Учебники 80287

поддержанию сертификата открытого ключа в течение трех следующих лет. При этом сотрудников удостоверяющего центра не волнует (они уже получили свою прибыль), будет ли клиент пользоваться своим сертификатом открытого ключа (будет ли он пользоваться своей электронной подписью). Как показал опыт, подобная «бизнесмодель» мало эффективна: желающих зарегистрировать сертификат своего открытого ключа мало. Классические удостоверяющие центры имеют мало пользователей и именно по этой причине их услуги оказываются дороги, что опять-таки приводит к снижению востребованности этих услуг.

У корпоративного биометрического удостоверяющего цента банка совершенно иная «бизнес-модель» и цель существования. Он должен помочь связать личный ключ формирования цифровой подписи с биометрическими данными его владельца, тогда банк будет иметь уверенность в том, что именно владелец счета подписал цифровой подписью платежное поручение. При этом публиковать сертификат открытого ключа своего клиента банку нет необходимости, банку достаточно иметь этот сертификат и надежно хранить его в именованной или обезличенной форме. У корпоративного биометрического центра банка нет цели получить прибыль, его цель - обеспечить биометрико-криптографическую защиту банковских платежных операций. Бизнес-модель банковского биометрического удостоверяющего центра, видимо, будет строиться на микро-платежах по каждой из поддерживаемых им операций биометрико-криптографической защиты платежей и доступа к личному кабинету клиента банка. При этом модель поддержания высокого уровня безопасности должна сохраниться: биометрический удостоверяющий центр банка не должен знать личный ключ своего клиента и связан-

11

ный с ним его биометрический образ.

Как будут развиваться биометрические удостоверяющие центры, сегодня сказать трудно, однако пока это единственный путь гарантировать банкам, медицинским учреждениям, органам государственной власти то, что информация из личного электронного кабинета гражданина будет надежно защищена. Вполне возможно, что появятся биометрические удостоверяющие центры шаговой доступности, оказывающие услуги платной регистрации связки биометрического образа человека с его одноразовой парой ключей (открытого и личного). Будущее покажет, как будут развиваться события, однако уже сейчас понятно, что все значимые для человека операции в сети Интернет должны иметь надежную биометрико-криптографическую поддержку и некоторую систему центров доверия, осуществляющих безопасное связывание биометрических данных и криптографических ключей.

1.3. Система требований к средствам биометрической аутентификации

На сегодняшний день каждая из развитых стран старается пользоваться собственной криптографией и собственной безопасной связкой биометрии и криптографии. Очевидными лидерами этих процессов являются США и Россия. В США в период с 1992 года по 2013 год создано порядка 100 национальных стандартов, регламентирующих требования к биометрическим технологиям. Часть из этих стандартов переведена в ранг международных через международный комитет по стандартизации ISO/IEC JTC SC37 (Biometric), который создан в 2002 году. Стандартизацию безопасной связи биометрии и криптографии осу-

ществляет ISO/IEC JTC SC27 (Security techniques).

12

В России активно развивается технология нейросетевого связывания биометрических данных с кодом ключа доступа [2]. В период с 2005 по 2012 год под нейросетевую технологию аутентификации создано 8 стандартов

(табл. 1.1).

Таблица 1.1 Наименования российских национальных стандартов

в области высоконадежной биометрической аутентификации

13

7ГОСТ Р 52633.6-2012 «Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой»

8ГОСТ Р 52633.7-2014 «Защита информации. Техника защиты информации. Высоконадежная мультибиометрическая аутентификация»

США и страны Евросоюза идут по пути связывания биометрических данных человека с его криптографическим ключом с применением так называемых «нечетких экстракторов» [3-8]. По своей сути «нечеткие экстракторы» строятся путем бинарного квантования «сырых» биометрических данных и последующей корректировки ошибок квантования классическими избыточными кодами с обнаружением ошибок. «Нечетким экстракторам» полностью посвящен второй раздел данного учебного пособия.

Применительно к использованию «нечетких экстракторов» на сегодняшний день созданы только стандарты самого верхнего уровня. По степени стандартизации эти технологии существенно уступают отечественным технологиям биометрико-нейросетевой аутентификации. Названия и номера соответствующих международных стандартов приведены в табл. 1.2.

1ISO/IEC 24745:2011 Information technology – Security techniques – Biometric information protection

14

2ISO/IEC 24761:2009 Information technology – Security techniques – Authentication context for biometrics

3ISO/IEC 19792:2009 Information technology. Security techniques. Security evaluation of biometrics.

Роль стандартизации биометрических технологий трудно переоценить. Соотношения взаимных усилий США и России в этом направлении стандартизации отображены на рис. 1.3.

Рис. 1.3. Совместные усилия США и России по созданию биометрических стандартов

15

Из рис. 1.3 видно, что США на сегодняшний день являются страной, лидирующей по биометрическим технологиям паспортно-визового контроля. Следует отметить, что международный Российский паспорт с биометрической микросхемой создан также на основе требований международных биометрических стандартов, которые в 90-х годах прошлого века разрабатывались как национальные стандарты США. Однако биометрические данные граждан, используемые при паспортно-визовом контроле, нельзя использовать при аутентификации личности в сети Интернет.

Россия, напротив, занимает лидирующее положение по стандартизации в области биометрической аутентификации в сети Интернет. Третий раздел данного пособия целиком посвящен отечественным технологиям нейросетевого преобразования биометрических данных в код ключа доступа.

16

2. ПРОСТЕЙШИЕ ПРЕОБРАЗОВАТЕЛИ «БИОМЕТРИЯ-КОД» С ПРЯМЫМ КВАНТОВАНИЕМ БИОМЕТРИЧЕСКИХ ДАННЫХ

2.1. Два класса преобразователей «биометрия-код»

Биометрические технологии аутентификации строятся на сканировании биометрических образов человека и извлечении из них контролируемых параметров. При этом решаются две задачи, первая из которых состоит в предоставлении доступа носителю образа «Свой» к его информационному ресурсу на основе преобразования биометрических параметров в разряды кода ключа доступа. Вторая задача состоит в преобразовании случайных параметров образов «Чужой» в случайные разряды соответствующего кода.

Все преобразователи «биометрия-код» сегодня разделяют на два класса: так называемые «нечеткие экстракторы» и нейросетевые преобразователи «биометрия-код». Отличие между ними только в положении квантователя входных непрерывных биометрических данных. В «нечетких экстракторах» квантователь преобразует в код «сырые» биометрические данные (первичные, необогащенные, содержащие «выбросы», ошибки и «грубые» отклонения значений биометрических параметров от средних значений), а далее эти данные правятся самокорректирующимся кодом.

В нейросетевых преобразователях «сырые» биометрические данные первоначально обогащаются сумматорами нейронов (редкие отклонения нивелируются за счет суммирования с весовыми коэффициентами нейронов), а далее уже обогащенные сигналы на выходах сумматоров квантуются выходным нелинейным элементом. Структур-

17

ные схемы, отражающие положение квантователей в преобразователях «биометрия-код» отображены на рис. 2.1. и рис. 2.2. «Нечеткие экстракторы» и нейросетевые преобразователи отличаются положением нелинейных элементов квантующих непрерывные данные в код с конечным числом состояний.

«Нечеткий экстрактор»

Рис. 2.1. «Нечеткий экстрактор»

18

Нейросетевой преобразователь

Квантователи нейронов

Рис. 2.2. Нейросетевой преобразователь

В «нечетких экстрактора» может быть использован любой классический код, способный обнаруживать и исправлять ошибки. Обычно используются коды БЧХ (Боуза- Чоухуры-Хоквингема) с примерно 10-кратной избыточностью, способные править до 15% ошибок. То есть при наличии 512 контролируемых биометрических параметров длина выходного кода «нечеткого экстрактора» составит

51 бит.

Нейронные сети осуществляют обогащение данных в непрерывной форме и обычно для корректировки всех входных ошибок оказывается достаточно двухкратной избыточности, то есть 512 входных биопараметров нейронная сеть преобразует в 256 бит выходного кода.

19

2.2. Бинарные монотонные квантователи «сырых» биометрических параметров

Преобразование непрерывных биометрических параметров в дискретные бинарные состояния в «нечетких экстракторах» осуществляется пороговыми функциями бинарного квантования:

«Чужой», преобразуемые в разряды кода «xi».

Простейшие бинарные квантователи (2.1) выполняют сравнение анализируемых данных со значением единственного порога i . Квантователь может давать скачок из состояния «0» в состояние «1» при переходе возрастающей переменной через порог i. Возможно использование инверсных квантователей, которые при переходе возрастающей переменной через порог i дают инверсное изменение состояний из «1» в «0». Настройка каждого квантователя осуществляется выбором его типа и выбором порога квантования. Целью настройки квантователей является макси-

(«сi») при как можно большем увеличении энтропии состояний разрядов кода «Чужой» («xi»):

20