Стой! Кто идет?

Биометрическая аутентификация – это аутентификация через предъявление пользователем своего биометрического образа, например, отпечатка пальца. Биометрические образы регистрируются в соответствии с заранее определённым протоколом и являются уникальными, что обеспечивает большую надёжность защиты информации.

Методы биометрической аутентификации делятся на два класса:

• Статические методы основаны на распознавании физиологических характеристик человека, которые находятся при нём от рождения до смерти. К статическим методам относят аутентификацию по отпечаткам пальцев, рисунку сетчатки глаза, особенностям радужной оболочки глаза, геометрии кисти руки, геометрии лица, термограмме лица, фрагменту генетического кода.
• Динамические методы основаны на анализе особенностей поведения, то есть характерных черт, подсознательно демонстрируемых человеком в процессе воспроизведения какого-либо обыденного действия. К динамическим методам относят аутентификацию по голосу, клавиатурному почерку, подписи и др.

На мировом рынке биометрической защиты в основном представлены статические методы. Так, согласно отчету International Biometric Group (www.biometricgroup.com), в 2004 году 48 % рынка составляли сканеры отпечатков пальцев, на остальные статические методы приходилось в сумме 32 %, и только 20 % рынка занимали системы динамической аутентификации и комбинированные системы. Однако в последнее время динамические методы активно развиваются. С точки зрения сетевых технологий особый интерес представляют методы аутентификации по подписи и клавиатурному почерку.
В настоящее время биометрические технологии быстро развиваются, поэтому очень актуальной проблемой является установление стандартов качества биометрических средств защиты. Среди специалистов большое значение придается сертификатам качества, выданным Международной ассоциацией по компьютерной безопасности (International Computer Security Association, ICSA).

Статические методы биометрической аутентификации

Сканирование отпечатков пальцев (дактилоскопия) — самая распространённая технология биометрической аутентификации. В настоящее время этот метод активно пропагандируется правоохранительными органами из-за крупных ассигнований в электронные архивы отпечатков пальцев. Его основные преимущества — это лёгкость в использовании и универсальность. Сканеры отпечатков пальцев невелики по размерам и относительно недороги. К тому же такая аутентификация происходит быстро, поскольку не нужно сравнивать с базой данных каждую отдельную линию узора: достаточно найти совпадение в крупных блоках, а потом проанализировать так называемые минуции окончания линий (разрывы, раздвоения и т. д.). Все эти качества позволяют использовать сканеры отпечатков пальцев не только в криминалистике, но и в бизнесе и даже в быту. Их встраивают в некоторые ноутбуки, компьютерные мыши, клавиатуры, флеш-карты, а с момента выхода IPhone 5S и в телефоны.
Системы распознавания по отпечаткам пальцев демонстрируют высокие показатели точности, поскольку отпечатки пальцев у людей повторяются с ничтожной вероятностью, при этом их невозможно видоизменить. Ни порезы, ни ожоги, ни другие механические повреждения кожи не имеют значения, поскольку устойчивость папиллярного узора обеспечивается регенеративной способностью основного слоя эпидермиса кожи. Производители обычно заявляют, что вероятность ошибочного предоставления такими системами доступа для неавторизованного пользователя составляет 0,001 %, вероятность ошибочного отказа в доступе (так называемой ошибки непризнания) 0,01 %. В действительности вторая величина у некоторых систем на порядок выше. Причина состоит в том, что рисунок папиллярных линий очень мелкий, и для его анализа используются достаточно сложные алгоритмы, которые подвержены сбоям при плохом контакте пальца со сканером. Более серьезный минус этой технологии то, что большинство сканеров можно обмануть при помощи мертвого пальца или муляжа.

По используемым физическим принципам все сканеры можно разделить на три больших группы:
Оптические сканеры, работающие на принципе отражения или на просвет. Оптический метод дешевле и проще в реализации, чем другие методы сканирования, поэтому он наиболее распространён, хотя не позволяет распознать муляж.
Полупроводниковые сканеры, которые в свою очередь подразделяются на ёмкостные, радиочастотные, чувствительные к давлению и термочувствительные. Они обладают различной степенью надёжности, в целом более высокой, чем у предыдущей группы. Лучше других защищены от муляжей радиочастотные и тепловые сканеры.
Ультразвуковые сканеры. Это достаточно дорогие и сложные устройства, дающие изображение, в десятки раз более качественное, чем другие типы сканеров. Их почти невозможно обмануть, поскольку данный метод позволяет регистрировать не только отпечатки пальцев, но и некоторые другие характеристики, например, частоту пульса.

Метод аутентификации по сетчатке глаза начал применяться примерно в середине 50-х годов прошлого века. Именно тогда была установлена уникальность рисунка кровеносных сосудов глазного дна (даже у близнецов данные рисунки не совпадают). Правда, сканеры сетчатки достаточно громоздки и дороги, но эти недостатки компенсируются их высокой надёжностью. Вероятность обмана с помощью поддельной сетчатки стремится к нулю, при этом частота ошибок непризнания примерно один на миллион. Препятствовать использованию данного метода может наличие некоторых заболеваний глаз (например, катаракты), но этот случай следует признать исключительным и не имеющим большого значения. В настоящее время сканеры сетчатки широко используются для обеспечения безопасности сверхсекретных объектов, частных кабинетов и хранилищ.
Для сканирования сетчатки используется инфракрасное излучение низкой интенсивности, направленное через зрачок к сосудам на задней стенке глаза. Из отраженного сигнала выделяется несколько сотен особых точек, информация о которых сохраняется в шаблоне. В последних моделях сканеров вместо инфракрасного света используется лазер мягкого действия. Человек должен приблизить лицо к сканеру, зафиксировать его положение и направить взгляд на специальную метку на дисплее сканера. В таком положении необходимо оставаться достаточно продолжительное время. Самые совершенные сканеры сетчатки, существующие на настоящий момент, затрачивают около минуты на сканирование и еще несколько секунд на сравнение полученного шаблона с образцом. Это единственный серьезный недостаток подобных систем. Для установки на проходные предприятия, например, они не подходят, так как будут задерживать производственный процесс. Также среди недостатков можно упомянуть психологический дискомфорт от необходимости долго фиксировать взгляд и смотреть на вспышку света, тем более неприятную, что при сканировании глаз должен находиться на расстоянии не больше 1,5 сантиметра от устройства.

Сканирование радужной оболочки глаза – метод аутентификации с использованием уникальности признаков радужной оболочки глаза. Радужная оболочка – тонкая подвижная диафрагма между передней и задней камерами глаза у людей – чаще всего окрашена в голубой или коричневый цвет, и на ней можно увидеть сложный рисунок, напоминающий сеть. Этот рисунок формируется ещё до рождения и почти не меняется на протяжении всей жизни человека. Тот факт, что правый и левый глаз человека отличаются друг от друга, делает технологию сканирования радужной оболочки одним из самых надежных средств аутентификации. Частота ложного распознавания в подобных системах равна 1 к 1,2 миллионам, что несколько хуже, чем при сканировании сетчатки, но намного лучше, чем результаты, демонстрируемые самыми надёжными системами аутентификации по отпечаткам пальцев. Что касается ошибок непризнания, мнения исследователей сильно расходятся. Одни считают, что авторизованному пользователю может быть отказано в доступе по широкому спектру причин, начиная с конъюнктивита, другие утверждают, что на процессе аутентификации никак не отражается даже наличие цветных контактных линз.
Строго говоря, называть сканерами устройства, считывающие рисунок радужной оболочки, неверно, так как в действительности изображение получается путем обычного фотографирования. Слабый свет направляется на радужную оболочку, а черно-белая камера делает 30 записей в секунду. Одна из записей затем оцифровывается и преобразуется в упрощенную форму; отбираются порядка 200 точек, информация о которых сохраняется в шаблоне (для сравнения, шаблон отпечатка пальца строится не более чем по 60-70 точкам). Немаловажно, что вся процедура занимает несколько секунд и может быть полностью автоматизирована. Камера может быть установлена на расстоянии от 10 см до 1 метра, в зависимости от сканирующего оборудования. Для предотвращения использования поддельных глаз некоторые модели сканеров изменяют поток света, идущий в глаз, и отслеживают размер зрачка; отсутствие реакции свидетельствует о подделке.
Сканеры радужной оболочки прекрасно зарекомендовали себя при экспериментальном использовании с банкоматами в Англии, США, Японии и Германии, начиная с 1997 года, а также в аэропортах, где они применялись для аутентификации работников при прохождении через зоны ограниченного доступа и для ускорения паспортного контроля пассажиров, которые наиболее часто пользуются услугами авиакомпании. Цена таких сканеров все ещё высока, но со временем они становятся более доступными. Существуют проекты использования подобных систем в онлайновых магазинах, онлайновом банковском обслуживании, онлайновом голосовании и онлайновой торговле акциями.

Метод аутентификации по геометрии руки состоит в измерении различных параметров кисти руки человека: изгибов пальцев, их толщины и длины, толщины и ширины тыльной стороны руки, расстояния между суставами и общей структуры кости. Поскольку руки не являются уникальными, для обеспечения надежности аутентификации необходимо комбинировать несколько различных характеристик; могут регистрироваться также мелкие детали (например, морщины на коже). Следует отметить, что подобные системы нельзя считать особенно надёжными, поскольку, хотя человеческая рука обладает относительно постоянной формой, ушибы или заболевания, приводящие к распуханию тканей (например, артрит), могут исказить ее исходную структуру и вызвать ошибку аутентификации. По некоторым данным, доля ошибок при распознавании геометрии руки порядка 0,1 %, что довольно много. Поэтому данный метод не подходит для объектов с высоким уровнем секретности. Всё же он довольно распространён, что доказывает его удобство для пользователей. Тому есть несколько причин. Во-первых, процедура аутентификации занимает всего несколько секунд и не доставляет дискомфорта. Во-вторых, на её результат не влияют ни температура, ни влажность, ни загрязнённость. В-третьих, для распознавания подходит изображение достаточно низкого качества, размер полученного шаблона очень мал (всего 9 байт), а подсчёты, производимые при его сравнении с эталоном, очень просты и могут быть легко автоматизированы.
Для сканирования рука помещается на ровную поверхность и фиксируется с помощью специальных штифтов, которые помогают правильно расположить руку в отношении фотокамер. Несколько светодиодов, расположенных по сторонам, включаются по очереди, что позволяет получить различные проекции руки. Некоторые устройства сканируют только два пальца, другие полностью всю кисть. Затем строится трехмерный образ руки, который сравнивается с эталоном.
Системы аутентификации, основанные на геометрии руки, начали использоваться в мире в начале 70-х годов прошлого столетия. В настоящее время в США ими оборудованы более 8 тыс. объектов, в том числе многие международные аэропорты, что позволяет пассажирам быстро проходить процедуру контроля. Также благодаря своей доступности и простоте в использовании они могут применяться для учёта рабочего времени на предприятиях, особенно в целях предупреждения обманных действий, например, «отметок другом» времени прихода/ухода сотрудника.
Также существует относительно новый метод аутентификации по рисунку вен руки. Технология такова: инфракрасная камера делает снимки внешней или внутренней стороны руки, и изображение вен получается благодаря тому, что гемоглобин крови поглощает ИК-излучение. Показатели надежности метода пока неизвестны.

Распознавание геометрии лица причисляют к «трём большим биометрикам» вместе с распознаванием по отпечаткам пальцев и радужной оболочке. Этот метод распадается на два направления: 2D-распознавание и 3D-распознавание. 2D-распознавание лица появилось достаточно давно и применялось, в основном, в криминалистике. В конце прошлого века появились компьютерные интерпретации метода, в результате чего он стал более надёжным, но, безусловно, уже тогда уступал и с каждым годом всё больше уступает другим биометрическим методам идентификации и аутентификации. По разным оценкам, доля ложных срабатываний для этого метода составляет 0,1-1 %, а частота ошибок непризнания ещё на порядок выше. В качестве примера неэффективности 2D-распознавания лиц приводится такой случай: в одном из аэропортов США, где после событий 11 сентября были установлены системы идентификации лиц, служащие аэропорта, замаскированные при помощи париков, накладных усов, больших шляп, очков и грима, были опознаны только в одном случае из трех. 3D-распознавание является относительно новым методом и надежные оценки частоты ошибок для него пока не сделаны, однако на него возлагаются большие надежды. Считается, что его статистическая надёжность сравнима с надёжностью метода сканирования отпечатков пальцев.
В области 2D-распознавания лиц прогресс, по-видимому, зашел в тупик. Основным предметом разработки является программное обеспечение, так как обычные камеры отлично справляются с захватом изображения лица. Но уже несколько лет не появляется алгоритмов, значительно отличающихся по эффективности от предыдущих, и многие компании-разработчики уходят с рынка. Разработкой систем 3D-распознавания лиц в настоящее время занимается около десятка фирм, в том числе из России. В основном, они производят готовые продукты, состоящие из сканера и программного обеспечения к нему, хотя есть компании, производящие только сканеры. Эффективность различных алгоритмов 3D-распознавания различается в зависимости от условий их применения. Дело в том, что задача крайне сложна с математической точки зрения. Сканирование занимает 20-30 секунд, при этом лицо может сдвигаться или поворачиваться относительно камеры. Система должна компенсировать эти движения и построить проекции лица, на которых нужно выделить контуры глаз, бровей, губ, носа и других черт лица, а затем вычислить расстояния между ними. Для составления уникального трехмерного шаблона требуется определить от 12 до 40 характерных элементов, каждый из которых имеет множество вариаций. Чтобы можно было справиться со случаями изменения выражения лица, наличия очков, шляпы или бороды, шаблон должен строиться в первую очередь на основе неизменных характеристик, таких как форма черепа, высота и ширина скул, форма надбровных дуг, глубина глазных впадин и т. д.
В последнее время Международный подкомитет по стандартизации в области биометрии (IS0/IEC JTC1/SC37 Biometrics) разрабатывает единый формат данных для автоматического распознавания лиц, включающий 2Dи 3D-изображения. Вероятнее всего, вскоре распознавание лица с использованием обоих источников информации будет рассматриваться как один биометрический метод.

Термография лица. Среди признаков лица, используемых для идентификации человека, наиболее устойчивыми и трудно изменяемыми являются также признаки изображения его кровеносных сосудов. Путем сканирования лица в инфракрасном свете создается уникальная температурная карта – термограмма. Аутентификация по термограмме лица по надежности сравнима с аутентификацией по отпечаткам пальцев. В отличие от аутентификации по геометрии лица, данный метод различает близнецов. Использование специальных масок, проведение пластических операций, старение организма человека, температура тела, охлаждение кожи лица в морозную погоду не влияют на результат аутентификации. Несомненным плюсом технологии является то, что сканирование можно проводить на расстоянии до 10 метров. Правда, качество получаемого изображения невысоко, и в основном из-за этого термография лиц на данный момент не имеет широкого распространения.

Динамические методы биометрической аутентификации

Распознавание голоса. Биометрический метод аутентификации по голосу характеризуется, в первую очередь, простотой реализации. Он позволяет осуществлять идентификацию и аутентификацию с помощью одного только микрофона, подключенного к записывающему устройству. Это может иметь значение, например, при судебном разбирательстве, где единственным доказательством вины подозреваемого является запись его телефонного разговора. Другим преимуществом данного метода является его удобство: пользователю не нужно совершать никаких дополнительных действий. Наконец, большим плюсом является возможность скрытой аутентификации: пользователь может быть даже не в курсе, что включена дополнительная проверка, а значит, об этом сложнее будет узнать злоумышленнику. Существует довольно много характеристик голоса, которые могут использоваться для построения индивидуального шаблона: высота тона, модуляция, интонация, особенности произношения отдельных звуков речи и т. п. Если все они должным образом анализируются, вероятность принять за авторизованного пользователя постороннее лицо практически нулевая. Основной проблемой для подобных систем распознавания является то, что голос человека может достаточно сильно меняться в зависимости от состояния психики, наличия простудных и других заболеваний, возраста и т. д. Отказ в доступе для авторизованных пользователей происходит, по разным оценкам, в 1-3 % случаев, что довольно много. Поэтому аутентификация по голосу применяется в основном на объектах среднего уровня безопасности, такие как компьютерные классы, лаборатории производственных компаний, бизнес-центры и т. д. Ещё одна проблема состоит в том, чтобы качественно отделить голос от шума.
Технология распознавания голоса особенно перспективна потому, что она может применяться не только как средство идентификации и аутентификации, но и для голосового ввода данных.

Анализ клавиатурного почерка представляет собой один из самых перспективных на сегодня методов биометрической аутентификации. Клавиатурный почерк – поведенческая биометрическая характеристика, которую описывают следующие параметры: скорость ввода, интервалы между нажатиями клавиш; время удержания клавиш, число перекрытий между клавишами; степень аритмичности при наборе, частота возникновения ошибок при вводе; использование функциональных клавиш. Эта технология универсальна, но лучше всего она подходит для аутентификации пользователей с удаленным доступом к информации. Сегодня разработка и оптимизация алгоритмов, осуществляющих контроль за доступом к сетевым ресурсам посредством анализа клавиатурного почерка, является одним из приоритетных направлений исследования в области информационных технологий как в России, так и за рубежом.
Существуют два способа аутентификации пользователя по клавиатурному почерку: по вводу известной фразы (пароля) и по вводу неизвестной фразы, генерируемой случайно. Оба способа должны включать в себя режим обучения и собственно режим аутентификации. В режиме обучения путём многократного повторения ввода рассчитываются эталонные характеристики набора текста. Как показал ряд экспериментов, для идентификации пользователя в большинстве случаев достаточно рассматривать временные интервалы между нажатием клавиш и временные интервалы удержания клавиш. Аутентификация тем более надёжна, чем длиннее набираемая пользователем фраза.
Плюсы и минусы метода аутентификации по клавиатурному почерку аналогичны тем, которые были отмечены для метода распознавания голоса. Плюсы: возможность реализации без специального оборудования, удобство пользования и возможность скрытой аутентификации. Главный минус: моторные паттерны человека зависят от состояния его здоровья, возраста и других посторонних факторов даже сильнее, чем голос. Если программа недостаточно точно настроена, причиной отказа в доступе для авторизованного пользователя может стать простая усталость. Дополнительная трудность состоит в том, что клавиатурный почерк меняется при переходе с одной клавиатуры на другую. В частности, для клавиатуры мобильного устройства программу распознавания придется настраивать отдельно. Как показали недавние исследования, повысить эффективность этого метода аутентификации может искусственное добавление ритма. Пользователю предлагается набирать пароль с заранее известным ритмом (например, под какую-нибудь мелодию). Ритмичность набора повышает устойчивость клавиатурного почерка, кроме того, в процесс аутентификации вносится дополнительная биометрическая характеристика, украсть или скопировать которую не представляется возможным.

Верификация подписи. В последнее время к методу биометрической аутентификации по подписи проявляется большой интерес, вероятно, в связи с распространением устройств с сенсорными экранами. Для более точной верификации подписи можно использовать специальные световые перья. В некоторых зарубежных странах электронные документы, снабженные биометрической подписью, имеют юридическую силу, что позволяет переводить значительную часть документооборота в сетевую сферу. К сожалению, в России пока доверяют только подписанному бумажному документу либо электронному документу с официально зарегистрированной ЭЦП. Однако существенным недостатком ЭЦП является то, что она может быть передана другому лицу, тогда как биометрическая подпись является неотчуждаемой от владельца.

Биометрическая аутентификация по подписи может проводиться двумя способами:

• С помощью анализа визуальных характеристик самой подписи. Это может делать человек или компьютер, во втором случае анализируется просто степень совпадения двух изображений.
• Компьютерный анализ динамических характеристик написания. Данные, используемые для аутентификации, включают информацию о самой подписи, а также о временных и статистических характеристиках её написания.

Шаблон подписи создаётся в зависимости от необходимого уровня защиты. Так как все планшеты опрашиваются с конечной частотой, а процесс оставления человеком подписи занимает обычно около 1-2 секунд, то на одну подпись приходится всего 100-200 точек, по которым её можно анализировать. Но если пользователь расписывается световым пером, кодируются не только координаты кончика пера, но и сила нажатия (давление) пера на планшет, угол наклона пера относительно планшета и угол пера по часовой стрелке. Наиболее значительную проблему метода аутентификации по подписи, как и в случае распознавания клавиатурного почерка, составляет изменчивость моторных паттернов человека в зависимости от психофизического состояния. В целом, при использовании «обучающихся» алгоритмов количество ошибок сильно зависит от продолжительности фазы обучения.

Комбинированные системы биометрической аутентификации

Комбинированная (мультимодальная) система биометрической аутентификации представляет собой сочетание нескольких биометрических технологий в одном устройстве. Комбинированные системы являются более надёжными с точки зрения возможности имитации биометрических данных человека, так как труднее подделать целый ряд характеристик, чем фальсифицировать один признак. Например, большой надёжности можно ожидать от систем типа «палец + рука» или «палец + радужная оболочка глаза».
В последнее время большой интерес проявляется к системам типа «лицо + голос», развитие которых связано с распространением средств коммуникации, совмещающих в себе визуальную и аудиальную модальности: сотовых телефонов со встроенной видеокамерой, ноутбуков и т. д. Для демонстрации того, что такие системы дают значительный прирост эффективности по сравнению с каждой из мономодальных систем в отдельности, часто приводится следующий пример. Перед службой безопасности одного из банков была поставлена задача сокращения фрода (например, снятия денег по подложным документам). Для этого начала использоваться система аутентификации по лицу, но из-за невысокого качества камер частота ошибок непризнания оказалась достаточно большой (7 %). Тогда было предложено совместить распознавание по лицу и голосу. Отдельно голосовая аутентификация также давала высокий процент ошибки (5 %) за счет фоновых шумов, но при совмещении технологий система достигла почти стопроцентной эффективности.

Для оптимизации отношения количества ошибок ко времени, требуемому на одну аутентификацию, можно варьировать способы соединения двух биометрических систем. Системы с высоким быстродействием и не очень большой надёжностью имеет смысл соединять последовательно, более надёжные и медленные системы параллельно. Существует также иерархический вариант, когда более быстрая система (скажем, сканер лиц, установленный на входе в банк) осуществляет предварительный отбор записей, с которыми более медленная система (скажем, сканер отпечатка пальца, установленный у банкомата) будет сравнивать данные пользователя.
Кроме комбинированных биометрических систем, существуют многофакторные системы, где методы биометрической аутентификации используются вместе с аутентификацией по электронному ключу или паролю.

Защита биометрических данных

Биометрическая система аутентификации может подвергнуться атаке злоумышленников. Поэтому международные стандарты в области информационных технологий, начиная с 2011 года (стандарт IS0/IEC 24745:2011) регламентируют меры по защите биометрических данных. В России аналогичные стандарты установлены Федеральным законом «О персональных данных», который вступил в силу в январе 2007 года и был изменен в последний раз в июле 2011 года.
Одно из самых актуальных направлений в сфере современных биометрических технологий – разработка схем защиты биометрических шаблонов, хранящихся в базе данных системы. Сегодня «кража личности» – одно из самых распространенных киберпреступлений во многих странах мира. Утечка из базы шаблонов повышает опасность таких преступлений, так как злоумышленнику становится проще восстановить биометрические данные путем обратного инжиниринга шаблона. Причём украденный шаблон, в отличие от пароля, нельзя заменить новым, еще не скомпрометированным, поскольку биометрические признаки неотчуждаемы от своего носителя. Кража шаблонов опасна не только доступом злоумышленника в защищённые системы, но и возможностью тайной слежки за людьми или получения приватной информации о них.

Существуют три общих требования к защите биометрических шаблонов:

• Необратимость. Злоумышленнику должно быть затруднительно вычислительным путем восстановить биометрические черты из сохранённого шаблона либо создать физические подделки биометрического признака.
• Различимость. Схема защиты шаблона не должна ухудшать точность аутентификации биометрической системой.
• Отменяемость. Должна быть возможность из одних и тех же биометрических данных создать несколько защищённых шаблонов, которые нельзя будет связать с этими данными. Это свойство не только позволяет биометрической системе отзывать и выдавать новые биометрические шаблоны в случае компрометации базы данных, но и предотвращает перекрестное сопоставление между базами данных, за счёт чего сохраняется приватность данных о пользователе.

При обеспечении защиты шаблона основная задача состоит в том, чтобы найти приемлемый компромисс между этими требованиями.Имеются два общих принципа защиты биометрических шаблонов: трансформация биометрических черт и биометрические криптосистемы.