Файл: Курсовая работа По теме "Безопасность ресурсов сети средства идентификации и аутентифации" Выполнил студент Группы 3иб.docx
Добавлен: 11.01.2024
Просмотров: 116
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Дифференциатор ключей для идентификации личности по рисунку радужной оболочки глаза осуществляет поиск в базе данных для нахождения соответствующего идентификационного кода. При этом база данных может состоять из неограниченного числа записей кодов IrisCode. Технология допуска, основанная на сканировании радужной оболочки глаза, уже несколько лет успешно применяется в государственных организациях США и в учреждениях с высокой степенью секретности (в частности, на заводах по производству ядерного вооружения). Эффективность этого способа доказана, он безопасен для пользователя и надежен в работе. Он обеспечивает моментальную аутентификацию личности, предназначенную для замены символов ПИН-кодов и паролей.
Многие эксперты подчеркивают «незрелость» технологии, хотя потенциальные возможности метода достаточно высоки, так как характеристики рисунка радужной оболочки человеческого глаза достаточно стабильны и не изменяются практически в течение всей жизни человека, невосприимчивы к загрязнению и ранам. Отметим также, что радужки правого и левого глаза по рисунку существенно различаются. Этот метод идентификации отличается от других большей сложностью в использовании, более высокой стоимостью аппаратуры и жесткими условиями регистрации.
-
Идентификация по капиллярам сетчатки глаз
При идентификации по сетчатке глаза измеряется угловое распределение кровеносных сосудов на поверхности сетчатки относительно слепого пятна глаза и другие признаки. Капиллярный рисунок сетчатки глаз различается даже у близнецов и может быть с большим успехом использован для идентификации личности. Всего насчитывают около 250 признаков. Такие биометрические терминалы обеспечивают высокую достоверность идентификации, сопоставимую с дактилоскопией, но требуют от проверяемого лица фиксации взгляда на объективе сканера.
Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в СКУД особо секретных объектов, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа. Однако изображение радужной оболочки должно быть четким, поэтому катаракта может отрицательно воздействовать на качество идентификации личности.
Начало разработок этого направления идентификации относится к 1976 г., когда в США была образована компания EyeDentify, которая до настоящего времени сохраняет монополию на производство коммерческих систем аутентификации по ретине.
Основным устройством для системы такого типа является бинокулярный объектив. При осуществлении процедуры аутентификации пользователь должен прильнуть глазами к окулярам и, глядя вовнутрь, сфокусировать взгляд на изображении красного цвета. Затем ему следует дождаться смены цвета на зеленый (что укажет на правильную фокусировку) и нажать на стартовую кнопку. Сканирование глазного дна выполняется источником инфракрасного излучения, безопасного для глаз. Достаточно смотреть в глазок камеры менее минуты. За это время система успевает подсветить сетчатку и получить отраженный сигнал. Для сканирования сетчатки используется инфракрасное излучение низкой интенсивности, направленное через зрачок к кровеносным сосудам на задней стенке глаза. Отраженное от ретины излучение фиксируется специальной чувствительной камерой.
Замеры ведутся по 320 точкам фотодатчиками и результирующий аналоговый сигнал с помощью микропроцессора преобразуется в цифровой вид. При этом используется алгоритм быстрого преобразования Фурье. Полученный цифровой вектор, состоящий из коэффициентов Фурье, сравнивается с зарегистрированным эталоном, хранящимся в памяти системы. Благодаря такому методу преобразования и представления изображения глазного дна для хранения каждого эталона расходуется по 40 байт. Память терминала EyeDentificationSystem 7.5, реализующего этот алгоритм, рассчитана на запоминание до 1200 эталонов. Время регистрации составляет примерно 30 с, время аутентификации - 1,5 с. Коэффициент ошибок 1-го рода - 0,01 %, 2-го рода - 0,0001 % (т. е. вероятность ошибок 1-го рода - 0,0001, 2-го рода - 0,000001).
С точки зрения безопасности данная система выгодно отличается от всех других, использующих биометрические терминалы, не только малым значением коэффициентов ошибок как l-ro, так и 2-го рода, но и использованием специфического аутентификациоиного атрибута, который практически невозможно негласно подменить для обмана системы при проверке.
К недостаткам подобных систем следует отнести психологический фактор: не всякий человек отважится посмотреть в неведомое темное
отверстие, где что-то светит в глаз. К тому же надо следить за положением глаза относительно отверстия, поскольку подобные системы, как правило, чувствительны к неправильной ориентации сетчатки. Сканеры для сетчатки глаза гарантируют один из самых низкихпроцентов отказа в доступе зарегистрированных пользователей и почти нулевой процент ошибок.
-
Разграничение доступа
После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа.
Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д.
Обычно выделяют следующие методы разграничения доступа:
- разграничение доступа по спискам;
- использование матрицы установления полномочий;
- по уровням секретности и категориям;
- парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия:
- каждому пользователю – список ресурсов и прав доступа к ним.
- каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице (см. таблицу 2.7) строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную
структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Таблица 2. Фрагмент матрицы доступа
Субъект | Каталог d:\Heap | Программа prty | Принтер |
Пользователь 1 | сdrw | е | w |
Пользователь 2 | r | | w c 9:00 до 17:00 |
c – создание, d – удаление, r – чтение, w – запись, e – выполнение.
Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и не совсем оптимальное использование ресурсов (большинство клеток – пустые).
Разграничения доступа по уровням секретности и категориям состоят в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категорий.
При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет.
При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю. Соответственно, все ресурсы АС декомпозируют по уровню важности, причем определенному уровню соответствует некоторый ранг персонала (типа: руководитель, администратор, пользователь).
Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование
паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
В завершении подраздела заметим, что руководящие документы могут регламентировать два вида (принципа) разграничения доступа:
- дискретное управление доступом;
- мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом регламентирует разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Иначе, для реализации мандатного управления доступом каждому субъекту и каждому
объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Ясно, что методы разграничения доступа по уровням секретности и категориям являются примерами мандатного управления доступом.
Заключение
Биометрические технологии используются уже более 20 лет. Тем не менее участники рынка безопасности продолжают внимательно следить за их развитием, а также прогнозировать: как инновации в области биометрии могут повлиять на облик индустрии в течение ближайших 10 лет. Результаты исследования, проведенного в Европе компанией LogicaCMG, позволили выделить те области, применительно к которым европейцы хотели бы чувствовать себя более защищенными: передвижение на транспорте, путешествия; финансовые операции; персональные данные. При этом если раньше наиболее широко обсуждались вопросы общественно-приемлемой и этичной биометрии, то сейчас дискуссии сместились в сферу эффективности и удобства для решения тех или иных задач. В Великобритании системы безопасности на базе биометрических технологий успешно используются в различных сферах: их можно встретить в школьных библиотеках и столовых, аэропортах и тюрьмах. В других странах Европы биометрия находит применение также в финансовых учреждениях и дипломатических представительствах. Защита биометрических данных (удостоверения, визы, паспорта и др.) остается вопросом, обсуждаемым на самых разных государственных уровнях. Активные технологические разработки идут как в области анализа биометрических данных, так и в области считывания и обработки. Со времен первых дактилоскопических считывателей (которые до сих пор ассоциируются с идентификацией преступников, а также со скепсисом пользователей о том, что считыватель нетрудно "обмануть") появился целый ряд технологий на базе различных идентификаторов (радужная оболочка глаза, рисунок вен, лицо, голос). Сегодня у руководителей есть из чего выбирать (по соотношению достоверность качество надежность быстродействие стоимость) с учетом особенностей решаемых задач. В то время как дактилоскопические считыватели традиционно находятся на нижней ступени ценовой шкалы биометрических технологий, они обеспечивают и менее точный результат, поэтому предназначены для использования на объектах с невысоким риском опасности и в системах с большим количеством пользователей. Системы на базе технологии распознавания лица - на втором месте по доле рынка. Их стоимость выше, но и уровень точности работы системы лучше. Преимуществами решений на основе данного идентификатора является лояльное отношение к ним со стороны пользователей и относительная простота интеграции с другими системами, например видеонаблюдением. Перед разработчиками стоит задача обеспечить возможность корректировать шаблоны биометрической характеристики с течением времени, дабы отразить, в частности, возрастные изменения человека. Биометрические системы на базе распознавания венозного рисунка и радужной оболочки глаза обеспечивают комбинацию высокой достоверности идентификации, надежности и привлекательности цены. В ближайшие годы они