2014-02-02
2243
USB-ключи eToken и ruToken
Архитектура SMART-карт
Данные карты содержат следующие основные компоненты:
1.CPU - микропроцессор, используемый для обработки и защиты информации, хранимой и обрабатываемой на смарт-карте
2.ROM - ПЗУ, хранение ОС смарт-карты (8 Кб)
3.RAM - оперативная память (256 б), используется для временного хранения информации при выполнение криптографических операций
4.EEPROM - энергонезависимая память, используется для хранения файловой системы.
5.система ввода/вывода
Файловая система – система каталогов, каждый из которых отвечает за поддержку какого – либо приложения. В этих каталогах хранятся различные типы файлов. Каждый из каталогов ответственен за определенное приложение, например, электронный кошелек, ключи VPN для создания криптозащищенных тоннелей, защищенной электронной почты, ЭЦП. Для доступа к конкретному приложению и связи с ним файла требуется применение ключа, для каждого приложения такой ключ уникален. Для каждого типа объектов файловой системы определены свои операции, которые могут быть выполнены над одним типом объектов, но не могут быть применены к объектам других типов. Например, для файла ключей не определено операций чтения, зато определена операция «использовать».
|
|
|
USB ключи eToken являются полнофункциональными аналогами смарт-карт, однако не требуют специального дорогого устройства чтения и подсоединяются к разъему USB, что достаточно удобно. Использование данных ключей предпочтительно в компьютерных системах.
eToken представляет собой смарт-карту и считыватель в едином корпусе, выполненном в виде USB-ключа, который можно всегда носить с собой. Это позволяет пользователям, администраторам информационных технологий и безопасности более эффективно управлять процессом аутентификации, безопасно сохраняя в памяти eToken пароли, секретные ключи, цифровые сертификаты и профили пользователей.
Под биометрикой понимается использование для аутентификации личности индивидуальных признаков человека. В качестве биометрических характеристик, которые могут быть использованы при аутентификации субъекта доступа, достаточно часто применяют следующие.
1. Отпечатки пальцев.
2. Геометрическая форма рук.
3. Узор радужной оболочки и сетчатки глаз.
4. Форма и размеры лица.
5. Особенности голоса.
6. Биомеханические характеристики рукописного и клавиатурного почерка.
Особенности применения биометрических систем идентификации и аутентификации личности по сравнению с другими классами систем И/АУ:
1. Необходимость обучения биометрической системы для конкретных пользователей, зачастую, достаточно длительного.
|
|
|
2. Возможность ошибочных отказов и ошибочных подтверждений при аутентификации пользователей.
3. Необходимость использования специальных технических устройств для чтения биометрических характеристик, как правило, достаточно дорогостоящих (за исключением аутентификации по клавиатурному подчерку).
Архитектура биометрических систем аутентификации пользователей может быть представлена в следующем виде (рис. 14).
Перед практическим использованием любой биометрической системы необходимо её обучение, в результате которого формируется база данных, содержащая эталонные биометрические характеристики зарегистрированных пользователей. Модуль идентификации и аутентификации в дальнейшем использует сформированные на этапе обучения эталоны для сравнения их с предъявляемыми пользователем на этапе аутентификации.
Рис. 14. Архитектура биометрической системы аутентификации пользователя
Биометрические системы практически никогда не хранят непосредственные биометрические образы пользователей (например, отпечатки пальцев) и не выполняют сравнение с ними биометрических образов, предъявляемых на этапе аутентификации. Предъявляемый пользователем биометрический образ, как правило, преобразуется модулем регистрации в вектор биометрических признаков, который и обрабатывается в дальнейшем. Данный вектор содержит признаки, наиболее полно, не избыточно и уникально характеризующие предъявляемый биометрический образ. Например, в качестве одной из составляющей вектора биометрических признаков при использовании в качестве биометрической характеристики геометрической формы рук, можно использовать длины пальцев руки человека.
Одним из важнейших вопросов при проектировании биометрических систем является вопрос совмещения вектора биометрических характеристик пользователя, проходящего аутентификацию, с эталонным вектором, хранимым в базе данных эталонов.
Отличительная черта человека считается хорошей с точки зрения биометрики, если она обеспечивает получение для каждого человека набора уникальных значений измерений (измерения хорошо кластеризуются). Если схожие результаты измерений получаются для многих людей, то биометрика уязвима в плане успешности маскировки под законного пользователя.
Достаточно часто для совмещения векторов биометрических характеристик используют некоторую метрику в векторном пространстве, например, расстояние по Хэммингу или расстояние по Евклиду.
Пусть и – два вектора в векторном пространстве V размерности n. Тогда между векторами x и y определены следующие расстояния:
Расстояние по Хэммингу (метрика городских кварталов)
Расстояние по Евклиду
Пример. Пусть эталонный вектор биометрических характеристик пользователя при аутентификации по геометрической форме рук, определяющий длины пяти его пальцев, есть (390, 418, 502, 471, 355), а вектор биометрических характеристик пользователя, проходящего аутентификацию, есть (389, 416, 501, 468, 353). Тогда расстояние по Хэммингу между данными векторами равно 9, а расстояние по Евклиду с точностью до двух знаков равно 4,36.
Принятие решения о прохождении либо не прохождении аутентификации пользователя принимается системой идентификации и аутентификации по результатам анализа расстояния между вектором биометрических характеристик, предъявленным пользователем, и эталонным вектором биометрических характеристик для данного пользователя. При этом очень важным является вопрос о выборе порогового расстояния, определяющего границу между легальным и нелегальным входом. Выбор порогового расстояния во многом определяет соотношение между ошибочными отказами и ошибочными подтверждениями для биометрической системы.
|
|
|
Пусть N – количество попыток аутентификации легальных пользователей в биометрической системе за достаточно большой промежуток времени, M – количество раз, когда легальным пользователям было отказано в прохождении аутентификации. Тогда коэффициентом ошибочных отказов (FRR – false reject rating) называют выражение, то есть отношение количества отказов в аутентификации легальным пользователям к общему количеству попыток легальной аутентификации.
Пусть K – количество попыток аутентификации нелегальных пользователей в биометрической системе за достаточно большой промежуток времени, L – количество раз, когда нелегальные пользователи получили подтверждение аутентификации. Тогда, коэффициентом ошибочных подтверждений (FAR – false accept rating) называют выражение, то есть отношение количества подтверждений аутентификации нелегальных пользователей к общему количеству попыток нелегальной аутентификации [5].
Коэффициенты FAR и FRR являются основными параметрами, по которым оценивают эффективность и надежность реализации биометрических систем. Данные коэффициенты оцениваются на основе экспериментов.
Форма распределения расстояний между вектором биометрических характеристик, предъявленным пользователем, и эталонным вектором биометрических характеристик пользователя для случаев легального и нелегального входов представлена на рис. 15.
a) б)
Рис. 15. Распределение расстояний между векторами биометрических характеристик для легальных (а) и нелегальных (б) входов
Наложив распределения, представленные на рис. 15, друг на друга и изобразив на полученном графике порог принятия решения о прохождении аутентификации пользователем, можно получить геометрическую интерпретацию коэффициентов FAR и FRR (рис. 16).
Количество отказов в аутентификации легальным пользователям (ошибочных отказов), используемое при расчёте коэффициента ошибочных отказов FRR, равно площади криволинейной трапеции, ограниченной сверху кривой (15а), а слева – порогом принятия решения (чёрная область на рис. 16).
|
|
|
Количество подтверждений аутентификации нелегальных пользователей (ошибочных подтверждений), используемое при расчёте коэффициента ошибочных подтверждений FAR, равно площади криволинейной трапеции, ограниченной сверху кривой (15б), а справа – порогом принятия решения (белая область на рис. 16).
Рис. 16. Геометрическая интерпретация ошибочных отказов и ошибочных подтверждений
Анализ рисунка 16 показывает, что различным порогам принятия решения при сравнении векторов биометрических характеристик соответствуют различные коэффициенты FAR и FRR. С другой стороны, каждому из фиксированных коэффициентов FAR соответствует свой фиксированный коэффициент FRR. Данная зависимость между коэффициентами может быть представлена в виде графика (рис. 17).
Рис. 17. Зависимость между коэффициентами FRR и FAR
Представленная на рис. 17 зависимость называется кривой рабочих характеристик приёмника (ROC -кривой). Обычно такая кривая содержит точку, называемую точкой равновеликой интенсивности ошибок (ERR – equal error rate), в которой значения FAR и FRR равны. Близость точки равновеликой интенсивности ошибок к началу координат обычно свидетельствует о том, что биометрическая система может достигать хорошего уровня безопасности, не давая чрезмерного количества ошибочных отказов в аутентификации.
