声明
本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
远程人脸识别系统技术要求 安全分级
远程人脸识别系统的功能、性能和安全要求分为基本级和增强级,黑体字为增强级相对于基本级新增的要求,基本级和增强级的简要对应关系参见附录A,系统安全描述参见附录B。
远程人脸识别系统技术要求 功能要求
基本级要求
用户标识
应从以下方面设计和实现系统的身份标识功能:
- 所有用户在用户登记时都进行用户标识;
- 应具唯一性;
- 应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
人脸图像采集与处理
人脸图像采集与处理应具有以下功能:
- 应防止人脸数据采集过程中个人信息等数据被泄露;
- 宜对采集到的数据进行完整性、一致性校验;
- 宜跟踪和记录数据采集过程,支持人脸采集数据的可追溯性;
- 宜确保采集数据的真实性;
- 采集后应清除残留信息。
人脸图像质量判断
客户端和服务器端均应具备人脸采集样本质量判断的能力,质量判断应至少包括以下几个方面:
- 人脸图片的模糊程度;
- 人脸图片的明暗程度;
- 人脸图片的人脸角度;
- 人脸图片的完整程度。
活体检测
主动配合式活体检测
应支持根据检测主体的主动式反应进行活体人脸检测,通过指令要求用户进行相关动作并判断人脸的真实有效性,指令包括但不限于以下方式:
- 点头、抬头、左右转头、张嘴、眨眼等;
- 唇语、说指定的数字或者文字等。
被动无交互式活体检测
应支持检测主体无需主动配合动作模式下的活体人脸检测,包括但不限于以下方式:
- 可见光下根据主体的脸部细节微小变化判断是否为活体;
- 根据检测主体接收特定波段光源照射后产生的反馈,进而判断是否为活体。
- 采用近红外光源照射人脸,通过采集人脸在近红外光源下的图像视频进行人脸肤质材料的分析,从而判定是否为活体。
- 采用多摄像头、深度传感器等传感器设备,通过采集人脸的三维立体信息进行动态立体重建、动态变焦等三维分析,从而判定是否为活体。
人脸数据注册管理
人脸数据注册
注册方式包括现场注册、远程注册两种方式。
若用户使用客户端设备进行注册时,注册过程应在可信环境中进行。
人脸数据注销
人脸数据注销应满足以下要求:
- 注销参与者是有关闭意愿的用户本人。
- 在注销前对授权注销者进行身份验证。
- 注销后,存储器中的人脸数据应销毁,不可重复使用,下次使用需重新采集。
人脸数据注册加载
人脸数据注册过程中加载注册数据时,本项功能应:
- 建立不同数据源、不同安全域之间采集数据加载安全策略、加载方式和访问控制机制;
- 确保人脸数据加载过程中的数据正确性和一致性;
- 确保人脸数据加载过程中数据的安全保护;
- 记录并保存人脸数据加载过程中人脸等个人信息数据的处理过程。
用户鉴别
鉴别时机
应在人脸识别系统安全功能实施所要求的动作之前,先对提出该动作要求的用户进行鉴别,未通过鉴别者不予执行。
人脸验证
若提供人脸验证功能,则应具有以下功能:
- 进行人脸验证时,应给出用户标识UID;
- 根据所给用户身份标识信息,检索出该用户的人脸模板;
- 执行数据包验证功能,检验用户人脸模板的完整性;
- 将实时采集并生成的人脸样本特征与所检索出的该用户的人脸模板进行比对,产生用于用户验证的比对相似度值;
- 根据比对阈值输出人脸识别判定;
- 人脸验证后应清除残留信息。
人脸辨识
若提供人脸辨识功能,则应具有以下功能:
- 将实时采集的并生成的人脸样本特征与已存贮的人脸模板逐一进行比对,产生用于人脸辨识的比对相似度值;
- 根据比对阈值输出人脸识别判定;
- 人脸辨识后应清除残留信息。
一次性鉴别机制
应防止与人脸识别身份鉴别有关的鉴别数据的重用。
防伪造
系统应检测并防止由任何用户伪造的鉴别数据的使用,包括但不限于:
- 防复制伪造:应能检测或防止对当前用户识别数据的复制和非授权保存;
- 防照片伪造:应能检测或防止使用照片伪造识别图像(静态攻击:打印的普通人脸照片、纸质高清人脸照片、手机屏幕重放的人脸照片攻击);
- 纸质面具伪造:应能检测或防止使用绝大多数人脸纸质面具的仿冒行为;
- 上述攻击或非授权操作事件时应取消服务,并产生报警。
决策反馈保护
人脸识别决策反馈保护应满足以下要求:
- 根据人脸识别决策策略,返回人脸识别比对结果,并保护反馈结果的完整性;
- 识别过程中,应避免提供给用户的反馈信息泄露用户的人脸特征信息数据;
- 应只返回是否通过,不能反馈识别分数,防止爬山攻击。
秘密的规范
应能提供机制以验证所提取的人脸特征模板是否满足相应的质量度量。
当用来对用户身份鉴别的人脸特征模板等秘密信息由人脸识别系统产生时,系统应可生成符合秘密信息质量要求的秘密信息。秘密信息质量包括模板大小等。秘密信息质量量度的要求由安全管理员制定。
鉴别失败
基本要求
通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
失败判定
系统在识别过程中,当出现以下情形时,判断为识别失败:
- 设备故障:人脸采集器故障,不能成功捕捉图像;
- 像质障碍:捕捉的人脸图像质量不适于生成人脸模板或生成人脸样本;
- 超时断开:终端操作超时断开;
- 数据库故障:人脸数据库故障且在规定尝试次数内未能消除;
- 尝试超次:对人脸验证与人脸辨识,应分别设定警告次数阈值,连续警告次数大于该阈值时视作失败。
失败处理
人脸识别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况,并进行预先定义的处理。对失败的处理,应提供以下功能:
- 制定识别失败返回值表;
- 在出现识别失败情况时,返回对应的错误代码或错误值;
- 针对识别失败记录事件日志;
- 制定明确的识别失败处理策略,进行警告与报警;
- 针对不同识别失败原因进行相应处理。
警告与报警功能
系统的警告与报警应满足以下要求:
- 进行人脸验证时,如用户不是所给身份标识信息或其他用户身份信息的持有者,或用户已被删除,或在进行人脸辨识时,已存贮的人脸模板中无用户的候选者,应给出警告信息;
- 检测出伪造识别图像、识别数据,或复制、非授权保存图像、数据,或非活体人脸,或非授权数据库操作时应给出报警信息。
增强级要求
用户标识
应从以下方面设计和实现系统的身份标识功能:
- 所有用户在用户登记时都进行用户标识;
- 应具唯一性;
- 应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
人脸图像采集与处理
本项功能应:
- 采集前客户端、服务器端应进行双向鉴别;
- 采集活动应由授权模块发起,并确保采集数据的真实性;
- 采集过程应在可信环境中进行,防止人脸数据采集过程中个人信息等数据不被泄露;
- 应对采集到的数据进行完整性、一致性校验;
- 应跟踪和记录数据采集过程,支持人脸采集数据的可追溯性;
- 采集设备应具备数据鉴别能力,保证原始人脸数据的真实性;
- 采集后应清除残留信息。
人脸图像质量判断
客户端和服务器端均应具备人脸质量判断的能力,质量判断应至少包括以下几个方面:
- 人脸图片的模糊程度;
- 人脸图片的明暗程度;
- 人脸图片的人脸角度;
- 人脸图片中人脸的大小;
- 人脸图片的完整程度。
活体检测
主动配合式活体检测
应支持根据检测主体的主动式反应进行活体人脸检测,通过指令要求用户进行相关动作并判断人脸的真实有效性,指令包括但不限于以下方式:
- 点头、抬头、左右转头、张嘴、眨眼等;
- 唇语、说指定的数字或者文字等。
被动无交互式活体检测
应支持检测主体无需主动配合动作模式下的活体人脸检测,包括但不限于以下方式:
- 可见光下根据主体的脸部细节微小变化判断是否为活体;
- 根据检测主体接收特定波段光源照射后产生的反馈,进而判断是否为活体。
- 例如采用近红外光源照射人脸,通过采集人脸在近红外光源下的图像视频进行人脸肤质材料的分析,从而判定是否为活体。
- 例如采用多摄像头、深度传感器等传感器设备,通过采集人脸的三维立体信息进行动态立体重建、动态变焦等三维分析,从而判定是否为活体。
人脸数据注册管理
人脸数据注册
注册方式包括当场注册、远程注册两种方式。
注册过程应在可信环境中进行,用户使用的应是可信的设备。
人脸数据注销
人脸数据注销应满足以下要求:
- 注销参与者是有关闭意愿的用户本人。
- 在注销前对授权注销者进行身份验证。
- 注销后,存储器中的人脸数据必须销毁,不可重复使用,下一次使用需重新采集。
人脸数据注册加载
人脸数据注册过程中加载注册数据时,本项功能应:
- 建立不同数据源、不同安全域之间采集数据加载安全策略、加载方式和访问控制机制;
- 确保人脸数据加载过程中的数据正确性和一致性;
- 确保人脸数据加载过程中数据的安全保护;
- 记录并保存人脸数据加载过程中人脸等个人信息数据的处理过程;
- 应建立数据加载的故障恢复方法和机制,具备加载数据一致性检测及问题控制的处理能力。
用户鉴别
鉴别时机
应在人脸识别系统安全功能实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别。
人脸验证
若提供人脸验证功能,则应具有以下功能:
- 进行人脸验证时,应给出用户标识UID;
- 根据所给用户身份标识信息,检索出该用户的人脸模板;
- 执行数据包验证功能,检验用户人脸模板的完整性;
- 执行数据包验证功能,检验用户采集样本的完整性;
- 将实时采集并生成的人脸样本特征与所检索出的该用户的人脸模板进行比对,产生用于用户验证的比对相似度值;
- 根据比对阈值输出人脸识别判定;
- 人脸验证后应清除残留信息。
人脸辨识
若提供人脸辨识功能,则应具有以下功能:
- 执行数据包验证功能,检验用户采集样本的完整性;
- 将实时采集的并生成的人脸样本特征与已存贮的人脸模板逐一进行比对,产生用于人脸辨识的比对相似度值。
- 根据比对阈值输出人脸识别判定;
- 人脸辨识后应清除残留信息。
一次性鉴别机制
应防止与人脸识别身份鉴别有关的鉴别数据的重用。
多机制鉴别
应提供除人脸识别身份鉴别机制以外的其他身份鉴别机制,采用口令、令牌、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制。
防伪造
系统应检测并防止由任何用户伪造的鉴别数据的使用,包括但不限于:
- 防复制伪造:应能检测或防止对当前用户识别数据的复制和非授权保存;
- 防照片伪造:应能检测或防止使用照片伪造识别图像(静态攻击:打印的普通人脸照片、纸质高清人脸照片、手机屏幕重放的人脸照片攻击);
- 防纸质面具伪造:应能检测或防止使用绝大多数人脸纸质面具的仿冒行为;
- 防视频伪造:应能检测或防止使用拼接、替换、翻拍视频进行伪造;
- 防人脸CG合成伪造:应能检测或防止使用CG技术将单张或多张人脸图像合成人脸视频或3D人脸模型进行伪造;
- 防假体面具伪造:应能检测或防止使用绝大多数人脸3D假体面具(树脂面具、硅胶面具)的仿冒行为;
- 上述攻击或非授权操作事件时应取消服务,并产生报警。
决策反馈保护
人脸识别决策反馈保护应满足以下要求:
- 根据人脸识别决策策略,返回人脸识别比对结果,并保护反馈结果的完整性;
- 识别过程中,应避免提供给用户的反馈信息泄露用户的人脸特征信息数据。
秘密的规范
应能提供机制以验证所提取的人脸特征模板是否满足相应的质量度量。
当用来对用户身份鉴别的人脸特征模板等秘密信息由人脸识别系统产生时,系统应可生成符合秘密信息质量要求的秘密信息。秘密信息质量包括模板大小等。秘密信息质量量度的要求由安全管理员制定。
鉴别失败
基本要求
通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理
失败判定
系统在识别过程中,当出现以下情形中的一项或多项时,应能准确地判断出识别失败:
- 设备故障:人脸采集器故障,不能成功捕捉图像;
- 像质障碍:捕捉的人脸图像质量不适于生成人脸模板或生成人脸样本;
- 超时断开:终端操作超时断开;
- 数据库故障:人脸数据库故障且在规定尝试次数内未能消除;
- 尝试超次:对人脸验证与人脸辨识,应分别设定警告次数阈值,连续警告次数大于该阈值时视作失败。
失败处理
人脸识别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况,并进行预先定义的处理。对失败的处理,应提供以下功能:
- 制定识别失败返回值表;
- 在出现识别失败情况时,返回对应的错误代码或错误值;
- 针对识别失败记录事件日志;
- 制定明确的识别失败处理策略,进行警告与报警;
- 针对不同识别失败原因进行相应处理。
警告与报警功能
系统的警告与报警应满足以下要求:
- 进行人脸验证时,如用户不是所给身份标识信息或其他用户身份信息的持有者,或用户已被删除,或在进行人脸辨识时,已存贮的人脸模板中无用户的候选者,应给出警告信息;
- 检测出伪造识别图像、识别数据,或复制、非授权保存图像、数据,或非活体人脸,或非授权数据库操作时应给出报警信息。
总结
更多内容 可以 点击 访问 github5.com 网站的报告 进一步学习
