Аутентификация и идентификация пользователя

Рис. 2  Классификация современных биометрических средств идентификации

Любая биометрическая технология применяется поэтапно:

      сканирование объекта;

      извлечение индивидуальной информации;

      формирование шаблона;

      сравнение текущего шаблона с базой данных.

Методика биометрической аутентификации заключается в следующем. Пользователь, обращаясь с запросом на доступ, прежде всего, идентифицирует себя с помощью пароля или токена. Система по предъявленному пользователем идентификатору находит в своей памяти личный файл (эталон) пользователя, в котором вместе с номером хранятся данные его биометрии, предварительно зафиксированные во время процедуры регистрации. После этого пользователь предъявляет системе для считывания обусловленный носитель биометрических параметров. Сопоставив полученные и зарегистрированные данные, система принимает решение о предоставлении или запрещении доступа.

Биометрические идентификаторы хорошо работают только тогда, когда оператор может проверить две вещи: во-первых, что биометрические данные получены от конкретного лица именно во время проверки, а во-вторых, что эти данные совпадают с образцом, хранящимся в картотеке. Биометрические характеристики являются уникальными идентификаторами, но вопрос их надежного хранения и защиты от перехвата по-прежнему остается открытым.

Говоря о точности автоматической аутентификации, принято выделять два типа ошибок: ошибки 1-го рода («ложная тревога») связаны с запрещением доступа законному пользователю, ошибки 2-го рода («пропуск цели») — предоставление доступа незаконному пользователю. Причина возникновения ошибок состоит в том, что при измерениях биометрических характеристик существует определенный разброс значений. В биометрии совершенно невероятно, чтобы образцы и вновь полученные характеристики давали полное совпадение. Это справедливо для всех биометрических характеристик, включая отпечатки пальцев, сканирование сетчатки глаза или опознание подписи. Например, пальцы руки не всегда могут быть помещены в одно и то же положение, под тем же самым углом или с тем же самым давлением. И так каждый раз при проверке.

Перечислим наиболее используемые биометрические атрибуты.

   Отпечатки пальцев. Биологическая повторяемость отпечатка пальца составляет 105 %. Преимущества доступа по отпечатку пальца — простота использования, удобство и надежность. Хотя процент ложных отказов при идентификации составляет около 3 %, ошибка ложного доступа — меньше 0,00001 % (1 на 1 000 000).

   Геометрия руки. Из-за того, что отдельные параметры формы руки не являются уникальными, приходится использовать несколько характеристик. Сканируются такие параметры руки, как изгибы пальцев, их длина и толщина, ширина и толщина тыльной стороны руки, расстояние между суставами и структура кости. Также геометрия руки включает в себя мелкие детали (например, морщины на коже). Биологическая повторяемость геометрии руки около 2 %.

   Радужная оболочка глаза. Эта технология аутентификации обладает наивысшей точностью. Радужная оболочка образовывается ещё до рождения человека, и не меняется на протяжении всей жизни. Рисунок радужки очень сложен, это позволяет отобрать порядка 200 точек, с помощью которых обеспечивается высокая степень надежности аутентификации. Теоретическая вероятность совпадения двух радужных оболочек составляет 1 из 1078.

   Геометрия лица. Для определения уникального шаблона, соответствующего определенному человеку, требуется от 12 до 40 характерных элементов. Для построения трехмерной модели человеческого лица, выделяют контуры глаз, бровей, губ, носа, и других различных элементов лица, затем вычисляют расстояние между ними, и с помощью него строят трехмерную модель. Шаблон должен учитывать множество вариаций изображения на случаи поворота лица, наклона, изменения освещённости, изменения выражения. Диапазон таких вариантов варьируется в зависимости от целей применения данного способа (для идентификации, аутентификации, удаленного поиска на больших территориях и т.д.). Некоторые алгоритмы позволяют компенсировать наличие у человека очков, шляпы, усов и бороды.

   Голос. Существует довольно много способов построения шаблона по голосу. Обычно, это разные комбинации частотных и статистических характеристик голоса. Могут рассматриваться такие параметры, как модуляция, интонация, высота тона, и т.п. Основной и определяющий недостаток метода — низкая точность метода. Например, человека с простудой система может не опознать. Важную проблему составляет многообразие проявлений голоса одного человека: голос способен изменяться в зависимости от состояния здоровья, возраста, настроения и т.д. Это многообразие представляет серьёзные трудности при выделении отличительных свойств голоса. Кроме того, учет шумовой компоненты является ещё одной важной и не решенной проблемой в практическом использовании аутентификации по голосу. Так как вероятность ошибок второго рода при использовании данного метода велика (порядка одного процента), аутентификация по голосу применяется для управления доступом в помещениях среднего уровня безопасности.

   Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.

Тенденция значительного улучшения характеристик биометрических идентификаторов и снижения их стоимости приведет к широкому применению биометрических идентификаторов в различных системах контроля и управления доступом.

Заключение

Суммируя возможности средств аутентификации, их можно классифицировать по уровню информационной безопасности на три категории:

1.   Статическая аутентификация;

2.   Устойчивая аутентификация;

3.   Постоянная аутентификация.

Первая категория обеспечивает защиту только от НСД в системах, где нарушитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и, собственно, от того, насколько хорошо они защищены.

Для компрометации статической аутентификации нарушитель может подсмотреть, подобрать, угадать или перехватить аутентификационные данные и т.д.

Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентификации являются системы, использующие одноразовые пароли и электронные подписи. Усиленная аутентификация обеспечивает защиту от атак, где злоумышленник может перехватить аутентификационную информацию и пытаться использовать ее в следующих сеансах работы.

Однако устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирующийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать и вставить информацию в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанной категории аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.

Список использованных источников

1)     А.А. Гладких, В.Е. Дементьев / Учебное пособие «Базовые принципы информационной безопасности вычислительных сетей». — Ульяновск: УлГТУ, 2009;

2)     С.А. Нестеров / Анализ и управление рисками в информационных системах на базе операционных систем Microsoft. — Издательство «Интернет-университет информационных технологий — ИНТУИТ.ру» (www.intuit.ru), 2009;

3)     Свободная общедоступная многоязычная универсальная энциклопедия «Википедия» (www.wikipedia.org);

3