CHỦ ĐỀ NGHIÊN CỨU HỆ THỐNG BẢO MẬT SINH TRẮC HỌC “BIOMETRIC SYSTEM SECURITY” Giảng viên hướng dẫn PGS TS Lê Hoàng Thái Sinh viên thực hiện Nguyễn Minh Đoan Mã số sinh viên N18DCCN044 Lớp D18CQCN02 N H.
Trang 1CHỦ ĐỀ NGHIÊN CỨU:
HỆ THỐNG BẢO MẬT SINH TRẮC HỌC
“BIOMETRIC SYSTEM SECURITY”
Sinh viên thực hiện: Nguyễn Minh Đoan
Trang 2MỤC LỤC TRA CỨU
CHƯƠNG I.GIỚI THIỆU CHUNG 2
CHƯƠNG II TỔNG QUAN VỀ BẢO MẬT SINH TRẮC HỌC 3
CHƯƠNG III CÁC LỖ HỔNG TRONG HỆ THỐNG SINH TRẮC HỌC 5
1 Xác Minh Danh Tính - Identity Claim (a): 5
2 Sự Trình Diện - Presentation (b): 6
3 Cảm Biến - Sensor (c): 6
4 Phân Đoạn - Segmentation (d): 6
5 Khai Thác Tính Năng - Feature Extraction (e): 6
6 Kiểm Soát Chất Lượng - Quality Control (f): 7
7 Tạo Mẫu - Template Creation (g): 8
8 Lưu Trữ Dữ Liệu - Data Storage (h): 8
9 Sự Phụ Hợp - Matching (i): 8
10 Sự Quyết Định - Decision (j): 9
11 Cây Tấn Công - Attack Trees: 9
CHƯƠNG IV BẢO MẬT MẪU SINH TRẮC HỌC 10
1.Tái Tạo Hình Ảnh Từ Các Mẫu - Image Regeneration from Templates: 10
2.Tái Tạo Hình Ảnh Từ Những Điểm Phù Hợp - Image Regeneration from Match Scores: 11
CHƯƠNG V CÁC LƯỢC ĐỒ MÃ HÓA SINH TRẮC HỌC 14
1.Sinh Trắc Học Có Thể Thu Hồi - Revocable Biometrics: 14
2.Mã Hóa Sinh Trắc Học - Biometrics Encryption: 15
3.Các Thước Đo Nội Dung Thông Tin - Measures of biometric information content: 16
CHƯƠNG VI.THẢO LUẬN: 17
CHƯƠNG VII.KẾT LUẬN: 18
Bảo mật sinh trắc học là gì? 18
Hệ thống bảo mật sinh trắc học mang lại những lợi ích gì? 18
Có nhược điểm nào đối với các giải pháp bảo mật sinh trắc học không? 19
TÀI LIỆU THAM KHẢO 21
Trang 3CHƯƠNG I.GIỚI THIỆU CHUNG
- Bảo mật là phương pháp bảo vệ khỏi rủi ro hoặc nguy hiểm, trong khi bảo mật máy tính
và dữ liệu là “khả năng của một hệ thống để bảo vệ thông tin và tài nguyên hệ thống trên nguyên tắc tôn trọng bí mật và tính toàn vẹn”
- Muốn định nghĩa Hệ Thống bảo mật sinh trắc học rất khó, vì cách Hệ Thống bảo mật sinh
trắc học khác với phương thức bảo mật mã hóa và máy tính truyền thống Ẩn trong tất cả các
định nghĩa là hình ảnh của một kẻ tấn công; tuy nhiên, sinh trắc học luôn phải được giả định là hoạt động trong một (ít nhất là một phần nào đó) môi trường thù địch - sau cùng, tại sao một thử nghiệm danh tính nếu tất cả có thể được tin cậy? Khả năng của một hệ thống sinh trắc học để chống lại những kẻ tấn công “không nỗ lực” được đo lường bằng tỷ lệ chấp nhận sai (FAR) Kẻ tấn công sau đó có thể thay đổi cách trang điểm, tóc trên khuôn mặt và đeo kính, hoặc mài mòn
và cắt các dấu vân tay để tránh bị nhận ra; những kẻ tấn công đã chuẩn bị để cố gắng nhiều hơn
có thể sử dụng giả mạo Chương này đề cập đến các cuộc tấn công không phải là giả mạo, nhưng
đó là những mục tiêu xử lý trong hệ thống sinh trắc học
- Chúng tôi xác định Hệ Thống bảo mật sinh trắc học bởi sự vắng mặt của nó Vì sinh trắc
học là "Tự động nhận dạng các cá nhân dựa trên các đặc điểm hành vi và đặc điểm sinh học của họ", một lỗ hổng trong bảo mật sinh trắc học dẫn đến kết quả không chính xác, công nhận hoặc không công nhận một cách chính xác các cá nhân Định nghĩa này bao hàm các phương pháp chấp nhận sai một cá nhân (tái tạo khuôn mẫu), tác động hiệu suất tổng thể của hệ thống (từ chối dịch vụ) hoặc để tấn công một hệ thống khác thông qua dữ liệu bị rò rỉ (đánh cắp danh tính) Các
lỗ hổng được đánh giá dựa trên mức độ rõ ràng hoặc các tuyên bố về thiết kế ngầm
Trang 4CHƯƠNG II TỔNG QUAN VỀ BẢO MẬT SINH TRẮC HỌC
- Thách thức thiết kế chính cho các thuật toán sinh trắc học là sinh trắc học của mọi người
có các đặc trưng khác nhau, tất cả chúng đều có những thay đổi theo thời gian và hoàn cảnh (khi cắt ở ngón tay, khuôn mặt có nếp nhăn) và với môi trường hiển thị và cảm biến (hiện tượng bám bẩn trên dấu vân tay, sự chiếu sáng và quay của mống mắt khi nhận diện) Một thuật toán sinh trắc học phải loải bỏ các thay đổi "tự nhiên" và môi trường đối với các mẫu, trong khi tập trung vào những điểm khác biệt giữa các cá nhân
- Phần này tập trung về các lỗ hổng hệ thống là kết quả quả của những thử thách sinh trắc học cốt lõi này Vì hệ thống sinh trắc học được triển khai trên máy chủ, chúng dễ bị ảnh hưởng bởi tất cả các cuộc tấn công mật mã, vi rút và các cuộc tấn công khác gây hư hại hệ thống máy tính hiện đại; chúng tôi chỉ ra những vấn đề này, nhưng không đề cập đến chúng chi tiết
- Lỗ hổng hệ thống sinh trắc học có thể được phân loại như sau:
+ Đánh lừa (Circumvention) là một cuộc tấn công giành quyền truy cập vào các tài
nguyên được bảo vệ bằng cách một biện pháp kỹ thuật để lật đổ, thay thế dữ liệu hệ thống sinh trắc học
+ Thu thập chuyển đổi (covert acquisition) hay nhiễm bẩn (contamination) là việc sử
dụng giới hạn thông tin sinh trắc học được thu thập từ những người dùng hợp pháp để truy cập vào hệ thống
+ Thông đồng và Ép buộc (Collusion and Coercion) là các lỗ hổng của hệ thống sinh
trắc học từ những người sử dụng hệ thống bắt chước hợp pháp Sự khác biệt là, trong
sự thông đồng, người dùng sẵn sàng (có thể bằng hối lộ), trong khi người dùng bị ép buộc thì không (thông qua một mối đe dọa thể chất hoặc tống tiền)
+ Từ chối Dịch vụ (DoS- Denial of Service) là một cuộc tấn công ngăn cản việc sử
dụng hợp pháp hệ thống sinh trắc học Điều này có thể làm chậm hoặc dừng hệ thống (thông qua quá tải các yêu cầu mạng) hoặc làm giảm hiệu suất
+ Từ chối (Repudiation) là trường hợp kẻ tấn công từ chối truy cập vào hệ thống Một
cách tiếp cận để giúp ngăn chặn sự từ chối sẽ là lưu trữ các hình ảnh đã trình bày để phân tích pháp y sau này, tuy nhiên, nhu cầu này phải được xem xét với lo ngại về quyền riêng tư của người dùng
- Một lớp lỗ hổng sinh trắc học khác là những lỗ hổng mà hệ thống người dùng phải đối mặt, điều này ảnh hưởng đến quyền riêng tư của người dùng và có thể dẫn đến hành vi trộm cắp danh tính hoặc sự thỏa hiệp hệ thống
Trang 5+Sinh trắc học không bí mật(Biometrics are not secret): Công nghệ có sẵn cho các
khuôn mặt hình ảnh,dấu vân tay, mống mắt và ghi âm giọng nói hoặc chữ ký - mà không cần sự đồng ý hoặc biết đên của chủ thể
+ Không thể thu hồi sinh trắc học(Biometrics cannot be revoked): Một tính năng sinh
trắc học được liên kết vĩnh viễn với một cá nhân và một mẫu sinh trắc học bị xâm phạm sẽ ảnh hưởng tới tất cả các ứng dụng sử dụng sinh trắc học đó
+ Sinh trắc học có nhiều mục đích sử dụng (Biometrics have secondary uses): Nếu
một cá nhân sử dụng cùng một tính năng sinh trắc học trong nhiều ứng dụng, thì người dùng có thể được theo dõi nếu các tổ chức chia sẻ dữ liệu sinh trắc học
Trang 6CHƯƠNG III CÁC LỖ HỔNG TRONG HỆ THỐNG
SINH TRẮC HỌC
Để phân loại lỗ hổng bảo mật sinh trắc học, điển hình là nghiên cứu mỗi hệ thống con và kết nối
với nhau trong một sơ đồ hệ thống (Hình 3.1)
Hình 3.1 Sơ đồ khối hệ thống sinh trắc học
1 Xác Minh Danh Tính - Identity Claim (a):
Xác minh danh tính không phải là đặc tính sinh trắc học, nhưng là một phần thiết yếu
của hầu hết các hệ thống bảo mật sinh trắc học Xác minh danh tính chủ yếu dựa trên các
liên kết với các tài liệu nhận dạng của Chính phủ đã ban hành và do đó dễ bị ảnh hưởng
bởi mọi hình thức gian lận các tài liệu đó
Trang 72 Sự Trình Diện - Presentation (b):
Một cuộc tấn công vào cảm biến sinh trắc học đưa một mẫu sinh trắc sai vào
hệ thống Các cuộc tấn công như vậy được thiết kế để tránh bị phát hiện (phủ định sai) hoặc giả dạng là một (dương tính giả) Cuộc tấn công thứ hai thường được gọi là giả mạo
Rõ ràng, tránh bị phát hiện dễ hơn giả mạo, vì các tính năng chỉ cần được thay đổi đủ để gây nhầm lẫn giữa phân đoạn hoặc mô-đun trích xuất tính năng Kiến thức về các chi tiết của các thuật toán có thể làm cho các cuộc tấn công như vậy dễ dàng hơn; ví dụ, xoay đầu
sẽ làm nhầm lẫn không mong đợi nhiều thuật toán mống mắt bởi hình ảnh xoay nhiều hơn một vài độ
3 Cảm Biến - Sensor (c):
Các cuộc tấn công vào cảm biến sinh trắc học bao gồm bất kỳ kỹ thuật nào phá hủy hoặc đặt lại phần cứng của cảm biến Trong một số trường hợp, việc lật ngược cảm biến cho phép bỏ qua hệ thống sinh trắc học
Trong nhiều trường hợp, một cuộc tấn công vào cảm biến sẽ ở dạng phát lại.Kết nối giữa cảm biến sinh trắc học và hệ thống sinh trắc học bị lật đổ để cho phép nhập tín hiệu
và hình ảnh tùy ý từ những người dùng hợp pháp được nhập vào hệ thống Để có được các tín hiệu, một số chiến lược có thể được tuyển dụng Nghe trộm yêu cầu ẩn các công
cụ ghi âmvà hệ thống dây của cảm biến Đối với sinh trắc học sử dụng thẻ thông minh không tiếp xúc như việc nghe trộm trở nên khả thi hơn Một cách tiếp cận khác là ghi lại tín hiệu từ một cảm biến dưới sự kiểm soát của kẻ tấn công
4 Phân Đoạn - Segmentation (d):
Phân đoạn sinh trắc học trích xuất hình ảnh hoặc tín hiệu quan tâm từ nền và việc phân đoạn không thành công có nghĩa là hệ thống không phát hiện ra vị trí phù hợp của đặc trưng sinh trắc học Các cuộc tấn công phân đoạn có thể được sử dụng để thoát khỏi
sự giám sát hoặc để tạo ra một cuộc tấn công từ chối dịch vụ (DoS)
Đối với ví dụ, hãy xem xét một hệ thống giám sát trong đó thuật toán nhận diện khuôn mặt giả sử khuôn mặt có hai mắt Bằng cách che mắt, một người sẽ không bị phát hiện trong hệ thống sinh trắc học
5 Khai Thác Tính Năng - Feature Extraction (e):
Trang 8Các cuộc tấn công của mô-đun trích xuất tính năng có thể được sử dụng để trốn thoát hoặc để tạo ra những kẻ giả mạo Kiến thức về các thuật toán trích xuất tính năng có thể được sử dụng để thiết kế các tính năng đặc biệt trong các mẫu sinh trắc học được trình bày để gây ra các tính năng được tính toán không chính xác
Đặc điểm hóa các thuật toán trích xuất tính năng:
Để thực hiện một cuộc tấn công như vậy, nó là cần thiết để khám phá các ký tự của thuật toán trích xuất đối tượng địa lý Hầu hết các nhịp điệu nhận dạng sinh trắc học hiệu suất cao hiện tại là độc quyền, nhưng thường dựa trên các tài liệu khoa học đã xuất bản,mà
có thể cung cấp thông tin như vậy
Sinh trắc học "vườn thú":
Có sự khác biệt lớn giữa các cá nhân về độ chính xác và độ tin cậy của các tính năng sinh trắc học được tính toán của họ Doddington và cộng sự đã phát triển một phân loại cho các lớp người dùng khác nhau Cừu là loài chiếm ưu thế, và hệ thống sinh trắc học hoạt động tốt cho họ Dê rất khó nhận ra.Chúng ảnh hưởng xấu đến hiệu suất của hệ thống, chiếm một phần đáng kể của FRR Những con cừu rất dễ bắt chước - một cá thể được chọn ngẫu nhiên là có khả năng được xác định là một con cừu non Chúng chiếm một phần đáng kể Sói có nhiều khả năng được xác định là các cá thể khác, và chiếm một phần lớn FAR Sự tồn tại của cừu và sói đại diện cho một lỗ hổng đối với hệ thống sinh trắc học Nếu những con sói có thể được xác định, họ có thể được tuyển dụng để đánh bại các
hệ thống; tương tự, nếu cừu con có thể được xác định trong quần thể người dùng hợp pháp, thông qua tương quan hoặc thông qua trực tiếp đặc điểm quan sát được, chúng có thể là mục tiêu của các cuộc tấn công
6 Kiểm Soát Chất Lượng - Quality Control (f):
Đánh giá chất lượng mẫu sinh trắc học là quan trọng để đảm bảo sinh trắc học thấp
tỷ lệ lỗi Hầu hết các hệ thống, đặc biệt là trong quá trình tuyển sinh, xác minh chất lượng của hình ảnh đầu vào Đánh giá chất lượng sinh trắc học là một lĩnh vực nghiên cứu tích cực, và các cách tiếp cận hiện tại hầu như chỉ là thuật toán cụ thể
Các cuộc tấn công vào thuật toán kiểm soát chất lượng có hai loại: phân loại hình ảnh tốt là kém, và phân loại hình ảnh chất lượng thấp là tốt Trong trường hợp trước đây, mục tiêu của cuộc tấn công sẽ là để tránh bị phát hiện, vì hình ảnh kém sẽ không được sử dụng cho sự phù hợp Trong trường hợp sau, hình ảnh chất lượng thấp sẽ được ghi danh Những hình ảnh như vậy có thể buộc hạ thấp ngưỡng đối sánh nội bộ (đối với hình ảnh đó hoặc
Trang 9trong một số trường hợp, trên toàn cầu) Một kịch bản như vậy sẽ tạo ra "cừu non" trong
cơ sở dữ liệu và tăng FAR hệ thống
7 Tạo Mẫu - Template Creation (g):
Các tính năng sinh trắc học được mã hóa thành một mẫu, một bản đại diện kỹ thuật
số nhỏ gọn (phù hợp với tiêu chuẩn hoặc độc quyền) của các tính năng thiết yếu của hình ảnh minh họa
tương tác là rất khó, ngay cả khi tất cả các nhà cung cấp đều tuân thủ các tiêu chuẩn
8 Lưu Trữ Dữ Liệu - Data Storage (h):
Các mẫu sinh trắc học đã đăng ký được lưu trữ để xác minh hoặc nhận dạng trong tương lai Các lỗ hổng của lưu trữ mẫu liên quan đến việc sửa đổi lưu trữ (thêm,sửa đổi hoặc loại bỏ các mẫu), sao chép dữ liệu mẫu cho các mục đích sử dụng thứ cấp(đánh cắp danh tính), hoặc sửa đổi danh tính mà sinh trắc học được chỉ định.Lưu trữ có thể có nhiều dạng, bao gồm cơ sở dữ liệu (cục bộ hoặc phân tán), trên giấy tờ tùy thân (vào thẻ thông minh hoặc mã vạch 2D ) hoặc trên thiết bị điện tử (mã thông báo cứng , máy tính xách tay, điện thoại di động hoặc module truy cập cửa) Dữ liệu mẫu có thể ở dạng văn bản rõ ràng, được mã hóa hoặc được ký điện tử
Truyền tiêu bản:
Môi trường truyền giữa nơi lưu giữ tiêu bản và đối sánh rất dễ bị tổn thương đối với việc lưu trữ tiêu bản Trong nhiều trường hợp, các cuộc tấn công chống lại việc truyền dữ liệu tấm tem có thể dễ dàng hơn so với việc lưu trữ mẫu
9 Sự Phụ Hợp - Matching (i):
Trình so khớp sinh trắc học tính toán điểm tương tự liên quan đến khả năng
rằng hai mẫu sinh trắc học là của cùng một cá nhân Các cuộc tấn công chống lại
trình so khớp hơi mờ mịt, nhưng có thể có trong một số trường hợp nhất định Đối với
hệ thống tổng hợp sinh trắc học, điểm cực hạn trong một phương thức sinh trắc học có thể vượt quá đầu vào từ các phương thức khác Đối sánh sinh trắc học dựa trên
Trang 10về các chiến lược phân biệt đối xử của Fisher tính toán các ngưỡng toàn cầu dựa trên hiệp phương sai lớp hai tuổi, có thể được sửa đổi bằng cách đăng ký được chế tạo cụ thể
11 Cây Tấn Công - Attack Trees:
Các hệ thống phức tạp có nhiều lỗ hổng bảo mật và khả năng khai thác một lỗ hổng nhất định phụ thuộc vào một chuỗi các yêu cầu Các lỗ hổng bảo mật có mức độ nghiêm trọng khác nhau và có thể được bảo vệ chống lại bằng các biện pháp đối phó khác nhau, chẳng hạn như: giám sát đăng ký hoặc xác minh, phát hiện trực tiếp, ẩn danh mẫu, lưu trữ
và vận chuyển mật mã và các biện pháp bảo mật mạng theo phân đoạn
Các biện pháp đối phó khác nhau về thời gian đáo hạn, chi phí, và hiệu quả về chi phí
Để phân tích một kịch bản phức tạp như vậy, các yếu tố có thể được tổ chức thành các cây tấn công
Các cây tấn công có thể được phân tích bằng cách chỉ định mỗi nút với tính khả thi, yêu cầu đối với thiết bị đặc biệt hoặc chi phí
Kỹ thuật cây tấn công để Hệ Thống bảo mật sinh trắc học đã được phát triển của Cukic
và Bartlow Hình 3.2 cho thấy một phần của cây tấn công của để tái tạo tiêu bản
Hình 3.2 Minh họa 1 phần tấn công phần cây
Trang 11CHƯƠNG IV BẢO MẬT MẪU SINH TRẮC HỌC
Các mẫu sinh trắc học mang thông tin sinh trắc học quan trọng nhất và do đó thể hiện một mối quan tâm quan trọng đối với quyền riêng tư và bảo mật của hệ thống Các mối quan tâm cơ bản là các mẫu có thể được sử dụng để giả mạo chủ sở hữu của tài liệu hoặc để đánh cắp danh tính đối với một hệ thống khác Nhà cung cấp thuật toán sinh trắc học phần lớn đã tuyên bố rằng không thể hoặc không khả thi để tạo lại hình ảnh từ các tiêu bản ; do đó, các mẫu sinh trắc học đôi khi được coi là là dữ liệu không thể nhận dạng một cách hiệu quả, giống như một hàm băm mật khẩu
Những tuyên bố này được hỗ trợ bởi:
1) mẫu ghi lại các tính năng (chẳng hạn như dấu vân tay minu tiae) và không phải gốc của hình ảnh 2) mẫu thường được tính toán bằng cách sử dụng chỉ một phần nhỏ của hình ảnh, 3) mẫu nhỏ - vài trăm byte - nhỏ hơn nhiều so với hình ảnh mẫu và 4) tính chất độc quyền của định dạng lưu trữ làm cho các mẫu không thể bị “hack” Trong phần này, chúng tôi xem xét hai con đường để tạo lại hình ảnh từ các mẫu: 1) từ mẫu trực tiếp, dựa trên kiến thức về các tính năng và 2) từ đối sánh điểm các giá trị từ một thuật toán sinh trắc học
1.Tái Tạo Hình Ảnh Từ Các Mẫu - Image Regeneration from Templates:
Mục tiêu của việc tái tạo hình ảnh từ mẫu sinh trắc học là tính toán một hình ảnh phù hợp nhất với các giá trị tính năng trong mẫu Để mà tái tạo hình ảnh theo cách này, cần phải
có sẵn các mẫu ở dạng không mã hóa Do đó, việc mã hóa lưu trữ dữ liệu mẫu không cản trở lỗ hổng này; tuy nhiên, các mẫu phải có sẵn ở dạng không được mã hóa để thực hiện đối sánh và dễ bị tấn công vào thời điểm đó
Công việc đã xuất bản về tái tạo hình ảnh từ các mẫu dành cho dấu vân tay, vì lý do rằng sự tái tạo là không đáng kể đối với hầu hết các nhận dạng mống mắt và khuôn mặt mẫu, trong đó các tính năng của mẫu dựa trên chuyển đổi hình ảnh không gian con Nếu
vectơ đặc trưng, y, được tính từ một hình ảnh, x bằng cách sử dụng một phép biến đổi, thì
có thể được tính gần đúng bằng y = Hx đối với ma trận tích chập, H, sau đó một hình ảnh tái tạo, ˆx, có thể được tính từ ˆx = H † y bằng cách sử dụng nghịch đảo giả H †
Hill đã phát triển một cách tiếp cận đặc biệt để tính toán một hình ảnh từ mẫu của một nhà cung cấp hệ thống vân tay không xác định Phần mềm được thiết kế để tạo hình ảnh mẫu đường có đủ sự giống với hình ảnh bên dưới mô hình sườn núi để được xác minh
