Японская компания-лидер ICT-рынка
66,10
рейтинг
30 сентября 2014 в 15:30

Разное → Использование технологии Fujitsu PalmSecure в случаях двухфакторной аутентификации

Информационные технологии становятся все более многообразными и всепроникающими, вместе с тем все большему риску подвергаются наши личные данные. Сегодня только ленивый не говорит о том, что такой аспект ИБ как аутентификация пользователя нуждается в надежных средствах защиты. Поэтому большую популярность приобрел метод двухфакторной аутентификации, т.е. распознавание пользователя не по какому-то одному параметру (личный пароль, смарт-карта, отпечаток пальца и т.п.) а по нескольким (точнее двум), предоставляемым одновременно при входе в систему или при запросе доступа к тому или иному сервису. В нашем материале речь пойдет о решении, представленном на конференции Fujitsu World Tour 2014, в котором применен метод двухфакторной аутентификации на основе бесконтактной RFID-карты и сканера рисунка вен ладони Fujitsu Palm Secure, а так же о самой технологии PalmSecure.



Куда бы мы не пошли – в банк, фитнес-центр, частную клинику – везде нас окружают те или иные методы и технологии аутентификации. Простейший пример – ваш пропуск на работу наверняка оснащен небольшой RFID-меткой, на которой записана информация о вас как о сотруднике компании. Более продвинутые способы распространены, например, в некоторых банкоматах Европы, где кроме пин-кода ваша личность подтверждается отпечатком пальца или с помощью все того же сканера рисунка вен Fujitsu PalmSecure. А еще такой сканер можно встретить при входе в фитнес-центр (подобная система установлена в фитнес-клубах UK Gym EasyGym): достаточно иметь при себе RFID-карту фитнес-клуба и поднести свою ладонь к сенсору PalmSecure и вы тут же будете пропущены внутрь.

В одном из наших предыдущих блогов мы уже довольно подробно описывали технологию Fujitsu PalmSecure и ее особенности. Сегодня мы расскажем о реально существующем решении, созданном российскими компаниями-разработчиками, в котором данная технология успешно применена.

Терминал общего доступа


Конечно же, кроме описанных выше примеров существует масса способов эффективного применения технологии сканирования рисунка вен PalmSecure. Одним из таких случаев является представленный на конференции сенсорный киоск (а точнее, терминал общего доступа, ТОД) – проект компании АМТ-ГРУП, выполненный на базе программного обеспечения Indeed ID и киоска от Zorgtech, оснащенный сканером ладони Fujitsu PalmSecure и считывателем бесконтактных RFID-карт.

Что такое сенсорный киоск в самом общем виде? Как правило, это программно-аппаратный комплекс, собранный на базе персонального компьютера и оснащённый сенсорным монитором, предназначенный для предоставления пользователю различной информации без привлечения дополнительного персонала. Подобные сенсорные киоски становятся все более популярными и используются почти во всех областях бизнеса, начиная от поликлиник, ВУЗов, государственных учреждений и заканчивая магазинами. И естественно, что во всех областях применения подобных комплексов надежная аутентификация пользователя является важнейшим условием успешного функционирования.

Технология идентификации PalmSecure, как один из методов аутентификации, в данном проекте была выбрана специалистами компании АМТ-ГРУП из-за существенного преимущества перед считыванием отпечатка пальца. В случае применения сканера отпечатка пальца при считывании происходит прямой контакт пальца с сенсором, что при активном использовании приводит к его быстрому загрязнению и необходимости частого обслуживания.

Для сенсорных киосков описанная выше проблема особенно актуальна, ведь будучи установленными в публичных местах (к примеру, в транспортных узлах – вокзалах, аэропортах и т.п. ) или в офисах крупных корпораций, такими терминалами воспользуется не одна сотня человек. Легко представить, что в этом случае станет со сканером отпечатка пальца. Сканирование ладони лишено подобного недостатка – ладонь не контактирует со сканирующей поверхностью устройства во время работы.



Использование в проекте RFID-карты позволило получить несколько преимуществ:

• Добавление в схему аутентификации дополнительного фактора. В результате, аутентификация получается двухфакторной: по карте (то, что пользователь имеет) и по ладони (то, чем пользователь является)
• Процедура аутентификации упрощается за счет того, что вам не нужно вводить свое имя – оно автоматически определяется по бесконтактной карте

Поставщиком ПО для этого ТОДа выступила компания Indeed ID. Ее программное решение Indeed Enterprise Authentication (Indeed EA) предоставляет возможность использования технологий строгой аутентификации при доступе к ресурсам домена Microsoft Active Directory. Система освобождает пользователей от необходимости запоминать и хранить пароли в секрете и избавляет от ручного ввода паролей с клавиатуры. Это позволяет повысить эффективность работы с терминалом, сократить риски информационной безопасности, значительно уменьшить количество обращений в службу help desk (за счет минимизации количества инцидентов «забытый пароль» и «заблокированная учетная запись») и в итоге сократить расходы на сопровождение инфраструктуры.

В случае установки на терминал общего доступа, ПО Indeed EA функционировало в режиме киоска. Особенностью данного режима является то, что терминал используется большим числом пользователей и переключение между их рабочими сессиями должно выполняться очень оперативно. Для максимального удобства работы в таком режиме используется бесконтактная смарт-карта (RFID) и дополнительно сканер рисунка вен ладони. Сценарий доступа к требуемым сервисам выглядит следующим образом:

1. Пользователю выводится окно аутентификации Indeed Enterprise Authentication (IEA), предлагающее приложить ладонь к сканирующему устройству, а карту к считывателю.
2. После совершения этих операций пользователем, IEA автоматически определяет имя пользователя и передает полученный от пользователя аутентификатор на сервер для проверки.
3. Обрабатывающий заявки сервер, получив запрос на аутентификацию, извлекает из базы данных эталонный аутентификатор пользователя, выполняет сравнение с предоставляемыми данными и заносит в журнал соответствующее событие. В случае успешной аутентификации сервер возвращает терминалу пароль пользователя для входа в домен.
4. Получив пароль от сервера, терминал аутентифицирует пользователя в домене, и тот получает доступ к запрашиваемому сервису.
5. После завершения использования терминалом, когда пользователь забирает карту, терминал производит выход из системы и возвращается в ждущий режим.

Таким образом, процедура аутентификации предельно упрощена, что исключает возникновение конфликтных ситуаций на этом этапе. Пользователь обращается к терминалу, идентифицируется через бесконтактную RFID-карту, подтверждает свою личность через сканер ладони Fujitsu, после чего система загружается и предоставляет доступ к необходимым информационным ресурсам.



Технология распознавания посредством сканирования рисунка вен ладони Fujitsu PalmSecure может быть применена в самых различных областях бизнеса в качестве одного из самых надежных, быстрых и точных способов аутентификации. Обратившись к своему представителю Fujitsu, вы сможете получить подробную информацию о возможности ее использования в вашем бизнесе и заказать подходящую модель сканера PalmSecure в необходимом количестве, при этом получая полную техническую поддержку продукта.
Автор: @Fujitsu_Admin
Fujitsu
рейтинг 66,10
Японская компания-лидер ICT-рынка

Комментарии (13)

  • +1
    А двухфакторная аутентификация по ладони и распознаванию лица будет называться FacePalmSecure…
  • 0
    А что будет, если показать этому сканеру специально созданное изображение венозного рисунка ладони? Как в айфоне с отпечатком пальца получится?
    • 0
      Сканер облучает руку в ближнем инфракрасном диапазоне и считывает рисунок вен, которые теплее окружающих их тканей за счет крови, приходящей из сердца. Изображение венозного рисунка на ладони записывается в 5-Мбайт образ, содержащий температуру в 5 млн. точках. Поэтому простое изображение венозного рисунка ладони попросту не будет считано устройством.
      • 0
        Но вены не получают кровь от сердца. Венозная система является коллектором капиллярной крови. Таким образом, венозная кровь не теплее капиллярной.
        Кроме того, теплообмен происходит как раз за счёт капиллярной сети.
        • 0
          Рискну предположить, что крупные кровеносные сосуды будут отличаться по температуре крови от капилляров. В случае с образом, который содержит температуру в 5 млн. точках ладони, наверняка можно будет выделить четкий контур венозного рисунка ладони отдельно от капиллярной сети.
          • 0
            Выдвину контрпредположение: теплоёмкость сосудов выше за счёт крови, как жидкости и её частой смены. Таким образом, при ИК-обличении крупные вены поглощают большее количество энергии, по сравнению с прочими участками кожи.
            Косвенно это подтверждается иллюстрацией «Венозный рисунок ладони в ИК-спектре» — в области пястно-фаланговых суставов 2 и 3 пальцев картинка светлее, что может быть объяснено жировой подушкой, хорошо отражающей ИК-излучение.
            Фактически же, согласно нормальной физиологии, температура артериальной и венозной крови различается незначительно, а капиллярной — зависит от температуры окружающих тканей.
            • 0
              Согласен с вами. И, тем не менее, при облучении в ИК-спектре, в созданном образе можно будет четко различить индивидуальный венозный рисунок пользователя, один из факторов аутентификации.
      • 0
        А если показывать непростое изображение? Скажем, распечатанное (нарисованное) IR-чернилами (20$ за фломастер, вроде как есть и для картриджей струйных принтеров отдельных моделей) на латексной перчатке. Будет и тепло, и красиво.
        • 0
          Ну возможно, теоретически можно изготовить полноценный макет ладони человека таким образом, чтобы он полностью функционировал как настоящая человеческая рука, с соответствующей циркуляцией крови по венам и капиллярам, при этом полностью повторяющий уникальный рисунок вен ладни какого-то конкретного пользователя. Но как он будет выглядеть, какие технологии в нем будут применены и сколько это будет стоить — большой вопрос. Такая рука сама станет уникальным техническим решением.
          • 0
            И всё же мне интересно, тестировался ли вариант, когда на латексе или виниле печатается венозный рисунок руки другого человека и подсовывается сканнеру. Ну и для общего развития, удалось ли инженерам обмануть собственную систему (хотя бы теоретически) и сколько это стоило.
  • 0
    Одна из самых больших проблем систем биометрической аутентификации, на мой взгляд, является то, что скомпрометированный аутентификатор невозможно изменить.
    И, скорее всего, пользователь и система даже не будут знать о факте компрометации.
  • 0
    Задумка интересная, выглядит тоже вроде бы все достойно, но есть несколько нюансов, которые не позволяют мне рассматривать биометрию как самое надежное решение аутентификации.
    Во-первых, методы проверки совпадения биометрических характеристик носят вероятностный характер, следовательно подвержены ошибкам первого и второго рода, т.е. они могут запретить доступ легальному пользователю или пропустить нелегального. Следовательно, нужна очень тонкая настройка параметров системы, чтобы минимизировать шанс возникновения таких ошибок, но он никогда не будет сведен к нулю.
    Во-вторых, по полученному биометрическому изображению с помощью специальных алгоритмов делается цифровая «свертка», которая затем сравнивается с оригинальной сверткой в базе. Злоумышленнику достаточно один раз перехватить эту свертку, чтобы затем успешно ее использовать без ведома хозяина.
    Есть и другие нюансы. Ничего не имею против биометрии, но рассматриваю ее только как вспомогательное средство, например она отлично подходит для идентификации.
    • 0
      Как раз в этом и суть материала — технология Palm Secure была использована как один из дополнительных факторов аутентификации. Что касается точности, в предыдущем блоге на эту тему вы можете увидеть таблицу, в которой дано сравнение точности идентификации технологий, использующих биометрию. У PalmSecure на данный момент точность самая высокая.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное