Статья опубликована в рамках: CXLV Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 18 июля 2022 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
ТОКЕНЫ, КАК СРЕДСТВА АУТЕНТИФИКАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
TOKENS AS MEANS OF AUTHENTICATION IN INFORMATION SYSTEMS
Denis Filippov
listener, Academy of the FSO of Russia, Russian Federation,
Russia, Oryol
Vladimir Lisichkin
scientific adviser, Doctor of Technical Sciences, Associate Professor, Academy of the Federal Security Service of Russia,
Russia, Oryol
АННОТАЦИЯ
В настоящей статье рассматривается применение токенов для многофакторной аутентификации с целью обеспечения защиты информации. Актуальность данной работы обусловлена тем, что в информационном обществе непрерывно остается определённый цифровой след, например, данные в банке при регистрации и получение например карты, даже в поликлинике история болезни ведётся в электронной форме. Однако не вся информация должна быть доступка широкому кругу лиц, нужна определенная конфиденциальность. Для этих целей рассмотрен функционал токенов для аутентификации, использующих различные криптографические алгоритмы, выявлены достоинства и недостатки различных видов токенов, а также было предложило внедрение защищенных носителей информации большого объема.
ABSTRACT
This article discusses the use of tokens for multi-factor authentication in order to ensure the protection of information. The relevance of this work is due to the fact that we all live in an information society and continuously leave a certain digital footprint, purchase data, for example, data in a bank when registering and receiving a card, for example, even in a polyclinic, the medical history is now kept in electronic form. However, not all information should be available to a wide range of people, we need some privacy. For these purposes, the authors examined the functionality of tokens for authentication using various cryptographic algorithms, identified the advantages and disadvantages of various types of tokens, and also proposed the introduction of large-volume protected media.
Ключевые слова: многофакторная аутентификация, токен, смарт-карта, защищенный носитель информации.
Keywords: multi-factor authentication, token, smart card, secure data carrier.
В современном обществе огромное значение приобретает защита информации, хранящейся в электронно-цифровом виде от уничтожения, искажения и несанкционированной передачи третьим лицам. В связи с этим защита информации приобретает все большее значение, эффективным способом защиты является усложненная аутентификации – процедуры проверки подлинности (например, установление подлинности лица, получающего доступ к автоматизированной системе, путем сопоставления сообщенного им идентификатора и предъявленного подтверждения), при получении доступа к различной информации [2, с. 42].
Аутентификация пользователей, согласно [3, с. 1] может производиться по следующим способам:
– кодовым словам или словосочетаниям – использование парольной защиты или пин-кода;
– биометрическим характеристикам – использование снимка сетчатки глаза, сканированного изображения ладони или папиллярного узора на пальцах;
– аппаратными средствами – с использованием рассматриваемых в статье устройств, а именно токенов и смарт-карт.
В большинстве случаев в процессе аутентификации используются не менее двух средств аутентификации, так называемая многофакторная аутентификация [4, с. 17].
Актуальными средствами для проведения процедуры аутентификации являются токены - средства аутентификации пользователя или отдельного сеанса работы в компьютерных сетях и приложениях.
Как правило, под термином токен понимают физическое устройство, используемое для аутентификации. Упрощенно можно сказать, что токен – это электронный ключ для доступа к чему-либо. Аппаратным токеном является устройство, хранящее уникальный пароль или способное генерировать пароль по хранящемуся в защищенной памяти токена набору команд.
Можно выделить следующие наиболее токены по внешнему виду:
– USB-токены подключаемые к компьютеру, среди которых отдельно выделяются токены работающие с алгоритмами работы на Java, называемые Java-токенами.
– OTP-токены (One Time Password – одноразовый пароль) – токены, генерирующие одноразовый пароль. Одноразовый пароль, сгенерированный таким токеном, может либо выводиться на экран самого токена, либо требовать подключения к компьютеру. В случае вывода пароля на экран токена не требуется подключения к компьютеру.
– Смарт-карты (англ. Smart Card) – пластиковые карты со встроенной микросхемой.
USB-токены и смарт-карты являются идентичными устройствами – устройствами, в которых есть микросхема с защищенными ячейками памяти. Внешний вид токенов представлен на рисунке 1.
Рисунок 1 Различные виды токенов
Для аутентификации аппаратный токен необходимо подключить к компьютеру через коммуникационный порт (например, в разъем USB – Universal Serial Bus — «универсальная последовательная шина») или считыватель контактных смарт-карт (карт-ридер), который в свою очередь подключается к USB разъему компьютера.
При подключении OTP-токена в USB разъем токен воспринимается компьютером, как клавиатура и пароль вводится автоматически по запросу, при нажатии на кнопку на корпусе токена.
Как правило, OTP-токен используется в связке PIN (Personal Identification Number — персональный идентификационный номер, который создается физическим лицом самостоятельно) и OTP – пароль, генерируемый при каждом входе в систему работы с защищаемой информацией.
Токены являются частью многофакторной аутентификации, включающей в себя ввод пароля либо PIN-кода (аутентификация по принципу, что знает объект, пытающийся получить доступ к защищенной информации) и использование токена (аутентификации по принципу, что есть у объекта, пытающегося получить к информации доступ).
Более сложным вариантом USB-токена являются токены работающие на Java, называемые ещё Java-токенами. Такой токен фактическим является компьютером в миниатюре, имеет операционную систему, разработанную на языке Java. Как сказано выше, часто такие устройства выполняются в формате USB-токена и получают питание при подключении к соответствующему USB-порту. Функциональность конкретного токена определятся набором загруженных апплетов, то есть несамостоятельных компонентов программного обеспечения, работающих в контексте другого приложения, предназначенных для решения одной узкой задачи и не имеющих ценности в отрыве от базового приложения, выполняющихся на виртуальной Java-машине.
Опираясь на описанные выше варинаты исполнения токенов и внутреннюю архитектуру можно сделать следующие выводы о токенах с точки зрения защиты информации:
- -токены, выполненные в виде отдельного устройства с экраном, являются наиболее простыми по своему устройству и обеспечивают генерацию разовых паролей по алгоритму. Можно отметить относительно невысокую стойкость сгенирированного таким токеном пароля. Для расшифровки и подмены пароля, сгенерированного таким токеном потребуется несколько образцов сгенерированного пароля, для постороения алгоритма шифрования. Плюсом таких устройств является компактность и низкая стоимость. При наличии долнительных способов аутентификации, таких как PIN-код, который задается пользователем, стойкость криптографической защиты становится более высокой.
- Более сложными устройствами являются OTP-токены, выполненные в виде устройства подключаемого к компьютеру. В данном случае токен проверят подлинность базы данных или сайта, на котором требуется ввести одноразовый пароль. Пароль, сгенерированный токеном, вводится при нажатии на кнопку на корпусе. Стойкость такой системы аутентификации выше, т.к. токен обязательно должен быть подключен к компьютеру. Даже если пользователь ввел пароль на поддельном сайте, одноразовый пароль с токена введен не будет. Устройства такого типа требуют подключения к компьютеру, и являются более дорогостоящими в сравнении с полностью автономными токенами.
- -токен или смарт-карта работающие с алгоритмами шифрования с помощью открытого ключа (PKI – Public Key Infrastructure системы, инфракструктура открытых ключей) [4, с. 112]. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов: закрытый ключ (private key) известен только его владельцу, удостоверяющий центр (УЦ или CA – Certificate Authority) создает электронный документ — сертификат открытого ключа, (таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата), удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом. В данной системе закрытый ключ и сертификат удостоверяющего центра хранятся на токене и используются на строго определенном ресурсе, адрес которого храниться в защищенной памяти токена. Степень защищенности в данном варианте значительно выше, т.к. формирование закрытого ключа происходит на основе алгоритма частью которого является пользователь, создающий такой ключ. Например, требуется вводить символы с клавиатуры, ключи формируется на основании анализа вводимых символов и скорости ввода пользователем. Каждый сгененированный таким образом закрытый ключ является уникальным, и сгенерировать аналогичный крайне сложно. На практике в случае повреждения или утраты токена применяется генерация нового закрытого ключа. В таком случае уникальный ключ может быть введен только если токен подключен к компьютеру и только на подлинном ресурсе. Дополнительно возможно применение биометрических смарт-карт ридеров – устройств, обеспечивающие считывание/запись информации со смарт-карт и аутентификацию владельца смарт-карты по отпечаткам пальцев [1, с. 2]. Метод биометрической идентификации может использоваться как вместо PIN-кода, так и в сочетании с ним. Стойкость ключа при спользовании таких токенов выше чем у токенов, генерирующих одноразовый пароль.
- Наиболее совершенные токены, содержащие в себе Java-апплеты (Апплет – несамостоятельный компонент программного обеспечения). В данном случае токен может самостоятельно проверять подлинность пользователя на основе анализа поведения или биометрических характеристик. Такой токен может не вводить ключ при подозрении на вирусную активность на компьютере или сервере. Плюс токенов такого типа служат возможность автоматического определения какой тип защищенной информации требуется использовать в данной системе – ключ или электронно-цифровая подпись. Устройства такого типа обеспечивают наиболее высокий уровень защиты информации. Токены такого типа являются наиболее дорогостоящими.
Значительным плюсом токенов служит то, что на одном носителе могут находиться данные для аутентификации в различных системах, то есть данные электронно-цифровые подписи (ЭЦП – уникальная комбинация знаков или паролей, которая служит аналогом собственноручной подписи на бумаге. ЭЦП позволяет сделать документы в электронном виде юридически значимыми и защитить их от подделки), предназначенные для различных систем, например, для работы с финансовыми документами и подписи сообщений, отправляемых по электронной почте. Данные для входа в каждую из систем привязаны к адресу такой системы и токен не позволит использовать хранимые ключи на поддельном ресурсе, полностью копирующем оригинальный ресурс, но созданным с целью кражи данных.
Слабым местом любых токенов, при всем совершенстве применяемых алгоритмов является возможность утери или целенаправленного хищения, либо уничтожения ключевого носителя. Наиболее актуальным становиться многофакторная, как правило, двухфакторная идентификация оператора данных. Фактически пароль разбивается на насколько частей, одна из которых может быть реализована методами биометрической аутентификации, как например описанный выше метод идентификации с помощью PIN-кода, смарт-смарт карты и сканера отпечатков пальцев, объединенных в одном устройстве – трехфакторная аутентификация.
В связи с тем, что пользователи регулярно теряют USB-флешки с ценной для себя информацией может быть предложено внедрение защищенных носителей с большим объемом памяти для широкого применения при условии достаточно низкой цены. Информация на таком носителе может быть доступна только после ввода пароля, причем доступ к различным файлам и папкам может быть разграничен разными паролями а также возможностью открытия файла или запуска программы только на доверенных компьютерах, заранее определенных. Устройства такого типа являясь токенами, могли бы существенность повысить безопасность как коммерческой информации так и персональных данных. Даже в случае утери или кражи такой носитель становиться практически бесполезным, дополнительным фактором защищенность может служить ограниченное число попыток ввода пароля доступа.
Опираясь на изложенный выше материал можно утверждать, что токены, широко применяются в многофакторной аутентификации. В свою очередь, многофакторная аутентификация является важным способом защиты информации путем предоставления доступа только доверенному пользователю. Границы применения токенов могут быть существенно расширены при создании защищенных носителей большого объема, в которых возможно разграничение прав доступа к различным папкам или файлам.
Список литературы:
- Биометрическая идентификация / Отраслевой медиаканал www.techportal.ru [Электронный ресурс]. — Режим доступа: URL: http://www.techportal.ru/glossary/biometricheskaya_identifikaciya.html (дата обращения 08.07.2022)
- Кухарев Г.А., Методы и средства идентификации личности человека – М.: Политехника, 2008 г. — 239 с.
- Лапонина О.Р. Криптографические основы безопасности - М.: ИНТУИТ.РУ, 2008 г. — 378 с.
- Хорев П. Б. Программно-аппаратная защита информации. Учебное пособие М.: ИНФРА-М, 2021. — 352 с.
дипломов
Оставить комментарий