МЕТОД АДАПТИВНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В КОМПЬЮТЕРНЫХ СЕТЯХ НА ОСНОВЕ БИОМЕТРИЧЕСКИХ ДАННЫХ
© Мороз И.Д.1
Национальный технический университет Украины
«Киевский политехнический институт», Украина, г. Киев
По результатам анализа особенностей защиты информации в компьютерных сетях была обоснована необходимость применения биометрических данных в сервисах аутентификации пользователей. Предложен метод адаптивной аутентификации пользователей в многоуровневой системе защиты данных в компьютерной сети на основе биометрических данных - отпечатков пальцев.
Ключевые слова аутентификация, зашита информации, компьютерная сеть, биометрические данные, отпечатки пальцев.
Постановка проблемы. Проблема защиты информации от субъектов без соответствующего доступа имеет многолетнюю историю. Особенно актуальной стала эта проблема теперь, во время массового применения компьютерных технологий. Большое количество ученых и исследователей работают над эффективным решением и улучшением подходов к этой проблеме. По результатам этих исследований сформировались такие направления научных исследований, как криптография и защита информации. Существенное преимущество защиты информации с помощью биометрических данных человека состоит в том, что биометрия позволяет идентифицировать именно человека, а не устройство.
Считается, что аутентификация и связанные с ней вопросы использования цифровых подписей является наиболее изучаемой и спорной частью теории и практики защиты компьютерных сетей [2]. В последнее время активизировались исследования по применению биометрических данных для решения проблемы защиты информации в компьютерных сетях[1]. Биометрические данные - уникальная характеристика человека и может применяться для эффективной идентификации или верификации за приемлемое время с использованием вычислительных возможностей компьютеров. В некоторых работах [5-8] предложено использование биометрических данных для защиты информации в ГРИД-системах. Однако приведенные результаты исследований не исчерпывают возможности применения биометрических данных для решения проблемы защиты информации в компьютерных сетях.
1 Студент кафедры Автоматики и управления в технических системах.
Цель исследования. При написании данной работы основной целью было исследовать дополнительные возможности применения биометрических данных для обеспечения функции аутентификации в средствах защиты информации компьютерных сетей.
Основные результаты исследования. В цифровых подписях и средствах аутентификации сообщений можно выделить два функциональных уровня. На нижнем уровне выполняется некоторая функция, генерирующая аутентификатор - сертификат, используемый для идентификации сообщения. Результат выполнения этой функции нижнего уровня затем используется в качестве примитива в протоколе аутентификации высшего уровня, предоставляющая приемнику сообщение возможность проверить правильность сообщения [2].
Процесс генерирования сертификата может использовать функции трех классов: шифрование сообщений, код аутентичности сообщения (Message Authentication Code - MAC), а также хеширование - используется значение, формирующееся некой открытой функцией, которое для сообщения произвольной длины имеет фиксированную длину.
Основными биометрическими данными человека считают отпечатки пальцев, строение сетчатки глаз, тембр голоса. Наиболее распространенными в системах защиты и ограничения доступа считаются отпечатки пальцев [3, 4]. При использовании таких методов обычно получают информацию обо всех десяти пальцах каждого пользователя и для задач защиты сетей используются отпечатки любого из пальцев. Использование биометрических данных в отдельных случаях эффективнее по сравнению с такими средствами, как пароли, PIN-коды, специальные смарт-карты, а также другие технические устройства [4]. При биометрической идентификации личности лежит уникальность каждого отдельно взятого узора подушечки пальцев. После получения изображения отпечатка с помощью специального сканера, оно преобразуется в некий цифровой код и подлежит обработке специальными алгоритмами, например, сравнивается с ранее введённым набором шаблонов (эталонов) при идентификации.
Серийно выпускают недорогие специальные сканеры, которые обеспечивают эффективное считывание отпечатков пальцев. Вычислительные мощности современных компьютеров обеспечивают обработку биометрических данных по сложным алгоритмам за приемлемое для средств защиты информации время. Соответственно можно применить адаптивный метод аутентификации пользователя в компьютерной сети. В сервисах аутентификации важным этапом является формирование и использование зашифрованных индивидуальных ключей. Биометрическая информация обо всех десяти пальцах рук каждого пользователя дает возможность адаптировать реализацию индивидуальных ключей к конкретным особенностям сети. Параметрическую адаптацию можно реализовать с использованием разных
ключей, разделённых во времени по заранее определенному методу, согласованному между участниками сообщений. Использование разных ключей можно реализовать по формуле:
А = (С • С )mod а, (1)
где А - номер индивидуального ключа с учетом отпечатка пальца;
Сь С2 - идентификационные числа;
а - произвольное число от 2 до 10.
Идентификационные числа Сь С2 могут быть как случайными, так и заранее определенными. Наибольшие функциональные возможности использования ключей открываются при а = 10.
При реализации адаптивного метода целесообразно использовать модель и алгоритм взаимодействия между пользователем и средствами криптографической защиты [3, 7].
Общие особенности модели и алгоритма взаимодействия между пользователем и средствами криптографической защиты следующие. Сначала необходимо создать некий криптографический примитив, который свяжет закрытые ключи пользователя сети с частицами отпечатков пальцев. Также необходимо создать определенный массив данных, который определенным образом блокирует закрытые ключи. Такой процесс формирования необходимого массива данных происходит во время регистрации нового пользователя, или когда существующий пользователь изменяет ключ.
Предложенный алгоритм создает из N входных наборов частиц биометрических данных блокирующее множество Ж, состоящее из + 1 элементов поля Е закрытого ключа шифрования М с к элементами поля Е, которое записывается в виде коэффициентов полинома/(х) степени к - 1 [7]:
Е: /(х) = т + т2х +... + ткхк~1. (2)
Для достижения криптографической стойкости алгоритма блокирования необходимо добавить к множеству Ж ряд фиксированных частиц. После такого добавления общее количество частиц равно г. Доказано, что г определяется как минимальное возможное значение расстояния Ь между частицами, которая строго больше, чем 2о, где о, - среднее предельное расстояние, зависящее от технологии получения наборов частиц (технические характеристики сканера, свойства метода обработки изображений и т.д.). То есть, чем меньше Ь, тем большее значение г, и следовательно, устойчивее криптографическая защита. Но экспериментально установлено, что с увеличением г также увеличивается вероятность ошибочного декодирования или же процент ложного брака (FRR) [7].
Целесообразно определить параметры алгоритма к, $ г. Коэффициенты полинома/(х) являются элементами конечного поля Е = ОЕ(п). Поскольку в
предлагаемом подходе было решено задачу полиномиальной интерполяции, то для схемы «нечеткое хранилище» эффективны коды коррекции ошибок Рида-Соломона (RSC). Для выполнения алгоритма декодирования кода следует использовать поле с n = gz элементов, где g - простое число. Поле для алгоритма блокировки представляет собой набор пикселей изображения отпечатка пальца. Современные сканеры имеют формат кадра не менее 256 х 256 пикселей. Эффективная область сканирования - это участок, на который приходится основная часть изображения (порядка 98 %). Этот вывод позволяет определить простое число. Ближайшее значение к этим цифрам имеет область площадью 251 х 251 пикселей, которая формирует поле F = GF(2512).
Длина полинома (значение k) определяется длиной закрытого ключа блокировки. Каждый из элементов поля GF (2512) имеет размерность 16 бит. Итак, 256-битному закрытому ключу соответствует длина в 16 полиномиальных коэффициентов, или полином 15-й степени. Для преобразования координат размещения реальных и фиктивных частиц в полях элементов целесообразно использовать 16-разрядные целые числа xi, в которых младшие 8 бит соответствуют ординатам, а старшие биты - абсциссам.
Результатом работы алгоритма является набор кортежей BP, состоящий из s пар {w,, fix,)} и r-s пар фиктивных точек {ai, /} из F, которые удовлетворяют условие fa) ^ /. Для взлома системы, использующей набор кортежей BP, злоумышленнику необходимо определить набор точек, принадлежащий многочлену fix), т.е. обнаружить, собственно, приватный ключ.
Очевидно, что чем больше значение r, тем больше будет количество подобных fix) недостоверных многочленов, следовательно, будет и выше устойчивость системы к взлому. Для зарегистрированного пользователя системы нужно и достаточно предоставить, по крайней мере т> к действительных точек, чтобы успешно интерполировать неявный полином. Для алгоритма разблокировки формируется набор W с F, в котором содержится только часть элементов множества W. Разница двух наборов частиц равна (W- W) = t.
Для разблокировки ключа шифрования из BP пользователю необходимо предоставить набор личных данных (частиц), тем самым открывая множество W = {w1', ..., wr'}. Разблокировка происходит после запроса закрытого ключа в системе. При помощи множеств W и BP определяется множество BP' ближайших (по предельному расстоянию as) частиц мощности r, где r « s для зарегистрированного пользователя, и r >> s - для незарегистрированно-
s + k
го. Наименьшее допустимое значение т = —-— [7].
Используя аналогичный метод, можно оценить эффективность алгоритма разблокировки в зависимости от количества предоставленных частиц.
Необходимо учитывать, что чем больше значение r, тем сложнее процесс разблокировки для незарегистрированного пользователя, в то же время это увеличивает сложность для зарегистрированного пользователя.
Средства аутентификации пользователей на основе биометрических данных целесообразно использовать как специальное «биометрическое» расширение сертификатов X.509.v3 [5]. Такие средства эффективны для ГРИД-систем и распределенных компьютерных сетей. В случае делегирования прав пользователям в ГРИД-среде происходит следующее: после идентификации, служба создает новую пару ключей и отправляет открытый ключ пользователю для подписания; пользователь регистрируется закрытым ключом, аналогичным ключу в центре сертификации. Полученный прокси-сертификат и заново сгенерированный временный ключ могут быть использованы для служб аутентификации авторизованного пользователя во всех узлах компьютерной системы или сети.
Заключение. Проведенный анализ особенностей защиты информации в компьютерных сетях показал с полную целесообразность применения биометрических данных в сервисах аутентификации пользователей. Был предложен метод адаптивной аутентификации пользователей в компьютерных сетях на основе отпечатков пальцев. Обоснована необходимость введения алгоритмов для применения биометрических данных в соответствующие стандарты по сертификации индивидуальных паролей пользователей в компьютерных сетях.
Список литературы:
1. Емец В. Современная криптография: основные понятия / В. Емец, А. Мельник, Р. Попович. - Львов: БАК, 2003. - 144 с.
2. Stallings W. Cryptography and Network Security, 2001 - 672 с.
3. Варецький Я. Модель взаемодо користувача iз системою криптогра-фiчного захисту / Я. Варецький, А. 1гнатович // Зб. наук. пр.: Вюник Львiвсь-кого державного ушверситету безпеки життедiяльностi МНС Украши. -2007. - № 1. - С. 143-149.
4. Русин Б. Биометрическая аутентификация и криптографическая защита: монография / НАН Украины, Физ.-мех. институт им. Г.В. Карпенко. -Львов, 2007 - 287 с.
5. Варецкий Я. Особенности применения биометрической информации в звеньях аутентификации ГРИД-среды - 2009 - C. 287-289.
6. Varectskyy J., Rusyn B., Ignatovych A.: Biometric Data Embedding in X.509 Certificates for Grid Systems // Informatyka w dobie XXI wieku. Technologie informatyczne w nauke, technice i educacji, pod red. A. Jastriebowa. -2009. - P. 145-148.
7. Varectskyy J., Rusyn B., A. Molga and Ignatovych A. A New Method of Fingerprint Key Protection of Grid Credential. // Advances in Intelligent and Soft Computing. Springer - Verlag Berlin Heidelberg. - 2010. - P. 99-104.
8. Standard ECMA-219. Authentication and Privilege Attribute Securite Ap-plic Related Key Distribution Furctions // ECMA. - 1994. - Parts 1, 2, 3. -P. 176.
КВАНТОВЫЕ КОМПЬЮТЕРЫ: НАДЕЖДЫ И РЕАЛЬНОСТЬ
© Олейникова А.В.1, Сурудин Д.С., Шафеев Д.Е.
Карагандинский государственный технический университет, Республика Казахстан, г. Караганда
В статье были рассмотрены квантовые компьютеры. В чём их отличие от повседневных компьютеров. Какую пользу они могли бы принести и какую уже приносят. Какие ключевые проблемы стоят перед инженерами для реализации полноценного квантового компьютера. И наконец, сможет ли квантовый компьютер нарушить безопасность интернета. Стоит ли криптографам начинать работу над новыми алгоритмами защиты. А так же были рассмотрены криптографические методы, которые устойчивы к квантовым компьютерам: симметричное шифрование, симметричная аутентификация, шифрование с открытым ключом и шифрование с открытым ключом подписи.
Ключевые слова квантовые компьютеры; криптография; кубиты; безопасность; криптоключи; криптоалгоритмы; криптосистемы; алгоритмы; ключи; шифрование; вычисления; криптозащита.
Введение
Для начала напомним, что квантовым компьютерам начало положили два основных открытия, за которые их авторы удостоились Нобелевской премии. В 1918 году Макс Планк открыл квант, а Альберт Эйнштейн в 1921 году фотон [1, 2]. Идея создания квантового компьютера зародилась в 1980 году, когда было доказано об истинности квантовой теории. А идеи начали воплощаться в практику только в 1998 году. Массовые, и при этом достаточно результативные работы, проводятся только в последние 15 лет. Основные принципы понятны, но с каждым шагом вперед возникает все больше проблем, разрешение которых занимает достаточно много времени, хотя этой проблемой занимается очень много лабораторий во всем мире. Требования к такому компьютеру очень большие, так как точность измерений должна быть очень высокой и нужно свести к минимуму количество внешних воздействий, каждое из которых будет искажать работу квантовой системы.
Простые компьютеры, которые мы используем ежедневно, используют «биты» для хранения информации - 1 и 0 - и строки из этих нулей и единиц, представляющих определенную цифру или букву.
1 Старший преподаватель.