина не столь мрачна, как кажется на первый взгляд. Большинство биометрических методов чрезвычайно точны. Так, результаты работы в г. Ньюхема в 1998 г. комплексной системы видеонаблюдения, дающей возможность идентификации преступников, впечатляют: уровень нападения на граждан снизился на 21%, нанесение ущерба имуществу граждан сократилось на 26 %, а уровень краж имел беспрецедентное снижение на целых 39 %.



    1.   1   2

    написать администратору сайта