摘　要：

　　近年來，越來越多的智能終端和信息系統(tǒng)集成了生物識別技術(shù)，并在金融、安防等領(lǐng)域中廣泛使用。用戶的生物特征信息一旦泄露，將嚴重威脅用戶的切身利益。依托模糊提取技術(shù)、糾錯算法和安全散列算法，提出了一種指紋生物特征的隱私保護和認證方法。該方法中，指紋注冊階段并不保存指紋圖像、細節(jié)點特征等原始信息，僅保留由糾錯編碼算法和安全散列算法生成的輔助數(shù)據(jù)，從而達到隱私保護的目的。身份認證時，通過輔助數(shù)據(jù)結(jié)合糾錯運算去除圖像采集誤差并進行安全散列運算密文比對，完成用戶身份的識別。

　　0０

　　引　言

　　近年來，隨著生物特征識別技術(shù)的廣泛應(yīng)用，人們越來越擔心自身的生物特征的安全問題。無論在哪種場合，只要提供了自己的生物特征信息，這個生物特征信息就有被復(fù)制和盜用的風險。而且，人的生物特征一般情況下是不會變化的，一旦泄露就無法像口令一樣修改或重新設(shè)置。當同一生物特征信息應(yīng)用于多個信息系統(tǒng)時，一個系統(tǒng)中的生物特征信息泄露將影響其他系統(tǒng)的安全。2020年10月，中國信通院、電信終端產(chǎn)業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會等單位聯(lián)合發(fā)表了《生物識別隱私保護研究報告》。報告指出需要完善我國的生物識別隱私保護標準體系，加快重點標準研制，建立評估機制，提升保護力度，同時在技術(shù)層面上需要創(chuàng)新生物識別隱私保護技術(shù)手段，加強基礎(chǔ)理論研究和技術(shù)研發(fā)。

　　在生物特征識別技術(shù)廣泛應(yīng)用之前，信息系統(tǒng)的認證主要依靠口令的方式進行。在對口令的安全保護設(shè)計中，口令通常使用安全散列算法，如安全散列算法1（Secure Hash Algorithm 1，SHA1），進行安全散列運算，并將散列值存儲起來?？诹钫J證時，輸入的口令將再次進行安全散列運算，并將散列值并與存儲的散列值進行比較，確定用戶身份。在這個過程中，信息系統(tǒng)中并不保存原始的口令，由于安全散列算法是單向運算，即使存儲的散列值被泄露，攻擊者也無法得到原始的用戶口令。

　　雖然通過安全散列算法可以很好地保護口令安全，但這個技術(shù)并不適用于生物特征信息。生物特征信息識別系統(tǒng)一般分為注冊階段和認證階段，因為生物特征信息受采集條件、環(huán)境變化等各種因素影響，即使是同一個生物樣本，每次采集的生物特征信息都會有不同。例如，在進行指紋特征采集時，受手指與傳感器之間的壓力、接觸范圍、角度不同，以及灰塵、油污等影響，都會造成采集的生物特征信息存在差異。由于這些差異的存在，使得同一指紋多次采集的特征信息進行安全散列運算后的散列值都是不同的，無法用于確定用戶真實身份，因此在設(shè)計生物特征的隱私保護方案時，最根本的難題是如何解決同一生物特征多次采樣產(chǎn)生的差異。

　　01

　　生物特征信息的飲食保護

　　生物特征信息是按照一定的提取策略，生成一組特征值的序列。該序列被稱為生物特征模板。一般情況下，生物特征模板X可以表示成圖片的形式。對于任意的兩個特征模板X和Y，如果存在一個子集圖片，且滿足圖片，則認為兩個生物特征模板是匹配的，其中圖片和圖片為設(shè)定的閾值。

　　生物特征信息的隱私保護需要做到在不影響識別性能的同時，無法還原或偽造出原始的生物特征信息。近年來國內(nèi)外在生物特征信息的隱私保護方面也提出了許多方法，這些方法主要分為基于變換的生物特征保護方案和基于輔助數(shù)據(jù)的生物特征保護方案兩類。

　　1.1　基于變換的生物特征保護方案

　　基于變換的生物特征保護方案主要設(shè)計思想是對生物特征模板進行一種不可逆變換，如坐標扭曲、折疊等。進行匹配時，待匹配數(shù)據(jù)也進行相同的變換后再進行匹配。在指紋的變換保護方面，Ratha等人提出了基于笛卡爾坐標的轉(zhuǎn)換函數(shù)，在這個轉(zhuǎn)換函數(shù)中，指紋圖像被分割為若干個矩形單元，每個單元按照一定的規(guī)則重新變換位置。在這種變換中，指紋圖像被打亂，原本分散的兩個或多個指紋特征點可能被集合到鄰近區(qū)域，編碼成一個特征點，即使攻擊者知道變換方法，也無法確定該特征點原來屬于哪個區(qū)域。

　　基于變換的保護方案缺點在于設(shè)計出一個安全的變換函數(shù)和參數(shù)非常困難，同時不太容易從理論上分析出逆向變換的難度，特別是當變換函數(shù)和參數(shù)被泄露的時候，這種方法很難證明其安全性。

　　1.2　基于輔助數(shù)據(jù)的生物特征保護方案

　　基于輔助數(shù)據(jù)的生物特征保護方案主要的設(shè)計思想是利用生物特征信息生成一些輔助信息，如糾錯編碼、雜湊值、驗證數(shù)據(jù)等。這些輔助信息不會透露原始的生物特征信息，但可以在認證時利用其完成身份認證。目前基于輔助數(shù)據(jù)的保護方案主要有模糊提取、模糊承諾和模糊金庫幾種。模糊提取和模糊承諾要求生物特征數(shù)據(jù)必須是有序的，該技術(shù)目前已成功用于虹膜等生物特征識別。由于指紋的細節(jié)點特征是無序的，對指紋的細節(jié)點特征的保護大都采用模糊金庫的方法。模糊金庫方法在進行生物特性信息的隱私保護時構(gòu)建一個多項式

　　該多項式在2維平面上是一條曲線，指紋的若干個細節(jié)點特征依次作為圖片值帶入多項式中進行運算得到若干個圖片值，每次運算的圖片值就形成了平面上的真實坐標點。在真實坐標點之外，隨機生成若干個假坐標點就得到了指紋模糊金庫。實際應(yīng)用中，假坐標點的數(shù)量需要遠遠大于真實坐標點的數(shù)量，使得攻擊者很難找出哪些是真實坐標點。在認證時，只有合法指紋才能篩選出真實點并重構(gòu)出多項式，完成生物特征認證。理論上，當模糊金庫中存在24個真實點，200個假坐標點，n值為8時，其安全強度約為圖片。

　　模糊金庫的缺點在于當同一生物特征信息被用于兩個及以上的模糊金庫時，如果模糊金庫數(shù)據(jù)被攻擊者得到，攻擊者可以通過交叉匹配能很容易地找出模糊金庫中的真實點，破解模糊金庫。除此之外，模糊金庫還存在多模板攻擊、替代攻擊、密鑰反向攻擊等難以解決的問題，在安全性上存在一定的局限性。

　　02

　　指紋生物特征的隱私保護方法

　　基于細節(jié)點特征匹配的指紋識別是目前指紋身份認證的主流技術(shù)方案。但由于指紋細節(jié)點的無序性使得在完成匹配前并不知道注冊的細節(jié)點和匹配的細節(jié)點之間的對應(yīng)關(guān)系。同時，兩次采樣時，受各種因素影響，獲取的細節(jié)點數(shù)量很有可能是不一樣的。

　　為了解決指紋的細節(jié)點特征無法直接通過模糊承諾進行保護的問題，國內(nèi)外進行了許多研究并提出了一些方法，如基于傅里葉變換和濾波變換得到指紋細節(jié)點信息的幅度譜和相位譜構(gòu)建模糊承諾方案。

　　與上述方法不同，本文從指紋特征細節(jié)點分布結(jié)構(gòu)出發(fā)，設(shè)計了一種指紋細節(jié)點特征二值化方法，并結(jié)合糾錯算法和安全散列算法，完成指紋生物特征信息的隱私保護。

　　2.1　基于細節(jié)點分布的指紋特征二值化方法

　　根據(jù)中華人民共和國頒布的《居民身份證指紋采集和比對技術(shù)規(guī)范》，指紋的細節(jié)點一般由中心點和普通特征點構(gòu)成。指紋中心點的數(shù)量最多為3個，特征點數(shù)量最多為120個，其中中心點用圖片坐標表示，特征點用圖片表示?；诩毠?jié)點分布的指紋特征二值化方法采用劃分指紋區(qū)域結(jié)合特征點角度的方式來進行二值化。

　　最開始，需要在指紋圖像中確立一個笛卡爾坐標系。當指紋圖像有一個中心點時，坐標系以該中心點為原點，原點與最近的特征點連線方向作為圖片軸。當指紋圖像中有兩個中心點時，坐標系以兩個中心點之間的中點為原點，兩個中心點之間的連線方向作為圖片軸。當指紋圖像中有三個中心點時，坐標系以3個中心點的圖片值和圖片值的平均值為原點，距離最近的兩個中心點之間的連線方向作為圖片軸。由于同源指紋特征多次采樣時的位置和角度均會有不同，指紋細節(jié)點信息需要根據(jù)笛卡爾坐標原點進行對齊，即將指紋細節(jié)點進行旋轉(zhuǎn)和平移，將原點位置移動到圖片坐標，并將圖片軸移動到水平方向。細節(jié)點旋轉(zhuǎn)和平移的公式如下：

　　式中：圖片是旋轉(zhuǎn)平移前的細節(jié)點特征值；圖片是原點坐標；圖片是將圖片軸移動到水平方向需要旋轉(zhuǎn)的角度；圖片是旋轉(zhuǎn)平移后的細節(jié)點特征值。

　　在笛卡爾坐標系建立之后，需要對指紋圖像進行分割，如圖1所示。具體實現(xiàn)方法為，在笛卡爾坐標系中以原點為中心，圖片為間距，圖片為扇區(qū)角度劃分區(qū)域。

　　圖1　指紋特征二值化劃分區(qū)域方法

　　完成指紋圖像的區(qū)域劃分之后，可以根據(jù)區(qū)域中是否有指紋特征點、以及特征點的角度對指紋特征進行二值化。二值化時，每個區(qū)域與原點之間的角度、距離以及一定圖片角度范圍內(nèi)是否有特征點，可以構(gòu)建一個3維陣列，如圖2所示。

　　圖2　指紋特征二值化矩陣

　　當3維陣列中某個位置中存在特征點時，該矩陣被編碼為1，用黑色表示，否則被編碼為0，用白色表示。矩陣中所有位置編碼完成后，再按照一定規(guī)則對編碼值進行排列，即可完成指紋特征的二值化。

　　基于細節(jié)點分布的指紋特征二值化方法排除了同源指紋多次采樣時的位置和角度不同造成的偏差，實現(xiàn)了指紋的對齊和二值化。任意兩次二值化的結(jié)果偏差可以用漢明距離來表示。工程實現(xiàn)時，可以對圖片值，圖片值以及圖片值進行調(diào)整盡量減小同源指紋之間的二值化漢明距離，增大非同源指紋之間的漢明距離。當圖片，圖片，圖片時，測試了40幅指紋圖像兩兩之間的二值化特征值漢明距離如圖3所示。

　　圖3　40幅指紋圖像的二值化特征值的漢明距離

　　圖3中，橫坐標表示漢明距離的大小，縱坐標表示出現(xiàn)的次數(shù)。從圖中可以看出，采用指紋區(qū)域結(jié)合特征點角度的方式二值化后，同源指紋的二值化特征值漢明距離明顯小于非同源指紋的二值化特征值漢明距離，可以達到明顯區(qū)分同源指紋和非同源指紋的目的。

　　2.2　指紋特征信息的隱私保護

　　指紋的二值化特征值反映了指紋的特征點分布情況，必須對其進行保護。采用密碼算法加密保存指紋數(shù)據(jù)的方法并不能從根本上解決問題。因為一旦密鑰丟失，攻擊者同樣可以通過解密還原出指紋數(shù)據(jù)。而且，在每次進行生物特征匹配時，無論匹配是否成功，都需要對已加密的指紋數(shù)據(jù)進行解密獲取指紋特征的明文，存在安全風險。采用了基于輔助數(shù)據(jù)的隱私保護方案完全避免了這一問題。

　　在基于輔助數(shù)據(jù)的隱私保護方案中，指紋特征信息注冊階段，利用糾錯算法生成注冊指紋二值化特征值的糾錯編碼，利用安全散列算法生成注冊指紋二值化特征值的散列值。糾錯編碼用于糾正同源指紋兩次測量之間的誤差，散列值用于認證。注冊完成后，僅需要保留糾錯編碼和散列值，形成輔助數(shù)據(jù)，原始的指紋二值化特征值等其他數(shù)據(jù)均被銷毀。由于安全散列算法的逆向計算在數(shù)學(xué)上是不可行的，攻擊者即使得到了輔助數(shù)據(jù)，也無法恢復(fù)原始指紋二值化特征值?；谳o助數(shù)據(jù)的隱私保護方案的注冊過程如圖4所示。

　　圖4　基于輔助數(shù)據(jù)的隱私保護方案的注冊過程

　　在認證階段，待認證的指紋圖像通過二值化抽取得到二值化特征值，然后通過輔助數(shù)據(jù)中的糾錯編碼嘗試對二值化特征值進行糾錯運算。如果糾錯運算失敗，則認證失敗。如果糾錯成功，則利用安全散列算法計算糾錯后二值化特征值的待認證散列值，并將其與輔助數(shù)據(jù)中的散列值進行比較，只有當待認證散列值與輔助數(shù)據(jù)中的散列值一致時，才認為身份認證成功?；谳o助數(shù)據(jù)的隱私保護方案的認證過程如圖5所示。

　　圖5　基于輔助數(shù)據(jù)的隱私保護方案的認證過程

　　03

　　測試結(jié)果

　　本文以指紋樣本庫FVC2002_DB2B為基礎(chǔ)，測試了基于細節(jié)點分布的指紋特征二值化方法的指紋識別可靠性。測試時，先將樣本庫中的指紋數(shù)據(jù)處理為符合國家二代居民身份證指紋采集和比對技術(shù)規(guī)范的指紋數(shù)據(jù)結(jié)構(gòu)，再基于細節(jié)點分布特征進行二值化處理，最后結(jié)合二元線性循環(huán)碼（BCH）和SM3安全散列算法完成指紋數(shù)據(jù)的隱私保護。

　　真匹配實驗是將指紋圖像庫中每個手指其中任意一幅圖片為模板，其余同源指紋為樣本進行比較，計算識別率；假匹配實驗則是選取任意手指的一幅圖片為模板，與其余不同手指的所有圖片進行比較，計算誤識率。

　　測試時，通過調(diào)整圖片以及糾錯比特位數(shù)，測試了不同情況下指紋識別可靠性，如表1所示。

　　表1　不同配置情況下的指紋識別可靠性

　　在實際應(yīng)用中，可以根據(jù)不同的應(yīng)用場景來選擇不同的參數(shù)，以滿足不同的識別可靠性要求。

　　文獻[15]中指紋的識別率和誤識率分別是73.32%和0.23%。文獻[16]中指紋識別率在86.712%時，誤識率為0.106%；識別率在90.804%時，誤識率為1.236%。本文提出方案在識別可靠性上有所提高，同時本方法與基于幅度譜和相位譜構(gòu)建模糊承諾方案相比原理上更加簡單，在保證識別可靠性的前提下，降低了計算復(fù)雜度。

　　綜上所述，本方案具有以下特點：

　?。?）用于身份識別的指紋特征信息通過安全散列算法計算散列值，這個過程是不可逆的，所以攻擊者無法恢復(fù)原始指紋細節(jié)點信息；

　?。?）當同一指紋特征用于多個設(shè)備或軟件中時，通過配置不同的安全散列算法密鑰（如硬件ID，口令，隨機變量等），可以生成不同的散列值，當同一生物特征信息應(yīng)用于多個信息系統(tǒng)時，一個系統(tǒng)中的生物特征信息泄露不會影響其他系統(tǒng)的安全。

　　04

　　結(jié)　語

　　本文提出的指紋生物特征信息隱私保護和認證方法以一種較為簡便的方式實現(xiàn)了指紋特征信息的隱私保護，同時也具備較好的指紋識別可靠性。本文提出的方法可以直接利用現(xiàn)有成熟指紋識別技術(shù)提取的指紋特征，如符合國家二代居民身份證指紋采集和比對技術(shù)規(guī)范的指紋特征，且可以在兼容的情況下，將該技術(shù)推廣到已有的指紋識別系統(tǒng)中。