گسترش استفاده از فناوری اطلاعات و ارتباطات (ICT) و تحت پوشش قرارگرفتن امکان دستیابی به طیف گسترده ای از منابع مالی و اطلاعاتی از طریق سامانه های رایانه ای، توجه به مدیریت و امنیت دسترسی را با اهمیت تر می کند.
روشهای تأیید هویت موجود با سه فاکتور تقسیم بندی می شوند:
چیزهایی که کاربران می دانند "Something the user knows" ( برای مثال رمز عبور،PIN)
چیزهایی که کاربران به همراه دارند "Something the user have" (کارتهای خود پرداز، کارتهای هوشمند)
چیزهایی مربوط به خود کاربران "Something the user are" (بیومتریکها شامل:اثر انگشت، الگوی شبکیه، عنبیه و...)
دسته سوم (بیومتریکها) امن ترین و سهل الوصولترین فاکتور تأیید هویت در دنیای اطلاعات و ارتباطات می باشند. فناوری بیومتریک با توجه به سهولت استفاده و منحصر به فرد و غیرقابل جعل بودن مشخصه های بیومتریکی یک پاسخ مناسب برای تقویت سپر امنیتی در برابر دسترسیهای غیر مجاز است. بیومتریک در زمینه تأمین امنیت و کنترل دسترسی فیزیکی و منطقی به منابع مالی، اطلاعاتی، شبکه های رایانه های مراکز حساس و همچنین صدور مدارک شناسایی قابل اطمینان، کاربردی رو به گسترش در راستای افزایش امنیت در کنار بهبود دقت، سرعت، سهولت و کاهش هزینه ها دارد.
تعاریف و اصطلاحات رایج
واژه بیومتریک به طیف وسیعی از فناوریهایی اتلاق می شود که هویت افراد را به کمک اندازه گیری و تحلیل خصوصیات انسانی شناسایی می کنند. در یک تعریف عمومی بیومتریک را علم و فناوری اندازه گیری و تحلیل آماری داده های بیولوژیکی معرفی کرده اند . اما تعریف دقیق تر و فنی آن که امروزه رایج شده به شرح زیر است:
هر خصوصیت فیزیولوژیکی یا ویژگی رفتاری منحصربفرد و متمایز کننده ، مقاوم و قابل سنجش که بتواند جهت تعیین یا تأیید خودکار هویت افراد بکار رود بیومتریک نام دارد.
در این تعریف ویژگیهایی ذکر شده است که جهت شفافیت بیشتر توضیحی اجمالی ارائه می شود.
" متمایز کنندگی" قدرت تفکیک یک شخص در میان مجموعه ای از افراد با استفاده از یک مشخصه می باشد. هرچه درجه ی تمایز یک مشخصه بالاتر باشد، افراد بیشتری با آن مشخصه شناسایی می شوند. درجه ی تمایز کمتر به معنی تکرار آن خصیصه در تعداد بیشتری از افراد می باشد. عنبیه و شبکیه دارای درجه ی تمایز بالاتری نسبت به هندسه ی دست یا انگشت می باشد.
" مقاوم بودن" مربوط به پایداری ویژگی یا خصوصیت مورد نظر در طول زمان می باشد. تغییر در این ویژگی می تواند بعلت کهولت، جراحت، بیماری، استفاده ی مداوم حین کار یا تغییرات شیمیایی باشد. مشخصات بیومتریکهای کاملاً ستبر، در گذر زمان تغییر نمی کند در حالیکه بیومتریکهای کمتر ستبر دچار تغییر می شوند. برای مثال الگوی عنبیه که در طول زندگی یک شخص به ندرت تغییر می کند ستبرتر از صدای شخص می باشد.
" قابل سنجش بودن" یعنی خصوصیات یا ویژگیها به راحتی قابل ارائه به یک حسگر باشد تا بتوان آنرا در قالب دیجیتالی اندازه گیری نمود. این قابلیت، امکان مقایسه ی داده ها را در آینده و در یک فرایند خودکار میسر می سازد .
منظور از" خودکار بودن" قابلیت تشخیص سریع و بدون نیاز به دخالت تشخیص انسانی (برای مثال قدرت تشخیص بصری چهره ها یا اثرانگشت) می باشد. بنابراین در حال حاضر که تکنیک تشخیص هویت با استفاده از DNA افراد تنها در محیط آزمایشگاهی و به کمک دانش متخصصان میسر می باشد، DNA یک بیومتریک بشمار نمی رود.
لازم به ذکر است این لغت در اوایل قرن بیستم به حوزه متفاوتی (که امروزه عموماً Biostatistica نامیده می شود) تعلق داشت، که توسعه روشهای آماری و ریاضیاتی قابل استفاده در تحلیل داده های مربوط به مسایل علوم بیولوژیک را در بر می گرفت.
فناوریهای بیومتریکی، فنون شناسایی بر اساس اندازه گیری و تحلیل خصوصیات فیزیولوژیکی یا رفتاری را شامل می شود. در IT هم، فناوری بیومتریک معمولاً به فناوریهایی اتلاق می گردد که خصوصیات فیزیولوژیک انسانی از قبیل اثرانگشت، الگوی شبکیه، الگوی عنبیه، صوت، چهره و هندسه ی دست را بخصوص برای شناسایی افراد مورد بررسی و تحلیل قرارمی دهد. نحوه امضا کردن، الگوی راه رفتن، صوت نگاری و موفقترین آنها، شناسایی انسان از طریق تشخیص الگوی تایپ کردن، مثالهایی برای بیومتریکها می باشند.
بیومتریکها از لحاظ تئوریک شناسه های بیولوژیکی بسیار مؤثری هستند. زیرا تصور بر این است که خصوصیاتی اندازه گیری شده منحصربفرد می باشند.
سامانه بیومتریکی
یک سامانه بیومتریکی اساساً یک سامانه تشخیص الگو ست که هویت اشخاص را با استفاده از اطلاعات بیومتریکی آنها، تعیین یا تأیید می نماید. اولین قدم در راه استفاده از این سامانه ها ثبت اطلاعات بیومتریکی فرد در بانک داده سامانه می باشد. شکل (1) نحوه ثبت اطلاعات بیومتریکی را نشان می دهد.
تأیید هویت
در تأیید هویت، در ابتدا فرد از طریق ذکر نام یا وارد نمودن رمز عبور و یا ارائه مدرک شناسایی (و یا از هر طریق متداول و مرسوم غیر بیومتریکی دیگر) وجود هویت خاصی را ادعا می نماید. سپس سامانه به مقایسه داده های بیومتریکی مدعی با داده های ثبت شده در مرجع طبق مشخصات ارائه شده توسط فرد می پردازد و ادعای وی مورد بررسی قرار می گیرد و نتیجه به نحو مقتضی اعلام می گردد. تأیید هویت در واقع پاسخ به این سؤال است که " آیا او همان فردی است که ادعا می نماید؟ " در اینجا مشخصات بیومتریکی فرد فقط با اطلاعات ثبت شده متناظر با هویت مورد ادعا مقایسه میشود ؛ لذا تأیید هویت، مقایسه 1:1 نیز نامیده می شود. شکل (2) فرایند کلی تأیید هویت را نشان می دهد.
تعیین هویت
در تعیین هویت، سامانه پس از دریافت داده های بیومتریکی ارائه شده توسط فرد یا کاربر سامانه به مقایسه داده ها با کلیه اطلاعات ثبت شده در مرجع (بانک اطلاعاتی) می پردازد. در این حالت فرض بر این است که اطلاعات فرد در سامانه وجود دارد. به این ترتیب نیازی نیaست که کاربر قبل از مقایسه داده های بیومتریکی اش ادعای هویت خاصی را داشته باشد. در واقع تعیین هویت، پاسخ به این سوال است که " او چه کسی است؟ "