Читайте также:
|
|
Парольная аутентификация. При парольной аутентификации человек предъявляет системе некоторую "секретную" (которую может знать только он) информацию. Пример идентификатора - комбинация цифр и/или букв. Также идентификатор может задаваться положениями различного рода переключателей.
Комбинацию, состоящую только из цифр, обычно называют ПИН-кодом (персональный идентификационный номер).
ПИН может выбираться самим служащим или присваиваться соответствующими службами. Достоинство первого подхода - меньше вероятность, что служащий забудет ПИН. Недостаток - обычно люди выбирают в качестве ПИН цифры, связанные с датой рождения, номером телефона и т. п. - следовательно, злоумышленнику легче подобрать такие коды.
По классификации ГОСТ Р 51241-89 коды нормальной устойчивости должны состоять не менее, чем из 5 цифр, повышенной устойчивости – не менее, чем из 7 цифр, высокой устойчивости – не менее, чем из 9 цифр.
Для ввода ПИН применяются цифровые клавиатуры (кодонаборники). Кодонаборники должны быть защищены от перебора кода. При вводе неразрешенного кода ввод должен быть заблокирован на некоторое время. Время должно быть выбрано таким образом, чтобы обеспечить заданную пропускную способность при ограничении числа попыток подбора за 1 ч (100 – нормальной, 30 – повышенной, 10 – высокой устойчивости к манипулированию по ГОСТ).
Чтобы затруднить злоумышленнику подсматривание паролей, применяют несколько методов.
Основной путь – ограничение углов обзора клавиатуры. Этого можно добиться с помощью как установленных сбоку и сверху «козырьков», так и путем применения в клавиатурах специальных дисплеев (например, на жидких кристаллах, имеющих угол бокового обзора всего несколько градусов).
Для защиты от подсматривания разработаны кодонаборники с переменным расположением цифр. Каждый раз, когда очередной пользователь подходит к считывателю, расположение цифр на клавишах меняется случайным образом. Даже если злоумышленник узнает порядок нажатия клавиш, он не сможет узнать порядок цифр в пароле.
У парольной технологии аутентификации есть недостатки: служащий может сообщить свой пароль неуполномоченному лицу, забыть свой пароль. Злоумышленник может узнать ПИН угадыванием или перебором.
Достоинства парольной технологии аутентификации – низкая стоимость и удобство для пользователей.
С целью повышения уровня безопасности почти всегда пароли применяются совместно с другими средствами аутентификации.
Жетонная аутентификация. Жетонная аутентификация основана на том, что субъект предъявляет системе некоторые «уникальные» предметы (идентификаторы, жетоны). Известно много типов идентификаторов: пропуска, карты с магнитной полосой или штрих - кодом, карты, изготовленные по Wiegand- и проксимити- технологиям, электронные ключи – «таблетки» и т. д. - вплоть до обычных ключей от механического замка.
Основные проблемы, связанные с применением жетонов для идентификации – вероятность их потери или кражи. Жетоны можно забыть где-нибудь. Не исключена возможность изготовления злоумышленниками копии жетона.
Удостоверения. Для аутентификации человека часто используются удостоверения личности с фотографией или закодированные удостоверения.
Удостоверение с фотографией относительно несложно подделать. Возможно также изменить внешность субъекта таким образом, чтобы она соответствовала фотографии на удостоверении.
При использовании закодированных удостоверений охранник сравнивает хранящееся в памяти защищенной системы изображение служащего с изображением, закодированным на удостоверении. Преимущество такой системы - трудность подделки хранящегося в памяти системы изображения.
Штриховой код. Штриховой (линейный или bar) код представляет собой группу параллельных линий различной ширины, наносимых на поверхность карты. На сегодняшний день штрих-код - самая дешевая технология изготовления карточек (менее 1 долл), что является ее достоинством в случае массового применения. Карточки можно печатать на обычном офисном принтере.
Считыватель является фоточувствительным элементом, мимо которого на некотором расстоянии проносится карта.
Главный недостаток технологии - простота подделки. Незащищенный штрих-код можно скопировать на ксероксе. В более сложных модификациях штриховой код заклеивают особой пленкой, непрозрачной для человеческого глаза и прозрачной для инфракрасного света. В настоящее время такой метод маскировки кода получил широкое распространение, но стоимость таких карт со штрих-кодом заметно возросла.
Современная разновидность технологии - двумерный штрих-код. Штрих-код представляет собой покрытый черными точками светлый прямоугольник на карточке. Используя помехоустойчивое кодирование, на небольшой площади можно разместить до 2000 байт информации, что может быть более выгодным, нежели использование для этих целей более дорогих смарт-карт.
Код считывается при помощи специального лазерного или ПЗС-сканера. Для печати кода следует использовать принтеры с хорошим разрешением (термо‑трансферные или лазерные).
Карты с магнитной полосой. Цифровые магнитные коды широко применяются в коммерческих кредитных картах. Двоичный код записан на полоске магнитного материала, нанесенной на пластиковую карту. Данные считываются при перемещении карточки вдоль считывающей головки, аналогичной магнитофонной.
Согласно международному стандарту ISO на магнитной полосе может находиться от одной до трех дорожек записи, причем положение и ширина дорожек, способ и глубина записи регламентированы стандартом. Не все карточки и считыватели совместимы.
Магнитные полоски изготавливаются в трех вариантах. Самый недорогой вариант - магнитная лента с однослойным покрытием и напряженностью магнитного поля 300 эрстед (LOCO, низкая коэрцитивная сила). Информация, записанная на таком материале, легче поддается стиранию и перезаписыванию, чем данные, записанные на магнитных лентах другого типа. Срок действия не более одного года, не исключено саморазмагничивание.
Другой вариант, наиболее широко используемый в пропускных системах, магнитный слой напряженностью 4000 эрстед (НIСО, высокая коэрцитивная сила), покрытый специальной защитной пленкой. Стирание или изменение информации, записанной на таком материале, крайне затруднено.
Существует комбинированный случай - магнитная лента с двумя слоями покрытия напряженностью 300 и 4000 эрстед. Данные, записанные на магнитном слое напряженностью 4000 эрстед, изменить практически невозможно. А данные, записанные на слое напряженностью 300 эрстед, могут перезаписываться.
Достоинства технологии:
• невысокая стоимость считывателей и магнитных карт;
• есть возможность с помощью специальных устройств менять код на карте.
Недостатки:
• простота подделки - данные, записанные на магнитной полоске, могут быть прочитаны и скопированы с помощью широкодоступного оборудования. Тем не менее, эта проблема может быть частично решена путем использования особых, нестандартных методов шифровки информации и считывания кодов;
• незащищенность от электромагнитного воздействия. Всю информацию можно стереть, оставив карту близ источника электромагнитного излучения;
• незащищенность от механического воздействия. Карту можно поцарапать ключом, находящимся в одном кармане с картой;
• быстрый износ карты от частых контактов со считывающей головкой;
• ограниченный срок службы считывающей головки (в среднем порядка 150 - 200 тысяч считываний).
Проксимити-технология. Проксимити -карты (иногда называемые радиокартами) и проксимити-брелоки предназначены для дистанционного считывания кодовой информации. Расстояние между считывателем и картой зависит от мощности считывателя и типа карты и варьируется от 5 см до нескольких метров.
Проксимити-считыватель, постоянно посылающий радиосигнал, представляет собой одну из обмоток воздушного трансформатора. Другая обмотка находится в карте или брелоке. Когда карта приближается к считывателю на определенное расстояние, энергии излучения считывателя оказывается достаточно, чтобы запитать кристалл, находящийся в карте. Получив питание, кристалл модулирует электромагнитное поле кодом, «зашитым» в него при производстве. Этот код демодулируется электроникой считывателя, приводится к требуемому типу интерфейса и поступает в виде ключа на контроллер.
Проксимити-карты делятся на активные и пассивные. В отличие от пассивных карт, излучающих за счет энергии поля считывателя, активные карты имеют встроенный передатчик на батарейке. Естественно, что расстояние срабатывания активной карты больше, чем пассивной. Кроме того, активные карты можно перепрограммировать, в то время как на пассивные карты информация записывается только один раз. Недостатки активных проксимити-карт – меньший, чем у пассивных карт, срок службы, более узкий рабочий диапазон температур, более высокая цена. Вообще, стоимость проксимити-систем сильно возрастает с увеличением дальности считывания.
В зависимости от используемого передатчиком диапазона частот проксимити-системы можно условно разделить на низкочастотные (от 33 кГц до 500 кГц) и высокочастотные (от 2,5 МГц до 10 ГГц). Наиболее распространены проксимити-системы, передающие на частоте 125 кГц. Высокочастотные карты имеют недостаток – повышенная возможность дистанционного снятия кода.
Для кодирования информации чаще всего используются код Манчестер и бифазный, обладающие свойствами самосинхронизации. В код всегда включаются контрольные данные (чаще всего, контрольные суммы по модулю 2 для битов, байтов и полубайтов) на случай нечеткого считывания кода. Так называемые «плавающие» коды, широко применяемые в автомобильных сигнализациях, в управлении доступом широкого распространения не получили, т. к. заметно удорожают систему.
Проксимити-карты могут существенно различаться и по используемой технологии записи идентификационного кода. Вот некоторые технологии записи и считывания:
• использование эффекта поверхностной акустической волны. Радиочастотный сигнал индуцируется поверхностью кристалла ниобата лития, расположенного в карте, и создает акустическую волну на поверхности другого кристалла, нажодящегося в считывающем устройстве. Эта волна затем модифицируется металлическими преобразователями;
• использование интегральных схем. Устройства этого типа передают закодированную информацию двумя способами. В первом случае код записывается при изготовлении устройства и не может быть изменен; во втором случае код загружается в интегральную схему и может быть изменен по желанию пользователя.
• использование схем с электрической настройкой. В таких устройствах код записывается в виде запрессованных в пластиковую карточку электрических схем, имеющих определенную резонансную частоту. Считывающее устройство постоянно сканирует весь диапазон рабочих частот и принимает сигналы, поступающие от резонирующих электросхем, встроенных в проксимити-карты.
Проксимити-идентификаторы можно изготавливать в виде карт (стандартный размер карты 85,7*54 мм, толщина от 0,9 до 3,1 мм), брелоков, жетонов на ремешке от часов и т. д.
Защищенность от простого перебор кода определяется числом разрядов кода. Широко распространены идентификаторы с длиной кода 24, 32, 40, 64, 128 бит.
Главное достоинство проксимити-систем – бесконтактное считывание. Отсюда следуют:
- возможность контроля за перемещением не только людей. но и предметов, автотранспорта и т.д.;
- благодаря отсутствию контакта между картой и считывателем, срок службы пассивных карт неограничен (многие изготовители дают пожизненную гарантию). Активные карты через 5 лет требуют замены батарейки;
- удобство использования (не требуется ориентация в пространстве);
- высокая пропускная способность.
Основной недостаток технологии – высокая по сравнению с устройствами других типов стоимость (от 2 долл. за пассивную проксимити-карту до 15 долл. за активную, стоимость считывателей в среднем варьируется от 200 до 500 долл). Первоначальная стоимость систем на проксимити-картах высока, но, благодаря отсутствию дополнительных эксплуатационных расходов, при длительных сроках эксплуатации оказывается не выше, чем систем, использующих другие технологии считывания.
Смарт-карты. Смарт-карта представляет собой пластиковую карточку, по размерам соответствующую обычной кредитной карточке, в которую заключены микропроцессор и запоминающее устройство.
Внутренняя архитектура смарт-карты включает микропроцессор, позволяющий использовать сложные способы кодирования информации, постоянную память, в которую зашиты команды для процессора, оперативную память, используемую в качестве рабочей, и перезаписываемую память для чтения и записи информации извне.
Объем памяти наиболее распространенных типов смарт-карт варьируется от 1 до 256 Кбайт. В настоящее время появляются карты с памятью объемом до 1 Мбайта.
Основным преимуществом смарт-карт является большой объем памяти и высокая защищенность информации от попыток модификации и дублирования. Смарт-карты могут содержать значительное количество информации, причем многократно перезаписываемой.
Основные недостатки технологии: наличие электрического контакта со считывателем, очень низкая защищенность от физических воздействий, высокая стоимость.
Электронные ключи «TOUCH MEMORY». Термин «Touch Memory» можно перевести (дословно «касание памяти») как «моментальное считывание информации, записанной в памяти идентификатора».
Touch Memory представляют собой микросхему, размещенную в прочном корпусе из нержавеющей стали (16,3 мм в диаметре и высотой 3,2 или 5,8 мм).
Для идентификации необходимо прислонить таблетку к считывателю, который имеет два считывающих контакта - один для передачи данных, второй «земля». Скорость считывания составляет порядка 0.1 секунды. Микросхема может иметь постоянное запоминающее устройство (ПЗУ) и оперативное запоминающее устройство (ОЗУ) либо иметь только ПЗУ. В ПЗУ записан уникальный не перепрограммируемый код длинной 8+48+8 бит, формируемый производителем методом лазерной записи на кремниевом кристалле. Ряд моделей, кроме индивидуального кода, позволяет заносить в ОЗУ дополнительную информацию о пользователе. В табл. 5.1. приведены данные по некоторым микросхемам Touch Memory.
Таблица 5.1. Микросхемы Touch Memory
ТИП | ПАМЯТЬ | ПРИМЕЧАНИЕ | |
DS1990A | Serial Number iButton | Серийный номер в ПЗУ | |
DS1991 | MiltiKey iButton | 1344 Bits NVRAM | 3 области памяти по 384 байта |
DS1992 | Memory iButton | 1024 Bits NVRAM | 4 страницы по 256 бит |
DS1993 | Memory iButton | 4096 Bits NVRAM | 16 страниц по 256 бит |
DS1994 | Memory + Time iButton | 4096 Bits NVRAM | 16 страниц по 256 бит |
DS1995 | Memory iButton | 16384 Bits NVRAM | 64 страницы по 256 бит |
DS1996 | Memory iButton | 65536 Bits NVRAM | 128 страниц по 256 бит |
DS 1954 | Crypo iButton | Secure Coprocessor | Криптографический сопроцессор |
DS1985 | AddOnly iButton | 16384 Bits EPROM | Однократно программируемая память |
DS1986 | AddOnly iButton | 65536 Bits EPROM | Однократно программируемая память |
Наиболее распространенная в России микросхема DS1990A имеет только ПЗУ. Иногда используют ряд микросхем серий DS19xx и DS18xx, отличающихся друг от друга объемом и структурой памяти. Идентификаторы с перепрограммируемой памятью (например, DS1991/92/96 и т.д.) питаются от литиевой батареи, которой хватает на 10 лет.
Среди достоинств систем Touch Memory можно выделить: компактность; высокую стойкость к механическим повреждениям (выдерживают статическую нагрузку до 11 кг), коррозии, перепадам температур (от -40 до +70 или +85 °С); достаточно высокую скорость считывания и сравнительно небольшую стоимость системы. Различные модификации Touch Memory могут содержать встроенные часы или термометр. В настоящее время появилась новая модель DS1954 со встроенным криптографическим ключом длиной 1054 бит, что в принципе должно повысить защищенность системы.
Главный недостаток технологии - наличие контакта с гальванической связью с микроконтроллером. Отсюда низкая стойкость к вандализму и влиянию статического электричества (известны случаи выхода системы из рабочего состояния при помощи электрошока).
В системах с повышенными требованиями к безопасности Touch Memory либо не применяются вовсе, либо используются в комбинации с другими средствами (в простейшем случае дополнительно ставятся клавиатуры с ПИН-кодом).
Оптический код. Оптический код представляет собой определенную конфигурацию точек, расположенных на вкладыше, запрессованном в карточку-удостоверение или светопроницаемом материале. Фотоэлементы считывающего устройства регистрируют изменения освещенности при просвечивании оптического кода и определяют взаимное расположение точек, образующих код. Для того чтобы оптический код было трудно скопировать, расположение точек может быть замаскировано пленкой, непрозрачной для обычного света и прозрачной для инфракрасных лучей.
Кроме того, точки можно наносить с помощью особой краски, непрозрачной для инфракрасных лучей, на поверхности, прозрачной для инфракрасных лучей. Этот метод позволяет хорошо предохранять удостоверения с оптическими кодами от попыток видоизменить или скопировать их. Удостоверение с оптическим кодом можно изготовлять из полностью немагнитных и неметаллических материалов, что позволяет избежать взаимодействия карточек с чувствительными металлоискателями.
На практике используется редко.
Магнитный точечный код. В настоящее время также используются несколько систем с магнитными точечными кодами. Магнитный код представляет собой конфигурацию намагниченных участков или точек. Код определяется по расположению и полярности намагниченных участков. Считывающее устройство оснащено либо магнитными датчиками, передающими электрические сигналы, либо магнитными контактными реле, механически срабатывающими, когда намагниченный участок с соответствующей полярностью находится поблизости от контакта. Намагниченные участки могут быть стерты, если удостоверение попадет под воздействие достаточно сильного магнитного поля, но опыт показал, что эта проблема возникает крайне редко. Количество информации, которое может быть записано с помощью магнитного точечного кода, не превышает 60 бит. Так как существует возможность изготовления оборудования, копирующего или изменяющего конфигурацию намагниченных участков, вероятно изготовление поддельных удостоверений.
На практике используется редко.
Виганд-карты. Виганд-карты изготавливают, запрессовывая в пластик два ряда кусочков проволоки из Виганд-сплава (специальный сплав, имеющий практически идеально прямоугольную петлю гистерезиса с достаточно большой амплитудой). Проволочки располагаются в уникальной последовательности, определяющей код карты (более 30 бит).
Считыватель представляет собой индукционную катушку с двумя магнитами противоположной полярности. Когда карта перемещается вдоль считывателя, один магнит детектирует проволочки из одного ряда, второй из другого ряда. Один ряд дает положительные всплески индукционного тока в катушке, которые трактуются как единицы, другой отрицательные, которые трактуются как нули. В результате с карты считывается двоичный код. При считывании данных карта не контактирует со считывателем, тем не менее, карту необходимо помещать в считыватель определенным образом – поэтому Виганд-технологию называют «условно-бесконтактной».
Достоинства технологии:
• хорошая износостойкость;
• высокая надежность в силу простоты устройства;
• устойчивость карты к электромагнитному излучению и физическим воздействиям;
• высокая защищенность от подделки (состав сплава хранится в секрете);
• приемлемая стоимость считывателей и карт.
В нашей стране не имеют широкого распространения.
Дата добавления: 2015-07-08; просмотров: 159 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Назначение, структура и принципы функционирования подсистем контроля и управления доступом | | | Биометрическая аутентификация |