المشاكل الأمنية في أنظمة الحماية التي تعتمد على المقاييس الحيوية (Biometrics) في التحقق من الشخصية

المشاكل الأمنية في أنظمة الحماية التي تعتمد على المقاييس الحيوية (Biometrics) في التحقق من الشخصية

 

بسم الله الرحمن الرحيم

مقدمة :

استخدام المقاييس الحيوية في التحقق من الشخصية : هي أساليب آلية يتم فيها التعرف على شخص ما بالاعتماد على خصائصه الفسيولوجية أو السلوكية, هناك طرق عديدة حاليًا يتم فيها التعرف على الشخص .

لقد انتشرت أنظمة الحماية التي تعتمد على المقاييس الحيوية في الفترة الأخيرة في أغلب الشركات و المؤسسات و في الجامعات و الدوائر المختلفة

و ذلك لقدرة هذه الأنظمة على معرفة الشخصية الحقيقة و ليست تلك المنتحلة

و ذلك يرجع لخصائص في هذه الأنظمة تجعلها كذلك فهي تعتمد على سمات شخصية للمستخدم .

لقد انتشرت هذه الأنظمة بشكل كبير أيضا بسبب سهولة تعامل المستخدمين معا فهي أفضل من أن يقوم المستخدم بحفظ كلمة سر و أن يحافظ عليها و إلى غير ذلك من الأمور التقليدية التي كان لا يحبها المستخدم كثيرا.

و لكن هذه الأنظمة قد تكون عرضة لهجوم أمني مما يجعل من المهم جدا أن نجعل مثل هذه الأنظمة أكثر أمانا و أن نعمل دائما على تفادي أي أخطار أمنية في هذه الأنظمة .

في هذا البحث سوف أتحدث عن المشاكل الأمنية في أنظمة الحماية التي تعتمد على المقاييس الحيوية و زيادة الأمان فيها .

سوف نتحدث في هذا البحث عن ما يلي :

1. كيف تعمل أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية

2. الثغرات الأمنية في أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية .

3. زيادة الأمان في أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية.

4. الخلاصة و أخيرا المصادر و المراجع .

* كيف تعمل أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية

أولا : حتى يكون النظام قادر على التعرف على الأشخاص يجب عمل تسجيل لسمات و خصائص هؤلاء الأشخاص و يجب أن تتم عملية التسجيل في ظل حماية لأنها أهم من عملية التعرف فهي تعتبر الأساس في عملية التأكد من شخصية المستخدم .

ثانيا : المرحلة الثانية هي أن يقوم المستخدم بإدخال السمه الشخصية من خلال جهاز الإحساس

ثالثا : أن يقوم النظام باستخراج الملامح المميزة  للسمه , و ذلك لأن النظام إذا أراد أن يقارن كل البصمة مثلا فان ذلك قد يجعل النظام لا يتعرف على الشخص الحقيقي صاحب البصمة فعلا لذلك فهو يأخذ الملامح المميزة لتلك البصمة و يستخرجها .

رابعا : يتم استرجاع القالب المخزن في قواعد البيانات .

خامسا : يقارن النظام الملامح المخزنة مع المدخلة من قبل المستخدم و بذلك يحدد القبول أو الرفض , علما بأنه لا يشترط التطابق الكامل , و لكن بنفس الوقت على الهامش النظام أن لا يكون كبيرا أو صغيرا إلى درجة أنه قد يرفض الشخص الصحيح أو قد يقبل الشخص الخاطئ .

* الثغرات الأمنية في أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية

إن مثل هذه الأنظمة تعتبر عالية الأمان و لكنها لا تخلو من بعض المشاكل الأمنية التي قد تعرضها للخطر و تتلخص هذه المشاكل في الأمور التالية

أولا : أن يتم تقديم إدخال مزيف أو مزور لجهاز الإحساس :

مثل : قناع للوجه أو إصبع مزيف أو يد مزيفه أو توقيع مزيف (نسخة من التوقيع).

ثانيا : إرسال الإشارات المخزنة من إرسال سابق :

مثل : تسجيل سابق للصوت أو تسجيل سابق للبصمة .

ثالثا : استخراج الملامح المميزة عن طريق فيروسات أحصنه طروادة تقوم بإنتاج ملامح يحددها المهاجم .

رابعا : استبدال الملامح المميزة المستخرجة عن طريق دخول المهاجم إلى القناة التي تربط إدخال الملامح بالقاعدة المخزنة و خاصة إذا كانت الملامح المستخرجة ترسل عبر الانترنت لتتم مقارنتها .

خامسا : تحريف المقارنة : بحيث يقوم المهاجم بمهاجمة المخزنة لتقوم بإنتاج نتائج مطابقة للمدخلة .

سادسا : تغيير القالب المخزن : حيث يقوم المهاجم بمهاجمة قاعدة البيانات و تغييرها و خاصة إذا كانت قواعد البيانات موزعة على أكثر من خادم .

سابعا : الهجوم على القناة بين قاعدة البيانات و المرسل و استبدال القالب المرسل .

ثامنا : تحريف النتيجة النهائية : عادة لا يكون هذا النوع من الهجوم ممكننا لكن إذا كان ممكننا فان النظام يصبح عديم الفائدة .

زيادة الأمان في أنظمة التحقق من الشخصية التي تعتمد على المقاييس الحيوية : 

لزيادة درجة الأمان في مثل هذه الأنظمة ينبغي العمل على ما يلي :

أولا : استخدام عدة نماذج مثل أخذ بصمة الإصبع و العين معا ,

أو استخدام بصمة الإبهام و السبابة معا , أو أن تطلب من المستخدم أن يقوم بالإدخال أكثر من مرة .

ثانيا : استخدام وسائل متعددة : مثل استخدام كلمة مرور مع أحدى أنواع المقاييس الشخصية .

ثالثا : تحري الحيوية : مثل استخدام  وسائل تتأكد من أن المستخدم كائن حي مثل استكشاف خصائص الجسم الفيزيائية أو الكهربائية (مقاومته للكهرباء) و أيضا قياس إشارات الجسم الحي كضغط الدم و موجات الدماغ و إشارات القلب .

رابعا : الاستجابة : حيث أن النظام قد يطلب من المستخدم أن يفعل شيئا ما مثل أن يحرك رأسه أو أن يرمش بعينه و ما إلى ذلك من الأمور و تعتبر هذه الطريقة مرتبطة مع الطريقة السابقة .

خامسا : الاحتفاظ بالبيانات فبعض الأنظمة تقوم بحذف الصور بعد مقارنتها و لكن الاحتفاظ بهذه البيانات يصعب بعض أنواع الهجوم و يعقد العملية أكثر على المهاجم .

سادسا : العلامة المائية مثل تسجيل مصدر البيانات أو غير ذلك من الأمور التي قد تكون معروفة لدى المستخدم أو غير معروفة .

سابعا : التشفير و يتم هنا إما من خلال تشفير قواعد البيانات المخزنة أو أن تستخدم المقاييس حيوية مفتاحا لتشفير البيانات .

الخاتمة :

بعد معرفة الأخطار التي يمكن أن تتعرض لها أنظمة المقاييس الحيوية و معرفة طرق الحماية يمكننا باختصار أن نقول أن لا حماية 100% ليس فقط لهذا النظام و إنما لكل الأنظمة و لا ننسى أيضا أن هذه الأمور سريعة التغيير , فيمكن في أي لحظة أن يكتشف أحد ما سرا في مثل هذا الأنظمة يجعلها عرضة للهجوم في أي لحظة . لا يمكن اعتبارها أسلوبا مثاليا لأمن المعلومات و لكنها قد تفي بالغرض أحيانا , مع إتباع الأساليب الوقائية لمنع حدوث أي هجوم أو خطاء و إتباع كل ينتج من تقنيات جديدة قد تزيد من أمن المعلومات في هذه الأنظمة .

إن أمن هذه الأنظمة يمكن في البيئة التي سوف تطبق بها هذه الأنظمة فعندما يكون عندك عدد موظفين قليل ليس كما يكون مثلا العدد كبير أو غير ذلك من الأمور التي قد تعقد من المشكلة في حال حدوثها .

المصادر و المراجع :

(2006) fingerprintrec

http://www.biometrics.gov/documents/fingerprintrec.pdf

    CHARACTERISTICS OF BIOMETRIC SYSTEMS

http://www.ccert.edu.cn/education/cissp/hism/039-041.html

Papers to appear in biometrics (2011) vol. 67 , no. 3

http://www.biometrics.tibs.org/FPpaperstoappear.htm