МУЛЬТИМОДЕЛЬНЫЕ МНОГОФАКТОРНЫЕ ТЕХНОЛОГИИ КАК ОДНО ИЗ ВОЗМОЖНЫХ НАПРАВЛЕНИЙ БУДУЩЕГО АУТЕНТИФИКАЦИИ И ИДЕНТИФИКАЦИИ
Геннадий Александрович Сырецкий
Сибирская государственная геодезическая академия, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, кандидат технических наук, профессор кафедры наносистем и оптотехники, тел. 8913-896-35-87, e-mail: [email protected]
На основе существующих предпосылок впервые выдвигается необходимость создания мультимодельных многофакторных технологий для идентификации и аутентификации.
Ключевые слова: аутентификация, идентификация, мультимодельный,
многофакторный, технология.
MULTIMODEL MULTIFACTOR TECHNOLOGY AS ONE OF THE POSSIBLE DIRECTIONS THE FUTURE IDENTIFICATION AND AUTHENTICATION
Gennady A. Syretsky
Siberian State Academy of Geodesy, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Ph.D. (Engineering), Prof. of Department Nanosystems and Optotechnology, tel. 8-913-896-35-87, email: [email protected]
On the basis of existing preconditions for the first time put forward the necessity of creating a multi-model multi-factor technologies for identification and authentication.
Key words: authentication, identification, multi-model, multi-factor, technology.
Неоспорим факт того, что в условиях капиталистического рынка надежное обеспечение информационными ресурсами, в том числе и сосредоточенными в виртуальных средах, любого предприятия и сектора экономики предполагает их санкционированное использование. Это обусловлено как спецификой деятельности работников организаций, так и угрозами, создающими потенциальную или реально существующую опасность нанесение ущерба активам предприятия. Они имеют определенную своим владельцем количественную либо качественную ценность. Источником угрозы безопасности информационных ресурсов, информации может служить физическое лицо (в том числе, инсайдер), материальный объект или физическое явление. Безопасное состояние обрабатываемой информации определяют согласно российскому стандарту такие три ее свойства как конфиденциальность, доступность и целостность. Поэтому на предприятии должны быть применены такие управляемые меры безопасности, которые устранили бы на нем недопустимый риск, т.е. неприемлемый риск «при данных обстоятельствах на основании
существующих в текущий период времени ценностей в обществе» (ГОСТ Р ИСО/МЭК 18045-2008). С этой целью в состав локальных и распределенных информационных инфраструктур включают различные средства защиты электронной информации и обеспечения безопасности. В России их обеспечение регламентируется Федеральным законом, нормативными документами Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК)).
Санкционированное пользование информационными ресурсами, электронной информацией предполагает изначально регистрацию и получение пользователем (человеком, системой, процессом) идентификатора и выполнение в процессе работы процедур аутентификации (проверки и подтверждения подлинности (верификации)), являющихся неотъемлемой частью политики безопасности.
Наличие у пользователя идентификатора дает возможность входа в информационную среду, доступа к наперед заданным ресурсами и получения им предоставленного сервиса. Традиционным средством входа в автоматизированную систему служит пароль.
В зависимости от роли различают аутентификацию содержания и аутентификацию источника электронной информации (отправителя информации, неоспоримости авторства). Аутентификация содержания нужна для того, чтобы злоумышленник не мог подменить настоящее сообщение на фальшивое. Аутентификация источника позволяет установить автора электронной информации. Она направлена на обнаружение и предотвращение неправомерных действий со стороны участников информационного обмена (например, мошенничества, отказа, подлога и фальсификации). Развитие электронного бизнеса, появление электронных платежей и денег накладывает дополнительные требования к аутентификации — обеспечение неотслеживаемости действий клиентов (например, отсутствие возможности ведения досье на объекты использования электронных денег клиентом банка). Это обусловлено существующей международной и российской законодательной базой, касающейся охраны и защиты частной жизни гражданина. Основным механизмом обеспечения неоспоримости авторства и подлинности сообщения служит электронная цифровая подпись, которая в общем случае должна соответствовать требованиям международных и отечественных стандартов. Согласно Федеральному закону «Об электронной цифровой подписи» электронная цифровая подпись представляется как «реквизит электронного документа, предназначенный для зашиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе».
В первой части доклада приводятся базовые компоненты, присущие как парольной системе, так и системе аутентификации. Далее рассматриваются
недостатки традиционных и существующих технологий идентификации и аутентификацию, базирующихся на использовании паролевых систем и биометрических систем, ориентированных на работу с одним уникальным признаком человека. Современные биометрические системы ориентированы на фиксацию статических характеристик (поведения и признаков частей тела) человека. Отражено возможное среднее пространство атак на традиционные системы. Показано, что в ряде случаев снизить риск можно путем использования двухфакторной (расширенной) аутентификации.
Далее в докладе обсуждаются современные тренды в области появления новых технологий. Основой обсуждения служат технологические дорожные карты для некоторых значимых отраслей промышленности и циклы зрелости новых технологий компании Gartner.
Результаты обсуждения трендов дают основание для разработки мультимодельных многофакторных концепций и технологий, базирующихся как на новых подходах, так и на наследующих в симбиозе достоинства традиционных паролевых и биометрических систем. Они выносятся на дискуссию во время доклада. На взгляд автора, мультимодельные многофакторные технологии дадут биометрическими системам возможность контактной и бесконтактной фиксации множества уникальных статических характеристик, динамических физических признаков и психофизиологических процессов человека. Информация в них будет представлена как интеллектуальный агент, способный знать для чего организуется ее поиск и с какой целью будет использоваться информация.
В заключительной части доклада приводится и обсуждается ряд структур компонентов идентификации и аутентификации систем информационной безопасности, основанных на ряде предлагаемых автором мультимодельных многофакторных концепций и технологий.
© Г. А. Сырецкий, 2014