Autentizace operátorů podle otisků prstů

Autentizace operátorů podle otisků prstů

Příspěvek volně navazuje na článek [1]. Popisuje softwarové řešení, které umožňuje snadnou implementaci otisků prstů jako metody pro autentizaci operátorů průmyslové aplikace, a dále uvádí popis referenční aplikace ve výrobním závodě farmaceutické společnosti Boots plc v Nottinghamu.

Autentizace

Autentizace je chápána jako potřeba ověřit si, zda má uživatel systému právo provést určitou akci či využít službu a zda je skutečně tím, za koho se vydává.

K autentizaci se používá mnoho různých metod. Jednu z jejich tříd představují metody založené na existenci určitého jedinečného znaku osobnosti uživatele. Touto oblastí se zabývá biometrie a jednou z jejích metod je ověřování uživatele na základě snímání otisků prstů.

AppTima Advanced Security Solution

Společnost AppTima se již dlouhou dobu zabývá problematikou autentizace uživatelů v průmyslových aplikacích typu SCADA (Supervisory Control And Data Acquisition). Právě s ohledem na zvýšené požadavky na bezpečnost a věrohodnost autentizace uživatele vybrala pro své řešení nazvané Advanced Security Solution za základní metodu rozšířené autentizace uživatele otisk prstu.

Cíle uvedeného řešení jsou:

• prostřednictvím spojení základních autentizačních metod rozšířit možnosti dosavadní klasické autentizace prováděné s použitím uživatelského jména a hesla,

• využít výhody autentizace prostřednictvím otisků prstů v oblasti aplikací SCADA,

• přizpůsobit proces autentizace konkrétním podmínkám a požadavkům uživatele.

Do oblasti aplikací SCADA přináší navržené řešení tyto výhody:

• věrohodnost, představující přínos zejména pro ty technologické provozy, kde se klade důraz na vedení záznamů o všech technologicky významných akcích uskutečněných operátorem (lze jednoznačně určit kdo, kdy a jakou akci provedl, a to s jistotou, že nedochází k záměně identity v důsledku poskytnutí či vyzrazení hesla),

• vyšší stupeň bezpečnosti: přínos spočívá v zabezpečení přístupu k operátorské aplikaci provozované s dostatečně silnými hesly (v podobě otisků prstů), která není nutné nikam zapisovat pro případ zapomenutí, a tudíž se současně eliminuje nebezpečí vyzrazení hesla,

• zrychlení procedury autentizace v porovnání s klasickým způsobem přihlášení se uživatelským jménem a heslem: k sejmutí otisku prstu a jeho porovnání s uloženou šablonou je zapotřebí doba kratší než jedna sekunda (!),

• možnost identifikace: vedle autentizace (porovnání 1 : 1) se otevírá možnost identifikace (1 : N), což je dáno jedinečností otisků prstů každého jedince,

• možnost umístění autentizačního zařízení i v nepříznivých provozních podmínkách: mnohdy by bylo složité instalovat přímo do provozu počítač s klávesnicí pro přihlášení uživatele – řešením je použití pouze čtecího zařízení připojeného k jednoduchému terminálu,

• menší požadavky na technickou podporu: hesla (otisky prstů) jsou jedinečná a nelze je ztratit; proto je možné zcela vyloučit požadavky na technickou podporu související s vyzrazenými nebo zapomenutými hesly.

Při implementaci metod založených na snímání otisků prstů je však současně třeba zvážit určitá omezení. Ta spočívají v nezbytné ochraně otisků prstů uložených v elektronické podobě, potřebě zabránit použití duplikátů a řešení případného poklesu spolehlivosti v důsledku znečištěných rukou nebo snímačů. Při implementaci identifikace se omezením může stát i rychlost, i přesto, že v systému zahrnujícím asi 100 uživatelů lze dosáhnout doby potřebné pro identifikaci okolo 1 s, což je možné považovat za vyhovující. Doba potřebná k identifikaci se prodlužuje s rostoucím počtem uživatelů v systému.

Autentizace operátorů prostřednictvím otisků prstů v Boots plc

Dále je popsán způsob, jakým byla autentizace operátorů implementována ve výrobním závodě farmaceutické společnosti Boots plc v Nottinghamu (Velká Británie). Boots je nadnárodní společnost s maloobchodní sítí v mnoha státech světa prodávající farmaceutické zboží. Vedle toho některé produkty sama vyrábí. Jedním z jejích výrobních závodů je továrna v Nottinghamu.

Požadavky
V rámci instalace nové výrobní linky bylo třeba řešit také způsob vizualizace a operátorského řízení celé technologie (operativní a výrobní úroveň řízení). Pomineme-li požadavky související přímo s řízenou technologií, nebyly hlavní požadavky managementu z dnešního pohledu nijak mimořádné:

• vyhovět požadavkům směrnice FDA CFR 21 Part 11,

• umožnit dokladovat úplnou výrobní historii každé vyrobené šarže,

• dosáhnout zabezpečení s různými úrovněmi přístupu při minimálních časových nárocích a maximální jednoduchosti autentizace při používání,

• vysoký stupeň spolehlivosti a pohotovosti systému (nepřetržitý provoz),

• minimální náklady na správu systému,

• minimální náklady na hardware, software a implementaci.

Způsob implementace
Systémovým integrátorem byla společnost Invensys APV (Crawley, Velká Británie) ve spolupráci s firmami Pantek (Stockport, Velká Británie) a AppTima (Ostrava, ČR).

Za základní stavební kámen systému byla navržena dvojice redundantních serverů technologických dat (tag server), které prostřednictvím komunikačních ovladačů (I/O Server) sbírají veškerá data zasílaná z programovatelných automatů (Programmable Logic Controller – PLC). Tato data jsou poskytována všem klientským aplikacím v systému, jež jsou určeny pro vizualizaci a operátorské řízení.

Vedle serverů technologických dat byla do systému začleněna dvojice redundantních databázových serverů pro ukládání veškerých výrobních dat v reálném čase. Pro tuto funkci je použit produkt Wonderware IndustrialSQL Server. Archivovaná data jsou pro tvorbu sestav a analýzy dále poskytována klientským aplikacím na počítačích připojených do podnikové sítě společnosti Boots.

Minimálních nákladů na správu celého systému bylo dosaženo její maximální centralizací. Z tohoto důvodu bylo rozhodnuto provozovat všechny klientské aplikace určené pro vizualizaci a operátorské řízení v prostředí terminálových služeb. Všechny aplikace tak fyzicky běží v relacích na dvojici redundantních terminálových serverů a na operátorských stanicích probíhá jen vlastní interakce s operátorem. Použity jsou produkty Windows 2000 Advanced Server, ACP Thin Manager a Wonderware InTouch 7.11 for Terminal Services. Operátorská aplikace využívá pro řízení přístupu k ní uživatelské účty definované ve Windows Active Directory, což rovněž přispívá k jednoduchosti centrální správy systému.

Operátorské stanice jsou realizovány jako tzv. tenký klient na bezdiskových počítačích třídy Biscuit PC (Advantech). Pro interakci s uživatelem je na každé stanici použita dotyková obrazovka (touch screen) a čtečka otisků prstů pro autentizaci operátorů. Operátorské stanice nejsou vybaveny klávesnicí. V případě nutnosti se alfanumerické znaky vkládají prostřednictvím virtuální klávesnice zobrazené na dotykové obrazovce.

Operátorská aplikace spolupracuje s čtečkami otisků prstů s využitím softwaru AppTima Advanced Security Solution. Čtečky jsou připojeny k sériovým portům operátorských stanic. Aby s nimi mohl software Advanced Security Solution komunikovat, jsou tyto porty nakonfigurovány jako virtuální porty na terminálovém serveru, kde uvedený program běží spolu se všemi operátorskými aplikacemi.

Struktura implementovaného řídicího systému je znázorněna na obr. 1.

Autentizace operátorů
Problematika autentizace operátorů ve společnosti Boots je řešena v rámci softwaru AppTima Advanced Security Solution. Jde o sadu řešení určenou pro integraci bezpečnostní politiky založené na snímání otisků prstů do prostředí operátorských aplikací SCADA.

Uvedený software, tak jak je použit v závodě společnosti Boots v Nottinghamu, zajišťuje tyto úlohy:

• zprostředkování interakce mezi operátorskou aplikací InTouch a čtečkou otisků prstů,

• zabezpečené ukládání elektronických obrazů otisků prstů na terminálový server,

• synchronizace elektronických obrazů otisků prstů mezi primárním a záložním terminálovým serverem,

• vedení záznamů o všech akcích souvisejících s ověřováním identity včetně výsledků těchto akcí,

• realizace bezpečnostní politiky využívající uživatelské účty a skupiny ze softwaru Active Directory,

• zavádění nových uživatelů a otisků jejich prstů do systému,

• správa databáze elektronických obrazů otisků prstů.

Společnost AppTima je aktivní v prosazování nových způsobů autentizace a identifikace jedince do oblasti průmyslového využití. Dokladem je podpora jejího Advanced Security Solution nejen pro různé systémy SCADA (např. Wonderware InTouch, Citect aj.), ale také čteček otisků prstů od různých výrobců (Bioscrypt, Identix). Samozřejmá je flexibilita v implementaci speciálních požadavků, jako je např. podpora prostředí terminálových služeb v případě Boots.

Závěr

Celé dodané řešení je ve společnosti Boots plc oživováno od začátku října 2003, takže na oprávněné hodnocení přínosů nového systému bude třeba ještě počkat. Již nyní je však zřejmé, že navržená koncepce způsobu ověřování identity operátorů bude znamenat vysoký stupeň zabezpečení při minimální zátěži operátorů, kterou by při použití klasických metod ověřování představovala nezbytnost neustále si pamatovat a pomocí klávesnice vkládat složitá hesla.

Je velmi pravděpodobné, že i přes určitá omezení se budou biometrické metody ve stále větší míře prosazovat i v oblasti průmyslových aplikací a systémů, a to zejména díky nabízenému zvýšení úrovně bezpečnosti a značnému zjednodušení postupu prokazování identity jednotlivce.

Ing. Petr Klen, Ph.D.,
AppTima s. r. o.

AppTima s. r. o.
28. října 165
709 00 Ostrava
tel./fax: 597 081 441
e-mail: info@apptima.cz
http://www.apptima.com