АДИС. Сертификация биометрических сканеров отпечатков пальцев

Национальные и международные стандарты

Это уже третья часть статьи об автоматизированной дактилоскопической информационной системе (АДИС, в зарубежных источниках – AFIS). Первая была опубликована во втором журнале "Системы безопасности" 2021 г. (стр. 76–78), где мы рассмотрели основные задачи, параметры, структуру, критерии эффективности и проблемы эксплуатации автоматизированной дактилоскопической информационной системы. Во второй части в третьем номере (стр. 66–69) были приведены данные испытаний, проводимых для оценки технологий и алгоритмов распознавания отпечатков пальцев, и приведена оценка величины минимальных ошибок распознавания.

Подтверждение соответствия технических характеристик биометрических сканеров отпечатков пальцев (дактилоскопических сканеров) может проводиться может проводиться в форме как обязательной , так и добровольной сертификации.

Добровольная сертификация осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

В настоящее время сертификация дактилоскопических сканеров как у нас, так и за рубежом проводится в основном в соответствии с требованиями правоохранительных органов.

Так, в 2006 г. [1] один сканер отечественного производителя тестировался по Программе и методике испытаний комплекса бескраскового дактилоскопирования на соответствие требованиям, предъявляемым в ОВД РФ к качеству дактилоскопических изображений. По результатам тестирования было выдано заключение, рекомендующее использование этой модели сканера для составления электронных дактилокарт в органах внутренних дел РФ.

Необходимо отметить, что некоторые биометрические сканеры отечественных фирм проходили обязательную сертификацию технических средств в соответствии с постановлением Правительства Российской Федерации от 26 сентября 2016 г. № 969 "Об утверждении требований к функциональным свойствам технических средств обеспечения транспортной безопасности и Правил обязательной сертификации технических средств обеспечения транспортной безопасности".

Среди отечественных фирм, которые проводят часть своих сканеров, поставляемых за рубеж и используемых в международных проектах, через процедуру сертификации на соответствие требованиям ФБР США, следует отметить такие фирмы как "Сонда" и "Папилон".

Тестирование на соответствие требованиям ФБР США

Тестирование проводится в соответствии со стандартами ANSI/NIST-ITL 1–2011 и приложением Appendix F "Спецификация электронной биометрической передачи" (ELECTRONIC BIOMETRIC TRANSMISSION SPECIFICATION, EBTS) [3].

ANSI/NIST-ITL 1–2011 представляет собой формат данных для обмена отпечатками пальцев, лицевой и другой биометрической информацией и определяет содержание, формат и единицы измерения обмена информацией, которые могут быть использованы при биометрической идентификации субъекта. Данный стандарт предназначается для обмена информацией между органами уголовного правосудия или организациями, использующими автоматизированную систему идентификации отпечатков пальцев (AFIS), а также для обеспечения общего интерфейса для других AFIS и связанных с ними системами по всему миру.

EBTS – это стандарт, который был разработан ФБР для электронного кодирования и передачи биометрических изображений, идентификационных данных и данных об аресте, который расширяет возможности стандарта лаборатории информационных технологий (ANSI/NISTITL) Американского национального института стандартов (NIST).

EBTS различает два технических уровня качества изображения: PIV-071006 и Appendix F.

PIV-071006 был введен в 2006 г. для программы проверки личности правительства США (PIV) и должен использоваться для сканеров, поддерживающих индивидуальную проверку отпечатков пальцев.

Appendix F – это спецификация электронной биометрической передачи (EBTS). В соответствии с Appendix F к изделиям предъявляют строгие требования к качеству изображения с упором на сравнение человеческих отпечатков пальцев и облегчение крупномасштабных машинных операций типа "многие ко многим".

EBTS также различает четыре варианта использования сканеров [4]:

1. PIV (Personal Identity Verification) – сканеры, которые используются для регистрации и проверки однозначного соответствия отпечатков пальцев.
2. MOBILE ID – сканеры, которые используются в мобильной среде и могут фиксировать разные профили считывания отпечатков пальцев.
3. ID FLATS – сканеры, которые используются для идентификации для получения плоских оттисков двух больших пальцев и четырех пальцев (без большого) в области регистрации изображения.
4. Livescan – сканеры, которые используются для идентификации, для получения плоских оттисков двух больших пальцев и четырех пальцев и десяти свернутых (прокатных) изображений в области регистрации изображения.

Таблица 1. Категории сертификации EBTS

Сертификационные категории ФБР США

В категории Mobile ID имеются разные профили сбора отпечатков пальцев (уровни FAP), которые помогают выбрать правильный размер области регистрации для мобильных приложений (табл. 1).

Уровни FAP 10–30 используются для сканеров одного пальца для индивидуальной проверки.

Разница между уровнями FAP 10, 20 и 30 заключается в основном в области регистрации изображения (рис. 1).

Рис. 1. Уровни FAP 10–30

Аналогичные требования к сканерам содержатся в национальном ГОСТ Р 58298–2018 [5].

В приложении Appendix F, в отличие от национального ГОСТ Р 58298–2018, приведены также отдельные требования к характеристикам принтеров и к мобильным устройствам, предназначенным для регистрации отпечатков пальца.

Соответствие единой структуре форматов обмена

Важным вопросом стандартизации биометрических технологий, кроме проверки на соответствие заявляемых данных сканеров отпечатков пальцев, является проверка на соответствие единой структуре форматов обмена биометрическими данными (ЕСФОБД).

ЕСФОБД – это единая структура форматов обмена биометрическими данными (Common Biometric Exchange Formats Framework, CBEFF) [6].

Ведущая организация ЕСФОБД (CBEFF patron) – это организация [7], занимающаяся разработкой стандартов (орган по стандартизации, рабочая группа или промышленный консорциум), зарегистрированная в качестве ведущей организации ЕСФОБД регистрационным органом в соответствии с ИСО/МЭК 19785–2.

Рис. 2. Сравнение размеров и размещения отпечатков пальцев между уровнями FAP 50 и FAP 60

В соответствии с решением Совета ИСО/МЭК ведение международного реестра разработчиков биометрического оборудования и программного обеспечения поручено американской некоммерческой организации International Biometrics + Identity Association (IBIA) (www.ibia.org).

На сегодняшний день IBIA зарегистрировало три организации от Российской Федерации: Некоммерческое партнерство "Русское биометрическое общество" в качестве ведущей организации ЕСФОБД (CBEFF patron), занимающейся вопросами стандартизации в области биометрии, а также компании "Папилон" и "Сонда".

Формат, установленный ведущей организацией ЕСФОБД, представляет собой полноразрядную спецификацию кодирования, содержащую один или более блоков биометрических данных (ББД) с информацией, которая идентифицирует формат ББД и содержит дополнительную информацию. Структура кодируемых данных в соответствии с форматом ведущей организации ЕСФОБД называется "запись биометрической информации" (ЗБИ).

ГОСТ ISO/IEC 19794–1–2015 "Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 1.
Структура" определяет следующие уровни обработки биометрических данных [6]:

• исходные данные: необработанные данные, поступающие с биометрического сканера;
• промежуточные данные: данные с датчика, прошедшие предварительную обработку, но еще не пригодные для сравнения, – эти данные обрабатываются как данные изображений или поведенческие данные;
• обработанные данные: данные, готовые для сравнения, – обрабатываются как данные биометрических признаков.

Для целей обмена особую значимость представляют промежуточные данные (изображений или поведенческих данных) и данные биометрических признаков (рис. 3).

Рис. 3. Данные с биометрического сканера, данные изображения/поведенческие данные и данные биометрических признаков

В приложении А ГОСТ ISO/IEC 19794–1–2015 представлены примеры сценариев использования биометрических данных на разных уровнях обработки.

Стандарт ГОСТ Р 58298–2018 [5] устанавливает требования к формату обмена записями данных для хранения, записи и передачи информации об одном или нескольких изображениях отпечатков пальцев или областей ладоней. Положения настоящего стандарта могут использоваться для передачи и сравнения данных изображения отпечатка пальца. Настоящий стандарт устанавливает состав, формат и единицы измерения данных изображения отпечатка пальца, используемых для биометрической регистрации, верификации или идентификации субъекта. Данная информация содержит набор обязательных и дополнительных элементов, включая параметры сканирования, информацию о сжатии изображения и информацию, определяемую изготовителем.

Настоящий стандарт определяет структуру записи данных изображения отпечатка пальца. Каждая запись должна относиться к одному субъекту и содержать данные изображения одного или нескольких представлений одного или нескольких пальцев или ладони (ладоней). Структура формата записи изображения отпечатка пальца представлена на рис. 4.

Рис. 4. Структура формата записи изображения отпечатка пальца

В приложении A ГОСТ Р 58298–2018 также приведена методология проведения испытаний на соответствие требованиям настоящего стандарта и методика испытаний биометрических сканеров отпечатков пальцев.

Cтандарты взаимообмена биометрической информацией в ФБР США

Одним из зарубежных документов, который наряду со стандартами ANSI/NIST-ITL NIST описывает стандарты взаимообмена биометрической информацией в ФБР США, является EBTS [3].

Отличия EBTS от ANSI/NIST-ITL заключаются в том, что стандарт ANSI/NIST-ITL предоставляет рекомендации по обмену биометрической информацией между различными федеральными, государственными, местными и международными системами, а EBTS ФБР определяет требования, которых агентства должны придерживаться при электронном общении с ФБР.

EBTS и его будущие версии унаследовали основные требования к логическим записям, изложенные в стандарте ANSI/NIST-ITL. В стандарте EBTS дополнительно даны специфические требования к содержанию и составу логических записей, например:

• информация заголовка;
• описательная, демографическая и биографическая информация о транзакции;
• описательная информация изображения отпечатка пальца;
• изображения отпечатков пальцев на карточках;
• информация о деталях отпечатков пальцев;
• информация о фотоизображении;
• информация об изображении гребня отпечатка пальца;
• информация об изображении отпечатков пальцев с переменным разрешением;
• информация об изображении ладони;
• информация об изображении радужки и другие типы записей.

Транзакция EBTS состоит из записей. EBTS определяет состав записей в транзакции, которая передается между системой идентификации следующего поколения (NGI) ФБР и другим сайтом или агентством. Все записи в транзакции должны относиться к одному предмету; данные, используемые для идентификации другого человека, требуют отдельной транзакции.

Любые изменения в полях или форматах данных в EBTS должны учитывать ранее опубликованные протоколы, чтобы гарантировать, что системы не пострадают. Было принято соглашение о координации усовершенствований в различных системах при сохранении совместимости. Это соглашение основано на структуре поля с тегами, определенной в стандарте ANSI/NISTITL, и понимании того, что определения полей не могут изменяться со временем или от системы к системе.

Таблица 2. Рекомендуемые размеры регистрируемого изображения отпечатка пальца (ГОСТ Р 58298–2018)

Чтобы облегчить эволюцию системы, каждой ее части назначается автономный диапазон номеров полей, который можно определять для удовлетворения эксплуатационных потребностей. Эти новые поля нельзя сделать обязательными для установленной функциональности, но они улучшают функциональность тех систем, которые хотят включить новое определение.

Благодаря этому процессу каждая система в сети имеет возможность улучшать свою собственную систему по собственному графику, но ни одна система никогда не вынуждена вносить изменения для поддержания текущей функциональности.

Стандарт ANSI/NIST-ITL включает типы записей для множества биометрических данных.

FBI/CJIS принимает биометрические и описательные данные для фрикционного гребня (пальцы, ладони и суставы/кончики), фотографии (лицо и SMT) и записи радужной оболочки в соответствии со стандартом ANSI/NIST-ITL.

Стандарт EBTS подробно определяет содержимое файла и записи, формат и коды данных, необходимые для обмена информацией об отпечатках пальцев, ладони, фотографиях, лицах и радужной оболочке глаза между федеральными, региональными и местными пользователями и ФБР/CJIS. Он предоставляет описание всех запросов и ответов, связанных со службой электронной идентификации по отпечатку пальца и другими службами. Эта спецификация действует для следующих служб:

1. Служба идентификации. Транзакции будут исходить от терминалов бронирования в режиме реального времени, полевых офисов ФБР, сканеров карт или мобильных устройств на федеральном уровне, уровне штата или на местном уровне.
2. Служба проверки. Эта услуга обеспечивает поддержку пользователей для запросов на конкретную биометрическую проверку личности.
   Она позволяет пользователю отправить запрос на проверку личности человека, предоставив уникальный идентификатор и изображение отпечатка пальца. Услуга проверки приводит к подтверждению личности человека на основе однозначного сравнения.
3. Информационная служба. Обеспечивает поддержку пользователей при запросах конкретной биометрической или биографической информации для отдельных лиц путем указания уникальных идентификаторов.
4. Служба расследований. Используется для проведения следственного поиска в репозиториях ФБР. Отправляющие транзакции агентства передают в электронном виде биометрические изображения с соответствующими характеристиками изображения или без них и/или биографические дескрипторы в соответствии с требованиями применимого следственного образца. Если кандидаты идентифицированы, решение об идентификации не принимается ФБР. Вместо этого передающему агентству возвращается до 99 возможных совпадений.
5. Служба уведомлений. Предоставляет агентствам незапрашиваемые уведомления на основе критериев инициирующего события. Незапрашиваемое уведомление может запускаться функциями, инициированными системой, уполномоченными поставщиками услуг ФБР или уполномоченными участниками.
6. Служба управления данными. Предоставляет пользователям возможность управлять данными в системе, находящейся под их контролем.

Таблица 3. Пример записей "Общие элементы для блока "Общий заголовок"

Список литературы

1. https://www.papillon.ru/rus/46
2. Официальный сайт ФБР США: https://www.fbibiospecs.cjis.gov/certifications
3. ELECTRONIC BIOMETRIC TRANSMISSION SPECIFICATION (EBTS) WITH TECHNICAL AND OPERATIONAL UPDATES (TOU); Version 10.0.9, May 22, 2018; NGI-DOC-01862-1.2; Federal Bureau of Investigation Criminal Justice Information Services Division, 1000 Custer Hollow Road Clarksburg, WV 26306.
4. Four steps for selecting the right fbi fingerprint category: www.jenetric.com
5. ГОСТ Р 58298–2018 (ИСО/МЭК 19794–4:2011) Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца.
6. ГОСТ ISO/IEC 19794–1–2015 Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура.
7. https://normative_reference_dictionary. academic.ru/6553/ведущая_организация_ ЕСФОБД

Редакция советует

Ведущим российским разработчиком, активно продвигающим высокотехнологичные биометрические решения и комплексы, является компания BioSmart. Она специализируется на идентификации человека по отпечаткам пальцев, венам ладони и лицу. Биометрические считыватели и терминалы для систем контроля и управления доступом и учета рабочего времени на основе технологий идентификации по лицу представляют также компании RusGuard, Hi-Tech Security, ZKTeco, PERCo, "АРМО-Системы", BEWARD, InPrice Distribution, "Страна Карт", Группа компаний ЦРТ, НВП "Болид" и другие.

Опубликовано в журнале "Системы безопасности" №4/2021