Mendelova univerzita v Brně Provozně ekonomická fakulta
Autentizace s využitím biometrik Diplomová práce
Vedoucí práce: Ing. Jan Přichystal, Ph.D.
Bc. Tomáš Hanáček
Brno 2011
Děkuji Ing. Janu Přichystalovi, Ph.D, vedoucímu mé diplomové práce, za jeho cenné rady a podnětné připomínky během tvorby této práce.
Prohlašuji, že jsem tuto diplomovou práci vypracoval samostatně a že veškeré zdroje, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj.
V Brně dne 27. 12. 2010
....................................................
Abstract Hanáček, T. Authentication using biometrics. Master thesis. Brno, 2011. The master thesis deals with an analysis and an evaluation of contemporary state in the area of biometrical technologies, especially the technology of fingerprint scanning. By each technology there has been done an analysis of principles their function and possibilities of using them in the authentication process of a user as a replace of the passwords or the authentication tokens. Keywords: biometrics, fingerprints, authentication, verification, identification
Abstrakt Hanáček, T. Autentizace s využitím biometrik. Diplomová práce. Brno, 2011. Diplomová práce se zabývá analýzou a hodnocením současného stavu na poli biometrických technologií s důrazem na technologii snímání otisků prstů. U jednotlivých technologií je provedena analýza principu jejich fungování a možností využití v autentizačním procesu uživatele jako náhrada za hesla či autentizační tokeny. Klíčová slova: biometrie, otisky prstů, autentizace, verifikace, identifikace
4
Obsah 1 Úvod a cíl práce 1.1 Úvod do problematiky . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7 7 8
2 Metodika
9
3 Autentizační a identifikační metody 3.1 Vlastnictví předmětů . . . . . . . . 3.2 Znalosti . . . . . . . . . . . . . . . 3.3 Biometrické charakteristiky . . . . 3.4 Vícefaktorová autentizace . . . . . 3.4.1 Dvoufaktorová autentizace . 3.4.2 Třífaktorová autentizace . .
. . . . . .
4 Biometriky 4.1 Terminologie . . . . . . . . . . . . . . 4.2 Fáze biometrického zpracování: . . . 4.2.1 Sběr dat . . . . . . . . . . . . 4.2.2 Kontrola kvality . . . . . . . . 4.2.3 Přenos dat . . . . . . . . . . . 4.2.4 Zpracování naměřených údajů 4.2.5 Vyhodnocení . . . . . . . . . 4.2.6 Uložení dat . . . . . . . . . . 4.3 Fyziologické biometriky . . . . . . . . 4.3.1 Geometrie ruky . . . . . . . . 4.3.2 Krevní řečiště ruky . . . . . . 4.3.3 Otisky prstů . . . . . . . . . . 4.3.4 Rozpoznávání obličeje . . . . 4.3.5 Oční duhovka . . . . . . . . . 4.3.6 Oční sítnice . . . . . . . . . . 4.4 Behaviorální biometriky . . . . . . . 4.4.1 Ověření mluvčího . . . . . . . 4.4.2 Podpis . . . . . . . . . . . . . 4.4.3 Dynamika psaní na klávesnici
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
10 10 12 12 13 14 14
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
15 15 15 16 16 17 17 19 19 20 20 22 23 24 26 28 29 29 31 32
5 Otisk prstu 5.1 Typy snímačů a jejich charakteristiky . . . . . . . 5.1.1 Kontaktní senzory . . . . . . . . . . . . . 5.1.2 Bezkontaktní . . . . . . . . . . . . . . . . 5.2 Kvality obrazu otisku prstu a jeho předzpracování 5.3 Nalezení a extrakce markantů . . . . . . . . . . . 5.3.1 Filtrování markantů . . . . . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
34 34 35 39 40 43 44
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
5
5.4
5.3.2 Biometrická šablona . . . . . . . . . . . . . . . . . . . . . . . 45 Porovnávání a vyhodnocení otisků . . . . . . . . . . . . . . . . . . . . 46
6 Porovnání biometrických systémů 6.1 Chybovost biometrických systémů . . . . . . . . . . . 6.1.1 Pravděpodobnost chybného přijetí . . . . . . . 6.1.2 Pravděpodobnost chybného odmítnutí . . . . 6.1.3 Vzájemný vztah FAR A FRR . . . . . . . . . 6.1.4 Charakteristiky ERR, ZeroFNMR a ZeroFMR 6.1.5 Křivka ROC . . . . . . . . . . . . . . . . . . . 6.1.6 D-prime a F-Ratio . . . . . . . . . . . . . . . 6.1.7 Charakteristiky FTE a FTA . . . . . . . . . . 6.2 Testování a hodnocení biometrických systémů . . . . 6.2.1 Testování algoritmů . . . . . . . . . . . . . . . 6.2.2 Testování scénářů . . . . . . . . . . . . . . . . 6.2.3 Testování provozu . . . . . . . . . . . . . . . . 6.2.4 Testování zranitelnosti . . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
7 Výběr vhodného řešení 8 Biometrická docházková aplikace 8.1 Analýza a návrh . . . . . . . . . . . . . . . . . 8.2 Popis implementace . . . . . . . . . . . . . . . 8.2.1 Třídy aplikace . . . . . . . . . . . . . . 8.3 Instalace aplikace . . . . . . . . . . . . . . . . 8.4 Ovládání aplikace pomocí grafického rozhraní
49 49 49 50 51 51 51 53 53 54 54 55 56 56 57
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
59 59 60 61 62 63
9 Diskuse a hodnocení vlastního řešení
67
10 Závěr
69
11 Literatura
70
6
1 1.1
Úvod a cíl práce Úvod do problematiky
V dnešní době je správná identifikace člověka důležitá především pro ochranu osob, majetku a informací. Lidé předstírají cizí identitu nebo skrývají svoji z různých důvodů, nejčastějším z nich je páchání nelegální činnosti (finanční podvody, neoprávněné získání citlivých osobních informací, nepovolený přístup do střežených objektů, vyhýbání se výkonu trestu apod.). Po teroristických útocích na USA z 11. září 2001 se stále častěji pro bezpečnější identifikaci osob začínají využívat biometrické technologie. Automatizované zpracování charakteristik lidského těla, tj. biometrická identifikace a verifikace, je však předmětem výzkumu již od 70. let minulého století. Biometrické metody se uplatňují ve dvou základních proudech – forenzním a komerčním. Forenzní (kriminalistické) metody jsou starší, propracovanější a zaměřují se především na identifikaci osob. Dalšími rysy jsou snaha o nulovou chybovost, neúplná automatizace a akceptace delší doby zpracování. Hardwarové a softwarové vybavení využívané kriminalisty je finančně velmi nákladné, náročné na údržbu a komerčně nedostupné. Komerční využití je podstatně mladší, přebírá však spoustu metod využívaných ve forenzním proudu. Zpočátku se jednalo především o bezpečnostní aplikace kontrolující přístup do jaderných laboratoří, kosmických středisek, vojenských základen apod. Civilní rozšíření biometrických metod lze přisuzovat úspěchu v kriminalistické sféře, nárůstu výkonnosti a cenové dostupnosti počítačů, snižování cen snímacích zařízení a zvyšujícímu se počtu krádeží identity a podvodů. Na rozdíl od forenzních aplikací převládá verifikace, akceptuje se určitá míra chybovosti, požaduje se plná automatizace a zpracování v reálném nebo velmi krátkém čase. Dále se budeme zabývat pouze komerčním proudem. Dnes se setkáváme s biometrickými prvky především při autentizaci k výpočetním a komunikačním prostředkům (počítačům, mobilním telefonům, počítačovým sítím), při řízení fyzického přístupu do objektů často ve spojení s docházkovou aplikací (letiště, kasina, pracoviště či domov), u čipových karet (platební a identifikační karty), k ochraně drahých nebo nebezpečných zařízení (luxusní automobil, biometrické pouzdro na pistoli) a také v souvislosti se státní správou. Žadateli o cestovní pas v České republice je pomocí digitální technologie snímána podoba a otisky prstů. Biometrické technologie přinášejí spousty výhod, mají však i svou stinnou stránku, a to ztrátu soukromí a teoretickou možnost být neustále sledován. K tomu lze např. využít rozšiřujícího se počtu bezpečnostních kamer umístěných na veřejných prostranstvích a v budovách spolu s internetovým připojením a stále dokonalejšími algoritmy pro rozpoznávání lidského obličeje. Popsanou situaci si lze lépe představit po zhlédnutí filmu Minority Report. S prvky biometrické identifikace se lze setkat i v jiných filmech, např. Nepřítel státu, Demolition Man, Hvězdné války, Star Trek či Mission Impossible.
7
1.2
Cíl práce
Cílem diplomové práce je sumarizace a zhodnocení současného stavu na poli biometrických technologií. U jednotlivých biometrik budeme analyzovat principy jejich fungování a možnosti využití v autentizačním procesu. Zvláštní důraz bude kladen na technologii otisků prstů, jakožto jednu z nejstarších a nejrozšířenějších metod pro určení identity osoby na základě jejích charakteristických fyziologických vlastností. Jednotlivé biometrické technologie budou následně srovnány dle několika kritérií a budou vysloveny závěry o jejich použití. Na základě získaných teoretických poznatků bude navrhnut a implementován biometrický systém pro automatizované vedení docházky zaměstnanců společnosti ADRIA DATABANKA s.r.o.
8
2
Metodika
Práce bude rozdělena do dvou částí. V teoretické části zhodnotíme autentizační metody založené na znalostech, vlastnictví a především biometrikách. Popíšeme základní pojmy související s biometrikami a obecný princip biometrického zpracování. Biometriky následně rozdělíme dle toho, zda měří fyziologické či behaviorální charakteristiky. Prozkoumáme principy jednotlivých biometrik, zhodnotíme jejich silné a slabé stránky a možnosti využití. Jelikož rozsah diplomové práce nám neumožní věnovat se detailně každé jednotlivé biometrice, omezíme se pouze na ty, které lze zpracovávat v krátkém čase a plně automatizovaně, především na technologii otisků prstů. Následující kapitola bude pojednávat o chybovosti biometrických systémů. V poslední kapitole první části, na základě zhodnocení biometrik dle několika kritérií, vybereme vhodnou metodu pro realizaci docházkové aplikace. Nejdůležitějšími charakteristikami pro její výběr jsou v tomto pořadí: • cena – jelikož docházková aplikace bude určena pro malou firmu o několika zaměstnancích, nemůžeme si dovolit vysoké náklady na pořízení a provoz systému, • přesnost – systém musí vykazovat vysokou přesnost, aby identifikace proběhla ve většině případů bezchybně a uživatelé nebyli zdržováni od práce v případě, že se do systému nemohou přihlásit, popřípadě jsou určeni chybně, • uživatelská přívětivost – snímání nesmí být pro uživatele nepříjemné tak, aby si vypěstovali vůči systému negativní vztah nebo jej dokonce odmítali používat, • dostupnost koncových zařízení – snímací zařízení využívaná docházkovým systémem musejí být distribuována na území České republiky a výhodou je, pokud výrobce k těmto zařízením dodává softwarové nástroje pro vývojáře, • stálost biometrických charakteristik – snímané charakteristiky musejí být v čase co nejvíce neměnné, aby administrátor systému nebyl obtěžován neustálými požadavky o přeregistraci zaměstnanců, • odolnost vůči útokům – systém musí být dostatečně odolný vůči napodobeninám biometrického vzorku tak, aby jej zaměstnanci nemohli jednoduše neoprávněně využít ve svůj prospěch a tím falšovat údaje o docházce. Docházková aplikace bude realizována v objektově orientovaném programovacím jazyce komunikujícím s některým z open-source databázových systémů. Aplikace musí podporovat operační systém Windows i Linux a nesmí být uzpůsobena pro jeden typ čtečky, aby v případě její poruchy a nákupu jiné nemusela být přeprogramována. Aplikace bude nasazena v reálném prostředí firmy s 15 zaměstnanci. Vzhledem k tomu, že biometrie je relativně mladá a ne příliš rozšířená vědní disciplína, dostupnost kvalitních publikací, ze kterých lze při psaní práce vycházet, je omezená. V češtině je to Biometrie a identita člověka ve forenzních a komerčních aplikacích (Rak et al., 2008), z anglicky psané literatury budeme využívat především Biometrics (Woodward, 2003) a knihy z nakladatelství Springer – Handbook of Biometrics (Jain, 2008), Handbook of Fingerprint Recognition (Maltoni, 2009) a Encyclopedia of Biometrics (Li, 2009).
9
3
Autentizační a identifikační metody
Správné určení identity člověka je podstatné především pro řízení přístupu do budov, k lidem či objektům, zařízením, finančním zdrojům a informacím. Identita osoby je zjišťována také při cestování, provádění elektronických transakcí, telebankingu, vyhledávání pohřešovaných osob apod. V následující části diplomové práce budou popsány jednotlivé metody, pomocí nichž lze určit identitu člověka. Nejprve je však nutné definovat základní pojmy: • Identifikace (vyhledání) – Systém se snaží zjistit identitu uživatele prohledáváním v databázi záznamů všech uživatelů. Subjekt sám o sobě nepředkládá tvrzení o své identitě, jedná se o porovnávání 1:n. Nejčastěji se s identifikací sekáme v souvislosti s biometrikami. Systém odpovídá na otázku: „Kdo je daná osoba?ÿ (Rak et al., 2008, s. 128) • Verifikace (autentizace) – Systém se snaží ověřit identitu uživatele poté, co ji uživatel sám udá (např. zasunutím čipové karty, napsáním přihlašovacího jména či osobního identifikačního čísla). Jedná se o porovnávání 1:1. Verifikaci lze tedy chápat jako podmnožinu identifikace. Systém odpovídá na otázku: „Je daná osoba opravdu tou, za kterou se vydává?ÿ (Rak et al., 2008, s. 129) • Autorizace – Jedná se o proces přidělení oprávnění pro práci v systému, často následuje po úspěšném ověření identity uživatele. (Matyáš et al., 2008, s. 9) Identitu osoby můžeme v počítačové praxi rozlišit pomocí: • • • •
vlastnictví předmětů, znalostí, biometrických charakteristik lidského těla, kombinací výše uvedených.
Při hodnocení jednotlivých způsobů určení identity bychom se měli zaměřit především na: • bezpečnost, • uživatelskou přívětivost, • cenu.
3.1
Vlastnictví předmětů
Vlastnictví patří k nejrozšířenějším způsobům určení identity člověka. Vlastněný předmět je často označován jako token. Jedná se o fyzické zařízení, jímž je nutné se prokázat při autentizaci do systému, nejčastěji se jedná o určitý druh karty či autentizačního kalkulátoru. Karty můžeme dle použité technologie rozdělit na karty s magnetickým proužkem a na karty čipové. Karty s magnetickým proužkem obvykle obsahují neměnnou informaci. Čipové karty, jež mohou být kontaktní nebo bezkontaktní, jsou složitější a dražší, ale umožňují provádět s daty různé operace. Autentizační kalkulátory jsou zařízení, typicky využívající protokol typu výzva-odpověď. Odpověď je generována 10
Obr. 1: Základní filosofie identifikace a verifikace, zdroj: (Jain, 2008, s. 7) na základě tajemství sdíleného mezi kalkulátorem a serverem nebo na synchronizovaných hodinách. (Krhovják, 2007) S daným způsobem autentizace se setkáváme dennodenně – při vstupu na pracoviště si otevíráme dveře kartou s magnetickým proužkem, výběr z bankomatu provádíme pomocí čipové platební karty, k sítí mobilního operátora se připojíme po ověření SIM karty a na univerzitě nám jako základní autentizační prvek slouží ISIC a ITIC karta. Otázkou je, zda v budoucnu nebudou tokeny v podobě karet nahrazeny RFID biočipy implementovanými do lidského těla. Již dnes se lze s podobnými experimenty setkat. Výhody: • • • •
Jejich zkopírování je často velmi náročné. Nelze je sdílet tak snadno jako hesla. Ztrátu lze snadno zjistit. Čipy v kartách mají paměť pro uchovávání dat (PINu, elektronické fotografie, digitalizovaného podpisu, biometrické šablony). • Procesorové čipové karty umějí provádět speciální operace (kryptografické, vyhledávání markantních bodů). • RFID čipy umožňují bezkontaktní snímání. 11
Nevýhody: • Nákladnější řešení – nutné pořídit čtecí zařízení a tokeny musejí být vyrobeny tak, aby bylo náročné je zkopírovat. • Uživatelé mohou potřebovat zaškolení ve způsobu práce s tokenem. • Různé typy tokenů nejsou vzájemně kompatibilní. • Možnost poruchy, ztráty a následně nemožnost autentizace. • Tokeny lze padělat, odcizit či zneužít.
3.2
Znalosti
Využívá se dotazování na znalost, o které se předpokládá, že je tajná, tj. že ji zná pouze osoba, která se snaží být rozpoznána. Nejčastějším případem identifikace na základě znalosti jsou statická hesla a PINy (Personal Identification Nuber). Hesla jsou nejčastěji využívána pro přihlašování do informačních systémů, k internetovému bankovnictví, programům, pracovní stanici atd. Nejznámější forma PINu je při použití platební karty k výběru hotovosti z bankomatu a platbě u obchodníka. Zřídka se lze setkat i s dynamickými hesly, což jsou hesla, která se po každém přihlášení mění. K výpočtu nového hesla slouží autentizační kalkulátory. (Krhovják, 2007) Výhody: • • • •
Jedná se o nejlevnější řešení. Není nutné u sebe mít nějaké fyzické zařízení, také speciální čtečka není potřeba. Nevyžaduje školení uživatelů ve způsobu použití (intuitivní). Velmi výhodné použití v prostředí, kde otázka bezpečnosti není kritická, nebo jako alternativa k jinému druhu identifikace.
Nevýhody: • • • • •
Heslo, obzvláště pokud je složité, může být zapomenuto. Heslo lze odpozorovat či uhodnout. Pokud chceme vytvořit bezpečné heslo, je nutné se držet jistých pravidel. Obvykle se vyskytují dodatečné náklady na helpdesk. V případě většího počtu hesel či složitého hesla mají uživatele tendenci si hesla zapisovat. • Uživatelé často používají stejná hesla pro různé služby, v případě prozrazení hesla u jedné služby získá útočník přístup i k dalším službám.
3.3
Biometrické charakteristiky
Biometrika je měřitelná část těla či charakteristika osoby, která se v čase nemění, nebo se mění jen velmi omezeně. Podrobněji se biometrikami budeme zabývat v následující kapitole.
12
Výhody: • • • • • • • • •
Autentizuje se přímo uživatel. Nelze nic ztratit ani zapomenout. Jsou nepřenosné, tj. nelze je odcizit. Je obtížné je falzifikovat. Jsou přirozené a pohodlné. Na rozdíl od znalostí a vlastnictví je lze využít pro negativní identifikaci. Poskytují nepopiratelnost. Biometrická data nejsou tajná. Nižší cena údržby než u tokenů a obvykle i u hesel
Nevýhody: • Chybovost – naměřené údaje nejsou nikdy úplně shodné, tj. musíme povolit určitou variabilitu. • Biometrická data nejsou tajná. • Některé osoby nemusejí být schopny poskytnout biometrický vzorek. • Biometrická data mohou obsahovat citlivé informace o osobě.
3.4
Vícefaktorová autentizace
Vícefaktorová autentizace zahrnuje současné použití více než jedné z výše uvedených metod, čímž se částečně eliminují jejich individuální nevýhody. Rozeznáváme dvoufaktorovou a třífaktorovou autentizaci.
Obr. 2: Biometrický bankomat používaný v Polsku, zdroj: (Katdare, 2010)
13
3.4.1
Dvoufaktorová autentizace
Při dvoufaktorové autentizaci lze využívat kombinace: • Vlastnictví a znalosti – platební karta nebo SIM karta je chráněna PINem. • Vlastnictví a biometrik – data na čipové kartě jsou přístupná až po ověření otisku prstu, při platbě kartou u obchodníka podepisujeme účtenku. • Znalostí a biometrik – biometrické bankomaty instalované ve Varšavě, viz obr. 2. 3.4.2
Třífaktorová autentizace
Třífaktorovou autentizaci používáme v aplikacích vyžadujících nejvyšší stupeň zabezpečení. Jedná se o využití vlastnictví, znalostí a biometrik současně. Za třífaktorovou autentizaci bychom mohli považovat platbu u obchodníka, která probíhá dle následujícího scénáře: Při platbě nás obchodník vyzve k vložení platební karty do terminálu a následné zadání tajného PINu, vytisknutou účtenku nám následně nechá podepsat a zkontroluje, zda se podpis shoduje s podpisovým vzorem na kartě.
Obr. 3: Schéma vícefaktorové autentizace. Průnik libovolných dvou kruhů znázorňuje dvoufaktorovou auntetizaci, průnik všech tří znázorňuje třífaktorovou. (CleverAndSmart, 2009)
14
4
Biometriky
Slovo biometrie je složenina dvou řeckých slov bios a metron. První zmíněné znamená život a druhé měření. Pro účely této diplomové práce budeme za biometriky považovat fyziologické či behaviorální charakteristiky lidského těla, které lze měřit automatizovaným způsobem. Biometrickou identifikací je využití těchto charakteristik k zjištění nebo ověření identity člověka. Každá biometrika má své silné a slabé stránky a výběr té správné závisí na požadavcích aplikace. Aby daná biometrika mohla být úspěšně použita pro biometrickou identifikaci, měla by splňovat, mimo jiné, následující základní požadavky: (Jain, 2008, s. 15) • Univerzálnost – každý jedinec by měl být schopen poskytnout daný biometrický vzorek. • Jedinečnost – biometrické charakteristiky musejí být dostatečně unikátní, abychom mohli odlišit jednu osobu od druhé. • Stálost – biometrická charakteristika musí být v čase neměnná. • Praktická měřitelnost – charakteristiky musejí být rychle a přesně měřitelné a symbolicky vyjádřitelné. • Přijatelnost – Snímání a následné zpracování biometrických údajů musí být přijatelné pro vysoké procento lidí, tedy aby byli ochotni poskytnout biometrický vzorek. • Technologická možnost dalšího zpracování – uchovávání a vyhodnocování. • Odolnost vůči útokům – námaha, s jakou může být biometrický systém oklamán.
4.1
Terminologie
Definujme si základní terminologii: • Biometrický vzorek – nasnímaný nezpracovaný obraz biometrických charakteristik, např. otisk prstu, zvukový záznam, fotografie, podpis apod. • Biometrické markanty – jedná se o podmnožinu všech měřitelných údajů z biometrického vzorku, které mohou být efektivně využity pro identifikaci. Například při identifikaci pomocí otisku prstu nevyužíváme všech možných tvarů papilárních linií, ale pouze několika málo z nich (ukončení papilární linie, dvojitá vidlice atd.). • Biometrická šablona – Konečný produkt měření, jenž obsahuje všechny podstatné hodnoty a charakteristiky markantů specifické pro daného jedince. Šablona se následně využívá při automatizované verifikaci nebo identifikaci.
4.2
Fáze biometrického zpracování:
V této sekci jsou popsány základní postupy shodné pro všechny biometrické technologie zmiňované v této práci.
15
Obr. 4: Biometrický vzorek, charakteristiky, markanty a šablona (Rak et al., 2008, s. 121) 4.2.1
Sběr dat
Jedná se o snímání biometrických charakteristik pomocí speciálních vstupních zařízení k tomu určených (snímače otisků prstů, kamery, mikrofony). Snímání musí být provedeno za podmínek definovaných výrobcem (vzdálenost, úhel, vnější podmínky) a obvykle se kontroluje i možnost podvodného jednání (provádí se test živosti, abychom zamezili použití podvrhu biometrického vzorku). Zařízení snímající a zpracovávající více než jeden druh biometrických dat se nazývají multibiometrické systémy. Tyto systémy poskytují vyšší přesnost rozpoznávání a zvýšenou odolnost vůči útokům, ale za cenu zvýšených nákladů (větší počet senzorů, kapacitní a výpočetní nároky) a snížení uživatelské přívětivosti. 4.2.2
Kontrola kvality
Kvalita sběru dat určuje výkon celého biometrického systému, proto musí být důsledně sledována. Jedná se o proces, který obvykle následuje po fázi snímání, aby se zjistilo, zda jsou získaná biometrická data vhodná pro další zpracování. U některých systémů se ale můžeme setkat s kontrolou kvality až po zpracování biometrického vzorku. Kvalita nasnímaného vzorku je vyjádřena pomocí tzv. quality score. Pokud se zjistí, že nasnímaný obraz nebo extrahované charakteristiky nejsou dostatečně kvalitní (quality score je nižší než daná prahová hodnota), je osoba vyzvána k opětovnému snímání. Použití nekvalitního snímacího zařízení může vést k častému
16
výskytu chyby FTA1 a v důsledku toho nízké uživatelské přívětivosti. Může se stát, že některé osoby nejsou opakovaně schopny poskytnout dostatečně kvalitní biometrický vzorek nebo daným biometrickým vzorkem vůbec nedisponují; v tom případě se jedná o chybu FTE2 . 4.2.3
Přenos dat
Biometrické aplikace mohou sbírat data na jednom místě a následné zpracování provádět na místě jiném. Abychom při přenosu minimalizovali objem přenášených dat, provádí se bezeztrátová nebo častěji ztrátová komprese. Bezeztrátová komprese dovoluje přesnou zpětnou rekonstrukci komprimovaných dat, dosahuje ale menších kompresních poměrů než ztrátová. Výběr ztrátové kompresní techniky se odvíjí od použité biometrické metody, při rozpoznávání lidských tváří se volí formát JPEG, pro otisky prstů WSQ a pro ověření mluvčího CELP. Nevýhodou ztrátových metod je, že artefakty vzniklé při dekompresi mohou ovlivnit proces extrakce šablony a tím i celkový výsledek porovnání. 4.2.4
Zpracování naměřených údajů
Zpracování biometrického vzorku lze formálně rozdělit do dvou částí: 1. Extrakce šablony ze vzorku. 2. Zavádění nové šablony nebo porovnání šablony s dalšími v databázi. Extrakce šablony probíhá ve dvou krocích. V prvním kroku je z nasnímaných dat odstraněn nežádoucí šum a získány všechny identifikační charakteristiky (viz. obr. 4.2). V druhém jsou pak vybrány jen ty, které jsou kvalitní a podstatné pro tvorbu šablony (viz. obr. 4.4). Pro extrakci markantů se využívají různé matematické postupy a algoritmy, které jsou však výrobci zařízení utajovány. Z tohoto důvodu nejsou biometrické šablony mezi zařízeními různých výrobců kompatibilní. Obecně se udává, že z extrahovaných charakteristik není možné restaurovat původní obraz biometrického vzorku, nicméně existují více či méně zdařilé pokusy o získání původních biometrických dat ze šablony. V souvislosti s touto tematikou bych odkázal na (Bouška, 2008). Zavádění šablony do databáze provádíme v případě, že chceme zaregistrovat novou osobu. Zaváděná šablona se označuje jako referenční. Při zavádění je velmi důležitá kvalita vstupních dat, proto je obvykle sejmuto více biometrických vzorků a šablona se generuje z jejich průměru nebo se použije vzorek s nejlepší kvalitou. V případě středních a velkých organizací se pro prvotní registraci doporučuje pozvat vyškoleného operátora ze strany dodavatele zařízení. Porovnání šablon probíhá mezi šablonou právě nasnímaného biometrického vzorku a šablonami uloženými v databázi. Počet porovnávání záleží na tom, v jakém režimu zařízení pracuje: 1 2
Failure to acquire – uživatel nemůže být ověřen, ačkoliv byl dříve zaregistrován. Failure to enroll – uživatel nemůže být v systému zaregistrován.
17
Biometrická metoda Otisky prstů
Hlas Tvář Oční duhovka Oční sítnice Geometrie dlaně a prstů Podpis Dynamika psaní na klávesnici
Extrakce charakteristických markantů Umístění a směr charakteristických bodů otisku (rozdvojení papilárních linií, jejich tvary apod.) Frekvence, intonace, trvání jednotlivých hlasových charakteristik Relativní pozice a tvar nosu, očí, lícních kostí Rýhování a proužkování duhovky, geometrické obrazce Tvar markantů krevního řečiště v sítnici Délka a šířka kostí a kloubů dlaně a prstů Rychlost, směr jednotlivých tahů, dynamika, vzhled podpisu Pořadí kláves, časové intervaly mezi jednotlivými úhozy
Tab. 1: Typické extrahované markanty jednotlivých biometrických metod, zdroj: (Rak et al., 2008, s. 126)
Obr. 5: Základní schéma uložení referenční šablony (Jain, 2008, s. 7) • Identifikace – provádí se porovnání 1:n, kde n je počet šablon uložených v databází. Čím více záznamů je v databázi uloženo, tím více času a výpočetních zdrojů je potřeba. V případě velkých databází výstupem bývá seřazený seznam možných přiřazení. Identifikaci dále můžeme rozdělit na: – Pozitivní – cílem je prokázat, že uživatel je v systému registrován. Pokud šablona právě sejmutého biometrického vzorku koresponduje s některou referenční šablonou uloženou v databázi, je uživatel označen jako oprávněný. V opačném případě je odmítnut. – Negativní – cílem je dokázat, že uživatel není v systému registrován. Přijetí uživatele nastane v případě, že aplikace nenajde shodu mezi předkládanou šablonou a šablonami v databázi. Odmítnutí nastane, pokud se shoda nalezne. Tento způsob se využívá např. při přidělování humanitární pomoci, aby se zamezilo násobným požadavkům od stejné osoby, nebo při kontrole
18
vstupu na fotbalové zápasy, kdy v databázi jsou uloženy záznamy problémových fanoušků. Jiné dělení je podle množiny subjektů pokoušejících se o identifikaci, rozeznáváme: – Uzavřenou množinu – identifikace je provedena pouze pro subjekty, které jsou zaregistrovány v databázi. Výstupem identifikace je neprázdný seznam možných přiřazení. V praxi je identifikace na uzavřené množině využívána pouze zřídka. – Otevřenou množinu – pokusy o identifikaci mohou být učiněny i nezaregistrovanými subjekty. • Verifikace – poté, kdy uživatel zadá svůj identifikátor, se referenční šablona přiřazená k danému identifikátoru porovná se šablonou právě nasnímaného biometrického vzorku. Je vykonáno pouze jedno porovnání, jedná se tedy o rychlejší a přesnější proces než v případě identifikace. • Porovnání „ jedna k několikaÿ – vyskytuje se často v bezpečnostně-komerčních aplikacích, kdy jsou v databázi uloženy maximálně desítky šablon. Používá se označení 1:few. Zpravidla se jedná o šablony patřící členům rodiny, pracovníkům dané organizace, skupině osob využívajících společně daný objekt apod. Od klasické identifikace (při které mohou být prohledávány i miliony šablon) se liší rychlostí a přesností zpracování, blížící se autentizaci. 4.2.5
Vyhodnocení
Stanovení výsledků porovnávání. Na základě míry shody mezi předkládanou a referenční šablonou je vypočteno tzv. match score. Match score je následně porovnáno s nastavenou prahovou hodnotou (threshold ) a je provedeno konečné rozhodnutí – pokud je match score vyšší než práh, je ověřovaná osoba označena jako oprávněná; v opačném případě jako neoprávněná. Mohou nastat dvě chyby: • falešné odmítnutí oprávněného uživatele, • nesprávné přijetí neoprávněného uživatele. 4.2.6
Uložení dat
Bezpečnostně-komerční biometrické aplikace neukládají původní biometrické vzorky, ale pouze z nich odvozené referenční šablony, jež mají podstatně menší datovou velikost. Ukládání originálních biometrických dat je také obvykle zakázáno legislativou z důvodu ochrany soukromí a zamezení případnému zneužití. Ukládáme údaje a referenční šablony pouze těch osob, kterým chceme přidělit jistá práva (přihlášení k počítači, přístupu do objektu, provedení finanční transakce apod). Ukládání probíhá obvykle šifrovaně buď do lokálního, nebo do síťového úložiště či do přenosného zařízení. Při lokálním uložení jsou všechny šablony umístěny přímo v biometrickém zařízení. Lokální uložení se obvykle využívá v aplikacích pro řízení přístupu k určitému 19
Biometrika Hlas Obličej Podpis Otisk prstu Geometrie ruky Oční duhovka Oční sítnice Krevní řečiště
Přibližná velikost šablony v bytech (B) 70–80 B/sekunda 84–2000 B 500–1000 B 256–1200 B 120 B 512–1024 B 96 B 300 B
Tab. 2: Přibližná velikost biometrických šablon, zdroj: upraveno (Woodward, 2003, s. 38) prostoru pro malý počet lidí. Při ukládání přímo do snímacího zařízení nemusíme řešit otázky bezpečnosti při síťovém přenosu biometrického vzorku ke zpracování. Za nevýhodu lze považovat omezenou datovou kapacitu pro uložení šablon a správu šablon – pro každé zařízení v organizaci, používající lokální úložiště, je nutné opakovaně provést registraci daného uživatele. Při síťovém uložení jsou šablony uchovávány v centrální databázi, která je dostupná přes počítačovou síť, jež musí být dostatečně zabezpečena. Tento přístup je využíván v případě velkého počtu šablon. Fázi registrace stačí provést pouze jedenkrát a všechna ostatní biometrická zařízení připojená do sítě mohou k vytvořené šabloně přistupovat. Výhodou je také snazší zálohování databáze. Uložení biometrické šablony v přenosném zařízení je využíváno především v případě identifikačních nebo platebních čipových karet, karta se tak stává nepřenosnou. Typická velikost paměti čipové karty je od 8 do 64 kB a více. Kromě šablony mohou být v čipu uloženy také další údaje – jméno a příjmení, identifikační číslo, digitální certifikát atd. Šablona není umístěna v žádné databázi, uživatel ji má přímo pod svojí kontrolou, což přispívá ke zvýšení bezpečnosti za předpokladu, že zajistíme integritu šablony. Tento postup se využívá při vydávání biometrických pasů v ČR.
4.3
Fyziologické biometriky
Systémy založené na měření fyziologických charakteristik jsou přesnější, objektivnější a spolehlivější než systémy založené na chování člověka, protože měření fyziologických vlastností jsou lépe opakovatelná a nejsou podstatněji ovlivňována psychickým či fyziologickým stavem jako např. stres či nemoc. (Matyáš et al., 2008, s. 22) Fyziologické charakteristiky jsou pro každého člověka jedinečné a časově neměnné. 4.3.1
Geometrie ruky
Měření geometrie ruky je pokládáno za praotce plně automatizované bezpečnostně-komerční verifikace osoby. Komerční využití bylo odstartováno v roce 1970 sys20
témem nazvaným Identimat, který měřil geometrii ruky a byl využit pro přístup a evidenci docházky do investiční firmy Shearson Hamill na Wall Street.(Rak et al., 2008, s. 91) V systémech pro měření geometrie ruky má dlouholetou tradici firma Recognition System, Inc3 , která zaujímá cca 90 % trhu s biometrickými zařízeními pro snímání geometrie ruky. Autentizace na základě geometrie ruky je založena na jedinečnosti anatomických charakteristik lidské dlaně a prstů, jež se u dospělého člověka během života nemění. Dle druhu zařízení se měří buď délka dlaně a jednotlivých prstů (jednorozměrné systémy), délka a šířka (dvourozměrné) nebo délka, šířka a výška (třírozměrné). Při snímání klade uživatel pravou ruku dlaní dolů mezi 4–6 distančních kolíčků umístěných na základové desce s velkou optickou odrazivostí. Kolíčky zaručují stejnou polohu ruky při každém snímání. Poté je ruka osvícena infračervenými LED diodami a odražený obraz je zachycen pomocí CCD kamery se 32 000 pixely. U zařízení měřících všechny tři rozměry ruky je pro zachycení boční projekce ruky využito zrcadlo se sklonem 45 ◦ C, které odráží obraz do stejné kamery. Vytvořený bitmapový snímek je černobílý a obsahuje pouze siluetu ruky. Ve fázi předzpracování je provedeno zarovnání otisku a jsou z něj odstraněny artefakty, jako jsou distanční kolíčky, prsteny apod. Dle naměřených rozměrů (cca 90 různých měr) je vyhotovena biometrická šablona. Tvorba referenční šablony trvá asi 30 sekund a je vytvořena z aritmetického průměru trojího snímání, čímž se eliminují nepřesnosti vzniklé při umisťování ruky na skener. V procesu porovnávání, mezi právě nasnímanou šablonou a referenční šablonou, se porovnávají vzdálenosti předem určených bodů. Nejčastěji se biometrická zařízení pro měření geometrie ruky využívají pro řízení přístupu do budov (Jaderná elektrárna Dukovany, americké jaderné elektrárny) včetně automatické evidence docházky a při hraničních kontrolách (projekt INSPASS4 ). Výhody: • • • • • •
rychlá verifikace, technologicky jednoduchá metoda, uživatelsky přívětivé snímání, odolné na zašpiněné ruce, škrábance, lehce použitelná metoda i pro nevidomé, malá velikost referenční šablony.
Nevýhody: • velmi nízká rozlišovací schopnost, tj. nelze použít pro identifikaci, • nutnost přesného umisťování dlaně na snímací plochu, • špatná odolnost vůči útokům využívajícím třírozměrné napodobeniny ruky, 3
http://www.recogsys.com Immigration and Naturalization Service Passenger Accelerated Service System – využití skenerů ruky pro urychlení odbavení častých cestujících na letištích v USA. 4
21
Obr. 6: Skener geometrie ruky s klávesnicí pro zadání identifikátoru osoby. Snímací plocha obsahuje distanční kolíčky pro správné rozložení prstů pravé ruky. Zdroj: (Datamatics Management Services, 2010) • větší fyzické rozměry snímacího zařízení, • fyzický kontakt se snímačem, • obvykle dražší než zařízení pro snímání otisků prstů. 4.3.2
Krevní řečiště ruky
Jedná se o poměrně mladou technologii založenou na rozpoznávání osob podle unikátního obrazu cév na hřbetu nebo dlani ruky, jenž je specifický pro každou osobu (i jednovaječná dvojčata) a relativně neměnný v čase. První zařízení pro snímání krevního řečiště hřbetu ruky se jmenovalo BK-100 a bylo uvedeno na trh v roce 1997 firmou BK Systems. Od roku 2007 lze pro autentizaci do OS Windows zakoupit počítačovou myš PalmSecure se snímačem krevního řečiště od firmy Fujitsu (Fujitsu, 2007). Při snímání klade uživatel ruku na skener hřbetem nahoru, následně je ruka nasvěcována LED diodami a snímána černobílou CCD kamerou s infračerveným filtrem. LED diody emitují blízké infračervené záření o vlnových délkách 800–900 nm, jež proniká do tkáně přibližně 3 mm hluboko. Cévy vedoucí deoxigenovaný hemoglobin pohlcují více infračerveného záření než okolní tkáně, což způsobí v zachyceném
22
obrazu černé zvýraznění jejich kresby. Někteří výrobci využívají infračervenou termografii, která detekuje rozložení tepla vycházejícího z ruky a cév. Ve výsledném snímku je nalezna zájmová oblast a provedeny podobné úpravy jako v případě otisků prstů, tj. odstranění šumu, zvýraznění kresby žil a tepen, binarizace a skeletizace. V takto upraveném obraze jsou nalezeny charakteristické markanty, jako jsou konce linií, rozdvojení apod.
Obr. 7: Krevní řečiště dlaně – a) normální obraz, b) nasnímaný obraz c) binarizovaný a skeletizovaný obraz, zdroj: (PalmSecure, 2008) Výhody: • nasnímaný obraz je vektorový – tj. uživatel nemusí umisťovat ruku do stále stejné polohy, • stejné možnosti využití jak v případě měření geometrie ruky, ale miniaturizace snímacích zařízení, • snímání v infračerveném pásmu je vhodné pro ověřování živosti verifikovaného objektu, • bezkontaktní snímání, tj. hygienická čistota, • je dosahováno nízkých hodnot FAR a FRR, • technologicky nenáročné řešení. Nevýhody: • nepříliš rozšířená technologie. 4.3.3
Otisky prstů
Metoda založená na snímání jedinečných obrazců papilárních linií. Se snímači otisků prstů se můžeme setkat v noteboocích, PDA, mobilních telefonech, klávesnicích, myších, USB jednotkách, dveřních zámcích, kreditních kartách apod. Jedná se o jednu z nejpřesnějších a nejrozšířenějších biometrických technologií, v komerčním sektoru zaujímá 66,7 % objemu trhu (International Biometric Group, 2010). Detailní popis je v následující kapitole.
23
Výhody: • • • • •
stálost a přesnost daktyloskopických markantů, léty prověřená technologie při kriminalistickém využití, hodně produktů a aktivit v oblasti výzkumu a vývoje, značný rozsah použitelnosti, přijatelná cena a velikost snímacích zařízení.
Nevýhody: • může vyvolávat asociace s policejními postupy, • v případě poranění, oděrek nebo nových jizev se mohou vyskytnout problémy při verifikaci, • otisky prstů necháváme na všem, čeho se dotkneme, • na snímačích mohou zůstávat nečistoty nebo otisky z předchozího snímání. 4.3.4
Rozpoznávání obličeje
Lidský obličej obsahuje body, které jsou pro každého jedince specifické a neměnné v čase. Pro počítačovou identifikace osoby dle její tváře využíváme videokamery a příslušné softwarové vybavení. Rozpoznání obličeje je poměrně náročný proces, jenž je proveden ve dvou krocích: 1. detekce a lokalizace tváře na scéně, 2. rozpoznávání lidské tváře.
Obr. 8: Obličej s vyznačenými základními antropologickými markanty, zdroj: (Advanced Software Security, 2008) Složitost detekce a lokalizace tváře se odvíjí od typu scény. Snazší je detekce na uměle vytvořené scéně, kde se vyskytuje pouze jedna tvář snímaná zepředu v konstantní vzdálenosti od objektivu, s neutrálním výrazem, pozadí je jednoduché a neměnné. Za těchto podmínek výrobci udávají přesnost detekce v rozmezí 90–98 %.
24
V reálných podmínkých je detekce mnohem náročnější – různorodé pozadí, množství jiných osob, snímání z různých úhlů a proměnlivá vzdálenost od objektivu. Přesnost se pohybuje mezi 75–80 %. Pro detekci lidské tváře je využíván její počítačový model, který se porovnává se všemi objekty na scéně. Dle způsobů modelování tváře rozlišujeme dvě základní skupiny metod pro detekci a lokalizaci tváře – statisticky orientované metody a znalostní metody. Pro dosažení optimálních výsledků jsou v praxi jednotlivé metody kombinovány. Statisticky orientované metody jsou: (Rak et al., 2008, s. 322) • Metoda podprostoru – detekce tváře je určení podprostoru v obraze, v němž leží všechny markantní body lidské tváře (oči, ústa, nos apod.). • Metoda neuronových sítí – jedná se o širokou škálu algoritmů pro řešení klasifikačního problému o dvou třídách (obrazy tváře, ostatní obrazy). K trénování sítí lze využít speciální knihovny s obrazy lidské tváře (např. projekt FERET5 nebo FRVT6 ). Znalostní metody jsou metody založené na: (Rak et al., 2008, s. 325) • Rozložení odstínů šedi v obraze – vychází se z pravidel výskytu šedé barvy v obraze, např. oblast očí je tmavší než čelo. Jako reprezentanta této třídy metod můžeme určit metodu mozaiky. • Rozpoznávání obličejových obrysů - metoda založená na algoritmech pro detekci hran v obraze. Pomocí těchto algoritmů můžeme najít markantní body ve tváři. • Informaci o barvách – rozložení barev v obličeji lidí je velice podobné, díky čemuž lze odlišit tvář ve scéně od pozadí. • Informaci o pohybu na scéně – využití časové sekvence snímků, kdy se osoby (a jejich tváře) pohybují vzhledem k pozadí. • Symetrii – detekce symetrického obrazu ve scéně odpovídajícího znakům lidské tváře. Při rozpoznávání lidské tváře je potřeba z detekované části obrazu extrahovat identifikačních charakteristiky unikátní pro každou tvář, ty jsou následně porovnány v procesu identifikace/verifikace se šablonami již uloženými v databázi. Stejně jako v případě detekce a lokalizace tváře, tak i pro její rozpoznávání se využívá celá řada rozličných metod založených na: (Rak et al., 2008, s. 329) • rozložení odstínů šedi v obraze – využití metody mozaiky, porovnání segmentů z obrazu neznámé tváře se segmenty obrazu uložené tváře, • geometrických tvarech – pro každý objekt obličeje je vytvořen parametrický model a energetická funkce, • optických tocích – využívá se vektorového vyjádření polohy a světelné intenzity obličejových bodů při pohybu hlavy, 5 6
FacE REcognition Tests Face Recognition Vendor Tests
25
• umělých neuronových sítích – použití výpočetního modelu, který se může sám učit. Metody neuronových sítí lze využít jak pro určení jednotlivých charakteristik, tak i pro závěrečné rozpoznávání. Rozpoznávání tváří má širokou škálu použití, např. ve spojení s identifikačními doklady (pasy, řidičské průkazy), při hraničních, celních a imigračních kontrolách, ochraně objektů, sledování osob, autentizaci přístupu k výpočetním prostředkům apod. Pro autentizaci k výpočetním prostředkům pomocí rozpoznávání tváří lze využít např. starší produkty FaceIt od firmy Visionics, Miros od TrueFace, FaceOn od Symtron a nebo novější Blink!7 od Luxand. Známý je případ z roku 2001, kdy technologie pro rozpoznávání tváří byla použita při Super bowlu v Tampa Bay na Floridě. Když návštěvníci procházeli turnikety, byl snímán jejich obličej a ten byl následně porovnáván se záznamy známých kriminálníků. Výhody: • • • • •
přirozenost, bezkontaktní snímání i na velkou vzdálenost, není nutný speciální hardware, široká škála praktických aplikací, možnost práce v infračerveném pásmu.
Nevýhody: • • • • •
nižší přesnost ve srovnání s otisky prstů nebo oční duhovkou, vysoké nároky na výpočetní výkon, obličej člověka se v čase mění (účes, brýle, náušnice, stárnutí), problémy s osvětlením a snímáním z úhlů, osoba nemusí vědět o tom, že je sledována.
4.3.5
Oční duhovka
Snímání oční duhovky představuje jednu z nejpřesnějších a nejrychlejších biometrických technik. Oční duhovka je barevná oblast kolem zorničky lidského oka, která obsahuje unikátní identifikační body, jež jsou mezi různými osobami značně variabilní. Těmito body mohou být krypty, hřebeny, koróny, radiální a koncentrické rýhy, pigmentové skvrny a záhyby. Struktura vzoru duhovky je epigenetická, tj. vzniká na základě náhodných událostí a okolností při morfogenezi tkáně, což má za důsledek, že vzory duhovky jsou rozdílné pro jednovaječná dvojčata i pro levé a pravé oko stejné osoby. Struktura duhovky je v průběhu života jedince neměnná. Snímání probíhá ze vzdálenosti maximálně jeden metr za využití monochromatických CCD kamer s rozlišením 480×640 pixelů pracujících v blízkém infračerveném pásmu, jež zvýrazňuje kresbu duhovky. Snímek je následně doostřen, je upravena velikost a kontrast, jsou odstraněny zrcadlové odlesky, je nalezena oblast očí, víček, zornice a kruhový vzor duhovky. Vzor duhovky je zakódován do šablony ve formě 7
http://www.luxand.com/blink/
26
Obr. 9: Lokalizace oblasti duhovky a zornice. V levém dolní rohu je znázorněna mapa zakřivení pro vnitřní a vnější okraj duhovky. V levém horním rohu je výsledek kódování znaků duhovky pomocí 2D waveletové demodulace, zdroj: (Jain, 2008, s. 77) tzv. IrisCode pomocí patentovaných algoritmů Dr. Johna Daugmana, jež se používají ve všech komerčních implementacích této technologie a jsou ve vlastnictví firmy Iridian Technologies. Při identifikaci se pro srovnání dvou obrazů duhovek využívá operace XOR aplikované na jejich IrisCode. XOR vrací hodnotu nula pokud jsou oba bity shodné a jedna pokud jsou rozdílné. Rozsah, ve kterém se jednotlivé bity liší, se nazývá Hammingova vzdálenost. Na 300 MHz RISC procesoru je možné provádět přibližně 100 000 takovýchto srovnání za sekundu.(Daugman, 2004, s. 23) Aplikace rozpoznávání duhovky jsou nasazeny především v prostředích vyžadujících vysokou úroveň bezpečnosti, jako jsou jaderné elektrárny, armádní objekty, bankovní trezory, letiště, věznice apod. Největší nasazení těchto systémů je ve Spojených arabských emirátech, kde se používají pro kontrolu všech osob přijíždějících do země oproti databázi vyhoštěných cizinců. Pro uživatele, kteří chtějí využít tuto technologii pro autentizaci k osobnímu počítači, lze doporučit biometrickou kameru Panasonic BM-DT120, jejíž distributorem v ČR je firma Digitus s.r.o8 . Pro zvýšení bezpečnosti biometrického systému se lze setkat i se zařízeními od firmy Retica Systems snímajícími oční duhovku a sítnici současně. Výhody: • • • • 8
vyšší přesnost než u ostatních biometrických technologií, viz Tab. 3, vhodné řešení pro identifikaci, vysoká rychlost srovnání šablon, lze zpracovávat i velmi nekvalitní obrazy, http://www.digitus.cz/
27
Hammingova vzdálenost Pravděpodobnost nesprávného srovnání 0,30 1 : 1,5 miliardy 0,31 1 : 185 milionům 0,32 1 : 26 milionům 0,33 1 : 4 milionům Tab. 3: Pravděpodobnosti nesprávného srovnání pro různé úrovně tolerance odchylky, zdroj: (Daugman, 2004, s. 27) • jednoduché začlenění testu živosti (mrknutí, stáhnutí a roztáhnutí zornice při změně intenzity světla). Nevýhody: • drahá vstupní zařízení vzhledem k patentovému monopolu. 4.3.6
Oční sítnice
Oční sítnice se nachází na zadní straně oční bulvy a je zásobena krví pomocí řečiště drobných cévek, které zůstává během života jedince neměnné. Jedinečný obraz těchto cév se dá využít k identifikaci dané osoby. Pro získání biometrického vzorku je sítnice nasvícena blízkým infračerveným světlem s nízkou intenzitou, jež cévky pohlcují více než okolní tkáně. Odražený paprsek opouští oko pod stejným úhlem, jakým do něj vstoupil, a je zaznamenán za použití speciální optické kamery. Proces snímání probíhá ze vzdálenosti od 8 cm do jednoho metru a trvá přibližně 15 sekund. Během snímání nesmí uživatel hýbat hlavou, musí mít široce otevřené oči zaostřené na daný bod, což zaručí, že kruhový snímek sítnice bude správně osvětlen a centrován. Ve fázi registrace, která trvá i více než minutu, je získáno několik snímků sítnice a výsledná šablona je vytvořena ze zprůměrovaných hodnot nejlepších z nich. Nejznámější firmy působící v této oblasti jsou EyeDentify, EyeKey a Retica Systems. Existují i zařízení kombinující tuto technologii s technologií pro snímání oční duhovky. Snímací zařízení jsou konstruována pro uchycení na zeď a slouží především pro řízení přístupu. Snímání sítnice je využíváno již od roku 1980 především tam, kde je kritický požadavek bezpečnosti, bez ohledu na uživatelské pohodlí, např. ochrana jaderných zbraní. Výhody: • vysoká přesnost a rychlost, tj. vhodné i pro identifikaci, • zařízení je obtížné oklamat (nelze jednoduše získat biometrický vzorek, ani vytvořit napodobeninu). Nevýhody: • uživatelsky nepříjemné snímání, • nutnost sundávat brýle, 28
Obr. 10: Oční sítnice, zdroj: (21Century-Ecommerce, 2001) • vysoká cena snímačů, • nemožnost použít ve venkovním prostředí, • vyžaduje spolupracujícího uživatele.
4.4
Behaviorální biometriky
Behaviorální biometriky jsou založeny na specifických rysech lidského chování. Toto chování může být ovlivněno aktuálním fyzickým a psychickým stavem verifikované osoby, vnějším prostředím a v průběhu času se může měnit. Oproti fyziologickým biometrikám poskytují nižší přesnost a jsou tedy vhodné pouze k verifikačním účelům. Typické jsou také tím, že při snímání je vyžadována určitá akce uživatele (promluvení, podepsání apod). 4.4.1
Ověření mluvčího
Jedná se o biometrickou technologii založenou na analýze lidského hlasu, který má fyziologické i behaviorální charakteristiky. Fyziologické charakteristiky jsou určeny anatomií hlasového ústrojí (tvarem, pohyblivostí a rezonancí dutiny ústní, hlasivek, jazyka, zubů). Behaviorální charakteristiky jsou ovlivněny stavem mluvčího (emocionálním, zdravotním, socioekonomickým) a naučenými charakteristikami řeči, jako je např. tempo řeči nebo výslovnost. Na rozdíl od většiny zde probíraných biometrik není rozpoznávání hlasu založeno na zpracování obrazové informace, ale zpracovává se informace zvuková. Rozpoznávání hlasu poskytuje ve srovnání s čistě fyziologickými biometrikami nižší přesnost, jež je způsobena změnami hlasu jednoho mluvčího, nízkou variabilitou hlasu mezi různými lidmi a šumem z okolí. Při verifikaci mluvčího rozlišujeme (podle typu textu, který uživatel vyslovuje) systémy textově závislé, s textovou výzvou a textově nezávislé. Při využití textově zá29
vislých systémů je stejný text využit pro registraci i následné autentizace. Text může být vybrán buď systémem, nebo samotným uživatelem. Výhodou těchto systémů je větší rozpoznávací výkon, nevýhodou pak možnost útoku přehráním. U systémů s textovou výzvou uživatel dopředu neví, co má být vysloveno, což eliminuje útoky přehráním, a zvyšuje tak bezpečnost systému. Při autentizaci systém sám náhodně zvolí sekvenci slov, poté ji uživatel vysloví, systém provede rozpoznání obsahu řeči, a pokud uspěje je provedena fáze verifikace. V případě textově nezávislých systémů může uživatel vyslovit libovolný text. Z důvodu omezeného množství dat poskytnutých ve fázi zavádění šablony je přesnost těchto systémů nižší než u textově závislých a jsou stejně jako ony náchylné k útokům přehráním. Jsou využívány pro telefonní odposlechy a automatické indexování televizních pořadů.
Obr. 11: Hlasový signál Systémy založené na rozpoznávání hlasu se využívají především pro autentizaci transakcí při telefonních hovorech (telefonní bankovnictví, linky telekomunikačních operátorů), pro řízení přístupu (obvykle jako doplňková metoda) a ke správě řečových dat (organizaci informací v audio souborech). Přihlašování do operačního systému pomocí ověření mluvčího bylo implementováno v Mac OS 9 pod názvem VoicePrint. Vzhledem k nízké přesnosti, konkrétně vysokým hodnotám FRR okolo 40–50 %, nebylo začleněno do jeho nástupce Mac OS X. Výhody: • přirozená, uživatelsky přívětivá a bezkontaktní metoda, • vhodné pro vzdálenou autentizaci po telefonu, • nízká cena vstupních zařízení (mikrofon, zvuková karta). Nevýhody: • • • • •
nižší přesnost, nelze použít v hlučném prostředí, změna charakteristik a vývoj řeči, problémy při použití různých zařízení při registraci a autentizaci, pro tvorbu kvalitní šablony je nutno poskytnout dostatek registračních dat.
30
4.4.2
Podpis
Další biometrická metoda využitelná pro identifikaci osoby je založena na analýze ručně psaného písma. Psané písmo je výsledkem fyziologických a psychologických procesů, jež jsou pro každého jedince rozdílné, a výsledné písmo je tak jedinečné. V praxi rozlišujeme off-line a on-line systémy na rozpoznávání osoby podle podpisu. S off-line systémy se setkáváme při každodenních operacích, jako jsou podpisy smluv, potvrzení příjmu zboží, schválení finanční transakce apod. Srovnává se pouze celkový tvar podpisu, buď vizuálně, nebo automatizovanými prostředky jakmile jsou digitalizovány pomocí černobílých skenerů. Postrádají jakoukoliv informaci o časovém průběhu podpisu. Pro jejich malou bezpečnost se jimi dále nebudu zabývat.
Obr. 12: Formulář pro otevření účtu podepsaný na Tablet PC zaznamenávajícím statické a dynamické charakteristiky podpisu. Důvěryhodnost a integrita je zaručena pomocí nástrojů SignDoc od firmy SOFTPRO a Digital Signatures od společnosti Adobe, zdroj: (SOFTPRO, 2009) V případě on-line systémů se využívá speciální vstupní zařízení, jímž obvykle bývá grafický tablet, dotyková obrazovka nebo elektronické pero. Tato zařízení poskytují informace o pohybu pera (horizontální a vertikální souřadnice) a v některých případech také o tlaku pera na podložku a jeho sklonu. Kromě statické informace (výsledného obraz podpisu) jsou v průběhu tvorby podpisu zaznamenávány i dynamické charakteristiky, které znesnadňují jeho falšování. Po snímání podpisu následuje fáze předzpracování, ve které je z obrazu odstraněn nežádoucí šum, je provedena detekce přerušení tahů a normalizace velikosti a sklonu. Při vyhodnocování celkového static31
kého obrazu podpisu se extrahují parametry udávající zakřivení jednotlivých tahů, relativní velikost smyček, poměr dlouhých a krátkých tahů, délku segmentů atd. Dynamická část podpisu je reprezentována jako matematická časová funkce. V každém časovém okamžiku je zaznamenávána pozice, rychlost, zrychlení a tlak hrotu pera na podložku. Verifikace probíhá tak, že se uživatel představí systému, z databáze jsou následně extrahovány všechny referenční charakteristiky vzorového podpisu daného uživatele a porovnají se s charakteristikami právě vytvořeného podpisu. Dle výsledků porovnání je uživatel systémem přijat nebo odmítnut. Existuje několik typů metod pro porovnání podpisů: (Rak et al., 2008, s. 447) • • • • •
metody vážené distance, statistické metody, neurovoné sítě, metody dynamické časové deformace, metody skrytého Markovova modelu.
Výhody: • • • • •
přirozenost, možné nasadit tam, kde se nyní používá klasický podpis, automaticky je splněn test živosti, levná vstupní zařízení, integrace do aplikací pro úpravu textů a elektronické publikování, např. Adobe Acrobat.
Nevýhody: • velmi nízká přesnost, • při tvorbě šablony je nutno poskytnout více podpisů, • v některých případech vysoké hodnoty FTE a FTA. 4.4.3
Dynamika psaní na klávesnici
Každý člověk píše na klávesnici svým vlastním charakteristickým způsobem. Měří se dynamika stisku jednotlivých kláves, tj. okamžik stlačení klávesy a doba, po kterou stisk trval. Tyto informace jsou získávány z hardwarových přerušení. Jedná se o metodu, která nevyžaduje žádný speciální hardware, pouze klasickou počítačovou klávesnici a odpovídající softwarové vybavení. Verifikace uživatele může probíhat ve statickém nebo dynamickém režimu. Statická verifikace je běžnější metoda, která se zabývá technikou psaní přihlašovacích údajů (jméno a heslo) ověřovanou osobou. Ve fázi registrace uživatel zadá údaje 1–20 krát v závislosti na nastavení aplikace a následně je z nich vypočtena referenční šablona. Při verifikaci probíhá kromě vlastního měření dynamiky stisku kláves také kontrola zadaných přihlašovacích údajů, jedná se tedy o dvoufaktorovou autentizaci. Vyhodnocovací algoritmy pracují na principu srovnávání vzorů nebo 32
neuronových sítí. Jsou udávány hodnoty FRR 8,1 % a FAR 2,8 % (Bleha, 1990). Nejznámějším řešením je aplikace BioPassword9 od firmy BioNet Systems, LLC, která slouží k přihlašování k počítačům. Dynamika stisku kláves může být také použita pro zadávání hesel v on-line prostředí, k zaznamenávání úhozu můžeme využít technologie Adobe Flash, Java nebo JavaScript. Dynamická verifikace se nasazuje tam, kde je potřeba větší zabezpečení. Ověřování dynamiky psaní probíhá v průběhu celé práce s počítačem, zamezuje tak případům, kdy autorizovaný uživatel od počítače odejde, přisedne si jiný a pokračuje v psaní. U těchto systémů není obvykle nutné zadávat přihlašovací údaje, vyhneme se tak všem problémům, které souvisejí s autentizací pomocí hesel. Pracuje se s dostatečně dlouhými texty, mohou být tedy zaznamenávány další charakteristiky – celková rychlost psaní, frekvence výskytu chyb a styl psaní velkých písmen. Výhody: • nevyžaduje speciální hardware, • levné řešení, • průběžná autentizace. Nevýhody: • uživatelé, kteří nemají zažitý styl psaní na klávesnici, mohou mít problémy s přihlašováním.
9
http://www.biopassword.com
33
5
Otisk prstu
Rozpoznání osoby podle otisků prstů je jednou z nejpřirozenějších, nejrozšířenějších, nejpřesnějších a díky forenzní praxi i nejstarších a nejprověřenějších technologií. Otisk prstu je obrazec tvořený papilárními liniemi, jež tvoří na dlaňové straně prstů 0,1–0,4 mm vysoké a 0,1–0,3 mm široké výběžky. Prohlubně mezi papilárními liniemi se nazývají brázdy. Obrazce papilárních linií se začínají tvořit již ve čtvrtém měsíci embryonálního vývoje, plně zformovány jsou o tři měsíce později a po celý další život zůstávají neměnné. Většina zranění prstu, jako jsou povrchové popáleniny, odřeniny a řezné rány, nepoškozují zárodečnou vrstvu kůže a po zahojení se objeví původní struktura. Otisky prstů jsou pro danou osobu jedinečné a předpokládá se, že na světě nejsou dva jedinci, jejichž otisky by byly shodné ve všech rysech. Technologie otisků prstů nachází uplatnění zejména v těchto oblastech: • Fyzická kontrola přístupu – ochrana přístupu do jaderných elektráren, bankovních trezorů, kanceláří apod. • Logická kontrola přístupu – ochrana přístupu k počítačům, serverům, databázím a softwaru. • Autorizace transakcí – výběry z bankomatu, on-line bankovnictví. • Ochrana přístupu k zařízením obsahujícím osobní a citlivá data – notebooky, PDA, mobilní telefony apod. • Docházkové systémy – používají se pro hlídání pracovní doby zaměstnanců a pro následnou tvorbu výplatní pásky. • Identifikace občanů – využití pro zamezení podávání násobných žádostí o doklady (pasy, občanské průkazy a řidičské průkazy) a pro vyhledávání duplikátů. • Kriminalistická identifikace – porovnání latentních otisků nalezených na místě činu oproti databázi známých kriminálníků. Otisky prstů však nelze využít pro sledování (na rozdíl od rozpoznání tváře) a pro kontinuální verifikaci, jako je tomu např. u dynamiky psaní na klávesnici. V této kapitole bude detailně popsán celý postup rozpoznání osoby pomocí otisků prstů, od počátečního snímání pomocí různých typů senzorů přes metody používané při zpracování až po závěrečné vyhodnocení.
5.1
Typy snímačů a jejich charakteristiky
Čtečky otisků prstů lze pořídit buď samostatně, či integrované v mnoha rozličných zařízeních, jako jsou notebooky, klávesnice, myši, mobilní telefony apod. Budeme se zde zabývat pouze skenery pro jeden prst a tzv. „liveÿ technologiemi, tj. nebudeme uvažovat digitalizaci daktyloskopických karet pomocí optických skenerů nebo videokamer. K převodu otisků prstů do elektronické podoby slouží mnoho druhů snímacích senzorů pracujících na rozličných fyzikálních principech a produkujících různě kvalitní data.
34
Základní schéma práce čtečky otisků prstů představuje obrázek 13. Senzory při snímání využívají plastičnosti lidského prstu a fyzikálních vlastností kůže. Dle toho, zda je nutný dotyk prstu se snímací plochou, dělíme senzory na kontaktní a bezkontaktní. Nasnímaná analogová data jsou skrze A/D převodník převedena na digitální reprezentaci otisku prstu ve stupních šedi. Komunikaci čtečky s externím zařízením obstarává komunikační rozhraní (interface). Pro spolehlivé snímání nejsou vhodné malíčky a prsteníčky.
Obr. 13: Blokový diagram čtečky otisků prstů, zdroj: (Maltoni, 2009, s. 58)
5.1.1
Kontaktní senzory
Při snímání otisku prstu je nutný kontakt se snímací plochou senzoru. Při kontaktu je prst buď jednoduše přiložen na snímací plochu (touch senzory), nebo je nutné prstem po snímací ploše přejet (sweep senzory). Sweep senzory jsou obvykle menší, levnější a nezůstávají na nich latentní otisky. Vyžadují ale vyšší výpočetní výkon, trénovanější uživatele a vykazují vyšší chybovost. Do kategorie kontaktních senzorů můžeme řadit senzory: 1. pracující na optickém principu • optické, • optoelektronické, 2. polovodičové senzory • • • •
kapacitní, teplotní, elektronické, tlakové.
Optické senzory jsou jedny z nejstarších, používají se od samých počátků interaktivního snímání otisků prstů. Tyto senzory jsou nejčastěji založeny na technologii
35
FTIR 10 , viz obr. 14. Laserový paprsek zleva zespod osvětluje povrch prstu, který se dotýká horní strany skleněného nebo plastového optického hranolu (v kontaktu se snímací plochou jsou pouze papilární linie, brázdy se jí nedotýkají). Světlo se odráží od brázd a je pohlcováno papilárními liniemi. Odražený světelný tok vychází z pravé strany hranolu, prochází čočkou a je snímán CCD11 nebo levnějším CMOS12 prvkem. Na odraz má vliv i potně-tukový výměšek; pokud je kůže příliš suchá, papilární linie dostatečně nepřilnou na snímací plochu hranolu a nasnímaný obraz má příliš nízký kontrast. Pokud je naopak příliš vlhká, dochází k vzájemnému slití obrazu jednotlivých papilárních linií. Vzhledem ke své vnitřní konstrukci nemohou být dostatečně miniaturizovány, jelikož by mohlo docházet k optickému zkreslení. Jsou tedy vhodné k umístěni do myší, klávesnic apod., ale jsou příliš velké pro začlenění do PDA nebo mobilních telefonů.
Obr. 14: Schéma optického senzoru, zdroj: (Maltoni, 2009, s. 63) Další technologií používanou při výrobě optických senzorů jsou optická vlákna, která umožňují dosáhnout podstatně menší velikosti zařízení. Hranol a čočka jsou nahrazeny hustým svazkem optických vláken postavených kolmo k rovině snímací plochy senzoru. Jelikož je CCD nebo CMOS prvek v přímém kontaktu se snímací plochou, musí pokrývat celou její plochu, což vede k vyšší ceně těchto snímačů. Optoelektronické senzory se skládají ze dvou základních vrstev. Horní vrstva, která má kontakt s kůží verifikované osoby, je vyrobena z polymeru TFT13 . Do kontaktu s polymerem se dostávají pouze papilární linie, brázdy se jej nedotýkají. Pokud je polymer polarizovaný vhodným napětím, má schopnost po dotyku emitovat 10
Frustrated Total Internal Reflection Charge Coupled Device 12 Complementary Metal–Oxide–Semiconductor 13 Thin Film Tranzistors 11
36
Obr. 15: Schéma senzoru založeného na optických vláknech, zdroj: (Maltoni, 2009, s. 65) světlo, jež je zachyceno v další skleněné vrstvě, do které jsou v hustém poli zataveny fotodiody. Ty převádějí světelný impuls na impuls elektrický a vytvářejí tak digitální obraz daktyloskopického otisku. (Rak et al., 2008, s. 215)
Obr. 16: Schéma optoelektronického senzoru, zdroj: (Maltoni, 2009, s. 66) Senzory pracující na optickém principu představují dnes nejvyzrálejší a nejrozšířenější technologii na trhu se snímači otisků prstů. Poskytují výbornou obrazovou kvalitu a díky jejich velké produkci stále klesá jejich cena. Mají ovšem problémy s latentními otisky prstů a jsou náchylné na podvrhy otisků prstů. Latentní otisky prstů jsou takové otisky, které ulpívají na snímací ploše po identifikaci předchozího člověka, čímž mohou zkreslit nasnímaný obraz a znemožnit identifikaci. V extrémním případě se lze do systému přihlásit jen na základě sejmutí latentního otisku. Optické skenery pracují s třírozměrným povrchem prstu, proto nemohou být jednoduše oklamány fotografií nebo vytisknutým obrázkem otisku prstu. Mohou být ale podvedeny napodobeninami z materiálů, jako je latex, silikon apod. Kapacitní (silikonový) senzor je určen pro snímání otisku prstu pomocí měření elektrické kapacity. Jedná se o dvourozměrné pole velkého počtu (řádově statisíce) vodivých křemíkových ploch (pixelů), které jsou mezi sebou odizolovány a slouží jako jedna deska kondenzátoru. Jako druhá deska kondenzátoru slouží přiložený prst. Každý pixel a k němu přiléhající část povrchu prstu můžeme tedy považovat 37
za samostatný kondenzátor s kapacitou C = Sd , kde S udává plochu pixelu, d vzdálenost mezi pixelem a kůží a je permitivita dielektrika mezi prstem a pixelem. Papilární linie k senzoru přiléhají těsněji než brázdy, a proto mezi nimi vzniká větší elektrický náboj. Měření napětí a kapacitních úbytků mezi jednotlivými vodivými ploškami formuje digitalizovaný obraz papilární kresby. Stejně jako optické skenery nemohou být oklamány pouhou fotografií nebo vytisknutým obrázkem otisku prstu, jelikož měří vzdálenosti, a tudíž může být snímán pouze trojrozměrný povrch. Slabým místem je citlivost na elektromagnetický šum a na znečištění pokožky (sůl nebo cukr podstatně mění vodivost lidské kůže). Obvykle se objevují problémy také se suchými nebo naopak příliš vlhkými otisky. (Rak et al., 2008, s. 217)
Obr. 17: Schéma kapacitního senzoru, zdroj: (Maltoni, 2009, s. 67) Teplotní senzory jsou vyrobeny z pyroelektrického materiálu, který generuje proud v závislosti na teplotních rozdílech mezi papilárními liniemi, jež se dotýkají snímacího povrchu, a brázdami, které jsou od povrchu více vzdáleny, a tedy mají jinou teplotu. Teplota je důležitým faktorem, která dokáže napovědět, zda snímaný otisk patří živé osobě. Lze tak eliminovat různé pokusy o podvrh neživého padělku nebo napodobeniny prstu.(Rak et al., 2008, s. 217) Tyto senzory nejsou citlivé na znečištění pokožky a elektromagnetický šum. Jejich nevýhodou je malý dynamický rozsah nasnímaného otisku. Elektronické senzory pracují na principu vzniku elektrického pole mezi dvěma paralelními, vodivými a nabitými deskami. Pod vrchní vrstvou pokožky, tvořenou z odumřelých nevodivých buněk, se nachází vysoce vodivá vrstva slané tekutiny. Ta vzniká jako produkt růstu a odumírání povrchových kožních buněk a prostorově kopíruje profil vnější vrstvy kůže. Senzor se skládá z vodivého prstence, který generuje sinusový referenční signál, a z husté matice snímacích antén. Jakmile se prst dotkne tohoto prstence, dojde k uzavření elektrického obvodu a antény zachytí elektrické pole deformované strukturou povrchu kůže. Signál je zesílen a transformován do elektronického obrazu daktyloskopického otisku. Skener nesnímá pouze daktyloskopický profil z povrchu kůže, který může být znečištěn nebo poškozen, tj. není citlivý na suché nebo mokré otisky. (Rak et al., 2008, s. 214) Tlakové senzory reagují na tlak papilárních linií na povrch snímacího senzoru. Povrch je tvořen elastickým, piezoelektrickým materiálem, který tlak papilárních linií transformuje do elektrického signálu.(Rak et al., 2008, s. 217) Síla generova38
Obr. 18: Schéma elektronického senzoru, zdroj: (Rak et al., 2008, s. 214) ného signálu závisí na tlaku prstu na povrch senzoru. Papilární linie jsou senzoru blíže a vyvolávají tak větší tlak než brázdy. Senzory pracují stejně dobře v suchém a mokrém prostředí.
Obr. 19: Schéma tlakového senzoru, zdroj: (Říha, 2009) Hlavní výhodou polovodičových senzorů je jejich nízká cena a malá velikost v porovnání s optickou technologií. Mají nízké energetické nároky a mohou být vyrobeny velice tenké, což je předurčuje k integraci do různých zařízení, jakými jsou například notebooky, PDA, mobilní telefony nebo plastové karty. Nevýhodou je citlivost na vnější podmínky, jako jsou teplota, vlhkost, prach apod. 5.1.2
Bezkontaktní
Při snímání otisku prstu není nutný kontakt se snímací plochou senzoru. Do této kategorie lze zařadit senzory optické a ultrazvukové. Bezkontaktní optické senzory mají podobný princip práce jako dotykové optické senzory. Světelný paprsek umožňuje snímat daktyloskopický otisk na vzdálenost 30
39
až 50 mm. Tento způsob eliminuje znečištění snímacího senzoru dotyky špinavých prstů a ulpívání papilárních linií na povrchu snímače. (Rak et al., 2008, s. 218) Ultrazvukové senzory se skládají ze dvou základních částí – vysílače, jenž generuje ultrazvukové vlny, a přijímače, který vyhodnocuje vlny odražené od povrchu prstu. Vysílaný signál má charakter velice krátkých impulsů, jež částečně procházejí a částečně se odrážejí od každého materiálu v jejich cestě. Snímaní odražených a deformovaných vln je realizováno rotující hlavou nebo hustou sítí pevných, v rovině umístěných snímacích čidel. K převodu odraženého signálu na elektrický signál se využívají speciální receptory. Obraz otisku prstu je trojrozměrný, s vysokým kontrastem. Ultrazvukové senzory nejsou náchylné na potně-tukový výměšek a nečistoty na povrchu prstu. Nevýhodou je vysoká cena těchto zařízení.
Obr. 20: Základní princip ultrazvukové technologie. Vlastností zvukových vln je jejich schopnost procházet materiály a zároveň se částečně odrážet. Zdroj: (Maltoni, 2009, s. 69)
5.2
Kvality obrazu otisku prstu a jeho předzpracování
Obraz otisku prstu je digitální reprezentace struktury pokožky prstu získaná pomocí skeneru. V nasnímaném obraze jsou papilární linie zobrazeny tmavě, brázdy světle. Kvalita a použitelnost sejmutého otisku závisí na: • Rozlišení snímače – komerční zařízení používají rozlišení od 250 do 625 dpi. Vyšší rozlišení usnadňuje oddělení papilárních linií od brázd a detekci markantů. • Snímací ploše – může se pohybovat v rozmezí 1, 69–10, 24 cm2 . Standardně je velká jeden čtvereční palec, tj. 2, 54×2, 54 cm2 . Důležitá je nejen její velikost, ale také správné umístění prstu na ni a tlak na podložku. Čím je plocha menší, tím je správné umístění náročnější. Při působení malým tlakem dostáváme nekontrastní otisk, v případě velkého tlaku dochází v nasnímaném obraze ke slévání papilárních linií. 40
• Geometrické přesnosti – může být měřena jako absolutní hodnota rozdílu mezi skutečnou vzdáleností dvou bodů na prstu a vzdáleností stejných dvou bodů na nasnímaném obraze. • Rozsahu šedi – maximální počet úrovní šedi v nasnímaném obraze je závislý na počtu bitů použitých pro kódování intenzity každého pixelu. Pokud je např. každý obrazový bod reprezentován pomocí 8 bitů, můžeme rozlišit černobílou škálu v rozsahu 0–255 odstínů. • Poměru signálu a šumu – šumem je každá obrazová informace, která nemá žádný vztah ke kresbě papilárních linií. • Potně-tukovém výměšku kůže – otisk prstu může být suchý nebo naopak mokrý. • Vnějších vlivech – fyzikální, biologické, chemické a atmosferické vlivy. Kvalitu nasnímaného obrazu můžeme posuzovat buď z globálního (quality score je generované z obrazu jako z celku) nebo lokálního pohledu (pro každý obrazový blok je generováno samostatné skóre). Výpočet quality score je důležitý pro: • odmítnutí otisků nasnímaných ve velmi nízké kvalitě nebo pro výběr nejlepšího vzorku, • detekci poškozených částí otisku prstu, kde je vyhledávání charakteristických markantů kontraproduktivní (vede k extrakci velkého množství falešných markantů), • výběr strategie pro porovnávání dvou otisků, • přiřazení vah jednotlivým markantům podle jejich kvality. Výkonnost algoritmů pro porovnávání otisků prstů na základě charakteristických markantů úzce souvisí s kvalitou nasnímaného vzoru. V kvalitním snímku (viz obr. 21a) je snadné detekovat papilární linie a extrahovat markanty. V praxi se však častěji setkáváme s méně kvalitními snímky s vysokým procentem šumu a nečitelnými oblastmi. Chyby v obraze se projevují mezerami v papilárních liniích, obtížným odlišením paralelních papilárních linií od sebe a přítomností vrásek, ran a jizev, viz obr. 21b) a c). Tyto chyby mohou vést k extrakci falešných markantů, nebo naopak neurčení význačných markantů. Abychom se vyhnuli těmto problémům a mohli pracovat i s méně kvalitními snímky, využíváme algoritmy pro odstranění šumu a zvýraznění kresby papilárních linií. V nasnímaném otisku prstu je nejprve provedena fáze segmentace, čímž rozumíme oddělení popředí (plocha otisku prstu) od pozadí (šum). Oddělení není provedeno na základě průměrné obrazové intenzity, ale dle přítomnosti souběžných a orientovaných vzorů na popředí a bodů, které nemají dominantní orientaci na pozadí. Obraz otisku prstu je rozčleněn na pravidelné obrazové lokality o rozměrech 16 × 16 pixelů. Následně je vytvořen lokální histogram orientace linií v této oblasti. Přítomnost význačné špičky na histogramu značí výskyt orientovaného vzoru, tj. papilární linie, naopak plochý histogram je charakteristický pro šum. Pomocí vhodného adaptivního filtru jsou znázorněny body, které se nacházejí ve směru papilární linie, a potlačeny ty body, které jsou orientovány jiným směrem.
41
Obr. 21: a) Kvalitní otisk prstu b) Otisk prstu se středí kvalitou, charakteristický škrábanci a přerušenými papilárními liniemi c) Otisk prstu s nízkou kvalitou a vysokým obsahem šumu. (Maltoni, 2009, s. 131)
Obr. 22: Mapa orientace papilárních linií pro odstranění šumu. (Maltoni, 2009, s. 109) Většina algoritmů pro porovnávání otisků prstů nepracuje přímo s nasnímaným obrazem otisku prstu, ale s jeho binarizovanou podobou. Snímek ve 256 odstínech šedi je nutné převést do dvou binárních hodnot. Jedna reprezentuje papilární linie a druhá brázdy. Pro převod se využívají jednoduché globální algoritmy nebo lepší algoritmy lokálně-adaptivního prahování. Globální algoritmy určí prahovou hodnotu t a všem pixelům, jejichž intenzita je menší než hodnota t, je nastavena hodnota 0, ostatním 1. Hodnota jedna obvykle reprezentuje sjednocený odstín papilárních linií, nula poté brázdy. Algoritmy lokálně-adaptivního prahování využívají skutečnosti, že otisk prstu může mít v různých oblastech odlišný kontrast a intenzitu. Z těchto důvodů se využívá prahová hodnota, která se mění lokálně dle průměrné intenzity obrazu v dané oblasti.
42
S binárním obrazem je následně provedena fáze skeletizace, při které jsou papilární linie zeštíhleny na šíři jednoho pixelu. Odstraní se tak problém duplicity bodů při následném vyhledávání daktyloskopických markantů.
Obr. 23: a) originální otisk b) binarizované podoba c) skeletizovaná podoba otisku d) detekce markantů typu ukončení a dvojitá vidlice (Jain, 2008, s. 31)
5.3
Nalezení a extrakce markantů
Vzory papilárních linií lze dělit hierarchicky do dvou úrovní dle: • celkového vzhledu průběhu papilárních linií, • význačných markantů. Globální pohled používáme v případě, kdy prohledáváme velkou databázi otisků a chceme provést dělení databáze (clustering) pro zjednodušení následného porovnávání markantů. Základními vzory jsou oblouk, smyčka a vír – viz obr. 24. Porovnávací algoritmy rozeznávají jednotlivé typy podle pozice vrcholu a bodu delta. Vrchol je bod, kolem nějž se stáčejí papilární linie oblouku, smyčky a víru. Bod delta je bod, kolem nějž se papilární linie rozbíhají do tří směrů. Oblouk neobsahuje vrchol ani deltu a jeho papilární linie probíhají od jednoho okraje prstu k druhému. Smyčka má jeden vrchol a jeden bod delta, přičemž mezi jejím vrcholem a deltou musí být alespoň jedna linie. Vír, někdy také označován jako vícedeltový vzor, obsahuje dvě a více delt a jeden vrchol. Ve vzorech otisků prstů lze nalézt charakteristické znaky (markanty), na základě kterých se následně provádí automatické porovnávání s jinými otisky v databázi. Daktyloskopické markanty jsou např. začátek a konec papilární linie, háček, můstek, křížení, dvojitá vidlice, tečka, ostrůvek a další. Většina aplikací však využívá pouze začátek a ukončení papilární linie (tvar polopřímky) a dvojitou vidlici (rozdvojení papilární linie ve dvě, které jsou paralelní), jež jsou znázorněny na obr. 25.
43
Obr. 24: Většina automatických systémů klasifikuje otisky prstů do pěti skupin: Arch – mirný oblouk, Tented arch – strmý oblouk, Left loop – otevřená smyčka vlevo, Right loop – otevřená smyčka vpravo, Whorl – vír (vícedeltový vzor), zdroj: (Biometric System Laboratory, 2010) Otisk prstu obvykle obsahuje mezi 75–175 markanty, přičemž některé z nich se vyskytují častěji. Abychom mohli s dostatečně vysokou spolehlivostí říci, že dva otisky pocházejí od stejné osoby, je potřeba shoda přibližně ve 12–15 znacích. Vyhledávání markantů probíhá na skeletizované kresbě papilárních linií; existují ale i přístupy, které markanty vyhledávají přímo v nasnímaném otisku prstu, především z těchto důvodů: • • • •
Během binarizace může být ztraceno podstatné množství informací. Binarizace a skeletizace jsou časově i výpočetně náročné. Při skeletizaci mohou vznikat falešné markanty. Binarizace obvykle neposkytuje uspokojivé výsledky v případě obrázků s nízkou kvalitou.
5.3.1
Filtrování markantů
Poté, kdy jsou nalezeny všechny markanty, je nutné provést jejich filtraci, abychom odstranili falešné markanty, které vznikají ve špatně čitelných oblastech otisku prstu nebo jako důsledek algoritmů pro zvýraznění kresby (skeletizace a binarizace). Nejčastější falešné markanty jsou znázorněny na obr. 26. Během filtrace jsou eliminovány i přímočaré jizvy, které protínají kresbu papilárních linií v jednom směru. Rovněž hraniční body obrazu nejsou do další technolo-
44
Obr. 25: Charakteristické rysy na otisku prstu, zdroj: (Emerald, 2001) gické etapy zahrnovány, protože se nejedná o skutečné obrazce papilárních linií, ale pouze o krajní body, vymezující vnější hranice otisku prstu na jeho digitalizovaném obraze. (Rak et al., 2008, s. 228). 5.3.2
Biometrická šablona
Z množiny použitelných markantů je vytvořena biometrická šablona, což je vektor S = {m1 , m2 , . . . , mm }, jehož prvky jsou jednotlivé markanty. Každý markant může být popsán pomocí následujících atributů: • typ (konec papilární linie, dvojitá vidlice), • x, y souřadnice, • orientace Θ – tj. úhel, který svírá tečna papilární linie v bodě markantu a horizontální osa, viz. obr. 27, • váha – založena na kvalitě otisku v sousedství daného markantu. Nejčastější je popis pomocí trojice mi = {xi , yi , Θi }, i = 1 . . . m, kde m značí počet markantů v šabloně S. Body markantů se různými způsoby graficky spojují, čímž je stanoveno pořadí jednotlivých markantů a vazeb mezi nimi. Šablony se používají pro porovnávání a vyhodnocování otisků prstů v automatizovaných aplikacích. (Rak et al., 2008, s. 228) Předtím, než je šablona uložena v databázi, je obvykle provedeno její zarovnání podle jádra otisku prstu. Šablona otisku prstu obsahuje v závislosti na typu aplikace 10 až 100 markantních bodů. Pro datové uložení každého markantu je zapotřebí 1 bitu pro typ
45
Obr. 26: Příklady odstranění falešných markantů v případě, že používáme pouze dva – začátek a ukončení papilární linie a dvojitou vidlici – a), b) algoritmus spojuje protější koncové body, pokud vzdálenost mezi nimi je příliš malá. Jedná se totiž obvykle o tutéž papilární linii pouze přerušenou poraněním nebo nečistotou. c) odstraňuje dvojitou vidlici, vyskytující se naproti koncového bodu d) nebo jiné dvojité vidlice e) odstraňuje háčky (papilární linie se rozdvojuje, jedna větev není delší než 3 mm) f) odstraňuje můstky (dvě papilární linie jsou spojeny další, ne však delší než 3 mm) g) trojuhelníky h) žebříkovité struktury. zdroj: (Maltoni, 2009, s. 158) markantu (v případě, že se používají pouze dva typy markantů), dvakrát po 9 bitech pro jeho souřadnice x, y a 8 bitů pro orientaci (směr) markantu, celkově tedy 27 bitů. Jestliže toto číslo zaokrouhlíme na 4 byty, pak pro uložení šablony o 100 markantech potřebujeme minimálně 400 bytů. (Rak et al., 2008, s. 229)
5.4
Porovnávání a vyhodnocení otisků
V procesu porovnávání algoritmy srovnávají právě sejmutý otisk prstu s otisky uloženými v databázi. Výsledkem je tzv. míra ztotožnění (match score), což je číslo obvykle z intervalu od 0 do 1. Čím vyšší hodnota čísla, tím vyšší pravděpodobnost, že otisky pocházejí od téže osoby. Jestliže je výsledek vyšší než předem stanovená prahová hodnota (threshold ), říkáme, že se otisky shodují. V opačném případě ke shodě nedochází, otisky nejsou vzájemně ztotožněny. Uživatel může ovlivňovat nastavení prahové hodnoty dle požadavků aplikace na bezpečnost a uživatelskou přívětivost. Algoritmy dosahují dobrých výsledků pro snímky s vyšší kvalitou, u snímků nižší kvality je uživatel systémem častěji odmítán. Proces porovnávání otisků prstů je náročný především z důvodu, že při každém snímání téhož prstu dostáváme odlišný obraz. To je zapříčiněno umístěním prstu na různá místa dotykového senzoru, rotací prstu, elasticitou lidské kůže, vyvíjeným tla-
46
Obr. 27: Orientace a označení jednotlivých typů markantů, a) ukončení papilární linie b) dvojitá vidlice. Zdroj: (Maltoni, 2009, s. 100) kem, šumem senzoru, stavem pokožky (vlhkost, špína, maz) apod. (viz obr. 28) Před vlastním porovnáváním se obvykle provádí zarovnání nasnímaného otisku a šablony, jež zahrnuje posun v souřadnicích x a y a rotaci Θ.
Obr. 28: Rozdílné otisky stejného prstu, zrdoj: (Maio, 2000, s. 9) Nejznámější a nejrozšířenější technika pro porovnávání otisků prstů je založena na porovnávání šablon vytvořených z markantních bodů. Porovnávají se jednotlivé markanty a markanty, jež s nimi sousedí. Postupně se porovnávají všechny kombinace markantů mezi sebou. Jednotlivé markanty si odpovídají, pokud prostorová vzdálenost mezi nimi je menší než daná tolerance r0 a směrová orientace je menší než úhlová tolerance Θ0 . Match score je vypočítáno podle vzorce (Maltoni, 2009, s. 181) k score = (n + m) /2 kde k je počet odpovídajících si markantů, m je počet markantů v šabloně a n je počet markantů v nasnímaném otisku. Vzorec by bylo možné také modifikovat tak, aby v něm byla započítána kvalitativní váha každého markantu. Porovnávané šablony mohou být vyjádřeny graficky, a proto jejich porovnávání může být chápáno i jako porovnávání grafů. Porovnávání je ukončeno v okamžiku, kdy byly vyčerpány všechny kombinační možnosti jednotlivých markantů a jejich 47
sousedů, nebo tehdy, byla-li nalezena shoda v dostačujícím počtu markantů. Počet markantů, na jejichž základě dochází ke ztotožnění otisků, může být vnitřním parametrem SW aplikace.(Rak et al., 2008, s. 230)
Obr. 29: Porovnání dvou otisků prstů na základě markantů, zdroj: (Prabhakar, 2009) Okrajově se lze setkat i s přístupy, které pro porovnávání otisků nevyužívají markantní body, jsou to především: • Korelační techniky – je počítána shoda mezi odpovídajícími pixely pro různě zarovnané snímky. Mezi výhody patří schopnost rozpoznávat i nekvalitní posunuté a natočené obrazy. Nevýhodou jsou vyšší výpočetní a paměťové nároky a nutnou ukládat původní biometrický vzorek. • Techniky založené na vyhledávání nemarkantních rysů – využívají se v případě méně kvalitních snímků, kdy je extrakce markantů obtížná, a u snímačů s velmi malou velikostí snímací plochy. O papilárních liniích jsou extrahovány charakteristiky, jako je jejich orientace, frekvence výskytu, tvar a textura. Měří se také počet kožních pórů a umístění jizev vzniklých poraněním kůže.
48
6
Porovnání biometrických systémů
Biometrické systémy můžeme porovnávat dle mnoha kritérií, jakými jsou například cena, rychlost zpracování biometrického vzorku (propustnost), uživatelská přijatelnost, spolehlivost, odolnost vůči útokům apod. Vzhledem k tomu, že hlavním cílem biometrické identifikace a verifikace je bezchybné určení identity osoby, je velmi důležitým parametrem chybovost. Oprávněné osobě musejí být správně umožněny její práva v systému, neoprávněné naopak odmítnuty.
6.1
Chybovost biometrických systémů
Nasnímané biometrické charakteristiky nejsou nikdy stoprocentně totožné, při srovnání je tedy nutné povolit jistou variabilitu (v případě nasnímaní biometrické charakteristiky, která je na 100 % totožná s biometrickou šablonou, se s velkou pravděpodobností jedná o útok přehráním). Porovnání biometrických charakteristik osoby tedy není triviální jako v případě porovnání hesel nebo autentizace pomocí čipových karet, tj. může docházet k chybám. U biometrických systémů se setkáváme s chybami v jednotlivých fázích zpracování otisku, tj. může docházet k chybám při sběru, zpracování nebo vyhodnocení biometrického vzorku. Při sběru a zpracování biometrických dat se setkáváme s chybami Failure To Enroll a Failure To Acquire. Při vyhodnocování biometrického vzorku může dojít k chybám: • False Rejection – chybné odmítnutí oprávněné osoby (chyba 1. typu). • False Acceptance – chybné přijetí neoprávněné osoby (chyba 2. typu). Pravděpodobnost, že k takovému stavu dojde, udávají veličiny FRR a FAR. Hodnoty FAR a FRR nelze teoreticky vypočítat, lze je určit pouze experimentálně. To, zda je daná osoba označena jako oprávněná či nikoliv, závisí na míře ztotožnění (match score) šablony nasnímaného biometrického vzorku a referenční šablony a na nastaveném prahu citlivosti, viz obr. 30. 6.1.1
Pravděpodobnost chybného přijetí
Pravděpodobnost chybného přijetí (False Acceptance Rate) udává, s jakou pravděpodobností biometrické zařízení přijme neoprávněnou osobu neboli pravděpodobnost, že nastane chyba 2. typu. (Rak et al., 2008, s. 138) Výpočet FAR provedeme podle vzorce: F AR =
NF A , NIA
kde NF A – počet chybných přijetí, NIA – počet pokusů neoprávněných osob o rekognici, tj. o verifikaci nebo identifikaci. Veličina FAR vypovídá o bezpečnosti biometrického systému. Pokud zařízení akceptuje neoprávněného uživatele, má útočník v systému stejná práva jako uživatel, 49
Obr. 30: Histogram rozdělení ztotožnění oprávněných a neoprávněných uživatelů, zdroj: (Maltoni, 2009, s. 17) s kterým byl ztotožněn, a může dojít k bezpečnostnímu incidentu. Čím je prahová hodnota nastavena výše, tím méně často dochází k chybnému přijetí. 6.1.2
Pravděpodobnost chybného odmítnutí
Pravděpodobnost chybného odmítnutí (False Rejection Rate) udává, s jakou pravděpodobností biometrické zařízení nerozpozná oprávněného uživatele (jeho referenční šablona je uložena) neboli pravděpodobnost, že nastane chyba 1. typu. Pokud je uživatel odmítnut, musí se opětovně pokusit prokázat svoji identitu. (Rak et al., 2008, s. 138) Výpočet FRR provedeme podle vzorce: F RR =
NF R , NEA
kde NF R – počet chybných odmítnutí, NEA – počet pokusů oprávněných osob o rekognici, tj. o verifikaci nebo identifikaci. Veličina FRR nevypovídá o bezpečnosti daného biometrického systému, ale o uživatelské přívětivosti. Pokud jsou oprávněné osoby často odmítány, klesá důvěra v daný biometrický systém. Čím je prahová hodnota nastavena výše, tím častěji nastává chybné odmítnutí.
50
6.1.3
Vzájemný vztah FAR A FRR
Již z předchozích definic a obr. 31 je vidět, že hodnoty FAR a FRR jsou nepřímo úměrné a jsou závislé na nastavení prahu citlivosti. Čím výše je prahová hodnota nastavena, tím častěji dochází k odmítání oprávněných uživatelů, ale tím méně jsou do systému vpouštěni neoprávnění uživatelé. Nastavení citlivostního prahu druhým směrem vede ke snížení počtu chybných odmítnutí, ale častěji jsou do systému vpouštěni i neoprávnění uživatelé. Práh citlivosti nastavujeme dle požadavků biometrické aplikace. Jestliže budeme požadovat vysokou bezpečnost, zvolíme vyšší hodnotu citlivostního prahu za cenu, že někteří oprávnění uživatelé budou odmítáni. Pokud požadujeme vysokou uživatelskou přívětivost, volíme naopak nižší hodnoty citlivostního prahu, ale za cenu, že do systému mohou proniknout i neoprávnění uživatelé. Biometrika Otisky prstů Otisky prstů Rozpoznávání obličeje Ověření mluvčího Oční duhovka
Test FVC 2004 FpVTE 2003 FRVT 2002 NIST 2004 ITIRT 2005
FRR 2% 0,1 % 10 % 5–10 % 0,99 %
FAR 2% 1% 1% 2–5 % 0,94 %
Tab. 4: Hodnoty FAR a FRR pro různé biometriky
6.1.4
Charakteristiky ERR, ZeroFNMR a ZeroFMR
Equal Error Rate (EER) – udává chybovost, při které je dosahováno stejných hodnot FAR i FRR, tedy F AR = F RR = EER. Bod EER nemá žádný fyzikální význam, ale lze jej využít pro srovnání dvou biometrických aplikací. Čím nižší je hodnota EER, tím je biometrický systém přesnější. (Maltoni, 2009, s. 19) ZeroFNMR – je nejnižší hodnota FAR, při které ještě nedochází k žádným chybným odmítnutím. (Maltoni, 2009, s. 19) ZeroFMR – je nejnižší hodnota FRR, při které se nevyskytují ještě žádná chybná přijetí. (Maltoni, 2009, s. 19) 6.1.5
Křivka ROC
Receiver operating characteristic (ROC) – jedná se o křivku, která udává vzájemný vztah FAR a FRR pro různé prahové hodnoty. Na základě této křivky lze objektivněji posuzovat chybovost biometrických systémů. Čím je křivka položena blíže počátku, tím má daný systém menší chybovost. Různé typy aplikací, dle svých požadavků, leží v různých oblastech křivky, viz obr. 32.
51
Obr. 31: Křivky FAR a FRR s vyznačenými body EER, ZeroFNMR, a ZeroFMR, zdroj: (Maltoni, 2009, s. 19) V případě forenzních aplikací je hlavním požadavkem, aby osoba, která již má v databázi záznam, byla rozpoznána. Rozpoznání špatné osoby není ve většině případů kritické, jelikož je chyba odhalena v průběhu vyšetřování. Na opačném konci křiky ROC leží aplikace požadující vysoký stupeň zabezpečení, např. pro řízení přístupu do budov. Chceme maximálně vyloučit neoprávněné osoby i za cenu, že někdy nesprávně odmítneme osobu oprávněnou. V civilních a komerčních aplikacích je cílem maximalizovat současně jak bezpečnost, tak uživatelskou přijatelnost, chybovost leží tedy okolo hodnoty EER. (Rak et al., 2008, s. 142)
Obr. 32: Křivka ROC, zdroj: (Maltoni, 2009, s. 20)
52
6.1.6
D-prime a F-Ratio
Další veličinou, kterou můžeme použít pro hodnocení biometrického systému, je hodnota d-prime. Hodnota d-prime měří rozdílnost mezi normálním rozdělením oprávněného uživatele a útočníka. Vypočítáme ji dle vzorce: (Jain, 2008, s. 11) √ 2 |µ1 − µ2 | 0 d = q , σ12 + σ22 kde: µ1 – µ2 – σ12 – σ22 –
střední hodnota normálního rozdělení oprávněného uživatele, střední hodnota normálního rozdělení útočníka, rozptyl normálního rozdělení oprávněného uživatele, rozptyl normálního rozdělení útočníka.
Čím vyšší je hodnota d-prime, tím vyšší je přesnost biometrického systému. Podobnou veličinou jako d-prime je F-ratio, které se vypočítá dle vzorce: (Jain, 2008, s. 11) µ1 − µ2 , F-ratio = σ1 + σ2 kde: µ1 – střední hodnota normálního rozdělení oprávněného uživatele, µ2 – střední hodnota normálního rozdělení útočníka, σ1 – směrodatná odchylka normálního rozdělení oprávněného uživatele, σ22 – směrodatná odchylka normálního rozdělení útočníka.
6.1.7
Charakteristiky FTE a FTA
Failure to Enroll (FTE) – uživatel nemůže být v systému zaregistrován, a tudíž jej nemůže ani používat. Chyba se vyskytuje u systémů s přísnou kontrolou kvality nasnímané charakteristiky nebo u lidí, kteří nemohou biometrický vzorek poskytnout. Jedná se o osoby s omezenou kontrolou otevření očí u systémů snímajících oční duhovku nebo s chybějícími prsty u systémů založených na otiscích prstů. (Rak et al., 2008, s. 139) To, jak je daný systém vhodný pro velký počet osob, udává hodnota FTER. Vypočítáme ji následovně: F T ER =
NF E , NEA
kde: NF E – počet neúspěšných registrací, NEA – počet všech osob pokoušejících se o registraci. Failure to Acquire (FTA) – uživatel, který je již v systému zaregistrován, nemůže být ověřen. Důvodů, proč tomu tak je, může být několik: 53
• Biometrický snímač nedetekuje přítomnost biometrického vzorku, mluvíme o chybě Failure To Detect (FTD). (Maltoni, 2009, s. 13) • Biometrický snímač detekuje přítomnost biometrického vzorku, ale nepodaří se mu jej sejmout, jedná se o chybu Failure To Capture (FTC). (Maltoni, 2009, s. 13) • Z biometrického vzorku se nepodaří extrahovat markanty, obvykle z důvodu špatné kvality nasnímaných dat, jedná se o chybu Failure To Process (FTP). (Maltoni, 2009, s. 14) Čím vyšší je hodnota FTA, tím je senzor méně vhodný pro záznam uvedené charakteristiky. Můžeme tedy dle této veličiny hodnotit kvalitu senzoru. Vysoké hodnoty FTA snižují propustnost biometrického systému a zvyšují nespokojenost uživatelů, jelikož data je nutné nasnímat znova, popřípadě přikročit k jinému způsobu ověření identity.
6.2
Testování a hodnocení biometrických systémů
Testování a hodnocení se zaměřuje na přesnost, rychlost a použitelnost biometrických algoritmů nebo systémů. Výkonnostní testy jsou prováděny pro zjištění vyspělosti technologie, porovnání biometrických systémů mezi sebou, zjištění chování v různých podmínkách nebo pro určení, zda biometrický systém splňuje požadavky dané aplikace. Hodnotící protokol a testovací databáze by měly být vhodně navrženy, abychom se vyhnuli neobjektivní úsudkům. Není vhodné se spoléhat na charakteristiky prezentované výrobci biometrických systémů, jelikož často neposkytují kompletní technické informace, popřípadě používají neobjektivní a zkreslené údaje. Výrobci obvykle nemají zájem ani laboratorní podmínky pro provádění testů, v případě špatných výsledků by jim mohly klesnout prodeje a jméno. Z těch důvodů se provádí nezávislé testování. Důkladné a opakovatelné nezávislé testování je však drahé a pouze několik organizací je dostatečně motivovaných, vybavených a schopných naplánovat, zafinancovat, personálně zajistit a provést nezávislý test. Jedná se především o univerzity, vládní organizace, laboratoře a výzkumná centra. U biometrických systémů můžeme dle úhlu pohledu provádět testy a hodnocení: • • • •
algoritmů, scénářů, provozu, zranitelností.
6.2.1
Testování algoritmů
Při testování a porovnávání konkurenčních algoritmů určité technologie se zaměřujeme na softwarové techniky zpracování a porovnávání biometrických dat. Hlavní důraz je kladen na algoritmy pro srovnávání markantů. Testy se zaobírají různými
54
třídícími a srovnávacími metodami s cílem ohodnotit jejich efektivitu, rychlost a výkonnost. Testování může zahrnovat také související techniky pro zlepšení obrazu, segmentaci a extrakci markantů. (Li, 2009, s. 1063) Testy algoritmů jsou dobře opakovatelné, nevyžadují začlenění lidské osoby a jsou nezávislé na snímacím zařízení a aplikačním vybavení. Testy všech algoritmů se provádějí, dle daného protokolu, na jedné či více databázích v laboratorních systémech nebo prototypech budoucích systému. Testovací data jsou připravena offline a nesmějí být vývojářům algoritmů dopředu známa. Výstupem bývá technická zpráva o průběhu testování včetně podrobných výsledků dosažených jednotlivými algoritmy. Nejznámějšími testy algoritmů pro srovnání otisků prstů jsou Fingerprint Verification Competition, které se konaly v letech 2000 (Maio, 2000), 2002 (Maio, Maio), 2004 (Maio, 2004) a 2006 (Maio, 2006) a podílely se na nich Biometric System Laboratory z univerzity v Boloni, Pattern Recognition and Image Processing Laboratory z Michigan State University, Biometric Test Center z San Jose State University a Biometrics Research Lab – ATVS z Universidad Autonoma de Madrid. Algoritmy jsou testovány na čtyřech rozdílných databázích a ve dvou kategoriích. Tři databáze jsou nasnímané pomocí různých typů senzorů, čtvrtá je vytvořena ze synteticky generovaných otisků prstů. FERET Face-Recognition Algorithms Test testoval algoritmy pro rozpoznávání obličeje v srpnu 1994, březnu 1995 a září 1996 (Phillips, 1994). Testování algoritmů pro ověření mluvčího v případě textově nezávislých systémů se věnuje NIST14 ve svém programu Speaker Recognition Evaluation (NIST, 1998). 6.2.2
Testování scénářů
Jedná se o testování celkové výkonnosti systému v prototypových nebo simulovaných situacích. Zjišťují se operační charakteristiky v předem určených podmínkách modelujících reálné aplikace při stejné vstupní množině. Testujeme celý systém od sejmutí biometrického vzorku pomocí vstupních zařízení přes provedení fáze registrace, porovnání až po generování a předání výsledku. Na testování se obvykle podílí tým lidí. Výsledky testů lze opětovně ověřit jen do té míry, do jaké můžeme kontrolovat i modelový scénář, tj. nesmí dojít ke změně podmínek. (Li, 2009, s. 1063) National Institute of Standards and Technology testoval v letech 2000, 2002 a 2006 systémy pro rozpoznávání obličeje v tzv. Facial Recognition Vendor Test (NIST, 2007). Otisků prstů se věnuje Fingerprint Vendor Technology Evaluation 2003 (Wilson, 2004). Testy zařízení pro snímání oční duhovky lze najít v Independent Testing of Iris Recognition Technology. Srovnáním různých metod pro verifikaci podpisu se věnuje SVC2004: First International Signature Verification Competition (Yeung, 2004). 14
National Institute of Standards and Technology
55
6.2.3
Testování provozu
Provozní testování je spojeno s integrací kompletních biometrických systémů do specifických aplikací v reálných prostředí s určitou uživatelskou základnou. Do testování by měli být ideálně zahrnuti budoucí uživatelé a správci daného systému. Uživatelé se mohou se systémem seznámit ještě dříve, než je nasazený v reálných podmínkách, což zvyšuje jejich schopnost práce se systémem a poskytuje možnost zpětné vazby. V tomto případě je prostředí důležitou částí biometrického systému a měla by se mu věnovat dostatečná pozornost. (Maltoni, 2009, s. 23) Výsledky testování provozu nejsou opakovatelné v jiném prostředí, jelikož mezi různými prostředími existují neznámé a nedokumentované rozdíly. 6.2.4
Testování zranitelnosti
Testování zranitelnosti se zaměřuje na to, jaký má daný systém slabiny, jak může být oklamán nebo uveden mimo provoz. Biometrická zařízení jsou nejsnáze oklamatelná ve fázi snímání biometrického vzorku, kdy může být použit jeho podvrh. Je tedy nutné do snímacího zařízení začlenit test živosti předkládaného vzorku. Mezi další hrozby můžeme řadit útoky na databázi biometrických šablon, nepovolené změny prahové hodnoty a síťové útoky (odposlechnutí, útok přehráním, útoky DOS). (Dunstone, 2009, s. 247)
56
7
Výběr vhodného řešení
Pro výběr vhodné biometrické metody k implementaci docházkové aplikace byly nejdůležitějšími požadavky ze strany společnosti ADRIA DATABANKA s.r.o. vysoká přesnost zařízení, nízká cena, uživatelská přijatelnost, malá proměnlivost biometrických charakteristik v čase, dostupnost snímačů na českém trhu a částečná odolnost vůči útokům. Na základě předchozích kapitol jsme sestavili přehled těchto vlastností jednotlivých technologií snímajících fyziologické znaky (viz. tab. 5) a behaviorální znaky (viz. tab. 6). Přibližné hodnoty chybovosti některých biometrik lze nalézt v tab. 4. Biometrika Přesnost
Cena * **
Uživatelská přijatelnost ** **
Proměnlivost v čase * **
Odolnost vůči útokům ** **
Otisk prstu Geometrie ruky Krevní řečiště Rozpoznání obličeje Oční duhovka Oční sítnice
*** ** ***
**
***
*
***
**
**
***
**
*
***
***
***
*
***
***
***
*
*
***
Tab. 5: * - nízká, ** - střední, *** - vysoká. Přehled základních fyziologických biometrik. U vlastností přesnost, uživatelská přijatelnost a odolnost vůči útokům platí: čím více hvězdiček, tím lépe. U charakteristik cena a proměnlivost v čase je tomu naopak.
Biometrika Přesnost
Cena **
Uživatelská přijatelnost ***
Proměnlivost Odolnost v čase vůči útokům *** *
Ověřování hlasu Dynamika podpisu Dynamika stisku kláves
* *
**
***
**
*
*
*
***
*
*
Tab. 6: * - nízká, ** - střední, *** - vysoká. Přehled základních behaviorálních biometrik. U vlastností přesnost, uživatelská přijatelnost a odolnost vůči útokům platí: čím více hvězdiček, tím lépe. U charakteristik cena a proměnlivost v čase je tomu naopak.
57
Na českém trhu jsou k dispozici především biometrické snímače otisků prstů. Společnost MOVIBIO s.r.o.15 však distribuuje i zařízení pro rozpoznávání geometrie ruky (HandKey 2), jež je určeno zejména do těžších podmínek a provozů, kde by čtečky otisků prstů mohly vykazovat vysokou chybovost. Nevýhodou tohoto zařízení je ale téměř dvojnásobná cena v porovnání se čtečkami otisků prstů a práce pouze v režimu autentizace. Firma Digitus s.r.o.16 distribuuje snímače otisků duhovky (Panasonic BM-ET200, OKI IrisPass-M) a snímače pro identifikaci podle 3D obrazu obličeje (A4 Vision). Pro využití technologie rozpoznání obličeje je však finančně výhodnější použít kvalitní webkameru a pro implementaci mechanismu rozpoznávání tváře využít některý z vývojových nástrojů, např. VeriLook SDK17 nebo Luxand FaceSDK18 . Distributora technologií pro snímání oční sítnice a krevního řečiště se nám nepodařilo zjistit. Pro začlenění behaviorálních technologií lze využít standardně přístupná zařízení, jako jsou mikrofony, klávesnice a tablety; kvalita daného řešení pak závisí především na softwarové implementaci. Dle našeho názoru nejlépe zadané parametry splňuje technologie snímání otisků prstů, hlavně díky vysoké přesnosti snímání, stálosti vzorů papilárních linií, cenové a fyzické dostupnosti snímačů a uživatelské přijatelnosti. Jedná se také o jednu z nejprověřenějších technologií. Biometrická docházková aplikace bude tedy postavena na jejím základě.
15
http://www.movibio.eu/ http://www.digitus.cz/ 17 http://www.neurotechnology.com/vl sdk.html 18 http://www.luxand.com/facesdk/ 16
58
8
Biometrická docházková aplikace
Biometrický docházkový systém slouží k naplnění povinnosti zaměstnavatele vést u jednotlivých zaměstnanců evidenci odpracované pracovní doby danou zákoníkem práce, dále pro výpočet přesčasů, jako poklad pro zpracování mezd a pro přehled zaměstnanců přítomných na pracovišti. Biometrie zde slouží jako náhrada za klasické metody vedení docházky pomocí knih zaměstnanců nebo čipových karet. Tyto metody trpí neduhem, pro který se v zahraniční literatuře užívá termín „buddypunchingÿ, tj. jedná se o půjčování identifikačních karet, popřípadě sdělování tajných informací (osobní identifikační číslo) jinému zaměstnanci k neoprávněnému prodlužování pracovní doby. Tímto přichází organizace o finance – asociace American Payroll publikovala v lednu 2002 v časopise PayTech článek, v němž tvrdí, že okolo 5 % hrubé mzdy v USA bývá vyplaceno neoprávněně. (Jain, 2008, s. 494) Tím, že biometriky poskytují nepopiratelnost, jejich využtí v docházkovém systému podporuje i dodržování podnikové politiky (např. přítomnost na pracovišti v době otvíracích hodin). Zavedení biometrického docházkového systému nepřináší výhody pouze organizaci, ale i samotnému zaměstnanci, jenž s sebou nemusí nosit žádné karty, které může ztratit, nebo znát PIN, jejž může zapomenout. Docházkové systémy jsou užitečné především pro rychlé, přesné a automatizované vyhodnocení docházky v místech, kde jsou zaměstnanci placeni hodinovou sazbou, pracují na směny nebo se často střídají. To je i případ společnosti ADRIA DATABANKA s.r.o., kde velké procento jejích zaměstnanců tvoří brigádníci.
8.1
Analýza a návrh
Aplikace pracuje v režimu identifikace, tj. zaměstnanec při příchodu do zaměstnání přiloží prst na snímací zařízení a aplikace porovná právě nasnímanou šablonou se šablonami uloženými v databázi. V případě, že je při nastavené prahové hodnotě nalezeno více šablon, je určen uživatel, jehož skóre porovnání bylo nejvyšší. Po úspěšné identifikaci si zaměstnanec zvolí směr průchodu a aplikace průchod zaznamená do databáze, přičemž uživatele informuje o zapsaném čase. Uživatel má možnost identifikaci přerušit a vrátit se do výchozího stavu, do kterého se dostane také, pokud do zadaného časového intervalu neprovede žádnou akci. Administrátor systému má pod heslem právo přístupu k nastavení aplikace a ke správě uživatelů. Nastavení aplikace představuje změnu parametrů identifikace (prahová hodnota, tolerance rotace), hesla a barevné reprezentace biometrické šablony (markantních bodů, jejich směru a segmentů spojujících tyto body). Pokud s nastavováním prahové hodnoty nemá zkušenosti, je mu k dispozici tabulka s doporučenými hodnotami. Ve správě uživatelů si administrátor může zobrazit a editovat jednotlivé uživatele včetně jejich docházky, zaregistrovat nového uživatele, přeregistrovat biometrickou šablonu již existujícího (např. v případě zranění prstu), vypočítat odpracovanou 59
Obr. 33: Kontextový diagram systému. Paměť „Zaměstnanciÿ představuje paměť, která může být sdílena více systémy. dobu a zobrazit uživatele aktuálně přítomné na pracovišti. V případě zapomenutí záznamu nebo práce z domu může administrátor záznam přidat ručně. Kontextový diagram systému je znázorněn na obr. 33. Schéma databáze představuje obr. 34.
8.2
Popis implementace
Docházková aplikace je vytvořena v multiplatformním objektově orientovaném programovacím jazyce Java. Pro implementaci biometrických algoritmů a komunikaci se čtečkami jsme použili vývojový nástroj Fingerprint SDK Java 2009 od společnosti Griaule Biometrics19 . Komunikace s relačním databázovým systémem MySQL je zajišťována pomocí frameworku Java Persistence API v implementaci EclipseLink, jenž umožňuje objektově-relační mapování. Jako vývojové prostředí jsme zvolili NetBeans IDE 6.9.1., obsahující nástroj GUI Builder pro tvorbu grafického uživatelského rozhraní aplikace. Pro začlenění kalendáře byl využit JCalendar Java Bean20 pod licencí GNU. Při vývoji a testování jsme používali optickou čtečku Microsoft Fingerprint Reader poskytující rozlišení 512 DPI při 256 stupních šedi.
19 20
http://www.griaulebiometrics.com/ http://www.toedter.com/en/jcalendar/index.html
60
Obr. 34: Entitně-relační diagram systému Nástroj Fingerprint SDK Java 2009 byl vybrán z následujících důvodů: • kvalitní algoritmus – algoritmus pro porovnání otisků prstů se umístil na předních pozicích testů Fingerprint Verification Competition, • podpora velkého množství čteček (v době psaní práce cca 30 zařízení), • dodržování standardů ISO 19794-2 a ANSI 378-2004 pro výměnu a přenositelnost biometrických dat, • podpora tvorby zprůměrovaných biometrických referenčních šablon, • kvalitní dokumentace, • trial licence pro nekomerční použití. 8.2.1
Třídy aplikace
Jednotlivé třídy aplikace jsou rozděleny do několika balíků. Při návrhu jednotlivých tříd jsme se snažili o co největší přehlednost a jednoduchost, aby bylo zřejmé, k čemu daná třída slouží. Ve všech třídách jsou podstatné metody a atributy okomentovány. Balík fingerprint obsahuje následující třídy: AskPassword.java – reprezentuje modální okno pro zadání hesla. Obsahuje metody pro porovnání zadaného hesla a hesla uloženého v databázi. Heslo je v databázi hašováno pomocí algoritmu MD5. FingerprintOPSingleton.java – obsluhuje události vznikající ve čtečkách otisků prstů (připojení a odpojení čtečky, přiložení prstu, sejmutí otisku). Součástí třídy jsou metody pro vykreslení nasnímaného otisku a biometrické šablony. Je využit návrhový vzor Singleton pro globální přístup k jediné instanci této třídy. MainForm.java – reprezentuje hlavní okno programu, metody slouží především k ovládání prvků GUI.
61
MatchingContextSingleton.java – jedná se o potomka třídy MatchingContext z Fingerprint SDK, obsahuje implementaci biometrických algoritmů pro extrakci biometrických šablon, tvorbu referenční šablony, porovnání šablon a nastavení parametrů identifikace (prahové hodnoty, tolerance rotace, formátu biometrické šablony). Je využit návrhový vzor Singleton pro globální přístup k jediné instanci této třídy. NewFingerprint.java – představuje modální okno pro registraci nového uživatele nebo přeregistraci šablony uživatele již existujícího. PersonManagement.java – zajišťuje grafické uživatelské rozhraní a metody pro práci s databází zaměstnanců a jejich docházkou. Settings.java – reprezentuje GUI pro nastavení parametrů identifikace, změnu hesla a obarvení biometrické šablony. Balík finerprint.entities obsahuje třídy AttendanceEntity.java, EmployeeEntity.java, PasswordEntity.java a SettingsEntity.java, jež slouží k definici mapování objektů na entity v relační databázi. Balík finerprint.images obsahuje obrázky použité v aplikaci. Balík META-INF obsahuje konfigurační soubor persistence.xml pro nastavení odkazu na perzistentní třídy, typu používané databáze, adresy pro připojení k databázi, přihlašovacího jména a hesla.
8.3
Instalace aplikace
Před prvním spuštěním aplikace je potřeba provést několik kroků pro její správný chod. V adresáři bin na přiloženém CD jsou soubory, jež ke své práci potřebuje Fingerprint SDK a ovladače biometrických snímačů. Pokud by byla složka bin přesunuta na jiné místo disku, je nutné cestu k ní nastavit v metodě setFingerprintSDKNativeDirectory ve třídě MainForm.java. Aplikace komunikuje s databázovým systémem, v němž je potřeba vytvořit databázi timeandattandance a naplnit jí pomocí SQL skriptu sqldump.sql, který se nachází na přiloženém CD. Konfigurace aplikace pro práci s konkrétní databázi se nastavuje v souboru persistence.xml v balíku META-INF. Výchozí heslo v aplikaci pro přístup k nastavení a správě uživatelů je „hesloÿ. Posledním krokem je instalace licence ze stránek společnosti Griaule Biometrics21 , která je vázaná na konkrétní hardware. Pro nekomerční použití je k dispozici 30denní zkušební verze. Aplikace se spouští z adresáře dist příkazem java -jar "fingerprint.jar". Zdrojové soubory aplikace jsou umístěny jako příslušné projekty prostředí NetBeans ve složce timeAndAttendance. 21
http://www.griaulebiometrics.com/
62
8.4
Ovládání aplikace pomocí grafického rozhraní
Při prvním spuštění aplikace je nutné zaregistrovat uživatele, u nichž bude sledována docházka. Registraci provedeme v okně Správa uživatelů (obr. 36), do kterého se dostaneme z menu v hlavním okně aplikace. Registraci zahájíme klepnutím na tlačítko Registrace nového uživatele, v nově otevřeném okně vyplníme jméno a příjemní zaměstnance a sejmeme nejméně třikrát jeho otisk prstu, dokud nejsme informování o úspěšném zaregistrování. Šablona je následně vytvořena z průměru těchto snímání, čímž dosáhneme její vyšší kvality. Poté, kdy jsou všichni uživatelé řádně zaregistrováni, můžeme přistoupit k vlastnímu použití aplikace.
Obr. 35: Hlavní okno aplikace Jakmile uživatel přijde do zaměstnání nebo jej opouští, v hlavním okně aplikace (obr. 35) přiloží svůj prst na snímací zařízení a systém automaticky určí jeho identitu. V levé části okna se zobrazí jméno zaměstnance a nasnímaný biometrický otisk, u něhož lze volitelně pro demonstrační účely pomocí přepínačů zobrazit biometrickou šablonu nebo její porovnání s referenční šablonou. Stavová hlášení o průběhu identifikace se vypisují v textovém poli v levém dolním rohu okna. Zaměstnanec 63
zvolí směr průchodu pomocí tlačítek Příchod nebo Odchod, jež jsou záměrně výrazně velká, aby bylo umožněno použití aplikace i na dotykovém displeji. Pokud se po úspěšné identifikaci rozhodne svůj průchod nezapsat, stiskne tlačítko Storno nebo 10 sekund neprovede žádnou akci, čímž vrátí aplikaci do výchozího stavu.
Obr. 36: Okno Správa uživatelů Administrátor provádí správu jednotlivých uživatelů a jejich docházky pomocí obrazovky Správa uživatelů (viz obr. 36), jež se skládá ze dvou tabulek. Horní tabulka obsahuje výpis zaměstnanců zaregistrovaných v systému. Pokud si administrátor přeje ze systému odstranit některého uživatele, vybere jeden nebo více záznamů a stiskne tlačítko Vymaž uživatele. Při mazání je nutné potvrdit dialogové okno, tímto se eliminuje možnost nechtěného smazání z důvodu překlepu. Přeregistrace biometrické šablony se provádí, pokud dojde k poranění daného prstu nebo v případě problémů s identifikací, které jsou způsobeny nekvalitní referenční šablonou. Přeregistrace se spouští tlačítkem Změna šablony a uživatel je vyzván 64
k zadání nejméně tří otisků, tj. stejně jako v případě nové registrace. Editace položek Jméno a Příjmení se provádí po dvojkliku do dané buňky tabulky, ukončení editace zmáčknutím klávesy Enter. Uložení provedených změn je nutné potvrdit stiskem tlačítka Uložit změny. Pomocí kruhových přepínačů pod tabulkou si lze buď nechat barevně označit všechny zaměstnance momentálně přítomné na pracovišti, nebo zobrazit informace o docházce konkrétního uživatele. Pokud je aktivní přepínač Zobrazovat docházku a v horní tabulce vybrán některý ze zaměstnanců, ve spodní tabulce se zobrazí informace o jeho docházce. Každý řádek tabulky reprezentuje čas strávený na pracovišti, jenž je definován příchodem a odchodem zaměstnance. Buňky Příchod a Odchod jsou opět editovatelné. Administrátor může odstranit jeden nebo více časových údajů jejich výběrem a stisknutím tlačítka Vymaž docházku. Pokud zaměstnanec pracoval z domu nebo zapomněl zadat svůj průchod, může administrátor přidat záznam manuálně pomocí tlačítka Nový záznam. Do polí Příchod a Odchod se jako výchozí hodnota nastaví aktuální systémový čas, obsah buněk lze poté upravit standardním způsobem. Pro výpočet odpracované doby za určité období je nutné mít v horní tabulce označeného zaměstnance, pro nějž chceme výpočet provést, a vybrat začátek a konec období pomocí ikony kalendáře vedle textových polí Od a Do. Dané datum vždy reprezentuje začátek dne, tj. časový údaj 0:00. Vlastní výpočet se provede klepnutím na tlačítko Výpočet pracovní doby.
Obr. 37: Okno Nastavení Okno Nastavení (viz obr. 37), se skládá ze tří záložek pro nastavení parametrů identifikace, změnu hesla a obarvení segmentů. V záložce Nastavení parametrů identifikace můžeme určit prahovou hodnotu (threshold ) a míru tolerance rotace prstu při snímání. Nalezneme zde také doporučení pro nastavení prahové hodnoty,
65
dle požadavků na bezpečnost a uživatelskou přívětivost aplikace. Změnu hesla provádíme v záložce Změna hesla. Při změně je nutné nejprve zadat heslo původní a poté dvakrát heslo nové. Pro výběr obarvení jednotlivých částí biometrické šablony slouží barevná paleta pod záložkou Obarvení biometrické šablony.
66
9
Diskuse a hodnocení vlastního řešení
Vytvořená aplikace v porovnání s ostatními komerčními docházkovými systémy založenými na technologii snímání otisků prstů vyniká především svojí nízkou cenou, rychlostí identifikace, neomezeným počtem zaregistrovaných uživatelů a jednoduchostí obsluhy, zaostává ale množstvím nabízených funkcí. Komerční aplikace disponují plánováním vícesměnných provozů, automatickým generováním přestávek, různými typy pracovních fondů, zaokrouhlováním času událostí, sledováním pozdních příchodů, hierarchií oprávnění přístupů k časovým záznamům apod. Komerční biometrické docházkové systémy jsou obvykle ve formě samostatných terminálů, tj. k jejich využití není zapotřebí počítač. Tyto terminály mohou být také napojeny na systém řízení otvírání dveří pomocí elektromechanického zámku. Zavedení biometrického docházkového systému má pro společnost především ekonomické důsledky – dojde k úspoře mzdových nákladů díky eliminaci tzv. „černých hodinÿ, nové zaměstnance a brigádníky lze do systému zaregistrovat s nulovými náklady a odpadne manuální sčítání odpracovaných hodin zaměstnancem podniku. Pokud bychom tvořili systém, v kterém by byl kritický požadavek bezpečnosti a propustnosti a finanční stránka by nehrála tak velkou úlohu, zvolili bychom jiné řešení. Nejvýhodnější by bylo využít technologii snímání oční duhovky, popřípadě pro zvýšení bezpečnosti, ale snížení propustnosti ještě spojenou s autentizací pomocí čipových karet; jednalo by se tedy o dvoufaktorovou autentizaci. Výrobce Fingera Fingera FingerPro Jirka a spol.
Název Mini Komfort B FPA - 45 systém T1B
Cena HW Cena SW 24 990 Kč 39 990 Kč 17 399 Kč 4 790 Kč 11 988 Kč 6 588 Kč
Uživatelů 20 50 30 25
Připojení k PC samostatně samostatně samostatně
Tab. 7: Cena, maximální počet zaregistrovaných uživatelů a způsob připojení pro srovnatelné biometrické docházkové systémy založené na otiscích prstů. K provozu vytvořené aplikace je nutné zakoupit licenci Fingerprint SDK (cena pro jeden počítač je 90 dolarů) a podporovanou čtečku otisků prstů, např. Suprema BioMini, již u nás distribuují firmy Digitus s.r.o. a MOVIBIO s.r.o. Dle vyjádření jednatele firmy MOVIBIO je její cena 3000 Kč bez DPH. Ceny komerčně prodávaných docházkových systémů poskytujících funkcionalitu nejbližší mnou vyvinuté aplikaci lze nalézt v tabulce 7. Jako nevýhodu bychom uvedli, že vytvořená aplikace nyní nedisponuje žádnou formou výstupu. Do budoucna ji tedy hodláme rozšířit o tisk sestav a export dat ve formátu XML, který by bylo možné integrovat do mzdového systému. Uvažuje se také o implementaci webového rozhraní pro přístup k aplikaci, aby si majitel firmy mohl vzdáleně kontrolovat docházku zaměstnanců a měl přehled o momentálně pracujících zaměstnancích. Systém by bylo vhodné také upravit, aby rozlišoval
67
stálé zaměstnance a brigádníky. U stálých zaměstnanců by bylo kontrolováno dodržování délky pracovní doby a obědové pauzy, počítaly by se přesčasy, porovnával by se odpracovaný čas s pracovním fondem atd. Zvlášť by byla počítána také práce o svátcích, víkendech či přes noc. Při tvorbě aplikace jsme se setkali s problémem, kdy ve vývojovém nástroji Fingerprint SDK byla nevhodně implementována funkce pro identifikaci uživatele. Pokud byla nastavena velmi nízká prahová hodnota identifikace tak, že nasnímaný otisk mohl odpovídat více referenčním šablonám, byl vždy určen uživatel, u kterého shoda nastala nejdříve. To je jistě nežádoucí chování a preferovanější je určit uživatele, jehož skóre porovnání je nejvyšší. Dle toho byla také funkce upravena. Jelikož správná funkce aplikace je závislá na nastavených systémových hodinách, doporučuje se jejich změnu v operačním systému omezit pomocí administrátorských práv. Pokud by námi vytvořená aplikace byla používána ve firmě s velkým počtem zaměstnanců, doporučili bychom změnit způsob určení identity uživatele z identifikace na verifikaci. Aplikace tak bude poskytovat přesnější výsledky, ale za cenu nižšího uživatelského pohodlí. Metoda pro verifikaci uživatele je již v aplikaci naprogramována, ale v současném řešení není používána. Pro její začlenění je třeba provést pouze minimální změny ve zdrojovém kódu aplikace. V současné době probíhá etapa testování docházkového systému a případné návrhy na změny budou implementovány po vyhodnocení uživatelských podnětů.
68
10
Závěr
Diplomová práce se zabývá přehledem dnes nejrozšířenějších biometrických technologií. U biometrického systému jako celku jsou popsány jednotlivé fáze zpracování biometrického vzorku, je hodnocena chybovost systému z různých úhlů pohledu a příčin a jsou rozebrány scénáře testování a hodnocení. U jednotlivých biometrik se věnujeme principu jejich fungování, charakteristikám, hodnocení silných a slabých stránek a typickým možnostem využití v praxi jakožto autentizačního nástroje. Detailněji je pojata kapitola o otiscích prstů; nejprve jsou popsány fyzikální principy různých senzorů a následně algoritmy pro zkvalitnění nasnímaného obrazu, jeho převodu do skeletizované podoby, extrakci markantů, filtrování, závěrečné porovnání a vyhodnocení. Přínosem této práce bylo získání množství informací týkajících se biometrik. Ačkoliv je práce zaměřena především teoreticky, byly při její tvorbě získány i praktické zkušenosti při implementaci konkrétního řešení založeného na snímání lidských charakteristik. Tímto byl dle našeho názoru cíl diplomové práce naplněn. Automatizované zpracování biometrik se neustále rozvíjí a v budoucnu můžeme počítat i s automatizací nyní ezoterických biometrik, jako jsou např. tvar vnějšího ucha, otisky rtů a pórů, topografie žil zápěstí, dynamika chůze, pach lidského těla a tvar lůžka nehtu. Dle našeho názoru má však stále nejvyšší potenciál technologie otisků prstů, jíž jsme v práci věnovali nejvíce prostoru – neustále se zmenšují rozměry snímačů, klesá jejich cena a zvyšuje rozlišení. Snímače se integrují do rozličných zařízení, jakými jsou mobilní telefony, PDA, počítačové myši a klávesnice. Otisk prstu by mohl najít využití i v kryptografii pro přístup k tajnému soukromému klíči místo nyní obvykle používaných hesel.
69
11
Literatura
21Century-Ecommerce [online]. 2001 [cit. 2010-08-06]. Company info. Dostupné z WWW:
. Biometric and Network Authentication How Biometrics works? [online]. 21.3.2008 [cit. 2010-08-09]. Advanced Software Security. Dostupné z WWW: . Bitto, Ondřej. Šifrování a biometrika aneb tajemné bity a dotyky. Vydání první. Kralice na Hané : Computer Media s.r.o., 2005. 168 s. ISBN 80-86686-48-5. Bleha, Saleh; Slivinsky, Charles; Hussien, Bassam. Computer-access security systems using keystroke dynamics, v IEEE Transactions on Pattern Analysis and Machine Intelligence. sv. 12, č.12. IEEE Computer Society, 1990. s. 1217-1222. Dostupné z WWW: . ISSN 0162-8828. Bouška, Petr.Biometrické systémy : zpracování otisku prstu včetně možnosti rekonstrukce otisku z biometrické šablony. Brno, 2007. 66 s. Diplomová práce. Masarykova univerzita, Fakulta informatiky. CleverAndSmart [online]. 2009 [cit. 2010-12-28]. Vícefaktorová autentizace. Dostupné z WWW: . Datamatics Management Services [online]. 2010 [cit. 2010-08-09]. Biometrics. Dostupné z WWW: . Daugman, John. How Iris Recognition Works. v IEEE TRANSACTIONS ON CIRCUITS AND SYSTEMS FOR VIDEO TECHNOLOGY [online]. VOL. 14, NO. 1., JANUARY 2004 [cit. 2010-08-01]. Dostupné z WWW: . Dunstone, Ted; Yager, Neil. Biometric System and Data Analysis : Design, Evaluation, and Data Mining. New York : Springer US, 2009. Vulnerabilities, s. 247-262. ISBN 978-0-387-77625-5. Emerald : Sensor Review [online]. 2001 [cit. 2010-09-19]. Fingerprint sensing and analysis. Dostupné z WWW: . Fingerprint Classification [online]. 2010 [cit. 2010-09-19]. Biometric System Laboratory. Dostupné z WWW: . Fujitsu Global [online]. Tokyo : 2007-09-11 [cit. 2010-09-18]. Fujitsu Begins Sales of World. Dostupné z WWW: . ICUweb [online]. [cit. 2010-08-05]. Contents Page. Dostupné z WWW: .
70
International Biometric Group. International Biometric Group [online]. 2010 [cit. 2010-07-03]. Biometrics Market and Industry Report 2009–2014. Dostupné z WWW: . Jain, Anil K; Flynn, Patrick; Ross, Arun A. Handbook of Biometrics. New York : Springer, 2008. 556 s. ISBN 9780387710402. Katdare, Kaustubh. CrazyEngineers [online]. 2010 [cit. 2010-10-24]. Biometric ATM installed in Poland. Dostupné z WWW: . Krhovják, Jan; Matyáš, Václav. Autentizace a identifikace uživatelů. Zpravodaj ÚVT MU. ISSN 1212-0901, 2007, roč. XVIII, č. 1, s. 1-5. Li, Stan Z. Encyclopedia of Biometrics. New York : Springer Science+Business Media, 2009. 1433 s. ISBN 978-0-387-73002-8. Maio, Dario; Maltoni, Davide; Cappelli, Raffaele. FVC2000 : Fingerprint Verification Competition. [online]. 2000, [cit. 2010-09-15]. Dostupný z WWW: . Maio, Dario; Maltoni, Davide; Cappelli, Raffaele. FVC2002 : Second Fingerprint Verification Competition. [online]. 2002, [cit. 2010-09-15]. Dostupný z WWW: . Maio, Dario; Maltoni, Davide; Cappelli, Raffaele. FVC2004 : the Third Fingerprint Verification Competition. [online]. 2004, [cit. 2010-09-15]. Dostupný z WWW: . Maio, Dario; Maltoni, Davide; Cappelli, Raffaele. FVC2006 : the Fourth International Fingerprint Verification Competition. [online]. 2006, [cit. 201009-15]. Dostupný z WWW: . Maltoni, Davide, et al. Handbook of Fingerprint Recognition. Second Edition. London : Springer-Verlag, 2009. 506 s. ISBN 978-1-84882-253-5. Matyáš, Vašek, et al. Autorizace elektronických transakcí a autentizace dat i uživatelů. 1. vydání. Blansko : Masarykova univerzita/Nakladatelství, 2008. 125 s. ISBN 978-80-210-4556-9. National Institute of Standards and Technology. FRVT 2006 and ICE 2006 [online]. 2007-03-29 [cit. 2010-11-25]. Large-Scale Results. Dostupné z WWW: . NIST. Information Technology Laboratory [online]. 1995-12-23, 2009-10-03 [cit. 2010-11-25]. Speaker Recognition Evaluation. Dostupné z WWW: . PalmSecure [online]. 2008-11-11 [cit. 2010-09-18]. Fujitsu vein pattern palm reader Palmistry Report. Dostupné z WWW: .
71
Phillips, Jonathon, et al. Face Recognition Vendor Test [online]. 1994 [cit. 201011-25]. FERET. Dostupné z WWW: . Prabhakar, Salil; Jain, Anil. Fingerprint Identification [online]. 2009 [cit. 2010-09-20]. Biometrics. Dostupné z WWW: . Rak, Roman, et al. Biometrie a identita člověka : ve forenzních a komerčních aplikacích. První vydání. Praha : Grada Publishing, a.s., 2008. 664 s. ISBN 978-80-247-2365-5. Říha, Zdeněk. PV157 – Autentizace a řízení přístupu [online prezentace]. Brno : Masarykova univerzita, [cit. 2010-09-09]. Siteman Cancer Center [online]. 31.3.2010 [cit. 2010-08-05]. Cancer Information. Dostupné z WWW: . SOFTPRO GmbH [online]. 2009 [cit. 2010-08-08]. Image Gallery. Dostupné z WWW: . Wilson, Charles, et al. Fingerprint Vendor Technology Evaluation 2003 [online]. 2004 [cit. 2010-11-25]. Summary of Results and Analysis Report. Dostupné z WWW: . Woodward, John D; Orlans, Nicholas M; Higgins, Peter T. Biometrics. New York : McGraw-Hill/Osborne, 2003. 432 s. ISBN 0072222271. Yeung, Dit-Yan, et al. SVC2004 [online]. 2004 [cit. 2010-11-25]. First International Signature Veriifcation Competition. Dostupné z WWW: .
72