信息技术 生物特征识别模板保护方案的性能测试

1GB/TXXXXX—XXXX/ISO/IEC30136：2018信息技术生物特征识别模板保护方案的性能测试本文件支持生物特征模板保护方案的准确性、保密性和隐私性的评价。确立了用于说明生物特征模板保护方案性能的定义、术语和度量项。本文件特别规定了以下各项的测试和报告的要求：——生物特征模板保护方案的理论和实验的准确性；——成功攻击生物特征模板保护方案（单个或多个）的理论和实验的概率；——当一个或多个生物特征模板保护方案被侵犯时，泄漏的关于原始生物特征的信息。本文件适用于评估生物特征模板保护方案的准确性、保密性和隐私性。本文件不适用于：——建立模板保护方案；——针对传统加密方案的测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO/IEC2382-37信息技术词汇第37部分：生物特征识别(Informationtechnology—Vocabulary—Part37:Biometrics)注：GB/T5271.37-2021信息技术词汇第37部分：生物特征识别（ISO/IEC2382—37ISO/IEC19795-1信息技术生物特征识别性能测试和报告第1部分：原则与框架（Informationtechnology—Biometricperformancetestingandreporting—Part1:Principlesandframework）ISO/IEC19795-2信息技术生物特征识别性能测试和报告第2部分：技术与场景评价的测试方法（InformationtechnologyBiometricperformancetestingandreporting—Part2:Testingmethodologiesfortechnologyandscenarioevaluation）注：GB/T29268.2-2012信息技术生物特征识别性能测试和报告第2部分：技ISO/IEC24745:2022信息技术数字安全和隐私保护生物特征信息保护（Informationsecurity,cybersecurityandprivacyprotection—Biometricinformationprotection）注：ISO/IEC24745:2022被引用的内容与ISO/IEC24745:2011被引用的内容3术语和定义ISO/IEC2382-37和ISO/IEC24745界定的以及下列术语和定义适用于本文件。3.1精度下降accuracydegradation对于同一生物特征识别系统，在有无模板保护方案的情况下进行测试，所得FNMR/FMR（或FAR/FRR）之间的差异。2GB/TXXXXX—XXXX/ISO/IEC30136：20183.2攻击者adversary侵犯注册数据库并可能获得其中已注册个体生成的生物特征数据的实体。3.3生物特征模板保护biometrictemplateprotection在存储和传输过程中，根据对保密性、不可逆性和可更新性的不同要求，对生物特征参考进行保护的措施。3.4生成的生物特征数据generativebiometricdata作为生物特征模板保护方案中主要输入的生物特征数据（样本或特征项）。3.5不可逆性irreversibility从生成的生物特征数据创建生物特征模板的一种转换属性，使得转换后的生物特征参考无法用于确定任何关于生成的生物特征数据的信息。注：本文件引入的度量项旨在通过攻击者在重新创建原始未受保护版3.6隐私侵犯privacycompromise生物特征验证或辩识系统数据库中已注册个体生成的生物特征部分数据被攻击者发现的事件。注：发现生成的生物特征部分数据并不意味着成功实现了生物特征识3.7隐私泄漏privacyleakage<模板保护方案>攻击者能够从存储的参考数据中学习到的关于个体生成的生物特征数据的信息量。3.8假名标识符比对器pseudonymousidentifiercomparator将假名标识符编码器在注册期间生成的假名标识符与假名标识符重编码器在验证期间重建的假名标识符进行比对，并返回表示两者之间相似度得分的系统、过程或算法。3.9假名标识符重编码器pseudonymousidentifierrecoder基于提供的辅助数据和提取的特征项重建假名标识符的系统、过程或算法。3.10保密性secrecy在冒充模板保护系统的生物特征注册数据库中的注册个体时，攻击者通过受保护的用于实现生物特征识别的生物特征模板还原输入数据所面临的困难程度。3.11保密侵犯secrecycompromise攻击者在冒充模板保护系统的生物特征识别已注册个体时成功通过生物特征识别的事件。注：保密侵犯包括攻击者非法访问而无需获得被冒充个体的生成生物3.12攻击成功率successfulattackrate知情攻击者在生物特征识别系统中获得错误接受（成功入侵系统）的概率。3GB/TXXXXX—XXXX/ISO/IEC30136：2018注：知情攻击者是指已经侵犯（能访问）相同个体注册的一个或多个统）相关的生物特征注册数据库的一个子集3.13模板多样性templatediversity特定生成的生物特征数据通过生物特征模板保护方案生成独立的保护模板数量的期望值。3.14模板尺寸templatesize存储的参考数据的大小。3.15不可链接性unlinkability两个或多个生物特征参考不能相互链接或不能链接到它们来源的主体的属性。4缩略语下列缩略语适用于本文件。AD辅助数据（AuxiliaryData）BTP生物特征模板保护（BiometricTemplateProtection）ECC纠错码，或纠错编码（ErrorCorrectingCode,orErrorCorrectionCoding）FAR错误接受率（FalseAcceptanceRate）FMR误匹配率（FalseMatchRate）FNMR误不匹配率（FalseNon-MatchRate）FRR错误拒绝率（FalseRejectRate）H(X)随机变量X的信息熵（Information-theoreticEntropyofarandomvariableX）H(X|Y)给定随机变量Y的随机变量X的条件熵（ConditionalentropyofrandomvariableXgivenrandomvariableY）I(X;Y)随机变量X和Y之间的互信息（MutualinformationbetweenrandomvariablesXandY）PI假名标识符（PseudonymousIdentifier）PIC假名标识符比对器（PseudonymousIdentifierComparator）PIE假名标识符编码器（PseudonymousIdentifierEncoder）PIR假名标识符重编码器（PseudonymousIdentifierRecoder）RBR可更新生物特征参考（RenewableBiometricReference）SAR攻击成功率（SuccessfulAttackRate）5符合性为符合本文件，生物特征模板保护方案的准确性、保密性和隐私性的评估应符合第8章的规定。6生物特征模板保护方法（资料性）6.1概述4GB/TXXXXX—XXXX/ISO/IEC30136：2018在本文件中，生物特征模板保护是指在不存储注册模板的情况下执行生物特征验证或辨识的技术类别，包括“明文”或者经传统方式加密的注册模板。相反，生物特征采集样本以不可逆的方式进行转换，转换后的结果存储在注册个体数据库中。如果攻击者获得对数据库的访问权限，也只能访问转换后的数据，因此生物特征模板保护具有以下两个有利的特性：a)存储的数据可能会暴露注册个体生物特征样本中提取特征项的部分信息，但这些信息不足以重构个体的生物特征特性；b)与不采用模板保护方案的系统相比，攻击者在冒充注册数据库中注册个体时更难以取得生物特征识别的成功。因此，生物特征模板保护为系统中的注册个体提供了更好的保密性。不可逆性和保密性的程度取决于多种因素，例如所使用的生物特征特性的类型、用于提取生物特征信息的数字表示的特征项提取算法、用于提供模板保护的机制以及使用可选密钥作为第二重保密。不可逆性和保密性的改善可能会带来生物特征验证准确性降低的代价。为了能够研究和分析生物特征模板保护系统的各种性能，有必要在准确性、保密性和不可逆性这三个维度来精确地衡量这些性能。第6章介绍了生物特征模板保护系统的通用架构。第8章定义了使用这种通用架构时，衡量准确性、保密性和不可逆性的度量项。图1描述了ISO/IEC/TR24741:2018第6章中一种通用的未受模板保护的生物特征识别系统的信息流程。其中子系统的解释见ISO/IEC/TR24741:2018第6章。图1通用生物特征识别系统组成部分6.2生物特征模板保护系统的通用架构图2描述了通用的采用模板保护的生物特征识别系统的信息流程，该系统可被认为是图1中描述的未受模板保护的生物特征识别系统的扩展。5GB/TXXXXX—XXXX/ISO/IEC30136：2018图2通用生物特征模板保护系统的组成注：图2表示典型验证/辩识系统的组成部分，不包括可直接执行1比N比对（不是N次1比1比对）的一般辩识场景。在一个通用的1比N辩识系统中，PIR算法可以将多个AD作为输入并生成多个P图1所示的传统生物特征识别系统与图2所示的模板保护系统之间的主要区别在于，在注册期间，PIE从提取的生物特征项中生成AD和PI。一对AD和PI称为RBR。在验证或辩识过程中，PIR从注册的AD和提取的生物特征项中生成不同的PI（标记为PI*PIC比较PI和PI*。AD、PI、RBR、PIE、PIR和PIC的定义见ISO/IEC24745:2022第3章和6.2.3的描述。在下文中，PIE、PIR和PIC模块中执行的算法根据ISO/IEC24745:2022进行了重新定义。假设U是所有个体的生物特征特性组成的集合。假设生物特征项是在注册期间从获取的样本中提取的，验证/辩识可以用空间M的元素x表示，PI、AD和PI*可以用空间MPI、MAD和M*PI的一个元素来表示。下面描述一组由PIE、PIR和PIC三种算法构成被称为生物特征模板保护（BTP）的算法：——PIE：用生成的生物特征数据xeM和一个随机数作为输入，返回AD和PI的一对数据(α,)，其中αEM4D,。在图2中，PIE可以被认为是一个生成模块，用于生成可更新生物特征参考（AD，PI）；——PIR：以辅助数据α和生成的生物特征数据xeM作为输入，返回一个数据用于验证或辩识。在图2中，PIR可以被认为是一个生成模块用于创建鉴别数据PI*；——PIC：以两个假名标识符和㎡作为输入，返回匹配或非匹配的决策。在图2中，PIC6GB/TXXXXX—XXXX/ISO/IEC30136：2018可以认为是一个比对模块。在注册阶段，生物特征特性u被提交给系统，并从中提取生成的生物特征数据xeM。PIE将x作为输入，输出AD和PI的一对数据别存储在AD数据库和PI数据库中。注意，在验证/辩识阶段，新的生物特征特性(α,m)EMAD×Mr,其中AD中的α和PI中的分α和可以存储在不同的存储模块中（见6.3）。被提交给系统，从特性中提取生成的生物特征数据xe。PIR将x作为输入并输出π,PIC比对和π,并输出一个比对结果，然后发送给决策子系统。上述概念也可以用下面的图3来表示，来源于ISO/IEC24745:2022的图5。图3可更新生物特征参考架构（ISO/IEC24745:2022）图2表示了一种生物特征模板保护系统的通用架构。该通用架构涵盖了生物特征识别方案的各种实现方式，包括但不限于：a)生物特征模糊保险箱，一种模板保护方案，其中生物特征注册数据库中存储的个体数据是随机生成数和生物特征样本的函数；b)生物特征安全概略，一种模板保护方案，其中存储在生物特征注册数据库中的个体数据是一个“概略”，该“概略”只提供底层生物特征样本的部分信息；c)可撤销的生物特征，一种模板保护方案，其中生物特征注册数据库中存储的个体数据是生物特征样本的几种不可逆变换或变形之一；d)生物哈希值，使用一种秘密随机投影矩阵将生物特征项向量投影到一个随机向量空间，并在随机投影的空间中进行生物特征识别。ISO/IEC24745:2022表C.1中给出了每个显式保护方案的AD和PI的示例。在没有模板保护的传统生物特征识别系统中，AD或PI是生物特征样本本身，或者是从生物特征样本中衍生的未受保护的模板。在生物特征模板保护系统中，生成的生物特征数据只是生物特征识别的中间步骤。第二个信号是从生成的生物特征数据中衍生出来的，并且存储在生物特征注册数据库中。7GB/TXXXXX—XXXX/ISO/IEC30136：2018此外，生物特征模板保护系统能通过将传统的生物特征识别系统与模板保护原语级联来实现，例如公钥加密系统、秘密转换或者ECC。事实上，生物特征模糊保险箱、生物特征安全概略、可撤销的生物特征和生物哈希值的许多实现方式都是通过这种方法来实现的。6.3数据分离在现实世界中，一些模态存在许多大型的生物特征样本公共数据库。当注册个体的AD和PI同时泄漏给攻击者时，通过在这些公共数据库中测试每个样本，他们能找到一个与泄漏的AD和PI匹配样本的复杂性约为1/FAR。由于几乎每个已有模态的生物特征样本熵log(1/FAR)不够大，当AD和PI同时被侵犯的时候，具有公开可访问参数的BTP算法无法获得足够的保密性。因此，为了防止AD和PI同时泄漏，推荐将每个个体的AD和PI存储在单独的存储模块中。在6.4中，描述了分别存储AD和PI的一些典型应用示例。参考文献[18]讨论了一些数据分离模型的保密性。当个体的AD和PI分别存储在不同的存储模块中时，可考虑以下数据泄漏情况：a)AD或PI泄漏给攻击者；b)AD和PI同时泄漏给攻击者。尽管情况b)发生的概率很低，但本文件在第8章中规定的性能度量项涵盖了上述的所有情况。6.4模板保护系统典型架构示例6.4.1基于多个数据库进行生物特征验证图4举例说明了一种每个个体注册的AD和PI连同个体ID或公共链接数据分别单独存储在不同数据库中的情况。在验证过程中，算法从提交的生物特征样本和AD（链接到声称的ID）中生成一个新的PI（描述为PI*），将PI*与AD对应的注册PI进行比对，返回比对结果，然后输出验证结果。图4AD和PI数据库分离的生物特征模板保护系统应用模型6.4.2基于智能卡的双重生物特征验证8GB/TXXXXX—XXXX/ISO/IEC30136：2018图5说明了每个注册个体的AD存储在个体智能卡中，而PI存储在单独的PI数据库中，该数据库可以位于模板保护系统内，也可以是分布式存储。在验证过程中，算法根据提交的生物特征样本和AD生成新的PI*，将PI*与注册的PI（对应声称的ID）进行比对，返回比对结果，并输出验证结果。图5基于智能卡的双重生物特征模板保护系统的应用模型6.4.3基于密码的双重生物特征验证图6说明了每个个体注册的PI与个体ID一起存储在数据库中并且个体记住他/她自己的AD作为密码的情况。在验证过程中，算法根据提交的生物特征样本和AD（密码）生成新的PI*，将PI*与注册数据库中的PI（对应声称的ID）进行比对，返回比对结果，并输出验证结果。9GB/TXXXXX—XXXX/ISO/IEC30136：2018图6基于密码的双重生物特征模板保护系统的应用模型7生物特征模板保护方案性能评估概述7.1攻击生物特征模板保护系统的方法7.1至7.5描述了帮助理解和/或使用第8章提供的度量项和要求的重要信息。根据图2和图3，攻击者可以通过多种方式侵犯生物特征模板保护系统。以下是针对一个或多个基于个体注册的生物识别系统进行单独或组合攻击的非详尽列表：a)对生物特征数据库的攻击：在这种攻击中，攻击者可以访问到一部分注册用户的AD和/或PI；b)对生成的生物特征数据的攻击：在这种攻击中，攻击者可以访问到生成的生物特征数据，这些数据是用来在生物特征数据库中注册一个或多个个体；c)对可选密钥的攻击：这种攻击仅适用于双重生物特征验证或辩识的系统。在这种攻击中，攻击者可以访问辅助数据，即在注册期间返回给一个或多个注册个体的可选密钥。7.2超出传统识别性能之外的度量项的必要性第8章包括衡量BTP算法识别性能的度量项。这些度量项包括传统的度量项，例如FMR和FNMR，其定义与ISO/IEC19795-1和ISO/IEC19795-2:2007中的定义是一致的。但是，现有的国际标准并未涵盖评估BTP算法所需的所有度量项。本文件的目的就是建立这些新的性能度量项并规定评估它们的方法。BTP算法目的是提供消除生物特征识别系统中隐私和安全风险的对策。在ISO/IEC24745:2022中详细说明了这些潜在的隐私和安全的风险以及特性。根据这些特性，生物特征信息保护宜实现以下重要目标：模板的多样性、不可逆性和不可链接性。7.3技术评估本文件针对BTP算法的技术评估。技术评估是指使用现有的或专门收集的样本集对特定的生物特征模态的BTP算法进行离线评估，不包括样本获取算法和特征项提取算法。7.4理论评估与实验评估在识别性能的理论评估中，测试者需要形式验证识别错误率。在对BTP算法的安全性和隐私保护的理论评估中，测试者需要形式验证攻击成功的概率或者特定攻击的优势。在识别性能的实验评估中，测试者应根据ISO/IEC19795-1和ISO/IEC19795-2:2007评估识别错误率。但是，ISO/IEC19795-1:2006和ISO/IEC19795-2:2007中并未涵盖对BTP算法安全性和隐私保护的实验评估。一般来说，理论评估给出的性能度量项比相应的实验评估具有更好的可信度。但是，如果有证据表明实验评估中假设的攻击是具有特定能力攻击者的最强攻击方式，则实验评估提供的可信度等同于理论评估。7.5威胁模型生物特征模板保护系统的安全性和隐私保护的评估可以基于信息理论特性的衡量度量项，例如条件熵、条件最小熵或互信息。这些评估结果反映了安全性和隐私保护的级别，和攻击者可用的信息和资源无关。示例：如果给定受保护模板的生物特征数据的条件熵是20bit，则生物特征数据的不确定性至少为20bit，即使GB/TXXXXX—XXXX/ISO/IEC30136：2018因此，信息论量化度量项决定了任何一种生物特征模板保护算法所能实现的“无条件”安全性和隐私保护的性能。但是，并不总是可以测试无条件的性能。例如，这种测试需要对生物特征数据和受保护模板的联合概率分布进行综合估计，这在实践中可能是不可行的。另外，一种算法的安全性依赖于逆向加密系统的难度，而这些无条件保证是不存在的。更进一步的说，无条件的性能度量项并不体现攻击者为实现其目标而付出的努力。因此，在计算复杂度方面衡量“有条件的性能”就显得很重要了。在这种情况下，攻击者所能获得的信息和资源是评估的重要先决条件。应使用7.5.1至7.5.3中给出的三种主要的威胁模型对攻击者进行分类。7.5.1和7.5.3分别描绘了朴素模型和通用模型，二者与传统密码分析中的模型类似。7.5.2描绘了基于生物特征识别系统的固有特性推导出来的碰撞模型。指定威胁模型是量化安全性和隐私保护的先决条件。在实践中，评估者可以根据目标应用对安全性和隐私保护的要求，从这些威胁模型中导出他们自己改进后的威胁模型。7.5.1朴素模型在该模型中，攻击者既没有生物特征模板保护系统中底层算法的信息，也没有庞大的生物特征数据库。他们只能访问RBR。受保护的系统可以被认为是一个黑盒子。在这种情况下可执行的攻击或者可以获得的生物特征信息是非常有限的。7.5.2碰撞模型在该模型中，攻击者拥有大量的生物特征数据。他们可以利用这些信息来发现生物特征识别系统中的漏洞，通过对数据库的穷举搜索来找到生物特征数据，并生成与生物特征注册数据库中的个体数据具有足够相似性的PI。7.5.3通用模型在该模型中，根据Kerckhoffs原理，假设攻击者充分了解图2中描述的底层模板保护方案算法、PIE、PIR和PIC。此外，攻击者可以访问一个或多个数据库中的一个或多个受保护的模板。攻击者也可能了解生物特征项的统计特性。但是，攻击者无法更改样本获取算法或特征项生成算法，例如如图2所示的分割、特征项提取或质量控制。在这种情况下，安全性和隐私保护可能仅依靠一个秘密参数，该参数只有系统的合法主体和系统管理员知道，但攻击者不知道。此类秘密参数的例子包括可撤销生物特征中的变换参数、生物哈希值中的映射矩阵以及基于同态加密的生物特征加密系统中的解密密钥。可考虑比上述通用模型更强的对抗模型。在这个更强的模型变化中，可以假设攻击者已经获得对秘密参数子集的访问权。例如，在双重模糊保证方案中，个体受保护的模板可能被侵犯，而分配给合法个体的密钥没有被侵犯。作为另一个例子，用于在可撤销生物特征中变形脸部特征项的秘密变换的索引被攻击者侵犯。正如预期的那样，这些是非常有力的攻击，并可能导致生物特征模板保护系统的保密性显著降低。在某些情况下，例如对于基于纠错码的安全概略和模糊承诺系统，可以量化保密性的损失。在其他情况下（例如对于可撤销的生物特征可能无法量化保密性的损失。基于这些考虑，我们提出了以下三种重要的基于通用模型的子模型。7.5.3.1标准模型在这个模型中，根据Kerckhoffs原理，攻击者完全了解用于模板提取的算法、保护和比对的算法，但攻击者不能执行系统中使用秘密的子模块（如果有的话）。尤其，这意味着攻击者不知道任何秘密参数。7.5.3.2高级模型在这个模型中，和标准模型相比，攻击者增加了执行部分或全部使用秘密子模块（如果有）的能力。GB/TXXXXX—XXXX/ISO/IEC30136：2018注：这与密码学中选择以明文的方式攻击和选7.5.3.3完全泄漏模型在这个模型中，和标准模型（或高级模型）相比，攻击者获得秘密（如果有）。注：在后面两种模型中，可考虑只有部分秘密已8生物特征模板保护系统的性能度量项8.1总则本条提供了宜用于评估生物特征模板保护系统各个方面的度量项的指南。本文件的直接目标是提供评估某一类系统的度量项，即ISO/IEC24745中描述的生物特征模板保护系统。同时，希望制定尽可能通用的度量项，并且适用于第6章中描述的通用生物特征验证架构。在本文件中，生物特征验证和生物特征辩识是不同的，前者涉及一对一比对操作，后者涉及一对多比对操作。应根据7.5中讨论的每个适用的威胁模型估计所有度量项。在评估时需要明确说明针对的威胁模型。事实上，根据不同的威胁模型，攻击者或测试者将拥有不同的信息（包括底层数据、算法和秘密）。为了易于理解，评估者使用的威胁模型（来自7.5）应与评估结果一起详细说明。特别是，在8.4中描述的保护性能度量项应基于某些威胁模型进行评估，包括7.5.3中定义的通用模型。在评估以下度量项：FMR、FNMR、FTER、FTAR；以及实验评估的度量项：SAR、模板多样性、不可逆性和不可链接性的时候，测试设计、构成合适测试库和报告应符合ISO/IEC19795-2:2007,6.1,6.2,和6.4的要求。ISO/IEC19795-2:2007、6.1、6.2和6.4涉及技术测试。通常，在模板保护系统中的生物特征样本是来自于传感器（与预先收集的存储在文件系统上的图像是不同的）。在这种情况下，无法执行依赖于预先收集库的测试技术。测试者可能需要获得一个将传感器和算法分离的模板保护系统版本。8.2多重生物特征访问控制系统案例本条讨论某个特定个体为了生物特征验证和/或辩识而在多个生物特征模板保护系统中进行注册的情况下对评估度量项的影响。例如，个体可能将他们的右手食指注册在他们的健身房、银行、工作场所和移动设备的生物特征模板保护系统中。一些在单系统中定义的度量项可直接适用于多系统的场景，例如FNMR、FMR或存储要求。但是，某些度量项（例如不可逆性）在多系统的情况下必须进行明确的说明，因为这些度量项是根据生物特征信息的侵犯程度来定义的。与仅攻击单个模板保护系统的简单攻击者相比，攻击多个生物特征模板保护系统的攻击者可以获得更多关于个体的验证或辩识信息。因此，可以预测在侵犯多系统的情况下，攻击成功率和隐私泄漏至少与侵犯单个系统的情况一样或者更高。在设计和实施生物特征访问控制系统时，如果允许个体在多个系统中注册需要考虑的关键点是：即使攻击者没有侵犯特定的生物特征访问控制设备，通过攻击个体注册的其他设备能增强他们攻击该设备并侵犯注册个体的不可逆性的能力。此外，对多系统案例的分析说明了多系统SAR和多系统隐私泄漏之间微妙的取舍。特别在构建许多生物特征模板保护系统的时候，例如模糊保险箱或安全概略，不可能同时减少多系统攻击成功率和多系统隐私泄漏。8.3注册和验证性能的度量项8.3.1通则GB/TXXXXX—XXXX/ISO/IEC30136：2018除了此处定义的度量项外，ISO/IEC19795-1中定义的度量项FMR、FNMR、FTER和FTAR也适用于生物特征模板保护系统。8.3.2精度下降8.3.2.1通则如前所述，大多数生物特征模板保护算法的实现是通过提取合适的生物特征项并使用模板保护原语来处理特征项，例如公钥密码系统、纠错码或秘密变换。使用信息处理不等式，可以证明特征项向量的处理不能增加其中的信息量。这个特性的实际后果是,引入模板保护原语不能提高识别精度。一个精心设计的生物特征模板保护系统需要最小化精度下降。8.3.2.2理论定义精度下降被定义为是否使用模板保护方案在测试识别精度的度量项上的差异（例如在固定FMR的情况下FNMR度量项）。这种下降是模板保护方案的一个特征。8.3.2.3操作定义对于给定的生物特征数据集、生物特征项提取方案和模板保护方案，精度下降定义为是否使用模板保护方案在测试识别精度的度量项上的差异（例如在固定FMR的情况下FNMR度量项）。这种下降可以用百分比表示。精度下降不仅取决于模板保护方案，还取决于生物特征项提取算法的实现方式。8.3.2.4影响由于生物特征模板保护系统中使用的注册和比对算法通常与传统的生物特征识别系统中使用的算法不同，因此在单个系统中可能难以衡量模板保护对性能的影响。换言之，通常不能简单地在给定系统上运行两项测试，一项为启用生物特征模板保护功能，另一项为禁用生物特征模板保护功能，然后比较性能结果间的差异。与之相反，测试者可能需要对多种传统生物特征识别算法进行技术测试所生成的结果，从而获得与生物特征模板保护性能进行比对的FMR/FNMR/FTER/FTAR测试基线。8.3.3模板多样性8.3.3.1通则模板多样性是指一种生物特征模板保护算法可以从生成的生物特征数据中提取的独立保护模板数量的期望值。更准确地说，模板多样性可以通过CMR的倒数来计算，即1/CMR，其中CMR使用如下公式计算：CMR= i................................式中：n——被测主体的数量；ai——第i个被测主体元组的匹配率，其中x是第i个被测主体生成的生物特征数据，(α,)和是两个不同的可更新生物特征参考(RBR)，他们都是从第i个被测主体的生物特征特性中生成的，并满足PIC(mpIR(di,x))=match。GB/TXXXXX—XXXX/ISO/IEC30136：2018卡或密码后的识别准确精度。更准确地说，在使用智能的个体提交自己的生物特征特性和旧卡时被错误接受的视为是一个真实的个体提交自己的生物特征特性、ID和旧的（错模板多样性直接保证了可更新性和可撤销性。特别是当已知模板被侵犯时，它能够被撤销，即由系统管理员取消旧的模板并分配新的模板。大的模板多样性意味着能够更多次地撤销和更新存储的模板。虽然这种特性本身是我们所需要的，但它可能是以增加SAR或增加可逆性为代价。对于每个测试的生物特征模板保护算法，测试者应分别通过8.3.3.2或8.3.3.3中描述的理论或实际的评估方法来测试模板的多样性。8.3.3.2理论评估测试者应指定证明模板多样性的理论方法。如果模板多样性（的下限）已经在理论上得到证明，则该理论评估可靠性的证据应在报告中提及。例如，测试者可将附录A中列出的会议或期刊上发表的多样性证明的描述作为证据写入报告。8.3.3.3实验评估测试者应指定测试模板多样性的实验方法。如果概率是通过实验的方法来估计的，则应报告所采用实验评估的可靠性的证据。这种证据的一个示例是附录A中列出的会议或期刊上发表的实验评估的描述。8.3.4注册个体的存储要求存储要求的定义是生物特征注册数据库中每个注册个体所需要的比特位数。如图2和图3所示，在模板保护系统中，生物特征注册数据库由AD和PI数据库组成。因此，存储要求的等效定义是模板保护系统的AD和PI数据库中每个注册个体所需要的比特位数的和。如6.3中的示例所示，AD和PI数据库可能不在同一个位置。因此，在报告存储需求时，应分别报告AD数据库和PI数据库所需的比特位数。下面提供了一些示例，以说明如何计算存储要求。在基于模糊保险箱算法的生物特征模板保护系统中，例如参考文献[10]，PI数据库中每个个体的存储要求是存储特定个体的密钥字符串的加密哈希值所需要的比特位数。AD数据库每个个体的存储需求是存储点集所需要的比特位数，即原始特征项点和干扰点的集合。在基于使用ECC实现的安全概略的生物特征模板保护系统中，例如参考文献[21]，PI数据库每个个体的存储要求是存储个体生物特征项向量的加密哈希值或扰动所需要的比特位数。AD数据库的个体的存储要求是存储ECC的计算校验值所需的比特位数。在基于可撤销生物特征的生物特征模板保护系统中，例如参考文献[13]，PI数据库每个个体的存储要求是存储被转换模板所需要的比特位数。AD数据库的每个个体的存储要求是存储转换参数所需要的比特位数。ISO/IEC24745:2022的表C.1中给出了用于生物特征模板保护系统的各种实现的PI和AD数据库的更多示例。8.4安全和隐私保护性能度量项8.4.1不可逆性8.4.1.1通则不可逆性是模板保护算法的一种属性，模板保护算法利用生成的生物特征数据创建生物特征参考，不可逆性表示不能通过转换后的生物特征参考的知识来确定关于生成的生物特征数据的任何信息。更准确地说，不可逆性是指从提取的生物特征项中所生成的一个AD和/或一个PI中确定生物特征的难度，即确定的生物特征项更接近生成的生物特征数据而不是随机抽取的生物特征项。GB/TXXXXX—XXXX/ISO/IEC30136：2018在传统的生物特征识别系统中，生物特征注册数据库的部分或全部被侵犯必然部分或全部地侵犯生成的生物特征数据的不可逆性。在一个模板保护系统中，情况有可能不同。例如，对于一个使用双重模板保护的方案而言，即使攻击者侵犯存储在AD数据库中的信息，也能够确保个体的生成的生物特征数据不会泄露。完全可逆性则对应着攻击者可精确获得生成的生物特征数据的情形。在某些情形下，获得生成的生物特征数据的某种近似可能比实现完全可逆性更容易一些；这种情形对应着部分可逆性的概念。因此，如果评估的目标仅仅是抵抗完全可逆性，则评估者需要区分这两种情形。如果没有明确说明，抵抗部分可逆性应被认为是默认属性，因为它比抵抗完全可逆性更难。不可逆性的强度可根据攻击者能力进行分类，尤其是根据他们对模板保护算法的了解程度。为此，不可逆性的强度应按照特定的威胁模型来进行评估，包括7.5.3中定义的通用模型。对于被测试的每个生物特征模板保护算法，测试者应通过8.4.1.2或8.4.1.3中描述的方法来验证不可逆性，即通过理论或实践来评估攻击者从一个给定的AD和/或PI中恢复与原始相似的生物特征项的成功概率或者超过随机猜测的攻击优势。8.4.1.2理论评估测试者应指定验证不可逆性的理论方法。例如，不可逆性可通过以下方法验证：a)对于具有有限计算能力的攻击者，可以证明一种计算性质从而得到他的成功概率或优势的上b)对于具有无限计算能力的攻击者，可以证明一种信息论性质从而得到他的成功概率或优势的上注：一些文献提出了一个信息论安全概念，它分别使用生物特征项分布X和Y之间的互信息I(X;Y)和AD，或者生物特征项分布X和Z之间的互信息I(X;Z)和PI进行评估。两组集合之间的互信息总是非负的，并且当且仅当两组和H(.|.)分别表示熵和条件熵。因此，互信息用于表征当已知另一个随机量Y时，随机量X不确定性的降低。用这种量化方式，不可逆性的衡量是通过攻击者获得生成的生物特如果可以理论证明概率（的上限应报告理论评估可靠性的证据。例如，测试者可以在报告中将附录A中列出的会议或期刊上发表的不可逆性的证明作为证据。8.4.1.3实验评估测试者应指定一种测试不可逆性的实验方法，例如，在一种攻击场景中对某些特定攻击者的成功概率或优于随机猜测的优势进行实验估计。如果概率是通过实验估计的，应报告所采用实验评估的可靠性的证据。这种证据可以是在附录A中列出的会议或期刊上发表的实验评估的描述。8.4.1.4多系统情况下的影响根据每个系统采用的模板保护策略，当攻击者侵犯个体注册的多生物特征访问控制系统时，可能会出现以下示例场景：a)完全不可逆性，即不会泄露有关个体生物特征样本的任何信息。这是可能的，例如在双重模板保护系统中，其中任何设备上被侵犯的数据仅包含存储的模板或者用于混淆生物特征样本的密钥，而不同时包含两者数据。b)不可逆性的总体程度不比任何一个被侵犯系统的不可逆性差。这是可能的，例如每个生物特征访问控制或辩识系统可能具有相同ECC的安全概略架构。c)当足够多的生物特征访问控制系统被侵犯时，最终导致个体的生物特征样本完全泄露给攻击者时，不可逆性才会恶化。这是可能的，例如当每个生物特征访问控制或辨识系统使用部分或完全独立于所有其他设备的ECC时。由于这种最后的可能性，最好在报告中提及最坏情况下的不GB/TXXXXX—XXXX/ISO/IEC30136：2018可逆性，即存储在所有生物特征识别系统中的生物特征数据和密钥（如果有的话）已经被攻击者侵犯的情况下的不可逆性。当所有其他度量项都相同的情况下，这种考虑是很重要的，它可为多个生物特征识别系统推荐一种较好的生物特征模板保护实施方案。8.4.2不可链接性8.4.2.1通则链接攻击能发生在使用相同的生物特征特性来注册多个生物识别特征系统的情况下，例如在多个访问控制设备上注册。如果攻击者侵犯了一部分设备，被侵犯的数据能被用来攻击其余的设备。被侵犯的数据既泄露底层的生物特征特性信息，又能被利用来对其余的设备发动成功的攻击，即未授权访问其余设备。不可链接性是指两个或多个RBR不能相互链接或者链接到产生这些RBR的主体。更准确地说，不可链接性代表区分由同一主体特性生成的两个RBR（包含AD和/或PI）的困难程度，以及由不同主体特性生成的两个RBR（包含AD和/或PI）的困难程度。不可链接性能被认为是在时间和跨系统间区分两个RBR的困难程度。不可链接性应根据特定的威胁模型进行评估，包括7.5.3中定义的通用模型。因此，不可链接性的强度将直接取决于所考虑的威胁级别。对于被测试的每个生物特征模板保护算法，测试者应通过8.4.2.2或8.4.2.3中描述的方法验证不可链接性，即当攻击者试图确定两个给定的AD和/或PI是由同一主体特性或不同主体特性生成时，通过理论或实验的方法来评估攻击者相对于随机猜测的优势。8.4.2.2理论评估测试者应指定证明不可链接性的理论方法。例如，不可链接性可以通过以下方法证明：a)对于具有有限计算能力的攻击者，可以证明一种计算性质从而得到他相对于随机猜测的优势；b)对于具有无限计算能力的攻击者，可以证明一种信息论性质从而得到他相对于随机猜测的优如果已经理论证明概率（的上限应报告理论评估可靠性的证据。例如，测试者可以在报告中将附录A中列出的会议或期刊上发表的不可链接性的证明作为证据。8.4.2.3实验评估测试者应指定一种测试不可链接性的实验方法，例如，在一种攻击场景中对某些特定攻击者的优于随机猜测的优势进行实验估计。如果概率是通过实验估计的，应报告所采用实验评估的可靠性的证据。这种证据可以是在附录A中列出的会议或期刊上发表的实验评估的描述。8.4.3攻击成功率（SAR可选）8.4.3.1通则在6.4.1中描述的具有独立AD和PI数据库的模板保护系统中，攻击者成功地冒充个体所需要尝试的期望值的上限是1/FAR。在6.4.2或6.4.3中描述的双重模板保护系统中，当攻击者采集要冒充的个体的合法第二重AD时，攻击者成功地冒充个体所需要的期望值的上限也是1/FAR。因此，在这些情况下，SAR宜基于冒充随机选择个体的攻击者仅访问系统一次的假设条件下进行计算。SAR应根据特定威胁模型进行估计，包括7.5.3中定义的通用模型。但是，呈现攻击不在本文范围内，因此攻击成功率不应根据成功进行呈现攻击的困难程度来测量。SAR可以通过下列给出的两种不同方法进行测量。系统评估者应报告所采用的方法。a)分布式攻击成功率：使用这种方法，系统评估者应具体说明和报告攻击者仅呈现自然分布的输入数据所测量的攻击成功率。GB/TXXXXX—XXXX/ISO/IEC30136：2018b)最坏情况下的攻击成功率：使用这种方法，攻击成功率应被测量为攻击者能够任意选择输入数据来冒充个体的误检概率。攻击成功率取决于知情攻击者可获得的信息类型和数量。因此，在攻击成功率报告中应指定所报告的攻击成功率适用的条件，即攻击者假设已获得的AD、PI和秘密参数（如果有）的信息，以便得出在报告中的攻击成功率。对于生物特征验证系统，攻击成功率是指知情攻击者可以生成输入生物特征样本并被目标系统错误地验证为在该系统的生物特征注册数据库中特定注册主体的概率。对于生物特征辩识系统，攻击成功率是指知情的攻击者可以生成输入生物特征样本并被目标系统错误地辩识为在该系统生物特征注册数据库中个体的概率。对于每一个被测试的生物特征模板保护算法，测试者应分别通过8.4.3.2或8.4.3.3中描述的理论或实验评估方法来验证攻击成功率。8.4.3.2理论评估测试者应指定一种验证攻击成功率的理论方法。例如，可以通过以下几种方法验证攻击成功率：a)对于具有有限计算能力的攻击者，可以证明一种计算性质从而限制他的攻击成功率；b)对于具有无限计算能力的攻击者，可以证明一种信息论性质从而限制他的攻击成功率。如果已经理论证明概率（的上限应提供理论评估可靠性的证据。例如，测试者可以在报告中将附录A中列出的会议或期刊上发表的攻击成功率证明作为证据。8.4.3.3实验评估测试者应指定一种测试攻击成功率的实验方法，例如，在一种攻击场景中对某些特定攻击者的成功概率进行实验估计。如果概率是通过实验估计的，则应报告所采用实验评估的可靠性的证据。这种证据可以是在附录A中列出的会议或期刊上发表的实验评估的描述。GB/TXXXXX—XXXX/ISO/IEC30136：2018附录A（资料性）性能评估中使用算法或证明的出版物在识别或保护性能的实验或理论评估中使用的攻击算法的描述或证明宜已经发表。可接受的出版物包括：a)IACR(InternationalAssociationforCryptologicResearch，国际密码研究协会)会议和专题讨论会；b)IEEE（InstituteofElectricalandElectronicsEngineers，电气电子工程师学会）年度会议；c)ACM（AssociationforComputingMachinery，计算机协会）年度会议；d)IAPR（InternationalAssociationforPatternRecognition，国际模式识别协会）年度会e)历史悠久的、有可用会议记录的知名国际会议，其历史至少超过15年；f)知名期刊（至少被DBLP引用）；g)其他标准：由一个公认的标准化组织向公众公开的正式出版标准（英文版）；h)以挑选一种新的先进BTP算法为目的的国际竞赛，该赛事至少进行两年，并且将分析结果和出版物向公众公开。如果一种证明被用于性能评估，应确保安全专家和生物特征识别专家有机会在出版过程中对该证明进行全面的审核。GB/TXXXXX—XXXX/ISO/IEC30136：2018参考文献[1]ISO/IEC19792,Informationtechnology—Securitytechniques—Securityevaluationofbiometrics[2]ISO/IECTR24741，InformationtechnologyBiometricsOverviewandapplication[3]BlantonM.,&GastiP.SecureandEfficientProtocolsforIrisandFingerprintIdentification,EuropeanSymposiumonResearchinComputerSecurity(ESORICS'11),Sep.2011[4]BringerJ.,ChabanneH.,IzabacheneM.,PointchevalD.,TangQ.,ZimmerS.AnApplicationoftheGoldwasser-MicaliCryptosystemtoBiometricAuthentication.ACI/SP2007,pp.96-106[5]CoverT.,&ThomasJ.ElementsofInformationTheory,JohnWileyandSons,2006edition[6]DodisY.,ReyzinL.,SmithA.Fuzzyextractors:Howtogeneratestrongkeysfrombiometricsandothernoisydata,inEurocrypt,ser.LNCS,vol.3027.Springer-Verlag,2004,[7]DoddingtonG.,LiggettW.,MartinA.,PrzybockiM.,ReynoldsD.Sheep,Goats,LambsandWoves:AStatisticalAnalysisofSpeakerPerformanceintheNIST1998SpeakerRecognitionEvaluation,inInt’lConf.SpokenLanguageProcessing(ICSLP),Sydney,1998[8]InumaM.,&OtsukaA.RelationsamongSecurityMetricsforTemplateProtectionAlgorithms,ProceedingsonIEEE6thInternationalConferenceonBiometrics:Theory,Applications,andSystems(BTAS),2013,pp.1-8[9]JuelsA.,&WattenbergM.Afuzzycommitmentscheme,inProc.ACMConf.onComputerandCommunicationsSecurity,1999,pp.28–36[10]JuelsA.,&SudanM.Afuzzyvaultscheme,inIEEEIntl.Symp.onInformationTheory,2002[11]KerckhoffsA.LaCryptographieMilitaire,JournaldesScience