Глава 1. Аппаратная поддержка системы Secret Net
Устройства ввода идентификационных признаков
Доступ пользователя к информационным ресурсам компьютера осуществляется при успешном выполнении операций идентификации и аутентификации. Идентификация заключается в распознавании субъекта (объекта) по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности) осуществляется в процессе аутентификации. В системах контроля и управления доступом широко используются аппаратные средства идентификации и аутентификации, называемые устройствами ввода идентификационных признаков (УВИП).
Российский стандарт ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний" устанавливает классификацию УВИП, в состав которых входят идентификаторы и считыватели, по способу считывания идентификационных признаков:
•с ручным вводом;
•контактные;
•дистанционные (бесконтактные);
•комбинированные.
Ручной ввод идентификационных признаков производится с помощью нажатия клавиш, поворотом переключателей или других подобных элементов.
Контактное считывание идентификационных признаков подразумевает непосредственный контакт идентификатора и считывателя. Чтение информации происходит путём проведения идентификатора через считыватель или их простым прикосновением. В системе защиты Secret Net поддерживается применение контактных УВИП на базе iButton (Touch Memory), Smart Card и eToken.
Дистанционный (бесконтактный) способ считывания не требует чёткого позиционирования идентификатора и считывателя. Чтение информации происходит либо при поднесении идентификатора на определенное расстояние к считывателю (радиочастотный метод), либо при попадании идентификатора в поле сканирования считывающего устройства (инфракрасный метод). В системе Secret Net нашёл применение радиочастотный УВИП на базе Proximity.
Комбинированный способ подразумевает сочетание нескольких различных способов считывания.
iButton (Touch Memory)
Широкое внедрение систем контроля и управления доступом к информационным ресурсам компьютеров в производстве, финансовой области, торговле, социальной сфере потребовало создания надёжных и относительно дешёвых УВИП. К таким средствам можно с полным основанием отнести идентификатор iButton (Touch Memory) американской компании Dallas Semiconductor. В дальнейшем в тексте используется прежнее название – идентификатор Touch Memory.
Идентификаторы Touch Memory семейства DS199X представляют собой микросхему, вмонтированную в герметичный корпус из нержавеющей стали (см. Рис. 1). Корпус отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Обмен с внешними устройствами происходит по двухпроводному интерфейсу с использованием ши- ротно-импульсной модуляции. Контактами служит сам корпус прибора, гарантированное количество контактов составляет несколько миллионов. Корпус выполняет также защитные функции от различных внешних воздействий и обеспечивает высокую живучесть прибора в условиях агрессивных сред, пыли, влаги, внешних электромагнитных полей, механических ударов и т.п.
11
Система защиты Secret Net. Аппаратные средства
Обмен с компьютером производится по двухпроводной шине посредством контактного устройства Touch Probe. Для этого необходимо прикоснуться идентификатором к контактному устройству. Время контакта - не более 5 мс.
Рис. 1. Идентификатор Touch Memory
Идентификатор легко крепится на носителе (карточка, брелок). Информация записывается и считывается из идентификатора прикосновением корпуса Touch Memory к считывающему устройству Touch Probe. В системах защиты от НСД используются несколько модификаций идентификаторов семейства DS199X (см. Табл. 2), которые отличаются ёмкостью памяти, функциональными возможностями и, соответственно, ценой.
Табл. 2 – Идентификаторы Touch Memory
|
Тип |
|
Уникальный |
Ёмкость |
Ёмкость |
Защита |
Конструкция |
|
изделия |
|
серийный |
блокнотной |
оперативной |
доступа к |
корпуса |
|
|
|
номер |
памяти, байт |
памяти, Кбит |
памяти |
|
|
DS 1990А |
|
+ |
- |
- |
- |
F3/F5 |
|
|
|
|
|
|
|
|
|
DS 1991L |
|
+ |
64 |
0,5 |
+ |
F5 |
|
|
|
|
|
|
|
|
|
DS 1992L |
|
+ |
32 |
1 |
- |
F5 |
|
|
|
|
|
|
|
|
|
DS 1993L |
|
+ |
32 |
4 |
- |
F5 |
|
|
|
|
|
|
|
|
|
DS 1994L |
|
+ |
32 |
4 |
- |
F5 |
|
|
|
|
|
|
|
|
|
DS 1995L |
|
+ |
32 |
16 |
- |
F5 |
|
|
|
|
|
|
|
|
|
DS 1996L |
|
+ |
32 |
64 |
- |
F5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вструктуре Touch Memory можно выделить следующие основные части: постоянное запоминающее устройство (ПЗУ или ROM), блокнотную память, оперативное запоминающее устройство (ОЗУ или RAM), часы реального времени (для DS1994), а также элемент питания - встроенную миниатюрную литиевую батарейку (кроме
DS1990A).
ВПЗУ хранится 64-разрядный код, состоящий из 8-разрядного кода типа идентификатора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы. Блокнотная память (вариант буферной памяти) служит для предотвращения записи новых данных на место имеющихся или записи по неверному адресу.
Всистеме Secret Net поддерживается применение всех модификаций идентификаторов Touch Memory. В автономном варианте для Secret Net 9x используются DS1990 - DS1996, в автономном для Secret Net NT/2000 и сетевом вариантах для
Secret Net 9x/NT/2000 нашли применение DS1992 - DS1996.
Всистеме Secret Net контактное устройство Touch Probe используется в двух вариантах. В первом варианте контактное устройство подсоединяется к последовательному порту компьютера (в дальнейшем – COM-считыватель Тouch Мemory). Во втором варианте (в дальнейшем – считыватель Тouch Мemory) он подключается к внешнему (или внутреннему) разъёму плат изделий Secret Net Touch Memory Card,
12
Глава 1. Аппаратная поддержка системы Secret Net
Secret Net Touch Memory Card PCI, "Электронный замок "Соболь" и "Программно-
аппаратный комплекс "Соболь-PCI".
К достоинствам УВИП на базе идентификаторов Touch Memory относятся:
•долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);
•высокая степень механической и электромагнитной защищённости;
•малые размеры, удобство хранения;
•относительно невысокая стоимость.
Недостатком устройства является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя.
Smart Card
В системах разграничения доступа широкое применение находят УВИП на базе идентификаторов-карт, называемых смарт-картами (от англ. Smart Card – интеллектуальная карта). Основой внутренней организации смарт-карт является так назы-
ваемая SPOM-архитектура (Self Programming One-chip Memory). Архитектура SPOM
предусматривает наличие в смарт-карте процессора, ПЗУ, ОЗУ и электрически перепрограммируемой постоянной памяти (РПЗУ или EEPROM).
Процессор отвечает за разграничение доступа к хранящейся в памяти информации и выполнение процедур обработки данных. Как правило, в карте также присутствует специализированный сопроцессор, предназначенный для реализации криптографических алгоритмов. В постоянной памяти хранится исполняемый код внутреннего процессора, оперативная память используется в качестве рабочей, и, наконец, к перепрограммируемой памяти возможен доступ извне для чтения/записи произвольной информации.
По отношению к компьютеру устройства чтения смарт-карт могут внешними и внутренними (например, встроенными в клавиатуру, гнездо 3,5"-дисковода, корпус компьютера). Считыватель работает под управлением специальной программы - драйвера устройства чтения.
Начиная с 1987 года, международная организация по стандартизации ISO приняла шесть стандартов на смарт-карты, объединенных в общую группу ISO7816 "Идентификационные карты. Карты с микросхемой и контактами". Ряд известных фирм (IBM, Microsoft, Gemplus и другие, всего десять компаний) на базе ISO7816 разработали единый стандартный интерфейс для работы со смарт-картами. Данный интерфейс включает в себя спецификации PC/SC, облегчающие интеграцию смарт-карт- технологий в программно-аппаратные комплексы на базе платформы персонального компьютера и создание средств разработки приложений для смарт-карт.
Система Secret Net для ОС Windows NT/2000, используя спецификации PC/SC, поддерживает взаимодействие с УВИП различных фирм-прозводителей.
Так, например, в состав поддерживаемого Secret Net комплекса ASE Developer's Kit компании Aladdin Knowledge Systems входят: ASECards – набор смарт-карт, ASEDrive – считыватели для смарт-карт, ASESoft – программное обеспечение. На Рис. 2 показан внешний вид считывателя ASEDrive с помещённой в нём смарт-картой.
13
Система защиты Secret Net. Аппаратные средства
Рис. 2. Считыватель смарт-карт ASEDrive
К достоинствам УВИП на базе смарт-карт относят:
•удобство хранения идентификатора (например, в бумажнике среди других карточек) и считывания идентификационных признаков;
•возможность обмена данными с компьютером через различные устройства вво- да-вывода (клавиатурный порт PS/2, последовательный порт, свободный слот расширения, параллельный порт, интерфейс SCSI, в ближайшей перспективе порт универсальной последовательной шины USB).
К недостаткам следует отнести ограниченный срок эксплуатации смарт-карт из-за неустойчивости к механическим повреждениям, высокую стоимость считывателей смарт-карт.
eToken
В последнее время широкое применение находят УВИП, не требующие наличия аппаратных считывателей. К таким устройствам относят так называемые USB-ключи, которые подключаются к USB-порту непосредственно или с помощью соединительного кабеля.
На российском рынке наибольшей популярностью пользуются следующие USB-
ключи: iKey 1000, iKey 2000 фирмы Rainbow Technologies, eToken R2, eToken Pro компании ALADDIN Software Security R.D, WebIdentity фирмы Eutron. В Табл. 3 пред-
ставлены характеристики некоторых модификаций USB-ключей.
Табл. 3. - USB-ключи
|
Изделие |
|
Ёмкость памяти, |
Разрядность |
|
Алгоритм шифрования |
|
|
|
|
Кбайт |
серийного номера |
|
|
|
|
eToken R2 |
|
16, 32, 64 |
32 |
|
DESX (ключ 120 бит), |
|
|
|
|
|
|
MD5 |
|
|
|
|
|
|
|
|
|
|
|
iKey 1000 |
|
8, 16, 32, 64, 128 |
64 |
|
Хэш-функция MD5 |
|
|
|
|
|
|
|
|
|
|
WebIdentity |
|
8, 16, 32 |
32 |
|
Triple DES, MD5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В системе Secret Net поддерживается работа персональных идентификаторов eToken R2, основным назначением которых является осуществление идентификации пользователей и безопасное хранение ключей шифрования, цифровых сертификатов, любой другой важной информации.
Идентификатор eToken R2 (см. Рис. 3) производится в виде брелка небольшого размера (47х16х7 мм), который легко размещается на связке с ключами. Брелоки выпускаются в цветных корпусах и имеют световые индикаторы работы
14