The application of a genetic algorithm to improve the stability of a password generation method based on biometric authentication

В эпоху цифровой трансформации и повсеместного распространения распределенных информационных систем задача установления и подтверждения подлинности субъектов взаимодействия становится критически важной. При ее решении осуществляется аутентификация — процесс проверки подлинности предъявленных субъектом (пользователем, процессом, устройством) учетных данных с целью подтверждения его заявленной идентичности. Надежность аутентификации определяется используемыми факторами: знание (пароль, PIN), владение (токен, смарт-карта, мобильное устройство), свойство (биометрические данные)

Повышение требований к безопасности и рост сложности атак (фишинг, брутфорс, перехват сессий) приводят к необходимости использования многофакторной аутентификации, которая комбинирует два и более фактора, что кратно повышает сложность компрометации

В настоящей работе рассмотрен этап технологии аутентификации, в рамках которого происходит процесс формирования и предоставления пароля. Целью работы является автоматизация этого процесса с использованием биометрических данных, исследование и повышение устойчивости его реализации.

Идея использования уникальных биометрических характеристик человека для формирования паролей или криптографических ключей интуитивно привлекательна. Она обещает избавление от необходимости запоминания сложных паролей и их безопасное «хранение» непосредственно в сознании пользователя. Однако, существует фундаментальное противоречие между стабильностью, требуемой для криптографии, и вариативностью, присущей биометрическим сигналам

Использовать биометрические данные (изображение лица, скан отпечатка) в качестве непосредственных данных для формирования пароля невозможно по ряду причин

В связи с этим данные для аутентификации (пароль) необходимо формировать так, чтобы проблема нестабильного, зашумленного и ограниченно энтропийного биометрического входа непосредственным образом не могла оказывать влияние на качество этих данных.

Существует обобщенная концепция, в соответствии с которой из биометрических данных и случайного ключа генерируются вспомогательные данные, которые не раскрывают ни биометрию, ни ключ, но позволяют воспроизвести ключ при предъявлении похожих биометрических данных. Такой подход обладает недостатками: ключ привязывается к биометрии, эффективность значительно зависит от качества биометрических данных и алгоритма их извлечения и др.

Поэтому в данной работе предлагается использовать биометрические данные для промежуточной верификации на токене, где хранится информация для восстановления аутентификационных данных (пароля). При этом непосредственно в восстановлении аутентификационных данных биометрические данные участие не принимают.

Токен в предлагаемой схеме функционирует как защищенный носитель шаблона и компонента пароля (Smart Card / USB-ключ), а также как средство промежуточной верификации по биометрическим данным. Такой токен не имеет встроенного биометрического датчика, но выступает в роли защищенного хранилища, а также вычислителя. Предлагается следующий алгоритм работы с токеном:

1. На этапе регистрации биометрический шаблон (или его защищенное преобразование) записывается в защищенную память токена. Одновременно на токене генерируется или загружается компонент для формирования пароля.

2. При аутентификации пользователь считывает свои биометрические данные через внешний считыватель (на ПК, терминале), а также опциональный компонент пароля.

3. Считанные данные по защищенному соединению передаются на токен.

4. Токен осуществляет верификацию — реализованный на нем алгоритм вычисляет шаблон по переданным данным биометрии и сравнивает его с эталонным шаблоном, хранящимся в хранилище токена.

5. Только в случае успешного проведения верификации токен разблокирует доступ к хранимому компоненту пароля и использует его восстановления совместно с опциональным компонентом.

К достоинствам данной методики формирования паролей возможно отнести реализацию принципа изоляции компонентов для их восстановления. Использовать эти компоненты возможно только в случае успеха локальной биометрической верификации. При этом компоненты не покидают защищенное хранилище токена.

Также существенным преимуществом методики является то, что восстановленный пароль после его выдачи с токена через защищенное соединение участвует в стандартном криптографическом протоколе с сервером аутентификации. При этом сервер никак не взаимодействует с биометрическими данными.

В то же время на результаты восстановления паролей по реализованной методике оказывает существенное влияние проблема изменчивости и «дрейфа» биометрических шаблонов

Предполагается, что при на начальном этапе на токене формируется первоначальный эталонный шаблон, а при каждой успешной верификации в дальнейшем генерируется новый актуальный шаблон. Простая замена первоначального шаблона на новый шаблон может быть рискованной (вследствие возможных ошибок верификации). Усреднение шаблонов может привести к потере важных черт.

При помощи генетического алгоритма необходимо формировать такой шаблон, который

• максимально похож на все успешные попытки верификации;

• сохраняет ключевые, неизменные черты из первоначального эталона;

• постепенно и контролируемо адаптируется к легитимным изменениям.

Хромосома проектного решения формируется из компонентов шаблона T.

Функция полезности Fп(T) шаблона-кандидата T должна

– сходство с первоначальным эталоном TE для сохранения ядра идентичности: FСХ.Э(T, TE);

– среднее сходство с последними успешными шаблонами {TV} для обеспечения адаптации: FСХ.СР(T, {TV});

– дисперсию сходства с последними успешными шаблонами FДИСП({FСХ.Э(T, TVi)}), чтобы шаблон-кандидат Т был стабильно похож на все успешные последние шаблоны.

– здесь α, β и γ – весовые коэффициенты, определяющие баланс между доверием к истории, важностью адаптации и штрафом за нестабильность.

Алгоритм использует генетический оператор селекции для отбора шаблонов с наибольшим значением функции полезности

Исследование показателей работы подсистемы биометрической верификации проведено с использованием изображений лиц, получаемых в различном разрешении (от 2МП до 12МП) с веб-камер или камер мобильных устройств. При помощи разработанного ПО на снимках выделялись области расположения лиц, наборы из 68 ключевых анатомических точек, а также дескриптор лица в составе 128 компонентов.

Всего в экспериментах участвовали изображения лиц 45 различных людей, снимаемые в течение 1 года.

В качестве показателей эффективности работы подсистемы биометрической верификации оценивались такие базовые метрики, как ошибки первого и второго рода — FRR и FAR.

Оценка этих метрик производилась на трёх группах шаблонов, изначально основанных на эталонных: шаблоны T_C не подвергались корректировке, шаблоны T_G адаптировались к дрейфу с применением генетического алгоритма, шаблоны T_U обновлялись методом селективного обновления (метод простого усреднения не применялся, т.к. его эффективность против дрейфа была расценена недостаточной).

На эталонных шаблонах после регистрации значения FRR и FAR составили, соответственно, 1,3% и 0,0012%.

На шаблонах T_C значения FRR и FAR через 1 год: 2,56% и 0,0016%.

На шаблонах T_G значения FRR и FAR через 1 год: 0,86% и 0,0011%.

На шаблонах T_U значения FRR и FAR через 1 год: 0,87% и 0,0010%.

Таким образом, на шаблонах без адаптации к дрейфу работа подсистемы ухудшилась — ошибочные отказы стали происходить чаще.

Верификация на шаблонах, которые подвергались обработке с использованием предложенного подхода с генетическим алгоритмом, стала проходить лучше — частота ошибочных отказов снизилась.

Практически аналогичная ситуация наблюдалась и на шаблонах, которые подвергались селективному обновлению.

Применение генетического алгоритма для обеспечения устойчивости к дрейфу биометрических шаблонов показывает результат не хуже, чем при работе с селективным обновлением. При этом в случае адаптации на основе генетического алгоритма нет зависимости от настройки алгоритмов обнаружения изменений, которая критически важна для качественного проведения селективного обновления.

Работа генетического алгоритма с отбором 20% особей при селекции на 50-100 поколениях после каждой успешной верификации и значениями весов α=0,3, β=0,6 и γ=0,1 функции полезности позволяет достигнуть поставленной цели — адаптации эталонного шаблона. При этом дрейф происходит не заменой, а эволюцией эталона. Функция полезности не даёт шаблону отклониться далеко от первоначального эталона и требует стабильного сходства со многими последними попытками. Если биометрические данные медленно меняются (растёт борода, происходит старение), то новые шаблоны будут постепенно вынуждать эталон меняться за собой.

Дополнительно необходимо отметить, что реализованная методика формирования паролей позволяет объединить предъявление биометрических признаков («свойство»), обработку на токене («владение») и опциональный ввод дополнительного компонента («знание»). Тем самым достигается эффект от использования многофакторности. Также существенным является децентрализованное хранение биометрических шаблонов, что потенциально исключает проведение атак на централизованных базы данных.

Реализованная методика формирования паролей на основе биометрической аутентификации с использованием токена позволяет перенести критически важную операцию верификации в защищенную периферию. При этом в полной мере используются преимущества многофакторной аутентификации («знание-владение-свойство»). Предложенный в рамках данной методики подход к использованию генетического алгоритма позволяет улучшить показатели биометрической верификации в контексте проблемы «дрейфа» шаблонов.