张雪锋,常振会,张俊杰,王超飞

(1.西安邮电大学 网络空间安全学院,陕西 西安 710121; 2.西安邮电大学 通信与信息工程学院,陕西 西安 710121)

随着互联网与信息技术的快速发展,信息安全问题[1-3]日益凸显,现已成为当前信息技术的重要研究方向之一。在众多的信息安全技术中,身份识别作为保护信息系统安全和实现访问控制的基础,是当前信息安全领域的一个研究热点,已被广泛应用于机场安检、在线支付和手机访问控制等日常生活的各个方面[4-5]。传统的身份识别方法分为两类,一类是通过证件、钥匙和身份证识别个人身份,另一类是通过密码和个人身份识别码(Personal Identification Number,PIN)识别,这两类方法均存在诸如证件丢失、忘记密码等缺点[6]。生物特征具有无需记忆、唯一性和长时间保持不变等特点,有效解决了传统身份识别方法的缺点。如指纹普遍性高、易于采集和稳定性好,可应用于指纹打卡、手机指纹解锁和门禁解锁等识别系统中。虹膜稳定性高、独特性强和不易更改,可应用于刑侦、机场安检及银行高端安全安保等场合。因此,近年来基于生物特征的识别技术得到了快速发展和广泛应用。

单模态生物特征识别技术[7-10]依赖于单一的生物特征,存在特征的显著性低、获取难、处理误差大和特征不可用等缺点,会影响识别精度。通过采集多种生物特征,可使识别过程具备更丰富的有效识别信息,从而提高识别性能,增强系统的安全性和可靠性[11]。多模态生物特征识别[12-13]是整合多种人体生物特征进行身份识别的技术,与单模态生物特征相比,其具有更加可靠的识别性能,而且使得对生物特征的伪造和复制变得更加困难,提高了系统的安全级别。另外,多模态生物特征识别具有更广的适用性,有效避免了因先天或后天等原因造成不能充分利用生物特征进行识别的问题。基于虹膜和指纹特征的多模态生物识别系统[14]先采用频率的方法对提取的指纹和虹膜特征进行融合,生成齐次的生物特征向量,再利用汉明距离对融合后的特征向量进行匹配。虽然该方法取得了良好的识别率,但是其并没有关注到融合特征的高维性。Yik-Herng等[15]提出了一种多模态生物特征融合方法,通过使用索引优先哈希和整数值映射策略生成可撤销生物模板,并在此基础上采用加权特征级融合的方式对指纹和虹膜进行实验。该方法能够有效防范系统受到的潜在隐私攻击,但是识别性能较差,比单一虹膜特征生物的识别率低。基于指纹和掌纹特征融合的可撤销模板保护算法[16]利用Gabor滤波器分别对预处理后的指纹图像和掌纹图像进行纹理特征提取,并将融合后的特征向量投影到用户PIN码生成的正交矩阵中,得到一个可撤销的融合特征模板,提高了身份认证系统的识别率,但指纹和掌纹图像的纹理特征非常相似,安全性问题仍需考虑。基于特征融合的可撤销模板保护方法[17]将指纹与手指静脉特征相结合,对融合后的特征向量进行随机置乱和离散傅里叶变换(Discrete Fourier Transform,DFT)操作,通过部分Hadamard变换生成可撤销的多模态生物特征模板,该方法满足不可逆和可撤销特性,具有较好的认证性能和安全性,但该方法仅采用随机置乱和DFT运算进行特征提取,对信息的挖掘并不充分。Tajinder等[18]设计了一个指纹和虹膜的多生物特征级别融合系统用于身份验证。该系统先采用Gabor滤波器提取指纹特征,利用加速稳健特征(Speed up Robust Feature,SURF)算法提取虹膜特征,然后通过鲸鱼优化算法对提取的指纹和虹膜特征进行优化,最后通过人工神经网络算法对数据进行训练。虽然该系统具有较好的安全性和良好的识别率,但是没有对生物特征模板进行可撤销性分析。基于Bio-hashing的指纹模板保护算法[19]首先提取指纹图像特征,然后将提取后的特征向量在量化过程中变成特征矩阵,最后生成指纹模板。相较于上述的多模态生物识别系统,该方法在安全性和识别精度上略显不足。

在多模态生物识别系统中,生物特征模板包含一个人的多种特征信息,其安全性至关重要。可撤销生物模板保护是一种重要的模板保护方法[20],可以对生物特征数据进行不可逆变换,生成一个可撤销的模板。一旦用户模板被泄露,通过更改用户密钥可以创建与原始模板完全不同的新模板,即使犯罪分子获得了原有的模板信息,也无法从中恢复用户的原始特征,很大程度上提高了用户生物特征信息的安全性。因此,拟提出一种基于指纹和虹膜特征融合的可撤销特征模板保护方法。该方法采用t分布随机近邻嵌入(t-distributed Stochastic Neighbor Embedding,t-SNE)方法对生物特征进行串联融合和降维处理,然后对融合后的多模态特征进行随机索引置乱和小波变换等操作,进一步提取特征,从而增强模板的安全性和识别率。

1 可撤销特征模板保护方法

基于指纹和虹膜特征融合的可撤销特征模板保护方法主要分为注册和认证两个阶段。在注册阶段,首先对指纹和虹膜图像进行预处理,提取其特征。然后将提取的特征向量串联融合,并采用t-SNE对融合后的特征向量进行降维处理,再进行随机索引置乱、小波变换和DFT运算等操作。最后通过部分Hadamard变换生成可撤销的生物特征模板。在认证阶段,对指纹和虹膜图像进行相同的操作和变换生成认证模板,计算两个模板之间的相似度得分,得到最终的匹配结果。可撤销特征模板保护方法具体过程如图1所示。

图1 可撤销特征模板保护方法具体过程

1.1 预处理和特征提取

1.1.1 指纹预处理和特征提取

进行指纹预处理和特征提取时,先采用直方图均衡化和快速傅里叶变换对指纹图像进行图像增强,然后通过基于Gabor滤波的指纹特征提取方法对预处理后的指纹进行特征提取,具体步骤如下。

步骤1确定指纹图像的参考点和感兴趣区域(Region of Interest,ROI)。

步骤2根据选取的不同的参考点将ROI划分为扇区。

步骤3应用Gabor滤波器在8个不同方向进行滤波。

步骤4计算滤波图像中各个扇区的灰度值与均值的平均绝对偏差,定义特征向量或指码。

为了避免指纹和虹膜特征融合时类型不兼容的问题,采用Bio-hashing算法[21]将提取的指纹特征实值转换成二进制比特串。

1.1.2 虹膜预处理和特征提取

虹膜图像中包含眼睑、瞳孔和镜面反射等对特征提取不利的部位信息。因此,在虹膜识别前预处理和特征提取主要包括3个部分:1)虹膜分割,在眼睛图像中定位虹膜区域;2)虹膜归一化,创建一个维度一致的虹膜区域;3)虹膜特征编码,创建只包含虹膜最具有识别力的特征编码。虹膜处理具体过程示意图如图2所示。

图2 虹膜处理过程

特征编码是从虹膜图像中提取潜在的生物特征信息,并生成匹配的二值虹膜模板。通过一维Log-Gabor滤波器,将二维归一化图像分解为若干个一维信号,并将其与一维Gabor小波进行卷积,生成虹膜特征集。该一维Log-Gabor滤波器在对数尺度上服从高斯分布,用于在任何带宽下产生零直流分量,其计算表达式为

(1)

式中:f为频率变量;fo为中心频率;α为滤波器的带宽。该滤波器通过计算其中心频率和频率平面中心到归一化半径等径向滤波分量构造特征,并对特征进行相位量化和编码,从而生成二进制虹膜模板。

1.2 串联融合

将提取的指纹特征向量与虹膜特征向量进行拼接,即串联融合。假设融合后的特征向量为B,考虑到其维数较高,存在信息冗余,因此采用t-SNE方法对其进行降维处理,将降维后的融合特征向量记为B′。t-SNE方法的核心思想是保证在低维空间的数据分布与原始特征空间分布的相似性高[22]。与其他降维算法相比,t-SNE方法创建了一个缩小的特征空间,相似的样本由附近的点建模,不相似的样本由高概率的远点建模,且t-SNE是少数可以同时考虑数据局部与全局关系的方法,其在高维空间中采用高斯核心函数定义了数据的局部和全局结构之间的软边界。此外,t-SNE方法可以根据数据的局部密度分别确定每个数据点的局部领域大小。

利用t-SNE方法降维处理,是先计算高维数据点之间的相似度,构建初始空间的条件概率分布。然后在投影空间构建低维条件概率分布,并最小化这两个概率分布之间的差异。初始空间中的概率定义[23]为

(2)

其中,

(3)

式中:xi和xj分别为任意两个原始高维数据点;xk为除了xi之外的任意原始高维数据点;m为设定的低维空间的维度;σi为以数据点xi为中心的正态分布的方差,由二分搜索法计算获得。

在投影空间中,引入t分布,其概率表示为

(4)

式中:yi和yj分别为降维后的数据点,即投影点;yk和yl为除了yi和yj之外的任意投影点。

在获得投影点yi后,利用长尾分布避免拥挤问题,使得pij和qij之间的差异变小。为了满足pij=qij,对于高维空间中相距较近的点,低维空间中的距离需要稍小一点,而对于高维空间中相距较远的点,低维空间中的距离需要更远,这样便使得距离较近的同一簇内的点聚合更紧密,距离较远的不同簇之间的点更加疏远。

为了应对t-SNE方法在大规模计算或数据中训练慢的问题,引用主成分分析(Principal Component Analysis,PCA)代替t-SNE方法中的随机初始化步骤,提高算法效率。同时,针对t-SNE方法的结果具有一定的随机性,采用PCA初始化的方式进一步增强降维结果的鲁棒性。

1.3 随机索引置乱、小波变换和DFT运算

对降维后的特征向量B′分别进行随机索引置乱、小波变换和DFT运算,进一步提高生成模板的安全性和不可逆性。

随机索引置乱是先生成需要的随机数,并对其进行随机排序,得到一个乱序的索引。然后根据索引将降维后的特征向量B′重新排序,得到新的特征向量Z,扩充密钥空间。将小波变换应用于该特征向量Z,选取合适的滤波器,获得小波变换后的特征向量Z′,极大地减小或去除所提取的不同特征之间的相关性。与传统的傅里叶变换相比,小波变换的优势在于其频率数据是局部化的,允许出现在相同位置和分辨率的特征进行匹配。当小波变换应用于二维虹膜区域时,每个分辨率对应的小波都是基函数的缩放版本。

随机索引置乱后的特征向量Z只包含0和1,如果直接对其进行操作,可能会减少搜索空间,降低安全性,特别是在元素稀疏分布的情况下。为了解决这一问题,首先对特征向量Z进行Haar小波变换获得特征向量Z′,然后再进行N1点DFT变换得到变换后的特征向量F,其中N1=2n。变换的具体过程为

F=Z′U

(5)

其中,

Z′=[D(0),D(1),…,D(N1-1)]T

式中,W=e-j2π/N1。

通过小波变换和DFT变换,使F不再是稀疏分布,且矩阵U是酉矩阵,酉矩阵的变换为不可逆变换。因此,经过DFT变换后的特征可以进一步提高生物特征模板的安全性和不可逆性。

1.4 可撤销模板生成

Hadamard变换是一个非正弦的正交变换,由Walsh函数组成。Walsh函数的振幅只有+1或-1两个值,因此Hadamard变换后是实数,且有部分性质与离散傅里叶变换类似,在图像处理方面,可以降低算法的复杂度,节省计算时间。

Hadamard矩阵定义元素为±1,且行向量是成对正交的。当m是2的幂次时,递归构造N×N的Hadamard矩阵为

(6)

考虑到Hadamard矩阵是对称且正交的,则有

(7)

式中,IN为N×N单位矩阵。

(8)

1.5 模板匹配

基于指纹和虹膜特征融合的可撤销模板保护方法的匹配过程分为注册和认证两个阶段。定义φR为注册阶段的存储模板,φA为认证阶段的查询模板,φR和φA之间的距离表达式为

(9)

式中,‖·‖2表示2-范数。

存储模板和查询模板之间的归一化匹配分数,即相似度分数的表达式为

(10)

相似度分数S(φR,φA)的范围为[0,1],其值代表了存储模板和查询模板的相似程度,1表示最相似,0表示最不相似,数值越大,两个模板的相似程度越高,反之亦然。

2 实验仿真及结果分析

2.1 实验数据

为了验证基于指纹和虹膜特征融合的可撤销模板保护方法的有效性,使用Matlab R2018b在CPU为Inter Core i5,处理器为2.11 GHz和内存为16 GB的开发环境下进行相关实验。实验使用的数据库为公开的指纹数据库FVC2002 DB1、FVC2002 DB2和中国科学院自动化研究所(Institute of Automation of the Chinese Academy of Sciences,CASIA)虹膜图像数据库CASIA Iris。在指纹数据库中,由于部分指纹没有中心点,图像质量差,因此在两个指纹数据库中分别选取含有中心点的50个手指的指纹图像,每个手指取两幅指纹图像。在CASIA Iris数据库中,由于部分虹膜没有或只有一张图像,因此选取225个人的虹膜图像,每个虹膜取两幅图像,分为5组样本,第一组50个,第二组45个,第三组45个,第四组45个,第五组40个。将选取的指纹样本分别与5组虹膜样本组合,指纹图像和虹膜图像示例如图3所示。

2.2 认证性能分析

采用误识率(False Accept Rate,FAR)、误拒率(False Refuse Rate,FRR)、等错误率(Equal Error Rate,EER)和正确接受率(Gennine Accept Rate,GAR)作为性能指标。FAR是将两个不同手指的生物特征数据误认为来自同一个手指的概率。FRR是将同一手指的两个生物特征数据误认为来自两个不同手指的概率,且FRR+GAR=1。EER是指在FAR和FRR相等情况下的错误率,ERR值越小,系统认证性能越好。这些性能指标的值可以从真匹配和假匹配实验中获得。

2.2.1 真假匹配分布分析

指纹和虹膜分别在用户密钥安全和泄露两种情况下进行真假匹配实验,结果分别如图4和图5所示。为了便于表述,将FVC2002 DB1数据库、FVC2002 DB2数据库和CASIA Iris数据库分别简称为DB1、DB2和Iris,并将FVC2002 DB1+CASIA Iris数据库和FVC2002 DB2+CASIA Iris数据库分别简称为DB1+Iris和DB2+Iris。在真匹配实验中,分别提取指纹和虹膜的第一幅图像的特征向量进行融合,然后经过t-SNE降维及其他一系列变换进一步提取特征,最后通过部分Hadamard变换生成模板,作为存储模板。在指纹和虹膜的第二幅图像上进行类似上述的操作,将生成的模板作为查询模板。在假匹配实验中,将指纹和虹膜的第一幅图像作为存储模板,剩余指纹和虹膜的图像作为查询模板。将所提方法在用户密钥安全和泄漏情况下进行评估,密钥安全意味着给每个用户分配一个唯一的密钥(不同的PIN码),密钥泄漏意味着使用由相同PIN码生成的矩阵进行验证。

图5 用户密钥泄露时真假匹配分布

由图4可以看出,当用户秘钥安全时,真匹配分数分布区域为(0.8,1),而假匹配分数分布区域为(0.2,0.4),两个分数区域明显不在同一范围内,证明所提方法具有良好的认证性能。

由图5可以看出,在用户密钥泄露的情况下,真匹配分数分布区域和假匹配分数分布区域仍然为(0.8,1)和(0.2,0.4),且两个区域间隔很远,没有重叠,证明即使密钥泄露,所提方法依然能够准确地识别真假用户。

当用户密钥泄漏时,指纹和虹膜特征融合后的EER曲线如图6所示。观察可知,误识率和误拒率在大部分情况下均为0值,说明所提方法将负样本错误地分类为正样本的比例,以及将正样本错误地分类为负样本的比例非常小。因此,所提方法具有较好的识别性。

图6 用户密钥泄露时EER曲线

2.2.2 对比实验

考虑到t-SNE降维方法具有一定的不稳定性,因此分别将50、45、45、45和40等5组样本进行10次实验,5组样本在密钥泄露时的EER如表1所示。

表1 用户密钥泄露时5组样本的EER/%

可以看出,实验多次得到的EER为0,但是由于t-SNE降维方法具有一定的不稳定性,所以部分EER不为0,5组实验得到的DB1+Iris特征融合的EER均值为0.52%,DB2+Iris特征融合的EER均值为0.49%,这表明在密钥泄露时所提方法具有较好的识别率。

为了进一步分析所提方法的识别性能,分别对比不同模板保护方法在秘钥泄露时的EER,结果如表2所示,其中Finger vein和Palmprint分别表示指静脉和掌纹数据库。

表2 不同方法的EER/%

从表2中可以看出,在单模态生物特征模板保护方法中,文献[8]和文献[19]方法在DB1和DB2数据库的EER值分别为2.00%、2.30%和2.84%、3.38%,文献[15]在DB2数据库的EER值为0.93%。在多模态生物特征模板保护方法中,文献[14-17]方法的EER值分别为2.36%、0.80%、4.38%和1.27%。所提方法在单一生物特征数据库DB1、DB2和虹膜数据库的EER值分别为2.95%、3.03%和2.83%,而在多模态生物特征DB1、DB2与虹膜融合后的EER均值分别为0.52%和0.49%。与上述单一生物特征模板保护方法、多生物特征模板保护方法,以及所提方法在单一生物特征模板的EER值相比,所提方法在多生物特征融合后得到的EER值均小于其他EER值, EER的值越小,识别性能越好。因此,所提方法较其他模板保护方法具有明显的优势和更好的识别性能。

文献[16]方法、文献[17]方法、文献[19]方法和所提方法在用户密钥泄露时的受试者工作特征(Receiver Operating Characteristic,ROC)曲线如图7所示。ROC曲线越接近1,表明识别性能越好。

图7 不同方法的ROC曲线

从图7中可以看出,所提方法的ROC曲线更接近于坐标轴,说明该方法的识别性能优于其他特征模板保护方法。

2.3 可撤销性分析

图8 两种数据库的假匹配和伪假匹配分布

由图8可知,伪假匹配分布与秘钥安全时的假匹配分布十分相似。因此,当用户密钥泄露或者模板被盗后,用户可以通过更换密钥或PIN码生成新的转换模板,满足特征模板的可撤销性。

2.4 安全性分析

对于可撤销的生物特征模板保护系统,其安全标准是攻击者能否从生成的融合后的模板中恢复原始生物特征信息。所提方法的生成模板首先采用不同的方法对指纹和虹膜图像进行特征提取,将提取的指纹与虹膜纹理特征进行串联融合,然后对融合后的特征向量进行t-SNE降维处理,有效地覆盖了原始指纹和虹膜的特征信息。即使攻击者知道指纹或虹膜的信息,也很难从中恢复出原始特征信息,且无法通过系统认证。其次,通过对融合后的向量进行随机索引置乱、小波变换和DFT运算,将线性系统与非线性系统相结合,提高了模板的安全性,实现了模板的不可逆性。最后,再将模板与部分Hadamard变换结合,生成可撤销生物特征模板,进一步提高了系统的安全性。实验仿真结果表明,即使攻击者获得用户密钥,系统认证成功的概率也很低,证明了该方法生成的模板具有良好的安全性能。

3 结语

基于指纹和虹膜特征融合的可撤销模板保护方法先对指纹图像和虹膜图像进行特征提取,并将其串联融合,采用t-SNE对融合后的特征向量进行降维处理。然后对降维后的特征向量进行随机索引置乱、小波变换和DFT运算,扩大密钥空间的同时,保证了其不可逆性。最后,将经过一系列变换的特征向量与部分Hadamard变换结合,生成可撤销生物特征模板。实验结果表明,所提方法比单一生物特征模板具有更好的安全性和识别能力,满足模板的不可逆性和可撤销性。