КЕН ФИЛЛИПС
(для PC Week Labs)
ТЕМАТИЧЕСКИЕ ОБЗОРЫ
PC Week Labs оценивает возможности сетевого использования двух конкурирующих систем
Несмотря на впечатляющие успехи технологии распознавания внешнего облика человека, перспективы применения этой технологии для защиты компьютерных сетей пока остаются неясными.
Технология распознавания внешности защищает сеть от вмешательства посторонних лиц и позволяет вести журнал визуального контроля
Тестовый центр PC Week Labs проанализировал возможности двух приложений, отобранных из числа наиболее известных продуктов для распознавания внешности на базе ПК. Основная задача состояла в том, чтобы оценить перспективность этих систем для применения администраторами сетей в качестве альтернативы обычной процедуре аутентификации с помощью паролей. Мы пришли к выводу, что обе они обладают индивидуальными достоинствами, но тем не менее задача создания идеальной системы еще далека от своего решения.
Средство распознавания внешности под названием FaceIt PC, которое предлагает корпорация Visionics, предназначено для усиления защиты автономных ПК, оснащенных ОС Windows 95. FaceIt представляет собой хранитель экрана и служит прежде всего дежурным средством защиты оставленных без присмотра ПК индивидуального пользования от посторонних лиц.
FaceIt не рассчитан на сетевое применение. Хотя Visionics готовит к выпуску интерфейс, который будет служить для регистрации пользователей при вхождении в сеть, работу над ним планировалось завершить к концу 1997 г. Однако компания предлагает пакет разработчика прикладных программ, который позволяет самостоятельно встраивать технологию FaceIt в критически важные приложения или создавать собственные системы аутентификации для использования в сети.
Фирма Miros выпускает продукт под названием TrueFace CyberWatch, изначально ориентированный на работу в компьютерных сетях. TrueFace CyberWatch может работать в сети с любым протоколом на компьютерах с ОС Windows 95 и Windows NT, кроме этого готовится версия продукта для среды Solaris. Тем не менее наши испытания показали, что этот продукт менее гибок по сравнению с FaceIt. Фирма Miros также предлагает пакет разработчика прикладных программ (SDK), предназначенный для усиления защиты существующего ПО.
С точки зрения корпоративного использования биометрические SDK более важны, чем готовые фирменные продукты. Например, если CyberWatch и FaceIt предназначены только для защиты компьютеров, то прилагаемые к этим продуктам SDK можно использовать в дверных входных устройствах, регулирующих доступ в помещения, в системах регистрации времени и частоты посещений, в заказных сетевых приложениях и системах видеонаблюдения.
Системы защиты на базе распознавания внешности сравнительно дешевы. Например, стартовая цена одной копии TrueFace CyberWatch составляет $59, причем этот продукт можно использовать с любой недорогой видеокамерой, что увеличивает общую стоимость комплекта примерно до $150 на одно место. Для сравнения отметим, что системы санкционированного допуска на базе распознавания отпечатков пальцев стоят около $500 на одно место.
FaceIt PC 3.0 также относится к числу недорогих биометрических систем, но ее относительная стоимость в сравнении с TrueFace CyberWatch выше, поскольку она не предназначена для защиты входа в сеть и действует только на одной платформе. FaceIt продается за $149, но к этому следует добавить стоимость хорошей видеокамеры и платы захвата изображения, что потребует еще как минимум $300. (Плата захвата видеокадра необходима в связи с тем, что FaceIt имеет дело с движущимися изображениями.)
Средства распознавания внешности превосходят по стоимости средства речевого распознавания, поскольку большинство ПК выпускаются со звуковой платой и микрофоном. Однако распознавание голоса субъекта представляет собой менее надежное решение для системы защиты.
Подробнее о различиях
В основе FaceIt PC и TrueFace CyberWatch лежит одна и та же технология, при этом оба продукта обладают хорошими качествами: обеспечивают высокий уровень защиты, препятствуют доступу посторонних лиц, отличаются быстротой и удобством в работе и сравнительно недороги.
Однако помимо использования в сети и поддержки разных платформ продукты имеют еще целый ряд серьезных различий.
Сильным преимуществом FaceIt перед CyberWatch является способность воспринимать лицо субъекта как “движущуюся мишень” без каких-либо наводящих действий со стороны самого человека, что позволяет использовать FaceIt как средство видеонаблюдения в реальном времени. В отличие от этого CyberWatch обрабатывает лишь одиночный снимок человека, который должен занять соответствующую позу. При этом для ускорения процедуры идентификации по базе данных дополнительно требуется ввести в компьютер свое имя.
Вдобавок к своей основной функции запирания ПК на время отсутствия его хозяина FaceIt PC может зашифровывать файлы и каталоги, используя внешность субъекта как пароль для их дешифровки. TrueFace CyberWatch такими возможностями не располагает.
FaceIt PC 3.0 можно использовать только в среде Windows 95, но следующая версия продукта Visionics, находящаяся в стадии бета-тестирования, будет совместима с Windows NT. По завершении работы над ее окончательным вариантом его можно будет бесплатно переписать из Web. Однако новая версия не будет поддерживать пользовательскую базу данных Windows NT, т. е. система FaceIt PC будет совместима лишь с механизмом хранителей экрана этой ОС.
Всякому биометрическому продукту требуется база данных, хранящая соответствующие изображения или данные. Это создает основу для последующей идентификации внешности субъекта. Оба рассматриваемых нами продукта позволяют легко заполнять такую базу данных с помощью процедур регистрации внешности. Проходя через эту процедуру, пользователь получает аккредитацию на данном ПК.
Если пользователь ПК, оснащенного системой FaceIt PC, покидает свое рабочее место, то через определенное время, необходимое для активизации хранителя экрана, этот ПК автоматически становится недоступным для незарегистрированных лиц. Когда владелец ПК снова попадает в поле зрения системы, дисплей возвращается в то же состояние, в котором находился перед его уходом. Покидая рабочее место, пользователь может запереть свой компьютер и вручную, путем двойного щелчка на соответствующей пиктограмме.
Правда, этот продукт можно перехитрить с помощью простого перезапуска компьютера. Посторонний человек, включивший компьютер, легко обойдет или отключит защитную систему, даже если стартовая конфигурация ПК предусматривает автоматический запуск FaceIt PC. Это свидетельствует о несетевой природе данного продукта. Однако разработчики, которые используют SDK для собственных приложений, могут преодолеть этот недостаток FaceIt.
Продукт фирмы Miros делает компьютер полностью непроницаемым для посторонних. Он обеспечивает надежную защиту при вхождении пользователей в сеть и препятствует попыткам несанкционированного проникновения путем перезагрузки ПК или начальной загрузки в режиме Safe Mode. При всем том он оснащен и хранителем экрана, который автоматически отпирает систему по возвращении человека с зарегистрированной внешностью.
С точки зрения конечных пользователей TrueFace CyberWatch является значительно более зрелым продуктом, чем FaceIt PC, несмотря на некоторые неудобства например, владелец ПК каждый раз должен принять позу, позволяющую уместить его лицо в пределах изображенной на экране рамки, а затем щелкнуть мышью.
Наиболее привлекательной чертой FaceIt PC является гибкость. Система может выделять и идентифицировать отдельные лица в пределах группы людей, даже если ее участники движутся. Это качество продукта будет полезным при необходимости одновременного распознавания сразу нескольких субъектов. Для примера можно привести банк, где при подсчете денежных сумм должны одновременно присутствовать двое его сотрудников.
По словам представителей Miros, фирма в настоящее время также работает над возможностью распознавания движущихся лиц. Однако обработка полнокадрового видео отнимает значительную часть ресурсов процессора. Например, технология корпорации Visionics при работе в режиме непрерывного видеослежения (с использованием программных средств SDK) использует около половины мощности ПК. Эта технология может также приводить к конфликтам с хранителями экрана типа PointCast, требующих отключения хранителя экрана FaceIt.
Как FaceIt PC, так и TrueFace CyberWatch позволяют задавать различные уровни строгости идентификационных тестов. В составе FaceIt PC, кроме того, имеется опция “живого лица”, требующая, чтобы пользователь во время процедуры идентификации улыбнулся или моргнул, что, правда, слегка замедляет работу системы.
Если рабочее место пользователя расположено рядом с окном или находится в условиях переменного освещения, то при работе с обоими продуктами может возникнуть необходимость зарегистрировать несколько дополнительных снимков одного лица. При испытании этих продуктов мы зарегистрировали свое изображение во второй половине дня, а при утреннем освещении обе системы отказали нам в доступе. Однако если база данных содержит несколько вариантов изображения при различном освещении, то проблема будет снята.
Посетитель может оставить сообщение
Корпорация Visionics ввела в состав FaceIt PC уникальное средство передачи сообщений. Посетитель, который не застал пользователя данного ПК на рабочем месте, может оставить для него электронное сообщение и при желании присоединить к нему собственное фотоизображение в формате JPEG.
Несмотря на интригующий характер этой возможности, вряд ли она получит широкое распространение в мире бизнеса. Большее значение, по нашему мнению, будет иметь содержащееся в FaceIt PC средство шифрования файлов, которое основано на алгоритме стандарта Data Encryption Standard. Для того чтобы зашифровать или расшифровать любой файл, достаточно перетащить его мышью на специальную пиктограмму рабочего стола. Это очень удобный инструмент для того, чтобы записать зашифрованные файлы на дискету, перенести на другой ПК с системой FaceIt и затем расшифровать, используя собственную внешность в качестве пароля. Мы считаем, что такое средство уместно почти для всех сетевых биометрических приложений.
Программные пакеты, предназначенные для распознавания внешности, в ряде случаев используются как средство видеонаблюдения. Администрация компании может просматривать журнал визуальной регистрации посетителей, которые попали в зону видимости данного ПК. FaceIt PC по протоколу FTP даже автоматически пересылает наборы кадров видеонаблюдения для последующего анализа на удаленном компьютере.
Фирма Visionics разработала также родственный пакет FaceIt DB (направленный на заключительный этап бета-тестирования), который обогащает FaceIt PC возможностями поиска во внешних базах данных, совместимых со стандартом Open DataBase Connectivity. Он позволит, например, зафиксировать появление нового лица (в одиночку или в толпе), сделать его цифровой снимок и автоматически инициировать поиск в базе данных нежелательных посетителей.
Однако при использовании баз данных не исключается возможность ошибок, поскольку точность идентификации будет уменьшаться с ростом числа хранимых изображений. В этом смысле TrueFace CyberWatch более надежен, поскольку требует ввода личного идентификационного номера или имени пользователя, создавая тем самым добавочный критерий отбора и ограничивая поиск изображениями одного лица.
Кен Филлипс член редакции и постоянный автор американского издания PC Week. С ним можно связаться по адресу: kenp@alpinet.net.
