Модель нейросетевого преобразования биомерия-код с учетом требований пакета стандартов ГОСТ р 52633 Текст научной статьи по специальности «Компьютерные и информационные науки»

Майоров А.В. МОДЕЛЬ НЕЙРОСЕТЕВОГО ПРЕОБРАЗОВАНИЯ БИОМЕРИЯ-КОД С УЧЕТОМ ТРЕБОВАНИЙ ПАКЕТА СТАНДАРТОВ ГОСТ Р 52633

Предложена математическая модель нейросетевого преобразователя биометрия-код и его модель, удовлетворяющая требованиям отечественного пакета стандартов ГОСТ Р 52633, а также освещены вопросы представления входных и выходных параметров преобразования. Предложен формат нейросетевого биометрического контейнера для хранения параметров нейросетевого преобразования.

Введение

В России первой обратили внимание на недостатки существующих биометрических технологий [1], используемых зачастую для защиты «больших секретов: 1. Невозможность подтвердить высокие характеристики безопасности систем, вследствие отсутствия методик тестирования. 2. Компрометация биометрических образов пользователя из-за допустимости их открытого хранения в виде биометрического шаблона или шифрования в базе биометрических образов на едином ключе или его производных.

3. Использование однобитных решающих правил. 4. Отсутствие средств оценки особенностей биометрических образов (стабильности, уникальности, качества); 4. В алгоритмах обработки биометрических образов не заложен учет корреляции входных биометрических параметров и выходного кода; 5. Разрабатываемые системы являются «непрозрачными» для систем внешнего контроля, поэтому произвести адекватную оценку качества продукта невозможно, значит, вероятность «закладок» и ошибок из-за «человеческого фактора» увеличивается на порядок.

Пакет отечественных стандартов [2, 3, 4], напротив, разработан для высоконадежных биометриче-

ских систем и отличается жесткостью требований к процедуре преобразования биометрия-код и использованию биометрических данных. В настоящей работе предлагается вариант универсальной модели нейросетевого преобразователя биометрия-код (НПБК), удовлетворяющий требованиям пакета стандартов ГОСТ Р 52633.

Требования к нейросетевому преобразованию биометрия-код

Выделим ключевые особенности отечественных стандартов [1, 2, 3] в части требований к процедуре

нейросетевого преобразования биометрия-код:

- гарантированное уничтожение биометрических образов и эталона выходного кода после завершения

обучения, что подразумевает использование: 1) строгих правил хранения преобразуемых биометриче-

ских данных 2) безусловных алгоритмов преобразования 3) минимизации операций преобразования 4) минимизации числа областей, используемых для хранения параметров.

- размытие параметров преобразования в таблицах весовых коэффициентов нейронной сети означает, что параметры нейросетевого преобразования не должны компрометировать (выше некоторого допустимого уровня) выходной код преобразования или биометрические образы.

- обеспечение приемлемой для пользователя вероятности ошибок первого рода с возможностью ее предсказания на основе экспресс тестирования.

- равная вероятность откликов в отдельных битах выходного кода за счет балансировки параметров преобразования на адекватной базе «Все чужие».

- обеспечение низкой парной и групповой корреляции между битами выходного кода.

- наличие средств обнаружения и исправления ошибок (до 7% от выходного кода), которое может обеспечиваться кодами, исправляющими ошибки.

- проведение «жесткой» индикации (вида «да»/«нет») правильности выходного кода перед его использованием, через использование необратимых хэширующих преобразований.

- применимость алгоритмов настройки нейросетевого преобразователя для разных биометрических технологий, путем использования универсальных форматов представления входных параметров преобразования.

- приемлемое время настройки преобразователя биометрия-код для потребителя достигаемое, например, за счет распараллеливания вычислений или использования безытерационных (быстрых) алгоритмов обучения нейронных сетей.

- наличие встроенных механизмов тестирования и прогнозирования, позволяющих: 1) оценить каче-

ство обучения 2) качество биометрических данных и выходного кода 3) оценить стойкость к атакам различного первого и второго рода в случаях известных/неизвестных биометрических данных, частичной их компрометации, частичной компрометации выходного кода, использованием различных тестовых баз биометрических образов.

- балансировка числа бит выходного кода, имеющих разные значения, например, за счет подключения качественных генераторов белого шума или трансформации кода.

- возможность перенастройки функции нейросетевого преобразования при сохранении первоначальных биометрических данных в тайне.

- возможность безопасного объединения нейросетевых преобразований: 1) для нескольких биометрических технологий 2) для нескольких человек через последовательное формирования выходного кода или формирование составного кода;

- возможность объединения биометрических технологий путем объединения биометрических параметров;

- наличие, не компрометирующих выходной код, неоднозначных («мягких») индикаторов правильности частей выходного кода без их компрометации.

- контроль целостности параметров и свойств преобразователя, за счет использования алгоритмов подсчета контрольных сумм, хеш-значений или формирования электронно-цифровой подписи;

- хранение сведений о состоянии нейросетевого преобразования;

- предварительная фильтрация плохих биометрических данных перед обучением и использование во время выполнения преобразования;

- поддержка возможности реализации нейросетевого преобразования в различных вычислительных средах.

Представление входных и выходных параметров нейросетевого преобразования биометрия-код

Биометрический образ рассматривается как набор векторов биометрических параметров, извлекаемых из него. Множество типов параметров с точки зрения алгоритмов их анализа может быть сведено к двух основным типам: непрерывному и дискретному; а также двум вспомогательным: неизменяемым по

области «Свой» непрерывным и дискретным.

Непрерывный параметр задает количественное значение некоторой характеристики биометрического образа. Примером такого параметра может служить, положение курсора при вводе рукописного образа, вариация цвета сектора радужной оболочки глаза. Ожидаемое значение параметра будет колебаться около некоторого центра. Свойствами непрерывного параметра являются: ОДЗ, закон распределения

отклонений от среднего значения (для множеств образов «Все чужие» и «Свои») , среднее значение и дисперсия в случае нормального закона распределения.

о&всгьдсусгилы зтенанм

Рисунок 1. Свойства непрерывного параметра

Дискретный параметр отличается от непрерывного тем, что отражает качественную характеристику биометрического образа, например, цвет глаз человека, признак наличия точки бифуркации паппиляр-ной линии в заданной области. Свойствами дискретного биометрического параметра являются: диапазон значений, шаг дискретизации, вероятности появления «Своих» и «Чужих» для каждого возможного значения .

ВЕрсягнэсгь

«Со»

Вврсягносгь

1 «Ве чуие» ч 1 1 1

значене | о 1 . 2 1 з Г

дскр цвг_____________

двпаэсн знамени

Рисунок 2. Свойства дискретного параметра

Неизменяемые по области «Свой» непрерывные и дискретные параметры отличаются тем, что, соответственно, распределение «Свои» и вероятности «Свои» в них вырождаются в одно значение (дисперсия равна 0).

С помощью указанных 4 типов параметров можно описать большинство параметров, извлекаемых из биометрических образов, а также другие параметры нейросетевого преобразования, дополнив тип параметра форматом его представления в памяти (вещественное, целочисленное, знаковое и т.д.). Например, выходной код преобразователя можно представить как вектор битовых, неизменяемых по области «Свой» дискретных параметров.

Модель нейросетевого преобразования биометрия-код

С учетом требований простоты нейросетевое преобразование можно представить как ряд атомарных преобразований (функций), выполняемых над входными биометрическими параметрами. В случае подачи биометрических параметров, похожих на обучаемые, выдается на выходе преобразователя выдается правильный выходной код, равный эталонному, иначе - случайный выходной код.

Опишем нейросетевое преобразование составной функцией Ошсс:

{Ьо, зо} = ^сс(Ь1, з1, Е, р), (1)

30={50е1,1, ..., ЗОЕ1,р, ..., ЗОеп,1, ..., ЭОрп.д,},

Ы={Ь11,...,Ы2},

^={5^1,1, ..., 3^1,^ ..., 31?п,1 , ...,

Е=т^2,..,Еп},

р={рЕ1,1 , ..., pF1,i , ..., рЕп,1 , ..., pFn,j,},

где

Ы - вектор входных биометрических параметров, вырабатываемых из биометрических образов человека по некоторому алгоритму;

з1 - вектор дополнительных входных параметров атомарных функций преобразования (например, части составного выходного кода, описание пространства адресации) ;

Е - набор атомарных функций преобразования, свойства которых настраиваются во время обучения нейросетевого преобразователя биометрия-код, а дополнительные входные параметры должны совпадать как во время обучения, так во время самого преобразования;

р - вектор свойств нейросетевого преобразователя биометрия-код;

ЬО - выходной код;

зо - вектор дополнительных выходных параметров, возвращаемых атомарными функциями преобразования (например, значения «мягкого» индикатора, таблицы обнаруженных и исправленных ошибок);

Подразбиение нейросетевого преобразования на функции обусловлено упрощением реализации каждой отдельной функции. Атомарная функция преобразования Fi в общем случае записывается как:

{Ьо^ зо} = Fi(bo{l...к},Ьi{l...L1,si{o..,.м},PFi),(2)

Предлагается интерпретировать выходные биометрические параметры атомарных функций как входные биометрические параметра зависимых от них функций. Таким образом, нейросетевое преобразование можно представить в виде последовательности вложенных вызовов функций преобразования, например, &ывсс ^ Fi(Fi-l(Fl,..., Fj),.., Fi-()). Допустимы вырожденные функции, не имеющие выходного параметра, но имеющие дополнительные выходные параметры. Этот вид функции будем использовать в качестве индикаторов.

Исходя из назначения атомарных функций, правил формирования входных и выходных параметров, разделим их на несколько классов.

Класс нейросетевой функции (3) моделирует работу классических ИНС.

{ Ь°™} = FNN (bi {1..i1) (3)

Нейросетевая функция использует для преобразования вектор входных биометрических параметров и формирует на выходе отклик нейронной сети. В зависимости от используемого алгоритма преобразования, отклик может совпадать с выходным кодом или генерировать ся случайно. Настройка (обучение) нейросетевой функции проводится независимо для каждого нейрона сети с использованием быстрых алгоритмов обучения на двух базах: «Свои» и «Все чужие». Нейросетевая функция предназначена для

нелинейного разделение битов выходного кода и повышения качества входных параметров, благодаря чему становится возможным последующее использование функций, работающих с некоррелированными параметрами, а также анализ качества, как входных биометрических параметров, так и качества преобразования. Многослойная нейронная сеть может быть разбита на несколько простых функций, моделирующих работу отдельного слоя. Такое разбиение позволяет организовать тестирование входов и выходов каждого слоя.

Класс нечетких функций (4), позволяет сгруппировать нечеткие алгоритмы сравнения. Учитывая требования к ним по безопасности, допустимо использовать нечеткие преобразователи, использующие косвенные сравнения параметров и работающие с низко коррелированными данными, полученными, например, на выходе нейросетевых функций.

{boFL} = Ffl (bi{i...i}) (4)

Класс криптографических преобразователей (5) предназначен для выделения в отдельную группу функций, выполняющих обратимое или необратимое преобразования с помощью ключа преобразования (дополнительный входной параметр sikey). Криптографическое преобразование необходимо, например, для предотвращения анализа коллизий по выходному коду.

{ bOcc } = Fcc (bi{i...i}, sikey) (5)

Следующий класс функций (6) предназначен для выполнения «жесткой индикации» корректности выходного кода, путем косвенного сравнения выходного кода с эталонным значением. Может быть реализовано как сравнение прохэшированных с солью значений. Дополнительный выходной параметр sohi, принимает 2 значения: свертка входного параметра равна эталонному значению или не равна. Настраиваемым свойством класса будет случайное значение, используемое в качестве «соли».

{,sOHI} = FHI(bii,psalt) (6)

Класс функций (7), выполняющих «мягкую индикацию», отличается от предыдущего тем, что более точно позволяет ранжировать входной параметр по степени его совпадения с эталонным значением, а также использовать составную индикацию, при которой для каждой группы входных параметров указывается приближенная вероятность совпадения с эталонным значением. В самом простом случае значением индикатора будет расстояние Хемминга между фактическим значением входного параметра и его эталонным значением. Однако, в явном виде такое сравнение недопустимо, поскольку раскрывает входной параметр. Поэтому «мягкие индикаторы» должны косвенную бескомпроматную оценку близости этих значений. Входные параметры bi{i...i} и si{i+i...k} содержат части составного ключа, для которого выполняется индикация. Дополнительный вектор выходных параметров sosi содержит значения индикатора для каждой его части.

■[, soSI} = Fsi(biU...i}i- si{i+1...kW psalt) (7)

Класс функций нечеткой адресации (8.1) необходим для работы с пространствами биометрических образов. Необходимость введения этого класса обусловлена возможностью использования нейросетевых преобразователей в массовых системах биометрической аутентификации. В этом случае последовательная проверка всех абонентов системы может занимать длительное время и не удовлетворять политике безопасности.. Функция нечеткой адресации в общем виде позволяет по известным биометрическим входным параметрам bi, определенному пространству адресатов soSpace и адресу текущего преобразования указать вектор поиска абонента sOaddress с более близкими входными биометрическими параметрами. Описание пространства по формату представления совпадает с описанием адресуемых входных биометрических параметров (8.2). При добавлении новых абонентов должно производиться переразбиение пространства. Однако, в случае, когда размерность пространства много выше фактического числа абонентов, вероятность коллизий будет небольшой, и переразбиение пространства можно не проводить.

{,sOaddress } = FAd( bi {i...i}, si space) (8.1)

sispace ^meta bi{i...i} (8.2)

Класс функций трансформации кода (9) служит для быстрого приведения выходного кода к требуемому (по длине, значению, формату хранения) (9).

{boCT} = FCT (bii) (9)

В качестве одного из вариантов можно использовать трансформатор кода вида:

Ьост = H(bii) ®D(bii), (i0)

где H - необратимая функция, D - дополнение выходного параметра до значения функции H. При такой реализации трансформатор кода позволяет осуществлять изменить выходной код без знания биометрических параметров пользователя и без его участия, например в случае, когда пользователь не доверяет хранение собственных биометрических данных (параметров) биометрическому приложению, но политика организации требует регулярную автоматическую смену выходного кода.

Функции класса обнаружения и исправления ошибок (ii) предназначены для определения позиций небольшого числа ошибок и их гарантированного исправления классическими методами, например, с помощью кодов Рида-Соломона. Важно отметить, что функции класса должны иметь встроенную оценку степени компрометации выходного кода для заданного порога обнаруживаемых и исправляемых ошибок. Допустимо реализовывать функции, увеличивающих во время обучения входных биометрических параметров, чтобы компенсировать понижения эффективной длины выходного кода. Дополнительными выходными параметрами функции являются битовые таблицы обнаруженных и исправленных ошибок.

{boEDC ,{sodet ected,socorrected}} = FEDC (bii) (ii)

Класс функций связывания (i2) предназначен для объединения в одну систему нескольких нейросе-тевых преобразований или данных, полученных с помощью преобразований другого типа (с использованием ключевой информации, аппаратных средств, и т.д.) . Возможно несколько стратегий реализации таких функции: связывание с увеличением длины выходного кода (параллельное) , связывание с каче-

ственным изменением выходного кода (последовательное). Благодаря включению функций связывания возможна реализация мультибиометрических преобразований, аутентификации с помощью нескольких технологий (биометрической, ключевой, идентификационной), использовать групповые способы аутентификации и выработки выходного кода, синхронную аутентификацию и аутентификацию с внешним контролем преобразования. Настраиваемыми свойствами класса функций являются правила объединения нескольких дополнительных параметров с входным биометрическим параметром и внутренние алгоритмы преобразования.

{boC,{soown}} = FC(bii, si connected, p ) (i2)

Этот же класс функций используется для выработки кода связывания нейросетевого контейнера с другими контейнерами sOown, если он является связующим. В простейшем случае, однако, можно применять просто выходной код нейросетевого преобразования.

Класс функций сбора биометрического аудита (i3) должен решать 2 вида задач: бескомпроматный

сбор статистики аутентификации, отклонение атак через входные биометрические параметры преобразователя. Представляет собой функцию-индикатор со связанной базой контролируемых характеристик входных параметров. При отклонении характеристик за допустимые границы или обнаружение попыток синтеза неестественных биометрических параметров, устанавливает индикатор в состояние «некорректные биометрические параметры» и запрещает дальнейшее проведение нейросетевого преобразования.

{,{sOdecision}} = Fau (bii, sistatistic,p) (i3)

Класс функций тестирования (i4) предназначен для получения основных контролируемых характеристик биометрических образов и выходного кода по результатам многократного выполнения нейросетево-го преобразования только в процессе его тестирования. Характеристиками биометрических параметров

являются: стабильность, уникальность, качество. Характеристиками выходного кода являются: среднее математическое ожидание, дисперсия, качество, минимальное и максимальное значение меры Хэмминга при сравнении выходных кодов с эталонным значением, а также число их полного совпадения.

{,{SOstat}} = Ft (bii) (14)

Предлагаемая модель нейросетевого преобразователя благодаря своей универсальности позволяет описать большинство отображений высокоразмерного пространства биометрических параметров в многомерное пространство выходного кода с учетом требований отечественных стандартов.

Хранение свойств и настраиваемых параметров нейросетевого преобразования

Для хранения модели нейросетевого преобразования удобно использовать граф. В узлах располагаются элементарные функции преобразования с их свойства, входные и выходной параметры, а также дополнительные параметры преобразования. Дуги графа описывают порядок передачи параметров и порядок применения атомарных преобразований. Порядок вызова атомарных функции при проведении нейросе-тевого преобразования ограничен условием: все входные параметры функции должны быть определены к

моменту ее вызова.

Дополнительные свойства параметров и настраиваемые параметры нейросетевого преобразования предлагается применять нейросетевой биометрический контейнер.

Биометрический контейнер состоит из четверки:

{H,S,Pf,Pi1 (15)

где H - заголовок биометрического контейнера;

S - граф модели нейросетевого преобразования;

PF - вектор свойств и настраиваемых параметров атомарных функций нейросетевого преобразования;

PI - вектор данных информационных блоков, не участвующих в нейросетевом преобразовании, но содержащая дополнительные сведения о нейросетевом преобразовании. В качестве такой информации можно привести: идентификатор пользователя UI, идентификатор контейнера NI, информацию о времени DT,

блок безопасности SE, блок результатов тестирования TR, блок качества обучения TQ, содержащий информацию о стабильности, уникальности и качестве, а также результаты последнего тестирования.

Заключение

В работе представлена модель нейросетевого преобразования, освещены вопросы представления входных и выходных параметров, а также хранения параметров работы нейросетевого преобразования в биометрическом контейнере. В дальнейших исследованиях предлагается разработать интерфейс взаимодействия с модулем нейросетевого преобразования биометрия-код и рассмотреть реализации его наиболее интересных классов функций.

ЛИТЕРАТУРА

1. ГОСТ Р ИСО/МЭК 19784-1 Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Спецификация биометрического программного интерфейса;

2. ГОСТ Р 52633.0-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации;

3. ГОСТ Р 52633.1-2009 Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации;

4. ГОСТ Р 52633.2-2009 Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации;