
- •Программно-аппаратный комплекс «соболь»
- •Содержание
- •1.1 Технология.
- •1.2 Обзор разновидностей iButton.
- •1.2.1 Регистрационный номер.
- •1.2.2 Типы устройств iButton.
- •1.3 Ключи iButton на nvram.
- •1.4 Ключи iButton на eeprom.
- •1.5 Применение iButton
- •1.5.1 Системы контроля доступа в помещения, к оборудованию и устройствам
- •1.5.2 Системы компьютерной безопасности
- •1.5.3 Температурный мониторинг
- •1.5.4 Временной мониторинг
- •1.5.5 Контроль и учет
- •1.5.6 Идентификация единиц хранения
- •2 Программно-аппаратный комплекс «соболь»
- •2.1 Общие сведения
- •2.1.4 Поддержка pci-Express
- •2.1.5 Аутентификация пользователей
- •2.1.6 Блокировка загрузки ос со съемных носителей
- •2.1.7 Контроль целостности программной среды
- •2.1.8 Контроль целостности системного реестра Windows
- •2.1.9 Сторожевой таймер
- •2.1.10 Регистрация попыток доступа к пэвм
- •2.1.11 Контроль конфигурации
- •2.2 Использование идентификатора ds-1996 в программно-аппаратном комплексе «Соболь»
- •Заключение
- •Список использованных источников
2.1.4 Поддержка pci-Express
Аппаратная часть представляет собой плату с разъемом PCI-E.
Рисунок 5. Электронный замок «Соболь»
2.1.5 Аутентификация пользователей
Идентификация и усиленная (двухфакторная) аутентификация пользователей произодится с помощью персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться:
iButton.
eToken PRO.
eToken PRO (Java).
смарт-карта eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2.
iKey 2032.
Rutoken S.
Rutoken RF S.
Механизм идентификации и аутентификации обеспечивает проверку полномочий пользователя на вход при попытке входа в систему. Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.
Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя в систему.
Для идентификации пользователей используются уникальные номера аппаратных устройств идентификации – в данном случае это персональные идентификаторы iButton. При аутентификации осуществляется проверка правильности указанного пароля с использованием аутентификатора – структуры данных, хранящейся в персональном идентификаторе пользователя (аутентифицирующая информация пользователя), которая наравне с паролем пользователя участвует в процедуре аутентификации пользователя.
После того, как пользователем был включен компьютер, комплекс запрашивает у пользователя персональный идентификатор и пароль. Затем осуществляется проверка наличия в списке пользователей комплекса пользователя, которому принадлежит предъявленный персональный идентификатор.
Если предъявленный персональный идентификатор оказывается не зарегистрированным в системе, то комплекс запрещает вход пользователя в систему. А далее в журнале регистрации событий фиксируется попытка несанкционированного доступа к компьютеру.
Если же пароль не соответствует предъявленному идентификатору, то соответственно пользователю будет отказано в доступе к системе. Затем счетчик неудачных попыток входа пользователя в систему увеличится на единицу. И, если число неудачных попыток входа пользователя в систему сравняется с максимально доступным значением, заданным администратором, вход данного пользователя в систему блокируется. Если число неудачных попыток меньше максимально допустимого значения, счетчик неудачных попыток сбрасывается при первом успешном входе пользователя в систему.
Служебная информация о регистрации пользователя такие, как имя, номер, присвоенного персонального идентификатора хранится в энергозависимой памяти комплекса «Соболь».
Комплекс «Соболь» предоставляет администратору следующие дополнительные возможности по управлению процедурой идентификации и аутентификации и процедурами смены пароля и аутентификации пользователя:
ограничение времени, отводящегося пользователю при входе в систему для предъявления персонального идентификатора и ввода пароля;
ограничение времени действия пароля и аутентификатора пользователя, по истечении которого пользователь будет вынужден сменить свой пароль и аутентификатор;
режим использования случайных паролей для процедур смены пароля пользователя и администратора и процедуры регистрации нового пользователя;
ограничение минимально допустимой длины пароля пользователя.
Но эти возможности не смогут выполняться, если комплекс совместно используется с другими системами защиты (например, системами семейства Secret Net) . в данном случае управление паролями и аутентификаторами администратора и пользователя осуществляется средствами управления той системы защиты, совместно с которой функционирует этот комплекс.