ОБЗОР МЕТОДОВ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ
СЕТИ Г.С. Иванов
Дан обзор и классификация методов биометрической идентификации личности пользователя корпоративной информационной сети. Показаны принципы, на которых базируются методы биометрической идентификации. Отмечены достоинства и недостатки каждого из представленных методов, а также указаны величины ошибок.
На сегодняшний день биометрия как научная дисциплина имеет ряд практически независимо развивающихся направлений, каждое из которых имеет свои предпочтительные технические приложения. В исследованиях по биометрической тематике активное участие принимают десятки научных центров при университетах, ряд правительственных организаций (www.biometrics.org) и сотни коммерческих фирм (www.biometricgroup.com). Сформировался специфический рынок биометрических аппаратных устройств и программных продуктов, а также услуг по поддержке, тестированию и адаптации этих биометрических продуктов.
Существующие продукты следует разделить на две ветви. К первой ветви следует отнести большую группу биометрических продуктов, построенных на анализе статических образов личности, данных ей от рождения и хорошо наблюдаемых окружающими.
Ко второй, принципиально иной ветви биометрических продуктов следует отнести устройства и программные средства, построенные на анализе динамических образов личности. Динамические образы личности отражают особенности характерных для нее быстрых подсознательных движений в процессе воспроизведения контрольного слова рукописным почерком или в процессе произнесения контрольного слова голосом пользователя.
Следует иметь в виду, что статическая и динамическая биометрии - это две взаимно дополняющие друг друга ветви. Основным преимуществом статической биометрии является ее относительная независимость от психологического состояния пользователей, малые затраты усилий пользователей и, как следствие, возможность организации биометрической идентификации больших потоков людей.
Идентификация личности по рисунку сосудов глазного дна
Одним из первых и самых надежных методов идентификации личности является использование рисунка кровеносных сосудов глазного дна. Вены и артерии, снабжающие глаз кровью, хорошо видны при подсветке глазного дна внешним источником света. Саймон и Голдштейн в 1935 году доказали уникальность дерева кровеносных сосудов глазного дна для каждого конкретного индивидуума. Процедура идентификации личности сводится к тому, что человек наблюдает сквозь специальный окуляр удаленную световую точку, при этом осуществляется инфракрасная подсветка его глазного дна, и на нем выделяется дерево кровеносных сосудов. Далее оно сравнивается с эталоном. Ошибки метода обусловлены отклонениями головы испытуемого от эталонного и неверной фокусировкой им взгляда на удаленном источнике света. По данным Сандий-ской национальной лаборатории (США), ошибки первого рода для метода составляют 0,4%. Ошибки второго рода практически невозможны. Отсутствуют данные о трудностях изготовлению муляжа, способного обмануть подобные биометрические устройства.
Идентификация личности по радужной оболочки глаза
Уникальность рисунка радужной оболочки обусловлена генотипом личности, и существенные отличия радужной оболочки наблюдаются даже у близнецов. Обнаружено, что при ряде заболеваний на радужной оболочке появляются характерные пигментные пятна и изменения цвета. Для ослабления влияния состояния здоровья на результаты идентификации личности в технических системах используются только черно-белые изображения высокого разрешения. Уникальность рисунка радужной оболочки глаза позволяет фирмам выпускать целый класс весьма надежных систем для биометрической идентификации личности. Этот класс систем захватывает видеоизображение глаза на расстоянии 20-30 сантиметров от видеокамеры, осуществляет автоматическое выделение зрачка и радужной оболочки. Ошибки второго рода для этого метода составляют величину порядка 0,0001%.
Идентификация личности по особенностям геометрии кисти руки
Системы идентификации по силуэту кисти руки появились одними из первых и начали серийно выпускаться фирмой Idenmat (США) более 20 лет назад. С точки зрения компактности образа этот класс систем является самым экономичным. При хранении информации только о длине и ширине пальцев требуется всего 9 байт. Естественно, что для систем, учитывающих только длину и ширину пальцев, может быть легко изготовлен картонный муляж руки оригинала. Более сложными являются системы, дополнительно измеряющие профиль руки. Данные о 3D геометрии руки получают путем использования одной телевизионной камеры и инфракрасной подсветки руки под разными углами. Последовательное включение нескольких подсвечивающих светодиодов дает теневые варианты проекций трехмерной геометрии кисти руки, содержащие информацию о ее объеме. Использование подобного технического решения не позволяет выполнять устройства малогабаритными, так как требуется выносить источники подсветки на расстояние 10-15 сантиметров. Ошибки первого и второго рода для современных биометрических устройств этого класса составляют менее 0,2%. Системы этого класса не предъявляют особых требований к чистоте, влажности, температуре рук.
Идентификация личности по папиллярному рисунку пальцев руки
Кожа человека состоит из двух слоев, при этом нижний слой образует множество выступов, в вершине которых имеются отверстия выходных протоков потовых желез. На основной части кожи выступы располагаются хаотично, и они трудно наблюдаемы. На отдельных участках кожи конечностей папилляры строго упорядочены в линии (гребни), образующие уникальные папиллярные узоры. Идентификация личности на основе папиллярных рисунков пальцев рук предложена двумя авторами, Г. Фулдсом и В. Гершелем, и описана в статье авторитетного английского журнала «Nature» в 1880 году. Метод идентификации широко распространен в криминалистике.
Системы дактилоскопической идентификации личности снимают с помощью сканера папиллярный узор с одного из пальцев заявителя прав доступа и сравнивают его с эталонным рисунком. Объем хранимой эталонной информации может быть существенно уменьшен, если осуществить классификацию на характерные типы папиллярных рисунков и выделить на отпечатке характерные микроособенности, представляющие собой начала (окончания) папиллярных линий или их слияния (разветвления). Выделяют три типа папиллярных рисунков (дуговые, завитки, круговые) и два типа макроособенностей (дельты и центы).
По результатам независимого тестирования ошибки первого рода для систем этого класса составляют от 10% до 20%, если учитывать неблагоприятные случаи сухой кожи, а также включать в состав группы тестирования лиц с плохо выраженными папиллярными рисунками.
Идентификация личности по индивидуальным особенностям
геометрии лица
Одним из перспективных направлений развития технологии биометрической идентификации личности является использование индивидуальных особенностей геометрии лица. Принцип работы устройств этого класса крайне прост: миниатюрная видеокамера вводит изображение лица находящегося перед компьютером человека. Программное обеспечение сравнивает введенный портрет с хранящимся в памяти эталоном. Некоторые системы дополнительно осуществляют архивирование вводимых изображений для возможного в будущем разбора конфликтных ситуаций. Весьма важным является также то, что этот класс биометрических систем потенциально способен осуществлять непрерывную идентификацию (аутентификацию) пользователя компьютера в течение всего сеанса его работы. Основными проблемами, с которыми приходится сталкиваться разработчикам этого класса биометрических систем, являются изменение освещенности, вариации положения головы пользователя, выделение информативной части - портрета (гашение фона). С этими проблемами удается справиться, автоматически выделяя на лице особые точки и затем измеряя расстояния между ними. На лице выделяются контуры глаз, бровей, носа, подбородка. Расстояния между характерными точками этих контуров образуют весьма компактный эталон конкретного лица, легко поддающийся масштабированию. Близнецы системами этого класса не различаются.
Следует подчеркнуть, что задача оконтуривания характерных деталей лица легко может быть решена для плоских двухмерных изображений с фронтальной подсветкой, но такие биометрические системы могут быть обмануты плоскими изображениями лица-оригинала. Для двухмерных систем изготовление муляжа-фотографии не является сложной технической проблемой. Существенные технические трудности при изготовлении муляжа возникают при использовании трехмерных биометрических систем, способных по перепадам яркости отраженного света восстанавливать трехмерную геометрию лица. Такие системы способны компенсировать неопределенность расположения источника освещенности по отношению к идентифицируемому лицу, а также неопределенность положения лица по отношению к видеокамере. Обмануть этот класс систем можно только объемной маской, точно воспроизводящей трехмерную геометрию лица-оригинала. Хорошо работающих трехмерных систем пока не существует.
Идентификация личности по термографическому изображению
лицевых артерий и вен
Проблемы идентификации человека по лицу существенно упрощаются при переходе наблюдений в дальний инфракрасный диапазон световых волн. Предложено осуществлять термографию идентифицируемого лица, выявляющую уникальность распределения артерий на лице. Проблема подсветки для этого класса биометрических устройств не существует, так как они воспринимают только температурные перепады лица и могут работать в полной темноте. На результаты идентификации не влияют перегрев лица, его переохлаждение, естественное старение личности, пластические операции, так как они не изменяют внутреннее расположение сосудов. Методу лицевой термографии доступно различение близнецов, кровеносные сосуды на их лицах имеют доста-
точно существенные различия. Метод рассчитан на использование видеокамеры дальнего инфракрасного диапазона.
Идентификация личности по венам руки
На рынке биометрии присутствуют устройства, построенные на анализе индивидуальности расположения вен руки. Используется рисунок вен тыльной стороны кисти руки, сжатой в кулак. Наблюдение рисунка вен осуществляется камерой при инфракрасной подсветке. После ввода изображения осуществляется его бинаризация, подчеркивающая вены.
Другие статические методы идентификации личности
Одним из активно развивающихся направлений идентификации личности является использование индивидуальных особенностей генетического кода личности. Сегодня методы тонкого анализа генетического кода применяются только в криминалистике, так как они пока не позволяют получать результат в реальном масштабе времени.
Идентификация личности по рукописной подписи и динамике
ее воспроизведения
Этот способ идентификации личности построен на том, что автор придумывает себе факсимиле и хорошо отрабатывает его путем тренировок. Желательно, чтобы авторское факсимиле имело существенные отличия по форме от классического написания букв в виде дополнительных элементов (росчерков, возвратов, наложения букв). Имеет смысл проблему идентификации автора по его факсимильной подписи рассматривать как две независимые проблемы:
• идентификация автора только по следу пера автографа или по «мертвой» статической подписи, уже присутствующей на проверяемом документе;
• идентификация автора по динамике воспроизведения автором «живой» подписи, вводимой им в компьютер в момент своей идентификации при возможности наблюдения индивидуальных особенностей, привычных для автора подсознательных движений.
Отмеченные выше две постановки задачи имеют весьма существенные отличия, но обе эти задачи могут решаться параллельно и независимо. В первой постановке задачи речь идет о сравнении изображений, воспроизведенных ранее в неизвестной последовательности. Во второй постановке задачи имеются данные о параметрах колебания пера автора при воспроизведении им подписи в трехмерном пространстве. Если пользоваться декартовой системой координат (X, У, 7), то данные о динамике воспроизведения подписи получают в виде двух функций времени - колебаний пера в плоскости графического планшета Х(^), У(^) и еще одной функции - вариации давления пера на графический планшет 7(^). Сразу же следует отметить то, что первая постановка задачи очень сложна для уровня развития современных информационных технологий. На сегодня известные технические решения первого варианта постановки задачи по вероятностным характеристикам существенно хуже, чем статистика работы опытных людей (экспертов). Именно по этой причине фирмы-производители не дают статистических данных об ошибках первого и второго рода для идентификации автора только по «мертвому» статическому образу его подписи.
Иначе обстоит дело с другой постановкой задачи. Во второй постановке задачи решающая ее вычислительная машина имеет существенно больше информации в сравнении с экспертом. В итоге системы идентификации личности, анализирующие дина-
мику воспроизведения автографа, по своим статистическим характеристикам оказываются существенно лучше экспертов. Эксперт просто не обладает подобной динамической информацией, и только по этой причине он оказывается хуже вычислительной машины. Практически все существующие сегодня коммерческие системы идентификации личности этого класса работают с «живыми» подписями и построены в основном на анализе динамики воспроизведения подписи. Однако в этих системах могут присутствовать и фрагменты более сложной ветви анализа статических изображений подписи.
Коммерческие системы следует разделить на одно-, двух- и трехкоординатные. Соответственно, эти системы отличаются тем, что анализируют одну кривую, пару кривых или полную тройку кривых Х(^), У(1), Z(t). Однокоординатные системы могут быть построены путем учета любой из этих временных функций, обеспечивая вероятности ошибок первого и второго рода на уровне 0,1. Двухкоординатные системы используют любую пару функций времени из тройки Х(^), У(1), Z(t) и на сегодняшний день позволяют достичь уровня вероятности ошибок порядка 0,01. Наиболее сложные системы используют полную тройку функций, обеспечивая уровень вероятностей ошибок первого/второго рода порядка 0,003.
Следует отметить, что некоторые из систем биометрической идентификации по подписи используют не сами проекции функций Х(^), Д7), Z(t) на оси координат, а их первую или вторую производную. Последнее обусловлено только типом используемого датчика, чувствительного к производной, и практически не влияет на качество и объем исходной информации. Искусственное наращивание числа анализируемых функций за счет измерения их самих и их же производных нецелесообразно, так как все линейные преобразования первообразных дают сильно коррелированные данные. В частности, корреляция биометрических данных, полученных из первообразной Х(^), и биометрических данных, полученных из ее производной ёХ(()/&, близка к единице.
Следует отметить, что ошибка первого рода или ложный отказ подлинному автору с вероятностью 0,01 - это вполне приемлемая характеристика для требований сегодняшнего дня. Иначе обстоит дело с ошибками второго рода или ложным пропуском злоумышленника. Для ряда практических приложений вероятность ошибок второго рода 0,01 является неприемлемо большой величиной. Для снижения этой ошибки в 10-10° раз прибегают к идентификации личности по динамике воспроизведения биометрического пароля. В качестве биометрического пароля обычно используется некоторое секретное слово-пароль. Автором сохраняется в секрете как само слово-пароль, так и его личные (авторские) особенности написания. В этом случае для слова-пароля, содержащего от 5 до 10 букв, ошибка второго рода снижается в 104-10° раз. Большего снижения ошибки второго рода можно добиться, используя в качестве биометрического пароля слова, не имеющие смысла, но этот путь сопряжен с дополнительными трудностями запоминания слов из случайного сочетания букв.
Идентификация личности по клавиатурному почерку
Быстрого клавиатурного ввода информации удается достичь за счет использования всех пальцев обеих рук, при этом у каждого человека появляется свой уникальный клавиатурный почерк. Следует подчеркнуть, что уникальный личный почерк вырабатывается и при ежедневном решении более простой задачи передачи информации кодом Морзе, что использовалось ранее для идентификации личности телеграфиста по его почерку. Традиционно ограничение доступа к информации осуществляется по паролям, однако если пароль увеличить, то появляется возможность наблюдать при вводе пароля характерный для пользователя клавиатурный почерк.
Например, в качестве пароля используется слово «Пароль». При вводе подобной парольной фразы биометрическая система фиксирует время нажатия каждой клавиши и
интервал времени между нажатием очередной клавиши и отпусканием предыдущей клавиши. График соотношения интервалов времени нажатия и отпускания клавиш для слова "Пароль" приведен на рис. 1.
г
-
Рис. 1. Временная диаграмма ввода слова "Пароль"
Из рис. 1 видно, что времена нажатий клавиш t1, Ь, tз, ...., ^ различны и, соответственно, значения этих параметров могут быть использованы для выявления характерных особенностей индивидуального клавиатурного почерка пользователя. Кроме того, могут быть использованы в качестве контролируемых параметров интервалы времени между нажатием соседних клавиш т1, т2, т3, ...., х^-1.
Контролируемые параметры ^ и тк существенно зависят от того, сколько пальцев использует при наборе пользователь, от характерных для пользователя сочетаний движений различных пальцев руки и от характерных движений рук при наборе. В частности, если заставить пользователей работать одним пальцем одной руки, то клавиатурный почерк практически полностью теряет индивидуальность. В этом случае времена нажатия клавиш для разных людей перестают отражать их индивидуальность. Интервалы между нажатиями становятся пропорциональны расстоянию между клавишами, а перекрытие нажатий соседних клавиш становится невозможным. С другой стороны, по мере увеличения навыков работы с клавиатурой и по мере перехода к слепому набору всеми пальцами обеих рук существенно растет индивидуальность клавиатурного почерка любого из пользователей.
Весьма важной характеристикой этой технологии биометрической идентификации является длина парольной фразы. Практика показывает, что парольная фраза должна быть легко запоминаемой и содержать от 21 до 42 нажатий на клавиши. При синтезе парольной фразы допустимо использование слов со смыслом из некоторого словаря. В отличие от классических паролей, при наборе длинной парольной фразы допустимы ошибки в одном или двух символах, что несколько ухудшает стойкость парольной фразы к статическому подбору, но зато значительно снижает вероятность ошибок первого рода.
Биометрический эталон ввода парольной фразы получают вычислением математических ожиданий и дисперсий контролируемых параметров. При вычислениях крайне важным является исключение из обучающей выборки плохих примеров или аномальных выбросов. Хорошие результаты получаются при использовании аппарата нечетких множеств для уменьшения неопределенности исходных данных. Пожалуй, наиболее сложным для этой технологии биометрической идентификации является вопрос о присутствии у пользователя индивидуального клавиатурного почерка.
Идентификация личности по особенностям голоса
Идентификация личности по особенностям голоса имеет ряд привлекательных сторон. Во-первых, существует хорошо развитая телефонная сеть, во-вторых, звуковые карты фактически стали стандартным оборудованием современных персональных компьютеров.
Первые системы идентификации личности по особенностям голоса строились исходя из частотных представлений и возможностей средств аналоговой фильтрации. В основу их работы положена различная тембральная окраска голосов и индивидуальная неравномерность распределения мощности произносимой фразы по частотному спектру. Базовыми процедурами для этого класса устройств являются узкополосная фильтрация сигнала и восстановление его огибающей. В частности, подобная система фирмы Texas Instruments использует гребенку из 16 узкополосных фильтров с шириной полосы пропускания 220 Гц, равномерно накрывающей частотный диапазон от 300 до 3000. При произношении контрольной фразы система идентификации осуществляет приведение сигнала к единому масштабу амплитуд за счет работы АРУ входного усилителя. Полосовые фильтры и детекторы огибающей их откликов позволяют получить 16 функций времени, характеризующих распределение энергии звукового сигнала по частотному спектру. Функция A0(t) описывает изменения значения энергии полного сигнала во всем диапазоне звуковых частот. При обучении система запоминает наиболее вероятные эталонные значения функций Ak(t) для конкретной личности и допустимые коридоры отклонений для этих функций.
Одной из проблем, возникающих при идентификации личности по голосу, является то, что часть участков Ak(t), соответствующих шипящим звукам, бесполезна. Более того, фрагменты кривых Ak(t), соответствующие шипящим звукам, должны обязательно исключаться из данных, по которым принимается решение, так как их учет может только ухудшить качество идентификации. О регистрации на входе устройства звуковой фонемы судят по наличию существенного значения отклика канала A0(t), при этом, если на входе устройства присутствует шипящий звук, то его спектр оказывается равномерным или Ak(t) « A0(t)/16. Шипящие звуки являются модулированным по амплитуде белым шумом и легко распознаются. Все другие звуки (не являющиеся шипящими) обязательно имеют ярко выраженную неравномерность спектральной характеристики, и на эту неравномерность существенно влияют индивидуальные особенности мышечной активности речевого тракта личности.
По мере развития средств вычислительной техники и методов цифровой фильтрации интерес к частотным методам идентификации изменяется на интерес к системам, использующим линейные предсказатели речевого сигнала. Системы идентификации с линейным предсказанием речи используют описание сигнала во временной области. В основу кодирования речи методом линейного предсказания положена волновая структура речевого сигнала, особенно хорошо наблюдаемая при произношении гласных.
Метод линейного предсказания построен на аппроксимации соседних волн в звуковой пачке переходным процессом некоторого линейного цифрового фильтра. При описании звукового сигнала методом линейного предсказания исходный сигнал разбивается на отдельные интервалы анализа фиксированной длины (обычно длина интервала анализа составляет 20 мс). Далее осуществляют определение типа звука внутри интервала анализа (шум или тональный звук). Если внутри интервала находится шумовой участок, то определяются только его энергетические параметры A0(t). Если внутри интервала анализа присутствует тональный фрагмент, то сигнал дополнительно описывают путем задания коэффициентов линейного предсказателя (линейного цифрового фильтра) и задания периода импульсов основного тона, возбуждающих переходные процессы на выходе линейного предсказателя.
В качестве недостатка биометрических систем идентификации личности по голосу необходимо отметить, прежде всего, то, что парольную фразу трудно сохранить в тайне. Современные средства акустического прослушивания позволяют достаточно успешно осуществлять несанкционированное копирование парольной фразы. Ожидается, что исключение опасности использования злоумышленниками "магнитофонов" произойдет при переходе к идентификации личности на произвольных фразах. Как потенциальное противодействие "магнитофонам" используется случайный розыгрыш парольных фраз, а также комбинирование с другими методами биометрической аутентификации. По данным независимого тестирования Сандийской национальной лаборатории, ошибки первого и второго рода составляют для голосовых систем от 2% до 1%.
Литература
1. Беленков В.Д. Электронные системы идентификации подписей // Защита информации. Конфидент. 1997. №6. С. 39-42.
2. Белоцерковский О.М., Глазунов А.С., Щенников В.В. Компьютерное распознавание человеческих лиц. // Зарубежная радиоэлектроника. Успехи современной радиоэлектроники. 1997. №8. С. 3-14.
3. Бочкарев С. Л., Сапегин Л. Н. Новые возможности биометрических голосовых технологий // Защита информации. Конфидент. 2003. №5. С. 34-39.
4. Дэвид Уиллис, Майк Ли. Шесть биометрических устройств идентификации отпечатков пальцев // Сети и системы связи. 1998. № 9(31). С. 146-155.
5. Иванов А.И. Биометрическая идентификация личности по динамике быстрых движений. // Специальная техника средств связи. Серия Системы, сети и технические средства конфиденциальной связи. Пенза. Выпуск 2. 1997. С. 88-93.
6. Кен Филлипс. Ваше лицо - гарант безопасности.// PCWEEK RUSSIAN EDITION, 3 июня 1997. С. 35-38.
7. Коротаев Г. А. Анализ и синтез речевого сигнала методом линейного предсказания // Зарубежная радиоэлектроника. 1990. №3. С. 31-50.
8. Рамишвили Г.С. Автоматическое опознавание говорящего по голосу. М.: Радио и связь, 1981. 224 с.
9. Рыбченко Д.Е. Критерии устойчивости и индивидуальности клавиатурного почерка при вводе ключевых фраз. // Специальная техника средств связи. Серия Системы, сети и технические средства конфиденциальной связи. Пенза, ПНИЭИ. 1997. Выпуск №2. С.104-107.
10. Рыбченко Д.Е., Иванов А.И. Анализ клавиатурного почерка аппаратом нечетких множеств для целей ограничения доступа и аудита. // Специальная техника средств связи. Серия Системы, сети и технические средства конфиденциальной связи. Пенза, ПНИЭИ. 1996. Выпуск 1. С.116-119.
11. Фунтиков В. А., Ефремов О.В., Иванов А.И. Автоматическое прогнозирование уровня безопасности // Защита информации. Конфидент. 2003. №5. С.30-33.