根據歐洲的強烈生物特徵驗證標準和隱私法規是矛盾的,但情況是可以解決的。歐洲生物識別協會。
EAB午餐會由Erik Guoqiang Li博士發表Mobai,也是NTNU的兼職研究員。
“以用戶為中心的生物識別技術 - 在採用身份證明和驗證憑證用例中確保隱私和合規性”探索了以用戶為中心的生物識別面部驗證的體系結構。
挪威的Bankid根據護照驗證,使用一次性密碼和物理令牌來保留用戶隱私。隨後,使用Bankid應用程序進行遠程ID驗證,該應用程序可用於訪問政府和私營部門服務或以數字方式簽署文件。
該數字ID由銀行發行,旨在在智能手機之類的設備上使用有或沒有用戶特定密鑰的使用。
李說,面部識別是遠程ID驗證的不錯選擇,但必鬚根據EIDA進行,因此必鬚根據ETSI的支持標准進行。需要呈現攻擊檢測,建議進行圖像操縱檢測,並面對變形在標準下也可能涉及檢測。 Mobai預計將來會添加變形檢測。
他指出了需求的歧義,這似乎在算法級別上都提到了NIST FRVT和系統級別的評估,並提到了錯誤的接受率(FAR)和錯誤拒絕率(FRR)。挪威的位標准在算法級別施加了額外的準確性要求。
李討論了Mobai從其面部生物識別系統中消除偏見的努力,該系統專注於相機。校準攝像機,或者如果無法使用後處理,則有望減少皮膚較深的人的主要錯誤(如果不是主要的額外錯誤)的承諾。
PAD要求是指攻擊表現分類錯誤率(APCER)閾值和真正的表現分類錯誤率(BPCER)性能。李指出,學術研究很差反映了這一領域的最新技術狀況,因為它們設定了apcer閾值,無法為現實世界應用的安全需求而言。 Mobai將APCER的BPCer視為當今的面對面驗證狀態。
然後,李分享了Mobai在深層攻擊檢測和麵對變形檢測方面的工作(MAD),以及該公司參與歐洲委員會資助的結婚專案. Mobai已根據測量特徵差異開發了一種瘋狂的方法。
將典型的身份驗證體系結構與要求進行了比較,該架構揭示了標準所需的保證之間的張力,其中包括在最終用戶控制之外的環境中處理圖像,以及監管機構和用戶對集中式生物識別數據存儲的關注。他說,這種緊張局勢目前尚未解決。
Bankid欺詐已導致。較弱的約束力甚至允許吸毒者在貨幣用完時交易河岸。
挪威的銀行必須存儲護照照片以遵守AML法規,但由於擔心GDPR,不要將其用於身份驗證。
因此,Mobai致力於以一種維持遵守隱私法規的方式使用面部生物識別技術進行身份驗證的方式。必須將鑰匙與面部模板相結合,以提供法規要求的不鏈接性,不可逆性和可更新性。
什麼鑰匙適合?
李轉向Mobai的關鍵一代方法。
他解釋說,後端身份驗證服務器生成了特定於用戶的密鑰,該密鑰與服務的公鑰一起用於加密參考生物識別模板。
然後,可以將加密的模板安全發送到數據庫服務器,用戶同時給出了公共密鑰和私鑰。根據李的說法,這為入門而不損害用戶隱私創造了強大的綁定。在整個身份驗證過程中,用戶保持完全控制。
類似的系統也可以無需與設備綁定的用戶特定密鑰,例如用戶切換到其他設備時。在這種情況下,用戶將加密模板發送到數據庫服務器,這使身份驗證決策並以加密形式將其傳遞給服務提供商。服務提供商使用專用服務密鑰來解密身份驗證決策。
可以通過創建受保護的模板將可驗證的憑證和麵部生物識別技術結合在一起,可以將其嵌入VC中的持有人發送給發行人。生物識別比較發生在加密域中的受保護的探針模板中進行。
