Biometryczne uwierzytelnianie zdalne Drukuj E-mail

Wprowadzenie

Biometria jako sposób weryfikacji tożsamości osoby, może być wykorzystywana nie tylko w kontroli dostępu do budynków i stref chronionych, ale również w celu uzyskania dostępu do zasobów sieciowych. W Laboratorium Biometrii rozwijamy system zdalnego uwierzytelniania biometrycznego, który jest wykorzystywany w podłączeniach typu dail-up, w sieciach bezprzewodowych oraz wirtualnych sieciach prywatnych.

Opis systemu

Scenariusz oparty na architekturze klient-serwer, został przedstawiony na rysunkach poniżej. Stacja klienta, która może zarówno komputerem stacjonarnym, laptopem czy też urządzeniem mobilnym (PDA, telefon komórkowy), jest wyposażona w specjalne sensory. Każdy taki sensor jest w stanie pobierać dane biometryczne użytkownika i ew. dodatkowo przeprowadzać testy przeciw oszustwom. Przykładami wykorzystywanych sensorów są: kamera do fotografowania obrazu tęczówki czy dłoni, czytnik odcisków palców, tablet graficzny do podpisów odręcznych. Dane biometryczne zebrane przez sensory przetwarzane są na stacji klienta do postaci zbioru cech charakterystycznych, które następnie przesyłane są do serwera uwierzytelniającego. Serwer porównuje pozyskane cechy ze wzorcami trzymanymi w biometrycznej bazie danych. Kiedy weryfikacja zakończy się sukcesem, stacja klienta dostaje dostęp do zasobu, w przeciwnym przypadku użytkownik proszony jest o ponowienie procesu uwierzytelniania. Stworzone przez nas rozwiązanie biometrycznego zdalnego uwierzytelniania stosuje sprawdzone mechanizmy przeciwdziałania atakom sieciowym, jak również zapewnia poufność i integralność przesyłanych danych biometrycznych. Podstawą uwierzytelniania jest rozszerzona wersja protokołu BEAP (Biometric Extensible Authentication Protocol) opracowanego wraz z partnerami NASK (m.in. firmą Telefonica) w ramach projektu BioSec. Do celów weryfikacji urządzeń wykorzystywane są certyfikaty i infrastruktura klucza publicznego (PKI). Dla zapewnienia bezpieczeństwa przesyłanych informacji wykorzystuje się popularny protokół TLS z najsilniejszym dostępnym sposobem szyfrowania.

Uwierzytelnianie biometryczne w dostępie do wirtualnych sieci bezprzewodowych
Rys. 1. Uwierzytelnianie biometryczne w dostępie do wirtualnych sieci prywatnych
Uwierzytelnianie biometryczne w dostępie do sieci bezprzewodowych
Rys. 2. Uwierzytelnianie bometryczne w dostępie do sieci bezprzewodowych

Rozszerzenia systemu

Zaprojektowany przez nas system można rozszerzyć o wykorzystanie kart elektronicznych lub kart SIM. W takim scenariuszu wzorce biometryczne użytkowników zamiast być przechowywane w centralnej bazie, składowane są na karcie elektronicznej (karcie chipowej). Weryfikacja użytkownika polega na przesłaniu zbioru cech charakterystycznych do procesora karty, gdzie w bezpiecznym środowisku są one porównywane ze wzorcem. W wyniku udanej weryfikacji na karcie, generowane są informacje niezbędne do uzyskania dostępu do sieci. Na rysunkach poniżej przedstawione przykładowe konfiguracje systemu dla wykorzystania w sieciach bezprzewodowych i wirtualnych sieciach prywatnych.

Uwierzytelnianie na podstawie biometrii i karty elektronicznej w dostępie do wirtualnych sieci prywatnych
Rys. 3. Uwierzytelnianie na podstawie biometrii i karty elektronicznej w dostępie do wirtualnych sieci prywatnych
Uwierzytelnianie na podstawie biometrii i karty SIM w dostępie do sieci bezprzewodowych
Rys. 4. Uwierzytelnianie na podstawie biometrii i karty SIM w dostępie do sieci bezprzewodowych

Program pilotażowy

Protokół BEAP został wdrożony w ramach pilotażowego programu dostępu do wirtualnych sieci prywatnych (VPN) w Polsce i Hiszpanii. Testy przeprowadzone w międzynarodowym laboratorium wykazały, że czas uwierzytelniania za pomocą biometrii jest porównywalny z metodą opartą na hasłach, przy jednoczesnym zwiększeniu poziomu bezpieczeństwa i wiarygodności wyniku.