Интеграция данных

Э.О.

Для многих приложений существует ряд источников не биометрических данных, которые могут использоваться в дополнение к биометрическим для аутентификации личности. В других приложениях использование одного биометрического параметра небезопасно или не позволяет охватить всю популяцию, что ведет к большому количеству случаев невозможности получения исходных данных для аутентификации. В обоих случаях возникает следующий вопрос: как интегрировать биометрические и не биометрические источники информации, чтобы сделать все приложение более точным и безопасным? На рис. 4.10 показан принцип интегрированной аутентификации на основе биометрических источников данных В и B2w не биометрических источников данных К, Р.

Аутентификация на основе биометрических и не биометрических источников информации

Рис. 4.10. Аутентификация на основе биометрических и не биометрических источников информации

Следует заметить, что интеграция источников информации является неотъемлемой частью аутентификационного протокола.

Методы интеграции данных. Информация, которая содержится в нескольких биометрических параметрах, может быть интегрирована при помощи разных методов, на разных уровнях и в разном контексте. На рис. 4.11 представлен пример интеграции информации при использовании отпечатка пальца.

Каждый из методов на рис. 4.11 комбинирует отпечаток первого пальца (в центре) со вторым биометрическим образцом. Такие же методы можно применять и к другим биометрическим параметрам.

  • 1 .Разные биометрические параметры. Этот случай обычно называют интегрированной биометрической аутентификацией, когда применяются несколько несопоставимых биометрических параметров.
  • 2.Разное расположение. Этот аутентификационный протокол возможен, только когда для субъекта зарегистрировано несколько однотипных биометрических идентификаторов: разные пальцы обеих рук; геометрия левой и правой кистей рук; сетчатка или радужка левого и правого глаза.
  • 3 .Разные образцы. Этот метод предполагает возможность для субъекта предоставить несколько образцов биометрического параметра, чтобы все или хотя бы один из них совпал с шаблоном. Вариантом этого протокола является предоставление субъекту ограниченного времени для аутентификации.
  • 4.Разные сенсоры. Можно использовать два и более разных сенсоров для получения одного и того же биометрического идентификатора, например для снятия отпечатка пальца используются оптоволоконный сканер и полупроводниковый сканер. При распознавании лица это могут быть несколько видеокамер осуществляющих съемку с разных ракурсов.
  • 5. Разные мэтчеры. Для одного и того же биометрического образца одного субъекта используются разные технологии сопоставления. Например. внешний вид образца и отдельные детали образца.
  • 6. Разные признаки. Возможна комбинация биометрического и не биометрического параметров.
Пример интеграции информации при использовании

Рис. 4.11. Пример интеграции информации при использовании

отпечатка пальца

Независимо от метода используются два основных подхода к комбинации информации из разных источников:

  • 1. Строгая двусторонняя интеграция. Исходящие от разных биометрических сенсоров сигналы могут быть использованы для создания более надежных и детальных (пространственных, временных или и тех, и других) входящих сигналов (рис. 4.12, слева). При этом рассматриваются репрезентации, извлекаемые из разных биометрических сенсоров, решение принимается на основе объединения векторов их свойств. Интеграция на уровне сенсора или репрезентации предполагает сильную связь между входящими величинами и интеграционными схемами.
  • 2. Слабая двусторонняя интеграция. В этом случае интеграция между входящими сигналами будет совсем небольшой или ее не будет вообще; интеграция происходит на уровне исходящих сигналов относительно автономных мэтчеров, и каждое устройство независимо от других оценивает биометрический образец, как показано на рис. 4.12, справа.
Системы с сильной двусторонней интеграцией (слева) и со слабой двусторонней интеграцией (справа)

Рис. 4.12. Системы с сильной двусторонней интеграцией (слева) и со слабой двусторонней интеграцией (справа)

Далее обсудим только системы со слабой парной интеграцией. Типичный сценарий интеграции - это система с двумя биометрическими подсистемами, которые независимо друг от друга получают входящую информацию и принимают автономные решения о «сходстве». Свойства и шаблоны, извлеченные одной биометрической системой, неприемлемы для другой системы, тогда как решения или величины персональных биометрических параметров поддаются интеграции. При этом можно пробовать интегрировать биометрическую информацию либо на уровне принятия решения, либо на уровне подсчетов.

Интеграция на уровне принятия решения или «слияние», как ее иногда называют, типична для описанного выше метода 5. То есть там применяются два или более мэтчеров для одного или разных биометрических параметров (например, лицо и радужка) и при помощи интеграции объединяются их решения. Здесь мэтчеры рассматриваются как черные ящики: доступа к их внутренним механизмам или промежуточным вычислениям нет, решение появляется только в форме «Да/Нет».

4. Точность и безопасность биометрических систем контроля доступа

Булева комбинация. Из всех правил биометрических комбинаций самой распространенной является булева комбинация правила И и ИЛИ. Разные биометрические данные комбинируются по этому типу и в идентификационных, и в верификационных протоколах.

Идентификационный протокол. Дополнительный биометрический параметр используется для уменьшения набора биометрических шаблонов. В связи с этим согласно аутентификационному протоколу сначала проводится сопоставление параметра а с сохраненным шаблоном, а потом сопоставление параметра Ь. Только если два биометрических образца а и b совпадают (правило И), объект будет считаться подходящим для списка кандидатов (рис. 4.13).

Объект аутентифицируется, если оба биометрических параметра аиб совпадают

Рис. 4.13. Объект аутентифицируется, если оба биометрических параметра аиб совпадают

На практике в большинстве случаев эти техники применяются как для положительной, так и для отрицательной идентификации и особенно подходят для последовательного сопоставления разных биометрических параметров объекта.

Верификационный протокол. Правило ИЛИ используется для облегчения процесса биометрической аутентификации. Субъект будет аутентифицирован, если обнаружится сходство с образцом а или с образцом б (рис. 4.14). То есть второй параметр нужен для предотвращения влияния неблагоприятных характеристик конкретного биометрического параметра, а именно недостаточной универсальности, собираемости и приемлемости. Например, дополнительный биометрический параметр, любой, кроме пальца, дает дополнительную информацию о субъектах, у которых нет пальцев, или о тех, у кого трудно получить качественные отпечатки пальцев.

Объект аутентифицируется, если обнаружится сходство с биометрическим образцом а или б

Рис. 4.14. Объект аутентифицируется, если обнаружится сходство с биометрическим образцом а или б

Протокол ИЛИ можно использовать различными способами, т. е. порядок получения биометрических параметров аиЬ может быть различным.

Как изменяются при интеграции ошибки 1-го рода (КЛОД) и 2-го рода (КЛД)?

Обозначим эти ошибки:

  • • для биометрического параметра а как 5ai и 5а2;
  • • для биометрического параметра b как бы и бЬ2

Комбинация биометрических параметров по правилу ИЛИ уменьшит ошибку 5i за счет увеличения ошибки 62; комбинация параметров по правилу И приведет к обратному результату: увеличит 5i и уменьшит б2. Это можно представить следующим образом:

Правило ИЛИ. Для появления ложного отказа доступа оба биометрических параметра а и b должны быть отклонены, поэтому

Для ложного доступа любой из параметров а или b должен быть ложно принят как подходящий, поэтому

при условии, что биометрические параметры а и b являются независимыми данными.

Правило И. Чтобы получить ложный доступ, оба биометрических параметра должны быть ложно приняты как подходящие, то есть

Для получения ложного отказа доступа один из параметров а или b должен быть отклонен, поэтому

при условии, что биометрические параметры аЪ являются независимыми данными. Здесь произведение вычитается, чтобы избежать вычисления ложного отказа доступа бы, когда ложно отклоняется биометрический параметр а.

Как уже отмечалось, безопасность и удобство взаимозависимы. Табл. 4.1 демонстрирует результирующие ошибки при интеграции данных. Здесь допускается, что

или

4. Точность и безопасность биометрических систем контроля доступа

Таблица 4.1

Результирующие ошибки при интеграции данных

или

и

Сортировка и фильтрация. Как для положительной, так и для отрицательной идентификации необходимым условием является возможность биометрического поиска 1 :т. Традиционные техники интеграции информации позволяют проводить такой поиск.

Пусть рассматривается приложение сортировки, т. е. отрицательная идентификация, при которой биометрическая система проверяет утверждение: «Я не тот, кем я не должен быть». Это предполагает проведение поиска в ББД с N зарегистрированными пользователями dm обозначенными как совокупность {d„, п = 1,..., N}. Один из методов такого поиска - проведение N последовательных или параллельных сопоставлений 1:1, чтобы убедиться, что ни один из объектов d„ не пропущен. Существуют как минимум две проблемы, связанные с таким поиском, когда размер базы данных N становится большим:

  • 1. Требования к вычислениям (ответ в реальном времени!) становятся слишком высокими, чтобы проводить биометрический поиск 1:1 N раз.
  • 2. Коэффициент ложного признания мэтчера типа 1:1 высокий, и список кандидатов ожидаемой длины КЛП х N становится слишком большим (тогда персоналу приходится проверять его).

Поэтому такой поиск часто ограничивается путем введения второго параметра, чтобы уменьшить зону поиска до небольших блоков информации.

Примем машинную репрезентацию для субъекта d„ за удостоверяющие данные (,Рп, В„) с собственностью Рп (которая включает такие идентификаторы, как имя и т. д.) и биометрическим шаблоном Вп. Для ББД с большим количеством (N) таких биометрических шаблонов поиск может быть оптимизирован путем деления N на маленькие группы, основанные как на (внутренней) информации, содержащейся в биометрических шаблонах Вт так и на (внешней) дополнительной информации (такой, как имя объекта), полученной за время регистрации.

Ограничение поиска параметрическими (не биометрическими) данными называется «фильтрацией».

Ограничение поиска при помощи дополнительных биометрических данных называют «сортировкой».

Фильтрация при поиске с помощью, скажем, имени пользователя может разделить ББД на несколько множеств, которые могут частично перекрывать друг друга, когда используется не очень точное, например фонетическое, сходство между именами (при этом некоторые множества будут очень большими, например, «Иванов»). Тогда фильтрация будет аутентификационным протоколом АП, который работает на основе аутентификационного метода или удостоверяющих данных:

Протокол АП предполагает:

  • 1. Поиск в ББД зарегистрированных субъектов по фамилии (со всеми возможными орфографическими вариациями). Параметрические данные Р„ используются для точного или приблизительного сопоставления.
  • 2. Поиск объектов с совпадающими фамилиями Р„ путем сопоставления входящих биометрических образцов В с соответствующими биометрическими шаблонами Вп в ББД.

После этого выдается «список кандидатов» или «список совпадений» субъектов {dn, d„,...} из ББД с именами «Иванов» и шаблонами, которые совпадают с биометрическим образцом В.

Особый случай - это сужение поиска путем использования уникального (или почти уникального) параметрического идентификатора, например, номера социального страхования. В этом случае удостоверяющие данные следующие:

и тогда процесс идентификации (сопоставления 1:N) превращается в процесс верификации, т.е. сопоставления 1:1.

Сортировка - это фильтрация, основанная на информации, содержащейся в биометрических шаблонах В„ ББД, или на других биометрических идентификаторах В' Этот поиск выполняется как аутентификационный протокол, работающий с удостоверяющими данными (В) = ({Д В'}). Наверное, самый известный пример такой техники в дактилоскопии - сначала определяется тип отпечатка пальца, а затем сопоставляются детали отпечатка пальца. Здесь типы отпечатков пальцев - это общие классы отпечатков, такие, как «петля», «завиток», «арка» и т. д., а детали - точно определенные свойства.

Сортировка также может быть основана на разных биометрических параметрах человека, т. е. В может быть, например, отпечатком пальца, а В' - изображением лица. Если пространство поиска (количество сопоставлений) в ББД должно быть уменьшено аутентификационными методами, тогда последовательный протокол выглядит так:

  • 1. Выбор того субъекта d„ в ББД, чей биометрический шаблон совпадает с биометрическим параметром (образцом) В т. е. субъект с типом лица В1;
  • 2. Сопоставление входящего биометрического шаблона В с шаблонами оставшихся субъектов, чтобы найти такие субъекты в ББД, которые бы совпадали и с Д, и с Д

В идеальном случае после этого остается один уникальный зарегистрированный субъект d„ из ББД или небольшой список кандидатов.

При использовании фильтрующих 9 В) или сортирующих ({Д В’}) аутентификационных методов пространство сопоставления биометрического параметра (3 ограничивается небольшими частями общей ББД шаблонов, т. е. протокол регулируется ограниченным количеством сопоставлений 1:1. ББД делится на несколько частей, или секций; эти части могут пересекаться, если шаблоны неточные; один шаблон может попасть во все секции.

При таком подходе существует компромисс между двумя основными параметрами крупномасштабных систем. Доля образцов РК11 в ББД, которые будут сопоставляться с биометрическим шаблоном В, называется коэффициентом проникновения: Рк„ = Е (количество сопоставлений) / N.

Эта величина иногда называется коэффициентом фильтрации (термин «сортировка» не является общепринятым, и этот процесс часто называют фильтрацией). Низкий коэффициент проникновения часто сопровождается высоким коэффициентом ошибок сортировки, что приводит к пропуску сходства. Коэффициент ошибок сортировки Рос - это процент объектов с„ в ББД, которые были отнесены не к тому классу, например, отпечаток пальца типа «петля» был отнесен к типу «завиток». Очевидно, коэффициент проникновения и коэффициент ошибок сортировки Рос взаимосвязаны.

Динамические аутентификационные протоколы. Протоколы не обязательно должны быть статическими, существует много динамических протоколов, тем более что ручная/визуальная аутентификация, проводимая человеком, всегда является динамической. Интерактивный контроль качества входящих образцов путем взаимодействия человека и компьютера является динамическим протоколом. Например, для получения отпечатков пальцев пользователя могут попросить предъявить правый указательный палец, затем левый, затем средний палец правой руки. Для получения доступа два из трех «запросов» (изображений отпечатков пальцев) должны быть «удовлетворены» (совпасть).

Один из динамических протоколов для верификации говорящего - это диалоговые биометрические техники, где заранее известное знание Кт зарегистрированных объектов dm играет важную роль.

Диалоговые биометрические системы вступают в речевой диалог с пользователем, воспроизводя вопросы и фиксируя ответы пользователя. Задаваемые вопросы случайно выбираются из большого списка вопросов и ответов, записанных во время регистрации («Какой ваш любимый цвет?»), или могут быть сгенерированы на базе специфичной информации о пользователе, находящейся из приложения («Сколько денег на вашем счету?»). Модуль управления протоколом динамически генерирует протокол для каждой транзакции, основываясь на требованиях приложения. Динамический протокол определяет максимальное количество задаваемых вопросов и минимальное количество правильных ответов, или же протокол может определять минимальное количество знаний, которые необходимы для сопоставления. Протокол также задает минимальное количество данных, необходимых для сопоставления голоса, и может в соответствии с этим изменить максимальное количество вопросов, которые должны быть заданы, основываясь на величине сходства голоса. Путем создания таких протоколов можно регулировать точность или гибкость системы или и то и другое одновременно.

Диалоговые биометрические техники проводят сопоставление образца голоса В и записи голоса Вт (биометрического шаблона), а также «сопоставление знаний» (собранных ответов) путем распознавания голоса и знаний Кт. Проверка правильности ответов не повышает вероятность подлинности объекта dm на другом конце телефонной линии; она может повысить вероятность возможности того, что объект является подлинным. Это происходит потому, что ответы в действительности не связаны только с одним субъектом и нет гарантии, что они неизвестны другим (мошенникам и имитаторам). То есть может возникнуть проблема отказа от авторства, так как вероятность совпадения входящего биометрического образца В с Вт может быть низкой, и аутентификация тогда будет основываться на знаниях объекта.

В диалоговых биометрических техниках могут использоваться и другие формы взаимодействия человек-машина, например распознавание рукописного почерка или характеристик клавиатурного почерка (которые являются поведенческими биометрическими параметрами). Это может быть верификацией подписи в форме идентификации пишущего с теми же разновидностями, что и при верификации говорящего, т. е. зависимая от текста и независимая от текста верификация пишущего. Можно представить себе аутентификационные протоколы, где объекты должны написать или напечатать ответы на вопросы.

Список вопросов можно использовать в сочетании с любым биометрическим параметром. Диалоговые биометрические техники являются разновидностью аутентификационных протоколов безопасности при взаимодействии машина-машина, которые называются протоколами вызова и ответа. В них электронные запросы, на которые может ответить только аутентификационная система, формулируются динамически.

Интеграция на уровне вычислений. Пусть решения, принятые отдельными биометрическими мэтчерами, интегрируются при помощи протокола И или протокола Ж7Я, однако операндами указанных протоколов будут не готовые решения мэтчеров (типа «да», «нет»), а области изменения степеней сходства sa и sb и порогов Т комбинируемых биометрических параметров а и b (рис. 4.15).

  • 1..Протокол интеграции ИЛИ. Субъекта просят предоставить сначала биометрический идентификатор а, а затем второй идентификатор Ь. Объект будет аутентифицирован, если (sfl > Ту) ИЛИ (sb > Т2). Преимуществом является то, что получение второго биометрического параметра нужно, только если sa< Ту. На рис. 4.15 показано, что объект будет аутентифицирован, если пара величин (sfl, sb) лежит в области «ИЛИ».
  • 2. Протокол интеграции И. Субъекту нужно представить аутентификационной системе оба биометрических идентификатора а и Ь. Он будет аутентифицирован, если (sfl > Ту) И (sb > Т2). На рис. 4.15 показано, что аутентификация произойдет, если пара величин (sa, sb) лежит в области «И».
Области решений при использовании правил Я, ИЛИ

Рис. 4.15. Области решений при использовании правил Я, ИЛИ

На рис. 4.15 видно, что в правилах Я, ИЛИ область решений ограничена площадью соответствующего прямоугольника. С точки зрения ошибок изогнутая линия предоставляет лучший способ интеграции.

Рассмотрим случай слабой парной интеграции на уровне вычислений. Предположим, что величины нормализованы sfl, sb g [0, 1]. Обозначим измеренные величины биометрических параметров аиЬ как В. Тогда могут возникнуть две ситуации:

  • 1. Величины sa и sb (монотонно) связаны с вероятностью ,РгоЬ(с1т I В).
  • 2. Величины sa и sb имеют более сложную связь с вероятностью Prob(dm | В).

Рассмотрим вначале последний случай. Получив документально подтвержденные данные, можно определить функцию, которая связывает (sa, sb) с ,РгоЬ(с1т | В). Точнее, используя подтвержденные документами данные, можно вычислить функцию плотности условного распределения вероятности объединенных классов Prob(sa, sb | Я0), Prob(sa, sb | На), где Я0 и На - гипотезы, соответствующие величине совпадений или различий соответственно. Вероятность РгоЬ(с1т | В) тогда может основываться на относительных величинах плотности условного распределения, и может быть принято комбинированное решение. Например, можно подсчитать плотность условного распределения, используя непараметрический метод вычислений (окно Парцена) и разработать комбинированный мэтчер, основанный на правиле вероятности Неймана-Пирсона:

Этот метод комбинации величин является наиболее общим и оптимальным, но на практике недостаток обучающих данных может обесценивать преимущества такого подхода.

Рассмотрим теперь ситуацию, когда sa и sb (монотонно) связаны с вероятностью РгоЬ(с1т | В). Чем лучше dm совпадает с данными, тем больше величины. В этом случае процесс можно свести к аутентификации объекта, когда G(sa, sb) > Г, т. е. если вычисляемая пара (sfl, sb) лежит над кривой G(sa, sb) = Г, как на рис. 4.15.

В этой ситуации оптимальная интеграция предполагает нахождение кривой G(sa, sb), на которой «ложный доступ» будет находиться на некотором желаемом минимальном уровне и «ложный отказ в доступе» будет низким настолько, насколько это возможно. Поэтому аутентификационная система работает на уровне кривой, а не рабочей точки на кривой РХМ. Эта интегрированная рабочая кривая может быть найдена при помощи тестовых баз данных разных биометрических образцов, которые были получены у реальных случайно выбранных объектов.

Альтернативы интеграции. Правила И, ИЛИ для комбинации двух решений являются единственным способом объединения решений «Да/Нет» о сходстве двух разных биометрических образцов, поступивших с разных мэтчеров. Обычно правило ИЛИ моделирует последовательную обусловленную аутентификацию. Даже когда величины сходства sa и sb - независимые переменные, правило И является доказуемым субоптимальным решением, так как величины сходства sa и sb не взвешены. То есть биометрические параметры а и b будут рассматриваться как одинаково важные.

Когда требуется объединить больше двух решений, выбор метода слияния ограничен не только применением правил Я, ИЛИ ко всем решениям. Например, можно группировать отдельные решения и применять выбранный метод (ИЛИ или И) итеративно к каждой группе решений, пока не будет получено окончательное решение.

Второй метод комбинации решений - это голосование. Каждый «голос» мэтчера может быть взвешен (например, посредством подсчета надежности/конфиденциальности). На рис. 4.15 можно заметить, что субоптимальное решение принимается первым, и тогда решения объединяются при помощи схем суммирования/голосования. Это придает больше смысла величинам (например, сходства/расстояния), которые используются для принятия решений в отдельном мэтчере, в процессе объединения величин.

До сих пор были рассмотрены проблемы интеграции решений применительно к верификационным системам. В идентификационных системах вместо решения «Да/Нет» выдается либо одна личность («это Петров»), либо список кандидатов («этот субъект Петров или Сидоров»), либо ранжи- рованный/взвешенный список кандидатов («мое первое решение - эта личность - Петров, мое второе решение - эта личность - Сидоров»). Один из способов объединения решений в этом случае - рассмотрение проблемы, как вопроса о включении личности (кандидата) в общее решение (т.е. включение или невключение Петрова в объединенное решение), и тогда нужно будет только интегрировать ответы «Да/Нет». В случае с ранжиро- ванным/взвешенным списком ранг/вес можно рассматривать как вес отдельных решений.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >