Алгоритмы машинного зрения и аутентификация фото

Алгоритмы машинного зрения и аутентификация пользователя по фото.

Статьи по теме
Искать по теме

Аутентификацию разделяют на два основных вида: однофакторную, которая использует многоразовый пароль и двухфакторную, которая использует помимо многоразового пароля дополнительные факторы. Основными факторами, которые используются в интернет-приложениях, являются: одноразовый пароль в СМС сообщении и временной одноразовый пароль в виде QR-кода [2].

Несмотря на то, что подобные факторы обеспечивают более высокую степень защиты, потеря телефона либо телефонного номера дает возможность злоумышленнику авторизоваться как подлинному пользователю. Таким образом, возникает потребность в применении другого вида факторов при аутентификации в интернет-приложениях.

В качестве объекта исследования выступает биометрическая аутентификация по моментальному снимку лица, в то время как предметом исследования является система двухфакторной аутентификации пользователей в интернет-приложении.

В системах биометрической аутентификации идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В основе аутентификации лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным шаблоном.

В зависимости от вида используемых характеристик системы биометрической аутентификации делятся на статические и динамические.

Статическая биометрия основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатков пальцев, формы кисти руки, узора радужной оболочки глаза, схемы кровеносных сосудов лица, рисунка сетчатки глаза, черт лица, фрагментов генетического кода и др.).

Динамическая биометрия основывается на анализе совершаемых человеком действий (параметров голоса, динамики нажатий клавиш на клавиатуре, динамики и формы подписи и др.).

Система биометрической аутентификации по моментальному снимку лица относится к классу статических видов биометрической аутентификации.

При проектировании системы необходимо решить ряд задач:

- Проектирование и разработка структуры базы данных;

- Разработка веб страницы для регистрации и авторизации;

- Фиксация изображения с веб-камеры пользователя при входе в систему;

- Передача изображения от веб-браузера на сервер;

- Определение области лица на изображении;

- Предобработка изображения – изменение цветовой гаммы, размера, угла поворота изображения;

- Определение ключевых признаков полученного изображения;

- Сравнение полученных признаков с признаками изображений в базе данных пользователей;

- Определение условия корректной аутентификации пользователей;

- Сохранение информации изображения в базу данных.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в конкретной организации. Общедоступные серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя, так как подмена IP-адреса может легко разрушить этот механизм аутентификации.

Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, то есть взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется, как правило, в начале сеанса в процессе установления соединения абонентов.

Термин "соединение" указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры – обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории [4]:

- На основе знания какой-либо информации. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;

- На основе обладания каким-либо предметом или устройством. Примерами могут быть магнитные карты, смарт-карты, сертификаты и устройства touch memory;

- На основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.).

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с данным подходом процессы аутентификации разделяются на следующие типы [4]:

- Аутентификация, использующая пароли и PIN-коды;

- Строгая аутентификация на основе криптографических методов и средств;

- Процессы (протоколы) аутентификации, обладающие свойством доказательства с нулевым знанием;

- Биометрическая аутентификация пользователей.

Рассмотрим более подробно аутентификацию с использованием одноразового пароля и биометрических характеристик.

Динамический (одноразовый) пароль – это пароль, который после одно- кратного применения никогда больше не используется. На практике часто используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе. Также, распространенным видом одноразового пароля является цифро-буквенный пароль, который передается пользователю в SMS сообщении на зарегистрированный телефонный номер. Подобный способ аутентификации зачастую используется в системах онлайн-банкинга.

В качестве биометрических признаков, которые активно используются при аутентификации потенциального пользователя, можно выделить следующие:

- Отпечатки пальцев;

- Геометрическая форма кисти руки;

- Форма и размеры лица;

- Особенности голоса;

- Узор радужной оболочки и сетчатки глаз.

Рассмотрим типичную схему функционирования биометрической подсистемы аутентификации. При регистрации в системе пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как "контрольный образ" (биометрическая подпись) пользователя.

Этот образ пользователя хранится системой в электронной форме и используется для проверки идентичности каждого, кто пытается авторизоваться как соответствующий пользователь. В зависимости от совпадения или несовпадения совокупности предъявленных признаков с зарегистрированными в контрольном образе их предъявивший признается "законным" пользователем (при совпадении) или нет (при несовпадении). "Законный" пользователь – пользователь системы, который был корректно авторизован в соответствии со своими биометрическими признаками.

Отметим основные достоинства биометрических методов аутентификации пользователя по сравнению с традиционными [4]:

- Высокая степень достоверности аутентификации по биометрическим признакам из-за их уникальности;

- Неотделимость биометрических признаков от дееспособной личности;

- Трудность фальсификации биометрических признаков.

К настоящему времени разработаны и продолжают совершенствоваться технологии аутентификации по отпечаткам пальцев, радужной оболочке глаза, по форме кисти руки и ладони, по форме и размеру лица, по голосу и "клавиатурному почерку". Наибольшее число биометрических систем в качестве параметра идентификации использует отпечатки пальцев (дактилоскопические системы аутентификации) [4].

Системы аутентификации по лицу и голосу являются наиболее доступными из-за их относительно низкой стоимости, поскольку большинство современных компьютеров имеет видео- и аудиосредства. Системы данного класса применяются при удаленной идентификации субъекта доступа в телекоммуникационных сетях. Технология сканирования черт лица подходит для тех приложений, где прочие биометрические технологии непригодны. В этом случае для идентификации и верификации личности используются особенности глаз, носа, губ и других частей лица.

Для программного комплекса приоритетными являются следующие критерии качества:

1. Поддержка работоспособности системы в современных веб-браузерах последних версий;

2. Устойчивость к помехам и различным артефактам входных данных;

3. Коэффициент ошибочных отказов не выше трёх ошибок на 100 попыток аутентификации [5];

4. Коэффициент ошибочных подтверждений не выше пяти ошибок на 10000 попыток аутентификации [5];

5. Защита от CSRF и SQL-injection атак с целью несанкционированного доступа;

6. Валидируемый код на соответствие стандартам качества;

7. Легкость освоения.

Поддержка работоспособности системы в современных веб-браузерах последних версий является неотъемлемо важной частью в разработке программы, так как от этого напрямую будет зависеть возможность пользователей с определенными браузерами воспользоваться системой и корректно авторизоваться.

Устойчивость к помехам и артефактам осуществляется за счет высокоточного алгоритма определения ключевых признаков из изображения. Так как возможны снятия снимков в различное время суток, при различной освещенности и с различным качеством сканирующего устройства, система должна автоматически подстраиваться и учитывать вышеперечисленные факторы при авторизации.

С точки зрения потребителя, эффективность биометрической аутентификационной системы характеризуется двумя параметрами [5]:

- Коэффициентом ошибочных отказов FRR (false-reject rate)

- Коэффициентом ошибочных подтверждений FAR (false-alarm rate)

Ошибочный отказ возникает тогда, когда система не подтверждает личность законного пользователя (типичные значения FRR составляют порядка одной ошибки на 100). Ошибочное подтверждение происходит в случае подтверждения личности незаконного пользователя (типичные значения FAR составляют порядка одной ошибки на 10000). Коэффициент ошибочных отказов и коэффициент ошибочных подтверждений связаны друг с другом; каждому коэффициенту ошибочных отказов соответствует определенный коэффициент ошибочных подтверждений.

Обычно системные параметры настраивают так, чтобы добиться требуемого коэффициента ошибочных подтверждений, что определяет соответствующий коэффициент ошибочных отказов.

Защита от несанкционированного доступа имеет достаточно широкий спектр задач, однако для удовлетворения базовым требованиям в исследуемой системе будем использовать меры защиты от кросс-сайтового скриптинга (CSRF) и SQL-инъекций в базу данных.

Соответствие стандартам качества проверяется при помощи имеющихся в языке программирования валидаторов кода. Валидаторы проверяют исходный код программы на соответствие различным конвенциям по оформлению и документированию программы. Успешная валидация кода важна для создания систем, в которых особую важность имеют масштабируемость, читаемость кода и его поддерживаемость.

Исследования [6] показывают, что 50% пользователей в возрасте от 46 до 55 лет и 31% пользователей в возрасте от 55 лет забывают свои числовые пароли при авторизации. Система биометрической авторизации предоставляет два способа авторизации при использовании которых не требуется запоминание какой-либо секретной информации: авторизация по изображению лица пользователя и авторизация по одноразовому паролю и изображению лица пользователя.

Биометрическая аутентификация по моментальному снимку лица получила широкое распространение в различных видах приложений, среди них: система авторизации учетных записей при входе в операционную систему Windows, Android, Mac OS, системы круглосуточного видеонаблюдения, системы безопасности таможенного контроля, системы управления доступом в банковских и других финансовых учреждениях.

Несмотря на усиленную безопасность некоторых систем благодаря защите от несанкционированного доступа путем показа фото пользователя в камеру при авторизации, все рассмотренные системы имеют два существенных недостатка.

Первый недостаток заключается в отсутствии информации о критериях качества, которые безусловно необходимы для подтверждения подлинности информации о высоком качестве распознавания, о котором заявляют производители. Второй недостаток заключается в том, что задача получения изображения из веб-камеры пользователя или другого источника и передача его через надежный канал связи на соответствующий сервер лежит полностью на разработчике конечного приложения. Такой подход к реализации систем аутентификации предполагает хранение данных пользователя на серверах поставщика услуг, что может быть нежелательным для организаций, гарантирующих конфиденциальность личных данных клиентов. Кроме того, это приводит к дополнительной задержке в работе системы при передаче данных от сервера, на котором хранятся данные о пользователях, к серверу конечного приложения, в котором система аутентификации применяется.

Задачу получения изображения из веб-камеры пользователя или другого источника и передача его на сервер необходимо решить путем исследования и реализации такого механизма в качестве модуля в составе системы. Таким образом, конечный продукт может быть использован в качестве подключаемой внешней библиотеки без необходимости дополнительных затрат на разработку вышеописанного механизма.

Защиту от несанкционированного доступа в исследуемой системе необходимо реализовать при помощи двухфакторной аутентификации, где первым фактором выступает изображение лица пользователя, а вторым может выступать одноразовый пароль или контрольное слово.

Задача надежной и безопасной аутентификации пользователей является актуальной и приоритетной для многих информационных систем обработки информации. Особенностью систем биометрической аутентификации является применение алгоритмов машинного обучения и компьютерного зрения для однозначного и корректного определения пользователя по биометрическим признакам.

Литература

1. Сарбуков А.Е., Грушо А.А. Аутентификация в компьютерных системах // Системы безопасности, Vol. 1, No. 53, May 2003.

2. Two Factor Auth (2FA).

3. University Y. Yale Face Database // USCD Jacobs School of Engineering. 2001. URL.

4. И. Г.В. Информационная безопасность и защита данных. Иркутск: Издательство Иркутского государственного технического университета, 2011. 250 pp.

5. Биометрическая аутентификация пользователя // Лаборатория Сетевой Безопасности – 2009.

6. A. M. Did You Forget Your Password?, San Jose State University, San Jose, Quantitative research 2011.