docKombination von Sensoren zur biometrischen
download 
Denúncia Transcrição
Kombination von Sensoren zur biometrischen
Kombination von Sensoren zur biometrischen Handschriftenerkennung
Tobias Scheidat · Claus Vielhauer · Andrea Oermann
Otto-von-Guericke Universität Magdeburg
{tobias.scheidat | claus.vielhauer | andrea.oermann}@iti.cs.uni-magdeburg.de
Zusammenfassung
In diesem Artikel soll die Möglichkeit der Kombination von zwei Sensoren zur biometrischen Handschriftenerkennung untersucht werden. Dabei wird mit einem Stift zur Erfassung von dynamischen
Handschriftendaten auf einem biometrischen Unterschriftentablett geschrieben, dadurch werden
gleichzeitig zwei unterschiedliche Repräsentationen desselben Schriftzuges erzeugt. Diese dienen als
Grundlage für die biometrische Fusion, mit dem Ziel, die Erkennungsgenauigkeit der einzelnen auf
diesen Sensoren basierenden Systeme zu verbessern. Basierend auf drei unterschiedlichen Fusionsstrategien werden Authentifikationsergebnisse erzielt, die besser sind als die individuellen Ergebnisse.
Das beste Fusionsergebnis führt zu einer relativen Verbesserung von ca. 36,2% in Bezug auf die Erkennungsgenauigkeit im Vergleich zum entsprechenden besten Einzelergebnis.
1 Motivation
Die sichere automatische Authentifikation von Personen bzw. Informationen gewinnt in unserer heutigen technisierten Zeit immer mehr an Bedeutung. Nach Bishop [Bish05] wird dafür
heute hauptsächlich die Authentifikation durch geheimes Wissen, durch persönlichen Besitz
oder durch biometrische Merkmale genutzt. Ein typisches Beispiel für die Nutzung von geheimem Wissen, das nur der autorisierten Person zur Verfügung steht, ist die Verwendung eines Passworts bei der Anmeldung an ein Computersystem. Bei der Authentifikation mittels
eines persönlichen Gegenstandes wird dieser dem geschützten System auf geeignete Weise
präsentiert, und es wird im Erfolgsfall Zugriff auf dieses gewährt. Bei der Verwendung biometrischer Verfahren wird die Authentifikation dagegen anhand physischer Merkmale (z.B.
Fingerabdruck, Iris) oder typischer Verhaltensweisen (z.B. Handschrift, Sprache) durchgeführt. Das hat den Vorteil, dass das Authentifikationsobjekt mit der Person bzw. dessen Verhalten verbunden ist und dadurch nicht verloren gehen oder an Dritte weitergegeben werden
kann, wie dies bei den beiden anderen genannten Verfahren der Fall ist. Bei geheimem Wissen bzw. persönlichem Besitz kann das Authentifikationsobjekt bewusst weitergeben werden
(Weitersagen bzw. Übergabe) oder unbewusst verloren gehen (Vergessen bzw. Verlieren).
Eine Erhöhung der Sicherheit kann durch die Kombination der Verfahren untereinander bzw.
mit sich selbst erreicht werden. So ist zum Beispiel mittlerweile die Verwendung einer persönlichen Identifikationsnummer (geheimes Wissen) mit einer SmartCard (persönlicher Besitz) bei Bankgeschäften üblich, z.B. zum Abheben oder zur Überweisung von Geld. Zurzeit
besteht großes Interesse an der Kombination biometrischer Verfahren, um die jeweilige Performanz der Authentifikation der einzelnen beteiligten Systeme zu erhöhen.
P. Horster (Hrsg.) · D•A•CH Security 2007 · syssec (2007) 438-449.
Kombination von Sensoren zur biometrischen Handschriftenerkennung
439
In diesem Beitrag wird ein Verfahren zur Kombination von biometrischen Sensoren zur Erfassung dynamischer Handschriften vorgestellt. Der Vorteil liegt in der gleichzeitig Erfassung
ein und desselben Schriftzuges durch zwei unterschiedliche Sensoren, wodurch auch zwei
unterschiedliche Repräsentationen der Schriftprobe erzeugt werden. Durch die einzelne Verarbeitung dieser Rohdaten in einem biometrischen System wird jeweils ein Ähnlichkeitswert
(Matching Score) erzeugt, der angibt, in wie weit die aktuelle Schriftprobe mit der im System
hinterlegten übereinstimmt. Die Idee unseres Ansatzes liegt in der Fusion der Matching Scores, um die individuellen Ergebnisse basierend auf den einzelnen Sensoren zu verbessern. Um
zusätzlich auch die Auswirkungen von geheimem Wissen zu untersuchen, werden so genannte Handschriftsemantiken verwendet. Dabei handelt es sich um alternative Inhalte des Geschriebenen, die anstatt der üblichen Unterschrift verwendet werden und auch auf geheimem
Wissen basieren können.
Dieser Beitrag ist wie folgt gegliedert: Im anschließendem Abschnitt wird eine Einführung in
die biometrische Benutzererkennung gegeben und die für die Tests verwendete biometrische
Hardware vorgestellt. Eine Beschreibung der Grundlagen der biometrischen Fusion wird im
dritten Abschnitt gegeben. Außerdem wird ein Szenario vorgestellt, das drei Methoden zur
Benutzererkennung (geheimes Wissen, persönlicher Besitz und Biometrie) verwendet. Der
vierte Abschnitt beschreibt die biometrische Fusion, die Datenbank und die Methodologie,
die für die Evaluierung herangezogen wurden. Im darauf folgenden fünften Abschnitt werden
die Testergebnisse der beiden Sensoren einzeln und deren Fusion diskutiert. Der sechste Abschnitt gibt eine kurze Zusammenfassung des Beitrages und einen Ausblick auf die zukünftige Arbeit basierend auf den gewonnenen Erkenntnissen.
2 Biometrische Benutzererkennung
Dieser Abschnitt gibt einen kurzen Einblick in die Grundlagen der biometrischen Benutzererkennung. Außerdem werden drei Klassen vorgestellt, in die die heutzutage gebräuchlichen
Sensoren zur dynamischen Handschriftenerfassung eingeordnet werden können. Die im Rahmen dieser Untersuchung für die Datenerfassung eingesetzten Sensoren und deren Eigenschaften werden ebenfalls beschrieben.
2.1 Grundlagen
Die Authentifikation mithilfe der Biometrie kann unterschieden werden in die Verifikation
und die Identifikation. Bei einer Verifikation überprüft das System, ob die aktuell präsentierten biometrischen Daten mit den hinterlegten Referenzdaten einer behaupteten Identität (z.B.
Nutzername) in ausreichendem Maß übereinstimmt. Das bedeutet, es wird ein 1:1 Vergleich
durchgeführt. Ein Vergleich aller gespeicherten Referenzdaten mit den aktuellen Daten findet
bei einer Identifikation statt (1:n Vergleich). Ergebnis einer biometrischen Authentifikation
ist also entweder die Information, ob eine Person diejenige ist, die sie vorgibt zu sein (Verifikation) oder wer die Person ist (Identifikation).
Bevor eine Authentifikation stattfinden kann, muss ein Nutzer im System registriert und seine
biometrischen Daten hinterlegt werden. Dieser Vorgang wird als Enrollment bezeichnet. In
Abbildung 1 ist der Enrollmentprozess dargestellt: Im ersten Schritt werden die biometrischen
Daten erfasst, die der Nutzer dem System präsentiert. Bei der Merkmalsextraktion werden
spezielle Werte berechnet, die für einzelne Person charakteristisch sind (intra-personelle Konstanz) bzw. für unterschiedliche Personen möglichst unähnlich sind (inter-personelle Vari-
440
Kombination von Sensoren zur biometrischen Handschriftenerkennung
anz), um dieselbe Person als diese zu erkennen bzw. unterschiedliche Nutzer voneinander unterscheiden zu können. Im Allgemeinen werden diese Werte in einem so genannten Merkmalsvektor zusammengefasst, welcher mit der Identität des Besitzers verknüpft und als Referenzdatum im System gespeichert wird. Während des Authentifikationsprozesses werden nach
der Erfassung der aktuellen Daten ebenfalls die Merkmale extrahiert. Diese werden dann mit
den in der Datenbank hinterlegten Referenzdaten verglichen, und ein so genanter Matching
Score wird ermittelt, der ein Maß für deren Ähnlichkeit bzw. Unähnlichkeit darstellt. Dieser
Wert ist die Grundlage für die Entscheidung, ob der aktuelle Benutzer eine vorgegebene Person ist bzw. welche Identität er hat.
Enrollment-Prozess
biometrische
Eigenschaft
Datenerfassung
Merkmalsextraktion
Datenbank
Authentifikationsprozess
biometrische
Eigenschaft
Datenerfassung
Merkmalsextraktion
Vergleich
Entscheidung
Ergebnis
Abb. 1: Schematische Darstellung von Enrollment- und Authentifikationsprozess
2.2 Hardware zur Erfassung von Handschriftendaten
Für die biometrische Verwendung von Handschriften können statische und dynamische Repräsentationen des Schriftbildes verwendet werden. Unter statischen Handschriftendaten wird
im Allgemeinen das Schriftbild selbst verstanden. Für eine biometrische Untersuchung können dann unterschiedliche Merkmale herangezogen werden, z.B. die Neigung der Schrift oder
die Relationen von Schnittpunkten zueinander. Während also statische Methoden auf dem Ergebnis des Schreibprozesses, dem Schriftbild, basieren, untersuchen dynamische Methoden
den Schreibprozess selbst. Bei der Erfassung der Schrift werden bestimmte physische Merkmale der Schrift zeitabhängig erfasst. Bei der heutzutage verwendeten Hardware sind dies
hauptsächlich:
• x(t): horizontales Positionssignal des Stiftes,
• y(t): vertikales Positionssignal des Stiftes und
• p(t): Signal des Druckverlaufs, ausgeübt auf das Tablett oder die Spitze des Stiftes.
Spezielle Hardware ist auch in der Lage, Stift bezogene Winkel zu messen, zum Beispiel erfassen einige Grafik-Tabletts zusätzlich:
• Φ(t): Höhenwinkel des Stiftes über dem Tablett und/oder
• Θ(t): Seitenwinkel des Stiftes über dem Tablett.
Basierend auf diesen Daten können statistische Werte bestimmt werden, die als Basis zur Unterscheidung von unterschiedlichen Nutzern bzw. zur Erkennung eines Nutzers dienen können. Typische statistische Werte sind hier zum Beispiel die Schreibgeschwindigkeit, die Dauer des Schreibprozesses oder der Verlauf des Druckes. Im Folgenden wird auf unterschiedliche Hardware-Klassen zur Erfassung dynamischer Handschriftendaten eingegangen.
Kombination von Sensoren zur biometrischen Handschriftenerkennung
441
2.2.1 Handschriftenerfassung basierend auf Grafik-Tabletts
Grafik-Tabletts werden hauptsächlich zur Erstellung und Bearbeitung von verschiedenartiger
Computergrafik verwendet. Aus diesem Aufgabenbereich resultieren auch die meist hohen
Auflösungen in den Bereichen X-/Y-Koordinaten und Druck. Für die Datenerfassung wird
neben dem Tablett meist auch ein spezieller Stift verwendet, der die Position und den Druck
ermittelt und auch an der Bestimmung der Winkel beteiligt ist. Die erforderliche Verbindung
zwischen Tablett und Stift kann dabei beispielsweise durch elektromagnetische Resonanz
hergestellt werden. Bei herkömmlichen Grafik-Tabletts erscheint der Schriftzug entweder nur
auf dem Bildschirm oder bei der Verwendung von Tintenminen zusätzlich auf einem auf dem
Tablett liegenden Papier. Die zweite Variante entspricht dabei am ehesten dem menschlichen
Schreibverhalten, da der geschriebene Text unmittelbar an der Stiftspitze erscheint. Der gleiche Effekt kann durch die Verwendung von so genannten aktiven Displays erzielt werden, bei
denen der Monitor mit dem Tablett kombiniert ist. Solche aktiven Displays sind als Monitore,
in TabletPCs oder PDAs (Personal Digital Assistant) erhältlich.
2.2.2 Handschriftenerfassung basierend auf Stiften
Die Erfassung dynamischer Handschriftendaten ist ebenfalls mit speziellen Stiften möglich.
Dabei werden die Daten vom Stift aufgenommen und gespeichert oder direkt an den Computer übertragen. Üblich ist die Erfassung von Position und Druck, es existieren aber auch Stift
basierte Lösungen, die Winkel erfassen können. Ein Vorteil liegt darin, dass auf Papier geschrieben wird und so das Original dem Schreiber des Schriftstückes zur Verfügung steht.
Obwohl diese Stifte ursprünglich allein für die Aufzeichnung handschriftlicher Notizen und
Skizzen konzipiert wurden, haben sich Scheidat und Vielhauer in [ScVi06] unter anderem mit
deren Eignung zur biometrischen Benutzerauthentifikation befasst. Dieser Studie zufolge ist
z.B. der Logitech io Personal Digital Pen für die Verwendung zur Benutzerauthentifikation
geeignet. Die Autoren berichten von einer teilweise besseren Performanz des Stiftes in Bezug
auf die Authentifikationsgenauigkeit gegenüber bisher von ihnen verwendeter Grafik- bzw.
Unterschriftentabletts. Aufgrund dieser Ergebnisse wurde für die in diesem Artikel beschriebene Studie ebenfalls der Logitech io Personal Digital Pen als Sensor zur Datenerfassung
verwendet.
Logitech io Personal Digital Pen
Ursprünglich wurde der Logitech io Personal Digital Pen (nachfolgend als IOPen bezeichnet)
für die Digitalisierung von handschriftlichen Notizen und Zeichnungen entwickelt. Der IOPen
arbeitet mit einem von der Firma Anoto (siehe auch [Anot05]) entwickelten Verfahren auf
Basis eines speziellen Papiers. Wie in Abbildung 2 dargestellt, ist dieses bedruckt mit 0,1 mm
großen Punkten, die basierend auf einem Raster von 0,3 mm scheinbar willkürlich verteilt
sind. In dieser Verteilung sind jedoch gezielt spezielle Informationen und Eigenschaften kodiert. Das Raster ist für jedes einzelne Blatt Papier einzigartig. Der verwendete Stift verfügt
über eine integrierte digitale Kamera, die die Punkte innerhalb eines 6 x 6 Rasters erfassen
kann. Aufgrund der minimalen Verschiebungen der Punkte innerhalb des Rasters ist die eindeutige Bestimmung der Position der Stiftspitze möglich, die zusammen mit dem ermittelten
Aufsetzdruck und zusätzlichen Informationen über das Papier (Kennung von Seite, Schreibblock und dessen Hersteller) im internen Speicher des Stiftes abgelegt wird. Der IOPen verfügt über eine Speicherkapazität von ca. 40 A4 Seiten, wobei die Daten über eine USBSchnittstelle an einen PC übertragen werden können. Geräte der neuesten Generation verfügen auch über die Möglichkeit, Bluetooth für die Kommunikation zu verwenden. Die drahtlo-
442
Kombination von Sensoren zur biometrischen Handschriftenerkennung
se Datenübertragung bietet sich für die praktische Anwendung des Stiftes als biometrischer
Sensor durch ihre einfache Handhabung an.
0.3 mm
0.1 mm
Abb. 2: Beispielhafte Darstellung des Punktrasters, auf dem die Funktionsweise IOPen beruht
2.2.3 Handschriftenerfassung basierend auf Unterschriftentabletts
Die Tabletts dieser Klasse sind speziell für die Erfassung dynamischer Daten von Unterschriften entwickelt wurden. Dazu sind sie in der Lage, die Daten beispielsweise über Druck- oder
Ultraschallsensoren in der Tablett-Oberfläche zu erfassen. Daher ist die Verwendung von beliebigen Stiften möglich, und es kann durch ein Dazwischenlegen des zu unterzeichnenden
Schriftstückes und die Nutzung eines normalen Schreibstiftes ein Dokument unterzeichnet
werden. Auf diese Weise kann auch im Nachhinein die Echtheit der auf dem Dokument enthaltenen Unterschrift mit der gespeicherten digitalisierten Unterschrift überprüft werden. Diese Anwendung ist nur ein Beispiel aus einer Menge an Möglichkeiten der Unterschriftentabletts. In [Viel06] wird die Verwendung von Unterschriftentabletts der Firma StepOver zur
Benutzerauthentifikation untersucht. Da die angegebenen Ergebnisse bezüglich der Authentifikation sehr viel versprechend sind, wurde ein StepOver blueM Pad III als zweite SensorHardware für die Testdatenerfassung ausgewählt.
StepOver blueM Pad III
Das StepOver blueM Pad III (nachfolgend als SignPad bezeichnet) ist ein Unterschriftentablett, das auf in die Schreiboberfläche integrierten Drucksensoren basiert. Auf der Schreibfläche von ca. 8 cm mal 6 cm können neben Unterschriften auch andere handschriftliche Semantiken wie zum Beispiel Passwörter, Zahlen oder Symbole aber auch kürzere Texte aufgenommen werden. Die Übertragung der Daten erfolgt über die USB-Schnittstelle, wobei die
Daten bei der Übertragung durch ein offenes Protokoll inklusive einer Prüfsumme gesichert
sind.
2.2.4 Kombination von zwei Sensoren zur Handschriftenerfassung
Die in dieser Arbeit vorgenommene Fusion von Daten basiert auf dem IOPen und dem
SignPad. Dabei wurde jede Schriftprobe gleichzeitig auf beiden Geräten erfasst, indem mit
dem IOPen über dazwischen gelegtes Spezialpapier auf dem SignPad geschrieben wurde. Dadurch entstanden jeweils zwei dynamische Repräsentationen einer Schriftprobe, die sich, bedingt durch abweichende technische Eigenschaften der Sensoren, voneinander unterscheiden.
In Abbildung 3 ist das Wort Magdeburg dargestellt, einmal aufgenommen mit dem IOPen
(Abbildung 3a) und einmal mit dem SignPad (Abbildung 3b).
Kombination von Sensoren zur biometrischen Handschriftenerkennung
(a)
443
(b)
Abb. 3: Grafische Darstellung des Wortes Magdeburg, erfasst mit IOPen (a) und SignPad (b)
Bei der Betrachtung der Abbildung 3 fallen optische Unterschiede auf, die auf die technischen
Unterschiede beider Geräte zurück zu führen sind: Während in der Darstellung des Schreibergebnisses des SignPad (Abb. 3b) anhand verschiedener Grautöne unterschiedliche Druckstufen zu erkennen sind, ist der maximale Druck beim IOPen (Abb. 3a) sehr schnell erreicht.
Dieser wird auch im weiteren Verlauf aufrechterhalten. Augenscheinlich ist auch die unterschiedliche Qualität der Samples, da das Schriftbild des IOPen nur auf 179 erfassten Punkten
basiert, beim SignPad sind es dagegen 1409 Punkte.
3 Kombination von Authentifikationsmethoden
Die Kombination verschiedener Authentifikationsverfahren wird genutzt, um einerseits eine
höhere Sicherheit zu erreichen und andererseits das Vertrauen des Nutzers in die automatische Authentifikation zu erhöhen. Dieser Abschnitt beschreibt die Grundlagen der biometrischen Fusion und geht auf die in dieser Arbeit vorgeschlagene Kombination von zwei biometrischen Sensoren zur dynamischen Handschriftenerkennung ein. Darauf aufbauend wird ein
Szenario beschrieben, dass die drei Faktoren Biometrie, geheimes Wissen und persönlichen
Besitz kombiniert.
4 Biometrische Fusion
Bei der Verwendung von geheimem Wissen oder persönlichem Besitz zur Authentifikation
gibt es nur die beiden Möglichkeiten, dass das Authentifikationsobjekt entweder gültig ist oder aber nicht. Aufgrund von Veränderungen oder äußeren Einflüssen ist es in der Biometrie
nicht möglich, immer identische Daten zu erhalten. Beispielsweise verändern sich die meisten
biologischen Merkmale einer Person mit dem Alter (z.B. Faltenbildung, Zittern der Hände),
der Nutzer ist in seiner Bewegungsfreiheit eingeschränkt oder es werden andere Sensoren verwendet. Daher müssen Toleranzbereiche festgelegt werden innerhalb derer eine Authentifikation gültig ist, um diese Schwankungen auszugleichen. Das bedeutet, dass eine hundertprozentige Erkennung nicht möglich ist und es auch zu Fehlentscheidungen kommen kann. So
können möglicherweise nicht autorisierte Personen vom System zugelassen werden, während
registrierte Nutzer abgelehnt werden können.
Eine Möglichkeit, die genannten Nachteile teilweise zu kompensieren, ist die biometrische
Fusion. Hierbei werden biometrische Modalitäten, Algorithmen oder Instanzen einzelner Modalitäten, oder Sensordaten einzelner oder mehrerer Modalitäten miteinander kombiniert. Die
Fusion kann an verschiedenen Punkten innerhalb des Authentifikationsprozesses durchgeführt
werden. Bei der Fusion auf Feature Extraction Level werden die Merkmalsvektoren der beteiligten Subsysteme miteinander kombiniert, z.B. durch Aneinanderhängen. Es entsteht ein
neuer Merkmalsvektor, der die Grundlage für den Vergleich der Referenz- und Authentifika-
444
Kombination von Sensoren zur biometrischen Handschriftenerkennung
tionsdaten bildet. Dadurch kann aber ein Vektor erzeugt werden, der durch seine Dimension
zur Weiterverarbeitung unhandlich ist. Die Fusion auf Matching Score Level kombiniert die
individuellen Scores zu einem einzelnen Wert. Darauf basierend wird die finale Entscheidung
des fusionierten Systems getroffen. Der Vorteil dieser Methode liegt darin, dass die Anzahl
der zu fusionierenden Matching Scores der Anzahl der beteiligten Subsysteme entspricht. Dadurch ist auch eine Gewichtung der Scores der einzelnen Subsysteme auf relativ einfache
Weise möglich, z.B. durch Multiplikation eines Wertes entsprechend der Authentifikationsperformanz der Subsysteme. Die Entscheidungen der vollständig durchlaufenden Subsysteme werden bei einer Fusion auf Decision Level miteinander kombiniert. Dies ist beispielsweise durch Boolesche Operationen möglich. Nachteil dieser Verfahrensweise ist, dass zu
diesem späten Zeitpunkt der Fusion nur noch wenig Einfluss auf das Fusionsergebnis ausgeübt werden kann.
5 3-Faktoren-Szenario zur Benutzererkennung
Die Kombination von verschiedenen Faktoren zur Benutzerauthentifikation soll die Sicherheit
aber auch das Vertrauen der Nutzer in das jeweilige System erhöhen. Prominentes Beispiel ist
die Kombination einer PIN (geheimes Wissen) und einer SmartCard (persönlicher Besitz) für
automatisierte Bankgeschäfte. Henninger und Franke schlagen in [HeFr04] eine Methodik
vor, Unterschrift und SmartCard zu kombinieren. Dabei werden die Referenzdaten auf der
SmartCard im Besitz des Nutzers und nicht in einer Datenbank des biometrischen Systems
gespeichert. Nachdem die aktuellen Daten vom Hostsystem an die Karte übertragen wurden,
werden diese mit den Referenzdaten verglichen und das Authentifikationsergebnis zurückgegeben. Dieses Verfahren könnte das Vertrauen der Anwender erhöhen, da sich die Referenzdaten immer im Besitz des Nutzers befinden und bei entsprechendem Umgang mit der Karte
nicht manipuliert oder missbraucht werden können.
geheimes
Wissen
2-Faktoren
2-Faktoren
3-Faktoren
persönlicher
Besitz
2-Faktoren
Biometrie
Abb. 4: Authentifikationsfaktoren und deren Kombination
Abbildung 4 zeigt schematisch die Kombination der drei Authentifikationsfaktoren geheimes
Wissen, persönlicher Besitz und Biometrie. Neben den bereits genannten 2-FaktorenAuthentifikationen sind ebenfalls Szenarien denkbar, bei denen alle drei Faktoren miteinander
fusioniert werden. Eine weitere Möglichkeit bietet die Kombination mehrer Instanzen eines
Kombination von Sensoren zur biometrischen Handschriftenerkennung
445
einzelnen Faktors, beispielsweise die Verwendung mehrere Passwörter, mehrerer Schlüssel
oder biometrischer Modalitäten (vgl. Abschnitt 4).
Durch die hier vorgeschlagene Kombination von biometrischen Sensoren unter der Verwendung von Semantiken ist es auf relativ einfache Weise möglich, Biometrie mit Wissen und
Besitz zu kombinieren. So kann man sich beispielsweise das folgende Kunde-Bank-Szenario
vorstellen: Für eine Transaktion ist die Eingabe einer PIN (geheimes Wissen) über den eigenen IOPen (persönlicher Besitz) des Kunden und ein Signaturtablett (persönlicher Besitz) der
Bank notwendig. Über biometrische Algorithmen ist dann die Überprüfung möglich, ob es
sich bei dem Schreiber auch um den Inhaber des IOPen handelt oder etwa um einen Betrüger.
Allgemein wird ein Betrüger es schwer haben, gleichzeitig die PIN in Erfahrung zu bringen,
den IOPen zu stehlen und zusätzlich das typische Schreibverhalten des Kunden an einem Signaturtablett der Bank nachzuahmen. Weiterhin kann das Sicherheitsniveau gesteigert werden,
wenn die eindeutigen Daten, die im Spezialpapier von Anoto kodiert sind, herangezogen werden. So ist die Festlegung bestimmter ID-Bereiche für verschiedene Verwendungszwecke innerhalb des vorgestellten Szenarios denkbar. Beispielsweise könnten Enrollments auf Papier
eines eingeschränkten ID-Bereichs durchgeführt werden bzw. der Kunde erhält zum Zweck
der Authentifikation Papier, welches ihm später wieder zugeordnet werden kann.
6 Testsetup
In diesem Abschnitt wird die Fusion, die den Tests zugrunde liegende Datenbank und die verwendete Methodologie für die Evaluierung beschrieben. Ebenfalls erfolgt eine kurze Einführung in die Problematik von biometrischen Tests und die Vorstellung der verwendeten biometrischen Fehlerraten.
6.1 Fusion
Für die Verifikation basierend auf den Daten der beiden Sensoren wurde jeweils der Biometric Hash Algorithmus von Vielhauer et. al verwendet [ViSM02]. Dieser ursprünglich zur Generierung biometrischer Hashwerte konzipierte Algorithmus ermittelt einen Merkmalsvektor,
der aus 69 statistischen Merkmalen besteht. Die der Verifikation zugrunde liegende Klassifikation nutzt die Hamming Distanz zur Bestimmung des Matching Scores. Liegt dieser unterhalb eines festgelegten Schwellwertes, gilt die Verifikation als erfolgreich.
IOPen
Merkmalsextraktion
Vergleich
ReferenzDatenbank
Algorithmus
SignPad
Merkmalsextraktion
sIOPen
Vergleich
Fusion
sIOPenwIOPen
+
sSignPadwSignPad
sfus
Entscheidung
sSignPad
Abb. 5: Fusion der Sensordaten von IOPen und SignPad auf Matching Score Level
Die in diesem Beitrag betrachtete biometrische Fusion kombiniert die beiden vorgestellten
Sensoren (IOPen und SignPad), um die Authentifikationsperformanz zu erhöhen. Dabei erhöht sich jedoch nicht der vom Nutzer geforderte Aufwand, da zur Erzeugung der beiden für
die Fusion erforderlichen Datensätze nur eine einzelne Schriftprobe notwendig ist. Die biometrische Fusion selbst, basierend auf den Daten der beiden Sensoren, findet auf dem Mat-
446
Kombination von Sensoren zur biometrischen Handschriftenerkennung
ching Score Level innerhalb des Authentifikationsprozesses statt (vgl. Abbildung 5). Die dabei erzeugten individuellen Matching Scores sIOPen und sSignPad, Indikatoren für die Ähnlichkeit der aktuellen Authentifikationsdaten mit den gespeicherten Referenzdaten, werden gewichtet und zu einem finalen Matching Score sfus summiert: sfus = sIOPenwIOPen + sSignPadwSignPad
Die Gewichte wIOPen und wSignPad werden dabei abhängig von der Authentifikationsperformanz
des verwendeten Algorithmus ermittelt, getrennt für die jeweiligen Daten der beiden Sensoren. Für die Bestimmung der Gewichte wurden drei Strategien verwendet, die von Vielhauer
und Scheidat in [ViSc05] beschrieben wurden. Die gleich gewichtete Fusion bewertet jedes
beteiligte Subsystem mit dem gleichen Gewicht (hier 0,5). Bei der linear gewichteten Fusion
wird das Gewicht in Abhängigkeit zur Equal Error Rate (EER) bestimmt. Der Wert des Gewichtes ist dabei umgekehrt proportional zur jeweiligen EER der einzelnen Subsysteme. Für
die quadratisch gewichtete Fusion werden die Werte der Gewichte der linearen Strategie
quadriert. Für jede Strategie ist die Summe der Gewichte gleich 1, das heißt, falls notwendig
wird eine Normalisierung durchgeführt. Für weitere Informationen zu den Fusionsstrategien
sei der interessierte Leser an die Literatur verwiesen ([ViSc05]).
6.2 Evaluationsdatenbank
Für jeden Nutzer wurden Daten in fünf verschiedenen handschriftlichen Semantiken erfasst.
Bei einer Semantik handelt es sich um alternative Schreibinhalte, die als Ersatz bzw. Ergänzung zur allgemein gebräuchlichen Unterschrift verwendet werden können. In [Viel06] wurde
gezeigt, dass andere Semantiken alternativ zur Unterschrift für die Benutzerauthentifikation
genutzt werden können. Für unsere Untersuchungen haben wir neben der Unterschrift vier
weitere repräsentative Semantiken ausgewählt: Bei der vorgegebenen PIN wird von allen
Testpersonen die gleiche Ziffernfolge (77993) geschrieben, demzufolge spielt der geschriebene Inhalt für die Authentifikation nur eine untergeordnete Rolle. Im Gegensatz dazu können
die Testpersonen bei der geheimen PIN selbst eine fünfstellige Ziffernfolge wählen. So kann
die Biometrie um den Faktor des geheimen Wissens erweitert werden. Zu einem gewissen
Grad ist auch die Antwort auf die Frage „Woher kommst du?“ (Semantik Woher) mit geheimem Wissen verbunden. Hier konnte beobachtet werden, dass einige Testpersonen ihren
Wohnort angeben, andere ihren Geburtsort und wieder andere ihr Heimatland. Das Symbol
enthält ebenfalls geheime Informationen, einerseits welches Symbol gezeichnet wurde und
andererseits wie es gezeichnet wurde. So kann beispielsweise das „Haus des Nikolaus“ auf
sehr vielen verschiedenen Reihenfolgen der einzelnen Striche basieren.
6.3 Testmethodologie
Um eine vergleichende Untersuchung der Authentifikationsperformanz der einzelnen Systeme
basierend auf den zwei vorgestellten Sensoren und deren Fusion durchführen zu können, haben wir biometrische Fehlerraten herangezogen (siehe [Lass02]). Die False Non Match Rate
(FNMR) beschreibt, wie hoch der Anteil der vom System fälschlicherweise abgelehnten autorisierten Personen ist. Der Anteil der fälschlicherweise vom System angenommenen nicht autorisierten Personen wird durch die False Match Rate (FMR) angegeben. Als Vergleichswert
in unseren Untersuchungen haben wir die Equal Error Rate (EER) gewählt, die den Wert angibt, an dem FNMR und FMR gleich sind.
Für die erste Evaluierung unseres Konzeptes wurden von insgesamt 10 Personen pro Semantik jeweils 10 Schriftproben (Samples) aufgenommen. Davon wurden 5 Exemplare verwen-
Kombination von Sensoren zur biometrischen Handschriftenerkennung
447
det, um durch Austausch eines Samples jeweils 5 Referenzdatensätze mit je 4 Samples zu erzeugen. Die restlichen 5 Samples wurden als Verifikationsdaten genutzt. Um die FNMR zu
bestimmen, wurde jeder Enrollment-Datensatz mit den Verifikationssamples der gleichen Person verglichen. Die FMR wurde ermittelt, indem die Enrollments jeweils einer Person mit den
Verifikationsdaten aller anderen registrierten Personen verglichen wurden. In diesem geschlossenen Szenario werden nur im System registrierte Nutzer berücksichtigt und Angreifer
nicht betrachtet.
7 Testergebnisse
Nachdem die Tests entsprechend der in Abschnitt 4 beschriebenen Methodologie durchgeführt wurden, werden in diesem Abschnitt die Ergebnisse vorgestellt. Dabei wird zuerst vergleichend auf die einzelnen Ergebnisse basierend auf den einzelnen Sensoren eingegangen
und anschließend die Resultate der Fusion diskutiert. In Tabelle 1 sind die Ergebnisse der
Tests dargestellt, unterteilt nach einzelnen Sensoren, den untersuchten Semantiken und den
drei Fusionsstrategien. Zur besseren Übersicht sind die besten Ergebnisse basierend auf den
einzelnen Sensoren kursiv, während die besten Fusionsergebnisse fett gedruckt sind.
Tab. 1: EERs der einzelnen Sensoren und ihrer Fusion für die gegebenen Semantiken
Einzelne Sensoren
Fusion
EERIOPen
EERSignPad
EERgleich
EERlinear
EERquadratisch
Signatur
0,0585
0,0482
0,0407
0,0385
0,0384
PIN (77993)
0,1311
0,1296
0,0837
0,0827
0,0827
PIN (geheim)
0,0704
0,0829
0,0606
0,0544
0,0538
Woher
0,0315
0,0476
0,0260
0,0280
0,0267
Symbol
0,0479
0,0699
0,0443
0,0391
0,0395
Betrachtet man die Ergebnisse der einzelnen Sensoren, fällt auf, dass keines der beiden Geräte
für alle Semantiken besser geeignet ist, als das andere. Das SignPad liefert als Unterschriftentablett für die Semantik Signatur das bessere Ergebnis mit einer EER von 0,0482, wogegen
die EER des IOPen hier etwas höher ist (0,0585). Schlechte Verifikationsergebnisse liefern
beide Sensoren für die gegebene PIN, wobei das SignPad mit einer EER von 0,1296 ein etwas
besseres Ergebnis liefert als der IOPen mit einer EER von 0,1311. Gleichzeitig sind diese Ergebnisse die schlechtesten im gesamten Testszenario, was wahrscheinlich an der Art der Semantik liegt. Einerseits besteht eine PIN naturgemäß aus Ziffern, die aus einem verhältnismäßig kleinen Alphabet an verwendbaren Zeichen stammt (0-9). Auf der anderen Seite schreiben
in diesem Fall alle Personen die gleiche Folge von Ziffern (77993). Daher ähneln sich die
Eingaben der unterschiedlichen Nutzer mehr als bei anderen Semantiken, vor allem wenn diese zusätzlich noch den Faktor des geheimen Wissens beinhalten (geheime PIN, Woher und
Symbol). So ist bei der geheimen PIN die EER (0,0704) des IOPen nur noch halb so groß, wie
bei der gegebenen PIN. Beim SignPad verbessert sich die EER um ca. ein Drittel (0,0829), sie
ist damit aber schlechter als die EER des IOPen. Die besten Einzelergebnisse werden von beiden Sensoren in der Semantik Woher erreicht. Diese enthält ebenfalls zu einem gewissen
Grad geheime Informationen, zusätzlich ist hier die Länge der Eingabe nicht vorgegeben und
es können zusätzlich zu den Zeichen des Alphabets Sonderzeichen oder Ziffern verwendet
werden. Die berechnete EER für den IOPen beträgt 0,0315 und für das SignPad 0,0476. Die
448
Kombination von Sensoren zur biometrischen Handschriftenerkennung
EER für die Semantik Symbol beträgt für den IOPen 0,0479 und ist niedriger als die EER für
das SignPad (0,0699).
Werden die Resultate der Fusion in die vergleichende Betrachtung mit einbezogen, fällt auf,
dass jede der drei Fusionsstrategien die jeweiligen besten Einzelergebnisse der Sensoren signifikant verbessern. So wird beispielsweise die bereits gute EER des IOPen für die Semantik
Woher (0,0315) sowohl durch die gleich (0,0260) als auch durch die linear (0,0280) und die
quadratisch (0,0267) gewichtete Fusion noch weiter verbessert. Die höchste relative Verbesserung durch eine Fusion wird bei der gegeben PIN 77993 erzielt. Hier liegt der Wert der
EER (0,0827) basierend auf der linearen bzw. quadratischen Wichtungsstrategie ca. 36,2%
unter dem besten einzeln ermittelten Wert von 0,1296 für das SignPad.
Ein interessanter Vorteil der hier vorgeschlagenen Vorgehensweise ist, dass es trotz nur einmaliger Präsentation des biometrischen Merkmals der Handschrift zwei verschiedene Repräsentationen gibt. Fusioniert man die beiden Matching Scores, die auf Systemen basierend auf
den beiden Sensoren ermittelt wurden, so erhält man in jedem Fall ein besseres Ergebnis im
Vergleich zu den einzelnen Ergebnissen.
8 Zusammenfassung und Ausblick
In diesem Artikel werden Möglichkeiten zur Verbesserung der Verifikationsperformanz eines
auf dynamischer Handschrift basierenden biometrischen Systems untersucht. Es werden sowohl zwei alternative Erfassungssensoren vorgestellt und evaluiert, als auch die Möglichkeit
ihrer Kombination studiert. Bei den Sensoren handelt es sich zum einen um eine spezielle
Hardware zur Erfassung von dynamischen Unterschriften (StepOver blueM Pad III) und zum
anderen um einen Stift, der ursprünglich für die Aufzeichnung handschriftlicher Notizen entwickelt wurde (Logitech io Personal Digital Pen). Das besondere bei der Datenerfassung ist,
dass die Schriftproben gleichzeitig mit beiden Sensoren erfasst werden, indem mit dem Stift
auf dem Tablett geschrieben wird. Dadurch wird ein und derselbe Schriftzug von zwei Sensoren erfasst, deren technische Eigenschaften (z.B. Auflösung) unterschiedlich sind. Es entstehen zwei unterschiedliche Repräsentationen einer Schriftprobe, die durch den gleichen Verifikationsalgorithmus ausgewertet werden. Diese Untersuchung befasst sich mit dem Vergleich der Ergebnisse basierend auf den einzelnen Sensoren als auch mit deren Fusion zur
Verbesserung der Verifikationsperformanz. Die Evaluierungen basieren auf fünf unterschiedlichen handschriftlichen Semantiken: Signatur, gegebene PIN, geheime PIN, die Antwort auf
die Frage „Woher kommst du?“ und Symbol.
Allgemein wurde festgestellt, dass sich im dargestellten Szenario die Semantik „Woher“ am
besten zur Verifikation eignet. Basierend auf dieser Semantik wurden sowohl die besten einzelnen Ergebnisse als auch die besten Fusionsergebnisse bestimmt. Die Equal Error Rate
(EER) für den IOPen beträgt 0,0315 und für das SignPad 0,0476. Diese Ergebnisse wurden
durch jede der drei Fusionsstrategien noch verbessert: EERgleich=0,0260, EERlinear=0,0280 und
EERquadratisch=0,0267. Zusätzlich stellte sich heraus, dass für jede Semantik die Fusion immer
zu einer Verbesserung im Vergleich zu den einzelnen Ergebnisse führte, unabhängig davon,
mit welcher Gewichtungsstrategie sie durchgeführt wurde. Vergleicht man das jeweils beste
Ergebnis basierend auf den einzeln getesteten Sensoren mit dem entsprechenden besten fusionierten Resultat, ergibt sich eine relative Verbesserung der Verifikationsperformance zwischen 17,4% und 36,2%.
Kombination von Sensoren zur biometrischen Handschriftenerkennung
449
In Rahmen zukünftiger Arbeit sollte die Datenbasis dieser Untersuchung vergrößert werden,
um die Ergebnisse anhand einer repräsentativeren Anzahl von Nutzern zu bestätigen. Es werden des Weiteren andere Geräte zur Erfassung von Handschriftendaten daraufhin untersucht
werden, ob sie sich für eine Fusion auf Basis unterschiedlicher Sensoren eignen, wie sie in
diesem Artikel beschrieben wurde. Diese könnten dann einzelne Komponenten des vorgestellten auf Fusion basierenden Systems ersetzen bzw. das System ergänzen, um die Authentifikationsperformanz zu erhöhen. Zu weiteren Verbesserungen könnte auch die Anpassung der
Algorithmen an die einzelnen Sensoren führen. Da die Daten durch die technischen Unterschiede der Erfassungshardware differieren, sollte die Möglichkeit der Optimierung der verwendeten Algorithmen basierend auf den Eigenschaften der Hardware untersucht werden.
Danksagungen
Diese Veröffentlichung entstand in Kooperation mit dem EU Network of Excellence, BioSecure (IST-2002-507634 BIOSECURE) und mit Unterstützung der Deutschen Forschungsgemeinschaft. Der Inhalt dieser Veröffentlichung steht in alleiniger Verantwortung der Autoren
und widerspiegelt somit in keiner Weise die Meinung der Europäischen Union.
Literatur
[Anot05]
Anoto, http://www.anoto.com
[Bish05]
Matt Bishop: Introduction to Computer Security; Addison-Wesley, Boston,
ISBN 0-321-24744-2; 2005.
[HeFr04]
O. Henniger, K. Franke: Biometric User Authentication on Smart Cards by
Means of Handwritten Signatures. In: Biometric Authentication, First International Conference, ICBA 2004, Hong Kong, China, Proceedings. Lecture Notes
in Computer Science Vol. 3072 Springer (2004), 547-554.
[Lass02]
G. Laßmann (Ed.), TeleTrusT Deutschland e.V., Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren – Kriterienkatalog – Version 2.0, http://
www.teletrust.de /down/kritkat_2-0.zip, 2002.
[ScVi06]
T. Scheidat, C. Vielhauer: Untersuchung der Möglichkeit eines biometrischen
On-Pen Matching, in P. Horster (Hrsg..): D⋅A⋅CH Security 2006, syssec (2006)
392-404.
[ViSc05]
C. Vielhauer, T. Scheidat: Fusion von biometrischen Verfahren zur Benutzerauthentifikation; in P. Horster (Hrsg.), D⋅A⋅CH Security 2005, syssec (2005)
82-97.
[ViSM02]
C. Vielhauer, R. Steinmetz, A. Mayerhöfer: Biometric Hash based on Statistical
Features of Online Signature. In: Proceedings of the International Conference on
Pattern Recognition (ICPR); Conference on Pattern Recognition (ICPR), August, Quebec City, Canada, ISBN 0-7695-1696-3, 2002 Vol. 1, S. 123 – 126
[Viel06]
C. Vielhauer: Biometric User Authentication for IT Security: From Fundamentals to Handwriting, Springer, 2006.
