ORATIE 17 APRIL 2014
BIOMETRIE – OP DE GRENS TUSSEN TECHNIEK EN MENS PROF.DR.IR. R.N.J. VELDHUIS
PROF.DR.IR. R.N.J. VELDHUIS
BIOMETRIE – OP DE GRENS TUSSEN TECHNIEK EN MENS
Rede uitgesproken bij de aanvaarding van het ambt van hoogleraar Biometric Pattern Recognition aan de faculteit Elektrotechniek, Wiskunde en Informatica van de Universiteit Twente op donderdag 17 april 2014 door
PROF.DR.IR. R.N.J. VELDHUIS
5
INHOUD 1. Proloog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2. Biometrie en identiteit.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3. Biometrische kenmerken.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 4. De herkenningsprestaties.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 5. Biometrie als leerstoel.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 6. Het onderzoek.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 6.1 Normalisatie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 6.2 Feature-extractie.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 6.3 Vergelijken van features.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 7. De toekomst. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 7.1 De toepassingen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 7.2 De modaliteiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 7.3 De onderzoeksonderwerpen.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 8. Tenslotte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Referenties.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
6
1. PROLOOG MIJNHEER DE RECTOR, BESTE FAMILIE, VRIENDEN, COLLEGAE, DAMES EN HEREN, Volgens de gangbare definities heeft biometrie te maken met het vaststellen van identiteit. Laat ik daarom eerst iets zeggen over mijn wetenschappelijke identiteit. Toen ik als jongetje van 5 of 6 met mijn vader besprak wat ik later zou worden was zijn advies Wiskundig Ingenieur, of Kapitein bij de Luchtmacht. Kapitein bij de Luchtmacht zei mij nog wel iets. Wiskundig ingenieur klonk indrukwekkend, maar zei mij als 5- of 6-jarige niets. Met deze toekomstbeelden maakte ik trouwens weinig indruk op mijn mannelijke klasgenoten, die brandweerman, politieagent of buschauffeur wilden worden. Op het VWO vond ik wiskunde inderdaad fascinerend maar elektronica boeide mij ook. Toen ik ging studeren koos ik daarom voor elektrotechniek, en wel hier in Twente. Overigens waren mijn politieke idealen toen zo dat Kapitein bij de Luchtmacht geen optie meer was. Na ongeveer twee jaar drong tot me door dat mijn ware interesse bij de wiskundige en formele kant van de elektrotechniek lag. Daarmee was niet langer de elektronische schakeling mijn platform om een functie te realiseren, maar de computer, die ook veel geduldiger en vergevender was. Dat kenmerkt mijn wetenschappelijke identiteit, die ergens tussen de elektrotechniek, de wiskunde en de informatica in ligt. Sinds mijn stage, rond 1980, waarin ik software ontwikkelde om kankercellen in beelden van uitstrijkjes te detecteren, heb ik gewerkt aan signaalbewerking op de grens tussen techniek en mens. Het ging over patroonherkenning beelden van cellen, datacompressie op muziek, en over spraaksynthese. Nu gaat het over biometrie, waarin beeldbewerking, patroonherkenning, en fysiologie op wonderschone wijze verenigd worden.
7
2. BIOMETRIE EN IDENTITEIT
Figuur 1 Voorbeelden van oud gebruik van biometrie [1].
Biometrie is een oud vak. Figuur 1 toont een oude afbeelding van het gebruik van vingerafdrukken voor de ondertekening van een Chinees zakencontract [1]. Moderne definities van biometrie, zoals nu geprojecteerd, luiden: 1. Met de term biometrie wordt gedoeld op het herkennen van mensen aan een lichaamskenmerk met gebruikmaking van informatietechnologie [2]. 2. Biometrics (or biometric authentication) refers to the identification of humans by their characteristics or traits [3]. Gangbare definities hebben het over het automatisch herkennen van personen. Dat vind ik beperkend en het woord ‘herkennen’ roept mogelijk een verkeerd beeld op, zoals geïllustreerd door het volgende fragment uit de film Minority Report.
Figuur 2 Scene uit de film Minority Report.
8
Wij willen niet altijd en overal herkend worden, maar misschien soms wel. Daarom wil ik biometrie niet alleen zien als een herkenningstechnologie maar zeker ook als een middel om privacy te beschermen. De essentie van een biometrisch systeem ziet u in het blokschema in Figuur 3. Dit systeem bepaalt hoe aannemelijk het is dat twee lichaams kenmerken, bijvoorbeeld vingerafdrukken, van dezelfde persoon komen. Dit wordt uitgedrukt in een aannemelijkheidsscore S, die op een of andere manier gebaseerd is op de gelijkheid van de biometrische kenmerken. Door de score te vergelijken met een drempel D kan het systeem op de volgende manier een beslissing nemen: Als de aannemelijkheidsscore S boven de drempel D ligt beslist het systeem dat we de kenmerken van dezelfde bron komen. Anders beslist het systeem dat de kenmerken van verschillende personen afkomstig zijn. Wat kunnen we hiermee? Een voorbeeld van een toepassing, die u misschien op een luchthaven bent tegengekomen, is de e-gate, afgebeeld in Figuur 4 [4].
Figuur 3 Blokschema van een biometrisch systeem.
9
U legt uw paspoort op een lezer, kijkt in de camera en het poortje gaat open, of niet. Wat gebeurt, is dat een digitaal beeld van uw gezicht, opgeslagen in het paspoort, wordt vergeleken met een de opname van uw gezicht die is gemaakt toen u in de camera keek. Als het biometrische systeem, in dit geval een gezichtsherkenner, beslist dat het gezicht opgeslagen in uw paspoort van dezelfde persoon afkomstig is als de actuele opname, dan concludeert het paspoortcontrolesysteem dat u de rechtmatige eigenaar van het paspoort moet zijn en opent de e-gate.
Figuur 4 E-Gate [4].
We zien dat er sprake is van twee systemen: het biometrisch systeem, dat een beslissing neemt over de bron van de biometrische data, en een applicatie, in dit geval het paspoortcontrolesysteem, dat concludeert dat u de eigenaar van het paspoort bent. U bent dus helemaal niet herkend. Tenminste niet door de processen die ik net beschreef. Natuurlijk is uw paspoort ook uitgelezen en is vastgelegd dat u de grens bent gepasseerd, maar het biometrisch systeem noch de paspoortcontroleapplicatie hebben u als persoon herkend. Formeel gebeurt er dit: Een biometrisch verificatieproces is onderdeel van een applicatie, bijvoorbeeld paspoortcontrole. Het biometrisch proces bestaat uit een enrolmentfase waarin een biometrisch referentiekenmerk van een persoon wordt vastgelegd, samen met een aantal attributen. Dat zijn gegevens die betrekking hebben op de gebruiker. Vervolgens, en
10
meestal later, volgen er verificatiefasen waarin biometrische testkenmerken van een gebruiker worden vergeleken met het referentiekenmerk. Het biometrisch proces beslist dan of referentie-en testkenmerk van dezelfde persoon afkomstig zijn. Als dit zo is, dan concludeert de applicatie dat de opgeslagen attributen van toepassingzijn op de gebruiker en kan op basis daarvan een actie ondernemen. Een ander biometrisch proces is identificatie. Hierbij worden in de enrolmentfase referentiekenmerken en attributen van een aantal personen opgeslagen in een database. In de identificatiefase wordt een biometrisch testkenmerk van een gebruiker vergeleken met de referentiekenmerken van alle personen in de database en bij iedere vergelijking wordt een aannemelijkheidscore berekend. Het systeem beslist vervolgens dat het biometrische referentiekenmerk dat bij vergelijking de hoogste aan nemelijkheidsscore opleverde van dezelfde persoon afkomstig is als het biometrische testkenmerk. Welke attributen worden opgeslagen bij de enrolment wordt bepaald door de applicatie. Voorbeelden van attributen en applicaties zijn: -- houderschap van een document bij de applicatie pasoortcontrole; -- leeftijd, zodat je biometrie kunt gebruiken om te kijken of iemand ouder dan 18 is, zonder dat je hoeft te weten hoe hij heet; -- recht op toegang tot een locatie of applicatie. In deze voorbeelden wordt de identiteit van de gebruiker niet vrijgegeven, maar wordt biometrie ingezet om de identiteit, en daarmee de privacy, van een individu te beschermen. In het ideale geval is het dan ook de gebruiker die bepaalt welke gegevens doorgegeven worden aan de applicatie. Als je wilt benadrukken dat biometrie geen privacyrisico hoeft te zijn, maar juist goed ingezet kan worden om privacy te beschermen, kunnen we het dus beter hebben over het verifiëren of bepalen van legitimiteit in plaats van identiteit. Jezelf legitimeren is letterlijk iets anders dan jezelf identificeren. Ik mag legitiem alcohol kopen als ik kan laten zien dat ik ouder dan 18 ben, mijn naam is daarvoor niet van belang. Om legitiem te parkeren hoef ik niet meer te doen dan aantonen dat ik in de buurt woon. Biometrie is dus een mooi middel om legitimiteit aan te tonen met maximaal behoud van privacy.
11
Natuurlijk wordt biometrie ook zinvol ingezet om de identiteit van iemand wel vast te stellen, bijvoorbeeld bij opsporing door de politie of bij de beveiliging van publieke ruimtes door middel van camera’s. Dit gebruik is bij wet geregeld, of zou dat moeten zijn [5]. De toepassingen van biometrie gericht op het vangen van boeven en het reduceren van criminaliteit zijn maatschappelijk zeer relevant en tot de verbeelding sprekend. Daarom vind ik het leuk om ook aan deze toepassingen te werken.
12
3. BIOMETRISCHE KENMERKEN Veel lichaams- of gedragskenmerken zijn als biometrisch kenmerk bruikbaar, daarom presenteer ik eerst de eisen die je aan een biometrisch kenmerk, ofwel modaliteit, zou kunnen stellen: Algemeenheid – heeft iedereen dit kenmerk? Dit is van belang voor de algemene inzetbaarheid. Het een eis waaraan niet altijd kan worden voldaan. Niet iedereen heeft bijvoorbeeld een rechterwijsvinger. Uniciteit – hoe goed kun je het kenmerk gebruiken om individuen te onderscheiden? Niet elk fysiologisch kenmerk is geschikt. Lichaamslengte en gewicht zijn bijvoorbeeld niet erg uniek. Permanentie – verandert het kenmerk niet met de tijd? Het gezicht is een van de meest gebruikte biometrisch modaliteiten, maar is verre van permanent. Het verandert langzaam door veroudering en kan binnen korte tijd variëren door expressies. Meetbaarheid – hoe goed kun je het kenmerk meten en kwanticeren? DNA is een voorbeeld van een zeer onderscheidend biometrisch kenmerk dat, onder andere, vanwege zijn ingewikkelde meetbaarheid in ieder geval voorlopig nog niet praktisch inzetbaar is. Prestaties – hoe nauwkeurig en hoe snel kun je biometrische kenmerken vergelijken? Snelheid is van belang als je wilt zoeken in grote databases. Nauwkeurigheid bepaalt of een modaliteit toepasbaar is in een applicatie. Acceptatie – in hoeverre zijn gebruikers bereid om de kenmerken te laten opnemen? Tegen vingerafdrukken bestaat soms weerstand omdat ze met criminaliteit worden geassocieerd. Metingen aan het oog kunnen als beangstigend worden ervaren. Een breder publiek is nu wel aan irisherkenning gewend, maar het meten van het aderpatroon op het netvlies met infrarood licht is een brug te ver.
13
Onvervalsbaarheid – in hoeverre kan het systeem gefopt worden met een vervalst kenmerk? De populaire term hiervoor is spoofing en het is een tak van sport, en misschien ook wel een kunst geworden om biometrische systemen te foppen. Figuur 5 laat een, niet eens kansloze, poging zien tot het foppen van een gezichtsherkenner [6].
Figuur 5 Poging om een gezichtsherkenner te foppen [6].
Deze 7 eisen zijn in 1998 geformuleerd door Anil Jain, een van de grondleggers van biometrie als academische discipline, en zijn medeauteurs [7]. Tabel 1 geeft voor een aantal biometrische kenmerken aan in hoeverre deze volgens experts aan deze eisen voldoen. Geen enkel voldoet volledig aan alle eisen. De keuze voor een modaliteit hangt daarom van de applicatie af. Het belang van de eisen kan namelijk per applicatie verschillen. Soms moet je ook roeien met de riemen die je hebt. Een surveillancevideo bijvoorbeeld, bevat niet veel anders dan gezichten van mensen dus als je iemand wilt vinden in die video zul je het daarmee moeten doen.
14
Onvervalsbaarheid
Acceptatie
Prestatie
Meetbaarheid
Permanentie
Uniciteit
Algemeenheid
Tabel 1 Vergelijking van biometrische kenmerken, ontleent aan [7].
Gezicht
+
-
+/-
+
+/-
+
+/-
Vingerafdruk
+/-
+
+/-
+/-
+
+/-
-
Handgeometrie
+/-
+/-
+/-
+
+/-
+/-
+/-
Aderpatronen
+/-
+
+/-
+/-
+
+/-
+
Iris
+
+
+
+/-
+
+/-
+
Netvliesaders
+
+
+
-
+
-
+
DNA
+
+
+
-
+
-
+
Oorvorm
+/-
+/-
+
+/-
+/-
+/-
+/-
Stem
+/-
-
-
+/-
-
+
+/-
Tred
+/-
-
-
+
-
+
+/-
Toetsaanslag
-
-
-
+/-
-
+/-
+/-
Lichaamsgeur
+
+
-
-
-
-
+
Handtekening
-
-
-
+
-
+
-
15
4. D E HERKENNINGS PRESTATIES Voor sommigen zal het een schok zijn, maar een biometrisch systeem neemt soms foute beslissingen. Daarmee moeten we in een applicatie rekening houden. Waar komen deze fouten vandaan? We kijken weer naar Figuur 3, de kern van een biometrisch systeem. De aannemelijkheidsscore die bij een vergelijking van een test- en een referentiekenmerk wordt berekend zal naar verwachting laag zijn als de kenmerken van verschil lende bronnen komen, en hoog als ze van dezelfde bron afkomstig zijn. De door Anil Jain geformuleerde eis van uniciteit houdt in dat biometrische kenmerken van verschillende personen ook inderdaad verschillend moeten zijn en dat biometrische kenmerken van dezelfde persoon steeds opnieuw hetzelfde moeten zijn. Dat is een ideaalbeeld waar in de praktijk niet aan voldaan kan worden. Het gebeurt dat de biometrische kenmerken van twee verschillende personen op elkaar lijken en ook dat er variatie is binnen de kenmerken van een persoon. Figuur 6 illustreert dat. De twee linker plaatjes in deze figuur zijn van dezelfde persoon, de rechter is van iemand anders.
Figuur 6 Variabiliteit van biometrische kenmerken.
Door deze, vaak natuurlijke, variaties kan de aannemelijkheidscore van de biometrische kenmerken van dezelfde persoon lager uitvallen. Omgekeerd kan de aannemelijkheidsscore van kenmerken van verschillende personen juist hoger uitvallen. Bij het drempelen om te beslissen of de kenmerken al dan niet van dezelfde bron afkomstig zijn, kan het dus gebeuren dat de score afkomstig van twee verschillende
16
bronnen groter is dan de drempel. Dan wordt ten onrechte beslist dat de kenmerken van dezelfde persoon komen – we spreken dan van een false match. Het kan ook voorkomen dat een score afkomstig van dezelfde bron kleiner is dan de drempel en ten onrechte wordt beslist dat de kenmerken van verschillende personen komen. Dan spreken we van een false nonmatch. Hier werkt een kansmechanisme dat karakteristiek is voor biometrie. De kans op een false match heet false-match rate (FMR). De kans op een false nonmatch heet false-nonmatch rate (FNMR). Als de drempel hoger wordt gekozen neemt de false-match rate af en de false-nonmatch rate toe. Er is dus een trade-off tussen de false-match en de false-nonmatch rate, die we kunnen regelen met de drempelkeuze. Dit wordt geïllustreerd in Figuur 7, waarin de false-nonmatch rate is geplot als functie van de false-match rate voor 11 irisherkenningssystemen. De onderste, paarse curve in de grafiek hoort bij het biometrisch systeem dat het meest onderscheidend is, omdat bij dezelfde false-match rate een lagere falsenonmatch rate wordt gehaald. Hoe meer de curve in de linkeronderhoek ligt, hoe onderscheidender het biometrisch systeem is. Deze grafiek wordt Decision Error Trade-off curve, ofwel DET-curve, genoemd.
Figuur 7 DET-curves van irisherkenning [8].
17
Herkenningsfouten lijken onvermijdelijk. De DET-curves in Figuur 7 zijn realistische curves voor een irisherkenningssysteem, gemeten in een officiële test [8] en geven aan wat je onder goede omstandigheden aan herkenningsprestaties kunt verwachten. We kunnen de foutkansen van zo’n systeem vergelijken met die van het gebruik van een 4-cijferige pincode zoals op een betaalpas. De false-match rate is kans dat een willekeurig persoon uw code kan intoetsen. Die is 1 op 10000. De false-nonmatch rate is moelijker te bepalen, dat is namelijk de kans dat u een fout maakt bij het intoetsen. Ik denk dat een heel ruime schatting is dat dat 1 op de 100 keer gebeurt. Ik heb deze kansen als een punt ingetekend in Figuur 7. U ziet dat de geteste irisherkenningssystemen het nog niet zo goed doen als een 4-cijferige pincode. Tabel 2 geeft een overzicht van experimenteel bepaalde false-nonmatch rates voor iris- [8], gezichts- [9], en vingerafdrukherkenning [10] bij een false-match rate van 1 op 10000. Volgens deze tabel is alleen vingerafdrukherkenning beter dan de pincode, maar ik moet wel opmerken dat de resultaten afhangen van de kwaliteit van biometrische gegevens die bij de experimenten zijn gebruikt. Tabel 2 Herkenningsprestaties van iris-, gezicht- en vingerafdrukherkenning.
Modaliteit
Iris
Gezicht
Vingerafdruk
PIN
FNMR@FMR=10E-04
2.0%
2.5%
0.2%
1.0%
Waarom is, ondanks deze herkenningsprestaties, biometrische herkenning toch zo interessant dat het gebruikt wordt in paspoorten, bij automatische geldopname, en bij toegangscontrole? De reden is soms een verhoogd gebruikersgemak, maar vanuit security-oogpunt is minstens zo belangrijk dat bij biometrische herkenning de gebruiker wel fysiek aanwezig moet zijn. Daarmee wordt de kans op fraude door middel van vervalsing van documenten, diefstal van pasjes en het ontfutselen van wachtwoorden kleiner.
18
Een horrorscenario zoals afgebeeld in Figuur 8 [11] laten we maar even buiten bechouwing, evenals spoofing.
Figuur 8 Diefstal van een auto met een afgesneden vinger [11].
In sommige toepassingen, zoals bij camerabewaking, is het gebruik van biometrische herkenning ondanks de mogelijk grote kansen op foute beslissingen vaak de enige oplossing. Bijvoorbeeld bij een gezichts herkenningssysteem dat wordt gebruikt om mensen die een winkelverbod overtreden te betrappen is het van belang de kans op een vals alarm – de false-match rate – binnen te perken te houden. Dat gaat ten koste van de detectiekans. Echter, als bij een acceptabele kans op een vals alarm de kans dat iemand met een winkelverbod betrapt wordt 30% is – dat betekent een false-nonmatch rate van 70% – dan heeft dat systeem echt nog wel voldoende afschrikkende werking. Wie is de betere herkenner, een biometrisch systeem of de mens? Die vraag is relevant als je biometrische systemen in wilt zetten in een forensische context, bijvoorbeeld om vast te stellen of de verdachte inderdaad op een surveillancevideo te zien is, of als je automatisch gezichtsherkenning wilt inzetten voor paspoortcontrole. Figuur 9 laat DET-curves zien van diverse automatische gezichtsherkenners en van mensen, gemeten tijdens de Face Recognition Vendor Test 2006 [8]. De bolletjesgrafiek laat de herkenningsfouten bij gezichtsherkenning door
19
de mens zien. De andere grafieken zijn de DET curves van commerciële systemen. We zien dus dat de beste gezichtsherkenners beter herkennen dan mensen.
Figuur 9 DET-curves van automatische gezichtsherkenners en van de mens [9].
20
5. BIOMETRIE ALS LEERSTOEL De begrippen in de biometrie komen grotendeels overeen met die in de statistische patroonherkenning. Een terechte vraag is dus: ‘Wat rechtvaardigt een aparte leerstoel biometric pattern recognition? Waarom zou je geen biometrisch onderzoek doen in een leerstoel statistische patroonherkenning?’ Daar zijn een aantal redenen voor. De eerste reden is dat er aan deze universiteit geen leerstoel statistische patroonherkenning is. Er wordt op diverse plaatsten onderzoek aan patroonherkenning gedaan, maar allemaal binnen een eigen specifieke applicatiecontext. De tweede reden is dat biometrie een belangrijke enabling technology is voor publieke veiligheid en IT security. Het thema veiligheid, dat beide omvat, is onlangs gekozen tot een van de speerpunten van onze universiteit en biometrie is als vakgebied voor de UT onderscheidend in Nederland. De derde reden is dat kennis van het biometrische domein, dat wil zeggen kennis van sensoren, van fysiologie, en van de applicatie, binnen de biometrie belangrijk zijn naast kennis van patroonherkenning. Een biometrische onderzoeksgroep is dus multidisciplinair en een goede balans tussen de disciplines is essentieel. De vierde reden is inhoudelijk. De centrale onderzoeksvraag ‘Zijn deze biometrische kenmerken afkomstig van dezelfde bron?’ is wat anders dan de vraagstelling van het vakgebied patroonherkenning, die luidt: ‘Tot welke klasse behoort dit waargenomen object?’ Voorbeelden van vragen uit de patroonherkenning zijn: ‘Is dit een kankercel?’, of ‘Welke letters en cijfers staan op deze nummerplaat?’ Deze vraagstelling opent de mogelijkheid om een systeem op basis van heel veel voorbeelden van kankercellen, of nummerplaten te trainen. Training op een specifieke persoon is in de biometrie bijna nooit mogelijk omdat bij de training van het systeem nog niet bekend is wie die persoon zal zijn.
21
Figuur 10 Pistoolgreep met drukpatroonherkenning.
Een uitzondering hierop is de handgreepherkenning voor politiepistolen, een van onze eerste projecten [12]. Zoals u in Figuur 10 kunt zien hebben we de kolf van een pistool uitgerust met een druksensor en een handgreepherkenner, zodat het pistool alleen kan vuren als de geautoriseerde agent het vasthoudt. Het doel was te voorkomen dat agenten bedreigd of neergeschoten worden met hun eigen wapens. Bij deze toepassing heb je te maken met professionele gebruikers, die wel tijd kunnen nemen om de herkenner in hun pistool te trainen, natuurlijk ook in hun eigen belang.
22
6. HET ONDERZOEK Waar gaat het onderzoek in de biometrie nu eigenlijk inhoudelijk over? Figuur 11 toont de opnieuw basisarchitectuur van een biometrisch systeem, uitgebreid met de bewerkingen op de biometrische kenmerken worden uitgevoerd. Het referentiekenmerk wordt tijdens de enrolmentfase aangeboden, het testkenmerk tijdens de verificatie- of de identificatiefase. Beide kenmerken worden op dezelfde manier behandeld, maar in de tak van het referentiekenmerk is een geheugen geplaatst. Dit is bijvoorbeeld de geheugenchip op een paspoort.
Figuur 11 De basisarchitectuur van een biometrisch systeem.
6.1 NORMALISATIE De eerste bewerking heet normalisatie. Het doel is de variabiliteit die een biometrisch kenmerk kan hebben, en die de vergelijking bemoeilijkt, te verminderen door het kenmerk in een standaardrepresentatie weer te geven. Voorbeelden van deze variaties, zoals ze in een gezicht kunnen voorkomen, zijn weergegeven in Figuur 12. We zien variaties in belichting, pose, expressie en occlusie.
23
Bij gezichtsherkenning kan normalisatie uit de stappen bestaan die zijn geïllustreerd in Figuur 13. Eerst wordt in het beeld het gezicht gedetec teerd. Daarna worden karakteristieke punten, de zogenaamde landmarks, gezocht, zoals bijvoorbeeld ogen neus en mond. Hiermee wordt het gezicht rechtop gezet en op een standaardgrootte afgebeeld. Dit heet registratie. Tenslotte wordt een segment uitgesneden dat voor verdere herkenning wordt gebruikt. Dat is nodig om geen last te hebben van bijvoorbeeld de variaties ten gevolge van haardracht.
Figuur 12 Ongewenste variaties in een gezicht, met dank aan Gert Beumer.
Figuur 13 Normalisatie – detectie, landmarking, registratie, en segmentatie, met dank aan Qian Tao.
Een andere variabiliteit die de normalisatie bij gezichtsherkenning aanpakt is variatie van belichting. In Figuur 14 ziet u links oorspronkelijke afbeeldingen van gezichten en rechts het resultaat van belichtings correctie. Dit is werk dat tijdens promotieonderzoek [13] bij ons is uitgevoerd. Door deze operatie worden de herkenningsprestaties op beelden van lage kwaliteit aanzienlijk verbeterd.
24
Figuur 14 Normalisatie – belichtingscorrectie [13].
Een laatste voorbeeld van normalisatie is posecorrectie, met name correctie van een gezicht dat niet voldoende frontaal is voor succesvolle herkenning. Figuur 15 laat een voorbeeld zien van werk dat is gedaan in samenwerking met TNO [14]. Hoewel voor belichtings- en posecorrectie oplossingen zijn gevonden, is er nog veel ruimte voor verbetering, omdat de herkenningspresentaties nog niet zo goed zijn als de die op uniform belichte frontale gezichten. Nog verder weg van bruikbare oplossingen zijn we op het gebied van gezichtsherkenning als er een groot tijverschil is tussen enrolment en verificatie, zodat het gezicht ouder is geworden en als expressies afwijken van neutraal. Het is vanwege de gevoeligheid voor variaties van expressies dat u sinds de invoering van gezichtsherkenning bij paspoortcontrole niet meer mag glimlachen op een pasfoto.
25
Figuur 15 Normalisatie – posecorrectie [14].
6.2 FEATURE-EXTRACTIE De tweede bewerking in Figuur 11 is feature-extractie. Een feature is een kenmerk, maar om verwarring met het biometrisch kenmerk te voorkomen gebruik ik het Engelse woord feature. Het gaat om het extraheren van features, zeg maar verzamelingen van getallen, die voldoende compact en onderscheidend zijn. Compactheid is van belang als er beperkte opslagcapaciteit is, zoals bijvoorbeeld op een smartcard en omdat een compacte representatie vaak sneller te vergelijken is. Dat is belangrijk als er in grote databases moet worden gezocht en er veel vergelijkingen moeten worden uitgevoerd. Het kiezen van onderscheidende features heeft iets van een kunst. Het vraagt domeinkennis en creativiteit. Soms worden features gekozen op basis van inzichten in de eigenschappen van het biometrische kenmerk. Een voorbeeld hiervan zijn de lokaties en richtingen van de eind- en vertakkingspunten van de richels in een vingerafdruk, afgebeeld in Figuur 16, de minutiae, als features voor vingerafdrukherkenning [15].
Figuur 16 Minutiae – locaties en richtingen van karakteristieke punten [15].
26
Een aanpak afkomstig uit de statistische patroonherkenning, is om de feature-extractie te trainen op basis van voorbeelden. Dit is vaak gebaseerd op een statistisch model van de variabiliteit van het biometrisch kenmerk. Hoewel hier vaak uitstekende herkenningsprestaties mee kunnen worden gehaald, brengt deze aanpak twee risico’s met zich mee. Het eerste is dat het veronderstelde model niet klopt. Het tweede risico is dat van overtraining. Als er te weinig trainingsmateriaal beschikaar is, dan kan de trainingsalgoritme teveel belang hechten aan toevallige overeenkomsten in de kenmerken van een persoon. Dit wordt dan vervolgens afgestraft met herkenningsfouten als de herkenner echt gebruikt wordt. Voor getrainde systemen is het dus van belang dat er voldoende representatief trainingsmateriaal beschikbaar is. Een vorm van feature-extractie waarmee we op het gebied van gezichtsherkenning in drie dimensies succesvol zijn geweest is het opsplitsen van een drie-dimensionaal gezicht in overlappende gebieden die alle apart geclassificeerd worden op basis van een standaard featureextractie. Op deze manier wordt door de keuze van de gebieden een robuustheid tegen variaties van expressies en occlusies ingebouwd.
Figuur 17 Representaties van een gezicht in 3D en de maskers [16].
Hiermee heeft mijn collega Luuk Spreeuwers de op dit moment beste 3D gezichtsherkenner ter wereld gerealiseerd [16]. In Figuur 17 ziet u een afbeelding van een gezicht in 3D en de maskers die gebruikt worden om de gebieden te selecteren.
27
6.3 VERGELIJKEN VAN FEATURES Ten slotte worden in Figuur 11 de features van referentie- en testkenmerk met elkaar vergeleken via de aannemelijkheidsscore vast te stellen of ze van dezelde bron afkomstig zijn. Net als bij de feature-extractie onderscheiden we hier getrainde en ongetrainde vergelijkers. Ongetrainde vergelijkers kijken zonder rekening te houden met de statistiek van de features in hoeverre de features van de twee biometrische kenmerken overeenkomen, bijvoorbeeld door ze van elkaar af te trekken en naar de grootte van het verschil te kijken. Dat werkt goed als alle features ongeveer even onderscheidend zijn en onafhankelijk van elkaar variëren. Als dat niet zo is, dat heeft een getrainde vergelijker de voorkeur. Deze wordt getraind door paren van features die van dezelde en van verschillende bronnen afkomstig zijn aan te bieden aan een trainingsalgoritme. Hier spelen dezelde risico’s een rol als bij featureextractie, namelijk het risico dat de onderliggende statistische modellen niet kloppen en het risico van overtraining, maar over het algemeen blijken deze methoden superieur te zijn.
28
7. DE TOEKOMST Ik wil de toekomst van ons onderzoek aan biometrie langs drie lijnen schetsen: de toepassingen, de modaliteiten, en de op te lossen problemen.
7.1 DE TOEPASSINGEN De toepassing sluiten aan bij maatschappelijke vragen op het gebied van de maatschappelijke thema’s legitimiteit en veiligheid. Dit zijn thema’s die gedeeltelijk overlappen, omdat legitimiteit een belangrijk concept is in het veiligheidsdomein. De eerste toepassing is het identiteitsdocument van de toekomst. Een document, dat op ongeveer dezelfde manier wordt gebruikt, is het reisdocument. In Nederland zijn de functies van identiteits- en reisdocument verenigd in ons paspoort of onze identiteitskaart. De vraag die het biometrische herkenningssysteem bij reis- en identiteitsdocumenten beantwoordt is of de drager van het document de rechtmatige houder is. Onze paspoorten zijn al voorzien van de biometrische kenmerken van vingerafdrukken en gezichten, maar het is de vraag of dat voor deze toepassing de beste modaliteiten zijn. Gezichts- en vingerafdrukherkenning bieden veel mogelijkheden tot fraude omdat we onze gezichten en vingerafdrukken op veel plaatsen achterlaten. Daarbij is gezichtsherkenning gevoelig voor omgevingscondities zoals belichting en voor veroudering, waardoor de herkenningsprestaties afnemen. Het is daarom interessant om de toepassing van andere stabielere biometrische modaliteiten in identiteitsdocumenten te onderzoeken. Een identiteits- of een reisdocument is een officieel overheidsdocument dat aan standaarden moet voldoen. Onderzoek aan gebruik van biometrie in deze documenten heeft dus in iedere geval meer, of misschien zelfs alleen zin in internationale context. Interessante nieuwe biometrische modaliteiten voor toepassing in reis- of identiteitsdocumenten zijn 3D
29
gezichten en aderpatronen, vooral omdat daar veel minder gemakkelijk mee te frauderen is. Het begrip document zal trouwens wel wat vervagen. De relevantie informatie wordt volledig digitaal opgeslagen en het is voorstelbaar en voorspelbaar dat voor bepaalde toepassingen de functie van identiteitsof reisdocument in een smartphone worden geïntegreerd. Dat opent dan ook meer mogelijkheden om de biometrische sensor in het ‘document’ te integreren. Een dergelijk document kan heel gemakkelijk worden ingezet voor een groot aantal legitimatiedoeleinden, waarbij de gebruiker per toepassing bepaalt welke persoonlijke informatie wordt vrijgegeven. Dat beschermt de privacy van de gebruiker en bevrijdt ons tegelijk van de stapel pasjes die we nu met ons mee moeten nemen. De tweede toepassing is de klassieke toepassing van biometrische toegangscontrole, die al veel wordt gebruikt bij de bewaking van gebouwen en systemen. De vraag die het biometrische herkennings systeem beantwoordt is of het de geautoriseerde gebruiker is die toegang vraagt. Velen van u zullen een vingerafdrukscanner op een laptop hebben of hebben gehad. Velen van u zullen hebben gemerkt dat dat niet geweldig goed werkt. Toch zie ik mogelijkheden voor succesvolle toepassingen. Een eerste voorbeeld is de bewaking van terminals en beeldschermen die toegang geven tot zogenaamde vitale infrastructuur. Door een slimme combinatie van voortdurende gezichtsherkenning, en herkenning op basis van toetsaanslagen en muisbediening kun je in de gaten houden of dezelfde geautoriseerde persoon nog steeds achter het scherm zit of dat zijn plaats is ingenomen door een ander toen hij of zij even koffie ging halen. Een andere nieuwe toepassing van biometrische toegangscontrole die steeds relevanter wordt is authorisatie bij online en mobiel bankieren. De risico’s van fraude hierbij zullen alleen maar toenemen terwijl de banken proberen de verantwoordelijkheid hiervoor bij de klant te leggen [17].
30
Een toepassing in veiligheidsdomein is gezichtsherkenning in intelligente camerasurveillance. De publieke ruimte staat vol met bewakingscamera’s, maar de invloed op crimineel gedrag is minimaal, zo blijkt uit onderzoeken in Groot Brittannië [18]. Dat is niet gek als je ziet hoe een observatieruimte, zoals afgebeeld in Figuur 18 [19], eruit ziet.
Figuur 18 Observatieruimte voor camerasurveillance [19].
Per operator kunnen er wel tot 50 schermen staan, gekoppeld aan wisselende camera’s. De kans dat een operator iets ziet wordt daardoor klein. Een gezichtsherkenningssysteem zou de operator kunnen wijzen op mogelijk verdachte personen. Daarvoor is het wel nodig dat de prestaties van gezichtsherkenning op beeldmateriaal van lage kwaliteit beter worden. Deze technologie is ook onmiddellijk inzetbaar voor de analyse achteraf van surveillance video’s, zodat verdachten sneller gevonden kunnen worden. De laatste toepassing die ik wil noemen is forensische biometrie. Forensische biometrie heeft twee kanten. De eerste is opsporing. De analyse van videomateriaal valt daaronder, maar ook het efficiënt zoeken in politiedatabases met vingerafdrukken en gezichten. De tweede kant van forensische biometrie is heet individualisatie en wil de vraag beantwoorden of een biometrisch spoor, gevonden op een plaats delict, afkomstig is van een verdachte. Enerzijds is het hier van belang om de bewijswaarde objectief te kwantificeren, anderzijds hebben we in deze gevallen bijna altijd te maken met sporen van lage kwaliteit en moeten de herkenningsprestaties voor dit soort sporen verbeterd worden.
31
Sinds kort is Didier Meuwly, principal scientist bij het Nederlands Forensisch Instituut, bij ons deeltijdhoogleraar forensische biometrie [20]. Wij hopen met hem een belangrijke bijdrage aan dit vakgebied te kunnen geven.
7.2 DE MODALITEITEN Vanwege de beperkte menskracht moeten we een keuze maken wat betreft de modaliteiten waaraan we willen werken. Wij denken dat er vier het geschiktst zijn voor de gekozen applicaties. Dat zijn: 3D gezichtsherkenning. Op dat gebied zitten we in de wereldtop, en daar willen we graag blijven. Het is een mogelijke nieuwe modaliteit voor identiteitsdocumenten. 2D gezichtsherkenning. Dit is dé modaliteit voor veiligheids- en surveillancetoepassingen. We richten ons op gezichtsherkenning onder moeilijke omstandigheden. Dat is een terrein waar nog veel ruimte voor verbetering is. Vingerafdrukherkenning. Omdat state-of-the-art vingerafdrukherkenning al heel goed is, beperken we ons tot de herkenning van vingersporen van heel slechte kwaliteit in het forensisch domein. Vingeraderherkenning. Een aderpatroon is een interessant biometrisch kenmerk. Het zit goed verstopt en is daarom minder gevoelig voor fraude. De gerapporteerde herkenningsprestaties zijn zeer goed. De sensor lijkt op een vingerafdruksensor en het gebruiksgemak is ongeveer hetzelfde. De voor de hand liggende toepassingen zijn identiteitsdocumenten en online bankieren. Aderpatroonherkenning wordt echter helaas sterk afgeschermd door de Japanse industrie, met patenten, maar ook door geen data of sensoren voor evaluaties ter beschikking te stellen. Het academisch onderzoek komt daardoor slecht op gang, en het gebruik door de overheid wordt door dit monopolistisch gedrag geblokkeerd. Persoonlijk vind ik dat behalve onuitstaanbaar ook een gemiste kans voor een potentieel heel goede biometrie. Op het gebied van vingerafdruk- en gezichtsherkenning heeft juist de algemene beschikbaarheid van sensoren en databases ervoor gezorgd dat de technologie zich zo goed heeft ontwikkeld.
32
Om het academisch onderzoek op gang te helpen hebben we dus zelf een vingeradersensor ontwikkeld, afgebeeld in Figuur 19, waarvan we het ontwerp vrij beschikbaar stellen voor onderzoek [21]. Met deze sensor hebben we een database opgenomen die ook gratis beschikbaar is.
Figuur 19 Vingeradersensor en aderpatroon [21].
7.3 DE ONDERZOEKSONDERWERPEN Voor alle modaliteiten richt het onderzoek zich op verbetering van de herkenningsprestaties door verbeterde normalisatie, feature-extractie en vergelijking. Voor 3D gezichtsherkenning en vingeraderherkenning komt daar de ontwikkeling van sensoren bij. Eerder heb ik benadrukt dat biometrie geen privacyrisico hoeft te zijn, maar juist ingezet kan worden om privacy te beschermen. Als je dat serieus neemt, moet je onder ogen zien dat het locaal of centraal opslaan van biometrisch gegevens privacyrisico’s met zich meebrengt waar je maatregelen tegen moet nemen. Het eerste risico is identiteitsfraude, die gepleegd kan worden als biometrische gegevens samen met andere persoonsgegevens worden gestolen. Het tweede risico is oneigenlijk gebruik. Biometrische gegevens kunnen informatie bevatten over bijvoorbeeld de gezondheid en de etniciteit van de gebruiker. Het kan onwenselijk zijn dat deze gegevens in handen komen van bijvoorbeeld een verzekeringsmaatschappij of een werkgever. Dan is het nodig de biometrische gegevens zo op te slaan dat ze wel gebruikt kunnen worden voor herkenning, maar geen informatie over het onderliggende biometrische kenmerk prijsgeven. Dit probleem is al geruime tijd onderkend en er bestaan oplossingen voor onder naam biometric template protection. Het bezwaar van deze oplossingen is dat de bescherming van de privacy ongeveer even goed is als de biometrische
33
herkenningsprestaties, en dat is in veel gevallen onvoldoende. Een nieuwe richting in dit onderzoek is gebaseerd op cryptografische versleuteling en op vergelijking van de versleutelde gegevens. Op deze manier kan een veel betere bescherming van de biometrische gegevens worden verkregen, weliswaar ten koste van een toegenomen complexiteit. De onderzoeksvraag die ik samen met mijn nieuwe collega en cryptografie deskundige Andreas Peter op wil pakken is welke combinatie van cryptografische technieken, biometrische kenmerken en vergelijkings methoden hier tot een haalbare oplossing kunnen leiden.
34
8. TENSLOTTE Ik kom tot een afronding. Wat moet u meenemen van deze oratie? Ten eerste dat biometrie een geweldig leuk vak is, waarin technische, menselijke en maatschappelijke aspecten elkaar ontmoeten en waarin veel ruimte is voor zinvol onderzoek. Ten tweede hoop ik dat ik de associatie met ‘big brother’ wat heb kunnen nuanceren door te laten zien dat biometrie geen privacy risico hoeft te zijn, maar juist ook ingezet kan worden om de privacy van de gebruiker te beschermen. Ik ben blij dat ik hier vandaag mag staan en ik wil een aantal mensen bedanken die mij op de weg hiernaartoe geholpen en gesteund hebben. De eerste is Kees Slump. Ik ben hier in zijn groep begonnen. Hij heeft mij vanaf het begin de vrijheid gegeven om mijn onderzoek naar eigen inzicht in te vullen en me altijd gestimuleerd en geholpen deze volgende carrièrestap te nemen. Ik wil de toenmalige decaan Ton Mouthaan en toenmalige instituuts directeur Peter Apers bedanken voor hun inzet voor mijn benoeming en het College van Bestuur voor het in mij gestelde vertrouwen. Tegelijk met mijn benoeming vond er binnen de faculteit een reorganisatie plaats. Ik ben met mijn leerstoel verhuisd naar een nieuw opgerichte groep Services, Cyber security and Safety, afgekort SCS. Ik wil graag mijn waardering uitspreken voor de bereidheid van mijn nieuwe collega’s Roel Wieringa en Pieter Hartel om samen een werkend geheel van deze groep te maken. Ik zie die toekomst met vertrouwen en plezier tegemoet. Verder hoop ik natuurlijk dat mijn benoeming ook gebaseerd is op mijn wetenschappelijke prestaties. Die zijn het resultaat van een samenwerking met mijn collega’s Luuk Spreeuwers, Didier Meuwly en Geert-Jan Laanstra en verder met veel gasten, postdocs, en promovendi. Omdat dat er teveel zijn om persoonlijk te bedanken laat Figuur 20 hen in een collage zien.
35
Figuur 20 Met dank aan…
Verder roep ik regelmatig dat ik administratief zwak begaafd ben. Daarom ben ik blij met de hulp die op administratief gebied heb ontvangen van Anneke van Essen, Sandra Westhoff, Bertine Scholten en Suse Engbers. Het is vandaag natuurlijk landelijke secretaressedag, maar ook zonder dat verdienen ze het om hier genoemd te worden. Ten slotte bedank ik natuurlijk mijn gezin, Bianca, Floor, Veerle en Sylke. Er is een thuis- en een werkwereld, maar de brug tussen beide werelden is jullie steun en inspiratie. Die zijn belangrijker voor mij dan ik in woorden kan uitdrukken. Ik heb gezegd.
36
REFERENTIES [1] http://bullet-fingerprinting.wikispaces.com/History+of+Fingerprinting [2] J.H.A.M. Grijpink. Biometrie en Privacy. In: Privacy & Informatie, nr. 6, december 2000, Koninklijke Vermande. [3] http://en.wikipedia.org/wiki/Biometrics. [4] http://avolarporelmundo.com/migraciones-en-londres-reino-unido/ [5] CPB Dossier Biometrie en Privacy. http://www.cbpweb.nl/Pages/th_bio_start.aspx [6] I. Chingovska, et al. The 2nd competition on counter measures to 2D face spoofing attacks. In: Proceedings of ICB2013. pp.1-6, 4-7 June 2013. [7] A.K. Jain, R. Bolle en S. Pankanti. Biometrics – Personal Identification in a Networked Society, Springer 2005. [8] G.W. Quinn, P. Grother, M. Ngan. IREX IV: Part 1 Evaluation of Iris Identification Algorithms, NIST Interagency Report 7949, 2013 [9] J. Phillips, W. T. Scruggs, A.J. O’Toole, P.J. Flynn, K.W. Bowyer, C.L. Schott, and M.Sharpe. FRVT 2006 and ICE 2006 Large-Scale Results. NIST Interagency Report 7408, March 2007 [10] FVC ongoing. https://biolab.csr.unibo.it/fvcongoing/. [11] http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm [12] X. Shang and R.N.J. Veldhuis. Grip-pattern veri_cation for a smart gun. SPIE Journal of Electronic Imaging, 17(1), 2008 [13] B.J. Boom, L.J. Spreeuwers, R.N.J.Veldhuis. Virtual illumination grid for correction of uncontrolled illumination in facial images. Pattern Recognition, 44 (9). pp. 1980-1989, 2011. [14] P. Huisman, R. van Munster, S. Moro-Ellenberger, R.N.J Veldhuis, A.M. Bazen. Making 2D face recognition more robust using AAMs for pose compensation In: 7th International Conference on Automatic Face and Gesture Recognition, 2-6 April 2006, Southampton. [15] J. Feng, A. K. Jain, Fingerprint Reconstruction: From Minutiae to Phase, IEEE Transactions on Pattern Analysis and Machine Intelligence, Vol. 33, No. 2, pp. 209-223, February, 2011.
37
[16] L.J. Spreeuwers. Fast and Accurate 3D Face Recognition Using Registration to an Intrinsic Coordinate System and Fusion of Multiple Region Classifiers. International Journal of Computer Vision, 93 (3). pp. 389-414, 2011. [17] SNS Bank. Uniforme Veiligheidsregels Particulieren. http://www.snsbank.nl/particulier/over-sns-bank/veilig-bankieren/ dit-kun-jij-doen-aan-veilig-internetbankieren.html [18] M. Gill, A. Spriggs, Assessing the impact of CCTV, Home Office Research Study 292, February 2005. [19] http://www.schnews.org.uk/archive/news596.htm [20] D. Meuwly. Forensic individualisation from biometric data. In: Science & Justice 46 (4), 205-213. [21] B.T. Ton, R.N.J. Veldhuis. A high quality finger vascular pattern dataset collected using a custom designed capturing device. In: Proceedings of ICB2013. pp.1-6, 4-7 June 2013.
WWW.UTWENTE.NL/EN