Концепція впровадження автоматизованої системи розпізнавання мовця у процес автентифікації для доступу до критичної системи
Анотації
Запропонована відповідна актуальному стандарту безпеки інформаційних систем ISO/IEC 27001:2013, обчислювальна ефективна та зручна для користувача концепція надійної автентифікації для мультисерверної інформаційної системи критичного застосування, до складу якої входить, зокрема, множина користувачів, множина серверів та виділений сервер-реєстраційний центр для обліку об’єктів системи без ведення верифікаційних таблиць. Інформаційний обмін між об’єктами системи організовано з використанням захищених сесій на основі ключів з механізмом узгодження на основі односторонніх хеш-функцій та криптографії еліптичних кривих, яка на сьогодні забезпечує найкраще співвідношення надійності шифрування по відношенню до довжини ключа серед існуючих криптосистем. Роботу з користувачами персоніфіковано за допомогою індивідуальних карт доступу, які захищено на основі положень криптографічної теорії еліптичних кривих. На картах доступу, окрім ідентифікаційної інформації та паролю, зберігається біометрична інформація про особливості голосу користувача у вигляді вектора-еталона індивідуальних ознак. Додаток для автентифікації, який встановлюється на обчислювальному засобі користувача, ініціюється двоступінчастою процедурою розпізнавання користувача (за умови наявності ідентифікаційної карти) – за індивідуальними особливостями його голосу та за введеним паролем, що разом зі зручністю забезпечує надійність процесу автентифікації. Запропоновану у статті базову концепцію впровадження автоматизованої системи розпізнавання мовця у процес автентифікації для доступу до критичної системи протестовано та обґрунтовано її відповідність стандарту ISO/IEC 27001:2013. Втім, досвід практичної експлуатації системи автентифікації для доступу до ресурсів інформаційної системи критичного застосування виявив у базовій концепції низку вразливостей, з метою позбавлення яких створено удосконалену концепцію, яка містить відповідні механізми захисту і також повністю задовольняє вимогам стандарту ISO/IEC 27001:2013. Оцінено обчислювальну ефективність запропонованих концепцій шляхом підрахунку кількості найбільш обчислювально складних операцій — масштабованого множення Тm та обчислення хеш-функції Th під час проведення автентифікації об’єктів у складі інформаційної системи критичного застосування (користувача, сервера, реєстраційного центру та всіх цих об’єктів разом). Підсумкова обчислювальна складність базової концепції склала 4Тm +15Th, а удосконаленої — 6Тm +17Th , що в абсолютних показниках є середнім результатом порівняно з аналогами, але застосування криптографії еліптичних кривих робить операції хешування приблизно у 6 разів швидшою від застосованої у аналогах криптографії з відкритим ключем. Предложена соответствующая актуальному стандарту безопасности информационных систем ISO/IEC 27001: 2013, вычислительная эффективная и удобная для пользователя концепция надежной аутентификации для доступа к мультисерверной информационной критической системе, в состав которой входит, в частности, множество пользователей, множество серверов и выделенный сервер-регистрационный центр для учета объектов системы без ведения верификационных таблиц. Информационный обмен между объектами системы организован с использованием защищенных сессий на основе ключей с механизмом согласования на основе односторонних хэш-функций и криптографии эллиптических кривых, которая на сегодня обеспечивает наилучшее соотношение между надежностью шифрования и длинной ключа среди существующих криптосистем. Работа с пользователями персонифицирована с помощью индивидуальных карт доступа, защищенных на основе положений криптографической теории эллиптических кривых. На картах доступа, кроме идентификационной информации и пароля, хранится биометрическая информация об особенностях голоса пользователя в виде вектора-эталона информационных признаков. Приложение для аутентификации, которое устанавливается на вычислительном устройстве пользователя, инициируется двухступенчатой процедурой распознавания пользователя (при наличии идентификационной карты) — по индивидуальным особенностям его голоса и по введенному паролю, что наряду с удобством обеспечивает надежность процесса аутентификации. Предложенная в статье базовая концепция внедрения автоматизированной системы распознавания диктора в процесс аутентификации для доступа к критической системе протестирована и по результатам тестов сделан вывод о ее соответствии требованиям стандарта ISO/IEC 27001: 2013. Впрочем, опыт практической эксплуатации системы аутентификации для доступа к ресурсам информационной критической системы обнаружил в базовой концепции ряд уязвимостей, с целью устранения которых была создана усовершенствованная концепция, которая содержит соответствующие механизмы защиты и тоже полностью удовлетворяет требованиям стандарта ISO/IEC 27001: 2013. Проведена оценка вычислительной эффективности предложенных концепций на основе подсчета количества наиболее вычислительно сложных операций — масштабируемого умножения Тm и вычисления хэш-функции Th при проведении аутентификации объектов в составе информационной критической системы (пользователя, сервера, регистрационного центра и всех этих объектов вместе). Итоговая вычислительная сложность базовой концепции составила 4Тm + 15Th, а усовершенствованной — 6Тm + 17Th, что в абсолютных показателях является средним результатом по сравнению с аналогами. Впрочем, применение криптографии эллиптических кривых делает операции хэширования примерно в 6 раз более скоростными, чем хэширование с применением с открытого ключа, как в аналогах. In the article, ISO/IEC 27001: 2013, an effective and user-friendly concept of reliable authentication for accessing a multi-server information critical system, which includes, in particular, a set of users, a set of servers and a dedicated server —a registration center for a system objects registration without the maintenance of verification tables, is proposed. Information exchange between the objects of the system is organized using secure sessions based on an secret keys with a matching mechanism based on one-way hash functions and cryptography of elliptic curves, which now provides the best correlation between encryption reliability and a size of a secret key among existing cryptosystems. Work with users is personalized using individual access cards, which are protected based on the provisions of the cryptographic theory of elliptical curves. Access cards, in addition to identification information and password, store biometric information about the features of the user's voice in the form of a information features vector. The application for authentication, which is installed on the user's computing device, is initiated by a two-step user recognition procedure (with an identification card) — according to the individual features of his voice and the entered password, which together with convenience ensures the reliability of the authentication process. The basic concept of introduction of the automated speaker recognition system in the authentication process for access to the critical system was proposed in the article, and according to the results of the tests it was concluded that it conforms to the requirements of the ISO/IEC 27001: 2013 standard. However, experience in the practical use of the authentication system for accessing information critical system found a number of vulnerabilities in the basic concept, for the purpose of eliminating them, an improved concept was created that also fully meets the requirements of ISO/IEC 27001: 2013. The article evaluates the computational efficiency of the proposed concepts on the basis of calculating the number of the most computationally complex operations — scalable multiplication Tm and calculating the hash function Th for authentication of objects as part of the information critical system (user, server, registration center and all these objects together). The final computational complexity of the basic concept was 4Tm + 15Th, and of the advanced one — 6Tm + 17Th, which in absolute terms is an average result in comparison with analogues. However, the use of cryptography of elliptical curves makes hashing operations about 6 times faster than hashing with the use of a public key, as in analogues.
URI:
http://ir.lib.vntu.edu.ua//handle/123456789/25245