Что такое есиа? Парольная защита: прошлое, настоящее, будущее.

ЕСИА - самостоятельная информационная система, единое «окно» доступа граждан, бизнеса и представителей исполнительной власти в инфраструктуру электронного правительства, а также в другие информационные системы, подключенные к Системе межведомственного электронного взаимодействия (СМЭВ).

Ключевая функция ЕСИА - предоставление пользователю единой учетной записи для доступа к множеству значимых государственных информационных систем. Учетная запись позволяет заходить на любые порталы, использующие ЕСИА, под одним и тем же логином и паролем.

Единая учетная запись позволяет просто и быстро оплатить налоги, записать в детский сад ребенка, узнать состояние пенсионного счета, заказать множество других госуслуг. Бизнес, помимо прочего, получил возможность простой авторизации на площадке электронных торгов, представители госорганов – в Государственной автоматизированной информационной системе «Управление».

Зачем нужна ЕСИА

Система избавит граждан от необходимости хранить множество логинов/паролей для получения государственных услуг в электронном виде. Единожды зарегистрировавшись в какой-либо государственной информационной системе, гражданин сможет использовать полученные логин и пароль на других ведомственных ресурсах. Например, граждане, зарегистрированные на портале госуслуг, смогут пользоваться логином и паролем от своего личного кабинета для доступа к информационным системам ведомств с помощью сайтов ведомств.

Кликните два раза, чтобы увеличить

Кроме того, для доступа к госресурсам можно будет использовать различные электронные карты, средства предоставляемые операторами сотовой связи и цифрового телевидения – любые средства, информация о которых будет в системе.

Единый цифровой профиль

Более 66 млн россиян зарегистрировано в ЕСИА

По данным на 8 февраля 2018 года, почти половина населения России - более 66 млн граждан - имеют учетную запись в Единой системе идентификации и аутентификации (ЕСИА). За 2017 год численность «электронного» населения страны выросла более чем на 66%. Согласно годовой статистике, ежемесячно в ЕСИА регистрировалось около 2 млн пользователей.

В региональном рейтинге ЕСИА Минкомсвязи России лидирует Ненецкий автономный округ, который год назад занимал лишь 80-е место. За год численность «электронного» населения региона увеличилась более чем на 77% и составляет 95,5%. На втором месте - Республика Тыва с годовым приростом почти 30% и долей 93,5%. Рекордные результаты также продемонстрировал Чукотский автономный округ - более 60%. Регион за год «поднялся» с 71-го до 3-го места с показателем 87,1%. Топ-5 замыкает Ханты-Мансийский и Ямало-Ненецкий автономные округа - 85,2% и 81% соответственно.

Число зарегистрированных в ЕСИА граждан старше 14 лет превышает 70% еще в 5 субъектах РФ: Курской , Тульской и Сахалинской областях , а также в Республиках Дагестан и Алтай . В Тамбовской , Вологодской областях и в Удмуртской Республике этот показатель почти достигнут и превышает 69%.

ЕСИА - это единая точка доступа более чем к 4 тыс. государственных и коммерческих порталов, число которых за 2017 год выросло в 4 раза. Через ЕСИА было совершено почти 1 млрд авторизаций, более четверти которых пользователи выполнили для входа на Единый портал госуслуг (ЕПГУ).

По состоянию на февраль 2018 года, на ЕПГУ доступно более 27 тыс. государственных услуг федерального, регионального и муниципального уровня. Для получения примерно 23 тыс. из них требуется подтвержденная учетная запись, число обладателей которой составляет около 60% пользователей Единого портала госуслуг - более 40 млн граждан. Подтвердить личность можно в любом Центре обслуживания пользователей.

2017

Биометрия, облачная ЭП, денежные переводы и доступ к данным для бизнеса

Внедрение биометрии

В частности, заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев сообщил о планах ввести в ЕСИА с начала 2018 года поддержку биометрии . При этом на первом этапе предполагается реализовать распознание голоса и лица, а в последующем добавить возможность идентификации по отпечаткам пальцев и радужной оболочке глаз. По словам замминистра, МВД России уже ведет соответствующие разработки.

Пока идентификация в ЕСИА осуществляется по паре логин-пароль либо с помощью квалифицированной электронной подписи (электронного ключа, выданного аккредитованным удостоверяющим центром).

Доступ к данным для коммерческих организаций

В то же время, планируется открыть доступ к персональным данным российских граждан для коммерческих организаций, в первую очередь - финансовых, которые в наибольшей степени подготовлены к электронному взаимодействию, а затем и для представителей других отраслей. В частности, организации смогут получить доступ к следующим персональным данным: профиль гражданина на портале госуслуг, данные о пенсионных накоплениях, налоговых платежах и др. Гражданам, в свою очередь, будет предоставлена возможность регулировать через специальный веб-интерфейс ЕСИА использование своих данных: давать и отзывать свое согласие на их обработку коммерческими организациями, получать уведомления о фактах их обработки и т.д.

Облачная ЭП транзакций

Кроме того, в планах Минкомсвязи - реализовать через ЕСИА возможность подписывать транзакции в электронном формате. При этом, в связи со сложностью процесса получения квалифицированной электронной подписи, гражданам планируется предоставлять услугу облачной подписи. По словам Алексея Козырева, две российские компании, названия которых не раскрываются, уже располагают необходимыми разработками для реализации сервиса. При этом одна из них - в процессе получения разрешений от ФСТЭК России.

Денежные переводы без платежных систем

Самая амбициозная задача, озвученная Козыревым - создание нового адресного пространства. По задумке Минкомсвязи, уникальный идентификатор позволит сделать денежный перевод или отправить заказное письмо гражданину вне зависимости от его местонахождения. Планируется, что граждане смогут использовать ЕСИА для проведения финансовых операций друг с другом - соответствующие работы уже ведутся Центробанком и ассоциацией «Финтех» . В качестве уникального идентификатора могут выступать номер паспорта, ИНН, СНИЛС, номер телефона и прочие персональные данные пользователя.

Для реализации задачи потребуется специальная платформа для взаимодействия между банками. При этом возможности платежных систем для проведения таких переводов не потребуются, уточнил замминистра.

Подключение операторов сотовой связи к инфраструктуре электронного правительства

В октябре 2017 года заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев провел заседание Подкомиссии по использованию информационных технологий при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. Одним из главных вопросов заседания стало подключение операторов подвижной радиотелефонной связи к Единой системе идентификации и аутентификации (ЕСИА) и системе межведомственного электронного взаимодействия (СМЭВ), которые являются частью инфраструктуры электронного правительства.

«После подключения к ЕСИА и СМЭВ операторы смогут выполнить требования закона и оперативно очистить базы абонентов от анонимных пользователей. Кроме того, подключение к ЕСИА позволит операторам развивать дистанционное взаимодействие с абонентами», - подчеркнул заместитель директора Департамента регулирования радиочастот и сетей связи Минкомсвязи России Михаил Быковский.

ЕСИА - единая точка доступа к цифровым сервисам ведомств

8 сентября 2017 года, в ходе заседания Подкомиссии по использованию ИТ при предоставлении государственных и муниципальных услуг под председательством Министра связи и массовых коммуникаций Российской Федерации Николая Никифорова , была рассмотрена возможность авторизации пользователей при получении информации из государственных информационных систем исключительно через Единую систему идентификации и аутентификации (ЕСИА).

Предложение о едином доступе поступило от представителей Архангельской области . Речь идет о такой информации, как, например, запросы сведений о штрафах ГИБДД через официальный сайт Госавтоинспекции МВД России и результатах единого государственного экзамена через соответствующие официальные сайты в интернете . Подкомиссия поручила проработать вопрос единого доступа к сведениям из государственных информационных систем через ЕСИА МВД России и Минобрнауки совместно с Федеральной службой по надзору в сфере образования и науки (Рособрнадзором).

В ходе заседания представитель Курской области доложил о росте количества заказанных населением госуслуг в электронном виде. Так, за весь 2016 год граждане заказали 200 тыс. услуг, а за прошедшие месяцы 2017 года подано более 270 тыс. заявок. Всего в Курской области более 70% населения зарегистрированы в ЕСИА. Было поддержано предложение региона о совершенствовании нормативных документов для оказания полностью электронных услуг по таким востребованным услугам, как, например, оформление разрешения на охоту. По результатам заседания подкомиссии регионам рекомендовано учесть опыт Курской области по достижению доли граждан, использующих электронный механизм получения госуслуг.

50 млн граждан России

В ЦБ объясняли, что первичная идентификация останется очной и клиент должен будет пройти ее в банке в соответствии с уже действующими нормами. После идентификации эта информация попадет в ЕСИА, которая и станет центральной инфраструктурой для хранения информации. Далее, если клиент обратится в другой банк за услугой, ему не придется проходить очную идентификацию, этот банк просто обратится к ЕСИА.

Удаленную идентификацию планируется сначала применять по операциям физлиц со счетами, вкладами, переводами, получением кредитов, предоставлением информации по счету. После пилота этот перечень может быть расширен, рассказала Скоробогатова.

Для проведения проекта необходимо внести изменения в закон и ввести понятие «удаленная идентификация». Принятие поправок в закон о противодействии отмыванию доходов и другие нормативные акты ожидается в первом полугодии 2017 года.

2016

Ежемесячный прирост пользователей электронных госуслуг превысил два миллиона человек

По данным на конец ноября 2016 года, в Единой системе идентификации и аутентификации (ЕСИА) зарегистрировано 37,7 млн человек. Прирост пользователей электронных госуслуг в ноябре 2016 года составил 2,4 млн человек. Это рекордный рост за все время существования системы.

Интеграцию с системой межведомственного электронного взаимодействия (СМЭВ) версии 3.0 на сегодняшний день завершило большинство субъектов РФ. Оставшимся двум субъектам - Республике Ингушетия и Тверской области необходимо осуществить переход на новую версию системы.

Статистика на лето 2016 года

На 18 августа 2016 года единую систему идентификации и аутентификации (ЕСИА) используют все региональные порталы госуслуг, сайты Федеральной налоговой службы , Федеральной службы государственной регистрации, кадастра и картографии , Федерального казначейства , Пенсионного фонда РФ , официальные сайты для размещения информации о торгах и государственных закупках, сайт Российской общественной инициативы, государственная информационная система жилищно-коммунального хозяйства, а также электронные государственные библиотеки.

В июле 2015 года появилась возможность пройти идентификацию с помощью учетной записи на Едином портале госуслуг в бесплатной сети Wi-Fi московского метрополитена. Также пройти регистрацию с помощью учетной записи в ЕСИА возможно в Международном аэропорту Шереметьево , терминалах «Аэроэкспресс », ряде московских ярмарок, на стадионе «Спартак» и в детском парке игрового обучения

Полное название:

Биометрические системы идентификации и аутентификации.

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.

Назначение:

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

Биометрическая идентификация – это способ идентификации личности по отдельным специфическим биометрическим признакам (идентификаторам), присущим конкретному человеку.

Биометрическая аутентификация - это опознание индивидуума на основе его физиологических характеристик и поведения. Аутентификация проводится посредством компьютерной технологии без какого-либо нарушения личной сферы человека. Собранные таким образом в базе данных приметы человека сравниваются с теми, которые актуально регистрируются системами безопасности.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

Установление подлинности и определение полномочий субъекта при его допуске в систему,

Контролирование установленных полномочий в процессе сеанса работы;

Регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности.

Применения биометрических технологий разнообразны: доступ к рабочим местам и сетевым ресурсам, защита информации, обеспечение доступа к определённым ресурсам и безопасность. Ведение электронного бизнеса и электронных правительственных дел возможно только после соблюдения определённых процедур по идентификации личности. Биометрические технологии используются в области безопасности банковских обращений, инвестирования и других финансовых перемещений, а также розничной торговле, охране правопорядка, вопросах охраны здоровья, а также в сфере социальных услуг. Биометрические технологии в скором будущем будут играть главную роль в вопросах персональной идентификации во многих сферах. Применяемые отдельно или используемые совместно со смарт-картами, ключами и подписями, биометрия скоро станет применяться во всех сферах экономики и частной жизни.

№ п/п	Области применения	Основные характеристики
1	Компьютер-ная безопас-ность	В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.).
2	Торговля	Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; - в торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; - в электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты.
3	Системы СКУД	В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос.
4	Системы АДИС	Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих.
5	Комплексные системы	К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами.

Кроме этих основных секторов применения в настоящее время начинается активное использование биометрии и в некоторых других областях, таких как:

Игорный бизнес. Биометрия используется по двум направлениям: проверка всех находящихся по "черным спискам" (аналог массовой идентификации по лицам, используемой в аэропортах), а также как система идентификации и платежное средство постоянных клиентов;

Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;

В транспортной области как платежное средство;

Медицина. Биометрия используется для идентификации медицинских работников при получении доступа к закрытым данным и для электронной подписи записей в истории болезни.

Представители:

Еkey biometric systems GmbH – основанная в 1999 году австрийская компания по биометрическим системам доступа по отпечаткам пальцев, на сегодняшний день является компанией №1 в этой области. Слоган –«ваш палец – это ключ».

BioLink - создана в 2000г. и за это время превратилась в ведущего российского разработчика, поставщика и провайдера решений в сфере биометрической идентификации. Компания успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).

Многочисленные партнеры компании BioLink в России и за рубежом объединены в Биометрический альянс - уникальное содружество ведущих поставщиков передовых решений и систем на основе биометрической идентификации.

Ряд фирм США (Miros, Lau Technologies, Identification Technologies International) уже разработали системы опознавания человека по лицу, действующие подобно полицейскому, проверяющему права водителя автомобиля и сравнивающему его лицо с фотографией в предъявленном документе.

По данным фирмы Master Card (США), разработавшей оптическую биометрическую систему идентификации по отпечаткам пальцев, с времени установки в 1996 г. этой системы в офисах фирмы было проверено 6700 посетителей. Фирма считает, что эта система является наиболее удобной для держателей кредитных карточек.

В системе идентификации фирмы San Bruno (США) используется светодиод с излучением в ближней инфракрасной области спектра для бокового освещения пальцев и получения рельефного дактилоскопического рисунка.

Фирма Fingermatrix (США) разработала принтеры для одного и десяти пальцев, в которых оптическая система располагается под ванночкой со спиртом и водой. Слой жидкости предохраняет поверхность, на которой воспроизводится изображение, от загрязнения и повышает светопропускание.

Другая американская фирма Quatalmage разработала более совершенный коррелятор, в котором применен созданный фирмой пространственный модулятор света высокого быстродействия (время отклика менее 1 мкс) с разрешением 200 линий/мм. Сформированное компьютером изображение направляется в два сегнетоэлектрических пространственных модулятора света, облучаемых светом лазерного диода с длиной волны 830 нм. Лазерный луч проходит через объектив преобразователя Фурье. Быстродействующий пространственный модулятор света усиливает преобразованное по Фурье изображение. Второй лазерный луч с длиной волны излучения 850 нм считывает усиленное изображение и переносит результаты обратно через объектив преобразователя Фурье на интеллек-туальный чувствительный элемент, способный обнаруживать пики корреляции при сравнении до 4000 отпечатков пальцев в 1 с.

Биометрическая идентификация - это предъявление пользователем своего уникального биометрического параметра и процесс сравнения его со всей базой имеющихся данных. Для извлечения такого рода персональных данных используются .

Биометрические системы контроля доступа удобны для пользователей тем, что носители информации находятся всегда при них, не могут быть утеряны либо украдены. считается более надежным, т.к. не могут быть переданы третьим лицам, скопированы.

Технологии биометрической идентификации

Методы биометрической идентификации:

1. Статические, основанные на физиологических признаках человека, присутствующих с ним на протяжении всей его жизни:

Идентификация ;
Идентификация ;
Идентификация ;
Идентификация по геометрии руки;
Идентификация по термограмме лица;
Идентификация по ДНК.
Идентификация
Идентификация

Динамические берут за основу поведенческие характеристики людей, а именно подсознательные движения в процессе повторения какого-либо обыденного действия: почерк, голос, походка.

Идентификация ;
Идентификация по рукописному почерку;
Идентификация по клавиатурному почерку
и другие.

Одним из приоритетных видов поведенческой биометрии - манера печатать на клавиатуре. При её определении фиксируется скорость печати, давление на клавиши, длительность нажатия на клавишу, промежутки времени между нажатиями.

Отдельным биометрическим фактором может служить манера использования мыши. Помимо этого, поведенческая биометрия охватывает большое число факторов, не связанных с компьютером, - походка, особенности того, как человек поднимается по лестнице.

Существуют также комбинированные системы идентификации, использующие несколько биометрических характеристик, что позволяет удовлетворить самые строгие требования к надежности и безопасности систем контроля доступа.

Критерии биометрической идентификации

Для определения эффективности СКУД на основе биометрической идентификации используют следующие показатели:

- коэффициент ложного пропуска;
FMR - вероятность, что система неверно сравнивает входной образец с несоответствующим шаблоном в базе данных;
- коэффициент ложного отказа;
FNMR - вероятность того, что система ошибётся в определении совпадений между входным образцом и соответствующим шаблоном из базы данных;
График ROC - визуализация компромисса между характеристиками FAR и FRR;
Коэффициент отказа в регистрации (FTE или FER) – коэффициент безуспешных попыток создать шаблон из входных данных (при низком качестве последних);
Коэффициент ошибочного удержания (FTC) - вероятность того, что автоматизированная система не способна определить биометрические входные данные, когда они представлены корректно;
Ёмкость шаблона - максимальное количество наборов данных, которые могут храниться в системе.

В России использование биометрических данных регулируются Статьей 11 Федерального закона «О персональных данных» от 27.07.2006 г.

Сравнительный анализ основных методов биометрической идентификации

Сравнение методов биометрической аутентификации с использованием математической статистики (FAR и FRR)

Главными, для оценки любой биометрической системы, являются два параметра:

FAR (False Acceptance Rate) - коэффициент ложного пропуска, т.е. процент возникновения ситуаций, когда система разрешает доступ пользователю, незарегистрированному в системе.

FRR (False Rejection Rate) - коэффициент ложного отказа, т.е. отказ в доступе настоящему пользователю системы.

Обе характеристики получают расчетным путем на основе методов математической статистики. Чем ниже эти показатели, тем точнее распознавание объекта.

Для самых популярных на сегодняшний день методов биометрической идентификации средние значения FAR и FRR выглядят следующим образом:

Но для построения эффективной системы контроля доступа недостаточно отличных показателей FAR и FRR. Например, сложно представить СКУД на основе анализа ДНК, хотя при таком методе аутентификации указанные коэффициенты стремятся к нулю. Зато растет время идентификации, увеличивается влияние человеческого фактора, неоправданно возрастает стоимость системы.

Таким образом, для качественного анализа биометрической системы контроля доступа необходимо использовать и другие данные, получить которые, порой, возможно только опытным путем.

В первую очередь, к таким данным нужно отнести возможность подделки биометрических данных для идентификации в системе и способы повышения уровня безопасности.

Во- вторых, стабильность биометрических факторов: их неизменность со временем и независимость от условий окружающей среды.

Как логичное следствие, - скорость аутентификации, возможность быстрого бесконтактного снятия биометрических данных для идентификации.

И, конечно, стоимость реализации биометрической СКУД на основе рассматриваемого метода аутентификации и доступность составляющих.

Сравнение биометрических методов по устойчивости к фальсификации данных

Фальсификация биометрических данных это в любом случае достаточно сложный процесс, зачастую требующий специальной подготовки и технического сопровождения. Но если подделать отпечаток пальца можно и в домашних условиях, то об успешной фальсификации радужной оболочки - пока не известно. А для систем биометрической аутентификации по сетчатке глаза создать подделку попросту невозможно.

Сравнение биометрических методов по возможности строгой аутентификации

Повышение уровня безопасности биометрической системы контроля доступа, как правило, достигается программно-аппаратными методами. Например, технологии «живого пальца» для отпечатков, анализ непроизвольных подрагиваний – для глаз. Для увеличения уровня безопасности биометрический метод может являться одной из составляющих многофакторной системы аутентификации.

Включение в программно-аппаратный комплекс дополнительных средств защиты обычно довольно ощутимо увеличивает его стоимость. Однако, для некоторых методов возможна строгая аутентификация на основе стандартных составляющих: использование нескольких шаблонов для идентификации пользователя (например, отпечатки нескольких пальцев).

Сравнение методов аутентификации по неизменности биометрических характеристик

Неизменность биометрической характеристики с течением времени понятие также условное: все биометрические параметры могут измениться вследствие медицинской операции или полученной травмы. Но если обычный бытовой порез, который может затруднить верификацию пользователя по отпечатку пальца, - ситуация обычная, то операция, изменяющая рисунок радужной оболочки глаза – редкость.

Сравнение по чувствительности к внешним факторам

Влияние параметров окружающей среды на эффективность работы СКУД зависит от алгоритмов и технологий работы, реализованных производителем оборудования, и может значительно отличаться даже в рамках одного биометрического метода. Ярким примером подобных различий могут послужить считыватели отпечатков пальцев, которые в целом довольно чувствительны к влиянию внешних факторов.

Если сравнивать остальные методы биометрической идентификации – самым чувствительным окажется распознавание лиц 2D: здесь критичным может стать наличие очков, шляпы, новой прически или отросшей бороды.

Системы, использующие метод аутентификации по сетчатке, требуют довольно жесткого положения глаза относительно сканера, неподвижности пользователя и фокусировки самого глаза.

Методы идентификации пользователя по рисунку вен и радужной оболочке глаза сравнительно стабильны в работе, если не пытаться использовать их в экстремальных условиях работы (например, бесконтактная аутентификация на большом расстоянии во время «грибного» дождя).

Наименее чувствительна к влиянию внешних факторов трехмерная идентификация по лицу. Единственным параметром, который может повлиять на работу подобной СКУД, является чрезмерная освещенность.

Сравнение по скорости аутентификации

Скорость аутентификации зависит от времени захвата данных, размеров шаблона и объема ресурсов, отведенных на его обработку, и основных программных алгоритмов применяемых для реализации конкретного биометрического метода.

Сравнение по возможности бесконтактной аутентификации

Бесконтактная аутентификация дает массу преимуществ использования биометрических методов в системах физической безопасности на объектах с высокими санитарно-гигиеническими требованиями (медицина, пищевая промышленность, научно-исследовательские институты и лаборатории). Кроме того, возможность идентификации удаленного объекта ускоряет процедуру проверки, что актуально для крупных СКУД с высокой поточностью. А также, бесконтактная идентификация может использоваться правоохранительными органами в служебных целях. Именно поэтому , но еще не достигли устойчивых результатов. Особенно эффективны методы, позволяющие захватывать биометрические характеристики объекта на большом расстоянии и во время движения. С распространением видеонаблюдения реализация подобного принципа работы становится все более легкой.

Сравнение биометрических методов по психологическому комфорту пользователя

Психологический комфорт пользователей – также достаточно актуальный показатель при выборе системы безопасности. Если в случае с двухмерным распознаванием лиц или радужной оболочкой – оно происходит незаметно, то сканирование сетчатки глаза – довольно неприятный процесс. А идентификация по отпечатку пальца, хоть и не приносит неприятных ощущений, может вызывать негативные ассоциации с методами криминалистической экспертизы.

Сравнение по стоимости реализации биометрических методов в СКУД

Стоимость систем контроля и учета доступа в зависимости от используемых методов биометрической идентификации крайне различается между собой. Впрочем, разница может быть ощутимой и внутри одного метода, в зависимости от назначения системы (функциональности), технологий производства, способов повышающих защиту от несанкционированного доступа и т.п.

Сравнение доступности методов биометрической идентификации в России

Идентификация как Услуга (Identification-as-a-service)

Идентификация как Услуга на рынке биометрических технологий понятие достаточно новое, но сулящее массу очевидных преимуществ: простота использования, экономия времени, безопасность, удобство, универсальность и масштабируемость – как и другие системы, базирующиеся на Облачном хранении и обработке данных.

В первую очередь, Identification-as-a-service представляет интерес для крупных проектов с широким спектром задач по безопасности, в частности, для государственных и местных правоохранительных органов, позволяя создать инновационные автоматизированные системы биометрической идентификации, которые обеспечивают идентификацию в режиме реального времени подозреваемых и преступников.

Облачная идентификация как технология будущего

Развитие биометрической идентификации идет параллельно развитию Облачных сервисов. Современные технологические решения направлены на интеграцию различных сегментов в комплексные решения, удовлетворяющие всем потребностям клиента, при чем, не только в обеспечении физической безопасности. Так что объединение Cloud-сервисов и биометрии в составе СКУД – шаг, полностью отвечающий духу времени и обращенный в перспективу.

Каковы перспективы объединения биометрических технологий с облачными сервисами?

Этот вопрос редакция сайт адресовала крупнейшему российскому системному интегратору, компании «Техносерв»:

"Начнем с того, что интеллектуальные комплексные системы безопасности, которые мы демонстрируем – и есть, собственно, один из вариантов облака. А вариант из фильма: человек один раз прошел мимо камеры и он уже занесен системы… Это будет. Со временем, с увеличением вычислительных мощностей, но будет.

Сейчас на одну идентификацию в потоке, с гарантированным с качеством, - нужно как минимум восемь компьютерных ядер: это чтобы оцифровать изображение и быстро сравнить его с базой данных. Сегодня это технически возможно, но невозможно коммерчески - такая высокая стоимость просто не сообразна. Однако, с повышением мощностей, мы придем к тому, что единую базу биоидентификации всё-таки создадут, " - отвечает Александр Абрамов, директор департамента мультимедиа и ситуационных центров компании "Техносерв".

Идентификация как Услуга Morpho Cloud

О принятии Облачных сервисов в качестве удобного и безопасного решения, говорит первое развертывание автоматизированной системы биометрической идентификации для государственных правоохранительных органов в коммерческой облачной среде, завершившееся в сентябре 2016 гола: MorphoTrak, дочерняя компания Safran Identity & Security, и Департамент полиции Альбукерке успешно развернули MorphoBIS в облаке MorphoCloud. Полицейские уже отметили значительное увеличение скорости обработки, а также возможность распознавания отпечатков значительно худшего качества.

Служба, разработанная MorphoTrak) базируется на Microsoft Azure Government и включает в себя несколько биометрические механизмов идентификации: дактилоскопическая биометрия, биометрия лица и радужной оболочки глаза. Кроме того, возможно распознавание татуировок, голоса, услуги (VSaaS).

Кибербезопасность системы отчасти гарантируется размещением на правительственном сервере уголовного правосудия Criminal Justice Information Services (CJIS), а отчасти совокупным опытом работы в области безопасности компаний Morpho и Microsoft.

"Мы разработали наше решение, чтобы помочь правоохранительным органам добиться экономии времени и увеличения эффективности. Безопасность, конечно, является ключевым элементом. Мы хотели, чтобы облачное решение отвечало бы жесткой политике безопасности правительства CJIS и нашли Microsoft идеальным партнером, чтобы обеспечить жесткий контроль над уголовными и национальными данными по безопасности, в рамках территориально-распределенной среды центров обработки данных." - говорит Франк Баррет, директор Cloud Services в MorphoTrak, LLC.

В результате Morpho Cloud является выдающимся примером аутсорсингового управления идентификацией , которая может обеспечить эффективность и экономичность улучшений в системах безопасности правоохранительных органов. Идентификация как сервис предоставляет преимущества, недоступные для большинства учреждений. Например, гео-распределенное аварийное восстановление данных, как правило, не целесообразно с точки зрения высокой стоимости проекта, и повышение уровня безопасности таким образом возможно только благодаря масштабу Microsoft Azure и Morpho Cloud.

Биометрическая аутентификация на мобильных устройствах

Аутентификация по отпечатку пальца на мобильных устройствах

Исследование Biometrics Research Group, Inc . посвящено анализу и прогнозу развития рынка биометрической аутентификации в мобильных устройствах. Исследование спонсировано ведущими производителями рынка биометрии Cognitec, VoicePIN и Applied Recognition .

Рынок мобильной биометрии в цифрах

По данным исследования объем сегмента мобильной биометрии оценивается в 9 млрд. долл. к 2018 г. и $ 45 млрд к 2020 году по всему миру. При этом использование биометрических характеристик для аутентификации будет применяться не только для разблокировки мобильных устройств, а также для организации многофакторной аутентификации и мгновенного подтверждения электронных платежей.

Развитие сегмента рынка мобильной биометрии связано с активным использованием смартфонов с предустановленными сенсорами. Отмечается, что к концу 2015 года, мобильные устройства с биометрией будут использовать не менее 650 млн человек. Число пользователей мобильных с биометрическими датчиками согласно прогнозам, будет расти на 20.1% в год и к 2020 году составит не менее 2 млрд. человек.

Материал спецпроекта "Без ключа"

Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт

Полное название:

Биометрические системы идентификации и аутентификации.

Назначение:

Установление подлинности и определение полномочий субъекта при его допуске в систему,

Контролирование установленных полномочий в процессе сеанса работы;

Регистрация действий и др.

	Области применения	Основные характеристики
	Компьютер-ная безопас-ность	В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.).
	Торговля	Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; В торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; В электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты.
	Системы СКУД	В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос.
	Системы АДИС	Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих.
	Комплексные системы	К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами.

Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;

В транспортной области как платежное средство;

Представители:

В системе "Fastgate", проходящей в настоящее время испытания, применена техника сканирования геометрии руки фирмы Recognition Systems и IBM(США).

С 17 по 19 ноября 2010 г. в Москве пройдет выставка Infosecurity Russia"2010, где отечественные и зарубежные компании примут участие.

Особенности и история

В 1938 г. была создана Биометрическая секция американской статистической ассоциации. Затем в 1947 г. в Вудс-Холе (США) была проведена «Первая международная биометрическая конференция», на которой было организовано Международное биометрическое общество. Конференции Международного биометрического общества проходили в 1949 г., 1953 г., 1958 г., 1963 г., 1967 г. и т. д.

В 1978 г. было организовано Международное общество клинической биостатистики (ISCB), национальные отделения которого есть в нескольких десятках стран, включая США, Англию, Францию, Италию, Канаду, Испанию, Польшу, Венгрию, Южную Африку, Кению и т. д. Кроме организованного в 1901 г. Пирсоном и Гальтоном журнала «Biometrika» стали выходить журналы «Biometrics» (с 1945 г.), «Biometrische Zeitschrift» (с 1959 г.)

До 11 сентября 2001 года, биометрические системы обеспечения безопасности использовались только для защиты военных секретов и самой важной коммерческой информации. Ну а после потрясшего весь мир террористического акта ситуация резко изменилась. Сначала биометрическими системами доступа оборудовали аэропорты, крупные торговые центры и другие места скопления народа.

В рамках безвизовой программы США подписала с 27 странами соглашение, по которому граждане этих государств смогут въезжать на территорию США сроком до 90 дней без визы при обязательном наличии биометрических документов. Начало действия программы - 26 октября 2005. Среди государств, участвующих в программе - Австралия, Австрия, Бельгия, Великобритания, Германия, Италия, Лихтенштейн, Люксембург, Монако, Нидерланды, Португалия, Сингапур, Финляндия, Франция, Швейцария, Швеция и Япония.

С 1 января 2007 года вводится в действие национальный стандарт ГОСТ 52633-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации».

В нём формулируются требования к средствам высоконадежной биометрической аутентификации на базе больших и сверхбольших многослойных искусственных нейронных сетей с большим числом входов и большим числом выходов.

За последние два десятилетия биометрические технологии сделали большой шаг вперед. Во многом этому способствовало распространение микропроцессорных технологий. Еще в 80-е годы систему контроля доступа, использующую биометрические характеристики человека, можно было увидеть лишь в фантастических фильмах. Сегодня же использование в системах контроля и управления доступом (СКУД) биометрических сканеров, практически, не усложняет систему безопасности, и их стоимость для некоторых биометрических методов очень низкая. Более того, около трети ноутбуков выходит сейчас со встроенной системой считывания отпечатка пальцев, а если в ноутбуке есть видеокамера, на него можно установить систему распознавания человека по лицу.

Основными характеристиками любой биометрической охранной системы являются два числа - FAR (False Acceptance Rate) и FRR (False Rejection Rate). Первое число характеризует вероятность ложного совпадения биометрических характеристик двух людей. Второе - вероятность отказа доступа человеку, имеющего допуск. Система тем лучше, чем меньше значение FRR при одинаковых значениях FAR. Устойчивость к подделке - это эмпирическая характеристика, обобщающая то, насколько легко обмануть биометрический идентификатор. Устойчивость к окружающей среде - характеристика, эмпирически оценивающая устойчивость работы системы при различных внешних условиях. Простота использования показывает, насколько сложно воспользоваться биометрическим сканером, возможна ли идентификация «на ходу». Важными характеристиками являются и скорость работы, и стоимость системы. Несомненно, существенным является и то, как в течение времени себя ведет биометрическая характеристика. Если она неустойчива и может измениться - это значительный минус.

Физиологические (статические) методы

Сканирование радужной оболочки глаза

Сканирование сетчатки глаза

Геометрия кисти руки (рисунок вен, отпечатки пальцев – дактилоскопия, размер, длина и ширина ладоней)

Распознавание черт лица (контур, форма; расположение глаз и носа)

Снятие отпечатков пальцев

Структура ДНК - сигнатура

Поведенческие (динамические) методы

Анализ подписи (форма букв, манера письма, нажим)

Анализ клавиатурного почерка

	Носитель биометрической информации	Вероятность ошибки	надежность	Сфера применения
Распознавание радужной оболочки глаза	Узор радужки			Критичные к количеству ошибок сервисы
Дактилоскопия	Отпечатки пальцев			Универсальная
Форма руки	Размер, длина и ширина ладоней
Распознавание лица	Контур, форма; расположение глаз и носа			Некритичные к количеству ошибок сервисы
	Форма букв, манера письма, нажим			Некритичные к количеству ошибок сервисы
				Телефонные серверы

Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.

Отпечатки пальцев

Дактилоскопия (распознавание отпечатков пальцев) - наиболее разработанный на сегодняшний день биометрический метод идентификации личности. Катализатором развития метода послужило его широкое использование в криминалистике ХХ века.

Каждый человек имеет уникальный папиллярный узор отпечатков пальцев, благодаря чему и возможна идентификация. Обычно алгоритмы используют характерные точки на отпечатках пальцев: окончание линии узора, разветвление линии, одиночные точки. Дополнительно привлекается информация о морфологической структуре отпечатка пальца: относительное положение замкнутых линий папиллярного узора, арочных и спиральных линий. Особенности папиллярного узора преобразовываются в уникальный код, который сохраняет информативность изображения отпечатка. И именно «коды отпечатков пальцев» хранятся в базе данных, используемой для поиска и сравнения. Время перевода изображения отпечатка пальца в код и его идентификация обычно не превышают 1с, в зависимости от размера базы. Время, затраченное на поднесение руки, не учитывается.

Радужная оболочка

Радужная оболочка глаза является уникальной характеристикой человека. Рисунок радужки формируется на восьмом месяце внутриутробного развития, окончательно стабилизируется в возрасте около двух лет и практически не изменяется в течение жизни, кроме как в результате сильных травм или резких патологий. Метод является одним из наиболее точных среди биометрических технологий.

Система идентификации личности по радужной оболочке логически делится на две части: устройство захвата изображения, его первичной обработки и передачи вычислителю; вычислитель, производящий сравнение изображения с изображениями в базе данных, передающий команду о допуске исполнительному устройству.

Время первичной обработки изображения в современных системах примерно 300-500 мс, скорость сравнения полученного изображения с базой имеет уровень 50000-150000 сравнений в секунду даже на обычном персональном компьютере. Такая скорость сравнения не накладывает ограничений на применение метода в больших организациях при использовании в системах доступа. При использовании же специализированных вычислителей и алгоритмов оптимизации поиска становится даже возможным идентифицировать человека среди жителей целой страны.

Геометрия лица

Существует множество методов распознавания по геометрии лица. Все они основаны на том, что черты лица и форма черепа каждого человека индивидуальны. Эта область биометрии многим кажется привлекательной, потому что мы узнаем друг друга в первую очередь по лицу. Данная область делится на два направления: 2D-распознавание и 3D-распознавание. У каждого из них есть достоинства и недостатки, однако многое зависит еще и от области применения и требований, предъявленных к конкретному алгоритму.

2D-распознавание лица

2D-распознавание лица - один из самых статистически неэффективных методов биометрии. Появился он довольно давно и применялся, в основном, в криминалистике, что и способствовало его развитию. Впоследствии появились компьютерные интерпретации метода, в результате чего он стал более надежным, но, безусловно, уступал и с каждым годом все больше уступает другим биометрическим методам идентификации личности. В настоящее время из-за плохих статистических показателей он применяется, в основном, в мультимодальной или, как ее еще называют, перекрестной биометрии.

Реализация данного метода представляет собой довольно сложную задачу. Несмотря на это, в настоящее время существует множество методов по 3D-распознаванию лица. Ниже рассматривается один из самых распространенных.

Метод проецирования шаблона состоит в том, что на объект (лицо) проецируется сетка. Далее камера делает снимки со скоростью десятки кадров в секунду, и полученные изображения обрабатываются специальной программой. Луч, падающий на искривленную поверхность, изгибается - чем больше кривизна поверхности, тем сильнее изгиб луча. Изначально при этом применялся источник видимого света, подаваемого через «жалюзи». Затем видимый свет был заменен инфракрасным, который обладает рядом преимуществ. Обычно на первом этапе обработки отбрасываются изображения, на которых лица не видно вообще или присутствуют посторонние предметы, мешающие идентификации. По полученным снимкам восстанавливается 3D-модель лица, на которой выделяются и удаляются ненужные помехи (прическа, борода, усы и очки). Затем производится анализ модели - выделяются антропометрические особенности, которые в итоге и записываются в уникальный код, заносящийся в базу данных. Время захвата и обработки изображения составляет 1-2 с для лучших моделей.

Венозный рисунок руки

Это новая технология в сфере биометрии. Инфракрасная камера делает снимки внешней или внутренней стороны руки. Рисунок вен формируется благодаря тому, что гемоглобин крови поглощает ИК-излучение. В результате степень отражения уменьшается и вены видны на камере в виде черных линий. Специальная программа на основе полученных данных создает цифровую свертку. Не требуется контакта человека со сканирующим устройством. Рисунок вен на ладони не меняется с двухлетнего возраста

Технология сравнима по надежности с распознаванием по радужной оболочке глаза, но имеет ряд минусов, указанных ниже.

Сетчатка глаза

До последнего времени считалось, что самый надежный метод биометрической идентификации и аутентификации личности - это метод, основанный на сканировании сетчатки глаза. Он содержит в себе лучшие черты идентификации по радужной оболочке и по венам руки. Сканер считывает рисунок капилляров на поверхности сетчатки глаза. Сетчатка имеет неподвижную структуру, неизменную во времени, кроме как в результате глазной болезни, например, катаракты.

Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в системах контроля доступа на особо секретные объекты, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа.

К сожалению, целый ряд трудностей возникает при использовании этого метода биометрии. Сканером тут является весьма сложная оптическая система, а человек должен значительное время не двигаться, пока система наводится, что вызывает неприятные ощущения.

Термический образ лица . Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.

Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 – 5%. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу – возбужден, болен, говорит правду, не в себе и т.д.

Ввод с клавиатуры . Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.

Подпись. Для контроля рукописной подписи используются дигитайзеры.

Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности

В.Шрамко

PCWeek/RE № 45, 2004 г.

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах конфиденциальной информации, одна из важнейших задач для любой компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. По результатам исследования Computer Security Institute, на непреднамеренные ошибки сотрудников приходится 55% такого ущерба, на действия нечестных и обиженных коллег соответственно 10% и 9%. Оставшуюся часть потерь связывают с проблемами физической защиты (стихийные бедствия, электропитание) 20%, вирусами 4% и внешними атаками 2%.

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

На мировом рынке информационной безопасности сегмент ААА стабильно растет. Эта тенденция подчеркивается в аналитических обзорах и прогнозах Infonetics Research, IDC, Gartner и других консалтинговых компаний.

В нашей статье основное внимание будет уделено комбинированным системам идентификации и аутентификации. Такой выбор обусловлен тем, что в настоящее время системы этого класса обеспечивают наиболее эффективную защиту компьютеров от НСД.

Классификация систем идентификации и аутентификации

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рисунок 1 Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

контактных смарт-карт;
бесконтактных смарт-карт;
USB-ключей (другое название USB-токенов);
идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

Несмотря на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания по отпечаткам пальцев, чертам лица, геометрии руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group, на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица 12%, геометрии руки 11%, радужке глаза 9%, параметрам голоса 6%, подписи 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

интеграция идентификаторов в рамках системы одного класса;
интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

Особенности электронных систем идентификации и аутентификации

С электронными СИА и анализом их ключевых характеристик, позволяющим сделать выбор в пользу того или иного продукта, можно познакомиться в моем обзоре «Защита компьютеров: электронные системы идентификации и аутентификации» (см. PC Week/RE, № 12/2004, с. 18). Приведу лишь основные особенности электронных СИА, знание которых помогает понять структуру и принцип работы комбинированных систем.

В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.

В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.

В контактных смарт-картах используется два типа памяти PROM: однократно программируемая память EPROM и чаще встречающаяся многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.

На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:

генерация криптографических ключей;
реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);
выполнение операций с электронной цифровой подписью (генерация и проверка);
выполнение операций с PIN-кодом и др.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

Таблица 1 Радиочастотные идентификаторы

Основные компоненты бесконтактных смарт-карт чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.

Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения до 10 см.

Для реализации функций шифрования и аутентификации в идентификаторах стандарта ISO/IEC 14443 могут применяться чипы трех видов: микросхема с жесткой логикой MIFARE, процессор или криптографический процессор. Технология MIFARE является разработкой компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными осуществляется со скоростью 26,6 Кбит/с.

USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Таблица 2 Характеристики USB-ключей

На российском рынке наибольшей популярностью пользуются следующие USB-ключи:

серии iKey 10xx, iKey 20xx, iKey 3000 разработка компании Rainbow Technologies;
eToken R2, eToken Pro фирмы Aladdin Knowledge Systems;
ePass1000, ePass2000 фирмы Feitian Technologies;
ruToken совместная разработка компании «Актив» и фирмы «АНКАД» .

USB-ключи являются преемниками контактных смарт-карт. Поэтому структуры USB-ключей и смарт-карт, как и объемы аналогичных запоминающих устройств, практически идентичны. В состав USB-ключей могут входить:

процессор управление и обработка данных;
криптографический процессор реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
USB-контроллер обеспечение интерфейса с USB-портом компьютера;
RAM хранение изменяемых данных;
EEPROM хранение ключей шифрования, паролей, сертификатов и других важных данных;
ROM хранение команд и констант.

Комбинированные системы

Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.

Таблица 3 Основные функции комбинированных СИА

Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:

системы на базе бесконтактных смарт-карт и USB-ключей;
системы на базе гибридных смарт-карт;
биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

Аппаратная интеграция USB-ключей и бесконтактных смарт-карт предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещения офиса. Для входа в служебное помещение сотрудник использует свой идентификатор в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным в качестве USB-ключа. Кроме того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и тем самым автоматически блокирует работу компьютера.

В 2004 г. на российском рынке появились два комбинированных идентификатора такого типа:

RFiKey разработка компании Rainbow Technologies;
eToken PRO RM разработка компании Aladdin Software Security R.D. .

Идентификатор RFiKey (рис. 2) представляет собой USB-ключ iKey со встроенной микросхемой Proximity, разработанной HID Corporation.

Рисунок 2 Идентификатор RFiKey

Изделие RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

К основным характеристикам RFiKey можно отнести следующие показатели:

частота функционирования микросхемы Proximity 125 кГц;
тактовая частота процессора 12 МГц;
реализуемые криптографические алгоритмы MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
поддерживаемые стандарты PKCS#11, MS Crypto API, PC/SC;
файловая система с тремя уровнями доступа к данным;
поддерживаемые операционные системы Windows 95/98/ME/NT4 (SP3)/2000/XP/ 2003.

Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».

Рисунок 3 Идентификатор eToken RM

Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память EPROM емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.

К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

частота функционирования БИМ-002 13,56 МГц;
дальность чтения идентификационного кода до 30 мм;
тактовая частота процессора 6 МГц;
реализуемые криптографические алгоритмы RSA-1024, DES, 3DES, SHA-1;
наличие аппаратного датчика случайных чисел;
поддерживаемые стандарты PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
поддерживаемые операционные системы Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

На отечественном рынке ориентировочные цены комбинированных идентификаторов составляют: RFiKey 1032 от $41, RFiKey 2032 и RFiKey 3000 от $57, eToken RM с 32 Кб защищенной памяти и БИМ-002 от $52.

Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

Гибридные смарт-карты

Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 4). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) бесконтактный. Как и в случае интеграции USB-ключей и бесконтактных смарт-карт, СИА на базе гибридных смарт-карт решают двоякую задачу: защиту от НСД к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.

Рисунок 4 Структура гибридной смарт-карты

Стремление к интеграции радиочастотной бесконтактной и контактной смарт-карт-технологий находит отражение в разработках многих компаний: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

Например, корпорация HID, ведущий разработчик СИА на базе бесконтактных идентификаторов, выпустила идентификаторы-карты, объединяющие в себе различные технологии считывания идентификационных признаков. Результатом этих разработок явилось создание гибридных смарт-карт:

Smart ISOProx II интеграция Proximity-чипа и чипа с контактным интерфейсом (опционально);
iCLASS интеграция чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально);
iCLASS Prox интеграция Proximity-чипа, чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально).

На отечественном рынке цены на эти изделия составляют: iCLASS от $5,1; Smart ISOProx II от $5,7; iCLASS Prox от $8,9.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Фирма предлагает смарт-карты различных производителей: ОАО «Ангстрем» (БИМ-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (технология MIFARE) и других. Выбор варианта комбинирования определяет заказчик.

Анализ финансовых затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования бесконтактных смарт-карт и USB-ключей, снова подтверждает торжество принципа «два в одном». Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в «три в одном».

Биоэлектронные системы

Для защиты компьютеров от НСД биометрические системы обычно объединяются с двумя классами электронных СИА на базе контактных смарт-карт и на базе USB-ключей.

Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.

Как уже было замечено, технологии идентификации по отпечаткам пальцев сегодня лидируют на рынке биометрических средств защиты. Столь почетное место дактилоскопии вызвано следующими обстоятельствами:

это самый старый и наиболее изученный метод распознавания;
его биометрический признак устойчив: поверхность кожного покрова на пальце не меняется со временем;
высокие значения показателей точности распознавания (по заявлениям разработчиков дактилоскопических средств защиты, вероятность ложного отказа в доступе составляет 10-2, а вероятность ложного доступа -10-9);
простота и удобство процедуры сканирования;
эргономичность и малый размер сканирующего устройства;
самая низкая цена среди биометрических систем идентификации.

В связи с этим сканеры отпечатков пальцев стали наиболее используемой составной частью комбинированных СИА, применяемых для защиты компьютеров от НСД. На втором месте по распространенности на рынке компьютерной безопасности находятся СИА на базе контактных смарт-карт.

Примером такого рода интеграции служат изделия Precise 100 MC (рис. 5) и AET60 BioCARDKey (рис. 6) компаний Precise Biometrics AB и Advanced Card Systems соответственно. Чтобы получить доступ к информационным ресурсам компьютера с помощью этих средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.

Рисунок 5 Изделие Precise 100 MC

Рисунок 6 Изделие AET60 BioCARDKey

Изделия Precise 100 MC и AET60 BioCARDKey это USB-устройства, работающие в среде Windows. Считыватели смарт-карт поддерживают все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3 (протоколы T=0, T=1). Дактилоскопические считыватели представляют собой сканеры емкостного типа со скоростями сканирования 4 и 14 отпечатков пальцев в секунду у Precise 100 MC и AET60 BioCARDKey соответственно.

Чтобы уменьшить число периферийных устройств, можно интегрировать дактилоскопический сканер и считыватель смарт-карт в USB-клавиатуру защищаемого компьютера. Примерами таких устройств служат изделия KBPC-CID (рис. 7) альянса Fujitsu Siemens Computers , Precise 100 SC Keyboard (рис. 8) и Precise 100 MC Keyboard компании Precise Biometrics AB.

Рисунок 7 Изделие KBPC-CID

Рисунок 8 Изделие Precise 100 SC Keyboard

Для доступа к информационным ресурсам компьютера, как и в предыдущем варианте, пользователю необходимо поместить смарт-карту в считыватель и к сканеру приложить палец. Представляется интересным и перспективным решение разработчиков комбинированных систем защиты объединить USB-ключ с дактилоскопической системой идентификации (далее такое устройство будем именовать USB-биоключом). Примером этого решения могут служить USB-биоключи FingerQuick (рис. 9) японской корпорации NTT Electronics и ClearedKey (рис. 10) американской компании Priva Technologies.

Рисунок 9 USB-биоключ FingerQuick

Рисунок 10 USB-биоключ ClearedKey

В ближайшем будущем USB-биоключи могут получить широкое распространение благодаря своим достоинствам:

высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);
аппаратная реализация криптографических преобразований;
отсутствие аппаратного считывателя;
уникальность признака, малые размеры и удобство хранения идентификаторов.

Главным недостатком USB-биоключей является их высокая цена. Например, приблизительная стоимость FingerQuick составляет $190.

Заключение

На первый взгляд комбинированные системы идентификации и аутентификации представляют собой какие-то дорогостоящие, экзотические продукты. Но мировой опыт разработок систем компьютерной безопасности показывает, что все используемые в настоящий момент средства защиты тоже когда-то были такими вот экзотическими изделиями. А сейчас они норма безопасной жизни. Отсюда с высокой вероятностью можно утверждать, что подобная судьба ожидает и комбинированные системы.