Биометрическая аутентификация пользователя

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т. и.). Привычные системы аутентификации не всегда удовлетворяют современным требованиям в области информационной безопасности, особенно если речь идет об ответственных приложениях (онлайновые финансовые приложения, доступ к удаленным базам данных и т. п.).

В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения. Использование решений, основанных на биометрической технологии, позволяет в ряде случаев улучшить положение дел в области аутентификации.

Для методов аутентификации, основанных на использовании многоразовых паролей, характерен следующий недостаток: многоразовый пароль может быть скомпрометирован множеством способов. Недостатком методов, связанных с использованием токенов, является возможность потери, кражи, дублирования токенов - носителей критической информации. Биометрические методы, использующие для идентификации уникальные характеристики пользователя, свободны от перечисленных недостатков.

Отметим основные достоинства биометрических методов аутентификации пользователя, но сравнению с традиционными [4]:

О высокая степень достоверности аутентификации по биометрическим признакам из-за их уникальности;

О неотделимость биометрических признаков от дееспособной личности;

О трудность фальсификации биометрических признаков.

В качестве биометрических признаков, которые активно используются при аутентификации потенциального пользователя, можно выделить следующие:

О отпечатки пальцев;

О геометрическая форма кисти руки;

О форма и размеры лица;

О особенности голоса;

О узор радужной оболочки и сетчатки глаз.

Рассмотрим типичную схему функционирования биометрической подсистемы аутентификации. При регистрации в системе пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как контрольный образец законного пользователя. Биометрический образец обрабатывается системой для получения информации в виде ЭИП (эталонного идентификатора пользователя, или эталона для проверки). ЭИП представляет собой числовую последовательность, при этом сам образец невозможно восстановить из эталона.

Эталонный идентификатор пользователя хранится системой в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя. Снятая в процессе идентификации характеристика пользователя сравнивается с ЭИП. Поскольку эти два значения (полученное при попытке доступа и ЭИП) полностью никогда не совпадают, то для принятия положительного решения о доступе степень совпадения должна превышать определенную настраиваемую пороговую величину. В зависимости от степени совпадения или несовпадения совокупности предъявленных признаков с ЭИП лицо, их предъявившее, признается законным пользователем (при совпадении) или нет (при несовпадении).

С точки зрения потребителя, эффективность биометрической аутентификационной системы характеризуется двумя параметрами:

О коэффициентом ошибочных отказов FRR (False-Reject Rate);

О коэффициентом ошибочных подтверждений FAR (False- Alarm Rate).

Ошибочный отказ возникает тогда, когда система не подтверждает личность законного пользователя (типичные значения FRR составляют порядка одной ошибки на 100). Ошибочное подтверждение происходит в случае подтверждения личности незаконного пользователя (типичные значения FAR составляют порядка одной ошибки на 10 000). Коэффициент ошибочных отказов и коэффициент ошибочных подтверждений связаны друг с другом; каждому коэффициенту ошибочных отказов соответствует определенный коэффициент ошибочных подтверждений.

В совершенной биометрической системе оба параметра ошибки должны быть равны нулю. К сожалению, биометрические системы не идеальны, поэтому приходится чем-то пожертвовать. Обычно системные параметры настраивают так, чтобы добиться требуемого коэффициента ошибочных подтверждений, что определяет соответствующий коэффициент ошибочных отказов.

К настоящему времени разработаны и продолжают совершенствоваться технологии аутентификации по отпечаткам пальцев, радужной оболочке глаза, по форме кисти руки и ладони, по форме и размеру лица, по голосу и «клавиатурному почерку».

Наибольшее число биометрических систем в качестве параметра идентификации использует отпечатки пальцев (дактилоскопические системы). Отпечаток пальца считается одним из наиболее устойчивых идентификационных признаков (не изменяется со временем, при повреждении кожного покрова идентичный папиллярный узор полностью восстанавливается, при сканировании не вызывает дискомфорта у пользователя).

Дактилоскопические системы аутентификации. Одной из основных причин широкого распространения таких систем является наличие больших банков данных по отпечаткам пальцев. Основными пользователями подобных систем во всем мире являются полиция, различные государственные и некоторые банковские организации.

В общем случае биометрическая технология распознавания отпечатков пальцев заменяет защиту доступа с использованием пароля. Большинство систем используют отпечаток одного пальца, который пользователь предоставляет системе.

Основными элементами дактилоскопической системы аутентификации являются:

О сканер;

О ПО идентификации, формирующее идентификатор пользователя;

О ПО аутентификации, производящее сравнение отсканированного отпечатка пальца с имеющимися в базе данных «паспортами» пользователей.

Дактилоскопическая система аутентификации работает следующим образом. Сначала производится регистрация пользователя. Как правило, осуществляются несколько вариантов сканирования в разных положениях пальца на сканере. Понятно, что образцы будут немного отличаться и требуется сформировать некоторый обобщенный образец, «паспорт». Результаты запоминаются в базе данных аутентификации. При аутентификации производится сравнение отсканированного отпечатка пальца с «паспортами», хранящимися в базе данных.

Формирование «паспорта», так же как и распознавание предъявляемого образца, - это задачи распознавания образов. Для этого используются различные алгоритмы, являющиеся ноу-хау фирм - производителей подобных устройств.

Сканеры отпечатков пальцев. Многие производители все чаще переходят от дактилоскопического оборудования на базе оптики к продуктам, основанным на интегральных схемах.

Продукты на базе интегральных схем имеют значительно меньшие размеры, чем оптические считыватели, и поэтому их проще реализовать в широком спектре периферийных устройств.

Ряд производителей комбинируют биометрические системы со смарт-картами и картами-ключами. Например, в биометрической идентификационной смарт-карте Authentic реализован следующий подход. Образец отпечатка пальца пользователя запоминается в памяти карты в процессе внесения в списки идентификаторов пользователей, устанавливая соответствие между образцом и личным ключом шифрования. Затем, когда пользователь вводит смарт-карту в считыватель и прикладывает палец к сканеру, ключ удостоверяет его личность. Комбинация биометрических устройств и смарт-карт является удачным решением, повышающим надежность процессов аутентификации и авторизации.

Небольшой размер и невысокая цена датчиков отпечатков пальцев на базе интегральных схем превращают их в идеальный для человека интерфейс для систем защиты. Их можно встраивать в брелок для ключей - и пользователи получают универсальный ключ, который обеспечивает защищенный доступ ко всему, начиная от компьютеров до входных дверей, дверей автомобилей и банкоматов.

Системы аутентификации по форме ладони используют сканеры формы ладони, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы этого типа.

Устройства считывания формы ладони создают объемное изображение ладони, измеряя длину пальцев, толщину и площадь поверхности ладони. Например, продукты компании Recognition Systems выполняют более 90 измерений, которые преобразуются в девятиразрядный образец для дальнейших сравнений. Этот образец может быть сохранен локально, на индивидуальном сканере ладони либо в централизованной базе данных.

По уровню доходов устройства сканирования формы ладони занимают второе место среди биометрических устройств, однако редко применяются в сетевой среде из-за высокой стоимости и размера. Однако сканеры формы ладони хорошо подходят для вычислительных сред со строгим режимом безопасности и напряженным трафиком, включая серверные комнаты. Они достаточно точны и обладают довольно низким коэффициентом ошибочного отказа FRR, то есть процентом отклоненных законных пользователей.

Системы аутентификации по лицу и голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса применяются при удаленной идентификации субъекта доступа в телекоммуникационных сетях.

Технология сканирования черт лица подходит для тех приложений, где прочие биометрические технологии непригодны. В этом случае для идентификации и верификации личности используются особенности глаз, носа и губ. Производители устройств распознавания черт лица используют собственные математические алгоритмы для идентификации пользователей

Исследования, проводимые компанией International Biometric Group, говорят о том, что сотрудники многих организаций не доверяют устройствам распознавания по чертам лица отчасти из-за того, что камера их фотографирует, а затем выводит снимки на экран монитора; при этом многие опасаются, что используемая камера низкого качества. Кроме того, по данным этой компании, сканирование черт лица - единственный метод биометрической аутентификации, который не требует согласия на выполнение проверки (и может осуществляться скрытой камерой), а потому имеет негативный для пользователей подтекст.

Следует отметить, что технологии распознавания черт лица требуют дальнейшего совершенствования. Большая часть алгоритмов распознавания черт лица чувствительна к колебаниям в освещении, вызванным изменением интенсивности солнечного света в течение дня. Изменение положения лица также может повлиять на узнаваемость. Различие в положении в 15% между запрашиваемым изображением и образцом, который находится в базе данных, напрямую сказывается на эффективности. При различии в 45° распознавание становится неэффективным.

Системы аутентификации по голосу экономически выгодны по тем же причинам, что и системы распознавания по чертам лица. В частности, их можно устанавливать с оборудованием (например, микрофонами), поставляемым в стандартной комплектации со многими ПК.

Системы аутентификации по голосу при записи образца и в процессе последующей идентификации опираются на такие уникальные для каждого человека особенности голоса, как высота, модуляция и частота звука. Эти показатели определяются физическими характеристиками голосового тракта и уникальны для каждого человека. Распознавание голоса уже применяется вместо набора номера в определенных системах Sprint. Такой вид распознавания голоса отличается от распознавания речи. В то время как технология распознавания речи интерпретирует то, что говорит абонент, технология распознавания голоса абонента подтверждает личность говорящего.

Поскольку голос можно просто записать на пленку или другие носители, некоторые производители встраивают в свои продукты операцию запроса отклика. Эта функция предлагает пользователю при входе ответить на предварительно подготовленный и регулярно меняющийся запрос, например такой: «Повторите числа 0, 1, 3».

Оборудование аутентификации по голосу более пригодно для интеграции в приложения телефонии, чем для входа в сеть. Обычно оно позволяет абонентам получить доступ в финансовые или прочие системы посредством телефонной связи.

Технологии распознавания говорящего имеют некоторые ограничения. Различные люди могут говорить похожими голосами, а голос любого человека может меняться со временем в зависимости от самочувствия, эмоционального состояния и возраста. Более того, разница в модификации телефонных аппаратов и качество телефонных соединений могут серьезно усложнить распознавание.

Поскольку голос сам по себе не обеспечивает достаточной точности, распознавание по голосу следует сочетать с другими биометриками, такими как распознавание черт лица или отпечатков пальцев.

Системы аутентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

О использующие рисунок радужной оболочки глаза;

О использующие рисунок кровеносных сосудов сетчатки глаза.

Сетчатка человеческого глаза представляет собой уникальный объект для аутентификации. Рисунок кровеносных сосудов глазного дна отличается даже у близнецов. Поскольку вероятность повторения параметров радужной оболочки и сетчатки глаза имеет порядок 10~⁷⁸, такие системы являются наиболее надежными среди всех биометрических систем. Подобные средства идентификации применяются там, где требуется высокий уровень безопасности (например, в режимных зонах военных и оборонных объектов).

Биометрический подход позволяет упростить процесс выяснения, «кто есть кто». При использовании дактилоскопических сканеров и устройств распознавания голоса для входа в сети сотрудники избавляются от необходимости запоминать сложные пароли. Ряд компаний интегрирует биометрические возможности в системы однократной аутентификации SSO (Single Sign-On) масштаба предприятия. Подобная консолидация позволяет сетевым администраторам заменить службы однократной аутентификации паролей биометрическими технологиями.

Одной из первых областей широкого применения биометрической аутентификации личности станут мобильные системы. Проблема не сводится только к потерям компьютеров из-за краж; нарушение зашиты информации может привести к значительно большим потерям. Кроме того, ноутбуки часто предоставляют доступ к корпоративной сети через программные соединения (выполняемые с помощью паролей, хранящихся на мобильных компьютерах).

Твердотельные датчики отпечатков пальцев - небольшие, недорогие и низкоэнергоемкие - позволяют решить эти проблемы. С помощью соответствующего программного обеспечения эти устройства дают возможность выполнять аутентификацию для четырех уровней доступа к информации, хранящейся на мобильном компьютере: регистрация, выход из режима сохранения экрана, загрузка и дешифровка файлов.

Биометрическая аутентификация пользователя может играть серьезную роль в шифровании, в виде модулей блокировки доступа к секретному ключу, который позволяет воспользоваться этой информацией только истинному владельцу частного ключа. Владелец может затем применять свой секретный ключ для шифрования информации, передаваемой по частным сетям или по Интернету.

Ахиллесовой пятой многих систем шифрования является проблема безопасного хранения самого криптографического секретного ключа. Зачастую доступ к ключу длиной 128 или даже больше разрядов защищен лишь паролем из б символов, то есть 48 разрядов. Отпечатки пальцев обеспечивают намного более высокий уровень защиты, и, в отличие от пароля, их невозможно забыть.

Биометрическая аутентификация пользователя

Биометрическая аутентификация пользователя

Описание общей системы разграничения прав доступа на основе биометрической аутентификации по голосу

Оценка эффективности системы биометрической аутентификации

Идентификация и аутентификация пользователей

Идентификация и аутентификация пользователей

Упражнение 2.1. Сетевая аутентификация пользователей LDAP

ЛАБОРАТОРНАЯ РАБОТА №2 «ПОДСИСТЕМЫ ПАРОЛЬНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ. ГЕНЕРАТОРЫ ПАРОЛЕЙ. ОЦЕНКА СТЕПЕНИ СТОЙКОСТИ ПАРОЛЬНОЙ ЗАЩИТЫ»

Идентификация и аутентификация пользователей в информационных системах

Аутентификация, авторизация и администрирование действий пользователей