الثلاثاء، 19 أبريل 2011

ستخدام المقاييس الحيوية (Biometrics) في التوثق من الشخصية للتعلم الالكتروني

استخدام المقاييس الحيوية (Biometrics) في التوثق من الشخصية للتعلم الالكتروني

-

إن أنظمة الحماية القائمة على استخدام المقاييس الحيوية أخذت بالانتشار بشكل كبير مقارنة بأنظمة الحماية التقليدية, وذلك لدقتها وقدرتها على التمييز بسهولة بين الشخصية الحقيقية للمستخدم ومنتحلي الشخصية - لاعتمادها على سمات شخصية في التعرف على المستخدم- , بالإضافة إلى أن هذه الأنظمة تلقى قبولاً كبيرًا بين المستخدمين لعدم حاجتهم إلى حفظ العديد من كلمات المرور التي تكون عرضة للسرقة أو النسيان, لكن رغم مميزاتها المتعددة تظل هذه الأنظمة عرضة للهجوم الأمني, في هذا المقال سأتناول أنظمة الحماية القائمة على استخدام المقاييس الحيوية, ثغراتها الأمنية, وزيادة الأمان فيها


1. المقدمة

استخدام المقاييس الحيوية في التوثق من الشخصية: هي أساليب آلية يتم فيها التعرف على شخص ما بالاعتماد على خصائصه الفسيولوجية أو السلوكية, هناك أكثر من عشر طرق معروفة حاليًا يتم فيها التعرف على الشخص, منها:

الخصائص الفسيولوجية

الخصائص السلوكية

· بصمات الأصابع.

· هندسة اليد أو الأصابع (hand geometry).

· الوجه.

· بصمة العين (قزحية العين).

· شبكية العين.

· مخطط الأوعية الدموية.

· التعرف على الصوت.

· التعرف على التوقيع (الإمضاء).

· ايقاع حركة اليد في استخدام لوحة المفاتيح.

إن أنظمة الحماية القائمة على استخدام المقاييس الحيوية أخذت بالانتشار بشكل كبير, وذلك لدقتها وقدرتها على التمييز بسهولة بين الشخصية الحقيقية للمستخدم ومنتحلي الشخصية - لاعتمادها على سمات شخصية في التعرف على المستخدم- , بالإضافة إلى أن هذه الأنظمة تلقى قبولاً كبيرًا بين المستخدمين لعدم حاجتهم إلى حفظ العديد من كلمات المرور التي تكون عرضة للسرقة أو النسيان.

وفي العصر الحاضر الذي أصبح يعتمد بشكل واسع على التقنية في جميع المجالات و مع تزايد الثغرات الأمنية في أنظمة الحماية وتزايد محاولات التزوير والغش الالكتروني, تزداد الحاجة - بشكل واضح- إلى أنظمة حماية ذات درجة عالية من الأمان في التحقق من الشخصية, ويمكن القول بأن أنظمة الحماية القائمة على استخدام المقاييس الحيوية في التوثق من شخصية المستخدم تعطي درجة عالية من الأمان مقارنة بالأساليب الأخرى للتوثق من الشخصية.

وتنقسم تطبيقات استخدام المقاييس الحيوية للتوثق من الشخصية إلى ثلاثة أنواع رئيسية:

· التطبيقات التجارية: مثل التجارة الإلكترونية, الدخول إلى الانترنت - والشبكات بشكل عام- , بطاقات الائتمان, الدخول الحقيقي (البدني) للمباني, السجلات الطبية, التعليم عن بعد, وغيرها الكثير.

· التطبيقات الحكومية: مثل بطاقة الهوية الوطنية, رخصة القيادة, وجواز السفر.

· التطبيقات القضائية: مثل التحقق من هوية الجثث, التحقيق في الجرائم, التعرف على المطلوبين أمنيًا, التحقق من صحة النسب, ومعرفة هوية الأطفال المفقودين.

2. كيف تعمل أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية

1) في البداية: ليكون النظام قادرًا على التعرف على شخص ما على أساس سمة شخصية يحتاج –بالطبع- إلى مطابقة هذه السمة مع مواصفات السمة الحقيقية للشخص, ويتم ذلك عن طريق تخزين النظام لقالب للسمة الشخصية للشخص في قاعدة بيانات النظام, تسمى عملية إدخال السمة الشخصية للمستخدم للمرة الأولى بالتسجيل (enrolment), تتم عملية التسجيل تحت احتياطات أمنية مشددة أكثر من عملية التعرف لأنها تشكل الأساس الذي يعتمد عليه النظام في التعرف على الشخص من عدمه.

2) عند التوثق من شخصية المستخدم تتم العملية على عدة مراحل:

رسم توضيحي 1: مكونات نظام التوثق من الشخصية المعتمد على المقاييس الحيوية

‌أ) يقوم المستخدم بإدخال السمة الشخصية من خلال جهاز الإحساس (sensor).

‌ب) يستخرج النظام الملامح المميزة للسمة (feature extraction), وذلك لأن السمة المدخلة من خلال جهاز الإحساس تكاد من المستحيل أن تتطابق بشكل كامل مع القالب المخزن إذا استخدمت المقارنة النقطية, فإذا أخذنا بصمة الأصبع كمثال: قد تختلف زاوية الإدخال بشكل غير ملاحظ ولكنه بالطبع سيؤثر على نتيجة المقارنة, مما يجعل المقارنة النقطية مع القالب غير موثوقة لأنها قد ترفض الشخص الذي كان من المفترض أن تقبله, لذا يتم استخراج الملامح المميزة لأنها تمثل السمة بطريقة غير متغيرة, حتى القالب المخزن هو في الحقيقة قالب للملامح المميزة للسمة وليس للسمة كاملة.


‌ج) يتم استرجاع القالب المخزن في عملية التسجيل من قاعدة بيانات النظام.

‌د) تقارن الملامح المميزة للسمة مع القالب المخزن للشخص للتوثق من شخصية المستخدم وتقرير قبوله أو رفضه, علمًا بأنه لا يشترط التطابق الكامل في المقارنة وإنما يسمح بهامش من الاختلاف, هذا الهامش يجب اختيار حجمه بدقة, حيث أن صغر حجم الهامش بشكل كبير يزيد احتمال رفض الشخص الصحيح (False Reject Rate), كما أن كبر حجم الهامش سيزيد احتمال قبول شخص خاطيء (False Accept Rate), كلما استطاع النظام التقليل من هذين الاحتمالين دل ذلك على جودة النظام.

رسم توضيحي 3: مقارنة الملامح المميزة بين القالب المخزن لبصمة الأصبع والملامح المميزة المستخرجة من المستخدم أثناء عملية التوثق.

3. الثغرات الأمنية في أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية

إن من المهم أن ندرك أن استخدام المقاييس الحيوية في التوثق من الشخصية لا يعني الأمان الكامل وإن اشتمل على درجة عالية من الأمان. فهو عرضة للهجوم الأمني من خلال ثمان نقاط:

رسم توضيحي 4: نقاط الهجوم الممكنة على أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية

1. تقديم مقياس حيوي مزيف لجهاز الإحساس: في هذا الهجوم يتم تقديم مقياس حيوي مزيف كمدخل (input) لجهاز الإحساس, من الأمثلة على ذلك: أصبع مزيف, نسخة من التوقيع, قناع للوجه, وغيرها, وهذه الطريقة ليست صعبة ففي [3] طريقتين مختلفتين لتزييف أصبع بشري مطابق للحقيقة دون الحاجة إلى تعاون صاحب الأصبع, كلا الطريقتين لا تحتاج إلا لوقت محدود (عدة ساعات) وموارد مالية محدودة (باستخدام مواد رخيصة ومتوافرة).

2. إعادة إرسال الإشارات المخزنة من إرسال سابق: في هذا الهجوم يتم تسجيل الإشارة المرسلة من جهاز الاحساس أثناء دخول المستخدم الحقيقي إلى النظام, ثم إعادة إرسالها في وقت لاحق من خلال القناة التي تلي جهاز الإحساس دون الحاجة لاستخدام جهاز الإحساس. من الأمثلة على ذلك: إرسال صورة سابقة للبصمة أو تسجيل سابق للصوت.

3. السيطرة على عملية استخراج الملامح المميزة: يتم هذا الهجوم باستخدام حصان طراودة (Trojan horse) على مستخرج الملامح, حيث يجعله ينتج ملامح محددة من قبل المهاجم.

4. استبدال الملامح المميزة المستخرجة: يقوم المهاجم بالدخول على القناة التي تربط مستخرج الملامح بالمقارن ويستبدل الملامح المميزة المستخرجة بأخرى محددة من قبل المهاجم, هذا الهجوم يعتبر صعبًا لأنه يلزم أن يعرف المهاجم الطريقة المستخدمة في استخراج الملامح المميزة, بالإضافة إلى أن خطوتي استخراج الملامح ومقارنتها لا يمكن فصلها في الغالب, لكن في حال كانتا مفصولتين - كأن تكون الملامح المستخرجة ترسل إلى المقارن عبر الانترنت- يشكل هذا الهجوم تهديدًا حقيقيًا.

5. تحريف المقارنة: تتم مهاجمة المقارن بحيث ينتج نتائج تطابق محددة.

6. تغيير القالب المخزن: تتم مهاجمة قاعدة البيانات وتغيير القالب المخزن, هذا الهجوم يزيد احتماله في حالة قواعد البيانات الموزعة على أكثر من خادم.

7. الهجوم على القناة بين قاعدة البيانات والمقارن: واستبدال القالب المرسل إلى المقارن بقالب آخر.

8. تحريف النتيجة النهائية: إذا كان هذا الهجوم ممكنًا فسوف يصبح نظام التوثق من المستخدم عديم الفائدة.

جميع أنواع الهجوم السابقة قد تستخدم إما للسماح لمحتال أن يدخل النظام أو لمنع أحد الأشخاص المصرح لهم من الدخول.

4. زيادة الأمان في أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية

يمكن زيادة درجة الأمان في أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية بعدة طرق من أهمها:

‌أ) استخدام عدة نماذج: وذلك يشمل:

· استخدام عدة أجهزة إحساس.

· استخدام أكثر من مقياس حيوي: كاستخدام بصمة الأصبع وبصمة العين معًا.

· استخدام أكثر من وحدة: كاستخدام بصمة الإبهام وبصمة السبابة معًا.

· استخدام أكثر من صورة: حيث يطلب من المستخدم إدخال نفس المقياس أكثر من مرة.

· استخدام أكثر من مقارن لمقارنة النتيجة كل منهما يستخدم طريقة مقارنة مختلفة عن الآخر.

‌ب) استخدام عدة وسائل: حيث تستخدم طريقة أخرى بالإضافة إلى المقاييس الحيوية, كاستخدام كلمة مرور بالإضافة إلى بصمة الصوت مثلاً.

‌ج) تحري الحيوية (Liveness Detection): للتأكد أن المدخل (input) مصدره كائن حي وليس صناعيًا أو مزيفًا, ولذلك عدة طرق:

· استكشاف الخصائص الحقيقية للجسم الحي: سواء خصائصه الفيزيائية كالكثافة والمرونة أو خصائصه الكهربائية كمقاومته الكهربائية أو خصائصه الطيفية كمقدار امتصاصه للضوء أو خصائصه المرئية كاللون والشفافية.

· قياس إشارات الجسم الحي: كضغط الدم, موجات الدماغ, إشارات القلب الكهربائية.

‌د) التحدي/ الاستجابة (challenge/response): تعتبر هذه الطريقة سهلة وفعالة في آن واحد, حيث يطلب النظام من المستخدم طلبًا معينًا ويقيس مدى استجابته له, مثلاً: أن يطلب النظام من المستخدم أن يكرر عبارة معينة أو يرمش بعينه أو يهز رأسه, وهذه الطريقة تتداخل بشكل كبير مع الطريقة السابقة, بل إن هذه الطريقة تطلب في الغالب من قبل النظام بعد فشل الطريقة السابقة في التأكد من حيوية المستخدم.

بالإضافة إلى أن التحدي/ الاستجابة قد يكون بين مكونات النظام الداخلية للتوثـّق فيما بينها وهذا يشكل دفاعًا جيدًا ضد أنواع الهجوم التي تستهدف قنوات الاتصال (كالهجوم رقم 2, 4, 7 أعلاه), خصوصًا حين تكون مكونات النظام مفصولة عن بعضها جغرافيًا.

‌ه) الاحتفاظ بالبيانات: في معظم الأنظمة يتم حذف صورة المقياس الحيوي بعد إنشاء القالب الذي ستتم المقارنة على أساسه, بعض الأنظمة تحتفظ بالصور لكي يكون على المهاجم أن ينتج صورة للمقياس الحيوي يمكن رؤيتها بالعين المجردة بالإضافة إلى انتاج السمات المميزة التي سيرسلها إلى النظام, وبذلك تصعب عملية الهجوم, هذه الطريقة تضيف بعض التعقيد للنظام لحماية البيانات المحفوظة.

‌و) العلامة المائية (Watermarking): هي تضمين معلومات عن الوسائط المتعددة (مصدر البيانات, وجهتها.. الخ) داخل البيانات نفسها (صورة, صوت.. الخ), هذا التضمين قد يكون ظاهر للمستخدم أو غير ظاهر.

الهدف من استخدام العلامة المائية في المقاييس الحيوية هو التأكد من مصدر البيانات بالإضافة إلى اكتشاف أي تغيير قد يحصل في البيانات.

‌ز) التشفير (Encryption): هناك طريقتين للجمع بين استخدام التشفير واستخدام المقاييس الحيوية في أنظمة حماية المعلومات:

· تشفير القوالب المخزنة في قاعدة البيانات لحمايتها من المهاجمين.

· استخدام المقاييس الرقمية كمفتاح لتشفير البيانات.

5. الخلاصة

على الرغم من كون أنظمة التوثق من الشخصية المعتمدة على المقاييس الحيوية تعتبر أفضل بمراحل من أنظمة الحماية التقليدية, إلا أنها معرضة للهجوم الأمني أيضًا, وقد رأينا أنه تم ايجاد عدة حلول لمواجهة هذا التهديد الأمني, هذه الحلول لا تجعل من المقاييس الحيوية أسلوبًا مثاليًا لأمن المعلومات لكننا لا نعرف مايمكن أن تقدمه لنا الأيام القادمة, خصوصًا إذا علمنا أن هذا المجال من المجالات التي تنشط فيها البحوث في الوقت الحاضر.

يوميات تسجيل مقطع الفيديو استخدام المقاييس الحيوية (Biometrics) في التوثق من الشخصية للتعلم الالكتروني :

1- تم اختيار العنوان لقلة البحوث باللغة العربية فيه و ندرة البحوث .

2- قمت بالبحث عن المراجع و البحوث في الانترنت و استغرق جمعها حوالي 6 ساعات .

3- استغرق التسجيل و المونتاج تقريبا حوالي 7 ساعات .

4- استخدم برنامج صانع الافلام من windowsLive و برنامج camtsia

5- في البداية قمت بعمل عرض بوربوينت و باستخدام برنامج camtsia تم التسجيل الاولي و المونتاج للعرض .

6- باستخدام برنامج صانع الافلام من windowsLive قمت بعمل المقدمة و دمجها بالعرض .

6. المراجع

[1] www.biometrics.org

[2] www.freepatentsonline.com/6317834.html

[3] Ton van der Putte and Jeroen Keuning, “Biometrical fingerprint recognition:

Don't get your fingers burned”, Kluwer Academic Publishers, 289-303, (2000)

[4] Anil K. Jain, Arun Ross and Salil Prabhakar ”An Introduction to Biometric Recognition”,

[5] Bori Toth, “Biometric Liveness Detection”, UK, Information technology bulletin, 291-297,

(2005)

[6] N. K. Ratha, J. H. Connell and R. M. Bolle ”Enhancing security and privacy in biometricsbased

authentication systems”, IBM Systems Journal, vol 40, 614-634, (2001)

[7] Chris Roberts, “Biometric attack vectors and defences”, (2006)

[8] Colin Soutar, Danny Roberge, Alex Stoianov, Rene Gilroy, and B.V.K. Vijaya

Kumar,”Biometric Encryption”, Mississauga, ONT, Bioscrypt Inc.

[9] Colin Soutar , “Biometric System Security”, Bioscrypt Inc.

[10] http://pagesperso-orange.fr/fingerchip/biometrics/types/fingerprint_algo.htm

[11] http://www.lxtechnologies.com/Biometrics.html





http://www.youtube.com/watch?v=nddUS7t_ZxA