多生物特征識別在網絡安全中的應用*

李國建，許 杰

（1.海軍駐成都地區通信軍事代表室，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

多生物特征識別在網絡安全中的應用*

李國建1，許 杰2

（1.海軍駐成都地區通信軍事代表室，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

多生物特征識別在網絡安全中具有巨大的研究價值，能有效提高網絡信息系統的安全性。通過介紹指紋、虹膜、面部識別、聲音、掌紋、簽名、擊鍵識別等生物識別技術，在分析說明多生物特征識別不易丟失、安全性強、事后便于查詢等優點的基礎上，給出多生物特征識別在網絡安全系統的密鑰發布、密鑰綁定以及身份認證中的具體應用方法，以期為提高信息網絡的安全性提供新的思路。

多生物特征；特征識別；密鑰；身份認證

0　引 言

隨著互聯網技術的飛速發展，網絡安全問題日益凸顯，人們對網絡安全的要求也越來越高。傳統的網絡安全防護和認證手段已不能抵御日益復雜的攻擊手段。生物識別技術以其獨有的特點和優勢得到了各方面的關注，特別是在國家安全、信息安全等領域。因此，在抵御新型網絡攻擊手段、提高網絡的安全性方面，生物識別技術具有巨大的研究和應用價值。

傳統的身份認證技術如口令、條形碼、智能卡、射頻卡等，都是通過“你有什么？”或“你知道什么？”來進行身份驗證。這些技術容易被攻破、偽造、丟失、遺忘、不便于攜帶，非常不安全，且并不能保證認證到合法用戶本身。

生物識別認證技術[1]是指通過獲取人類特有的生物特征來對個人身份進行識別和鑒定。生物特征可分為兩大類：生理特征和行為特征，如圖1所示。生理特征指的那些與生俱來、若無特殊因素不會導致后天變化的特征，如人臉、指紋、掌紋、虹膜、聲音等；行為特征是人后天習慣養成的行為習慣，如簽名筆跡、走路姿態、擊鍵節奏等。與傳統身份認證技術相比，生物識別認證技術具有隨身攜帶、不會丟失、安全性強、事后便于查詢確認等優點。

圖1　常用生物識別特征

單一生物特征識別總存在難以避免的噪聲樣本，信息單一，檢查數據易受環境影響的局限性，難以滿足應用的需求。多生物特征識別能有效克服這些缺點，并滿足用戶的多種安全需求。本文在分析各主流生物識別技術特點和多生物特征識別的關鍵技術的基礎上，給出了多生物特征識別在網絡安全中應用的思路，并以密鑰發布、密鑰綁定和身份認證為例給出了具體應用方法。本文提出方法為有效改進和提高網絡信息系統的安全性提供了新的思路。

1　生物識別技術

1.1指紋

通過分析指紋的特征，如嵴、谷、終點、分叉點或分歧點，從而抽取特征值，通過指紋特征值的比對來確認身份。指紋識別是目前應用最廣泛、價格最低廉的一種生物識別認證技術。它是一種接觸性技術，采集比較穩定。目前，該技術已廣泛應用于廉價個人電子設備上，如電腦、手機等。然而，該技術可被輕易偽造[2]。

1.2虹膜

虹膜[3]是眼睛瞳孔內一種織物狀的各色環狀物。每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細絲、斑點、結構、凹點、射線、皺紋和條紋等特征的結構。這些結構在胎兒發育階段形成后，在整個生命歷程中將保持不變。這些特征決定了虹膜的唯一性，同時也決定了身份識別的唯一性。虹膜識別具有精度較高的優點，但虹膜識別需要分辨率較高的攝像頭和合適的光學條件，成本較高。美國軍方在過去至少十年中已經使用了虹膜掃描技術，而全世界很多機構的身份認證系統已經使用眼模作為標識。

1.3面部識別

人與人的辨識不是通過指紋、掌紋、虹膜等，而是通過對人面部的識別實現的。因此，在眾多生物識別技術中，人臉識別最具有吸引力。它最直觀、最自然、符合人的認知規律[4]。

面部識別具有如下特點：

（1）非接觸：用戶接受度高。攝像頭已非接觸方式自動獲取人臉，完成人臉識別過程；

（2）突出：人臉是最直觀的信息源，“以貌取人”符合人的認知規律，同時也方便后續人工確認，且具備再利用等優勢；

（3）識別速度快，不易被察覺：與其他生物識別技術相比，人臉識別屬于一種自動化技術，1 s內可以識別多次。不被察覺的特點不會令人反感。

（4）不易仿冒：識別對象必須親臨現場，他人無法仿冒，且面部識別具有活性判斷能力，保證他人無法以非活性的照片、木偶、蠟像乃至人頭欺騙。

（5）易變性：人臉的外形不穩定，人可以通過臉部的變化產生很多表情。不同的觀察角度，人臉的視覺圖像差別也很大。另外，人臉識別還受到光照條件、遮蓋物、年齡等多方面因素的影響。

1.4聲音

聲音識別[5]是一種行為識別技術，聲音識別設備不斷地測量、記錄語音的波形和變化。語音識別基于現場采集的語音與登記過的語音模板進行精確匹配。聲音識別也是一種非接觸識別技術，用戶可以很自然地接受。多年來，許多機構已經使用這種技術。2016年，英國匯豐銀行宣布使用Nuance公司的聲紋識別系統，認證信息來自手機和固定電話。英國寬帶提供商TalkTalk也宣布使用聲紋識別系統。但是，語音識別的穩定性較差，容易被欺騙，識別率有待提高。

1.5掌紋

掌紋[6]是指手指末端到手腕部分的手掌圖像。可用的特征有主線、皺紋、細小的紋理、脊末梢、分叉點等。掌紋識別也是一種非接觸性識別技術，用戶容易接受。20世紀80年代，一些高安全級的機構開始使用該技術。由于人類的手掌相似度較高，因此，該技術被視為雙因素或多因素認證時的輔助，而不是主要認證形式。

1.6簽名

簽名筆跡特征含有生物特征、心里特征和社會語言學特征[7]。簽名主要通過生物特征中的行為特征表現出來，不能完全排除心理特征和社會語言學特征的跡象。簽名作為身份識別的方法，有良好的心里基礎，易于接受。靜態簽名方便、快速、幾乎沒有成本；動態簽名不易模仿，即行為動力學特征不易模仿和被盜。靜態簽名易于模仿和偽造；動態簽名設備成本高。簽名識別技術受工具、心情、心理等影響，具有不穩定。

1.7擊鍵識別

這是一種行為特征識別技術。每個人都有獨特的打字節奏，這些節奏特征有：

（1）擊鍵的時間規律：擊鍵時間間隔，擊鍵持續時間，擊鍵輸入速度，擊鍵錯誤頻率等；

（2）擊鍵習慣：使用鍵盤額外按鍵的習慣，如使用數字鍵盤、大寫字母的輸入方式等。

擊鍵識別如果和密碼等其他識別手段相結合，這種多生物識別認證將極難偽造[8]。

2　多生物特征識別

單一生物特征識別模式主要有三個過程：提取特征、匹配模板、決策。多生物特征需要對多個生物特征進行融合，根據融合的層次不同，可分為四層：傳感器層融合、特征層融合、匹配層融合和決策層融合。

（1）傳感器層融合：各生物識別傳感器獲得生物特征的原始數據，通過多層次、多方面的處理和集成，從集成后的新數據中可以提取出有用的特征。

（2）特征層融合：根據特征向量集進行不同生物特征輸入，如圖2所示。高維特征向量是通過不同的特征向量進行相對的構建，通過高維向量特征標識多生物多種融合。經試驗驗證，特征層融合比其他融合效率更高，但難度也更大。

圖2　特征層融合

（3）匹配層融合：每個生物特征有對應模塊來輸出其對應分數，輸出分數由匹配層的融合模塊進行數值歸一化處理，通過歸一化后進行融合。匹配層融合實現難度較小，可融合多個特征的數據信息，如圖3所示。

圖3　匹配層融合

（4）決策層融合：首先對每個不同的生物特征進行單獨特征處理；再通過歸一化處理匹配分數；最后在決策層進行融合。通過將多個生物特征匹配結果通過融合算法進行綜合融合，得到最終匹配結果。決策層融合技術相對簡單，但經過該層次融合后可以提高系統效率。決策層將單個生物認證邏輯的輸出作為輸入。它可以通過兩種方式進行融合。第一，AND（與邏輯）。識別過程中，只有生物子系統B1和B2同時匹配成功，用戶身份才能被認證；反之，只要B1和B2中有任意一個沒有匹配成功，則身份認證失敗。第二，OR（或邏輯）。識別過程中，只要生物子系統B1和B2中有一個匹配成功，用戶身份就能被認證；反之，當B1和B2全部匹配不成功時，則用戶身份認證失敗，如圖4所示。

圖4　決策層融合

3　多生物特征在網絡安全中的應用

利用多生物特征識別技術與密鑰結合，可有效提高網絡信息系統的完整性、機密性、可用性、可控性、不可抵賴性。下面從加密數據通信的兩個關鍵點進行說明。

第一，生物密鑰發布。當一個合法用戶（比如，“愛麗絲”）想要訪問特定的加密內容時，她通過生物采樣設備向系統提供其生物特征。如果輸入生物特征與數據庫中登記的生物特征匹配成功，密鑰會被發布。利用該密鑰可以成功訪問加密的內容。如果非法用戶試圖訪問同一加密內容時，因無法得到愛麗絲的生物特征，將無法得到密鑰導致訪問失敗。通過該方法可以達到對密鑰的保護目的，如圖5所示。

圖5　生物密鑰發布

第二，生物密鑰綁定。核心思想是在數據庫中僅存儲生物模板的哈希值，而不是實際模板的哈希值，且該生物模板可撤銷。生物模板的哈希值使用某單一散列函數計算。該哈希值僅通過生物模板無法還原原始生物樣本數據。因此，即使模板哈希數據庫出現泄漏，也不會出現安全問題。為了避免密鑰和生物模板的分離存儲，可以使用安全可信的位替換算法，利用密鑰替換生物模板中特征值的有效位，使兩者進行有效集成。集成后的數據使得攻擊者無法通過木馬來損害生物認證系統，以達到獲取密鑰的目的，如圖6所示。

圖6　生物密鑰綁定

可見，通過多生物特征識別技術可以有效提高密鑰的安全性，從而有效保證數據傳輸的安全性。在認證系統中，可以考慮將傳統口令與鍵盤擊鍵識別結合的方法，在輸入口令的同時對用戶的行為特征進行采樣識別。這樣節省了生物特征輸入設備，可在用戶沒有察覺的情況下進行行為識別。同時，這種友好的方式也更易被用戶接受，提高了系統的認證效率和準確性。

4　結 語

生物識別技術具備防偽性好、不易丟失、便于攜帶的特點，是當今世界上最為安全和完備的身份認證技術。多生物特征認證技術相對于單一生物特征識別具有更好的識別性和可靠性。本文在分析多生物特征識別技術優點的基礎上，給出了多生物特征識別在網絡安全系統中應用的方法，為提高網絡信息安全系統的安全性給出了新的思路。

[1] Wikipedia.Biometrics[EB/OL].[2016-04-09].https:// en.wikipedia.org/wiki/Biometrics.

[2] Wikipedia.Fingerprint Recognition[EB/OL].[2016-04-09].https://en.wikipedia.org/wiki/Fingerprint_ recognition.

[3] Wikipedia.Iris Recognition[EB/OL].[2016-04-07]. https://en.wikipedia.org/wiki/Iris_recognition.

[4] Wikipedia.Facial Recognition System[EB/OL].[2016-04-10].https://en.wikipedia.org/wiki/Facial_recognition_ system.

[5] Wikipedia.Voice Analysis[EB/OL].[2016-04-11].https:// en.wikipedia.org/wiki/Voice_analysis.

[6] Wikipedia.Hand Geometry[EB/OL].[2016-04-08]. https://en.wikipedia.org/wiki/Hand_geometry.

[7] Wikipedia.Handwritten Biometric Recognition [EB/ OL].[2016-04-12].https://en.wikipedia.org/wiki/ Handwritten_biometric_recognition..

[8] Wikipedia.Keystroke Dynamics[EB/OL].[2016-04-10]. https://en.wikipedia.org/wiki/Keystroke_dynamics.

[9] A.A.ROSS,K.NANADAKUMA.Handbook of Multibiometrics[M].New York:International series on Biometrics Springer,2006.

李國建（1976—），男，碩士，工程師，主要研究方向為通信與信息安全；

許 杰（1978—），男，博士，工程師，主要研究方向為信息安全與大數據。

Application of Multimodal Biometric Authentication in Network Security

LI Guo-jian1, XU Jie2
1.Naval Communications Representative Office in Chengdu District, Chengdu Sichuan 610041, China; 2.No.30 Institute of CETC, Chengdu Sichuan 610041, China）

Multimodal biometric authentication is of great research value in network security, and it can effectively improve the security of network information system. Based on introduction of fingerprint, iris, face recognition, voice, palmprint, signature, keying recognition and other biometric technologies, characters of multimodal biometric authentication are described and analyzed, such as not easy to lose, strong security, easy to inquiry, etc.. This article proposes a specific application of multi-modal biometric authentication in key distribution, key binding and identity authentication of network security system, and all this could provide a new idea for improving the security of information network.

multimodal biometric; biometric authentication; key; identity authentication

National Natural Science Foundation of China（No.61309034）

TP309

A

1002-0802(2016)-08-01068-05

10.3969/j.issn.1002-0802.2016.08.021

2016-04-18;

2016-07-20

date:2016-04-18;Revised date:2016-07-20

國家自然科學基金項目（No.61309034）