Comments
Description
Transcript
目次 - 電子情報通信学会
電子情報通信学会OIS,ISEC研究会
目次
1.個人認証のニーズと認証手段
2.バイオメトリック認証の特徴
3.精度評価と運用要件
4.バイオメトリクスセキュリティ
バイオメトリクス・セキュリティの
動向と課題
2006年11月16日
早稲田大学理工学術院
小松 尚久
Naohisa Komatsu, Waseda
University
4.1 バイオメトリクスの脆弱性
4.2 バイオメトリック認証におけるテンプレート保護
1
Naohisa Komatsu, Waseda
University
2
個人認証のニーズ
社会環境変化
高齢化
1.個人認証のニーズと認証手段
国際化
•遠隔医療,遠隔健康管理
•疾病者監視(看護)
•海外とのコミュニケーション
増大(訪問・電話)
•在日外国人の増加
•外国人雇用の増大(知識人・
労働力)
•海外事務所との遠隔会議
•国際分業化進展、物流、
情報の拡大
•コンピュータシステム、オフ
ィスの24時間利用
•テレビ会議
個人認証のニーズ
•医療情報の広域管理
•課金(個人課金)
•海外情報提供
•企業内データへのアクセス
•自動翻訳
•グローバルネットワーク
•エレクトリックコマース
•リモートアクセス利用 者確認
•利用資格証明
•24時間対応ビル入退
管理
•カードの高機能化
•電子マネー
•カードの多様化・機能統合
•電子取引、電子決裁
•預金管理の統合
コミュニティ化
•地域情報メディアの普及
•コミュニティ情報案内
•生涯教育
•個人情報のネットワーク管理
•サービス提供に関する決済
•監視システム
•住居、居住空間の安全・安心確保
企業の
組織構造の変化
その他
3
システム化が期待できる分野
•医療相談ニーズの拡大
•疾病者の在宅看護
キャッシュレス化
犯罪の増加
Naohisa Komatsu, Waseda
University
社会環境変化に応じた社会・
個人・企業の動向
•近所付き合いの低下
•安全意識の向上
•企業活動に関する情報管理
の進展
•企業内情報伝達
•マルチメディア分散DB
•在宅選挙
•電子投票
•教育機関の連携、地域との
•遠隔教育
結びつき
•テレワーク
Waseda
•モバイルオフィスの普及Naohisa Komatsu,
University
•企業内データへのアクセス
•利用資格証明
•身分証明
•個人情報の管理
4
個人と端末の認証手段
CA
CRL
Certification
user
C.C.
Skx
ユーザ認証
クライアント
(端末)認証
terminal
(smart card)
Private
Key
network
system
cryptosystem
Encrypt
(Sign)
R.C.
challenge&response, PKI等
R.N.G
Client’s
Certificate
Verify
Public
Key
Enc(Skx, C.C.)
Dec(Pkx, R.C.)
知識ベース : Threat of forgetting
e.g. passwords
所有ベース : Threat of loss
e.g. ID cards
個人の特徴 : No threat of forgetting or loss
e.g. fingerprint, iris, face, voice
Client
PKIによる
クライアント認証
Naohisa Komatsu, Waseda
University
5
Application Server
C.C: Challenge Code
R.N.G: Random Number Generator
R.C.: Response Code
CA: Certificate Authority
CRL: Certificate Revocation List
Naohisa Komatsu, Waseda
University
6
ユーザ認証手段とパラメータ
個人の特徴
知識
所有
鍵
IDカード
暗証番号、
パスワード
忘れる危険性
身体的特性
身体的特徴
指紋、顔、虹彩、
血管パターン
2.バイオメトリック個人認証の特徴
筆跡、声、
キーストローク
紛失する可能性 時間の経過等により特徴が変わる可能性
?
登録データ = 入力データ
②
入力データ
→ 個人の特性
?
→ 個人の特性
=
登録データ
①
?
登録データ = 入力データ
Naohisa Komatsu, Waseda
University
7
Naohisa Komatsu, Waseda
University
8
バイオメトリック個人認証
(biometrics=biology+metrics)
データ収集
データ収集
装置
1.普遍性(universality:誰もが持っている特徴である)
2.唯一性(uniqueness:本人以外は同じ特徴を持たない)
3.永続性(permanence:時間の経過とともに変化しない)
の3つの条件を備えている生体的な測定結果を用いて
本人を自動的に確認する技術
バイオメトリクス
バイオメトリクス
判定
判定
品質制御
品質制御
センサー
センサー
特徴抽出
特徴抽出
蓄積
蓄積
復号
復号
データベース
データベース
送信
送信
9
Positive Recognition
(verification/identification)
登録データに対して確認(識別)を行い、入力したバイオ
メトリック情報がどの登録データに一致するか(近いか)を
判定する。
⇒複数の人間が同一の身元を主張することを防止
パラメータ
特 徴
指紋
•特徴点(マニューシャ)の位置
• リレーション
•万人不同,終生不変
•犯罪捜査での利用
網膜
•毛細血管パターン
虹彩
•瞳孔の開きを調節する
筋肉のパターン
•万人不同,終生不変
•コピーが困難
•万人不同,終生不変
•眼球内部の疾病等の影響
がない
血管
•静脈パターンの直接照合
掌形
顔
音声
筆跡
11
10
A.Jain, et al. “Biometrics”
バイオメトリック認証の研究事例と特徴
パターン •静脈の分岐点、方向
登録データに対して識別を行い、入力したバイオメトリック
情報が含まれていないことを確認する技術
⇒一人の人間が複数の身元を主張することを防止
記録
記録
Komatsu, Waseda
バイオメトリック認証システム Naohisa University
Negative Recognition (identification)
Naohisa Komatsu, Waseda
University
提示
提示
符号化(暗号化)
符号化(暗号化)
Positive Recognition(登録者の認識)と
Negative Recognition(非登録者の認識)
■
システム
パターン
パターン
マッチング
マッチング
伝送
伝送
cf. 人工物メトリクス(artifact-metrics)
基材にランダム分散した磁性ファイバの磁気パターン等
■
判定
判定
アルゴリズム
(参考)"Automatically recognizing a person using distinguishing traits
(a narrow definition)"
(The Biometric Consortium (http://www.biometrics.org/))
Naohisa Komatsu, Waseda
University
信号処理
信号処理
•非接触で認証可能
•心理的抵抗が少ない
課 題
•指紋画像の品質
•衛生面の確保
•社会的な受容
•眼底撮影と同様の専用 装置
が必要
•睫毛の影響
•自然光、脂肪層の影響
•掌の幅,厚さ
•指の長さ等
•操作が容易
•信頼性の確保
•衛生面の確保
•主成分分析を用いた固有顔
•目,口,鼻の位置や形状等
•非接触で認証可能
•心理的抵抗が少ない
•時間的な変化
•メガネ,ひげ等の影響
•照明や撮像角度,背景等の制約
•スペクトル包絡
•ピッチ,発音レベル,発声,
速度等
•非接触で認証可能
•心理的抵抗が少ない
•テキスト依存型
•テキスト独立,テキスト提示型の
実用化
•時間的な変化
•体調の影響
•テキスト独立,テキスト提示型の
実用化
•時間的な変化
12
•偽筆対策
•筆順,筆速,筆圧等
•心理的抵抗が少ない
•操作が容易(小型タブレット)
Naohisa
Komatsu, Waseda
•テキスト依存型
University
3.精度評価と運用要件
類似度の分布
Naohisa Komatsu, Waseda
University
13
Naohisa Komatsu, Waseda
University
評価結果の報告
精度評価の課題
評価対象
FRR=0.05%
FAR=0.0002%
独自の評価基準仕様
独自の評価基準仕様
・スキャナ特定
・2回入力許可
FRR=0.3%
FAR=0.1%
独自の評価基準仕様
・スキャナ特定
・入力回数不明
サンプル数
不明
不明
不明
被験者構成
不明
不明
不明
学習程度
習熟
不明
不明
未対応率
数%
不明
不明
(FRR)
・スキャナ不特定
・2回入力許可
FRR=1%
FAR=0.1%
C社
本人拒否率
評価方法
B社
0.1%
精度
A社
① ROC (Receiver Operating
Characteristic)カーブ
(精度特性)
安全性重視
OK
pFMR
L
K
0.01 %
6本
1枚
OK
OK
OK
300 組
-
MI
30,000 組
-
300 指
-
異なる指の照合に必要な指の数
評価に必要な指の数
評価に必要な照合画像の数
未対応指含め必要な被験者数
未対応指含め必要な指の数
未対応指含め必要な照合画像数
NI
N'
S'
I
N
S
246 指
300 指
300 枚
52 人
307 指
307 枚
-
-
-
-
-
-
男女比
RS
被験者構成 年齢比
RA
職業比
RO
照合組数
(バイオメトリクスの収集対象とした全ての被験者数)
OK
NG
限界精度
15
1%
MG
収集結果
(登録または照合不能な人の数)÷
単位 検証
98 %
0.1%
他人受入率(FAR)
値
C
同一指の照合に必要な指の数
利便性重視
0.01%
記号
pFNMR
異なる指の照合組数
計算結果
0
FRR:本人拒否率、FAR:他人受入率
内容
同一指の照合組数
②未対応率
Naohisa Komatsu, Waseda
University
③精度評価レポート
項目
対応率
照合装置の
精度見積もり 本人拒否率(FNMR)
他人受入率(FMR)
1人あたりの指の数
収集条件
1指あたりの照合画像数
0.01%
メーカ
14
1:1.2
20代:1.0
30代:1.2
40代:1.0
50代:0.8
事務:1.0、製造・建
築:1.5、運輸:1.8、
サ ー ビ ス : 2.0 、 農
業:0.4
OK
OK
OK
有効な指の数
NV
310 指
OK
有効な照合画像の数
SV
310 枚
OK
実際に照合した同一指の組数
M'G
304 組
OK
実際に照合した異なる指の組数
OK
M'I
46,056 組
本人拒否率(FNMR)の限界精度
p'FNMR
0.987 %
他人受入率(FMR)の限界精度
p'FMR
0.007 %
未対応の指の数
NInvalid
6指
OK
評価に使用できる指の数
NValid
304 指
OK
未対応指の選別 評価に使用できる照合画像の数
-
304 枚
OK
対応率
RV
98 %
-
信頼指数
RR
100 指数
-
Naohisa Komatsu, Waseda
University
SValid
-
16
運用要件の決定フロー
ベンダ
要求精度策定
精度評価
運用要件ガイドライン
・「物差し」で得た数値の使い方や意味を示す
→ 精度評価で得た数値を有効に評価・活用
・バイオメトリクス認証システムを構築する際の指針
精度評価ガイドライン
ステップ1
・本人認証システムの精度評価に使用
・装置やシステム評価の物差し
(本人拒否率,他人受理率,対応率)
システムの提案
モデル
分類
ステップ2
ステップ3
ステップ4
ステップ5
ステップ6
機能要件
の分析
利便性
要件の
決定
リスク
分析
安全性
要件の
決定
各要件の
優先付け
精度比較
要求仕様の
明確化
ユーザ
・物理的アクセス
・電子的アクセス
・フロー
コントロール
・トラッキング
・許容クレーム
発生確率
・要求認証時間
・操作性
・使用環境
・対象利用者
・許容誤拒否率
・対応率
・脅威発生確率
・対象となる
価値
→リスク
・安全性レベル
→許容誤受入率
個別の要求仕様
要求仕様(順位付け)
順位
1
要件
仕様
許容誤受入率
1%
2
許容誤拒否率
5%
3
要求認証時間
5sec
・・・
・・・
・・・
健全なバイオメトリクス市場
Naohisa Komatsu, Waseda
University
17
Naohisa Komatsu, Waseda
University
18
機能要件分析
モデル
アクセスコントロール
4.バイオメトリクスセキュリティ
4.1 バイオメトリクスの脆弱性
考慮すべき機能要件
Example
[Physical]
・入退室管理
・入国管理
・Security box
・スピード(認証時間) ・対応率
・使用環境
・許容クレーム発生確率
・操作性
[Electronic]
・ネットアクセス
・DBアクセス
・操作性 ・対応率
・スピード
・許容クレーム発生確率
フローコントロール
・操作性 ・対応率
・ワークフロー
・リモートバンキング ・スピード(認証時間)
・許容クレーム発生確率
トラッキング
・勤怠管理
・操作性 ・対応率
・使い勝手
Naohisa Komatsu, Waseda
University
19
Naohisa Komatsu, Waseda
University
20
バイオメトリクスの脆弱性分類
精度予測困難
バイオメトリクス・システム
利用者
アプリへ
運用条件
環境条件
バイオメトリクス
装置
生体情報
入力環境
習熟
複製
類似性
他人受入
構成管理
認証パラメータ
抵抗感
秘匿困難
変化
本人拒否
データ改ざん
動機
遺留
特異性
推定
データ漏洩
提供
変更不可
プライバシ情報
不定データ
登録未対応
凡例
バイオメトリクス特有の脆弱性
4.バイオメトリクスセキュリティ
4.2 バイオメトリック認証における
テンプレート保護
センサ劣化
平成15年度基準認証研究開発事業成果報告
Naohisa Komatsu, Waseda
一般的な脆弱性
21
Naohisa Komatsu, Waseda
University
University
Fuzzy Vault Schemeの概念
バイオメトリック認証における
テンプレート保護
Alice
・Star Wars
・Psycho
・Fahrenheit-911
共通の趣味を
持つ人だけに
電話番号を教
えたい・・・
・King Kong
・Dr.Strangelove
Lock
Alice’s Phone#
090-xxxx-xxxx
Locked Vault
Lisa’s List
Lisa
・Fahrenheit-911
・Dr.Strangelove
・Indiana Jones
・・・
23
Alice’s List
・・・
● キャンセラブルバイオメトリクス
• 生体情報を変換した状態で登録、照合を実施
• 研究事例
-Cancelable Biometrics (IBM,2001)他
● バイオメトリック暗号
• 生体情報から秘密鍵を生成することで、生体情報をそのまま
登録せずに認証を実現
• 研究事例
- Biometric Encryption (Bioscrypt,1999)
- A Fuzzy Commitment Scheme (RSA,1999)
- A Fuzzy Vault Scheme(RSA,2002)他
Naohisa Komatsu, Waseda
University
22
・King Kong
・Star Wars
Unlock
Alice と Lisa のリストの大部分が一致
すれば Lisa は Alice の Phone # を
知ることができる
Naohisa Komatsu, Waseda
University
24
Fuzzy Vault Scheme(登録)
Fuzzy Vault Scheme(復元)
◇ ロック(登録)過程
◇アンロック(復元)過程
B = {b1 , b 2 , b 3 , L , b g − 1 , b g }
k個の要素からなる隠したい情報 s と任意の g 個の情報からなる情報 A を用意する。
A = {a1 , a2 , a3 , L , a g −1 , a g }
s = (s1 , s 2 , s 3 , … , s k −1 , s k )
情報B中の値biとシステムに保存された情報の組のxの値(A+ダミーデータ)をマッチング
一致したを情報の組(bi, yi ,j)を抽出する。どれとも一致しなければ nullとする。
sを基にしてP(x)なる多項式を生成する。
p (x ) = s k x k −1 + s k −1 x k − 2 + L + s 2 x + s1
⎧ (a , r , j )
(b , y , j ) = ⎪⎨(α , β , j )
⎪⎩
j
情報Aの要素数(k個)に応じて、P(x)を復元するためのg個の検査記号を算出し、R(x)を生成する。
i
R( x) = r1 + r2 X + r3 X 2 + L + rg X g −1
符号語F(x)を生成する。
F (x) = R (x) + X
g
P (x)
j
(ここで秘密情報の P(x) の部分は消去する。)
情報の組 (a1,r1 ,1)(a2,r2 ,2)(a3,r3 ,3) ・・・・・ (ag,rg ,g)
ダミーデータ(α1, β1 ,1)(α2,β2 ,2) ・・・・・
訂正の可否条件
P(x)
P(x)
R(x)
R(x)
P(x)
P(x) k個の要素
k個の要素
R(x)
R(x) g個の要素
g個の要素
・秘密情報の部位P(X)は意図的に消去
・検査記号の部位R(X)からF(X)を復元する
・
ことによりP(X)を復元し、秘密情報を復元
Naohisa Komatsu, Waseda
25
最終的に値の重複しないダミーデータの情報の組を付加
University
して、システムに保管
意図的に消去するの
でk個の消失誤り
g-Y個がピュア誤り
検査符号のg個の中で(k+g)/2個より多くの要素が
正しい要素であるならば秘密情報は復元できる
誤り位置が未知:ピュア誤り
Naohisa Komatsu, Waseda
26
University
実験の諸元
指紋情報を推測される可能
性があるため使用しない
マニューシャの位置座標
k+g
2
誤り位置が既知:消失誤り
・指紋照合のパラメータ
マニューシャのエリア情報
端点・分岐点の属性
指紋データ
30×4×5 枚
(30人、左右の人差指・中指、登録用3枚・照合用2枚)
隆線方向
x 軸からの隆線方向の角度を32levelに量子化
エリア
指紋の中心点を中心にエリアを設定
40×40 (pixel) を49個
マニューシャ
正規化数
3枚の登録画像から20個へ正規化
マニューシャの座標における隆線方向
・データ形式
隆線方向 Θ
Yについて展開すると
Y>
指紋照合への適用
エリア情報f
k+2*(誤りの個数)+1 < 検査符号の最小距離(D=g+1)
ならば誤りが訂正可能
誤りの個数を代入
k個の要素 = 情報記号 g個の要素 = 検査記号
(αg,βg ,g)
1 0 0 1 1 0 1 0 1 0
ダミーデータである情報の組
どれだけ正しい情報の組(検査記号)があれば秘密情報sは復元できるのか?
全体のk+g個の要素の中でY個が正しい値だとすると
検査記号の並び順を
示すインデックス番号
R ( x) = r1 + r2 X + r3 X 2 + L + rg X g −1
j
正しい情報の組
抽出された情報の組から検査記号を作成する。そして符号語F(x)全体を復元し、秘密情報sも復元される。
情報Aの要素と検査記号の要素を組み合わせて、Fuzzy Vault Scheme用テンプレート
F (x)
として、情報の組(xi,yi,zi)を生成する。
Fuzzy Vault Scheme用テンプレート
j
j
P = {P1 , P2 ,L Pi L Pn −1 , Pn }
Pi = ( f i , ai ,θ i )
端点・分岐点の属性 a
中心点取得
自動 (NFIS)
ダミーデータ
正規データ+-1levelを除く
0, 50,100,150,250個
秘密情報要素数 k
4, 6, 8,10(32,48,64,80bits)
誤り訂正符号
GF(28)ガロア拡大体上でのReed-Solomon符号を使用
検査符号長 g=20
NFIS: NIST Fingerprint Image Software
Naohisa Komatsu, Waseda
University
27
Naohisa Komatsu, Waseda
University
28
秘密情報復元率
Fuzzy Biometric Vault
秘密情報
バイオメトリック
情報提示
ダミー
データ
バイオメトリック
情報提示
誤り訂正
符号化
多項式生成
ペア生成
Locked
Vault
デモ
検査符号
・生体情報
・秘密情報
復元困難
補助データ
マッチング
誤り訂正
復号
秘密情報
k:秘密情報長、k=1で8bitsの情報を保管可能
k=4(32bits) で本人復元率96%、他人復元率1.5%程度(ダミー数:250)
Naohisa Komatsu, Waseda
University
29
Naohisa Komatsu, Waseda
University
30
バイオメトリクスセキュリティに関する
今後の課題
2003年4月発足
●
脅威・攻撃分析と対策・評価
生体検知、IT技術応用、運用
●
テンプレートプロテクション
キャンセラブルバイオメトリクス、バイオメトリック暗号
●
認証精度評価
評価用データベース、製品評価
●
バイオメトリクスセキュリティの啓発
バイオメトリクスに対するユーザの正しい理解
●
委員長:瀬戸洋一(産業技術大学院大学)
副委員長:小松尚久(早稲田大学)
幹事・会計:松尾賢治(KDDI研究所)
幹事補佐:西垣正勝(静岡大学)、山中晋爾(東芝)
Naohisa Komatsu, Waseda
University
公的ルール、民間ガイドライン
プライバシー保護、脆弱性関連情報の管理と公開
31
Naohisa Komatsu, Waseda
University
32