XÁC THỰC BẰNG GIỌNG NÓI TRONG GIAO DỊCH QUA ĐIỆN THOẠI

Khái niệm xác thực và các yếu tố sử dụng trong xác thực 1/3 việc thẩm tra nhận dạng của họ.. Khái niệm xác thực và các yếu tố sử dụng trong xác thực 2/3 Những yếu tố xác thực dành cho c

Xác thực (Authentication) - xác lập hoặc chứng thực một người nào đó (hay một cái gì đó) đáng tin cậy.

Khái niệm xác thực và các yếu tố sử dụng trong xác thực (1/3)

việc thẩm tra nhận dạng của họ.

nhận dạng số (digital identity) của bên gửi thông tin (sender) trong liên lạc trao đổi xử lý thông tin chẳng hạn như một yêu cầu đăng nhập Bên gửi cần phải xác thực có thể là một người sử dụng máy tính, bản thân một máy tính hoặc một phần mềm

Khái niệm xác thực

Khái niệm xác thực và các yếu tố sử dụng trong xác thực (2/3)

Những yếu tố xác thực dành cho con người (người sử dụng) nói chung có thể được phân loại như sau:

Khái niệm xác thực

Xác thực đa yếu tố (Multi-factor authentication): Sử dụng một tổ hợp của những yếu tố trên

Khái niệm xác thực và các yếu tố sử dụng trong xác thực (3/3)

• Trong giao dịch ATM, thẻ ngân hàng và số PIN được sử dụng – Đây là dạng xác thực 2 yếu tố (two-factor authentication –

2FA).

(three-factor authentication- 3FA).

Khái niệm xác thực

Ý nghĩa của xác thực

• Xác thực là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của hệ thống thông tin dạng như hệ

thống ngân hàng điện tử

• Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM / POS, giao dịch Online/Internet

Banking, giao dịch Mobile Banking thì xác thực là bắt buộc trong quản lý truy cập

Khái niệm xác thực

Xác thực dựa trên User Name (định danh người sử dụng) và Password (mật khẩu):

• Tính bảo mật không cao, dễ lộ ngay trong quá trình nhập vào, hoặc do đặt quá đơn giản hoặc dễ đoán (tên / ngày

sinh của người thân )

Một số phương pháp xác thực (1/5)

Khái niệm xác thực

Giao thức xác thực bắt tay có thử thách - Challenge Handshake Authentication Protocol (CHAP):

• Challenge Handshake Authentication Protocol (CHAP) là mô hình xác thực dựa trên username/password Khi User

cố gắng đăng nhập, server sẽ gửi một challenge message trở lại máy tính User User sẽ phản hồi lại username

và password được mã hóa Server xác thực sẽ so sánh phiên bản xác thực User được lưu giữ với phiên bản mã

hóa vừa nhận, nếu trùng khớp thì User sẽ được xác thực Bản thân password không bao giờ được gửi qua mạng

• Phương thức CHAP thường được sử dụng khi User đăng nhập vào các remote server của hệ thống, chẳng hạn

như RAS server Dữ liệu chứa password được mã hóa được gọi là hash password (mật khẩu băm) theo tên của phương pháp mã hoá dùng các hàm băm

Một số phương pháp xác thực (2/5)

Khái niệm xác thực

Xác thực Kerberos:

• Kerberos là nền tảng xác thực chính của nhiều hệ điều hành như UNIX, Windows Xác thực Kerberos dùng một

server trung tâm để kiểm tra việc xác thực user và cấp phát thẻ thông hành (service ticket) để User có thể truy cập vào tài nguyên hệ thống

• Xác thực Kerberos là một phương thức có tính an toàn khá cao nhờ việc dùng cấp độ mã hóa rất mạnh

• Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và Client, do đó cần phải đảm bảo kết

nối đồng bộ thời gian giữa các thành phần này của hệ thống

Một số phương pháp xác thực (3/5)

Khái niệm xác thực

Xác thực áp dụng các phương pháp nhận dạng sinh trắc học (Biometrics):

• Đây là mô hình xác thực có tính bảo mật cao dựa trên đặc điểm sinh học của từng cá

nhân,

• Nhờ các tiến bộ vượt bậc của công nghệ sinh học phương thức xác thực dựa trên nhận

dạng sinh trắc học ngày càng trở nên phổ biến và được chấp nhận rộng rãi

Một số phương pháp xác thực (4/5)

Khái niệm xác thực

Xác thực đa yếu tố (Multi-Factor Authentication):

• Là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố xác thực Trong phương thức này có thể có sự

kết hợp của bất cứ yếu tố nào, ví dụ như đặc tính bẩm sinh, những cái bạn có để chứng minh hoặc những gì bạn biết để chứng minh

• Một ví dụ về xác thực đa yếu tố liên quan đến giao dịch ngân hàng điện tử là xác thực chủ thẻ trong giao dịch

ATM (Yếu tố xác thực đầu tiên của bạn là thẻ ATM (cái bạn có), sau khi đưa thẻ vào máy đọc bạn sẽ phải đưa tiếp yếu tố xác thực thứ hai là PIN (cái bạn biết)

Một số phương pháp xác thực (5/5)

Khái niệm xác thực

Kỹ thuật sinh trắc học phổ biến nhất, gồm hai dạng:

• Dựa trên hành vi: giọng nói, chữ viết, chữ ký;

• dựa trên đặc điểm: vân tay, khuôn mặt, tròng mắt và mới đây nhất là tĩnh mạch lòng bàn tay

Công nghệ nhận dạng dấu vân tay hiện đã được dùng khá phổ biến, Nhược điểm: ảnh hưởng bởi da khô, da ướt và đặc biệt sẽ không chính xác cao với người có tay hay tiếp xúc với hoá chất

Ứng dụng công nghệ xác thực sinh trắc học (1/3)

Khái niệm xác thực

• Công nghệ nhận dạng chữ ký gây nhiều phiền phức cho người ứng dụng vì khó duy trì được chữ ký giống nhau

ngay trong cùng một thời điểm

• Công nghệ nhận dạng khuôn mặt, là công nghệ nhận dạng không tiếp xúc; nhưng có nhiều nhược điểm ảnh

hưởng bới cường độ ánh sáng, dáng đứng, mỹ phẩm (sử dụng trên mặt) và đặc biệt trong các trường hợp song sinh giống nhau

• Công nghệ nhận dạng giọng nói, phù hợp với các dịch vụ trả lời tự động, thông qua các call center Ứng dụng xác

thực giọng nói chiếm nhiều ưu thế hơn những công nghệ sinh trắc học khác Nó không đòi hỏi phần cứng để quét hình ảnh như nhận dạng vân tay hoặc tròng mắt và có thể hoạt động từ xa

Ứng dụng công nghệ xác thực sinh trắc học (2/3)

Khái niệm xác thực

• Đa số những phần mềm nhận dạng giọng nói tại các ngân hàng hiện nay hoạt động theo phương thức: nếu bất cứ

ai đọc đúng mã PIN và số tài khoản, họ sẽ được phép truy cập vào hệ thống Tuy nhiên, biện pháp này không an toàn do tình trạng mất cắp hoặc quên số PIN ngày càng tăng

• Vance Harris, Giám đốc điều hành công ty bảo mật sinh trắc học Surrey (Anh), cho biết công nghệ Voice Vault của

họ chỉ yêu cầu người sử dụng nhớ một lượng nhỏ thông tin như tên, ngày sinh và mật khẩu thông thường Thay vào đó, hệ thống chủ yếu dựa vào chính giọng nói của mỗi cá nhân để xác thực

• Đầu tiên, mọi người "đăng ký" giọng nói và Voice Vault sẽ lưu lại dưới dạng biểu đồ Mỗi khi có người muốn truy

cập tài khoản qua điện thoại, hệ thống của Surrey không chỉ kiểm tra mật khẩu mà còn đối chiếu xem mô hình sóng âm có phù hợp với dữ liệu trong tài khoản không

Ứng dụng công nghệ xác thực sinh trắc học (3/3)

Khái niệm xác thực

So sánh các hệ thống sinh trắc học

• Xác thực không phụ thuộc từ khóa

• Trích chọn đặc trưng người nói

• Các yếu tố ảnh hưởng

XÁC THỰC BẰNG GIỌNG NÓI TRONG GIAO DỊCH QUA ĐIỆN THOẠI

4 Ứng dụng

TÝn hiÖu tiÕng nãi

TRÍCH CHỌN THÔNG TIN TỪ TIẾNG NÓI

Trích thông tin từ tiếng nói

• Tiếng nói ngoài thông tin ngữ nghĩa còn chứa các thông tin như trạng thái tình cảm khi nói hay

những thông tin riêng của giọng nói.

• Các thông tin này không bất biến từ lúc người biết nói đến lúc già, nhưng có tính khá ổn định

trong giai đoạn dài của cuộc đời.

• Khi con người đã trưởng thành, những thói tật khi nói, những đặc trưng khu biệt trong cấu âm

sẽ hình thành và mang tính ổn định cao.

CƠ SỞ LÝ THUYẾT

PHÂN LOẠI THEO CHỨC NĂNG (1/4)

• Nhận dạng bằng giọng nói (Định danh người nói) : Xác định xem giọng nói cần kiểm tra là của

PHÂN LOẠI THEO CHỨC NĂNG (2/4)

• Xác thực bằng giọng nói (Xác thực người nói): Xác thực xem ID người cần kiểm tra có chính

xác là người đó hay là không?

Đây có phải là giọng nói của anh A không?

Người N

ID người nói

Mô hình giọng nói cần xác thực

NHẬN DẠNG BẰNG GIỌNG NÓI

• Thiết bị đầu vào đơn giản: có thể dùng điện thoại, PC

• Nội dung nói dễ thiết lập:

o Mật khẩu, mã số định trước.

o Kiến thức cá nhân: số điện thoại, số chứng minh.

• Xác thực phụ thuộc vào từ khóa (text-dependent)

– Hệ thống nhận biết nội dung nói của người nói (mật khẩu)

– Không mất thời gian huấn luyện

– Độ chính xác cao Nhưng bảo mật không cao do kẻ giả mạo ghi âm từ khóa

• Xác thực không phụ thuộc vào từ khóa (text-independent)

– Hệ thống không quan tâm đến nội dung nói mà chỉ quan tâm đến giọng nói

– Dữ liệu huấn liệu càng nhiều độ chính xác càng cao

XÁC THỰC BẰNG GIỌNG NÓI

XÁC THỰC KHÔNG PHỤ THUỘC TỪ KHÓA

Trích chọn đặc trưng

Cơ sở dữ liệu người nói Đăng ký mẫu

Tín hiệu đầu vào

1. Trích chọn đặc trưng: Biến đổi từ giọng nói thô thành nhưng đặc trưng của người nói.

2. Đăng ký mẫu: Lưu trữ thông tin người nói và đặc trưng giọng nói của họ.

3. So khớp mẫu: Tính toán so sánh mẫu đặc trưng đưa vào và mẫu đặc trưng người nói trong cơ sở dữ liệu đã được huấn luyện.

4. Điều kiện quyết định: Việc đưa ra quyết định dựa vào việc so sánh ở trên.

TRÍCH CHỌN ĐẶC TRƯNG NGƯỜI NÓI (1/3)

Trích chọn đặc trưng

Cơ sở dữ liệu người nói Đăng ký mẫu

Yêu cầu về các đặc trưng người nói:

• Xuất hiện một cách tự nhiên và liên tục trong khi nói.

• Ổn định đối với mỗi người nhưng phải khác nhau từ người này sang người khác.

• Ít bị thay đổi theo thời gian, sức khỏe hay trạng thái của người nói

• Ít bị ảnh hưởng bởi môi trường xung quanh (độc lập môi trường).

• Dễ dàng tính toán.

TRÍCH CHỌN ĐẶC TRƯNG NGƯỜI NÓI (2/3)

Ưu nhược điểm

Ưu điểm:

• Dễ dàng ứng dụng hơn các biện pháp bảo mật bằng sinh trắc học khác

• Thuận tiện hơn cho người dùng

• Giảm chi phí cho trung tâm liên lạc

• Tăng cường yếu tố sinh trắc học bảo mật

Nhược điểm:

• Mức độ chính xác trung bình

• Giọng nói của con người bị thay đổi phụ thuộc nhiều yếu tố làm ảnh hưởng đến mức độ chính xác của hệ thống

• Giọng nói của 1 người có thể bị thu âm và làm giả khiến độ bảo mật giảm, đặc biệt là trong trường hợp dùng từ

khóa

• Sự khác biệt giọng nói khi đăng ký và khi xác thực.

• Độ dài mẫu giọng nói

• Số lượng mẫu có trong database

1 Khái niệm xác thực

3 Nuance Verifier System

• An example

• User life cycle

• Single account and group account

• Verifier system view

• Security and accuracy

• Voiceprint storage and scalability

• Nuance Verifier offering

2 Trích thông tin từ tiếng nói

4 Ứng dụng

XÁC THỰC BẰNG GIỌNG NÓI TRONG GIAO DỊCH QUA ĐIỆN THOẠI

An example

User Life Cycle

User does not

exist

User exists: no feature sets

User exists: 1 feature set

User exists: 2 feature sets

User exists: 3 feature sets and voice model

•CreateUser

•AddEnrollUtterance

• ClearUser

•DeleteUser

QueryUser

Already Enrolled?

Enrollment

Single User Verification

VerifyGroup Record Utterance

Any Positive Score?

Y

REJECT N

Group user Verification

Good utterance?

ACCEPT

Y

REJECT N

Prompt the caller to repeat the generated digits Play BEEP tone.

Begin ASYNCHRONOUS Record.

End ASYNCHRONOUS Record.

Generate 4 random digits.

Liveness Testing

MPS Application Processor Verifier Server Database Server **

VOS and ASE

TOMCAT (under SRP***)

MS SQL Server

MS Event Viewer ERRORLOG

log4j

HTTP requests for WAV files

SOAP requests and responses

Security and accuracy

 How secure it is

 Some considerations for performance evaluation

 What if I have a cold

 What about imposter uses recording of my voice

 Comparing with other biometrics

 Imitating my voice

 Background noise and different types of phone

 How voiceprint stores  by matrix of numbers that represent a model of characteristic or features of speak voice

 How well does it scale  the use of independent database allows a system to be implemented at multiple sites

with in organization

 Can s.o steal voiceprint & gain unauthorized accessed by using them? NO

Voiceprint storage and scalability

Nuance Verifier offering

 Effective in wide range of environment

 Allow multiple users to share an account

 Ongoing adaptation of voiceprint characteristics as voices change or age, improving the quality of voiceprints for

faster, more accurate verification

 Supports liveness testing to safeguard against ‘spoofing’ with recorded speech

 Server architecture supports high transaction volumes

 Dynamically detects if more information is needed to verify callers

 Can increase system automation and cost savings by reducing reliance on live agents to identify customers

 Simple maintenance, load balancing and fault tolerance

• SpeechStorm and Genesys survey

• Voice biometrics providers

• Voice biometrics solutions

• Banks apply Voice Biometrics

• Other applications

XÁC THỰC BẰNG GIỌNG NÓI TRONG GIAO DỊCH QUA ĐIỆN THOẠI

SpeechStorm and Genesys survey

SpeechStorm and Genesys survey (2008) về bảo mật dịch vụ ngân hàng qua điện thoại

 74% người dùng đã cẩn thận hơn trong việc bảo vệ thông tin cá nhân trong năm 2008 so với năm trước đó

 61% lo lắng về việc bảo mật số PIN, passwords, và thông tin bí mật khi xác nhận ID qua điện thoại với nhân

viên nhận cuộc gọi

 42% đang sử dụng dịch vụ ngân hàng qua điện thoại, tin rằng ngân hàng chưa có độ bảo mật đủ mạnh để

chống lại những âm mưu đánh cắp thông tin người dùng

44

 86% cảm thấy hài lòng hơn nếu sử dụng cả voice biometrics và xác thực số PIN/Password trong giao dịch ngân

hàng qua điện thoại

 72% sẵn sàng tiếp nhận các cuộc gọi tự động (a speech automated service) sử dụng công nghệ voice

biometrics

45

SpeechStorm and Genesys survey

Voice biometrics providers

 PerSay: http://www.persay.com

 PerSay's voice biometrics products are based on 14 consecutive years of research and development, originally

targeting military and intelligence applications

 PerSay's customers include: Bell Canada, British Telecom, Vodafone Turkey, Bank Leumi, Bank Hapoalim,

Discount Bank, Philippines Government Insurance Services as well as US Immigration Control and Enforcement among others

 Multiple US-based banks and credit card companies and government agencies around the world are currently

piloting PerSay's products

46

Voice biometrics providers

 VeCommerce: Australian speech application company.

 VoxGen, a provider of self-service automation solutions with identification & verification (ID&V)

techniques

 Nuance: is a leading provider of speech, imaging and customer interaction solutions for businesses and

consumers around the world

 Agnitio (Madrid, Spain) 2004 http://www.agnitio.es/

 Centrelink : (2009) Australian social services agency

 VocalPassword™- A biometric speaker verification system that verifies a speaker during an interaction with a  

voice application

 FreeSpeech™-  A unique text-independent biometric speaker verification system that transparently verifies

the identity of a speaker during the course of a natural conversation

 S.P.I.D™- An advanced voice mining and speaker identification system for law enforcement and intelligence  

 HaPoalim (Israel)

 Leumi (Israel)

 Discount (Israel)

 Somerset Trust (Pennsylvania)

 National Australia Bank (NAB)

 The Commonwealth Bank (Australia)

 Want to talk to your car? Ford Motor Company has developed an advanced voice technology system so you

can communicate with your car.What can you talk about with your car? Want to play music? The system asks what type of music and then will list what artists are available Need to make a call? Tell your care to call Steven Smith and if there is more than one Steven Smith listed, the car will even ask you which one should be called …

 TV operator, Austar, was also using voice biometric technology for customers ordering movies on demand

"People don't want their kids calling up and ordering all sorts of movies."

50

Other applications