Предыдущая стр. Следующая стр. Оглавление.

1.6. Особенности режимов биометрической идентификации и аутентификации

  Следует обратить внимание читателя на то, что многократно использованный выше термин - биометрическая идентификация далеко не однозначен и в ряде случаев его следует заменять другим близким термином - биометрическая аутентификация. Рассмотрим подробнее общие черты и различия процедур, соответствующих этим двум понятиям.

Классическая идентификация предполагает изучение некоторого неизвестного объекта и создание его математической модели, описывающей вход/выход объекта идентификации с заданной погрешностью. При этом предполагается, что имеется возможность исследовать объект идентификации достаточно подробно, подавая на его вход различные тестовые воздействия [39,40,41]. Кроме того, в рамках технической кибернетики принято различать идентификацию в широком смысле этого понятия, когда выбирается структура модели, число и вид учитываемых ею параметров, а так же многочисленные условия и ограничения в рамках, которых выбранная модель корректно описывает объект идентификации. Идентификация в узком смысле этого понятия предполагает только измерение или уточнение вполне конкретных параметров ранее выбранной модели.

Понятие биометрической идентификации является частным случаем, приведенного выше, более общего понятия, отражающего ряд специфических моментов биометрии. В частности, биометрическая идентификация в отличие от классической идентификации имеет дело только с (откликами объекта) статическими и динамическими образами личности. Входные воздействия в виде генной структуры, породившей статические образы (отпечатки пальцев, геометрию руки, .....), наблюдать крайне сложно. Также сложно наблюдать нервные импульсы мышц человека, порождающие динамические рукописные и голосовые образы. В итоге системы биометрической идентификации личности в основном имеют дело только с откликами объекта идентификации (статическими и динамическими образами личности). Исключением, пожалуй, являются только системы идентификации личности по голосу, в которых модель объекта позволяет восстанавливать входные воздействия в виде шума и последовательности импульсов основного тона.

По аналогии с классической идентификацией биометрическую идентификацию следует рассматривать в широком и узком смысле этого понятия. Задачу биометрической идентификации в широком смысле решают исследователи (научные работники) и разработчики биометрических систем (инженеры). На этапе биометрической идентификации в широком смысле должен быть решен ряд весьма важных вопросов:

выбран вид контролируемых биометрических параметров;

выбран способ измерения контролируемых биометрических параметров;

выбран вид математических преобразований (представлений), позволяющих достаточно эффективно извлекать биометрические данные из исходной измерительной информации;

выбрана математическая модель, увязывающая между собой стабильную и нестабильную часть контролируемых биометрических параметров;

выбран состав принимаемых во внимание биометрических параметров в разрабатываемой системе;

выбран вид решающего правила и заданы его параметры;

должны быть статистически оценены уровни ошибок первого и второго рода для среднестатистического пользователя разрабатываемой биометрической системы.

Очевидно, что только корректное решение всех перечисленных выше вопросов позволяет надеяться на создание достаточно надежной системы биометрической идентификации личности. Может оказаться, что часть перечисленных выше вопросов уже кем-то решена, и они формулируются не как вопросы, а как ограничения, упомянутые в техническом задании. Последнее, сокращает объем работ, но не сказывается на обобщенной формулировке задачи биометрической идентификации личности в широком смысле.

Задачу биометрической идентификации в узком смысле решают пользователи этих систем на этапе их обучения распознаванию характерных биометрических образов, порождаемых конкретной личностью. Этап биометрической идентификации в узком смысле сводится к следующим основным идентификационным процедурам:

предъявление биометрических образов идентифицируемой личностью;

измерение заданных биометрических параметров в предъявленных образах идентифицируемой личности;

создание биометрического эталона идентифицируемой личности;

оценка качества созданного биометрического эталона по отношению к среднестатистическому биометрическому эталону;

предсказание будущего уровня ошибок первого и второго рода для полученного биометрического эталона.

Следует подчеркнуть, что выделенные выше пять основных процедур биометрической идентификации личности в узком смысле являются отражением представлений классической идентификации [18,39,40,41], предполагающих в конечном итоге оценку ошибки каждой конкретной модели. К сожалению, ряд положений классической идентификации сегодня разработчиками современных биометрических систем вообще не обсуждаются. Сегодня активно обсуждаются только три первых обязательных процедуры биометрической идентификации в узком смысле этого понятия. Две последних процедуры фактически не используются и не обсуждаются, что, видимо, является временным и связано с недостаточным уровнем конкуренции на сравнительно молодом рынке биометрических систем. Производители биометрических систем, фактически, диктуют потребителям выгодные для себя условия и продают системы, корректно работающие только для гипотетического среднестатистического пользователя.

Весьма негативным моментом, является то, что современные биометрические системы идентификации личности дают значительный разброс своих показателей качества [42] по отношению к заявленным в рекламе среднестатистическим показателям. Для половины пользователей купленная биометрическая система может работать существенно лучше, чем обещано в рекламе, но для другой половины эти обещания не оправдаются.

Существует достаточно высокая вероятность того, что конкретный пользователь передоверится биометрической системе, ориентируясь на ее хорошие среднестатистические показатели. Из-за неудачного выбора слова-пароля или из-за использования системой неудачной проекции биометрических параметров конкретной личности реальные показатели качества системы могут оказаться очень плохими. Для того, что бы избежать этой ситуации биометрические системы будущего должны уметь сравнивать биометрический эталон конкретной личности со среднестатистическим эталоном и предсказывать показатели качества системы для конкретного пользователя. На сегодня ни одна из коммерческих биометрических систем подобным свойством не обладает и, видимо, данная монография является одной из первых попыток осознать тонкости этой проблемы.

В конечном итоге конкретного покупателя (потребителя) услуг биометрии должны мало волновать среднестатистические абстракции, для него куда более важными являются те конкретные качества системы, которые она обеспечит лично для него. Эпоха биометрических систем, скроенных под абстрактного среднестатистического пользователя, должна рано или поздно закончиться. Обязательно должны появиться биометрические системы, способные индивидуально подходить к идентификации каждой личности и гарантирующие для каждой конкретной личности вполне определенное качество услуг.

С точки зрения потребителя биометрическая идентификация является некоторой подготовительной операцией перед основными процедурами биометрической аутентификации. Основной задачей биометрических систем является задача биометрической аутентификации. Принципиальным отличием идентификации и аутентификации является уровень доверия к пользователю. На предварительном этапе идентификации (обучения системы) уровень доверия к регистрируемому пользователю априорно высок. В многопользовательской системе биометрическая идентификация обязательно должна проводиться под прямым контролем ее владельца или его представителя, подтверждающего полномочия регистрируемой личности и корректность ее поведения при обучении системы.

Режим биометрической аутентификации, напротив, предполагает низкий уровень доверия к аутентифицируемой личности. При биометрической аутентификации личность-заявитель должна доказать подлинность своего заявленного имени путем предъявления своих уникальных биометрических образов. Следует особо отметить, что биометрическая аутентификация потенциально уязвима, если она используется независимо от методов классической аутентификации, построенных на протоколах с использованием паролей и ключей. Достаточный уровень информационной безопасности может быть обеспечен только сочетанием методов классической аутентификации и биометрической аутентификации.

Классическая аутентификация пользователей строится на знании ими паролей или на обладании пользователями криптографическими ключами [43,44,45,46]. До запуска процедур классической аутентификации все участники этих процедур должны предварительно получить всю необходимую им аутентификационную и проверочную информацию. Для классической аутентификации этап регистрации пользователя совпадает с процедурой его идентификации через присвоение имени пользователя (идентификатора), генерации и передачи пользователю его пароля, генерации и передачи пользователю его ключа (ключей).

Биометрическая аутентификация пользователя предполагает добавление к классическим элементам аутентификации биометрического эталона пользователя или биометрического ключа, полученного из биометрического эталона. При этом синтез биометрического эталона пользователя и его биометрического ключа осуществляется на этапе обучения системы или на этапе биометрической идентификации в узком смысле. Структура этапа регистрации и идентификации личности пользователя приведена на рисунке 12.

Для современных биометрических систем принципиальным является обучение на множестве из нескольких примеров биометрических образов пользователя. При этом качество обучения биометрической системы улучшается с ростом числа использованных примеров, однако большое число примеров при обучении раздражает потребителей и неприемлемо. Оптимальным является наличие контроля качества биометрического эталона в процессе обучения системы и увеличение числа примеров только при недостаточном уровне качества. Если рассматривать процедуры обучения или процедуры биометрической идентификации как подготовительные, то их завершением будет являться момент времени, когда вся аутентификационная информация будет распределена между участниками будущих процедур аутентификации.

При распределении между участниками биометрической аутентификационной информации могут быть использованы только безопасные каналы связи. Требования к каналам распределения биометрической информации в виде биометрических эталонов и ключей совершенно такие же, как и требования к распределению классической аутентификационной информации в виде паролей и личных ключей. При распределении этой аутентификационной информации должны использоваться специальные меры по обеспечению ее конфиденциальности и целостности (личные встречи, шифрование, потайные каналы).

Рис. 12. Структура подготовительных процедур идентификации пользователя

В сравнении с подготовительным этапом идентификации биометрическая аутентификация имеет существенно иную структуру связей между всеми элементами. Типовая структура классических и биометрических процедур аутентификации приведена на рисунке 13. Классические процедуры аутентификации построены на проверке знания пользователем пароля или на проверке обладания пользователем криптографическим ключом [43,44,45,46]. При осуществлении процедур классической аутентификации существует угроза компрометации паролей и ключевой информации, что и делает целесообразным использование дополнительных процедур биометрической аутентификации. Фактически процедуры биометрической аутентификации дают дополнительные гарантии того, что использованными в данный момент паролями и ключами владеют лица с зарегистрированной ранее биометрией.

Рис. 13. Структура процедур биометрической аутентификации

При биометрической аутентификации пользователь доказывает подлинность заявленного им имени путем предъявления системе своих биометрических образов. Система аутентификации осуществляет измерение биометрических параметров пользователя. Далее по заявленному пользователем имени система извлекает его биометрический эталон и сравнивает с ним значения измеренных биометрических параметров. Сравнение предъявленных биометрических параметров с их эталонными значениями может осуществляться с помощью достаточно сложного решающего правила, которое в конечном итоге принимает аутентификационное решение ⌠ДА■ или ⌠НЕТ■.

Следует подчеркнуть, что все биометрические системы, вырабатывающие явное аутентификационное решение ⌠Да/НЕТ■ и содержащие решающее правило с биометрическим эталоном, должны иметь физическую (аппаратную) защиту или использоваться внутри ⌠контролируемой зоны■. Это обусловлено наличием потенциальной угрозы модификации исполняемого кода биометрических программ. Имея свободный доступ к биометрическим программам, злоумышленник может исказить в выгодную ему сторону решающее правило, деформировать (подменить) биометрический эталон или вообще модифицировать программу путем инверсии конечного решения аутентификации. Все это приводит к тому, что биометрическая аутентификация, проводимая существующими системами, должна преимущественно осуществляться в ⌠контролируемой зоне■ как это показано на рисунке 14.

Рис. 14. Безопасный вариант биометрической аутентификации

Под ⌠контролируемой зоной■ обычно понимается некоторое физическое пространство, где существуют гарантии целостности программного обеспечения биометрии и корректности поведения пользователя-заявителя своих прав. В частности, как ⌠контролируемую зону■ следует рассматривать охраняемую территорию предприятий, где соответствующие гарантии обеспечиваются рядом организационно-технических мероприятий. В качестве ⌠контролируемой зоны■ можно рассматривать жилище пользователя-заявителя, если обеспечена его достаточно надежная защита при отсутствии владельца. При выходе за ⌠контролируемую зону■ достаточно надежной может считаться только криптографическая аутентификация, построенная на использовании ключей.

Следует отметить, что работа внутри ⌠контролируемой зоны■ не всегда возможна. В этих случаях существует два подхода к обеспечению безопасности процедур биометрии. Первый подход сводится к использованию физической или аппаратной защиты средств биометрии. Второй подход сводится к использованию биометрических ключей, синтезируемых из биометрических параметров пользователя.

Первый путь, связанный с использованием физической или аппаратной защиты биометрической информации, очень дорог. Идя по нему, приходится пломбировать средства вычислительной техники, использовать специальные аппаратные средства с элементами уничтожения секретов при вскрытии, усиливать механическую защиту банкоматов и их сигнализацию.....

Второй путь обеспечения безопасности биометрической информации является чисто программным и, соответственно, не требует значительных материальных затрат. Этот путь сводится к объединению решающего правила и биометрического эталона в виде синтезатора многобитного биометрического ключа (рис. 13.). Формально, рассмотренные ранее, биометрические системы с классическим решающим правилом можно рассматривать как некоторый синтезатор вырожденного однобитного биометрического ключа. Фактически, синтезатор невырожденного биометрического ключа является некоторым автоматом нечеткой логики (с множеством входов и множеством выходов), порождающим с вероятностью 0.99 правильный криптографический ключ для ⌠Своего■ пользователя. Для ⌠Чужого■ пользователя этот же синтезатор может породить правильный криптографический ключ ⌠Своего■ с низкой вероятностью 10-6....10-12. Все это позволяет существенно снизить требования к уровню безопасности пространства, в котором используется биометрическая аутентификация, построенная криптографии личных биометрических ключей.

Биометрические ключи по своей сущности во многом совпадают с обычными криптографическими ключами и, следовательно, могут использоваться по аналогии сними. На использовании биометрических ключей, например, могут быть построены процедуры шифрования\расшифрования программ осуществляющих криптогра-фическую аутентификацию и содержащих внутри себя обычные криптографические ключи. Кроме того, на биометрических ключах, могут быть построены и сами криптографические протоколы аутентификации удаленных пользователей. Однако совпадение сути биометрических ключей и обычных криптографических ключей не является полным, и они не могут полностью замещать друг друга. Такие качества как длинна ключа и некоррелированность (случайность) образующих его данных для биометрических ключей могут оказаться хуже, чем аналогичные параметры у криптографических ключей, полученных от проверенного генератора случайных чисел. Это означает, что при использовании биометрических ключей в достаточно важных приложениях необходим обязательный контроль их качества. Принципиально важным преимуществом биометрических ключей является их неотделимость от личности владельца и исключение промежуточных носителей биоключей (жетонов, магнитных карт, смарт-карт), но за это преимущество приходится платить потенциальным ухудшением качества ключей и как следствие необходимостью контроля этого качества.

Следует еще раз отметить, что сами по себе процедуры биометрической аутентификации нельзя использовать в открытых информационных пространствах типа Internet без привлечения протоколов криптографической аутентификации. При этом правильное совмещение биометрии и криптографии является далеко не тривиальной задачей. Разработку синтезаторов биометрических ключей, видимо, можно рассматривать как одно из технических решений по объединению преимуществ биометрии и криптографии.

Возвращаясь к типовой структуре процедур биометрической аутентификации (рис. 13.), необходимо особо выделить блок сбора аудита биометрической информации, позволяющий наблюдать за поведением обычных пользователей и злоумышленников. Как показала практика разработки биометрических систем, за счет этой интеллектуальной надстройки удается существенно снизить вероятности ошибок второго рода (ошибочного пропуска злоумышленника). Тактика злоумышленников, пытающихся преодолеть биометрический барьер, во многом сходна, что позволяет существенно сузить зону неопределенности, анализируя их поведение на коротких и длинных интервалах времени. В настоящее время фрагменты биометрических систем, связанные со сбором аудита и анализом собранной информации, активно развиваются как в нашей стране, так и за рубежом.

Целесообразно подчеркнуть, что все вышесказанное преимущественно относится к процедурам аутентификации пользователей, осуществляемым в реальном масштабе времени (аутентификации участника информационного обмена). Наряду с аутентификацией участника принято выделять [45,46] аутентификацию источника информации (авторизация электронных документов). Особенностью аутентификации источника (информации) электронного документа является то, что сама процедура проверки подлинности заявленного имени может быть осуществлена через неопределенное время.

На сегодня юридически значимой процедурой подтверждения подлинности и целостности электронного документа является использование электронной цифровой подписи (ЭЦП). В информационных технологиях помимо документооборота существует множество узких мест, связанных с требованием жесткой авторизации принятия ответственных решений. В этом плане биометрия обладает весьма существенными возможностями авторизации. Можно говорить о появлении тенденции объединения технологии электронной цифровой подписи и биометрии. В качестве примера можно привести продукты фирмы РеnOp (www.penop.com) и фирмы Communication Intelligence Corporation (www.cic,com). Этот новый тип продуктов построен на использовании ЭЦП электронного документа, выполненного в текстовом редакторе Word 97, и традиционной рукописной подписи автора под документом. Этот тип продуктов как бы является ремиксом прежней бумажной технологии с факсимильными подписями ответственных лиц под созданными ими приказами, распоряжениями и другими документами.

В принципе все процедуры биометрической аутентификации участников обмена информацией и биометрические процедуры аутентификации источника (автора) информации весьма схожи. Структуры процедур, изображенные на рисунках 13 и 14, подходят для обоих случаев. Отличие состоит только в том, что биометрическая идентификация автора документа может производиться после аутентификации или вообще не производиться, если не возникает конфликта по поводу авторства. Биометрический образ подписи на электронном документе может быть проверен много позже ее постановки под документом и вычисления ЭЦП. Для подтверждения своего авторства пользователь может много позже создания электронного документа предъявить несколько образов своей подписи автомату-эксперту, обучая его до момента принятия автоматом однозначного аутентификационного решения.

Таким образом, предмет описания данной работы - биометрия может решать задачи двух существенно различных режима ее применения:

режим идентификации личности;

режим аутентификация личности.

В свою очередь каждый из этих двух режимов может иметь существенные отличия применительно к участникам информационного обмена или источнику информации. В итоге биометрия распадается на 4 варианта приложений:

биометрическая идентификация личности участника информационного обмена, осуществляемая в реальном времени;

биометрическая идентификация личности источника информации (автоматическая авторизация рукописных текстов, звуковых файлов в неопределенном будущем);

биометрическая аутентификация личности участника обмена информации (реальное время);

биометрическая аутентификация личности источника информации в настоящем или будущем времени.

Все эти четыре режима использования биометрии имеют много общих черт, однако, они имеют и существенные различия. Основной задачей данной монографии является описание вопросов, связанных с решением задач биометрической идентификации. Многообразие вопросов, связанных с аутентификацией (протоколы, атаки, требования, уровень защищенности и т.д.), будут рассматриваться как подчиненные вопросы, вскользь упоминаемые только в связи с главной темой биометрической идентификации личности по особенностям подсознательных движений. Необходимость именно в таком развороте изложения обусловлена тем, что вопросы классической криптографической аутентификации достаточно хорошо изучены, и нет смысла повторяться, обсуждая их здесь и добавляя при обсуждении единственно новое слово - ⌠биометрическая■. Кроме того, биометрическая идентификация как разработка и обучение биометрической системы - это гораздо более сложные и неоднозначные процессы в сравнении с биометрической аутентификацией.

Решающим моментом является также то, что русскоязычная литература по вопросам биометрической идентификации личности крайне скудна. В первую очередь следует рассматривать саму биометрию, а уже затем (в неопределенном будущем) можно будет более подробно обсуждать множество проблем стыковки биометрии с криптографическими протоколами аутентификации. Подробное описание проблем стыка биометрии и криптографии √ это самостоятельная задача, которая может быть решена только совместными усилиями специалистов по биометрии и криптографии.

 Предыдущая стр. Следующая стр. Оглавление.