基于Biohashing的指紋模板保護算法

王慧珊 張雪鋒

隨著信息技術的發展,身份識別技術已經被廣泛應用于各種領域.個人虛擬身份已經與人們的工作、學習和生活密切相關,其安全問題也變得愈加重要,如何準確地鑒別一個人的身份信息,成為信息系統安全面臨的主要問題之一[1].而生物特征識別技術由于具有穩定性、唯一性、不易改變和防偽造等身份識別技術不具備的優勢[2],逐漸成為信息安全領域的研究熱點之一.

傳統的基于模板匹配的生物特征識別系統,模板數據中存儲有大量的用戶原始生物特征信息,一旦模板數據泄露或者丟失,攻擊者就可以利用得到的模板數據輕松騙過驗證系統,甚至能從得到的特征模板中恢復出原始的生物特征[3].由于生物特征是不可更改的,所以一旦模板數據丟失,其生物特征的泄露將是永久性的.為了有效解決這一問題,研究者相繼提出了多種不同的解決方案.

1999年,Davida等在虹膜密鑰綁定的方案中引入糾錯碼[4],該方案當查詢樣本與注冊模板差異較小時,可直接恢復出密鑰.但缺點是需保留糾錯碼,所以存在原始特征數據泄露的可能.隨后Juels等在此基礎上提出Fuzzy Commitment方案[5],利用糾錯碼技術將生物特征數據和密鑰綁定在一起.但Fuzzy Commitment方案要求生物特征必須編碼為定長的比特值.為了克服這一缺點,Juels等提出一種Fuzzy Vault方案[6],其思路是將生物特征點集映射到密鑰構造的多項式上得到真實點,再將真實點隱藏在大量雜湊點之中組成模糊金庫,驗證時只要能提取出足夠的真實點,就可恢復出密鑰.但是Fuzzy Vault方案也存在嚴重的安全隱患[7],通過交叉比對多個Vault模板,很容易獲得真實細節點數據[8],而且當密鑰丟失或被盜取后,攻擊者可以通過把其中部分雜湊點對換成自己的點對,冒充合法用戶通過系統驗證.

2001年,Ratha等首次提出可撤銷生物認證(Cancelable Biometrics)的概念[9],其思想是通過某種可調參數的不可逆變換函數,對生物特征數據進行變換,并將變換后的特征作為模板.如果模板泄露,只須修改變換函數即可生成一個新的模板,隨后他們給出基于指紋細節點的具體實現方案[10].然而,如果攻擊者知道變換的規則,就可以從轉換后的特征中恢復出原始的指紋細節.Lee等提出一種免預對齊的可撤銷指紋模板構造方法[11],該方法利用指紋細節點鄰域的方向圖和用戶的PIN碼,產生旋轉和平移參數,然后根據參數對細節點進行平移和旋轉操作,即可得到可撤銷指紋模板.Ang等提出一種將指紋細節點模板進行平面對折的幾何變換的方法[12].其思路是定位指紋圖像的中心點,并指定通過中心點的線.通過改變密鑰值或角度來獲得不同地變換的指紋模板.這種方法的缺點是需要對準輸入的指紋圖像,并且由于線上方的細節未被移動,所以轉換的模板中仍然保留了一些原始的指紋信息.Jin等提出一種基于Biohashing的可撤銷生物認證的方案[13],該方案是將用戶令牌生成的正交隨機矩陣與指紋特征向量迭代內積,閾值量化后生成一組BioCode碼,通過比較查詢指紋和注冊指紋的BioCode碼之間的漢明距離獲得識別結果.當模板存在安全威脅時,通過用戶令牌的更換可隨時發布新的模板,具有良好的安全和識別性能.但Kong等指出[14],如果攻擊者在獲取到用戶令牌后,結合自己的指紋特征冒充合法用戶進行身份認證,騙過認證系統的成功概率相當大,此時的Biohashing方法將不如普通生物認證有效.

本文針對用戶令牌泄露導致Biohashing識別性能嚴重退化的問題,給出了兩種改進的Biohashing指紋模板保護算法,算法在量化過程中通過將特征向量序列變為特征矩陣,降低了特征值之間的關聯性,并結合可變步長參數和滑動窗口,獲得了更大的密鑰空間,增加了指紋的類間距,有效提高了算法的安全性和識別性.

1 Biohashing算法

2004年,Jin等提出Biohashing的可撤銷生物認證方法[13],該方法將隨機數與指紋特征相結合并求取指紋方向場確定指紋中心點,再經過小波變換、Fourier變換、梅林變換提取出指紋圖像的小波Fourier-Mellin特征(Wavelet-FMT feature,WFMT)[15],隨后將指紋特征向量投影到正交隨機矩陣中,經閾值量化生成一組BioCode碼作為指紋特征模板.認證時,通過比較查詢指紋和注冊指紋的BioCode碼之間的漢明距離獲得識別結果.

Biohashing方法的具體步驟如下:

步驟1.定位指紋中心點.運用與指紋中心點相匹配的復濾波器的強響應進行指紋中心點的定位,并根據指紋中心點的位置將指紋圖像裁剪為尺寸合適的系統輸入圖像.

步驟2.小波變換.對裁剪后尺寸合適的圖像進行小波變換,并提取分解后指紋圖像的低頻部分作為特征指紋圖像.

步驟3.Fourier-Mellin變換.對經過旋轉、平移和縮放變換后的指紋圖像進行傅立葉變換,并通過高通濾波器抑制低頻分量,保持高頻分量,獲得具有平移、旋轉和縮放不變性的WFMT特征,然后將得到的WFMT特征按行連接生成指紋特征向量.

步驟4.特征向量二值化.將生成的指紋特征向量與用戶令牌中的正交隨機矩陣進行內積運算,生成指紋特征序列記為:{X1,X2,···,Xm|Xi∈(?1,1),i=1,2,···,m},對其量化處理后,得到二值序列:{b1,b2,···,bm|bi∈{0,1},i=1,2,···,m}.

其中,τ為預設閾值.

步驟5.計算漢明距離.在身份認證環節,通過查詢指紋與注冊指紋的BioCode碼,利用下式計算兩者的漢明距離獲得識別結果.

其中,code(R)代表查詢指紋的 BioCode碼,code(T)代表注冊指紋的BioCode碼,‖X‖表示二值序列X中1的個數.

Biohashing方法的基本流程如圖1所示.

圖1 Biohashing方法的基本流程Fig.1 The basic process of the Biohashing method

在指紋數據和令牌都安全時,Biohashing方法會使系統具有良好的識別性能,如等錯誤率為零等.但是當用戶令牌丟失或泄露后,如果攻擊者利用獲得的用戶令牌進行攻擊或冒充合法用戶進行身份認證,此時的Biohashing識別性能將嚴重退化.分析原因主要是使用式(1)量化生成BioCode碼的過程中,為了保證二值化處理的結果序列具有較好的隨機統計特性,一般取單一閾值進行二值化處理,這使得二值序列保留了原始特征向量取值的大小分布規律特征,安全性能較差.基于以上分析,本文將給出兩種改進的Biohashing指紋模板保護算法.

2 改進算法基本原理

改進算法首先利用指紋脊線的對稱性質,使用復濾波方法檢測指紋的奇異點[16],隨后將指紋奇異點裁剪待處理的指紋特征區域劃分扇區,并對特征區域內的扇區分別進行歸一化處理,再應用Gabor組合濾波器提取指紋特征向量,得到的指紋特征向量維數為1×512,與用戶令牌中矩陣維數為512×511隨機正交矩陣進行迭代內積,得到1×511位的指紋特征值,隨后用改進的二值量化方法生成511位的BioCode碼.

改進算法的具體步驟如下:

步驟1.指紋奇異點定位.利用指紋脊線的對稱性質,將指紋圖像的塊方向與脊線特征有機結合,使用復濾波方法檢測指紋的奇異點,并根據指紋奇異點的位置將指紋圖像裁剪為尺寸合適的系統輸入圖像.

步驟2.劃分扇區.將裁剪待處理的指紋特征區域劃分為Si=SR×SA個扇區,其中SR是等間隔同心圓的劃分數量,SA是等角扇的劃分數量.

步驟3.歸一化處理.對特征區域內的扇區分別進行歸一化處理,使各扇形區域內指紋灰度值達到統一的均值和方差.

步驟4.Gabor濾波.對歸一化后的特征區域進行八方向的Gabor濾波.

步驟5.計算平均絕對誤差(Average absolute deviation,AAD).計算每個扇區Si濾波后的灰度AAD,每方向濾波可提取Si個特征,因此八方向濾波可提取長度為8×Si指紋紋理特征.

步驟6.計算漢明距離.在身份認證環節,通過比較查詢指紋與模板指紋的FingerCode碼,利用改進算法計算兩者的漢明距離獲得匹配結果.

改進算法的基本流程如圖2所示.

在改進算法中,指紋特征向量的二值化處理過程能夠有效保護指紋數據的特性,是指紋模板保護算法的關鍵步驟之一.文獻[17?18]給出一種線性的特征向量二值量化方法,即全局閾值取定值τ.得到的二值序列{b1,b2,···,bm|bi∈{0,1},i=1,2,···,m}為

圖2 改進算法的基本流程Fig.2 The basic process of the improved algorithm

實驗結果表明,利用該方法得到的BioCode碼區分性雖然良好,但由于該方法是線性量化的方法,攻擊者易得到原始特征的大小分布規律,安全性較差.文獻[19?20]對上面的量化過程進行了改進,給出的二值序列{b1,b2,···,bm|bi∈{0,1},i=1,2,···,m}為

其中,

與文獻[17?18]相比,文獻[19?20]雖然對閾值做出了改變,但二值量化仍然是線性處理的過程,而且隨著m值的增大,μ的值逐漸減小趨近于0值時,會退化為和文獻[17?18]類似的結果,安全性能改進有限.

本文在已有方法的基礎上,進一步提出兩種基于特征矩陣的二值化方法.

方法 1.首先將指紋特征序列{X1,X2,···,Xm|Xi∈(?1,1),i=1,2,···,m},變為指紋特征矩陣,選取步長參數p,p∈{1,2,···,n},通過對比特征矩陣中第i行和第i+p行的元素大小,得到相應的特征BioCode碼.其基本原理如圖3所示.生成的特征BioCode 碼{b11,b12,···,bnm|bij∈{0,1},i=1,2,···,n,j=1,2,···,m}為

圖3 矩陣行向量比較的基本原理Fig.3 The basic principle of the comparison of matrix row vectors

方法 2.首先將指紋特征序列{X1,X2,···,Xm|Xi∈(?1,1),i=1,2,···,m},變為指紋特征矩陣,選取步長參數p,p∈{1,2,···,n},在指紋特征矩陣中置入一個寬度可調的p×p滑動矩陣窗口,取落于滑動矩陣窗口內指紋特征的平均值,基本原理如圖4所示.將取得的平均值序列記為定義由該平均值序列進一步生成的特征BioCode碼{b11,b12,···,bnm|bij∈{0,1},i=1,2,···,n,j=1,2,···,m}為

圖4 滑動矩陣窗口的基本原理Fig.4 The basic principle of the sliding matrix window

與已有的量化方法相比,本文將指紋特征序列變為指紋特征矩陣,減少了特征值之間的相關性,并在特征向量二值化方法的比較過程引入步長參數p,p∈{1,2,···,n},在指紋特征矩陣中置入一個寬度可調的p×p滑動矩陣窗口,進一步擴展了生成BioCode碼的密鑰空間,拉大指紋的類間距.通過比較矩陣行向量和滑動矩陣窗口中的各數值與其均值得到BioCode碼,這兩種比較的方法與現有文獻所用量化方法相比,量化后的二值序列能夠較好地掩蓋原始特征的大小分布規律,有效增加算法的安全性.

3 實驗結果及分析

3.1 測試對象

為評價改進方法的性能,本文以標準的指紋圖像作為測試對象,在CPU為Intel?Pentium ?G3240,頻率為3.10GHz,內存為4.00GB,硬盤為500G的PC和MATLAB R2010b的開發環境下進行仿真實驗,對算法的相關性能進行驗證和分析.文中測試的指紋數據采用FVC2002 DB1 Set A和FVC2002 DB2 Set A[21],每個數據庫中包含有100個手指的采樣數據,其中每個手指采樣8次,共有800幅指紋圖像.由于提取指紋特征依賴于指紋中心點,而數據庫中部分指紋沒有中心點,所以實驗在FVC2002 DB1 Set A中選用包含有指紋中心點的80個手指的采樣數據,每個手指取2幅圖像,共160幅圖像,在FVC2002 DB2 Set A中選用包含有指紋中心點的70個手指的采樣數據,每個手指取2幅圖像,共140幅圖像.圖5給出了實驗所用的指紋圖像示例.

3.2 識別性能

本文對150組不同的指紋圖像進行了實驗仿真,計算得出相應的BioCode碼,方法1和方法2部分BioCode碼計算結果如表1和表2所示.

圖6和圖7分別給出了本文方法在使用不同數據庫產生的真假匹配漢明距離分布情況下的實驗結果.

圖5 實驗選用的指紋圖像示例Fig.5 Examples of fingerprint images that used in experiments

表1 應用方法1的BioCode碼計算結果Table 1 The results of BioCode calculations with the first method

表2 應用方法2的BioCode碼計算結果Table 2 The results of BioCode calculations with the second method

圖6 應用方法1的真假匹配漢明距離分布情況Fig.6 The distribution of Hamming distance about the match for true-false with the first method

圖6和圖7的實驗結果表明,在用戶令牌安全時,真匹配的漢明距離分布在0～0.2左右,假匹配的漢明距離則分布在0.4～0.6左右,此時能完全的區分不同用戶.而當用戶令牌泄露后,真匹配的漢明距離分布在0～0.2左右,而假匹配的漢明距離大多分布在0.1～0.62左右,與真匹配距離分布形成部分重疊,可能會引起錯誤的識別.

指紋識別性能的評價參數主要有誤識率(False accept rate,FAR)、誤拒率 (False refuse rate,FRR)和等錯誤率(Equal error rate,EER)等.其中,等錯誤率EER越小,代表指紋的識別性能越好,因此本文以等錯誤率EER作為評價指標在兩個不同指紋數據庫中得到結果.圖8和圖9給出了當p=3用戶令牌泄漏時本文方法在FVC2002 DB1和DB2數據庫匹配的EER曲線圖.表3中,給出了不同方法在兩個數據庫中得到的EER值.其中bfm,bfh,bfc分別代表文獻[20]、本文方法1和方法2得到的BioCode碼,p為步長參數.

從表3中可以看出,針對相同的指紋數據庫進行測試,用戶令牌安全時,bfm,bfh,bfc的EER都為0,此時的Biohashing方法具有較好的識別性能.用戶令牌泄露時,bfh在指紋數據庫FVC2002 DB1和DB2的EER分別為3.38%和2.84%,bfc在指紋數據庫FVC2002 DB1和DB2的EER分別為3.44%、2.85%和3.93%、3.18%,bfm的EER卻達到了16.9%和19.1%.而且,bfc的等錯誤率隨著p值的增大依次減小,分別為2.85%和3.18%,說明本文提出方法的識別性能優于文獻[20]的方法.

表3 指紋識別算法認證結果對比(%)Table 3 The comparison of authentication results of the fingerprint identi fication algorithm(%)

圖7 應用方法2的真假匹配漢明距離分布情況Fig.7 The distribution of Hamming distance about the match for true-false with the second method

圖10為文獻[20]與本文的兩種特征BioCode生成方法在用戶令牌泄露的情形下,步長參數p=3時在FVC2002 DB1和DB2指紋數據庫中生成的受試者工作特征(Receiver operating characteristic,ROC)曲線分布.ROC曲線橫坐標為錯誤接受率(FAR),縱坐標為真實接受率(Genuine acceptance rate,GAR),ROC曲線下面積越大說明算法的正確識別率越高.

從表3和ROC曲線可以看出,bfc和bfh比bfm具有更好的識別性能.而且在數據庫DB1的EER要低于數據庫DB2的EER,即在DB1的識別性能比DB2的識別性能要好,這是因為DB1的指紋圖像質量比DB2的指紋圖像質量略好,說明本文方法在較好質量的指紋圖像中能得到較好的匹配性能.

3.3 安全性分析

改進方法中存儲在用戶令牌的信息包含生成正交隨機矩陣的種子和步長參數p,而數據庫中存儲的信息為用戶的BioCode碼,整個系統保護的是用戶的指紋信息,需要對系統中可能存在的安全問題進行分析.

本文給出的生物模板保護算法中,用戶令牌是需要保密的敏感參數.當用戶的令牌丟失或指紋模板被盜時,由于Biohashing方法是一種“用戶令牌+指紋模板”的雙因子身份認證方案,具有良好的可撤銷性,通過更換用戶令牌發布的指紋模板,隨時達到撤銷丟失的信息的目的.

圖8 應用方法1的EER曲線Fig.8 EER curve with the first method

圖9 應用方法2的EER曲線Fig.9 EER curve with the second method

而且文中提出的兩種量化過程都是非線性過程,量化閾值不固定,使指紋特征序列都參與到量化過程中,并將量化序列變為矩陣,減少了特征值之間的關聯性,有效地掩蓋了原指紋特征的相關信息,同時又引入了步長參數和滑動窗口,進一步擴展了密鑰空間,因此指紋模板具有較好的識別性和安全性.

考慮到攻擊者暴力破解系統的情形,當攻擊者在未獲得真實的BioCode碼或用戶令牌時,要想獲得長度為511位的真實指紋模板特征值需要進行2511次嘗試,這在計算上是不可行的.即便攻擊者掌握了用戶的令牌,結合所擁有的指紋信息來冒充真實用戶進行認證,由實驗可知,在指紋數據庫FVC2002 DB1和DB2上成功的概率也不高于3.38%和3.93%,與已有方法比較,本方案的安全性更好.

圖10 令牌泄露后三種方法的ROC曲線Fig.10 ROC curves about three methods after tokens were leaked

4 結論

針對用戶令牌泄露會導致Biohashing識別性能嚴重退化的問題,本文提出了兩種基于Biohashing的指紋模板保護算法.改進算法采用步長參數和滑動窗口的形式對特征矩陣進行量化,減少了特征值之間的關聯性,有效地掩蓋了指紋特征的相關信息,量化閾值不固定,減少了指紋特征在量化過程中信息熵的損失,提高了指紋特征自身的區分能力.實驗結果表明,基于本文給出的兩種特征二值化方法的生物特征匹配算法均取得了較好的識別性能,也具有更好的安全性.

References

1 Zhang Ning,Zang Ya-Li,Tian Jie.The integration of biometrics and cryptography—a new solution for secure identity authentication.Journal of Cryptologic Research,2015,2(2):159?176(張寧,臧亞麗,田捷.生物特征與密碼技術的融合—一種新的安全身份認證方案.密碼學報,2015,2(2):159?176)

2 Xu Qiu-Wang,Zhang Xue-Feng.Generating cancelable fingerprint templates using minutiae local information.Acta Automatica Sinica,2017,43(4):645?652(許秋旺,張雪鋒.基于細節點鄰域信息的可撤銷指紋模板生成算法.自動化學報,2017,43(4):645?652)

3 Cao K,Jain A K.Learning fingerprint reconstruction:from minutiae to image.IEEE Transactions on Information Forensics and Security,2015,10(1):104?117

4 Davida G I,Frankel Y,Matt B J.On enabling secure applications through off-line biometric identi fication.In:Proceedings of the 1998 IEEE Symposium on Security and Privacy.Oakland,USA:IEEE,1998.148?157

5 Juels A,Wattenberg M.A fuzzy commitment scheme.In:Proceedings of the 6th ACM Conference on Computer and Communications Security.Kent Ridge Digital Labs,Singapore:ACM,1999.28?36

6 Feng H,Anderson R,Daugman J.Combining crypto with biometrics effectively.IEEE Transactions on Computers,2006,55(9):1081?1088

7 Hartato B P,Adji T B,Bejo A.A review of chaffpoint generation methods for fuzzy vault scheme.In:Proceedings of the 2016 International Conference on Information Technology,Information Systems and Electrical Engineering(ICITISEE).Yogyakarta,Indonesia:IEEE,2016.180?185

8 You L,Yang L,Yu W K,Wu Z D.A cancelable fuzzy vault algorithm based on transformed fingerprint features.Chinese Journal of Electronics,2017,26(2):236?243

9 Ratha N K,Connell J H,Bolle R M.Enhancing security and privacy in biometrics-based authentication systems.IBM Systems Journal,2001,40(3):614?634

10 Ratha N K,Chikkerur S,Connell J H,Bolle R M.Generating cancelable fingerprint templates.IEEE Transactions on Pattern Analysis and Machine Intelligence,2007,29(4):561?572

11 Lee C,Choi J Y,Toh K A,Lee S.Alignment-free cancelable fingerprint templates based on local minutiae information.IEEE Transactions on Systems,Man,and Cybernetics,Part B(Cybernetics),2007,37(4):980?992

12 Ang R,Safavi-Naini R,McAven L.Cancelable key-based fingerprint templates.Information Security and Privacy.ACISP 2005.Lecture Notes in Computer Science.Berlin,Heidelberg,Germany:Springer,2005.242?252

13 Jin A T B,Ling D N C,Goh A.Biohashing:two factor authentication featuring fingerprint data and tokenised random number.Pattern Recognition,2004,37(11):2245?2255

14 Kong A,Cheung K H,Zhang D,Kamel M,You J.An analysis of Biohashing and its variants.Pattern Recognition,2006,39(7):1359?1368

15 Jin A T B,Ling D N C,Song O T.An efficient fingerprint veri fication system using integrated wavelet and Fourier-Mellin invariant transform.Image and Vision Computing,2004,22(6):503?513

16 Moon D,Yoo J H,Lee M K.Improved cancelable fingerprint templates using minutiae-based functional transform.Security and Communication Networks,2014,7(10):1543?1551

17 Liu Y X,Hatzinakos D.BioHashing for human acoustic signature based on random projection.Canadian Journal of Electrical and Computer Engineering,2015,38(3):266?273

18 Meetei T C,Begum S A.A variant of cancelable iris biometric based on BioHashing.In:Proceedings of the 2016 International Conference on Signal and Information Processing(IConSIP).Vishnupuri,India:IEEE,2016.1?5

19 Guo Jing,Xu Jiang-Feng.Cancellable key binding scheme based on BioHashing and shuffling algorithm.Application Research of Computers,2014,31(5):1511?1515(郭靜,徐江峰.一種基于BioHashing和洗牌算法的可撤銷密鑰綁定方案.計算機應用研究,2014,31(5):1511?1515)

20 Liu E Y,Liang J M,Pang L J,Xie M,Tian J.Minutiae and modi fied Biocode fusion for fingerprint-based key generation.Journal of Network and Computer Applications,2010,33(3):221?235

21 Maio D,Maltoni D,Cappelli R,Wayman J L,Jain A K.FVC2002:second fingerprint veri fication competition.In:Proceedings of the 16th International Conference on Pattern Recognition.Quebec City,Canada:IEEE,2002,3:811?814