Biyometrik Kilit Açma Güvenliğinin Ölçülmesi

Android ile uyumlu sayılması için cihaz uygulamalarının Android Uyumluluk Tanımı Belgesinde (CDD) sunulan gereksinimleri karşılaması gerekir. Android CDD, mimari güvenlik ve sahtecilik kullanarak bir biyometrik uygulamanın güvenliğini değerlendirir.

  • Mimari güvenlik : Biyometrik bir boru hattının çekirdek veya platform tehlikeye karşı dayanıklılığı. Çekirdek ve platform tavizleri, kimlik doğrulama kararını etkilemek için ham biyometrik verileri okuma veya boru hattına sentetik veri enjekte etme yeteneği vermiyorsa, bir işlem hattı güvenli kabul edilir.
  • Biyometrik güvenlik performansı : Biyometrik güvenlik performansı, biyometriğin Sahtekarlık Kabul Oranı (SAR) , Yanlış Kabul Oranı (FAR) ve uygun olduğunda Sahte Kabul Oranı (IAR) ile ölçülür. SAR, bir biyometrinin fiziksel bir sunum saldırısına karşı ne kadar dayanıklı olduğunu ölçmek için Android 9'da tanıtılan bir ölçümdür. Biyometriyi ölçerken aşağıda açıklanan protokolleri izlemeniz gerekir.

Android, biyometrik güvenlik performansını ölçmek için üç tür ölçüm kullanır.

  • Sahte Kabul Oranı (SAR) : Bir biyometrik modelin önceden kaydedilmiş, bilinen iyi bir örneği kabul etme şansının ölçüsünü tanımlar. Örneğin, sesle kilit açma ile bu, bir kullanıcının telefonunun, "Tamam, Google" diyerek kaydedilmiş bir örneğini kullanarak kilidini açma şansını ölçecektir. Bu tür saldırılara Sahtekarlık Saldırıları diyoruz. Sahtekâr Saldırı Sunum Eşleşme Oranı (IAPMR) olarak da bilinir.
  • Taklit Kabul Oranı (IAR) : Bir biyometrik modelin iyi bilinen bir örneği taklit etmesi amaçlanan girdiyi kabul etme şansının ölçüsünü tanımlar. Örneğin, Smart Lock güvenilir ses (ses kilidi açma) mekanizmasında bu, bir kullanıcının sesini taklit etmeye çalışan (benzer bir ton ve aksan kullanarak) birinin cihazının kilidini ne sıklıkta açabileceğini ölçer. Bu tür saldırılara Sahtekarlık Saldırıları diyoruz.
  • Yanlış Kabul Oranı (FAR) : Bir modelin rastgele seçilmiş yanlış bir girişi yanlışlıkla ne sıklıkta kabul ettiğinin ölçümlerini tanımlar. Bu yararlı bir önlem olsa da, modelin hedefli saldırılara karşı ne kadar iyi dayandığını değerlendirmek için yeterli bilgi sağlamaz.

Güven aracıları

Android 10, Trust Agent'ların davranışlarını değiştiriyor. Trust Agent'lar bir cihazın kilidini açamaz, yalnızca zaten kilidi açılmış bir cihazın kilit açma süresini uzatabilir. Güvenilir yüz, Android 10'da kullanımdan kaldırılmıştır.

Biyometrik Sınıflar

Biyometrik güvenlik, mimari güvenlik ve sahtecilik testlerinden elde edilen sonuçlar kullanılarak sınıflandırılır. Bir biyometrik uygulama, Sınıf 3 (önceden Güçlü) , Sınıf 2 , (önceden Zayıf) veya Sınıf 1 (önceden Kolaylık) olarak sınıflandırılabilir. Aşağıdaki tablo, yeni Android cihazlar için her bir sınıfı açıklamaktadır.

Biyometrik Sınıf Metrikler Biyometrik Boru Hattı kısıtlamalar
3. sınıf
(eskiden Güçlü)
SAR: %0-7
UZAK: 1/50k
FR: %10
Güvenli
  • Birincil kimlik doğrulamaya geri dönmeden 72 saat önce (PIN, desen veya parola gibi)
  • Bir API'yi uygulamalara maruz bırakabilir (örneğin: BiometricPrompt veya FIDO2 API'leri ile entegrasyon yoluyla)
  • BCR göndermeli
Sınıf 2
(eskiden Zayıf)
SAR: %7-20
UZAK: 1/50k
FR: %10
Güvenli
  • Birincil kimlik doğrulamaya geri dönüşten 24 saat önce
  • 4 saatlik boşta kalma zaman aşımı VEYA birincil kimlik doğrulamaya geri dönmeden önce 3 yanlış deneme
  • BiometricPrompt ile entegre olabilir, ancak anahtar deposu ile entegre olamaz (örneğin: uygulama yetkilendirmesine bağlı anahtarları serbest bırakmak için)
  • BCR göndermeli
1. sınıf
(eski adıyla Kolaylık)
SAR: >%20
UZAK: 1/50k
FR: %10
Güvensiz/Güvenli
  • Birincil kimlik doğrulamaya geri dönüşten 24 saat önce
  • 4 saatlik boşta kalma zaman aşımı VEYA birincil kimlik doğrulamaya geri dönmeden önce 3 yanlış deneme
  • Bir API, uygulamalara gösterilemez
  • Android 11'den başlayarak BCR gönderilmelidir (SAR testi zorunlu değildir ancak şiddetle tavsiye edilir)
  • Geçici sınıf gelecekte ortadan kalkabilir

Sınıf 3 ve Sınıf 2 ve Sınıf 1 yöntemleri

Biyometrik güvenlik sınıfları, güvenli bir boru hattının varlığına ve üç kabul oranına (FAR, IAR ve SAR) göre atanır. Sahtekarlık saldırısının olmadığı durumlarda sadece FAR ve SAR'ı dikkate alıyoruz.

Tüm kilit açma yöntemleri için alınacak önlemler için Android Uyumluluk Tanımı Belgesine (CDD) bakın.

Yüz ve iris kimlik doğrulaması

Değerlendirme süreci

Değerlendirme süreci iki aşamadan oluşmaktadır. Kalibrasyon aşaması , belirli bir kimlik doğrulama çözümü (yani kalibre edilmiş konum) için en uygun sunum saldırısını belirler. Test aşaması , birden fazla saldırı gerçekleştirmek için kalibre edilmiş konumu kullanır ve saldırının kaç kez başarılı olduğunu değerlendirir. Android cihaz ve biyometrik sistem üreticileri, bu formu göndererek en güncel test rehberliği için Android ile iletişime geçmelidir.

İlk olarak kalibre edilmiş konumu belirlemek önemlidir çünkü SAR yalnızca sistemdeki en büyük zayıflık noktasına yönelik saldırılar kullanılarak ölçülmelidir.

Kalibrasyon aşaması

Test aşaması için en uygun değerleri sağlamak için kalibrasyon aşamasında optimize edilmesi gereken yüz ve iris kimlik doğrulaması için üç parametre vardır: sunum saldırı aracı (PAI), sunum formatı ve konu çeşitliliği genelinde performans.

YÜZ
  • Sunum saldırı aracı (PAI) fiziksel sahtekarlıktır. Aşağıdaki PAI türleri, biyometrik teknolojiden bağımsız olarak şu anda kapsam dahilindedir:
    • 2D PAI türleri
      • Basılı fotoğraflar
      • Bir monitördeki veya telefon ekranındaki fotoğraflar
      • Monitördeki veya telefon ekranındaki videolar
    • 3D PAI türleri
      • 3D baskılı maskeler
  • Sunum formatı , sahtekarlığa yardımcı olacak şekilde PAI'nin veya çevrenin daha fazla manipülasyonu ile ilgilidir. İşte denenecek bazı manipülasyon örnekleri:
    • Basılı fotoğrafları yanaklarda kıvrılacak şekilde hafifçe katlamak (dolayısıyla biraz derinliği taklit eder) bazen 2D yüz kimlik doğrulama çözümlerinin kırılmasına büyük ölçüde yardımcı olabilir.
    • Değişen aydınlatma koşulları, sahtekarlığa yardımcı olmak için ortamın değiştirilmesine bir örnektir.
    • Lensi hafifçe lekelemek veya kirletmek
    • Sahteciliği etkileyip etkilemediğini görmek için telefonun yönünü dikey ve yatay modlar arasında değiştirme
  • Konu çeşitliliği (veya eksikliği) genelinde performans , özellikle makine öğrenimi tabanlı kimlik doğrulama çözümleriyle ilgilidir. Kalibrasyon akışını denek cinsiyetleri, yaş grupları ve ırklar/etnik kökenler arasında test etmek, genellikle küresel nüfusun kesimleri için önemli ölçüde daha kötü performansı ortaya çıkarabilir ve bu aşamada kalibre edilmesi için önemli bir parametredir.
Sahtekarlık testi, bir sistemin geçerli bir tekrar veya sunum saldırısını kabul edip etmediğini test etmeyi amaçlar. Sahtecilik önleme veya sunum saldırısı algılaması (PAD) uygulanmadıysa veya devre dışı bırakıldıysa, PAI türlerinin biyometrik doğrulama işlemi sırasında geçerli bir biyometrik iddia olarak geçmek için yeterli olması gerekir. Kimlik sahtekarlığı önleme veya PAD işlevi olmadan biyometrik doğrulama sürecini geçemeyen bir PAI, PAI olarak geçersizdir ve bu PAI türlerini kullanan tüm testler geçersizdir. Sahtekarlık testlerinin yürütücüleri, testlerinde kullanılan PAI türlerinin bu kriterleri karşıladığını göstermelidir.
İRİS
  • Sunum saldırı aracı (PAI) fiziksel sahtekarlıktır. Aşağıdaki PAI türleri şu anda kapsam dahilindedir:
    • İris'i net bir şekilde gösteren yüzlerin basılı fotoğrafları
    • Bir monitörde veya telefon ekranında irisi açıkça gösteren yüzlerin fotoğrafları/videoları
    • protez gözler
  • Sunum formatı , sahtekarlığa yardımcı olacak şekilde PAI'nin veya çevrenin daha fazla manipülasyonu ile ilgilidir. Örneğin, basılı bir fotoğrafın üzerine veya gözün bir fotoğrafının/videosunun ekranının üzerine bir kontakt lens yerleştirmek, bazı iris sınıflandırma sistemlerini kandırmaya yardımcı olur ve iris doğrulama sistemlerinin baypas oranını iyileştirmeye yardımcı olabilir.
  • Konu çeşitliliği genelinde performans , özellikle makine öğrenimi tabanlı kimlik doğrulama çözümleriyle ilgilidir. İris tabanlı kimlik doğrulama ile, farklı iris renkleri farklı spektral özelliklere sahip olabilir ve farklı renkler üzerinde test yapmak, küresel popülasyonun segmentleri için performans sorunlarını vurgulayabilir.
Çeşitliliği test etme

Yüz ve iris modellerinin cinsiyetler, yaş grupları ve ırklar/etnik kökenler arasında farklı performans göstermesi mümkündür. Performanstaki boşlukları ortaya çıkarma şansını en üst düzeye çıkarmak için çeşitli yüzlerde sunum saldırılarını kalibre edin.

Test Aşaması

Test aşaması, önceki aşamadaki optimize edilmiş sunum saldırısı kullanılarak biyometrik güvenlik performansının ölçüldüğü aşamadır.

Test aşamasında denemeleri sayma

Tek bir deneme, bir yüzün sunulması (gerçek veya sahte) ile telefondan bazı geri bildirimlerin alınması (bir kilit açma olayı veya kullanıcı tarafından görülebilen bir mesaj) arasındaki pencere olarak sayılır. Telefonun bir eşleşmeyi denemek için yeterli veri alamadığı denemeler, SAR'ı hesaplamak için kullanılan toplam deneme sayısına dahil edilmemelidir.

Değerlendirme protokolü

kayıt

Yüz veya iris kimlik doğrulaması için kalibrasyon aşamasına başlamadan önce cihaz ayarlarına gidin ve mevcut tüm biyometrik profilleri kaldırın. Mevcut tüm profiller kaldırıldıktan sonra, kalibrasyon ve test için kullanılacak hedef yüz veya iris ile yeni bir profil kaydedin. Yeni bir yüz veya iris profili eklerken iyi aydınlatılmış bir ortamda olmak ve cihazın 20 cm ila 80 cm arasında doğrudan hedef yüzün önüne düzgün bir şekilde yerleştirilmesi önemlidir.

Kalibrasyon aşaması

Farklı türler farklı boyutlara ve test için en uygun koşulları etkileyebilecek diğer özelliklere sahip olduğundan, her bir PAI türü için kalibrasyon aşamasını gerçekleştirin. PAI'yi hazırlayın.

YÜZ
  • Kayıt akışıyla aynı aydınlatma koşulları, açı ve mesafe altında kayıtlı yüzün yüksek kaliteli bir fotoğrafını veya videosunu çekin.
  • Fiziksel çıktılar için:
    • Bir tür kağıt maske oluşturarak yüzün ana hatlarını kesin.
    • Hedef yüzün eğriliğini taklit etmek için maskeyi her iki yanaktan bükün
    • Test cihazının gözlerini göstermek için 'maskede' göz delikleri açın - bu, canlılık algılama aracı olarak yanıp sönmeyi arayan çözümler için kullanışlıdır.
  • Kalibrasyon aşamasında başarı şansını etkileyip etkilemediklerini görmek için önerilen sunum formatı manipülasyonlarını deneyin.
İRİS
  • Kayıt akışıyla aynı aydınlatma koşulları, açı ve mesafe altında irisi net bir şekilde gösteren kayıtlı yüzün yüksek çözünürlüklü bir fotoğrafını veya videosunu çekin.
  • Hangi yöntemin yanıltıcılığı artırdığını görmek için kontakt lenslerle ve kontakt lensler olmadan deneyin

Kalibrasyon aşamasının yürütülmesi

Referans pozisyonları
  • Referans konumu : Referans konumu, PAI'nin, cihazın görünümünde PAI'nin açıkça görülebileceği ancak başka herhangi bir şeyin (stand gibi) kullanıldığı şekilde cihazın önüne uygun bir mesafeye (20-80 cm) yerleştirilmesiyle belirlenir. PAI için) görünmez.
  • Yatay referans düzlemi : PAI referans konumundayken, cihaz ile PAI arasındaki yatay düzlem, yatay referans düzlemidir.
  • Dikey referans düzlemi : PAI referans konumundayken, cihaz ile PAI arasındaki dikey düzlem, dikey referans düzlemidir.
referans düzlemleri
Şekil 1 : Referans düzlemleri
dikey yay

Referans konumunu belirleyin, ardından PAI'yi, cihazdan referans konumuyla aynı mesafeyi koruyarak dikey bir yayda test edin. PAI'yi aynı dikey düzlemde kaldırın, cihaz ile yatay referans düzlemi arasında 10 derecelik bir açı oluşturun ve yüz kilidi açmayı test edin.

PAI'yi aygıtların görüş alanında artık görünmeyene kadar 10 derecelik artışlarla yükseltmeye ve test etmeye devam edin. Cihazın kilidini başarıyla açan tüm pozisyonları kaydedin. Bu işlemi tekrarlayın, ancak PAI'yi yatay referans düzleminin altında aşağı doğru bir yayda hareket ettirin. Ark testlerinin bir örneği için aşağıdaki şekil 3'e bakın.

yatay yay

PAI'yi referans konumuna getirin, ardından dikey referans düzlemiyle 10 derecelik bir açı oluşturmak için yatay düzlem boyunca hareket ettirin. Bu yeni konumda PAI ile dikey ark testini gerçekleştirin. PAI'yi yatay düzlem boyunca 10 derecelik artışlarla hareket ettirin ve her yeni konumda dikey ark testini gerçekleştirin.

Yatay yay boyunca test etme

Şekil 1 : Dikey ve yatay yay boyunca test etme

Ark testleri, cihazın hem sol hem de sağ tarafı ile cihazın üstünde ve altında 10 derecelik artışlarla tekrarlanmalıdır.

En güvenilir kilit açma sonuçlarını veren konum, PAI türlerinin türü için kalibre edilmiş konumdur (örneğin, 2D veya 3D PAI türleri).

Test aşaması

Kalibrasyon aşamasının sonunda her PAI türü için kalibre edilmiş bir pozisyon olmalıdır. Kalibre edilmiş bir konum oluşturulamıyorsa, referans konumu kullanılmalıdır. Test metodolojisi, hem 2D hem de 3D PAI türlerini test etmek için ortaktır.

  • E>= 10 olan ve en az 10 benzersiz yüz içeren kayıtlı yüzler arasında.
    • Yüzü/irisi kaydet
    • Önceki aşamadaki kalibre edilmiş konumu kullanarak, U >= 10 olduğu durumlarda ve önceki bölümde açıklandığı gibi denemeleri sayarak U kilit açma denemelerini gerçekleştirin. Başarılı kilit açma sayısını kaydedin S .
    • SAR daha sonra şu şekilde ölçülebilir:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

Neresi:

  • E = kayıt sayısı
  • U = kayıt başına kilit açma denemesi sayısı
  • Si = kayıt için başarılı kilit açma sayısı i

İstatistiksel olarak geçerli hata oranları örnekleri elde etmek için gerekli yinelemeler: Aşağıdakilerin tümü için %95 güven varsayımı, büyük N

Hata Marjı Konu başına gerekli test yinelemeleri
%1 9595
%2 2401
%3 1067
%5 385
%10 97

Gereken süre (deneme başına 30 sn, 10 denek)

hata payı Toplam zaman
%1 799.6 saat
%2 200,1 saat
%3 88.9 saat
%5 32.1 saat
%10 8.1 saat

Popülasyonda %2 ila %12 arasında gerçek bir hata oranı veren %5'lik bir hata payı hedeflemenizi öneririz.

Dürbün

Test aşaması, öncelikle hedef kullanıcının yüzünün fakslarına karşı yüz kimlik doğrulamasının esnekliğini ölçer. LED'ler veya ana baskılar gibi davranan desenler gibi faks tabanlı olmayan saldırıları ele almaz. Bunların derinlik tabanlı yüz doğrulama sistemlerine karşı etkili olduğu henüz gösterilmemiş olsa da, kavramsal olarak bunun doğru olmasını engelleyen hiçbir şey yoktur. Gelecekteki araştırmaların bunun böyle olduğunu göstermesi hem mümkün hem de makul. Bu noktada, bu protokol, bu saldırılara karşı dayanıklılığın ölçülmesini içerecek şekilde revize edilecektir.

Parmak izi kimlik doğrulaması

Android 9'da çıta, %7'ye eşit veya daha düşük bir Sahtekarlık Kabul Oranı (SAR) ile ölçüldüğü üzere PAI'lere karşı minimum esnekliğe ayarlandı. Bu blog gönderisinde neden %7'nin özel olarak bulunabileceğinin kısa bir gerekçesi.

Değerlendirme süreci

Değerlendirme süreci iki aşamadan oluşmaktadır. Kalibrasyon aşaması , belirli bir parmak izi doğrulama çözümü (yani kalibre edilmiş konum) için en uygun sunum saldırısını belirler. Test aşaması , birden fazla saldırı gerçekleştirmek için kalibre edilmiş konumu kullanır ve saldırının kaç kez başarılı olduğunu değerlendirir. Android cihaz ve biyometrik sistem üreticileri, bu formu göndererek en güncel test rehberliği için Android ile iletişime geçmelidir.

Kalibrasyon aşaması

Test aşaması için en uygun değerleri sağlamak üzere optimize edilmesi gereken parmak izi kimlik doğrulaması için üç parametre vardır: sunum saldırı aracı (PAI), sunum formatı ve konu çeşitliliği genelinde performans

  • PAI , basılı parmak izleri veya kalıplanmış bir kopya gibi fiziksel sahtekarlıktır, tümü sunum ortamı örnekleridir. Aşağıdaki sahte malzemeler şiddetle tavsiye edilir
    • Optik parmak izi sensörleri (FPS)
      • İletken olmayan mürekkepli Fotokopi Kağıdı/Asetat
      • Knox Jelatin
      • Lateks boya
      • Elmer'in Yapıştırıcısı Hepsi
    • Kapasitif FPS
      • Knox Jelatin
      • Elmer's Carpenter'ın İç Ahşap Tutkalı
      • Elmer'in Yapıştırıcısı Hepsi
      • Lateks boya
    • Ultrasonik FPS
      • Knox Jelatin
      • Elmer's Carpenter'ın İç Ahşap Tutkalı
      • Elmer'in Yapıştırıcısı Hepsi
      • Lateks boya
  • Sunum formatı , sahtekarlığa yardımcı olacak şekilde PAI'nin veya çevrenin daha fazla manipülasyonu ile ilgilidir. Örneğin, 3B kopyayı oluşturmadan önce bir parmak izinin yüksek çözünürlüklü görüntüsünü rötuşlamak veya düzenlemek.
  • Konu çeşitliliği genelinde performans , özellikle algoritmanın ayarlanmasıyla ilgilidir. Kalibrasyon akışını denek cinsiyetleri, yaş grupları ve ırklar/etnik kökenler arasında test etmek, genellikle küresel nüfusun kesimleri için önemli ölçüde daha kötü performansı ortaya çıkarabilir ve bu aşamada kalibre edilmesi için önemli bir parametredir.
Çeşitliliği test etme

Parmak izi okuyucularının cinsiyet, yaş grupları ve ırklar/etnik kökenler arasında farklı performans göstermesi mümkündür. Nüfusun küçük bir yüzdesinin tanınması zor parmak izleri vardır, bu nedenle tanıma ve sahtecilik testinde en uygun parametreleri belirlemek için çeşitli parmak izleri kullanılmalıdır.

Test aşaması

Test aşaması, biyometrik güvenlik performansının ölçüldüğü aşamadır. En azından test, işbirlikçi olmayan bir şekilde yapılmalıdır, yani toplanan parmak izleri, hedefin parmak izinin toplanmasına aktif olarak katılmasını sağlamak yerine, örneğin ortak bir kalıp yapmak gibi başka bir yüzeyden kaldırılarak yapılmalıdır. konunun parmağı. İkincisine izin verilir, ancak gerekli değildir.

Test aşamasında denemeleri sayma

Tek bir deneme, sensöre bir parmak izi (gerçek veya sahte) sunma ve telefondan bir miktar geri bildirim alma (bir kilit açma olayı veya kullanıcı tarafından görülebilen bir mesaj) arasındaki pencere olarak sayılır.

Telefonun bir eşleşmeyi denemek için yeterli veri alamadığı denemeler, SAR'ı hesaplamak için kullanılan toplam deneme sayısına dahil edilmemelidir.

Değerlendirme protokolü

kayıt

Parmak izi doğrulaması için kalibrasyon aşamasına başlamadan önce cihaz ayarlarına gidin ve mevcut tüm biyometrik profilleri kaldırın. Mevcut tüm profiller kaldırıldıktan sonra, kalibrasyon ve test için kullanılacak hedef parmak iziyle yeni bir profil kaydedin. Profil başarıyla kaydedilene kadar ekrandaki tüm yönergeleri izleyin.

Kalibrasyon aşaması

Optik FPS

Bu, ultrasonik ve kapasitifin kalibrasyon aşamalarına benzer, ancak hedef kullanıcının parmak izinin hem 2D hem de 2.5D PAI türleri ile.

  • Parmak izinin gizli bir kopyasını bir yüzeyden kaldırın.
  • 2D PAI türleri ile test edin
    • Kaldırılan parmak izini sensöre yerleştirin
  • 2.5D PAI türleri ile test edin.
    • Parmak izinin bir PAI'sini oluşturun
    • PAI'yi sensöre yerleştirin
Ultrasonik FPS

Ultrasonik için kalibrasyon, hedef parmak izinin gizli bir kopyasının kaldırılmasını içerir. Örneğin, bu, parmak izi tozuyla kaldırılan parmak izleri veya bir parmak izinin basılı kopyaları kullanılarak yapılabilir ve daha iyi bir sahtekarlık elde etmek için parmak izi görüntüsünün manuel olarak yeniden dokunmasını içerebilir.

Hedef parmak izinin gizli kopyası alındıktan sonra bir PAI yapılır.

Kapasitif FPS

Kapasitif kalibrasyon, ultrasonik kalibrasyon için yukarıda açıklanan adımların aynısını içerir.

Test aşaması

  • FRR/FAR hesaplanırken kullanılan aynı parametreleri kullanarak en az 10 benzersiz kişinin kaydolmasını sağlayın
  • Her kişi için PAI oluşturun
  • SAR daha sonra şu şekilde ölçülebilir:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

İstatistiksel olarak geçerli hata oranları örnekleri elde etmek için gerekli yinelemeler: Aşağıdakilerin tümü için %95 güven varsayımı, büyük N

Hata Marjı Konu başına gerekli test yinelemeleri
%1 9595
%2 2401
%3 1067
%5 385
%10 97

Gereken süre (deneme başına 30 sn, 10 denek)

hata payı Toplam zaman
%1 799.6 saat
%2 200,1 saat
%3 88.9 saat
%5 32.1 saat
%10 8.1 saat

Popülasyonda %2 ila %12 arasında gerçek bir hata oranı veren %5'lik bir hata payı hedeflemenizi öneririz.

Dürbün

Bu işlem, öncelikle hedef kullanıcının parmak izinin fakslarına karşı parmak izi kimlik doğrulamasının esnekliğini test etmek için ayarlanmıştır. Test metodolojisi, mevcut malzeme maliyetlerine, bulunabilirliğe ve teknolojiye dayanmaktadır. Bu protokol, uygulanması pratik hale geldikçe, yeni malzeme ve tekniklere karşı dayanıklılığın ölçülmesini içerecek şekilde revize edilecektir.

Ortak düşünceler

Her modalite farklı bir test kurulumu gerektirse de, hepsi için geçerli olan birkaç ortak yön vardır.

Gerçek donanımı test edin

Biyometrik modeller ideal koşullar altında ve bir mobil cihazda göründüğünden farklı donanımlarda test edildiğinde, toplanan SAR/IAR ölçümleri hatalı olabilir. Örneğin, çoklu mikrofon kurulumu kullanılarak yankısız bir odada kalibre edilen sesle kilit açma modelleri, gürültülü bir ortamda tek bir mikrofon cihazında kullanıldığında çok farklı davranır. Doğru ölçümleri yakalamak için, donanımın kurulu olduğu ve donanımın cihazda göründüğü gibi olmadığı durumlarda testler gerçek bir cihaz üzerinde yapılmalıdır.

Bilinen saldırıları kullan

Günümüzde kullanılan çoğu biyometrik modaliteler başarıyla taklit edilmiştir ve saldırı metodolojisinin halka açık belgeleri mevcuttur. Aşağıda, bilinen saldırılara sahip modaliteler için test kurulumlarına ilişkin yüksek düzeyde kısa bir genel bakış sunuyoruz. Mümkün olan her yerde burada özetlenen kurulumu kullanmanızı öneririz.

Yeni saldırıları tahmin edin

Önemli yeni iyileştirmelerin yapıldığı yöntemler için, test kurulum belgesi uygun bir kurulum içermeyebilir ve bilinen hiçbir genel saldırı mevcut olmayabilir. Mevcut modaliteler, yeni keşfedilen bir saldırının ardından test kurulumlarının ayarlanmasını da gerektirebilir. Her iki durumda da makul bir test kurulumu bulmanız gerekecektir. Eklenebilecek makul bir mekanizma oluşturup oluşturmadığınızı bize bildirmek için lütfen bu sayfanın altındaki Site Geri Bildirimi bağlantısını kullanın.

Farklı modaliteler için kurulumlar

Parmak izi

IAR Gerekli değil.
SAR
  • Hedef parmak izinin bir kalıbını kullanarak 2.5D PAI oluşturun.
  • Ölçüm doğruluğu parmak izi kalıbının kalitesine duyarlıdır. Diş silikonu iyi bir seçimdir.
  • Test kurulumu, kalıpla oluşturulan sahte parmak izinin cihazın kilidini ne sıklıkta açabildiğini ölçmelidir.

Yüz ve İris

IAR Alt sınır SAR tarafından yakalanacaktır, dolayısıyla bunun ayrı olarak ölçülmesine gerek yoktur.
SAR
  • Hedefin yüzünün fotoğraflarıyla test edin. İris için, kullanıcının normalde bu özelliği kullanacağı mesafeyi taklit etmek için yüzün yakınlaştırılması gerekir.
  • Fotoğraflar yüksek çözünürlüklü olmalıdır, aksi takdirde sonuçlar yanıltıcı olur.
  • Fotoğraflar, görüntü olduğunu ortaya çıkaracak şekilde sunulmamalıdır. Örneğin:
    • resim sınırları dahil edilmemelidir
    • fotoğraf bir telefondaysa, telefon ekranı/çerçeveleri görünmemelidir
    • Fotoğrafı tutan biri varsa elleri görülmemelidir.
  • Düz açılar için, fotoğraf sensörü doldurmalıdır, böylece dışarıdaki başka hiçbir şey görülemez.
  • Yüz ve iris modelleri, örnek (yüz/iris/fotoğraf) kameraya göre dar bir açıda olduğunda (telefonu doğrudan önlerinde tutan ve yüzünü yukarı doğru tutan bir kullanıcının kullanım durumunu taklit etmek için) tipik olarak daha serbesttir. ). Bu açıdan test etmek, modelinizin sızdırmaya açık olup olmadığını belirlemeye yardımcı olur.
  • Test kurulumu, bir yüz veya iris görüntüsünün cihazın kilidini ne sıklıkta açabildiğini ölçmelidir.

Ses

IAR
  • Katılımcıların olumlu bir örnek duyduğu bir kurulum kullanarak test edin ve ardından onu taklit etmeye çalışın.
  • Bazı tonlamaların/vurguların daha yüksek FAR'a sahip olduğu uç durumların kapsamını sağlamak için modeli cinsiyetler arasında ve farklı aksanlarla katılımcılarla test edin.
SAR
  • Hedefin sesinin kayıtları ile test edin.
  • Kayıt makul derecede yüksek kalitede olmalıdır, aksi takdirde sonuçlar yanıltıcı olacaktır.