Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 29183 — IT — 生物特征 — 呈现攻击检测
工程师与系统架构师技术指南
1. 呈现攻击检测基础
ISO/IEC 29183 规定了生物特征系统中呈现攻击检测(PAD)的技术要求和评估方法,通常称为反欺骗技术。呈现攻击是指攻击者向生物特征采集设备提供合成或重建的生物特征(如硅胶指纹、打印的虹膜图像或录制的语音样本),以冒充合法用户。该标准定义了攻击类型分类、性能指标和测试协议,确保不同 PAD 实现之间的一致性评估。
对于指纹 PAD,应结合多种检测方式:纹理分析(检测打印图案)、活体检测(脉搏血氧或出汗现象)和材料表征(光学相干断层扫描)。没有单一方式能够对所有攻击类型实现稳健检测——融合是关键。
该标准将呈现攻击分为两大类:假体攻击(使用物理复制品,如假手指、打印的人脸或隐形眼镜覆盖层)和基于人体的攻击(使用变造或尸体的身体部位)。在每个类别中,标准根据攻击潜力(零努力、低努力、中努力、高努力)定义了子类别,对应执行攻击所需的资源和技能。这种分类使 PAD 部署决策能够与风险相匹配。
| 攻击类别 | 示例 | 攻击潜力 | PAD 复杂度 |
|---|---|---|---|
| 假体 — 2D | 打印的人脸照片 | 低 | 基础(纹理分析) |
| 假体 — 3D | 硅胶面具 | 中 | 中等(深度感知) |
| 假体 — 重放 | 平板上的视频重放 | 低 | 基础(挑战-响应) |
| 基于人体 | 尸体的手指 | 高 | 高级(活力检测) |
2. 性能指标与评估方法
ISO/IEC 29183 定义了 PAD 系统三个主要性能指标:攻击呈现分类错误率(APCER)、正常呈现分类错误率(NPCER)以及整体检测权衡曲线。APCER 量化了被错误分类为真实的攻击呈现比例,而 NPCER 衡量了被错误分类为攻击的真实呈现比例(误报率)。该标准要求 PAD 性能在 APCER 和 NPCER 相等的工作点(EER 工作点)以及应用特定工作点上报告。
切勿仅使用一种攻击类型评估 PAD 性能。标准规定必须针对代表不同攻击潜力的至少五种不同假体类型进行测试。仅针对单一假体类型进行测试会夸大性能数据,造成虚假的安全感——能够击败打印指纹的 PAD 可能被硅胶复制品轻松绕过。
评估方法遵循严格的协议:数据库必须包含至少 1000 个真实呈现样本和每种假体类型至少 500 个攻击呈现样本。攻击由经过培训的操作员在受控条件下执行,呈现攻击工具(如特定面具或胶质手指)每 50 次呈现后更换一次,以防止磨损伪影影响结果。强烈建议进行跨数据库评估以评估泛化性能。
3. 工程实施与部署考量
在生产环境中部署 PAD 需要仔细平衡安全性和可用性。该标准确定了三种部署架构:嵌入式 PAD(设备端处理,延迟最低)、边缘 PAD(本地服务器处理,设备卸载处理)和云端 PAD(远程处理,计算能力最高但延迟最高)。选择取决于应用程序的延迟预算、隐私要求和连接假设。
对于移动部署,使用设备端的神经处理单元(NPU)进行 PAD 推理。现代智能手机 NPU 对人脸反欺骗网络的推理时间低于 100 毫秒,功耗低于 50 毫瓦,使得持续或按需 PAD 成为可能且不影响电池寿命。
PAD 工程中一个常被忽视的方面是时间维度——攻击者会随着检测方法的改进而调整其技术。该标准建议实施反馈循环,记录和分析失败的攻击尝试,并定期用新收集的攻击样本重新训练 PAD 模型。对于高安全部署,这种对抗性再训练周期应至少每季度进行一次。标准还强调在生物特征采集序列的多个时间点进行呈现攻击检测的重要性,而非仅依赖单帧检测。
PAD 系统的一个关键失效模式是”自适应攻击”:攻击者根据 PAD 系统的反馈迭代优化其假体,直到规避成功。生产级 PAD 系统绝不能透露拒绝的具体原因(如”检测到纹理异常”与”运动模式无效”),以防止攻击者针对检测模型进行梯度下降式优化。
常见问题解答
问:29183 和 30107 有什么区别?
答:ISO/IEC 29183 专注于移动和嵌入式生物特征 PAD,而 ISO/IEC 30107 提供了适用于所有生物特征模态的更广泛框架。29183 包括移动特有考量,如传感器限制和设备端处理约束。
答:ISO/IEC 29183 专注于移动和嵌入式生物特征 PAD,而 ISO/IEC 30107 提供了适用于所有生物特征模态的更广泛框架。29183 包括移动特有考量,如传感器限制和设备端处理约束。
问:PAD 模型应多久更新一次?
答:中等安全应用至少每季度一次,高安全部署至少每月一次。更新应包含来自运维部署日志的新观察到的攻击模式,以及通过对抗性机器学习生成的合成攻击数据。
答:中等安全应用至少每季度一次,高安全部署至少每月一次。更新应包含来自运维部署日志的新观察到的攻击模式,以及通过对抗性机器学习生成的合成攻击数据。
问:2D 人脸图像能否可靠用于 PAD?
答:基于 2D 纹理的人脸 PAD 容易受到高质量打印和重放攻击。标准建议在安全关键应用中使用深度信息(结构光或立体相机)或红外图像进行稳健的人脸 PAD。
答:基于 2D 纹理的人脸 PAD 容易受到高质量打印和重放攻击。标准建议在安全关键应用中使用深度信息(结构光或立体相机)或红外图像进行稳健的人脸 PAD。
问:挑战-响应在 PAD 中的作用是什么?
答:挑战-响应机制(如要求用户眨眼、转头或说出随机短语)对简单重放攻击有效,但可以被复杂的视频或生成式 AI 绕过。应将其与被动活体检测结合使用以实现全面保护。
答:挑战-响应机制(如要求用户眨眼、转头或说出随机短语)对简单重放攻击有效,但可以被复杂的视频或生成式 AI 绕过。应将其与被动活体检测结合使用以实现全面保护。
