специфические требования к программным
и аппаратным средствам.
Необходимо уточнить, есть ли у предприятия не-
обходимые ресурсы для поддержки избранного устройства и сможет ли это
устройство работать с имеющимся сетевым ПО, кроме того, выяснить, требу-
ется и имеется ли в наличии внешний источник питания или порт USB
Всевозможные страхи и
культурные
и
религиозные предрассудки
тоже
могут работать против выбора биометрических СКУД. Необходимо знать
мнение служащих о том, как они воспринимают идею использовать для ау-
тентификации биометрические устройства, и провести испытания устройст-
ва, чтобы узнать, способны ли они (служащие) аккуратно использовать его.
Одновременно с введением биометрических СКУД злоумышленники уже
нашли способы обманывать биометрические устройства Отпечатки пальцев
можно снять с любой гладкой поверхности, даже прямо со сканера отпечат-
ков пальцев, с помощью графитового порошка и куска клейкой ленты или
желатина. Сканеры радужной оболочки несложно обмануть, используя фото-
графию глаза пользователя, сделанную с высоким разрешением. Чтобы обна-
ружить обман, новейшие устройства регистрируют «признаки жизни», в ча-
стности пульсацию кровеносных сосудов.
Для биометрических устройств приемлемый порог неудач в распознава-
нии устанавливается на основе процента ложных разрешений на допуск
(False Acceptance Rate - FAR) и процента ложных отказов в допуске (False
Rejection Rate - FRR). FAR соответствует вероятности того, что биометриче-
ское устройство ошибочно признает пользователя, a FRR - что оно ошибочно
отвергнет его. Если администратор занижает порог отказа в допуске, то сис-
тема будет более «снисходительно» оценивать совпадение хранимого в уст-
ройстве биометрического образца с данными пользователя, и, естественно,
увеличится вероятность, что она по ошибке разрешит вход постороннему.
Устанавливая порог слишком высоко, мы увеличиваем вероятность того, что
система будет отвергать вполне легитимных пользователей. Чтобы упростить
эксплуатацию системы необходимо убедиться, что пороги устанавливаются и
корректируются на месте.
В любой системе аутентификации пользователи сначала должны быть за-
регистрированы, т. е. внесены в список допуска. Многие биометрические
системы позволяют самостоятельно делать это пользователям. Последние
проходят аутентификацию на локальной машине или сервере справочника и
затем регистрируются с помощью биометрического устройства. К сожале-
нию, если вы применяете биометрические устройства для повышения надеж-
ности аутентификации, но при первоначальной идентификации и аутентифи-
6. Вариан ты реализации СКУД
1 9 3
кации целиком полагаетесь на имена и пароли пользователей, то вы не полу-
чаете никаких преимуществ в плане защиты. Регистрация пользователей, вы-
полняемая под контролем администратора, эту проблему решает, но она за-
нимает больше времени.
Решив проблемы регистрации, определите, где будете хранить биометри-
ческие данные аутентификации. Системы, сохраняющие биометрические
данные на локальной машине, могут аутентифицировать пользователя только
для работы с этой машиной. Для крупномасштабных инсталляций и для
улучшения управляемости решений выбирайте системы с централизованным
хранением. Если биометрическое ПО развернуто на всех входящих в систему
компьютерах, то пользователи, зарегистрировавшись однажды, смогут иметь
доступ ко всем ресурсам.
Для большей надежности следует ввести регистрацию каждого пользова-
теля по нескольким биометрическим харакгеристикам. Некоторые устройст-
ва позволяют регистрировать, например, отпечатки всех пальцев на правой
руке пользователя. Если что-нибудь случилось с одним пальцем - порез или
ожог, то пользователь вправе предложить для аутентификации другой палец,
причем ему не придется заново проходить регистрацию.
В любом случае придется использовать аппаратные и программные сред-
ства от одного поставщика - интероперабельности в биометрической аутен-
тификации до сих пор не существует, несмотря на старания консорциума
BioAPI Consortium выработать стандартные интерфейсы для интеграции
биометрических систем. Зато имеются приложения управления аутентифика-
цией, подобные NMAS фирмы Novell и SafeWord PremierAccess фирмы
Secure Computing, интегрирующие биометрические и небиометрические ме-
тоды аутентификации для доступа к справочникам.
Интеграция приложений все еще определяется взаимоотношениями по-
ставщиков, поэтому очень важно убедиться, что выбранное устройство под-
держивает ваши приложения или что поставщик не против того, чтобы за-
няться интеграцией специально для вас. Интеграция с настольными компью-
терами или серверами обычно осуществляется с помощью модулей РАМ
(Plugable Authentication Module) для ОС Unix, G1NA (Graphical Identification
and Authentication) для ОС Windows или модулей Novell eDirectory LCM
(Login Client Module) Все время, пока имя и пароль пользователя хранятся в
кэш-памяти компьютера, они могут использоваться для доступа к приложе-
ниям. Однако если приложение требует отдельной регистрации, то необхо-
димой может оказаться разработка дополнительного ПО.
Для контроля доступа к критически важным данным не следует приме-
нять одни лишь биометрические устройства, пока вы тщательно не протести-
руете эту технологию. Если цель состоит в том, чтобы обеспечить строгую
аутентификацию, то необходимо задействовать более проверенные методы -
аппаратные и программные жетоны и пароли.
194
Сис темы контроля и управления доступом
На сегодняшний день разработан ряд коммерческих продуктов, предна-
значенных для распознавания лиц. Алгоритмы, используемые в этих продук-
тах, различны и пока еще сложно дать оценку, какая из технологий имеет
преимущества. Лидерами в настоящий момент являются системы Visionic,
Viisage и Miros. В основе приложения Facelt компании Visionic лежит алго-
ритм анализа локальных признаков, разработанный в Университете Рокфел-
лера. Одна коммерческая компания в Великобритании интегрировала Facelt в
телевизионную антикриминальную систему под названием Mandrake. Эта
система ищет преступников по видеоданным, которые поступают с 144 ка-
мер, объединенных в замкнутую сеть. Когда устанавливается идентичность,
система сообщает об этом офицеру безопасности. В России представителем
компании Visionic является компания «ДанКом».
Другой лидер в этой области - компания Viisage - использует алгоритм,
разработанный в Массачусетском технологическом институте. Коммерческие
компании и государственные структуры во многих американских штатах и в
ряде других стран используют систему компании Viisage вместе с идентифи-
кационными удостоверениями, например водительскими правами.
ZN Vision Technologies AG (Германия) предлагает на рынке ряд продук-
тов, в которых применяется технология распознавания лиц. Эти системы
представляются на российском рынке компанией «Солинг».
В системе распознавания лиц TrueFace компании Miros используется тех-
нология нейронных сетей, а сама система применяется в комплексе выдачи
наличных денег корпорации Mr.Payroll и установлена в казино и других уве-
селительных заведениях многих штатов США.
В США независимыми экспертами было проведено сравнительное тести-
рование различных технологий распознавания лиц. Результаты тестирования
представлены на рис. 6.29.
80
60
40
20
0
-
г-]
80
60
40
20
0
-
p
80
60
40
20
0
-
-
-
—
-
80
60
40
20
0
-
-
-
-1
-
80
60
40
20
0
-
-
-
П-г-П ГТТтз
-1-1
-
80
60
40
20
0
выражение освещени позиция расстояние время зазрешение
• Visionic
92
70
12
12
32
90
• Vusage
71
—
54
3
12
23
68
• ZN-SmartEye 40
—
32
7
8
7
56
• TrueFace
61
55
9
7
5
48
Рис. 6.29. Сравнительный анализ эффективности распознавания лиц
в разных системах
6. Вариан ты реализации СКУД
1 9 5
На практике, при использовании систем распознавания лиц в составе
стандартных электронных охранных систем предполагается, что человек, ко-
торого следует идентифицировать, смотрит прямо в камеру. Таким образом,
система работает с относительно простым двумерным изображением, что за-
метно упрощает алгоритмы и снижает интенсивность вычислений. Но даже в
этом случае задача распознавания все же не тривиальна, поскольку алгорит-
мы должны учитывать возможность изменения уровня освещения, изменение
выражения лица, наличие или отсутствие макияжа или очков.
Надежность работы системы распознавания лиц очень сильно зависит от
нескольких факторов:
• качество изображения. Заметно снижается вероятность безошибочной
работы системы, если человек, которого нужно идентифицировать,
смотрит не прямо в камеру или снят при плохом освещении;
• актуальность фотографии, занесенной в базу данных;
• величина базы данных.
Технологии распознавания лица хорошо работают со стандартными ви-
деокамерами, которые передают данные и управляются персональным ком-
пьютером, и требуют разрешения 320 х 240 пикселов на дюйм при скорости
видеопотока, по крайней мере, 3-5 кадр/с. Для сравнения - приемлемое каче-
ство для видеоконференции требует скорости видеопотока уже от 15 кадр/с.
Более высокая скорость видеопотока при более высоком разрешении ведет к
улучшению качества идентификации. При распознавании лиц с большого
расстояния существует сильная зависимость между качеством видеокамеры и
результатом идентификации. Объем баз данных при использовании стан-
дартных персональных компьютеров не превышает 10000 изображений.
Do'stlaringiz bilan baham: |