Владислав Шаров
Безпека - це субстанція, яку важко оцінити кількісно, оскільки складно уявити клієнта, який жертвує власною безпекою з міркувань економії. Зростання терористичної загрози та необхідність удосконалення систем забезпечення безпеки призвели до того, що обсяг ринку біометричного обладнання останнім часом почав швидко зростати, - очікується, що до 2007 р. він досягне 7 млрд дол. Найбільшими замовниками біометричних систем стануть не лише комерційні установи, але та державні служби та відомства. Особлива увага приділятиметься аеропортам, стадіонам та іншим об'єктам, які потребують систем масового контролю відвідувачів.
Вже в 2006 р. громадяни країн Євросоюзу стануть володарями так званих електронних паспортів - документів, побудованих на спеціальній мікросхемі, в якій записані деякі біометричні дані власника (наприклад, інформація про відбитки пальців, райдужну оболонку ока), а також супутні цивільні дані (номери картки страхування, посвідчення водія, банківських рахунків тощо). Область застосування таких документів практично необмежена: їх можна використовувати як міжнародні посвідчення особи, кредитні картки, медичні картки, страхові поліси, перепустки – список можна продовжувати та продовжувати. 20 вересня 2004 р. Президент РФ підписав розпорядження про створення міжвідомчої групи, яка має займатися підготовкою до впровадження паспортів із біометричною інформацією. Термін для підготовки пакета документів було надано до 1 січня 2006 р.
Але якщо в повсякденному житті до біометричних систем нам ще доведеться звикати, то в деяких сферах біометрія вже активно використовується протягом декількох років. І одна з таких областей – комп'ютерна безпека. Найпоширеніше рішення на базі біометричних технологій - це ідентифікація (або верифікація) за біометричними характеристиками в корпоративній мережі або запуску робочої станції (ПК, ноутбук і т. д.).
Біометричне розпізнавання об'єкта полягає у порівнянні фізіологічних чи психологічних особливостей цього об'єкта з його характеристиками, що зберігаються у базі даних системи. Головна мета біометричної ідентифікації полягає у створенні такої системи реєстрації, яка б дуже рідко відмовляла у доступі легітимним користувачам і водночас повністю виключала несанкціонований вхід до комп'ютерних сховищ інформації. У порівнянні з паролями та картками така система забезпечує набагато надійніший захист, адже власне тіло не можна ні забути, ні втратити.
Якщо йдеться про захист робочої станції, шаблони біометричних даних (наприклад, відбитків пальців) зареєстрованих користувачів знаходяться в захищеному сховищі безпосередньо на цій робочій станції. Після успішного проходження процедури біометричної ідентифікації користувачеві надається доступ до операційну систему. У разі корпоративної мережі всі шаблони біометричних даних всіх користувачів мережі зберігаються централізовано на спеціально виділеному сервері автентифікації. При вході в мережу користувач, проходячи процедуру біометричної ідентифікації, працює безпосередньо зі спеціалізованим сервером, на якому відбувається перевірка ідентифікаторів, що надаються. Виділення в структурі корпоративної мережі окремого сервера біометричної аутентифікації дозволяє будувати масштабовані мережеві рішеннята зберігати на такому сервері конфіденційну інформацію, доступ до якої буде надано лише за біометричною ідентифікацією ознаки власника інформації.
При побудові корпоративних рішень досить часто, крім входу в мережу, процедури біометричної перевірки інтегруються в інші програми, що використовуються в компанії, наприклад, системи управління підприємством, різні офісні додатки, корпоративне ПЗ і т. д. При такому підході необхідні для ідентифікації дані всіх користувачів централізовано зберігаються на сервері аутентифікації, а сам користувач звільняється від необхідності запам'ятовувати паролі для всіх програм або постійно носити з собою різні картки.
Крім того, досить широке поширення набули кошти криптографічного захисту, в яких доступ до ключів шифрування надається лише після біометричної ідентифікації їхнього власника. Слід зазначити, що у сфері комп'ютерної безпеки шаблон використовуваної біометричної характеристики, зазвичай, піддається односторонньому перетворенню, т. е. з нього не можна шляхом зворотної процедури відновити відбиток пальця чи малюнок райдужної оболонки ока.
Методи аутентифікації
Як відомо, автентифікація має на увазі перевірку справжності суб'єкта, яким у принципі може бути не тільки людина, а й програмний процес. Взагалі, автентифікація індивідів можлива при пред'явленні інформації, що зберігається у різній формі. Аутентифікація дозволяє обґрунтовано та достовірно розмежувати права доступу до інформації, що є у загальному користуванні. Проте, з іншого боку, виникає проблема забезпечення цілісності та достовірності цієї інформації. Користувач повинен бути впевнений, що отримує доступ до інформації з джерела, що заслуговує на довіру, і що дана інформація не була змінена без відповідних санкцій. Пошук збігу один до одного (по одному атрибуту) зазвичай називають верифікацією. Вона відрізняється високою швидкістю та висуває мінімальні вимоги до обчислювальної потужності комп'ютера. А пошук "один до багатьох" називається ідентифікацією.
Біометричні технології аутентифікації можна розділити на дві великі категорії - фізіологічні та психологічні. До першої відносяться методи, що базуються на фізіологічній (статичній) характеристиці людини, тобто невід'ємній, унікальній характеристиці, даній їй від народження. Тут аналізуються такі ознаки, як риси обличчя, структура ока (сітківки або райдужної оболонки), параметри пальців (папілярні лінії, рельєф, довжина суглобів тощо), долоня (її відбиток чи топографія), форма руки, малюнок вен на зап'ясті чи теплова картина.
До групи психологічних відносять так звані динамічні методи, що ґрунтуються на поведінковій (динамічній) характеристиці людини. Іншими словами, вони використовують особливості, характерні для підсвідомих рухів у процесі відтворення будь-якої дії. До таких характеристик відносяться голос людини, особливості її підпису, динамічні параметри листа, особливості введення тексту з клавіатури тощо.
Будь-яка біометрична система дозволяє розпізнавати якийсь шаблон і встановлювати автентичність конкретних фізіологічних чи поведінкових характеристик користувача. Логічно біометричну систему (рис. 1) можна розділити на два модулі: реєстрацію та ідентифікацію. Модуль реєстрації відповідає за те, щоб система навчилася ідентифікувати конкретну людину. На етапі реєстрації біометричні датчики сканують його фізіологічні або поведінкові характеристики, створюючи їх цифрове уявлення. Спеціальний модуль обробляє це уявлення про те, щоб виділити характерні риси і згенерувати більш компактне і виразне уявлення, зване шаблоном. Для зображення обличчя такими характерними рисами можуть бути розмір та відносне розташування очей, носа та рота. Шаблон для кожного користувача зберігається у базі даних біометричної системи.
Модуль ідентифікації відповідає за розпізнавання людини. На етапі ідентифікації біометричний датчик реєструє характеристики людини, ідентифікація якої проводиться, і перетворює ці характеристики на той же цифровий формат, в якому зберігається шаблон. Отриманий шаблон порівнюється зі збереженим, щоб визначити, чи відповідають ці шаблони один одному. При використанні в процесі автентифікації технології ідентифікації відбитків пальців вводиться ім'я користувача для реєстрації, а відбиток пальця замінює пароль. Ця технологія використовує ім'я користувача як вказівник для отримання облікового запису користувача та перевірки відповідності "один до одного" між шаблоном зчитаного під час реєстрації відбитка та збереженим раніше шаблоном для цього імені користувача. В іншому випадку введений під час реєстрації шаблон відбитка пальця зіставляється з усім набором збережених шаблонів.
Безперебійні джерела біометричної інформаціїВосени 2004 р. корпорація APC (http://www.apc.com) анонсувала біометричний менеджер паролів (Biometric Password Manager) – персональний сканер відбитків пальців, що полегшує користувачам ПК та ноутбуків управління особистими паролями. Свій дебют у нетиповому для виробника ДБЖ сегменті в компанії пояснювали прагненням захищати дані на будь-якому етапі їх створення, передачі та зберігання. Воно ж спричинило вихід у світ таких продуктів APC, як сумка TravelPower Case та мобільний маршрутизатор для бездротових мереж(Wireless Mobile Router). Біометрична новинка запам'ятовує до 20 стандартів відбитків пальців, що дозволяє зберігати паролі 20 користувачів в одній комп'ютерній системі. Для ідентифікації користувачеві достатньо прикласти до пристрою палець, конструкція менеджера паролів забезпечує точне сканування відбитка. Завдяки технології AuthenTec TruePrint менеджер сканує відбитки пальців, аналізуючи їх справжню біологічну структуру під поверхнею шкіри, незалежно від таких її типових дефектів, як сухість, потертість, мозолистість, забруднення та жирові плівки. У комплект поставки включений кабель USB та сумісне з ОС Windows 98/Me/2000/XP програмне забезпечення, що дозволяє зберігати необмежену кількість імен користувачів та паролів. |
Статичні методи
По відбитку пальця
В основі цього методу лежить унікальність малюнка папілярних візерунків на пальцях кожної людини (рис. 2). Відбитки пальців - найбільш точна, дружня до користувача та економічна біометрична характеристика з усіх, що використовуються в комп'ютерних системах ідентифікації. Усуваючи потребу в паролях, технологія розпізнавання відбитків пальців скорочує кількість звернень до служби підтримки та знижує витрати на мережеве адміністрування.
Зазвичай системи розпізнавання відбитків пальців ділять на два типи: для ідентифікації, або AFIS (Automatic Fingerprint Identification Systems) і для верифікації. У першому випадку використовуються відбитки всіх 10 пальців.
Переваги доступу по відбитку пальця - простота використання, зручність та надійність. Існують два основні алгоритми розпізнавання відбитків пальців: за окремими деталями (характерними точками) та за рельєфом усієї поверхні пальця. Відповідно в першому випадку пристрій реєструє лише деякі ділянки, унікальні для конкретного відбитка, та визначає їхнє взаємне розташування. У другий випадок обробляється зображення всього відбитка. У сучасних системах все частіше використовується комбінація цих двох способів, що дозволяє уникнути недоліків обох та підвищити достовірність ідентифікації.
Одночасна реєстрація відбитка пальця людини на оптичному сканері займає дуже багато часу. ПЗС-камера, виконана у вигляді окремого пристрою або вбудована у клавіатуру, робить знімок відбитка пальця. Потім за допомогою спеціальних алгоритмів отримане зображення перетворюється на унікальний "шаблон" - карту мікроточок цього відбитка, які визначаються розривами і перетинами ліній. Цей шаблон (а не сам відбиток) шифрується і записується в базу даних для аутентифікації мережевих користувачів. В одному шаблоні зберігається від декількох десятків до сотень мікрокрапок. При цьому користувачі можуть не турбуватися про недоторканність свого приватного життя, оскільки сам відбиток пальця не зберігається і його не можна відтворити мікроточками.
Перевага ультразвукового сканування - можливість визначити необхідні характеристики на брудних пальцях і навіть через тонкі гумові рукавички. Сучасні системи розпізнавання не можна обдурити навіть свіжовідрубаними пальцями (мікросхема вимірює фізичні параметри шкіри).
Імовірність помилки при ідентифікації користувача набагато менша, ніж у інших біометричних методів. Якість розпізнавання відбитка та можливість його правильної обробки алгоритмом сильно залежать від стану поверхні пальця та його положення щодо скануючого елемента. Різні системи пред'являють різні вимоги до цих двох параметрів. Характер вимог, зокрема, залежить від алгоритму.
По геометрії руки
У цій технології оцінюється кілька десятків різних характеристик, включаючи розміри самої долоні в трьох вимірах, довжину і ширину пальців, контури суглобів тощо. , вони дають різні проекції долоні), будується тривимірний образ кисті руки. У плані надійності ідентифікація по геометрії кисті можна порівняти з ідентифікацією по відбитку пальця, хоча пристрій для зчитування відбитків долонь займає більше місця.
 |
Рис. 3. Ідентифікація з геометрії кисті. |
За розташуванням вен на лицьовій стороні долоні
За допомогою інфрачервоної камери зчитується малюнок вен на лицьовій стороні долоні або кисті руки, отримана картинка обробляється і за схемою розташування вен формується цифрова згортка.
За геометрією обличчя
Ідентифікація людини по обличчю, без сумніву, - найпоширеніший спосіб розпізнавання у звичайному житті. Але в плані технічної реалізації вона є складнішою (з математичної точки зору) завдання, ніж розпізнавання відбитків пальців, і вимагає більш дорогої апаратури (цифрової відео- або фотокамери і плати захоплення відеозображення). Після отримання зображення система аналізує параметри обличчя (наприклад, відстань між очима та носом). Цей метод має один істотний плюс: для зберігання даних про один зразок ідентифікаційного шаблону потрібно зовсім небагато пам'яті. А все тому, що, як з'ясувалося, людську особу можна "розібрати" на відносно невелику кількість ділянок, незмінних у всіх людей. Наприклад, для обчислення унікального шаблону, що відповідає конкретній людині, потрібно лише від 12 до 40 характерних ділянок.
При побудові тривимірного образу особи людини у ньому виділяються контури брів, очей, носа, губ тощо. буд., обчислюється відстань з-поміж них і будується непросто образ, та ще й безліч його варіантів випадки повороту особи, нахилу, зміни висловлювання. Число образів варіюється в залежності від цілей застосування даного способу (для аутентифікації, верифікації, віддаленого пошуку на великих територіях тощо). Більшість алгоритмів дозволяє компенсувати наявність у індивіда окулярів, капелюхи та бороди. Для цього зазвичай використовується сканування обличчя в інфрачервоному діапазоні.
По райдужній оболонці ока
Досить надійне розпізнавання забезпечують системи, що аналізують малюнок райдужної оболонки ока людини. Справа в тому, що ця частина людського організму дуже стабільна. Вона практично не змінюється протягом усього життя, не залежить від одягу, забруднень та ран. Зауважимо також, що оболонки правого та лівого ока по малюнку суттєво різняться.
При розпізнаванні по райдужній оболонці розрізняють активні та пасивні системи. У системах першого типу користувач повинен сам налаштувати камеру, пересуваючи її для точного наведення. Пасивні системи простіші у використанні, оскільки камера в них налаштовується автоматично. Висока надійність цього обладнання дозволяє використовувати його навіть у виправних установах.
Перевага сканерів для райдужної оболонки полягає в тому, що вони не вимагають від користувача зосередитись на цілі, тому що зразок плям на райдужній оболонці знаходиться на поверхні ока. Фактично відео зображення ока можна відсканувати на відстані менше метра.
По сітківці очі
Метод ідентифікації по сітківці ока отримав практичне застосуванняпорівняно недавно - десь у середині 50-х років тепер уже минулого століття. Саме тоді було доведено, що навіть у близнюків малюнок кровоносних судин сітківки не співпадає. Для того, щоб зареєструватися в спеціальному пристрої, достатньо подивитися в око камери менше хвилини. За цей час система встигає підсвітити сітківку та отримати назад відбитий сигнал. Для сканування сітківки використовується інфрачервоне випромінювання низької інтенсивності, спрямоване через зіницю до кровоносних судин на задній стінці ока. З отриманого сигналу виділяється кілька сотень початкових характерних точок, інформація про які усереднюється та зберігається в кодованому файлі.
До недоліків подібних систем слід насамперед віднести психологічний фактор: не кожній людині приємно дивитися в невідомий темний отвір, де щось світить у око. До того ж дивитися треба дуже акуратно, оскільки подібні системи зазвичай чутливі до неправильної орієнтації сітківки. Сканери для сітківки ока набули великого поширення для доступу до надсекретних систем, оскільки гарантують один із найнижчих відсотків відмови у доступі для зареєстрованих користувачів та майже нульовий відсоток помилок.
По термограмі обличчя
В основі даного способу аутентифікації лежить унікальність розподілу на обличчі артерій, що забезпечують кров'ю шкіру, які виділяють тепло. Для отримання термограм використовуються спеціальні камери інфрачервоного діапазону. На відміну від розпізнавання геометрії обличчя, даний метод дозволяє розрізняти навіть близнюків.
Динамічні методи
За голосом
Це одна з найстаріших технологій, але в даний час її розвиток прискорився, тому що передбачається широко використовувати її в інтелектуальних будинках. Існує чимало способів побудови коду ідентифікації за голосом; як правило, це різні поєднання частотних та статистичних характеристик голосу. Тут можуть оцінюватися такі параметри, як висота тону, модуляція, інтонація і т. п. На відміну від розпізнавання зовнішності, цей метод не вимагає дорогої апаратури – достатньо звукової плати та мікрофона.
Ідентифікація за голосом зручна, але водночас не така надійна, як інші біометричні методи. Наприклад, людина із застудою може зіткнутися з труднощами під час використання таких систем. Голос формується з комбінації фізіологічних та поведінкових факторів, тому основна проблема, пов'язана з цим біометричним підходом, – це точність ідентифікації. В даний час ідентифікація голосу використовується для управління доступом до приміщення середнього ступеня безпеки.
По рукописному почерку
Як виявилося, підпис - це такий самий унікальний атрибут людини, як і її фізіологічні характеристики. Крім того, метод ідентифікації за підписом є більш звичним для будь-якої людини, оскільки він, на відміну від зняття відбитків пальців, не асоціюється з кримінальною сферою.
Одна з перспективних технологій аутентифікації полягає в унікальності біометричних характеристик руху людської руки під час письма. Зазвичай виділяють два методи обробки даних про підпис: простого порівняння із зразком та динамічної верифікації. Перший з них дуже ненадійний, оскільки заснований на звичайному порівнянні введеного підпису з графічними зразками, що зберігаються в базі даних. Через те, що підпис не може бути однаковим, цей метод працює з великим відсотком помилок. p align="justify"> Метод динамічної верифікації вимагає набагато більш складних обчислень і дозволяє в реальному часі фіксувати параметри процесу підпису, такі, як швидкість руху руки на різних ділянках, сила тиску і тривалість різних етапів підпису. Це дає гарантії того, що підпис не зможе підробити навіть досвідчений графолог, оскільки ніхто не може точно скопіювати поведінку руки власника підпису.
Користувач, використовуючи стандартний дигітайзер і ручку, імітує свій звичайний підпис, а система зчитує параметри руху і звіряє їх з тими, що були введені в базу даних. При збігу образу підпису з еталоном система прикріплює до документа, що підписується інформацію про ім'я користувача, адресу його електронної пошти, посаду, поточний часта дату, параметри підпису, що включають кілька десятків характеристик динаміки руху (напрямок, швидкість, прискорення) та інші. Ці дані шифруються, потім їм обчислюється контрольна сума, і це шифрується ще раз, утворюючи так звану біометричну мітку. Для налаштування системи знову зареєстрований користувач виконує процедуру підписання документа від п'яти до десяти разів, що дозволяє отримати усереднені показники та інтервал довіри. Вперше цю технологію використала компанія PenOp.
Ідентифікацію підпису не можна використовувати всюди - зокрема, цей метод проблематично застосовувати для обмеження доступу до приміщень або для доступу до комп'ютерні мережі. Однак у деяких областях, наприклад, у банківській сфері, а також усюди, де відбувається оформлення важливих документів, перевірка правильності підпису може стати найефективнішим, а головне, необтяжливим та непомітним способом.
За клавіатурним почерком
Метод в цілому аналогічний до вищеописаного, але замість розпису в ньому використовується якесь кодове слово (якщо використовується особистий паролькористувача, таку аутентифікацію називають двофакторною), і не потрібно ніякого спеціального обладнання, крім стандартної клавіатури. Як основна характеристика, за якою будується згортка для ідентифікації, виступає динаміка набору кодового слова.
Порівняння методів
Для порівняння різних методівта способів біометричної ідентифікації використовуються статистичні показники - ймовірність помилки першого роду (не пустити в систему "свого") та помилки другого роду (пустити в систему "чужого"). Сортувати і порівнювати описані вище біометричні методи за показаннями помилок першого роду дуже складно, тому що вони сильно відрізняються для одних і тих самих методів через сильну залежність від обладнання, на якому вони реалізовані. Проте намітилися два лідери - автентифікація за відбитками пальців та райдужною оболонкою ока.
Рішення, що використовують дактилоскопічні методи
Як зазначають експерти, на сьогодні комп'ютерні дактилоскопічні системи досягли такої досконалості, що дозволяють правильно ідентифікувати людину за її відбитками пальців більш ніж у 99% випадків. Конкурс, проведений Національним інститутом стандартів та технологій (NIST) міністерства торгівлі США, виявив трійку призерів серед таких систем. Фахівці NIST провели всебічне тестування 34 представлених на ринку систем ідентифікації з відбитків пальців, розроблених 18 різними компаніями. Фінансувалося дослідження міністерством юстиції США у рамках програми інтеграції систем ідентифікації з відбитків пальців, що використовуються у ФБР та у міністерстві внутрішньої безпеки США.
Для тестування систем використовувався набір із 48 105 комплектів відбитків пальців, що належать 25 309 особам. Найкращі (і приблизно однакові) результати показали системи, що випускаються японською компанією NEC, французькою Sagem та американською Cogent. Дослідження показало, зокрема, що відсоток помилок різних систем істотно залежить від цього, скільки відбитків пальців береться в конкретної людини для ідентифікації. Рекордний результат становив 98,6% при ідентифікації за відбитком одного пальця, 99,6% - за двома та 99,9% - за чотирма і більше пальцями.
На ринку з'являються нові й нові системи, засновані на такому методі ідентифікації. Так, компанія SecuGen (http://www.secugen.com), що спеціалізується на безпеці, пропонує обладнання та ПЗ, що дозволяє застосовувати дактилоскопічну ідентифікацію в мережах під керуванням Windows. Користувачеві достатньо прикласти палець до сенсора, щоб програма його впізнала та визначила рівень допуску. Скануючий сенсор, що використовується в системі, обходиться роздільною здатністю 500 dpi. В даний час система здатна працювати під керуванням Windows NT/2000 та Windows Server 2003. Приємним нововведенням, що полегшує авторизацію, стала можливість зіставляти відбиткам різних пальців користувача різні реєстраційні записи.
Випускаються сьогодні і клавіатури, і миші із вбудованим сканером відбитків пальців (рис. 4). Так, корпорація Microsoft (http://www.microsoft.com) пропонує комплект Microsoft Optical Desktop with Fingerprint Reader (клавіатура плюс миша зі зчитувачем відбитків пальців). Клавіатура Optical Desktop with Fingerprint Feature USB має мультимедійні клавіші, п'ять програмованих кнопок та коліщатко Tilt Wheеl, яким можна прокручувати текст і по вертикалі, і по горизонталі. Бездротова миша Wireless IntelliMouse Explorer поставляється разом з окремим USB-сканером Fingerprint Reader, відрізняється помітно збільшеним часом роботи і також оснащена коліщатком Tilt Wheel.
 |
Рис. 4. Миша зі сканером. |
Однак той факт, що Microsoft освоїла випуск мишей та клавіатур із вбудованими сканерами відбитків пальців, поки що не означає, що не можна запустити Windows, не пройшовши біометричну ідентифікацію. В даний час корпорація просто слідує за загальною тенденцією. А далі – як знати.
А ось у Casio Computer розроблений прототип РК-дисплея із вбудованим сканером відбитків пальців. Пристрій, що має діагональ 1,2 дюйми, призначений для мобільних телефонів. Сканери відбитків пальців, як правило, виконуються на ПЗЗ-матрицях, що захоплюють зображення, або на базі масиву конденсаторних датчиків, ємність яких змінюється відповідно до характеру малюнка. У конструкції дисплея Casio використовується шар оптичних датчиків на прозорій підкладці товщиною 0,7 мм, яка, в свою чергу, розміщується поверх звичайного РК-екрана. Як пояснюють у Casio, ПЗЗ-датчики погано зчитують відбитки з забруднених пальців, а конденсаторні – якщо шкіра надто суха. За твердженням представників компанії, її оптичні датчикизазначених недоліків позбавлені.
Телефон з "відбитком"Першою, хто зважився вбудувати в мобільний телефонсистему розпізнавання відбитків пальців стала корейська компанія Pantech (http://www.pantech.com). На початку осені минулого року вона вийшла на ринок із моделлю GI100. До краси кольорового дисплея, фотокамери, ігор та інших функцій меню зможуть дістатися лише зареєстровані користувачі (відбитки, що залишили в пам'яті телефону). Доторкнувшись до сенсора, власник може розблокувати клавіатуру та отримати доступ до всіх розділів меню. Функція Secret Finger Dial реалізує швидкий додзвон по 10 "секретним" телефонним номерам, причому кожному можна порівняти окремий відбиток пальця лівої чи правої руки. |
На "біометричному фронті" активно працюють і вітчизняні компанії. Один із основних напрямків діяльності компанії "ЦентрІнвест Софт" (http://www.centreinvest.com) - "біометрія для бізнесу" (bio2b). Зазначимо, що компанія має ліцензії Держтехкомісії РФ та ФАПСІ на виконання робіт у галузі захисту інформації та використання засобів криптографічного захисту, а також ліцензію ФСБ на право роботи з документами, що містять відомості, що становлять державну таємницю. Біометричні рішення "ЦентрІнвест Софт" можна поділити за призначенням на дві великі групи: біометричний захист інформаційних ресурсів та біометрична ідентифікація при обмеженні фізичного доступу. Для захисту інформаційних ресурсів компанія пропонує як власні розробки, і продукти інших (російських і зарубіжних) підприємств.
Так, програмно-апаратне рішення bio2b BioTime призначене для створення системи контролю та обліку реального робочого часу персоналу. Воно також постачає керівництву оперативну інформацію про відсутніх працівників. Рішення складається з програмно-апаратного комплексу BioTime (обладнання для біометричної аутентифікації, сервер зберігання облікових записів та бази даних подій, ПЗ для реєстрації приходу/догляду співробітників, автоматичного створення звітів та їх розсилки) та набору послуг (постачання та настроювання обладнання та ПЗ, супровід системи, навчання користувачів та системних адміністраторів).
BioTime працює в такий спосіб. На контрольному пункті встановлюється ПК із біометричним сканером та клієнтським ПЗ. Приходячи на роботу, співробітник прикладає палець до вікна сканера біометричної автентифікації. Система упізнає працівника відповідно до його обліковим записому базі даних та реєструє подію. Після закінчення робочого дня виконується аналогічна процедура. Процес сканування та розпізнавання займає 1-2 с. Крім ПК на місцях аутентифікації, сервера бази даних та ПЗ BioTime, до складу комплексу входять біометричні сканери відбитків пальців U-Match Book або U-Match Mouse компанії BioLink Technologies (http://www.biolink.ru), сертифіковані Держтехкомісією та Держстандартом РФ . Зауважимо, що дані пристрої мають функції захисту від муляжів і "мертвих" пальців.
Інше рішення, bio2b BioVault, є програмно-апаратний комплекс для захисту конфіденційної інформації, що зберігається на ПК, від несанкціонованого доступу (використання, спотворення, розкрадання). Він поєднує в собі технології біометричної автентифікації користувачів за відбитками пальців та програмні засобишифрування інформації. В комплекс входять сканери відбитків пальців BioLink U-Match Book або BioLink U-Match Mouse, клієнтське програмне забезпечення BioLink Authentication Center для аутентифікації користувачів при вході в мережу Microsoft Windows(підтримуються домени Windows NT/2000, Active Directory) та Novell NetWare, а також система шифрування конфіденційної інформації BioVault компанії SecurIT (http://www.securit.ru). Остання дозволяє створювати та використовувати захищені логічні диски, що являють собою спеціальні файли-контейнери на жорсткому, знімному або мережному диску, де інформація зберігається у зашифрованому вигляді та недоступна для сторонніх навіть при вилученні диска чи комп'ютера.
Не залишаються осторонь біометрії та гранди комп'ютерної індустрії. Починаючи з 1999 р., коли IBM (http://www.ibm.com) анонсувала перший у галузі ПК із вбудованою підсистемою безпеки, корпорація фактично встановлює стандарти безпеки для інших виробників ПК. Будучи засновником організації Trusted Computing Group (http://www.trustedcomputinggroup.org), що займається розробкою галузевих стандартів безпеки, IBM приділяє особливу увагу створенню новаторських та захищених ПК у галузі. У жовтні минулого року корпорація представила перший ноутбук ThinkPad T42 із вбудованим сканером відбитків пальців. Тепер до цього сімейства входить модель, яка не тільки спрощує доступ до закритих ресурсів (наприклад, до особистої та фінансової інформації, Web-сайтів, документів та електронній пошті), але й забезпечує високий рівень захисту даних за допомогою нових засобів біометричного контролю та вбудованої підсистеми безпеки.
У перших "біометричних" ноутбуках IBM ThinkPad сканер відбитків пальців працює спільно з підсистемою безпеки Embedded Security Subsystem, утворюючи додатковий рубеж захисту, органічно вбудований у систему. Сканер відбитків пальців розташований під підставці під зап'ястя, під курсорним блоком (рис. 5). Для входу в систему, виклику додатків, доступу до Web-сайтів або баз даних користувачеві достатньо провести пальцем по невеликому горизонтальному датчику. Процес сканування займає лише кілька секунд; таким чином зручність застосування поєднується з максимальним рівнем захисту, доступним у стандартних ноутбуках. Сканер відбитків ThinkPad фіксує більше даних, ніж традиційні датчики зображень, оскільки він сканує велику площу поверхні пальця, виключаючи цим помилки при ідентифікації.
IBM також удосконалила свою апаратно-програмну систему Embedded Security Subsystem, випустивши оновлену версію програмного забезпечення Client Security Software Version 5.4 з додатковим компонентом захисту Secure Password Manager. У новій версії спрощені процеси встановлення та застосування, крім того, це ПЗ вперше поставляється в попередньо встановленому вигляді. Нова версія підтримує ідентифікацію за відбитками пальців і складними паролями, причому обидва методи ідентифікації можуть використовуватися і спільно, і як альтернатива один одному. Нове ПЗ та вбудована мікросхема захисту інтегровані зі сканером відбитків пальців, що забезпечує захист найважливішої інформації(у тому числі ключів шифрування, електронних реквізитів та паролів) та запобігає несанкціонованому використанню ноутбука.
Зазначимо, що система безпеки Embedded Security Subsystem – це один із ключових компонентів набору технологій IBM ThinkVantage, який спрощує розгортання, підключення, захист та підтримку ноутбуків ThinkPad та настільних ПК ThinkCentre. Сканер відбитків пальців - лише один з компонентів цілого комплексу засобів безпеки IBM. У цей комплекс входять сервери, ОС, засоби ідентифікації, ПЗ, Інтернет-конфіденційність, мережевий доступ, інформаційні сховища, засоби системного управління, а також консалтингові рішення. Комплекс захищає інформацію від загроз з боку хакерів, вірусів та хробаків, від електронного спаму, від проблем, пов'язаних із використанням нових бездротових технологій, а також забезпечує відповідність вимогам урядових нормативних актів щодо інформаційної безпеки.
IBM також стала авторизованим реселлером ПЗ компанії Utimaco (http://www.utimaco.com), яке забезпечує повне шифрування всього вмісту жорсткогодиска. Ця функція захищає ноутбук від несанкціонованого використання у разі його крадіжки або втрати. Utimaco Safeguard Easy - це перший продукт для повного шифрування дисків, повністю сумісний з технологією IBM Rescue and Recovery з набору ThinkVantage, яка в автоматичному режимізабезпечує резервне копіювання/відновлення вмісту всього жорсткого диска, гарантуючи захист від втрати даних у разі відмови ОС. За наявною інформацією, у 2005 р. корпорація розширить використання біометричних рішень безпеки, про які було оголошено раніше, оснастивши вбудованими сканерами відбитка пальця інші моделі ноутбуків ThinkPad та запропонувавши нові засоби сканування відбитка пальця для настільних ПК ThinkCentre та ноутбуків ThinkPad.
Сучасна наука не стоїть дома. Все частіше і частіше потрібно якісний захист для пристроїв, щоб той, хто випадково ними заволодів, не зміг повною мірою скористатися інформацією. Крім цього, методи охорони інформації використовуються не тільки у повсякденному житті.
Крім введення паролів у цифровому вигляді, застосовуються і більш індивідуалізовані біометричні системи захисту
Що це таке?
Раніше така система застосовувалася лише в обмежених випадках для захисту найважливіших стратегічних об'єктів.
Потім, після 11 вересня 2011 року, дійшли висновку, що такий і доступ може бути застосований не тільки в цих областях, а й в інших сферах.
Таким чином, прийоми ідентифікації людини стали незамінними у ряді методів боротьби з шахрайством та тероризмом, а також у таких галузях, як:
Біометричні системи доступу до технологій зв'язку, мережевих та комп'ютерних баз;
Бази даних;
Контроль доступу до сховищ інформації та ін.
Кожна людина має набір характеристик, які не змінюються згодом, або такі, що можуть модифікуватися, але при цьому належати лише конкретній особі. У зв'язку з цим можна виділити такі параметри біометричних систем, що використовуються в цих технологіях:
Статичні – відбитки пальців, фотографування вушних раковин, сканування сітківки ока та інші.
Технології біометрики в перспективі замінять звичайні методи автентифікації людини за паспортом, тому що вбудовані чіпи, карти тощо нововведення наукових технологій впроваджуватимуться не тільки в цей документ, а й в інші.
Невеликий відступ щодо способів розпізнавання особистості:
- Ідентифікація- один до багатьох; зразок порівнюється з усіма наявними за певними параметрами.
- Аутентифікація- один до одного; зразок порівнюється з раніше одержаним матеріалом. При цьому особа може бути відома, отримані дані людини порівнюються з наявним в базі зразком параметра цієї особи;
Як працюють біометричні системи захисту
Для того щоб створити базу під певну людину, необхідно вважати її біологічні індивідуальні параметри спеціальним пристроєм.
Система запам'ятовує одержаний зразок біометричної характеристики (процес запису). При цьому, можливо, потрібно зробити кілька зразків для складання точного контрольного значення параметра. Інформація, отримана системою, перетворюється на математичний код.
Крім створення зразка, система може запросити зробити додаткові дії для того, щоб поєднати особистий ідентифікатор (ПІН-код або смарт-карту) та біометричний зразок. Надалі, коли відбувається сканування щодо відповідності, система порівнює отримані дані, порівнюючи математичний код з уже записаними. Якщо вони збігаються, це означає, що автентифікація пройшла успішно.
Можливі помилки
Система може видавати помилки, на відміну від розпізнавання паролями або електронними ключами. І тут розрізняють такі види видачі неправильної информации:
Помилка 1 роду: коефіцієнт помилкового доступу (FAR) - одна особа може бути прийнята за іншу;
Помилка 2 роду: коефіцієнт помилкової відмови у доступі (FRR) - людина не розпізнається у системі.
Щоб виключити, наприклад, помилки даного рівня, необхідно перетин показників FAR і FRR. Однак це неможливо, тому що для цього потрібно було б проводити ідентифікацію людини за ДНК.
Відбитки пальців
На даний момент найвідоміший метод біометрики. При отриманні паспорта сучасні громадяни Росії обов'язково проходять процедуру зняття відбитків пальців для внесення в особисту картку.
Даний метод заснований на неповторності пальців і використовується вже тривалий час, починаючи з криміналістики (дактилоскопія). Скануючи пальці, система переводить зразок у своєрідний код, який порівнюється з існуючим ідентифікатором.
Як правило, алгоритми обробки інформації використовують індивідуальне розташування певних точок, які містять відбитки пальців - розгалуження, закінчення лінії візерунка тощо.
Обладнання, у тому числі й програмне забезпечення для нього, виготовляються на даний момент у комплексі та коштують відносно недорого.
Виникнення помилок при скануванні пальців руки (або обох рук) виникають досить часто, якщо:
Є невластива вологість або сухість пальців.
Руки оброблені хімічними елементами, які ускладнюють ідентифікацію.
Є мікротріщини чи подряпини.
Є великий та безперервний потік інформації. Наприклад, це можливо для підприємства, де доступом до робочого місця здійснюється з допомогою дактилоскопа. Оскільки потік людей є значним, система може давати збій.
Найбільш відомі компанії, що займаються системами розпізнавання відбитків пальців: Bayometric Inc., SecuGen. У Росії над цим працюють: "Сонда", BioLink, "СмартЛок" та ін.
Ока райдужна оболонка
Малюнок оболонки формується на 36-му тижні внутрішньоутробного розвитку, встановлюється до двох місяців і не змінюється протягом життя. Біометричні системи ідентифікації по райдужній оболонці є не лише найточнішими серед інших у цьому ряду, а й одними з найдорожчих.
Перевага способу полягає в тому, що сканування, тобто захоплення зображення може відбуватися як на відстані 10 см, так і на 10-метровому видаленні.
При фіксації зображення дані розташування певних точок на райдужці очі передаються в обчислювач, який потім видає інформацію про можливість допуску. Швидкість обробки відомостей про райдужність людини становить близько 500 мс.
На даний момент дана системарозпізнавання на біометричному ринку займає трохи більше 9% від загальної кількості таких способів ідентифікації. У той самий час частка ринку, яку займають технології з відбитків пальців, становить понад 50%.
Сканери, що дозволяють захоплювати та обробляти райдужку ока, мають досить складну конструкцію та ПЗ, а тому на такі пристрої встановлена висока ціна. Крім цього, монополістом у виробництві систем розпізнавання людини спочатку була компанія Iridian. Потім на ринок стали заходити й інші великі компанії, які займалися виробництвом компонентів різних пристроїв.
Таким чином, на даний момент у Росії існують наступні компанії, які формують системи розпізнавання людини по райдужці ока: AOptix, SRI International. Однак дані фірми не надають показників за кількістю помилок 1 і 2 роду, тому не факт, що система не захищена від підробок.
Геометрія обличчя
Існують біометричні системи безпеки, пов'язані з розпізнаванням по обличчю у 2D та 3D-режимах. Взагалі вважається, що риси обличчя кожної людини є унікальними і не змінюються протягом життя. Незмінними залишаються такі характеристики, як відстані між певними точками, форма тощо.
2D-режим є статичним способом ідентифікації. При фіксації зображення необхідно, що людина не рухалася. Мають також значення фон, наявність вусів, бороди, яскраве світло та інші фактори, що заважають системі розпізнати обличчя. Це означає, що за будь-яких неточностей виданий результат буде неправильним.
На даний момент цей метод не особливо популярний через свою низьку точність і застосовується тільки в мультимодальної (перехресної) біометрії, що є сукупністю способів розпізнавання людини по обличчю та голосу одночасно. Біометричні системи захисту можуть включати й інші модулі - по ДНК, відбиткам пальців та інші. Крім цього, перехресний спосіб не вимагає контакту з людиною, яку необхідно ідентифікувати, що дозволяє розпізнавати людей з фотографії та голосу, записаних на технічні пристрої.
3D-метод має зовсім інші параметри, тому не можна його порівнювати з 2D-технологією. Під час записування зображення використовується особа в динаміці. Система, фіксуючи кожне зображення, створює 3D-модель, з якою потім порівнюються отримані дані.
У цьому випадку використовується спеціальна сітка, яка проектується на особу людини. Біометричні системи захисту, роблячи кілька кадрів на секунду, обробляють зображення програмним забезпеченням, що входять до них. На першому етапі створення образу програмного забезпечення відкидає невідповідні зображення, де погано видно обличчя або присутні вторинні предмети.
Потім програма визначає та ігнорує зайві предмети(Окуляри, зачіска та ін). Антропометричні особливості особи виділяються та запам'ятовуються, генеруючи унікальний код, який заноситься до спеціального сховища даних. Час захоплення зображення становить близько 2 секунд.
Однак, незважаючи на перевагу методу 3D перед 2D-способом, будь-які суттєві перешкоди на обличчі або зміна міміки погіршують статистичну надійність цієї технології.
Сьогодні біометричні технології розпізнавання по обличчю застосовуються поруч із найвідомішими вищеописаними методами, становлячи приблизно 20% всього ринку біометричних технологій.
Компанії, що займаються розробкою та впровадженням технології ідентифікації по особі: Geometrix, Inc., Bioscrypt, Cognitec Systems GmbH. У Росії над цим питанням працюють такі фірми: Artec Group, Vocord (2D-метод) та інші менш великі виробники.
Відня долоні
Років 10-15 тому прийшла нова технологіябіометричної ідентифікації – розпізнавання за венами руки. Це стало можливим завдяки тому, що гемоглобін, який знаходиться в крові, інтенсивно поглинає інфрачервоне випромінювання.
Спеціальна камера ІЧ фотографує долоню, внаслідок чого на знімку з'являється сітка вен. Дане зображенняобробляється ПЗ, і видається результат.
Розташування вен на руці порівняно з особливостями райдужної ока - їх лінії і структура не змінюються з часом. Достовірність даного методу теж можна співвіднести з результатами, отриманими за ідентифікації за допомогою райдужної оболонки.
Контактувати для захоплення зображення пристроєм, що зчитує, не потрібно, однак використання цього справжнього методу вимагає дотримання деяких умов, за яких результат буде найбільш точним: неможливо отримати його, якщо, наприклад, сфотографувати руку на вулиці. Також під час сканування камеру не можна засвічувати. Кінцевий результат буде неточним, якщо є вікові захворювання.
Поширення методу над ринком становить лише близько 5%, проте до нього проявляється великий інтерес із боку великих компаній, які вже розробляли біометричні технології: TDSi, Veid Pte. Ltd., Hitachi VeinID.
Сітківка ока
Сканування малюнка капілярів лежить на поверхні сітківки вважається найдостовірнішим методом ідентифікації. Він поєднує у собі найкращі характеристикибіометричних технологій розпізнавання людини по райдужці очей та вен руки.
Єдиний момент, коли метод може дати неточні результати – катаракта. Здебільшого сітківка має незмінну структуру протягом усього життя.
Мінус цієї системи полягає в тому, що сканування сітківки ока проводиться тоді, коли людина не рухається. Складна за своїм застосуванням технологія передбачає тривалий час обробки результатів.
З огляду на високу вартість біометрична система не має достатнього поширення, проте дає найточніші результати з усіх запропонованих на ринку методів сканування людських особливостей.
Руки
Раніше популярний спосіб ідентифікації геометрії рук стає менш застосовуваним, так як дає найнижчі результати в порівнянні з іншими методиками. При скануванні фотографуються пальці, визначаються їхня довжина, співвідношення між вузлами та інші індивідуальні параметри.
Форма вух
Фахівці говорять про те, що всі існуючі методиідентифікації не настільки точні, як розпізнавання людини за є є спосіб визначення особистості по ДНК, але в цьому випадку відбувається тісний контакт з людьми, тому його вважають неетичним.
Дослідник Марк Ніксон із Великобританії заявляє, що методи даного рівня – біометричні системи нового покоління, вони дають найточніші результати. На відміну від сітківки, райдужної оболонки або пальців, на яких можуть з великою ймовірністю з'явитися сторонні параметри, що ускладнюють ідентифікацію, на вухах такого не буває. Сформоване у дитинстві, вухо тільки росте, не змінюючись за своїми основними точками.
Метод ідентифікації людини органом слуху винахідник назвав «променеве перетворення зображення». Дана технологіяпередбачає захоплення зображення променями різного кольору, що потім перетворюється на математичний код.
Проте, за словами вченого, його метод має і негативні сторони. Наприклад, отриманню чіткого зображення можуть завадити волосся, яке закриває вуха, помилково вибраний ракурс та інші неточності.
Технологія сканування вуха не замінить собою такий відомий та звичний спосіб ідентифікації, як відбитки пальців, проте може використовуватися поряд з ним.
Вважають, що це збільшить надійність розпізнавання людей. Особливо важливою є сукупність різних методів (мультимодальна) у затриманні злочинців, вважає вчений. В результаті дослідів та досліджень сподіваються створити ПЗ, яке використовуватиметься в суді для однозначної ідентифікації винних осіб за зображенням.
Голос людини
Ідентифікація особи може бути проведена як на місці, так і віддаленим способом, за допомогою технології розпізнавання голосу.
При розмові, наприклад, по телефону, система порівнює цей параметр з наявними в основі і знаходить схожі зразки у відсотковому відношенні. Повний збіг означає, що особу встановлено, тобто відбулася ідентифікація за голосом.
Для того, щоб отримати доступ до чогось традиційним способомнеобхідно відповісти на певні питання, що забезпечують безпеку. Це цифровий код, дівоче прізвище матері та інші текстові паролі.
Сучасні дослідження у цій галузі показують, що цією інформацією досить легко оволодіти, тому можуть застосовуватися такі методи ідентифікації, як голосова биометрия. У цьому перевірці підлягає не знання кодів, а особистість людини.
Для цього клієнту потрібно вимовити якусь кодову фразу або почати розмовляти. Система розпізнає голос того, хто дзвонить і перевіряє його приналежність цій людині - чи є вона тим, за кого себе видає.
Біометричні системи захисту інформації даного типуне вимагають дорогого обладнання, у цьому полягає їхня перевага. Крім цього, для проведення сканування голосу системою не потрібно мати спеціальних знань, оскільки пристрій самостійно видає результат на кшталт "істина – брехня".
По почерку
Ідентифікація людини за способом написання букв має місце практично у будь-якій сфері життя, де необхідно ставити підпис. Це відбувається, наприклад, у банку, коли фахівець звіряє зразок, сформований під час відкриття рахунку, з підписами, проставленими при черговому відвідуванні.
Точність цього невисока, оскільки ідентифікація відбувається за допомогою математичного коду, як і попередніх, а простим порівнянням. Тут високий рівень суб'єктивного сприйняття. Крім цього, почерк із віком сильно змінюється, що часто ускладнює розпізнавання.
Краще в цьому випадку використовувати автоматичні системи, які дозволять визначити не тільки видимі збіги, але й інші риси написання слів, такі як нахил, відстань між точками та інші характерні особливості.
Як показує аналіз сучасного російського ринку технічних засобів забезпечення безпеки, у розвитку індустрії безпеки сьогодні намітився новий етап. На загальному тлі ринку, що стабілізувався, найбільш динамічно продовжують розвиватися сучасні системи ідентифікації особистості та захисту інформації. Особливу увагу привертають до себе біометричні засоби захисту інформації(БСЗІ), що визначається їх високою надійністю ідентифікації та значним проривом у галузі зниження їх вартості.
В даний час вітчизняною промисловістю та низкою зарубіжних фірм пропонується досить широкий набір різних засобів контролю доступу до інформації, в результаті чого вибір оптимального їх поєднання для застосування в кожному конкретному випадку зростає в самостійну проблему. За своїм походженням на російському ринку в даний час представлені як вітчизняні, так і імпортні БСЗІ, хоча існують спільно розроблені кошти. По конструктивним особливостям можна назвати системи, виконані як моноблока, кількох блоків у вигляді приставок до комп'ютерів. Можлива класифікація біометричних засобів захисту інформації, представлених на російському ринку, за біометричними ознаками, принципами дії та технології реалізації наведена на рис. 2.
Рис. 2. Класифікація сучасних біометричних засобів захисту
В даний час біометричні системи контролю доступу до інформації завойовують все більшу популярність у банках, фірмах, пов'язаних із забезпеченням безпеки в телекомунікаційних мережах, в інформаційних відділах фірм і т. д. Розширення застосування систем цього типу можна пояснити як зниженням їхньої вартості, так і підвищенням вимог щодо рівня безпеки. Подібні системина російському ринку з'явилися завдяки фірмам "Identix", "SAC Technologies", "Eyedentify", "Biometric Identification Inc.", "Recognition Systems", "Trans-Ameritech", "BioLink", "Sonda", "Elsys", " Едванс”, “ААМ Системз”, “Полмі груп”, “Маском”, “Біометричні системи” та ін.
До сучасних біометричних систем контролю доступу до інформації входять системи перевірки за голосом, формою кисті руки, малюнком шкіри пальців, сітківкою або райдужною оболонкою ока, фотографією обличчя, термограмою обличчя, динамікою підпису, фрагментами генетичного коду та ін. (рис. 3).
Рис. 3. Основні сучасні біоознаки персональної ідентифікації
Всі біометричні системи характеризуються високим рівнем безпеки, насамперед тому, що дані, що використовуються в них, не можуть бути втрачені користувачем, викрадені або скопійовані. В силу свого принципу дії багато біометричних систем поки що відрізняються порівняно малою швидкодією і низькою пропускною здатністю. Тим не менш, вони є єдиним вирішенням проблеми контролю доступу на особливо важливих об'єктах з нечисленним персоналом. Наприклад, біометрична система може контролювати доступ до інформації та сховищ у банках, її можна використовувати на підприємствах, зайнятих обробкою цінної інформації, для захисту ЕОМ, засобів зв'язку тощо. За оцінками фахівців, понад 85% встановлених у США засобів біометричного контролю доступу призначалися для захисту машинних залів ЕОМ, сховищ цінної інформації, дослідницьких центрів, військових установок та установ.
В даний час є велика кількість алгоритмів та методів біометричної ідентифікації, що відрізняються точністю, вартістю реалізації, зручністю використання тощо. Однак у всіх біометричних технологій існують загальні підходи до вирішення задачі ідентифікації користувача. Узагальнений алгоритм біометричної ідентифікації, характерний всім відомих БСЗИ, наведено на рис. 4.
Рис. 4. Узагальнений алгоритм біометричної ідентифікації
Як видно з представленого алгоритму, біометрична система розпізнавання встановлює відповідність конкретних поведінкових або фізіологічних характеристик користувача деякому заздалегідь заданому шаблону. Як правило, біометрична система, що реалізує цей узагальнений алгоритм, складається з трьох основних блоків та бази даних (рис. 5).
Рис. 5. Блок-схема типової системи біометричного захисту інформації
Найбільше застосування в даний час знайшли біометричні системи захисту інформації, що використовують ідентифікацію особистості відбитку пальця. Зокрема, системи контролю доступу до інформації TouchLock”(“TouchClock”) фірми “Identix” США базуються на реєстрації такої індивідуальної ознаки людини, як відбиток пальця руки. Ця ознака використовується як контрольний образ. Тримерний відбиток пальця, що записується у вигляді контрольного образу, сканується оптичною системою, аналізується, оцифровується, зберігається в пам'яті терміналу або в пам'яті керуючого комп'ютера і використовується для перевірки кожного, хто видає себе за авторизованого користувача. При цьому пам'ять пристрою не містить реальних відбитків пальців, що не дозволяє їх вкрасти порушнику. Типовий час занесення на згадку про один контрольний відбиток пальця становить до 30 с. Кожен занесений на згадку терміналу авторизований користувач набирає pin-код на клавіатурі термінала “TouchLock” і проходить стадію перевірки ідентичності, що займає приблизно 0,5 – 2 з. Під одним pin-кодом зазвичай зберігається зразок відбитка одного пальця, але в деяких випадках можлива автентифікація за відбитками трьох пальців. При збігу пред'явленого та контрольного відбитків термінал подає сигнал на виконавчий пристрій: електрозамок, шлюз тощо.
Термінал “ TouchSafe” TS-600 призначений для забезпечення доступу до серверів, комп'ютерів тощо. Він складається з сенсорного модуля та плати, яка вставляється в слот (ISA 16-біт) комп'ютера. Для організації мережевого варіанта роботи використовується термінал TouchNet”,забезпечує швидкість передачі до 230,4 Кбод при довжині лінії до 1200 м. Для організації мережевої роботи фірмою “Identix” розроблено спеціальне програмне забезпечення (система “ Fingerlan III”).
Для захисту комп'ютерної інформаціїРосійський ринок пропонує простішу і дешевшу систему біометричного контролю доступу до комп'ютерної інформації SACcat”. Система “SACcat” виробництва фірми SAC Technologies складається зі зчитувального пристрою, пристрої перетворення та програмного забезпечення.
Зчитуючий пристрій є зовнішнім компактним сканером на основі оптикоелектронного перетворювача з автоматичним підсвічуванням, що має світлові індикатори готовності і процесу сканування. Підключення сканера до пристрою перетворення здійснюється за допомогою двох кабелів (Video та RJ45), які призначені для передачі відеосигналу та для керування відповідно.
Пристрій перетворення перетворення відеосигналу і введення його в комп'ютер, а також управління зчитуючим пристроєм. Конструктивно система “SACcat” може бути підключена або як внутрішня через ISA-картку, або як зовнішня через паралельний EPP або USB-порт.
Система “SACcat” та програмне забезпечення SACLogon контролюють доступ до робочих станцій та/або серверам Windows NT, а також до відповідних ресурсів, що захищаються парольною системою Windows NT. При цьому у системного адміністратора залишається можливість використовувати свій звичайний (не біоключ) пароль, зареєстрований у Windows NT. Система здатна здійснити ефективний захист від несанкціонованого доступу до мереж фінансових організацій, страхових компаній, медичних установ, мереж різних комерційних структур, індивідуальних робочих станцій.
Необхідно відзначити, що в даний час засоби автоматичної ідентифікації особистості на малюнку шкіри пальця найбільш відпрацьовані і пропонуються багатьма зарубіжними фірмами для використання в БСЗІ (особливо для використання в комп'ютерних системах). У тому числі, крім розглянутих вище, можна назвати пристрій ідентифікації SecureTouchфірми Biometric Access Corp., пристрій BioMouseфірми American Biometric Corp., блок ідентифікації фірми Sony, пристрій Secure Keyboard Scannerфірми National Registry Inc. та інші. Зазначені засоби підключаються безпосередньо до комп'ютера. Основною їх особливістю є висока надійність за порівняно низької вартості. Деякі порівняльні характеристики біометричних засобів захисту комп'ютерної інформації на малюнку шкіри пальця наведені в табл. 1.
Таблиця 1. Порівняльні характеристики біометричних засобів захисту комп'ютерної інформації
| Характеристика | TouchSAFE Personal (Identix) | U.are.U (Digital Persona) | FIU (SONY, I/O Software) | BioMouse (ABC) | TouchNet III (Identix) |
| Помилка першого роду, % | - | ||||
| Помилка другого роду, % | 0,001 | 0,01 | 0,1 | 0,2 | 0,001 |
| Час реєстрації, c | - | ||||
| Час ідентифікації, з | 0,3 | ||||
| Шифрування | є | є | є | є | є |
| Зберігання даних | є | ні | є | ні | є |
| Джерело живлення | зовнішній 6VDC | USB | зовнішній | зовнішній | зовнішній 12VDC |
| Підключення | RS-232 | USB | RS-232 | RS-485 | RS-232 |
| Ціна, $ | |||||
| Зчитувач Smart-card | є | ні | ні | ні | ні |
Фірма "Eyedentify" (США) пропонує для російського ринку біометричні системи контролю, що використовують як ідентифікаційну ознаку візерунок сітківки ока. При роботі очне яблуко сканується оптичною системою і вимірюється кутовий розподіл кровоносних судин. Для реєстрації контрольного зразка потрібно близько 40 б. Отримана таким чином інформація зберігається у пам'яті системи та використовується для порівняння. Типовий час авторизації не перевищує 60 с.
Нині російському ринку пропонуються три реалізації розглянутого методу. Пристрій " EyeDentification System 7,5”дозволяє здійснювати вхідний контроль із регулюванням часових зон, роздруківку повідомлень у режимі реального часу, ведення журналів проходів тощо. Цей пристрій має два режими роботи: перевірки та розпізнавання. У режимі перевірки після набору PIN-коду відбувається порівняння образу, що зберігається у пам'яті контролера, з пред'явленим. Час перевірки становить трохи більше 1,5 з. У режимі розпізнавання відбувається порівняння зразка з усіма, що знаходяться в пам'яті. Пошук та порівняння займає менше 3 с при загальній кількості зразків 250. При успішній авторизації автоматично активізується реле та подається сигнал на виконавчий механізм безпосередньо або через комп'ютер, що управляє. Звуковий генератор показує стан пристрою. Пристрій забезпечений 8-ми знаковим РК-дисплеєм та 12-ти кнопковою клавіатурою. Місткість енергонезалежної пам'яті до 1200 зразків.
Другий реалізацією розглянутого методу є система “ Ibex 10”, яка, на відміну від пристрою EyeDentification System 7,5, характеризується виконанням оптичного блоку у вигляді пересувної камери. Електронний блок монтується на стіні. Всі інші параметри збігаються.
Третьою реалізацією методу ідентифікації за візерунком сітківки ока є розробка фірми “Eyedentify” – прилад ICAM 2001. У цьому приладі використовується камера з електромеханічним сенсором невеликої відстані(менше 3 см) вимірює природні відбивні та поглинаючі характеристики сітківки. Користувач лише дивиться одним оком на зелений кружок усередині приладу. Для запису картинки очної сітківки використовується випромінювання лампочки потужністю 7 мВт із довжиною хвилі 890 см, що генерує випромінювання в області спектру, близької до інфрачервоної. Ідентифікація сітківки проводиться у разі аналізу даних відбитого сигналу. Людина може бути упізнана з абсолютною точністю з 1500 інших менш ніж за 5 секунд. Один прилад ICAM 2001, якщо він встановлений автономно, має обсяг пам'яті на 3000 чоловік і 3300 досконалих дій. У разі використання у мережі обмежень для роботи в режимі збереження інформації та звітності не існує. Усі три розглянуті продажу можуть працювати як автономно, і у складі мережевих змін.
Незважаючи на великі переваги цього методу (висока надійність, неможливість підробки), він має ряд таких недоліків, які обмежують сфери його застосування (щодо великого часу аналізу, висока вартість, великі габарити, не дуже приємна процедура ідентифікації).
Позбавленими зазначених недоліків є досить широко представлений на російському ринку пристрій. HandKey”(хендкей), що використовує як ідентифікаційну ознаку параметри долоні руки. Цей пристрій є конструкцією (трохи більше телефонного апарату) з нішою, куди перевіряється вкладає свою руку. Крім того, пристрій має мініклавіатуру та рідкокристалічний екран, на якому відображаються дані про ідентифікацію. Справжність особистості визначається з фотографії долоні (у цифровому вигляді), причому, знімок руки зіставляється з стандартом (колишніми даними). При першій реєстрації вводиться персональний код, який заноситься до бази даних.
Рука всередині хендкея фотографується в ультрафіолетовому випромінюванні у трьох проекціях. Отриманий електронний образ обробляється вбудованим процесором, інформація стискається до дев'яти байт, які можна зберігати у базі даних і передавати системами комунікацій. Загальний час процедури становить від 10 секунд до 1 хвилини, хоча сама ідентифікація відбувається за 1...2 секунди. За цей час хендкей звіряє характеристики руки з певними даними, а також перевіряє обмеження для цього користувача, якщо вони існують. При кожній перевірці інформація, що зберігається, автоматично оновлюється, так що всі зміни на руці перевіряється постійно фіксуються.
Хендкей може працювати в автономному режимі, при якому він здатний запам'ятати 20 000 різних образів рук. У його пам'яті може зберігатися календарний план на рік, у якому можна вказати з точністю до хвилини, коли тому чи іншому клієнту дозволено доступ. Конструктори пристрою передбачили можливість його роботи з комп'ютером, підключення схеми управління замком, налаштування його на емуляцію стандартних пристроїв зчитування кредитних картокприєднання принтера для ведення протоколу роботи. У мережному режимі до хендкея можна підключити до 31 пристрою із загальною довжиною лінії (кручена пара) до 1,5 км. Не можна не відзначити і таку особливість пристрою як можливість вбудувати його в існуючу систему управління доступом. Основний виробник хендкею – компанія Escape. Аналіз показує, що на російському ринку пристрій ідентифікації з зображення долоні руки (хендкей) має хороші перспективи, якщо врахувати його простоту експлуатації, досить високі надійні характеристики та низьку ціну.
Залежно від конкретних умов часто застосовуються комбіновані системиконтролю доступу, наприклад, безконтактні пристрої зчитування карток при вході та виході з будівлі у поєднанні із системою контролю доступу за голосом у зонах обробки секретної інформації. Найкращий вибірнеобхідної системи чи поєднання систем може бути зроблено тільки на основі чіткого визначення поточних та перспективних потреб фірми. Так, наприклад, для покращення оперативно-технічних характеристик у системі захисту інформації "Рубіж" використовується комбінація методів ідентифікації по динаміці підпису, спектру мови та персонального коду, записаному в електронному ключі типу "Touch memory".
Основні засоби біометричного контролю доступу до інформації, що надаються російським ринком забезпечення безпеки, наведено у табл. 2.
Таблиця 2. Сучасні технічні засоби біометричного контролю доступу до інформації
| Найменування | Виробник | Постачальник на російському ринку | Біоознак | Примітка |
| SACcat | SAC Technologies, USA | Trans-Ameritech, Маском | Малюнок шкіри пальця | Приставка до комп'ютера |
| TouchLock | Identix, USA | Trans-Ameritech, Маском | Малюнок шкіри пальця | СКД об'єкту |
| Touch Safe | Identix, USA | Trans-Ameritech, Маском | Малюнок шкіри пальця | СКД комп'ютера |
| TouchNet | Identix, USA | Trans-Ameritech, Маском | Малюнок шкіри пальця | СКД мережі |
| Eye Dentification System 7,5 | Eyedentify, USA | Дивекон, Рейдер | Малюнок сітківки ока | СКД об'єкта (моноблок) |
| Ibex 10 | Eyedentify,USA | Дивекон, Рейдер | Малюнок сітківки ока | СКД об'єкта (порт. камера) |
| Veriprint 2000 | Biometric Identification,USA | AAM Системз | Малюнок шкіри пальця | СКД універсал |
| ID3D-R Handkey | Recognition Systems, USA | ААМ Системз, Маском | Малюнок долоні руки | СКД універсал |
| HandKey | Escape, USA | Дивекон | Малюнок долоні руки | СКД універсал |
| ICAM 2001 | Eyedentify, USA | Eyedentify | Малюнок сітківки ока | СКД універсал |
| Secure Touch | Biometric Access Corp. | Biometric Access Corp. | Малюнок шкіри пальця | Приставка до комп'ютера |
| BioMouse | American Biometric Corp. | American Biometric Corp. | Малюнок шкіри пальця | Приставка до комп'ютера |
| Fingerprint Identification Unit | Sony | Інформзахист | Малюнок шкіри пальця | Приставка до комп'ютера |
| Secure Keyboard Scanner | National Registry Inc. | National Registry Inc. | Малюнок шкіри пальця | Приставка до комп'ютера |
| Рубіж | НВФ "Кристал" (Росія) | Маском | Динаміка підпису, параметри голосу | Приставка до комп'ютера |
| Дакточіп Delsy | Елсіс, НВП Електрон (Росія), Опак (Білорусія), P&P (Німеччина) | Елсіс | Малюнок шкіри пальця | Приставка до комп'ютера (в т.ч. для роботи через радіоканал) |
| BioLink U-Match Mouse | BioLink Technologies (США) | CompuLink | Малюнок шкіри пальця | Стандартна миша з вбудованим сканером відбитка пальця |
| Bogo-2000 Bogo-2001 Bogo-1999 | Bogotech (Південна Корея) | Біометричні системи | Малюнок шкіри пальця | Пам'ять – 640 відп. Пам'ять - 1920 відп. |
| SFI-3000 HFI-2000 HFI-2000V (з відеофоном) | SecuOne (Південна Корея) | Біометричні системи | Малюнок шкіри пальця | Пам'ять – 30 відп. Пам'ять – 640 відп. |
| VeriFlex VeriPass VeriProx VeriSmart | BIOSCRYPT (США) | BIOSCRYPT | Малюнок шкіри пальця | Комбінація дактосканера та зчитувача безконтактних смарт-карт |
| BM-ET500 BM-ET100 | Panasonic (Японія) | АТ "Панасонік СНД" | Малюнок райдужної оболонки ока | Для колективного та індивідуального користування |
| Senesys Light | ГУП НВЦ "ЕЛВІС" (Росія) | ГУП НВЦ "ЕЛВІС" | Малюнок шкіри пальця | Мережева версія (дактозчитувач та комп'ютер з ПЗ) |
Як очевидно з таблиці, нині біометричні засоби контролю доступу досить активно впроваджуються російський ринок забезпечення безпеки. Крім зазначених у таблиці технічних засобів, які посіли тверду позицію в аналізованому сегменті російського ринку, деякими зарубіжними фірмами пропонуються також біометричні засоби контролю доступу за іншими біоознаками, надійність ідентифікації яких остаточно не підтвердилася. Тому оптимальний вибір БСЗІ із засобів, представлених на ринку, є досить важким завданням, для вирішення якого в даний час використовуються, як правило, такі основні технічні характеристики:
ймовірність несанкціонованого доступу;
- ймовірність помилкової тривоги;
- пропускна здатність(Час ідентифікації).
Враховуючи імовірнісний характер основних характеристик, велике значення має обсяг вибірки (статистика), при якому зроблено виміри. На жаль, ця характеристика зазвичай не вказується фірмами-виробниками у супровідних та рекламних документах, що ще більше ускладнює завдання вибору. У табл. 3 наведено середньостатистичні значення основних технічних характеристик БСЗІ, що відрізняються за принципом дії.
Таблиця 3. Основні технічні характеристики БСЗІ
| Модель (фірма) | Біоознак | Можливість несанкціонованого доступу, % | Імовірність помилкової тривоги, % | Час ідентифікації (пропускна спроможність), з |
| Eyedentify ICAM 2001 (Eyedentify) | Параметри сітківки ока | 0,0001 | 0,4 | 1,5...4 |
| Iriscan (Iriscan) | Параметри райдужної оболонки ока | 0,00078 | 0,00066 | |
| FingerScan (Identix) | Відбиток пальця | 0,0001 | 1,0 | 0,5 |
| TouchSafe (Identix) | Відбиток пальця | 0,001 | 2,0 | |
| TouchNet (Identix) | Відбиток пальця | 0,001 | 1,0 | |
| Startek | Відбиток пальця | 0,0001 | 1,0 | |
| ID3D-R HANDKEY (Recognition Systems) | Геометрія руки | 0,1 | 0,1 | |
| U.are.U (Digital Persona) | Відбиток пальця | 0,01 | 3,0 | |
| FIU(Sony, I/O Software) | Відбиток пальця | 0,1 | 1,0 | 0,3 |
| BioMause (ABC) | Відбиток пальця | 0,2 | - | |
| Кордон (Росія) | Відбиток пальця | 0,0001 | 1,0 | |
| DS-100 (Росія) | Відбиток пальця | 0,001 | - | 1,3 |
| BioMet | Геометрія руки | 0,1 | 0,1 | |
| Veriprint 2100 (Biometric ID) | Відбиток пальця | 0,001 | 0,01 |
Аналіз російського ринку БСЗИ показав, що в даний час на ньому представлений дуже широкий спектр пристроїв ідентифікації за біометричними ознаками, що відрізняються один від одного за надійністю, вартістю, швидкодією. Основною тенденцією розвитку біометричних засобів ідентифікації є постійне зниження їх вартості за одночасного поліпшення їх технічних та експлуатаційних характеристик.
Подібна інформація.
Для підтвердження особистості користувача біометричні системи захисту використовують те, що належить людині від природи – унікальний малюнок райдужної оболонки ока, судин сітківки, відбитка пальця, долоні, почерк, голос тощо. Введення цих даних замінює введення звичних пароля та пассфрази.
Технологія біометричного захисту існує досить давно, але масове поширення вона набула лише недавно з появою в смартфонах сканера відбитків пальців (Touch ID).
Які переваги біометричного захисту?
- Двофакторна автентифікація.Зазвичай більшість людей користуються паролями захисту своїх пристроїв від втручання чужих осіб. Це єдиний спосіб убезпечити себе, якщо гаджет не має Touch ID або Face ID.
Двофакторна автентифікація змушує користувача підтверджувати свою особу двома різними способамиі це робить злом пристрою практично неможливим. Наприклад, якщо смартфон був вкрадений, і злодіїв вдалося роздобути від нього пароль, для розблокування йому також знадобиться відбиток пальця власника. Непомітно відсканувати чужий палець і створити надточну 3D-модель з матеріалу, близького до шкіри - це процес нереальний на побутовому рівні.
- Складність обходу.Біометричний захист складно оминути. Справа в тому, що згадані характеристики (малюнок райдужної оболонки, відбитка пальця) унікальні для кожної людини. Навіть у близьких родичів вони є різними. Зрозуміло, сканер припускає деяку похибку, але ймовірність, що викрадений пристрій потрапить до людини, чиї біометричні дані на 99,99% збігаються з даними власника, практично дорівнює нулю.
Чи є у біометричного захисту недоліки?
Висока міра захисту, яку дають біометричні сканери, зовсім не говорить про те, що хакери не намагаються її оминути. І іноді їхні спроби успішні. Біометричний спуфінг, навмисне наслідування біометричних атрибутів людини, є великою проблемою для співробітників безпеки. Наприклад, зловмисники можуть використовувати спеціальні ручки та папір, що фіксують силу натиску при листі, щоб потім використовувати ці дані для входу в систему, де потрібне рукописне введення.
Смартфон від Apple, захищений Face ID, може легко розблокувати близнюк господаря. Також були випадки обходу блокування iPhone X шляхом використання маски гіпсу. Однак це не привід вважати, що Apple недостатньо вклалася на захист своїх користувачів. Звичайно, Face ID далекий від військових та промислових захисних сканерів, але його завдання – захист користувачів на побутовому рівні, і з цим він чудово справляється.
Максимальну безпеку дають комбіновані системи біометричного захисту, які використовують кілька різних видів підтвердження особистості (наприклад, скан райдужної оболонки ока + голосове підтвердження). Технологія anti-spoofing AuthenTec може вимірювати властивості шкіри пальця, поміщеної на датчик під час сканування. Це запатентована розробка, яка забезпечує високу точність перевірки.
Як биометрический захист розвиватиметься у майбутньому?
Вже сьогодні видно, що на побутовому рівні використання засобів біометричної автентифікації зростає. Якщо 2-3 роки тому сканером відбитків пальців оснащувалися лише преміальні смартфони, то тепер ця технологія стала доступною для пристроїв низької цінової категорії.
З появою десятої моделі iPhoneі технології Face ID автентифікація вийшла на новий рівень. Згідно з дослідженнями Juniper, до 2019 року буде завантажено понад 770 мільйонів програм біометричної автентифікації порівняно з 6 мільйонами, завантаженими у 2017 році. Біометрична безпека вже є популярною технологією для захисту даних у банківських та фінансових компаніях.
Презентацію до даної лекції можна завантажити.
Проста ідентифікація особи. Комбінація параметрів особи, голосу та жестів для більш точної ідентифікації. Інтеграція можливостей модулів Intel Perceptual Computing SDK для реалізації багаторівневої системи інформаційної безпеки, що базується на біометричній інформації.
У цьому лекції дається запровадження предмет біометричних систем захисту, розглядається принцип дії, методи застосування на практиці. Огляд готових рішень та їх порівняння. Розглядаються основні алгоритми ідентифікації особи. Можливості SDK зі створення біометричних методів захисту інформації.
4.1. Опис предметної області
Існує велика різноманітність методів ідентифікації і багато з них набули широкого комерційного застосування. На сьогоднішній день в основі найбільш поширених технологій верифікації та ідентифікації лежить використання паролів та персональних ідентифікаторів (personal identification number - PIN) або документів типу паспорта, водійських прав. Однак такі системи є дуже вразливими і можуть легко постраждати від підробки, крадіжки та інших факторів. Тому все більший інтерес викликають методи біометричної ідентифікації, що дозволяють визначити особистість людини за її фізіологічними характеристиками шляхом розпізнання за заздалегідь збереженими зразками.
Діапазон проблем, вирішення яких можна знайти з використанням нових технологій, надзвичайно широкий:
- запобігти проникненню зловмисників на території і в приміщення за рахунок підробки, крадіжки документів, карт, паролів;
- обмежити доступ до інформації та забезпечити персональну відповідальність за її збереження;
- забезпечити допуск до відповідальних об'єктів лише сертифікованих спеціалістів;
- процес розпізнавання, завдяки інтуїтивності програмного та апаратного інтерфейсу, зрозумілий та доступний людям будь-якого віку та не знає мовних бар'єрів;
- уникнути накладних витрат, пов'язаних із експлуатацією систем контролю доступу (карти, ключі);
- виключити незручності, пов'язані з втратою, псуванням або елементарним забуванням ключів, карт, паролів;
- організувати облік доступу та відвідуваності співробітників.
Крім того, важливим фактором надійності є те, що вона абсолютно не залежить від користувача. При використанні парольного захисту людина може використовувати коротке ключове слово або тримати папірець із підказкою під клавіатурою комп'ютера. При використанні апаратних ключів недобросовісний користувач недостатньо стежити за своїм токеном, внаслідок чого пристрій може потрапити в руки зловмисника. У біометричних системах від людини не залежить нічого. Ще одним фактором, що позитивно впливає на надійність біометричних систем, є простота ідентифікації користувача. Справа в тому, що, наприклад, сканування відбитка пальця вимагає від людини меншої праці, ніж введення пароля. А тому проводити цю процедуру можна не лише перед початком роботи, а й під час її виконання, що, звісно, підвищує надійність захисту. Особливо актуальним у цьому випадку є використання сканерів, поєднаних з комп'ютерними пристроями. Так, наприклад, миші, при використанні яких великий палець користувача завжди лежить на сканері. Тому система може постійно проводити ідентифікацію, причому людина не тільки не припинятиме роботу, а й взагалі нічого не помітить. У світі, на жаль, продається майже всі, зокрема і доступом до конфіденційної інформації. Тим більше, що людина, яка передала ідентифікаційні дані зловмиснику, практично нічим не ризикує. Про пароль можна сказати, що його підібрали, а про смарт-картку, що її витягли з кишені. У разі використання біометричного захисту подібної ситуації вже не відбудеться.
Вибір галузей, найперспективніших запровадження біометрії, з погляду аналітиків, залежить, передусім, від поєднання двох параметрів: безпеки (чи захищеності) і доцільності використання саме цього засобу контролю чи захисту. Головне місце за відповідністю цим параметрам, безперечно, займають фінансова та промислова сфера, урядові та військові установи, медична та авіаційна галузі, закриті стратегічні об'єкти. Даній групі споживачів біометричних систем безпеки насамперед важливо не допустити неавторизованого користувача з-поміж своїх співробітників до невирішеної для нього операції, а також важливо постійно підтверджувати авторство кожної операції. Сучасна системаБезпека вже не може обходитися не тільки без звичних засобів, що гарантують захищеність об'єкта, але і без біометрії. Також біометричні технології використовуються для контролю доступу до комп'ютерних, мережевих системах, різних інформаційних сховищах, банках даних та ін.
Біометричні методи захисту стають актуальнішими з кожним роком. З розвитком техніки: сканерів, фото та відеокамер спектр завдань, які вирішуються за допомогою біометрії, розширюється, а використання методів біометрії стає популярнішим. Наприклад, банки, кредитні та інші фінансові організації служать їх клієнтів символом надійності та довіри. Щоб виправдати ці очікування, фінансові інститути все більше приділяють увагу ідентифікації користувачів і персоналу, активно застосовуючи біометричні технології. Деякі варіанти використання біометричних методів:
- надійна ідентифікація користувачів різних фінансових сервісів, зокрема. онлайнових та мобільних (переважає ідентифікація за відбитками пальців, активно розвиваються технології розпізнавання на малюнку вен на долоні та пальці та ідентифікація за голосом клієнтів, що звертаються до кол-центрів);
- запобігання шахрайствам та махінаціям з кредитними та дебетовими картами та іншими платіжними інструментами (заміна PIN-коду розпізнаванням біометричних параметрів, які неможливо викрасти, "піддивитися", клонувати);
- підвищення якості обслуговування та його комфорту (біометричні банкомати);
- контроль фізичного доступу до будинків та приміщень банків, а також до депозитарних осередків, сейфів, сховищ (з можливістю біометричної ідентифікації, як співробітника банку, так і клієнта-користувача осередку);
- захист інформаційних системта ресурсів банківських та інших кредитних організацій.
4.2. Біометричні системи захисту інформації
Біометричні системи захисту інформації - системи контролю доступу, засновані на ідентифікації та аутентифікації людини за біологічними ознаками, такими як структура ДНК, малюнок райдужної оболонки ока, сітківка ока, геометрія та температурна карта обличчя, відбиток пальця, геометрія долоні. Також ці методи аутентифікації людини називають статистичними методами, оскільки засновані на фізіологічних характеристиках людини, присутніх від народження і до смерті, що перебувають при ньому протягом усього життя, і які не можуть бути втрачені або вкрадені. Часто використовуються ще й унікальні динамічні методи біометричної автентифікації – підпис, клавіатурний почерк, голос та хода, що ґрунтуються на поведінкових характеристиках людей.
Поняття "біометрія" виникло наприкінці дев'ятнадцятого століття. Розробкою технологій для розпізнавання образів з різних біометричних характеристик почали займатися вже досить давно, початок було покладено в 60-ті роки минулого століття. Значних успіхів у розробці теоретичних засад цих технологій досягли наші співвітчизники. Проте практичні результати отримано здебільшого на заході й зовсім недавно. Наприкінці двадцятого століття інтерес до біометрії значно виріс завдяки тому, що потужність сучасних комп'ютерівта вдосконалені алгоритми дозволили створити продукти, які за своїми характеристиками та співвідношенням стали доступні та цікаві широкому колу користувачів. Галузь науки знайшла своє застосування у розробках нових безпекових технологій. Наприклад, біометрична система може контролювати доступ до інформації та сховищ у банках, її можна використовувати на підприємствах, зайнятих обробкою цінної інформації, для захисту ЕОМ, засобів зв'язку тощо.
Суть біометричних систем зводиться до використання комп'ютерних систем розпізнавання особи за унікальним генетичним кодом людини. Біометричні системи безпеки дозволяють автоматично розпізнавати людину за її фізіологічними або поведінковими характеристиками.
Рис. 4.1.
Опис роботи біометричних систем:
Усі біометричні системи працюють за однаковою схемою. Спочатку відбувається процес запису, в результаті якого система запам'ятовує зразок біометричної характеристики. Деякі біометричні системи роблять кілька зразків для докладнішого відображення біометричної характеристики. Отримана інформація обробляється та перетворюється на математичний код. Біометричні системи інформаційної безпеки використовують біометричні методи ідентифікації та аутентифікації користувачів. Ідентифікація по біометричній системі проходить у чотири стадії:
- Реєстрація ідентифікатора - відомості про фізіологічну або поведінкову характеристику перетворюється на форму, доступну комп'ютерним технологіям, і вносяться в пам'ять біометричної системи;
- Виділення - із знову пред'явленого ідентифікатора виділяються унікальні ознаки, аналізовані системою;
- Порівняння - зіставляються відомості про знову пред'явлений і раніше зареєстрований ідентифікатор;
- Рішення - виноситься висновок у тому, збігаються чи збігаються знову пред'явлений ідентифікатор.
Висновок про збіг/несупад ідентифікаторів може потім транслюватися іншим системам (контролю доступу, захисту інформації тощо), які далі діють на основі отриманої інформації.
Однією з найважливіших характеристик систем захисту інформації, заснованих на біометричних технологіях, є висока надійність, тобто здатність системи достовірно розрізняти біометричні характеристики, що належать різним людям, та надійно знаходити збіги. У біометрії ці параметри називаються помилкою першого роду (False Reject Rate, FRR) і помилкою другого роду (False Accept Rate, FAR). Перше число характеризує можливість відмови доступу людині, що має доступ, друге - можливість помилкового збігу біометричних параметрів двох людей. Підробити папілярний візерунок пальця людини або райдужну оболонку ока дуже складно. Отже, виникнення "помилок другого роду" (тобто надання доступу людині, яка не має на це право) практично виключена. Проте, під впливом деяких чинників біологічні особливості, якими виробляється ідентифікація особистості, можуть змінюватися. Наприклад, людина може застудитися, внаслідок чого її голос зміниться до невпізнання. Тому частота появи "помилок першого роду" (відмова у доступі людині, що має на це право) у біометричних системах досить велика. Система тим краще, що менше значення FRR при однакових значеннях FAR . Іноді використовується і Порівняльна характеристика EER (Equal Error Rate), що визначає точку, в якій графіки FRR та FAR перетинаються. Але вона далеко не завжди репрезентативна. При використанні біометричних систем, особливо системи розпізнавання по обличчю, навіть при введенні коректних біометричних характеристик який завжди рішення про аутентифікації правильно. Це з низкою особливостей і, насамперед , про те, що багато біометричні характеристики можуть змінюватися. Існує певний ступінь ймовірності помилки системи. Причому при використанні різних технологій помилка може суттєво відрізнятись. Для систем контролю доступу під час використання біометричних технологій необхідно визначити, що важливіше не пропустити "чужого" чи пропустити всіх "своїх".
Рис. 4.2.
Не лише FAR та FRR визначають якість біометричної системи. Якби це було тільки так, то провідною технологією було б розпізнавання людей ДНК, для якої FAR і FRR прагнуть нуля. Але очевидно, що ця технологія не застосовна на сьогоднішньому етапі розвитку людства. Тому важливою характеристикою є стійкість до муляжу, швидкість роботи та вартість системи. Не варто забувати і те, що біометрична характеристика людини може змінюватися з часом, тому якщо вона нестійка - це істотний мінус. Також важливим фактором для користувачів біометричних технологій у системах безпеки є простота використання. Людина, характеристики якої скануються, не має при цьому відчувати жодних незручностей. У цьому плані найцікавішим методом є, безумовно, технологія розпізнавання обличчя. Щоправда, у разі виникають інші проблеми, пов'язані насамперед , з точністю роботи системи.
Зазвичай біометрична система складається з двох модулів: модуль реєстрації та модуль ідентифікації.
Модуль реєстрації"навчає" систему ідентифікувати конкретну людину. На етапі реєстрації відеокамера або інші датчики сканують людину для того, щоб створити цифрове представлення її вигляду. Через війну сканування чого формуються кілька зображень. В ідеальному випадку, ці зображення матимуть трохи різні ракурси та вирази обличчя, що дозволить отримати більш точні дані. Спеціальний програмний модуль обробляє це уявлення і визначає характерні риси особистості, потім створює шаблон . Існують деякі частини особи, які практично не змінюються з плином часу, це, наприклад, верхні обриси очниць, області навколишні вилиці, та краї рота. Більшість алгоритмів, розроблених для біометричних технологій, дозволяють враховувати можливі зміни в зачісці людини, оскільки вони не використовують для аналізу області обличчя вище за межі зростання волосся. Шаблон зображення кожного користувача зберігається у базі даних біометричної системи.
Модуль ідентифікаціїотримує від відеокамери зображення людини і перетворює його на той же цифровий формат, в якому зберігається шаблон . Отримані дані порівнюються зі шаблоном, що зберігається в базі даних, для того, щоб визначити, чи відповідають ці зображення один одному. Ступінь подібності, необхідна для перевірки, є деяким порігом, який може бути відрегульований для різного типуперсоналу, потужності PC, часу доби та низки інших факторів.
Ідентифікація може виконуватися як верифікації, аутентифікації чи розпізнавання. При верифікації підтверджується ідентичність отриманих даних та шаблону, що зберігається у базі даних. Аутентифікація - підтверджує відповідність зображення, одержуваного від відеокамери одному з шаблонів, що зберігаються у базі даних. При розпізнаванні, якщо отримані характеристики і один із шаблонів, що зберігаються, виявляються однаковими, то система ідентифікує людину з відповідним шаблоном.
4.3. Огляд готових рішень
4.3.1. ІКАР Лаб: комплекс криміналістичного дослідження фонограм мовлення
Апаратно-програмний комплекс ІКАР Лаб призначений для вирішення широкого кола завдань аналізу звукової інформації, затребуваного у спеціалізованих підрозділах правоохоронних органів, лабораторіях та центрах судової експертизи, службах розслідування льотних подій, дослідницьких та навчальних центрах. Перша версія продукту була випущена в 1993 році і стала результатом спільної роботипровідних аудіоекспертів та розробників програмного забезпечення. Спеціалізовані програмні засоби, що входять до складу комплексу, забезпечують високу якість візуального представлення фонограм мовлення. Сучасні алгоритми голосової біометрії та потужні інструменти автоматизації всіх видів дослідження фонограм мовлення дозволяють експертам суттєво підвищити надійність та ефективність експертиз. Програма SIS II, що входить до комплексу, має унікальні інструменти для ідентифікаційного дослідження: порівняльне дослідження диктора, записи голосу та мови якого надані на експертизу та зразків голосу та мови підозрюваного. Ідентифікаційна фоноскопічна експертиза ґрунтується на теорії унікальності голосу та мови кожної людини. Анатомічні фактори: будова органів артикуляції, форма мовного тракту та ротової порожнини, а також зовнішні фактори: навички мови, регіональні особливості, дефекти та ін.
Біометричні алгоритми та експертні модулі дозволяють автоматизувати та формалізувати багато процесів фоноскопічного ідентифікаційного дослідження, такі як пошук однакових слів, пошук однакових звуків, відбір порівнюваних звукових та мелодичних фрагментів, порівняння дикторів за формантами та основним тоном, аудитивні та лінгвістичні типи аналізу. Результати з кожного методу дослідження представляються як чисельних показників загального ідентифікаційного рішення.
Програма складається з ряду модулів, за допомогою яких проводиться порівняння в режимі "один до одного". Модуль "Порівняння формант" заснований на терміні фонетики - форманте, що позначає акустичну характеристику звуків мови (насамперед голосних), пов'язану з рівнем частоти голосового тону і утворює тембр звуку. Процес ідентифікації з використанням модуля "Порівняння формант" може бути розділений на два етапи: спочатку експерт здійснює пошук та відбір опорних звукових фрагментів, а після того як опорні фрагменти для відомого та невідомого дикторів набрані, експерт може розпочати порівняння. Модуль автоматично розраховує внутрішньодикторську та міждикторську варіативність формантних траєкторій для вибраних звуків та приймає рішення про позитивну/негативну ідентифікацію або невизначений результат. Також модуль дозволяє візуально порівняти розподілу вибраних звуків на скаттерограмі.
Модуль "Порівняння Основного Тону" дозволяє автоматизувати процес ідентифікації дикторів за допомогою методу аналізу мелодійного контуру. Метод призначений порівняння мовних зразків з урахуванням параметрів реалізації однотипних елементів структури мелодійного контуру. Для аналізу передбачено 18 типів фрагментів контуру і 15 параметрів їх опису, включаючи значення мінімуму, середнього, максимуму, швидкості зміни тону, ексцесу, скосу та ін. ідентифікації чи невизначеному результаті. Усі дані можуть експортуватися до текстового звіту.
Модуль автоматичної ідентифікації дозволяє проводити порівняння в режимі "один-до-одному" з використанням алгоритмів:
- Спектрально-форматний;
- Статистика основного тону;
- Суміш Гаусових розподілів;
Імовірності збігу та відмінності дикторів розраховуються не тільки для кожного з методів, але й для їхньої сукупності. Всі результати порівняння мовних сигналів двох файлів, одержувані в модулі автоматичної ідентифікації, засновані на виділенні в них ідентифікаційно значущих ознак та обчисленні міри близькості між отриманими наборами ознак та обчислень міри близькості отриманих наборів ознак між собою. Для кожного значення цієї міри близькості під час періоду навчання модуля автоматичного порівняння були отримані ймовірності збігу та відмінності дикторів, мова яких містилася у файлах, що порівнюються. Ці ймовірності були отримані розробниками на великій вибірці фонограм: десятки тисяч дикторів, різні канали звукозапису, безліч сесій звукозапису, різноманітний тип мовного матеріалу. Застосування статистичних даних до одиничного випадку порівняння файл-файл вимагає врахування можливого розкидання значень міри близькості двох файлів, що отримуються, і відповідної їй ймовірності збігу/відмінності дикторів залежно від різних деталей ситуації вимови мови. Для таких величин математичної статистики запропоновано використовувати поняття довірчого інтервалу. Модуль автоматичного порівняння виводить чисельні результати з урахуванням довірчих інтервалів різних рівнів, що дозволяє користувачеві побачити як середню надійність методу, а й найгірший результат, отриманий на навчальній базі. Висока надійність біометричного двигуна, розробленого компанією ЦРТ, була підтверджена випробуваннями NIST (National Institute of Standards and Technology)
