Методы аутентификации

Как известно, аутентификация подразумевает проверку подлинности субъекта, которым в принципе может быть не только человек, но и программный процесс. Вообще говоря, аутентификация индивидов возможна за счет предъявления информации, хранящейся в различной форме. Это может быть:

пароль, личный номер, криптографический ключ, сетевой адрес компьютера в сети;

смарт-карта, электронный ключ;

внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики пользователя.

Аутентификация позволяет обоснованно и достоверно разграничить права доступа к информации, находящейся в общем пользовании. Однако, с другой стороны, возникает проблема обеспечения целостности и достоверности этой информации. Пользователь должен быть уверен, что получает доступ к информации из заслуживающего доверия источника и что данная информации не модифицировалась без соответствующих санкций.

Поиск совпадения "один к одному" (по одному атрибуту) называется верификацией. Этот способ отличается высокой скоростью и предъявляет минимальные требования к вычислительной мощности компьютера. А вот поиск "один ко многим" носит название идентификации. Реализовать подобный алгоритм обычно не только сложно, но и дорого. Сегодня на рынок выходят биометрические устройства, использующие для верификации и идентификации пользователей компьютеров такие индивидуальные характеристики человека, как отпечатки пальцев, черты лица, радужную оболочку и сетчатку глаза, форму ладони, особенности голоса, речи и подписи. На стадии тестирования и опытной эксплуатации находятся системы, позволяющие выполнять аутентификацию пользователей по тепловому полю лица, рисунку кровеносных сосудов руки, запаху тела, температуре кожи и даже по форме ушей.

Любая биометрическая система позволяет распознавать некий шаблон и устанавливать аутентичность конкретных физиологических или поведенческих характеристик пользователя. Логически биометрическую систему можно разделить на два модуля: модуль регистрации и модуль идентификации. Первый отвечает за то, чтобы обучить систему идентифицировать конкретного человека. На этапе регистрации биометрические датчики сканируют необходимые физиологические или поведенческие характеристики человека и создают их цифровое представление. Специальный модуль обрабатывает это представление с тем, чтобы выделить характерные особенности и сгенерировать более компактное и выразительное представление, называемое шаблоном. Для изображения лица такими характерными особенностями могут стать размер и относительное расположение глаз, носа и рта. Шаблон для каждого пользователя хранится в базе данных биометрической системы.

Модуль идентификации отвечает за распознавание человека. На этапе идентификации биометрический датчик снимает характеристики человека, которого нужно идентифицировать, и преобразует эти характеристики в тот же цифровой формат, в котором хранится шаблон. Полученный шаблон сравнивается с хранимым, чтобы определить, соответствуют ли эти шаблоны друг другу.

Например, в ОС Microsoft Windows для аутентификации пользователя требуется два объекта - имя пользователя и пароль. При использовании в процессе аутентификации отпечатков пальцев имя пользователя вводится для регистрации, а отпечаток пальца заменяет пароль (рис. 1). Эта технология использует имя пользователя в качестве указателя для получения учетной записи пользователя и проверки соответствия "один к одному" между шаблоном считанного при регистрации отпечатка и шаблоном, ранее сохраненным для данного имени пользователя. Во втором случае введенный при регистрации шаблон отпечатка пальца необходимо сопоставить со всем набором сохраненных шаблонов.

При выборе способа аутентификации имеет смысл учитывать несколько основных факторов:

ценность информации;

стоимость программно-аппаратного обеспечения аутентификации;

производительность системы;

отношение пользователей к применяемым методам аутентификации;

специфику (предназначение) защищаемого информационного комплекса.

Очевидно, что стоимость, а следовательно, качество и надежность средств аутентификации должны быть напрямую связаны с важностью информации. Кроме того, повышение производительности комплекса, как правило, также сопровождается его удорожанием.