<i>Двухфакторная аутентификация пользователей компьютерных системна удаленном сервере по клавиатурному почерку</i> Текст научной статьи по специальности «<i>Компьютерные и информационные науки</i>»

Двухфакторная аутентификация пользователей компьютерных системна удаленном сервере по клавиатурному почерку Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Еременко А.В., Сулавко А.Е.

Рассматривается проблема защиты биометрических данных пользователя, используемых для удаленной аутентификации. Предложен способ доказательства принадлежности субъекта к доверенной группе лиц на основе выполнения помехоустойчивого кодирования его биометрических данных. Разработанный способ основан на методе « нечетких экстракторов » и позволяет хранить только фрагменты биометрического эталона на сервере, похищение которых не позволяет восстановить эталон.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Еременко А.В., Сулавко А.Е.

Two-factor authentication of users of computer systems on remote server using the keyboard handwriting

The article considers the problem of protecting the user’s biometric data used in the remote authentication server. The method of two-factor authentication of users of computer systems on the remote server using personal biometric data is proposed. The method based on error-correcting coding and other conversion of biometric data. The developed method is based on «fuzzy extractors» and allows to store only fragments of biometric standard on the server and does not allow to restore the standard if this fragments were stolen. As the biometric features of a person is proposed to use the keystroke dynamics: duration of retention and the time intervals between keystrokes as a person type the passphrase on the keypad. An original way to use information about the stability of biometric features is proposed. The information about biometric features stability is used to choose the best ones for preparing a cryptographic key and decrease errors of key generation. Also it is a part of a secret information that storages on the server side and used in key recovery procedure. As a part of the future research for «combining» and «subtraction» bit sequences of PRN code and biometric data for cryptographic key generation it is planned to use fuzzy implication operation, adapting one of the fuzzy inference algorithms (Tsukamoto, Sugeno, Mamdani, Larsen et al.)

Текст научной работы на тему «Двухфакторная аутентификация пользователей компьютерных системна удаленном сервере по клавиатурному почерку»

А. В. Еременко, канд. техн. наук, ФГБОУ ВПО «Омский государственный университет

путей сообщения», nexus-@mail.ru А. Е. Сулавко, канд. техн. наук, ФГБОУ ВПО «Омский государственный технический университет», sulavich@mail.ru

Двухфакторная аутентификация пользователей компьютерных систем на удаленном сервере по клавиатурному почерку1

Рассматривается проблема защиты биометрических данных пользователя, используемых для удаленной аутентификации. Предложен способ доказательства принадлежности субъекта к доверенной группе лиц на основе выполнения помехоустойчивого кодирования его биометрических данных. Разработанный способ основан на методе «нечетких экстракторов» и позволяет хранить только фрагменты биометрического эталона на сервере, похищение которых не позволяет восстановить эталон.

Ключевые слова: клавиатурный почерк, нечеткий экстрактор, помехоустойчивое кодирование, биометрия, двухфакторная аутентификация.

С развитием информационных технологий и сети Интернет возрастает потребность в обеспечении аутентичности данных, передаваемых по Сети. Фальсификация личности на сегодняшний день представляет большую опасность в отношении наносимого финансового ущерба. По оценкам Zecurion Analytics за 2013 и 2014 гг., совокупные потери мировой экономики от подобных атак составили более 42 млрд долл. [1]. Традиционные процедуры аутентификации основаны на проверке пароля, аппаратного идентификатора или биометрических данных пользователя.

Слабое звено паролей — человеческий фактор. Даже стойкий пароль, удовлетворяющий современным требованиям безопасности, не является гарантией надежной за-

1 Работа выполнена при финансовой поддержке РФФИ (грант № 15-07-09053).

щиты, так как пользователь сам может сообщить его злоумышленнику (наглядный пример — осужденный за свои преступления К. Митник, который узнавал пароли при помощи методов социальной инженерии [2]) либо хранить пароли в ненадежном месте. Аппаратный идентификатор можно украсть или потерять. Последний способ (использование биометрии) является наиболее надежным, однако также не лишен недостатков. Физиологические признаки человека находятся «на виду», и существует множество способов их хищения незаметно для владельца.

В настоящее время разработаны технологии изготовления муляжей отпечатков пальцев, радужки, изображения лица и других биометрических признаков. Использование злоумышленником этих технологий для совершения криминальных преступлений является вполне вероятным событием и вопросом соответствующей ситуации. По данным глобальных аналитических исследований

InfoWatch в 2014 г., число утечек информации в мире возросло на 22%, в России — на 73% [3]. Это отчасти подтверждает высказанное предположение — традиционные подходы к решению проблемы контроля доступа к информации несовершенны.

Сдерживающими факторами на пути распространения систем биометрической идентификации и аутентификации являются необходимость приобретения специализированного оборудования, высокие требования к надежности распознавания субъектов и ассоциирование процедуры биометрического сканирования с криминалистикой. Сомнения потребителей, связанные с последним фактором в этом списке, имеют под собой вполне реальное основание.

Стоит отметить, что под биометрической идентификацией подразумевается процедура, которая также включает аутентификацию (т. е. биометрические данные являются одновременно идентификатором и аутентифи-катором, предъявленные данные сравниваются со всеми имеющимися в базе данных эталонами). Если речь идет об аутентификации, то подразумевается, что предварительно производилась идентификация, например посредством предъявления логина пользователя, при этом для сравнения с предъявленными биометрическими данными используется только эталон, соответствующий логину.

В последнее десятилетие активно развиваются технологии идентификации и аутентификации по особенностям подсознательных движений — клавиатурному почерку, динамике воспроизведения подписи, походке и др. [4-6]. Несмотря на меньшую гарантируемую вероятность правильного распознавания субъекта, интерес к данным технологиям значительно вырос в силу следующих преимуществ: возможность использования стандартного периферийного оборудования для получения биометрических характеристик [7], неотчуждаемость от личности владельца, сложность подделки биометрических характеристик (невозможность изготовления

муляжа), возможность проведения скрытой идентификации личности в процессе профессиональной деятельности [7].

Перспективным направлением повышения надежности данных процедур считается переход на многофакторную аутентификацию [8], часто для этого сочетают парольную защиту (в силу простоты и низкой стоимости реализации) с другими методами. Однако процедура многофакторной аутентификации (или идентификации) не должна быть длительной и создавать неудобства для субъекта.

В случае удаленной аутентификации пользователей по биометрическим признакам актуальной становится другая проблема — защита биометрических эталонов, хранящихся на удаленном сервере. Располагая информацией из биометрического эталона пользователя, злоумышленник может восстановить сигналы, описывающие биометрический образ автора и использовать их для получения доступа к информационным сервисам или ресурсам. К примеру, хищение базы данных папиллярных линий ставит под угрозу все системы защиты, в основе которых лежит анализ отпечатков пальцев. По этой причине многие пользователи не доверяют сторонним серверам, на которых осуществляется хранение биометрических эталонов.

Существует широкий класс атак, направленных на протоколы аутентификации [9]. В данной работе рассматривается угроза взлома сервера аутентификации и базы биометрических эталонов пользователей и предложен вариант решения задачи защиты биометрических данных пользователей на стороне сервера от компрометации.

Еще одной актуальной проблемой является анонимность в сети Интернет. При осуществлении некоторых операций на удаленном сервере пользователи хотят и имеют право оставаться анонимными (в соответствии со ст. 23 и 29 Конституции Российской Федерации и Федеральным законом от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»).

Для большинства существующих информационных сервисов предусматривается режим анонимного доступа. В случае анонимной аутентификации (anonymous authentication) определение личности пользователя не выполняется [10], а удаленный субъект представляется на сервере как специальный пользователь. Однако каким образом можно анонимно получить доступ к частной или конфиденциальной информации, но при этом доказать свою принадлежность к доверенной группе лиц, используя для этого процедуру аутентификации (в том числе многофакторной) на основе биометрических данных? Поиску ответа на данный вопрос посвящена данная работа.

Цель работы: разработать способ (или алгоритм) биометрической аутентификации пользователя компьютерной системы, основанный на использовании идеи аннулируемой биометрии [11], что позволит проводить надежную биометрическую аутентификацию пользователей, защитить биометрические данные от хищения и обеспечит возможность создания нового биометрического аутентифи-катора в случае его компрометации.

Разрабатываемый способ должен обладать следующими свойствами:

1) невозможность фальсификации аутен-тификационных данных пользователя, в том числе посредством перебора возможных значений аутентификатора (или его составляющих) при попытке получения авторизации на удаленном сервере;

2) невозможность за приемлемое время вычислить верный аутентификатор, даже в случае, если злоумышленник получит (похитит) защищенный биометрический эталон соответствующего пользователя (и любую сопроводительную информацию, расположенную на сервере), без знания дополнительной информации;

3) невозможность вычисления аутентифи-катора какого-либо пользователя, располагая

верными аутентификационными данными и/ или биометрическим эталоном другого пользователя;

4) невозможность восстановления исходных биометрических данных пользователя из аутентификатора и/или защищенного биометрического эталона пользователя;

5) возможность осуществить анонимную аутентификацию на сервере.

Под невозможностью совершения операции подразумевается ничтожно малая (неосуществимая на практике) вероятность успеха (например, вероятность успешного подбора верного пароля к значению криптографически стойкой 1024-битной хеш-функции). Здесь и далее предполагается, что передача данных между пользователем (клиентской стороной) и сервером (проверяющей стороной) ведется по защищенному каналу (например, по протоколу SSL). Другими словами, разрабатываемый способ не должен учитывать возможность перехвата данных в процессе их передачи по каналам связи между участниками соединения. Для этого имеются другие способы защиты (например, шифрование, осуществляемое на прикладном уровне модели OSI).

Метод «нечетких экстракторов» и клавиатурный почерк

В настоящей работе для достижения поставленной цели предложено использовать подход к реализации алгоритмов аутентификации на основе «нечетких экстракторов» [12]. Метод «нечетких экстракторов» подразумевает следующее. Изначально случайным образом генерируется битовая последовательность, которая кодируется помехоустойчивым кодом [13]. Сгенерированная битовая последовательность может быть предназначена для идентификации, аутентификации или генерации криптографических ключей шифрования [12] (последнее в настоящей статье не рассматривается). Данная последовательность объединяется с эталонными характеристиками

биометрических признаков субъекта (биометрическим эталоном).

Способы объединения могут быть различными — от простого сложения до использования сложных алгоритмов. Результатом объединения является открытая строка. Чтобы получить сгенерированную ранее последовательность, субъект вводит новую реализацию биометрических признаков, которая обрабатывается соответствующим образом и «вычитается» из открытой строки для «отсоединения» биометрических данных. После применения кода, исправляющего ошибки, к полученной строке будет найдена исходная последовательность битов в случае высокой степени совпадения предъявленного биометрического образа и эталонного [14]. На основе пары «открытая строка — предъявленный биометрический образ» может быть произведена как аутентификация, так и идентификация пользователя.

Предлагаемый в настоящей работе алгоритм аутентификации отличается тем, что в нем используются особенности ввода парольной фразы на клавиатуре одновременно для формирования пароля и биометрического образа пользователя. Поэтому разработанный способ подразумевает осуществление двух-факторной аутентификации, при этом для ввода применяется только стандартная клавиатура (что существенно снижает стоимость реализации данного способа на практике).

В качестве биометрических признаков пользователя выступают продолжительности удержания и временные интервалы между нажатиями клавиш при вводе парольной фразы на клавиатуре (далее у и рук, где у и к — номера соответствующих клавиш). При создании биометрического эталона пользователя целесообразно применять наиболее информативные временные характеристики. Оценку информативности каждого признака можно выполнить на основании величины среднеквадратичного отклонения от его математического ожидания. Отметим, что значения всех указанных характеристик клавиатурного по-

черка имеют распределение, близкое к нормальному [15].

Признаки с наименьшим среднеквадратичным отклонением являются наиболее стабильными. Также известно, что некоторые пары клавиш, достаточно удаленно расположенные друг от друга, наилучшим образом характеризуют клавиатурный почерк пользователя [7]. Эта особенность объяснена в законе Фиттса [16], который касается сенсорно-моторных процессов человека и связывает время движения субъекта к наблюдаемой цели с точностью движения и с расстоянием перемещения. Чем дальше или точнее выполняется движение субъекта, тем больше коррекции необходимо для его выполнения и больше времени требуется субъекту для внесения этой коррекции. При корректировании движений проявляются индивидуальные особенности человека.

Предлагаемый способ удаленной аутентификации пользователя включает в себя три процедуры: формирование вспомогательной информации (о стабильности признаков) для последующей аутентификации пользователя на сервере, создание и формирование секретного биометрического ключа доступа пользователя (аналога эталона, но не позволяющего восстановить биометрические данные) и двухфакторная аутентификация пользователя. Предлагаемый способ и схема аутентификации ранее не встречались в доступной литературе, но основаны на известном подходе использования «нечетких экстракторов».

Формирование информации о стабильности признаков

Для оценки информативности биометрических характеристик пользователь набирает на клавиатуре контрольный текст. Чем объемнее текст, тем с большей точностью будут получены оценки стабильности временных характеристик нажатий клавиш. Количество реализаций временной характеристики, необходимое для того, чтобы считать выбор-

Рис. 1. Схема формирования вспомогательной информации для проведения аутентификации на сервере Fig. 1. The process of additional information creation on server side

ку репрезентативной, определяется исходя из закона больших чисел, в частности теоремы Чебышева. На теореме Чебышева основан широко применяемый в статистике выборочный метод, согласно которому по сравнительно небольшой случайной выборке судят о генеральной совокупности исследуемых объектов.

Для большинства признаков клавиатурного почерка достаточным числом реализаций можно считать 26 [15]. При каждой фиксации величин ^ или на основании введенных реализаций вычисляются соответствующие эталонные значения данных величин (математические ожидания Mtj и Мр^ и данные о стабильности признаков (и среднеквадратичные отклонения и по рекуррентным формулам (1) и (2) [7]. По окончании процедуры вспомогательная информация о среднеквадратичных отклонениях и количестве введенных реализаций (Ktj и Кр^ сохраняется в сетевой базе данных (на сервере аутентификации), значения математических ожиданий

удаляются (см. блок 4 на рис. 1), так как они используются только для оценки стабильности признаков. Значения Ktj и Kpjh характеризуют достоверность полученных оценок и репрезентативность выборки.

Мк = ^ ■ Мк_1 + К, (1)

где X — новое значение признака или р^), К — количество использованных значений признака (^ или р^), МК — математическое ожидание К значений признака или р^).

где X — новое значение признака (^ или р^), К — количество использованных значений признака (^ или р^), МК — математическое ожидание К значений признака (^ или р^), 8К — среднеквадратичное отклонение К значений признака (^ или р^).

Операции вычисления эталонных характеристик и оценочных значений стабильности признаков производятся на стороне клиента (пользователя). На данном этапе целесообразно использовать так называемую процедуру исключения грубых ошибок [17-19]. В указанных работах процедура исключения грубых ошибок применялась при создании эталонов по клавиатурному почерку [18-19] и особенностям написания автографа [17] и позволяла «отсеять» нехарактерные реализации, полученные с явными ошибками и отклонениями (рука дрогнула, пользователь задумался и временно приостановил ввод текста или пароля и др.).

Динамика изменения вероятности ошибок при использовании «зашумленных» эталонов носит хаотичный характер, проследить ее достаточно сложно, так как это зависит от количества допущенных ошибок, степени отличия реализаций, введенных с ошибкой, от обычной реализации пользователя, степени влияния некорректных реализаций на эталон и других факторов, не поддающихся точной оценке. Однозначно можно утверждать, что при использовании «зашумленных» эталонов вероятность ошибочных решений увеличивается. Поэтому очевидно, что подобные процедуры позитивно влияют на вероятность правильного распознавания пользователя. В настоящей работе применен метод исключения грубых ошибок из работы [17], снижающий количество ошибок в среднем на 4% при идентификации по динамике подсознательных движений [17].

Создание и формирование секретного биометрического ключа доступа на основе парольной фразы пользователя

Сформировав сопроводительную информацию о стабильности признаков, пользователь получает возможность создавать неограниченное количество секретных биометрических ключей, каждый из которых

можно использовать для доступа к различным сервисам и данным на свое усмотрение. Технически каждый ключ может храниться на отдельном сервере (для каждого сервиса — свой ключ доступа), при таком подходе сопроводительные данные целесообразно хранить на выделенном сервере отдельно от ключей (в одном месте). Разработанная архитектура также позволяет хранить все ключи на одном сервере вместе с сопроводительными данными (это второй вариант, для простоты восприятия он показан на рис. 2 и 3), однако на практике лучше воспользоваться первым вариантом, подразумевающим отдельное хранение всех составляющих.

Для формирования ключа доступа пользователь вводит парольную фразу. Рассчитываются величины у и рук. В работе [4] указывается, что «. парольная фраза должна быть легко запоминаемой и содержать от 21 до 42 нажатий на клавиши. При синтезе парольной фразы допустимо использование слов со смыслом из некоторого словаря. » При большей длине вероятны частые ошибки ввода, что ведет к получению несвойственных пользователю аномальных значений признаков. Максимальное количество признаков Q в парольной фразе зависит от ее длины (каждое нажатие представляет собой признак у каждая пауза между нажатием — признак рук). В заданном пространстве признаков Q = 2 С - 1, где С — длина парольной фразы, т. е. количество символов в парольной фразе (включая пробелы).

Из рассчитанных величин и рук с учетом сведений об их информативности формируется вектор значений признаков Я (см. блок 2 на рис. 2). Вектор заполняется последовательно выбранными в порядке убывания информативности биометрическими признаками (по возрастанию среднеквадратичных отклонений), пока количество значений выбранных признаков не станет равным N. Такое решение имеет следующие положительные последствия. Во-первых, повышается надежность процедуры аутентификации (за счет

«Объединение» В и H* (получение ключа К) Вычисление хеш-функции из Н (получение строки Hw)

Кодированием V помехоустойчивым кодом-получение строки Н*

(получение итоговой последовательности битов В)

Вычисление хеш-функции^ из парольной фразы -получение строки Н

Пользователь вводит парольную фразу

Формирование вектора из N значений наиболее информативных временных характеристик (/ и р]Ь, каждая характеристика округляется до 1 байта

📎📎📎📎📎📎📎📎📎📎