基于TrustZone的移動(dòng)云環(huán)境指紋認(rèn)證終端APP的設(shè)計(jì)和實(shí)現(xiàn)

王志恒，徐彥彥

（測(cè)繪遙感信息工程國(guó)家重點(diǎn)實(shí)驗(yàn)室（武漢大學(xué)），武漢 430000）

（?通信作者電子郵箱xuyy@whu.edu.cn）

0 引言

在移動(dòng)云環(huán)境下，用戶將計(jì)算和存儲(chǔ)任務(wù)外包給資源豐富的云環(huán)境，使用移動(dòng)設(shè)備通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)云服務(wù)。移動(dòng)云環(huán)境不僅給用戶帶來(lái)諸多便利，還能有效地降低終端設(shè)備的存儲(chǔ)、計(jì)算和電量的開銷［1］；然而頻頻發(fā)生的云端攻擊和移動(dòng)端安全漏洞也給用戶隱私構(gòu)成了巨大的威脅。由于云服務(wù)缺少對(duì)移動(dòng)用戶的安全有效認(rèn)證而導(dǎo)致的隱私信息泄露事件已屢見不鮮。云安全聯(lián)盟（Cloud Security Alliance，CSA）在文獻(xiàn)［2］中著重強(qiáng)調(diào)了數(shù)據(jù)安全、應(yīng)用安全和身份授權(quán)對(duì)于云安全的重要性，其中身份的授權(quán)與認(rèn)證是安全系統(tǒng)的第一道門戶，在移動(dòng)云環(huán)境下，可信的身份認(rèn)證機(jī)制成為保護(hù)用戶隱私的重中之重。

生物認(rèn)證憑借其便捷和不易偽造等特性，在身份認(rèn)證領(lǐng)域備受青睞，但是用戶的生物特征信息與用戶永久性關(guān)聯(lián)，一旦丟失將無(wú)法撤銷，給用戶的身份安全造成潛在的不可估量的影響［3］。為此現(xiàn)有的可信認(rèn)證機(jī)制，例如線上快速身份驗(yàn)證聯(lián)盟（Fast IDentity Online，F(xiàn)IDO）、國(guó)際互聯(lián)網(wǎng)身份認(rèn)證聯(lián)盟（International Internet Finance Authentication Alliance，IIFAA）等制定的標(biāo)準(zhǔn)，都采用指紋本地認(rèn)證的方式，即使用指紋解鎖私鑰，與云端的公鑰進(jìn)行匹配完成認(rèn)證決策。這雖然在一定程度上保護(hù)了指紋特征，但是將用戶和設(shè)備進(jìn)行了綁定。保存用戶指紋數(shù)據(jù)的終端設(shè)備成為了用戶身份的證明，所以用戶只能在注冊(cè)的終端上進(jìn)行認(rèn)證。文獻(xiàn)［1］提出的可信移動(dòng)終端云服務(wù)安全接入方案，提供移動(dòng)客戶端到云服務(wù)器的端到端的認(rèn)證，但是模型基于可信云架構(gòu)基礎(chǔ)，在實(shí)際環(huán)境中難以滿足，就限制了基于指紋的生物特征認(rèn)證方式的接入。

作為認(rèn)證系統(tǒng)中的重要組成部分，移動(dòng)終端的安全問(wèn)題也需要被同等重視。移動(dòng)終端的脆弱性可能破壞整個(gè)云計(jì)算框架的魯棒性，造成用戶的隱私數(shù)據(jù)泄露［1］?，F(xiàn)有的指紋識(shí)別應(yīng)用中，文獻(xiàn)［4］在嵌入式芯片上移植了Linux 內(nèi)核與文件系統(tǒng)等，實(shí)現(xiàn)了指紋登記、認(rèn)證和考勤等功能，但是沒有對(duì)指紋特征和指紋的處理過(guò)程做任何保護(hù)；文獻(xiàn)［5］將指紋特征與密碼學(xué)相結(jié)合，在一定程度上保護(hù)了用戶的指紋數(shù)據(jù)，實(shí)現(xiàn)在線認(rèn)證的功能，但是終端程序運(yùn)行在PC 上，在硬件上不具有隔離機(jī)制，不能保證處理過(guò)程的安全性，且不具有移動(dòng)認(rèn)證的能力；文獻(xiàn)［6］基于TrustZone 的安全擴(kuò)展機(jī)制，在移動(dòng)設(shè)備上為指紋識(shí)別程序提供了安全的執(zhí)行環(huán)境，但是所實(shí)現(xiàn)的原型系統(tǒng)只能完成本地注冊(cè)和認(rèn)證的功能，不支持在線認(rèn)證；文獻(xiàn)［7］基于高通的可信執(zhí)行方案QSEE（Qualcomm Security Execution Environment）和IIFAA可信認(rèn)證框架，設(shè)計(jì)的指紋識(shí)別應(yīng)用實(shí)現(xiàn)了在線認(rèn)證和支付功能，并且能保證指紋數(shù)據(jù)的安全，但是存在IIFAA框架固有的便利性不足的問(wèn)題。

綜上所述，目前的同類指紋識(shí)別應(yīng)用存在安全性或便利性不足的問(wèn)題。本文在項(xiàng)目組已有工作［8］的基礎(chǔ)上，考慮了終端設(shè)備的安全性和移動(dòng)認(rèn)證的需求，基于TrustZone 和可信執(zhí)行環(huán)境（Trusted Execute Environment，TEE）設(shè)計(jì)并實(shí)現(xiàn)了移動(dòng)終端的指紋認(rèn)證APP，為整個(gè)可信認(rèn)證系統(tǒng)的安全提供重要保障和可信的數(shù)據(jù)來(lái)源，并擴(kuò)展了移動(dòng)訪問(wèn)云環(huán)境的能力。

1 TrustZone技術(shù)

TrustZone是ARM 公司提出的系統(tǒng)級(jí)的安全解決方案，它在盡量不影響原有處理器設(shè)計(jì)的情況下提高了系統(tǒng)的安全性［9］。該技術(shù)提供了一個(gè)具有高度安全性的系統(tǒng)架構(gòu)，并且能夠基于此架構(gòu)建立一個(gè)可信執(zhí)行環(huán)境，為敏感應(yīng)用提供安全服務(wù)。

在硬件架構(gòu)上，TrustZone 將單個(gè)的物理處理器虛擬為兩個(gè)內(nèi)核，兩個(gè)虛擬的內(nèi)核以分時(shí)的方式交替運(yùn)行。處理器內(nèi)核在工作時(shí)由NS（Non-Secure）位標(biāo)記當(dāng)前的安全狀態(tài)，同時(shí)配 合 擴(kuò) 展 的AXI（Advanced eXtensible Interface）總 線 和TrustZone 地址空間控制器（TrustZone Address Space Controller，TZASC）、TrustZone 內(nèi)存適配器（TrustZone Memory Adapter，TZMA）等安全組件，隔離敏感操作，保證安全內(nèi)存可以拒絕非安全事務(wù)的訪問(wèn)。硬件擴(kuò)展是TrustZone 安全結(jié)構(gòu)的基礎(chǔ)，它將安全性植入處理器的設(shè)計(jì)中，為安全性從普通操作系統(tǒng)中分離出來(lái)提供了實(shí)現(xiàn)的基礎(chǔ)［10］。

全球平臺(tái)組織（Global Platfor，GP）制定了基于TrustZone的可信執(zhí)行環(huán)境標(biāo)準(zhǔn)，軟件系統(tǒng)架構(gòu)如圖1［11］所示。其中普通環(huán)境（Rich Execute Environment，REE）中運(yùn)行普通操作系統(tǒng)和用戶程序，TEE 中運(yùn)行可信操作系統(tǒng)和可信應(yīng)用（Trusted Application，TA）?？尚挪僮飨到y(tǒng)負(fù)責(zé)TA 的調(diào)度和監(jiān)管，并包含監(jiān)控器代碼負(fù)責(zé)REE 和TEE 的切換。TEE Internal API 定義了TA 中常用的密鑰管理、密碼算法、安全存儲(chǔ)等功能的接口，TEE Client API是REE與TA交互的接口，使得普通程序可以調(diào)用TA 里的功能，向TA 發(fā)送命令并接收TA返回的結(jié)果。

圖1 TEE的軟件架構(gòu)Fig.1 Software architecture of TEE

TrustZone 技術(shù)構(gòu)造了一個(gè)安全的隔離運(yùn)行環(huán)境，使其既能隔離不可信軟件的潛在安全威脅，又能有效地運(yùn)行被隔離軟件，還能夠監(jiān)控其行為，從根本上解決了不可信軟件的安全威脅［9］。

2 終端指紋認(rèn)證程序框架

本文在Hikey960 開發(fā)板硬件平臺(tái)上，使用GP 標(biāo)準(zhǔn)定義的TEE Client API 和TEE Internal API 設(shè)計(jì)了安全的移動(dòng)終端指紋認(rèn)證程序。因?yàn)樽裱璆P標(biāo)準(zhǔn)，使得具體的實(shí)現(xiàn)不依賴于TEE 方案提供商，具有良好的通用性和可移植性。安全操作系統(tǒng)下的可信應(yīng)用完成指紋模板的生成工作，普通操作系統(tǒng)下的通用程序則負(fù)責(zé)與用戶和服務(wù)器的交互。系統(tǒng)之間的切換由ARM 可信固件（ARM Trusted Firmware，ATF）完成。通過(guò)將普通操作和敏感操作隔離運(yùn)行，有效地保證了指紋處理過(guò)程的安全性。

2.1 框架設(shè)計(jì)

基于TrustZone 的可信認(rèn)證系統(tǒng)終端APP 框架包含兩個(gè)部分：REE 中的指紋識(shí)別通用程序和TEE 的可信服務(wù)。如圖2所示。

圖2 可信終端指紋識(shí)別程序框架Fig.2 Framework of trusted terminal fingerprint identification program

指紋識(shí)別通用程序是運(yùn)行在Android 系統(tǒng)下的一個(gè)用戶程序。除了與用戶交互的功能之外，包含兩個(gè)主要的功能模塊：與服務(wù)器交互的通信模塊和對(duì)TA 中的服務(wù)進(jìn)行調(diào)用的Client模塊。

TEE 里的可信程序TA 是安全操作系統(tǒng)下的用戶空間程序，執(zhí)行與安全模板生成相關(guān)的操作。按照功能可以分為特征提取模塊、正交分解模塊和密鑰管理模塊。

特征提取模塊在檢查外設(shè)的安全性之后，從指紋采集設(shè)備中獲取指紋圖像的二維數(shù)組，提取出指紋特征。正交分解模塊使用文獻(xiàn)［8］中提出的正交分解算法對(duì)指紋特征進(jìn)行變換，生成安全模板。完成之后將安全模板返回給REE 側(cè)的Client 模塊。正交分解過(guò)程中需要的隨機(jī)映射矩陣由密鑰管理模塊提供。該模塊在注冊(cè)過(guò)程中，產(chǎn)生新的隨機(jī)映射矩陣用于生成安全模板；在認(rèn)證過(guò)程中，通過(guò)重加密［12］機(jī)制獲取隨機(jī)映射矩陣，用于變換特征的生成。

2.2 交互過(guò)程

Client 模塊與TA 的交互類似于客戶端/服務(wù)器模型。Client 模塊請(qǐng)求TA 在TEE 中執(zhí)行某個(gè)操作，都會(huì)經(jīng)歷初始化上下文、打開會(huì)話、發(fā)送命令、關(guān)閉會(huì)話、終止上下文等操作。這個(gè)調(diào)用過(guò)程經(jīng)過(guò)了TEE客戶端接口、TEE在內(nèi)核端的驅(qū)動(dòng)、EL3（Exception Levels 3）下安全監(jiān)控模式調(diào)用的處理、TEE 中安全操作系統(tǒng)的線程處理、以及TEE 中TA 的運(yùn)行、TEE 端底層庫(kù)或者硬件資源支持等幾個(gè)階段。當(dāng)TA 執(zhí)行完具體請(qǐng)求后會(huì)按照原路徑將數(shù)據(jù)返回給Client 模塊。本文中Client 模塊與TA的完整交互如圖3所示。

圖3 Client模塊與TA的完整交互過(guò)程Fig.3 Complete interaction process between Client module and TA

3 關(guān)鍵模塊的設(shè)計(jì)和實(shí)現(xiàn)

3.1 特征提取模塊

特征提取模塊對(duì)輸入的指紋圖像數(shù)據(jù)進(jìn)行處理，提取出指紋圖像的FingerCode 特征［13］。FingerCode 特征是一種基于Gabor濾波的指紋紋理特征描述方法，它保留了豐富的脊線信息，在一定程度上能克服基于細(xì)節(jié)點(diǎn)的特征算法在質(zhì)量較差的區(qū)域難以提取的缺點(diǎn)，同時(shí)文獻(xiàn)［5］中的實(shí)驗(yàn)指出FingerCode 方案有著不低于指紋細(xì)節(jié)點(diǎn)匹配的準(zhǔn)確度。在實(shí)際中FingerCode 特征由于高效、準(zhǔn)確等優(yōu)點(diǎn)，廣泛應(yīng)用于多種認(rèn)證場(chǎng)景［14-15］中。

特征提取模塊的處理過(guò)程包括參考點(diǎn)定位、扇區(qū)分割、正則化、濾波、特征值計(jì)算等步驟。各步驟的處理結(jié)果如圖4所示。

圖4 FingerCode特征提取流程Fig.4 Feature extraction process of FingerCode

中心點(diǎn)定位計(jì)算原始圖像的方向圖，將指紋脊線曲率最大點(diǎn)作為指紋的參考點(diǎn)。以參考點(diǎn)為中心將指紋圖像分成若干個(gè)扇區(qū)。之后對(duì)每個(gè)扇區(qū)的像素灰度值進(jìn)行正則化，以去除傳感器噪聲和手指壓力變化產(chǎn)生的形變［13］。正則化的公式表述為：

其中：Mi和Vi分別表示第i個(gè)扇區(qū)的均值和方差，M0和V0分別表示所期望的均值和方差。對(duì)正則化之后的指紋圖像按照式（2）分別進(jìn)行8個(gè)方向的Gabor濾波操作，θ分別取0°、22.5°、45°、67.5°、90°、112.5°、135°、157.5°得到8 個(gè)濾波圖像。其中f是在θ 方向上的正弦波的頻率，δx'和δy'分別是高斯函數(shù)在x'和y'軸的標(biāo)準(zhǔn)差。

計(jì)算每個(gè)扇區(qū)的平均絕對(duì)偏差作為特征值。如式（5），其中Fiθ表示θ方向?yàn)V波后圖像的第i個(gè)扇區(qū)，Piθ為該扇區(qū)的均值。

3.2 正交分解模塊

正交分解模塊對(duì)輸入的FingerCode 特征進(jìn)行正交分解、加噪和正交融合等操作，輸出安全的指紋模板。流程的偽代碼如算法1 所示，其中的變量和計(jì)算都是在向量或矩陣意義下。第1）行的getRandomMatrix（）函數(shù)是使用密鑰管理模塊提供的接口得到隨機(jī)映射矩陣，第10）行使用random（）函數(shù)生成n/2 行、n 列的隨機(jī)數(shù)矩陣。從指紋模板里可以在不解密的情況下，提取出特征匹配域（偽代碼中的y1）進(jìn)行指紋特征匹配。對(duì)指紋特征進(jìn)行正交分解的原理和流程在文獻(xiàn)［8］中有詳細(xì)的闡述。

算法1 指紋特征正交分解算法。

輸入 指紋特征x ∈Rn；

輸出 指紋模板t ∈Rn。

3.3 密鑰管理模塊

密鑰管理模塊使用重加密機(jī)制對(duì)密鑰進(jìn)行管理，工作流程如圖5所示。

圖5 密鑰管理模塊處理流程Fig.5 Flowchart of key management module processing

注冊(cè)過(guò)程中需要的隨機(jī)映射矩陣，可以由獨(dú)立同分布的高斯序列生成［16-17］。首先生成獨(dú)立同高斯分布的n 維隨機(jī)矩陣，進(jìn)行Gram-Schmidt正交化得到隨機(jī)映射矩陣R。之后對(duì)R進(jìn)行一次加密后返回給服務(wù)器。服務(wù)器作為重加密機(jī)制中半可信代理者的身份，在注冊(cè)階段對(duì)注冊(cè)終端的隨機(jī)映射矩陣進(jìn)行二次加密后存儲(chǔ)，在認(rèn)證的過(guò)程中發(fā)送給認(rèn)證終端。認(rèn)證終端獲取二次加密后的隨機(jī)映射矩陣的密文后，在密鑰管理模塊中一次解密獲得隨機(jī)映射矩陣，用于認(rèn)證過(guò)程變換特征的生成。

使用重加密機(jī)制對(duì)密鑰管理，使得隨機(jī)映射矩陣在存儲(chǔ)和傳輸?shù)倪^(guò)程中都以密文的形式傳遞，只有認(rèn)證時(shí)可以在TrusuZone內(nèi)解密獲得，保證了變換密鑰的安全性。

3.4 指紋匹配和認(rèn)證決策

本文使用FingerCode 指紋特征，特征的匹配基于歐氏距離。在服務(wù)器進(jìn)行指紋匹配時(shí)，使用子隨機(jī)映射矩陣R2從安全模板t 中提取匹配特征f。根據(jù)正交分解的距離保持特性［18］，匹配特征保持了原始生物特征的距離，可用于指紋的匹配。式（6）、（7）分別是匹配特征提取和相似度計(jì)算的公式：

4 實(shí)驗(yàn)與分析

4.1 實(shí)驗(yàn)平臺(tái)

本實(shí)驗(yàn)硬件平臺(tái)為搭載Kirin960 芯片的Hikey960 開發(fā)板，開發(fā)板支持TrustZone 安全擴(kuò)展，配置有Cortex-A73 處理器，4 GB DDR3內(nèi)存等。另外中控智慧的Live20R光學(xué)指紋采集儀，使用USB接口與開發(fā)板連接。

在軟件平臺(tái)上，采用了開源TEE 提供方案OPTEE。OPTEE 按照GP 標(biāo)準(zhǔn)完整地實(shí)現(xiàn)了一個(gè)可信執(zhí)行環(huán)境，該項(xiàng)目由ST-Ericsson 創(chuàng)建，是Linaro 社區(qū)在維護(hù)的核心安全項(xiàng)目之一。本文移植了OPTEE_OS 和Android P 分別作為TEE 和REE中的操作系統(tǒng)。另外移植了ATF用于安全狀態(tài)的監(jiān)控和上下文的切換，以及在開機(jī)過(guò)程中的安全引導(dǎo)。

本文的實(shí)驗(yàn)數(shù)據(jù)庫(kù)使用了Neurotechnology 的公開指紋數(shù)據(jù)集［19］。該數(shù)據(jù)集有48 個(gè)類，每個(gè)類包含相同手指的8 次不同錄入，共有384幅指紋圖片。

4.2 程序功能測(cè)試

Android 下的指紋識(shí)別程序是用戶訪問(wèn)安全服務(wù)的入口，指紋認(rèn)證APP 向用戶提供了注冊(cè)和認(rèn)證的功能，下面分別就程序的安全性和指紋識(shí)別的性能進(jìn)行分析和測(cè)試。

4.2.1 安全性分析

程序的安全性由指紋模板的安全性和執(zhí)行環(huán)境的安全性共同決定。

基于正交分解生成的指紋模板，具有不可逆性、不可鏈接性和動(dòng)態(tài)變化性，并且采用重加密機(jī)制對(duì)密鑰進(jìn)行安全分發(fā)，使得指紋模板可以抵抗常見的攻擊類型。文獻(xiàn)［8］證明了攻擊者難以在多項(xiàng)式時(shí)間內(nèi)破解指紋模板。具體來(lái)說(shuō)不同攻擊類型的計(jì)算復(fù)雜度如表1 所示，其中：n 為模板長(zhǎng)度，l 為元素字長(zhǎng)，m為子隨機(jī)映射矩陣中向量的數(shù)目。

表1 各類攻擊的時(shí)間復(fù)雜度Tab.1 Time complexity of various attacks

本文使用自相關(guān)系數(shù)和信息熵對(duì)指紋模板的安全性進(jìn)行衡量，自相關(guān)函數(shù)表示同一個(gè)時(shí)間序列在任意兩個(gè)不同時(shí)刻的取值之間的相關(guān)程度，表征了相鄰特征元素的相關(guān)性。自相關(guān)函數(shù)R（T）計(jì)算如式（8）所示，其中x(i)表示特征向量第i個(gè)維度的值，n 是特征向量的維度，T 是信號(hào)的延遲或向量的位移量。

信息熵可以用來(lái)描述隨機(jī)變量的不確定性，其定義如下：

其中：p(x(i))是x(i)發(fā)生的概率。密文特征的信息熵越高意味著它的分布越接近均勻，因此具有更高的隨機(jī)性和更高的安全性。

不同算法生成的指紋模板的自相關(guān)函數(shù)如圖6 所示。從圖中可以看到原始的指紋特征之間存在著不可忽略的相關(guān)性，即存在安全隱患；而正交分解生成特征的自相關(guān)函數(shù)接近于0，并且低于隨機(jī)映射特征的自相關(guān)系數(shù)。這意味著外部攻擊者難以利用特征之間的相關(guān)性推測(cè)出原始生物特征信息。

圖6 不同算法的自相關(guān)系數(shù)Fig.6 Autocorrelation coefficients of different algorithms

實(shí)驗(yàn)在數(shù)據(jù)庫(kù)上計(jì)算了不同特征的平均信息熵，并計(jì)算均勻分布的隨機(jī)變量的信息熵作為對(duì)比，如表2 所示。從中可以看出，使用正交分解生成的指紋模板相較于原始的指紋特征，具有更高的信息熵，表明指紋模板的隨機(jī)性較強(qiáng)，更難以被破解，安全性更高。

表2 不同類型特征的信息熵Tab.2 Information entropy of different types of features

執(zhí)行環(huán)境的安全性可以由TrustZone 提供的硬件隔離機(jī)制保證。指紋模板的生成在TA 內(nèi)部完成，TrustZone 通過(guò)內(nèi)存隔離、中斷隔離等機(jī)制，保證REE中的程序不能訪問(wèn)到TEE的指令和數(shù)據(jù)［20］，可以有效保證執(zhí)行過(guò)程的安全。

終端的啟動(dòng)過(guò)程由ATF 進(jìn)行安全引導(dǎo)，ATF 會(huì)在啟動(dòng)下一個(gè)階段的映像之前，對(duì)內(nèi)核映像進(jìn)行驗(yàn)簽，保證啟動(dòng)的內(nèi)核映像沒有被非法篡改［20］；另外在加載可信應(yīng)用到安全內(nèi)存的時(shí)候OPTEE_OS 會(huì)對(duì)TA 進(jìn)行驗(yàn)證，保證TA 是合法的而不是被掉包的同名應(yīng)用。

正交分解算法保證了指紋模板的安全性，而使用TrustZone 提供的可信執(zhí)行環(huán)境可以保證運(yùn)行環(huán)境的安全性。因此終端程序可以安全地完成指紋特征提取、模板生成等工作，為服務(wù)器的認(rèn)證提供可信的數(shù)據(jù)來(lái)源。

4.2.2 指紋算法準(zhǔn)確性驗(yàn)證

指紋算法匹配的準(zhǔn)確性與安全性無(wú)關(guān)，并且實(shí)際系統(tǒng)中指紋匹配是在服務(wù)器進(jìn)行的，因此本實(shí)驗(yàn)在服務(wù)器環(huán)境下單獨(dú)對(duì)指紋算法的準(zhǔn)確性進(jìn)行了測(cè)試。測(cè)試環(huán)境是Intel Xeon E-2124 CPU，主頻3.30 GHz，運(yùn)行Ubuntu 18.0.4 操作系統(tǒng)，在IntelliJ集成開發(fā)環(huán)境下編寫和運(yùn)行Java指紋識(shí)別程序。

算法的準(zhǔn)確性使用拒真率和誤識(shí)率來(lái)衡量。每個(gè)手指隨機(jī)選擇一張指紋圖片進(jìn)行注冊(cè)，注冊(cè)后模板數(shù)據(jù)庫(kù)保存48 個(gè)不同手指的模板。在計(jì)算拒真率時(shí)，用每個(gè)指紋模板和該類的所有指紋匹配進(jìn)行1∶1 匹配，重復(fù)進(jìn)行該測(cè)試以盡可能覆蓋全部的認(rèn)證匹配情況；計(jì)算誤識(shí)率時(shí)，用每個(gè)指紋模板與數(shù)據(jù)集中不屬于該類的所有指紋進(jìn)行匹配，統(tǒng)計(jì)匹配成功的次數(shù)實(shí)驗(yàn)采用循環(huán)驗(yàn)證，一共進(jìn)行了3 840 次類內(nèi)匹配和18 048次類間匹配。匹配結(jié)果如表3所示。

表3 各指紋類內(nèi)和類間匹配結(jié)果Tab.3 Fingerprint matching results of intra-class and inter-class

在數(shù)據(jù)集上沒有出現(xiàn)誤識(shí)的情況，證明指紋特征和匹配算法可以有效地區(qū)分不同的用戶，不會(huì)讓非法用戶訪問(wèn)云環(huán)境。誤識(shí)的原因在于數(shù)據(jù)庫(kù)中部分指紋圖像質(zhì)量較低，不能提取出有效的特征。在實(shí)際應(yīng)用中，采用了高精度傳感設(shè)備采集清晰的指紋圖像，并對(duì)圖像質(zhì)量進(jìn)行檢查，只有在獲取到清晰的指紋圖像后才進(jìn)行后續(xù)的注冊(cè)和認(rèn)證步驟，有效減少了拒真情況。

實(shí)驗(yàn)對(duì)客戶端需要的計(jì)算和存儲(chǔ)開銷做了對(duì)比測(cè)試，如表4 所示。相較于隨機(jī)映射的本地認(rèn)證方案，本文的實(shí)現(xiàn)只需要存儲(chǔ)用于重加密的公鑰和私鑰，隨機(jī)映射矩陣在認(rèn)證時(shí)從服務(wù)器獲得，從而大大減少了存儲(chǔ)開銷。注冊(cè)和認(rèn)證時(shí)增加了重加密計(jì)算和與服務(wù)器的通信交互，因此耗時(shí)有所提升，但是控制在0.5 s左右，滿足了實(shí)際使用的需要。

表4 客戶端的計(jì)算和存儲(chǔ)開銷對(duì)比Tab.4 Calculation and storage cost comparison in client

綜上所述，指紋識(shí)別和匹配算法，可以對(duì)用戶的身份進(jìn)行有效認(rèn)證，防止非法用戶冒名訪問(wèn)云服務(wù)導(dǎo)致的信息泄露。另外利用TrustZone 隔離機(jī)制和正交分解算法，生成安全的指紋模板在云端存儲(chǔ)和匹配，解除用戶與設(shè)備的綁定，滿足移動(dòng)云環(huán)境下安全認(rèn)證的要求。

5 結(jié)語(yǔ)

本文基于TrustZone 的硬件隔離機(jī)制，在TEE 中設(shè)計(jì)和實(shí)現(xiàn)了一種基于正交分解算法的指紋認(rèn)證終端APP。理論的分析和實(shí)驗(yàn)表明，所設(shè)計(jì)的APP 可以有效地保護(hù)用戶的生物特征信息，并且解除了用戶與設(shè)備的綁定，提升使用的便利性，適合移動(dòng)云環(huán)境下的安全認(rèn)證。本文是基于指紋識(shí)別實(shí)現(xiàn)了可信認(rèn)證APP 的原型，實(shí)際上本文所提出的方案和安全認(rèn)證框架同樣適合于其他類型的生物識(shí)別認(rèn)證，如人臉識(shí)別等。本文所提出的方案對(duì)于在不可信的移動(dòng)云環(huán)境下實(shí)現(xiàn)支持隱私保護(hù)的生物特征認(rèn)證，有著一定的研究意義和實(shí)用價(jià)值。