Смекни!
smekni.com

Выбор систем контроля и управления доступом (стр. 14 из 15)


Таблица 5. Преимущества и недостатки биометрических идентификаторов

Самыми надежными являются сканеры радужной оболочки или сетчатки глаза. Незначительно отстают от них сканеры отпечатков пальцев, лица или отпечатков ладони. Надежность этих устройств выше, чем у сканеров голоса или подписи, но ниже, чем у защиты с помощью паролей или аутентификационных жетонов.

На биометрические устройства аутентификации могут влиять условия окружающей среды. Оптические сканеры имеют небольшие размеры, и их лучше использовать в офисах. Однако они, вероятно, не подойдут для применения в помещениях, где много пыли, высокая влажность или присутствуют другие загрязнения. Грязные, жирные или неправильно позиционируемые по отношению к объективу пальцы, руки или лица могут привести к некорректному считыванию устройством информации. Очки, контактные линзы, специфическое освещение и неправильное расположение видеокамеры способны отрицательно повлиять на надежность работы сканеров радужной оболочки или сетчатки глаза. Фоновые шумы и изменение голоса человека из-за болезни или стресса приводят к ошибкам в системах распознавания голоса.

Проведя выбор типа био-признака, можно провести ранжирование биометрических СКУД различных производителей. Так, создатели всех биометрических устройств предъявляют специфические требования к программным и аппаратным средствам. Необходимо уточнить, есть ли у предприятия необходимые ресурсы для поддержки избранного устройства и сможет ли это устройство работать с имеющимся сетевым ПО, кроме того, выяснить, требуется и имеется ли в наличии внешний источник питания или порт USB.

Всевозможные страхи и культурные и религиозные предрассудки тоже могут работать против выбора биометрических СКУД. Необходимо знать мнение служащих о том, как они воспринимают идею использовать для аутентификации биометрические устройства, и провести испытания устройства, чтобы узнать, способны ли они (служащие) аккуратно использовать его.

Одновременно с введением биометрических СКУД злоумышленники уже нашли способы обманывать биометрические устройства Отпечатки пальцев можно снять с любой гладкой поверхности, даже прямо со сканера отпечатков пальцев, с помощью графитового порошка и куска клейкой ленты или желатина. Сканеры радужной оболочки несложно обмануть, используя фотографию глаза пользователя, сделанную с высоким разрешением. Чтобы обнаружить обман, новейшие устройства регистрируют «признаки жизни», в частности пульсацию кровеносных сосудов. Для биометрических устройств приемлемый порог неудач в распознавании устанавливается на основе процента ложных разрешений на допуск (False Acceptance Rate FAR) и процента ложных отказов в допуске (False Rejection Rate FRR). FAR соответствует вероятности того, что биометрическое устройство ошибочно признает пользователя, a FRR что оно ошибочно отвергнет его. Если администратор занижает порог отказа в допуске, то система будет более «снисходительно» оценивать совпадение хранимого в устройстве биометрического образца с данными пользователя, и, естественно, увеличится вероятность, что она по ошибке разрешит вход постороннему.

Устанавливая порог слишком высоко, мы увеличиваем вероятность того, что система будет отвергать вполне легитимных пользователей. Чтобы упростить эксплуатацию системы необходимо убедиться, что пороги устанавливаются и корректируются на месте.

В любой системе аутентификации пользователи сначала должны быть зарегистрированы, т. е. внесены в список допуска. Многие биометрические системы позволяют самостоятельно делать это пользователям. Последние проходят аутентификацию на локальной машине или сервере справочника и затем регистрируются с помощью биометрического устройства. К сожалению, если вы применяете биометрические устройства для повышения надежности аутентификации, но при первоначальной идентификации и аутентификации целиком полагаетесь на имена и пароли пользователей, то вы не получаете никаких преимуществ в плане защиты. Регистрация пользователей, выполняемая под контролем администратора, эту проблему решает, но она занимает больше времени. Решив проблемы регистрации, определите, где будете хранить биометрические данные аутентификации. Системы, сохраняющие биометрические данные на локальной машине, могут аутентифицировать пользователя только для работы с этой машиной. Для крупномасштабных инсталляций и для улучшения управляемости решений выбирайте системы с централизованным хранением. Если биометрическое ПО развернуто на всех входящих в систему компьютерах, то пользователи, зарегистрировавшись однажды, смогут иметь доступ ко всем ресурсам.

Для большей надежности следует ввести регистрацию каждого пользователя по нескольким биометрическим харакгеристикам. Некоторые устройства позволяют регистрировать, например, отпечатки всех пальцев на правой руке пользователя. Если что-нибудь случилось с одним пальцем порез или ожог, то пользователь вправе предложить для аутентификации другой палец, причем ему не придется заново проходить регистрацию.

В любом случае придется использовать аппаратные и программные средства от одного поставщика интер-операбельности в биометрической аутентификации до сих пор не существует, несмотря на старания консорциума BioAPI Consortium выработать стандартные интерфейсы для интеграции биометрических систем. Зато имеются приложения управления аутентификацией, подобные NMAS фирмы Novell и SafeWord PremierAccess фирмы Secure Computing, интегрирующие биометрические и небио-метрические методы аутентификации для доступа к справочникам.

Интеграция приложений все еще определяется взаимоотношениями поставщиков, поэтому очень важно убедиться, что выбранное устройство поддерживает ваши приложения или что поставщик не против того, чтобы заняться интеграцией специально для вас. Интеграция с настольными компьютерами или серверами обычно осуществляется с помощью модулей РАМ (PlugableAuthenticationModule) для ОС Unix, G1NA (GraphicalIdentificationandAuthentication) для ОС Windows или модулей NovelleDirectoryLCM (Login Client Module) Все время, пока имя и пароль пользователя хранятся в кэш-памяти компьютера, они могут использоваться для доступа к приложениям. Однако если приложение требует отдельной регистрации, то необходимой может оказаться разработка дополнительного ПО.

Для контроля доступа к критически важным данным не следует применять одни лишь биометрические устройства, пока вы тщательно не протестируете эту технологию. Если цель состоит в том, чтобы обеспечить строгую аутентификацию, то необходимо задействовать более проверенные методы аппаратные и программные жетоны и пароли.

На сегодняшний день разработан ряд коммерческих продуктов, предназначенных для распознавания лиц. Алгоритмы, используемые в этих продуктах, различны и пока еще сложно дать оценку, какая из технологий имеет преимущества. Лидерами в настоящий момент являются системы Visionic, Viisage и Miros. В основе приложения Facelt компании Visionic лежит алгоритм анализа локальных признаков, разработанный в Университете Рокфеллера. Одна коммерческая компания в Великобритании интегрировала Facelt в телевизионную анти-криминальную систему под названием Mandrake. Эта система ищет преступников по видеоданным, которые поступают с 144 камер, объединенных в замкнутую сеть. Когда устанавливается идентичность, система сообщает об этом офицеру безопасности. В России представителем компании Visionic является компания «ДанКом».

Другой лидер в этой области компания Viisage использует алгоритм, разработанный в Массачусетском технологическом институте. Коммерческие компании и государственные структуры во многих американских штатах и в ряде других стран используют систему компании Viisage вместе с идентификационными удостоверениями, например водительскими правами.

ZN Vision Technologies AG (Германия) предлагает на рынке ряд продуктов, в которых применяется технология распознавания лиц. Эти системы представляются на российском рынке компанией «Солинг».

В системе распознавания лиц TrueFace компании Miros используется технология нейронных сетей, а сама система применяется в комплексе выдачи наличных денег корпорации Mr.Payroll и установлена в казино и других увеселительных заведениях многих штатов США.

В США независимыми экспертами было проведено сравнительное тестирование различных технологий распознавания лиц. Результаты тестирования представлены на рис. 28.


Рис. 28. Сравнительный анализ эффективности распознавания лиц

в разных системах

На практике, при использовании систем распознавания лиц в составе стандартных электронных охранных систем предполагается, что человек, которого следует идентифицировать, смотрит прямо в камеру. Таким образом, система работает с относительно простым двумерным изображением, что заметно упрощает алгоритмы и снижает интенсивность вычислений. Но даже в этом случае задача распознавания все же не тривиальна, поскольку алгоритмы должны учитывать возможность изменения уровня освещения, изменение выражения лица, наличие или отсутствие макияжа или очков.

Надежность работы системы распознавания лиц очень сильно зависит от нескольких факторов:

качество изображения. Заметно снижается вероятность безошибочной работы системы, если человек, которого нужно идентифицировать, смотрит не прямо в камеру или снят при плохом освещении;

актуальность фотографии, занесенной в базу данных;

величина базы данных.

Технологии распознавания лица хорошо работают со стандартными видеокамерами, которые передают данные и управляются персональным компьютером, и требуют разрешения 320 х 240 пикселов на дюйм при скорости видео-потока, по крайней мере, 35 кадр/с. Для сравнения приемлемое качество для видеоконференции требует скорости видео-потока уже от 15 кадр/с.