評估生物特徵辨識解鎖安全性

裝置導入方式必須符合下列規定，才能與 Android 相容 安裝 Android 相容性定義說明文件 (CDD) 所述的要求。 Android CDD 會評估 透過架構安全機制實作生物特徵辨識技術 假冒性。

• 架構安全性：生物特徵辨識的韌性 即可抵禦核心或平台入侵事件如果核心和平台妥協不會提供讀取原始生物特徵辨識資料或將合成資料插入管道的能力，以影響驗證決定，則管道就會視為安全。
• 生物特徵辨識安全性效能：生物特徵辨識安全性 成效是依據「接受度」 費率 (SAR)、虛假接受率 (FAR) 和偽裝 (如適用) 生物特徵辨識的接受率 (IAR)。SAR 是 Android 9 中推出的指標，用於測量生物特徵辨識系統抵禦實體呈現攻擊的彈性。測量生物特徵辨識時，請遵循下列規範。

Android 使用三種類型的指標來評估生物特徵辨識安全性 才需進行

• 每秒接受率 (SAR)：定義 生物特徵辨識模型接受先前記錄到的已知良好樣本的機率 舉例來說，如果使用語音解鎖功能，系統會評估使用錄音檔「Ok, Google」的情況下，解鎖使用者手機的機率。我們稱這種攻擊為仿冒攻擊。也稱為冒用者攻擊呈現比對率 (IAPMR)。
• 冒用者接受率 (IAR)：定義生物特徵辨識模型接受模仿已知良好樣本輸入內容的機率。舉例來說，在 Smart Lock 信任的語音 (語音解鎖) 機制中，這項指標會評估使用者聲音 (使用類似的音調和口音) 被模仿的頻率，以便解鎖裝置。三 稱為假冒攻擊。
• 假接受率 (FAR)：定義如何判定 常常被模型錯誤地接收到隨機選擇的錯誤輸入資料。雖然這項指標很實用，但無法提供足夠資訊，評估模型抵禦有針對性攻擊的程度。

信任的代理程式

Android 10 改變了信任代理程式的行為。信任的代理程式無法解鎖裝置，只能延長已解鎖裝置的解鎖時間。信任的臉孔已在 Android 10 中淘汰。

生物特徵辨識類別

系統會根據架構安全性和偽造可行性測試的結果，將生物特徵辨識安全性分類。生物特徵辨識實作項目可分為第 3 級 (舊稱強式)、第 2 級 (舊稱弱式) 或第 1 級 (舊稱便利性)。下表說明 各生物特徵辨識類別的一般要求

詳情請參閱目前的 Android CDD。

生物特徵辨識類別	指標	生物特徵辨識管道	限制
3 級 (舊稱「強」)	所有 PAI 物種的 SAR：0-7% A 級 PAI 物種的 SAR： <=7% B 級 PAI 物種的 SAR： <= 20% 任一 PAI 物種 <= 40% 的 SAR (強烈建議使用) <= 7%) FAR：1/5 萬 FRR：10%	安全	最多 72 小時後，才會退回主要驗證 (例如 PIN 碼、解鎖圖案或密碼) 可向應用程式公開 API (例如透過整合 BiometricPrompt 或 FIDO2 API) 必須提交 BCR
Class 2 (舊稱 Weak)	所有 PAI 物種的 SAR：7-20% A 級 PAI 物種的 SAR： <= 20% B 級 PAI 物種的 SAR： <= 30% 任一 PAI 物種 <= 40% 的 SAR (強烈建議使用) <= 20%) FAR：1/5 萬 FRR：10%	安全	最多 24 小時後才會改用主要驗證機制 4 小時閒置逾時「或」錯誤嘗試達 3 次，且無法恢復通話 主要驗證 可整合 BiometricPrompt，但無法整合金鑰庫 (例如：釋出應用程式驗證綁定的金鑰) 必須提交 BCR
Class 1 (舊稱 Convenience)	所有 PAI 物種的 SAR：20-30% Level A PAI 物種的 SAR： <= 30% Level B PAI 物種的 SAR： <= 40% 任何個別 PAI 物種的 SAR <= 40% (強烈建議 <= 30%) FAR：1/50k FRR：10%	不安全或安全	最多 24 小時後才會改用主要驗證機制 4 小時閒置逾時或嘗試 3 次仍未成功，系統會改為使用主要驗證機制 無法向應用程式公開 API 自 Android 11 起，必須提交 BCR 自 Android 13 起必須測試 SAR 臨時課程未來可能會停用

3 級、2 級和 1 級模式

生物特徵辨識安全性類別的指定方式，取決於安全管道是否存在，以及三個接受率 (FAR、IAR 和 SAR)。如果沒有冒用者攻擊，我們只會考量 FAR 和 SAR。

請參閱 Android 相容性定義說明文件 (CDD)，說明為 才能鎖定模型

臉部和 iris 驗證

評估程序

評估程序包含兩個階段，校正階段會決定特定驗證解決方案的最佳呈現攻擊 (即校正位置)。測試 階段使用經過校正的 執行多次攻擊，並評估 已成功更新Android 裝置和生物辨識系統的製造商應透過提交這份表單，與 Android 聯絡，取得最新的測試指引。

請務必先決定校正的位置，因為 SAR 應該只使用針對 以及系統

校準階段

臉部和 Iiri 驗證需要有三個參數 並在校正階段進行最佳化調整，確保測試能達到最佳價值 簡報攻擊工具 (PAI)、呈現格式和 以及該主題多元性的成效。

FACE Presentation Attack Instrument (PAI) 是實體假冒。目前涵蓋下列 PAI 物種： 不受生物特徵辨識技術的影響： 2D PAI 物種 已列印的相片 顯示器或手機螢幕上的相片 螢幕或手機螢幕上的影片 3D PAI 物種 3D 列印面具 簡報格式適用於 操縱 PAI 或環境，或是協助假冒。 以下列舉一些嘗試操弄性的例子： 稍微折疊沖印相片，使相片朝向臉頰彎曲 (有點模仿深度) 有時候會大量破壞 2D 臉部 驗證解決方案 不同的照明條件 就是個範例修改環境 協助假冒 鏡頭髒汙或磨損 在直向和橫向模式之間變更手機的方向，看看是否會影響偽造行為 不同主題之間的表現 (或欠缺某些特徵或 尤其與以機器學習為基礎的驗證相關 解決方案針對受試者性別、年齡層和種族/族裔測試校正流程，通常會發現全球人口的某些區隔成效大幅下降，因此這是在這個階段校正的重要參數。 假冒測試旨在測試系統是否接受有效 重播或簡報攻擊如果未實作或停用防偽造或呈現攻擊偵測 (PAD)，PAI 類型必須足以在生物特徵辨識驗證程序中通過有效的生物特徵辨識聲明。如果 PAI 無法在沒有防偽或 PAD 功能的情況下通過生物辨識驗證程序，則該 PAI 無效，且使用該 PAI 類型的所有測試也無效。假冒測試的導管應該 證明測試中使用的 PAI 物種符合這項標準

IRIS 呈現的攻擊工具 (PAI) 是 以實體詐騙為主目前涵蓋的人工智慧輔助決策類型如下： 清楚顯示虹膜的臉部相片沖印相片 顯示器或手機螢幕上顯示的臉部相片/影片，清楚顯示虹膜 義眼 簡報格式適用於 操縱 PAI 或環境，或是協助假冒。 例如將隱形鏡頭放置在沖印相片上，或 顯示眼部相片/影片有助於騙上某些鳶尾花分類 提高系統繞過 iris 驗證的速率 有些人會將 Cloud Storage 視為檔案系統 但實際上不是 在多元主題上的成效與機器學習驗證解決方案特別相關。有鳶尾花 不同的 iris 顏色可以有不同的光譜 並測試不同顏色的成效 全球人口區隔的效能問題。

測試多元性

臉部和 iris 模型對於不同性別 可能會有不同的表現 年齡層和種族/族裔校正整個區域的呈現攻擊 多種錶面，盡可能找出成效缺口。

測試階段

在測試階段，測量的生物特徵辨識安全性效能時，會使用 來入侵前一階段的最佳化簡報攻擊

計算測試階段中的嘗試次數

一次嘗試計算，則計為一次自拍 (真實或 讀取及接收手機的意見回饋 (解鎖事件或 使用者看到的訊息時)。任何嘗試手機無法取得足夠資料的行為 嘗試比對比對的次數不應包含在使用的嘗試總數中 才能計算 SAR

評估程序

註冊

開始臉部或鳶尾驗證的校正階段之前 前往裝置設定，然後移除所有現有的生物特徵辨識設定檔。 移除所有現有設定檔後，請使用目標臉部或虹膜註冊新設定檔，以便進行校正和測試。新增臉部或虹膜設定檔時，請務必在光線充足的環境中操作，並將裝置正確放置在目標臉部前方，距離為 20 到 80 公分。

校準階段

請為每個 PAI 類型執行校正階段，因為不同類型的大小和其他特性可能會影響測試的最佳條件。準備 PAI。

FACE 在註冊流程中相同的光線條件、角度和距離下，拍攝註冊的臉部高畫質相片或影片。 實體列印： 沿著臉孔輪廓裁剪，製作某種紙面遮罩。 將口罩彎曲貼在兩頰，模仿目標臉孔的弧度 在口罩上剪出眼洞，讓測試人員的眼睛露出，這對於以眨眼為生命徵候檢測方式的解決方案很有幫助。 請嘗試建議的呈現格式操控方式，看看是否 會影響校正階段的成效

IRIS 拍攝已註冊的臉孔高解析度相片或影片，在註冊流程中相同的光線條件、角度和距離下，清楚顯示虹膜。 嘗試在眼睛上貼上隱形眼鏡和不貼隱形眼鏡，看看哪種方法會增加偽造的可能性

進行校正階段

參照位置

• 參考檔案位置：參考位置 決定方法是將 PAI 放在適當距離 (20-80 公分) 的 確保裝置視角可清楚顯示 PAI 但無法顯示使用的其他產品，例如 PAI 的立架。
• 水平參考平面：當 PAI 處於參考位置時，裝置和 PAI 之間的水平平面即為水平參考平面。
• 垂直參考平面：當 PAI 處於參考位置時，裝置和 PAI 之間的垂直平面即為垂直參考平面。

圖 1. 參照方案。

垂直弧形

決定參考位置，然後在垂直弧線中測試 PAI 保持裝置與參考位置的距離。在同一垂直平面中提高 PAI，在裝置和水平參考平面之間建立 10 度角，並測試臉部解鎖功能。

持續以 10 度為單位提高及測試 PAI，直到 PAI 結束 。記錄任何成功解鎖裝置的位置。重複上述程序，但將 PAI 移至 位於水平參考平面下方請參閱下圖 3 瞭解弧形測試的範例。

水平弧形

將 PAI 返回參考位置，然後沿著水平平面移動，與垂直參考平面形成 10 度角。執行 我們可以透過 PAI 進入這個新位置進行垂直弧形測試沿著水平面以 10 度為增量移動 PAI，並在每個新位置執行垂直弧線測試。

圖 1. 沿著垂直和水平弧線進行測試。

對於左側兩個弧形，必須以 10 度遞增的方式重複進行弧形測試 以及裝置右側和正下方

最可靠的解鎖結果是 PAI 物種類型的校正位置 (例如 例如 2D 或 3D PAI 物種)。

測試階段

校正階段結束時，應會有一個校正 各 PAI 物種的排名。如果無法建立校正位置 則應使用參照位置常見的測試方法 以測試 2D 和 3D PAI 物種

• 涵蓋所有已註冊臉孔 (E>= 10)，且包含至少 10 個不重複的 。
  • 註冊臉部/虹膜
  • 使用上一個階段的校正位置，執行 U 次解鎖嘗試，並按照前一個章節所述計算嘗試次數，其中 U >= 10。記錄成功解鎖次數 S：
  • 接著就能以下列方式測量 SAR：

地點：

• E = 註冊人數
• U = 每次註冊解鎖的次數
• Si = 註冊成功解鎖的次數 i

需經過疊代才能取得具統計顯著性的有效錯誤率樣本：95% 所有下方所有者的信賴假設，大 N

誤差範圍	每個科目需要反覆測試
1%	9595
2%	2401
3%	1067
5%	385
10%	97

所需時間 (每題 30 秒，10 個主題)

誤差範圍	總聆聽時間
1%	799.6 小時
2%	200.1 小時
3%	88.9 小時
5%	32.1 小時
10%	8.1 小時

建議您指定 5% 的誤差範圍，在 Google 報表中 顯示 2% 到 12% 的人口

範圍

測試階段主要用於衡量臉孔驗證的彈性 正面朝目標使用者面的臉上立下。無法針對非傳真號碼指定地址 使用 LED 燈或作為主要印刷圖的模式。雖然這些方法尚未證明可有效對抗以深度為基礎的臉部辨識系統，但從概念上來說，沒有任何因素會阻止這項功能。日後的研究結果反而顯示，是可行且可行的 都是如此目前，我們會修訂這項通訊協定，納入評估對抗這些攻擊的復原力。

指紋驗證

在 Android 9 中，我們將標準設為對 PAI 的最低復原力，以 偽造接受率 (SAR) 為準，其值小於或等於 7%。簡要說明為何 7% 請參閱這份 網誌文章。

評估程序

評估程序分為兩個階段。校正階段會決定特定指紋驗證解決方案 (也就是校正位置) 的最佳呈現攻擊。測試階段會使用校正位置執行多個攻擊，並評估攻擊成功的次數。Android 裝置和生物特徵辨識系統的製造商應提交這份表單，與 Android 聯絡，取得最新的測試指引。

校準階段

為了確保測試階段的最佳值，需要對指紋驗證的三個參數進行最佳化：呈現攻擊工具 (PAI)、呈現格式，以及不同主題的效能

• PAI 是指實體偽造品，例如沖印指紋或模塑複製品，都是展示媒體的例子。 強烈建議下列詐騙內容：
  • 光學指紋感應器 (FPS)
    • 以非導電墨水複製紙/透明度
    • 諾克斯蓋拉丁文
    • 乳膠漆
    • Elmer's Glue All
  • 電容式 FPS
    • Knox Gelatin
    • Elmer's Carpenter's Interior Wood Glue
    • Elmer's Glue All
    • 乳膠
  • 超音波每秒影格數
    • 諾克斯蓋拉丁文
    • Elmer's Carpenter's Interior Wood Glue
    • Elmer's Glue All
    • 乳膠漆
• 呈現格式與進一步操控 PAI 或環境有關，有助於偽造內容。例如，在建立 3D 複製品之前，先修飾或編輯指紋的高解析度圖片。
• 不同主題的廣告成效與演算法調校特別相關。測試各主體性別的校正流程 年齡層和種族/族裔往往明顯惡劣 全球人口區隔成效 以便在此階段校正

測試多元性

指紋辨識器在性別、年齡層和種族/族裔方面可能會有不同的表現。只有少數族群的指紋難以辨識，因此應使用各種指紋來判斷辨識和模擬測試的最佳參數。

測試階段

測試階段是指測量生物特徵辨識安全性效能的時間。至少應以非合作方式進行測試，也就是說，收集任何指紋時，都應將指紋從其他表面移除，而非讓目標主動參與指紋收集作業，例如製作受試者手指的模具。 可使用後者，但並非必要。

計算測試階段中的嘗試次數

單次嘗試是指將指紋 (真實或偽造) 呈現給感應器，以及從手機收到一些意見回饋 (解鎖事件或使用者可見訊息) 之間的時間間隔。

任何嘗試手機因無法累積足夠資料而無法進行配對時 都不應包含在用來計算 SAR 的嘗試總數中。

評估通訊協定

註冊

開始指紋驗證校正階段前，請前往裝置設定，並移除所有現有的生物特徵資料設定檔。移除所有現有設定檔後，請註冊新設定檔，並設定用於校正和測試的目標指紋。隨時追蹤 螢幕上的指示，直到設定檔成功註冊為止。

校正階段

光學 FPS

這類似於超音波與電容式的校正階段 目標使用者指紋的特徵佔 2D 和 2.5D PAI

• 從表面提取指紋的潛在副本。
• 使用 2D PAI 物種進行測試
  • 將手指放在感應器上
• 使用 2.5D PAI 物種進行測試。
  • 建立指紋的 PAI
  • 將 PAI 放在感應器上

超音波 FPS

超音波校準作業涉及提取目標指紋的潛在副本。舉例來說，這可以透過使用經由指紋粉提取的指紋，或是指紋的沖印副本來完成，並且可能包括手動重新觸碰指紋圖像，以便達到更好的偽造效果。

取得目標指紋的潛在副本後，系統就會建立 PAI。

電容式每秒影格數

進行電容校正時，也要進行上述 進行超音波校正

測試階段

• 使用相同參數，至少讓 10 位不重複使用者註冊 計算 FRR/FAR
• 建立每個人的 PPA
• 接著就能以下列方式測量 SAR：

需經過疊代才能取得具統計顯著性的有效錯誤率樣本：95% 所有下方所有者的信賴假設，大 N

誤差範圍	每個科目需要反覆測試
1%	9595
2%	2401
3%	1067
5%	385
10%	97

所需時間 (每題 30 秒，10 個題目)

誤差範圍	總聆聽時間
1%	799.6 小時
2%	200.1 小時
3%	88.9 小時
5%	32.1 小時
10%	8.1 小時

建議您指定 5% 的誤差範圍，在 Google 報表中 顯示 2% 到 12% 的人口

範圍

這項程序是測試指紋驗證的彈性 主要避開目標使用者的指紋。測試 方法是使用目前的材料成本、可用性和技術。 這項通訊協定將經過修訂，納入有效評估 製作材料和技術。

常見考量

雖然每個形態都需要不同的測試設定，但還是有一些 設定的主題

測試實際硬體

如果生物特徵辨識模型是在理想條件下，且在不同硬體上測試，而非在行動裝置上實際測試，所收集到的 SAR/IAR 指標可能會不準確。舉例來說，在無回音室中使用多麥克風設定校正的語音解鎖模型，在嘈雜環境中使用單麥克風裝置時，行為會截然不同。為了擷取準確的指標，應在已安裝硬體的實際裝置上執行測試，如果無法在裝置上執行，則應在裝置上顯示的硬體上執行。

使用已知攻擊

目前使用的大多數生物辨識模式都已成功遭到偽造，且有公開的攻擊方法說明文件。以下簡要概略說明已知攻擊的測試設定。建議您盡可能使用本文所述的設定。

預測新的攻擊

對於已大幅改進過的模型 設定文件可能未包含合適的設定，而且任何已知的公共攻擊可能 個值。在發現新攻擊手法後，現有模式也可能需要調整測試設定。無論是哪種情況，您都需要提供合理的測試設定。請使用網站 提供意見回饋連結，讓我們知道您是否設定了 可以加入合理的合理機制

不同形式的設定

指紋

自動套用建議功能	不需要。
電磁波能量比吸收率：SAR	使用目標指紋的模具，建立 2.5D PAI。 測量準確度會受到指紋模具品質的影響。牙齒矽膠是一個不錯的選擇。 測試設定應用來評估 因此老闆能解鎖裝置

臉部和鳶尾花

IAR	SAR 會擷取下限，因此不需要另外測量。
電磁波能量比吸收率：SAR	使用目標臉部的相片進行測試。針對虹膜辨識功能，您需要將臉部放大，模擬使用者通常使用這項功能的距離。 相片應提供高解析度，否則可能會造成誤導性。 相片呈現方式不應洩露圖片。 例如： 請勿加入圖片邊框 如果相片是在手機上拍攝，手機螢幕/邊框不應出現在相片中 如果有人握住相片，我們就無法看到對方的手 對於直角，相片應填滿感應器，以便讓使用者看不到外面的任何物品。 樣本時，臉部和鳶尾花模型通常較為寬鬆 (臉部/鳶尾花/相片) 與相機保持絕對角度 (模仿 使用者將手機直放在前方，並指向前方 。從這個角度進行測試，有助於判斷模型是否容易遭到偽造。 測試設定應評估人臉或虹膜圖像能否解鎖裝置的頻率。

語音

自動套用建議功能	使用測試設定，讓參與者聽取正面樣本，然後嘗試模仿。 請找來不同性別、口音不同的參與者，對模型進行測試，確保涵蓋某些語調/口音 FAR 較高的極端情況。
電磁波能量比吸收率：SAR	使用目標語音的錄音進行測試。 錄音只能畫質合理，或是拍攝成果 會造成誤導