董蕓嘉， 張雪鋒， 姜 文

(1.西安郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院， 陜西 西安 710121；2.國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029)

0 引 言

隨著信息網(wǎng)絡(luò)的快速發(fā)展，日常生活中越來越多的場景需要對用戶進(jìn)行身份鑒別，相比于傳統(tǒng)的基于賬號和密碼的身份認(rèn)證方式，生物特征不會被遺忘且不易被偽造[1,2]。然而,單一生物特征識別系統(tǒng)的信息量少、安全性較低。為了解決這些問題，研究人員提出了一種結(jié)合人體多種生物特征進(jìn)行識別的多模態(tài)生物特征識別技術(shù)[3]。

指紋是應(yīng)用最廣泛的生物特征之一，但某些特殊群體存在指紋缺失或損傷的情況，有效特征信息可能無法獲得。手指靜脈藏匿于身體內(nèi)部，需要紅外傳感器捕捉，人類手部表面皮膚狀態(tài)不會干擾認(rèn)證工作。因此,基于指紋和手指靜脈的多模態(tài)生物特征識別系統(tǒng)具有更豐富的有效識別信息[4]。

對于多模態(tài)生物特征識別系統(tǒng)，其包含一個人的多種特征信息，保護(hù)生物特征模板的安全性尤為重要。因此，需要設(shè)計一種模板保護(hù)方案來保護(hù)指紋和手指靜脈數(shù)據(jù)?？沙蜂N生物認(rèn)證(cancelable biometrics)是一種重要的模板保護(hù)方法[5]，它對生物特征數(shù)據(jù)進(jìn)行某種不可逆變換生成可撤銷模板，一旦模板泄露，只需更改用戶秘鑰即可生成一個與原始模板完全不同的新模板。

近年來，研究者已經(jīng)對可撤銷的單模態(tài)生物特征識別系統(tǒng)做了大量研究[6～15]。但對于可撤銷的多模態(tài)生物特征識別研究還比較有限。Canuto A M等人[16]提出了一種基于分?jǐn)?shù)層的融合方式，但這一層的特征信息量較少，分?jǐn)?shù)類別差異大，使得系統(tǒng)的識別性能較低。Paul P P和Gavrilova M[17]將人臉圖像的一部分和耳朵圖像的一部分相結(jié)合生成新的混合圖像，然后進(jìn)行可撤銷變換，這樣避免了特征數(shù)據(jù)類型不兼容的問題，但容易產(chǎn)生較大的誤差。Chin Y等人[18]提出了一種三階段混合模板保護(hù)方法，將指紋和掌紋在特征層融合產(chǎn)生一個新的特征模板，利用等概率離散化的方法將特征向量轉(zhuǎn)換成二進(jìn)制比特串，為模板提供了更好的隱私保護(hù)。Rathgeb C等人[19]提出了一種基于布隆濾波器產(chǎn)生不可逆多生物特征模板的框架，無法通過逆運算獲得原始特征信息。

針對單模態(tài)生物特征的身份識別方法存在的局限以及識別性能較差和安全性較低等問題，本文提出了一種基于指紋與手指靜脈的特征融合可撤銷模板保護(hù)方法，該算法分別提取指紋和手指靜脈的紋理特征，并通過Bio-hashing[20]的方法轉(zhuǎn)換成二進(jìn)制比特串，對得到的二進(jìn)制比特串進(jìn)行串聯(lián)融合，最后通過不可逆變換生成可撤銷模板。實驗結(jié)果表明，該算法提高了系統(tǒng)的識別性和安全性。

1 基于指紋和手指靜脈特征融合的模板保護(hù)方法

1.1 基本原理

首先，對指紋和手指靜脈圖像進(jìn)行預(yù)處理;然后，提取指紋和手指靜脈的特征，并通過Bio-hashing的方法，將提取出來的特征數(shù)據(jù)類型轉(zhuǎn)換成二進(jìn)制比特串;再對得到的二進(jìn)制比特串進(jìn)行串聯(lián)融合；隨后，采用隨機(jī)索引置亂對二進(jìn)制比特串進(jìn)行處理,經(jīng)離散傅里葉變換(discrete Fourier transform,DFT)；最后，通過部分Hadamard變換生成可撤銷模板。驗證時，對圖像進(jìn)行相同的變換，生成驗證模板，計算2個模板之間的相似度分?jǐn)?shù)分?jǐn)?shù)得到匹配結(jié)果?；玖鞒倘鐖D1所示。

圖1 基于指紋和手指靜脈特征融合的模板保護(hù)方法基本流程

1.2 特征提取與數(shù)據(jù)類型轉(zhuǎn)換

1.2.1 指紋特征提取與數(shù)據(jù)類型轉(zhuǎn)換

采用Jain A K等人[21]提出的基于Gabor濾波的指紋紋理特征提取方法，提取的紋理特征向量VP，包含N1個實值。

(1)

式中τ設(shè)定為0，因此，指紋特征可以用二進(jìn)制向量bp=[b1,b2,…,bN2]T表示。

1.2.2 手指靜脈特征提取與數(shù)據(jù)類型轉(zhuǎn)換

指靜脈特征向量主要采用分塊卷積的方法提取。將像素為150×150的手指靜脈圖像分為25塊不重疊的大小為30×30的小塊；選取40個Gabor濾波器，分別與每一塊手指靜脈圖像進(jìn)行卷積，取卷積后的幅值信息作為手指圖像的紋理特征向量Vv。

為了與指紋特征數(shù)據(jù)類型保持一致，對手指靜脈數(shù)據(jù)采取指紋數(shù)據(jù)類型轉(zhuǎn)換方法。因此，手指靜脈圖像可以用二進(jìn)制向量bv表示。

1.3 串聯(lián)融合和隨機(jī)索引置亂

將得到的指紋特征向量bp和手指靜脈特征向量bv進(jìn)行串聯(lián)融合得到特征向量B=[bp,bv]，長度單位為m。

為了進(jìn)一步擴(kuò)展秘鑰空間，準(zhǔn)備m個隨機(jī)數(shù)，然后對隨機(jī)數(shù)進(jìn)行隨機(jī)排序，得到一個亂序的隨機(jī)索引，最后按照該索引將二進(jìn)制比特串位置打亂得到新的特征向量Y。

1.4 二進(jìn)制向量的DFT

融合后得到的二進(jìn)制向量Y只包含0和1，尤其當(dāng)Y中的元素稀疏分布時，直接在Y上進(jìn)行操作可能會減少搜索空間，降低安全性。因此，本文對固定長度的二進(jìn)制比特串采取N點DFT，其中，N≥m，具體過程如式(2)

(2)

1.5 生成可撤銷模板

為了提高模板的不可逆性和安全性，本文采用一種部分Hadamard變換來保護(hù)tD，具體步驟如下：

1)隨機(jī)產(chǎn)生一個長度為r的用戶秘鑰K，K=[k1,k2,…,kr]。其中，r

2)利用秘鑰K構(gòu)建Hadamard矩陣的子陣H。首先產(chǎn)生一個大小為N×N的Hadamard矩陣Hn，從Hn中的N行中選取r行產(chǎn)生子陣H，其中,子陣H中第i行就是矩陣Hn中的第ki行，Hn矩陣的大小為r×N;

3)對DFT后的復(fù)向量進(jìn)行部分Hadamard變換生成可撤銷模板，具體過程如式(3)

tH=HtD

(3)

部分Hadamard矩陣H維度是r×N，rank(H)=r

1.6 模板匹配

假設(shè)注冊模板為YT，查詢模板為YQ，采用式(4)計算相似度分?jǐn)?shù)

(4)

式中 ‖‖2為2—范數(shù)，相似度分?jǐn)?shù)S(YT,YQ)范圍在0～1之間。

2 實驗仿真與性能分析

2.1 實驗數(shù)據(jù)

為了評價本文方法的性能，采用指紋數(shù)據(jù)庫FVC2002-DB1和FVC2002-DB2中和手指靜脈數(shù)據(jù)庫Homologous Multi-modal Traits Database(FV-HMTD)中對本文方法相關(guān)性能進(jìn)行測試和分析。在指紋數(shù)據(jù)庫中，部分指紋沒有中心點，因此，實驗在2個數(shù)據(jù)庫中分別選取包含中心點的80枚手指，每個手指取2幅圖像。在指靜脈數(shù)據(jù)中選取80個人的左手食指采樣數(shù)據(jù)，每個手指取2幅圖像。實驗中將選取的FVC2002-DB1和FVC2002-DB2指紋樣本分別與FV-HMTD手指靜脈樣本組合，如圖2所示。

圖2 實驗所選用的指紋和手指靜脈圖像示例

2.2 認(rèn)證性能分析

本文采用的性能指標(biāo)為正確接受率(gennine accept rate，GAR)、誤拒率(false refuse rate，F(xiàn)RR)、誤識率(false accept rate，F(xiàn)AR)和等錯誤率(equal error rate，EER)。FRR是指將相同手指認(rèn)定為不同手指的概率，F(xiàn)RR等于1減去GAR；FAR是指將不同的手指認(rèn)定為同一手指的概率；ERR是指當(dāng)FAR等于FRR時的值，ERR值越小，說明系統(tǒng)的認(rèn)證性能越好。

在真匹配實驗中，將每枚手指的指紋第一幅圖和手指靜脈的第一幅圖作為注冊模板，相應(yīng)的指紋和手指靜脈的第二幅圖作為查詢模板，共進(jìn)行80次真匹配實驗。在假匹配實驗中將每枚手指的指紋和指靜脈的第一幅圖作為注冊模板，剩余手指的指紋和手指靜脈的第二幅圖作為查詢模板，共進(jìn)行3 160次假匹配實驗。本文方法在用戶秘鑰安全和用戶秘鑰泄露的情況下進(jìn)行評估。

2.2.1 真假匹配分布分析

真假匹配分?jǐn)?shù)分布情況如圖3和圖4所示。

圖3 秘鑰安全時真假匹配分布

圖4 秘鑰泄露時真假匹配分布

由圖3可知，當(dāng)用戶秘鑰安全時，真匹配與假匹配分布之間有一定的間隔，說明本文方法具有較好的認(rèn)證性能；由圖4可知，當(dāng)用戶秘鑰泄露時，真匹配與假匹配分布有部分重疊，表明系統(tǒng)可能會出現(xiàn)一定的錯誤識別，影響方法的認(rèn)證性能。

圖5給出了本文方法在秘鑰泄露時，分別在2個數(shù)據(jù)庫中進(jìn)行實驗的EER曲線圖，在與同一手指靜脈樣本相融合時，DB1與其融合的EER要略低于DB2與其融合的值，這是由于DB2的指紋圖像質(zhì)量略差。但由于二者差異較小，說明本文方法受指紋圖像質(zhì)量影響較小，具有一定的認(rèn)證穩(wěn)定性。

圖5 秘鑰泄露時EER曲線

2.2.2 比較實驗分析

為了分析本文方法的識別性能，表1給出了不同方法在秘鑰泄露時，分別在FVC2002-DB1與FVC2002-DB2以及FV-HMTD下的EER。本文方法得到EER分別為0.28 %和1.27 %，較其他單獨使用指紋模板或手指靜脈保護(hù)方法具有明顯優(yōu)勢。

表1 不同方法在秘鑰泄露時的EER %

受試者工作特征曲線(receiver operator characteristic curve,ROC)橫坐標(biāo)為誤識率，縱坐標(biāo)為真實接受率，ROC越接近1，表明該方法的識別性能越好。圖6分別繪制了文獻(xiàn)[23]、手指靜脈方法采取本文提出的部分Hadamard變換生成的模板保護(hù)方法與本文方法在秘鑰泄露的情況下的ROC圖。實驗結(jié)果表明，本文多模態(tài)生物特征模板保護(hù)方法的識別性能優(yōu)于單一使用指紋或者手指靜脈特征模板保護(hù)方法。

圖6 ROC對比

2.3 可撤銷性分析

模板的可撤銷性是撤銷生物特征識別系統(tǒng)的重要特性，為了驗證模板的可撤銷性，分別在兩個組合數(shù)據(jù)庫做了實驗。具體過程為：用相同的指紋和手指靜脈圖像進(jìn)行融合后的結(jié)果與隨機(jī)生成的80個不同秘鑰相結(jié)合，生成80個轉(zhuǎn)換模板，并與注冊模板進(jìn)行匹配得到偽假匹配分布，實驗結(jié)果如圖7所示。

圖7 偽假匹配分布

由圖7可知，偽假匹配分布與秘鑰安全時的假匹配分布十分相似。因此，當(dāng)用戶模板泄露或者被盜后，用戶可以通過更換秘鑰生成新的轉(zhuǎn)換模板，滿足生物特征模板的可撤銷性。

2.4 安全性分析

對可撤銷生物特征模板保護(hù)系統(tǒng)來說，衡量安全性的標(biāo)準(zhǔn)是攻擊者是否能從生成的特征融合模板中恢復(fù)原始的指紋和手指靜脈信息。

首先對提取的指紋和手指靜脈的紋理特征投影量化生成二進(jìn)制比特串，有效掩蓋了原始指紋和手指靜脈的特征信息，即使攻擊者知道了指紋或手指靜脈的比特串信息，也難以由此恢復(fù)原始特征信息，并且只知道單一的生物特征信息也不能通過系統(tǒng)的認(rèn)證。

融合后的特征向量通過隨機(jī)索引置亂，將線性系統(tǒng)和非線性系統(tǒng)相結(jié)合，提高了系統(tǒng)的安全性，再通過不可逆的DFT運算和部分Hadamard變換，很難重構(gòu)原始特征信息，進(jìn)一步增強系統(tǒng)的安全性。

即使攻擊者獲得用戶的秘鑰信息，那么想要成功通過系統(tǒng)的認(rèn)證，由實驗仿真結(jié)果可知，在FVC2002-DB1與FV-HMTD組合數(shù)據(jù)庫和FVC2002-DB2與FV-HMTD組合數(shù)據(jù)庫上成功的概率不高于0.28 %和 1.27 %，表明該方法具有良好的安全性。

3 結(jié) 論

針對現(xiàn)有的單模態(tài)生物特征模板保護(hù)認(rèn)證系統(tǒng)存在認(rèn)證性和安全性較差的問題，本文提出一種基于指紋和手指靜脈特征融合的可撤銷模板保護(hù)方法。實驗結(jié)果表明：所提出的多模態(tài)模板保護(hù)方法較單模態(tài)模板保護(hù)方具有更好的安全性和識別性，滿足模板的不可逆性、可撤銷性。