Аутентификация на основе биометрических данных

Биометрия – совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических(отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п.) и поведенческих характеристик (динамика подписи (ручной), стиль работы с клавиатурой).

Работа с биометрическими данными организована следующим образом:

1. Создается и поддерживается база данных характеристик потенциальных пользователей.

2. Для идентификации и аутентификации пользователя производится процесс снятия данных, с последующим поиском в базе данных

3. В случае успешного поиска личность пользователя и ее подлинность считаются установленными.

Недостатки

1. К устройству сканирования могут поднести муляж.

2. Биометрические данные человека меняются, так что база нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.

3. При компрометации базы биометрических данных придется как производить существенную модернизацию всей системы (пароли можно сменить, карту можно аннулировать).

Авторизация и управление доступом

Классификация

По управлению доступом

• Матричный доступ;

• Полномочный или мандатный доступ;

• Дискреционный доступ.

По схемам авторизации

• Централизованная схема авторизации (Kerberos);

• Децентрализованная схема авторизации.

Управление доступом

Управление доступом позволяет контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (файлами, устройствами и процессами).

Механизм реализации доступа

Механизм функционирования доступа определяется диспетчером доступа, в соответствии с тем, какие правила разграничения доступа заложены в ПБ. Рассмотрим общую схему работы диспетчера доступа, представленную на рис.:

1.Запрос на доступ субъекта S_i к объекту O_j поступает в блок управления базой полномочий, характеристик доступа и блок регистрации событий.

2.В блоке принятия решений на основании полномочий S_i и характеристик O_j принимается решение о выполнения запроса доступа или отказе в доступе. Попытка доступа к запрещенным объектам регистрируется с выдачей сигнала администратору безопасности.

Требования к диспетчеру доступа[13]:

• перехват всех обращений субъектов к объектам доступа (иначе несанкционированный доступ к объектам в обход диспетчера доступа);

• обеспечение невозможности альтернативного доступа к защищаемым объектам (использования нарушителем нештатных режимов работы систем защиты информации);

• простота анализа корректности реализуемых функций (с целью более полной проверки критичного кода программ и получения более весомых гарантий отсутствия в нем опасных ошибок).

Алгоритм функционирования диспетчера доступа должен строится исходя из того, какие правила разграничения доступом заложены в ПБ Однако каждый серийный ИТ продукт ОС или БД, обладающий встроенными функциями защиты, должен быть пригоден для использования в системах с относительно различными требованиями по разграничению доступа. В противном случае, для каждой системы пришлось бы разрабатывать специализированную систему защиты, что неприемлемо. В связи с этим возникает вопрос о выборе некоторого универсального набора правил управления доступом (моделей управления доступом), который позволял бы в широком диапазоне требований 2аппроксимировать» ПБ. Понятно, что полная точность такой аппроксимации не может быть достигнута, однако, практика показала, что для большинства систем ПБ может быть реализована совместным применением всего 2 моделей: дискреционной и мандатной..