Зайцев А.П. и др. Технические средства и методы защиты информации (7-е издание, 2012) (1095365), страница 54
Текст из файла (страница 54)
USB-ключОсновное технологическое отличие USB-ключа от смарт-карты заключается в том, что хранимая в памяти USB-ключа информация не привязанажестко к ячейкам памяти, а располагается в специальной файловой системе.Поэтому один и тот же ключ можно использовать для разных целей: длявхода в компьютер, авторизации электронной почты, создания канала виртуальной частной сети (VPN – virtual private network) и многого другого.Таким образом, с помощью одного аппаратного ключа можно комплекснорешить задачу идентификации пользователя для всего комплекса офисногопрограммного обеспечения. При этом человек не должен знать пароли иключи шифрования для всех приложений, достаточно одного пароля дляработы с ключом.Для повышения надежности защиты некоторые аппаратные ключи выполнены в герметичном, влагостойком и пыленепроницаемом корпусе, чтогарантирует защищенность данных от многих внешних воздействий.
При разгерметизации корпуса информация из памяти ключа стирается. Это сделанодля того, чтобы блокировать копирование или подделку ключа и обеспечитьдостаточно надежное хранение информации внутри аппаратного идентификатора при более жестких требованиях к его конструктиву. Реализовать те жесамые требования для всего компьютера значительно сложнее.273Назначение USB-ключа:• строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);• аппаратное выполнение криптографических операций в доверенной среде (в электронном ключе: генерация ключей шифрования, симметричное иасимметричное шифрование, вычисление хэш-функции, выработка ЭЦП);• безопасное хранение криптографических ключей, профилей пользователей, настроек приложений, цифровых сертификатов и прочее в энергонезависимой памяти ключа;• поддержка большинством современных операционных систем, бизнесприложений и продуктов по информационной безопасности в качестве средства аутентификации и авторизации.Возможности применения USB-ключа:• строгая аутентификация пользователей при доступе к серверам, базамданных, разделам веб-сайтов;• безопасное хранение секретной информации: паролей, ключей ЭЦП ишифрования, цифровых сертификатов;• защита электронной почты (цифровая подпись и шифрование, доступ);• защита компьютеров;• защита сетей, VPN;• клиент-банк, домашний банк;• электронная торговля.ПреимуществаUSB-ключ может использоваться в любых приложениях для замены парольной защиты на более надежную двухфакторную аутентификацию (когдапользователь имеет нечто – USB-ключ, и знает нечто – PIN-код).USB-ключ обеспечивает:• строгую аутентификацию пользователей за счет использования криптографических методов;• безопасное хранение ключей шифрования и ЭЦП (электронной цифровой подписи), а также цифровых сертификатов для доступа к защищеннымкорпоративным сетям и информационным ресурсам;• мобильность для пользователя и возможность работы в «не довереннойсреде» (например, с чужого компьютера) – за счет того, что ключи шифрования и ЭЦП генерируются в памяти USB-ключ аппаратно и не могут быть перехвачены;• безопасное использование – воспользоваться им может только его владелец, знающий PIN-код;• реализацию как российских, так и западных стандартов шифрования иЭЦП;274• удобство работы – USB-ключ выполнен в виде брелока со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащаются 100% компьютеров, не требует специальных считывателей, блоков питания, проводов и т.п.;• использование одного ключа для решения множества различных задач –входа в компьютер, входа в сеть, защиты канала, шифрования информации,ЭЦП, безопасного доступа к защищенным разделам Web-сайтов, информационных порталов и т.п.USB-ключ имеет (рис.
4.48):• микросхему (1);• защищенный микроконтроллер (2);• разъем USB (3);• световой индикатор режимов работы (4);• герметичный полупрозрачный пластиковый корпус.3124Рис. 4.48. USB-ключМикроконтроллер в составе USB-ключа обеспечивает:• коммуникационные функции (поддержку протокола USB);• хранение микрокода для управления протоколом передачи (firmware).275В состав микросхемы входят:• 16-битный центральный процессор с набором инструкций;• память только для чтения (ROM, Read Only Memory), содержащая операционную систему;• оперативная память (RAM, Random Access Memory), предназначеннаядля использования операционной системы;• электрически стираемая программируемая память только для чтения(EEPROM, Electrically Erasable Programable Read Only Memory), предназначенная для хранения пользовательских данных;• аппаратный генератор случайных чисел;• криптопроцессор для ускорения выполнения криптографических операций.4.11.4.
Считыватели ProximityТехнология Proximity прочно завоевала ведущее место в профессиональных системах управления доступом, потеснив магнитные и Wiegand считыватели и практически полностью вытеснив Touch memory.Устройства ввода идентификационных признаков на базе идентификаторов Proximity (от английского слова proximity – близость, соседство) относится к классу электронных бесконтактных радиочастотных устройств.Они выпускаются в виде карточек, ключей, брелоков и т.п. Каждый изних имеет собственный уникальный серийный номер.
Основными составляющими устройств являются интегральная микросхема для связи со считывателем и встроенная антенна. В составе микросхемы находятся приемопередатчик и запоминающее устройство, хранящее идентификационный код идругие данные. Внутри Proximity может быть встроена литиевая батарейка(активные идентификаторы). Активные идентификаторы могут считыватьинформацию на расстоянии нескольких метров.
Расстояние считывания пассивными идентификаторами (не имеющими батарейки) составляет десяткисантиметров.Устройство считывания постоянно излучает радиосигнал, который принимается антенной и передается на микросхему. За счет принятой энергииидентификатор излучает идентификационные данные, принимаемыесчитывателем.Рассмотрим принципы работы считывателей Parsec.Считыватели Proximity в своей работе опираются на широко известныефизические принципы. Правда, того же нельзя сказать об алгоритмах обработки сигналов в схеме считывателя, что обычно и составляет «ноу-хау» производителей. На рис. 4.49 поясняется взаимодействие карты и считывателя впроцессе получения кода, заносимого в карту при ее производстве.276Считыватель содержит генератор, работающий, как правило, на частоте125 кГц и нагруженный на антенну считывателя.
Излучаемая антенной считывателя энергия принимается антенной карты и запитывает расположенныйв карте микрочип. Последний модулирует сигнал в антенне карты кодом, занесенным в микрочип на заводе-изготовителе. Излученный картой сигналвоспринимается антенной считывателя, обрабатывается сначала аналоговойчастью схемы считывателя, а затем расположенным в считывателе микропроцессором. Микропроцессор проверяет корректность кода, преобразовываетего к требуемому формату и выдает на выход считывателя, т.е. на вход контроллера системы управления доступом.При всем многообразии форматов данных, обрабатываемых контроллерами систем управления доступом, более 80% систем ориентируются в качестве основного или дополнительного на формат Wiegand 26 бит.Другой популярный формат интерфейса систем управления доступом –формат шины Micro LAN американской фирмы Dallas, в соответствии с которым работают ключи Touch memory.
В отличие от Wiegand 26, этот форматхорошо документирован фирмой в литературе, поэтому не будем приводитьего описание.КартаСчитывательГенераторАнтенна картыМикрочипАнтеннасчитывателяАналоговаячастьМикропроцессорРис. 4.49. Принцип работы считывателя ProximityПочти все российские разработчики систем управления доступом ориентировались именно на использование протокола Micro LAN в своих контроллерах.Считыватели ParsecПод торговой маркой Parsec производится достаточно широкий спектроборудования систем управления доступом.
В частности, это автономныеконтроллеры серии ASC-xx и сетевая компьютеризированная система управления доступом ParsecLight.277Внешний вид считывателей APR-03хх, APR-04xx и APR-05xx показан нарис. 4.50.Рис. 4.50. Внешний вид считывателей ParsecОсобо следует сказать о считывателе APR-05xx, который выполнен вкорпусе из нержавеющей стали и предназначен для уличной установки в случаях, когда требуется повышенная защита от вандализма.4.11.5. Технология защиты информации на основе смарт-картПоявление информационной технологии смарт-карт (СК), основанной накартах со встроенным микропроцессором, позволило удобнее решать вопросыиспользования пластиковых денег. Однако уникальные возможности СК смикропроцессором, состоящие в высокой степени защиты от подделки, поддержке базовых операций по обработке информации, обеспечении высокихэксплуатационных характеристик, сделали СК одним из лидеров среди носителей конфиденциальной информации.Следует отметить отличительные особенности таких карт.
СК содержитмикропроцессор и ОС, которые обеспечивают уникальные свойства защиты,имеют контактное и бесконтактное исполнение (на рис. 4.51 показана бесконтактная смарт-карта).278ПЗУОЗУЭСППЗУМПИнтерфейснаясхемаАнтеннаРис. 4.51. Схема бесконтактной смарт-картыТаким образом, технология СК обеспечивает надежное хранение ключейи доступ к различным информационным ресурсам.Персональные идентификаторы iKey компании Rainbow являются недорогими брелоками, которые могут использоваться на любой рабочей станции,имеющей универсальную последовательную шину (USB).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
