РАЗРАБОТКА И АНАЛИЗ МЕТОДОВ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ ХАРАКТЕРИСТИК ЧЕЛОВЕКА

Информационные системы - это комплекс программно-аппаратных средств, которые позволяют автоматизировать процессы и процедуры в повседневной деятельности предприятия. Информационная система предназначена для своевременного обеспечения надлежащих людей соответствующей информацией, другими словами для удовлетворения определенных информационных потребностей в рамках конкретной предметной области. [11]

Также как любая система, информационная система нуждается в защите. Основным методом безопасности информационной системы любой организации является контроль доступа к ее ресурсам. Для того чтобы доказать свою подлинность, субъект должен предъявить нечто, называемое фактором аутентификации. Говоря научным языком, фактор аутентификации – это определенный вид уникальной информации, выдаваемый субъектом системе при его аутентификации. Всего различают четыре фактора аутентификации:

Субъект имеет нечто (дискету, токен,...)

Субъект знает нечто (пароль, логин,...)

Субъект обладает некой биологической характеристикой (отпечаток пальца, структура ДНК,...)

Субъект находится в определённом месте (IP-адрес, данные от радио-метки,…).[14]

В настоящее время, самым распространённым способом аутентификации является парольная защита. Но слабая парольная защита не удовлетворяет современному уровню требований защиты информации.

Другой довольно известный вид аутентификации биометрический. Биометрия происходит от греч слов bios- жизнь и tron - мера. Это может быть тот же портрет, голос или особенность глаза, отпечаток пальца или ладони. В любом случае биометрическая система должна иметь высокую чувствительность, чтобы подтверждать авторизованного пользователя. Проверяемый шаблон сравнивается с эталонным или зарегистрированным шаблоном, созданным на основе нескольких параметров определенной физиологической или поведенческой характеристики пользователя, взятых при его привязке к аккаунту (регистрации в биометрической системе). И, вследствие того, что эти два параметра (контрольный и эталонный шаблон) полностью никогда не совпадают, биометрической системе приходится принимать решение о том, "достаточно" ли они совпадают. В таких случаях степень совпадения должна достигать конкретной настраиваемой пороговой величины. По этой причине, биометрию нельзя относить к методам строгой аутентификации.

Еще один вид аутентификации строится на основе токенов. В действительности, токен – это небольшой USB-карт-ридер с встроенным чипом смарт-карты. Токены, созданные на основе смарт-карт, позволяют генерировать и хранить ключи шифрования, сохраняя тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам.

Токен позволяет решать целый ряд различных задач, связанных с шифрованием пользовательских данных, аутентификацией самого пользователя и электронной цифровой подписью документов. С помощью одной и той же смарт-карты пользователь имеет возможность входить в операционную систему, участвовать в защищенном информационном обмене с удаленным офисом работать с web-сервисами (технология SSL), подписывать документы (ЭЦП), а также не беспокоиться о надежности сохранности закрытых ключей, логинов, паролей и сертификатов в памяти своего токена.

В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности ИС для организаций любого масштаба со очень высоким уровнем требований к системе информационной безопасности и защиты данных.

Направления развития на рынке современных токенов.

Термин “токен” включает и смарт-карты, и USB-ключи с чипом смарт-карты, а так же все персональные средства аутентификации пользователя, которое принято называть токеном (от английского token – метка, жетон).

Токены удачно используются в различных сферах, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта GSM (знакомая всем SIM-карта, по сути та же смарт-карта, только без лишнего пластика и со специальным ПО), проездных билетов.

Современнаые технологиине стоят на месте и токены тоже постоянно модифицируются и развиваются. [5]

У каждого метода аутентификации есть свои плюсы и минусы. Недостаток метода ввода одноразовых паролей, в том что он не будет работать в тех местах где нет сотовой сети[6], USB-ключи или смарт-карты могут быть потеряны или украдены, а биометрия не очень точна.

Но в совокупности, если объединить эти три метода: Биометрия+Токен+ Пароль. Система будет очень хорошо защищена.

Рассмотрим каждый из них.

Обзор методов

Голосовая аутентификация

Одним из преимуществ голосовой биометрии в том, что она "многоразовая". Лицо у вас единственно, глаз ровно два, пальцев, тоже ровно десять. В том случае если эти данные были выкрадены или скомпрометированы, то тут ничего уже не сделаешь. Вы не можете использоваться чужими пальцами, глазами, руками для своей идентификации. А вот кража базы "фраз" в самом худшем случае приведет только к тому, что система голосовой аутентификации может попросить вас произнести новую фразу или просто "поговорить с ней".

Весомое преимущество голосовой аутентификации это - низкая цена ридера. Сканеры отпечатков пальцев у нас установлены только на современных смартфонах. Даже сетчатка глаза или геометрии руки требуют точных и дорогостоящих дополнительных устройств. Микрофон же есть сейчас почти везде (в компьютерах, в мобильных устройствах) и достаточно неплохого качества. Поэтому роль голосовой биометрии будет только возрастать. [7]

Одноразовые пароли (OTP, One-Time Passwords) – динамическая аутентификационная информация, генерируемая различными способами для однократного использования. Использование одноразового пароля возможно лишь один раз либо в некоторых случаях в течение незначительного промежутка времени.

OTP-токен – мобильное персональное устройство, принадлежащее определенному пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя.

Одноразовый пароль (OTP) практически неуязвим перед атаками сетевого анализа пакетов, это является большим превосходством перед обычными долговременными паролями. Даже если одноразовый пароль будет перехвачен, вероятность того, что им смогут воспользоваться, весьма сомнительна, чтобы ее рассматривать всерьез. [12]

Основная идея данной работы состоит в оценке разработки USB-токена с микрофоном, считывающим голос пользователя (биометрической особенности человека). Т.е. внешне данная модель примерно будет выглядеть как обычная флэшка с встроенным микрофоном для распознавания голоса. Рис.1.

Рисунок 1.USB-токен с микрофоном

Для входа в информационную систему пользователю понадобится вставить USB-токен в USB-разъем на устройстве. Данное действие будет производить аутентификацию на основе токена (на основе криптографической защиты информации с помощью ассиметричного алгоритма).

Далее в случае если система одобрит первый уровень аутентификации, пользователь должен ввести логин и пароль, которые известны только ему, если пара введена правильно, то на номер телефона, привязанный к аккаунту пользователя, будет отправлен одноразовый пароль (или одноразовый пароль-фраза) для прохождения третьего и четвертого уровня идентификации.

Пользователь должен будет произнести одноразовый пароль-фразу в микрофон находящийся на USB-носителе. Далее будет происходить проверка правильности одноразового пароля и биометрическая аутентификация голоса пользователя. Другими слова аутентификация третьего уровня (проверка одноразового пароля) и четвертого уровня биометрическая аутентификация голоса пользователя. Таким образом можно будет избежать такой уязвимости как запись голоса. При привязке к аккаунту голоса пользователя (регистрации), фраза должна быть записана в режиме моно с частотой 16 КГц. Для идентификации можно будет использовать пакет NuGet.

Также можно будет предусмотреть датчик на Usb-токене, который при внешнем воздействии на Usb-токен будет посылать сигнал для удаления ключа с носителя. Другим словами если злоумышленник попытается изменить данные на USB-устройстве, при аутентификации он не сможет пройти даже первого уровня.

В ходе выполнения работы были исследованы методы многофакторной аутентификации с использованием биометрических характеристик человека. Методы аутентификации по отдельности имеют большое количество уязвимостей, но в данной модели мы рассмотрели совокупность методов, которые делают информационную систему практически неуязвимой.

Полученные результаты возможно станут основой для создания новых методов многофакторной аутентификации с использованием биометрических характеристик человека.

Список литературы:

1. ГОСТ Р ИСО/МЭК 9594-8-98 Основы аутентификации [Электронный ресурс] // КонсультантПлюс: ВерсияПроф / ООО «ИнфоЛада», Тольятти, 2013. (Дата обращения: 2.12.2017)
2. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Выбор защитных мер. [Электронный ресурс] // КонсультантПлюс: ВерсияПроф / ООО «ИнфоЛада», Тольятти, 2013. (Дата обращения: 2.12.2017)
3. Баймакова, И.А. Обеспечение защиты персональных данных- М.: Изд-во 1С-Паблишинг, 2010. - 216 с.
4. Гришина Н.В. Комплексная система защиты информации на предприятии. - М.: Форум, 2010. - 240 с.
5. Комаров, А. Современные методы аутентификации: токен и это все о нем! / А. Комаров // T-Comm. – 2011. - №6. – С. 24-28.
6. Защита информации в системах мобильной связи. Учебное пособие. - М.: Горячая Линия - Телеком, 2005. - 176 с.
7. Петраков А.В. Основы практической защиты информации. Учебное пособие. - М.: Солон-Пресс, 2005. - 384 с.
8. Баловсяк, Н.В. Интернет: новые возможности / Н. В. Баловсяк, О.М. Бойцев. – СПб.: Питер, 2008. – 304 с.
9. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.
10. РЕГИОНАЛЬНАЯ ИНФОРМАТИКА И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Сборник трудов. Санкт-Петербургское общество информатики, вычислительной техники, систем связи и управления. 2016 Издательство: Санкт-Петербургское Общество информатики, вычислительной техники, систем связи и управления (Дата обращения: 2.12.2017)
11. Пояснение, что такое защита информации: [Электронный ресурс]. URL: https://biznes-prost.ru/zashhita-informacii.html (Дата обращения: 2.11.2017)
12. Двухфакторная аутентификация: что это и зачем оно нужно?: [Электронный ресурс]. URL: https: //www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/ (Дата обращения: 2.12.2017)
13. Исследование и сравнительный анализ методов аутентификации // Молодой ученый. — 2016. — №19. — С. 90-93. — URL https://moluch.ru/archive/123/34077/ (Дата обращения: 14.11.2017).
14. Биометрические системы защиты в жизни современного человека [Электронный ресурс].URL: http://safeness.xyz/smart-house/35-biometricheskie-sistemy-zaschity.html(Дата обращения: 2.12.2017)