ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12413
Скачиваний: 24
401
Характеристики USB-ключей
Достоинства УВИП на базе USB
-
ключей заключаются в отсутствии
аппаратного считывателя, малых размерах и удобстве хранения
идентификаторов, а также в простоте подсоединения идентификатора к USB
-
порту.
К недостаткам можно отнести сравнительно высокую стоимость (на
российском рынке цена USB
-
ключей в зависимости от типа превышает $20) и
слабую механическую защищенность брелока.
Биометрические устройства ввода
Биометрические УВИП относятся к классу электронных устройств (см.
PC Week/RE, № 7/2003, с. 24). Они могут быть контактными и
бесконтактными (дистанционными).
В основе биометрической идентификации и аутентификации лежит
считывание и сравнение предъявляемого биометрического признака
пользователя с имеющимся эталоном. Такого рода признаки включают в
себя отпечатки пальцев, форму и термограмму лица, рисунок сетчатки и
радужной
оболочки
глаза,
геометрию
руки,
узор,
образуемый
кровеносными сосудами ладони человека, речь и т. д. Высокий уровень
защиты определяется тем, что биометрия позволяет идентифицировать
человека, а не устройство.
До недавнего времени широкое использование биометрических УВИП
в средствах контроля доступа к компьютерам тормозилось их высокой
ценой. Успехи в технологиях, теории распознавания и микроэлектронике
402
позволили разработчикам снизить стоимость устройств и тем самым
активизировать рынок.
Особенно
эта
тенденция
характерна
для
устройств
дактилоскопического доступа. Отпечаток пальца считается одним из
наиболее устойчивых идентификационных признаков (не изменяется со
временем, при повреждении кожного покрова идентичный папиллярный
узор полностью восстанавливается, при сканировании не вызывает
дискомфорта у пользователя). Согласно отчету International Biometric Group
(www.ibgweb.com), доля устройств дактилоскопического доступа в 2002 г.
составила 52,1% мирового биометрического рынка.
Считыватели (или сканеры) отпечатков пальцев представляют собой
подключаемые к одному из портов компьютера отдельные устройства либо
они встраиваются в компьютерные мыши (рис. 6), клавиатуры, корпуса
мониторов. Наибольшее распространение получили дактилоскопические
мыши, ориентировочная цена которых на российском рынке составляет от
75 долл.
Рис. 6. Сканирующее устройство и мышь компании SecuGen
Среди устройств дактилоскопического доступа в России наиболее
широко представлены мыши Eyed Mouse и Optical Eyed Mouse компании
SecuGen (www.secugen.com), U-
Match Mouse фирмы Biolink Technologies
International (www.biolinkusa.com), ID Mouse коппорации Siemens AG
(www.siemensidmouse) и некоторые другие.
Несмотря
на
тенденцию
снижения
цены
и
заявляемые
разработчиками отменные характеристики устройств (для Biolink U
-Match
Mouse вероятность ложного отказа в доступе составляет 10
-
2, а вероятность
ложного доступа
- 10-
9), ряд экспертов подвергают сомнению высокую
эффективность потребительских биометрических УВИП.
Так, в ноябре 2002 г. в немецком компьютерном журнале c’t
(www.heise.de/ct) была опубликована
статья, авторам которой с помощью
тривиальных способов удалось обмануть 11 биометрических систем
известных компаний, использующих в качестве идентификационных
признаков отпечатки пальцев, лицо и радужную оболочку глаза.
403
Как отмечается в публикации, для обмана УВИП на основе емкостных
сенсоров, обладающих эффектом “последействия”, достаточно подышать на
сенсор или приложить к нему наполненный водой полиэтиленовый пакет. В
этом
случае
восстанавливается
отпечаток
пальца,
оставленный
зарегистрированным пользователем. Есть и более эффективный способ,
применимый не только к емкостным сенсорам,
-
взять отпечаток пальца,
оставленного пользователем на какой
-
нибудь поверхности, и скопировать
его с помощью графитовой пудры и липкой ленты. Кроме того,
искусственный
силиконовый
палец
позволил
одурачить
шесть
дактилоскопических сканеров, система распознавания по чертам лица была
обманута путем демонстрации на мониторе ноутбука видеопортрета ранее
зарегистрированного пользователя и т. д.
Комбинированные устройства ввода
Эффективность защиты компьютеров от НСД может быть повышена за
счет комбинирования различных УВИП. Эта тенденция наглядно
просматривается в изделиях ведущих мировых компаний.
Корпорация
HID
(www.hidcorp.com)
разработала
карты
-
идентификаторы, объединяющие в
себе различные технологии считывания
идентификационных признаков. Например, в устройстве Smart ISOProx II
сочетаются Proximity 125 кГц и контактная смарт
-
карт
-
технология MIFARE
13,56 МГц, в HID MIFARE Card
-
контактные и бесконтактные смарт
-
карт
-
технологии. В идентификаторе HID Proximity and MIFARE Card собран букет
из трех технологий: Proximity 125 кГц, MIFARE 13,56 МГц и контактная смарт
-
карта.
Альянс
Fujitsu
Siemens
Computers
(www.fujitsu
-siemens.com)
предлагает комбинированное УВИП под названием KBPC
-C
ID. Данное
изделие представляет собой объединенные встроенные в клавиатуру
компьютера считыватель для смарт
-
карт и дактилоскопический сканер (рис.
7). Клавиатура подключается к USB
-
порту защищаемого компьютера.
Рис. 7. Изделие KBPC
-CID
404
В
компании
Siemens
(www.siemens.com)
найдено
решение,
позволяющее
хранить
в
смарт
-
карте
три
биометрических
идентификационных признака пользователя: отпечаток пальца, черты лица
и голос.
Представляется интересным желание объединить USB
-
ключ с
биометрической системой идентификации. Подобное предложение
поступило от компании Trekstor, выпустившей изделие ThumbDrive Touch
(www.thumbdrive.com).
Основными
компонентами
устройства,
выполненного в виде USB
-
брелока (рис. 8), являются дактилоскопический
сканер и энергонезависимая флэш
-
память емкостью от 32 до 512 Мб. В
памяти выделяются открытая и защищенная области. Пользователь получает
доступ к защищенной области памяти после проверки отпечатков пальцев.
Скорость чтения и записи данных составляет 500 и 250 Кб/с соответственно.
Рис. 8. Изделие ThumbDrive Touch
При выборе того или иного комбинированного УВИП следует не
забывать известную пословицу: “Где тонко, там
и рвется”,
-
что в переводе
на язык теории систем означает: эффективность системы определяется
эффективностью самого слабого звена.
Электронные замки
На электронные замки возлагается выполнение следующих защитных
функций:
-
идентификация и аутентификация пользователей с помощью УВИП;
-
блокировка загрузки операционной системы с внешних съемных
носителей;
-
контроль целостности программной среды компьютера;
-
регистрация действий пользователей и программ.
Конструктивно электронные замки выполняются в виде плат
расширения, устанавливаемых в разъемы системных шин PCI или ISA. Свои
405
основные
функции
электронные
замки
реализуют
до
загрузки
операционной системы компьютера. Для этого в составе каждого изделия
имеется собственная память EEPROM, дополняющая базовую систему ввода
-
вывода BIOS компьютера. При включении компьютера выполняется
копирование содержимого EEPROM замка в так называемую теневую
область (Shadow Memory) оперативной памяти компьютера, с которой и
ведется дальнейшая работа.
На российском рынке разработкой электронных замков занимается
ограниченное число фирм. Ниже рассматриваются наиболее известные
сертифицированные изделия отечественных компаний.
Российские разработки
Научно
-
инженерное предприятие “Информзащита” (www.infosec.ru)
выпускает электронные замки “Соболь
-
PCI” и “Соболь 1.0”. В базовый
комплект поставки каждого изделия (рис. 9) входят плата электронного
замка, контактное считывающее устройство и два идентификатора iButton,
интерфейсные кабели, блокирующие загрузку ОС с внешних носителей, и
программное обеспечение. Плата электронного замка “Соболь
-
PCI”
устанавливается в разъем системной шины PCI, а плата “Соболя 1.0”
-
в
разъем ISA. Контактное устройство может подключаться как к внешнему, так
и к внутреннему разъемам платы.
Рис. 9. Электронный замок "Соболь
-PCI"
На
платах
электронных
замков
размещаются
микросхемы
энергонезависимой памяти, перепрограммируемая логическая матрица,
встроенный датчик случайных чисел, реле аппаратной блокировки
устройств. При каждом включении компьютера автоматически проверяется
работоспособность датчика случайных чисел.
Идентификация пользователя осуществляется с помощью УВИП на
базе
iButton.
Скорость
обмена
данными
между
персональным
идентификатором и платой замка составляет 16 кбит/с. Для авторизации
применяется пароль и персональный идентификатор. В электронном замке
поддерживается работа с паролями длиной до 16 символов.