一種指紋生物特征的隱私保護和認證方法*

賴 韜，王 松，房利國，韓煉冰

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來，隨著生物特征識別技術的廣泛應用，人們越來越擔心自身的生物特征的安全問題。無論在哪種場合，只要提供了自己的生物特征信息，這個生物特征信息就有被復制和盜用的風險；而且，人的生物特征一般情況下是不會變化的，一旦泄露就無法像口令一樣修改或重新設置。當同一生物特征信息應用于多個信息系統時，一個系統中的生物特征信息泄露將影響其他系統的安全。2020 年10月，中國信通院、電信終端產業協會、中國互聯網協會等單位聯合發表了《生物識別隱私保護研究報告》[1]。報告指出需要完善我國的生物識別隱私保護標準體系，加快重點標準研制，建立評估機制，提升保護力度，同時在技術層面上需要創新生物識別隱私保護技術手段，加強基礎理論研究和技術研發。

在生物特征識別技術廣泛應用之前，信息系統的認證主要依靠口令的方式進行。在對口令的安全保護設計中，口令通常使用安全散列算法，如安全散列算法1（Secure Hash Algorithm 1，SHA1），進行安全散列運算，并將散列值存儲起來。口令認證時，輸入的口令將再次進行安全散列運算，并將散列值并與存儲的散列值進行比較，確定用戶身份。在這個過程中，信息系統中并不保存原始的口令，由于安全散列算法是單向運算，即使存儲的散列值被泄露，攻擊者也無法得到原始的用戶口令。

雖然通過安全散列算法可以很好地保護口令安全，但這個技術并不適用于生物特征信息。生物特征信息識別系統一般分為注冊階段和認證階段[2]，因為生物特征信息受采集條件、環境變化等各種因素影響，即使是同一個生物樣本，每次采集的生物特征信息都會有所不同。例如，在進行指紋特征采集時，受手指與傳感器之間的壓力、接觸范圍、角度不同，以及灰塵、油污等影響，都會造成采集的生物特征信息存在差異。由于這些差異的存在，使得同一指紋多次采集的特征信息進行安全散列運算后的散列值都是不同的，無法用于確定用戶真實身份，因此在設計生物特征的隱私保護方案時，最根本的難題是如何解決同一生物特征多次采樣產生的差異。

1 生物特征信息的隱私保護

生物特征信息是按照一定的提取策略，生成一組特征值的序列。該序列被稱為生物特征模板。一般情況下，生物特征模板X可以表示成X=＜x1,x2,…,xn＞的形式。對于任意的兩個特征模板X和Y，如果存在一個子集C={1,2,…,t}，且滿足|xi-yi|＜δ,(1 ≤i≤t)，則認為兩個生物特征模板是匹配的，其中t和δ為設定的閾值。

生物特征信息的隱私保護需要做到在不影響識別性能的同時，無法還原或偽造出原始的生物特征信息。近年來國內外在生物特征信息的隱私保護方面也提出了許多方法，這些方法主要分為基于變換的生物特征保護方案和基于輔助數據的生物特征保護方案兩類。

1.1 基于變換的生物特征保護方案

基于變換的生物特征保護方案主要設計思想是對生物特征模板進行一種不可逆變換，如坐標扭曲、折疊等。進行匹配時，待匹配數據也進行相同的變換后再進行匹配。在指紋的變換保護方面，Ratha等人[3]提出了基于笛卡爾坐標的轉換函數，在這個轉換函數中，指紋圖像被分割為若干個矩形單元，每個單元按照一定的規則重新變換位置。在這種變換中，指紋圖像被打亂，原本分散的兩個或多個指紋特征點可能被集合到鄰近區域，編碼成一個特征點，即使攻擊者知道變換方法，也無法確定該特征點原來屬于哪個區域。

基于變換的保護方案缺點在于設計出一個安全的變換函數和參數非常困難，同時不太容易從理論上分析出逆向變換的難度，特別是當變換函數和參數被泄露的時候，這種方法很難證明其安全性[4]。

1.2 基于輔助數據的生物特征保護方案

基于輔助數據的生物特征保護方案主要的設計思想是利用生物特征信息生成一些輔助信息[5]，如糾錯編碼、雜湊值、驗證數據等。這些輔助信息不會透露原始的生物特征信息，但可以在認證時利用其完成身份認證。目前基于輔助數據的保護方案主要有模糊提取、模糊承諾和模糊金庫幾種。模糊提取和模糊承諾要求生物特征數據必須是有序的，該技術目前已成功用于虹膜等生物特征識別[6]。由于指紋的細節點特征是無序的，對指紋的細節點特征的保護大都采用模糊金庫的方法。模糊金庫方法在進行生物特性信息的隱私保護時構建一個多項式，該多項式為：

該多項式在2 維平面上是一條曲線，指紋的若干個細節點特征依次作為y值帶入多項式中進行運算得到若干個y值，每次運算的(x,y)值就形成了平面上的真實坐標點。在真實坐標點之外，隨機生成若干個假坐標點就得到了指紋模糊金庫。實際應用中，假坐標點的數量需要遠遠大于真實坐標點的數量，使得攻擊者很難找出哪些是真實坐標點。在認證時，只有合法指紋才能篩選出真實點并重構出多項式，完成生物特征認證[7]。理論上，當模糊金庫中存在24 個真實點，200 個假坐標點，n值為8 時，其安全強度約為231.22。

模糊金庫的缺點在于當同一生物特征信息被用于兩個及以上的模糊金庫時，如果模糊金庫數據被攻擊者得到，攻擊者可以通過交叉匹配很容易地找出模糊金庫中的真實點，破解模糊金庫。除此之外，模糊金庫還存在多模板攻擊、替代攻擊、密鑰反向攻擊等難以解決的問題[8-10]，在安全性上存在一定的局限性。

2 指紋生物特征的隱私保護方法

基于細節點特征匹配的指紋識別是目前指紋身份認證的主流技術方案。但由于指紋細節點的無序性使得在完成匹配前并不知道注冊的細節點和匹配的細節點之間的對應關系。同時，兩次采樣時，受各種因素影響，獲取的細節點數量很有可能是不一樣的。

為了解決指紋的細節點特征無法直接通過模糊承諾進行保護的問題，國內外進行了許多研究并提出了一些方法，如基于傅里葉變換和濾波變換得到指紋細節點信息的幅度譜和相位譜構建模糊承諾方案[11]。

與上述方法不同，本文從指紋特征細節點分布結構出發，設計了一種指紋細節點特征二值化方法，并結合糾錯算法和安全散列算法，完成指紋生物特征信息的隱私保護。

2.1 基于細節點分布的指紋特征二值化方法

根據中華人民共和國頒布的《居民身份證指紋采集和比對技術規范》，指紋的細節點一般由中心點和普通特征點構成。指紋中心點的數量最多為3個，特征點數量最多為120 個，其中中心點用(x,y)坐標表示，特征點用(x,y,θ)表示[12]。基于細節點分布的指紋特征二值化方法采用劃分指紋區域結合特征點角度的方式來進行二值化。

最開始，需要在指紋圖像中確立一個笛卡爾坐標系。當指紋圖像有一個中心點時，坐標系以該中心點為原點，原點與最近的特征點連線方向作為x軸。當指紋圖像中有兩個中心點時，坐標系以兩個中心點之間的中點為原點，兩個中心點之間的連線方向作為x軸。當指紋圖像中有3 個中心點時，坐標系以3 個中心點的x值和y值的平均值為原點，距離最近的兩個中心點之間的連線方向作為x軸。由于同源指紋特征多次采樣時的位置和角度均會有不同，指紋細節點信息需要根據笛卡爾坐標原點進行對齊，即將指紋細節點進行旋轉和平移，將原點位置移動到(0,0)坐標，并將x軸移動到水平方向。細節點旋轉和平移的公式如下：

式中：(xi,yi,θi)是旋轉平移前的細節點特征值；(x0,y0)是原點坐標；θ0是將x軸移動到水平方向需要旋轉的角度；(txi,tyi,tθi)是旋轉平移后的細節點特征值。

在笛卡爾坐標系建立之后，需要對指紋圖像進行分割，如圖1 所示。具體實現方法為在笛卡爾坐標系中以原點為中心，d為間距，a為扇區角度劃分區域。

圖1 指紋特征二值化劃分區域方法

完成指紋圖像的區域劃分之后，可以根據區域中是否有指紋特征點、以及特征點的角度對指紋特征進行二值化。二值化時，每個區域與原點之間的角度、距離以及一定θ角度范圍內是否有特征點，可以構建一個3 維陣列，如圖2 所示。

圖2 指紋特征二值化矩陣

當3 維陣列中某個位置中存在特征點時，該矩陣被編碼為1，用黑色表示，否則被編碼為0，用白色表示。矩陣中所有位置編碼完成后，再按照一定規則對編碼值進行排列，即可完成指紋特征的二值化。

基于細節點分布的指紋特征二值化方法排除了同源指紋多次采樣時的位置和角度不同造成的偏差，實現了指紋的對齊和二值化。任意兩次二值化的結果偏差可以用漢明距離來表示。工程實現時，可以對d值，a值以及θ值進行調整盡量減小同源指紋之間的二值化漢明距離，增大非同源指紋之間的漢明距離。當d=55，a=π/4，θ=π/4 時，測試了40 幅指紋圖像兩兩之間的二值化特征值漢明距離如圖3 所示。

圖3 40 幅指紋圖像的二值化特征值的漢明距離

圖3 中，橫坐標表示漢明距離的大小，縱坐標表示出現的次數。從圖3 中可以看出，采用指紋區域結合特征點角度的方式二值化后，同源指紋的二值化特征值漢明距離明顯小于非同源指紋的二值化特征值漢明距離，可以達到明顯區分同源指紋和非同源指紋的目的。

2.2 指紋特征信息的隱私保護

指紋的二值化特征值反映了指紋的特征點分布情況，必須對其進行保護，但采用密碼算法加密保存指紋數據的方法并不能從根本上解決問題；因為一旦密鑰丟失，攻擊者同樣可以通過解密還原出指紋數據。而且，在每次進行生物特征匹配時，無論匹配是否成功，都需要對已加密的指紋數據進行解密獲取指紋特征的明文，存在安全風險。因此，采用了基于輔助數據的隱私保護方案完全避免了這一問題。

在基于輔助數據的隱私保護方案中，指紋特征信息注冊階段，利用糾錯算法生成注冊指紋二值化特征值的糾錯編碼，利用安全散列算法生成注冊指紋二值化特征值的散列值。糾錯編碼用于糾正同源指紋兩次測量之間的誤差，散列值用于認證。注冊完成后，僅需要保留糾錯編碼和散列值，形成輔助數據，原始的指紋二值化特征值等其他數據均被銷毀。由于安全散列算法的逆向計算在數學上是不可行的，攻擊者即使得到了輔助數據，也無法恢復原始指紋二值化特征值。基于輔助數據的隱私保護方案的注冊過程如圖4 所示。

圖4 基于輔助數據的隱私保護方案的注冊過程

在認證階段，待認證的指紋圖像通過二值化抽取得到二值化特征值，然后通過輔助數據中的糾錯編碼嘗試對二值化特征值進行糾錯運算。如果糾錯運算失敗，則認證失敗。如果糾錯成功，則利用安全散列算法計算糾錯后二值化特征值的待認證散列值，并將其與輔助數據中的散列值進行比較，只有當待認證散列值與輔助數據中的散列值一致時，才認為身份認證成功。基于輔助數據的隱私保護方案的認證過程如圖5 所示。

圖5 基于輔助數據的隱私保護方案的認證過程

3 測試結果

本文以指紋樣本庫FVC2002_DB2B 為基礎，測試了基于細節點分布的指紋特征二值化方法的指紋識別可靠性。測試時，先將樣本庫中的指紋數據處理為符合國家二代居民身份證指紋采集和比對技術規范的指紋數據結構，再基于細節點分布特征進行二值化處理，最后結合二元線性循環碼（BCH）[13]和SM3 安全散列算法完成指紋數據的隱私保護[14]。

真匹配實驗是將指紋圖像庫中每個手指其中任意一幅圖片為模板，其余同源指紋為樣本進行比較，計算識別率；假匹配實驗則是選取任意手指的一幅圖片為模板，與其余不同手指的所有圖片進行比較，計算誤識率。

測試時，通過調整d,a,θ以及糾錯比特位數，測試了不同情況下指紋識別可靠性，如表1 所示。

表1 不同配置情況下的指紋識別可靠性

在實際應用中，可以根據不同的應用場景來選擇不同的參數，以滿足不同的識別可靠性要求。

文獻[15]中指紋的識別率和誤識率分別是73.32% 和0.23%。文獻[16]中指紋識別率在86.712%時，誤識率為0.106%；識別率在90.804%時，誤識率為1.236%。本文提出方案在識別可靠性上有所提高，同時本方法與基于幅度譜和相位譜構建模糊承諾方案相比原理上更加簡單，在保證識別可靠性的前提下，降低了計算復雜度。

綜上所述，本方案具有以下特點：

（1）用于身份識別的指紋特征信息通過安全散列算法計算散列值，這個過程是不可逆的，所以攻擊者無法恢復原始指紋細節點信息；

（2）當同一指紋特征用于多個設備或軟件中時，通過配置不同的安全散列算法密鑰（如硬件ID，口令，隨機變量等），可以生成不同的散列值，當同一生物特征信息應用于多個信息系統時，一個系統中的生物特征信息泄露不會影響其他系統的安全。

4 結語

本文提出的指紋生物特征信息隱私保護和認證方法以一種較為簡便的方式實現了指紋特征信息的隱私保護，同時也具備較好的指紋識別可靠性。本文提出的方法可以直接利用現有成熟指紋識別技術提取的指紋特征，如符合國家二代居民身份證指紋采集和比對技術規范的指紋特征，且可以在兼容的情況下，將該技術推廣到已有的指紋識別系統中。