قياس الأمن فتح البيومترية

لكي يتم اعتباره متوافقًا مع Android ، يجب أن تفي تطبيقات الجهاز بالمتطلبات الواردة في مستند تعريف توافق Android (CDD) . يقوم نظام Android 10 CDD بتقييم أمان تطبيق المقاييس الحيوية باستخدام الأمان المعماري والقدرة على الانتحال .

  • الأمان المعماري : مدى مرونة خط أنابيب المقاييس الحيوية في مواجهة تسوية kernel أو النظام الأساسي. يعتبر خط الأنابيب آمنًا إذا كانت تسويات kernel والنظام الأساسي لا تمنح القدرة على قراءة البيانات الحيوية الأولية أو حقن البيانات الاصطناعية في خط الأنابيب للتأثير على قرار المصادقة.
  • Spoofability : يتم قياس Spoofability بواسطة معدل قبول Spoof (SAR) للقياسات الحيوية. SAR هو مقياس تم تقديمه في Android 9 لقياس مدى مرونة القياسات الحيوية ضد مهاجم مخصص. عند قياس القياسات الحيوية ، يتعين عليك اتباع البروتوكولات الموضحة أدناه.

يستخدم Android ثلاثة أنواع من المقاييس لقياس قوة تنفيذ القياسات الحيوية.

  • معدل قبول محاكاة ساخرة (SAR) : يحدد مقياس فرصة قبول نموذج المقاييس الحيوية لعينة جيدة معروفة مسجلة مسبقًا. على سبيل المثال ، مع إلغاء قفل الصوت ، سيقيس هذا فرص إلغاء قفل هاتف المستخدم باستخدام عينة مسجلة منها تقول: "Ok ، Google" نحن نطلق على مثل هذه الهجمات Spoof Attacks .
  • معدل قبول الدجال (IAR) : يحدد مقياس فرصة أن يقبل نموذج المقاييس الحيوية المدخلات التي تهدف إلى محاكاة عينة جيدة معروفة. على سبيل المثال ، في آلية Smart Lock الصوتي الموثوق (فتح الصوت) ، سيقيس هذا عدد المرات التي يمكن فيها لشخص يحاول تقليد صوت المستخدم (باستخدام نغمة ولهجة مماثلة) فتح أجهزته. نحن نطلق على مثل هذه الهجمات هجمات المحتال .
  • معدل القبول الخاطئ (FAR) : يحدد مقاييس عدد المرات التي يقبل فيها النموذج عن طريق الخطأ إدخالًا غير صحيح تم اختياره عشوائيًا. في حين أن هذا مقياس مفيد ، إلا أنه لا يوفر معلومات كافية لتقييم مدى جودة تصدي النموذج للهجمات المستهدفة.

الوكلاء المعتمدون

يغير Android 10 طريقة عمل Trust Agents. لا يمكن للوكلاء المعتمدين إلغاء قفل جهاز ، بل يمكنهم فقط تمديد مدة إلغاء القفل لجهاز تم إلغاء قفله بالفعل. تم إهمال الوجه الموثوق به في Android 10.

المصادقة المتدرجة

يتم تصنيف الأمان البيومتري باستخدام نتائج اختبارات الأمان المعماري والخداع. يمكن تصنيف تطبيق القياسات الحيوية على أنه إما قوي أو ضعيف أو ملائم . يصف الجدول أدناه كل طبقة.

الطبقة البيومترية المقاييس خط أنابيب البيومترية قيود
الدرجة 3 - قوي ريال سعودي: 0-7٪
المسافة الفارغة: 1/50 ألف
FRR: 10٪
يؤمن
  • 72 ساعة قبل الرجوع إلى المصادقة الأساسية (مثل PIN أو النمط أو كلمة المرور)
  • يمكن أن يعرض واجهة برمجة التطبيقات للتطبيقات (على سبيل المثال: من خلال التكامل مع BiometricPrompt أو FIDO2 APIs
  • يجب إرسال BCR
الدرجة 2 - ضعيف
(أجهزة جديدة)
ريال سعودي: 7-20٪
المسافة الفارغة: 1/50 ألف
FRR: 10٪
يؤمن
  • 24 ساعة قبل الرجوع إلى المصادقة الأساسية
  • مهلة خمول لمدة 4 ساعات أو 3 محاولات غير صحيحة قبل الرجوع إلى المصادقة الأساسية
  • يمكن أن يتكامل مع BiometricPrompt ، لكن لا يمكن أن يتكامل مع keystore (على سبيل المثال: لتحرير مفاتيح التطبيق المرخصة)
  • يجب إرسال BCR
الدرجة 2 - ضعيف
(ترقية الأجهزة)
ريال سعودي: 7-20٪
المسافة الفارغة: 1/50 ألف
FRR: 10٪
غير آمن / آمن
  • نوصي بشدة قبل 24 ساعة من الرجوع إلى المصادقة الأساسية
  • نوصي بشدة بانتهاء مهلة الخمول لمدة 4 ساعات أو 3 محاولات غير صحيحة قبل الرجوع إلى المصادقة الأساسية
  • يمكن أن يتكامل مع BiometricPrompt إذا كان خط الأنابيب آمنًا ، ولكن لا يمكن دمجه مع keystore (على سبيل المثال: لتحرير مفاتيح التطبيق المرخصة)
  • يجب إرسال BCR
الفئة 1 - الملاءمة (أجهزة جديدة) ريال سعودي:> 20٪
المسافة الفارغة: 1/50 ألف
FRR: 10٪
غير آمن / آمن
  • 24 ساعة قبل الرجوع إلى المصادقة الأساسية
  • مهلة خمول لمدة 4 ساعات أو 3 محاولات غير صحيحة قبل الرجوع إلى المصادقة الأساسية
  • لا يمكن كشف API للتطبيقات
  • يمكن أن تختفي الطبقة المؤقتة بعد Q
الدرجة 1 - الراحة
(لترقية الأجهزة)
ريال سعودي:> 20٪
المسافة الفارغة: 1/50 ألف
FRR: 10٪
غير آمن / آمن
  • نوصي بشدة قبل 24 ساعة من الرجوع إلى المصادقة الأساسية
  • نوصي بشدة بانتهاء مهلة الخمول لمدة 4 ساعات أو 3 محاولات غير صحيحة قبل الرجوع إلى المصادقة الأساسية
  • لا يمكن كشف API للتطبيقات
  • يمكن أن تختفي الطبقة المؤقتة بعد Q

طرائق قوية مقابل ضعيفة مقابل وسائل الراحة

شريط تصنيف طريقة الفتح هو مزيج من معدلات القبول الثلاثة - FAR و IAR و SAR. في الحالات التي لا يوجد فيها هجوم دجال ، فإننا نأخذ في الاعتبار فقط FAR و SAR.
راجع مستند تعريف توافق Android (CDD) للتعرف على الإجراءات التي يجب اتخاذها لجميع أساليب إلغاء القفل.

مصادقة الوجه وقزحية العين

عملية التقييم

تتكون عملية التقييم من مرحلتين. تحدد مرحلة المعايرة هجوم العرض الأمثل لحل مصادقة معين (أي الموضع المعاير). تستخدم مرحلة الاختبار الموضع المعاير لتنفيذ هجمات متعددة وتقييم عدد المرات التي نجح فيها الهجوم.

من المهم تحديد موضع المعايرة أولاً لأنه يجب قياس SAR فقط باستخدام الهجمات ضد أكبر نقطة ضعف في النظام.

عملية المعايرة

هناك ثلاث معلمات لمصادقة الوجه وقزحية العين تحتاج إلى التحسين لضمان القيم المثلى لمرحلة الاختبار.

وجه

  • وسيط العرض هو وسيط الإخراج الفعلي للخداع. يتم حاليًا النظر في الوسائط التالية في النطاق:
    • 2 د
      • صور مطبوعة
      • الصور على الشاشة أو شاشة الهاتف
      • مقاطع الفيديو على الشاشة أو شاشة الهاتف
    • ثلاثي الأبعاد
      • أقنعة مطبوعة ثلاثية الأبعاد
  • يتعلق تنسيق العرض بالمزيد من التلاعب بالوسط أو البيئة ، بطريقة تساعد على الانتحال. فيما يلي بعض الأمثلة على التلاعب لتجربتها:
    • يمكن أن يساعد طي الصور المطبوعة قليلاً بحيث تنحني عند الخدين (وبالتالي تحاكي العمق قليلاً) في بعض الأحيان بشكل كبير في كسر حلول مصادقة الوجه ثنائية الأبعاد.
    • تعد ظروف الإضاءة المتغيرة مثالاً على تعديل البيئة للمساعدة في الانتحال
    • تلطيخ العدسة أو تلطيخها قليلاً
    • تغيير اتجاه الهاتف بين الوضعين الرأسي والأفقي لمعرفة ما إذا كان ذلك يؤثر على الاحتيال
  • يعد الأداء عبر تنوع الموضوع (أو عدمه) وثيق الصلة بشكل خاص بحلول المصادقة القائمة على التعلم الآلي. غالبًا ما يكشف اختبار تدفق المعايرة عبر الأجناس والأعراق الخاضعة للموضوع عن أداء أسوأ بشكل كبير لشرائح من سكان العالم وهو عامل مهم للمعايرة في هذه المرحلة.

يهدف اختبار الانتحال إلى اختبار ما إذا كان النظام يقبل هجوم إعادة عرض أو عرض صالح أم لا. يجب أن يكون وسيط العرض التقديمي كافيًا لتمريره كمطالبة بيومترية صالحة أثناء عملية التحقق من القياسات الحيوية إذا لم يتم تنفيذ أو تعطيل كشف مكافحة الانتحال أو كشف هجوم العرض (PAD). وسيط العرض الذي لا يمكنه اجتياز عملية التحقق من المقاييس الحيوية بدون وظيفة مكافحة الانتحال أو PAD غير صالح باعتباره محاكاة ساخرة وجميع الاختبارات التي تستخدم هذا الوسيط غير صالحة. يجب أن تثبت موصلات اختبارات الانتحال أن وسيط العرض ، أو المصنوعات اليدوية ، المستخدمة في اختباراتهم تفي بهذه المعايير.

قزحية

  • وسيط العرض هو وسيط الإخراج الفعلي للخداع. يتم حاليًا النظر في الوسائط التالية في النطاق:
    • صور مطبوعة لوجوه تظهر بوضوح قزحية العين
    • صور / مقاطع فيديو لوجوه على شاشة أو شاشة هاتف تُظهر قزحية العين بوضوح
    • العيون الصناعية
  • يتعلق تنسيق العرض بالمزيد من التلاعب بالوسط أو البيئة ، بطريقة تساعد على الانتحال. على سبيل المثال ، يساعد وضع العدسة اللاصقة على صورة مطبوعة أو فوق عرض صورة / فيديو للعين على خداع بعض أنظمة تصنيف قزحية العين ويمكن أن يساعد في تحسين معدل تجاوز أنظمة مصادقة قزحية العين.
  • يعد الأداء عبر تنوع الموضوعات وثيق الصلة بشكل خاص بحلول المصادقة القائمة على التعلم الآلي. باستخدام المصادقة المستندة إلى قزحية العين ، يمكن أن يكون لألوان قزحية العين المختلفة خصائص طيفية مختلفة ، ويمكن أن يبرز الاختبار عبر ألوان مختلفة مشكلات الأداء لشرائح من السكان العالميين.

مرحلة الإختبار

مرحلة الاختبار هي المكان الذي يتم فيه قياس مرونة الحل فعليًا باستخدام هجوم العرض التقديمي الأمثل من المرحلة السابقة.

عد المحاولات في مرحلة الاختبار

تُحسب المحاولة الواحدة كنافذة بين تقديم وجه (حقيقي أو مخادع) ، وتلقي بعض الملاحظات من الهاتف (إما حدث إلغاء قفل أو رسالة مرئية للمستخدم). يجب عدم تضمين أي محاولات يتعذر فيها على الهاتف الحصول على بيانات كافية لمحاولة المطابقة في العدد الإجمالي للمحاولات المستخدمة لحساب SAR.

بروتوكول التقييم

التسجيل

قبل بدء مرحلة المعايرة لكل من مصادقة الوجه أو القزحية ، انتقل إلى إعدادات الجهاز وقم بإزالة جميع ملفات تعريف القياسات الحيوية الموجودة. بعد إزالة جميع ملفات التعريف الحالية ، قم بتسجيل ملف تعريف جديد بالوجه المستهدف أو القزحية التي سيتم استخدامها للمعايرة والاختبار. من المهم أن تكون في بيئة ذات إضاءة ساطعة عند إضافة شكل جديد لوجه أو قزحية وأن يكون الجهاز في وضع صحيح أمام وجه الهدف مباشرة على مسافة 20 سم إلى 80 سم.

مرحلة المعايرة

تحضير وسيط العرض.

وجه

  • التقط صورة أو مقطع فيديو عالي الجودة للوجه المسجل تحت نفس ظروف الإضاءة والزاوية والمسافة مثل تدفق التسجيل.
  • للمطبوعات المادية:
    • قص على طول الخطوط العريضة للوجه ، وإنشاء قناع ورقي من نوع ما.
    • اثنِ القناع على الخدين لتقليد انحناء الوجه المستهدف
    • قطع ثقوب العين في "القناع" لإظهار عيون المختبر - وهذا مفيد للحلول التي تبحث عن الوميض كوسيلة لاكتشاف النشاط.
  • جرب معالجات تنسيق العرض المقترحة لمعرفة ما إذا كانت تؤثر على فرص النجاح أثناء مرحلة المعايرة

قزحية

  • التقط صورة عالية الدقة أو مقطع فيديو للوجه المسجل ، يظهر بوضوح قزحية العين تحت ظروف الإضاءة نفسها والزاوية والمسافة مثل تدفق التسجيل.
  • جرب باستخدام العدسات اللاصقة أو بدونها لمعرفة الطريقة التي تزيد من الاحتيال

إجراء مرحلة المعايرة

المواقف المرجعية
  • موضع المرجع : يتم تحديد موضع المرجع من خلال وضع وسيط العرض على مسافة مناسبة (20-80 سم) أمام الجهاز بحيث يكون الوسط مرئيًا بوضوح في عرض الجهاز ولكن أي شيء آخر يتم استخدامه (مثل الوقوف للوسيط) غير مرئي.
  • المستوى المرجعي الأفقي : بينما يكون الوسيط في الموضع المرجعي ، يكون المستوى الأفقي بين الجهاز والوسط هو المستوى المرجعي الأفقي.
  • المستوى المرجعي العمودي : بينما يكون الوسيط في الموضع المرجعي ، يكون المستوى العمودي بين الجهاز والوسيط هو المستوى المرجعي العمودي.
الطائرات المرجعية
الشكل 1 : الطائرات المرجعية
قوس عمودي

حدد الموضع المرجعي ثم اختبر الوسيط في قوس رأسي مع الحفاظ على نفس المسافة من الجهاز مثل الموضع المرجعي. ارفع الوسيط في نفس المستوى العمودي ، وخلق زاوية 10 درجات بين الجهاز والمستوى المرجعي الأفقي واختبر فتح الوجه.

استمر في رفع واختبار الوسيط بزيادات قدرها 10 درجات حتى يصبح الوسيط غير مرئي في مجال رؤية الأجهزة. سجل أي مواقف فتح الجهاز بنجاح. كرر هذه العملية مع تحريك الوسط في قوس لأسفل ، أسفل المستوى المرجعي الأفقي. انظر الشكل 3 أدناه للحصول على مثال لاختبارات القوس.

قوس أفقي

أعد الوسيط إلى الموضع المرجعي ثم حركه على طول المستوى الأفقي لإنشاء زاوية 10 درجات مع المستوى المرجعي العمودي. قم بإجراء اختبار القوس العمودي مع الوسيط في هذا الوضع الجديد. حرك الوسيط على طول المستوى الأفقي بزيادات قدرها 10 درجات وقم بإجراء اختبار القوس العمودي في كل موضع جديد.

اختبار على طول القوس الأفقي
الشكل 1 : الاختبار على طول القوس الرأسي والأفقي

يجب تكرار اختبارات القوس بزيادات قدرها 10 درجات لكل من الجانب الأيسر والأيمن للجهاز وكذلك فوق الجهاز وتحته.

الموضع الذي يعطي نتائج فتح القفل الأكثر موثوقية هو الموضع المعاير للانتحال ثنائي الأبعاد.

مرحلة المعايرة لـ 3D

تتطابق معايرة الوسيط ثلاثي الأبعاد مع مرحلة المعايرة للوسيط ثنائي الأبعاد باستثناء استخدام وسيط مطبوع ثلاثي الأبعاد (مثل القناع). اتبع التعليمات الخاصة بمعايرة الوسيط ثنائي الأبعاد باستخدام الوسيط ثلاثي الأبعاد وحدد موضع المعايرة.

اختبار التنوع

من الممكن أن تعمل نماذج الوجه والقزحية بشكل مختلف عبر الجنس والأعراق. قم بمعايرة هجمات العرض عبر مجموعة متنوعة من الوجوه لزيادة فرص الكشف عن الفجوات في الأداء.

مرحلة الاختبار

في نهاية مرحلة المعايرة يجب أن يكون هناك موقفين معايرة (بشكل جماعي عبر 2D و 3D) تهدف إلى اختبار كل من 2D و 3D SPOOFABILITY. إذا تعذر إنشاء موضع معاير ، فيجب استخدام الموضع المرجعي. منهجية الاختبار شائعة لكل من الاختبارين ثنائي الأبعاد وثلاثي الأبعاد وهي واضحة جدًا.

  • عبر الوجوه المسجلة ، حيث E> = 10 ، ويتضمن ما لا يقل عن 5 وجوه فريدة (وهذا يعني أن الحد الأدنى من الاختبار سيكرر كل وجه من الوجوه الخمسة الفريدة مرتين).
    • تسجيل الوجه / القزحية
    • باستخدام الموضع الذي تمت معايرته من المرحلة السابقة ، قم بإجراء محاولات فتح U ، وعد المحاولات كما هو موضح في القسم السابق ، وحيث U> = 10. سجل عدد عمليات إلغاء القفل الناجحة S.
    • يمكن بعد ذلك قياس معدل الامتصاص النوعي (بشكل منفصل للثنائي الأبعاد وثلاثي الأبعاد) على النحو التالي:

أين:

  • E = عدد المسجلين
  • U = عدد محاولات إلغاء القفل لكل تسجيل
  • Si = عدد مرات إلغاء القفل الناجحة للتسجيل i

التكرارات المطلوبة للحصول على عينات صحيحة إحصائيًا لمعدلات الخطأ: افتراض ثقة 95٪ للجميع أدناه ، كبير N

هامش الخطأ اختبار التكرارات المطلوبة لكل موضوع
9595
2401
1067
385
10٪ 97

الوقت المطلوب (30 ثانية لكل محاولة ، 5 مواضيع)

هامش الخطأ الوقت الكلي
399 ساعة
100 ساعة
44.5 ساعة
16.4 ساعة
10٪ 4.0 ساعات

نوصي باستهداف هامش خطأ بنسبة 5٪ ، مما يعطي معدل خطأ حقيقي بين 2٪ إلى 12٪.

نطاق

تم إعداد هذه العملية لاختبار مرونة مصادقة الوجه في المقام الأول مقابل الفاكسات لوجه المستخدم المستهدف. لا يتعامل مع الهجمات غير المستندة إلى الفاكس مثل استخدام مصابيح LED أو الأنماط التي تعمل كمطبوعات رئيسية. في حين أن هذه لم تثبت فعاليتها بعد ضد أنظمة المصادقة على الوجه القائمة على العمق ، لا يوجد شيء يمنع من الناحية المفاهيمية هذا من أن يكون صحيحًا. من الممكن والمعقول أن تظهر الأبحاث المستقبلية أن هذا هو الحال. في هذه المرحلة ، سيتم مراجعة هذا البروتوكول ليشمل قياس المرونة ضد هذه الهجمات.

المصادقة ببصمة الإصبع

في Android 10 ، تم تعيين الشريط عند الحد الأدنى من المرونة لبصمات الأصابع المزيفة كما تم قياسه بواسطة معدل قبول محاكاة ساخرة (SAR) أقل من أو يساوي 7٪. سبب موجز لسبب وجود 7٪ تحديدًا في منشور المدونة هذا .

عملية التقييم

تتكون عملية التقييم من مرحلتين. تحدد مرحلة المعايرة الهجوم الأمثل للعرض التقديمي لحل معين للمصادقة ببصمة الإصبع (أي الموضع المعاير). تستخدم مرحلة الاختبار الموضع المعاير لتنفيذ هجمات متعددة وتقييم عدد المرات التي نجح فيها الهجوم.

عملية المعايرة

هناك ثلاث معلمات لمصادقة بصمات الأصابع يجب تحسينها لضمان القيم المثلى لمرحلة الاختبار.

  • وسيط العرض هو وسيط الإخراج الفعلي للخداع ، مثل بصمات الأصابع المطبوعة أو النسخ المتماثلة المقولبة كلها أمثلة لوسائط العرض التقديمي. يوصى بشدة باستخدام المواد الخادعة التالية.
    • بصري
      • ورق نسخ / شفاف بحبر غير موصل
      • نوكس جيلاتين
      • اللثي الطلاء
      • غراء إلمر جميع
    • بالسعة
      • ورق نسخ / شفاف بحبر موصل
      • نوكس جيلاتين
      • غراء الخشب الداخلي من Elmer's Carpenter
      • غراء إلمر جميع
      • اللثي الطلاء
    • بالموجات فوق الصوتية
      • ورق نسخ / شفاف بحبر غير موصل
      • نوكس جيلاتين
      • غراء الخشب الداخلي من Elmer's Carpenter
      • غراء إلمر جميع
      • اللثي الطلاء
  • يتعلق تنسيق العرض بالمزيد من التلاعب بالوسط أو البيئة ، بطريقة تساعد على الانتحال. على سبيل المثال ، تنقيح أو تحرير صورة عالية الدقة لبصمة الإصبع قبل إنشاء النسخة المتماثلة ثلاثية الأبعاد.
  • يعد الأداء عبر تنوع الموضوع وثيق الصلة بشكل خاص بضبط الخوارزمية. غالبًا ما يكشف اختبار تدفق المعايرة عبر الأجناس والأعراق الخاضعة للموضوع عن أداء أسوأ بشكل كبير لشرائح من سكان العالم وهو عامل مهم للمعايرة في هذه المرحلة.
اختبار التنوع

يمكن لقارئي بصمات الأصابع أن يعملوا بشكل مختلف عبر الجنس والأعراق. نسبة صغيرة من السكان لديهم بصمات أصابع يصعب التعرف عليها ، لذلك يجب استخدام مجموعة متنوعة من بصمات الأصابع لتحديد المعلمات المثلى للتعرف واختبار الانتحال.

عملية الاختبار

مرحلة الاختبار هي المكان الذي يتم فيه قياس مرونة الحل فعليًا. يجب أن يتم الاختبار بطريقة غير تعاونية. بمعنى أن أي بصمات أصابع يتم جمعها يتم إجراؤها عن طريق رفعها عن سطح آخر بدلاً من مشاركة الهدف بنشاط في جمع بصمات أصابعهم ، مثل صنع قالب.

عد المحاولات في مرحلة الاختبار

يتم احتساب المحاولة الواحدة كنافذة بين تقديم بصمة إصبع (حقيقية أو مخادعة) إلى المستشعر ، وتلقي بعض الملاحظات من الهاتف (إما حدث إلغاء القفل أو رسالة مرئية للمستخدم).

يجب عدم تضمين أي محاولات يتعذر فيها على الهاتف الحصول على بيانات كافية لمحاولة المطابقة في العدد الإجمالي للمحاولات المستخدمة لحساب SAR.

بروتوكول التقييم

التسجيل

قبل بدء مرحلة المعايرة للمصادقة ببصمة الإصبع ، انتقل إلى إعدادات الجهاز وقم بإزالة جميع ملفات التعريف الحيوية الموجودة. بعد إزالة جميع ملفات التعريف الحالية ، قم بتسجيل ملف تعريف جديد ببصمة الإصبع المستهدفة التي سيتم استخدامها للمعايرة والاختبار. اتبع جميع الإرشادات التي تظهر على الشاشة حتى يتم تسجيل ملف التعريف بنجاح.

مرحلة المعايرة

بالموجات فوق الصوتية

هذا مشابه لمراحل معايرة البصمة والسعة ، ولكن مع كل من المطبوعات والقالب ثلاثي الأبعاد لبصمة المستخدم المستهدف.

  • ارفع نسخة كامنة من بصمة الإصبع عن أحد الأسطح.
  • اختبر باستخدام وسيط عرض مثل المطبوعات
    • ضع البصمة المرفوعة على المستشعر
  • اختبار باستخدام قالب ثلاثي الأبعاد. يجب إنشاء بصمات أصابع مخادعة باستخدام 4 مواد مختلفة على الأقل (مثل الجيلاتين والسيليكون وغراء الخشب) لكل شخص.
    • اصنع قالبًا لبصمة الإصبع
    • ضع بصمة الإصبع على المستشعر
بصري

تتضمن معايرة البصمة رفع نسخة كامنة من بصمة الهدف. على سبيل المثال ، يمكن القيام بذلك باستخدام بصمات الأصابع التي يتم رفعها عبر مسحوق بصمات الأصابع ، أو نسخ مطبوعة من بصمة الإصبع وقد يشمل ذلك إعادة لمس صورة بصمة الإصبع يدويًا لتحقيق محاكاة ساخرة أفضل.

بالسعة

تتضمن المعايرة الخاصة بالسعة نفس الخطوات الموضحة أعلاه للمعايرة الضوئية ولكن بعد عمل النسخة الكامنة من بصمة الهدف ، يتم عمل قالب لبصمة الإصبع.

مرحلة الاختبار

  • احصل على 10 أشخاص على الأقل لتسجيل بصمة إصبع واحدة باستخدام نفس المعلمات المستخدمة عند حساب FRR / FAR
  • أنشئ ما لا يقل عن 4 بصمات أصابع مزيفة باستخدام ما لا يقل عن 4 مواد مخادعة مختلفة لكل شخص باستخدام الطرق الموضحة أعلاه
  • جرب كل محاولات السخرية المختلفة عبر 5 محاولات لإلغاء القفل لكل شخص

التكرارات المطلوبة للحصول على عينات صحيحة إحصائيًا لمعدلات الخطأ: افتراض ثقة 95٪ للجميع أدناه ، كبير N

هامش الخطأ اختبار التكرارات المطلوبة لكل موضوع
9595
2401
1067
385
10٪ 97

الوقت المطلوب (30 ثانية لكل محاولة ، 5 مواضيع)

هامش الخطأ الوقت الكلي
399 ساعة
100 ساعة
44.5 ساعة
16.4 ساعة
10٪ 4.0 ساعات

نوصي باستهداف هامش خطأ بنسبة 5٪ ، مما يعطي معدل خطأ حقيقي بين 2٪ إلى 12٪.

نطاق

تم إعداد هذه العملية لاختبار مرونة المصادقة ببصمة الإصبع في المقام الأول مقابل الفاكسات لبصمة إصبع المستخدم المستهدف. تعتمد منهجية الاختبار على تكاليف المواد الحالية والتوافر وتقنية صنع القوالب. سيتم مراجعة هذا البروتوكول ليشمل قياس المرونة ضد المواد والتقنيات الجديدة عندما تصبح عملية للتنفيذ.

اعتبارات مشتركة

بينما تتطلب كل طريقة إعداد اختبار مختلف ، هناك بعض الجوانب الشائعة التي تنطبق عليها جميعًا.

اختبر الأجهزة الفعلية

يمكن أن تكون مقاييس SAR / IAR المجمعة غير دقيقة عندما يتم اختبار النماذج الحيوية في ظل ظروف مثالية وعلى أجهزة مختلفة عن تلك التي تظهر بالفعل على جهاز محمول. على سبيل المثال ، نماذج إلغاء قفل الصوت التي تمت معايرتها في غرفة عديمة الصدى باستخدام إعداد متعدد الميكروفونات تتصرف بشكل مختلف تمامًا عند استخدامها على جهاز ميكروفون واحد في بيئة صاخبة. من أجل الحصول على مقاييس دقيقة ، يجب إجراء الاختبارات على جهاز فعلي مع تثبيت الأجهزة ، وفشل ذلك مع الأجهزة كما ستظهر على الجهاز.

استخدم الهجمات المعروفة

تم انتحال معظم أساليب القياسات الحيوية المستخدمة اليوم بنجاح ، وتوجد توثيق علني لمنهجية الهجوم. نقدم أدناه نظرة عامة مختصرة عالية المستوى لإعدادات الاختبار للطرائق ذات الهجمات المعروفة. نوصي باستخدام الإعداد الموضح هنا حيثما أمكن ذلك.

توقع هجمات جديدة

بالنسبة للطرائق التي تم فيها إجراء تحسينات جديدة مهمة ، قد لا يحتوي مستند إعداد الاختبار على إعداد مناسب ، وقد لا يوجد هجوم عام معروف. قد تحتاج الطرائق الحالية أيضًا إلى ضبط إعدادات الاختبار الخاصة بها في أعقاب هجوم تم اكتشافه حديثًا. في كلتا الحالتين ، ستحتاج إلى إعداد اختبار معقول. يرجى استخدام رابط ملاحظات الموقع في أسفل هذه الصفحة لإعلامنا إذا كنت قد أعددت آلية معقولة يمكن إضافتها.

تجهيزات لطرائق مختلفة

بصمة

IAR لا حاجة.
ريال سعودي
  • قم بإنشاء بصمات أصابع مزيفة باستخدام قالب من بصمة الهدف.
  • دقة القياس حساسة لجودة قالب البصمة. سيليكون الأسنان هو خيار جيد.
  • يجب أن يقيس إعداد الاختبار مدى قدرة بصمة الإصبع المزيفة التي تم إنشاؤها باستخدام القالب على إلغاء قفل الجهاز.

الوجه والقزحية

IAR سيتم التقاط الحد الأدنى بواسطة SAR لذا لا داعي للقياس المنفصل لذلك.
ريال سعودي
  • اختبار مع صور وجه الهدف. بالنسبة لقزحية العين ، سيحتاج الوجه إلى التكبير لتقليد المسافة التي يستخدمها المستخدم عادةً.
  • يجب أن تكون الصور عالية الدقة ، وإلا فإن النتائج تكون مضللة.
  • يجب عدم عرض الصور بطريقة تكشف أنها صور. على سبيل المثال:
    • لا يجب تضمين حدود الصورة
    • إذا كانت الصورة على الهاتف ، فيجب ألا تكون شاشة الهاتف / الحواف مرئية
    • إذا كان شخص ما يحمل الصورة ، فلا ينبغي رؤية أيديهم
  • للزوايا المستقيمة ، يجب أن تملأ الصورة المستشعر بحيث لا يمكن رؤية أي شيء آخر بالخارج.
  • عادةً ما تكون نماذج الوجه والقزحية أكثر تساهلاً عندما تكون العينة (الوجه / القزحية / الصورة) بزاوية حادة بالنسبة للكاميرا (لتقليد حالة استخدام مستخدم يمسك الهاتف أمامه مباشرة ويشير إلى وجهه ). سيساعد الاختبار من هذه الزاوية في تحديد ما إذا كان نموذجك عرضة للانتحال.
  • يجب أن يقيس إعداد الاختبار مدى قدرة صورة الوجه أو القزحية على إلغاء قفل الجهاز.

صوت

IAR
  • اختبر باستخدام إعداد حيث يسمع المشاركون عينة إيجابية ثم حاول تقليدها.
  • اختبر النموذج مع المشاركين من الجنسين ولهجات مختلفة لضمان تغطية حالات الحافة حيث يكون لبعض التجويد / اللكنات نسبة أعلى من FAR.
ريال سعودي
  • اختبار مع تسجيلات صوت الهدف.
  • يجب أن يكون التسجيل بجودة عالية بشكل معقول ، وإلا ستكون النتائج مضللة.