Биометрическая аутентификация

1. Отпечатки пальцев

2. Узор радужной оболочки глаза и структура сетчатки глаза.

1. Черты лица.
2. Форма кисти руки.
3. Параметры голоса.
4. Схема кровеносных сосудов лица.
5. Форма и способ подписи.

Основные приёмы, используемые при взаимной аутентификации

Для проверки подлинности применяют следующие способы:

- механизм запроса-ответа (используется для аутентификации участников);

- механизм отметки времени ("временной штемпель", используется для аутентификации связи).

Механизм запроса-ответа состоит в следующем. Если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент-запрос X (например, некоторое случайное число).

При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию f(X)). Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий В, пользователь может быть уверен, что В - подлинный. Недостаток этого метода-возможность установления закономерности между запросом и ответом.

Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить, насколько "устарело" пришедшее сообщение, и решить не принимать его, поскольку оно может быть ложным.

В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником

Поясните схему «запрос-ответ» при взаимной аутентификации

Действительно защищенной от перехвата при прослушивании является схема "запрос-ответ" (англ, challengehandshake). Она основана на том, что клиент подтверждает серверу знание парольной информации, не раскрывая ее. Традиционная методика схемы "запрос-ответ" выглядит следующим образом:

1. Сервер генерирует случайное или псевдослучайное число (challenge) (оно должно отвечать только одному требованию — уникальности, т. е. неповторяемости с течением времени) и высылает его клиенту.

2. Клиент производит какое-либо однонаправленное криптопреобразование (блочное шифрование или хэширование) над парольной фразой и присланным запросом и высылает результат серверу.

3. Сервер производит независимо от клиента такие же преобразования и сверяет получившийся у него результат с присланным ответом клиента.

Технология "запрос-ответ" надежно защищает абонентов от злоумышленников, имеющих возможность прослушивать канал. Информацию о пароле в открытом виде извлечь они не могут из-за необратимости примененного преобразования, а позднее использовать перехваченный ответ клиента для аутентификации не получится из-за того, что сервер каждый раз генерирует новый вектор запроса.

Частным случаем схемы "запрос-ответ" является однопакетная аутентификация пользователя на основе штампа времени. По этой методике сервер не высылает случайного запроса, а вместо него клиент оперирует значением текущего времени, затрубленного до определенной точности, например одной или нескольких секунд. Подобная схема требует точной синхронизации часов клиента по отношению к серверу. Кроме того, она несет опасность незаконной аутентификации злоумышленником в течение временного интервала "заглубления" точности — для защиты сервер должен принимать только одну попытку регистрации данного пользователя в течение одноговременного интервала.

Преимуществом схемы со штампом времени является возможность создавать устройства аутентификации, совершенно не связанные с терминальной ЭВМ клиента. Выполняемые в виде брелоков или часов (и даже интегрируемые в них) они содержат на дисплее сменяющуюся с определенным интервалом кодовую комбинацию из нескольких (4-6) цифр/букв. При регистрации на сервере клиент вводит в диалоговом окне текущую запись с индикатора, на основе которой сервер принимает решение о личности удаленного пользователя.