基于指紋的隱私保護(hù)型身份認(rèn)證技術(shù).pdf

1、進(jìn)入二十一世紀(jì)，從國民身份管理到互聯(lián)網(wǎng)遠(yuǎn)程身份認(rèn)證，生物認(rèn)證應(yīng)用領(lǐng)域急劇擴(kuò)大，隨之引發(fā)了人們對生物數(shù)據(jù)安全性、個人的隱私性以及生物認(rèn)證可能被濫用的擔(dān)憂，主要的疑慮包括：1）生物特征數(shù)據(jù)包含個人健康、性別、種族等敏感信息，這些數(shù)據(jù)若泄露給第三方可能給其所有者的社會活動帶來諸多不變。2）生物特征具有穩(wěn)定性和不變性，一旦被泄露，其在數(shù)據(jù)庫中無法被撤銷和更新。3）生物特征的唯一性使得擁有大型生物特征數(shù)據(jù)庫的機(jī)構(gòu)能很容易跟蹤個人行蹤。雖然傳統(tǒng)的加

2、密技術(shù)可以一定程度上保證生物數(shù)據(jù)的安全，但密鑰的管理和存儲本身又會引來新的麻煩，而且這種方法并不能消除人們對隱私被侵犯的擔(dān)憂，在集中式數(shù)據(jù)庫中，管理員仍然可能輕易獲取用戶生物信息。事實上民眾對生物認(rèn)證在安全、侵犯隱私方面的擔(dān)心已經(jīng)成為進(jìn)一步大規(guī)模應(yīng)用該項技術(shù)的主要障礙之一。對生物特征數(shù)據(jù)來說，安全性指應(yīng)該處于保密狀態(tài)，而隱私性則要求更高一除生物特征所有者，即使數(shù)據(jù)管理者也不能獲得其中信息。為了消除民眾對生物認(rèn)證的顧慮，開發(fā)隱私保護(hù)型生物

3、認(rèn)證技術(shù)已經(jīng)迫在眉睫。這些新技術(shù)要克服傳統(tǒng)生物認(rèn)證技術(shù)的缺陷。首先，生物特征的匹配最好是在某種秘密（或變換）的狀態(tài)下進(jìn)行，這意味著匹配用的模板可能以某種變換方式存儲，要確保即使變換模板被泄露，任何原始生物數(shù)據(jù)不會從中被恢復(fù)出來。其次，變換模板能實現(xiàn)可撤銷性，即如果某個變換模板被泄露了，可以很容易重新生成一個新的變換模板，新模板與舊模板沒有任何相關(guān)性。再次，新的匹配方式的認(rèn)證性能不應(yīng)該比傳統(tǒng)的生物認(rèn)證方式性能下降很多，以保持其實用性。

4、r>　　 本文中，我們回顧了近年來在隱私保護(hù)型生物認(rèn)證研究方面的進(jìn)展。由于生物特征數(shù)據(jù)的描述形式有多種，目前還沒有一種被證明是安全的方案能對所有的生物特征都具有很好的適應(yīng)性。指紋是生物身份鑒別中最常用的特征之一，本文的主要研究內(nèi)容就是基于指紋的隱私保護(hù)型生物認(rèn)證。大多數(shù)傳統(tǒng)的指紋認(rèn)證系統(tǒng)都采用細(xì)節(jié)點集合作為特征描述形式。針對細(xì)節(jié)點設(shè)計保護(hù)方案是比較困難的，首先是指紋采集帶來的困難，指紋采集是接觸性采集，由于指紋皮膚的彈性，非線性形變較

5、大，兩枚指紋的對應(yīng)細(xì)節(jié)點位置偏離較大。在傳統(tǒng)的匹配中，容許一定誤差可能不是問題，但在秘密狀態(tài)下，歐氏距離無法使用時就是一個很大的麻煩。且細(xì)節(jié)點的坐標(biāo)取值范圍變化本來就不大，考慮到容錯性，這個范圍將變得更小，這可能導(dǎo)致保護(hù)方案容易受到暴力攻擊。其次指紋采集區(qū)域不能嚴(yán)格控制，導(dǎo)致細(xì)節(jié)點數(shù)量可能會有較多變動。一些研究者提出了可適用于細(xì)節(jié)點的保護(hù)方案，如Ratha的“可撤銷指紋模板”和Jule的“fuzzy Vault”。
　　 Rat

6、ha的方案中用某個具有“多對一”性質(zhì)的變換函數(shù)對細(xì)節(jié)點進(jìn)行變換，匹配過程按照傳統(tǒng)方法在變換域中進(jìn)行。本文中，我們分析了Ratha方案的安全性，指出其變換函數(shù)的多對一效果并不好，故其安全性基本依賴于智能卡的安全性。如果攻擊者能獲得并破解智能卡，獲得存儲其中的變換函數(shù)參數(shù)，他就能利用求解非線性方程組或者窮盡法重構(gòu)出大部分的原始細(xì)節(jié)點。
　　 “Fuzzy Vatnt”的原理是用一個多項式把一個秘密S與細(xì)節(jié)點集合相綁定，真實細(xì)節(jié)點被混

7、入一群隨機(jī)干擾點中獲得保護(hù)，認(rèn)證的過程就是恢復(fù)正確秘密的過程，被恢復(fù)的秘密還可以作為傳統(tǒng)密碼術(shù)中的密鑰。我們提出了三種Fuzzy vault實現(xiàn)方案，其中兩種方案的特點是：1）綁定函數(shù)與S沒有關(guān)系，無論多長的S均采用同一種方法構(gòu)造綁定函數(shù)。克服了以往實現(xiàn)方案中綁定函數(shù)由S決定、針對不同長度的S需要不同的構(gòu)造方法的缺點。2）以前實現(xiàn)方案中，容許一定的匹配誤差是靠量化實現(xiàn)的，而量化過程中存在邊緣效應(yīng)會降低認(rèn)證精度。我們的方案中沒有量化細(xì)節(jié)點

8、，篩選真實點時采用歐氏距離做為測度，認(rèn)證精度更高。
　　 我們提出了一種加密Fuzzy vault方案，以克服普通Fuzzy vault無法抵抗多模板攻擊的缺點。新方案中，首先利用多項式或線性方程將秘密S與細(xì)節(jié)點模板綁定。然后由用戶口令作為種子生成一個密鑰集合，或者由粗粒度級的細(xì)節(jié)點生成密鑰集合，該集合與細(xì)節(jié)點模板具有相同尺度，然后密鑰集合中每個密鑰隨機(jī)地去加密模板中的一個細(xì)節(jié)點，生成加密vault。該方案可以解決Fuzzy v

9、ault的多個安全缺陷，而且存儲量比Fuzzy vault更少。
　　 最后我們提出了兩種基于指紋的雙向遠(yuǎn)程身份認(rèn)證方案。第一種方案中我們產(chǎn)生一組隨機(jī)數(shù)作為隱秘模板，再由隱秘模板與細(xì)節(jié)點模板共同導(dǎo)出一個變換多項式。隱秘模板保存在服務(wù)器上，變換多項式由用戶持有。認(rèn)證的時候，用戶的現(xiàn)場細(xì)節(jié)點首先由多項式進(jìn)行變換，服務(wù)器與用戶之間執(zhí)行的隱秘匹配協(xié)議（Private Matching）可以使服務(wù)器找到隱秘模板與變換樣本的交集。服務(wù)器和用