指紋認証の復習 (9): 指紋システムのセキュリティ

この記事は、主に「指紋認証ハンドブック」第 3 版の第 9 章「指紋システムの保護」の内容に基づいています。この記事は、新しい進歩や考え方を反映するために随時更新されます。

1 はじめに

フィンガープリンティング システムの主な目的は、個人の身元を識別または検証するメカニズムを提供することです。ただし、他のシステムと同様に、指紋システムにもセキュリティ上の問題が発生する可能性があります。フィンガープリンティング システムの一般的な障害には、侵入、サービス拒否、否認、機能クリープなどがあります。これらの指紋システムの障害を次の図に示します。

指紋システムの一般的なセキュリティ障害には、侵入、サービス拒否、否認、および機能クリープが含まれます。

アクセス制御アプリケーションでは、ロックの機能と同様に、指紋システムを使用して、施設、設備、または銀行口座などのサービスへのアクセスを制御します。これらのアプリケーションで最も一般的なセキュリティ障害は侵入です。これは、許可されていないエンティティが保護された施設への不正アクセスを取得する場合です。アクセスを取得すると、攻撃者は特定のアクション (銀行口座のすべての資金を引き出すなど) を実行し、機密データ (顧客の個人情報など) にアクセスする可能性があります。

侵入を開始するには多くの方法があります。これらは攻撃ベクトルと呼ばれることが多く、セクション 2 で詳しく説明します。攻撃者が施設にアクセスする最も簡単な方法は、ロックを解除することです。指紋システムの場合、これは、一致しない指紋を提供し (ランダムなキーを取得)、システムが誤った一致を生成する (実際にロックが開く) ことを期待するのと似ています。指紋システムは、FMR (False Match Rate) が非常に低い場合、より安全であると見なされます。誤った一致はフィンガープリンティング システムに固有の欠陥によるものであり、攻撃者の側で (自分のフィンガープリントを押して) 多大な労力を必要としないことに注意してください。したがって、このタイプの攻撃はゼロエフォート攻撃とも呼ばれます。

ただし、施設内のロックが最も強力であっても、攻撃者が施設に侵入する可能性は依然としてあります。たとえば、泥棒は鍵を盗んだり、所有者に銃を突きつけて強制的に入室させたりする可能性があります。または、攻撃者はロックをそのままにして、ドア、壁、または窓を壊して強制的に侵入する可能性があります。したがって、より強力なロックが必ずしもセキュリティの向上を意味するわけではなく、他の攻撃ベクトルを慎重に検討する必要があります。

生体認証 (指紋を含む) に固有の問題の 1 つは、「失効」に関係しています。従来の暗号システムでは、パスワードまたはキーが危険にさらされた場合、将来の使用を防ぐために「失効リスト」に入れられ、新しいパスワードまたはキーがユーザーに発行されます。ただし、指紋が漏洩した場合、取り消すことはできますが、ユーザーは別の指に切り替える必要があります。これは非常に不便で (指紋を登録するすべてのシステムを取り消す必要があります)、可能な指紋の変更の数が制限されます。

侵入に加えて、他の種類のフィンガープリンティング システム障害があります。アクセス制御アプリケーションでは、正当なユーザーが施設にアクセスできるようにすることは、攻撃者を締め出すことと同じくらい重要です。したがって、攻撃者がロック (指紋システム) を損傷し、正当なユーザーが施設にアクセスできなくなった場合も、システム障害を構成します。このタイプの障害は、サービス拒否(DoS)と呼ばれます。これは、指紋システムの高い本人拒否率、または攻撃者 (電源の破損、指紋センサーの損傷など) によって引き起こされる可能性があります。攻撃者が DoS 攻撃を開始する理由の 1 つは、攻撃者が侵入しやすい代替の弱いセキュリティ メカニズム (暗号化システムなど) をシステムに強制的に使用させることです。

侵入とサービス拒否は、生体認証システムに固有のものではありません。他の認証システムや一般的な暗号化システムも、このような障害に対して脆弱です。指紋システム (およびあらゆる生体認証システム) が他のセキュリティ システムと異なる点は、否認防止です。指紋認識の基本的な前提は、指紋が一意で不変であり、紛失、共有、または盗まれることがないということです。人物とその指紋との間にはこの強力なリンクがあるため、指紋システムは、アクセスを許可された人物が本当に本人であることを確認できます。指紋システムがこれを保証できない場合、正当なユーザーは、システムにアクセスした後にアクセスしたことを拒否できます。

最後に、フィンガープリントの独自性は、機能クリープと呼ばれる新しいタイプの障害ももたらします。この場合、攻撃者は特定の目的のために設計されたフィンガープリンティング システムを利用して、別のまったく意図しない目的を果たします。たとえば、銀行に提供された指紋データを入国管理データベースの指紋情報と組み合わせて使用​​し、個人の旅行履歴を追跡することができます。機能のクリープは、システムが個人の指紋データを保護できなかった結果です。

絶対に安全なセキュリティ システムはありません。適切な機会と十分な時間とリソースがあれば、あらゆるセキュリティ システムが侵害される可能性があります。しかし、指紋システムに対する一般の信頼と受容は、考えられるすべてのセキュリティ障害を防ぐシステム設計者の能力にかかっています。したがって、フィンガープリンティング システムは、導入前に、何を保護する必要があり、誰が攻撃するかを概説する脅威モデルを慎重に分析する必要があります。脅威モデルは、予想される攻撃に関連しています (攻撃者が利用できるリソース、意図、専門知識など)。脅威モデルが明確に定義されていない限り、導入されているセキュリティ ソリューションが適切かどうかを判断するのは困難です。アプリケーションの脅威モデルに応じて、攻撃者は攻撃の開始にさまざまな程度の時間とリソースを投資する可能性があります。たとえば、出入国管理用の指紋システムは、携帯電話のロック解除に使用される指紋システムよりも攻撃のリスクが高い可能性があります。同様に、リモートの無人のフィンガープリンティング システムでは、ハッカーが多数の攻撃を開始し、クライアント システムの整合性を物理的に侵害する十分な時間を持つ可能性があります。

このホワイト ペーパーでは、指紋識別システムの特定のセキュリティ問題とソリューションに焦点を当てます。私たちは主に侵入攻撃に焦点を当てています。侵入を成功させるには、攻撃者はまず正当なユーザーの指紋データを取得し、それをプレゼンテーション攻撃によって認証システムに挿入する必要があります。この記事では、これらの攻撃手法と対策について詳しく説明します。

2. 指紋システムの脅威モデル

フィンガープリンティング システムのセキュリティを分析する最初のステップは、脅威モデルを定義することです。モデルは、さまざまな脅威エージェントと攻撃ベクトルを定義します。下の図は、指紋システムに対するさまざまな攻撃を示しています。脅威の対象と攻撃経路について議論する前に、フィンガープリンティング システムはそれ自体の欠陥によって失敗する可能性があることを強調しておく必要があります。前述のように、指紋システムの一致が間違っていると、手間のかからない侵入攻撃につながる可能性があります。誤った不一致、指紋キャプチャの失敗などの欠陥は、サービス拒否 (アクセス制御アプリケーション、つまりホワイトリスト識別アプリケーション) または侵入 (ブラックリスト識別アプリケーション) につながる可能性があります。これらの欠陥は、この記事では説明しませんが、指紋認識技術を改善することで解決できます。

フィンガープリンティング システムに対するさまざまな攻撃

指紋システムの障害は、内部または外部の担当者による意図的な操作が原因である可能性もあります。インサイダー攻撃は、多くの場合、人間と指紋のシステムの相互作用における脆弱性を悪用します。このような攻撃には、許可されたユーザー自身が意図的にシステムをバイパスしようとする試みや、外部の攻撃者がシステムを侵害するために悪用することが含まれます。インサイダーは、指紋システムの承認されたユーザーまたはシステム管理者 (スーパーユーザー) になることができます。一方、外部からの攻撃は通常、ユーザー インターフェイス (センサー)、システム モジュール (特徴エクストラクタとマッチャー)、システム モジュール間の接続、テンプレート データベースなど、指紋システムの脆弱性を悪用します。

2.1 内部攻撃

人と指紋システムとの間の相互作用は、次の 5 つの方法でシステムの予想される動作を回避する可能性があります。

共謀: 共謀とは、許可されたユーザーが、単独で、または外部の攻撃者と協力して (おそらく金銭的利益を得るために) フィンガープリンティング システムを攻撃する状況を指します。たとえば、外部の攻撃者が承認されたユーザーである友人を持っている場合、彼は承認されたユーザーに自分の指紋データを提供するように求めることができます。許可されたユーザーは、攻撃者が指紋画像を取得したり、攻撃者に自分のアカウントへのアクセスを許可したり (または物理的なアクセス制御アプリケーションでドアを開けたり) するのを支援できます。この状況は、ほとんどのアプリケーションでほとんど脅威になりません。このような攻撃に対する可能な保護は、適切なトレーニング、厳格な監視、および違反に対する罰則の実施を通じて、許可されたユーザーによる責任ある行動を強制することです。より深刻な脅威は、指紋システムのほとんどのモジュールを制御するシステム管理者がシステムの機能を変更しようとする試みです。このような攻撃を防御することは非常に困難です。

強制: 共謀と強制の唯一の違いは、正当なユーザーの意図です。共謀とは、正当なユーザーが自発的である状況を指しますが、正当なユーザーが攻撃者によってフィンガープリンティング システムへの干渉を強要された場合、それは強要と見なされます。繰り返しますが、この攻撃を防ぐための特定の技術的対策はありません。

省略: この攻撃は、攻撃者と許可されたユーザーの間に明示的な協力がないことを除いて、共謀にも似ています。典型的な例としては、許可されたユーザーがオンライン システムからのログアウトに失敗したり、ドアを閉め忘れたりすることが挙げられます。攻撃者は、承認されたユーザーのこのような不注意な行動を悪用して、保護されたリソースへの不正アクセスを取得する可能性があります。定期的なトレーニングと、承認されたユーザーが従うべきベスト プラクティスの絶え間ないリマインダーを除けば、このような攻撃を防ぐ方法はほとんどありません。

登録詐欺: ほとんどのフィンガープリンティング システムのアキレス腱は、登録を既存の ID 管理システムに依存していることです。多くのアプリケーションでは、ユーザー登録には、指紋に加えて身元の証明 (パスポート、運転免許証、ID カード、出生証明書など) が必要です。攻撃者はこの脆弱性を悪用して、偽の資格情報を提供することで指紋を不正に登録する可能性があります。したがって、指紋システムの完全性は、登録プロセスの完全性によって制約されます。登録プロセスに問題がある場合、2 種類のエラーが発生する可能性があります。(1) 同一人物に対する複数の ID、および (2) 複数の人物が同じ ID を共有しています。タイプ I エラーは福祉配布などのアプリケーションでは深刻な問題ですが、タイプ II エラーは否認防止が主要な目標であるアプリケーション (国境管理など) ではより深刻です。

個人が複数の ID を取得するのを防ぐための解決策は、重複する ID を検出するために、登録を要求しているユーザーの指紋をすべての登録済みユーザーの指紋と照合することです。重複排除として知られるこのプロセスは、一部の大規模な識別アプリケーションですでに重要な役割を果たしています。たとえば、インドの Aadhaar プロジェクトでは、重複排除によって約 13 億人が登録されています。この方法の制限は、計算コストが高く、リアルタイムの登録ができないこと、および偽陽性と偽陰性の認識率を低く抑えるために複数の指から指紋を収集する必要があることです。

複数の人が同じ ID を共有するという問題は、スタッフが登録プロセスを注意深く監視することで軽減できます。そのため、ほとんどのアプリでは、ユーザーがサイトにいて登録プロセスを完了する必要があります。このような監視がなければ、登録プロセスはいくつかの点で危険にさらされる可能性があります。最近、ほとんどのフィンガープリンティング システムが、2 つの異なる指の特徴を組み合わせて生成される偽のフィンガープリントであるデュアル ID フィンガープリントに基づく攻撃に対して脆弱であることが示されました (Ferrara et al., 2017)。これらの二重 ID 指紋は、両方の指の指紋と誤って一致する可能性が高くなります (0.1% の誤一致率で約 90% の成功率)。さらに、この偽の指紋パターンは、平均的な人をだますのに十分なほどリアルです。別の攻撃モードは、複数の指を登録する指紋認識システムで発生します。この場合、異なる人から異なる指が出る可能性があります。これは、スマートフォンのロック解除などのアプリケーション シナリオでよく発生します。複数の家族や友人のグループが同じ ID で指を登録すると、保護されたリソースへのアクセスを共有でき、否認防止の原則に違反します。

異常な誤用: 生体認証システムの厄介な問題は、生体認証の普遍性の欠如です。肉体的な障害や皮膚の状態に関連する問題のために指紋を提供できない人が常にいます（たとえば、指紋がひどくすり減っている肉体労働者など）。場合によっては、ユーザーが認証のために一時的に指紋を提供できない場合があります (たとえば、指が怪我のために包帯を巻かれている場合など)。このような特殊なケースでのサービス拒否を回避するために、ほとんどの指紋システムには、他の資格情報 (パスワード、キーなど) に依存するフォールバック メカニズムがあります。欠点は、攻撃者が意図的にこの例外処理プロセスをトリガーし、バックアップ メカニズムの脆弱性を悪用できることです。この問題を軽減する方法は、複数の生体認証機能 (指紋、ポートレート、虹彩など) に依存するマルチモーダル生体認証システムを展開し、ユーザーが状況に基づいて最も適切な生体認証を選択できるようにすることです。

2.2 外部からの攻撃

外部からの攻撃は主に、センサー、特徴抽出器、マッチャー、テンプレート データベース、意思決定モジュール、およびこれらのモジュール間の通信リンクなど、指紋システムのさまざまなハードウェアおよびソフトウェア モジュールを標的としています。外部攻撃は拡張性があり (ほとんどのユーザーに影響を与える可能性があります)、リモート攻撃者に適しているため、内部攻撃よりも危険です。そのため、外部からの攻撃に対するフィンガープリンティング システムのさまざまな脆弱性について論じている多数の文献があります。Ratha et al. (2001) は、生体認証システムの典型的なアーキテクチャを検討し、8 つの特定の攻撃ポイントを特定しました (下の図を参照)。Cukic と Bartlow (2005) は、パッケージ フィンガープリンティング システムのアプリケーションを包括的に調査することでこのフレームワークを拡張し、20 の潜在的な攻撃ポイントと 22 の潜在的な脆弱性を特定しました。Roberts (2007) は、(1) 脅威の対象、(2) 脅威の経路、および (3) システムの脆弱性という、攻撃の 3 つの主要な側面に焦点を当てて、生体認証システムに対する攻撃のリスクを分析する改訂モデルを提案しました。Jain et al. (2008) は、コンパクトなフィッシュボーン モデルを使用して、生体認証システムの脆弱性を要約しています。フィッシュボーン モデルは、失敗の原因と結果の関係を反映しています。彼らは失敗の 4 つの原因 (すなわち、本質的な問題、安全でないインフラストラクチャ、管理上の問題、生体認証の開示) と 2 つの影響 (すなわち、サービス拒否と侵入) を挙げました。最近、生体認証システムのセキュリティ評価の基準と方法に関する ISO/IEC 19989–1/2/3 (2020) 規格が公開されました。この規格の最初の部分では、指紋システムの脆弱性が共通のフレームワークにまとめられています。 .

Ratha et al. (2001) によって定義された指紋認識システムの 8 つの攻撃ポイント。これら 8 つの攻撃ベクトルは、次の 4 つの主なカテゴリに分類できます。ユーザー インターフェイスへの攻撃 (1)、ソフトウェア モジュールへの攻撃 (3 および 5)、通信リンクへの攻撃 (2、4、7、および 8)、およびテンプレートへの攻撃です。 . データベースへの攻撃 (6).

文献で説明されている攻撃パスのほとんどは、(1) ユーザー インターフェイスへの攻撃、(2) ソフトウェア モジュールへの攻撃、(3) 通信リンクへの攻撃、(4) テンプレート データベースへの攻撃の 4 つの大きなカテゴリに分類できます。攻撃。これらの攻撃経路はフィンガープリンティング システムに固有のものではなく、従来のナレッジ ベースおよびトークン ベースの ID 管理システムにも影響します。実際、指紋システム ソフトウェア モジュールと通信リンクに対する攻撃は、パスワード ベースの認証システムに対する同様の攻撃と何ら変わりはありません。たとえば、攻撃者は、フィンガープリンティング システムのソフトウェア モジュールを、正規のソフトウェア モジュールに偽装する悪意のあるプログラムまたはトロイの木馬に置き換える可能性がありますが、攻撃者が望む偽の結果 (指紋画像、指紋の特徴、マッチング スコアなど) を生成します。または一致の決定)。攻撃者は、プログラミングのバグやソフトウェアの不具合を悪用して、システムをバイパスすることもあります。攻撃者は、通信リンクを盗聴または制御することにより、指紋システムのさまざまなモジュール間で交換される情報をスパイ、変更、または再生することもできます。ソフトウェア モジュールへの攻撃は、安全なプログラミングとソフトウェア開発の実践に従うことで軽減できます (McGraw、2006 年)。通信リンクは、暗号化、デジタル署名、タイムスタンプ、チャレンジ/レスポンスなどの標準的な暗号技術を使用して保護できます (Schneier、1996 年)。さらに、これらの 2 つの攻撃経路は、セクション 7 で説明するクローズド フィンガープリント システムを設計することで対抗することもできます。

指紋システムのユーザー インターフェイスと指紋テンプレート データベースへの攻撃は、知識ベースの認証システムには見られない独特のものです。たとえば、知識ベースの認証システムでは、攻撃者にとっての主な課題は、許可されたユーザーの秘密を正しく推測することです。シークレットがわかれば、ユーザー インターフェイスでシークレットを提供し、システムにアクセスするのは簡単です。ただし、フィンガープリンティング システムでは、個々の指紋データをキャプチャすることと、キャプチャした指紋データをユーザー インターフェイスに表示することの両方が、特別な課題をもたらします。次のセクション 3 では指紋データを取得する方法を紹介し、セクション 4 では指紋データを指紋システムに提示する方法について説明し、セクション 5 では対応する対策について説明します。さらに、パスワード データベースを保護するために、ハッシュや暗号化などの暗号化ツールがよく使用されます。ただし、セクション 6 で紹介するように、これらの手法を直接使用して指紋テンプレート データベースを保護することはできません。指紋テンプレートの保護には、特別なクラスの新しい技術が必要です。

3. 指紋の入手方法

指紋システムに対応する課題をよりよく理解するために、最初に知識ベース認証の制限を再検討しましょう。知識ベース認証の基本的な前提は、認証キーが許可されたユーザーだけに知られていることです。ただし、ほとんどのユーザーは、家族の名前や誕生日、好きな映画スターや音楽スター、一般的な単語など、覚えやすい単語や数字に基づいてパスワードを設定しています。これにより、パスワードは、推測または単純なブルート フォース辞書攻撃によって簡単にクラックできます。アプリケーションごとに異なるパスワードを使用することをお勧めしますが、ほとんどの人は複数のアプリケーションで同じパスワードを使用します。1 つのパスワードが侵害されると、多くのアプリケーションが開かれる可能性があります。長くてランダムなパスワードはより安全ですが、覚えにくいため、一部のユーザーは見つけた場所 (スマートフォンやコンピューターのメモなど) に書き留めます。強力なパスワードは忘れられやすく、パスワードのリセット費用が発生します。さらに、攻撃者は 1 人の従業員のパスワードを解読するだけで企業のイントラネットにアクセスできるため、脆弱なパスワードが 1 つあるだけでシステム全体のセキュリティが危険にさらされる可能性があります。したがって、システム全体のセキュリティは、最も弱いパスワード (最も弱いリンク) と同じくらい強力です。最後に、同僚とパスワードを共有する場合、システムは実際のユーザーが誰であるかを知る方法がありません。

指紋は、パスワードやトークンよりもコピー、共有、配布が困難です。指紋は紛失したり盗まれたりすることはありません。指紋認証では、認証のために本人が立ち会う必要があります。指紋の偽造は困難であり、ユーザーが指紋採取システムを使用したことを否定する可能性は低いです。要するに、生体認証以外のセキュリティ技術では、自然人とその人の行動との間にこれほど強力なリンクを提供することはできません。これら主張されている利点はすべて理論的には正しいのですが、実際にはこれらの主張には疑問があります。まず、誰かの指紋データをコピーまたは盗むことが実際に可能であることが判明しました。多くの場合、生体認証データは個人的なものですが、秘密ではないことは誰もが知っています。たとえば、ソーシャル メディアの時代には、個人の写真やビデオが広く公開され、アクセスされます。指紋は人間の顔のように密かに取得するのは簡単ではありませんが、攻撃者はさまざまな方法でターゲット ユーザーの指紋データを取得できます。たとえば、攻撃者は次のことができます。

• ユーザーがオブジェクトに触れたときに残された潜在的な指紋を抽出します。
• 指紋は、ユーザーがインターネットに投稿した高解像度の写真から抽出されます。
• 山登り法で指紋データを推測します。
• テンプレート ライブラリからユーザーの指紋データを取得します。

上記の方法は、対象ユーザーの指紋を取得するためのものです。さらに、攻撃者は公開指紋ライブラリの画像や生成された指紋画像を侵入に使用することもできます。この試みはゼロ エフォート攻撃として分類できます。これは、非常に低い誤一致率のフィンガープリンティング システムを使用して防御できます。これにより、攻撃者がこの攻撃モードを選択するインセンティブが大幅に減少します。指紋照合機能が 0.001% の誤一致率 (FMR) で動作すると仮定すると、一般的な指紋データを使用して平均 100,000 回の侵入試行が成功する必要があります。ただし、一部のアプリケーション (スマートフォンのロック解除など) では、実際のユーザーの不便を避けるために、任意に低い誤一致率を設定することはできません (FNMR は高すぎます)。さらに、スマートフォンで使用される指紋センサーは通常、面積が小さく、指紋の一部しかキャプチャできません。したがって、ユーザーは通常、複数の指だけでなく、多くの部分的な指紋を登録します。Roy et al. (2017) は、このシナリオで攻撃者がいわゆる「MasterPrints」を作成し、複数のユーザーからの多数の指紋サンプルを正常に照合できることを示しました。

対象者指紋データの取得方法については後述する。

3.1 潜在指紋の抽出

ターゲット ユーザーの潜在的な指紋を抽出するには、攻撃者はユーザーの所在を知る必要があります。攻撃者はターゲット ユーザーを追跡し、ユーザーが触れたオブジェクトを取得し、それらから潜在的な指紋を抽出し、それらをスキャンして指紋画像に変換します。潜在指紋を抽出する技術は、指紋センサーでレビューされています。ライブ指紋センサーによって収集された指紋画像とは異なり、潜在指紋は通常、品質が低く、不完全で不明瞭です。困難な表面から潜在的な指紋を抽出するには、専門知識と高度な抽出ツールも必要です。適切なツールと専門知識を使用しても、抽出された指紋のほとんどは品質が低く、指紋採取システムで照合することはできません。また、1 つの潜在的な指紋を使用して複数のユーザーに対して攻撃を開始することはできないため、攻撃者には悪用できる規模の経済がありません。さらに、リモート アプリケーションでは、潜在的な指紋が攻撃者によって取得される可能性は低くなります。したがって、潜在的な指紋を取得することは複雑で、費用がかかり、用途が限られています。攻撃者による潜在的な指紋の抽出に対する具体的な対策はありませんが、ほとんどのアプリケーションでは、この脅威は最小限です。それでも、この脅威は、侵害の成功に対する潜在的な報酬が非常に高い一部のアプリケーションでは注意が必要です.

3.2 HD 写真からの指紋抽出

インターネットやソーシャル メディア、スマートフォンなどの高解像度デジタル カメラの普及により、新たな脅威が出現しています。多くの人が定期的に高解像度の写真をインターネットに投稿しています。これらの写真に個人の指紋の鮮明な画像が含まれている場合、写真から指紋を抽出できる可能性があります。たとえば、メディアの報道によると、2014 年にドイツのハッカーが、デジタル カメラでリモートで撮影した高解像度の写真から密かに当局の指紋を取得しました (Hern、2014 年)。携帯電話のカメラで撮影した指紋写真には、従来の接触式指紋センサーで取得した指紋と照合するのに十分な情報が含まれていることも研究で示されています (Priesnitz et al., 2021)。上記の研究における指の写真はユーザーの協力を得て撮影されたものですが (下の図を参照)、カメラ技術と指紋処理アルゴリズムのさらなる開発にもかかわらず、非協力的で密かに撮影された指の写真から指紋を抽出することが可能になる可能性があります。未来。この脅威に対する 1 つの対策は、ウェアラブル ジャミング パターン (Echizen and Ogane, 2018) であり、従来の指紋センサーの使用に影響を与えずに指の写真をぼかすことができます。

HD 写真からの指紋抽出のプロセス (Priesnitz et al., 2021)

3.3 山登り法による指紋推定

攻撃者が合成された指紋画像 (または特徴表現) を指紋採取システムにフィードでき、マッチャーがスコアを返す場合、攻撃者は指紋画像を生成するプロセスを繰り返し最適化して、侵入の可能性を高めることができます (Soutar、2002 年)。ヒル クライミング法を使用して、指紋画像や特徴点セットなどの特徴表現の生成を最適化できます。この場合、生成された指紋データが登録テンプレートと完全に同じでなくても、十分に類似している限り、マッチャーをだまして一致の決定をさせることができます。山登りソフトウェアは、生成された後続の指紋データを反復的に変更して、一致スコアが前回の反復よりも高くなるようにすることができます。

Soutar (2002) も、山登り攻撃に対処するための戦略を提案しました。彼は、指紋マッチャーによって返される一致スコアの粒度を上げることを提案しています。一致スコアが粗い場合 (たとえば、[0, 100] の範囲の一致スコアに対して 10 粒度)、山登りでは、一致スコアがシステムのしきい値を超えるように、スコアの変化を観察するのに十分な試行が必要になります。必要な試行の総数が非常に多くなります。極端な場合、システムは一致スコアをまったく出力せず、一致または不一致の決定のみを出力することがあります。この場合、攻撃者が真のフィンガープリント分布に従う合成フィンガープリントを生成できる場合、必要な試行回数は偽一致率 (FMR) によって決まります。

3.4 テンプレート ライブラリから指紋を盗む

個人の指紋データを取得するもう 1 つの方法は、指紋システムのテンプレート ライブラリに侵入することです。これは、システム管理者の共謀または強制によって、またはテンプレート ライブラリを取り巻くセキュリティを完全にバイパスすることによって実行できます。指紋テンプレートは、攻撃されたのと同じシステムからのものである必要はありません。ターゲット ユーザーが登録されている任意の指紋システムから取得できます。攻撃者が取得する指紋データは、指紋特徴テンプレートまたは指紋画像である可能性があります。フィンガープリンティング システムが独自のフォーマットのフィンガープリント フィーチャ テンプレートを使用している場合、そのフォーマットは攻撃者に知られていないため、システムにフィンガープリント データが注入されないように安全であると長い間考えられてきました。同様に、特徴テンプレートは元の指紋画像を高度に抽象化した結果であるため、特徴テンプレートから指紋画像を再構築することは不可能です。しかし、どちらの主張も間違っていることが証明されています。

攻撃者が指紋画像を取得できる場合、特徴抽出器を使用して簡単に指紋特徴テンプレートに変換できます (特徴抽出器は、ハッキングしようとしている指紋システムで使用されているものと同じである必要はありません。同じものを使用するだけです)。フィーチャ形式で十分です)。独自の署名テンプレートの機密性は、十分なリソースを持つ攻撃者によって簡単に破られる可能性があります。実際、フィンガープリンティング システムでは、ISO/IEC 19794-2 (2011) や ANSI/NIST-ITL 1-2011 (2015) などの標準テンプレートや標準 API を採用することが一般的になっています (Soutar、2004)。 . したがって、ターゲット システムで使用されるテンプレート形式に関係なく、攻撃者は指紋イメージをそのテンプレートに変換できると想定する必要があります。

特徴抽出プロセス中に一部の情報が確実に失われるため、指紋特徴テンプレートから元の指紋画像を正確に再構築することは不可能です。ただし、AFI システムをだますのに十分な指紋の再構築を実行することは可能です。Hill (2001)、Ross et al. (2007)、Cappelli et al. (2007)、Feng と Jain (2011)、Li と Kot (2012)、Cao と Jain (2015) を含む研究者は、特徴点のみを使用することを示しました。テンプレートは、高品質の指紋画像を再構築できます。下の図は、指紋特徴点テンプレートから指紋画像を再構成する例を示しています。このような「十分に類似した」指紋画像は、指紋採取システムをだますことに成功する可能性が高くなります。たとえば、Cao and Jain (2015) の再構成手法では、再構成された指紋が同じ指の異なる画像と照合された場合でも、攻撃の平均成功率は 95% を超えています。

特徴点から再構成された指紋画像の 4 つの例。再構成された画像 (下の行) は、特徴点が取得された元の画像 (F1) だけでなく、同じ指の別の画像 (F2) ともよく一致します。S(x,y) は、フィンガープリント ソフトウェアによって推定されたフィンガープリント x と y の間の一致スコアを表します。50 を超えるスコアは、一致の信頼性が非常に高いことを示します。(Cao と Jain、2015 年)

フィンガープリンティング システムが特徴点ではないテンプレートを使用する場合、登録テンプレートには、標準の指紋データ形式 ISO/IEC 19794-4 (2011) など、実際には指紋イメージ全体 (おそらく圧縮形式) が含まれる場合があります。さらに、ISO/IEC 19794-3 (2006) などの標準指紋アトラス データ形式には、指紋画像から抽出されたブロックワイズ ウェーブレット係数が含まれており、指紋画像を直接再構築することもできます。

3.5 指紋データの保護方法

個人の指紋データを取得するさまざまな方法の中で、テンプレート データベースから直接指紋を取得することは、秘密裏に行うことができ、拡張性が高いため、最も深刻な脅威です (多数の指紋が一挙に盗まれる可能性があります)。登録データベース内のテンプレートを保護する簡単な方法は、標準の (実績のある) 暗号化技術 (高度暗号化標準 AES アルゴリズムなど) を使用してテンプレートを暗号化された形式で保存することです。あるアプリケーションのテンプレートを別のアプリケーションのテンプレートと交換できないように、アプリケーションごとに異なる暗号化キーを使用できます。暗号化キーが侵害された場合、テンプレートは新しい暗号化キーで再暗号化できます。しかし、この方法には重大な問題があります。パスワード比較とは異なり、従来の指紋照合は暗号化されたドメインでは実行できず、照合前にテンプレートを復号化する必要があります。これは、標準の暗号化アルゴリズムが入力空間の小さな差を出力空間の大きな差に変換するのに対し、同じ指の複数の画像にはクラス内の大きな差があるため、暗号化されたドメインでそれらを照合することが不可能になるためです。テンプレートを復号化する必要があると、攻撃者が復号化されたテンプレートのメモリにアクセスしたり、復号化キーを盗もうとしたりする可能性があるため、セキュリティ ホールが発生します。キーが漏洩してテンプレートが盗まれると、指紋テンプレートを取り消して再発行するのは簡単ではありません。

登録テンプレートを保護する 1 つの方法は、それらを改ざん防止の安全なハードウェア (詳細についてはセクション 7 を参照) に保存し、安全なハードウェアの境界を離れないようにすることです。これらのスキーム (オンカード マッチングやシステム オン チップなど) は非常に興味深いものです (Grother et al., 2007)。Apple の iPhone 上の Touch ID および Face ID システムはこのアプローチに従い、専用チップの安全な領域に生体認証テンプレートを保存します (Touch ID および Face ID セキュリティに関する Apple のプレゼンテーションを参照)。これらの手法の利点の 1 つは、テンプレートがユーザーに分散して保存されることです。たとえば、ユーザーは常にエンクレーブに登録テンプレートを持っています。集中型ストレージを回避することで、攻撃者が規模の経済を利用することも防止できます。ただし、安全なハードウェアにテンプレートを保存することにはいくつかの欠点 (精度の低下、追加コストなど) があり、集中管理が必要なアプリケーション シナリオや ID 認識モード (1:N) で実行するアプリケーション シナリオでの実装は困難です。たとえば、一部のアプリケーションでは、ユーザーが指紋を再登録することなく複数の端末から自分のアカウントにアクセスできますが、これには集中テンプレート管理が必要です。そのため、仮に復号鍵が漏洩したとしても指紋テンプレートを保護する技術が必要となる。攻撃者が保存されたテンプレートを取得したとしても、異なるアプリケーション間でユーザーの ID をリンクすることはできません。この問題を解決する手法はテンプレート保護手法と呼ばれ、セクション 6 で詳しく説明します。

攻撃者が個人の指紋データを取得するのを防ぐことは不可能であるため、システムは、攻撃者が取得したデータをシステムに挿入するのを防ぐことに重点を置く必要があります。特定のユーザー アカウントに対する指紋データの注入を防ぐ簡単な対策は、短期間に一定回数 (たとえば 3 回) 指紋の不一致が発生した場合にシステムをロックすることです。これは、攻撃者が一般的な指紋データ攻撃を使用している場合に役立ちます。これは、攻撃者が成功するには多数の侵入試行が必要であると予想されるためです。攻撃者は、1 人のユーザーに異なるデータを継続的に注入するのではなく、多数のアカウントに同じ一般的な指紋データを注入することもできますが、一致する数を制限するこの対策は、依然としてある程度の保護を提供します。ただし、攻撃者がターゲット ユーザーの指紋データにアクセスできる場合、一致数を制限しても攻撃を防ぐことはできません。この場合、唯一の解決策は、攻撃者が不正なデータをシステムに挿入するのを防ぐことです。インジェクションは、人間とコンピューターの対話リンク (指紋センサー)、または指紋システムのさまざまなモジュール間の通信チャネルで実行できることに注意してください。通信チャネルは、標準の暗号化ツールを使用して大部分を保護できます。したがって、このホワイト ペーパーでは、ヒューマン コンピュータ インタラクション (センサー) 段階でデータを挿入する攻撃からフィンガープリンティング システムを保護することに焦点を当てます。これらの攻撃は、一般にフィンガープリント プレゼンテーション攻撃と呼ばれます。

4. プレゼンテーション攻撃

ISO/IEC 30107–1 (2016) 規格では、プレゼンテーション攻撃を「生体認証データ収集サブシステムに提示して、生体認証システムの動作を妨害する」と定義しています。これらの攻撃は、さまざまな方法で実行できます (下の図を参照)。これらは、標準ではプレゼンテーション攻撃手段 (PAI) と呼ばれています。プレゼンテーション攻撃に対する対策は、ハードウェアまたはソフトウェア モジュールをセンサーに追加して、センサーによって収集されたフィンガープリントをさらに処理する前に、まず攻撃の存在を検出することです。このようなモジュールは、Fingerprint Presentation Attack Detection (PAD) と呼ばれます。

指紋レンダリング攻撃には、(a) 偽の指、(b) 2D または 3D 印刷された指紋、(c) 指紋の改ざん、(d) 死体の指が含まれます (Chugh et al., 2017)。

指紋システムのレンダリング攻撃ツールには、(1) 偽の指 (Matsumoto et al., 2002)、つまり、他人の指紋構造を正確に模倣するために指のようなオブジェクトを作成する、(2) 2D または 3D で印刷された指紋 (Cao and Jain、2016; Arora et al., 2016; Engelsma et al., 2018)、(3) プラスチック指紋 (Yoon et al., 2012)、つまり、識別を避けるために実際の指紋パターンを意図的に変更または損傷する、および (4) 死体の指 (マラスコとロス、2015)。さまざまなプレゼンテーション攻撃ツールの中で、指の偽造と指紋の印刷が最も一般的で、最も簡単に実行できます。

4.1 疑似指紋

偽の指紋は、さまざまな方法で作成できます。報告によると、日常の安価な材料 (ゼラチン、シリカゲル、粘土など) を使用して本物そっくりの偽の指紋を作成することが可能であり、指紋認識システムを欺くのに十分です (下の図を参照)。たとえば、2013 年 3 月、ブラジルの医師が、シリコン製の偽の指紋を使用して、サンパウロの病院の指紋診察システムを欺いたとして逮捕されました (BBC ニュース、2013 年)。2013 年 9 月、Apple が Touch ID 指紋技術を内蔵した iPhone 5S をリリースした直後に、ドイツの Chaos Computer Club (CCC, 2013) は、ドイツの高解像度の指紋写真に基づいて木工用接着剤で偽の指紋を作成し、Touch ID をだますことに成功しました。登録ユーザー制。2016 年 7 月、ミシガン州立大学の研究者は、2D 印刷された指紋を使用してスマートフォンのロックを解除し、殺人事件で警察を支援しました (Korkzan、2016 年)。2018 年 3 月、インドのラージャスターン州のギャングが、ワックス モデルに接着剤を注入して偽の指紋を作成し、警察の指紋出席システムを欺いて逮捕されました (Vidyut, 2018)。発見されておらず、したがって報告されていない疑似指紋攻撃がまだ多数存在する可能性があります。

偽の指紋は、さまざまな一般的な素材から作成できます。この図は、これらの材料から作成された疑似指紋と、光コレクターを使用して取得されたグレースケールの指紋画像を示しています。（チュグとジェイン、2021年）

対象ユーザーが協力しながら、疑似フィンガープリントを行うことができます。

ユーザーの協力を得て疑似指紋を作成します。パラフィンは型を作るために使用され、シリコーンは鋳造材料として使用されます。

意図したユーザーの協力なしに、偽のフィンガープリンティングも実行できます。偽造者は、セクション 3 で紹介した方法を使用してターゲットの指紋画像を取得できます。これは、偽の指紋を作成するための出発点として使用できます。

指紋画像から偽の指紋を作成するプロセス

4.2 指紋改ざん

レンダリング攻撃のもう 1 つの形式は、フィンガープリントを意図的に変更することです。これにより、いわゆる改ざんされたフィンガープリントが作成されます(図 9.6 および 9.11 を参照)。この種のプレゼンテーション攻撃の典型的なケースは、入国管理や犯罪捜査において、関係者が自分の正体を隠そうとすることです。偽の指紋とは異なり、改ざんされた指紋は本物の指であり、その構造は研削、燃焼、切断、または手術によって大幅に変更されています。下の図に示すように、さまざまな種類の変更手順によって、さまざまなフィンガープリントの変更が行われます。指紋の改ざんは、消去、歪曲、模倣の 3 つのタイプに分類されます (Yoon et al., 2012)。消去には、摩耗、切断、燃焼、強力な化学薬品の使用が含まれます。皮膚病や特定の薬の副作用によっても指紋が消えることがあります。歪みとは、指の皮膚の一部を別の場所に移植するなど、整形手術を使用して通常の指紋パターンを異常なパターンに変換することを含み、異常なパターンが得られます。模倣とは、変更された指紋が自然に見えるようにするための慎重な外科的処置の使用を指します。たとえば、指紋のようなパターンが保持されるように、別の指または足の指から皮膚をまとめて移植することです。

3種類の改ざん指紋（消去・歪曲・模造）。この図は、品質スコア (NFIQ 2.0 に基づく) も示しています。100 に近いスコアは高品質を示し、0 のスコアは低品質を示します。(Tabassi et al., 2018)

1935 年には、刑事事件で検出を回避するために指紋が改ざんされたという報告がありました。Cummins (1935) は、指紋改ざんの 3 つの事例を報告し、改ざんの前後の画像を提供しました。近年、入力アプリケーションは、指紋改ざんの発生率が高いシナリオになっています。2009 年、日本の当局者は、身元確認を回避するために左手と右手の指紋を交換するために整形外科医にお金を払った男を逮捕したと伝えられている (Heussner, 2009)。報告によると、男性の親指と人差し指の皮膚が取り除かれ、もう一方の手の指に移植されました。そのため、不法入国した際、男の正体は分からなかった。2014 年、FBI は、IAFIS 指紋システムで、指紋の改ざんの可能性がある 412 の記録を発見しました (CJIS、2015 年)。2018 年、Business Insider は、2009 年 10 月に FBI の 10 人の最重要指名手配者リストに掲載された Eduardo Ravelo が、身元確認を回避するために整形手術を受けたと報告しました (Weiss et al., 2020)。

5. 現在の攻撃検出

指紋システムはプレゼンテーション攻撃に対処するのが難しく、マスコミで多くの事例が報告されており、一般の人々は指紋システムの安全性に疑問を抱いています。スマートフォンのロック解除、アクセス制御、企業の出退勤システム、空港のセルフチェックイン キオスクなど、無人の指紋システムは特に重要です。そのため、指紋提示攻撃検出 (PAD) 技術は、過去 20 年間に大きな注目を集めてきました (Marcel et al., 2019; Souseik and Busch, 2014)。2009 年以来、さまざまな指紋存在攻撃検出技術をテストするために、LivDet 指紋活性検出コンテストが数年間開催されてきました (Yambay et al., 2019)。米国の IARPA ODIN プロジェクト (2016 年) や EU の TABULA RASA プロジェクト (2013 年) など、政府が資金提供するいくつかの大規模なプロジェクトは、生体認証 (顔、指紋、虹彩) による存在攻撃検出技術の開発を進めることを目的としています。13 億人が登録している世界最大の生体認証システムであるインドの Aadhaar プロジェクト (2021 年) も、偽の指紋、肖像画、虹彩を検出するための研究に資金を提供しています。

プレゼンテーション攻撃に対するフィンガープリンティング システムの堅牢性を向上させるために、研究者は多くの PAD 手法を提案してきました。理想的な PAD メソッドは、(1) 非侵襲的、(2) ユーザーフレンドリー、(3) 低コスト、(4) 高効率、および (5) 非常に低いエラー率という要件を満たす必要があります。PAD 方式は、ハードウェア ベースの方式とソフトウェア ベースの方式に分けることができます。

5.1 ハードウェア方式

指の皮膚は、独特の皮膚特性を持つ層状の組織です。ハードウェア ベースの PAD 方式では、特殊なセンサーを使用してバイタル サイン (電気的特性、皮下画像、血圧、脈拍など) を検出し、本物の指紋と偽の指紋を区別します。これらのソリューションは、ハードウェアが追加されるため、比較的高価でかさばります。ハードウェアベースの PAD メソッドには次のものがあります。

• マルチスペクトル特性: 専用センサーは、さまざまな波長と偏光を使用して、指の表面と皮膚の下の特徴を取得し、本物の指と偽の指を区別できます (Rowe et al., 2008)。有用な光学特性には、さまざまな照明条件 (波長、偏光、コヒーレンスなど) での吸収、反射、散乱、および屈折の特性が含まれます。しかし、指に近い光学特性を持つ材料 (ゼラチンなど) を見つけることは難しくありません。シリコンなどの材料の薄い層で本物の指をコーティングすると、本物の指の光学特性のほとんどを再現することもできます。Play-Doh などの合成素材に、組織に一貫した色を追加することもできます。

マルチスペクトル フィンガープリンガーを使用して、さまざまな素材の本物の指と偽の指のスペクトルの違いを観察します。曲線は、8 つの画像のそれぞれの平均輝度です (実線は本物の指で、4 つのグラフで繰り返されます。破線は 4 つの偽物を表します)。真偽は、平均スペクトル特性に従って分離できます。(ロウ他、2008)

マルチスペクトル センサーのもう 1 つの例は、オープン ソースの RaspiReader 指紋リーダーです。生の直視 RGB 画像と高コントラスト FTIR 画像 (下の図を参照) の 2 つの補完的な情報ストリームを提供するデュアル カメラ設計を使用しており、これを生体検出に使用できます (Engelsma et al., 2019)。短波赤外線画像を使用してディープ ニューラル ネットワークをトレーニングし、PAD にとって重要な機能を自動的に学習させることもあります (Tolosana et al., 2020)。

RaspiReader オープン ソース指紋リーダーは、デュアル カメラを使用して、生体検知に役立つ 2 つの補完的な情報ストリームを提供します。RaspiReader によって本物の指と偽物の指からキャプチャされた生の画像は明らかに異なりますが (中央の列)、市販の光学式指紋リーダーによってキャプチャされた画像にはそのような違いは見られません (右の列)。(エンゲルスマら、2019)

• 電気的特性: 人間の組織は、シリコン ゴムやゼラチンなどの多くの合成材料のように導電性がありません。したがって、指紋センサーで指（本物または偽物）の導電率を測定することにより、本物と偽物を区別することができます。Shimamura et al. (2008) は、インピーダンス測定モジュールを容量性指紋センサーに組み込み、プレゼンス攻撃を検出しました。ただし、実際の指の導電率は、湿度や温度などの気象条件によって大きく異なります。たとえば、偽の指が水に浸されている場合、その導電率は生きている指の導電率と区別できない場合があります。比誘電率 (RDC) も指の湿度の影響を受けるため、本物の指と偽物の指を区別するのにはあまり効果的ではありません。さらに、偽の指にアルコールをこすりつけると、RDCが大幅に変化し、生きている指と見分けがつかなくなりました。指の電気的特性を PAD に利用するもう 1 つの方法は、チャレンジ/レスポンス メカニズムを設計することです。認証中に指先に送信された電気パルスに対する指の反応を観察するために、センサーに電極アレイを装備することができます (Yau et al., 2008)。

• 光コヒーレンストモグラフィ (OCT): 皮下の特徴は目に見えないため、攻撃者はそれらを取得できません (ユーザーが OCT スキャンに協力しない限り)。したがって、これらの特性に基づく検出技術は、ほとんどのプレゼンテーション攻撃に対処できると期待されています。OCT 技術は、高解像度でのヒト組織の非侵襲的イメージングを可能にし、疑似指紋の検出のための皮下情報を提供します (Darlow et al., 2016)。ただし、現在の OCT 取得装置はかさばり、高価です。

• 超音波：クアルコムがスマートフォン向けに開発したディスプレイ下指紋センサーは、指の表面で反射した超音波を利用して指紋画像を取得します。本物の指と偽物の指の音響反応の違いは、本物と偽物を区別するために使用できます (Agassy et al., 2019)。

• におい：皮膚のにおいは、ゼラチン、ラテックス、シリコンなどの合成物質とは異なります。臭気は、金属酸化物技術に基づくものなどの化学センサーを使用して検出できます。センサーは、臭気物質から蒸発する微量分子を検出することにより、臭気物質を検出します。電子鼻には、そのような匂いセンサーの配列が含まれています (Baldisserra et al., 2006; Franco and Maltoni, 2007)。

• 生物医学的特性: これらの指の活性検出方法は、指の脈拍と血圧の測定に基づいています。ただし、指の脈拍数は人によって異なり、特定の瞬間の身体活動や感情状態にも関連しています。さらに、センサー表面を指で押すとパルス値が変化し、1 回のパルス測定に最大 5 秒かかる場合があります。また、非常に薄いシリコン製の偽の指紋を本物の指に貼り付けると、脈拍も検出できます。血圧センサーと ECG センサーにも同様の制限があります。

5.2 ソフトウェア方式

ソフトウェアベースのアプローチでは、静的な指紋画像または指紋リーダーによってキャプチャされた一連のフレームを利用して、本物の指紋と偽の指紋を区別します。このような方法は、ハードウェアを追加する必要がなく、ソフトウェアの更新によって検出機能をアップグレードできるため、有望です。これらのメソッドは、動的メソッドと静的メソッドの 2 つのカテゴリに分類されます (Marasco と Ross、2015 年)。PAD の主な課題の 1 つは、検出技術の一般化能力を向上させることです。つまり、トレーニング時に未知の偽造品やセンサーに直面しても優れたパフォーマンスを維持することです。セクション 5.4 では、一般化を改善する方法について説明します。

5.2.1 動的メソッド

• 発汗: 本物の指は一定期間汗をかきますが、偽の指紋は汗をかきません。実際の指では、汗は毛穴から始まり、尾根に沿って広がります。汗毛穴の周りの面積は、時間の経過とともに徐々に拡大します。発汗プロセスを観察するには、コレクターに数秒間指を置く必要があります。下の図は、同じ指を 3 回連続して撮影した指紋画像です。汗による尾根の特徴の時間的変化を定量化するために、最初と最後の画像フレーム間のピクセル値の変化を識別特徴として使用できます。Tan と Schuckers (2006) は、隆線に沿って抽出された信号を分析し (多重解像度テクスチャ分析とウェーブレット分析を使用)、単一の指紋画像から発汗を検出しました。3 つの異なる指紋スキャナーの正しい分類率は、84 ～ 100% であると報告されています。汗分析方法の限界は、人の指の水分量の違いと、指を押す圧力の違いです。

発汗により、指紋画像のグレースケールが時間の経過とともに変化します (Stephanie Schuckers 提供)

• 皮膚の変形: 皮膚の変形モデルは、指をセンサー表面に押し付けたときに指の皮膚がどのように変形するかを観察することで学習できます。合成材料で作られた義指は、自然な皮膚の変形モデルに適合しそうにありません。実際、皮膚は一般に、疑似指紋を作成するほとんどの素材よりも弾力性があります。さらに、指の皮膚は下にある真皮に固定されているため、特定の方法で変形し、変形は指骨の位置と形状の影響を受けます。Zhang et al. (2007) は、プレゼンテーション攻撃を検出するために、さまざまな方向の圧力によって引き起こされる歪みエネルギーを計算することを提案しました。通常の指紋と歪んだ指紋の間の全体的な歪みは、特徴点セットのペア間の薄板スプライン (TPS) モデルを使用してモデル化できます。歪みエネルギーは、TPS モデルに基づく曲げエネルギーから計算されます。以下の図は、このアプローチの原理を示しています。Antonelli et al. (2006a,b) は、適切な (測定可能な) 歪みを生成するために、ユーザーは意図的に指を回転させながら、ピッカーに十分な垂直方向の圧力を加えることができると主張しています。いくつかのフレーム (フレーム レート 1 秒あたり 10 ～ 15 フレーム) を指定して、連続するフレームのペアから特徴ベクトルを計算します (ワープ エンコーディングと呼ばれます)。ユーザー固有のワープ エンコーディングは、登録時に学習し、検証時に測定されたエンコーディングと比較できます。

Zhang et al. (2007) は、曲げエネルギーを使用して指の皮膚の変形をモデル化することを提案しました。

• その他の動的情報。人間の指の特定の特性 (発汗や皮膚の変形など) をキャプチャしようとすることに加えて、一部の手法では、指紋画像シーケンスの一般的な動的情報を利用します。Chugh と Jain (2020) は、10 個の画像フレームから抽出されたローカル指紋画像 (特徴点を中心とする) を使用した PA 検出用のディープ ニューラル ネットワーク ベースの分類器を提案しました。同様に、Plesh et al. (2019) は、時系列およびカラー センシング機能を備えた指紋センサーを使用して、PA 検出用の時空間動的特徴を抽出しました。

5.2.2 静的メソッド

静的な方法は単一の指紋画像から特徴を抽出するため、複数の画像やビデオ シーケンスを取得するのに数秒かかる動的な方法よりも安価で高速です。静的メソッドは、解剖学的特徴、質量ベースの特徴、テクスチャ特徴、機械学習特徴など、手作業で設計された特徴を抽出できます。

• 手作業で設計された特徴: 2015 年以前の PA 検出方法は、(1) 解剖学的特徴 (汗孔の位置とその分布など)、(2) 生理学的特徴 (発汗など)、および (3) テクスチャーを含む、主に手作業で設計された特徴を利用していました。ベースの機能 (例: パワー スペクトル分析とローカル記述子)。Marasco と Ross (2015) は、手作りの機能を使用した PA 検出のさまざまな方法を包括的にレビューしました。

• 機械学習機能: Nogueira et al. (2016) は、深い畳み込みニューラル ネットワーク (CNN) を使用して、PA 検出に重要な機能を自動的に学習し、手動で設計された機能に基づく方法よりも優れたパフォーマンスを達成しました。オーバーフィッティングを回避するために、著者は事前トレーニング済みのオブジェクト認識 CNN ネットワークを微調整しています。Pala と Bhanu (2017) は、ランダムに選択されたローカル ブロックを使用してカスタム CNN アーキテクチャをトレーニングするために、トリプル ロス ベースのディープ メトリック ラーニング フレームワークを採用しました。偽の指紋を作成するプロセスに含まれるランダム性により、尾根領域の欠落、乾燥肌によるひび割れなど、いくつかのアーティファクトが生成される可能性があります。このノイズの主な結果は、指紋内に偽の特徴点が生成されることです。これらの誤った特徴点の周囲の局所領域は、信憑性と虚偽を区別する手がかりを提供できます。Chugh et al. (2018) は、指紋の特徴点周辺で抽出されたローカル ブロックを使用して CNN ネットワークをトレーニングします。Zhang et al. (2019) の CNN ネットワークは、重心ベースのローカル ブロックを分析し、LivDet 2017 コンペティションで最高のパフォーマンスを達成しました (Yambay et al., 2019)。

5.3 改ざんされた指紋の検出

改ざんされた指紋を検出することは、公安および入国管理局にとって大きな価値があります。指紋の改ざんを検出する方法は、主に経験的に設計された機能を利用して、改ざんされた指紋を通常の指紋と区別します。通常の指紋は、滑らかな隆線方向フィールド (特異点付近を除く) と、合理的な空間分布を持つ特徴点を持っている必要があります。しかし、改竄指紋の非特異領域であっても、不連続な隆線が存在することが多く、傷や改竄領域では多数の偽の特徴点が抽出される可能性があります。

Yoon et al. (2012) は、オリエンテーション フィールドと特徴点の分布に基づいてこれらの特徴を分析し、指紋の改ざんを検出しました。著者は、多項式モデルを使用して最初に測定された方向フィールドに適合し、パルゼン ウィンドウ法を使用して特徴点密度マップを推定します。著者は、最初の測定値と適合した方向フィールドの間のエラー マップと特徴点密度マップを特徴として使用し、サンプルのバッチを使用してサポート ベクター分類子をトレーニングし、画像の指紋性を推定します。指紋度が０に近いほど入力指紋画像が改ざんされている可能性が高いことを示し、１に近いほど正常な指紋であることを示す。筆者が270名分の4433個の改ざん指紋データベースを対象にテストを行ったところ、改ざん指紋の検出率は70.2%、偽陽性率(通常の指紋が改ざん指紋と誤分類される確率)は2.1%でした。Ellingsgaard と Busch (2017) の改ざんされた指紋検出方法は、指紋画像の 2 つの異なる局所的特徴の分析に基づいています: ピクセルレベルの方向フィールドの不規則性と局所ブロック内の細目点の方向です。彼らの方法は、116 の偽造指紋画像と 180 の通常の指紋画像でテストされました。Tabassi et al. (2018) は、深層学習アプローチを採用して、改ざんされた領域の検出とローカライズに重要な顕著な特徴を自動的に学習しました。彼らのモデルは、改ざんされた指紋の 99.24% を 2.0% の偽陽性率で検出できました (下の図を参照)。

改ざん指紋検出とローカリゼーションの例。赤で強調表示された領域は指紋の改ざんされた部分を表し、緑で強調表示された領域は通常の指紋領域を表します。(Tabassi et al., 2018)

5.4 性能評価

5.4.1 指標

PAD メソッドのパフォーマンスは、次のメトリックを使用して評価できます。

• 攻撃プレゼンテーション分類エラー率 (APCER)。誤って本物として受け入れられた問題のある (疑似) 指紋の割合を示します。

• 真のプレゼンテーション分類エラー率 (BPCER)。真の指紋は、攻撃的な (偽の) 指紋を提示するパーセンテージとして誤って拒否されます。

APCER と BPCER の両方の値は、PAD システムによって設定されたしきい値に依存します。したがって、それらは通常一緒に報告されます。つまり、BPCER の特定の値での APCER、または APCER の特定の値での BPCER です。たとえば、一部の研究では、APCER @ BPCER = 0.2% が報告されています。この値は、正当なユーザーを拒否する率が 0.2% を超えない場合に、PAD によって誤って受け入れられる偽の指紋の割合を表します。同様に、BPCER@APCER = 1.0% は、検出されないプレゼンテーション攻撃の割合が 1.0% の場合に、PAD によって誤って拒否された実際の指の割合を示します。

• 検出等誤り率 (D-EER)。あるしきい値を設定すると、APCER は BPCER と等しくなり、このときのエラー率を D-EER と呼びます。

• 平均分類誤り率 (ACER)。特定のしきい値における APCER と BPCER の平均値。ACER は特定のしきい値に依存するため、APCER@BPCER や D-EER などの標準的な指標ほど有用ではありません。

5.4.2 データベース

PAD 手法の開発と評価には、多数の本物の指紋と偽造指紋が必要であり、複数の偽造材料、個体群の多様性、さまざまな種類のセンサーなどの要因を十分に考慮する必要があります。2001 年以来、フィンガープリンティング レンダリング攻撃のいくつかの公的に利用可能なデータベースが、アルゴリズムのベンチマークと PA 検出の開発の促進に使用されてきました。一部の初期のデータベースはサイズが限られており、限定された数の PA 材料と指紋センサーが含まれていました。以下の表は、広く使用されている最新の公開データベースをまとめたものです。2015 年以前に収集された PA データセットの詳細については、読者は Marasco and Ross (2015) を参照してください。

データベース	指紋コレクター (テクノロジー)	本物の指紋番号/偽の指紋番号	人数／模倣品数
リブデット 2009	バイオメトリカ（光学）	2,000/2,000	50/3
	CrossMatch (オプティカル)	2,000/2,000	254/3
	Identix（光学）	1,500/1,500	160/3
リブデット 2011	バイオメトリカ（光学）	2,000/2,000	50/5
	デジタル ペルソナ (光学)	2,000/2,000	100/5
	ItalData (光)	2,000/2,000	50/5
	Sagem (光学)	2,000/2,000	56/5
リブデット 2013	バイオメトリカ（光学）	2,000/2,000	75/5
	CrossMatch (オプティカル)	2,500/2,500	235/4
	ItalData (光)	2,000/2,000	250/5
	スワイプ	2,500/2,500	75/4
リブデット 2015	バイオメトリカ（光学）	2,000/2,500	51/6
	CrossMatch (オプティカル)	3,010/2,921	51/5
	デジタル ペルソナ (光学)	2000/2,500	51/6
	グリーンビット（オプティカル）	2,000/2,500	51/6
リブデット 2017	デジタル ペルソナ (光学)	2,691/3,227	−/6
	グリーンビット（オプティカル）	2,700/3,240	−/6
	Orcanthus (サーマル)	2,700/3,218	−/6
リブデット 2019	デジタル ペルソナ (光学)	2,019/2,224	−/7
	グリーンビット（オプティカル）	2,020/2,424	−/6
	Orcanthus (サーマル)	1,990/2,288	−/6
MSU FPAD	CrossMatch (オプティカル)	5,743/4,912	100/12
	Lumidigm (マルチスペクトル)	4,500/4,500	100/4

5.4.3 一般化

既存の PAD メソッドの一般的な欠点は、一般化が不十分であることです。つまり、PA 検出器のトレーニング中に見られない未知または新規の PA 材料に対する検出性能が低いことです。偽造品に対する PAD アルゴリズムの一般化能力 (クロスマテリアル パフォーマンスと呼ばれる) を改善するために、一部の研究では PAD をオープン セット識別問題と見なしています。次の表は、主に指紋 PAD の一般化に焦点を当てた研究をまとめたものです。Rattani et al. (2015) は、統計的極値理論の特性に基づく SVM の変形である Weibull 較正 SVM (WSVM) を適用して、新しい材料で作られた疑似指紋を検出しました。Engelsma と Jain (2019) は、生の指紋画像に敵対的生成ネットワーク (GAN) のアンサンブルを使用することを提案し、本物の生の指紋と合成の生の指紋を区別する際に弁別器によって学習された特徴は、本物の指紋と偽物を区別するためにも使用できると仮定しています。もの。

文学	方法	データベース	パフォーマンス
ラタニ等。(2015)	ワイブル校正 SVM	リブデット 2011	D-EER = 19.70%
チューら。(2018)	特徴点中心のローカル パッチで訓練された MobileNet	リブデット 2011–2015	ACER ≒ 0.97% (LivDet 2015)、2.93% (LivDet 2011、2013)
チュグとジェイン (2019)	ディープ フィーチャ スペースをカバーするスプーフィング マテリアルの代表的なセットを特定する	MSU-FPAD v2.0	APCER = 24.76% @ BPCER = 0.2%
Engelsma と Jain (2019)	敵対的生成ネットワーク (GAN) のアンサンブル	カスタム データベース	APCER = 50.2% @ BPCER = 0.2%
ゴンザレス-ソレル等。(2021)	密な SIFT 特徴の特徴符号化	リブデット 2011–2019	BPCER = 1.98% - 17% @ APCER = 1% (未知の PAI)
トロサナ等。(2020)	SWIR 画像でトレーニングされた 2 つの CNN アーキテクチャの融合	カスタム データベース	D-EER = 1.35%
張ら。(2019)	Slim-ResCNN + 重心パッチ	リブデット 2017	ACER ≒ 4.75%
チューとジェイン (2021)	既知のスプーフィング マテリアル間のスタイル転送により、完全に未知のマテリアルに対する一般化可能性を向上	MSU-FPAD v2.0 と LivDet 2017	APCER = 8.22% @ BPCER = 0.2% (MSU-FPAD v2.0); ACER ≒ 4.12% (LivDet 2017)
グロス等。(2020)	Style transfer with a few samples of target sensor fingerprint images + Adversarial Representation Learning	LivDet 2015	APCER = 12.14% @ BPCER = 0.2% cross-sensor & cross-material

已有研究表明，训练中使用的伪造材料直接影响了针对未知材料的性能。Chugh和Jain（2019）分析了12种不同材料的材料特征，以确定出具有代表性的六种材料，可以涵盖了大部分材料特征空间。尽管此方法可用于确定在训练数据集中包含新的材料是否有益，但对于训练期间未知材料的泛化性能并没有帮助。Chugh和Jain（2021）提出了一种风格迁移包装器（普适材料生成器），以提高任何伪指纹检测器对未知材料的泛化性能。它在已知材料的指纹图像之间传递风格特征，目的是合成未知材料对应的指纹图像，去占据深层特征空间中已知材料之间的空间。

需要考虑的另一个泛化维度是关于指纹传感器。使用不同指纹传感器采集的指纹图像通常由于不同的传感技术、传感器噪声和不同的分辨率而具有独特的性质（见下图）。这会导致跨传感器时的泛化性能较差。跨传感器是指，使用一种传感器采集的图像训练伪指纹检测器，然后在另一种传感器采集的图像上进行测试。Grosz 等人（2020）利用来自目标传感器的一些指纹样本将其传感器纹理特征转移到来自源传感器的指纹图像以进行域自适应。此外，他们利用对抗表示学习来学习传感器和材料无关的特征表示，以提高泛化性能。

六个不同指纹采集器得到的真实指纹图像存在很大纹理差异（Grosz等，2020）

5.5 挑战与开放问题

尽管在过去二十年里指纹PAD算法的性能有了显著提高，但LivDet 2019竞赛的结果表明，性能最佳的基于软件的PAD技术在检测已知呈现攻击方面的平均分类错误率（ACER）仍约为3.83%。研究表明，当应用于未知材料的数据集时，软件PAD技术的错误率会增加三倍（Chugh和Jain，2021）。跨传感器的泛化也存在类似的性能差距。此外，指纹PAD系统不是独立工作的，需要与整个指纹识别系统集成。PAD算法的错误会影响指纹识别系统的准确性。例如，LivDet 2019中遵循的集成测试协议显示，使用PAD的最佳指纹系统的总体准确率仅为96.88%（包括PAD算法和指纹匹配器所犯的错误），这对于指纹系统来说是较低的指标。

除了泛化能力差的问题外，该领域还有其他挑战和开放问题：

• 可解释性：卷积神经网络（CNN）的使用彻底改变了指纹PAD的研究，实现了前所未有的性能提升。但这些解决方案通常被认为是“黑箱”，很难揭示它们如何以及为什么实现如此高的性能。深入了解CNN学会了什么来区分真伪是至关重要的。目前所能做到的是观察对最终分类起作用的图像区域（见下图）。

对指纹PAD网络的分类结果起作用的指纹块（Chugh，2020）

• 效率：为智能手机和嵌入式设备设计的PAD技术需要考虑高计算效率和低资源消耗。

• 攻击者的适应性：加密技术的发展表明，任何基于算法保密性的安全解决方案都无法保证长期有效。这是因为秘密只需要由一个人破解，整个加密方案就完全失败了。因此，我们应该假设指纹系统正在使用的PAD技术是公共可用的。因此，攻击者可能很容易设计出一种可以绕过特定PAD技术的伪指纹。例如，如果已知基于硬件的PAD技术靠测量脉搏区分真伪，则可以设计一个手指的三维模具，该模具的外表面具有指纹纹理，内部具有脉搏发生装置。某些特征可能比其他特征（例如出汗或皮下特征）更容易模拟（例如人体皮肤的热或光学特性）。同样，众所周知，CNN容易受到巧妙设计的对抗性样本的影响，那么基于CNN设计的PAD技术自然也难免。

6、模板保护

前文解释了为什么基于知识的认证系统使用的典型加密方法（例如，hashing和加密）不适合指纹系统。因此研究者提出了多种保护生物特征识别模板（包括指纹）的方法。虽然模板保护在任何生物特征识别系统（例如指纹、人像和虹膜）中都是一个具有挑战性的问题，但由于同一手指的多次捺印存在很大的类内差异，因此在指纹系统中的挑战尤其大。与虹膜识别不同，虹膜识别普遍采用称为虹膜码（IrisCode）的固定长度二值码，指纹系统通常使用基于细节点的无序集合表示，这种表示在原理上很难保护。

生物特征模板保护技术的一般框架如下图所示。指纹模板保护算法不是以原始形式存储生物特征模板，而是存储从原始模板得出的受保护指纹模板。受保护的指纹模板不仅包含指纹信息（例如，细节点），还包括需要存储的其他系统参数（例如，加密哈希值），以及不直接泄漏用户身份信息的侧面信息（例如，指纹对齐所需的信息、特征质量等）。另一方面，补充数据是指未存储在数据库中但在注册和身份验证期间都需要的信息。补充数据的例子包括用户除了指纹之外提供的密码或密钥。补充数据的使用是可选的，但如果使用，它可提供额外的身份验证因子。

含模板保护模块的指纹验证系统（Nandakumar和Jain，2015）

在上图所示的模板保护框架中，引入了一个称为特征适配（feature adaption）的可选步骤。尽管该模块在保护指纹模板方面没有发挥直接作用，但其目标是将指纹特征中的类内变化最小化到安全匹配算法可以处理的水平。在许多应用中，特征适配模块还以简化的形式（例如，二值字符串）表示原始特征，而不会稀释其独特性。6.5节详细讨论了各种特征适配策略。

6.1 应有的特征

在生物特征模板安全方面，受保护的生物特征模板通常被视为是攻击者可以获得的公开信息。因此，它应满足以下三个属性：

1. 不可逆性：从受保护的指纹模板获取原始指纹模板应该是计算很困难的。不可逆性可防止利用指纹模板来发起呈现攻击，从而提高指纹系统的安全性。该属性的后果之一是指纹匹配需要在变换空间进行，可能很难实现高精度。
2. 可撤销性：从同一指纹的多个受保护模板获取原始指纹模板应该在计算上很困难。此外，应该可以从同一指纹模板生成大量受保护的模板（以便用于不同的应用）。这样，就可以在注册数据库遭到入侵时撤销并重新颁发指纹模板。此外，这可以防止攻击者通过攻击同一个人注册的多个数据库来获取原始模板。
3. 不可链接性：在计算上应该很难确定两个或多个受保护指纹模板是否来自同一指纹。不可链接性可防止不同应用之间的交叉匹配，从而避免功能蔓延（function creep），并保护个人隐私。

理想的模板保护算法除了满足上述三个特性外，不得大幅降低指纹系统的识别精度。在许多指纹识别应用中，特别是涉及数百万用户的应用（例如，出入境和国家身份证系统），识别准确性至关重要。如果准确性大幅下降，它将构成安全链中最薄弱的环节。例如，攻击者可能会尝试使用指纹字典进行暴力攻击，而不是重建指纹模板，从而导致错误接受。此外，在实际应用中还必须考虑吞吐量（单位时间内可以执行的指纹比对次数）和模板大小等问题。

要注意，必须同时满足上述所有属性，模板保护方案才能在实践中有效。例如，如果受保护的指纹模板是不可逆的，但不是不可链接的，则即使指纹数据受到保护，攻击者也将能够执行功能蔓延。设计满足上述所有属性的模板保护技术是一项非常具有挑战性的任务。特别是，由于以下原因，模板保护技术通常会导致不可逆性和匹配准确性之间的不可接受的权衡（Nagar等，2010；Wang等，2012）。最大化不可逆性意味着受保护的指纹参考应尽可能少地泄漏有关原始模板的信息。然而，只有当受保护的模板保留原始模板包含的所有鉴别信息时，才能实现高精度匹配。克服这个难题对于开发有效的模板保护技术至关重要。

解决准确性与安全性权衡问题的第一步是明确定义安全性的概念，建立指标来量化安全属性，例如不可逆性和不可链接性，并开发计算此类指标的方法。通常，指纹系统的错误匹配率（FMR）被认为是不可逆性的上限。由于大多数实用的指纹系统都会限制身份验证失败次数，因此攻击者通常无法发起在线的零努力攻击。因此，最好将零努力攻击的漏洞视为一种独特的威胁，并在应用指纹模板保护前后报告指纹系统的FMR。理想情况下，FMR应作为识别性能的一部分，而不是安全性分析中。此外，模板保护后生物特征识别系统的FMR应基于攻击者对系统有充分了解的假设来报告，包括可以访问任何补充数据（如果使用）。

由于不可逆性表示从受保护的指纹模板获得原始指纹模板的难度（无论是精确的还是在很小的误差范围内），因此不可逆性的直接衡量标准是给定受保护模板$v$时原始指纹模板$x$的条件熵，即$H(x|v)$。随机变量的熵是其平均信息量或平均不确定性。因此，$H(x|v)$测量在给定$v$知识的情况下估计$x$的平均不确定性。$H(x|v)=H(x)-I(x;v)$ ，其中$H(x)$是原始指纹模板$x$的熵，$I(x;v)$是$x$和$v$之间的互信息。有时，$I(x;v)$也称为熵损失，它衡量受保护模板泄漏的有关原始模板的信息量。熵损失可以用来比较应用于相同指纹数据的多个模板保护方案。在这种情况下，由于$H(x)$是常数，因此应首选熵损失较低的方案，因为它将导致更大的$H(x|v)$。虽然条件熵可以衡量由受保护模板猜测原始模板的平均难度，但研究人员也建议使用最小熵（Dodis等，2008）来考虑最坏的情况。最小熵反映的是离散随机变量最可能值的不确定性。

虽然上述用于测量不可逆性的指标在理论上是合理的，但对于任意指纹模板保护方案来说，它们并不容易计算。在大多数生物特征密码系统中，基础纠错技术的固有属性可用于建立熵损失的上限（Dodis等，2008；Ignatenko和Willems，2009，2010；Lai等，2011）。通常，熵损失是系统纠错能力的递增函数。换句话说，如果需要对类内变化的更大容忍度，则熵损失会更高。因此，生成的受保护指纹模板将泄漏有关原始模板的更多信息。由于上述边界通常是基于有关指纹特征分布的简化假设得出的，因此它们的效用将取决于给定指纹特征符合这些假设的程度。即使对熵损失有可靠的估计，仍然难以直接计算$H(x|v)$。这是因为估计指纹特征熵$H(x)$的复杂性。估计指纹特征熵的主要困难是缺乏统计模型来准确描述类内和类间的差异。

6.2 模板保护方法

研究者提出了许多模板保护技术，目的是在不影响识别性能的情况下确保不可逆性、可撤销性和不可链接性。ISO/IEC 24745（2011）标准为生物特征信息保护提供了一般指导。根据该标准，受保护的生物特征模板分为两部分，即假名标识符（pseudonymous identifier，PI）和辅助数据（auxiliary data，AD）。根据这两部分（PI和AD）的生成方式，指纹模板保护方案可以大致分为：特征变换方法和生物特征密码系统（Nandakumar和Jain，2015）。

• 特征变换：特征变换方法（见下图）将不可逆（或单向）函数作用于指纹模板。变换后的模板作为PI存储在数据库中，而转换参数存储为 AD。在身份验证时，AD可以将相同的变换函数应用于查询指纹并构造PI′，并将其与存储的PI进行比较。因此，指纹匹配直接在变换域进行。虽然某些特征变换方案仅在补充数据（例如，密钥或密码）为机密时才满足不可逆性，但还有其他技术可以在不需要任何机密的情况下生成不可逆的模板。根据定义，前一组算法是多因子身份验证方案，仅在某些访问控制应用中可行。后一类方案可用于许多应用中（例如警用），在这些应用中，使用用户特定的补充数据可能是不可行或不可取的。特征变换方法将在6.3节中详细讨论。

基于特征变换的指纹模板保护方法的流程（Nandakumar和Jain，2015）

• 生物特征密码系统：在生物特征密码系统中（见下图），辅助数据通常被称为安全草图（secure sketch），通常使用纠错编码技术得出。虽然安全草图本身不足以重建原始指纹模板（不可逆性），但它确实包含足够的信息，以便在有与注册指纹非常匹配的查询指纹图像时恢复原始模板。安全草图可以是将纠错码应用于指纹模板的伴随信息（密钥生成密码系统），也可以通过将指纹模板与由加密密钥索引的纠错码绑定来获得。注意此加密密钥独立于注册模板，因此该方法称为密钥绑定密码系统。需要强调的是，指纹密钥绑定密码系统与使用标准加密技术的密钥加密指纹模板不同。与加密模板不同，安全草图将指纹模板和加密密钥嵌入单个实体中。除非提供匹配的指纹，否则安全草图极少泄露它们的信息。原始指纹模板的加密哈希或用于索引纠错码的密钥存储为PI。生物特征密码系统中的匹配是通过使用安全草图（AD）结合查询指纹特征来恢复原始模板来间接执行的。恢复的模板用于重新生成新的假名标识符（PI′），该标识符与存储的PI进行比较，以确定查询指纹和注册模板是否匹配。

基于指纹密码系统的模板保护方法的流程（Nandakumar和Jain，2015）

这两种模板保护方法各有其优点和不足。特征变换方法更容易实现可撤销性，因此也被称为可取消的生物特征（Patel等，2015）。但特征变换方法的挑战是找到一个适当的变换函数，既能保证不可逆性，又能容忍类内变化。在特征变换的情况下，通常很难在理论上测量变换方案引入的熵损失。因此，特征变换方案的不可逆性通常基于模板反演攻击的计算复杂度进行经验测量。

如果我们假设生物特征数据的分布是已知的，那么生物特征密码系统的优势在于安全草图泄漏信息（熵损失）的边界可知（Dodis等，2008；Ignatenko和Willems，2009）。另一方面，大多数生物特征密码系统要求以二值串和点集等标准化数据格式表示特征，这通常会导致鉴别信息的丢失，从而导致识别准确性下降。此外，大多数生物特征密码系统使用线性纠错码，其中码字的任何线性组合也是码字。因此，如果使用不同的码字从相同的指纹数据推出两个安全草图，则这两个草图的合适线性组合极有可能产生可解码的码字。这为验证两个安全草图是否来自同一手指铺平了道路，从而使它们可链接。因此，很难在指纹密码系统中实现不可链接性。克服上述限制的一种方法是在使用指纹密码系统保护指纹模板之前，将特征变换函数作用于指纹模板。由于这涉及特征变换和安全草图生成，因此此类系统被称为混合生物特征密码系统（Boult等，2007；Feng等，2010）。

生物特征密码系统还有一个有趣的额外好处。众所周知，密钥管理是大多数加密系统中很棘手的问题之一。这是因为只有当解密密钥安全时，加密的密钥才是安全的（见下图a）。通过使用生物特征密码系统可以缓解加密密钥管理的难题，其中安全匹配过程生成的密钥可以在另一个应用中解密加密的密钥（见下图b）。因此，可以确保只有在成功的生物特征身份验证后才能访问加密的密钥。

a

利用指纹密码系统缓解密码系统中的密钥管理问题。（a）密码系统的典型工作流程；（b）将指纹密码系统用作安全密钥释放机制

除了特征变换和生物特征密码系统之外，另一种很有前景的方法是基于**同态加密（homomorphic encryption）**的安全计算（Acar等人，2018）。同态加密 （HE） 提供了直接对加密数据执行某些数学运算的能力。例如，如果使用HE方案对指纹模板进行加密，则可以直接在加密域中进行匹配，而无需解密模板。从这个意义上说，同态加密在概念上类似于特征变换，但它为加密模板的安全性提供了非常强大的加密保证。特别是，密码学界在过去十年中开发了完全同态加密（FHE）方案（Gentry，2009），这些FHE结构允许对加密数据进行加法和乘法运算。因此，现在可以计算加密数据的任何多项式函数，从而能够在加密域中实现更复杂的指纹匹配算法。虽然FHE方法允许直接在加密域中执行生物特征匹配，但它的代价是会显著增加计算和通信开销（Bringer等，2013）。尽管存在这种限制，Engelsma等人（2021）已经表明，使用紧凑的指纹特征表示，可以在加密域中以1.26毫秒的时间执行匹配，这个速度在大多数身份验证应用中是完全可以接受的。加密域匹配的另一个限制是匹配过程的结果（例如，匹配分数）保持加密状态，直到使用私钥解密为止。这需要仔细设计身份验证系统，以便匹配器和决策模块不会同时被破坏。当数据库和匹配器完全对加密数据进行操作时，决策模块持有密钥以解密匹配结果并做出匹配/不匹配决策。

6.3 特征变换

特征变换是通过不可逆变换将原始指纹模板转换到另一个表示空间以保护指纹模板。最流行的不可逆变换是单向加密哈希函数，表示为 c = Hash(x)，它与验证函数 V(x,c) 一起使用，V(x,c) ⇒ {True，False}。理想情况下，只有在 c = Hash(x) 时，V(x,c) ⇒ True。此外，这对函数必须具有以下属性：

• 抗碰撞性：如果 x ≠ y，则很难找到 x 和 y，使得 Hash(x) = Hash(y)。
• 预映像：如果攻击者可以得到哈希代码 c = Hash(x)，并且知道哈希函数 Hash(.)，则确定数据 x* 以使 V(x*,c) ⇒ True 的唯一方法是穷举搜索 x（即暴力攻击）。

因此，单向哈希函数提供的安全性（加密强度）取决于数据x的信息量。哈希技术广泛用于基于密码的身份验证系统；用户注册时，密码的哈希值被存储在数据库中（见下图a）。用户验证时，输入密码也进行哈希映射，并与存储的哈希密码进行比较。由于这种变换在加密意义上是不可逆的，因此即使知道确切的变换以及变换后的密码，也无法恢复原始密码。不同的变换（或不同的变换参数）用于不同的应用，就可以避免密码的交叉使用。

用哈希法保护指纹模板。（a）密码通常在哈希后储存在数据库中；收到新密码时，将对其进行哈希处理，并与经过哈希处理的注册密码进行比较。即使有人入侵了哈希密码数据库，密码并不会泄露。（b）类似方案应用于指纹识别。仅存储原始指纹模板的可靠哈希值，因此，即使攻击者入侵了数据库，指纹信息也不会泄露。

理论上，这一概念也适用于指纹。在注册时，数据库不存储指纹模板，而是存储模板的哈希值；在验证时，查询模板也会被哈希映射，并在变换空间中进行指纹匹配。需要重新注册时，对指纹使用不同的变换（或变换函数的不同参数）即可实现可撤销性。而哈希函数可以保证不可逆性。因此，这种方法在理论上非常有吸引力。

但是，密码哈希和指纹哈希之间存在巨大的差异。每次身份验证时，密码是相同的，但指纹图像总会有变化，这就得不到相同的哈希值。比较指纹哈希模板的一个主要障碍是恢复注册指纹和查询指纹之间的正确对齐。克服这一挑战的方法在6.5节中讨论。即使指纹是预先对齐的，也需要一种强大的哈希技术，并且变换域中的匹配需要对类内变化具有不变性（见上图b）。因此，从指纹（以及各种生物特征）的角度来看，很难找到既安全又准确的不可逆特征变换。

Ratha等（2001）提出了基于特征变换的模板保护概念。Ratha等（2007）提出了三种针对指纹的不可逆变换。这些变换函数可以变换指纹细节点模板，变换后的细节点模板仍然可以用现有的细节点匹配器来匹配。该研究的主要结论是，变换函数需要局部平滑以保持匹配精度。但是如果变换是全局平滑的，则很容易反转它，是不安全的。挑战在于如何在这两个相互竞争的要求之间找到合理的平衡。作者建议使用局部平滑但不是全局平滑的曲面折叠变换函数（见下图）；该函数是折叠的，即原始空间中的多个位置映射到变换空间中的同一位置。这类似于标准加密哈希函数的不可逆性。然而，该变换具有较低的折叠程度，只有8%的细节点在变换后受到干扰。因此，尽管匹配精度高，该方法的不可逆性并不强。

在Ratha等人（2007）提出的特征变换函数中，细节点的位置和方向都通过表面折叠函数改变。好比把细节点嵌入一张纸中，然后将其弄皱。此函数是局部平滑的，但不是全局平滑。随着变换参数的增加（从中间图移到右图时），不可逆性增加，但匹配精度降低。这种方法需要在不可逆性与准确性之间进行权衡。

这类方法的其他技术还包括Sutcu等（2007b），Tulyakov等（2007），Ferrara等（2012），Moujahdi等（2014）。然而，这些技术都不能在各种要求（如匹配精度、不可逆性、可撤销性和不可链接性）之间取得适当的平衡。

如果将补充数据引入特征变换框架，则可以实现非常高的匹配精度、可重复性和不可链接性。主要缺点是，不可逆性现在完全取决于保持补充数据的保密性。因此，这种做法本质上属于多重身份验证。生物哈希（biohashing）是这种方法下最著名的模板保护算法（Teoh等，2006）。一旦补充数据落入攻击者手中（密钥被盗），随机性就会消失（Kong等，2006）。因此这些技术的性能通常会低于前面描述的其他不可逆变换方案。在密钥被盗时，即使由于量化而丢失了少量信息，也可以从受保护的模板中恢复原始指纹模板的近似值（Jain等，2008）。为了提高生物哈希方法的安全性，建议不存储密钥，而由用户记住，但这又带来了密码身份验证方案的弱点。

6.4 指纹密码系统（Fingerprint Cryptosystems）

密码学家在寻找从有噪声的输入数据中提取加密密钥的技术过程中，提出了指纹密码系统的概念。由于生物特征数据本质上是有噪声的（例如，同一手指的不同图像相似，但不完全相同），并且可以在生成密钥时容易从用户那里获取，因此适合作为密钥生成过程的输入。然而，只有消除数据中的噪声，才能生成可靠的加密密钥。信息论领域对付信道噪声的标准工具是纠错编码。因此，几乎所有生物特征密码系统都使用某种纠错编码方案的变体。Dodis等人（2008）提出了两种结构，将生物特征数据转换为通用加密应用的密钥：安全草图（secure sketch）和模糊提取器（fuzzy extractor）。

• 安全草图解决指纹的类内变化。此方法生成的受保护指纹模板称为“原始指纹模板的草图”。草图对原始模板信息的泄漏极小，因此可以公开。给定与原始指纹模板足够接近的查询模板，原始模板可以从安全草图精确重建。

• 模糊提取器超越了安全草图的概念，同时解决指纹的类内变化和不均匀性。也就是说，它能以容错的方式从输入中提取均匀的随机字符串（密钥）。如果指纹输入发生一些变化，提取的密钥保持不变。不过，在指纹模板保护方面，安全草图比模糊提取器更重要。

在密钥绑定生物特征密码系统中，加密密钥和给定的指纹模板在加密框架内被整体绑定在一起以生成安全草图。Juels和Wattenberg（1999）提出了一个称为模糊承诺（fuzzy commitment）的框架。用户随机选择纠错码的码字C。然后将C的哈希值存储为假名标识符（PI），原始模板T和C之间的差异存储为辅助数据（即AD = T − C）。此辅助数据或差分向量 （T − C） 将码字 C 绑定到模板 T。在验证时，查询模板 I 用于计算向量 C’ = I − (T − C)；如果 I 与 T 相似，则 C’ 预期应该与 C 相似，然后将纠错应用于 C’ 以获得 C"。最后，将存储的Hash©与Hash(C")进行比对；如果 I 足够接近 T，可以精确恢复正确的码字（即 C" = C），则比对成功。然而，Juels和Wattenberg（1999）没有报告具体的实现方法和实验结果。模糊承诺方案要求指纹模板是已对齐且有序的。由于大多数纠错方案都使用二进制数据，还需要将指纹模板表示为二值串。

Juels和Sudan（2002）的模糊保险柜（fuzzy vault）是模糊承诺的顺序不变版。换句话说，模糊保险柜不要求生物特征是有序列表。这个特性对指纹识别有利，因为最流行的指纹表示（即细节点集合）是无序的，任何对细节点进行排序的方案都可能导致鲁棒性问题（因为细节点的增加、减少、坐标变化都可能打乱顺序）。在模糊保险柜方法中，用户（例如Alice）将一个秘密值$K$（例如，她的私钥）放入保管库中，并使用无序集$T_A$（例如，她指纹的细节点集合）锁定（保护）保险柜。另一个用户（比如Bob）使用另一个无序集$I_B$，无法解锁保险柜（因此无法访问秘密$K$），除非$I_B$与$T_A$足够相似。为了构建保险柜，Alice执行以下操作：

1. 选择编码K的多项式$p$（例如，通过根据K固定$p$的系数）。
2. 计算$T$中元素的多项式投影$p(T)$。
3. 添加一些噪声（即，随机生成的杂点（chaff point），其投影值与对应于$p$的值不同）以导出最终点集$V$（对应于模糊保险柜方法的辅助数据）。

当Bob尝试学习$K$时（例如，通过查找$p$），他使用自己的无序集合$I_B$。如果$I_B$与$T_A$不够相似（这是意料之中的，因为Bob的指纹应该与Alice的指纹非常不同），他将无法在$V$中找到许多位于$p$上的点，特别是考虑到杂点会误导Bob的努力。因此，Bob将无法获得$K$。另一方面，当Alice需要从保险柜中检索$K$时，她将提供一个新的无序集合$I_A$，该集合源自她手指。现在，由于$I_A$与$T_A$足够相似，通过使用纠错码（例如，Reed Solomon码），Alice将能够重建$p$，从而重建她的密钥$K$。下图演示了模糊保险柜技术的注册和验证过程。

利用模糊保险柜保护指纹模板

许多研究人员试图将安全草图应用于指纹模板保护。这些方法在以下方面有所不同：（1）如何预先对齐指纹或者从指纹提取对齐不变的特征，（2）如何将原本的指纹表示调整为适合所选安全草图结构的格式（例如，对于模糊保险库，使用无序集合和集合距离度量；对于模糊承诺，使用二值串和汉明距离度量）。这里推荐Rathgeb和Uhl（2011）和Rane等（2013）的综述。Sutcu等人（2007a）分析了安全草图方法，并发现了许多实际实现问题。他们指出，密钥生成指纹密码系统通常必须在密钥稳定性和密钥熵之间取得平衡。密钥稳定性表示从指纹数据生成的密钥的可重复程度。密钥熵与可以生成的可能密钥的数量有关。如果一个方法为所有手指生成相同的密钥，则稳定性高，但熵为零，导致错误匹配率高。在另一个极端，如果一种方法针对同一手指的不同图像生成不同的密钥，则该方案具有高熵但没有稳定性，导致错误不匹配率很高。现有的密钥生成方法很难同时实现高熵和高稳定性（Jain等，2008）。

6.5 特征适配（Feature Adaption）

传统的指纹识别系统以两种方式处理类内变化。首先，特征提取算法尝试从有噪声的指纹图像中提取不变的表示。其次，匹配算法进一步抑制类内变化的影响，并仅关注类间差异。模板保护方案通常需要使用简单的距离度量（例如，汉明距离或集合差度量）来计算生物特征之间的相似性（Dodis等，2008）。因此，处理生物特征类内变化的重任完全转移到特征提取阶段。例如，精确的指纹匹配器不仅可以处理缺失和虚假的细节点，还可以处理其他类内变化，如旋转、平移和非线性变形（见下图）。当这种匹配器被指纹密码系统中简单的集合差分度量（仅考虑缺失和虚假的细节点）取代时，特征提取模块就必须以对齐不变的形式表示细节点，而且不能影响其鉴别力。否则，会导致识别性能的显著下降。

指纹细节点匹配的复杂性。来自同一根手指的两个指纹图像，上面标记了细节点特征。全局对齐后的两个细节集显示在右侧。除了缺失和虚假细节点（集合差度量可以处理），还可以观察到由于非线性变形，匹配的细节点（由绿色椭圆标记）没有完全对齐。这就解释了为什么简单的集合差度量不太可能提供准确的识别。（Nandakumar和Jain，2015）

指纹模板保护的研究者通常选择在原始特征提取器基础上实施特征适配步骤，而不是开发新的不变特征提取器（这是指纹识别的基本问题）。必须强调的是，特征适配与特征变换不同。在特征变换中，目标是获得不可逆且可撤销的模板。相比之下，适配模板不需要满足不可逆性和可撤销性。相反，特征适配方案旨在满足以下三个目标中的一个或多个：

1. 在不牺牲其独特性的情况下最小化类内变化；
2. 以简化的形式表示原始特征；
3. 避免使用侧面信息（例如，对齐参数）。
   虽然特征变换方案可能会在保护模板的过程中采用特征适配，但反之则不然。

最简单和最常见的特征适配策略是量化和可靠成分（特征）选择。一个典型的例子是在设计指纹密码系统时量化指纹细节点的位置和方向特征以及选择高质量的细节点（Nandakumar等，2007）。虽然量化和特征选择减少了类内变化，但它也可能减少类间变化。因此，挑战是在减少类内变化和保持类间差异之间取得最佳平衡。此外，如果量化和可靠成分选择是针对特定用户的，则需要将量化参数和所选成分存储为辅助数据，这可能会降低受保护生物特征模板的不可逆性和不可链接性（Kelkboom等，2009）。

特征适配的其他策略包括嵌入（embedding）和免对齐（alignment-free）表示。嵌入的目标是获得给定指纹特征的新表示，以便可以使用简单的距离度量（例如，汉明距离或集合差）来比对新表示空间中的指纹样本。将向量或点集转换为固定长度的二值串是生物特征嵌入的一个例子。例如，Chen等人（2009）提出的检测率优化位分配方案（DROBA）使用了一种自适应的位分配策略，将实向量嵌入为二值串。将无序点集（特别是指纹细节点集合）转换为固定长度二值串的技术包括局部点聚合（Nagar等，2010b）和细节点频谱表示（Xu等，2009）。

与嵌入相比，免对齐表示的目标是生成可以直接匹配的模板，而无需任何对齐参数。指纹对齐问题的一种方案是使用局部细节点结构，其由两个或多个细节点之间的关系特征组成（例如，两个细节点之间的距离）（Cappelli等， 2010）。由于这些特征是相对的，因此对指纹的全局旋转和平移是不变的，在匹配之前不需要对齐。另一个好处是，这些特征对非线性变形具有一定的鲁棒性。但是，如果匹配仅基于局部细节点信息，而忽略细节点之间的全局空间关系，则识别精度难免会下降。

最简单的局部细节点结构是基于细节点对，其中对之间的距离和每个细节点相对于它们连线的方向可以用作不变属性（Boult等， 2007）。最常用的局部细节点结构是细节点三元组，其中相对特征（距离和角度）是根据三个细节点的组合计算的。除了基于固定数量的细节点来定义局部邻域外，还可以利用落在细节点固定半径内的所有细节点来构造局部描述子。后一种方法的例子是细节点圆柱码（MCC）（Cappelli等，2010）。MCC还可以二值化，以获得描述每个细节点的固定长度二值串。

尽管研究者在特征适配方面开展了大量的工作，但是还存在三个主要问题：

1. 现有的特征适配技术总是导致一些鉴别信息的丢失，导致识别性能降低。造成这种现象的一个可能原因是，这些技术大多数只关注最小化类内差异，而忽略了保留类间差异的必要性。因此，有必要研究保持距离的特征适配策略。

2. 特征适配策略与模板保护技术之间存在解耦。例如，生物特征密码系统中使用的纠错方案可能具有纠正有限数量的错误的能力。由于这种纠错能力隐含决定了系统阈值，因此特征适配方案的设计必须使同一用户不同样本之间的错误数低于该阈值，而不同用户在比对中遇到的错误数大于纠错能力。孤立设计的特征适配方案可能无法满足上述要求。另一条路线是，设计一种生物特征模板保护方案，直接保护模板的原始表示，而不是试图调整模板以适应模板保护方案。

3. 最后，在特征适配方案的设计中很少关注适配特征的统计特性。以生成二值串的特征适配方案为例。除了具有低类内变化和高独特性之外，如果生成的二值串是均匀随机的（即具有高熵），这将是理想的选择。当最终使用生物特征密码系统进行保护时，这种表示可能具有更好的不可逆性。然而，这种特征适配策略的设计仍然是一个有待研究的问题。

指纹不变特征表示的最新进展之一是DeepPrint方法（Engelsma等，2021），该方法结合深度学习和指纹领域知识来提取紧凑的固定长度指纹表示。这种表示的一大优点是，在生成DeepPrint时，指纹匹配中的一些棘手问题（例如指纹对齐、非线性变形等）在一定程度上可以得到缓解。因此，匹配简化为模板向量和查询向量之间的内积。还可以进一步将这种固定长度的表示二值化，使用指纹密码系统框架进行模板保护。

6.6 挑战

大多数现有的指纹模板保护技术在实践中不能满足所有模板保护要求（见6.1节）。以FVC-onGoing发布的结果为例，在没有模板保护的情况下，九种算法能够在FVC-STD-1.0基准数据集上实现小于0.3%的等错误率（EER）。另一方面，在同一数据集上具有模板保护的指纹验证系统实现的最低EER为1.54%，高出5倍以上。研究者在模板保护算法的独立测试中也观察到准确性降低的现象（Gafurov等，2013）。

即使我们假设识别性能的小幅下降在某些应用中是可以接受的，也必须精确量化（以比特为单位）受保护生物特征模板的不可逆性和不可链接性。这对于指纹模板保护技术的测试是必要的。在密码学中，安全强度（使用最有效的攻击方法破坏密码系统所需的计算量）是用于比较不同密码系统的指标之一。众所周知，具有128位密钥的AES系统或具有3072位密钥的RSA密码系统可以提供大约128位的安全强度（Barker，2020）。但是，生物特征识别领域尚缺乏测量生物特征模板保护算法的不可逆性、可撤销性和不可链接性的类似指标，更不用说计算这些指标的方法。这些指标的标准化工作仍在进行中（Rane，2014）。因此，实际中的模板保护方案既没有经过验证的安全保证，也没有达到令人满意的识别性能。这就解释了为什么尽管进行了20多年的研究，但是实际的生物特征识别系统要么使用标准加密技术加密模板，要么将其存储在安全硬件中（见第7节）。

除了标准化安全指标的问题外，还需要解决以下挑战，才能弥合指纹模板保护理论与实践之间的差距。

• 生物特征模板保护中最重要的问题是特征提取器的设计，它不仅需要提取高度鲁棒和独特的特征，还需要采用适合模板保护的简化形式（例如，固定长度的二值串）。

• 通过了解指纹特征的统计分布并设计适合底层特征分布的模板保护方案，可能可以解决匹配精度和不可逆性之间的权衡问题。例如，众所周知，指纹中的细节点位置（Su和Srihari，2010）既不是独立的，也不是遵循均匀随机分布的。可以利用细节特征中的这种固有冗余来处理类内变化，而不会影响类间变化。许多指纹密码系统通过向真实指纹数据添加噪声来保护。在这种情况下，了解指纹特征分布有助于选择适当的噪声分布。还需要对指纹特征分布进行建模，以定量估计受保护生物特征模板的不可逆性和不可链接性。如果已知生物特征分布，则可以将生物特征模板保护表述为优化问题，并系统地找到最大化匹配精度和不可逆性的解决方案。因此，了解指纹特征的统计分布对于有效的指纹模板保护至关重要。然而，估计指纹特征分布仍然是一项具有挑战性的任务。

• 克服不可逆性和匹配精度之间固有权衡的另一种方法是开发多生物识别模板保护技术。由于多生物识别系统从多个生物识别标识符（指纹和虹膜或多个手指/虹膜等多个特征）中积累证据以识别一个人，因此它们可以显着提高识别性能。当多个模板作为单个构造一起保护时，模板的固有熵也可能更高，从而导致更强的不可逆性。虽然最近为多生物识别密码系统提出了一些解决方案（Fu等，2009），但根本的挑战在于克服不同生物识别模板之间的兼容性问题，并从不同的模式生成组合的多生物识别模板，从而保留单个模板的独特性。功能适应方面的进步也可以在克服上述挑战方面发挥关键作用。

• 与不可逆性问题相比，受保护指纹模板的不可链接性和可撤销性问题还没有得到充分研究。虽然许多模板保护技术声称具有不可链接性和可撤销性，但更深入的分析表明，这通常只有在利用了额外的身份验证因素（即补充数据，如密码或密钥）时才能实现（Blanton和Aliasgari，2013）。已经证明，许多生物特征密码系统不会生成可撤销或不可链接的模板（Wang等，2012；Blanton和Aliasgari，2013；Boyen，2004；Kelkboom等， 2011）。尽管特征变换方案被广泛宣称为可取消的生物特征，以显示它们在实现可撤销性和不可链接性方面的优势，但如果我们假设攻击者完全了解受保护的生物特征模板和所涉及的补充数据，那么这种方案保证这两个属性的真正能力仍然值得怀疑。特征变换方案的可重复性和不可链接性似乎取决于获得变换模板的前像（pre-image）的难度。当给定变换参数和变换模板，且前像易于计算时，有可能关联从多个变换模板获得的前像，以反转和链接它们（Nagar等，2010a）。因此，急需开发不允许轻松计算前像的单向变换函数。实现可撤销性和不可链接性的一种可能方法是使用混合生物特征密码系统（Boult等，2007；Feng等，2010）。另一个实用的解决方案是使用双因子或三因子身份验证。但是，如果我们假设除生物特征之外的所有其他因子都可供攻击者使用，那么这种多因子身份验证的优势就会消失，并不比模板保护方案好。

7、封闭的指纹系统

要理解构建封闭指纹系统的必要性和设计方案，需要考虑指纹系统所处的不同场景。这里讨论两种最常见的场景：

1. 所有模块都位于一台计算机上（即终端用户的个人电脑或智能手机，有时称为客户端）。终端用户可以使用防护软件来保护指纹系统，让远程黑客无法控制本地操作系统。但是，用户仍然需要考虑到攻击者可以物理访问计算机的情况（例如，手机被盗了）。在此方案的变体中，所有模块仍位于一台计算机上，但是该计算机由多个终端用户（如超市员工）共享。这种情况下，攻击者（例如，某个恶意的超市员工）可以物理访问计算机。
2. 在客户端-服务器应用中，某些模块位于客户端，某些模块位于服务器端。服务器的管理者通常不能信任客户端（终端用户的个人电脑），因为用户可能是恶意的或可能与攻击者合作。

在上述两种情况下，都可以通过把尽可能多的模块移到安全（即防篡改）硬件上来保障安全。即使攻击者对计算机具有物理或远程访问权限，这些安全硬件也无法访问。有两种实际可行的方案：

• 仅将存储模块（包含注册模板）和匹配模块移到终端用户持有的智能卡上（见下图）。这种技术称为卡上匹配 （MoC）。

采用卡上匹配方案，已注册的模板不会离开安全硬件平台

• 把所有模块（包括特征提取以及指纹传感器）移到安全的硬件平台（例如，硬件电路板、智能卡或计算芯片）。这种方法称为设备上系统（SoD），有时也称为卡上系统或片上系统（SoC），具体取决于所使用的硬件平台（见下图）。

在片上系统架构中，所有处理都在安全芯片内完成。即使指纹采集器与芯片在物理上分离，也可以通过将加密密钥嵌入硬件（采集器和芯片）来保护通信链路。

在安全硬件平台中，关键的处理是在与客户端操作系统（即个人电脑或智能手机的主机操作系统）隔离的安全环境中进行的。除了安全优势（抵抗拒绝服务和入侵攻击）外，MoC和SoD解决方案还具有隐私上的优势。该平台的用户可完全控制自己的指纹数据，并且没有中央注册数据库。

安全的硬件平台包括处理器（通常是嵌入式级处理器，例如ARMcore）、工作区存储器（例如RAM）、代码空间存储器（例如ROM/EEPROM/FLASH）、持久存储（例如，闪存），并运行轻量级操作系统。需要注意的是，智能卡和现代PC的处理能力之间通常有几个数量级的差异。但是，设备上系统与PC之间的处理能力差距已明显缩小。例如，苹果iPhone用于生物特征识别的安全芯片非常强大，其处理能力只比PC低一个数量级。因此，在安全硬件平台上（特别是智能卡）运行的指纹算法的复杂性不能太高，这可能会导致一些精度降低。NIST组织MINEX II评测时发现，卡上匹配算法（MoC）不如PC上的匹配算法准确（Grother等，2007）。其中，性能最好的MoC算法与同厂家的PC算法相比，FNMR要高20-40%（相同FMR时）。这是由于算法简化导致的（MINEX II使用的智能卡安装了8MHz的处理器，而PC的处理器是2-3GHz）。

MoC方案的优点是匹配器和模板是完全安全的。攻击者不能修改或者获取模板。注册时将模板写入智能卡后，无需将模板输出。智能卡只需输出指纹比对的结果。最后，加密密钥也存储在智能卡上，因此密钥管理也大为简化和安全，进一步提高了系统安全性。卡上匹配方案比设备上系统方案更安全，因为模板的隔离性更强。但是需要注意的是，即使攻击者无法获取已注册的模板，也可以通过窃听在MoC系统的不安全主机上运行的特征提取模块，来获得足够相似的模板。不应低估此类攻击的风险，因为窃听主机并不困难。

在上述MoC方案中，即使模板受到保护，指纹特征提取也是在主机系统上执行的，其安全性可能较弱且不可信。这可能会导致入侵和拒绝服务攻击。这些漏洞可以通过将其余模块（即特征提取器和指纹采集器）移到安全硬件平台来解决。当目标硬件平台包括指纹采集器时，该解决方案称为设备上系统（SoD）。这是一些卡片制造商为大规模支付提出的方案。当目标是特殊智能卡或没有传感器的安全芯片时，该架构称为卡上系统或片上系统（SoC）。因此，指纹数据不会在安全空间外传输。因此，唯一剩下的潜在威胁是发生在采集器的呈现攻击。这种系统比MoC系统略贵，因为特征提取器需要比匹配器更强大的处理器以及更多的内存。

8、总结

随着指纹识别系统在各种商业和政府应用中的部署越来越多，指纹系统本身的安全性越来越受到系统开发人员、部署指纹系统的组织和公众的关注。指纹厂家也在采用各种技术来解决其中一些漏洞。其中，呈现攻击检测和模板保护技术是非常活跃的研究领域。

指纹识别系统难以抵抗呈现攻击（特别是伪指纹）已经引起了很大的关注，特别是由于媒体报道了许多攻击。为了提高指纹识别系统对此类攻击的鲁棒性，研究者提出了基于硬件和基于软件的检测方法。虽然基于硬件的解决方案利用指纹活体特性进行检测，但对额外硬件的需求是应用推广的主要障碍。另一方面，基于软件的解决方案使用静态指纹图像或在连续帧中观察到的动态变化来区分演示真伪。基于软件的解决方案避免了对额外硬件的需求，并且方便通过软件升级提升检测能力，因此更容易推广。基于深度神经网络的软件解决方案的出现极大地提高了对于已知材料呈现攻击的检测准确性。现在的挑战在于检测基于未知材料和未知指纹传感器的攻击。

虽然指纹模板保护在过去20多年中一直是一个活跃的研究课题，但现有的解决方案仍未获得实际应用。其中一个原因可能是封闭式指纹系统的成功。其他原因是识别性能下降太大以及安全性无法证明。设计具有高熵（信息量）的定长指纹表示是弥合这一差距的关键因素。此外，还需要标准化的指标来衡量模板保护方案的安全性，尤其是不可逆性。系统地制定这些指标和计算方法，然后基于这些指标对模板保护算法进行独立的基准测试，将大大增强公众对指纹模板保护技术的信心。最后，必须设计实用的解决方案，以确保指纹模板的可撤销性和不可链接性。

指纹数据集中式存储的系统对模板安全性的需求更大。这种数据库在大规模身份识别系统中很常见（例如，印度的Aadhaar计划，美国的生物识别身份管理办公室（OBIM）计划）。但是，几乎所有现有的模板保护技术都是为身份验证（一对一匹配）设计的，而不是识别（一对多匹配）。虽然从一对一验证开始是一种务实的方法，但尚不清楚这些技术是否可以扩大规模以满足识别系统的要求。在识别系统中，假阳性识别率随着注册者的数量线性增加。现有模板保护技术的准确性和吞吐量恐怕无法满足大规模识别系统的要求。一个例外是完全同态加密方法（HE），只要决策模块是隔离的，该方法适用于识别场景。

模板保护技术要解决关键的安全问题，例如已泄露模板的可撤销性以及防止在不同的身份验证系统中使用相同的指纹数据。如果攻击者成功入侵指纹系统，则必须有一个恢复机制来防止攻击者再次入侵。同样重要的是，对一个系统的单次破坏不能使攻击者更容易破坏另一个系统。一个相关的问题是，如何在不需要用户重新注册的情况下撤销并重新发布指纹模板，因为重新注册可能是非常不便的。这些问题可以通过创建类似于公钥基础结构的实体来解决，该实体可以创建、管理和撤销指纹模板。

最后，绝对安全的指纹识别系统是不存在的。安全性是一种风险管理策略，用于识别、控制、消除或最小化可能对系统产生不利影响的不确定事件。指纹系统的安全性需要达到什么程度，取决于具体应用的威胁模型和成本效益分析。

参考文献

1. Aadhaar Program. (2021). Unique identification authority of India: Dashboard. Government of India. https://uidai.gov.in/aadhaar_dashboard/.
2. Acar, A., Aksu, H., Selcuk Uluagac, A., & Conti, M. (2018) A survey on homomorphic encryption schemes: Theory and implementation. ACM Computing Surveys, 51(4), 1–35.
3. Agassy, M., Castro, B., Lerner, A., Rotem, G., Galili, L., & Altman, N. (2019). Liveness and spoof detection for ultrasonic fingerprint sensors. US Patent 10262188.
4. Anderson, R. J. (1994). Why cryptosystems fail. Communications of the ACM, 37(11), 32–40.
5. Antonelli, A., Cappelli, R., Maio, D., & Maltoni, D. (2006a). Fake finger detection by skin distortion analysis. IEEE Transactions on Information Forensics and Security, 1(3), 360–373.
6. Antonelli, A., Cappelli, R., Maio, D., & Maltoni, D. (2006b). A new approach to fake finger detection based on skin distortion. In Proceedings of. International Conferences on Biometrics (pp. 221–228).
7. ANSI/NIST-ITL 1–2011. (2015). NIST, Data Format for the Interchange of Fingerprint, Facial & Other Biometric Information, update 2015 of NIST Special Publication 500–290e3.
8. Apple Inc. (2021). Apple Platform Security. Retrieved July, 2021, from https://support.apple.com/en-sg/guide/security/welcome/web.
9. Arora, S. S., Cao, K., Jain, A. K., & Paulter, N. G. (2016). Design and fabrication of 3D fingerprint targets. IEEE Transactions on Information Forensics and Security, 11(10), 2284–2297.
10. Baldisserra, D., Franco, A., Maio, D., & Maltoni, D. (2006). Fake fingerprint detection by odor analysis. In Proceedings of International Conferences on Biometrics (pp. 265–272).
11. Barker, E. (2020). Recommendation for key management. NIST Special Publication 800-57.
12. BBC News. (2013). Doctor ‘used silicone fingers’ to sign in for colleagues. Retrieved July 2021, from https://www.bbc.com/news/world-latin-america-21756709.
13. Blanton, M., & Aliasgari, M. (2013). Analysis of reusability of secure sketches and fuzzy extractors. IEEE Transactions on Information Forensics and Security, 8(9), 1433–1445.
14. Bringer, J., Chabanne, H., & Patey, A. (2013). Privacy-preserving biometric identification using secure multiparty computation: An overview and recent trends. IEEE Signal Processing Magazine, 30(2), 42–52.
15. Boult, T. E., Scheirer, W. J., & Woodworth, R. (2007). Revocable fingerprint biotokens: Accuracy and security analysis. In Proceedings of International Conference on Computer Vision and Pattern Recognition.
16. Boyen, X. (2014). Reusable cryptographic fuzzy extractors. In Proceedings of Conference on Computer and Communications Security (pp. 82–89).
17. Cao, K., & Jain, A. K. (2015). Learning fingerprint reconstruction: From minutiae to image. IEEE Transactions on Information Forensics and Security, 10(1), 104–117.
18. Cao, K., & Jain, A. K. (2016). Hacking mobile phones using 2D printed fingerprints. MSU Technical Report, MSU-CSE-16-2.
19. Cappelli, R., Maio, D., Lumini, A., & Maltoni, D. (2007). Fingerprint image reconstruction from standard templates. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(9), 1489–1503.
20. Cappelli, R., Ferrara, M., & Maltoni, D. (2010). Minutia cylinder-code: A new representation and matching technique for fingerprint recognition. IEEE Transactions on Pattern Analysis and Machine Intelligence, 32(12), 2128–2141.
21. Chaos Computer Club. (2013). Chaos Computer Club breaks Apple TouchID. Retrieved July 2021, from https://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid.
22. Chen, C., Veldhuis, R. N. J., Kevenaar, T. A. M., & Akkermans, A. H. M. (2009). Biometric quantization through detection rate optimized bit allocation. EURASIP Journal on Advances in Signal Processing, 784834.
23. Chugh, T. (2020). An accurate, efficient, and robust fingerprint presentation attack detector. Ph.D. Thesis, Department of Computer Science & Engineering, Michigan State University.
24. Chugh, T., Cao, K., & Jain, A. K. (2017). Fingerprint spoof detection using minutiae-based local patches. In Proceedings of International Joint Conferences on Biometrics (pp. 581–589).
25. Chugh, T., Cao, K., & Jain, A. K. (2018). Fingerprint spoof buster: Use of minutiae-centered patches. IEEE Transactions on Information Forensics and Security, 13(9), 2190–2202.
26. Chugh, T., & Jain, A. K. (2019). Fingerprint presentation attack detection: Generalization and efficiency. In Proceedings of International Conferences on Biometrics (pp. 1–8).
27. Chugh, T., & Jain, A. K. (2020). Fingerprint spoof detection: Temporal analysis of image sequence. In Proceedings of International Joint Conferences on Biometrics (pp. 1–10).
28. Chugh, T., & Jain, A. K. (2021). Fingerprint spoof detector generalization. IEEE Transactions on Information Forensics and Security, 16(1), 42–55.
29. CJIS. (2015). FBI’s criminal justice information services division, latent and forensic support unit. In Altered fingerprints: A challenge to law enforcement identification efforts Spotlights. Retrieved July 2021, from https://leb.fbi.gov/spotlights/forensic-spotlight-altered-fingerprints-a-challenge-to-law-enforcement-identification-efforts.
30. Cukic, B., & Bartlow, N. (2005). Biometric system threats and countermeasures: A risk based approach. In Proceedings of Biometric Consortium Conference.
31. Cummins, H. (1935). Attempts to alter and obliterate finger-prints. Journal of Criminal Law and Criminology, 25(6), 982–991.
32. Darlow, L. N., Webb, L., & Botha, N. (2016). Automated spoof-detection for fingerprints using optical coherence tomography. Applied Optics, 55(13), 3387–3396.
33. Dodis, Y., Ostrovsky, R., Reyzin, L., & Smith, A. (2008). Fuzzy extractors: How to generate strong keys from biometrics and other noisy data. SIAM Journal on Computing, 38(1), 97–139.
34. Echizen, I., & Ogane, T. (2018). Biometric jammer: Method to prevent acquisition of biometric information by surreptitious photography on fingerprints. IEICE Transactions on Information and Systems, E101-D(1), 2–12.
35. Ellingsgaard, J., & Busch, C. (2017). Altered fingerprint detection. In M. Tistarelli & C. Champod (Eds), Handbook of biometrics for forensic science. Springer, Cham.
36. Engelsma, J. J., Arora, S. S., Jain, A. K., & Paulter, N. G. (2018). Universal 3D wearable fingerprint targets: Advancing fingerprint reader evaluations. IEEE Transactions on Information Forensics and Security, 13(6), 1564–1578.
37. Engelsma, J. J., Cao, K., & Jain, A. K. (2019). RaspiReader: Open source fingerprint reader. IEEE Transactions on Pattern Analysis and Machine Intelligence, 41(10), 2511–2524.
38. Engelsma, J. J., & Jain, A. K. (2019). Generalizing fingerprint spoof detector: Learning a one-class classifier. In Proceedings of IEEE International Conferences on Biometrics (pp. 1–8).
39. Engelsma, J. J., Cao, K., & Jain, A. K. (2021). Learning a fixed-length fingerprint representation. IEEE Transactions on Pattern Analysis and Machine Intelligence, 43(6), 1981–1997.
40. Feng, J., & Jain, A. K. (2011). Fingerprint reconstruction: From minutiae to phase. IEEE Transactions on Pattern Analysis and Machine Intelligence, 33(2), 209–223.
41. Feng, Y. C., Yuen, P. C., & Jain, A. K. (2010). A hybrid approach for generating secure and discriminating face template. IEEE Transactions on Information Forensics and Security, 5(1), 103–117.
42. Ferrara, M., Maltoni, D., & Cappelli, R. (2012). Noninvertible minutia cylinder-code representation. IEEE Transactions on Information Forensics and Security, 7(6), 1727–1737 (2012).
43. Ferrara, M., Cappelli, R., & Maltoni, D. (2017). On the feasibility of creating double-identity fingerprints. IEEE Transactions on Information Forensics and Security, 12(4), 892–900.
44. Franco, A., & Maltoni, D. (2007). Fingerprint synthesis and spoof detection. In N. K. Ratha, & V. Govindaraju (Eds), Advances in biometrics: Sensors, algorithms and systems. Springer.
45. Fu, B., Yang, S., Li, J., & Hu, D. (2009). Multibiometric cryptosystem: Model structure and performance analysis. IEEE Transactions on Information Forensics and Security, 4(4), 867–882.
46. Gafurov, D., Yang, B., Bours, P., & Busch, C. (2013). Independent performance evaluation of pseudonymous identifier fingerprint verification algorithms. In Proceedings of Interenational Conferences on Image Analysis and Recognition.
47. Gentry, C. (2009). Fully homomorphic encryption using ideal lattices. In Proceedings of Symposium on Theory of Computing (pp. 169–178).
48. González-Soler, L. J., Gomez-Barrero, M., Chang, L., Pérez-Suárez, A., & Busch, C. (2021). Fingerprint presentation attack detection based on local features encoding for unknown attacks. IEEE Access, 9, 5806–5820.
49. Grosz, S. A., Chugh, T., & Jain, A. K. (2020). Fingerprint presentation attack detection: A sensor and material agnostic approach. In Proceedings of International Joint Conferences on Biometrics (pp. 1–10).
50. Grother, P., Salamon, W., Watson, C., Indovina, M., & Flanagan, P. (2007). MINEX II: Performance of fingerprint match-on-card algorithms. NIST Interagency Report 7477.
51. Hern, A. (2014). Hacker fakes German minister’s fingerprints using photos of her hands. The Guardian. Retrieved July 2021, from https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands.
52. Heussner, K. M. (2009). Surgically altered fingerprints help woman evade immigration. ABC News. Retrieved July, 2021, from https://abcnews.go.com/Technology/GadgetGuide/surgically-altered-fingerprints-woman-evade-immigration/story?id=9302505.
53. Hill, C. J. (2001). Risk of masquerade arising from the storage of biometrics. Bachelor of Science Thesis, The Department of Computer Science, Australian National University.
54. IARPA ODIN Program. (2016). Office of the Director of National Intelligence, IARPA, “Odin,” IARPA-BAA-16-04 (Thor). Retrieved July, 2021, from https://www.iarpa.gov/index.php/research-programs/odin/odin-baa.
55. Ignatenko, T., & Willems, F. M. J. (2009). Biometric systems: Privacy and secrecy aspects. IEEE Transactions on Information Forensics and Security, 4(4), 956–973.
56. Ignatenko, T., & Willems, F. M. J. (2010). Information leakage in fuzzy commitment schemes. IEEE Transactions on Information Forensics and Security, 5(2), 337–348.
57. ISO/IEC 19794-3. (2006). ISO, “ISO/IEC 19794-3:2006 – Information technology – Biometric data interchange formats – Part 3: Finger pattern spectral data”. Retrieved July, 2021, from https://www.iso.org/standard/38747.html.
58. ISO/IEC 19794-2. (2011). ISO, “ISO/IEC 19794-2:2011 – Information technology – Biometric data interchange formats – Part 2: Finger minutiae data”. Retrieved July, 2021, from https://www.iso.org/standard/50864.html.
59. ISO/IEC 19794-4 (2011). ISO, “ISO/IEC 19794-4:2011 – Information technology – Biometric data interchange formats – Part 4: Finger image data”. Retrieved July, 2021, from https://www.iso.org/standard/50866.html.
60. ISO/IEC 24745 (2011). ISO, “ISO/IEC 24745:2011 – Information technology – Security techniques – Biometric information protection”. Retrieved July, 2021, from https://www.iso.org/standard/52946.html.
61. ISO/IEC 30107-1 (2016). ISO, “ISO/IEC 30107-1:2016 – Information Technology – Biometric Presentation Attack Detection – Part 1: Framework”. Retrieved July, 2021, from https://www.iso.org/standard/53227.html.
62. ISO/IEC 19989-1/2/3 (2020). ISO, “ISO/IEC 19989:2020 – Information security – Criteria and methodology for security evaluation of biometric systems”. Retrieved July, 2021, from https://www.iso.org/standard/72402.html.
63. Jain, A. K., Nandakumar, K., & Nagar, A. (2008). Biometric template security. EURASIP Journal on Advances in Signal Processing, Special Issue on Advanced Signal Processing and Pattern Recognition Methods for Biometrics, (113), 1–17.
64. Juels, A., & Sudan, M. (2002). A fuzzy vault scheme. In Proceedings of International Symposium on Information Theory.
65. Juels, A., & Wattenberg, M. (1999). A fuzzy commitment scheme. In Proceedings of Conference on Computer and Communications Security (pp. 28–36).
66. Kelkboom, E. J. C., de Groot, K. T. J., Chen, C., Breebaart, J., & Veldhuis, R. N. J. (2009). Pitfall of the detection rate optimized bit allocation within template protection and a remedy. In Proceedings of International Conferences on Biometrics: Theory, Applications, and Systems (pp. 1–8).
67. Kelkboom, E. J. C., Breebaart, J., Kevenaar, T. A. M., Buhan, I., & Veldhuis, R. N. J. (2011). Preventing the decodability attack based cross-matching in a fuzzy commitment scheme. IEEE Transactions on Information Forensics and Security, 6(1), 107–121.
68. Kong, A., Cheung, K., Zhang, D., Kamel, M., & You, J. (2006). An analysis of BioHashing and its variants. Pattern Recognition, 39(7), 1359–1368.
69. Korkzan, S. (2016). How MSU researchers unlocked a fingerprint-secure smartphone to help police with homicide case. The State News. Retrieved July, 2021, from http://statenews.com/article/2016/08/how-msu-researchers-unlocked-a-fingerprint-secure-smartphone-to-help-police-with-homicide-case.
70. Lai, L., Ho, S. W., & Poor, H. V. (2011). Privacy-security trade-offs in biometric security systems. IEEE Transactions on Information Forensics and Security, 6(1), 122–151.
71. Li, S., & Kot, A. C. (2012). An improved scheme for full fingerprint reconstruction. IEEE Transactions on Information Forensics and Security, 7(6), 1906–1912.
72. Marasco, E., & Ross, A. (2015). A survey on antispoofing schemes for fingerprint recognition systems. ACM Computing Surveys, 47(2), 1–36.
73. Marcel, S., Nixon, M. S., Fierrez, J., & Evans, N. (2019). Handbook of biometric anti-spoofing: Presentation attack detection (2nd ed.). Springer.
74. Matsumoto, T., Matsumoto, H., Yamada, K., & Hoshino, S. (2002). Impact of artificial ‘gummy’ fingers on fingerprint systems. In Proceedings of SPIE (Vol. 4677, pp. 275–289).
75. McGraw, G. (2006). Software security. Cigital.
76. Mopuri, K. R., Garg, U., & Venkatesh Babu, R. (2018). CNN fixations: An unraveling approach to visualize the discriminative image regions. IEEE Transactions on Image Processing, 28(5), 2116–2125.
77. Moujahdi, C., Bebis, G., Ghouzali, S., & Rziza, M. (2014). Fingerprint shell: Secure representation of fingerprint template. Pattern Recognition Letters, 45, 189–196.
78. Nagar, A., Nandakumar, K., & Jain, A. K. (2010a). Biometric template transformation: A security analysis. In Proceedings of SPIE Conferences on Electronic Imaging – Media Forensics and Security II (Vol. 7541).
79. Nagar, A., Rane, S., & Vetro, A. (2010b). Privacy and security of features extracted from minutiae aggregates. In Proceedings International Conferences on Acoustics, Speech and Signal Processing (pp. 1826–1829).
80. Nandakumar, K., & Jain, A. K. (2015). Biometric template protection: Bridging the performance gap between theory and practice. IEEE Signal Processing Magazine, 32(5), 88–100.
81. Nandakumar, K., Jain, A. K., & Pankanti, S. (2007). Fingerprint-based fuzzy vault: Implementation and performance. IEEE Transactions on Information Forensics and Security, 2(4), 744–757.
82. Nogueira, R. F., Lotufo, R. A., & Machado, R. C. (2016). Fingerprint liveness detection using convolutional neural networks. IEEE Transactions on Information Forensics and Security, 11(6), 1206–1213.
83. Pala, F., & Bhanu, B. (2017). Deep triplet embedding representations for liveness detection. In B. Bhanu, & A. Kumar (Eds), Deep learning for biometrics. Springer.
84. Patel, V. M., Ratha, N. K., & Chellappa, R. (2015). Cancelable biometrics: A review. IEEE Signal Processing Magazine, 32(5), 54–65.
85. Plesh, R., Bahmani, K., Jang, G., Yambay, D., Brownlee, K., Swyka, T., Johnson, P., Ross, A., & Schuckers, S. (2019). Fingerprint presentation attack detection utilizing time-series, color fingerprint captures. In Proceedings of International Conferences on Biometrics (pp. 1–8).
86. Priesnitz, J., Rathgeb, C., Buchmann, N., Busch, C., & Margraf, M. (2021). An overview of touchless 2D fingerprint recognition. EURASIP Journal on Image and Video Processing 8, 1–28.
87. Ratha, N. K., Connell, J. H., & Bolle, R. M. (2001). Enhancing security and privacy in biometrics-based authentication systems. IBM Systems Journal, 40(3), 614–634.
88. Ratha, N. K., Chikkerur, S., Connell, J. H., & Bolle, R. M. (2007). Generating cancelable fingerprint templates. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(4), 561–572.
89. Rathgeb, C., & Uhl, A. (2011). A survey on biometric cryptosystems and cancelable biometrics. EURASIP Journal on Information Security, 2011(1), 1–25.
90. Rane, S. (2014). Standardization of biometric template protection. IEEE MultiMedia, 21(4), 94–99.
91. Rane, S., Wang, Y., Draper, S. C., & Ishwar, P. (2013). Secure biometrics: Concepts, authentication architectures, and challenges. IEEE Signal Processing Magazine, 30(5), 51–64.
92. Rattani, A., Scheirer, W. J., & Ross, A. (2015). Open set fingerprint spoof detection across novel fabrication materials. IEEE Transactions on Information Forensics and Security, 10(11), 2447–2460.
93. Roberts, C. (2007). Biometric attack vectors and defences. Computers and Security, 26(1), 14–25.
94. Ross, A., Shah, J., & Jain, A. K. (2007). From template to image: Reconstructing fingerprints from minutiae points. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(4), 544–560.
95. Rowe, R. K., Nixon, K. A., & Butler, P. W. (2008). Multispectral fingerprint image acquisition. In N. K. Ratha & V. Govindaraju (Eds), Advances in biometrics. Springer, London.
96. Roy, A., Memon, N., & Ross, A. (2017). MasterPrint: Exploring the vulnerability of partial fingerprint-based authentication systems. IEEE Transactions on Information Forensics and Security, 12(9), 2013–2025.
97. Schneier, B. (1996). Applied cryptography. Wiley.
98. Shimamura, T., Morimura, H., Shimoyama, N., Sakata, T., Shigematsu, S., Machida, K., & Nakanishi, M. (2008). A fingerprint sensor with impedance sensing for fraud detection. In Proceedings of International Solid-State Circuits Conference - Digest of Technical Papers.
99. Sousedik, C., & Busch, C. (2014). Presentation attack detection methods for fingerprint recognition systems: A survey. IET Biometrics, 3(4), 219–233.
100. Soutar, C. (2002). Biometric system security. In Secure – The silicon trust magazine (Vol. 5).
101. Soutar, C. (2004). Security considerations for the implementation of biometric systems. In N. Ratha, & R. Bolle (Eds), Automatic fingerprint recognition systems. Springer.
102. Su, C., & Srihari, S. (2010). Evaluation of rarity of fingerprints in forensics. In Proceedings of Advances in Neural Information Processing Systems (pp. 1207–1215).
103. Sutcu, Y., Li, Q., & Memon, N. (2007a). Protecting biometric templates with sketch: Theory and practice. IEEE Transactions on Information Forensics and Security, 2(3), 503–512.
104. Sutcu, Y., Sencar, H. T., & Memon, N. (2007b). A geometric transformation to protect minutiae-based fingerprint templates. In Proceedings of SPIE Conference on Biometric Technology for Human Identification IV.
105. Tabassi, E., Chugh, T., Deb, D., & Jain, A. K. (2018). Altered fingerprints: Detection and localization. In Proceedings of International Conferences on Biometrics Theory, Applications and Systems (pp. 1–9).
106. TABULA RASA Program. (2013). European Commission, Trusted Biometrics under Spoofing Attacks (TABULA RASA). Retrieved July, 2021, from http://www.tabularasa-euproject.org/.
107. Tan, B., & Schuckers, S. (2006). Liveness detection for fingerprint scanners based on the statistics of wavelet signal processing. In Proceedings of CVPR Workshop on Biometrics.
108. Teoh, A., Goh, A., & Ngo, D. (2006). Random multispace quantization as an analytic mechanism for BioHashing of biometric and random identity inputs. IEEE Transactions on Pattern Analysis and Machine Intelligence, 28(12), 1892–1901.
109. Tolosana, R., Gomez-Barrero, M., Busch, C., & Ortega-Garcia, J. (2020). Biometric presentation attack detection: Beyond the visible spectrum. IEEE Transactions on Information Forensics and Security, 15, 1261–1275.
110. Tulyakov, S., Farooq, F., Mansukhani, P., & Govindaraju, V. (2007). Symmetric hash functions for secure fingerprint biometric systems. Pattern Recognition Letters, 28(16), 2184–2189.
111. Vidyut (2018). Cloned thumb prints used to spoof biometrics and allow proxies to answer online Rajasthan Police exam. Medianama. Retrieved July, 2021, from https://www.medianama.com/2018/03/223-cloned-thumb-prints-used-to-spoof-biometrics-and-allow-proxies-to-answer-online-rajasthan-police-exam/.
112. Wang, Y., Rane, S., Draper, S. C., & Ishwar, P. (2012). A theoretical analysis of authentication, privacy, and reusability across secure biometric systems. IEEE Transactions on Information Forensics and Security, 7(6), 1825–1840.
113. Weiss, B., Cranley, E., & Pasley, J. (2020). These are the fugitives on the FBI’s 10 most wanted list – and how they got there. Business Insider. Retrieved July, 2021, from https://www.businessinsider.com/fbi-10-most-wanted-criminals-list-2017-11.
114. Xu, H., Veldhuis, R. N. J., Bazen, A. M., Kevenaar, T. A. M., Akkermans, T. A. H. M., & Gokberk, B. (2009). Fingerprint verification using spectral minutiae representations. IEEE Transactions on Information Forensics and Security, 4(3), 397–409.
115. Yambay, D., Ghiani, L., Marcialis, G. L., Roli, F., & Schuckers, S. (2019). Review of fingerprint presentation attack detection competitions. In S. Marcel, M. Nixon, J. Fierrez, & N. Evans (Eds), Handbook of biometric anti-spoofing. Springer.
116. Yau, W. Y., Tran, H. L., & Teoh, E. K. (2008). Fake finger detection using an electrotactile display system. In Proceedings of International Conferences on Control, Automation, Robotics and Vision (pp. 962–966).
117. Yoon, S., Feng, J., & Jain, A. K. (2012). Altered fingerprints: Analysis and detection. IEEE Transactions on Pattern Analysis and Machine Intelligence, 34(3), 451–464.
118. Zhang, Y., Tian, J., Chen, X., Yang, X., & Shi, P. (2007). Fake finger detection based on thin-plate spline distortion model. In Proceedings of International Conferences on Biometrics (pp. 742–749).
119. Zhang, Y., Shi, D., Zhan, X., Cao, D., Zhu, K., & Li, Z. (2019). Slim-ResCNN: A deep residual convolutional neural network for fingerprint liveness detection. IEEE Access, 7, 91476–91487.