Biometria - Charakterystyka danych człowieka - część 1

piątek, 08 grudnia 2006 17:39 Niedziejko Paweł, Krysowaty Ireneusz

Rys historyczny

Już od dawien dawna, gdy pojawili się pierwsi ludzie, gdy organizowali się w plemiona, gdy powstawały cywilizacje, człowiek w otoczeniu ci±głego permanentnego zagrożenia potrzebował poczucia bezpieczeństwa, by móc się rozwijać i tworzyć nowy świat, lepszy dla niego samego. Wznosił monumentalne fortece, zamki, konstruował lepsze narzędzia obrony i ochrony siebie i bliskich, budował skrzynie i skrytki zamknięte na kłódki i zamki szyfrowe, posługiwał się steganografią i kryptografią, tworzył organizacje szpiegowskie i straże przyboczne, gromadził u swego boku zaufanych i gotowych na śmierć ludzi itd. Wszystko po to, by m.in. zapewnić sobie bezpieczeństwo.

Image
Od początków ludzkości znane i stosowane były metody rozpoznawania wykorzystujące charakterystykę ludzkich cech

Czym jest bezpieczeństwo? Jako stan psychiczny, świadomość eliminacji bądź też zminimalizowania potencjalnych zagrożeń i grożących człowiekowi niebezpieczeństw, jego mieniu oraz otaczającemu go środowisku jest jedną z podstawowych potrzeb człowieka, wyszczególnionych w tzw. piramidzie potrzeb Maslowa (wg A. Maslowa: A Theory of Human Motivation). Spełnienie fundamentalnej potrzeby bezpieczeństwa wraz z potrzebami fizjologicznymi pozwala na motywację do wyższych celów, wykraczającą poza zwierzęcą egzystencję.

Żaden system bezpieczeństwa zbudowany dotychczas nie zapewnił stuprocentowego poziomu bezpieczeństwa. Nowoczesne technologie (tzw. epokowe osiągnięcia) i te proste, wielce użyteczne wynalazki (np. zamki) ubogacały nam życie, czyniąc bliższym poczucie pełnego bezpieczeństwa. Jednakże świat zawsze był świadkiem wyścigu pomiędzy twórcami nowoczesnych urządzeń wykorzystanych dla bezpieczeństwa i innych przeciw bezpieczeństwu. Nauka jest bowiem bardzo wszechstronnym wytrychem, który potrafi otworzyć zarówno bramy wszechświata, jak i wrota piekieł [A. Majewski].

Jak dotychczas, niezależnie od implementowanych technologii, najsłabszym ogniwem każdego systemu bezpieczeństwa jest czynnik ludzki. Sfera zaufania pomiędzy ludźmi, wzmocniona instytucją kontroli i analityczną rekrutacją, nie wystarcza, by zapobiegać powstawaniu luk bezpieczeństwa spowodowanych właśnie czynnikiem ludzkim.

Jak zatem rozpoznać, czy ktoś, z kim już rozmawialiśmy, komu powierzyliśmy tajemnice, jest tym samym człowiekiem, którego widzimy ponownie? Jeśli my, ludzie, możemy mieć kłopoty z identyfikacją kogoś, to czy system wykorzystujący elektroniczne sensory może poradzić sobie lepiej i w jakim stopniu? Czy w nowo tworzonym społeczeństwie informacyjnym, w którym elektryczność zredukowała kulę ziemską do rozmiarów wioski i pozwoliła w pełni na rozwój kontaktów interpersonalnych na odległość (poza zasięgiem ludzkiego wzroku), jesteśmy w stanie rozpoznać, zidentyfikować osobę na odległość, a jeśli tak, to z jakim procentem wiarygodności?

Jednym z najstarszych i najbardziej podstawowych sposobów rozpoznawania przez ludzi było rozpoznawanie na podstawie twarzy i dodatkowo charakterystyki głosu (dziś tzw. mocne uwierzytelnianie oparte na dwóch niezależnych cechach). Od początków cywilizacji ludzkość dzięki twarzy rozpoznawała znanych i nieznanych osobników. To proste zadanie stawało się coraz bardziej znaczącym wyzwaniem wraz ze wzrostem populacji i rosnącym zjawiskiem przemieszczania się, wprowadzając tym samym wielu nowych osobników do wnętrza jednej małej społeczności. Koncepcja rozpoznawania człowieka przez człowieka była również widziana w takich behawioralnych-dominujących pomiarach biometrycznych jak mowa czy rozpoznawanie chodu. Każdego dnia każdy z nas nieświadomie wykorzystuje te cechy jako podstawę do rozpoznawania innych osobników.

 

Pomiary biometryczne są matematyczno-statystycznymi metodami badania prawidłowości kierujących zmiennością populacji organizmów żywych. Wyniki pomiarów biometrycznych wykorzystywane są, między innymi w antropologii, fizjologii, genetyce, hodowli, medycynie. Ale biometria to również technika dokonywania pomiarów istot żywych. W najnowszych zastosowaniach ukierunkowana jest na metody automatycznego rozpoznawania ludzi na podstawie ich cech fizycznych i behawioralnych czyli innymi słowy, potwierdzenie bądź odrzucenie ich tożsamości dla celów bezpieczeństwa. Termin 'biometria' wywodzi się z greckich słów bio (życie, żywy, procesy życiowe) i metrics (mierzyć). Zautomatyzowane systemy biometryczne mają swoje początki zaledwie w kilku ostatnich dekadach i są spowodowane znaczącym postępem technologii komputerowych. Wiele z tych nowych zautomatyzowanych technik wykorzystuje idee sprzed setek, a nawet tysięcy lat.

Od początków ludzkości (rys. 1.) znano i stosowano metody rozpoznawania na podstawie charakterystyki ludzkich cech.

Oto kilka przykładów innych cech, które w całej historii cywilizacji były również używane do rozpoznawania:

Image
Rys. 2. Człowiek witruwiański. Ilustracja upowszechniona przez Leonarda da Vinci

  • Wzmianka biblijna: Księga Sędziów 12:5-6: Wtedy powiedział do niego człowiek z Gilead, "Powiedz teraz 'Shibboleth'. I powiedział 'Shibboleth'. Nie mógł poprawnie wymówić tego słowa. Więc zabrał go i zabił go podczas przejścia przez Jordan. I wtedy powalił 42 tysiące Efraimitów. Wykorzystanie fenotypu w biometryce, w szczególności głosu, było używane do identyfikacji Efraimitów, wrogów Gileaditów. Efraimici wymawiali sh jako s.
  • Nierzadko w jaskiniach znajduje się malunki, których wiek jest szacowany na nie mniej niż 31000 lat. Zostały stworzone przez żyjącego wówczas prehistorycznego człowieka. Dookoła tych rysunków znajdują się liczne odciski dłoni uważane obecnie za akt składania niepodrabialnych podpisów przez ich twórców.
  • Istnieją także dowody na to, że odcisków palca używano jako osobistego identyfikatora już około 500 roku p.n.e. Babilońscy biznesmeni swoje transakcje protokołowali na glinianych tabliczkach zawierających odciski palca.
  • Joao de Bartos, hiszpański podróżnik, odkrywca i pisarz, pisał, że w XIV wieku chińscy kupcy używali odcisków palca dla potwierdzania transakcji biznesowych. Również w Chinach rodzice pobierali (na papierze z atramentem) odciski palców i stóp małych dzieci w celu odróżnienia swoich pociech od innych.
  • Leonardo da Vinci w XV wieku analizował proporcje ludzkiego ciała, opisywał reguły ruchu.
  • Marcus Vitruvius Polio, rzymski architekt i inżynier wojenny żyjący w I w. p.n.e., stworzył tzw. człowieka witruwiańskiego - wizerunek nagiego mężczyzny wpisany w okrąg i kwadrat, symbolizujące ruch (wizerunek ten upowszechnił później Leonardo da Vinci). Rysunek stanowi ilustrację do fragmentu traktatu Witruwiusza O architekturze ksiąg dziesięcioro, poświęconego proporcjom ludzkiego ciała (rys. 2.).
  • We wczesnej historii Egiptu kupcy byli identyfikowani przez ich fizyczny opis dla odróżniania pomiędzy zaufanymi handlarzami ze znaną reputacją i z ich poprzednimi transakcjami zakończonymi sukcesem a nowymi kupcami na rynku.
  • Starożytny Egipt, kilka tysięcy lat temu (Biometrics: Advanced Identity Verification the complete guide, Julian Ashbourn). Khasekem, asystent szefa administracji, używał opisu fenotypu (zespołu dostrzegalnych cech organizmu - wyglądu i właściwości) do identyfikacji przy zaprowiantowaniu. Miał on notatki gdzie trzymał opisy detali, szczegółów cech fizycznych każdego pracownika (około 100000) (np. wiek, wzrost, waga, kalectwa/zniekształcenia, blizny, rany, tatuaże itp.) i cechy behawioralne (np. generalne predyspozycje/usposobienia, seplenienie/jąkanie itp.)
    Cechy antropometryczne wg Bertillona
    Cechy antropometryczne wg Bertillona
  • Belgijski matematyk i astronom Adolphe Quetelet w swoim traktacie z 1871 roku, L'anthropometrie ou mesuare des diffenretes facultes de l'homme, przedstawił nowoczesne użycie biometryki - twierdził, że różnice pomiędzy ludźmi mogą być mierzalne (wprowadził metody matematyczne do antropologii i socjologii, prowadził badania statystyczne przestępczości).
  • Argentyński oficer policji Juan Vucetich w 1888 roku jako pierwszy użył daktyloskopii (pobierania i porównywania odcisków palca jako cechy unikatowej dla każdego człowieka).
  • Pod koniec XIX wieku stworzono w Indiach pierwszy kompleksowy system biometryczny (bazę danych odcisków palców). Dokonał tego główny inspektor policji Edward Henry, Bengal, Indie
  • W 1870 roku Alphonse Bertillon z Francji zaproponował własne rozwiązanie biometryczne bazujące na pomiarze niektórych cech anatomicznych człowieka, które zapisywane były na specjalnej karcie wraz z dołączonym zdjęciem. Cechy te nazywane były przez samego Bertillona cechami antropometrycznymi (rys. 3.).

Stosowanie rzeczywistych systemów biometrycznych rozpoczęło się w zasadzie w drugiej połowie XX wieku i związane było z koniecznością zapewnienia odpowiedniego poziomu bezpieczeństwa w wojskowych systemach informatycznych. Prawdziwy rozkwit systemy biometryczne osiągnęły w latach 90. ubiegłego wieku. Jednakże dopiero XXI wiek ze swym stanem nauki przyniósł możliwość budowy systemów biometrycznych i masowe ich wdrażanie w systemach bezpieczeństwa wraz z próbą minimalizacji kosztów aplikacji technologii biometrycznych.

 

Biometria a uwierzytelnianie
Biometria wydaje się jedną z najbardziej bezpiecznych form tzw. uwierzytelniania (ang. Authentication). Dla przypomnienia, uwierzytelnienie jest to proces weryfikacji tożsamości użytkownika, sprawdzenie, kontrola zgodności z prawdą, określenie autentyczności, stwierdzenie, poświadczenie prawdziwości również z uwzględnieniem określonego prawdopodobieństwa. Ze względu na swoją angielska nazwę w literaturze spotyka się często pojęcie autentykacji będącym niczym innym jak właśnie uwierzytelnieniem.

Uwierzytelnianie użytkownika jest głównym i najważniejszym elementem każdego systemu kontroli dostępu.

System kontroli dostępu, jak sama nazwa wskazuje, jest systemem sterowania i zarządzania dostępem (m.in. przydzielania użytkownikom uprawnień, kontrolowania dostępu wybranych użytkowników do wybranych obiektów lub zasobów). W istocie system kontroli dostępu obejmuje wiele technicznych rozwiązań, których zadaniem jest umożliwienie swobodnego poruszania się w obiekcie (lub też w zasobach) osób uprawnionych oraz ochrona przed wstępem do obiektu (zasobów) osób nieuprawnionych. W zależności od wymagań w zakresie bezpieczeństwa, rozwiązanie to może mieć charakter zarówno prostego narzędzia kontroli ruchu osób, jak również w pełni profesjonalnego systemu zarządzania całym obiektem i funkcjonującym w nim systemem bezpieczeństwa.

By móc zrealizować funkcje systemu kontroli dostępu użytkowników, niezbędne jest przeprowadzenie dwóch podstawowych procesów:

  1. Rejestracji użytkowników (ang. Enrollment or Registration), czyli zebrania danych o użytkowniku i zapisania ich w bazie danych systemu oraz przydzielenia użytkownikowi unikatowego identyfikatora.
  2. Uwierzytelniania użytkowników (ang. Authentication), czyli potwierdzenia autentyczności przez przeprowadzenie identyfikacji oraz/lub weryfikacji (rys. 4).

Image
Rys. 4. Schematy procesów weryfikacji i identyfikacji
 

Często pojęcia uwierzytelniania, identyfikacji i weryfikacji używane są zamiennie bądź też utożsamiane są ze sobą bez postrzegania różnic. Jest to błędne rozumowanie. W istocie weryfikacja i identyfikacja są różnymi procesami (mającymi praktyczne zastosowanie w różnych systemach bezpieczeństwa i charakteryzującymi się różnymi czasami reakcji) i stanowią podzbiór procesu uwierzytelniania. Identyfikacja użytkownika (ang. Identification) jest procesem polegającym na przedstawieniu przez użytkownika przyznanego mu w procesie rejestracji identyfikatora i odpowiedzi na pytanie "Kim jest osoba identyfikowana?", czyli porównanie przyznanego w procesie rejestracji identyfikatora ze wszystkimi rekordami w bazie danych (tzw. porównanie 1:N - jeden do wielu). Natomiast weryfikacja użytkownika (ang. Verification) polega na przedstawieniu się użytkownika i uzyskaniu odpowiedzi na pytanie "Czy osoba, za którą on się podaje, jest tą osobą?", czyli porównanie przedstawionego identyfikatora z wzorcem wcześniej przydzielonym i zapisanym w bazie danych (tzw. porównanie 1:1 - jeden do jeden). Procesy weryfikacji i identyfikacji ilustruje rys. 4.

 Generalnie można wyróżnić trzy poziomy bezpieczeństwa w systemach kontroli dostępu wykorzystujące proces uwierzytelniania (rys. 5.):

Image
Rys. 5. Poziomy bezpieczeństwa w systemach kontroli dostępu wykorzystujące proces uwierzytelniania
 

  • najniższy poziom bezpieczeństwa definiowany jako "Coś, co posiadasz" (ang. Something you own/have) - użytkownik posiada rodzaj karty mikroprocesorowej, generatory haseł jednorazowych - tokeny;

  • pośredni poziom bezpieczeństwa to "Coś, co wiesz" (ang. Something you know) - użytkownik zna słowo, może to być numer NIP/PIN, PESEL, hasło, ciąg znaków alfanumerycznych;
    najwyższy poziom bezpieczeństwa to "Kim jesteś i co robisz" (ang. Something what you are and something that you do) - odnosi się do niepowtarzalnych cech anatomicznych i charakterystycznych cech behawioralnych (zachowawczych), indywidualnych dla każdej osoby.

Biometryczny system kontroli dostępu
System kontroli dostępu, w którym wykorzystuje się zasadę "Kim jesteś i co robisz", nazywamy biometrycznym systemem kontroli dostępu. System ten w ogólności złożony jest z czytnika biometrycznego lub urządzenia skanującego, oprogramowania które konwertuje pobraną z czytnika informację do postaci cyfrowej oraz bazy danych, która przechowuje dane biometryczne - wzorce niezbędne do porównania z danymi pochodzącymi z czytnika. W czasie konwersji informacji pobranej w czytniku oprogramowanie identyfikuje określone punkty charakterystyczne, które następnie są przetwarzane przy użyciu wybranego (optymalnego) algorytmu matematycznego do postaci, która może być w skuteczny sposób porównana z rekordem w bazie danych. Zasadę działania ilustruje rys. 6.

 

Pierwszym procesem przy użytkowaniu biometrycznego systemu kontroli dostępu jest tzw. rejestracja poszczególnych użytkowników w systemie. Polega ona na pobraniu od nich odpowiednich dla sytemu unikatowych cech biometrycznych w postaci próbek. Dedykowane algorytmy matematyczne przetwarzają pobrane dane w cyfrowy wzorzec biometryczny. Zastosowane algorytmy różnią się zarówno w obszarze różnych techniki i metod biometrycznych. Mogą różnić się też w zakresie jednej techniki, ale w odniesieniu do urządzeń różnych producentów. Powoduje to brak kompatybilności pomiędzy różnymi systemami urządzeniami i konieczność standaryzacji. Pozyskane biometryczne wzorce cyfrowe przechowywane są w zależności od zastosowanego systemu w bazie danych urządzenia biometrycznego, zewnętrznego serwera lub na samodzielnym nośniku informacji (na dyskietce, w pamięci flash, na karcie magnetycznej). W przypadku samodzielnego nośnika potwierdzenie tożsamości odbywa się poprzez bezpośrednie porównanie cech biometrycznych danego użytkownika ("Kim jesteś i co robisz") z danymi zawartymi na nośniku ("Coś, co posiadasz"). Działanie algorytmów wykorzystywanych w systemach biometrycznych polega na analizie związków i relacji pomiędzy określonymi punktami charakterystycznymi w przetwarzanej próbce. W zależności od wykorzystywanej techniki pod uwagę branych jest od kilkudziesięciu do kilkudziesięciu tysięcy punktów charakterystycznych. Dzięki wykorzystaniu algorytmów sprawdzających relacje pomiędzy poszczególnymi punktami istnieje możliwość optymalnego i skutecznego rozpoznania osoby, pomimo różnic wzorców biometrycznych wynikających bezpośrednio ze sposobu pobrania próbki. W zależności od rodzaju mierzonych cech biometrycznych można wyróżnić dwie podstawowe grupy technik biometrycznych: systemy bazujące na pomiarach anatomicznych (cechy fizyczne - genotyp) i behawioralnych (cechy związane z zachowaniem - fenotyp). Jednakże istnieje taka teoretyczna możliwość. Problem tkwi w ekstrakcji parametrów (cech) identyfikacyjnych z zazwyczaj bardzo silnie zakłóconego zestawu danych biometrycznych.

Image
Rys. 6. Zasada działania systemów biometrycznych

Cecha użyta do pomiaru powinna przede wszystkim być:

  • powszechna, czyli występować u wszystkich (lub prawie wszystkich) osób,
  • indywidualna, czyli unikatowa dla każdego człowieka,
  • niezmienna, czyli nie powinna zależeć od stanu człowieka (wiek, przebyte choroby itp.),
  • mierzalna, czyli możliwa do zmierzenia przy użyciu dostępnych technologii i metod pomiaru,
  • akceptowalna, czyli niewzbudzająca zastrzeżeń, kontrowersji i irytacji,
  • niepodrabialna czyli niedająca się sfałszować, lub jej sfałszowanie jest niewspółmierne do poniesionych środków.

Systemy wykorzystujące cechy fizyczne (genotypowe) charakteryzują się z reguły krótszym czasem reakcji i dlatego wykorzystuje się je najczęściej w sytuacjach, gdy zależy nam na szybkim i wygodnym uwierzytelnieniu wielu użytkowników. Systemy wykorzystujące cechy behawioralne (fenotypowe) charakteryzują się z kolei dłuższym czasem koniecznym do wprowadzenia do systemu przez użytkownika wymaganych danych. Wykorzystywane są one najczęściej w przypadkach, gdy zależy nam na mocnym uwierzytelnianiu. Oto kilka przykładów technik biometrycznych wykorzystujących analizę cech anatomicznych:

  • barwy głosu,
  • zapachu,
  • linii papilarnych, geometrii dłoni,
  • geometrii i rysów twarzy, rozkładu temperatury twarzy,
  • geometrii ucha,
  • geometrii ust,
  • cech charakterystycznych tęczówki i siatkówki oka,
  • układu żył nadgarstka,
  • identyfikacja DNA,
  • analiza faktury powierzchni twarzy - skóry.

Przykłady technik biometrycznych na podstawie analizy cech behawioralnych:

  • charakterystyki głosu, mowy,
  • charakterystyki ruchu ust,
  • charakterystyki ruchu gałki ocznej,
  • pisma,
  • pisania na klawiaturze,
  • chodu.

Po co to wszystko? W dobie dzisiejszych zagrożeń, w szczególności terrorystycznych i wojny informacyjnej, systemy biometryczne wychodzą na przeciw powszechnym oczekiwaniom zapewnienia większego społecznego poczucia bezpieczeństwa. Jednakże aspekty moralne i obawy związane z wprowadzaniem coraz powszechniej nowoczesnych technologii ingerujących w nasze intymne ja stanowią barierę moralno-społeczną trudną do przekroczenia w sprawnym funkcjonowaniu systemów bezpieczeństwa. Dlatego też chcielibyśmy przybliżyć czytelnikowi problematykę zastosowań biometrii, począwszy od rysu historycznego po wyjaśnienie działania poszczególnych technologii wraz z omówieniem zalet i kroków, których podjęcie pozwoliłyby wyeliminować możliwe do wystąpienia niebezpieczeństwa związane właśnie z wprowadzaniem systemów biometrycznych w naszym codziennym życiu.

Poszczególne zastosowania technik biometrycznych będziemy prezentować w kolejnych artykułach.

Zabezpieczenia nr 4/2006 

Joomla SEF URLs by Artio