安全生物识别系统的标准

IEC E-Tech杂志的共同编辑Antoinette Price的来宾帖子

生物识别技术包括人类的身体或行为特征，例如指纹，面部图案，语音或签名，这些特征是个人所特有的。它们可以通过数字方式使用并允许人们进入国家，建筑物，系统和设备。

对于那些难以记住密码或有某些身体残疾的人，生物识别技术可以简化生活。它们被用于越来越多的应用程序中，并提供了非接触式解决方案，这些解决方案有助于停止Covid-19的传播。

有很多例子。面部识别扫描用于机场和边境管制系统，识别国民，并允许他们离开一个国家并进入另一个国家。在其他情况下，该技术可以打开门，并使批准的用户访问高级安全区域。在房屋中，语音识别用于控制供暖，照明和娱乐系统，我们许多人都使用它来进行快速信息搜索。指纹提供了一种快速打开智能手机和iPad的方法。

尽管生物识别特征更难复制，但围绕系统的安全问题可以使用它们。生物识别系统捕获设备的挑战之一是，如果某人想对其进行竞争，则不需要内部操作系统。

例如，某人可以使用假遮盖的假指纹来访问系统，以模仿别人或掩盖自己的身份。这被称为演示攻击。

E-Tech与IEC和ISO联合技术开发的两个国际标准编辑Mike Thieme进行了交谈生物识别委员会。标准包括ISO/IEC 30107-3，涵盖生物识别表现攻击检测（PAD）的测试和报告，以及ISO/IEC 30107-4，它着眼于针对移动设备中与PAD测试有关的新要求采用的方法。

什么是生物识别表现攻击检测？

许多人熟悉假指纹，面具甚至语音录音可用于获得未经授权的生物识别系统的访问。对于商业生物识别技术的大多数历史，生物识别设备（例如指纹传感器）声称能够检测到这些“攻击”何时发生。但是，有些设备比其他设备好得多。我们将检测攻击的能力称为生物识别表现攻击检测（PAD）。我们称用于进行攻击的物品为演示攻击工具（PAI）。

同样，这个概念不仅限于像面具一样的假或人造攻击。它还包括个人损害其生物特征的情况。这样的经典例子是损坏指纹的人，以避免在针对指纹数据库的搜索中检测到，例如在犯罪应用中。

有哪些挑战？

可以使用生物识别硬件和软件的攻击者，并且有了时间和金钱，可以建立难以检测的高度逼真的假生物识别技术。例如，指纹设备可能会寻找某些手指吸收并反射光的方式。有足够的时间，攻击者可以反向工程，这些方面与生物识别介绍攻击检测有关。

但是，这只是挑战的一部分。也许更大的问题是生物识别攻击很少见。大多数生物特征交易是正常的，因为它只是使用该设备的授权人员（例如，试图解锁iPhone）。

这意味着生物识别系统开发人员不能使演示攻击检测过于侵略性或敏感。如果他们这样做了，那么合法用户将被太频繁地拒绝，这是不可接受的。在这里找到正确的权衡很困难。

标准的第4部分有什么作用？

ISO/IEC 30107- 3集呈现攻击检测（PAD）性能评估方法，用于生物识别系统的整个领域，范围从国家ID到桌面安全性。第3部分还考虑了演示攻击检测是一个独立的独立子系统的情况。

移动设备是整个PAD问题空间的小但重要子集。我们需要一个配置文件，该个人资料可以删除适用于移动设备的第3部分的部分和要求，并使希望专注于移动设备的测试人员更容易。

例如，移动设备是完整的系统 - 您无法合理地将它们拆开，并弄清楚该设备的哪个部分运行良好。该测试需要通过实时交互来评估完整系统。这是一个特殊情况。

ISO/IEC 30107-4可以做到这一点，并建立了其他要求，不包括第3部分。对于每个要求，它定义了用于移动设备的垫子测试方法。

测试移动设备的其他要求有哪些？

对于移动设备，由于实时要求，评估几乎始终仅限于少数受试者，也许是一百个。这个小样本量意味着很难将性能验证到非常低的错误率，例如0.01％。

此外，如果演示攻击工具（PAI）“失败” - 意味着它与其预期目标不匹配 - 很难确定失败是由于生物识别不匹配还是由于检测到PAI所致。因此，需要具体的指标将这两个故障案例结合在一起。

您可以谈谈垫测试中的不同角色吗？

PAD测试最有趣的方面之一是个人可能占据的不同角色。这些角色可能是模棱两可和复杂的。如果可以在PAI下方检测到PAD的真实生物特征，或者如果他们不擅长使用移动设备，则将PAI展示给移动设备的个人可能会影响PAD性能。另一个角色是PAI来源或使用生物特征来创建PAI的个体。例如，这是假指纹的“捐赠者”。也许最重要的角色是Pai创造者的角色，他使用创造力和工程技巧来建立或制定PAIS。每个角色都有助于整体评估方法，需要仔细考虑。

最初发布到电子技术问题02/2021。