バイオメトリクス・セキュリティの最新動向biox/sbra2013/load.php/... · template...

バイオメトリクス・セキュリティの

最新動向

日立製作所横浜研究所高橋健太，村上隆夫

Copyright(C) Hitachi, Ltd., 2013. All Right Reserved. 1

Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.

バイオメトリクス認証システム

生体情報を照合することで本人を認証し，何らかの資産に対するアクセス制御を行う．

セキュリティ設計の基本概念

資産の定義 ⇒ 脅威の識別 ⇒ 対策の立案

バイオメトリクス認証システムが守るべき資産は何か？

2

照合

認可認証

特徴抽出

センサ


バイオメトリクス認証システムの資産と脅威

3

照合

資産①：アクセス対象資産脅威の種類： - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威

（他人受入）

認可認証

特徴抽出

センサ


バイオメトリクス認証システムの資産と脅威

4

照合


（他人受入）

認可認証

資産②：生体認証データ脅威の種類： - 漏洩，改ざんなど

脅威の程度/影響範囲： - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題

特徴抽出

センサ


本講演のスコープ

5

照合


（他人受入）

認可認証

資産②：生体認証データ脅威の種類： - 漏洩，改ざんなど

脅威の程度/影響範囲： - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題

Template Protection 他人受入対策 (特に Wolf/Lamb 対策)

特徴抽出

センサ


目次

Template Protection の最新動向

テンプレート保護の必要性と，テンプレート管理モデル

テンプレート保護型生体認証技術の分類と研究例

将来の方向性： Public Biometric Infrastructure (PBI)

他人受入対策（Wolf / Lamb 対策）の最新動向

FARでは測れない脅威・脆弱性, Wolf / Lamb とは？

Wolf/Lambに対する安全性の評価尺度

Wolf/Lamb対策技術

まとめ

6


生体情報の保護の必要性

法的問題／プライバシの問題

生体情報は個人を識別可能：個人情報

人種・民族・健康状態などを特定できる可能性：センシティブ情報

安全性の問題

生体情報漏洩

→ 物理的偽造，電子的偽造などの脅威が発生

生体情報は生涯不変の特徴

→ 漏洩しても破棄・更新できない

生体情報を安全に保護しつつ活用することが重要

7


金融機関における生体情報保護の必要性

ＦＩＳＣガイドライン『金融機関等コンピュータシステムの安全性対策基準・解説書第8版』(2011年3月)

【技35-1】生体認証の特性を考慮し、必要な安全対策を検討すること。生体認証の導入と運用にあたっては、技術の最新動向等に留意し、その特性を十分考慮し、必要な安全対策を検討すること。考慮すべき特性：１．認証精度２．代替措置手続き３．否認防止４．不正認証（なりすまし）等防止５．テンプレート保護技術「取り消し可能なバイオメトリクス認証」(Cancellable biometrics) など技術動向を考慮することが望ましい。

8


生体情報（テンプレート）の管理モデル

Store on Card (SOC)

カード内に格納して，ユーザ自身が管理する．

銀行ＡＴＭにおいて主流

Store on Device (SOD)

センサ／認証装置／認証端末（ＰＣ）内に保管

小規模入退管理装置，携帯端末／ＰＣログイン等で多く使われる

Store on Server (SOS)

サーバ上で一括管理．

サーバ側で照合する場合と，配信して端末内照合する場合あり

企業内情報システム，大規模入退管理等で使われる

クラウドサービスとの親和性が高い

9


SOC/SODモデルにおける生体情報保護

センサ

ＩＣカード（耐タンパチップ）

認証端末

照合 OK/NG

テンプレート

認証生体情報

カード/デバイス内照合テンプレートをＩＣカード内に格納して利用者が管理

認証時に取得した生体情報をカード内でテンプレート（登録特徴データ）と照合

利点ハードウェアの耐タンパ性により生体情報を保護

ユーザ自身で生体情報を管理するためプライバシの問題が軽減

10


SOC/SODモデルの課題

センサ

ＩＣカード（耐タンパチップ）

認証端末

照合 OK/NG

テンプレート

認証生体情報

安全性の課題

テンプレートの管理をサービス提供者側でコントロールできない

テンプレートの安全性がＩＣカードの耐タンパ性のみに依存

利便性・コストの課題

ＩＣカードの発行、回収、破棄、更新、再発行など運用管理コストが大きい

11


SOSモデルにおける従来の生体情報保護

クライアント

照合

OK/NG

暗号化テンプレートDB

暗号化認証生体情報

サーバ

復号鍵

復号鍵の使用は

管理者のみに制限（運用的対策に依存）

センサ

暗号化＋運用管理

テンプレートを暗号化しサーバ側DBで集中管理．復号鍵はサーバ側で管理．

照合時にはテンプレートと認証生体情報をサーバ側の鍵で復号して比較．

利点

テンプレートの管理をサービス提供者側でコントロール可能．

サーバへのアクセス制御，管理者の教育等の運用による保護が可能．

ＩＣカードの発行、管理コストが不要

12


「サーバ認証＋暗号化」の問題点

クライアント

照合

OK/NG

暗号化テンプレート

サーバ

復号鍵

復号鍵の使用は

管理者のみに制限（運用的対策に依存）

照合時を狙った高度な攻撃

不正な管理者

センサ

暗号化認証生体情報

内部不正による流出

安全性の問題点不正な管理者がテンプレートを復号化し、漏洩／なりすましに利用可能

サーバ管理者権限を盗用した攻撃者も同様の攻撃が可能

一旦事故が発生すると，大規模漏洩に繋がる可能性あり

運用上の問題点

テンプレートの安全性が鍵管理／サーバ運用・保守に大きく依存するため、管理者やオペレータの強固な認証が必要となるなど、運用上の負担が大きい

13


SOSにおける新たな生体情報保護テンプレート保護型生体認証技術

生体情報をサーバに対して秘匿したまま認証

- サーバ管理者の過失・内部不正による生体情報漏洩を防止

- 利用者のプライバシを保護

生体情報の安全性をアルゴリズムレベルで確保

- ⇔ カード内照合：安全性をハードウェア（耐タンパチップ）に依存

- ⇔ 暗号化＋運用管理：安全性をサーバの運用管理に依存

14

テンプレート保護型生体認証のスキーム（ISO/IEC 24745 より）


研究開発・標準化動向

研究動向ここ10年余り，企業・大学等の研究機関において研究開発が活発化

欧州ではFP7(第7次枠組計画)において，テンプレート保護技術の研究開発を目的としたTURBINEプロジェクト（2008/2～2011/1）が実施

製品化動向一部の技術は既に実用化フェーズに入りつつある

日立，蘭 GenKey（PrivID）など

標準化動向 ISO/IEC JTC1/SC27: 24745, “Biometric template protection”

ISO/IEC JTC1/SC37: WD 30136, “Performance Testing of Template Protection Schemes” (2012/10 NP)

ITU-T/SG17: X.1091, “A guideline for evaluating telebiometric template protection techniques”

15


テンプレート保護技術の分類

16

テンプレート保護型

生体認証技術

Cancelable Biometrics

（暗号化/ハッシュ化

したまま照合）

Biometric Cryptosystems

（生体情報への

秘密情報の埋込/抽出）

Feature Transformation

（距離保存変換）

Homomorphic

Encryption-based

（準同型暗号利用）

ZeroBIO

(ゼロ知識証明利用)

ECC-based

（誤り訂正符号利用）

Statistical Quantization

（統計的量子化）


クライアント


生体情報を変換（暗号化 or ハッシュ化）したまま照合

変換パラメータ（鍵，salt など）を変更することで

生体情報を変更することなくテンプレートを破棄・更新可能

17

登録

認証利用者

認証サーバ

センサ／特徴抽出

変換 X’→F’P(X’)

X’ 生体情報照合 OK/NG


変換 X→FP(X)

X

生体情報

Cancelable Template

P


Feature Transformation の例 Correlation Invariant Random Filtering [Takahashi, et.al., BTAS2009]

有限体上の離散フーリエ変換（NTT: Number Theoretic Transform）を利用

精度保存性と情報理論的安全性を有する

a

クライアントサーバ

認証フロー登録フロー

相互相関関数

18

上下左右反転 &

２次元NTT

認証用画像 b

２次元逆NTT

要素毎乗算

T◦ V=A◦ B

最大値探索閾値判定

OK/NG

a＊b

B

除算毎除算

V=B◦ K-1 認証用

変換画像

V=B◦ K-1

２次元NTT

テンプレート

Cancelable Template

T=A◦ K A

画素毎乗算

T=A◦ K

ランダムフィルタ（パラメータ）

K

逆NTT

ランダム画像

復元不可能 0 padding


クライアント

「近さ」のゼロ知識証明プロトコル（尾形, 他, SITA2006）対象とする生体認証方式

生体情報：ベクトル X=（X1,X2,・・・,Xn)

生体情報X,Yが「近い」 ≡ max(|Xi – Yi|) ≦ m

登録時：登録生体情報 X=(X1,・・・,Xn) のコミットメント {E(Xi,Ri)} をサーバに登録

乱数 {Ri} を利用者に発行

認証時：照合生体情報 X’ = (X1’,・・・,Xn’) の各 Xi’ が区間 [Xi-θ,Xi+θ]に含まれることをゼロ知識証明（「区間のゼロ知識証明」を利用）

ZeroBIO の例

登録

認証


暗号化 X→E(X,R)

乱数R 生成

X

R

生体情報

利用者

認証サーバ

Ｔ=E(X,R) Ｔ


X’≒Xのゼロ知識証明

X’

R

生体情報 X’≒Xの検証

OK/NG ゼロ知識証明

19


Homomorphic Encryption-based の例

2-DNF準同型暗号に基く秘匿距離計算(Hattori, et.al, IPSJ2012)

準同型公開鍵暗号(BGN方式など)を利用

計算サーバが，生体情報の暗号文同士の準同型演算により距離の暗号文を計算

復号サーバが，距離の暗号文を復号化し，しきい値と比較して判定

計算サーバ，復号サーバは結託しない前提

20

クライアント


利用者生体情報

復号サーバ

計算サーバ

鍵ペア生成

秘密鍵

暗号化

公開鍵

登録フロー認証フロー距離復号化判定

秘匿距離計算（準同型演算）

距離

距離

暗号化特徴量

暗号化テンプレート


Biometric Encryption 登録時，生体情報に秘密情報を埋め込み，補助情報（Helper Data）を生成

認証時，生体情報を用いて補助情報から秘密情報を取り出す

誤り訂正符号などを用いて，生体情報の誤差を補正しつつ秘密情報を復元

秘密情報としてパスワードや鍵を用いることも可能

+ ③誤り訂正符号

エンコード

②埋め込み

（秘密情報S）（登録生体）（補助情報）

登録処理（秘密埋込み）

①秘密情報生成，ハッシュ値保存

21

ハッシュ値 H(S)

- （補助情報）（認証生体）

① デコード秘密復元

（秘密情報S’）

②ハッシュ値比較

認証処理（秘密復元）

ハッシュ値 H(S)


Fuzzy Commitment (A. Juel, et. al., 1999)

特徴量Ｘ，Ｘ’の距離がハミング距離で与えられる場合に，

誤り訂正符号を用いて秘密鍵を生成するアルゴリズム．

登録時：

Ｘと同じビット長の誤り訂正符号Ｃ＝｛Ｃｉ｝から符号語をランダムに選択し秘密情報Ｓとする

補助情報：Ｒ＝ＸＳ

認証時（鍵復元時）：

Ｘ’Ｒ＝Ｓ（ＸＸ’）を誤り訂正してＳを生成

01100…. 秘密情報Ｓ

（誤り訂正符号語）

10110…. 補助情報Ｒ

11010…. 虹彩コードＸ

ハミング重み小（X,X’が近い）なら正しく誤り訂正可能

登録時

10010…. 虹彩コードＸ’

00100…. Ｃｉ（ＸＸ’）

10110…. 補助情報Ｒ

Ｃｉ（ＸＸ’）

01100…. 秘密情報Ｓ

誤り訂正

認証時

ECC-based の例

22


Statistical Quantization の例

23

統計的AD変換（柴田他, 情処論文誌2004）

生体情報Ｘは独立なn個の値xiからなるベクトルＸ=(X1,...,Xn)とする

各Xiの量子化幅を複数の登録生体情報から統計的に学習

統計解析処理特徴分布データ

隆線方向

頻度

隆線ブロックX

隆線方向(度) 出力値

下限上限

0 29 101

30 59 000

60 89 010

90 119 111

120 149 011

150 179 001

真の分布

特徴抽出処理

・真の分布以外は適当に決める・出力値は出力させたいパスワードの値

・統計解析により，分布の下限，上限を推定・例えば正規分布を仮定して3σを利用する

・一つの生体情報が複数持つ特徴を抽出する．

・例えば特定の方向を持つ隆線ブロックなど・複数のサンプルから特徴抽出

指紋A

指紋A

その他の指紋


課題・研究動向

24


（暗号化/ハッシュ化

したまま照合）

Biometric Cryptosystems

（生体情報への

秘密情報の埋込/抽出）

Feature Transformation

（距離保存変換）

Homomorphic

Encryption-based

（準同型暗号利用）

ZeroBIO

(ゼロ知識証明利用)

ECC-based

（誤り訂正符号利用）

Statistical Quantization

（統計的量子化）

プロトコル，システムモデル

など含めて発展,成熟．

実用化フェーズ

暗号分野で発展

効率化，実データ適用

が課題

効率化，実データ適用

が課題

暗号分野で発展

鍵交換プロトコル，

電子署名など提案

精度/安全性が課題

共通課題: 評価指標の確立 ⇒ ISO/IEC WD 30136


認証モデルの変遷とテンプレート保護技術の役割

認証モデル：クローズド型 → 集中（ＴＴＰ）型 → 分散（オープン）型

テンプレート：「保護」から「公開」へ

公開テンプレートに基く認証基盤： Public Biometrics Infrastructure

25

個別システム内で閉じた認証

パスワード認証

TTPによる認証と認証結果の配布

Kerberos認証共通鍵暗号

分散型の認証

ＰＫＩ公開鍵暗号電子署名

？ TTP型生体認証

(ｸﾗｳﾄﾞ/認証連携) ｷｬﾝｾﾗﾌﾞﾙ認証

従来の生体認証パターン認識生体認証

持物認証記憶認証

スケーラビリティ／オープン化

認証方式要素技術

凡例

利便性・確実性

ＰＢＩﾊﾞｲｵﾒﾄﾘｯｸ暗号ﾊﾞｲｵﾒﾄﾘｯｸ署名


テンプレート公開型生体認証基盤（PBI）生体情報を「秘密鍵」とするPKI．カードやPWによる鍵管理不要

複数のシステム/サービスが公開テンプレートを共通利用可能．

サービス毎に生体情報を登録する必要がなく、「初対面」の相手に対しても認証可能

各サービス提供者は登録運用やテンプレート管理が不要．運用コストを大幅に低減可能

26

住民基本台帳カード

利用者

一方向性変換

公開テンプレート

発行

バイオメトリック登録局

証明書発行

リポジトリ

公開ﾃﾝﾌﾟﾚｰﾄ証明書

便利で確実な本人確認

パスワードレス ID管理

１回だけ初期登録

生体情報は復元不可能（セキュリティ・プライバシ保護）

国民ＩＤ基盤

決済サービス

・パスワードレス電子決済・「手ぶら」クレジット決済

クラウド/ID管理

・パスワードレスID管理・企業システム/ワークフロー

様々なサービスで共通利用可能

・新興国: ｶｰﾄﾞﾚｽ(低ｺｽﾄ)国民ID ・先進国: ﾊﾞﾘｱﾌﾘｰ,ﾌﾟﾗｲﾊﾞｼ保護型国民ID

安全・安心な利用者認証


[署名生成] + ③誤り訂正符号

エンコード

②鍵埋め込み

（ Sの秘密鍵）（ Sの公開鍵）（署名時生体＝秘密鍵）

① S.鍵ペア生成

④S.署名生成

（署名）

署名の度に生成するワンタイム鍵ペア

ワンタイム鍵とユーザの紐付けを保証

ワンタイム鍵による文書の完全性保証

PBIを実現するための要素技術の研究動向バイオメトリック暗号：生体情報に基く認証付き鍵交換（Dodis,et.al., CRYPTO’06）

バイオメトリック署名：生体情報を秘密鍵とする電子署名

秘密鍵に曖昧さを許す電子署名： Fuzzy Signature （Yoneyama, et.al., SCIS2012）

Fuzzy Signature の拡張と安全性証明（Takahashi,et.al., SCIS2013）

27

+ ③線形符号エンコード

②鍵埋め込み

（ Sの秘密鍵）（ Sの公開鍵）

①S.鍵ペア生成

[鍵生成]

（公開鍵）

[署名検証]

- ③線形符号

デコード

② 差分計算

（差分秘密鍵） ①署名検証

④準同型演算（ Sの公開鍵）

⑤ 比較

ワンタイム鍵により文書の完全性を検証

ワンタイム鍵とユーザの紐付けを検証

誤り訂正処理により誤差を吸収

公開ﾃﾝﾌﾟﾚｰﾄ⇒生体情報は計算困難（一方向性）

※ S: 既存の署名アルゴリズム

（登録生体＝秘密鍵）


目次

Template Protection の最新動向

テンプレート保護の必要性と，テンプレート管理モデル

テンプレート保護型生体認証技術の分類と研究例

将来の方向性： Public Biometric Infrastructure (PBI)

他人受入対策（Wolf / Lamb 対策）の最新動向

FARでは測れない脅威・脆弱性, Wolf / Lamb とは？


Wolf/Lamb対策技術

まとめ

28


アクセス対象資産に関する脅威・脆弱性（他人受入）

他人受入権限を持たないユーザの資産へのアクセスを許してしまう

一般的には，FAR（他人受入率）が評価指標として用いられる

FARだけでは測れない脅威・脆弱性人工物などを用いたなりすまし攻撃（Presentation Attack）

他人受入を起こしやすい特異な生体情報を持つ認証／登録ユーザ（Wolf/Lamb）

29

照合

認可認証アクセス対象資産 False Accept

特徴抽出

センサ


なりすまし攻撃（Presentation Attack）：人工物（グミ指，印刷物・・・）などを提示することで，なりすましを試みる攻撃

ISO/IEC WD 30107（Biometrics – Presentation attack detection）に人工物などを用いたなりすまし攻撃や，生体検知など対策技術の種類などが記載

Wolf/Lamb：他人受入を起こしやすい特異な生体情報を持つ認証／登録ユーザ

近年では，他人受入を起こしやすい「人工物」も提案されている

（例：Universal Wolf Sample）

ISO/IEC 19792（Security evaluation of biometrics）にWolf/Lambなど生体認証システム特有の脆弱性，候補となる対策などが記載

現在，攻撃，評価指標，対策，分析など様々な研究がなされている

30

アクセス対象資産に関する脅威・脆弱性（他人受入）

本講演の対象：数多くの他人受入を引き起こすWolf/Lamb


Wolf/Lambとは？

31

Biometric Zoo [Doddington et al., ICSLP’98]

生体認証におけるユーザを以下の4つのカテゴリーに分類：

Sheep: those who perform well (default users).

Goats: those who are particularly difficult to recognize.

Wolves: those who are particularly successful at imitating others.

Lambs: those who are particularly easy to imitate.

Wolf

False Accept

Wolf Lamb

False Accept

類似度：高類似度：高


Wolf/Lambとは？

32

Biometric Zoo [Doddington et al., ICSLP’98]

NIST Speaker Recognition Evaluation Dataにおいて，本人スコアが小さいユーザ（Goat），他人スコアが大きいユーザ（Wolf/Lamb）の存在を示している

スコア（類似度）

確率密度

本人分布（個人毎）他人分布（個人毎）

Goat Wolf/Lamb


Biometric Zooに関する近年の動向

33

攻撃

あらゆるテンプレートに対して，極めて高い類似度を示すUniversal Wolf Sample [Une et al., IEICE TIS’08]

Template Updateを行う生体認証システムにおいて，テンプレートを少しずつLambテンプレートに変えるFrog-Boiling Attack [Wang et al., BTAS’12]

評価指標

スコアのばらつき度合いに関する評価指標：BMI（Biometric Menagerie Index）[Poh et al., ICB’09]

Wolf/Lambによる他人受入率：WAP（Wolf Attack Probability）[Une et al., IEICE TIS’08]，LAP（Lamb Accept Probability）[村上他，CSS’09]

：今回ご紹介する文献


Biometric Zooに関する近年の動向

34

対策

Wolf対策：個別FAR法 [Inuma et al., ICB’09，門田, SCIS’10]

Lamb対策：スコア正規化（Score Normalization） [Auckenthaler et al., DSP’00, Poh et al., ICASSP’05, ICB’07, CVPR’12]

Lamb/Goat対策：Selective Fusion [Ross et al., BTAS’09]

Wolf/Lamb対策：Sequential Fusion [Murakami et al., BTAS’12]

分析 Biometric Zoo（Wolf，Lamb，Goat）が，異なる照合アルゴリズムに対してどれだけ一般化できるかを分析 [Teli et al., IJCB’11], [Paone et al., WIFS’11]

：今回ご紹介する文献


Universal Wolf/Lamb

35

Universal Wolf Sample [Une et al., IEICE TIS’08]

あらゆるテンプレートに対して，極めて高い類似度を示す認証サンプル

False Accept

距離=0

距離=0

距離=0

認証

サンプル

テンプレート

Universal

Wolf

Universal Lamb Template

あらゆる認証サンプルに対して，極めて高い類似度を示すテンプレート

1:N認証では，どのユーザに対しても誤識別を引き起こすため，認証システムとしての機能を完全に損ねる脅威となりうる

・・・

1 2 N

・・・ False Accept

Universal

Lamb

テンプレート

認証サンプル



36

WAP（Wolf Attack Probability） [Une et al., IEICE TIS’08] 最も他人受入を引き起こす認証ユーザによるなりすまし成功確率

Universal WolfのWAPは100[%] （スコアをそのまま閾値と比較した場合）

LAP（Lamb Accept Probability） [村上他，CSS’09] 最も他人受入を引き起こす登録ユーザに対するなりすまし成功確率

36

認証ユーザ

登録ユーザ

平均平均平均

accept ?

FAR WAP LAP

accept ?

Wolf

Lamb


WAP/LAPの評価実験

37 37

0

10

20

30

40

50

5 10 15 20 FRR[%]

WA

P/F

AR

[%]

WAP

FAR

0

10

20

30

40

5 10 15 20 FRR[%]

LA

P/F

AR

[%]

LAP

FAR

WAP/LAPの評価実験 [村上他，CSS’09] NIST BSSR1 Set2（6000人／指紋のスコアデータセット）

スコアをそのまま閾値と比較した場合のWAPとLAPを評価

例）FRR = 7.5%のとき，FAR = 8.3%，WAP = 45%，LAP = 32%

Wolf/Lambへの対策が重要！


Wolf対策：個別FAR法

個別FAR法 [Inuma et al., ICB’09, 門田, SCIS’10] 認証ユーザ毎に，なりすまし成功確率（個別FAR）がd未満となるように閾値Aを設定

例えば，認証サンプルとダミーテンプレートとのスコアから認証ユーザ固有の他人分布を推定し，そこから個別FARを推定する [村上他，BS研’10]

特徴 ○ 個別FARが正しく推定できれば，WAPを理論的に抑えられる（WAP < δ）

38

の他人分布

確率密度

スコア

（類似度） A

個別FAR < d

スコア

ダミーテンプレート

スコア

認証サンプル

テンプレート


Lamb対策：Lamb検出

39

・・・

Lamb検出（ISO/IEC 19792） Lambは例えば登録時に検知し，別の生体情報で再登録させる対策がある（例えば，閾値Aを上回るスコアの数が一定数以上であればLambと検知）

特徴 ○ Universal Lambのような強力なLambは，容易に検知可

× 曖昧なLambがうまく検知されず，以後の認証に用いられる恐れあり

・・・

スコア

スコア

（類似度） A

曖昧なLamb

スコア

（類似度） A

Universal Lamb


Lamb対策：スコア正規化（Score Normalization）

40

Z-norm [Auckenthaler et al., DSP’00]

他人分布のばらつきが抑えられるように，個人毎にスコアを正規化する

snorm = (s – m) / s （m, s：他人分布の平均，標準偏差）

特徴 ○ 他人分布が正しく推定できれば，LAPを理論的に抑えられる（LAP < δ）

× Universal Lambのような強力なLambは，本人拒否が多発（LambGoat）

正規化

s

確率密度

本人分布他人分布

snorm

確率密度

本人分布他人分布

0

その他，精度向上を目的として，F-norm，dF-normなど様々な正規化が提案[Poh et al., ICASSP’05, ICB’07, CVPR’12]

強力なLambは登録時の検知，曖昧なLambは認証時の対策が有効


41

Lamb/Goat対策：Selective Fusion

ID:1

. . .

. . .

1 2 N

. . .

ID:N

. . .

. . .

1 2 N

. . .

Selective Fusion [Ross et al., BTAS’09] （モダリティ数 = 2）あらかじめ，Lamb/Goatテンプレート（weak template）を検出しておく．

両テンプレートともweak templateの場合のみ，両方の生体情報を入力させる

特徴 ○ Lamb，Goatによる誤り率を低減できる一方，必要な生体情報の入力回数

も小さく抑えられる

: weak template


Wolf/Lamb対策：Sequential Fusion

Sequential Fusion [Murakami et al., BTAS’12]

ユーザが生体情報を入力する度に，融合判定を行う

対数尤度比（本人分布と他人分布の比の対数）の和を閾値と比較．その際，認証／登録ユーザ固有の他人分布を推定し，なりすましが起きにくい方を用いる

特徴 ○ 対数尤度比が正しく推定できれば，WAP < δ，LAP < δ

○ 必要な生体情報の平均入力回数も最小化可能

の他人分布

確率密度

スコア（類似度） 42

スコア

ダミーテンプレート

スコア

認証サンプル

テンプレート

の他人分布本人分布


統計的なWolf/Lamb対策はどこまで有効か？

43

Wolf/Lambの分類 [Murakami et al., BTAS’12]

対策 Zero-effort Non-adaptive Adaptive

統計的な対策 ○ ○ ×

Anti-Spoofing（生体検知等） × ○ ○

Zero-effort Spoofing

Non-adaptive Adaptive

Change their biometrics

or input artifacts

Adapt to

each enrollee

統計的な対策とAnti-Spoofing（生体検知等）との組合せが重要


まとめ

生体認証システムの資産

アクセス対象（データ，サービス，物理エリア,・・・） ⇒ 他人受入が脅威

テンプレート ⇒ 取り替え不能，プライバシ情報のため漏洩自体が脅威

テンプレート保護

３つの管理モデル： SOC, SOD, SOS．特にSOSでの保護が重要

２つのアプローチ： Cancelable Biometrics, Biometric Cryptosystems

今後の方向性：「保護」→「公開」， Public Biometrics Infrastructure

Wolf/Lamb対策他人受入の起きやすさはユーザ毎に異なるのが現状

近年では，Universal Wolfなどの人工的な攻撃も提案されている

統計的なWolf/Lamb対策

利便性（入力回数，本人拒否率）とのトレード・オフを考えることが重要

トータルでのセキュリティを高めるには，Anti-Spoofingとの組合せが重要 44

バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · template...

Documents

バイオメトリクス・セキュリティの最新動向biox/sbra2013/load.php/... · template...