Перспективы использования речи для авторизации пользователей в системах разграничения доступа

Перед любым предприятием в современном мире остро стоит проблема защиты от несанкционированного доступа к своим материальным (помещения, здания) и виртуальным (файлы, базы данных) ресурсам. Для ее решения применяются различные системы разграничения доступа. Важным элементом такой системы разграничения доступа является способ авторизации (подтверждения подлинности личности) пользователя. Самым простым в реализации способом подтверждения прав доступа к материальному ресурсу или объекту является использование механического замка с ключом, а к виртуальному — пароля доступа. Однако существуют и другие, более современные и надежные, методы подтверждения прав доступа.

Виды авторизации

Однофакторная авторизация

При однофакторной авторизации для получения прав доступа к какому-либо ресурсу достаточно предоставить системе одно (любое утвержденное) подтверждение своих прав. Все используемые в этом случае методы авторизации можно разделить на три вида:

1. Знания человека. Доступ к ресурсу предоставляется на основании информации, известной человеку. Например, для доступа к компьютерной системе может использоваться имя пользователя (login) и парольная фраза. Вариантом этого метода служит система с однократными паролями (one time passwords), когда человек знает не сам пароль, а алгоритм его получения по данным, предоставленным системой.

2. Объекты владения. У пользователя, желающего получить доступ к системе, есть некий материальный объект: брелок с записанным в него электронным ключом, бумажный пропуск со штрих-кодом, ключ для механического замка и т.п.

3. Неотъемлемые свойства личности. Антропометрические характеристики человека, используемые для его идентификации. Наиболее известные примеры: отпечатки пальцев, отпечаток ладони, рисунок на сетчатке глаза, речевые признаки, элементы лица.

Многофакторная авторизация

Основным недостатком всех видов однофакторной авторизации, за исключением биометрической, является то, что элемент, на основании которого предоставляется доступ, может быть добровольно или насильственно передан другому лицу. Пароль можно случайно («записал на бумажке и потерял») или специально передать злоумышленнику, электронный или бумажный пропуск можно «одолжить» другому человеку, либо его могут отнять. Более того, не все биометрические признаки действительно являются «неотъемлемой частью человека». Если важность ресурса, к которому необходим несанкционированный доступ, очень велика, злоумышленники могут получить. Следовательно, для повышения надежности ограничения доступа рекомендуется использовать многоступенчатую систему авторизации, построенную на комбинации двух или более способов. Это может быть комбинация: пароль и отпечаток пальца, либо пароль и карту доступа.

Особенности использования речи для авторизации доступа

Главным преимуществом речи в системах биометрической верификации является то, что, в отличие от постоянных признаков человека, которые он не может произвольно менять, он может по своему усмотрению управлять тем, что он говорит. То есть, решение о допуске может приниматься не только на основании уникальных для каждого человека признаков голоса, но и на основании анализа произнесенной парольной фразе, интонации речи. Например, возможна такая, достаточно простая, схема: для каждого дня недели записывается свой речевой пароль. При этом: 1) идентификация пользователя по голосу является текстозависимой (даже без перевода речи в текст); 2) обеспечивается сразу два вида авторизации: человек знает необходимое слово и несет в себе необходимые для авторизации характеристики. Другим неоспоримым достоинством использования речи в качестве биометрического признака является возможность верификации личности по признаку ее эмоционального состояния. Допустим, если человека заставляют произнести парольную фразу «под дулом пистолета», его голос, помимо воли (либо сознательно) изменяется. Этот факт можно использовать как основание для отказа в доступе на охраняемый объект, так и для определения того, что парольная фраза говорится под принуждением. Можно возразить, что это преимущество будет одновременно и недостатком системы биометрической верификации на основе речи, поскольку потенциально приводит к относительно высокому проценту «отказа своему». По информации http://wiki.oszone.net/ его величина обычно составляет 1-5%, в некоторых системах может достигать 40%. Однако, этот недостаток достаточно легко преодолевается с помощью самотренировки человека, и использования адаптивных алгоритмов верификации, которые отслеживают небольшие изменения в характеристиках голоса.

В разряд достоинств голосовой биометрической верификации можно смело отнести минимальные затраты на ее эксплуатацию. Системы с ее использованием не требуют установки сложного дорогостоящего оборудования, такого как считыватели отпечатков пальцев или радужной оболочки.

Еще одним недостатком верификации с помощью речи многие считают возможность использования аудиозаписей для получения несанкционированного доступа. Однако не нужно забывать, что биометрические признаки, используемые для верификации, в значительной степени зависят от особенностей речевого аппарата конкретного человека и искажаются при использовании технических средств, как на этапе записи, так и на этапе воспроизведения. Использование записи также не принесет «положительного» результата, в случае правильного подбора зависимости парольных фраз от внешних условий.

Например, можно построить систему авторизации таким образом, чтобы пользователь произносил название дня недели и цвета, изображенного на экране. Цвет отображается генератором случайных чисел из трех возможных, что дает 21 парольную фразу. В такой ситуации злоумышленник должен не только записать аудиосигнал нужного лица, но и знать алгоритм его использования. Такой подход позволяет создать бесконечное множество подобных легкозапоминаемых схем верификации.

Также в числе недостатков системы управления доступом, использующей авторизацию по голосу, указывается относительное неудобство ее использования при организации доступа большого количества пользователей в течение короткого временного периода. В ситуации, когда 200 человек должны пройти через дверь, оснащенную «речевым замком», потребуется около 20 минут только на проговаривание парольной фразы (при ее длительности 5-7 секунд). Однако, отметим, что подобные недостатки есть и у других схем авторизации, как по биометрическим признакам, так и при использовании ключа или кода. В сравнении с прочими, системы верификации по голосу более «дружелюбны» к пользователям: многие люди ощущают дискомфорт при использовании сканера радужной оболочки или сканера отпечатков пальцев. Запомнить же парольную фразу, либо способ ее образования и уверенно ее произнести, способен практически любой человек.

К сожалению, верификация по голосу не применима в случае, если человек обладает ограниченными возможностями речи (страдает сильным заиканием, не способен говорить). Но такие «недостатки», как неправильное произнесение отдельных звуков, не являются препятствием к использованию верификации по голосу. В качестве дополнительной меры для повышения надежности верификации по голосу можно использовать технологию поиска ключевых слов либо распознавание речи.

Система разграничения доступа на основе биометрической речевой верификации — Voice Key Service

Системе Voice Key Service разработанная компанией ООО «Речевые Технологи» предназначена для организации регламентированного доступа пользователей к корпоративным информационным ресурсам по заданной парольной фразе. VoiceKey-Service является эффективным решением, которое позволяет дополнить систему информационной безопасности предприятия, построенную на основе групповых политик, средствами биометрической верификации.

Основные характеристики

Клиент-серверная архитектура.
Web-интерфейс для прохождения верификации.
Время подхода — не более 5 сек.
Длительность парольной фразы — достаточно 3 сек.
Требования к парольной фразе — достаточно 5-6 разных гласных звуков русского языка в ударной позиции.
Механизм контроля качества и актуализации эталонных карточек.
Средства администрирования пользователей и аудита верификации.
Клиентские ПК должны быть оснащены обычными микрофонами, подключенными к стандартным мультимедийным звуковым картам.

Архитектура сервиса и описание его работы

При доступе пользователей к информационному ресурсу их запрос переадресуется на сервер верификации. Сервер верификации загружает на рабочее место сотрудника web-страничку с предложением произнести в микрофон, подключенный к его компьютеру, заданную парольную фразу. Пользователь произноси пароль, звуковые данные поступают на сервер верификации, где производится их сравнение с эталоном. В случае успешного прохождения верификации пользователю предоставляется доступ к информации (см. рис.).

Отличительные особенности
уникальные алгоритмы аутентификации;
не требуется установки программного обеспечения на клиентских рабочих местах;
минимальное количество времени и действий при процедуре верификации;
средств аудита, подтверждающие необходимый уровень надежности верификации;
биометрический речевой ключ невозможно потерять, украсть или скопировать как электронный ключ, smart-карту или пароль, вводимый с клавиатуры;
низкая стоимость внедрения и быстрый возврат инвестиций.

Примеры внедрения систем авторизации на основе речевой биометрии

VoiceKey Service Центр Речевых Технологий — голосовая авторизация используется для разграничения доступа к различным Internet и Intranet ресурсам. Система разворачивалась для создания универсального способа авторизации по голосу с использованием Web-браузера. VoicePay — система электронных платежей, полностью управляемая голосом. http://voice-pay.com — Первая в мире платежная система, все операции в которой производятся с помощью голоса. Пользователю не нужно запоминать пароли, система не хранит личных данных и, согласно утверждению владельцев, полностью безопасна.
Банковская группа ABN AMRO — биометрическая голосовая система используется для идентификации пользователей банковских услуг по телефону. Запушена биометрическая идентификация по голосу для клиентов, которые запрашивают различную информацию о своем счете, такую как баланс, информацию о переводе денег и т.п. (http://www.abnamro. com/pressroom/pressreleasedetail.cfm?ReleaseID=278443). Australian social security agency Centrelink — биометрическая голосовая система используется для авторизации запросов по телефону. Также используется для обнаружения попыток мошенничества, например обнаружение факта доступа к нескольким счетам одного диктора. (http://arstechnica.com/articles/culture/voicebiometrics-come-of-age.ars/3) Кроме того, различные виды голосовой биометрии были вне- дрены для контроля доступа во многих других организациях, таких как U.S. Department of Agriculture, Volkswagen Financial Services, правительство Австралии, Bell Canada, Aeroplan (http://www. aeroplan.com/whats_new/news _ articles.do?dl=WhatsNew_ECOMP1407_2007_09_24). В средствах массовой информации все чаще появляется информация о внедрении новых технологий верификации в сервисы, доступные широкому кругу пользователей, что подчеркивает высокий уровень их надежности и безопасности. Но, по соображениям безопасности, компании не стремятся к разглашению информацио внедрении на предприятии систем разграничения доступа и механизмах их реализации, хотя спрос на подобные решения растет год от года.


В.В.Киселёв
Директор ООО «Речевые Технологии»

Все материалы, размещенные на даннном сайте, разрешены к публикации и печати на других ресурсах и печатных издания только при наличии письменного разрешения компании ООО "Речевые Технологии"