Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
バイオメトリクス・セキュリティの
最新動向
日立製作所 横浜研究所 高橋 健太,村上 隆夫
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved. 1
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システム
生体情報を照合することで本人を認証し,何らかの資産に対するアクセス制御を行う.
セキュリティ設計の基本概念
資産の定義 ⇒ 脅威の識別 ⇒ 対策の立案
バイオメトリクス認証システムが守るべき資産は何か?
2
照合
認可 認証
特徴 抽出
センサ
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システムの資産と脅威
3
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
特徴 抽出
センサ
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システムの資産と脅威
4
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
資産②: 生体認証データ 脅威の種類: - 漏洩,改ざんなど
脅威の程度/影響範囲: - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題
特徴 抽出
センサ
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
本講演のスコープ
5
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
資産②: 生体認証データ 脅威の種類: - 漏洩,改ざんなど
脅威の程度/影響範囲: - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題
Template Protection 他人受入対策 (特に Wolf/Lamb 対策)
特徴 抽出
センサ
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
目次
Template Protection の最新動向
テンプレート保護の必要性と,テンプレート管理モデル
テンプレート保護型生体認証技術の分類と研究例
将来の方向性: Public Biometric Infrastructure (PBI)
他人受入対策(Wolf / Lamb 対策)の最新動向
FARでは測れない脅威・脆弱性, Wolf / Lamb とは?
Wolf/Lambに対する安全性の評価尺度
Wolf/Lamb対策技術
まとめ
6
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
生体情報の保護の必要性
法的問題/プライバシの問題
生体情報は個人を識別可能: 個人情報
人種・民族・健康状態などを特定できる可能性: センシティブ情報
安全性の問題
生体情報漏洩
→ 物理的偽造,電子的偽造などの脅威が発生
生体情報は生涯不変の特徴
→ 漏洩しても破棄・更新できない
生体情報を安全に保護しつつ活用することが重要
7
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
金融機関における生体情報保護の必要性
FISCガイドライン 『金融機関等コンピュータシステムの安全性対策基準・解説書第8版』(2011年3月)
【技35-1】 生体認証の特性を考慮し、必要な安全対策を検討すること。 生体認証の導入と運用にあたっては、技術の最新動向等に留意し、 その特性を十分考慮し、必要な安全対策を検討すること。 考慮すべき特性: 1.認証精度 2.代替措置手続き 3.否認防止 4.不正認証(なりすまし)等防止 5.テンプレート保護技術 「取り消し可能なバイオメトリクス認証」(Cancellable biometrics) など技術動向を考慮することが望ましい。
8
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
生体情報(テンプレート)の管理モデル
Store on Card (SOC)
カード内に格納して,ユーザ自身が管理する.
銀行ATMにおいて主流
Store on Device (SOD)
センサ/認証装置/認証端末(PC)内に保管
小規模入退管理装置,携帯端末/PCログイン等で多く使われる
Store on Server (SOS)
サーバ上で一括管理.
サーバ側で照合する場合と,配信して端末内照合する場合あり
企業内情報システム,大規模入退管理等で使われる
クラウドサービスとの親和性が高い
9
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOC/SODモデルにおける生体情報保護
センサ
ICカード (耐タンパチップ)
認証端末
照合 OK/NG
テンプレート
認証生体情報
カード/デバイス内照合 テンプレートをICカード内に格納して利用者が管理
認証時に取得した生体情報をカード内でテンプレート(登録特徴データ)と照合
利点 ハードウェアの耐タンパ性により生体情報を保護
ユーザ自身で生体情報を管理するためプライバシの問題が軽減
10
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOC/SODモデルの課題
センサ
ICカード (耐タンパチップ)
認証端末
照合 OK/NG
テンプレート
認証生体情報
安全性の課題
テンプレートの管理をサービス提供者側でコントロールできない
テンプレートの安全性がICカードの耐タンパ性のみに依存
利便性・コストの課題
ICカードの発行、回収、破棄、更新、再発行など運用管理コストが大きい
11
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOSモデルにおける従来の生体情報保護
クライアント
照合
OK/NG
暗号化 テンプレートDB
暗号化認証生体情報
サーバ
復号鍵
復号鍵の使用は
管理者のみに制限 (運用的対策に依存)
センサ
暗号化+運用管理
テンプレートを暗号化しサーバ側DBで集中管理.復号鍵はサーバ側で管理.
照合時にはテンプレートと認証生体情報をサーバ側の鍵で復号して比較.
利点
テンプレートの管理をサービス提供者側でコントロール可能.
サーバへのアクセス制御,管理者の教育等の運用による保護が可能.
ICカードの発行、管理コストが不要
12
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
「サーバ認証+暗号化」の問題点
クライアント
照合
OK/NG
暗号化 テンプレート
サーバ
復号鍵
復号鍵の使用は
管理者のみに制限 (運用的対策に依存)
照合時を狙った 高度な攻撃
不正な管理者
センサ
暗号化認証生体情報
内部不正に よる流出
安全性の問題点 不正な管理者がテンプレートを復号化し、漏洩/なりすましに利用可能
サーバ管理者権限を盗用した攻撃者も同様の攻撃が可能
一旦事故が発生すると,大規模漏洩に繋がる可能性あり
運用上の問題点
テンプレートの安全性が鍵管理/サーバ運用・保守に大きく依存するため、管理者やオペレータの強固な認証が必要となるなど、運用上の負担が大きい
13
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOSにおける新たな生体情報保護 テンプレート保護型生体認証技術
生体情報をサーバに対して秘匿したまま認証
- サーバ管理者の過失・内部不正による生体情報漏洩を防止
- 利用者のプライバシを保護
生体情報の安全性をアルゴリズムレベルで確保
- ⇔ カード内照合: 安全性をハードウェア(耐タンパチップ)に依存
- ⇔ 暗号化+運用管理: 安全性をサーバの運用管理に依存
14
テンプレート保護型生体認証のスキーム(ISO/IEC 24745 より)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
研究開発・標準化動向
研究動向 ここ10年余り,企業・大学等の研究機関において研究開発が活発化
欧州ではFP7(第7次枠組計画)において,テンプレート保護技術の研究開発を目的としたTURBINEプロジェクト(2008/2~2011/1)が実施
製品化動向 一部の技術は既に実用化フェーズに入りつつある
日立,蘭 GenKey(PrivID) など
標準化動向 ISO/IEC JTC1/SC27: 24745, “Biometric template protection”
ISO/IEC JTC1/SC37: WD 30136, “Performance Testing of Template Protection Schemes” (2012/10 NP)
ITU-T/SG17: X.1091, “A guideline for evaluating telebiometric template protection techniques”
15
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
テンプレート保護技術の分類
16
テンプレート保護型
生体認証技術
Cancelable Biometrics
(暗号化/ハッシュ化
したまま照合)
Biometric Cryptosystems
(生体情報への
秘密情報の埋込/抽出)
Feature Transformation
(距離保存変換)
Homomorphic
Encryption-based
(準同型暗号利用)
ZeroBIO
(ゼロ知識証明利用)
ECC-based
(誤り訂正符号利用)
Statistical Quantization
(統計的量子化)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
クライアント
Cancelable Biometrics
生体情報を変換(暗号化 or ハッシュ化)したまま照合
変換パラメータ(鍵,salt など)を変更することで
生体情報を変更することなくテンプレートを破棄・更新可能
17
登録
認証 利用者
認証サーバ
センサ/ 特徴抽出
変換 X’→F’P(X’)
X’ 生体情報 照合 OK/NG
センサ/ 特徴抽出
変換 X→FP(X)
X
生体情報
Cancelable Template
P
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Feature Transformation の例 Correlation Invariant Random Filtering [Takahashi, et.al., BTAS2009]
有限体上の離散フーリエ変換(NTT: Number Theoretic Transform)を利用
精度保存性と情報理論的安全性を有する
a
クライアント サーバ
認証フロー 登録フロー
相互相関関数
18
上下左右反転 &
2次元NTT
認証用画像 b
2次元 逆NTT
要素毎乗算
T◦ V=A◦ B
最大値探索 閾値判定
OK/NG
a*b
B
除算毎除算
V=B◦ K-1 認証用
変換画像
V=B◦ K-1
2次元NTT
テンプレート
Cancelable Template
T=A◦ K A
画素毎乗算
T=A◦ K
ランダムフィルタ (パラメータ)
K
逆NTT
ランダム画像
復元不可能 0 padding
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
クライアント
「近さ」のゼロ知識証明プロトコル (尾形, 他, SITA2006) 対象とする生体認証方式
生体情報: ベクトル X=(X1,X2,・・・,Xn)
生体情報X,Yが「近い」 ≡ max(|Xi – Yi|) ≦ m
登録時: 登録生体情報 X=(X1,・・・,Xn) のコミットメント {E(Xi,Ri)} をサーバに登録
乱数 {Ri} を利用者に発行
認証時: 照合生体情報 X’ = (X1’,・・・,Xn’) の各 Xi’ が区間 [Xi-θ,Xi+θ]に含まれることをゼロ知識証明(「区間のゼロ知識証明」を利用)
ZeroBIO の例
登録
認証
センサ/ 特徴抽出
暗号化 X→E(X,R)
乱数R 生成
X
R
生体情報
利用者
認証サーバ
T=E(X,R) T
センサ/ 特徴抽出
X’≒Xの ゼロ知識証明
X’
R
生体情報 X’≒Xの 検証
OK/NG ゼロ知識証明
19
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Homomorphic Encryption-based の例
2-DNF準同型暗号に基く秘匿距離計算(Hattori, et.al, IPSJ2012)
準同型公開鍵暗号(BGN方式など)を利用
計算サーバが,生体情報の暗号文同士の準同型演算により距離の暗号文を計算
復号サーバが,距離の暗号文を復号化し,しきい値と比較して判定
計算サーバ,復号サーバは結託しない前提
20
クライアント
センサ/ 特徴抽出
利用者 生体情報
復号サーバ
計算サーバ
鍵ペア生成
秘密鍵
暗号化
公開鍵
登録フロー 認証フロー 距離復号化 判定
秘匿距離計算 (準同型演算)
距離
距離
暗号化 特徴量
暗号化テンプレート
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Encryption 登録時,生体情報に秘密情報を埋め込み,補助情報(Helper Data)を生成
認証時,生体情報を用いて補助情報から秘密情報を取り出す
誤り訂正符号などを用いて,生体情報の誤差を補正しつつ秘密情報を復元
秘密情報としてパスワードや鍵を用いることも可能
+ ③誤り訂正符号
エンコード
②埋め込み
(秘密情報S) (登録生体) (補助情報)
登録処理 (秘密埋込み)
①秘密情報生成, ハッシュ値保存
21
ハッシュ値 H(S)
- (補助情報) (認証生体)
① デコード 秘密復元
(秘密情報S’)
②ハッシュ値 比較
認証処理 (秘密復元)
ハッシュ値 H(S)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Fuzzy Commitment (A. Juel, et. al., 1999)
特徴量X,X’の距離がハミング距離で与えられる場合に,
誤り訂正符号を用いて秘密鍵を生成するアルゴリズム.
登録時:
Xと同じビット長の誤り訂正符号C={Ci}から符号語をランダムに選択し秘密情報Sとする
補助情報: R=XS
認証時(鍵復元時):
X’R=S(XX’) を誤り訂正してSを生成
01100…. 秘密情報 S
(誤り訂正符号語)
10110…. 補助情報 R
11010…. 虹彩コード X
ハミング重み小(X,X’が近い) なら正しく誤り訂正可能
登録時
10010…. 虹彩コード X’
00100…. Ci (XX’)
10110…. 補助情報 R
Ci (XX’)
01100…. 秘密情報 S
誤り訂正
認証時
ECC-based の例
22
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Statistical Quantization の例
23
統計的AD変換 (柴田 他, 情処論文誌2004)
生体情報Xは独立なn個の値xiからなるベクトルX=(X1,...,Xn)とする
各Xiの量子化幅を複数の登録生体情報から統計的に学習
統計解析処理 特徴分布データ
隆線方向
頻度
隆線ブロックX
隆線方向(度) 出力値
下限 上限
0 29 101
30 59 000
60 89 010
90 119 111
120 149 011
150 179 001
真の分布
特徴抽出処理
・真の分布以外は適当に決める ・出力値は出力させたいパスワードの値
・統計解析により,分布の下限,上限を推定 ・例えば正規分布を仮定して3σを利用する
・一つの生体情報が複数持つ特徴を抽出する.
・例えば特定の方向を持つ隆線ブロックなど ・複数のサンプルから特徴抽出
指紋A
指紋A
その他の指紋
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
課題・研究動向
24
Cancelable Biometrics
(暗号化/ハッシュ化
したまま照合)
Biometric Cryptosystems
(生体情報への
秘密情報の埋込/抽出)
Feature Transformation
(距離保存変換)
Homomorphic
Encryption-based
(準同型暗号利用)
ZeroBIO
(ゼロ知識証明利用)
ECC-based
(誤り訂正符号利用)
Statistical Quantization
(統計的量子化)
プロトコル,システムモデル
など含めて発展,成熟.
実用化フェーズ
暗号分野で発展
効率化,実データ適用
が課題
効率化,実データ適用
が課題
暗号分野で発展
鍵交換プロトコル,
電子署名など提案
精度/安全性が課題
共通課題: 評価指標の確立 ⇒ ISO/IEC WD 30136
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
認証モデルの変遷とテンプレート保護技術の役割
認証モデル: クローズド型 → 集中(TTP)型 → 分散(オープン)型
テンプレート: 「保護」から「公開」へ
公開テンプレートに基く認証基盤: Public Biometrics Infrastructure
25
個別システム内 で閉じた認証
パスワード認証
TTPによる認証と 認証結果の配布
Kerberos認証 共通鍵暗号
分散型の認証
PKI 公開鍵暗号 電子署名
? TTP型生体認証
(クラウド/認証連携) キャンセラブル認証
従来の生体認証 パターン認識 生体認証
持物認証 記憶認証
スケーラビリティ/オープン化
認証方式 要素技術
凡例
利便性・確実性
PBI バイオメトリック暗号 バイオメトリック署名
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
テンプレート公開型生体認証基盤(PBI) 生体情報を「秘密鍵」とするPKI. カードやPWによる鍵管理不要
複数のシステム/サービスが公開テンプレートを共通利用可能.
サービス毎に生体情報を登録する必要がなく、「初対面」の相手に対しても認証可能
各サービス提供者は登録運用やテンプレート管理が不要.運用コストを大幅に低減可能
26
住民基本台帳カード
利用者
一方向性 変換
公開 テンプレート
発行
バイオメトリック登録局
証明書 発行
リポジトリ
公開テンプレート 証明書
便利で確実な 本人確認
パスワードレス ID管理
1回だけ初期登録
生体情報は復元不可能 (セキュリティ・プライバシ保護)
国民ID基盤
決済サービス
・パスワードレス電子決済 ・「手ぶら」クレジット決済
クラウド/ID管理
・パスワードレスID管理 ・企業システム/ワークフロー
様々なサービスで共通利用可能
・新興国: カードレス(低コスト)国民ID ・先進国: バリアフリー,プライバシ保護型国民ID
安全・安心な 利用者認証
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
[署名生成] + ③誤り訂正符号
エンコード
②鍵埋め込み
( Sの秘密鍵) ( Sの公開鍵) (署名時生体 =秘密鍵)
① S.鍵ペア生成
④S.署名生成
(署名)
署名の度に生成する ワンタイム鍵ペア
ワンタイム鍵と ユーザの紐付けを保証
ワンタイム鍵による 文書の完全性保証
PBIを実現するための要素技術の研究動向 バイオメトリック暗号: 生体情報に基く認証付き鍵交換(Dodis,et.al., CRYPTO’06)
バイオメトリック署名: 生体情報を秘密鍵とする電子署名
秘密鍵に曖昧さを許す電子署名: Fuzzy Signature (Yoneyama, et.al., SCIS2012)
Fuzzy Signature の拡張と安全性証明 (Takahashi,et.al., SCIS2013)
27
+ ③線形符号 エンコード
②鍵埋め込み
( Sの秘密鍵) ( Sの公開鍵)
①S.鍵ペア生成
[鍵生成]
(公開鍵)
[署名検証]
- ③線形符号
デコード
② 差分計算
(差分秘密鍵) ①署名検証
④準同型演算 ( Sの公開鍵)
⑤ 比較
ワンタイム鍵により 文書の完全性を検証
ワンタイム鍵と ユーザの紐付けを検証
誤り訂正処理により 誤差を吸収
公開テンプレート⇒生体情報 は計算困難 (一方向性)
※ S: 既存の署名 アルゴリズム
(登録生体 =秘密鍵)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
目次
Template Protection の最新動向
テンプレート保護の必要性と,テンプレート管理モデル
テンプレート保護型生体認証技術の分類と研究例
将来の方向性: Public Biometric Infrastructure (PBI)
他人受入対策(Wolf / Lamb 対策)の最新動向
FARでは測れない脅威・脆弱性, Wolf / Lamb とは?
Wolf/Lambに対する安全性の評価尺度
Wolf/Lamb対策技術
まとめ
28
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
アクセス対象資産に関する脅威・脆弱性(他人受入)
他人受入 権限を持たないユーザの資産へのアクセスを許してしまう
一般的には,FAR(他人受入率)が評価指標として用いられる
FARだけでは測れない脅威・脆弱性 人工物などを用いたなりすまし攻撃(Presentation Attack)
他人受入を起こしやすい特異な生体情報を持つ認証/登録ユーザ(Wolf/Lamb)
29
照合
認可 認証 アクセス対象資産 False Accept
特徴 抽出
センサ
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
なりすまし攻撃(Presentation Attack): 人工物(グミ指,印刷物・・・)などを提示することで,なりすましを試みる攻撃
ISO/IEC WD 30107(Biometrics – Presentation attack detection)に人工物などを用いたなりすまし攻撃や,生体検知など対策技術の種類などが記載
Wolf/Lamb: 他人受入を起こしやすい特異な生体情報を持つ認証/登録ユーザ
近年では,他人受入を起こしやすい「人工物」も提案されている
(例:Universal Wolf Sample)
ISO/IEC 19792(Security evaluation of biometrics)にWolf/Lambなど生体認証システム特有の脆弱性,候補となる対策などが記載
現在,攻撃,評価指標,対策,分析など様々な研究がなされている
30
アクセス対象資産に関する脅威・脆弱性(他人受入)
本講演の対象: 数多くの他人受入を引き起こすWolf/Lamb
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambとは?
31
Biometric Zoo [Doddington et al., ICSLP’98]
生体認証におけるユーザを以下の4つのカテゴリーに分類:
Sheep: those who perform well (default users).
Goats: those who are particularly difficult to recognize.
Wolves: those who are particularly successful at imitating others.
Lambs: those who are particularly easy to imitate.
Wolf
False Accept
Wolf Lamb
False Accept
類似度:高 類似度:高
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambとは?
32
Biometric Zoo [Doddington et al., ICSLP’98]
NIST Speaker Recognition Evaluation Dataにおいて,本人スコアが小さいユーザ(Goat),他人スコアが大きいユーザ(Wolf/Lamb)の存在を示している
スコア(類似度)
確率密度
本人分布(個人毎) 他人分布(個人毎)
Goat Wolf/Lamb
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Zooに関する近年の動向
33
攻撃
あらゆるテンプレートに対して,極めて高い類似度を示すUniversal Wolf Sample [Une et al., IEICE TIS’08]
Template Updateを行う生体認証システムにおいて,テンプレートを少しずつLambテンプレートに変えるFrog-Boiling Attack [Wang et al., BTAS’12]
評価指標
スコアのばらつき度合いに関する評価指標:BMI(Biometric Menagerie Index)[Poh et al., ICB’09]
Wolf/Lambによる他人受入率:WAP(Wolf Attack Probability)[Une et al., IEICE TIS’08],LAP(Lamb Accept Probability)[村上他,CSS’09]
:今回ご紹介する文献
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Zooに関する近年の動向
34
対策
Wolf対策:個別FAR法 [Inuma et al., ICB’09,門田, SCIS’10]
Lamb対策:スコア正規化(Score Normalization) [Auckenthaler et al., DSP’00, Poh et al., ICASSP’05, ICB’07, CVPR’12]
Lamb/Goat対策:Selective Fusion [Ross et al., BTAS’09]
Wolf/Lamb対策:Sequential Fusion [Murakami et al., BTAS’12]
分析 Biometric Zoo(Wolf,Lamb,Goat)が,異なる照合アルゴリズムに対してどれだけ一般化できるかを分析 [Teli et al., IJCB’11], [Paone et al., WIFS’11]
:今回ご紹介する文献
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Universal Wolf/Lamb
35
Universal Wolf Sample [Une et al., IEICE TIS’08]
あらゆるテンプレートに対して,極めて高い類似度を示す認証サンプル
False Accept
距離=0
距離=0
距離=0
認証
サンプル
テンプレート
Universal
Wolf
Universal Lamb Template
あらゆる認証サンプルに対して,極めて高い類似度を示すテンプレート
1:N認証では,どのユーザに対しても誤識別を引き起こすため,認証システムとしての機能を完全に損ねる脅威となりうる
・・・
1 2 N
・・・ False Accept
Universal
Lamb
テンプレート
認証サンプル
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambに対する安全性の評価尺度
36
WAP(Wolf Attack Probability) [Une et al., IEICE TIS’08] 最も他人受入を引き起こす認証ユーザによるなりすまし成功確率
Universal WolfのWAPは100[%] (スコアをそのまま閾値と比較した場合)
LAP(Lamb Accept Probability) [村上他,CSS’09] 最も他人受入を引き起こす登録ユーザに対するなりすまし成功確率
36
認証ユーザ
登録ユーザ
平均 平均 平均
accept ?
FAR WAP LAP
accept ?
Wolf
Lamb
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
WAP/LAPの評価実験
37 37
0
10
20
30
40
50
5 10 15 20 FRR[%]
WA
P/F
AR
[%]
WAP
FAR
0
10
20
30
40
5 10 15 20 FRR[%]
LA
P/F
AR
[%]
LAP
FAR
WAP/LAPの評価実験 [村上他,CSS’09] NIST BSSR1 Set2(6000人/指紋のスコアデータセット)
スコアをそのまま閾値と比較した場合のWAPとLAPを評価
例)FRR = 7.5%のとき,FAR = 8.3%,WAP = 45%,LAP = 32%
Wolf/Lambへの対策が重要!
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf対策:個別FAR法
個別FAR法 [Inuma et al., ICB’09, 門田, SCIS’10] 認証ユーザ毎に,なりすまし成功確率(個別FAR)がd未満となるように閾値Aを設定
例えば,認証サンプルとダミーテンプレートとのスコアから認証ユーザ固有の他人分布を推定し,そこから個別FARを推定する [村上他,BS研’10]
特徴 ○ 個別FARが正しく推定できれば,WAPを理論的に抑えられる(WAP < δ)
38
の他人分布
確率密度
スコア
(類似度) A
個別FAR < d
スコア
ダミーテンプレート
スコア
認証サンプル
テンプレート
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Lamb対策:Lamb検出
39
・・・
Lamb検出(ISO/IEC 19792) Lambは例えば登録時に検知し,別の生体情報で再登録させる対策がある(例えば,閾値Aを上回るスコアの数が一定数以上であればLambと検知)
特徴 ○ Universal Lambのような強力なLambは,容易に検知可
× 曖昧なLambがうまく検知されず,以後の認証に用いられる恐れあり
・・・
スコア
スコア
(類似度) A
曖昧なLamb
スコア
(類似度) A
Universal Lamb
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Lamb対策:スコア正規化(Score Normalization)
40
Z-norm [Auckenthaler et al., DSP’00]
他人分布のばらつきが抑えられるように,個人毎にスコアを正規化する
snorm = (s – m) / s (m, s:他人分布の平均,標準偏差)
特徴 ○ 他人分布が正しく推定できれば,LAPを理論的に抑えられる(LAP < δ)
× Universal Lambのような強力なLambは,本人拒否が多発(LambGoat)
正規化
s
確率密度
本人分布 他人分布
snorm
確率密度
本人分布 他人分布
0
その他,精度向上を目的として,F-norm,dF-normなど様々な正規化が提案[Poh et al., ICASSP’05, ICB’07, CVPR’12]
強力なLambは登録時の検知,曖昧なLambは認証時の対策が有効
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
41
Lamb/Goat対策:Selective Fusion
ID:1
. . .
. . .
1 2 N
. . .
ID:N
. . .
. . .
1 2 N
. . .
Selective Fusion [Ross et al., BTAS’09] (モダリティ数 = 2) あらかじめ,Lamb/Goatテンプレート(weak template)を検出しておく.
両テンプレートともweak templateの場合のみ,両方の生体情報を入力させる
特徴 ○ Lamb,Goatによる誤り率を低減できる一方,必要な生体情報の入力回数
も小さく抑えられる
: weak template
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lamb対策:Sequential Fusion
Sequential Fusion [Murakami et al., BTAS’12]
ユーザが生体情報を入力する度に,融合判定を行う
対数尤度比(本人分布と他人分布の比の対数)の和を閾値と比較.その際,認証/登録ユーザ固有の他人分布を推定し,なりすましが起きにくい方を用いる
特徴 ○ 対数尤度比が正しく推定できれば,WAP < δ,LAP < δ
○ 必要な生体情報の平均入力回数も最小化可能
の他人分布
確率密度
スコア(類似度) 42
スコア
ダミーテンプレート
スコア
認証サンプル
テンプレート
の他人分布 本人分布
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
統計的なWolf/Lamb対策はどこまで有効か?
43
Wolf/Lambの分類 [Murakami et al., BTAS’12]
対策 Zero-effort Non-adaptive Adaptive
統計的な対策 ○ ○ ×
Anti-Spoofing(生体検知等) × ○ ○
Zero-effort Spoofing
Non-adaptive Adaptive
Change their biometrics
or input artifacts
Adapt to
each enrollee
統計的な対策とAnti-Spoofing(生体検知等)との組合せが重要
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
まとめ
生体認証システムの資産
アクセス対象(データ,サービス,物理エリア,・・・) ⇒ 他人受入が脅威
テンプレート ⇒ 取り替え不能,プライバシ情報のため漏洩自体が脅威
テンプレート保護
3つの管理モデル: SOC, SOD, SOS.特にSOSでの保護が重要
2つのアプローチ: Cancelable Biometrics, Biometric Cryptosystems
今後の方向性:「保護」→「公開」, Public Biometrics Infrastructure
Wolf/Lamb対策 他人受入の起きやすさはユーザ毎に異なるのが現状
近年では,Universal Wolfなどの人工的な攻撃も提案されている
統計的なWolf/Lamb対策
利便性(入力回数,本人拒否率)とのトレード・オフを考えることが重要
トータルでのセキュリティを高めるには,Anti-Spoofingとの組合せが重要 44