احراز هویت

هویت‌سنجی سریع و آسان به همراه سطح بالای امنیت از مهم‌ترین دغدغه‌ها و چالش‌های اغلب شرکت‌ها، سازمان‌ها و ارگان‌ها در هر اندازه‌ای و با هر تعداد کارمند یا مشتری، از سازمان‌های کوچک مانند کسب و کارهای کوچک و متوسط تا سازمان‌های بزرگ مانند شرکت‌های تولیدی بزرگ، پتروشیمی‌ها، مراکز امنیتی، بانک‌ها و مراکز مالی و ... است. روش‌های کلاسیک و سنتی مانند استفاده از کارت شناسایی به دلیل مشکلاتی مانند فراموشی، سو استفاده، گم شدن، زمان زیاد برای پردازش و جمع‌بندی و ... در بیشتر کاربردها روش مناسبی محسوب نمی‌شود

افزایش امنیت دسترسی یکی از دغدغه‌های کلیدی بسیاری از سازمان‌ها و ارگان‌ها مانند مراکز امنیتی، بانک‌ها و مراکز مالی، سامانه‌های اطلاعاتی و غیره است. روش‌های رایج مانند رمز عبور به دلیل مشکلاتی مانند دزدیده شده، فراموشی، نیاز مکرر به تغییر و ... در بیشتر کاربردهای حساس روش مناسبی نیست.

سامانه احراز هویت مبتنی بر اثرانگشت و قرنیه چشم

سامانه احراز هویت مبتنی بر کارت هوشمند

1. الگو روی کارت (TOC: Template-On-Card):

در این روش که آن را off-card matching نیز می‌گویند، در مرحله ثبت‌نام، بعد از دریافت داده بیومتریک از سنسور، پردازش‌های لازم برای استخراج الگو داخل کامپیوتر انجام شده و الگوی زیست‌سنجی کاربر (مثل اگوی اثر انگشت) در داخل کارت ذخیره می‌شود. در مرحله شناسایی نیز، این الگو توسط برنامه روی کامپیوتر از کارت خوانده می‌شود و با الگوری استخراج شده از داده دریافتی از کاربر مقایسه می‌شود و نتیجه شناسایی توسط کامپیوتر برگردانده می‌شود. به عبارتی، در این روش، فقط الگوی بیومترک روی کارت نگهداری می‌شود و کارت کار پردازشی انجام نمی‌دهد (شکل زیر). بدیهی است که در این حالت باید یک کانال امن بین کامپیوتر (پایانه) و کارت ایجاد شود.

احزار هویت مبتنی بر بیومتریک (زیست‌سنجی) مستقل از نوع سنجه مورد استفاده (اثر انگشت، چهره، عنبیه و ...) دارای دو مرحله ثبت‌نام (Enrolment) و شناسایی (Identification/Verification) است. در مرحله ثبت‌نام، داده‌های زیست‌سنجی مانند اثر انگشت، توسط یک سنسور گرفته شده و پس از پیش‌پردازش (Pre-process) و استخراج ویژگی (Feature Extraction)، قالب‌ها/الگوهای  (Template) استخراج شده هر فرد در پایگاه داده ذخیره می‌شود. در مرحله شناسایی، همان داده زیست‌سنجی (مثلا اثر انگشت) از اسکنر (سنسور) دریافت شده و پس از پیش‌پردازش و استخراج ویژگی و تعیین الگو، با الگوهای موجود در پایگاه داده مقایسه و تطابق (Match) داده می‌شود و بر اساس میزان تطابق، پاسخ شناسایی تعیین می‌شود .

فرایند شناسایی شامل دو روش تایید هویت (Verification) ‌و تعیین هویت (Identification) است. در تایید هویت، نام کاربری و ویژگی زیستی فرد درخواست می‌شود و ویژگی‌های زیستی کاربر با ویژگی‌هایی که از او در پایگاه داده ذخیره شده، مقایسه می‌شود و پاسخ «قبول» یا «رد» را در نهایت اعلام می‌کند. به این حالت تطبیق یک به یک می‌گویند. در تعیین هویت، کاربر نام کاربری یا شماره‌ی شناسایی خود را ارائه نمی‌کند و سیستم موظف است تنها با دریافت ویژگی‌های زیستی یک فرد و مقایسه‌ی آن ویژگی‌ها با تمام افراد موجود در پایگاه داده، هویت کاربر را در صورت ثبت‌نام کاربر در سیستم تعیین کند. البته گاهی فرض می‌شود کاربر حتما یکی از افراد ثبت‌نام شده در سیستم است و شبیه‌ترین فرد ثبت‌نام شده از پایگاه داده به عنوان خروجی بازگردانده می‌شود. به این حالت تطبیق 1 به N هم گفته می‌شود.

تایید هویت (Verification) مبتنی بر اثر انگشت، چهره و عنبیه

در این حالت، قابلیت بیومتریک مبتنی بر یکی از سنجه‌های اثر انگشت، چهره و عنبیه (و یا ترکیب آنها) برای تایید هویت افراد استفاده می‌شود. در این روش که به آن تطبیق 1:1 نیز می‌گویند، از فرد علاوه بر دریافت یکی (یا چند تا) از بیومتریک‌ها، یک شناسه هم که بیانگر ادعای فرد مبنی بر اینکه چه کسی است، گرفته می‌شود و واحد تایید هویت سنجه‌های فرد را یا الگوهای متناظر در پایگاه داده مقایسه کرده و جواب تایید یا رد را برمی‌گرداند. راهکار تایید هویت سپیدسیستم با استفاده از تجهیزات سخت‌افزاری مرتبط با بیومتریک‌های مختلف برای اثر انگشت، چهره و عنبیه، امکان نصب و راه‌اندازی به صورت مدیریت متمرکز را دارد و برای سازمان‌ها و شرکت‌های بزرگ امکان به کارگیری آنها را در سطح کلیه شعبه‌ها و زیرمجموعه‌های خود در گستره وسیعی از نظر جغرافیایی (پراکندگی در سطح کشور و یا جهان) فراهم می‌کند. همچنین از این رهکار می‌توان به دو صورت تطبیق روی سرور (Match-On-Server) و تطبیق روی دستگاه (Match-On-Device) استفاده کرد. در تطبیق روی سرور، دستگاه‌های دریافت سنجه‌ها، آن سنجه را به سرور ارسال کرده و فرایند تایید هویت بر روی سرور مرکزی انجام می‌شود اما در حالت تطبیق روی دستگاه، فرایند شناسایی و تطبیق دادن روی خود دستگاه انجام می‌شود. در این راهکار از بستر نرم‌افزاری سپیدار برای مدیریت سخت‌افزارها و اطلاعات استفاده می‌کند.

تعیین هویت (Identification) مبتنی بر اثر انگشت (AFIS: Automated Fingerprint Identification System)

تشخیص افراد با رویکرد مبتنی بر تعیین هویت این مزیت را دارد که فرد فقط شناسه زیستی خود مانند اثرانگشت را ارائه می‌کند و سامانه به صورت خودکار بین افراد موجود در پایگاه داده جستجو می‌کند و فرد را شناسایی می‌کند. این حالت به دلیل عدم نیاز به ID فرد، برای کاربران راحت‌تر بوده و عمده سامانه‌های احراز هویت به سمت این رویکرد حرکت می‌کنند. در راهکار تعیین هویت AFIS، سامانه امکان جستجوی اثرانگشت فرد میان چند میلیون نمونه را در زمان کمی و با دقت مطلوبی فراهم می‌کند.

این راهکار کاربردهای مختلفی دارد که از جمله آن می‌توان به موارد زیر اشاره کرد:

  • ثبت و کنترل تردد افراد در شرکت‌ها و سازمان‌ها برای کنترل دسترسی و فراهم کردن امکان حضور و غیاب
  • کنترل خودکار مرزها (ABC) و فرودگاه‌ها برای احراز هویت مسافران و توریست‌ها
  • کاربردهای امنیتی و یافتن مجرمین، قاچاقچیان، تروریست‌ها و ...

شرکت سپید سیستم با بهره‌وری از تجربه‌های چند ساله در حوزه راه‌اندازی سامانه‌های مبتنی با بایومتریک و همکاری با شرکای خارجی، ارائه دهنده راهکار AFIS برای سازمان‌ها، شرکت‌ها و ادارات است. امکان ذخیره و بازیابی اثر‌انگشت به صورت برخط (اسکن) و یا برداشته شده از صحنه جرم و یا به صورت جوهری و نصب و راه‌اندازی سامانه به صورت متمرکز در این راهکار فراهم است. در سامانه از روش‌های بهینه شناسایی اثرانگشت بهره گرفته می‌شود که سرعت و دقت بالایی را برای جستجو ما بین تعداد زیادی الگوی اثر انگشت (چند میلیون) ارائه می‌کند.

تایید هویت مبتنی بر اثر انگشت روی کارت هوشمند (MOC: Match-On-Card) :

در این راهکار از مزیت دو تکنولوژی بیومتریک و کارت‌های برای افزایش سطح امنیت در کاربردهای کنترل دسترسی بهره می‌برد. در این روش، سنجه هویتی افراد (اثر انگشت) بر روی کارت هوشمند نگهداری می‌شود و در زمان تایید هویت نیز اثر انگشت فرد به کارت ارسال شده و فرایند تایید هویت و اجازه دسترسی روی کارت انجام می‌شود.

احزار هویت مبتنی بر بیومتریک (زیست‌سنجی) دارای دو مرحله ثبت‌نام (Enrolment) و شناسایی (Identification/Verification) است. در مرحله ثبت‌نام، داده‌های زیست‌سنجی مانند اثر انگشت، توسط یک سنسور گرفته شده و پس از پیش پردازش (Pre-process) و استخراج ویژگی (Feature Extraction)، قالب‌ها/الگوهای  (Template) استخراج شده هر فرد در پایگاه داده ذخیره می‌شود. در مرحله شناسایی، همان داده  زیست‌سنجی مانند اثر انگشت از سنسور دریافت شده و پس از پیش‌پردازش و استخراج ویژگی و تعیین الگو، با الگوهای موجود در پایگاه داده مقایسه و تطابق (Match) داده می‌شود و بر اساس میزان تطابق، پاسخ شناسایی تعیین می‌شود (شکل زیر).

در راهکار مبتنی بر بیومتریک با کارت هوشمند (BSC: Biometric Smart Card)، توانایی دو روش زیست‌سنجی و کارت هوشمند با هم ترکیب شده و از قابلیت‌های آنها برای افزایش امنیت استفاده می‌شود.

در این راهکار، چهار روش زیر برای ترکیب این دو تکنولوژی وجود دارد:

1. الگو روی کارت (TOC: Template-On-Card):

در این روش که آن را off-card matching نیز می‌گویند، در مرحله ثبت‌نام، بعد از دریافت داده بیومتریک از سنسور، پردازش‌های لازم برای استخراج الگو داخل کامپیوتر انجام شده و الگوی زیست‌سنجی کاربر (مثل اگوی اثر انگشت) در داخل کارت ذخیره می‌شود. در مرحله شناسایی نیز، این الگو توسط برنامه روی کامپیوتر از کارت خوانده می‌شود و با الگوری استخراج شده از داده دریافتی از کاربر مقایسه می‌شود و نتیجه شناسایی توسط کامپیوتر برگردانده می‌شود. به عبارتی، در این روش، فقط الگوی بیومترک روی کارت نگهداری می‌شود و کارت کار پردازشی انجام نمی‌دهد (شکل زیر). بدیهی است که در این حالت باید یک کانال امن بین کامپیوتر (پایانه) و کارت ایجاد شود.

3. اشتراک کار روی کارت (Work-Sharing-On-Card):

این روش مشابه همان روش MOC است با این تفاوت که برخی از پردازش‌های زمان تطبیق الگو که زمان‌بر هستند، به کامپیوتر (پایانه) واگذار می‌شود. این روش برای برخی کارت‌ها که محدودیت منابع پردازشی دارند، مناسب است (شکل زیر). در این حالت هم نیاز به یک کانال امن بین کامپیوتر و کارت وجود دارد.

2. تطبیق روی کارت (MOC: Match-On-Card):

این روش همان‌طور که در شکل زیر دیده می‌شود، علاوه بر اطلاعات الگو، کار پردازش و تطابق الگوها نیز در داخل کارت انجام می‌شود. در این حالت، فقط استخراج اطلاعات و الگو از داده خام توسط کامپیوتر انجام می‌شود و کار تطبیق الگو و اعلام نتیجه در داخل کارت صورت می‌گیرد. این روش به دلیل اینکه الگوی ذخیره شده روی کارت به خارج از کارت منتقل نمی‌شود و همچنین به دلیل اینکه امکان کپی‌برداری از کارت مشکل است، دارای امنیت بالایی است.

4. سیستم روی کارت (SOC: System-On-Card):

در این حالت کل فرآیند زیست‌سنجی از جمله سنسور دریافت اطلاعات از کاربر و استخراج ویژگی و قالب (به همراه تطابق الگو) به روی کارت منتقل می‌شود.

از میان روش‌های بیان شده، SOC از بقیه روش‌ها امن‌تر و TOC از بقیه امنیت پایین‌تری دارد اما با توجه به هزینه بالای SOC (به دلیل اینکه کلیه تجهیزات لازم برای احراز هویت به همراه کارت ارائه می‌شود) از این روش فقط می‌توان در کاربردهای محدودی استفاده کرد. لذا از میان این چهار رویکرد، روش تطبیق روی کارت (MOC) با توجه به سطح بالای امنیتی و ارزان بودن عمومیت بیشتری دارد.

شرکت سپیدسیستم با بهره‌گیری از دانش بومی، راهکار احزار هویت با اثرانگشت مبتنی بر کارت با روش MOC را توسعه داده است که شامل همه زیرسامانه‌ها و برنامه‌های مختلف است (شکل زیر).

راهکار زیست‌سنجی مبتنی بر کارت هوشمند با روش MOC را می‌توان در کاربردهای مختلفی که دسترسی امن، سریع و آسان نیاز دارد، به کار گرفت، از جمله:

  • سرویس‌های بانکی برای دسترسی کارمندان و مدیران به سامانه‌های بانکی و یا افراد به حساب‌ها و سرویس‌های برخط و پرداخت‌ها و انتقال وجه
  • کارت ملی هوشمند
  • کارت هوشمند سلامت و بیمه
  • دسترسی‌های دیجیتال، ورود به رایانه یا سامانه‌های کامپیوتری دیگر
  • پاسپورت‌ها و احراز هویت خودکار در مرزها و فرودگاه‌ها
  • کارت‌های نظرسنجی و رای‌دهی
  • امنیت بالاتر: روش MoC با ترکیب قابلیت‌های امنیتی روش‌های زیست‌سنجی و کارت هوشمند سطح بالایی از امنیت را فراهم می‌کنید که به صورت مشخص به دلیل نگهداری اطلاعات زیست‌سنجی (اثر انگشت، چهره، عنبیه و ...) و پردازش‌های تطبیق هویت درون کارت، امکان شنود و کپی کردن را به حداقل می‌رساند و روشی مطمئن برای کاربردهایی است که سطح بالایی از امنیت نیاز دارند (مانند دسترسی به سیستم‌های مالی/بانکی، دسترسی به سایت‌های امنیتی و ...).
  • احراز هویت دو سطحی (Two-Factor Authentication): در روش‌های مبتنی بر کارت هوشمند، همواره یک کانال امن بین ترمینال (رایانه) و کارت فراهم می‌شود تا با هم ارتباط برقرار کنند. بدین منظور یک در هر ارتباط بین این دو یک کد چالش (Challenging Code) بین آنها رد و بدل می‌شود و در صورت تایید توسط دو طرف، ارتباط برقرار می‌شود. در صورتی که این بخش از کار در MOC توسط هکرها شنود و کشف شود، چون هکر قادر به دسترسی به محتوای داخل کارت نیست، لازم است یک مرحله دیگر هم هک کند که شامل دسترسی به الگوی روی کارت و همچنین الگوریتم تطبیق الگو است. این کار به دلیل ساختار کارت و امنیت اپلت‌های روی کارت کار دشواری است.
  • تصمیم‌گیری روی کارت برای افزایش امنیت: در MOC برنامه تطبیق الگوها و تصمیم‌گیری در مورد تایید یا رد احراز هویت روی کارت انجام می‌شود. از آنجا که پس از برنامه‌نویسی شدن کارت می‌توان آن را قفل کرد تا امکان نصب برنامه‌ها و ابزارهای جاسوسی احتمالی را نداشته باشد، نفوذ به کارت و دسترسی به برنامه‌های تایید هویت بسیار مشکل است.
  • دقت بالا در تطبیق الگو: راه حل پیشنهادی از به‌روزترین روش‌های یادگیری ماشین برای تطبیق الگوهای زیست‌سنجی بهره می‌برد که خطای تطبیق الگو و شناسایی اثر انگشت یا تشخیص چهره در آن بسیار پایین است (در حدود چند دهم درصد)
  • انعطاف‌پذیری و قابلیت استفاده در کابردهای مختلف: با توجه به قابلیت اختصاصی شدن راهکار پیشنهادی توسط شرکت سپیدسیستم برای شرایط و نیازهای مختلف، از آن می‌توان در کاربردهای مختلفی به صورت اختصاصی شده استفاده کرد.
بالا