Бесконтактные радиочастотные карты prоximity
Бесконтактные радиочастотные карты proximity (рис. 6) срабатывают на расстоянии и не требуют четкого позиционирования, что обеспечивает их устойчивую работу и удобство использования, высокую пропускную способность. Для срабатывания карточки её достаточно просто поднести на некоторое расстояние к считывателю.
Рис. 6. Карты proximity
Считыватель генерирует электромагнитное излучение определённой частоты и, при внесении карты в зону действия считывателя, это излучение через встроенную в карте антенну записывает чип карты. Получив необходимую для работы энергию, карта пересылает на считыватель свой идентификационный номер с помощью электромагнитного импульса определённой формы и частоты. При этом карточка может находиться в кармане или в бумажнике.
Иногда этот тип карточек обозначают термином «Hands Free» – «Свободные руки». Нередко идентификаторы proximity изготавливают в виде брелков.
Время считывания информации с карточки – не более 0,1 сек. Считыватель может быть вмонтирован в стену или закреплён с обратной стороны двери, что повышает степень его защиты от вандализма.
По типу питания карточки подразделяются на пассивные, в которых используется энергия излучения считывателя, и активные, питание которых осуществляется от миниатюрной батарейки. Каждая карточка имеет свой индивидуальный идентификационный код.
Расстояние считывания пассивных карточек составляет от 10 до 70 см в зависимости от типа считывателя. Активные карточки обеспечивают дальность считывания 1-2 м, однако наличие незаменяемой батарейки приводит к их удорожанию и уменьшению срока службы. Поэтому чаще всего на практике используются пассивные карточки. Срок их службы практически неограничен.
Для повышения уровня секретности вместе со считывателем может быть установлена pin-кодовая панель (клавиатура) для набора персонального идентификационного кода (PIN-кода), известного только законному владельцу карты доступа (набор PIN-кода соответствует прохождению этапа аутентификации). Применение PIN-кода в качестве основного идентификатора в системах контроля доступа не рекомендуется, так как этот метод характеризуется чрезвычайно низкой секретностью.
Карточки доступа могут быть оформлены в виде пропусков. Возможно нанесение на карточку фотографии, названия организации и необходимой информации о владельце.
Одна и та же карточка может открывать одну дверь или служить «ключом» для нескольких дверей. Для временных сотрудников и посетителей оформляются временные или разовые «пропуска» – карточки с ограниченным сроком действия.
Среди производителей бесконтактных радиочастотных карт proximity можно выделить фирмы HID, KANTECH, Cold Tech, Motorola, Rosslare, ACT.
Пластиковые карты
Пластиковая карта представляет собой пластину размерами 85,6х53,9х0,76 мм, изготовленную из специальной, устойчивой к механическим и термическим воздействиям пластмассы (рис. 7).
Рис. 7. Пластиковые карты Ase фирмы Athena
Одна из основных функций пластиковой карты – обеспечение идентификации, а для некоторых типов карт и аутентификации её владельца. Выделяют пассивные и активные пластиковые карты. Пассивные карты выполняют только функцию хранения информации без возможности её обработки. Активные карты кроме хранения выполняют функцию обработки информации.
Среди пассивных карт различают карты со штрих кодом и карты с магнитной полосой. Среди активных карт выделяют карты-счётчики, карты с памятью и карты с микропроцессором (интеллектуальные карты).
Пассивные карты используются только для решения задач идентификации владельца.
В картах со штрих кодом в качестве идентифицирующего элемента используется штрих-код. Широкое распространения данные карты получили при идентификации товаров в магазинах.
«Карты с магнитной полосой используют магнитную полосу для хранения информации. Магнитная полоса располагается на обратной стороне карты и состоит из трёх дорожек. Первые две из них предназначены для хранения идентифицирующей информации, на третьей дорожке можно записывать информацию. Для стандартных считывающих устройств магнитная полоса изготавливается шириной 12,7 мм (0,5 дюйма) и располагается на расстоянии 4 мм от края карточки. Из-за невысокой надёжности многократной записи такие карты для записи не практикуются и используются только для считывания информации.
Активные карты кроме хранения информации могут выполнять её обработку. Как правило, большинство подобных карт кроме задачи идентификации могут выполнять аутентификацию владельца карты путём введения секретного PIN-кода.
Карты-счётчики применяются в платежных операциях в тех случаях, когда та или иная из них требует уменьшения остатка на счёте держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложениях с предоплатой (использование телефона-автомата, оплата автостоянки, метро и т.д.). Применение этих карт весьма ограничено и не имеет большой перспективы.
Карты с памятью представляют собой переходный вариант от карт-счётчиков к картам с микропроцессором. Это перезаписываемая карта, в которой приняты меры, повышающие её защищенность от атак злоумышленников. Объём памяти – от 32 байт до 16 Кб. Эта память может быть реализована в виде ППЗУ, которое допускает однократную запись и многократное считывание, или в виде энергонезависимой памяти, допускающей многократную запись и многократное считывание.
Карты с памятью делятся на два типа – с незащищённой (полнодоступной) памятью и защищённой. В картах первого типа нет никаких ограничений на чтение и запись данных. Карты второго типа содержат область идентификационных данных и одну или несколько прикладных областей. Область идентификационных данных допускает лишь однократную запись и многократное считывание. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода. Уровень защиты у карт с защищённой памятью выше, чем у карт с магнитной полосой. Они могут быть использованы в системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики (таксофоны, проезд в транспорте, здравоохранение и т.д.). Данные карты могут применяться также в системах разграничения доступа в помещения и в компьютерных системах.
Карты с микропроцессором (называемые также интеллектуальными картами или смарт-картами) представляют собой по сути дела компьютеры в миниатюре, содержащие в себе следующие компоненты:
Микропроцессор (CPU), предназначенный для обработки и защиты информации, хранящейся на карточке.
Постоянная память ROM, в которой записано программное обеспечение карты, её операционная система.
Оперативная память RAM, служащая для хранения временных данных при расчётах (например, при выполнении криптографических операций).
Энергонезависимая память (EEPROM), в которой размещаются данные по используемым ключам, электронным кошелькам и другие сведения, изменяемые довольно редко.
Система ввода-вывода.
Архитектура карт с микропроцессором представлена на рис. 8.
Рис. 8. Архитектура карт с микропроцессором
USB-ключи eToken
USB ключи eToken являются полнофункциональными аналогами смарт-карт, однако не требуют специального дорогого устройства чтения и подсоединяются к разъему USB, что достаточно удобно. Использование данных ключей предпочтительно в компьютерных системах.
Строгая аутентификация пользователей – важная часть системы информационной безопасности, отвечающая за защиту информации, в том числе персональной. Требования по обеспечению строгой аутентификации включены во многие современные отраслевые стандарты.
Пароли являются простейшим инструментом аутентификации пользователей, но могут быть легко украдены, потеряны, переданы другому лицу или просто найдены методом перебора. Необходимость управления множеством паролей и обеспечения их эффективности вынуждает организации применять строгие парольные политики. Это приводит к усложнению паролей, что, в свою очередь, затрудняет их запоминание. Выход пользователи часто находят в записывании паролей, что в результате подрывает безопасность, ради которой и усложнялись пароли.
eToken компании Aladdin обеспечивает строгую аутентификацию и управление паролями, а также позволяет:
повысить защищенность и обеспечить безопасный доступ к информации;
эффективно управлять паролями, оптимально расходуя ресурсы;
всегда иметь при себе персональные цифровые данные (сертификаты, ключи ЭЦП и шифрования, коды доступа).
eToken представляет собой смарт-карту и считыватель в едином корпусе, выполненном в виде USB-ключа, который можно всегда носить с собой. Это позволяет пользователям, администраторам информационных технологий и безопасности более эффективно управлять процессом аутентификации, безопасно сохраняя в памяти eToken пароли, секретные ключи, цифровые сертификаты и профили пользователей. В современном деловом мире надо иметь возможность быстро и безопасно в любое время и в любом месте обращаться ко всем конфиденциальным бизнес-ресурсам предприятия. Более того, компании вынуждены повышать производительность, сокращая расходы. eToken предоставляет широкий спектр решений, позволяющих привести инфраструктуру предприятия в соответствие высоким стандартам и сократить расходы на внедрение и управление.
Безопасный доступ к сети
1. Вход в сеть: eToken позволяет осуществлять строгую аутентификацию пользователей при обращении к защищенным сетевым ресурсам. При этом могут использоваться как технология регистрации с использованием смарт-карт и инфраструктуры открытых ключей (PKI), так и стандартная аутентификация Microsoft (GINA API) со сложными паролями пользователей .
2. Безопасность виртуальных частных сетей (VPN) и безопасный удаленный доступ: eToken позволяет обеспечить строгую аутентификацию пользователей при удаленном доступе к корпоративной сети. eToken легко встраивается в ведущие системы VPN и поддерживает различные методы аутентификации при доступе к виртуальным частным сетям, включая одноразовые пароли и цифровые сертификаты.
3. Web-доступ: eToken позволяет обеспечить строгую аутентификацию пользователей при доступе к защищенным веб-ресурсам и подпись конфиденциальных цифровых транзакций. eToken поддерживает несколько методов веб-аутентификации, включая одноразовые пароли и цифровые сертификаты.
Безопасность данных
1. Защита начальной загрузки компьютера, шифрование данных: eToken интегрирован со многими системами защиты данных, обеспечивающих как аутентификацию пользователя до загрузки компьютера и полное шифрование дисков (например, Secret Disk NG), так и отдельное шифрование выбранных папок и файлов.
2. Безопасная электронная почта: eToken позволяет шифровать и подписывать сообщения электронной почты, используя стандартные функции безопасности основных почтовых клиентов.
3. Цифровая подпись (предотвращение отказа от авторства): с помощью eToken сообщения и документы можно снабжать электронной подписью, используя технологию инфраструктуры открытых ключей, обеспечивающую достоверность электронных сообщений.
4. Управление паролями: благодаря eToken пользователям больше не нужно запоминать пароли для различных учетных записей. Все, что им нужно - это иметь устройство eToken и знать единственный PIN-код. eToken управляет реквизитами пользователя и автоматически подставляет их в различные окна-формы приложений.
Строгая аутентификация
Приложения eToken для строгой аутентификации пользователей позволяют надежно и эффективно защитить доступ к информационным ресурсам предприятия.
eToken обеспечивает строгую аутентификацию пользователей, требуя как наличия USB-ключа или смарт-карты eToken (фактор владения), так и ввода PIN-кода (фактор знания).
Инфраструктура открытых ключей (Public Key Infrastructure, PKI)
Возможности eToken, относящиеся к PKI, позволяют надежно подтверждать свою подлинность, шифровать и подписывать информацию. Используя возможности eToken, относящиеся к PKI, можно получать безопасный доступ к своей корпоративной сети, защищать свои персональные файлы, осуществлять электронные сделки, подписывать свои электронные письма и много другое – при полной мобильности и под надежной защитой. eToken позволяет с легкостью внедрить строгую аутентификацию пользователей и криптографические решения на основе PKI, приспособив их к конкретным условиям и требованиям. При этом закрытые ключи PKI безопасно генерируются и сохраняются вместе с цифровыми сертификатами в памяти eToken.
Централизованное управление
В число возможностей eToken, связанных с PKI, входит централизованное управление в масштабах предприятия. Token Management System (TMS) – система, с помощью которой осуществляется полное развертывание и управление жизненным циклом токенов пользователей и связанных с ними решений безопасности, основанных как на PKI, так и не на PKI -приложениях, использующих традиционную аутентификацию с использованием имя/пароль.
Аутентификация с использованием одноразового пароля (One-Time Password, OTP)
Аутентификация на основе eToken и одноразовых паролей (One-Time Password, OTP) позволяет осуществлять безопасный вход в сеть с использованием одноразовых паролей без специального клиентского программного обеспечения, что делает возможным безопасный вход в сеть откуда угодно: не требуется ни клиентское программное обеспечение, ни подключение к порту USB.
Возможности eToken и OTP реализованы в устройстве eToken NG-OTP - новом поколении комбинированных USB-ключей компании Aladdin, полностью поддерживающем строгую аутентификацию и управление паролями в подключенном к порту USB состоянии и строгую аутентификацию на основе OTP без подключения к USB-порту.
Архитектура eToken OTP предполагает наличие сервера аутентификации RADIUS, что делает возможным интеграцию с любыми VPN-шлюзами и приложениями, поддерживающими протокол аутентификации RADIUS, включая VPN-решения от ведущих производителей, доступ к Web-сайтам и др. Сервер RADIUS использует для получения информации о пользователе инфраструктуру Active Directory (с использованием Aladdin TMS).
В число возможностей аутентификации с использованием eToken и OTP входит централизованное управление в масштабах предприятия. Aladdin Token Management System (TMS) – система, с помощью которой осуществляется полное развертывание и управление жизненным циклом токенов пользователей и связанных с ними решений аутентификации на основе OTP.
Управление паролями
eToken предоставляет полный набор простых в использовании приложений по управлению паролями. Приложения eToken по управлению паролями основаны на технологии Reduced Sign-On (RSO), позволяющей безопасно сохранять и управлять персональными данными в одном устройстве eToken.
Больше не нужно запоминать многочисленные пароли и учетные записи для всех ваших приложений – нужно помнить только один PIN-код.
Simple Sign-On (SSO)
eToken SSO надежно защищает и значительно упрощает процессы регистрации в приложениях Windows, безопасно сохраняя персональные данные для работы с приложениями (регистрационные имена, пароли, настройки и пр.) в памяти eToken и автоматически подставляя их в экранные формы в процессе работы с приложением. Для доступа к персональным данным нужно только подключить eToken к компьютеру и ввести PIN-код.
eToken SSO надежно сохраняет персональные данные пользователя и предоставляет услуги защищенного хранилища данных, позволяющего автоматически использовать их в нужные моменты.
Работа с eToken SSO является прозрачной для пользователя и не требует установки дополнительного ПО и выполнения каких-либо настроек на стороне сервера. Для того чтобы входить в виртуальные частные сети, работать с электронной почтой или любыми Windows-приложениями, защищенным паролями, пользователям нужно только подключить eToken и ввести его PIN-код.
В число возможностей eToken SSO входит централизованное управление в масштабах предприятия. Помимо обеспечения безопасного и удобного доступа, eToken SSO предоставляет наглядные и простые в использовании инструменты управления, с помощью которых с легкостью можно управлять eToken SSO у пользователей и обеспечить поддержку eToken для безопасного доступа к собственным приложениям.
eToken SSO полностью совместим с Token Management System (TMS). TMS предоставляет администратору полный набор услуг по управлению токенами, включая ввод в эксплуатацию и отзыв eToken, смену PIN-кодов в режиме самообслуживания, резервное копирование персональных данных пользователей и их восстановление в случае потери или повреждения токенов.
Web Sign-On (WSO)
eToken WSO предоставляет возможность простого, удобного и безопасного хранения персональных данных, используемых при Web-доступе, и управления ими. Данные, вводимые в Web-формы, можно безопасно сохранять в памяти eToken. Доступ к ним будете иметь только один человек. Больше не нужно запоминать пароли и другие параметры всех своих учетных записей на вебсайтах. Требуется только подключить свой eToken к компьютеру и ввести PIN-код.WSO встраивается в браузер (Internet Explorer), добавляя в него наглядную панель инструментов для удобного сохранения в памяти eToken персональных данных, вводимых в Web-формы, и управления этими данными (сортировка, группировка, резервное копирование).
В памяти eToken сохраняются не только пароли, но и прочие данные, в частности, номера счетов, параметры кредитных карт, номера телефонов, URL, даты окончания сроков действия, и т. п.
Windows Logon (Microsoft GINA API)
Приложение eToken Windows Logon представляет собой удобное и надежное решение, с использованием токенов для строгой аутентификации пользователей при входе в сеть.
В памяти eToken можно сохранять имя пользователя, пароль и название домена, используемые при доступе в сеть через механизм Microsoft Network Logon. Для входа в сеть нужно лишь подключить eToken и ввести его PIN-код.
В число возможностей eToken Windows Logon входит централизованное управление в масштабах предприятия. eToken Windows Logon полностью совместим с Token Management System (TMS), что делает возможным распространение и управление жизненным циклом токенов всех ваших пользователей и связанных с ними решений eTokenWindows Logon.
Сертифицированная версия
Сертифицированную версию eToken Windows Logon следует применять для аутентификации пользователей в автоматизированных системах, обрабатывающих конфиденциальную информацию, а также использовать при создании автоматизированных систем до класса защищенности 1Г включительно (сертификат ФСТЭК РФ №925/3 от 14.02.2007 г.).
Централизованное управление – Token Management System (TMS)
Aladdin Token Management System (TMS) — это мощная система управления, предназначенная для распространения, поддержки и обслуживания в масштабах организации всех устройств eToken, включая USB-ключи, смарт-карты, генераторы одноразовых паролей и ID-бэджи. TMS поддерживает большое количество приложений безопасности, в частности, обеспечивающих вход в сеть, подключение к виртуальным частным сетям, доступ к web-сайтам, аутентификацию с использованием OTP, защиту электронной почты, шифрование данных и т.д.
Одной из главных задач управления безопасностью в масштабах предприятия является связь пользователей, их устройств безопасности и правил, действующих в организации, с определенными приложениями безопасности. Aladdin TMS представляет собой уникальное решение, объединяющее все вышеперечисленные компоненты в единой автоматизированной и полностью настраиваемой системе.
TMS содержит мощные инструменты, позволяющие экономично и удобно осуществлять управление жизненным циклом токенов. В число функций, реализованных в TMS, входят выпуск и отзыв токенов, регистрация токенов и восстановление пользователями забытых PIN-кодов через Web-интерфейс в режиме самообслуживания, автоматическое резервное копирование и восстановление персональных данных пользователя, принятие мер при потере и повреждении токенов и многое другое.
Архитектура TMS является открытой и базируется на настраиваемых коннекторах, обеспечивающих поддержку большого количества приложений безопасности. Тесно интегрируясь с Active Directory (или работая в изолированном режиме, например, в режиме теневого домена), TMS позволяет легко управлять токенами в масштабах организации. Управление токенами встроено в пользовательские политики, действующие в организации.
Для TMS доступен комплект разработчика (TMS SDK), позволяющий интегрировать приложения безопасности третьих сторон и управлять ими.
Интеграция eToken c приложениями сторонних разработчиков
Комплект разработчика eToken Software Developer's Kit (SDK)
Если организация занимается разработкой приложений ИБ или любых приложений, в которых целесообразны строгая аутентификация пользователей и применение цифровых подписей (например, оказание банковских услуг через Интернет), можно воспользоваться комплектом разработчика, который содержит все необходимое для встраивания функций безопасности eToken в приложения.
SDK включает набор интерфейсов прикладного программирования, отвечающих отраслевым стандартам, сопроводительную документацию и примеры программ. В eToken SDK используются стандартные интерфейсы безопасности Windows, Linux, Microsoft CAPI и PKCS#11, а также специальные 16-битовые библиотеки предназначены для встраивания в решения безопасности, защищающие начальную загрузку и требующие аутентификации перед загрузкой операционной системы.
eToken SDK поддерживает все модели и форм-факторы eToken, поэтому при разработке решений на базе eToken нет ограничений, связанных с особенностями различных моделей eToken. Кроме того, весь комплекс приложений безопасности eToken интегрируется с любым решением сторонних разработчиков, созданным с помощью eToken SDK. Поэтому в дальнейшем можно расширять спектр предлагаемых решений.
Разработчики, поддерживающие eToken в своих продуктах
eToken совместим со множеством приложений ИБ от мировых лидеров в области безопасности. Вместе со своими технологическими партнерами Aladdin предлагает широчайший набор приложений безопасности (более 200), способный решить все задачи, стоящие перед организацией.
