Методи ідентифікації, що вживаються в системах управління доступом

Ідентифікація - процес пізнання користувача і визначення його повноважень по доступу на режимну територію.

Найбільшого поширення набули наступні методи ідентифікації:

­ механічний ключ;

­ пропускна система звичайного типу (пропуск з фотографією - охоронець на вході);

­ кодовий замок з набором коду на клавіатурі;

­ різні види карт (електронні, механічні, магнітні), на яких нанесений код, що зчитується спеціальним пристроєм (зчитувачем);

­ генерація модульованого ультразвукового, інфрачервоного або радіосигналу;

­ використання фізіологічних параметрів людини (голос, відбитки пальців і ін.);

­ комбіновані методи.

Найбільшого поширення серед перерахованих набувають методи, засновані на сучасних інформаційних технологіях зберігання і обробки інформації,:

1. Біометричний метод ідентифікації, заснований на застосуванні анатомічних особливостей людини.

В якості ідентифікатора можуть використовуватися особливості руки і людини, сітківки ока та райдужної оболонки очей і т. д., зчитування інформації проводиться спеціальними пристроями на основі відеокамер.

2. Метод ідентифікації із застосуванням магнітних пластикових карт, заснований на використанні в якості ідентифікатора магнітної смуги, нанесеної на пластикову карту, зчитування проводиться переміщенням магнітної смуги уздовж магнітної голівки.

3. Метод ідентифікації із застосуванням смарт-карт використовує мікропроцесорний пристрій, розміщений, приміром, в пластиковій карті і що має власну пам'ять. Зчитування робиться за допомогою багатоконтактної групи.

4. Метод ідентифікації із застосуванням дистанційних карт, заснований на передачі коду ідентифікатора по радіоканалу.

5. Метод ідентифікації з використанням iButton (так з 1997 р. називається Тouch Мemory), заснований на застосуванні мікропроцесорного пристрою і пам'яті, розміщених в сталевому корпусі (контактний метод прочитування).

6. Метод ідентифікації із застосуванням PIN -кода, заснований на застосуванні набору цифрових комбінацій на клавіатурі.

Для проведення аналізу вищеперелічених методів ідентифікації необхідно використовувати ряд показників оцінки ефективності кожного з них.

Вірогідність доступу "чужого" в оснащене приміщення - характеризує стійкість системи до злому зловмисниками за допомогою технічних і програмних засобів без використання ідентифікаторів.

Вірогідність не доступу "свого" користувача в оснащене системою АСУД приміщення - характеризує вірогідність не доступу "свого" користувача в захищене приміщення внаслідок збоїв при проведенні процесу ідентифікації, а також нестабільність параметрів ідентифікації.

Складність підробки ідентифікатора - характеризує, наскільки надійно захищений ідентифікатор від підробки і тиражування.

Експлуатаційна надійність системи "ідентифікатор-зчитувач" - характеризує працездатність системи в різних середовищах, кліматичних умовах і обставинах.

Інтегрованість з іншими додатками - можливість застосування цього методу ідентифікації в інших системах за принципом єдиного ключа, приміром, захист від НСД до інформаційних ресурсів і обчислювальних мереж, застосування в платіжних системах і т. д.

Простота установки, налаштування, експлуатації і обслуговування - характеризує експлуатаційні якості системи.

Кожен метод ідентифікації характеризується сукупністю усіх показників, важливість яких визначається конкретно вирішуваною задачею.

Приміром, для спеціалізованого завдання організації автоматизованого доступу в банківське сховище або депозитарій необхідно забезпечити найбільш низьку вірогідність доступу "чужого", незалежно від вірогідності не доступу "свого".

Дамо коротку характеристику основних методів ідентифікації.

Механічні ключі. Можна знайти загублений ключ, викрасти його і, скопіювавши, повернути назад. Ризик знижується, якщо власники з допуском здають ключі, покидаючи будівлю. Проте цей процес в період масового відходу/приходу співробітників може ускладнювати роботу служби охорони. Відмітимо, що втрата ключа викликає необхідність заміни замку або замкової секретної вставки, а концентрація ключів в одному місці за відсутності надійного спостереження і зберігання дозволяє порушникові з легкістю дістати можливість повсюдного проходу.

Звичайні пропуски (перепустки) – найбільш поширена система. Вимагає обов'язкової присутності вахтера (контролера) на вході, ефективність роботи якого не занадто висока. При такій системі відсутня протоколізація проходів, яка з надзвичайною легкістю організовується при використанні електронних ідентифікаторів.

Кодові кнопкові системи. Є панеллю з набірним полем з 10-12 клавіш. Для ідентифікаційного коду використовуються зазвичай 2-4 цифри. Найбільш досконалі системи дозволять задати індивідуальний код доступу кожному співробітникові. У разі використання загального коду для усіх допущених в приміщення осіб через деякий час система сама демонструє усім охочим правильний код доступу блиском натертих клавіш.

Нині широкого поширення набули картки з нанесеним на них магнітним або штриховим кодом, а також різні види електронних карт. Слід зазначити проблеми використання магнітних карт в системах управління доступом. Вони бояться забруднення, дії магнітних полів, нагрівання, дуже чутливі до механічних ушкоджень і до поступового стирання магнітного шару в процесі багатократного прочитування. Досвід експлуатації виявив також слабкість пристроїв для прочитування магнітних карт і карт з штриховим кодом (що мають до того ж високу вартість). Зазвичай ці пристрої забезпечені прорізами з зчитуючими голівками, куди вставляються картки для пізнання. На жаль, проріз, як і замочну щілину, легко пошкодити (досить заліпити жувальною гумкою) і тим самим вивести голівку з ладу. Комплекс цих експлуатаційних проблем змусив проектувальників засобів ідентифікації здійснити перехід до нового покоління карток - електронних, таких, що містять мікропроцесор, картам. Їх зчитування виконується або контактним (Touch Memory), або безконтактним способом (Proximity). У зв'язку зі швидким падінням цін на Proximity -карты і досить зручною процедурою проходу при їх використанні вони представляють найбільший інтерес для користувачів.

Перевагами електронних карт є висока захищеність від підбору, скритність коду, неможливість використання загубленої карти, можливість протоколизации подій.

Електронні ідентифікатори TOUCH MEMORY (виробництво фірми Dallas Semiconductor, США) є спеціалізованою мікросхемою, розміщеною в міцному корпусі з нержавіючої сталі. Аутентифікація (розпізнавання) користувача проводиться по унікальному (і незмінному впродовж життєвого циклу) для кожної карти номеру завдовжки 48 бітів. Життєвий цикл ідентифікатора, що містить тільки унікальний ідентифікаційний номер, не обмежений.

Випускаються ідентифікатори з незалежним ОЗУ, гарантований термін служби яких складає 10 років.

Можливе використання зручніших в експлуатації радіокарт - Proximity, в яких зчитування коду походить на деякій відстані від зчитувача (від 6-8 см до 60-80 см, залежно від зчитувача, що використовуєтьсчя).

Proximity-карти (ProxCardII, ProxKey і ISOProxII) мають малі габарити і вагу, забезпечують зручний і сучасний процес ідентифікації, мають до 137 мільярдів кодових комбінацій, надійно працюють в широкому діапазоні температур.

Карта ISOProx II поєднує PROX - технології з ідентифікацією власника по фотографії (звичайний пропуск).

Proximity-карти рекомендуються до застосування в якості ідентифікаторів для використання в системах управління доступом в приміщення.

Магнітні карти

Є пластиковою карткою стандартних розмірів (85,6x53,9x0,76 мм), виготовленою із спеціальної стійкої до механічних і термічних дій, пластмасами.

Магнітна смуга розташовується на зворотному боці карти і складається з трьох доріжок, дві з яких призначені для зберігання ідентифікаційних даних, а третя - для запису додаткової інформації. Проте із-за невисокої надійності багаторазово повторюваного процесу запису/прочитування запис на магнітну смугу, як правило, не практикується, і такі карти використовуються тільки в режимі прочитування інформації.

Довжина ідентифікаційного коду користувача складає 14 десяткових знаків, спосіб прочитування коду – магнітний (карту потрібно вставити в проріз считывателя і провести нею уздовж магнітної голівки)

Рекомендуються до застосування в якості ідентифікаторів для використання в системах управління доступом в приміщення.

В якості недоліків слід зазначити не дуже високу довговічність магнітних карт, а також вимогу до відсутності контакту з постійними і змінними магнітними полями.

Пристрої, що здійснюють ідентифікацію людини по одному (ряду) його фізіологічних параметрів, обдурити найскладніше.

Існує обмежена кількість характерних властивостей особи, які можуть бути використані для її ідентифікації,:

- те, чим володіє особа (розпізнавальний знак, ключ або пластикова картка);

- те, що знає особу (секретна інформації, пароль, персональний ідентифікатор);

- особливості поведінки (мова, почерк, характер роботи на клавіатурі);

- деякі фізичні характеристики (відбитки пальців, форма руки, візерунок кровоносних судин).

Ці властивості використовуються в повсякденній практиці при спілкуванні людей один з одним для пізнання візитерів, повідомлень і так далі. На їх основі створені спеціальні автоматичні прилади і розроблені методи аутентифікації, що вживаються, наприклад, в судовій практиці.

Зараз ідентифікація людей і регламентація доступу здійснюється в основному по пред'явленню якого-небудь документу, магнітної картки, ключа, шифру, і так далі. Але це не дає повної упевненості в тому, що пред'явник дійсно має право доступу. А тим часом природа створила людей досить різними, і вже немає необхідності плодити документи, що підтверджують це.

Кожна людина індивідуальна, іншого такого немає, не було і не буде. Розроблені математичні методи, що дозволяють по частині тіла людини, його фотографії, голосу, підписи затверджувати, що це одна і та ж людина (біометрична ідентифікація особи). Такі методи дозволяють упевнено ідентифікувати людину.

Техніка біометричної аутентифікації

У наявних приладах біометричної аутентифікації успішно використовуються:

- візерунки сітківки очей;

- відбитки пальців;

- геометрія руки;

- динаміка підпису;

- особливості мови;

- ритм роботи на клавіатурі.

При реєстрації користувач повинен продемонструвати один або кілька разів свої характерні ознаки. Ці ознаки (відомі як справжні) реєструються як контрольний "образ" користувача. Образ користувача зберігається в електронній формі і використовується для перевірки ідентичності кожного, хто видає себе за відповідного законного користувача. Залежно від збігу або неспівпадання сукупності пред'явлених ознак із зареєстрованими в контрольному образі їх той, що пред'явив визнається законним користувачем (при збігу) або ні (при неспівпаданні навіть після декількох спроб).

Аутентифікація по візерунках сітківки очей

Фірма Eyedentity (Великобританія) випустила три види пристроїв аутентифікації по візерунках сітківки очей. У них використовується оптична система для сканування сітківки одного або обох очей і вимірюється кутовий розподіл кровоносних судин по поверхні сітківки відносно сліпої плями. Для реєстрації контрольного образу треба близько 40 байт. Образ може бути перенесений на персональну магнітну картку користувача. Ціна пристроїв від 5000 до 7000 дол. Такі пристрої застосовуються там, де потрібно високий рівень безпеки (наприклад, в США в більш ніж 150 зонах військових об'єктів і в місцях ув'язнення).

Фірма Honeywell використовує пристрої цього типу для забезпечення безпеки своїх секретних об'єктів, що дозволило їй прибрати звичайні кодові замки і усунула необхідність міняти замки на дверях при звільненні кожного співробітника.

Аутентифікації по візерунках сітківки очей ефективна при виявленні спроб зловмисників видати себе за законного користувача. Рівень невизнання законних користувачів знаходиться в межах декількох відсотків при практично повній відсутності помилкової аутентифікації.

Аутентифікація по відбитках пальців

Ряд фірм США (Fingermatrix, Identix, Thumbscon і інші) випускають недорогі пристрої аутентифікації по відбитках пальців. Дія цих пристроїв заснована на вимірі відстаней між основними дактилоскопічними ознаками. Для запису контрольного образу потрібно 400-1000 байт. Ціна пристроїв від 2000 до 4000 дол. Ці пристрої визнані кращими пристроями аутентифікації по каналах зв'язку. Основними споживачами пристроїв є установи правопорядку.

За ними йдуть банки. Наприклад, 80 співробітників банку Бостона перш ніж увійти до залу обчислювальної техніки набирають свої ідентифікаційні номери на клавіатурі і поміщають вказівний палець на скануючий пристрій. На думку керівника системою, її надійність складає 90-95%. Цій системі властиві і певні недоліки. Якщо руки того, що перевіряється холодні, то він може дістати відмову. Тому фірма-виготівник рекомендує змащувати руки кремом або зігрівати їх теплою водою.

Пізнання по відбитках пальців є найбільш популярним з біометричних методів, заснованих на фізичних характеристиках. На ці системи доводиться близько 30% об'єму продажів біометричних систем. Проте вони незручні в користуванні і викликають з цієї причини нарікання користувачів. У деяких людей процедура зняття відбитків пальців асоціюється з реєстрацією карних елементів, що перешкоджає широкому впровадженню пристроїв цього типу.

Аутентифікація по геометрії руки

Система аутентифікації по силуету руки, запропонована фірмою Idenmat (США), була першою комерційною системою цього типу. Системи цього типу почали випускати і інші американські фірми (Biometrics і PIDEAC). Систему HandKey, що використовує як силует, так і вертикальний профіль руки, пропонує фірма Recognition Systems. Для запису "образу" користувача в цих системах вимагається від 9 до 1000 байт. Ціна однієї системи від 3000 до 5000 дол.

Проведені в США випробування (Sandia National Laborates) показали, що система HandKey являється найбільш точній з усіх біометричних пристроїв ідентифікації. Крім того, проведене по закінченню випробувань опитування користувачів (що брали участь в цих 3-місячних випробуваннях) показало, що переважна більшість віддає перевагу системам цього типу в порівнянні з пристроями аутентифікації по візерунках сітківки ока і що найменш зручні для користувачів пристрою ідентифікації по підпису і відбиткам пальців.

Аутентифікація по динаміці підпису

Аутентифікація документів і осіб по рукописному підпису так широко застосовується в діловій практиці, що цілком природно виникла потреба її автоматизації. Автоматичні пристрої аутентифікації осіб по динаміці підпису з'явилися більше 15 років тому. Нині такі пристрої випускаються багатьма фірмами.

Усі ці пристрої використовують для аутентифікації геометричних і динамічних ознак рукописного відтворення підпису в реальному часі. Користувачеві пропонується застосовувати для підпису спеціальне перо, пов'язане з пристроєм, або звичайне перо: олівець, кулькову ручку. В той час, коли що перевіряється за допомогою спеціальної ручки пише своє прізвище на спеціальній пластині, що перетворює інформацію в цифрову форму, відбувається вимір таких характеристик листа, як інтенсивність кожного зусилля і швидкість його завершення. Використовуються також звуки, що виникають в процесі написання, і зображення підпису в цілому. Для запису зразків контрольного підпису потрібно від 40 байт до 4 Кбайт залежно від типу пристрою. Ціна пристроїв від 600 до 1200 дол.

Пізнання по голосу

Широке поширення телефонного зв'язку стимулювало розробку приладів пізнання по голосу. Комерційно доступні прилади цього типу пропонуються фірмами AT&T, British Technology Group, Bell Communications Reseavch, Ensigma та ін. Прилад фірми Ensigma є новітньою розробкою для цього методу аутентифікації. Записи зразків голосу чутливі до вибраних способів пізнання і вимагають від 2 до 20 Кбайт. Вартість приладів від 300 дол. і вище.

Аутентифікація по ритму роботи на клавіатурі (по клавіатурному почерку)

Тимчасові інтервали між двома послідовними ударами по клавішах в потоці набраних знаків істотно відрізняються у різних операторів (користувачів). Цей динамічний ритм набору (званий "клавіатурний почерк") використовується в пристроях аутентифікації, розроблених фірмами Electronic Signature Lock і International Bioaccess Systems. Необхідні витрати складають близько 500 доларів.

Цей метод аутентифікації унікальний по скритності і безперервності дії. Він не вимагає, як в інших розглянутих методах, що ніяких привертають увагу користувача дій і заснований на використанні відповідних спеціальних програм і карт, що включаються в ЕОМ. Системи такого роду заміряють швидкість друкування і зусилля при ударі по клавіші. У разі виявлення зміни клавіатурного почерку користувача йому автоматично забороняється робота на ЕОМ. Очевидною сферою застосування цього методу аутентифікації є захист обчислювальних систем і систем зв'язку.

Застосування біометричної аутентифікації

Переходячи до огляду застосувань систем біометричної аутентифікації відмітимо, що застосування можна розділити на два типи: "відкриті" системи (з користувачами, переважно незнайомими з правилами поведінки, або з "недисциплінованими" користувачами) і "закриті" системи (з користувачами, від яких потрібно строге виконання певних правил поведінки). Між цими двома граничними типами існує більш менш безперервний розподіл інших застосувань.

До відкритих систем відносяться застосування в банківських і фінансових установах. Рівень контролю поведінки користувачів тут визначається обмеженнями пристроїв захисту, які вбудовані в термінали, наприклад, пристроями для відтворення підпису або механічними обмежувачами положення руки при аутентифікації по геометрії руки або положення пальців при дактилоскопічній аутентифікації.

Закриті системи характеризуються керованим доступом співробітників і інших користувачів до ресурсів (наприклад, до операційної системи ЕОМ) або винятковим доступом спеціально відібраного персоналу (наприклад, до систем управління зброєю).

Загалом, для діставання доступу до такої системи претендент повинен певним чином обгрунтувати необхідність доступу і виявити правильне відношення до системи безпеки. Закриті системи повинні мати захист вищого рівня від проникнення зловмисників і допускати відмову в обслуговуванні дуже невеликої частини запитів законних користувачів.

Пропускна спроможність системи управління доступом може бути підвищена шляхом комбінування двох або більше за пристрої безпеки (за умови їх незалежності). Прикладом може служити спільне застосування пластикових карток і персональних ідентифікаторів PIN. Ясно, що можливе спільне застосування засобів біометричної аутентифікації з іншими засобами аутентифікації, наприклад "картка-підпис", "жетон-голос".

Біометричні пристрої аутентифікації можуть бути включені в систему безпеки, як і будь-які інші периферійні пристрої, за умови, що лінія, що сполучає такий пристрій з центральною частиною системи, захищена від зловмисних дій. Основні проблеми пов'язані з контролем, зберіганням і транспортуванням "образів" користувачів. Навіть якщо запис образу складає всього декілька десятків байт, зберігання її в центральній базі даних з великим числом користувачів викликає додаткові проблеми забезпечення безпеки, швидкості доступу і затримки передачі по завантажених лініях оперативних служб. Тому простим рішенням цих проблем може бути перехід до записів образів, що носяться самими користувачами.

Для цієї мети використовуються персональні магнітні картки, пізніше стали застосовуватися електронні картки. Таке рішення довело свою надійність при численних випробуваннях в різних практичних умовах. При цьому знижувався рівень негативної аутентифікації законних користувачів. Інтелектуальні електронні картки з пам'яттю і програмними можливостями дозволяють включати в них цифровий образ їх утримувачів і виконувати частину операцій аутентифікації усередині картки, що унеможливлює перехоплення образу користувача при передачі його в пристрій аутентифікації.

Багатошарова структура карток дозволяє включати в них відповідні перетворювачі для аутентифікації по голосу або підпису. Таким чином, картка може бути перетворена на повністю автономний прилад. Але залишається проблема захисту каналу зв'язку картки з головною ЕОМ.

Широке поширення біометричних систем доки стримується відсутністю стандартів на них. Виробники систем керуються своїми внутрішніми нормативами. Але дослідження і розробки систем тривають. Вони зосереджені на створенні нових версій пристроїв і систем (друге покоління), що характеризуються вищою пропускною спроможністю, зниженим рівнем відмов в аутентифікації законних користувачів, меншою вартістю і великими можливостями інтеграції.

На сьогодні можна виділити два типи таких систем біометричної аутентифікації. До першого слід віднести біометричні системи, що аналізують статичний образ користувача: особу, райдужну оболонку ока, папілярний відбиток пальців і долоні.

До другого класу відносяться біометричні системи аутентифікації, що аналізують динамічні образи, що створюються користувачем при виконанні ним заздалегідь заданих дій. На ринку сьогодні є присутніми три такі системи, побудовані на основі аналізу динаміки відтворення підпису або іншого ключового слова, особливості голосу і клавіатурного почерку.

Існують і проблеми оцінки якості біометричних систем аутентифікації, побудованих на аналізі динамічних образів. Як правило, вітчизняні і зарубіжні виробники подібних систем обмежуються приведенням середньостатистичних характеристик, приводячи значення вірогідності виявлення спроб підробки голосу або підпису і вірогідності відмови справжньому користувачеві в доступі.

Дата добавления: 2014-01-07; Просмотров: 869; Нарушение авторских прав?; Мы поможем в написании вашей работы!