АНАЛИЗ ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ ДЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА В ОБЛАЧНЫХ СИСТЕМАХ
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Информатика и вычислительная техника и управление
DOI 10.37882/2223–2966.2021.01.04
АНАЛИЗ ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ
БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ ДЛЯ РАЗГРАНИЧЕНИЯ
ДОСТУПА В ОБЛАЧНЫХ СИСТЕМАХ
Барзолевская Анна Федоровна
ФГБОУ ВО «Московский Государственный
Лингвистический Университет», Москва
ANALYSIS OF THE POSSIBILITY a.barzolevskaia@gmail.com
OF USING BIOMETRIC AUTHENTICATION Кондрашкин Дмитрий Александрович
FOR ACCESS CONTROL IN CLOUD ФГБОУ ВО «Московский Государственный
Лингвистический Университет», Москва
SYSTEMS jakekondr@gmail.com
A. Barsolevskaya Самойлов Вячеслав Евгеньевич
D. Kondrashkin К. т. н., ФГБОУ ВО «Московский Государственный
V. Samoylov Лингвистический Университет», Москва
S. Volkov v.samoilov@linguanet.ru
Волков Сергей Дмитриевич
Summary. The article touches upon the problems of information security Аспирант, ФГБОУ ВО «Московский Государственный
of remote working employees operating in companies with a cloud-based Лингвистический Университет», Москва
infrastructure. The degree of influence of the authentication system on volkov1234@gmail.com
the reliability of the information security system is analyzed based on
the CVSS (common vulnerability scoring system). A comparative analysis Аннотация. В статье рассматриваются проблемы информационной безопас-
of the reliability of two-factor biometric and password authentication ности удаленной работы сотрудников с облачными структурами компаний.
systems is carried out by assessing the probabilities of successful attacks. На основании системы общего учета уязвимостей CVSS анализируется сте-
Furthermore, a two-factor biometric authentication scheme is proposed пень влияния системы аутентификации на надёжность системы защиты ин-
for working with cloud-based structures. формации, проводится сравнительный анализ надёжности двухфакторных
систем биометрической и парольной аутентификации, посредством оценки
Keywords: authentication system, access control, biometric characteristics, вероятности «удачной» атаки. А также, предлагается схема двухфакторной
two-factor authentication, type II error. биометрической аутентификации для работы с облачными структурами.
Ключевые слова: система аутентификации, разграничение доступа, биоме-
трические характеристики, двухфакторная аутентификация, ошибка второ-
го рода.
Введение века приспосабливаться и видоизменять традиционные
П
способы взаимодействия.
роцесс цифровизации российской экономики по-
степенно захватывает новые области и приобре- После появления вируса COVID‑19 на территории Рос-
тает новые формы. Одной из таких форм является сийской Федерации Указ Президента РФ от 25.03.2020
дистанционная (удаленная) работа — это особая форма N206 «Об объявлении в Российской Федерации нера-
организации трудового процесса, при которой сотруд- бочих дней» [1] положил начало серии правовых актов,
ники компании выполняют свои трудовые функции вне которые вводили меры по обеспечению санитарно-э-
рабочего пространства, а их коммуникация в процессе пидемиологического благополучия населения на тер-
работы осуществляется посредством цифровых техно- ритории нашей страны. Федеральное и региональное
логий. Сравнительно недавно такая трудовая форма Правительство на волне противоэпидемических и про-
была скорее исключением, чем обыденностью, одна- филактических мероприятий обратилось к работода-
ко эпидемия вируса COVID‑19 внесла свои коррективы телям с рекомендацией по принятию вспомогательных
в процессы развития человеческого общества. Безус- мер, в том числе использованию гибких форм занятости,
ловно, удаленная работа возможна далеко не во всех а именно удаленной, дистанционной и надомной рабо-
видах деятельности, но обстоятельства заставляют чело- ты. А в конце 2020 года был подготовлен и принят Феде-
Серия: Естественные и технические науки №1 январь 2021 г. 53Информатика и вычислительная техника и управление
Рис. 1. Зависимость среднего времени подбора пароля от используемого алфавита и длины пароля
ральный закон от 8 декабря 2020 г. N407-ФЗ «О внесении она реализует функцию защиты информации и осущест-
изменений в Трудовой кодекс Российской Федерации вляет разделение доступа пользователей. Большинство
в части регулирования дистанционной (удаленной) ра- протоколов аутентификации используемых в облачных
боты и временного перевода работника на дистанци- структурах используют однофакторную или многофак-
онную (удаленную) работу по инициативе работодате- торную парольную защиту [3–5]. Современные алгорит-
ля в исключительных случаях» [2]. Закон вступил в силу мы поиска и перебора паролей достигают своих целей
с 1 января 2021 года. за сравнительно небольшие сроки. На рисунке 1 приве-
дены зависимости среднего времени подбора пароля
Закон вводит три ключевых понятия: дистанционная от используемого алфавита и длины пароля [6].
(удаленная) работа; временная дистанционная (удален-
ная) работа — режим, предусматривающий временное Очевидно, что решением данной проблемы явля-
выполнение трудовой функции вне стационарного рабо- ется усложнение требований к паролю, согласно [6] он
чего места, находящегося под контролем работодателя; должен составлять не менее 8–12 символов и состоять
комбинированная дистанционная (удаленная) работа — из алфавитов А5 и А6. Однако, постоянное усложнение
стационарная занятость на рабочем месте и дистанци- паролей приводит к появлению уязвимостей другого
онная (удаленная) работа. рода — повышается вероятность утери пароля пользо-
вателем. Пользователи склонны к записи и сохранению
Развитие указанных в [2] форм работы способствует сложных паролей. Кроме того, бесчисленный рост си-
повышенному интересу компаний к созданию собствен- стем, требующих персональной аутентификации, увели-
ных или использованию существующих облачных струк- чивает число пар «логин-пароль», которые необходимо
тур. Явные преимущества в виде снижения объёмов запомнить и постоянно использовать (проблема «мно-
арендной платы и снижения хозяйственных расходов гих входов»), что также приносит определённые риски
на содержание офисов предопределяют заинтересован- со стороны пользователей.
ность коммерческих организаций в переводе сотрудни-
ков на удалённую работу. Однако, отсутствие системно- Для решения проблемы «многих входов» часто ис-
го контроля за действиями сотрудников, находящихся пользуют схему однократного входа с авторизацией SSO
вне территории работодателя, в очередной раз делает (Single Sign-On). Управление доступом по схеме SSO даёт
актуальным вопрос об информационной безопасности возможность пользователям корпоративной сети при
использования информационных систем (ИС), функцио- их входе в сеть пройти только одну аутентификацию,
нирующих на основе технологии облачных вычислений. предъявив только один раз пароль, и затем без допол-
нительной аутентификации получить доступ ко всем
Постановка задачи авторизованным сетевым ресурсам, которые нужны для
выполнения их работы [5]. Использование данной схемы
Ключевой частью ИС, построенной на технологии об- повышает производительность труда пользователей,
лачных вычислений, является система аутентификации, повышает информационную безопасность систем, сни-
54 Серия: Естественные и технические науки №1 январь 2021 г.Информатика и вычислительная техника и управление
Таблица 1. Показатели аутентификации
Показатель Описание показателя Вес
Эксплуатация уязвимости требует, чтобы пользователь провел аутентификацию
Многоразовая
несколько раз. Например, пользователю необходимо осуществить вход в ОС, 0,450
аутентификация
а затем в бизнес-приложение
Одноразовая аутентификация Эксплуатация уязвимости требует прохождения аутентификации один раз 0,560
Аутентификация отсутствует Эксплуатация уязвимости не требует аутентификации 0,704
Таблица 2. Изменение значений базовой метрики CVSS для разных систем аутентификации
Показатель Вектор CVSS Значение
Многоразовая
AV: A/AC: M/Au: M/C: P/I: P/A: P 4,5
аутентификация
Одноразовая аутентификация AV: A/AC: M/Au: S/C: P/I: P/A: P 4,9
Аутентификация отсутствует AV: A/AC: M/Au: N/C: P/I: P/A: P 5,4
жая вероятность утери паролей пользователем, однако
не решает проблемы развития алгоритмов подбора па- ,
ролей.
где Confimp — урон конфиденциальности;
Очевидным решением данной задачи является ис- Intimp — урон целостности;
пользование биометрических характеристик человека Avimp — урон доступности;
для доступа к ресурсам облачных структур компаний. Exp — доступность использования эксплойта, опре-
Современные ноутбуки и смартфоны обеспечены высо- деляемая как
кокачественными видеокамерами и звуковыми картами,
что привело к масштабному распространению и разви- ,
тию технологий Face ID и Voice ID.
где AccVec — вектор доступа,
Количественная оценка риска AccCom — вектор сложности;
подбора пароля в системе Aut — аутентификация;
аутентификации ИС, построенной f(imp) = 0, если imp = 0, в других случаях f = 1,176.
на технологии облачных вычислений
Показатели аутентификации определяются коэффи-
Для проведения количественной оценки и построе- циентами, представленными в таблице 1. Очевидно, что
ния риск-модели облачной среды используются базовые с усложнением системы аутентификации изменяется
векторы системы общего учета уязвимостей (CVSS) [7, 8]. и количественная оценка рисков для облачной системы,
В данной системе особое место отводится процессу ау- но в таблице 1 не приведено значение весового коэффи-
тентификации, он описывает количество необходимых циента для биометрической аутентификации. Возника-
сеансов аутентификации цели при эксплуатации уязви- ет вопрос, является ли эта технология более надёжной
мости. Показатель не учитывает сложности данного про- с точки зрения информационной безопасности?
цесса, а лишь характеризует саму необходимость аутен-
тификации для использования уязвимости [7]. Рассмотрим изменение количественной оценки ри-
сков облачной системы для заданных параметров при
Расчет базовой метрики производится по следующей условии, что система аутентификации меняется. Резуль-
формуле: таты моделирования представлены в таблице 2.
Результаты анализа изменения значений базовой
, метрики CVSS позволяют сделать вывод о том, что для
«неидеальной» с точки зрения информационной безо-
где BS — базовая метрика; пасности системы усложнение схемы аутентификации
imp — общее влияние (урон), определяемое как существенно влияет на её защиту.
Серия: Естественные и технические науки №1 январь 2021 г. 55Информатика и вычислительная техника и управление
Рис. 2. Схема двухфакторной биометрической аутентификации при работе с облачными структурами
Оценка вероятности «удачной» ,
атаки на систему биометрической
и парольной аутентификации где — вероятность подбора голосового пароля;
— вероятность подбора геометрии лица;
Для сравнительного анализа надёжности систем био- — вероятность ошибки второго рода двухфак-
метрической и парольной аутентификации необходимо торной системы биометрической аутентификации.
определить вероятности «удачной» атаки. Для каче-
ственного анализа необходимо сравнивать двухфактор- Известно, что для систем биометрической аутенти-
ную аутентификацию, как наиболее распространённую фикации вероятность второго рода . Для го-
и в должной мере надёжную. лосовой аутентификации вероятность ошибок второго
рода велика, порядка , для систем аутентификации
Вероятность «удачной» атаки на двухфакторную си- на основе геометрии лица этот параметр значительно
стему парольной аутентификации определяется форму- меньше, и составляет [9, 10].
лой
Результирующее значение вероятность ошибки
, второго рода для комбинации систем аутентификации
по голосу и по геометрии лица составит
где — вероятность подбора первого пароля
за приемлемое время; .
— вероятность подбора второго пароля за при-
емлемое время; Учитывая, что задача подбора образцов голоса и фор-
— вероятность ошибки второго рода двухфак- мы лица гораздо более сложна, чем задача подбора па-
торной системы парольной аутентификации. роля, можно сделать вывод о повышении безопасности
ИС при использовании комбинированной двухфактор-
Очевидно, что , поэтому результирую- ной биометрической аутентификации.
щая формула для оценки вероятности «удачной» атаки
на двухфакторную систему парольной аутентификации Применение двухфакторной
будет биометрической аутентификации
в облачных структурах
.
С 2019 года в Российской Федерации ведётся сбор био-
По аналогии вероятность «удачной» атаки на двух- метрических данных граждан в Единую биометрическую
факторную систему биометрической аутентификации систему (ЕБС). ЕБС работает совместно с Единой системой
определяется формулой идентификации и аутентификации (ЕСИА), эти системы
56 Серия: Естественные и технические науки №1 январь 2021 г.Информатика и вычислительная техника и управление
позволяют проводить идентификацию и аутентификацию Заключение
человека с вероятностью 99,99% (ошибка второго рода
лежит в допустимых пределах и составляет В работе были рассмотрены проблемы информа-
). В ЕБС используются одновременно два параметра — ционной безопасности удаленной работы сотрудни-
голос и лицо, что позволяет однозначно определить че- ков с облачными структурами компаний. Определена
ловека, а не его имитацию. Биометрическая информация актуальность задачи повышения сложности систем
в ЕБС хранится в виде односторонней хэш-функции. аутентификации для ИС, построенных на технологии
облачных вычислений. Проведён анализ степени вли-
В рамках актуальности задачи повышения безо- яния системы аутентификации на надёжность системы
пасности использования облачных сервисов для осу- защиты информации. Результаты анализа изменения
ществления удалённой работы сотрудников компаний, значений базовой метрики CVSS казали, что усложне-
предлагается использовать биометрическую аутентифи- ние схемы аутентификации существенно влияет на за-
кацию для доступа сотрудников к облачным ресурсам. щиту ИС.
Схема аутентификации представлена на рисунке 2.
Проведен сравнительный анализ надёжности двух-
Анализ предложенного подхода выявляет решение факторных систем биометрической и парольной аутен-
нескольких очевидных проблем: тификации, посредством оценки вероятности «удач-
1. После увольнения сотрудника из компании нет
1. ной» атаки. В результате чего было определено, что
необходимости удалять его профили и пароли. при использовании комбинированной двухфакторной
Паролем уволенного сотрудника никто не смо- биометрической аутентификации безопасность ИС по-
жет воспользоваться. вышается.
2. Отсутствие необходимости использования SSO
2.
систем. Все системы, требующие аутентифика- А также, была предложена схема двухфакторной био-
ции, заводятся на надёжную биометрическую метрической аутентификации при работе с облачными
защиту. структурами, которая позволяет снизить влияние не-
3. Пользователь не может потерять или передать
3. скольких уязвимостей, связанных с особенностями ра-
кому-либо свой пароль. боты пользователей.
ЛИТЕРАТУРА
1. Указ Президента РФ от 25.03.2020 N206 «Об объявлении в Российской Федерации нерабочих дней»// «Собрание законодательства РФ», 30.03.2020, N13,
1.
ст. 1898 // Официальный сайт Президента России — http://www.kremlin.ru/acts/bank/45335–2020. — 25 марта.
2. Федеральный закон от 8 декабря 2020 г. N407-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации в части регулирования дистанци-
2.
онной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных
случаях» // Информационно-правовой портал Гарант.ру — https://www.garant.ru/products/ipo/prime/doc/74915881/ — 2021. — 8 декабря.
3. Минакова Н.Н., Поляков В. В., Толстошеев С. Н. Методы технической и правовой защиты информации в сети Интернет. — Барнаул: Алтайский государ-
3.
ственный университет, 2015. — 155 с.
4. Роганов В. А., Кузнецов А. А., Матвеев Г. А., Осипов В. И. Адаптивный анализ надежности паролей при помощи гибридных суперЭВМ // Программные си-
стемы: теория и приложения. 2015. Т. 6. № 4 (27). С. 139–155.
5. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей: учебное пособие для студентов учреждений среднего профессионального
образования, обучающихся по группе специальностей «Информатика и вычислительная техника». — Москва: Форум: ИНФРА-М, 2012. — 415 с.
6. Блинов А. С., Степаненко М. А. Оценка достаточной сложности пароля для безопасного использования на веб-ресурсах // Исследования в области есте-
ственных наук. 2014. № 8 (32). С. 24–27.
7. Блохина О. В., Логинова А. О., Царегородцев А. В. Методика количественной оценки риска информационной безопасности для облачной инфраструктуры
организации // Огарёв-Online. 2018. № 14 (119). С. 3.
8. Царегородцев А. В., Макаренко Е. В. Методика количественной оценки риска в информационной безопасности облачной инфраструктуры организации //
Дайджест-финансы. 2015. № 1 (233). С. 56–67.
9. Газин А. И. Особенности голосовой аутентификации личности // Труды международного симпозиума «Надежность и качество». 2010. Т. 2. С. 232–235.
10. Иванова А. В., Михайлова У. В., Баранкова И. И. Уязвимости биометрической защиты // Актуальные проблемы современной науки, техники и образова-
ния. 2020. Т. 11. № 1. С. 68–72.
© Барзолевская Анна Федоровна ( a.barzolevskaia@gmail.com ), Кондрашкин Дмитрий Александрович ( jakekondr@gmail.com ),
Самойлов Вячеслав Евгеньевич ( v.samoilov@linguanet.ru ), Волков Сергей Дмитриевич ( volkov1234@gmail.com ).
Журнал «Современная наука: актуальные проблемы теории и практики»
Серия: Естественные и технические науки №1 январь 2021 г. 57Вы также можете почитать
