結(jié)合人臉特征和密碼技術(shù)的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)

摘 要:為了解決傳統(tǒng)密碼或單純生物特征在遠(yuǎn)程身份認(rèn)證中存在的安全問題，利用人臉識別中特征模板的生成特點(diǎn)，設(shè)計(jì)了一種人臉特征與密碼技術(shù)相結(jié)合的雙重身份認(rèn)證方案。人臉識別的仿真結(jié)果證明了人臉特征用于識別的有效性;系統(tǒng)分析表明，該系統(tǒng)能夠?qū)Ω秱鹘y(tǒng)網(wǎng)絡(luò)身份認(rèn)證中所遇到的竊聽、重放、假冒或竄改等各種攻擊，且實(shí)時(shí)性比較好。

關(guān)鍵詞:身份認(rèn)證; 人臉; 密碼; 主成分分析; Fisher準(zhǔn)則; 哈希變換

中圖分類號:TP391.41

文獻(xiàn)標(biāo)志碼:A

文章編號:1001-3695(2010)02-0737-03

doi:10.3969/j.issn.1001-3695.2010.02.092

Authentication system based on combination

FU Yan-jun1， CHENG Yong-mei1， DONG Shu-fu2， WANG Xiao-dong2

(1.Dept. of Automatic Control， Northwestern Polytechnical University， Xi’an 710072， China;2.Dept. of Network Engineering， Institute of Telecommunication Engineering， Air Force Engineering University， Xi’an 710077， China)

Abstract:In order to solve the security problems existed in the process of remote authentication which based on classical cryptography or biometric only，proposed a dual network authentication system based on the feature template of face recognition， which bound face with cryptography. Experimental results indicate that face recognition is efficient， and the system analysis shows that the proposed system can not only provide solutions to many of these problems such as playback， fraud and alteration etc.， but also be a real-time system.

Key words:authentication; face; cryptography; principle component analysis; Fisher rule; hash transform

0 引言

隨著網(wǎng)絡(luò)應(yīng)用的日益普及和電子交易化時(shí)代的來臨，遠(yuǎn)程身份認(rèn)證的安全問題日益突出。目前，遠(yuǎn)程身份認(rèn)證中最常使用的“用戶名(或賬號)+口令”的認(rèn)證方式是一種較弱的認(rèn)證技術(shù)。為了便于記憶，很多用戶的密碼或口令往往比較短，且在很多場合都使用同一密鑰，這很容易被字典式攻擊或社會(huì)工程學(xué)方法攻破[1]。而生物特征因?yàn)榫哂腥烁饔挟悺⒔K生不變、隨身攜帶且不會(huì)丟失或忘記等特點(diǎn)，可以克服密碼認(rèn)證的缺陷。從理論上講，用生物特征進(jìn)行身份認(rèn)證，被驗(yàn)證者必須親臨現(xiàn)場進(jìn)行數(shù)據(jù)采集才可能完成身份認(rèn)證。由于目前的生物認(rèn)證系統(tǒng)還很難區(qū)分活體和非活體生物特征，而生物特征(以圖像或數(shù)據(jù)形式存在)本身并不是保密的，很容易被盜用和復(fù)制(如指紋易被遺留在抓取的物體上而被別人盜用，臉相易從用戶的相片中提取出來，聲音可以被錄音或模仿等)，這就使得基于生物特征的遠(yuǎn)程認(rèn)證中的假冒攻擊可能得逞。因此，生物特征識別系統(tǒng)的安全性不能依賴于生物特征信息自身，而應(yīng)從系統(tǒng)結(jié)構(gòu)安全性、認(rèn)證機(jī)制安全性等方面來保障認(rèn)證過程的安全性。在身份認(rèn)證領(lǐng)域，生物特征與密碼技術(shù)是兩種互補(bǔ)的安全技術(shù)[2，3]。

可作為身份認(rèn)證的生物特征有指紋[4]、人臉、視網(wǎng)膜、虹膜[5，6]、基因、筆跡[7]等。雖然指紋識別率較高且使用方便，但指紋易缺失或損毀且有侵犯性;而基因都有侵犯性且不易被人接受;手寫筆跡雖然易于獲取，但筆跡通過專門訓(xùn)練后會(huì)改變。視網(wǎng)膜圖像不易采集，虹膜雖然識別率較高，但虹膜圖像采集設(shè)備比較昂貴，且采集成功率較低，對被采集者的位置、姿態(tài)要求較嚴(yán)，同時(shí)采集時(shí)的光照也會(huì)使被采集者感覺不適;而人臉識別具有無接觸性(無侵害性)且采集設(shè)備成本較低，是一種對用戶最自然、最直觀、也是最容易被接受的生物特征識別技術(shù)。身份鑒別分為身份辨識和身份驗(yàn)證。身份辨識是要解決“你是誰?”的問題，通常對系統(tǒng)的要求是“寧錯(cuò)勿漏”的原則;而身份驗(yàn)證是要解決“你是不是你所聲稱的人?”，一般要求系統(tǒng)“寧漏勿錯(cuò)”，即對誤識率要求比較嚴(yán)格。為了使身份驗(yàn)證系統(tǒng)有更低的誤識率，本文采用雙重認(rèn)證方案，以口令作為初步認(rèn)證，在此基礎(chǔ)上以人臉特征為依據(jù)進(jìn)行二次認(rèn)證。結(jié)合密碼機(jī)制、抗重放機(jī)制、完整性機(jī)制及數(shù)字簽名機(jī)制，使整個(gè)遠(yuǎn)程認(rèn)證過程可以防竊聽、防重放、防竄改、防冒充，同時(shí)還能有效保護(hù)用戶的私有信息不外泄。

1 人臉識別技術(shù)

人臉識別包括人臉檢測、圖像預(yù)處理、特征提取、決策識別等幾個(gè)環(huán)節(jié)。其中，特征提取是影響最終決策識別的關(guān)鍵。

1.1 人臉識別方法

人臉識別的特征提取與描述方式可分為基于幾何特征和基于統(tǒng)計(jì)特征兩大類。幾何特征的提取對光照、表情、姿態(tài)等變化非常敏感，穩(wěn)定性不高，識別率較低。近年來提出的人臉識別方法大多是基于統(tǒng)計(jì)特征的子空間方法。目前應(yīng)用比較成功的線性子空間方法有主成分分析(PCA)、線性判決分析(LDA)、獨(dú)立元分析(ICA)以及以這些方法為基礎(chǔ)的核方法。

Kirby等人[8]和Turk.等人[9] 以主元分析思想為基礎(chǔ)提出了特征臉方法， Belhumeur[10] 結(jié)合LDA方法，在特征臉基礎(chǔ)上提出了Fisher臉方法。由于人臉識別率受光照條件的影響較大，而各人臉圖像的平均灰度值又不相同，為了減小光照對識別率的影響，本文采用文獻(xiàn)[11]中提出的改進(jìn)的PCA算法和Fisher線性判別法提取人臉特征建立人臉特征模板庫，考慮到人臉識別是在口令認(rèn)證已通過后的二次驗(yàn)證，在匹配判決時(shí)可適當(dāng)放寬對閾值的要求。

1.2 人臉識別的具體步驟

a)給定一個(gè)C 類(每類Ci幅)共N幅人臉圖像的訓(xùn)練集，計(jì)算按行展開后的灰度歸一化列向量的協(xié)方差矩陣Cov，然后求Cov 的M(M≤N-1)個(gè)最大特征值對應(yīng)的特征向量構(gòu)成PCA投影矩陣WPCA。

b)利用PCA投影矩陣WPCA 將訓(xùn)練集n 維向量空間轉(zhuǎn)換為降維的M維空間并獲得最佳描述特征MEF，第i類人臉的MEF空間特征記為yi。

c)以b)中計(jì)算的降維后的最佳描述特征作為Fisher LDA算法的訓(xùn)練樣本，分別計(jì)算類內(nèi)散布矩陣Sw和類間散布矩陣Sb，求出S-1wSb的最大k個(gè)特征值對應(yīng)的特征向量，由這k個(gè)最大特征值對應(yīng)的特征向量構(gòu)成最終的投影矩陣W。

d)利用FLD投影矩陣W，將M維的MEF空間轉(zhuǎn)換為降維的k維MDF空間，獲得對應(yīng)的最佳分類特征MDF，第i類人臉特征模板為ωi=WT.yi，所有C類人臉的特征模板組成人臉特征數(shù)據(jù)庫。

e)計(jì)算每類Ci個(gè)訓(xùn)練樣本的投影向量ωtraini(i=1，2，…，Ci)，并分別計(jì)算其與該類樣本模板向量ωi的Euclidean距離 di(i=1，2，…，Ci)，取每類中最大的di 為該類閾值 Ti，即 Ti=max di(i=1，2，…，Ci)，取所有C類樣本閾值Ti的均值作為匹配判決最終的閾值T，即T=(d1+d2+…+dc)/C。

f)與訓(xùn)練過程類似，計(jì)算被驗(yàn)證圖像的投影向量ωverifyi后，與所聲稱的庫中特征模板ωi進(jìn)行比較，若兩者的Euclidean距離小于T，則通過驗(yàn)證，否則不能通過驗(yàn)證。

2 系統(tǒng)設(shè)計(jì)及功能分析

網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證必須保證認(rèn)證信息的機(jī)密性和完整性以及認(rèn)證過程的不可否認(rèn)性，避免用戶身份的偽造、竄改、冒充及重放攻擊等，同時(shí)也應(yīng)考慮認(rèn)證過程對系統(tǒng)性能的影響，滿足認(rèn)證系統(tǒng)的實(shí)時(shí)性和有效性。本文的認(rèn)證系統(tǒng)采用分布式的客戶機(jī)/服務(wù)器模式。系統(tǒng)框圖如圖1所示。具體的認(rèn)證過程如2.2節(jié)所述。

2.1 系統(tǒng)數(shù)據(jù)庫的生成

為了防止系統(tǒng)數(shù)據(jù)庫被攻擊而造成用戶生物特征信息被盜，通常在系統(tǒng)數(shù)據(jù)庫中不直接存放原始生物信息，而是存放原始信息經(jīng)某種變換后的特征。通過對上文提出的人臉識別方法進(jìn)行分析可知，投影矩陣的生成與整個(gè)訓(xùn)練樣本有關(guān)，每個(gè)注冊用戶的特征模板與投影矩陣有關(guān)，也即每個(gè)用戶的特征模板與系統(tǒng)中所有注冊用戶樣本圖像有關(guān)。本文的認(rèn)證系統(tǒng)數(shù)據(jù)庫中包括注冊用戶的姓名、口令、人臉特征模板及最近幾次認(rèn)證過程的序列號等信息。這些信息中除了用戶的姓名外，每個(gè)注冊用戶的其他信息用認(rèn)證服務(wù)器的公鑰KAU獨(dú)立加密后存放。

2.2 身份認(rèn)證的具體過程

設(shè)認(rèn)證服務(wù)器的RSA公鑰對為(KAU ， KAR)，假設(shè)認(rèn)證前客戶端已經(jīng)安全得到認(rèn)證服務(wù)器的公鑰KAU，則身份認(rèn)證的具體過程如下:

a)被驗(yàn)證者(或聲稱者)輸入自己的姓名name、口令password，客戶端隨機(jī)生成序列號num，并用認(rèn)證服務(wù)器的公鑰KAU按式(1)進(jìn)行加密，并把密文C1傳給認(rèn)證服務(wù)器。

C1=EKAU( name || password || num)(1)

b)認(rèn)證服務(wù)器用自己的私鑰KAR按式(2)進(jìn)行解密。在系統(tǒng)數(shù)據(jù)庫中查找name，若存在name，則解密與該name對應(yīng)的庫中相應(yīng)信息，若傳過來的password與庫中的password一致，則向客戶端返回信息“please input face image!”，并記錄序列號num，否則返回信息“name or password is error!”，返回的信息用KAR進(jìn)行簽名，如式(3)所示。

M1=EKAR(C1)=EKAR ( EKAU (name || password || num ))(2)

sign=EKAS(password||num||please input face image!))(3)

或sign=EKAS(password||num||name or password is error!))

c)客戶端收到sign后用認(rèn)證服務(wù)器的公鑰KAU驗(yàn)證簽名，并對通過初始驗(yàn)證的用戶進(jìn)行圖像采集和預(yù)處理，以獲得合格的人臉圖像image，隨后，客戶機(jī)對image進(jìn)行哈希變換生成摘要Hface，并用隨機(jī)生成的會(huì)話密鑰KS作為TDES算法的密鑰加密image，而對KS和Hface及num用KAU加密生成數(shù)字信封，客戶端傳給認(rèn)證服務(wù)器的信息C2作為系統(tǒng)第二次認(rèn)證的依據(jù)，C2表示為式(4):

C2=EKAU (Hface||KS ||num)||EKS(image)(4)

d)認(rèn)證服務(wù)器收到C2后，先用自己的私鑰KAR對第一部分解密得KS，再用KS對第二部分解密得image，對image進(jìn)行與客戶端相同的哈希變換得Hface′，比較Hface與Hface′是否相同，若相同，說明image在傳送過程中沒有被修改，進(jìn)而按照上述人臉識別的步驟作出決策;否則，若Hface與Hface′不等，說明image傳送過程中被修改，可通知客戶端重傳。

3 系統(tǒng)分析及仿真實(shí)驗(yàn)安全性分析

3.1 安全性分析

1)可有效防止假冒、竄改等攻擊

所設(shè)計(jì)的系統(tǒng)中，認(rèn)證服務(wù)器的系統(tǒng)數(shù)據(jù)庫不存儲用戶的原始人臉數(shù)據(jù)，而是加密存儲總體特征投影矩陣W及每個(gè)用戶的特征模板ωi，因?yàn)閃和ωi與庫中所有用戶的訓(xùn)練樣本有關(guān)，因此，在沒有獲得所有注冊用戶的原始圖像數(shù)據(jù)的情況下，對W的修改會(huì)引起很高的拒識率而被系統(tǒng)管理員發(fā)現(xiàn)，而試圖通過替換某個(gè)用戶的特征模板ωi來冒充該用戶也是不可行的，同樣，企圖通過在系統(tǒng)數(shù)據(jù)庫中增添自己的信息而逃過注冊環(huán)節(jié)的竄改攻擊也是不可行的，因?yàn)檫@兩種情況下的攻擊者無法生成自己的特征模板，這也是本文采取這種方法進(jìn)行人臉特征提取的原因之一;另外，通過口令與人臉的雙重認(rèn)證，可有效防止數(shù)據(jù)采集過程中利用照片等進(jìn)行的假冒攻擊。

2)可有效防止重放攻擊

為了防止認(rèn)證信息傳輸過程中被人截取以進(jìn)行重放攻擊，每次認(rèn)證所使用的序列號num是實(shí)時(shí)隨機(jī)生成的，且在系統(tǒng)數(shù)據(jù)庫中存儲了該用戶最近幾次使用過的序列號，為了防止攻擊者修改序列號，用認(rèn)證服務(wù)器的公鑰KAU加密后再進(jìn)行傳輸。用戶的原始圖像數(shù)據(jù)使用隨機(jī)生成的會(huì)話密鑰KS進(jìn)行加密傳輸，不但可以保護(hù)用戶的個(gè)人信息不外泄，也可以抵抗重放攻擊。

3.2 系統(tǒng)性能分析

a)整個(gè)系統(tǒng)中需要秘密保存的密鑰只有認(rèn)證服務(wù)器的私鑰，因而密鑰管理比較簡單。

b)系統(tǒng)采用兩步認(rèn)證，初步認(rèn)證只需用戶提交姓名及口令，速度很快，對于沒有通過初步認(rèn)證的聲稱者，不再進(jìn)行圖像采集，這樣可以把大量的非法試探者在初步認(rèn)證中拒之門外，大大節(jié)約了系統(tǒng)時(shí)間。

c)為了驗(yàn)證原始圖像數(shù)據(jù)傳送過程中的完整性，在傳送原始圖像數(shù)據(jù)時(shí)，附加傳送其哈希變換值，認(rèn)證服務(wù)器只對通過完整性檢驗(yàn)的圖像數(shù)據(jù)才進(jìn)行后續(xù)的驗(yàn)證，這在一定程度上降低了系統(tǒng)的誤識率，同時(shí)也提高了系統(tǒng)效率。

d)整個(gè)系統(tǒng)相關(guān)算法的選擇充分考慮了認(rèn)證過程對實(shí)時(shí)性的要求。根據(jù)對稱體制和非對稱體制加密的特點(diǎn)，傳輸短信息時(shí)使用RSA公鑰體制加密，而對于人臉原始圖像數(shù)據(jù)這種較長的信息使用TDES對稱體制加密。另外，各個(gè)用戶的信息獨(dú)立加密存放，匹配時(shí)只需解密聲稱者的信息，加快了驗(yàn)證的速度。

3.3 仿真實(shí)驗(yàn)

本認(rèn)證系統(tǒng)識別率的高低主要取決于人臉的識別率，因?yàn)槠渌c密碼有關(guān)的算法都是精確計(jì)算，而人臉識別由于在圖像采集、特征提取及匹配識別各個(gè)階段都帶有模糊性，其識別率很難達(dá)到100%。為了驗(yàn)證本文人臉識別算法的有效性，實(shí)驗(yàn)選用ORL人臉庫為對象，該庫中共有400幅圖像(40人，每人10幅圖像)，人臉圖像的大小為112×92。其中用200幅進(jìn)行訓(xùn)練，200幅進(jìn)行測試。按照1.2節(jié)給出的人臉識別步驟進(jìn)行多次仿真，其仿真結(jié)果表明，PCA及FLD投影矩陣的特征向量取得太少會(huì)使識別率降低，而取得太多又會(huì)影響識別的實(shí)時(shí)性，同時(shí)，過多的冗余信息會(huì)使識別率對噪聲比較敏感。當(dāng)PCA變換的投影矩陣由前50個(gè)最大特征值對應(yīng)的特征向量組成時(shí)，第二階段FLD的投影矩陣W取前20個(gè)最大特征值對應(yīng)的特征向量，對測試集的識別率可達(dá)87.9%。圖2為該算法經(jīng)PCA變換后的部分特征臉圖像。

4 結(jié)束語

針對傳統(tǒng)網(wǎng)絡(luò)身份認(rèn)證過程中存在的各種安全隱患，利用人臉的惟一不變性，結(jié)合安全的網(wǎng)絡(luò)傳輸加密體制，所設(shè)計(jì)的系統(tǒng)能夠有效地應(yīng)付認(rèn)證過程中的假冒、重放、竄改等各種攻擊。從系統(tǒng)的仿真實(shí)驗(yàn)結(jié)果來看，人臉識別的識別率還不是很高，因此，還需進(jìn)一步探討如何提取更有效的人臉特征及尋找更好的匹配算法。另外，文中的仿真是在圖像質(zhì)量相對較好的ORL人臉庫中進(jìn)行的，實(shí)際的圖像采集中可能存在圖像質(zhì)量較差甚至不能檢測到人臉的情況，所以客戶端還需具有自動(dòng)進(jìn)行人臉圖像質(zhì)量評價(jià)的功能，使得傳送到認(rèn)證服務(wù)器的圖像均能滿足識別的要求，進(jìn)一步提高認(rèn)證效率。

參考文獻(xiàn):

[1]ULUDAG U，PANKANTI S，PRABHAKAR S，et al. Biometric cryptosystems: issues and challenges [J].Proc ofthe IEEE Special Issue on Multimedia Security for Digital Rights Managenent， 2004，92(6): 948-960.

[2]LI Liang， JIANG Wei-qiang， TIAN Jie，et al. A networking identity authentication scheme combining fingerprint coding and identity based encryption[C]//Proc of IEEE Intelligence and Security Information. 2007: 129-132.

[3]辛陽， 魏景芝， 李超，等.基于PKI 和PMI 的生物認(rèn)證系統(tǒng)研究[J].電子與信息學(xué)報(bào)，2008，30(1):1-5.

[4]劉培順，王建波，何大可.結(jié)合指紋信息的 PKI認(rèn)證系統(tǒng)[J]. 計(jì)算機(jī)工程，2005，31(9):59-61.

[5]姜華，趙潔.虹膜識別的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與科學(xué)，2006，28(6):49-52.

[6]趙潔，徐巧枝.一種基于虹膜特征的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(6):1419-1421.

[7]朱勇， 譚鐵牛，王蘊(yùn)紅.基于筆跡的身份鑒別[J].自動(dòng)化學(xué)報(bào)，2001，21(2):229-234.

[8]KIRBY M， SIROVICH L. Application of the Karhunen-Loeve procedure for the characterization of human faces [J].IEEE Trans on Pattern Analysis and Machine Intelligence， 1990，12(1):103-108.

[9]TURK M， PENTLAND A. Eigenfaces for recognition [J]. Journal of Cognitive Neuroscience，1991，3(1):72-86.

[10]BELHUMEUR P N，HESPANHA J P， KRIEGMAN D J. Eigenfaces vs Fisherfaces: recognition using class specific linear projection [J]. IEEE Trans on Pattern Analysis and Machine Intelligence， 1997，19(7):711-720.

[11]石躍祥，蔡自興，王學(xué)武，等. 基于改進(jìn)的PCA算法和Fisher線性判別的入臉識別技術(shù)[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2006，27(9):1371-1375.