根据欧洲的强烈生物特征验证标准和隐私法规是矛盾的,但情况是可以解决的。欧洲生物识别协会。
EAB午餐会由Erik Guoqiang Li博士发表Mobai,也是NTNU的兼职研究员。
“以用户为中心的生物识别技术 - 在采用身份证明和验证凭证用例中确保隐私和合规性”探索了以用户为中心的生物识别面部验证的体系结构。
挪威的Bankid根据护照验证,使用一次性密码和物理令牌来保留用户隐私。随后,使用Bankid应用程序进行远程ID验证,该应用程序可用于访问政府和私营部门服务或以数字方式签署文件。
该数字ID由银行发行,旨在在智能手机之类的设备上使用有或没有用户特定密钥的使用。
李说,面部识别是远程ID验证的不错选择,但必须根据EIDA进行,因此必须根据ETSI的支持标准进行。需要呈现攻击检测,建议进行图像操纵检测,并面对变形在标准下也可能涉及检测。 Mobai预计将来会添加变形检测。
他指出了需求的歧义,这似乎在算法级别上都提到了NIST FRVT和系统级别的评估,并提到了错误的接受率(FAR)和错误拒绝率(FRR)。挪威的位标准在算法级别施加了额外的准确性要求。
李讨论了Mobai从其面部生物识别系统中消除偏见的努力,该系统专注于相机。校准摄像机,或者如果无法使用后处理,则有望减少皮肤较深的人的主要错误(如果不是主要的额外错误)的承诺。
PAD要求是指攻击表现分类错误率(APCER)阈值和真正的表现分类错误率(BPCER)性能。李指出,学术研究很差反映了这一领域的最新技术状况,因为它们设定了apcer阈值,无法为现实世界应用的安全需求而言。 Mobai将APCER的BPCer视为当今的面对面验证状态。
然后,李分享了Mobai在深层攻击检测和面对变形检测方面的工作(MAD),以及该公司参与欧洲委员会资助的结婚项目。 Mobai已根据测量特征差异开发了一种疯狂的方法。
将典型的身份验证体系结构与要求进行了比较,该架构揭示了标准所需的保证之间的张力,其中包括在最终用户控制之外的环境中处理图像,以及监管机构和用户对集中式生物识别数据存储的关注。他说,这种紧张局势目前尚未解决。
Bankid欺诈已导致。较弱的约束力甚至允许吸毒者在货币用完时交易河岸。
挪威的银行必须存储护照照片以遵守AML法规,但由于担心GDPR,不要将其用于身份验证。
因此,Mobai致力于以一种维持遵守隐私法规的方式使用面部生物识别技术进行身份验证的方式。必须将钥匙与面部模板相结合,以提供法规要求的不链接性,不可逆性和可更新性。
什么钥匙适合?
李转向Mobai的关键一代方法。
他解释说,后端身份验证服务器生成了特定于用户的密钥,该密钥与服务的公钥一起用于加密参考生物识别模板。
然后,可以将加密的模板安全发送到数据库服务器,用户同时给出了公共密钥和私钥。根据李的说法,这为入门而不损害用户隐私创造了强大的绑定。在整个身份验证过程中,用户保持完全控制。
类似的系统也可以无需与设备绑定的用户特定密钥,例如用户切换到其他设备时。在这种情况下,用户将加密模板发送到数据库服务器,这使身份验证决策并以加密形式将其传递给服务提供商。服务提供商使用专用服务密钥来解密身份验证决策。
可以通过创建受保护的模板将可验证的凭证和面部生物识别技术结合在一起,可以将其嵌入VC中的持有人发送给发行人。生物识别比较发生在加密域中的受保护的探针模板中进行。
