基于兩枚不同指紋融合模糊金庫的身份認證算法

周 迪 胡偉通 鮑 狄 陳宇磊 游 林*

1(浙江宇視科技研究院 浙江 杭州 310051) 2(杭州電子科技大學網(wǎng)安學院 浙江 杭州 310018) 3(浙商銀行股份有限公司 浙江 杭州 310003)

0 引 言

依據(jù)Kerckhoffs準則[1],一個密碼系統(tǒng)的安全性,并不是因為一個對于對手來說保密的算法,而是因為它的密鑰對于對手來說保密,換言之,一個密碼系統(tǒng)的加密算法可以是公開的,只要保證使用的密鑰安全性就能保證整個系統(tǒng)安全。因而,對于密鑰的保護成了密碼系統(tǒng)中最重要的一環(huán),而生物特征識別技術在各種角度上對于密鑰的管理、儲存的安全性有極大幫助。與傳統(tǒng)的口令不同,口令能夠被字典攻擊破解,而基于人類某項或某幾項生物特征進行加密,由于生物特征本身的多樣性、復雜性,使得攻擊者很難構(gòu)造類似的生物特征字典來進行暴力破解,另外因為生物特征具體是人的指紋、虹膜、掌紋、聲紋等信息,比起傳統(tǒng)的以某種持有物作為密鑰相比,在面對轉(zhuǎn)移和竊取手段時天然具備更好的安全特性。本文嘗試以生物特征為基礎構(gòu)造一種身份認證方案,可生物特征識別技術也并非完美,它同樣存在一些問題,主要體現(xiàn)在生物特征普適性和模板安全性上。為此,將多生物特征識別技術和密碼技術相結(jié)合來較好地解決上述兩個問題。

模糊金庫是一種利用具有某些特定屬性的集合來保護秘密信息的特殊屬性集合,而基于單一樣本生物特征的模糊金庫在安全性上越來越無法滿足社會生活的實際需求,從而結(jié)合多種生物樣本特征構(gòu)造新型多樣本生物特征模糊金庫應運而生。

本文將對來自兩枚不同手指的兩個指紋進行預校準后的指紋圖像作為多樣本(在這里也就是雙樣本),然后利用Diffie-Hellman密鑰交換協(xié)議的思想,提出基于有限乘法群上離散對數(shù)安全的一種雙指紋特征融合方法,并由此產(chǎn)生一個全新的虛擬指紋特征模板,隨后結(jié)合經(jīng)典模糊金庫算法,提出了一種基于兩枚不同指紋融合模糊金庫的身份認證方案,并且在測試中取得了較好的效果。

本文首先對模糊金庫和指紋特征處理技術進行了簡單的介紹,以Diffie-Hellman密鑰交換協(xié)議為靈感來源,提出了一種乘法群上細節(jié)點與方向場的融合方法。隨后將產(chǎn)生的融合特征分別與經(jīng)典模糊金庫結(jié)合,構(gòu)建了一種新的模糊金庫方案,并進行了實驗仿真,最后對實驗結(jié)果做了分析。

1 模糊金庫方案

模糊金庫方案是一種經(jīng)典的生物特征與密碼技術相結(jié)合綁定的方案,其思想最早在2002年IEEE信息論國際會議上由Juels等[2]提出。該方案是利用使用者的某些特定屬性的集合,如用戶特定歸屬類別的數(shù)字化集合,當做密鑰,然后利用某種特定的某種數(shù)學方法將使用者的秘密信息隱藏儲存在一個特別的方程系統(tǒng)或者是一個特殊集合中,使用者只要保護好這個信息即可。當且僅當使用者將原先特定的歸屬類別的數(shù)字化集合(或者其他使用者特定屬性集合)輸入才能正確完整獲取隱藏儲存在其中的秘密信息,值得一提的是模糊金庫方案中,并不一定要將整個特定屬性集合完整無誤的輸入,而是只要達到一個近乎相同的水平。文獻[3-7]分別對基于指紋特征的模糊金庫方案各方面進行了研究,同時也取得了比較好的成果。基于指紋特征的模糊金庫方案是目前在理論研究及實際應用上最為成熟的。(指紋)模糊金庫原理如圖1所示。

(b) 解鎖階段圖1 指紋模糊金庫技術原理

Lee等[8]在2007年首次提出了基于虹膜特征的模糊金庫方案。同年Nyang等[9]提出一種基于帶權重生物特征的模糊金庫實現(xiàn)方案。Kumar等[10]在2008年提出一個基于掌紋的模糊金庫的雙層(一層對稱密碼另一層非對稱密碼)加密系統(tǒng)。Cao等[11]在2011年提出了一種能夠應用于人體傳感網(wǎng)絡的改進模糊金庫方案。Bringer等[12]在2012年提出一種基于折疊RS編碼以及相應的列表恢復算法的多用戶的擴展模糊金庫模型,實現(xiàn)了多用戶共享同一個模糊金庫。Velciu等[13]在2014年提出一種基于聲紋特征的模糊金庫方案,其特點是將模糊金庫與云計算相結(jié)合,做到云環(huán)境下的密鑰保護及訪問控制。同年Moon等[14]提出并實現(xiàn)了一整套IC卡環(huán)境下實用化的模糊金庫方案。

模糊金庫方案是一種較理想的保護用戶秘密信息安全的信息技術,所以其實際的安全性能和應用性能也日益引起相關研究人員的關注。2007年Scheirer等[15]對常見的SKA(密鑰泄露)、ARM(記錄多樣性)、BSA(盲替代)三種針對模糊金庫的攻擊方式進行了分析。2010年Fu等[16]為了解決記錄多樣性攻擊和盲替代攻擊提出了一種對提取的真實點進行雙線映射的模糊金庫方案,該方案基于Pairing-based Cryptography(配對密碼體制)。2012年Poon等[17]對當時使用的幾種模糊金庫主要包括RS、B-M、CRC中的解碼方案進行了測試比較,結(jié)果認為Gao[18]的RS解碼方案較之于B-M方案更出色,同時得到結(jié)論,CRC方案在面對暴力破解時存在明顯的短板,哪怕是對方案進行了改進后仍舊存在該問題。2013年Nguyen等[19]在模糊金庫的雜湊點生成算法中取得了較好的成果,提出的新型雜湊點算法一定程度上提高了指紋模糊金庫安全性的同時,較當時常用的算法在時間上有了大幅縮短。2014年Josef等[20]將hash引入了模糊金庫,在儲存真實點時對真實點進行hash計算,提高了模糊金庫安全性。

2 指紋特征識別技術

本文主要關注指紋預處理、特征提取與量化過程。這些環(huán)節(jié)的必要性一方面考慮到存儲空間的消耗以及避免圖像縮放失真等的性能需求。另一方面是因為原始指紋圖像的質(zhì)量不能得到保證,首先指紋采集對象如老年人群、一些從事體力勞動的工人、農(nóng)民指紋存在殘缺磨損的現(xiàn)象極為普遍,其次即便擁有完整清晰指紋的對象,當進行指紋采集時仍舊不可避免的存在噪聲,這必然導致虛假細節(jié)點的產(chǎn)生。因此,直接使用原始采集圖像,簡單提取細節(jié)點進行使用,不可能滿足實際需要。通過指紋圖像矢量化、增強、二值化、量化等過程可以大幅減少噪聲干擾,大大提高對殘缺指紋的識別效果,同時壓縮圖像存儲空間,防止圖像縮放失真。

2.1 指紋圖像預處理

指紋圖像預處理過程如圖2所示。

圖2 指紋圖像預處理流程

1) 指紋梯度計算。梯度場是一種由數(shù)量場得到的矢量場,能夠反映指紋中谷線與脊線場強變化。對指紋圖像進行矢量化操作,不但能夠壓縮圖像存儲空間,還能避免圖像縮放過程導致的失真。我們將一幅原始指紋圖像記為F(x,y),其指紋梯度場記為T(x,y),計算該點的偏微分,得到的就是最陡的方向。那么求指紋圖像F(x,y)偏導數(shù):對x求偏微分的值,能得到水平分量記為Fx(x,y),對y求偏微分的值,能得到垂直分量記為Fy(x,y),最后求出該點梯度向量T(x,y)。該點的梯度值為

(1)

2) 指紋圖像分割與收斂。為了區(qū)分指紋圖像的前景和背景,我們需要對指紋進行分割。由于隨著圖像中梯度不同會出現(xiàn)顏色深淺不同,所以我們可以梯度值來做指紋圖像的分割,其中前景梯度數(shù)值通常較大(顏色更白),背景梯度數(shù)值通常較小(顏色更黑)。由此我們就能利用梯度值來對指紋圖像進行分割,過程如下:

(1) 平滑處理:去噪。

(2) 分割前景背景:通過設置梯度閾值,記分割閾值為δ,則

若|T(x,y)|>δ,像素點(x,y)位于前景。

若|T(x,y)|<δ,像素點(x,y)位于背景。

使用該方法做指紋圖像分割的程序?qū)崿F(xiàn)結(jié)果如圖3(b)。在實際生活中,由于面光源效應、環(huán)境因素或者非理想點的存在紋線的灰度圖像的灰度和像素位置會發(fā)生一定的偏移。進一步的圖像收斂能盡量修正這種偏移,這里我們采用二維高斯函數(shù)進行收斂。圖3(c)為對圖3(b)進行采用二維高斯函數(shù)進行圖像收斂后得到的指紋圖像。

(a) 原始指紋圖像 (b) 分割后指紋圖像 (c) 收斂后指紋圖像圖3 指紋圖像預處理

2.2 指紋特征增強、二值化、量化與特征提取

分割后的指紋圖像在經(jīng)過收斂后圖像質(zhì)量有所改善但依舊達不到對噪聲的完全剔除,也難以滿足接下來特征提取量化的需要,進一步地處理包括:增強、細化、量化等。為了使得使紋線更加清晰,使用二維Gabor濾波,由于它是一個經(jīng)過復數(shù)正弦函數(shù)調(diào)制的高斯函數(shù),其實部進行濾波時能得到平滑的圖像效果,它能夠沿著紋線方向?qū)D像進行收斂增強,彌補紋線斷裂的不足。下一步是指紋圖像的二值化,本文中采用了領域分析法,該方法在成像質(zhì)量較好表現(xiàn),設脊線區(qū)域灰度值賦值為黑色(0),谷線區(qū)域灰度值賦值為白色(255)。

經(jīng)過二值化之后得到的指紋圖像已經(jīng)達到了指紋細節(jié)點特征提取的要求。指紋細節(jié)點特征種類較多,其中最主要是分叉點以及端點。指紋紋線的末端即為端點,兩條指紋紋線相交點即為分叉點。圖4標出了4種細節(jié)點特征:分叉點、端點、環(huán)點以及孤立點。

圖4 四種指紋細節(jié)點特征

可以看出,經(jīng)過了預校準的指紋特征,基本滿足了指紋特征提取的需求,但是在實際當中,在各種外在因素影響下,提取到的指紋細節(jié)點坐標會因為時間的不同產(chǎn)生一些隨機的無法預估的變化。然而在模糊金庫方案中,密鑰信息與指紋特征的綁定操作又必須保證有一定數(shù)量的細節(jié)點坐標數(shù)據(jù)完全正確,確保密鑰恢復的準確無誤。因此我們需要對指紋特征做進一步的量化處理,一種簡單的棋盤格式量化方法就能夠較好地解決上述由于外在因素導致的細節(jié)點差異問題。首先我們將指紋圖像大小為255×255,然后是設置一個合適的D(區(qū)間間隔)目的是將指紋坐標量化,區(qū)間間隔的設置會影響量化后指紋特征坐標點與量化前坐標點的相似程度,很明顯,當區(qū)間間隔越小,量化前后的指紋特征圖像越近似,反之,差距越大,量化公式如下:

若量化區(qū)間間隔參數(shù)D為偶數(shù),則:

(2)

若量區(qū)間間隔參數(shù)D為奇數(shù),則:

(3)

例如坐標點為(201,19),當取D=3時,量化區(qū)間間隔參數(shù)為3,經(jīng)D為奇數(shù)的公式計算其橫坐標量化后結(jié)果為202,縱坐標量化結(jié)果為19,即細節(jié)點(201,19)量化后坐標為(202,19)。

圖5(a)為量化后的圖像,圖5(b)為對量化后的圖像提取細節(jié)點特征。

(a) 量化后圖像 (b) 提取特征點(端點與分叉點)圖5 指紋圖像細化和特征提取

3 基于細節(jié)點與方向場的融合方法

3.1 融合方法

Diffie-Hellman密鑰交換協(xié)議[21]是一種基于離散對數(shù)計算困難性的算法,它不是一種加密方法而是一種建立密鑰的方法,一種密鑰交換算法,因此必須配合其他某種加密算法相結(jié)合來使用。

簡要概述如下:

(2) A秘密選定一個整數(shù)a:1

(3) B秘密選定一個整數(shù)b:1

(4) A計算k=Bamodp。

(5) B計算k′=Abmodp。

因為Ba=(gb)a=gab=(ga)b=Abmodp,所以A和B計算得到的k與k′是相同的。攻擊者想要獲得k,那么他需要解離散對數(shù)問題A=gxmodp或B=gxmodp,這無疑非常困難的。

我們選擇使用Diffie-Hellman密鑰交換協(xié)議來完成兩枚指紋細節(jié)點的融合,將來自同一用戶的兩不同手指的指紋作為A和B,也就是協(xié)議中要進行密鑰交換的雙方,那么,可以將兩枚手指指紋的細節(jié)點特征看作秘密信息,通過協(xié)議進行交換產(chǎn)生虛擬的細節(jié)點來當作一個全新的雙指紋特征融合集合。

這是我們初步的融合思路,但是實際中我們發(fā)現(xiàn),兩枚指紋各自產(chǎn)生的所有特征點集合互相進行融合,最后得到的共享的虛擬細節(jié)點的集合擴大到了單個指紋特征集合的平方,這必然導致進行密鑰恢復計算時的計算量大幅度提高,另一方面,由于產(chǎn)生的虛擬細節(jié)點數(shù)目龐大,而虛擬細節(jié)點又作為模糊金庫當中的真實點存在,這意味著模糊金庫當中存在的真實點數(shù)量高度擴大,從而影響到模糊金庫的安全性。為了解決上述問題,下面提出了一種改進的融合方法。

3.2 基于細節(jié)點方向場融合方法

Li等[22]在2013年針對指紋模板安全性的問題,提出了一種虛擬指紋的重構(gòu)算法,該算法同樣使用兩枚指紋,將一枚指紋的細節(jié)點與另一枚指紋的方向場結(jié)合再進行重構(gòu)產(chǎn)生虛擬指紋?？紤]到之前出現(xiàn)兩枚指紋細節(jié)點融合計算量過大的問題,我們結(jié)合該方法,提出了一種新的融合方法,該方法對第一枚指紋的細節(jié)點與第二枚指紋的方向場進行融合,簡記為MO(Minutiae and Orientation)。

對于指紋A和指紋B,根據(jù)前面的預處理和特征提取后分別得到圖6(a)的細節(jié)點集合與圖6(b)的方向場,下一步進行特征融合。

(a) 指紋A的細節(jié)點 (b) 指紋B的方向場

(c) 指紋B量化結(jié)果 (d) 兩指紋疊加圖6 MO融合方法

1) 對指紋B方向場進行量化,公式為:

θB=θB/(16×16)

(4)

得圖6(c)。

2) 將A的細節(jié)點與B方向場疊加得圖6(d)。

3) 指紋A和B特征融合,公式:

(5)

上述算法通過偽代碼描述如算法1所示。

算法1融合方法實現(xiàn)MO算法偽代碼

輸入:FA,θB。

輸出:FAB。

1)sA=count(FA)

//統(tǒng)計集合FA的細節(jié)點個數(shù);

2)θB=θB/(16*16)

//16間隔量化;

3) foriinrange(sA):

//融合指紋A;

//串接指紋A坐標;

//兩指紋融合;

6)RFi=(rFi/256,rFimod 256)

//偽細節(jié)坐標生成;

7)FAB={RF1,…,RFSA};

8) end

4 基于雙指紋融合模糊金庫的身份認證方案

4.1 注 冊

基于上面提出的指紋特征融合方案MO,提出一種模糊金庫方案MO-FV,由此生成身份認證模板,簡記為IT,完成身份認證算法的注冊環(huán)節(jié),圖7是注冊過程流程圖。

算法2身份認證模板生成

輸入:兩枚不同手指的指紋A與B,秘密信息或密鑰k,大素數(shù)p,正整數(shù)d。

輸出:模糊金庫FV。

1) 依據(jù)k選取一個次數(shù)為d的多項式

f(x)=adxd+ad-1xd-1+…+a1x+a0

(6)

2) 讀取算法1得到的兩枚指紋特征融合后的虛擬細節(jié)點集合FAB={RF1,RF2,…,RFSA};

3) 將FAB中每個點RFi作為輸入值代入多項式f(RFi)取值,得到真實點集合G={(RF1,f(RF1)),(RF2,f(RF2)),…,(RFSA,f(RFSA)};

//這里取值f(RFi)是指將虛擬細節(jié)點RFi的橫坐標或縱坐標

//進行賦值,或?qū)Fi進行坐標串接后進行賦值

//依據(jù)安全性要求,雜湊點個數(shù)應遠大于細節(jié)點個數(shù);

5) 構(gòu)造模糊金庫FV=G∪C,和身份認證模板IT=FV∪hk,其中hk為對k使用SHA-256后的Hash值。

6) 注冊完成。

4.2 身份認證

在完成上節(jié)注冊流程后,通過得到的身份認證模板,按照算法3完成身份認證操作,圖8是身份認證過程流程。

圖8 身份認證流程

算法3身份認證

輸入:兩枚不同手指的指紋A與B,大素數(shù)p,正整數(shù)d,身份認證模板IT。

輸出:k。

3) 任選S中d+1個點為一組。

4) 利用多項式插值格式重構(gòu)多項式f′(x)。

5) 根據(jù)f′(x)的系數(shù),得待驗證密鑰k′,并對之使用SHA-256進行Hash操作得到hk′。

6) 判斷hk′是否等于hk,若否,進行下一步,若是,身份認證成功;

7) 選擇下一組d+1個點,重復步驟4)-步驟6);

8) 若嘗試完S中所有d+1個點的組合情況,不存在hk′等于hk,身份認證失敗。

5 仿真實驗與結(jié)果分析

5.1 可行性實驗與分析

這里我們用C++在VS 2010平臺上做了實驗仿真。圖9是實驗仿真的操作畫面。

(a) 身份認證模板生成(注冊)

(b) 身份認證圖9 仿真演示

本實驗方案基于經(jīng)典特征模糊金庫方案做身份認證,表1是對仿真程序的各個模塊的運行耗時統(tǒng)計。

表1 各模塊運行耗時表 單位:ms

表1身份認證操作對應模糊金庫操作,其中注冊對應上鎖,認證對應解鎖,從實驗結(jié)果中可以看到,耗時最長的是認證(解鎖)環(huán)節(jié),并且遠大于身份認證(模糊金庫)操作之前的操作時間總和,證明本實驗方案生成偽細節(jié)點集合(FA)并不會大幅增長耗時,即基于指紋細節(jié)點和方向場融合模糊金庫的身份認證方案具有較好的時效性。

5.2 可靠性實驗與分析

一般在指紋、人臉等生物特征識別技術當中我們采用TAR(True Accept Rate)表示正確接受的比例,FAR(False Accept Rate)表示錯誤接受的比例,FRR(False Rejection Rate)錯誤拒絕的比例,這里我們用前兩個指標設計實驗來衡量提出的模糊金庫方案性能。在本次實驗中,提取特征細節(jié)點的指紋當作主體,記為A,提取方向場的指紋作為輔助,記為B,我們設計如下實驗:

實驗一:A指紋正確,B指紋正確。各取10枚兩枚指紋的正確樣本進行融合,得到100種融合結(jié)果,分別進行實驗,得到GAR。

實驗二:A指紋正確,B指紋錯誤。取10個正確的指紋A樣本和10個錯誤的指紋B樣本進行融合得到僅指紋B錯誤時的FAR1。

實驗三:A指紋錯誤,B指紋正確。取10個錯誤的指紋A樣本和10個正確的指紋B樣本進行融合得到僅指紋A錯誤時的FAR2。

實驗四:A指紋錯誤,B指紋錯誤。各取10枚兩枚指紋的錯誤樣本,進行融合,得到100種融合結(jié)果,分別進行實驗,得到FAR3。

為了提供對照組,我們使用了文獻[23]中提出一種對雙指紋特征融合的方案,與文中的模糊金庫方案使用相同的數(shù)據(jù)進行了實驗,得到結(jié)果如表2所示。

表2 兩種模糊金庫方案可靠性對比(%)

不難看出,文獻[23]的方案在只有一枚指紋錯誤的情況下錯誤接受率為100%,也就是說當僅有一枚指紋錯誤時,總能打開模糊金庫,換言之,只要有一枚指紋正確,就能打開模糊金庫,這意味著兩枚不同手指指紋并沒有對安全性產(chǎn)生提高。同時可以看到,當兩枚指紋全都錯誤時,仍存在一定概率被錯誤接受,換言之,當兩枚指紋全部錯誤時,都存在打開模糊金庫的可能,這無疑是不安全的,甚至比單指紋模糊金庫的安全性更低。MO-FV方案的不足是在兩枚指紋均正確時仍會有被拒絕可能(也就是正確的兩枚指紋輸入?yún)s打不開模糊金庫),但是優(yōu)點是只要有一枚指紋出錯,尤其是指紋A出錯時,基本無法打開模糊金庫。文獻[23]的方案實驗結(jié)果產(chǎn)生的原因是該方案僅僅對兩枚指紋細節(jié)點做了疊加處理,故而其融合之后產(chǎn)生的細節(jié)點在坐標上并沒有改變,而只是單純的疊加,那么在真實點足夠多的情況下,僅一枚指紋的提取到的特征點就足以重構(gòu)多項式因此產(chǎn)生了一枚正確指紋也能解開模糊金庫的結(jié)果。MO-FV的FAR2達到了70%,也就是說當提供細節(jié)點的指紋正確時即使提供方向場的指紋是錯誤的也有較大的概率被接受,這一點形成的原因是在進行方向場取值時我們將只量化到16個區(qū)間,這種情況下,由于大部分指紋外觀相似,僅僅量化到16個區(qū)間會造成許多的指紋量化后方向場相同,即發(fā)生重合。這一點或許可以通過增加方向場量化數(shù)量減小單個量化區(qū)間以達到不同指紋量化后方向場更大的區(qū)別來完善。

6 安全性分析

基于模糊金庫的身份認證方案其安全性是基于模糊金庫安全性的,本節(jié)對我們提出的兩枚指紋細節(jié)點和方向場融合的新模糊金庫方案安全性進行研究分析。在模糊金庫方案的設計中,包含雜湊點與真實點的集合是公開的,另外,多項式的次數(shù)也是公開的。而其中受到保護的是其中的用戶原始的生物特征模板,比如預處理后的指紋信息(本文中即指紋特征模板,現(xiàn)實生活中可能是掌紋等)還有密鑰信息,所以可分成兩部分來討論。

8 結(jié) 語

本文借鑒Diffie-Hellman密鑰交換協(xié)議的思想,首先基于有限乘法群上的離散對數(shù)安全性提出了一種特征融合方法MO,然后分別將這種融合方法得到的融合特征模板與經(jīng)典模糊金庫方案相結(jié)合,構(gòu)建了模糊金庫方案MO-FV。仿真實驗結(jié)果表明,MO具有較好的時效性,且基于此雙指紋融合模糊金庫方案的身份認證方案也具有很好的有效性及安全性。與基于單一生物特征模糊金庫的身份認證方案相比,攻擊者自模糊金庫中暴力破解出秘密信息的難度是等量級的,但要利用攻擊用戶的生物特征模板來獲取秘密信息的困難性來說,則難度增加了一個生物特征的細節(jié)點數(shù)量級倍。