Новое лицо идентификационных устройств

Благодаря снижению цен, масштабируемости и совместимости идентификационные устройства становятся все более привлекательными.

Это, конечно, прекрасно с точки зрения защиты, но не так уж замечательно с точки зрения администрирования. Изобилие подобных устройств означает, что администратору сети придется «дирижировать» еще большим числом компонентов.

Положительной стороной данного процесса является то, что эти устройства становятся все более доступными по цене, удобными в инсталляции и реализации и простыми в обращении. В этой статье мы рассмотрим основные типы идентификационных устройств, принципы их работы, преимущества, недостатки и перспективы использования в ближайшем будущем.

ОСНОВЫ ИДЕНТИФИКАЦИИ

Идентификационные устройства имеют множество разновидностей. Некоторые из них, в частности биометрические, еще совсем недавно рассматривались исключительно как выставочные образцы. Однако с ростом потребности в предоставляемой ими функциональности доверие к подобным устройствам начинает возрастать.

К числу идентификационных устройств относятся смарт-карты, аппаратные ключи, или жетоны (token), и биометрические устройства. Несмотря на все различия, между этими подходами много общего. Одна из таких общих черт — высокая стоимость. В прошлом реализация защиты на базе идентификационных устройств в масштабах всей компании часто оказывалась чрезмерно дорогой. Однако по мере того, как все большее число организаций стало внедрять подобные решения, ценовой барьер снизился.

Среди других общих проблем можно назвать трудности управления, слабую интеграцию с имеющимися системами и ограниченную масштабируемость. Что, казалось бы, сложного в том, чтобы выпустить партию смарт-карт для пользователей? Однако после того, как карты выпущены, ими необходимо эффективно управлять.

Кроме того, иногда очень трудно найти такую систему на базе идентификационных устройств, чтобы она без проблем интегрировалась с системами, имеющимися в сети. Прежде чем браться за реализацию решения, мы советовали бы произвести анализ того, что у вас в сети уже имеется, и оценить, как решение на базе идентификационных устройств впишется в существующую инфраструктуру.

Масштабируемость, общая проблема для многих распределенных сетей, остается недостижимой для целого ряда имеющихся решений на базе идентификационных устройств. Некоторые из схем отлично работают при ограниченном числе устройств, но перестают справляться со своими задачами с увеличением числа пользователей. Это обстоятельство особенно важно для крупных компаний, где решение должно быть расширяемо для удовлетворения текущих и будущих потребностей.

Наконец, отдельное внимание следует обратить на особенности решения. В зависимости от типа выбранной схемы с применением идентификационных устройств вам может потребоваться поддержка RADIUS, DES, Triple DES, IPSec и PKI, помимо прочих. Конечно, то, какие возможности необходимы, будет зависеть от конкретных потребностей вашей сети, но при принятии решения о том, какие функции должны поддерживаться решением на базе идентификационных устройств, вам следует учитывать перспективы дальнейших разработок.

СМАРТ-КАРТЫ

Теперь мы можем приступить к рассмотрению основных типов идентификационных устройств и некоторых конкретных примеров имеющихся систем.

В Соединенных Штатах смарт-карты не пользуются такой популярностью, как в Европе и Азии, где эта технология получила широкое распространение. Основными областями применения смарт-карт являются идентификация владельцев мобильных телефонов, банковские операции, электронные кошельки и розничные транзакции. Однако, как ожидается, этот перечень должен пополниться защитой сети и электронной коммерцией. Признаками этой нарождающейся тенденции может служить поддержка смарт-карт в Windows 2000, а также системное программное обеспечение для смарт-карт компании Sun Microsystems, предназначенное для поддержки электронной коммерции. Кроме того, использование смарт-карт предусматривают многие решения на базе PKI.

Среди множества компаний, выпускающих смарт-карты, выделяется RSA Security, чья SecurID 3100 Smart Card поддерживает конфигурации с одним и двумя сертификатами и хранит мандаты пользователя для своей Keon PKI Line. Карта может хранить два цифровых сертификата X.509v3 и регистрационную информацию о паролях пользователя.

Несмотря на все преимущества смарт-карт, их эффективность резко снижается без необходимого программного обеспечения. SecurID 3100 Smart Card работает с программным обеспечением управления ACE/Server компании RSA. ПО служит для проверки и идентификации запросов и администрирования правил.

Пакет ActivCard Gold компании ActivCard включает смарт-карты, клиентское программное обеспечение и, по желанию, считыватель смарт-карт. С помощью этого идентификационного пакета для настольных систем пользователи могут локально зарегистрироваться в домене Windows NT, получить удаленный доступ, войти на корпоративный сервер Web, а также поставить электронную подпись и зашифровать свою электронную почту.

В зависимости от вида сервиса доступ к нему может контролироваться с помощью фиксированных паролей, динамических паролей или цифровых сертификатов. Как было недавно объявлено, ActivCard Gold совместима с технологией PKI компании Baltimore Technologies.

GemSAFE Enterprise компании GemPlus представляет собой комплект смарт-карт для реализаций PKI. Клиенты получают такие возможности, как цифровая подпись на базе смарт-карт, а также шифрование электронной почты и файлов и поддержка хранения сертификатов X.509v3. Административные функции включают удаленную диагностику, управление картами (например, выпуск и аннулирование) и пользователями, генерацию и восстановление ключей, а также составление отчетов. Система предусматривает одноэтапный процесс персонализации карт.

Смарт-карта Model 330 PKI компании DataKey поддерживает 2084-разрядные ключи RSA и имеет память емкостью 32 Кбайт. Она может использоваться для идентификации в Internet, Extranet и VPN. В карте применяется технология эллиптических кривых компании Certicom, благодаря которой длина ключей и объем вычислений оказываются меньше.

Кроме того, смарт-карты предлагают Cylink (PrivateCard), Spyrus (Rosetta Smart Card), Card Logix (M.O.S.T.), а также CyberMark и Bull Worldwide Information Systems.

ЖЕТОНЫ

Жетоны представлены множеством разновидностей, отличающихся по форме и дизайну. В зависимости от таких факторов, как требования к защите, состав пользователей и потребность в масштабировании, они могут оказаться более предпочтительным решением, чем смарт-карты. Жетоны бывают как аппаратные, так и программные.

К числу производителей жетонов принадлежит компания Secure Computing. Она выпускает устройство в формате для связки ключей SafeWord Silver 2000 и SafeWord Platinum Card. Устройство поддерживает статические и динамические пароли и различные платформы, такие, как Windows NT, Linux, Solaris и HP-UX. Через агентов SafeWord устройства могут также взаимодействовать с Citrix WinFrame и MetaFrame, Internet Information Server (IIS), NT RAS, Netscape Enterprise Server и доменами NT. Secure Computing имеет также агентов SafeWord для персональных цифровых секретарей Palm и мобильных телефонов R380 компании Ericsson.

Продукт Luna CA3 на базе PKI компании Chrysalis-ITS обеспечивает аппаратную защиту основного ключа (root-keyprotection). Генерация, хранение, резервирование, подпись и удаление ключей доверяются сертификационным сервером (Certificate Authority, CA) уполномоченному жетону. Luna Key Cloning производит резервное копирование зашифрованных цифровых ключей с одного жетона на другой, а Luna PED обеспечивает доступ через устройство ввода персонального идентификационного кода (Personal Identification Number, PIN).

RB-1 Challenge-Response Token компании CryptoCard похож по виду на калькулятор, а KF-1 Key Fob Token реализует технологию однократных паролей на базе более компактного устройства. Кроме того, CryptoCard разработала программный инструментарий PT-1 Palm Organizer Token, с помощью которого Palm Organizer может генерировать однократные пароли.

Программное обеспечение для управления жетонами CryptoAdmin обеспечивает централизованную идентификацию и децентрализованное администрирование жетонов.

Продукты Digipass компании Vasco Data Security включают жетоны на базе карт, устройства в стиле калькуляторов и устройство для идентификации с использованием радиопередачи или идентификационных карт для контроля за физическим доступом и входом в сеть.

Сервер контроля доступа Vacman Optimum обеспечивает программирование/перепрограммирование устройств, а также управление кодами PIN. Кроме того, пакет включает Vacman Programmer 1.0, несколько устройств Digipass и Administrator Digipass.

Другой продукт, где используются радиоволны, — VicinID Card компании First Access. Система включает датчики Vicinity Sensor, устанавливаемые на каждой рабочей станции, и программное обеспечение. VicinID Server идентифицирует пользователей, имеющих с собой карту, и предоставляет или запрещает им доступ к конкретной рабочей станции в зависимости от их профиля доступа. Кроме того, продукт поддерживает так называемую «непрерывную идентификацию», т. е. постоянно следит за тем, что рабочей станцией пользуются те, кто имеет на это право.

Среди других продуктов на базе жетонов можно назвать iKey 1000 компании Rainbow Technologies, WatchWord II от Racal Security and Payments и SecurID Key Fob компании RSA.

БИОМЕТРИЧЕСКИЕ УСТРОЙСТВА

Несмотря на все предшествующие проблемы с изображением, биотехническая технология достигла наконец-то стадии практического использования, и ее применение в определенных ситуациях вполне целесообразно. Цены на биометрические устройства — заоблачные в недалеком прошлом — стали более приемлемыми. Кроме того, многие изъяны часто чрезвычайно сложных биометрических технологий теперь устранены.

Значительные подвижки произошли и в области стандартизации. Например, Консорциум BioAPI работает над API, охватывающим такие технологии, как сканирование отпечатков пальцев, распознавание черт лица, сканирование радужной оболочки глаз и распознавание речи.

Одной из наиболее многообещающих биометрических технологий (с точки зрения скорейшего практического внедрения) является распознавание отпечатков пальцев. Современные сенсоры отпечатков пальцев точнее и эффективнее в обработке необходимой информации, чем их более ранние аналоги. Кроме того, цены на них значительно ниже, чем на другие биометрические устройства.

В устройствах для сканирования отпечатков пальцев используется несколько подходов, в том числе оптические, микросхемные и ультразвуковые технологии. Кроме того, эти устройства различаются по виду, как, например, внешние сканеры для рабочих станций, ноутбуков и портативных ПК. Встроенные сканеры отпечатков пальцев для этих типов систем также начинают появляться, как и сканеры отпечатков для наладонных устройств и сотовых телефонов.

Digital Persona выпускает систему доступа по отпечаткам пальцев U.are.U. Пакет U.are.U Pro Workstation Package включает сенсор отпечатков пальцев, программное обеспечение рабочей станции, комплект приложений для регистрации, разблокирования и доступа в Internet одним касанием, а также консоль администратора.

U.are.U Pro Server Software поддерживает централизованную регистрацию, идентификацию на сервере и роуминг пользователей. С помощью программного обеспечения Private Space пользователь может шифровать и дешифровать данные на лету, просто прикоснувшись к сенсору.

Fingerprint Identification Reader компании Compaq Computer включает программное обеспечение Biologon от Identicator. Система предусматривает также факультативную поддержку Deskpro PC компании Compaq. Модуль с небольшой камерой размещается на ПК. Камера снимает изображение отпечатка пальца пользователя, после чего оно конвертируется, шифруется и сохраняется в сети.

Рисунок 1. Подключаемые устройства, наподобие идентифицирующей периферии 5th Sense с кремниевыми сенсорами компании Veridicom, позволяют идентифицировать пользователей настольных и портативных систем посредством распознавания отпечатков пальцев.

Идентификационная периферия 5th Sense компании Veridicom создана на базе ее собственного FPS110 Silicon Fingerprint Sensor. Эти подключаемые устройства могут использоваться на настольных и портативных системах (см. Рисунок 1). Программное обеспечение Imaging Suite захватывает и конвертирует изображение, а Verification Suite анализирует качество изображения, преобразует его в двоичный вид и извлекает необходимые данные.

FingerLoc AF-S1 Sensor от AuthenTec поставляется с программным обеспечением с поддержкой таких функций, как автоматическая калибрация и оптимизация изображения. Сенсорная микросхема непосредственно взаимодействует с главным процессором ПК во время идентификации. На ПК выполняется программное обеспечение извлечения и сопоставления данных.

СКАНИРОВАНИЕ РАДУЖНОЙ И СЕТЧАТОЙ ОБОЛОЧЕК ГЛАЗА И РАСПОЗНАВАНИЕ ЧЕРТ ЛИЦА

Несмотря на то что оно не привлекает к себе такого внимания, как технология распознавания отпечатков пальцев, в конечном итоге и сканирование радужной и сетчатой оболочек глаз может найти практическое применение при защите сети. Сегодня, однако, оно ассоциируется главным образом с такими применениями, как контроль за физическим доступом в помещение.

Получаемое при сканировании радужной оболочки глаза изображение обычно оказывается более состоятельным, нежели оцифрованное в случае сканирования отпечатков пальцев. Процедура сканирования сетчатой оболочки глаза отличается от процесса сканирования радужной оболочки только тем, что пользователю приходится приблизить глаз к сканеру на меньшее расстояние.

Рисунок 2. PC Iris компании IriScan снимает изображение радужной оболочки глаза пользователя и сравнивает его с блоком кода, хранящимся в базе данных или на смарт-карте.

PC Iris от IriScan предназначен для защиты компьютеров, сети и электронной коммерции. Исходное изображение, так называемая запись IrisCode, представляет собой фрагмент кода размером 512 байт и может храниться в базе данных, на смарт-карте или аналогичном устройстве. Пользователь должен взять формирователь изображения радужной оболочки (он устанавливается как периферийное устройство), посмотреть в линзы с расстояния 7,5—10 см и нажать кнопку для начала процесса идентификации (см. Рисунок 2). Как утверждается, идентификация обычно занимает одну-две секунды.

Хотя она разрабатывалась в основном для целей контроля доступа, 2001 Retinal Recognition Technology компании Eyedentify хорошо иллюстрирует, как работает этот подход к идентификации. Система 2001 EyeDentification предлагается в нескольких форматах, в том числе в настольной версии. Как утверждается, система способна идентифицировать личность пользователя менее чем за две секунды с расстояния в 7,5 см.

В случае технологии распознавания черт лица камера захватывает изображение лица пользователя, которое затем анализируется и сопоставляется с хранимым изображением. Как и сканирование радужной/сетчатой оболочки глаза, распознавание черт лица обычно ассоциируется с контролем физического доступа.

Authentication Starter Kit компании BioNetrix выполняет не только распознавание лица, но и идентификацию голоса, и сканирование отпечатков пальцев. Starter Kit включает программное обеспечение BioNetrix Authentication Suite (куда входит клиент, сервер и консоль управления), два сканера отпечатков пальцев и соответствующее программное обеспечение, две цифровые камеры для ПК и программное обеспечение распознавания черт лица, а также два микрофона и программное обеспечение идентификации по голосу.

Несмотря на то что продукт поддерживает столько разных технологий, BioNetrix Authentication Suite имеет развитые функции управления правилами и высокую степень масштабируемости — весьма важные факторы, когда используется такая смесь способов идентификации.

Технология FaceIt компании Visionics, входящая в Authentication Suite компании BioNetrix, представляет собой программный механизм распознавания черт лица со сжатием изображения до 84 байт. Среди поддерживаемых функций — генерация отпечатка лица в виде уникального цифрового кода; сегментация для отделения изображения лица от фона; трекинг для отслеживания изменений в лице с течением времени.

РАСПОЗНАВАНИЕ ГОЛОСА/ПОДПИСИ

Технология распознавания голоса является, вероятно, наиболее практичным решением для большинства сетевых приложений, во всяком случае, на данный момент. Системы распознавания голоса анализируют ряд характеристик оцифрованной речи, в том числе ее тон, высоту и ритм.

Несмотря на остающиеся технические вопросы, в частности на снижение надежности распознавания при наличии посторонних шумов, это весьма экономичное решение, так как микрофоны и звуковые карты уже давно получили прописку в сети.

Технология верификации говорящего компании VeriVoice обеспечивает доступ к закрытым страницам Web с удаленного ПК; удаленный доступ посредством идентификации голоса и Remote Access Server (RAS) компании Microsoft; двухуровневую идентификацию с помощью верификации голоса и смарт-карт при доступе к локальным и удаленным приложениям. Для регистрации система просит пользователя произнести пароль — последовательность случайных цифр. Голосовой отпечаток занимает обычно от 2 до 5 Кбайт, а фраза-пароль имеет длительность около двух секунд звучания.

Технология верификации подписи оценивает идентичность подписи пользователя на основании ряда факторов, в том числе скорости, порядка нанесения штрихов, формы и направления штрихов и прикладываемого усилия.

Процесс верификации подписи состоит из нескольких этапов. Например, Signature Series компании PenOp позволяет просматривать, снимать и ставить письменные цифровые подписи на электронные документы.

Подписи PenOp делятся на два типа. В случае реальной подписи пользователь выполняет ее с помощью ручки и устройства ввода, после чего подпись анализируется программным обеспечением с целью проверки личности. Затем программное обеспечение подписывает документ. В случае удостоверяющего штампа пользователь вводит пароль (это можно сделать посредством произнесения пароля или сканирования отпечатков пальцев) для авторизации штампа. Затем этот штамп на основе заранее снятой подписи прикрепляется к документу.

Регистрация и проверка подписей осуществляется инструментарием хранения и администрирования PenOp Signature Book.

Наконец, в соответствии с тенденцией распространения технологий идентификации на мобильные устройства программное обеспечение PenOp PocketSign позволяет вводить подпись пользователя через устройства Palm Computing, когда требуется интерактивно подписать форму.

Biometric Signature Verification компании Cyber-SIGN составляет основу ее технологии верификации подписи. Предложение Cyber-SIGN включает клиентское и серверное программное обеспечение, а также графический планшет для каждого клиентского места.

Пользователь предоставляет исходную подпись, на основе которой составляется шаблон, хранимый в базе данных или на защищенном сервере Cyber-SIGN. Зашифрованные образы последующих подписей сравниваются с защищенным шаблоном на сервере. Программное обеспечение способно также выявлять и распознавать изменения в подписи с течением времени.

ЧТО ВЫБРАТЬ?

Идентификационные устройства продолжают совершенствоваться, однако с разной скоростью. В краткосрочной перспективе жетоны и смарт-карты будут опережать по популярности биометрические устройства благодаря своей невысокой цене, полезности, масштабируемости и администрируемости.

Это не означает, что биометрию можно сбросить со счетов. В какой-то момент она станет достаточно дешева и дружелюбна к пользователям, чтобы получить широкое распространение для решения определенных задач. Однако для современных сетей консервативный подход — с использованием устройств, применение которых позволяет удовлетворить потребности защиты без возложения ненужной нагрузки на администраторов и пользователей, — является, вероятно, наилучшим.

Ресурсы Internet

Рассматриваемые продукты