В российской нефтяной компании ОАО “Сургутнефтегаз” завершен проект наиболее массового на сегодняшний день в нашей стране внедрения биометрии для проведения аутентификации доступа персонала к рабочим местам. Восемь тысяч сотрудников компании вместо стандартной схемы аутентификации, основанной на вводе имен учетных записей и пользовательских паролей, будут переведены на аутентификацию по отпечатку пальца. Первые полторы тысячи рабочих мест уже оборудованы для этого сканерами производства BioLink и Digent.
Для заказчика в выборе решения ключевыми были надежность, независимость от конкретных биометрических устройств, простота использования и масштабируемость. По его оценке перечисленным требованиям более других соответствовало предложение компании “АстроСофт”. Инфраструктура реализованного этой компанией решения основана на стандартных механизмах доверия и аутентификации домена Microsoft Active Directory, которые поддерживаются контроллером домена и центром распределения ключей протокола сетевой аутентификации Kerberos. Такой подход обеспечивает распределенную аутентификацию пользователей (т.е. на любом имеющемся сервере) и гарантирует целостность и защищенность данных при передаче от клиента серверу и между серверами.
В решении используется программное обеспечение, разработанное на платформе продукта MatchLogon компании “АстроСофт”, которое предназначено для аутентификации пользователей в домене Microsoft Active Directory на основе биометрических характеристик. Поддержка биометрических устройств основана на использовании открытого стандарта BioAPI, который в ближайшее время может стать первым международным ISO/IEC-стандартом в области разработки и использовании биометрических технологий и систем. Применение BioAPI позволяет использовать практически любые существующие на рынке биометрические устройства. Более того, с точки зрения архитектуры решения не существует принципиальной разницы между биометрическими и не биометрическими устройствами аутентификации, т.е. в решении можно задействовать широкий спектр устройств, в том числе электронные ключи, smart-карты, proximity-карты и другие не биометрические аппаратные средства аутентификации. Поддержка стандарта BioAPI позволяет вводить их в систему беспрепятственно. А за 1-2 недели специалисты “АстроСофт” обещают выполнить заказную интеграцию платформы MatchLogon с другими видами оборудования и технологий аутентификации.
Масштабируемость решения основана на интеграции MatchLogon со службой каталогов Active Directory. Active Directory используется в качестве централизованного средства хранения эталонных цифровых моделей отпечатков пальцев пользователей, где они защищены от несанкционированного доступа системными средствами библиотеки интерфейсов Microsoft CryptoAPI. Администрирование системы аутентификации централизовано и осуществляется средствами службы Active Directory через расширенную консоль MMC (Microsoft Management Console) Active Directory Users and Computers (ADUC).