CC BY
124
Безяев В.С. ОЦЕНКА НАДЕЖНОСТИ И КАЧЕСТВА СИСТЕМ БИОМЕТРИКО-НЕЙРОСЕТЕВОЙ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ
Появление на рынке систем биометрической аутентификации ставит вопрос об оценки их надежности и качества, как для самого пользователя, так и информационного общества в целом.
Стремительное развитие и широкое использование информационно-телекоммуникационных систем дали возможность переходу человечества на новую ступень своего развития. Данные системы трансформировали не только принципы и формы сбора, обработки и передачи информации, но они начали оказывать мощнейшее воздействие на все составляющие жизни общества, становясь одним из основных факторов обеспечения и поддержания его устойчивого развития.
Количество, технический уровень и доступность информационно-коммуникационных систем уже в настоящее время являются определяющими уровень развития любого государства. Однако, наряду с развитием и общедоступностью, одновременно встала проблема обеспечения безопасности данных систем. Данная система представляет собой целый комплекс задач, которые решаются в направлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации.
В связи со сложностью, иерархичностью, взаимосвязанностью всех компонентов рассматриваемой нами системы, наиболее приемлемым методом исследования является системный подход.
Рассматривая систему комплексной безопасности для стационарных условий, можно с высокой степенью ответственности утверждать, что она в целом позволяет обеспечить необходимый уровень безопасности [1,2]. Однако резкий рост в последнее время производства доступных по цене мобильных средств обмена информацией значительно расширяет возможности пользователей информационнокоммуникационных систем, делая их независимыми от многих сдерживающих факторов стационарного пользователя, кроме, пожалуй, одной - высоконадежной аутентификации личности пользователя.
Наиболее подходящей технологией для решения указанной проблемы является биометрическая аутентификация личности. Трагические события 11 сентября 2001 г. в США значительно изменили отношение к биометрии в мире. На данный момент известно, что 11 террористов - организаторов атаки на США были известны ФБР и разыскивались властями США, однако использование террористами поддельных документов и бюрократический механизм регистрации иностранцев сделали возможным осуществление теракта. Кроме того, отсутствие систем защиты управления самолетом также не препятствовало осуществлению планов террористов. Все это способствовало увеличению популярности глобальных биометрических решений среди граждан США, всего 10 % которых поддерживало идею биометрической паспортизации
до 11 сентября 2001 года и более 75 % после.
Все вышеперечисленное свидетельствует о значительном внимании к биометрии и развитию биометрических технологий. На сегодняшний день (по данным международной ассоциации IBIA — International Biometric Industry Association) зарегистрировано 27 форматов данных, используемых в биометрических устройствах и технологиях различных мировых компаний.
Стандарты, разработанные ISO/IEC JTC1 SC37, относятся к биометрии «начального этапа», способной выполнить «полицейские функции» и идентифицировать личность человека только локально, под прямым контролем проверяющего. Проверяющий должен обязательно контролировать действия человека при автоматизированной биометрической идентификации.
Относительно невысокую надежность и безопасность систем аутентификации личности с применением данной биометрии объясняется тем, что в основном используются статические биометрические данные
человека, неизменяемые по его воле и данные ему от рождения [1,2].
Большая уязвимость и возможность атак на статическую биометрическую защиту с классическим решающим правилом порождает ряд проблем, которые необходимо решать:
проблема незаконного массового сбора биометрических данных преступными сообществами;
проблема безопасного хранения биометрических данных в системах и устройствах;
проблема атаки на коллизии слабой биометрии;
проблема синтеза физических и электронных муляжей и обмана биометрии с их использованием;
проблема обеспечения анонимности биометрии;
проблема ликвидации последствий компрометации статических, неизменяемых биометрических образов;
проблема индивидуального тестирования обученных узнавать конкретного человека средств биометрии.
Статическая биометрия непригодна для высоконадежной дистанционной аутентификации личности. Для этого необходимо привлекать биометрические технологии способные безопасно взаимодействовать с другими механизмами по стойкости сопоставимыми с криптографическими. При этом система должна быть дружественной к пользователю, данные механизмы защиты должны быть невидимыми для него. Стойкость защиты, в зависимости от поставленной задачи и сферы применения, может быть ниже криптографической, но она должна быть повсеместной для легитимного пользователя.
Однако при массовом использовании данных высоконадежных механизмов возникают проблемы распределения и хранения личных ключей доступа миллионов пользователей. Эту задачу не удается решить традиционными методами. Сегодня все системы, использующие криптографические механизмы, обладают одной весьма существенной уязвимостью - это длинный, практически неподдающийся запоминанию обычным человеком, ключ. Поэтому ключи записываются на какой-либо физический носитель - специальным образом учтенные бланки, дискеты, Tech Memory, пластиковые карточки и т.д.
До тех пор, пока криптографические протоколы использовалась в интересах государственных структур, такие способы сохранения ключей в тайне, как организация специальных служб охраны, использования сейфов и др. были приемлемы. Однако, с расширением круга лиц, пользующихся криптографическими технологиями, такие решения стали слишком дорогими и «тяжелыми».
В настоящее время практически все страны, имеющие значимый национальный научно-технический потенциал пытаются решать задачи безопасного хранения криптографических ключей доступа.
Россия и США, являясь лидерами технологий защиты информации, открыто публикуют результаты своих исследований. США идут по пути использования нечеткой математики [3], американские ученые предлагают мировому сообществу специализированные «fuzzy» обогатители (экстракторы) превращающие бедную неоднозначную размытую биометрическую информацию в стойкий личный ключ пользователя.
Россией предложено использование системы полностью автоматической высоконадежной биометрико-нейросетевой аутентификации личности, как локальной, так и дистанционной, в открытом информационном пространстве. Ее принцип основан на использовании больших и сверхбольших искусственных нейронных сетей, которые заранее обучаются преобразовывать размытые биометрические динамические данные пользователя в его личный высоконадежный ключ по стойкости сопоставимой с криптографиче-
ским ключом [4,5,6]. К динамическим биометрическим данным пользователя можно отнести такие, как: динамику написания (индивидуальные особенности произношения) слова (фразы) пароля, особенностей динамики набора слова (фразы) на клавиатуре персонального компьютера. Первые две технологии более приемлемы, так как они не требуют больших затрат при их реализации для мобильного пользователя: последние модели мобильных сотовых устройств — коммуникаторов снабжены устройствами графического и голосового ввода информации. Последняя технология - особенность клавиатурного почерка, может использоваться в узких сферах и в основном для стационарных пользователей.
Важной особенностью динамических характеристик пользователя является возможность изменения как самого слова (фразы) пароля самим пользователем, так и увеличение стойкости пароля за счет применения более длинных слов (фраз) или нескольких слов (предложений).
Однако сразу заметим, что уникальность обычных открытых рукописных образов не велика по сравнению с отпечатками пальцев или радужной оболочкой глаза. Так, если злоумышленнику известен рукописный пароль из 5 букв и его начертание, то он входит в систему с вероятность 0.01. Для подбора динамики воспроизведения рукописного образа достаточно порядка 100 попыток. Это означает, что на каждом конкретном рукописном слове мы различаем не более 100 почерков. Важно отметить, что даже при такой сравнительно низкой разрешающей способности идентификация человека по рукописному почерку оказывается эффективной в силу своей низкозатратности. Теоретически стоимость биометрических систем этого типа может быть снижена до нуля, если рассматривать ситуацию когда средства ввода рукописной графики уже имеются (например, в коммуникаторах), и требуется установить только программное обеспечение. При этом владелец рукописного биометрического образа может сохранить его в тайне или изменить его по своей воле.
Решение вопроса повышения стойкости рукописного биометрического образа можно решить с помощью искусственных многослойный нейронных сетей. Многослойные нейросети позволяют преобразовать размытый, нечеткий рукописный образ в однозначный личный ключ пользователя [5,6]. Исследования показали, что биометрическую защиту удается сделать достаточно надежной только при использовании больших и сверхбольших расширяющихся искусственных нейронных сетей, обученных преобразовывать континуумы входных нечетких образов в однозначные коды личного ключа большой длины (256 бит, 512 бит, 1024 бит, 2056 бит,...). Естественно, что большие нейронные сети такого типа труднее обучать, чем обычные нейронные сети малого размера с простыми монотонными нелинейными элементами, однако, при переходе к их использованию удается добиться качественного изменения вероятностных характеристик. Заметим, что обученная большая расширяющаяся нейронная сеть имеет криптографические характеристики по числу возможных комбинаций входных и выходных образов, а так же может рассматриваться как первый пример нейросетевой реализации криптографической хэш-функции. Алгоритмы быстрого обучения являются основой новой технологии создания биометрико-нейросетевых контейнеров хранения ключа [5].
На рисунке представлена упрощенная блок-схема процедур высоконадежной биометрической аутентификации с нейросетевым контейнером хранения ключа.
Рис.1. Блок-схема процедур высоконадежной биометрической аутентификации с использованием нейросетевого контейнера хранения личного ключа
Преимуществом биометрико-нейросетевых контейнеров хранения ключа является то, что сам ключ в них не хранится, не хранятся также тайные рукописные биометрические образы. После обучения нейросети вся эта информация удаляется. Восстановить эту информацию по структуре связей нейросети и величине ее весовых коэффициентов невозможно.
Однако при разработке новых нейросетевых технологий возникает ряд вопросов, на которых хочется остановиться отдельно.Один из них — стойкость биометрико-нейросетевой системы. Сегодня производителями биометрических средств декларируются только среднестатистические показатели стойкости системы, что явно недостаточно. Реальные характеристики данных биометрических систем при работе с конкретными пользователями могут отличаться от среднестатистических на десятки порядков [6]. Необходима разработка механизмов прогноза стойкости реальных биометрических образов, принадлежащих реальным людям. В настоящее время стойкость нейросистем в основном рассчитана с помощью математических моделей на ПЭВМ и с использованием минимального количества биометрических образов реальных людей.
Причина этого кроется в определенных сложностях сбора, обработки, систематизации и использования собранных данных для проверки существующих и разрабатываемых биометрических систем.
В ходе проведения исследований выяснено, что всех людей можно разделить на 7 классов [5,6]. Каждый класс имеет свою уникальность и стабильность почерка. Меняя парольные слова можно переходить из одного класса в другой. Вполне реально перейти на один класс ниже или выше, однако переход на 2 класса вверх и вниз возможен, но проблематичен. Стойкость системы к атакам подбора существенно зависит от класса, к которому система отнесла пользователя.
Первый, наиболее стабильный, класс пользователей при сохранении в тайне биометрического образа имеет вероятность ошибки второго рода на уровне 10-33. Самый нестабильный седьмой класс пользователей вообще не может пользоваться системой. Среднестатистический пользователь имеет вероятность ошибки второго рода на уровне 10-9. Получается, что люди с уникальным и стабильным почерком имеют вероятность ошибки второго рода на 24 порядка меньше, чем среднестатистический пользователь.
Таким образом, стойкость системы во многом определяется индивидуальными характеристиками самого пользователя (его классом). Для практики крайне важно точно определить класс пользователя. Ошибка в определении класса может привести к завышению или занижению стойкости системы на не-
сколько порядков. Необходимо использовать специальные нейросетевые механизмы для корректного и достоверного определения класса пользователя по его реальным биометрическим параметрам. Поэтому ГОСТ Р 52633.0 - 2006 [4] обязывает производителей высоконадежных средств биометрической аутентификации информировать пользователя о стойкости системы после ее обучения на личных данных пользователя.
Несмотря на указанные выше проблемы, отметим основные преимущества высоконадежной биометрической аутентификации:
исключена атака на биометрический шаблон и решающее правило;
исключена атака на «последний бит» решающего правила, появился надежный стык с криптографией;
сложность связей программного обеспечения искусственного интеллекта выросла примерно в 100 раз, появилась возможность использования «плохих биометрических данных»;
вероятность ошибок второго рода снижается на 6 ... 20 порядков.
пользователь - сам генерирует ключ с помощью большой сети искусственных нейронов и может самостоятельно его изменить;
отсутствие биометрических данных в чистом виде. В компьютере, в программе доступа, только весовые коэффициенты биометрических данных личности, обработанных нейросетью большого размера;
использование в мобильных устройствах, высокая стойкость, низкая стоимость, и доступность широкому кругу пользователей.
Еще одним принципиально важным новым свойством новой технологии является ее анонимность. Если в программе будет находиться только обученная нейронная сеть, то по ней нельзя восстановить биометрию и имя ее владельца. Даже если спланировать и осуществить специальную атаку по компрометации анонимности владельца нейросети и по результатам атаки связать конкретную нейросеть с именем ее владельца, то по параметрам этой нейросети следить за человеком всю его оставшуюся жизнь не получится. Если человек изменит свой код ключа доступа или изменит свой биометрический образ, таблицы описания переобученной нейронной сети кардинально меняются. В свою очередь без обеспечения анонимности невозможно создавать действительно надежные системы электронной торговли, электронного банкинга, электронного голосования.
В заключении хотелось бы подчеркнуть, что, несомненно, новые высоконадежные биометрические
технологии требуют дальнейшего изучения, но уже сегодня неоспорим тот факт, что для защиты от несанкционированного доступа к информации и дистанционной аутентификации личности они будут востребованы.
ЛИТЕРАТУРА
1. Болл Руд и др. Руководство по биометрии. /Болл Руд, Коннел Джонатан Х., Панканти Шарат,
Ратха Налини К., Сеньор Эндрю У. — М: Техносфера, 2007. — 368 с.
2. Сорокин И.А. Использование биометрической аутентификации в глобальных информационных сетях //Вопросы защиты информации. — М: Изд-во ВИНИ, 2001. — № 4(55). — С.58—60.
3. Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noisy Data /Yevgeni Dodis, Leonid Reyzin, Adam Smith // April 13, 2004. www.cs.bu.edu/~reyzin/fuzzy.html
4. ГОСТ Р 52633.0-2006 «Защита информации. Техника защиты информации. Требования к высоконадежным средствам биометрической аутентификации».
5. Волчихин В.И. Быстрые алгоритмы обучения нейросетевых механизмов биометрико-
криптографической защиты информации / В.И. Волчихин, А.И. Иванов, В.А. Фунтиков. - Пенза: Изд-во Пенз. гос. ун-та, 2005. - 276 с.
6. Малыгин А.Ю. Быстрые алгоритмы тестирования нейросетевых механизмов биометрикокриптографической защиты информации / А.Ю. Малыгин, В.И. Волчихин, В.А. Фунтиков, А.И. Иванов. -Пенза: Изд-во Пенз. гос. ун-та, 2006. - 161 с.
