Реферат: Биометрические системы идентификации и аутентификации. Методы идентификации, системы идентификации. Биометрические технологии

ZlodeiBaal 11 августа 2011 в 21:54

Современные биометрические методы идентификации

Информационная безопасность

В последнее время на Хабре появляется множество статей, посвящённых Гугловским системам идентификации по лицам. Если честно, то от многих из них так и несёт журналистикой и мягко говоря некомпетентностью. И захотелось мне написать хорошую статью по биометрии, оно же мне не в первой! Пара неплохих статей по биометрии на Хабре есть - но они достаточно короткие и неполные. Тут я попробую вкратце обрисовать общие принципы биометрической идентификации и современные достижения человечества в этом вопросе. В том числе и в идентификации по лицам.

У статьи есть , которое, по-сути, является её приквэлом.

В качестве основы для статьи будет использована совместная с коллегой публикация в журнале (БДИ, 2009), переработанная под современные реалии. Коллеги пока Хабре нет, но публикацию переработанной статьи тут он поддержал. На момент публикации статья являлась кратким обзором современного рынка биометрических технологий, который мы проводили для себя перед тем как выдвинуть свой продукт. Оценочные суждения о применимости, выдвинутые во второй части статьи основаны на мнениях людей, использовавших и внедрявших продукты, а так же на мнениях людей, занимающихся производством биометрических систем в России и Европе.

Общая информация

Начнём с азов. В 95% случаев биометрия по своей сути - это математическая статистика. А матстат это точная наука, алгоритмы из которой используются везде: и в радарах и в байесовских системах. В качестве двух основных характеристик любой биометрической системы можно принять ошибки первого и второго рода). В теории радиолокации их обычно называют «ложная тревога» или «пропуск цели», а в биометрии наиболее устоявшиеся понятия - FAR (False Acceptance Rate) и FRR(False Rejection Rate). Первое число характеризует вероятность ложного совпадения биометрических характеристик двух людей. Второе – вероятность отказа доступа человеку, имеющего допуск. Система тем лучше, чем меньше значение FRR при одинаковых значениях FAR. Иногда используется и сравнительная характеристика EER, определяющая точку в которой графики FRR и FAR пересекаются. Но она далеко не всегда репрезентативна. Подробнее можно посмотреть, например, .
Можно отметить следующее: если в характеристиках системы не даны FAR и FRR по открытым биометрическим базам - то что бы производители не заявляли о её характеристиках, эта система скорее всего недееспособна или сильно слабее конкурентов .
Но не только FAR и FRR определяют качество биометрической системы. Если бы это было только так, то лидирующей технологией было бы распознавание людей по ДНК, для которой FAR и FRR стремятся к нулю. Но ведь очевидно, что эта технология не применима на сегодняшнем этапе развития человечества! Нами было выработано несколько эмпирических характеристик, позволяющих оценить качество системы. «Устойчивость к подделке» – это эмпирическая характеристика, обобщающая то, насколько легко обмануть биометрический идентификатор. «Устойчивость к окружающей среде» – характеристика, эмпирически оценивающая устойчивость работы системы при различных внешних условиях, таких как изменение освещения или температуры помещения. «Простота использования» показывает насколько сложно воспользоваться биометрическим сканером, возможна ли идентификация «на ходу». Важной характеристикой является «Скорость работы», и «Стоимость системы». Не стоит забывать и то, что биометрическая характеристика человека может изменяться со временем, так что если она неустойчива– это существенный минус.
Обилие биометрических методов поражает. Основными методами, использующими статические биометрические характеристики человека, являются идентификация по папиллярному рисунку на пальцах, радужной оболочке, геометрии лица, сетчатке глаза, рисунку вен руки, геометрии рук. Также существует семейство методов, использующих динамические характеристики: идентификация по голосу, динамике рукописного подчерка, сердечному ритму, походке. Ниже представлено распределение биометрического рынка пару лет назад. В каждом втором источнике эти данные колеблются на 15-20 процентов, так что это всего лишь оценочное представление. Так же тут под понятием «геометрия руки» скрываются два разных метода о которых будет рассказано ниже.

В статье мы будем рассматривать только те характеристики, которые применимы в системах контроля и управления доступом (СКУД) или в близких им задачах. В силу своего превосходства это в первую очередь именно статические характеристики. Из динамических характеристик на сегодняшний момент только распознавание по голосу имеет хоть какую-то статистическую значимость(сравнимую с худьшими статическими алгоритмами FAR~0.1%, FRR~6%), но лишь в идеальных условиях.
Чтобы ощутить вероятности FAR и FRR, можно оценить, как часто будут возникать ложные совпадения, если установить систему идентификации на проходной организации с численностью персонала N человек. Вероятность ложного совпадения полученного сканером отпечатка пальца для базы данных из N отпечатков равна FAR∙N. И каждый день через пункт контроля доступа проходит тоже порядка N человек. Тогда вероятность ошибки за рабочий день FAR∙(N∙N). Конечно, в зависимости от целей системы идентификации вероятность ошибки за единицу времени может сильно варьироваться, но если принять допустимым одну ошибку в течение рабочего дня, то:

(1)
Тогда получим, что стабильная работа системы идентификации при FAR=0.1% =0.001 возможна при численности персонала N≈30.

Биометрические сканеры

На сегодняшний день понятие «биометрический алгоритм» и «биометрический сканер» не обязательно взаимосвязаны. Компания может выпускать эти элементы по одиночке, а может совместно. Наибольшая дифференциация производителей сканеров и производителей софта достигнута на рынке биометрии папиллярного узора пальцев. Наименьшая на рынке сканеров 3D лица. По сути уровень дифференциации во многом отображает развитость и насыщенность рынка. Чем больше выбора - тем более тематика отработана и доведена до совершенства. Различные сканеры имеют различный набор способностей. В основном это набор тестов для проверки подделан объект биометрии или нет. Для сканеров пальцев это может быть проверка рельефности или проверка температуры, для сканеров глаза это может быть проверка аккомодации зрачка, для сканеров лица - движение лица.
Сканеры очень сильно влияют на полученную статистику FAR и FRR. В некоторых случаях эти цифры могут изменяться в десятки раз, особенно в реальных условиях. Обычно характеристики алгоритма даются для некой «идеальной» базы, или просто для хорошо подходящей, где выброшены нерезкие и смазанные кадры. Лишь немногие алгоритмы честно указывают и базу и полную выдачу FAR/FRR по ней.

А теперь поподробнее про каждую из технологий

Отпечатки пальцев

Дактилоскопия (распознавание отпечатков пальцев) - наиболее разработанный на сегодняшний день биометрический метод идентификации личности. Катализатором развития метода послужило его широкое использование в криминалистике 20 века.
Каждый человек имеет уникальный папиллярный узор отпечатков пальцев, благодаря чему и возможна идентификация. Обычно алгоритмы используют характерные точки на отпечатках пальцев: окончание линии узора, разветвлении линии, одиночные точки. Дополнительно привлекается информация о морфологической структуре отпечатка пальца: относительное положение замкнутых линий папиллярного узора, «арочных» и спиральных линий. Особенности папиллярного узора преобразовываются в уникальный код, который сохраняет информативность изображения отпечатка. И именно «коды отпечатков пальцев» хранятся в базе данных, используемой для поиска и сравнения. Время перевода изображения отпечатка пальца в код и его идентификация обычно не превышает 1с, в зависимости от размера базы. Время, затраченное на поднесение руки – не учитывается.

В качестве источника данных по FAR и FRR использовались статистические данные VeriFinger SDK, полученные при помощи сканера отпечатков пальцев DP U.are.U. За последние 5-10 лет характеристики распознавания по пальцу не сильно шагнули вперёд, так что приведённые цифры неплохо показывают среднее значение современных алгоритмов. Сам алгоритм VeriFinger несколько лет выигрывал международное соревнование «International Fingerprint Verification Competition», где соревновались алгоритмы распознавания по пальцу.

Характерное значение FAR для метода распознавания отпечатков пальцев – 0.001%.
Из формулы (1) получим, что стабильная работа системы идентификации при FAR=0.001% возможна при численности персонала N≈300.

Преимущества метода. Высокая достоверность - статистические показатели метода лучше показателей способов идентификации по лицу, голосу, росписи. Низкая стоимость устройств, сканирующих изображение отпечатка пальца. Достаточно простая процедура сканирования отпечатка.
Недостатки: папиллярный узор отпечатка пальца очень легко повреждается мелкими царапинами, порезами. Люди, использовавшие сканеры на предприятиях с численностью персонала порядка нескольких сотен человек заявляют о высокой степени отказа сканирования. Многие из сканеров неадекватно относятся к сухой коже и не пропускают стариков. При общении на последней выставке MIPS начальник службы безопасности крупного химического предприятия рассказывал что их попытка ввести сканеры пальцев на предприятии (пробовались сканеры различных систем) провалилась - минимальное воздействие химических реактивов на пальцы сотрудников вызывало сбой систем безопасности сканеров - сканеры объявляли пальцы подделкой. Так же присутствует недостаточная защищённость от подделки изображения отпечатка, отчасти вызванная широким распространением метода. Конечно, не все сканеры можно обмануть методами из Разрушителей Легенд, но всё же. Для некоторых людей с «неподходящими» пальцами (особенности температуры тела, влажности) вероятность отказа в доступе может достигать 100%. Количество таких людей варьируется от долей процентов для дорогих сканеров до десяти процентов для недорогих.
Конечно, стоит отметить, что большое количество недостатков вызвано широкой распространённостью системы, но эти недостатки имеют место быть и проявляются они очень часто.

Ситуация на рынке

На данный момент системы распознавания по отпечаткам пальцев занимают более половины биометрического рынка. Множество российских и зарубежных компаний занимаются производством систем управления доступом, основанных на методе дактилоскопической идентификации. По причине того, что это направление является одним из самых давнишних, оно получило наибольшее распространение и является на сегодняшний день самым разработанным. Сканеры отпечатков пальцев прошли действительно длинный путь к улучшению. Современные системы оснащены различными датчиками (температуры, силы нажатия и т.п.), которые повышают степень защиты от подделок. С каждым днем системы становятся все более удобными и компактными. По сути, разработчики достигли уже некоего предела в данной области, и развивать метод дальше некуда. Кроме того, большинство компаний производят готовые системы, которые оснащены всем необходимым, включая программное обеспечение. Интеграторам в этой области просто нет необходимости собирать систему самостоятельно, так как это невыгодно и займет больше времени и сил, чем купить готовую и уже недорогую при этом систему, тем более выбор будет действительно широк.
Среди зарубежных компаний, занимающихся системами распознавания по отпечаткам пальцев, можно отметить SecuGen(USB-сканеры для PC, сканеры, которые можно устанавливать на предприятия или встраивать в замки, SDK и ПО для связи системы с компьютером); Bayometric Inc. (fingerprint scanners, TAA/Access control systems, fingerprint SDKs, embedded fingerprint modules); DigitalPersona, Inc. (USB-scanners, SDK). В России в данной области работают компании: BioLink (дактилоскопические сканеры, биометрические устройства управления доступом, ПО); Сонда (дактилоскопические сканеры, биометрические устройства управления доступом, SDK); СмартЛок (дактилоскопические сканеры и модули) и др.

Радужная оболочка

Радужная оболочка глаза является уникальной характеристикой человека. Рисунок радужки формируется на восьмом месяце внутриутробного развития, окончательно стабилизируется в возрасте около двух лет и практически не изменяется в течение жизни, кроме как в результате сильных травм или резких патологий. Метод является одним из наиболее точных среди биометрических методов.
Система идентификации личности по радужной оболочке логически делится на две части: устройство захвата изображения, его первичной обработки и передачи вычислителю и вычислитель, производящий сравнение изображения с изображениями в базе данных, передающий команду о допуске исполнительному устройству.
Время первичной обработки изображения в современных системах примерно 300-500мс, скорость сравнения полученного изображения с базой имеет уровень 50000-150000 сравнений в секунду на обычном ПК. Такая скорость сравнения не накладывает ограничений на применения метода в больших организациях при использовании в системах доступа. При использовании же специализированных вычислителей и алгоритмов оптимизации поиска становится даже возможным идентифицировать человека среди жителей целой страны.
Сразу могу ответить что я несколько предвзято и положительно отношусь к этому методу, так как именно на этой ниве мы запускали свой стартап. Небольшому самопиару будет посвящён абзац в конце.

Статистические характеристики метода

Характеристики FAR и FRR для радужной оболочки глаза наилучшие в классе современных биометрических систем (за исключением, возможно, метода распознавания по сетчатке глаза). В статье приведены характеристики библиотеки распознавания радужной оболочки нашего алгоритма - EyeR SDK, которые соответствуют проверенному по тем же базам алгоритму VeriEye. Использовались базы фирмы CASIA, полученные их сканером.

Характерное значение FAR – 0.00001%.
Согласно формуле (1) N≈3000 - численность персонала организации, при которой идентификация сотрудника происходит достаточно стабильно.
Здесь стоит отметить немаловажную особенность, отличающую систему распознавания по радужной оболочке от других систем. В случае использования камеры разрешения от 1.3МП можно захватывать два глаза на одном кадре. Так как вероятности FAR и FRR являются статистически независимыми вероятностями, то при распознавании по двум глазам значение FAR будет приблизительно равняться квадрату значения FAR для одного глаза. Например, для FAR 0,001% при использовании двух глаз вероятность ложного допуска будет равна 10-8 %, при FRR всего в два раза выше, чем соответствующее значение FRR для одного глаза при FAR=0.001%.

Преимущества и недостатки метода

Преимущества метода. Статистическая надёжность алгоритма. Захват изображения радужной оболочки можно производить на расстоянии от нескольких сантиметров до нескольких метров, при этом физический контакт человека с устройством не происходит. Радужная оболочка защищена от повреждений - а значит не будет изменяться во времени. Так же, возможно использовать высокое количество методов, защищающих от подделки.
Недостатки метода. Цена системы, основанной на радужной оболочке выше цены системы, основанной на распознавании пальца или на распознавании лица. Низкая доступность готовых решений. Любой интегратор, который сегодня придёт на российский рынок и скажет «дайте мне готовую систему» - скорее всего обломается. В большинстве своём продаются дорогие системы под ключ, устанавливаемые большими компаниями, такими как Iridian или LG.

Ситуация на рынке

На данный момент удельный вес технологий идентификации по радужной оболочке глаза на мировом биометрическом рынке составляет по разным подсчетам от 6 до 9 процентов (в то время как технологии распознавания по отпечаткам пальцев занимают свыше половины рынка). Следует отметить, что с самого начала развития данного метода, его укрепление на рынке замедляла высокая стоимость оборудования и компонентов, необходимых, чтобы собрать систему идентификации. Однако по мере развития цифровых технологий, себестоимость отдельной системы стала снижаться.
Лидером по разработке ПО в данной области является компания Iridian Technologies.
Вход на рынок большому количеству производителю был ограничен технической сложностью сканеров и, как следствие, их высокой стоимостью, а так же высокой ценой ПО из-за монопольного положения Iridian на рынке. Эти факторы позволяли развиться в области распознавания радужной оболочки только крупным компаниям, скорее всего уже занимающимся производством некоторых компонентов пригодных для системы идентификации (оптика высокого разрешения, миниатюрные камеры с инфракрасной подсветкой и т.п.). Примерами таких компаний могут быть LG Electronics, Panasonic, OKI. Они заключили договор с Iridian Technologies, и в результате совместной работы появились следующие системы идентификации: Iris Access 2200, BM-ET500, OKI IrisPass. В дальнейшем возникли усовершенствованные модели систем, благодаря техническим возможностям данных компаний самостоятельно развиваться в этой области. Следует сказать, что вышеперечисленные компании разработали также собственное ПО, но в итоге в готовой системе отдают предпочтение программному обеспечению Iridian Technologies.
На Российском рынке «преобладает» продукция зарубежных компаний. Хотя и ту можно купить с трудом. Длительное время фирма Папилон уверяла всех, что у них есть распознавание по радужной оболочке. Но даже представители РосАтома - их непосредственного закупщика, для которого они делали систему рассказывают, что это не соответствует действительности. В какой-то момент проявлялась ещё какая-то российская фирма, которая сделала сканеры радужной оболочки. Сейчас уже не вспомню названия. Алгоритм они у кого-то закупили, возможно у того же VeriEye. Сам сканер представлял собой систему 10-15 летней давности, отнюдь не бесконтактную.
В последний год на мировой рынок вышло пара новых производителей в связи с истечением первичного патента на распознавание человека по глазам. Наибольшего доверия из них, на мой взгляд, заслуживает AOptix. По крайней мере их превью и документация не вызывает подозрений. Второй компанией является SRI International. Даже на первый взгляд человеку, занимавшемуся системами распознавания радужки их ролики кажутся весьма лживыми. Хотя я не удивлюсь если в реальности они что-то умеют. И та и та система не показывает данных по FAR и FRR, а так же, судя по всему, не защищена от подделок.

Распознавание по лицу

Существует множество методов распознавания по геометрии лица. Все они основаны на том, что черты лица и форма черепа каждого человека индивидуальны. Эта область биометрии многим кажется привлекательной, потому что мы узнаем друг друга в первую очередь по лицу. Данная область делится на два направления: 2-D распознавание и 3-D распознавание. У каждого из них есть достоинства и недостатки, однако многое зависит еще и от области применения и требований, предъявленных к конкретному алгоритму.
В кратце расскажу про 2-d и перейду к одному из самых интересных на сегодня методов - 3-d.

2-D распознавание лица

2-D распознавание лица - один из самых статистически неэффективных методов биометрии. Появился он довольно давно и применялся, в основном, в криминалистике, что и способствовало его развитию. В последствие появились компьютерные интерпретации метода, в результате чего он стал более надёжным, но, безусловно, уступал и с каждым годом все больше уступает другим биометрическим методам идентификации личности. В настоящее время из-за плохих статистических показателей он применяется, в мультимодальной или, как ее еще называют, перекрестной биометрии, или в социальных сетях.

Статистические характеристики метода

Для FAR и FRR использованы данные для алгоритмов VeriLook. Опять же, для современных алгоритмов он имеет весьма обыкновенные характеристики. Иногда промелькивают алгоритмы с FRR 0.1% при аналогичном FAR, но базы по которым они получены ну уж очень сомнительны (вырезанный фон, одинаковое выражение лица, одинаковые причёска, освещение).

Характерное значение FAR – 0.1%.
Из формулы (1) получаем N≈30 - численность персонала организации, при которой идентификация сотрудника происходит достаточно стабильно.
Как видно, статистические показатели метода достаточно скромные: это нивелирует то преимущество метода, что можно проводить скрытую съемку лиц в людных местах. Забавно наблюдать, как пару раз в год финансируется очередной проект по обнаружению преступников через видеокамеры, установленные в людных местах. За последние десяток лет статистические характеристики алгоритма не улучшились, а количество таких проектов - выросло. Хотя, стоит отметить, что для ведения человека в толпе через множество камер алгоритм вполне годится.

Преимущества и недостатки метода

Преимущества метода. При 2-D распознавании, в отличие от большинства биометрических методов, не требуется дорогостоящее оборудование. При соответствующем оборудовании возможность распознавания на значительных расстояниях от камеры.
Недостатки. Низкая статистическая достоверность. Предъявляются требования к освещению (например, не удается регистрировать лица входящих с улицы людей в солнечный день). Для многих алгоритмов неприемлемость каких-либо внешних помех, как, например, очки, борода, некоторые элементы прически. Обязательно фронтальное изображение лица, с весьма небольшими отклонениями. Многие алгоритмы не учитывают возможные изменения мимики лица, то есть выражение должно быть нейтральным.

3-D распознавание лица

Реализация данного метода представляет собой довольно сложную задачу. Несмотря на это в настоящее время существует множество методов по 3-D распознаванию лица. Методы невозможно сравнить друг с другом, так как они используют различные сканеры и базы. далеко не все из них выдают FAR и FRR, используются абсолютно различные подходы.
Переходным от 2-d к 3-d методом является метод, реализующий накопления информации о лицу. Этот метод имеет лучшие характеристики, чем 2d метод, но так же как и он использует всего одну камеру. При занесении субъекта в базу субъект поворачивает голову и алгоритм соединяет изображение воедино, создавая 3d шаблон. А при распознавании используется несколько кадров видеопотока. Этот метод скорее относится к экспериментальным и реализации для систем СКУД я не видел ни разу.
Наиболее классическим методом является метод проецирования шаблона. Он состоит в том, что на объект (лицо) проецируется сетка. Далее камера делает снимки со скоростью десятки кадров в секунду, и полученные изображения обрабатываются специальной программой. Луч, падающий на искривленную поверхность, изгибается - чем больше кривизна поверхности, тем сильнее изгиб луча. Изначально при этом применялся источник видимого света, подаваемого через «жалюзи». Затем видимый свет был заменен на инфракрасный, который обладает рядом преимуществ. Обычно на первом этапе обработки отбрасываются изображения, на котором лица не видно вообще или присутствуют посторонние предметы, мешающие идентификации. По полученным снимкам восстанавливается 3-D модель лица, на которой выделяются и удаляются ненужные помехи (прическа, борода, усы и очки). Затем производится анализ модели - выделяются антропометрические особенности, которые в итоге и записываются в уникальный код, заносящийся в базу данных. Время захвата и обработки изображения составляет 1-2 секунды для лучших моделей.
Так же набирает популярность метод 3-d распознавания по изображению, получаемому с нескольких камер. Примером этого может являться фирма Vocord со своим 3d сканером. Этот метод даёт точность позиционирования, согласно уверениям разработчиков, выше метода проецирования шаблона. Но, пока не увижу FAR и FRR хотя бы по их собственной базе - не поверю!!! Но его разрабатывают уже года 3, а подвижки на выставках пока не видны.

Статистические показатели метода

Полные данные о FRR и FAR для алгоритмов этого класса на сайтах производителей открыто не приведены. Но для лучших моделей фирмы Bioscript (3D EnrolCam, 3D FastPass), работающих по методу проецирования шаблона при FAR = 0.0047% FRR составляет 0.103%.
Считается, что статистическая надежность метода сравнима с надежностью метода идентификации по отпечаткам пальцев.

Преимущества и недостатки метода

Преимущества метода. Отсутствие необходимости контактировать со сканирующим устройством. Низкая чувствительность к внешним факторам, как на самом человеке (появление очков, бороды, изменение прически), так и в его окружении (освещенность, поворот головы). Высокий уровень надежности, сравнимый с метом идентификации по отпечаткам пальцев.
Недостатки метода. Дороговизна оборудования. Имеющиеся в продаже комплексы превосходили по цене даже сканеры радужной оболочки. Изменения мимики лица и помехи на лице ухудшают статистическую надежность метода. Метод еще недостаточно хорошо разработан, особенно в сравнении с давно применяющейся дактилоскопией, что затрудняет его широкое применение.

Ситуация на рынке

Распознавание по геометрии лица причисляют к «трем большим биометрикам» вместе с распознаванием по отпечаткам пальцев и радужной оболочке. Надо сказать, что данный метод довольно распространен, и ему отдают пока предпочтение перед распознаванием по радужке глаза. Удельный вес технологий распознавания по геометрии лица в общем объеме мирового биометрического рынка можно оценивать в пределах 13-18 процентов. В России к данной технологии также проявляется больший интерес, чем, например, к идентификации по радужной оболочке. Как уже упоминалось ранее, существует множество алгоритмов 3-D распознавания. В большинстве своем компании предпочитают развивать готовые системы, включающие сканеры, сервера и ПО. Однако есть и те, кто предлагает потребителю только SDK. На сегодняшний день можно отметить следующие компании, занимающиеся развитием данной технологии: Geometrix, Inc. (3D сканеры лица, ПО), Genex Technologies (3D сканеры лица, ПО) в США, Cognitec Systems GmbH (SDK, специальный вычислители, 2D камеры) в Германии, Bioscrypt (3D сканеры лица, ПО) – дочернее предприятие американской компании L-1 Identity Solutions.
В России в данном направлении работают компании Artec Group (3D сканеры лица и ПО) – компания, головной офис которой находится в Калифорнии, а разработки и производство ведутся в Москве. Также несколько российских компаний владеют технологией 2D распознавания лица – Vocord, ITV и др.
В области распознавания 2D лица основным предметом разработки является программное обеспечение, т.к. обычные камеры отлично справляются с захвата изображения лица. Решение задачи распознавания по изображению лица в какой-то степени зашло в тупик – уже на протяжении нескольких лет практически не происходит улучшения статистических показателей алгоритмов. В этой области происходит планомерная «работа над ошибками».
3D распознавание лица сейчас является куда более привлекательной областью для разработчиков. В нём трудится множество коллективов и регулярно слышно о новых открытиях. Множество работ находятся в состоянии «вот-вот и выпустим». Но пока что на рынке лишь старые предложения, за последние годы выбор не изменился.
Одним из интересных моментов, над которыми я иногда задумываюсь и на которые, возможно ответит Хабр: а точности kinect хватит для создания такой системы? Проекты по вытаскиванию 3d модели человека через него вполне себе есть.

Распознавание по венам руки

Это новая технология в сфере биометрии, широкое применение её началось всего лет 5-10 назад. Инфракрасная камера делает снимки внешней или внутренней стороны руки. Рисунок вен формируется благодаря тому, что гемоглобин крови поглощает ИК излучение. В результате, степень отражения уменьшается, и вены видны на камере в виде черных линий. Специальная программа на основе полученных данных создает цифровую свертку. Не требуется контакта человека со сканирующим устройством.
Технология сравнима по надёжности с распознаванием по радужной оболочке глаза, в чём-то превосходя её, а в чём-то уступая.
Значение FRR и FAR приведено для сканера Palm Vein. Согласно данным разработчика при FAR 0,0008% FRR составляет 0.01%. Более точный график для нескольких значений не выдаёт ни одна фирма.

Преимущества и недостатки метода

Преимущества метода. Отсутствие необходимости контактировать со сканирующим устройством. Высокая достоверность - статистические показатели метода сравнимы с показаниями радужной оболочки. Скрытость характеристики: в отличие от всех вышеприведённых - эту характеристику очень затруднительно получить от человека «на улице», например сфотографировав его фотоаппаратом.
Недостатки метода. Недопустима засветка сканера солнечными лучами и лучами галогеновых ламп. Некоторые возрастные заболевания, например артрит – сильно ухудшают FAR и FRR. Метод менее изучен в сравнении с другими статическими методами биометрии.

Ситуация на рынке

Распознавание по рисунку вен руки является довольно новой технологией, и в связи с этим ее удельный вес на мировом рынке невелик и составляет около 3%. Однако к данному методу проявляется все больший интерес. Дело в том, что, являясь довольно точным, этот метод не требует столь дорогого оборудования, как, например, методы распознавания по геометрии лица или радужной оболочке. Сейчас многие компании ведут разработки в данной сфере. Так, например, по заказу английской компании TDSi было разработано ПО для биометрического считывателя вен ладони PalmVein, представленного компанией Fujitsu. Сам сканер был разработан компанией Fujitsu в первую очередь для борьбы с финансовыми махинациями в Японии.
Также в сфере идентификации по рисунку вен работают следующие компании Veid Pte. Ltd. (scanner, software), Hitachi VeinID (scanners)
В России компаний, занимающихся данной технологией, мне не известно.

Сетчатка глаза

До недавнего времени считалось, что самый надёжный метод биометрической идентификации и аутентификации личности - это метод, основанный на сканировании сетчатки глаза. Он содержит в себе лучшие черты идентификации по радужной оболочке и по венам руки. Сканер считывает рисунок капилляров на поверхности сетчатки глаза. Сетчатка имеет неподвижную структуру, неизменную по времени, кроме как в результате болезни, например, катаракты.
Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в системах контроля доступа на особо секретные объекты, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа.
К сожалению, целый ряд трудностей возникает при использовании этого метода биометрии. Сканером тут является весьма сложная оптическая система, а человек должен значительное время не двигаться, пока система наводится, что вызывает неприятные ощущения.
По данным компании EyeDentify для сканера ICAM2001 при FAR=0,001% значение FRR составляет 0,4%.

Преимущества и недостатки метода

Преимущества. Высокий уровень статистической надёжности. Из-за низкой распространенности систем мала вероятность разработки способа их «обмана».
Недостатки. Сложная при использовании система с высоким временем обработки. Высокая стоимость системы. Отсутствие широкого рынка предложение и как следствие недостаточная интенсивность развития метода.

Геометрия рук

Этот метод, достаточно распространённы ещё лет 10 назад и произошедший из криминалистики в последние годы идёт на убыль. Он основан на получении геометрических характеристик рук: длин пальцев, ширины ладони и.т.д. Этот метод, как и сетчатка глаза - умирающий, а так как у него куда более низкие характеристики, то даже не будем вводить его боле полного описания.
Иногда считается что в системах распознавания по венам применяют геометрические методы распознавания. Но в продаже мы такого явно заявленного ни разу не видели. Да и к тому же часто при распознавании по венам делается снимок только ладони, тогда как при распознавании по геометрии делается снимок пальцев.

Немного самопиара

В своё время мы разработали неплохой алгоритм распознавания по глазам. Но на тот момент такая высокотехнологичная штука в этой стране была не нужна, а в буржуйстан (куда нас пригласили после первой же статьи) - ехать не хотелось. Но внезапно, спустя года полтора таки нашлись инвесторы, которые захотели построить себе «биометрический портал» - систему, которая бы кушала 2 глаза и использовала цветовую составляющую радужной оболочки (на что у инвестора был мировой патент). Собственно теперь мы этим и занимаемся. Но это не статья про самопиар, это краткое лирическое отступление. Если кому интересно есть немного инфы, а когда-нибудь в будущем, когда мы выйдем на рынок (или не выйдем) я тут напишу пару слов о перипетиях биометрического проекта в России.

Выводы

Даже в классе статических систем биометрии имеется большой выбор систем. Какую из них выбрать? Всё зависит от требований к системе безопасности. Самыми статистически надежными и устойчивыми к подделке системами доступа являются системы допуска по радужной оболочке и по венам рук. На первые из них существует более широкий рынок предложений. Но и это не предел. Системы биометрической идентификации можно комбинировать, достигая астрономических точностей. Самыми дешёвыми и простыми в использовании, но обладающими хорошей статистикой, являются системы допуска по пальцам. Допуск по 2D лицу удобен и дёшев, но имеет ограниченную область применений из-за плохих статистических показателей.
Рассмотрим характеристики, которые будет иметь каждая из систем: устойчивость к подделке, устойчивость к окружающей среде, простота использования, стоимость, скорость, стабильность биометрического признака во времени. Расставим оценки от 1 до 10 в каждой графе. Чем ближе оценка к 10, тем лучше система в этом отношении. Принципы выбора оценок были описаны в самом начале статьи.

Также рассмотрим соотношение FAR и FRR для этих систем. Это соотношение определяет эффективность системы и широту её использования.

Стоит помнить, что для радужной оболочки можно увеличить точность системы практически квадратично, без потерь для времени, если усложнить систему, сделав её на два глаза. Для дактилоскопического метода - путём комбинирования нескольких пальцев, и распознаванию по венам, путём комбинирования двух рук, но такое улучшение возможно только при увеличении времени, затрачиваемого при работе с человеком.
Обобщив результаты для методов, можно сказать, что для средних и больших объектов, а так же для объектов с максимальным требованием в безопасности следует использовать радужную оболочку в качестве биометрического доступа и, возможно, распознавание по венам рук. Для объектов с количеством персонала до нескольких сотен человек оптимальным будет доступ по отпечаткам пальцев. Системы распознавания по 2D изображению лица весьма специфические. Они могут потребоваться в случаях, когда распознавание требует отсутствия физического контакта, но поставить систему контроля по радужной оболочке невозможно. Например, при необходимости идентификации человека без его участия, скрытой камерой, или камерой наружного обнаружения, но возможно это лишь при малом количестве субъектов в базе и небольшом потоке людей, снимаемых камерой.

Юному технику на заметку

У некоторых производителей, например у Neurotechnology на сайте доступны демо-версии методов биометрии, которые они выпускают, так что вполне можно подключить их и поиграться. Для тех же, кто решит покопаться в проблеме посерьёзнее, могу посоветовать единственную книжку которую я видел на русском - «Руководство по биометрии» Р.М. Болл, Дж.Х. Коннел, Ш. Панканти. Там есть много алгоритмов и их математических моделей. Не всё полно и не всё соответствует современности, но база неплохая и объемлющая.

P.S.

В этом опусе я не вдавался в проблему аутентификации, а только затрагивал идентификацию. В принципе из характеристики FAR/FRR и возможности подделки все выводы по вопросу аутентификации напрашиваются сами.

Теги:

биометрия
сканеры отпечатков пальцев

Добавить метки

Создавая аккаунт на официальном сайте госуслуги.ру, человек одновременно становится пользователем ЕСИА. Эта аббревиатура расшифровывается как Единая система идентификации и аутентификации. По сути, это ключ доступа, который подходит ко всем ресурсам, предоставляющим услуги федерального и муниципального масштаба. В чем преимущества этой системы и как зарегистрироваться в ЕСИА посредством портала Госуслуг, будет рассказано в этой статье.

Что такое ЕСИА?

Прежде всего стоит сказать, что ЕСИА – это система, за функционирование которой отвечает Минкомсвязь России. Участником системы может стать любое физическое лицо, юридическое лицо или организация. Регистрация в ЕСИА на портале Госуслуги происходит бесплатно, процедура доступна для всех пользователей интернета. В это же время каждый зарегистрированный участник системы имеет право в любой момент .

Зарегистрировавшись, человек получает пароль, который может использоваться для доступа ко всем государственным сайтам, участвующим в программе. То есть при активной сессии на Госуслугах и переходе, к примеру, на ресурс Виртуальная школа, подключенный к ЕСИА, проходить повторную идентификацию не потребуется.

Помимо единого входа на гос.порталы, система обеспечивает одновременный выход из них. То есть при завершении сеанса на Госуслугах будет прерван доступ и к учеткам на сайте ФМС, ПФР, ФНС и др.

ЕСИА обеспечивает возможность внесения и самостоятельного изменения персональных данных владельца аккаунта через Личный кабинет. Подлинность номера СНИЛС проверяется с использованием сервиса ПФР, корректность ИНН – с помощью сервиса Налоговой службы, а паспортных данных и сведений из миграционных карт (для иностранных граждан) – сервиса ФМС.

Что дает ЕСИА?

Регистрация в ЕСИА для физического лица – это возможность пользоваться функционалом сайта Госуслуги и другими информационными сервисами, подключенными к программе. Это открывает широкие возможности для владельца аккаунта, позволяя:

оформлять через интернет различные документы, например, паспорт, водительское удостоверение;
записываться к врачу через интернет, выбирая удобную для посещения дату и время;
ставить ребенка на очередь в детский сад, записывать его в школу, кружки и секции, летние лагеря;
узнавать о штрафах и задолженностях по налогам;
подавать заявки на оказание различных услуг, к примеру, регистрацию брака, смену фамилии, оформления свидетельства ИНН;
оплачивать счета за коммунальные услуги, телефон;
оформлять пособия и социальные выплаты, получать льготы;
узнавать о пенсионных накоплениях, проверять свой лицевой счет в ПФР и др.

Как стать участником системы?

Создавая учетную запись на портале Госуслуг, пользователь становится участником ЕСИА. Чтобы авторизоваться, нужно зайти на gosuslugi.ru и указать в специальной форме свои настоящие ФИО и телефон или email. Информация должна быть актуальной, так как дальше в профиль нужно будет добавить сведения из паспорта и персональные данные из других важных документов (СНИЛС, ИНН).

Для завершения процедуры регистрации учетной записи на портале ЕСИА требуется ввести код активации, отправленный системой на телефонный номер, введенный на предыдущем этапе. Второй вариант активации аккаунта – подтвердить учетную запись, перейдя по ссылке в электронном письме, полученном на email.

Важно: во время прохождения регистрации пользователь должен иметь доступ к мобильному телефону или почтовому ящику, используемому при создании аккаунта.

Как подтвердить аккаунт?

Пройдя простую процедуру создания аккаунта на сайте Госуслуги, человек становится участником ЕСИА с упрощенной учетной записью. Стоит разобраться, что это такое.

Упрощенная учетка дает право заходить на портал и просматривать информацию о различных услугах, которые на нем предоставляются. Однако получать эти услуги пользователь не сможет, так как действия на сайте будут ограничены.

Владельцам упрощенных записей доступна проверка задолженностей и штрафов в режиме онлайн и получение оповещений о них. Но каждый пользователь может «поднять» свою учетку, дополнив информацию о себе.

Указав номер СНИЛС и паспортные данные, владелец аккаунта после проверки информации системой получает стандартную учетную запись. Для присвоения статуса стандартной учетной записи потребуется указать в профиле:

свои ФИО;
пол, место рождения и дату;
гражданство;
серию/номер паспорта или другого документа, подтверждающего личность;
номер СНИЛС.

Важно: иностранные граждане, не имеющие номера СНИЛС, не смогут повысить статус учетки до стандартной.

Стандартная учетка позволяет оплачивать штрафы и счета в режиме онлайн, используя банковские карты и электронные кошельки, записываться на прием к врачу, зарегистрировать товарный знак.

Следующий шаг, открывающий доступ ко всем функциям сайта – получение подтвержденной записи. Владельцы подтвержденного аккаунта могут оформлять различные документы (паспорт, загранпаспорт, справки, свидетельства и др.) через интернет, записывать ребенка в очередь в сад, получать доступ к лицевым счетам и прочее.

Важно: чтобы получать некоторые услуги, необходимо иметь электронную цифровую подпись.

Чтобы подтвердить аккаунт, необходимо либо лично явиться в МФЦ, либо заказать код подтверждения почтовым письмом, либо иметь . Самым популярным вариантом становится личное обращение в многофункциональный центр с паспортом и карточкой .

Защита персональных данных пользователя

В системе хранится важная персональная информация о зарегистрированных пользователях:

паспортные данные;
номер СНИЛС;

Поэтому портал Госуслуги должен иметь высокий уровень безопасности. Доступ к со всей личной информацией имеет только его владелец. Данные, переданные в систему владельцами аккаунтов, хранятся на государственных серверах, имеющих высокую защиту. Данные в системе передаются по защищенным каналам с высоким уровнем шифрования.

В свою очередь, владелец аккаунта должен понимать, что пароль учетной записи ЕСИА – это доступ к его персональным данным, поэтому сообщать его третьим лицам нельзя. Способ хранения пароля для входа в аккаунт его владелец выбирает самостоятельно, при этом вся ответственность за сохранность этих данных лежит на нем.

Сайт Госуслуги был запущен еще в 2010 году, но первые несколько лет активность на нем практически не наблюдалась. Однако сегодня портал стремительно развивается, открывая широкие возможности его пользователям. На сайте Госуслуги можно легко и быстро получить сотни услуг муниципального и федерального значения. Для этого нужно просто заполнить заявку через интернет и подтвердить операцию паролем учетной записи ЕСИА. Это избавляет от очередей, лишних стрессов и дополнительных финансовых расходов.

ЕСИА - самостоятельная информационная система, единое «окно» доступа граждан, бизнеса и представителей исполнительной власти в инфраструктуру электронного правительства, а также в другие информационные системы, подключенные к Системе межведомственного электронного взаимодействия (СМЭВ).

Ключевая функция ЕСИА - предоставление пользователю единой учетной записи для доступа к множеству значимых государственных информационных систем. Учетная запись позволяет заходить на любые порталы, использующие ЕСИА, под одним и тем же логином и паролем.

Единая учетная запись позволяет просто и быстро оплатить налоги, записать в детский сад ребенка, узнать состояние пенсионного счета, заказать множество других госуслуг. Бизнес, помимо прочего, получил возможность простой авторизации на площадке электронных торгов, представители госорганов – в Государственной автоматизированной информационной системе «Управление».

Зачем нужна ЕСИА

Система избавит граждан от необходимости хранить множество логинов/паролей для получения государственных услуг в электронном виде. Единожды зарегистрировавшись в какой-либо государственной информационной системе, гражданин сможет использовать полученные логин и пароль на других ведомственных ресурсах. Например, граждане, зарегистрированные на портале госуслуг, смогут пользоваться логином и паролем от своего личного кабинета для доступа к информационным системам ведомств с помощью сайтов ведомств.

Кликните два раза, чтобы увеличить

Кроме того, для доступа к госресурсам можно будет использовать различные электронные карты, средства предоставляемые операторами сотовой связи и цифрового телевидения – любые средства, информация о которых будет в системе.

Единый цифровой профиль

Более 66 млн россиян зарегистрировано в ЕСИА

По данным на 8 февраля 2018 года, почти половина населения России - более 66 млн граждан - имеют учетную запись в Единой системе идентификации и аутентификации (ЕСИА). За 2017 год численность «электронного» населения страны выросла более чем на 66%. Согласно годовой статистике, ежемесячно в ЕСИА регистрировалось около 2 млн пользователей.

В региональном рейтинге ЕСИА Минкомсвязи России лидирует Ненецкий автономный округ, который год назад занимал лишь 80-е место. За год численность «электронного» населения региона увеличилась более чем на 77% и составляет 95,5%. На втором месте - Республика Тыва с годовым приростом почти 30% и долей 93,5%. Рекордные результаты также продемонстрировал Чукотский автономный округ - более 60%. Регион за год «поднялся» с 71-го до 3-го места с показателем 87,1%. Топ-5 замыкает Ханты-Мансийский и Ямало-Ненецкий автономные округа - 85,2% и 81% соответственно.

Число зарегистрированных в ЕСИА граждан старше 14 лет превышает 70% еще в 5 субъектах РФ: Курской , Тульской и Сахалинской областях , а также в Республиках Дагестан и Алтай . В Тамбовской , Вологодской областях и в Удмуртской Республике этот показатель почти достигнут и превышает 69%.

ЕСИА - это единая точка доступа более чем к 4 тыс. государственных и коммерческих порталов, число которых за 2017 год выросло в 4 раза. Через ЕСИА было совершено почти 1 млрд авторизаций, более четверти которых пользователи выполнили для входа на Единый портал госуслуг (ЕПГУ).

По состоянию на февраль 2018 года, на ЕПГУ доступно более 27 тыс. государственных услуг федерального, регионального и муниципального уровня. Для получения примерно 23 тыс. из них требуется подтвержденная учетная запись, число обладателей которой составляет около 60% пользователей Единого портала госуслуг - более 40 млн граждан. Подтвердить личность можно в любом Центре обслуживания пользователей.

2017

Биометрия, облачная ЭП, денежные переводы и доступ к данным для бизнеса

Внедрение биометрии

В частности, заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев сообщил о планах ввести в ЕСИА с начала 2018 года поддержку биометрии . При этом на первом этапе предполагается реализовать распознание голоса и лица, а в последующем добавить возможность идентификации по отпечаткам пальцев и радужной оболочке глаз. По словам замминистра, МВД России уже ведет соответствующие разработки.

Пока идентификация в ЕСИА осуществляется по паре логин-пароль либо с помощью квалифицированной электронной подписи (электронного ключа, выданного аккредитованным удостоверяющим центром).

Доступ к данным для коммерческих организаций

В то же время, планируется открыть доступ к персональным данным российских граждан для коммерческих организаций, в первую очередь - финансовых, которые в наибольшей степени подготовлены к электронному взаимодействию, а затем и для представителей других отраслей. В частности, организации смогут получить доступ к следующим персональным данным: профиль гражданина на портале госуслуг, данные о пенсионных накоплениях, налоговых платежах и др. Гражданам, в свою очередь, будет предоставлена возможность регулировать через специальный веб-интерфейс ЕСИА использование своих данных: давать и отзывать свое согласие на их обработку коммерческими организациями, получать уведомления о фактах их обработки и т.д.

Облачная ЭП транзакций

Кроме того, в планах Минкомсвязи - реализовать через ЕСИА возможность подписывать транзакции в электронном формате. При этом, в связи со сложностью процесса получения квалифицированной электронной подписи, гражданам планируется предоставлять услугу облачной подписи. По словам Алексея Козырева, две российские компании, названия которых не раскрываются, уже располагают необходимыми разработками для реализации сервиса. При этом одна из них - в процессе получения разрешений от ФСТЭК России.

Денежные переводы без платежных систем

Самая амбициозная задача, озвученная Козыревым - создание нового адресного пространства. По задумке Минкомсвязи, уникальный идентификатор позволит сделать денежный перевод или отправить заказное письмо гражданину вне зависимости от его местонахождения. Планируется, что граждане смогут использовать ЕСИА для проведения финансовых операций друг с другом - соответствующие работы уже ведутся Центробанком и ассоциацией «Финтех» . В качестве уникального идентификатора могут выступать номер паспорта, ИНН, СНИЛС, номер телефона и прочие персональные данные пользователя.

Для реализации задачи потребуется специальная платформа для взаимодействия между банками. При этом возможности платежных систем для проведения таких переводов не потребуются, уточнил замминистра.

Подключение операторов сотовой связи к инфраструктуре электронного правительства

В октябре 2017 года заместитель министра связи и массовых коммуникаций Российской Федерации Алексей Козырев провел заседание Подкомиссии по использованию информационных технологий при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. Одним из главных вопросов заседания стало подключение операторов подвижной радиотелефонной связи к Единой системе идентификации и аутентификации (ЕСИА) и системе межведомственного электронного взаимодействия (СМЭВ), которые являются частью инфраструктуры электронного правительства.

«После подключения к ЕСИА и СМЭВ операторы смогут выполнить требования закона и оперативно очистить базы абонентов от анонимных пользователей. Кроме того, подключение к ЕСИА позволит операторам развивать дистанционное взаимодействие с абонентами», - подчеркнул заместитель директора Департамента регулирования радиочастот и сетей связи Минкомсвязи России Михаил Быковский.

ЕСИА - единая точка доступа к цифровым сервисам ведомств

8 сентября 2017 года, в ходе заседания Подкомиссии по использованию ИТ при предоставлении государственных и муниципальных услуг под председательством Министра связи и массовых коммуникаций Российской Федерации Николая Никифорова , была рассмотрена возможность авторизации пользователей при получении информации из государственных информационных систем исключительно через Единую систему идентификации и аутентификации (ЕСИА).

Предложение о едином доступе поступило от представителей Архангельской области . Речь идет о такой информации, как, например, запросы сведений о штрафах ГИБДД через официальный сайт Госавтоинспекции МВД России и результатах единого государственного экзамена через соответствующие официальные сайты в интернете . Подкомиссия поручила проработать вопрос единого доступа к сведениям из государственных информационных систем через ЕСИА МВД России и Минобрнауки совместно с Федеральной службой по надзору в сфере образования и науки (Рособрнадзором).

В ходе заседания представитель Курской области доложил о росте количества заказанных населением госуслуг в электронном виде. Так, за весь 2016 год граждане заказали 200 тыс. услуг, а за прошедшие месяцы 2017 года подано более 270 тыс. заявок. Всего в Курской области более 70% населения зарегистрированы в ЕСИА. Было поддержано предложение региона о совершенствовании нормативных документов для оказания полностью электронных услуг по таким востребованным услугам, как, например, оформление разрешения на охоту. По результатам заседания подкомиссии регионам рекомендовано учесть опыт Курской области по достижению доли граждан, использующих электронный механизм получения госуслуг.

50 млн граждан России

В ЦБ объясняли, что первичная идентификация останется очной и клиент должен будет пройти ее в банке в соответствии с уже действующими нормами. После идентификации эта информация попадет в ЕСИА, которая и станет центральной инфраструктурой для хранения информации. Далее, если клиент обратится в другой банк за услугой, ему не придется проходить очную идентификацию, этот банк просто обратится к ЕСИА.

Удаленную идентификацию планируется сначала применять по операциям физлиц со счетами, вкладами, переводами, получением кредитов, предоставлением информации по счету. После пилота этот перечень может быть расширен, рассказала Скоробогатова.

Для проведения проекта необходимо внести изменения в закон и ввести понятие «удаленная идентификация». Принятие поправок в закон о противодействии отмыванию доходов и другие нормативные акты ожидается в первом полугодии 2017 года.

2016

Ежемесячный прирост пользователей электронных госуслуг превысил два миллиона человек

По данным на конец ноября 2016 года, в Единой системе идентификации и аутентификации (ЕСИА) зарегистрировано 37,7 млн человек. Прирост пользователей электронных госуслуг в ноябре 2016 года составил 2,4 млн человек. Это рекордный рост за все время существования системы.

Интеграцию с системой межведомственного электронного взаимодействия (СМЭВ) версии 3.0 на сегодняшний день завершило большинство субъектов РФ. Оставшимся двум субъектам - Республике Ингушетия и Тверской области необходимо осуществить переход на новую версию системы.

Статистика на лето 2016 года

На 18 августа 2016 года единую систему идентификации и аутентификации (ЕСИА) используют все региональные порталы госуслуг, сайты Федеральной налоговой службы , Федеральной службы государственной регистрации, кадастра и картографии , Федерального казначейства , Пенсионного фонда РФ , официальные сайты для размещения информации о торгах и государственных закупках, сайт Российской общественной инициативы, государственная информационная система жилищно-коммунального хозяйства, а также электронные государственные библиотеки.

В июле 2015 года появилась возможность пройти идентификацию с помощью учетной записи на Едином портале госуслуг в бесплатной сети Wi-Fi московского метрополитена. Также пройти регистрацию с помощью учетной записи в ЕСИА возможно в Международном аэропорту Шереметьево , терминалах «Аэроэкспресс », ряде московских ярмарок, на стадионе «Спартак» и в детском парке игрового обучения

Полное название:

Биометрические системы идентификации и аутентификации.

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.

Назначение:

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В состав аппаратно-программных СИА входят идентификаторы, устройства ввода-вывода (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы системной платы и др.) и соответствующее ПО. Идентификаторы предназначены для хранения уникальных идентификационных признаков. Кроме того, они могут хранить и обрабатывать разнообразные конфиденциальные данные. Устройства ввода-вывода и ПО пересылают данные между идентификатором и защищаемым компьютером.

Биометрическая идентификация – это способ идентификации личности по отдельным специфическим биометрическим признакам (идентификаторам), присущим конкретному человеку.

Биометрическая аутентификация - это опознание индивидуума на основе его физиологических характеристик и поведения. Аутентификация проводится посредством компьютерной технологии без какого-либо нарушения личной сферы человека. Собранные таким образом в базе данных приметы человека сравниваются с теми, которые актуально регистрируются системами безопасности.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

Установление подлинности и определение полномочий субъекта при его допуске в систему,

Контролирование установленных полномочий в процессе сеанса работы;

Регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Биометрические технологии активно применяются во многих областях связанных с обеспечением безопасности доступа к информации и материальным объектам, а также в задачах уникальной идентификации личности.

Применения биометрических технологий разнообразны: доступ к рабочим местам и сетевым ресурсам, защита информации, обеспечение доступа к определённым ресурсам и безопасность. Ведение электронного бизнеса и электронных правительственных дел возможно только после соблюдения определённых процедур по идентификации личности. Биометрические технологии используются в области безопасности банковских обращений, инвестирования и других финансовых перемещений, а также розничной торговле, охране правопорядка, вопросах охраны здоровья, а также в сфере социальных услуг. Биометрические технологии в скором будущем будут играть главную роль в вопросах персональной идентификации во многих сферах. Применяемые отдельно или используемые совместно со смарт-картами, ключами и подписями, биометрия скоро станет применяться во всех сферах экономики и частной жизни.

	Области применения	Основные характеристики
	Компьютер-ная безопас-ность	В данной области биометрия используется для замены (иногда для усиления) стандартной процедуры входа в различные программы по паролю, смарт-карте, таблетке touch-memory и т.д. Самым распространенным решением на базе биометрических технологий является идентификация (или верификация) по биометрическим характеристикам в корпоративной сети или при входе на рабочую станцию (персональный компьютер, ноутбук и т.д.).
	Торговля	Основные направления:>br>- в магазинах, ресторанах и кафе биометрические идентификаторы используются либо непосредственно как средство идентификации покупателя и последующего снятия денег с его счета, либо для подтверждения права покупателя на какие-либо скидки и другие льготы; В торговых автоматах и банкоматах как средство идентификации человека взамен магнитных карточек или в дополнение к ним; В электронной коммерции биометрические идентификаторы используются как средства удаленной идентификации через Интернет, что значительно надежнее паролей, а в сочетании со средствами крипто-графии дает электронным транзакциям очень высокий уровень защиты.
	Системы СКУД	В системах контроля и управления доступом (СКУД) с сетевой архитектурой, когда в здании есть несколько входов, оборудованных биометрическими замками, шаблоны биометрических характеристик всех сотрудников хранятся централизованно, вместе с информацией о том, кому и куда (и, возможно, когда) разрешен вход. В СКУД реализуются следующие технологии распознавания: отпечаток пальца, лицо, форма руки, ра-дужная оболочка глаза, голос.
	Системы АДИС	Основным назначением систем гражданской идентификации и автоматизированных дактилоскопических информационных систем (АДИС) является управление правами, которые предоставлены государством гражданам и иностранцам. Права гражданства, голосования, места жительства или работы для иностранцев, право получать социальное обеспечение и т.д. признаются и подтверждаются с помощью документов и разнообразных карт. В настоящее время такие системы получили очень широкое распространение из-за того, что некоторые страны стали использовать их для проверки личности въезжающих.
	Комплексные системы	К системам данного типа относятся решения, сочетающие в себе системы первых трех классов. Сотрудник компании регистрируется у администратора системы всего один раз, и дальше ему автоматически назначаются все необходимые привилегии как на вход в помещение, так и на работу в корпоративной сети и с ее ресурсами.

Кроме этих основных секторов применения в настоящее время начинается активное использование биометрии и в некоторых других областях, таких как:

Игорный бизнес. Биометрия используется по двум направлениям: проверка всех находящихся по "черным спискам" (аналог массовой идентификации по лицам, используемой в аэропортах), а также как система идентификации и платежное средство постоянных клиентов;

Идентификация в мобильных устройствах, таких как мобильные телефоны, компактные ПК и т.д.;

В транспортной области как платежное средство;

Медицина. Биометрия используется для идентификации медицинских работников при получении доступа к закрытым данным и для электронной подписи записей в истории болезни.

Представители:

Еkey biometric systems GmbH – основанная в 1999 году австрийская компания по биометрическим системам доступа по отпечаткам пальцев, на сегодняшний день является компанией №1 в этой области. Слоган –«ваш палец – это ключ».

BioLink - создана в 2000г. и за это время превратилась в ведущего российского разработчика, поставщика и провайдера решений в сфере биометрической идентификации. Компания успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).

Многочисленные партнеры компании BioLink в России и за рубежом объединены в Биометрический альянс - уникальное содружество ведущих поставщиков передовых решений и систем на основе биометрической идентификации.

Ряд фирм США (Miros, Lau Technologies, Identification Technologies International) уже разработали системы опознавания человека по лицу, действующие подобно полицейскому, проверяющему права водителя автомобиля и сравнивающему его лицо с фотографией в предъявленном документе.

По данным фирмы Master Card (США), разработавшей оптическую биометрическую систему идентификации по отпечаткам пальцев, с времени установки в 1996 г. этой системы в офисах фирмы было проверено 6700 посетителей. Фирма считает, что эта система является наиболее удобной для держателей кредитных карточек.

В системе идентификации фирмы San Bruno (США) используется светодиод с излучением в ближней инфракрасной области спектра для бокового освещения пальцев и получения рельефного дактилоскопического рисунка.

Фирма Fingermatrix (США) разработала принтеры для одного и десяти пальцев, в которых оптическая система располагается под ванночкой со спиртом и водой. Слой жидкости предохраняет поверхность, на которой воспроизводится изображение, от загрязнения и повышает светопропускание.

Другая американская фирма Quatalmage разработала более совершенный коррелятор, в котором применен созданный фирмой пространственный модулятор света высокого быстродействия (время отклика менее 1 мкс) с разрешением 200 линий/мм. Сформированное компьютером изображение направляется в два сегнетоэлектрических пространственных модулятора света, облучаемых светом лазерного диода с длиной волны 830 нм. Лазерный луч проходит через объектив преобразователя Фурье. Быстродействующий пространственный модулятор света усиливает преобразованное по Фурье изображение. Второй лазерный луч с длиной волны излучения 850 нм считывает усиленное изображение и переносит результаты обратно через объектив преобразователя Фурье на интеллек-туальный чувствительный элемент, способный обнаруживать пики корреляции при сравнении до 4000 отпечатков пальцев в 1 с.

В системе "Fastgate", проходящей в настоящее время испытания, применена техника сканирования геометрии руки фирмы Recognition Systems и IBM(США).

С 17 по 19 ноября 2010 г. в Москве пройдет выставка Infosecurity Russia"2010, где отечественные и зарубежные компании примут участие.

Особенности и история

В 1938 г. была создана Биометрическая секция американской статистической ассоциации. Затем в 1947 г. в Вудс-Холе (США) была проведена «Первая международная биометрическая конференция», на которой было организовано Международное биометрическое общество. Конференции Международного биометрического общества проходили в 1949 г., 1953 г., 1958 г., 1963 г., 1967 г. и т. д.

В 1978 г. было организовано Международное общество клинической биостатистики (ISCB), национальные отделения которого есть в нескольких десятках стран, включая США, Англию, Францию, Италию, Канаду, Испанию, Польшу, Венгрию, Южную Африку, Кению и т. д. Кроме организованного в 1901 г. Пирсоном и Гальтоном журнала «Biometrika» стали выходить журналы «Biometrics» (с 1945 г.), «Biometrische Zeitschrift» (с 1959 г.)

До 11 сентября 2001 года, биометрические системы обеспечения безопасности использовались только для защиты военных секретов и самой важной коммерческой информации. Ну а после потрясшего весь мир террористического акта ситуация резко изменилась. Сначала биометрическими системами доступа оборудовали аэропорты, крупные торговые центры и другие места скопления народа.

В рамках безвизовой программы США подписала с 27 странами соглашение, по которому граждане этих государств смогут въезжать на территорию США сроком до 90 дней без визы при обязательном наличии биометрических документов. Начало действия программы - 26 октября 2005. Среди государств, участвующих в программе - Австралия, Австрия, Бельгия, Великобритания, Германия, Италия, Лихтенштейн, Люксембург, Монако, Нидерланды, Португалия, Сингапур, Финляндия, Франция, Швейцария, Швеция и Япония.

С 1 января 2007 года вводится в действие национальный стандарт ГОСТ 52633-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации».

В нём формулируются требования к средствам высоконадежной биометрической аутентификации на базе больших и сверхбольших многослойных искусственных нейронных сетей с большим числом входов и большим числом выходов.

За последние два десятилетия биометрические технологии сделали большой шаг вперед. Во многом этому способствовало распространение микропроцессорных технологий. Еще в 80-е годы систему контроля доступа, использующую биометрические характеристики человека, можно было увидеть лишь в фантастических фильмах. Сегодня же использование в системах контроля и управления доступом (СКУД) биометрических сканеров, практически, не усложняет систему безопасности, и их стоимость для некоторых биометрических методов очень низкая. Более того, около трети ноутбуков выходит сейчас со встроенной системой считывания отпечатка пальцев, а если в ноутбуке есть видеокамера, на него можно установить систему распознавания человека по лицу.

Основными характеристиками любой биометрической охранной системы являются два числа - FAR (False Acceptance Rate) и FRR (False Rejection Rate). Первое число характеризует вероятность ложного совпадения биометрических характеристик двух людей. Второе - вероятность отказа доступа человеку, имеющего допуск. Система тем лучше, чем меньше значение FRR при одинаковых значениях FAR. Устойчивость к подделке - это эмпирическая характеристика, обобщающая то, насколько легко обмануть биометрический идентификатор. Устойчивость к окружающей среде - характеристика, эмпирически оценивающая устойчивость работы системы при различных внешних условиях. Простота использования показывает, насколько сложно воспользоваться биометрическим сканером, возможна ли идентификация «на ходу». Важными характеристиками являются и скорость работы, и стоимость системы. Несомненно, существенным является и то, как в течение времени себя ведет биометрическая характеристика. Если она неустойчива и может измениться - это значительный минус.

Физиологические (статические) методы

Сканирование радужной оболочки глаза

Сканирование сетчатки глаза

Геометрия кисти руки (рисунок вен, отпечатки пальцев – дактилоскопия, размер, длина и ширина ладоней)

Распознавание черт лица (контур, форма; расположение глаз и носа)

Снятие отпечатков пальцев

Структура ДНК - сигнатура

Поведенческие (динамические) методы

Анализ подписи (форма букв, манера письма, нажим)

Анализ клавиатурного почерка

	Носитель биометрической информации	Вероятность ошибки	надежность	Сфера применения
Распознавание радужной оболочки глаза	Узор радужки			Критичные к количеству ошибок сервисы
Дактилоскопия	Отпечатки пальцев			Универсальная
Форма руки	Размер, длина и ширина ладоней
Распознавание лица	Контур, форма; расположение глаз и носа			Некритичные к количеству ошибок сервисы
	Форма букв, манера письма, нажим			Некритичные к количеству ошибок сервисы
				Телефонные серверы

Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.

Отпечатки пальцев

Каждый человек имеет уникальный папиллярный узор отпечатков пальцев, благодаря чему и возможна идентификация. Обычно алгоритмы используют характерные точки на отпечатках пальцев: окончание линии узора, разветвление линии, одиночные точки. Дополнительно привлекается информация о морфологической структуре отпечатка пальца: относительное положение замкнутых линий папиллярного узора, арочных и спиральных линий. Особенности папиллярного узора преобразовываются в уникальный код, который сохраняет информативность изображения отпечатка. И именно «коды отпечатков пальцев» хранятся в базе данных, используемой для поиска и сравнения. Время перевода изображения отпечатка пальца в код и его идентификация обычно не превышают 1с, в зависимости от размера базы. Время, затраченное на поднесение руки, не учитывается.

Радужная оболочка

Система идентификации личности по радужной оболочке логически делится на две части: устройство захвата изображения, его первичной обработки и передачи вычислителю; вычислитель, производящий сравнение изображения с изображениями в базе данных, передающий команду о допуске исполнительному устройству.

Время первичной обработки изображения в современных системах примерно 300-500 мс, скорость сравнения полученного изображения с базой имеет уровень 50000-150000 сравнений в секунду даже на обычном персональном компьютере. Такая скорость сравнения не накладывает ограничений на применение метода в больших организациях при использовании в системах доступа. При использовании же специализированных вычислителей и алгоритмов оптимизации поиска становится даже возможным идентифицировать человека среди жителей целой страны.

Геометрия лица

Существует множество методов распознавания по геометрии лица. Все они основаны на том, что черты лица и форма черепа каждого человека индивидуальны. Эта область биометрии многим кажется привлекательной, потому что мы узнаем друг друга в первую очередь по лицу. Данная область делится на два направления: 2D-распознавание и 3D-распознавание. У каждого из них есть достоинства и недостатки, однако многое зависит еще и от области применения и требований, предъявленных к конкретному алгоритму.

2D-распознавание лица

2D-распознавание лица - один из самых статистически неэффективных методов биометрии. Появился он довольно давно и применялся, в основном, в криминалистике, что и способствовало его развитию. Впоследствии появились компьютерные интерпретации метода, в результате чего он стал более надежным, но, безусловно, уступал и с каждым годом все больше уступает другим биометрическим методам идентификации личности. В настоящее время из-за плохих статистических показателей он применяется, в основном, в мультимодальной или, как ее еще называют, перекрестной биометрии.

Реализация данного метода представляет собой довольно сложную задачу. Несмотря на это, в настоящее время существует множество методов по 3D-распознаванию лица. Ниже рассматривается один из самых распространенных.

Метод проецирования шаблона состоит в том, что на объект (лицо) проецируется сетка. Далее камера делает снимки со скоростью десятки кадров в секунду, и полученные изображения обрабатываются специальной программой. Луч, падающий на искривленную поверхность, изгибается - чем больше кривизна поверхности, тем сильнее изгиб луча. Изначально при этом применялся источник видимого света, подаваемого через «жалюзи». Затем видимый свет был заменен инфракрасным, который обладает рядом преимуществ. Обычно на первом этапе обработки отбрасываются изображения, на которых лица не видно вообще или присутствуют посторонние предметы, мешающие идентификации. По полученным снимкам восстанавливается 3D-модель лица, на которой выделяются и удаляются ненужные помехи (прическа, борода, усы и очки). Затем производится анализ модели - выделяются антропометрические особенности, которые в итоге и записываются в уникальный код, заносящийся в базу данных. Время захвата и обработки изображения составляет 1-2 с для лучших моделей.

Венозный рисунок руки

Это новая технология в сфере биометрии. Инфракрасная камера делает снимки внешней или внутренней стороны руки. Рисунок вен формируется благодаря тому, что гемоглобин крови поглощает ИК-излучение. В результате степень отражения уменьшается и вены видны на камере в виде черных линий. Специальная программа на основе полученных данных создает цифровую свертку. Не требуется контакта человека со сканирующим устройством. Рисунок вен на ладони не меняется с двухлетнего возраста

Технология сравнима по надежности с распознаванием по радужной оболочке глаза, но имеет ряд минусов, указанных ниже.

Сетчатка глаза

До последнего времени считалось, что самый надежный метод биометрической идентификации и аутентификации личности - это метод, основанный на сканировании сетчатки глаза. Он содержит в себе лучшие черты идентификации по радужной оболочке и по венам руки. Сканер считывает рисунок капилляров на поверхности сетчатки глаза. Сетчатка имеет неподвижную структуру, неизменную во времени, кроме как в результате глазной болезни, например, катаракты.

Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры сетчатки глаза получили широкое распространение в системах контроля доступа на особо секретные объекты, так как у них один из самых низких процентов отказа в доступе зарегистрированных пользователей и практически не бывает ошибочного разрешения доступа.

К сожалению, целый ряд трудностей возникает при использовании этого метода биометрии. Сканером тут является весьма сложная оптическая система, а человек должен значительное время не двигаться, пока система наводится, что вызывает неприятные ощущения.

Термический образ лица . Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.

Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 – 5%. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу – возбужден, болен, говорит правду, не в себе и т.д.

Ввод с клавиатуры . Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.

Подпись. Для контроля рукописной подписи используются дигитайзеры.

Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности

В.Шрамко

PCWeek/RE № 45, 2004 г.

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах конфиденциальной информации, одна из важнейших задач для любой компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. По результатам исследования Computer Security Institute, на непреднамеренные ошибки сотрудников приходится 55% такого ущерба, на действия нечестных и обиженных коллег соответственно 10% и 9%. Оставшуюся часть потерь связывают с проблемами физической защиты (стихийные бедствия, электропитание) 20%, вирусами 4% и внешними атаками 2%.

Основным способом защиты информации от злоумышленников считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) и устройства ввода идентификационных признаков (термин соответствует ГОСТ Р 51241-98), предназначенные для защиты от несанкционированного доступа (НСД) к компьютерам.

На мировом рынке информационной безопасности сегмент ААА стабильно растет. Эта тенденция подчеркивается в аналитических обзорах и прогнозах Infonetics Research, IDC, Gartner и других консалтинговых компаний.

В нашей статье основное внимание будет уделено комбинированным системам идентификации и аутентификации. Такой выбор обусловлен тем, что в настоящее время системы этого класса обеспечивают наиболее эффективную защиту компьютеров от НСД.

Классификация систем идентификации и аутентификации

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).

Рисунок 1 Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

контактных смарт-карт;
бесконтактных смарт-карт;
USB-ключей (другое название USB-токенов);
идентификаторов iButton.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.

Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).

Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).

Несмотря на многочисленность биометрических характеристик, разработчики СИА основное внимание уделяют технологиям распознавания по отпечаткам пальцев, чертам лица, геометрии руки и радужной оболочки глаза. Так, например, согласно отчету International Biometric Group, на мировом рынке биометрической защиты в 2004 г. доля систем распознавания по отпечаткам пальцев составила 48%, по чертам лица 12%, геометрии руки 11%, радужке глаза 9%, параметрам голоса 6%, подписи 2%. Оставшаяся доля (12%) относится к промежуточному ПО.

В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:

интеграция идентификаторов в рамках системы одного класса;
интеграция систем разного класса.

В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).

Особенности электронных систем идентификации и аутентификации

С электронными СИА и анализом их ключевых характеристик, позволяющим сделать выбор в пользу того или иного продукта, можно познакомиться в моем обзоре «Защита компьютеров: электронные системы идентификации и аутентификации» (см. PC Week/RE, № 12/2004, с. 18). Приведу лишь основные особенности электронных СИА, знание которых помогает понять структуру и принцип работы комбинированных систем.

В состав комбинированных СИА могут входить электронные контактные и бесконтактные смарт-карты и USB-ключи. Основным элементом этих устройств являются одна или более встроенных интегральных микросхем (чипов), которые могут представлять собой микросхемы памяти, микросхемы с жесткой логикой и микропроцессоры (процессоры). В настоящее время наибольшей функциональностью и степенью защищенности обладают идентификаторы с процессором.

Основу чипа микропроцессорной контактной смарт-карты составляют центральный процессор, специализированный криптографический процессор (опционально), оперативная память (RAM), постоянная память (ROM), энергонезависимая программируемая постоянная память (PROM), датчик случайных чисел, таймеры, последовательный коммуникационный порт.

Оперативная память используется для временного хранения данных, например, результатов вычислений, произведенных процессором. Ее емкость составляет несколько килобайтов.

В постоянной памяти хранятся команды, исполняемые процессором, и другие неизменяемые данные. Информация в ROM записывается при производстве карты. Емкость памяти может составлять десятки килобайтов.

В контактных смарт-картах используется два типа памяти PROM: однократно программируемая память EPROM и чаще встречающаяся многократно программируемая память EEPROM. Память PROM служит для хранения пользовательских данных, которые могут считываться, записываться и модифицироваться, и конфиденциальных данных (например, криптографических ключей), недоступных для прикладных программ. Емкость PROM составляет десятки и сотни килобайтов.

Центральный процессор смарт-карты (обычно это RISC-процессор) обеспечивает реализацию разнообразных процедур обработки данных, контроль доступа к памяти и управление ходом выполнения вычислительного процесса.

На специализированный процессор возлагается реализация различных процедур, необходимых для повышения защищенности СИА:

генерация криптографических ключей;
реализация криптографических алгоритмов (ГОСТ 28147-89, DES, 3DES, RSA, SHA-1 и др.);
выполнение операций с электронной цифровой подписью (генерация и проверка);
выполнение операций с PIN-кодом и др.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе функционирования большинства СИА на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации. Конструктивно радиочастотные идентификаторы (см. табл. 1) изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п.

Таблица 1 Радиочастотные идентификаторы

Основные компоненты бесконтактных смарт-карт чип и антенна. Внутри идентификаторов также может находиться литиевая батарея. Идентификаторы с батареей называются активными, без батареи пассивными. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Идентификаторы Proximity функционируют на частоте 125 кГц. В состав чипа входит микросхема памяти (или микросхема с жесткой логикой) со вспомогательными блоками: модулем программирования, модулятором, блоком управления и др. Емкость памяти составляет от 8 до 256 байт. В Proximity в основном используется однократно программируемая постоянная память EPROM, но встречается и перезаписываемая EEPROM. В памяти содержатся уникальный номер идентификатора, код устройства и служебная информация (биты четности, биты начала и конца передачи кода и т. д.).

Обычно идентификаторы Proximity являются пассивными и не содержат химического источника питания литиевой батареи. В этом случае питание микросхемы происходит посредством электромагнитного поля, излучаемого считывателем. Чтение данных считыватель осуществляет со скоростью 4 кбит/с на расстоянии до 1 м.

Системы идентификации и аутентификации на базе Proximity криптографически не защищены (за исключением заказных систем).

Бесконтактные смарт-карты функционируют на частоте 13,56 МГц и разделяются на два класса, которые базируются на международных стандартах ISO/IEC 15693 и ISO/IEC 14443.

Стандарт ISO/IEC 14443 включает в себя версии А и В, различающиеся способами модуляции передаваемого радиосигнала. Стандарт поддерживает обмен (чтение-запись) данными со скоростью 106 кбит/с (возможно увеличение скорости до 212, 424 или 848 кбит/с), дистанция чтения до 10 см.

Для реализации функций шифрования и аутентификации в идентификаторах стандарта ISO/IEC 14443 могут применяться чипы трех видов: микросхема с жесткой логикой MIFARE, процессор или криптографический процессор. Технология MIFARE является разработкой компании Philips Electronics и представляет собой расширение ISO/IEC 14443 (версии А).

Стандарт ISO/IEC 15693 увеличивает дистанцию применения бесконтактного идентификатора до 1 м. На этом расстоянии обмен данными осуществляется со скоростью 26,6 Кбит/с.

USB-ключи (см. табл. 2) предназначаются для работы с USB-портом компьютера. Они конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Таблица 2 Характеристики USB-ключей

На российском рынке наибольшей популярностью пользуются следующие USB-ключи:

серии iKey 10xx, iKey 20xx, iKey 3000 разработка компании Rainbow Technologies;
eToken R2, eToken Pro фирмы Aladdin Knowledge Systems;
ePass1000, ePass2000 фирмы Feitian Technologies;
ruToken совместная разработка компании «Актив» и фирмы «АНКАД» .

USB-ключи являются преемниками контактных смарт-карт. Поэтому структуры USB-ключей и смарт-карт, как и объемы аналогичных запоминающих устройств, практически идентичны. В состав USB-ключей могут входить:

процессор управление и обработка данных;
криптографический процессор реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
USB-контроллер обеспечение интерфейса с USB-портом компьютера;
RAM хранение изменяемых данных;
EEPROM хранение ключей шифрования, паролей, сертификатов и других важных данных;
ROM хранение команд и констант.

Комбинированные системы

Внедрение комбинированных СИА (см. табл. 3) в систему информационной безопасности компании увеличивает количество идентификационных признаков, позволяя таким образом более эффективно защитить компьютеры и корпоративную сеть от НСД. Кроме того, некоторые типы систем способны управлять физическим доступом в здания и помещения и контролировать его.

Таблица 3 Основные функции комбинированных СИА

Сегодня на рынке компьютерной безопасности присутствуют комбинированные системы идентификации и аутентификации следующих типов:

системы на базе бесконтактных смарт-карт и USB-ключей;
системы на базе гибридных смарт-карт;
биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

Аппаратная интеграция USB-ключей и бесконтактных смарт-карт предполагает, что в корпус брелока встраиваются антенна и микросхема, поддерживающая бесконтактный интерфейс. Это позволяет с помощью одного идентификатора организовать управление доступом и к компьютеру, и в помещения офиса. Для входа в служебное помещение сотрудник использует свой идентификатор в качестве бесконтактной карты, а при допуске к защищенным компьютерным данным в качестве USB-ключа. Кроме того, при выходе из помещения он извлекает идентификатор из USB-разъема (чтобы потом войти обратно) и тем самым автоматически блокирует работу компьютера.

В 2004 г. на российском рынке появились два комбинированных идентификатора такого типа:

RFiKey разработка компании Rainbow Technologies;
eToken PRO RM разработка компании Aladdin Software Security R.D. .

Идентификатор RFiKey (рис. 2) представляет собой USB-ключ iKey со встроенной микросхемой Proximity, разработанной HID Corporation.

Рисунок 2 Идентификатор RFiKey

Изделие RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

К основным характеристикам RFiKey можно отнести следующие показатели:

частота функционирования микросхемы Proximity 125 кГц;
тактовая частота процессора 12 МГц;
реализуемые криптографические алгоритмы MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
поддерживаемые стандарты PKCS#11, MS Crypto API, PC/SC;
файловая система с тремя уровнями доступа к данным;
поддерживаемые операционные системы Windows 95/98/ME/NT4 (SP3)/2000/XP/ 2003.

Идентификатор eToken RM представляет собой USB-ключ eToken Pro со встроенным чипом, поддерживающим бесконтактный интерфейс (рис. 3). Поставщика и тип микросхемы заказчик может выбирать в соответствии со своими потребностями. В настоящее время компанией предлагаются радиочипы производства HID Corporation, EM Microelectronic-Marin, Philips Electronics (технология MIFARE), Cotag International и ОАО «Ангстрем».

Рисунок 3 Идентификатор eToken RM

Например, радиочастотный пассивный идентификатор БИМ-002 отечественной компании «Ангстрем» изготовлен в виде круглой метки. Он построен на базе микросхемы КБ5004ХК1, основой которой являются память EPROM емкостью 64 бит и блок программирования, используемый для записи уникального идентификационного кода.

К главным характеристикам eToken RM со встроенным идентификатором БИМ-002 можно отнести следующие показатели:

частота функционирования БИМ-002 13,56 МГц;
дальность чтения идентификационного кода до 30 мм;
тактовая частота процессора 6 МГц;
реализуемые криптографические алгоритмы RSA-1024, DES, 3DES, SHA-1;
наличие аппаратного датчика случайных чисел;
поддерживаемые стандарты PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
поддерживаемые операционные системы Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

На отечественном рынке ориентировочные цены комбинированных идентификаторов составляют: RFiKey 1032 от $41, RFiKey 2032 и RFiKey 3000 от $57, eToken RM с 32 Кб защищенной памяти и БИМ-002 от $52.

Разница между стоимостью комбинированных и обычных USB-ключей приблизительно соответствует цене смарт-карты Proximity. Отсюда следует, что интеграция бесконтактных смарт-карт и USB-ключей почти не ведет к росту затрат на аппаратную часть при переходе на комбинированную систему идентификации и аутентификации. Выигрыш же очевиден: один идентификатор вместо двух.

Гибридные смарт-карты

Гибридные смарт-карты содержат не связанные между собой разнородные чипы (рис. 4). Один чип поддерживает контактный интерфейс, другие (Proximity, ISO 14443/15693) бесконтактный. Как и в случае интеграции USB-ключей и бесконтактных смарт-карт, СИА на базе гибридных смарт-карт решают двоякую задачу: защиту от НСД к компьютерам и в помещения компании, где они содержатся. Кроме этого на смарт-карте помещается фотография сотрудника, что позволяет идентифицировать его визуально.

Рисунок 4 Структура гибридной смарт-карты

Стремление к интеграции радиочастотной бесконтактной и контактной смарт-карт-технологий находит отражение в разработках многих компаний: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

Например, корпорация HID, ведущий разработчик СИА на базе бесконтактных идентификаторов, выпустила идентификаторы-карты, объединяющие в себе различные технологии считывания идентификационных признаков. Результатом этих разработок явилось создание гибридных смарт-карт:

Smart ISOProx II интеграция Proximity-чипа и чипа с контактным интерфейсом (опционально);
iCLASS интеграция чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально);
iCLASS Prox интеграция Proximity-чипа, чипа ISO/IEC 15693 и чипа с контактным интерфейсом (опционально).

На отечественном рынке цены на эти изделия составляют: iCLASS от $5,1; Smart ISOProx II от $5,7; iCLASS Prox от $8,9.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Фирма предлагает смарт-карты различных производителей: ОАО «Ангстрем» (БИМ-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (технология MIFARE) и других. Выбор варианта комбинирования определяет заказчик.

Анализ финансовых затрат при переходе на применение гибридных смарт-карт, как и в случае комбинирования бесконтактных смарт-карт и USB-ключей, снова подтверждает торжество принципа «два в одном». Если же на идентификатор поместить фотографию сотрудника, то этот принцип трансформируется в «три в одном».

Биоэлектронные системы

Для защиты компьютеров от НСД биометрические системы обычно объединяются с двумя классами электронных СИА на базе контактных смарт-карт и на базе USB-ключей.

Интеграция с электронными системами на базе бесконтактных смарт-карт главным образом используется в системах управления физическим доступом в помещения.

Как уже было замечено, технологии идентификации по отпечаткам пальцев сегодня лидируют на рынке биометрических средств защиты. Столь почетное место дактилоскопии вызвано следующими обстоятельствами:

это самый старый и наиболее изученный метод распознавания;
его биометрический признак устойчив: поверхность кожного покрова на пальце не меняется со временем;
высокие значения показателей точности распознавания (по заявлениям разработчиков дактилоскопических средств защиты, вероятность ложного отказа в доступе составляет 10-2, а вероятность ложного доступа -10-9);
простота и удобство процедуры сканирования;
эргономичность и малый размер сканирующего устройства;
самая низкая цена среди биометрических систем идентификации.

В связи с этим сканеры отпечатков пальцев стали наиболее используемой составной частью комбинированных СИА, применяемых для защиты компьютеров от НСД. На втором месте по распространенности на рынке компьютерной безопасности находятся СИА на базе контактных смарт-карт.

Примером такого рода интеграции служат изделия Precise 100 MC (рис. 5) и AET60 BioCARDKey (рис. 6) компаний Precise Biometrics AB и Advanced Card Systems соответственно. Чтобы получить доступ к информационным ресурсам компьютера с помощью этих средств, пользователю необходимо вставить в считыватель смарт-карту и приложить палец к сканеру. Шаблоны отпечатков пальцев хранятся в зашифрованном виде в защищенной памяти смарт-карты. При совпадении изображения отпечатка с шаблоном разрешается доступ к компьютеру. Пользователь очень доволен: не надо запоминать пароль или PIN-код, процедура входа в систему значительно упрощается.

Рисунок 5 Изделие Precise 100 MC

Рисунок 6 Изделие AET60 BioCARDKey

Изделия Precise 100 MC и AET60 BioCARDKey это USB-устройства, работающие в среде Windows. Считыватели смарт-карт поддерживают все типы микропроцессорных карточек, удовлетворяющих стандарту ISO 7816-3 (протоколы T=0, T=1). Дактилоскопические считыватели представляют собой сканеры емкостного типа со скоростями сканирования 4 и 14 отпечатков пальцев в секунду у Precise 100 MC и AET60 BioCARDKey соответственно.

Чтобы уменьшить число периферийных устройств, можно интегрировать дактилоскопический сканер и считыватель смарт-карт в USB-клавиатуру защищаемого компьютера. Примерами таких устройств служат изделия KBPC-CID (рис. 7) альянса Fujitsu Siemens Computers , Precise 100 SC Keyboard (рис. 8) и Precise 100 MC Keyboard компании Precise Biometrics AB.

Рисунок 7 Изделие KBPC-CID

Рисунок 8 Изделие Precise 100 SC Keyboard

Для доступа к информационным ресурсам компьютера, как и в предыдущем варианте, пользователю необходимо поместить смарт-карту в считыватель и к сканеру приложить палец. Представляется интересным и перспективным решение разработчиков комбинированных систем защиты объединить USB-ключ с дактилоскопической системой идентификации (далее такое устройство будем именовать USB-биоключом). Примером этого решения могут служить USB-биоключи FingerQuick (рис. 9) японской корпорации NTT Electronics и ClearedKey (рис. 10) американской компании Priva Technologies.

Рисунок 9 USB-биоключ FingerQuick

Рисунок 10 USB-биоключ ClearedKey

В ближайшем будущем USB-биоключи могут получить широкое распространение благодаря своим достоинствам:

высокий уровень защищенности (наличие дактилоскопического сканера, хранение секретных данных, в частности шаблонов отпечатков пальцев, в защищенной энергонезависимой памяти идентификатора, шифрование обмена данными с компьютером);
аппаратная реализация криптографических преобразований;
отсутствие аппаратного считывателя;
уникальность признака, малые размеры и удобство хранения идентификаторов.

Главным недостатком USB-биоключей является их высокая цена. Например, приблизительная стоимость FingerQuick составляет $190.

Заключение

На первый взгляд комбинированные системы идентификации и аутентификации представляют собой какие-то дорогостоящие, экзотические продукты. Но мировой опыт разработок систем компьютерной безопасности показывает, что все используемые в настоящий момент средства защиты тоже когда-то были такими вот экзотическими изделиями. А сейчас они норма безопасной жизни. Отсюда с высокой вероятностью можно утверждать, что подобная судьба ожидает и комбинированные системы.