Биометрические методы идентификации личности: обоснованный выбор и внедрение
Автор: А. Вакуленко, А. Юхин
Источник: PC Week/RE (491) 29`2005
Автор: А. Вакуленко, А. Юхин
Источник: PC Week/RE (491) 29`2005
В данной статье рассматриваются различные виды биометрической идентификации человека, и идет их сравниение
Сегодня слово "биометрия" ворвалось в наш обиходный язык, и его значение уже почти ни у кого не вызывает сомнений. Биометрическая идентификация, биометрический сканер, биометрические паспорта - все понимают, что здесь имеется в виду. Совсем недавно этот термин имел гораздо более широкое толкование и использовался в основном там, где речь шла о методах математической статистики, применимых к любым биологическим явлениям.
Теперь он приобрел новое, более узкое значение. Сейчас под биометрическими технологиями чаще всего понимают автоматические или автоматизированные методы распознавания личности человека по его биологическим характеристикам или проявлениям.
Любая биометрическая система состоит из биометрического сканера - физического устройства, позволяющего измерять ту или иную биометрическую характеристику, и алгоритма сравнения измеряемой характеристики с предварительно зарегистрированной (биометрическим шаблоном).
При этом возможны два режима работы системы - верификация ("сравнение одного с одним") и идентификация ("сравнение одного со многими").
В режиме верификации пользователь вводит свое имя, пароль или пин-код, предъявляет электронную карточку либо другим способом объявляет системе, "кто он такой". Ее задача в этом случае - проверить "правдивость" полученной информации, т. е. сверить соответствие измеряемой биометрической характеристики с записанным ранее шаблоном заявленного индивидуума.
В режиме идентификации пользователь просто "предъявляет биометрику", и задача алгоритма - принять решение, принадлежит ли пользователь к числу известных индивидуумов, и если принадлежит, то - кто он? В этом случае измеряемая биометрическая характеристика сравнивается с базой данных ранее записанных шаблонов всех "известных" системе людей.
Вот три основных биометрических метода, применяемых в настоящее время на практике:
- распознавание по отпечатку пальца;
- распознавание по изображению лица;
- распознавание по радужной оболочке глаза.
При этом методы распознавания по изображению лица могут работать с двумерным изображением лица (2D-фото) или с трехмерным (3D-фото).
Попробуем сравнить качественно и количественно основные биометрические методы.
Вначале приведем сравнительную таблицу (см. табл. 1), где качественные характеристики различных биометрических методов сведены вместе. В столбцах указаны те критерии, которым должен отвечать в той или иной степени любой биометрический метод, и качественная оценка каждого биометрического метода по этим критериям.
Рассмотрим подробнее каждый из приведенных критериев.
1. Измеримость. Биометрическая характеристика должна быть легко измерима. Измеримость можно количественно оценить величиной FER (Failure to Enroll) - процентным отношением индивидуумов, которые не смогли пройти регистрацию (система не смогла построить биометрический шаблон), и средним временем распознавания (Recognition Time). Под временем распознавания подразумевается либо время верификации, либо время идентификации - в зависимости от режима, в котором работает система. При решении задач контроля доступа и особенно в применении к сложным транспортным системам время распознавания напрямую определяет время прохода, т. е. скорость потока, проходящего через контролируемую точку. FER устанавливает процент людей, которые не смогут воспользоваться системой, а значит, будут блокировать проход. FER включает в себя случаи, когда у индивидуумов нужная биометрическая характеристика отсутствует, но главным образом случаи, когда характеристика есть, но по тем или иным причинам ее измерение у данного человека на данном сканере затруднено.
Так, например, для распознавания по радужной оболочке глаза требуется ее изображение высокого разрешения, что приводит к определенным затруднениям, связанным с необходимостью точного позиционирования глаза по отношению к устройству. В результате значение FER относительно высоко (3-4%). Те же причины приводят к повышению времени распознавания, а также вероятности ложного нераспознавания FRR (см. ниже).
Распознавание многих групп людей по отпечатку пальца затруднено, особенно это касается работников физического труда, людей со слабо выраженными и стертыми папиллярными узорами, с дерматологическими дефектами, а также пожилых людей с сухой кожей. Кроме того, сканеры из-за постоянного контакта с пальцами часто загрязняются. Методы распознавания по изображению лица (как двумерному, так и трехмерному) - бесконтактные и поэтому обладают высокой измеримостью биометрической характеристики.
2. Устойчивость к окружающей среде. Биометрический метод должен быть устойчив к изменению окружающей среды. Эксплуатационные качества разных методов в значительной степени зависят от окружающих условий и могут терять стабильность при изменении этих условий. Так, сканеры отпечатков пальцев, как правило, быстро загрязняются и качество работы падает, а для двумерных методов распознавания лица очень большое значение имеет распределение внешней освещенности.
3. Устойчивость к подделке. Биометрическая система должна быть устойчивой к подделке (несанкционированному доступу). Система распознавания по двумерному (2D) изображению лица может быть легко обманута предъявлением фотографии "правильного" человека из числа "знакомых" системе.
Изображение чужой радужной оболочки глаза "украсть", конечно, сложнее, чем фотографию лица, но если эта задача выполнена, то соответствующие системы также могут быть обмануты фотографическим изображением "нужного" глаза, распечатанным с высоким разрешением или нанесенным на контактную линзу.
Для получения несанкционированного доступа по отпечатку пальца часто бывает достаточно просто подышать на оставленный на сканере отпечаток пальца предыдущего пользователя, и тогда устройство сработает. Системы распознавания разного типа - оптические, оптико-электронные, зарядовые (capacitive DC) и емкостные (capacitive AC) - могут быть обмануты при помощи "фальшивого" отпечатка, изготовленного из материала для зубных слепков, глины, пластилина, обычной жевательной резинки, кондитерского желатина и других влагосодержащих материалов. Современные цифровые технологии позволяют снять отпечатки пальцев "нужного" индивидуума, оставленные на любой поверхности, оцифровать и обработать полученное изображение на компьютере и затем изготовить "фальшивый" палец либо накладку на него для несанкционированного доступа или же для фабрикации фальшивых улик на месте преступления.
Наиболее устойчивой к подделке на данный момент представляется технология распознавания по трехмерному изображению лица. Для того чтобы обмануть такую систему, потребовалось бы изготовить точную твердотельную маску лица, повторяющую во всех деталях его геометрию. При этом если система трехмерного распознавания работает в реальном времени, то она может легко включать в себя проверку на естественные микродвижения лица, что имитировать при помощи твердотельной маски крайне затруднительно.
4. Точность распознавания. Любую биометрическую систему можно настроить на разную степень "бдительности", т. е. на разное значение вероятности ложного распознавания FAR (False Acceptance Rate), другими словами - вероятности того, что система "спутает" двух индивидуумов, признав "чужого" за "своего". Но уменьшение FAR всегда приводит к уменьшению чувствительности метода или - что эквивалентно - к увеличению вероятности ложного нераспознавания FRR (False Rejection Rate), т. е. вероятности того, что система не распознает "знакомого" ей субъекта.
Таким образом, чем "бдительнее" настроена система на непропускание "чужих", тем она менее чувствительна, а значит, хуже пропускает "своих".
В зависимости от конкретной задачи система настраивается на определенный компромисс между допустимыми значениями FAR и FRR, или, как их принято называть в теории статистических решений, - ошибками 1-го и 2-го рода. Для оценки точности работы любой биометрической системы принято использовать характеристическую кривую, или ROC-кривую (Receiver Operating Characteristic). Она устанавливает зависимость между ошибками 1-го и 2-го рода: FRR=FRR (FAR). Примеры ROC-кривых в условном виде приведены на рисунке. Метод с характеристической кривой 1, очевидно, более эффективен, чем метод с характеристической кривой 2.
При анализе и сравнении ROC-кривых очень важно понимать методику тестирования, в результате которого они получены. В частности - при каких условиях, в каких обстоятельствах проводилось тестирование, каков был сценарий использования системы, какова исходная совокупность тестируемых людей как по количеству, так и по составу, и т. д. В зависимости от методики различают технологическое, сценарное и операционное тестирование. Результаты, полученные при различных методиках тестирования, могут сильно различаться для одной и той же системы. Обычно для любого конкретного приложения можно зафиксировать допустимое значение FAR, и тогда значение FRR является интегральным критерием точности для данной системы.
Приблизительные значения точности верификации в режиме операционного тестирования для основных биометрических методов показаны в таблице 2. Все значения взяты из последних публичных отчетов о результатах тестирования.
Стоит заметить, что конкретные показатели сильно варьируются в зависимости от производителя и погрешности тестирования, но важно то, что три метода распознавания - по отпечатку пальца, по трехмерному изображению лица и по радужной оболочке глаза - обладают сравнимой точностью.
При этом распознавание по двумерному изображению лица уступает перечисленным методам по точности на порядок, так же как и другие не показанные в табл. 2 биометрические методы (распознавание по геометрии руки, по голосу и др.). С другой стороны, следует отметить, что двумерное изображение лица наиболее удобно для визуального сравнения оператором.
Достаточна ли обеспечиваемая точность для прикладных задач?
Обратим внимание на то, что указанные вероятности ложного распознавания FAR соответствуют случаю верификации, т.е. сравнению двух биометрических шаблонов между собой. Для большинства практических задач точность, достигаемая в этом случае, при использовании любого из трех перечисленных выше методов вполне достаточна.
В случае идентификации вероятность ложного распознавания FAR увеличивается пропорционально количеству людей в базе данных системы при той же чувствительности (FRR).
Так, например, если при FRR, равном 1,3%, лучший пальцевый сканер в режиме верификации обеспечивает FAR, равный 0,001% (один шанс из ста тысяч), то в режиме идентификации при том же FRR и базе данных в 10 000 человек FAR составляет 10% (один шанс из десяти), что уже является недопустимым для большинства приложений.
Таким образом, в режиме идентификации при базах данных на 1000-2000 человек некоторые существующие методы (по радужке, пальцу, 3D-фото) могут обеспечить приемлемую точность для систем контроля доступа. При базах данных более 2000 человек ни один из биометрических методов "в чистом виде" не применим для большинства задач. Для некоторых задач приемлемы полуавтоматические решения, когда человек-оператор получает список наиболее похожих людей и принимает окончательное решение.
Для увеличения точности в режиме идентификации целесообразно использование нескольких биометрических методов одновременно.
Одним из наиболее распространенных "мультимодальных" решений является распознавание по нескольким пальцам. Так, в программе US-visit в настоящее время применяется распознавание по двум пальцам, и сегодня уже обсуждается переход на трех- или даже пятипальцевое решение. Следует заметить, что точность, достигаемая системами, работающими с пятью пальцами, на данный момент недостижима для комбинаций любых других методов. Несмотря на это, практическое использование таких систем ограничено по ряду указанных ранее критериев.
Методы получения 3D-изображения лица, как правило, позволяют одновременно получать и 2D-изображение, поэтому естественным является одновременное использование обоих источников информации. Например, удобство обычных двумерных фотографий для визуального сравнения делает сохранение трехмерного снимка (занимающего не более 5 Кб) совместно с двумерной фотографией (занимающей не более 20-30 Кб) рациональным. Себестоимость цифровой 3D+2D-камеры при этом не сильно превышает стоимость обычной 2D-камеры.
Международный подкомитет по стандартизации в области биометрии (ISO/IEC JTC1/SC37 Biomerics) разрабатывает единый формат данных для автоматического распознавания лиц, включающий двух- и трехмерные изображения.
Некоторые производители уже начали объединение этих двух методов в один. Вероятнее всего, вскоре распознавание лица с использованием обоих источников информации будет рассматриваться как один биометрический метод.
Объединение 2D- и 3D-методов распознавания лица дает существенное улучшение точности по сравнению с той, что могут дать системы, в которых используется только один из методов, а также позволяет объединить преимущества этих способов по другим критериям.
Так, например, комбинированный метод с использованием трехмерной технологии от A4vision и двумерной системы распознавания "Дозор" производства НПО "Информация" обеспечивает достаточную точность в режиме идентификации при базах данных размером до 10 000 лиц, а в перспективе - до 100 000 человек.
Тем не менее даже эти показатели неприемлемы для задач государственного или межгосударственного масштаба, где требуется идентификация по базам данных в несколько сотен тысяч или несколько миллионов человек. Такой задачей может быть, скажем, задача поиска человека с заданными биометрическими характеристиками в государственной базе данных выданных паспортов или виз.
В этом случае возможны комбинированные системы "много пальцев", или "палец + лицо", или "палец + радужная оболочка глаза" и т.д.
Паспортно-визовые документы. Системы безопасности национального масштаба
Первая задача, связанная с использованием паспортно-визовых документов на транспорте и при пересечении государственных границ, - это сверка подлинности документа и его соответствия владельцу. Не секрет, что применяемое сейчас визуальное сравнение с фотографией в паспорте может быть эффективным только при условии, если сотрудники этих служб прошли специальную подготовку. При этом утомляемость и снижение внимания сотрудника при плотном потоке проверяемых очень велика. Кроме того, возможна коррупция или халатность среди работников служб паспортного контроля.
Биометрические технологии призваны обеспечить повышение надежности и эффективности сверки документов, а также предназначены для электронного документирования (логирования) всех сверок. При решении этой задачи возможны два сценария - двойной или тройной верификации.
Двойная верификация подразумевает сверку биометрического шаблона, записанного в электронном паспорте или визе, с биометрическими характеристиками проверяемого пассажира.
Тройная верификация предполагает дополнительную сверку двух указанных характеристик с шаблоном, хранящимся в общегосударственном регистре биометрических данных. При этом сценарии любая попытка подделки паспорта становится бессмысленной, поскольку тройная верификация выявит несоответствие с шаблоном, записанным в государственный регистр при выдаче паспорта. Такая тройная проверка включена в рекомендации Международной организации гражданской авиации ICAO по применению биометрических систем, но этот вариант требует, чтобы сначала была создана государственная инфраструктура, поддерживающая запросы на верификацию личности по биометрическим данным.
Вторая задача, связанная в основном с выдачей паспорта или визы, - это проверка на то, что аналогичный документ не выдавался ранее гражданину с теми же биометрическими данными, но проходившему под другим именем, а также сверка биометрических данных гражданина с базами данных оперативных и специальных служб.
И в том и в другом случае решение такой задачи предполагает использование биометрических методов в режиме идентификации, при этом размер баз данных может быть очень большим.
Как следует из проведенного выше анализа, для решения первой задачи - двойной и тройной верификации по точности - подойдет любой из трех методов: по 3D-фотографии лица, по пальцу или по радужке. Для решения второй задачи - идентификации гражданина по большой базе данных - необходимо использование комбинированных методов.
По мнению авторов статьи, наиболее обоснованным решением является первичный сбор и занесение в единый государственный регистр, а также в электронные идентификационные документы как дактилоскопической информации с двух пальцев, так и двух изображений лица - двумерного и трехмерного. При этом для решения задачи верификации, подразумевающей сверку документов при пересечении гражданами границ, достаточно использования комбинированного (2D+ +3D) метода распознавания лица. Этот метод - бесконтактный, обеспечивает максимальную измеряемость биометрической характеристики, т. е. максимальную скорость верификации и прохода, следовательно, он не замедлит, а ускорит прохождение пассажиропотока через точки контроля. Точность 3D-метода и тем более комбинированного метода высока и отвечает всем требованиям в режиме верификации, а также в режиме идентификации с не очень большими (до 10 000 человек) оперативными базами данных (например, список лиц, объявленных в розыск). Кроме того, использование обычной двумерной фотографии является общепринятой практикой и позволяет оператору принять окончательное решение или произвести визуальное сравнение с несколькими наиболее похожими индивидуумами из базы данных. Это дает возможность увеличить размер базы данных для оперативной идентификации до нескольких сотен тысяч человек.
Использование дактилоскопической информации предполагается только в момент проверки личности до выдачи ему документа, а также при необходимости задержания гражданина и предъявлении обвинений. Это позволяет увеличить уровень защиты данных, ограничив круг лиц, имеющих право доступа к дактилоскопической информации, записанной в паспорте, только сотрудниками соответствующих правоохранительных служб.