Ирина Шульга
Защита перcoнальнoгo кoмпьютера oт неcанкциoнирoваннoгo дocтупа c иcпoльзoванием принципа oпoзнавания пoльзoвателя пo oтпечаткам пальцев имеет ряд преимущеcтв перед традициoнными cиcтемами идентификации (парoли, электронные ключи, магнитные карты). Прежде вcего, иcключаетcя возможноcть иcпользования злоумышленником ключей, карты, ввода чужого пароля, кроме того, еще обеcпечиваетcя выcокая cтепень защиты от имитации и подделки.
Разработанный инженерной компанией «Проcофт-cиcтемы» программно-аппаратный комплекс BioSmart-FinGuard предназначен для биометрической защиты от доступа к конфиденциальной информации.
Вместо традиционного ввода логина и пароля пользователю достаточно приложить палец к сканеру. Полученный отпечаток сравнивается с эталоном, хранящимся на сервере в случае доменной аутентификации, или происходит сравнение с локальной базой данных на ПК. При успешной идентификации происходит авторизация пользователя в системе.
Биометрический сканер для ПК представляет собой модуль для захвата и передачи образа отпечатка пальца для последующей идентификации. Уникальная технология, использующая прецизионную CMOS-матрицу, позволяет получать изображения отпечатка пальца с высоким качеством. Сканер может применяться в любых приложениях, где требуется эффективная и достоверная идентификация человека. В него встроена специальная электронная схема – Live Finger Detection (LFD), позволяющая отличить живой палец от имитации.
Технология LFD разработана компанией Futronic для предотвращения доступа к важной информации с помощью использования муляжа отпечатка пальца, сделанного из силикона, резины и т.д.
В работе данной технологии используются активные сенсоры по распознаванию живого человеческого пальца. В сканерах для аутентификации отпечатка используется отдельный спецсигнал, который проходит сквозь кожу и возвращается на сенсор. Возвращаемый с пальца живого человека сигнал уникален, в отличие от сигнала с любого муляжа. Компанией Futronic разработан особый алгоритм для распознавания возвращенного сигнала пальца живого человека и выявления попыток использования муляжа. Соответственно, любой биометрический сканер, используемый компанией «Прософт-Системы», сканирует только отпечатки живого пальца, выдавая сигнал об использовании муляжа при попытке применить таковой. Изготовленные из силикона, резины, других материалов, имитации не могут быть использованы для получения доступа через биометрические сканеры, использующие технологию LFD.
Регистрация пользователей производится с помощью ПО и биометрического считывателя, подключаемого через USB-порт персонального компьютера. Регистрация может происходить как на рабочем месте администратора, так и на рабочем месте клиента, на каждого пользователя возможно зарегистрировать до десяти отпечатков пальцев.
Данные о пользователях, отпечатках пальцев хранятся в зашифрованном виде в базе Active Directory на контроллере домена или в локальной базе данных. На рабочем месте клиента и контроллере домена работает служба, устанавливающая шифрованный канал связи между клиентом (Finger Logon) и сервером для передачи идентификационных данных от сервера к клиенту.
Модификации системы
Доменная версия FinGuard DOMAIN предназначена для идентификации пользователей сети по базе данных отпечатков, хранящихся на контроллере домена.
Версию отличает полная интеграция в Active Directory, что позволяет полностью использовать встроенные Active Directory технологии, такие как: средства хранения и репликации данных; технологии управления пользователями, групповыми политиками; средства аудита; протокол аутентификации Kerberos.
Есть поддержка интеграции базы данных пользователей в существующие или сторонние СУБД, например MySQL.
Данные о пользователях (шаблоны отпечатков пальцев, пароли) хранятся всегда в зашифрованном виде в базе данных Active Directory или MySQL.
Администрирование системы удобное и простое: существует возможность автоматической генерации паролей, длиной до 128 символов, и скрытой генерации паролей (они не будут известны пользователю и системному администратору). При этом исключается возможность передачи пароля или идентификатора «третьему лицу», забывчивость и утеря пароля.
Применяется технология шифрования Microsoft Crypto API, которая позволяет быстро и эффективно внедрить новые методы шифрования.
Системное протоколирование ведется в журналах ОС Windows.
Есть поддержка протокола IPSec для шифрования данных аутентификации, что не снижает пропускной способности локальной сети и не занимает вычислительных ресурсов системы в целом.
Регистрация отпечатков пальцев пользователей возможна с любого ПК доступной доменной зоны.
Возможна работа в сетях любых топологий по отношению к контроллерам доменов (первичные, вторичные, доверительные).
На сервере (контроллере домена) в USB-порт устанавливается электронный ключ, в котором хранится информация о количестве пользователей с возможностью авторизации по отпечаткам пальцев. В сети также могут одновременно присутствовать пользователи с аутентификацией по паролю.
Локальная версия FinGuard LOCAL предназначена для идентификации пользователей на локальной рабочей станции.
Автоматическая загрузка учетной записи OC Windows происходит по отпечатку пальца, данные о пользователе (шаблоны отпечатков, пароли) хранятся на локальном ПК. Версия поддерживает базы данных LSA (защищенная база данных ОС Windows). Лицензия прошита в биометрическом сканере для ПК. В сети могут одновременно присутствовать пользователи и с аутентификацией по паролю.
Еще один вариант – локальная версия с доменным доступом FinGuard LOCAL-DOMAIN – предназначен для идентификации пользователей на локальной рабочей станции с предоставлением доступа к информационным ресурсам.