Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Ідентифікація осіб за біометричними ознаками людини
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
ЗІ
Кафедра:
Не вказано
Інформація про роботу
Рік:
2020
Тип роботи:
Практична робота (завдання)
Предмет:
Комплексні системи санкціонованого доступу
Група:
КББІ
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
ІКТА
кафедра БІТ
/
З В І Т
до практичної роботи №2
з курсу: “ Комплексні системи санкціонованого доступу”
на тему : “ Ідентифікація осіб за біометричними
ознаками людини ”
Львів — 2020
Тема роботи
«Ідентифікація осіб за біометричними ознаками людини»
Завдання
Навчитися користуватися біометричним сканером та здійснювати санкціонований доступ осіб на об’єкт захисту за їх біометричними показниками.
Теоретичні відомості та деякі рекомендації
для виконання роботи
Доступ до інформації (access to information) - вид взаємодії двох об'єктів КС, унаслідок якого створюється потік інформації від одного об'єкта до іншого і/або відбувається зміна стану системи. Доступ характеризується типом та атрибутами.
Тип доступу (access type) - сутність доступу до об'єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видалення, дозапис).
Атрибут доступу (tag, access mediation information) - будь-яка пов'язана з об'єктом КС інформація, яка використовується для керування доступом.
Кожному доступу передує запит на доступ. Запит на доступ (access request) - звернення одного об'єкта КС до іншого з метою отримання певного типу доступу.
Керування доступом (access control) - це сукупність заходів із визначення повноважень і прав доступу, контролю за додержанням ПРД. Воно включає питання обмеження доступу, розмежування доступу, розподіл доступу (привілеїв), контроль та облік доступу.
Існує чотири основні способи керування доступом:
фізичний, коли суб'єкти звертаються до фізично різних об'єктів;
часовий, коли суб'єкти з різними правами доступу звертаються до одного об'єкта в різні проміжки часу;
логічний, коли суб'єкти отримують доступ до спільного об'єкта в рамках однієї ОС;
криптографічний, коли права доступу визначаються наявністю ключа розшифрування.
Обмеження доступу полягає у створенні фізичної замкнутої перешкоди навколо об'єкта захисту з організацією контрольованого доступу осіб, які мають відношення до об'єкта захисту за своїми функціональними обов'язками. Основні цілі, завдання та методи обмеження доступу розглянуто в попередньому розділі.
Розмежування доступу в АС полягає в поділі інформації, яка в ній обробляється, на частини та організації доступу до них відповідно до функціональних обов'язків та повноважень.
Завдання розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації при виконанні своїх функціональних обов'язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнями важливості, секретності, функціонального призначення, за документами і т. д.
Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу до них починається саме з них шляхом розміщення їх у різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т. п. повинні бути технічно і організаційно відокремлені від основних завдань АС. АС і організацію її обслуговування слід будувати так:
технічне обслуговування АС у процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, що
підлягає захисту;
перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеним для цієї мети перевіреним фахівцем;
функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т. п.) - службою безпеки;
організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що обробляється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів;
реєстрація і документування технологічної та оперативної інформації повинні бути розділені.
Розмежування доступу користувачів повинно відбуватися за такими параметрами:
за видом, характером, призначенням, ступенем важливості та секретності інформації;
за способами її обробки: зчитувати, записувати, модифікувати, виконати команду;
за ідентифікатором термінала;
за часом обробки тощо.
Принципова можливість розмежування за вказаними параметрами має бути забезпечена проектом АС. Конкретне розмежування при експлуатації АС встановлюється споживачем і вводиться в дію його підрозділом, що відповідає за безпеку інформації.
Розподіл доступу (привілеїв) до інформації полягає в тому, що з числа допущених до неї посадових осіб виділяється група, яка може отримати доступ тільки при одночасному пред'явленні повноважень всіх членів групи. Завдання такого методу - суттєво утруднити навмисне перехоплення інформації порушником. Прикладом такого доступу є сейф з декількома ключами, замок, який можна відчинити тільки за наявності всіх ключів. Аналогічно в АС може бути застосований такий механізм при доступі до особливо важливих даних. Хоча даний метод ускладнює процедуру доступу, проте має високу ефективність.
Контроль та облік доступу реалізується за допомогою такої послуги, як реєстрація. Реєстрація (audit, auditing) - це процес розпізнавання, фіксування й аналізу дій і подій, що пов'язані з дотриманням політики безпеки інформації. Використання засобів перегляду й аналізу журналів, а особливо засобів настроювання механізмів фіксування подій, повинно бути прерогативою спеціально авторизованих користувачів.
Ідентифікація та автентифікація.
Одним з найважливіших механізмів ЗІ є ідентифікація та автентифікація (ІА).
Термін ідентифікація використовується у двох значеннях: по-перше, це процедура присвоєння ідентифікатора об'єкту КС, а по-друге, це процедура встановлення відповідності між об'єктом і його ідентифікатором, тобто процедура упізнання. Ідентифікатор - це певний унікальний образ, ім'я чи число.
Автентифікація - це процедура перевірки належності пред'явленого ідентифікатора об'єкту КС, тобто встановлення чи підтвердження дійсності, ще - перевірка, чи є об'єкт, що перевіряється, або суб'єкт справді тим, за кого він себе видає.
Під безпекою (стійкістю) системи ідентифікації та автентифікації розуміється ступінь забезпечуваних нею гарантій того, що ЗЛ не здатний пройти автентифікацію від імені іншого користувача, тобто чим вища стійкість системи автентифікації, тим складніше ЗЛ розв'язати зазначену задачу. Система ІА є одним із ключових елементів інфраструктури захисту від НСД будь-якої інформаційної системи.
Розрізняють три групи методів автентифікації, базованих на наявності в кожного користувача:
індивідуального об'єкта заданого типу;
знань деякої інформації, відомої тільки йому і стороні, що перевіряє;
індивідуальних біометричних характеристик.
До першої групи належать методи автентифікації, що використовують посвідчення, перепустки, магнітні карти тощо, які широко застосовуються для контролю доступу в приміщення, а також входять до складу програмно-апаратних комплексів захисту від НСД до засобів обчислювальної техніки.
До другої групи входять методи автентифікації, що використовують паролі. З економічних причин вони включаються як базові засоби захисту в багатьох програмно-апаратних комплексах захисту інформації. Усі сучасні ОС і багато додатків мають вбудовані механізми парольного захисту.
Останню групу становлять методи автентифікації, базовані на застосуванні устаткування для вимірювання і порівняння з еталоном заданих індивідуальних характеристик користувача: тембру голосу, відбитків пальців, структури райдужної оболонки ока та ін. Такі засоби дозволяють з високою точністю автентифікувати власника конкретної біометричної ознаки, причому «підробити» біометричні параметри практично неможливо. Однак значне поширення подібних технологій стримується високою вартістю необхідного устаткування.
III. Хід виконання роботи
Визначення об’єкту ідентифікації.
Ідентифікація об'єкта - це його впізнання, ототожнення із чим-небудь. Цей процес необхідний для того, щоб система надалі змогла ухвалити рішення щодо видачі людині дозволу для роботи на комп'ютері, доступу до закритої інформації й т.д.
Для систем керування базами даних об'єкт - це база даних, таблиця, подання, процедура що зберігається. До таблиць застосовують операції пошуку, додавання, модифікації і видалення даних, у інших об'єктів інші види доступу. Різноманітність об'єктів і застосовних до них операцій призводить до принципової децентралізації логічного управління доступом. Кожен сервіс повинен сам вирішувати, чи дозволити конкретному суб'єкту ту чи іншу операцію. Теоретично це узгоджується з сучасним об'єктно-орієнтованим підходом, на практиці ж призводить до значних труднощів.
Формування шаблону об’єкта ідентифікації.
Можна визначити кілька рівнів обробки біометричних даних:
здобуті дані: необроблені дані отримані з сенсора;
проміжні дані: дані, оброблені після отримання з сенсора, але у формі не-
придатній для зіставлення – на такі дані посилаються, як на дані зображень або поведінки;
оброблені дані: дані у формі придатній для зіставлення – на ці дані посилаються, як на дані ознак.
У випадку реєстрації, підсистема обробки сигналів створює шаблон із добу- тих біометричних ознак.
Підсистема зберігання даних містить реєстраційну базу, яка служить для зберігання шаблонів. Кожний шаблон пов'язаний з певною інформацією про суб’єкт реєстрації. Слід зазначити, що перед збереженням у реєстраційній базі даних, формат шаблонів може бути змінений відповідно до формату обміну біометричними даними. Шаблони можуть бути збережені в пристрої біометричної фіксації, на переносному носії (наприклад, смарт-карті), локально – на персональному комп'ютері або локальному сервері, або в централізованій базі даних.
Сканування пальця об’єкта ідентифікації.
/
Співставлення шаблону та відбитка пальця особи.
/
Прийняття рішення про допуск суб’єкта до інформації.
Прийняття рішення за результатами аутентифікації полягає в тому, що аутентифікація вважається позитивною, якщо процентний вміст непригнічених результатів співвідношень характеристик, тобто піків, менший певного порогу, в іншому випадку результат аутентифікації вважається позитивним. При негативному результаті аутентифікації видається повідомлення про підтвердження автентичності працюючого користувача. Якщо процентний вміст піків перевищує гранично-допустиме значення, то результат аутентифікації вважається негативним. У цьому випадку система пропонує користувачеві перереєструватися або ж відбувається просте відключення користувача від сервера бази даних і обмеження доступу до всіх ресурсів системи. При позитивному результаті аутентифікації користувач продовжує роботу над прикладною задачею, і процес аутентифікації залишається непомітним.
Висновки: на основі отриманої інформації в процесі роботи з другою практичною роботою можна сказати наступне. Оскільки системи авторизації, аутентифікації та ідентифікації присутні майже у всіх галузях промисловості, сферах діяльності і у повсякденному житті, то можна зробити висновок, що ці системи будуть у майбутньому лише покращуватись і на базі існуючих розроблятимуться більш досконалі та надійні способи та метод.
Однак, при використанні біометричних систем ідентифікації та аутентифікації користувачів не слід обмежуватись окремо взятими динамічними характеристиками людини, в даному випадку особливостями клавіатурного почерку. Потрібно пам'ятати про взаємне використання різних систем біометричної аутентифікації, що на багато підвищує ступінь захищеності інформаційних систем від несанкціонованого доступу.
15.11.2020 22:11-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора