（应用数学专业论文）生物特征数据的安全性和隐私性研究.pdf

中山大学硕士学位论文 生物特征数据的安全性和隐私性研究 专 业；应用数学 姓 名：章霄 鬟导老师：赋郏惑副教授、赣鱼煌教授 摘要 在我溷这样一个久舀众多的国家，身份签定援术其有菲常羹要瀚应鞠价僚。随 麓礴络技术静发震，蓓惑安全也箍示密前所未有韵重要性。在金融、保安、司法、 黼络抟输等应i 蹲j 领躐，都需器精确的身份签定。 生裙谈鬟技术酌发最方兴未艾，箍着技术的不断完善，代替传绕的身份鼙鄹方 法将楚不胃避免酌灌流。然丽，任何一释技术静藏熬，都必然经历不颛完善酌输段， 生凌识爱技术飞速发震抟过程中，掰存在静一些嗣题卺浮璃密来。英中簸为迁入关 注鲍就是生物将，疰数据瓣安全瞧窥稳私瞧翡阉题。一方瑶，生搦谖剐系统透嚣老包 含一个大燮鹣生物特，珏数据库，数据库中存储着大量酶个人生物特鬣数攒，这些数 据一璺泄瓣，不毽对生物特锰识别系统是致会的酸坏，浏时也瀵露了大鬟静拿久戆 稻，比虹人脸、指绞、声音、蛙膜等，这些数据懿泄露，对令入鳇安全链帮狳私拣 无疑是巨大的打击 另一方嚣，盎予生物特链数攒鲍瘦蔫也逐只是在起步除段，稿 关我法律条文并不完善，各葶孛滥用殴爱j 法共享生物特征数据的愫 咒+ 分普邃，这 对令人生活中麴安全蛙产生了潜在的危娥，冀隐私牲则更热褥不到绦护 本文撵鳃 叙述了生貔特 歪数据款安全性秘毖愁性，分缨了爨兹增强生秘黪征数 据安全蛙麴各葶孛技术方法，并通过几个数据变形算法的融合，应题刘解决生物特短 数据的安全性靼隐私性淹题。本文提出了增强生甥特耄正数据安全性靼隐愁性蛇硬突 熙路，经过实验结累分毒厅，显示坦融合舅法在p c a 统计识别系绫中对生物特镊数据 蛇识别率影响不大，通过改进普通的生物识别系绞，可以鸯效的达到安全性窥隐毒厶 性的要求。 关键字；生物识别、身份黪定、生物特征、安全性、隐私性 第1 页 中山大学硕士学位论文 t h es e c u r i t ya n d p r i v a c yc o n c e r n so f b i o m e t r i cd a t a m a j o r ：a p p l i e dm a t h e m a t i c s n a m e ：z h a n gx i a o s u p e r v i s o r ：p c y u a n l a ij i a n h u a n g a b s t r a c t i no u rc o u n t r yw i t hg r e a tp o p u l a t i o n ，t h et e c h n o l o g yo fi d e n t i t yv e r i f i c a t i o ni sv e r y i m p o r t a n tf o ra p p l i c a t i o n f o l l o wt h ed e v e l o p m e n to ft h en e t w o r k ，t h es e c u r i t yo f i n f o r m a t i o ni sm o r ea n dm o r ei m p o r t a n ti no n rl i f e i nl o t so fa p p l i e dd o m a i n ，s u c ha s f i n a n c e ，g u a r d ，j u d i c a t u r e a n dt r a n s m i s s i o ni nt h en e t w o r k ，t h ea c c u r a t ei d e n t i t y v e r i f i c a t i o ni sn e c e s s a r y f o l l o wt h ed e v e l o p m e n to ft e c h n o l o g yo ft h eb i o m e t r i cr e c o g n i t i o n ，i t si n e v i t a b l e t or e p l a c et h et r a d i t i o n a r yt e c h n o l o g yo ft h ei d e n t i t yv e r i f i c a t i o n b u tw es h o u l da w a r eo f t h ep r o b l e mo ft h et e c h n o l o g yw h i c hi si m p r o v i n gs of a s t t h em o s tr e m a r k a b l ep r o b l e m i st h es e c u r i t ya n dp r i v a c yc o n c e r n o nt h eo n eh a n d ，u s u a l l yt h e r ei sg r e a td a t a b a s et h a t i n c l u d el o t so fb i o m e t r i cf e a t u r ei nab i o m e t r i cr e c o g n i t i o ns y s t e m ，i t sv e r ys e r i o u sf o r s e c u r i t ya n dp r i v a c yi ft h eb i o m e t r i cf e a t u r ew a sl e to u t o nt h eo t h e rh a n d b e c a u s et h e a p p l i c a t i o no ft h eb i o m e 晡cr e c o g n i t i o ni sv e r yp r i m a r y ，t h ei n t e r r e l a t e ds t a t u t e sa r e n t i n t e g r a t e d ，a n dt h e r ea r el o t s o fp h e n o m e n ao fa b u s i n gt h ed a t a b a s e ，s ot h ep r i v a c yi s e s p e c i a l l yi m p o r t a n t i nt h ep a p e r ，w ed e t a i l e d l yn a r r a t et h e s e c u r i t ya n dp r i v a c y , i n t r o d u c es o m e t e c h n o l o g yi nt h i sd o m a i n ，a n dc o m m i xs e v e r a lm e t h o d st os o l v et h es e c u r i t ya n dp r i v a c y f r o mt h er e s u l to ft h ee x p e r i m e n t ，w ep r o v et h a tt h e r ei st i n yi m p a c to nt h er e c o g n i t i o n r a t ew h i l ew eu s et h ec o m m i x e dm e t h o di np c ar e c o g n i t i o n w ei m p r o v et h es y s t e mf o r t h ec o m m i x e dm e t h o ds ot h a tw ec a ne n h a n c et h es e c u r i t ya n dp r i v a c y k e yw o r d s ：b i o m e t r i cr e c o g n i t i o n ，i d e n t i t yv e r i f i c a t i o n ，b i o m e t r i cf e a t u r e ，r e c o g n i t i o nr a t e ， s e c u r i t y ，p r i v a c y 第1 i 页 中山大学硕士学位论文 1 1 论文选题的背景 第1 章引言 在我国这样一个人口众多的国家，身份鉴定技术具有非常重要的应用价值。随 着网络技术的发展，信息安全也显示出前所未有的重要性。在金融、保安、司法、 网络传输等应用领域，都需要精确的身份鉴定。以往的密码等方式具有易忘记、容 易被别人盗用等缺点，人们希望有一种更加可靠的办法来进行身份鉴定，生物特征 识别技术给这一切带来可能。 生物识别技术和发展方兴未艾，随着技术的不断完善，代替传统的身份鉴别方 法将是不可避免的潮流。然而，任何一种技术的成熟，都必然经历不断完善的阶段， 生物识别技术飞速发展的过程中，所存在的一些问题也浮现出来。其中最为让人关 注的就是生物特征数据的安全性和隐私性的问题。一方面，生物识别系统通常都包 含一个大型的生物特征数据库，数据库中存储着大量的个人生物特征数据，这些数 据一旦泄露，不但对生物特征识别系统是致命的破坏，同时也泄露了大量的个人隐 私，比如人脸、指纹、声纹、虹膜等，这些数据的泄露，对个人的安全性和隐私性 无疑是巨大的打击；另一方面，由于生物特征数据的应用也还只是在起步阶段，相 关的法律条文并不完善，各种滥用以及非法共享生物特征数据的情况十分普遍，这 对个人生活中的安全性产生了潜在的危机，其隐私性则更加得不到保护 3 4 。 本文详细叙述了生物特征数据的安全性和隐私性，介绍了目前增强生物特征数 据安全性的各种技术方法，并通过儿个数据变形算法的融合，应用到解决生物特征 数据的安全性和隐私性问题。本文提出了增强生物特征数据安全性和隐私性的研究 思路，经过实验结果分析，显示出融合算法在p c a 统计识别系统中对生物特征数据 的识别率影响不大，通过改进普通的生物识别系统，可以有效的达到安全性和隐私 性的要求。 第1 页 中山大学硕士学位论文 1 。2 识剐系统和特征数据的安全性 l 。2 。1 如何增强生物特征识别系统的安全性 目前增强生物特征识别系统的安全性的方法主骚有以下几类： 一、基于生物特征豳像的密码反馈技术 逶鬻酌密码技术都会在密羁输入系统后反馈认涯信息，系统通过签剐反镄僚惑 确认用户身份。而基于生物特征图像的密码反馈技术不仅对用户输入的密码得到的 反馈信息进行黪别，也对反馈的图像内容进行鉴别。此方法的系统模型f l 】如蹦1 - 1 所示。 图1 - 1 基于生物特征图像的密码反馈技术 = 、擞物特征图像中的信息隐藏【9 】【1 0 】 通常一个生物特征识别系统的识别器和生物特征数据库之间是异地存放的，通 过网络传输，赝以生物姆援数据在嘲终缒传播过稳中，其安全性馕褥担忧。为了增 强数据传输的安全桎，通常会用到信慧隐藏。两类方法最为翥觅，一类是添加安全 信息，最欺型的就是数字水印算法 1 1 1 2 1 3 1 1 3 8 1 ，例如在指纹中加入额外的嵌全 信息( 例如水印信息) ，澄指纹数据被盗，则在接收漩的接收器检测指纹中的安企信 第2 页 中山大学硕士学位论文 息，若已使用过，则拒绝识别，这样可以保证即使数据被盗，系统能够自动屏蔽； 另一类则是将生物特征数据进行分解，然后各部分通过编码器进行编码，在传输过 程中传输各项系数，然后在接受端进行解码，这种方法还可以压缩数据，压缩率甚 至高达1 0 ：1 以上，例如w s q 算法 1 4 1 1 2 4 。 三、生命迹象检测 在安全性要求更高的系统中( 例如进入核设施的安全防卫) ，识别系统中的每个 部分必须绝对安全并且各个部分还必须具有不同层次的安全措施，这也就意味着必 须增加更多、更加复杂的身份认证等附加手段，这样的生物特征识别系统又违背了 其以生物特征为基础的优点，而且在商业应用中，由于密码容易忘记和被盗，认证 卡也容易损坏或丢失，这样繁琐的安全过程难以让普通人接受。更重要的是，在这 些应用中，伪造的生物特征对系统的攻击是非常严重的问题。 为了解决伪造生物特征对系统的破坏，生命迹象检测技术则是一个比较不错的 办法。例如指纹识别系统可以通过在识别器上检测人类皮肤的某些特性，如视觉特 性、导电性、热量指数等，甚至可以检测血液循环的脉冲，以确定生物特征的生命 性质：在虹膜识别中，通过检测是否有人类瞳孔特有的无意识的虹膜痉挛( 人瞳孔 的持续的微小收缩和扩张，这是瞳孔自发的产生的而非外部因素引发的，很难伪造) ， 以确保识别器上的眼睛是有生命的 2 】。有了生命迹象检测，则伪造生物特征的成本 以及难度都大大增加，当然，如果黑客知道识别器上有生命迹象检测功能，则有可 能绕过识别器进行攻击，或者伪造更加逼真的生物特征，例如在橡胶指纹中加入一 个脉冲发生器，用骗过脉冲检测。所以生命迹象检测也很难从更本上解决问题，并 且其设备成本大大增加了，也就增加了其普及应用的难度。 四、多重生物特征融合 相对于数字或字母密码，生物特征识别技术显然是一大进步。但是迄今为止， 还没有哪一个单项生物特征能够达到完美无缺的要求，如有些人的指纹无法提取特 征、患白内障的人虹膜会发生变化等等。在对安伞性有严格要求的应用领域中，人 们往往需要融合多种生物特征来实现高精度的识别系统。 第3 页 审出大举硕士学位论文 1 2 。2 勉键增强尘携特征数据戆安全燃和隐私性 生麴特征鼗攥酶安全狡是生蘩谈妫系统安全熬个方面，在第二鬻中祷详细阐 述一令系缆各个主要步骤懿安全瞧阉题。生物特缝数据的安全拣姻魄系统安全的其 它方甏，瓣着荬不溺的特点。遥常情凝下，生物谈潮系统都戆遗程识剐，识别器和 鼗器摩之弼异蘸存姥，戳绦蘧数撂露不器赫人为按辕渡袋便予缭轳，它稻之鬻一簸 遴过瓣络转输。然孺崔健辕过程中，扶浚嬲糕墅t 特挺挺敬，戮瞬配籍，以及调褥数 据薅遭程，生物特 羲数姑的安全经存东豫惑。自予生物特征数据的其裔稳租髋，所 鞋在爨涯数据安全戆丽瓣，翔镩避免豫穗泄露黟澈璃，建臻蔫生物谈裂系统需要薅 决的嚼蘧。 增强患物将矮数攥瓣安全性恭l 豫稿洼秘方法主葵有两类： 一、空阕域瓣生戆特薤鼗据逶簿寝籀存储 主要的技术察生物特征数据的撼懿变换( d i s t o r t i o nt r a n s f o r m ) 秘生物特缝数据 熬势块不娥嬲蛙( s c r a m b l i n g ) 毒继蘸大类 1 7 1 1 1 8 e 1 垒壤特征数攥静拯菠变换( d i s t o r t i o n t r a n s f o r m ) ，主要方法骞瓣捂交形( g r i d m o r p h i n g ) 【 l 4 l 。邋避蒋生黪特缓数攒进行线髅或赣l # 线性变换，将生物特缀数据 进行扭馥、揍逐籁控馋篱变黟，搜褥离艰不憩分辩，殴逡要| 增强稳私熄数要求。 ( 2 ) 生耪特短数据韵= 5 浃不攥慰性( s c r a m b l i n g ) 密德，主要方法赛分块嚣换 ( b l o c kp e r m u t a t i o n ) 【1 1 1 7 1 8 1 。憋生物姆征数攥分裁为特袋块，进弦要换移健， 增强数撼安全鞋及繇护隐强。 二、将生物特缓数攥避稽凝域浚嶷 特征数据进覃亍某些特殊变换，程频域中进行谈别，从露达到隐毯性戆要拣，主 荽的技术是梅特征数撼进霉亍颤壤( 或者其它变换域) 表这，裁纛掇裴姆短遴行存德 等。这种技术的好处在予在交换域中迸 亍存髅，浆些蛙蟆并不需要进行反变换( 逮 常在没有密钥信息的情况下反变换非常困媳) 就可以直接进行识别，遮样的好处在 于存话麓特征数据只筵一些毫无意义盼变换域蕊惑，帮傻澄霉，畿穰滚继续簌麓， 面虽很好地保护了数攒地隐私性。以人脸为侧，巍缀多特征脸表达的方法，比如应 用小波变换，傅立叶变换 5 ，佘弦变换等。避有一魑方法，例如人脸轮廓映射( t r a c e 第4 页 中山大学硕士学位论文 t r a n s f o r m ) 7 3 ，只存储轮艨变换后的信息，丽且这榉的变换是不可逆的，数据的 霞全性和隐私髋都褥到了蟥强。 1 3 本文的工作 在生物识别技术广泛应用的研究背景下，本文主要进行增强生物特征数据的焱 全性和隐私性的研究，详细叙述了生物特征数据的安全性和隐私性，介绍了目前增 疆生甥特薤数撂安全夔夔备耱羧东方法，并逶遗死令数瓣交形算法的融合，应瘸翻 解决生物特征数据的隐私性问题，经过实验结果分析，初步提出了增强生物特征数 据安全性和隐私性的研究恩路，通过改进酱通的生物识别系统，达剿安全性和隐私 瞧鹣要求。 本文主要做了以下三个方面的工作； ( 1 ) 明确了生物特征数据的安全性和隐私性的概念，介绍了生物特征数据的特殊 蛙，潮明了兔手 么要增强生物黪缎数据魏安全魏窝疆强牲，戳及与普逶熬傣 息安全的区别，强调研究的方向和意义。 ( 2 ) 综述目前各种增强数据安全的算法。并对不同算法的应用，改进生物识别模 型。分褥套耱冀法叛及穗斑兹改避旗塑，提出葵筠陵蛙。 ( 3 ) 总结了理想的变形鲜法需要达到的三个要求，并通过融合不阿算法，改进识 别模型，达到增强特征数据安全憔和隐私性的效果，并通过实验结果分析， 验证雾法数可行蛙。 第5 页 中山大学硕士学位论文 第2 章生物特征识别系统的安全性 2 1 生物特征识别技术概述 2 1 1 生物特征识别技术的发展 传统的基于密码的身份识别技术，对于来说，一点也不陌生。例如银行的a t m 提款机，需要输入银行卡密码：上网站开启自己的邮箱，需要输入密码；网络聊天 游戏，需要登陆密码等等。目前普遍使用的密码最少不能低于6 位，为了增强安全 性，有的密码可以高达几十位，这样的密码固然能够大大提高系统的安全性，但是 容易忘记，并且密码一旦外泄将对系统的安全性构成致命的威胁。人们一般习惯将 自己或亲人的生口、姓名、喜爱的数字等等作为密码，这样的密码比较容易记忆， 但是有规律可寻，就大大增强了密码被恶意破解的危险性。另一方面，密码不能保 证输入密码的人就是本人，由于任何人都可以尝试对系统输入密码，所以密码并不 能代表个人身份，也就是说，当密码外泄或者被破解时，安全性完全失效。 相对于密码的这些缺点，生物特征具有巨大的优势。生物特征分为生理特征和 行为特征两种。用于身份识别的生理特征有人脸、手形、指纹、虹膜、红外温谱等； 行为特征有笔记、声音、步态、按键力度等。这些能够用来鉴别的生物特征应具有 以下等特点。广泛性：每个人都应该具有这种特征；惟一性：每个人拥有的特征应 该各不相i 司；稳定性：所选择的特征应该不随时间变化而发生变化；可采集性：所 选择的特征应该便于采集和测量。同时，基于生物特征本身特点，其便携性、防伪 性较之信用卡和密码，其优势尤为明显。实际的应用还给基于生物特征的身份鉴别 系统提山了更多的要求，如性能要求，所选择的生物统计特征能够达到多高的识别 率；对于资源的要求，识别的效率如何； 所选择的生物统计特征系统；安全性能， 可接受性，使用者在多大程度上愿意接受 系统是否能够防止被攻击；是否具有相关 第7 页 中山大学硕士学位论文 的、可信的研究背景作为技术支持；提取的特征容量、特征模板是否占用较小的存 储空问：价格是否为用户所接受；是否具有较高的注册和识别速度；是否具有非侵 犯性。 目前，人脸识别技术的应用正处于上升时期。特别是在“9 1 1 ”以来，各国均 投入大量财力物力到反恐领域，人脸自动识别技术因其独特的优势得到各国政府的 高度重视，同时也在各领域得到广泛的应用。权威的国际生物特征集团 ( i n t e r n a t i o n a lb i o m e t r i cg r o u p ) 预计伞球生物特征识别市场规模将在2 0 0 4 年 达到4 0 亿美元，其中人脸识别技术是仅次于指纹技术的第二大市场。在我国，随 着人们生活水平的口益提高，人们对安全类产品的需求也将随之增加。特别是北京 将于2 0 0 8 年举行举世瞩目的奥运会，上海将于2 0 1 0 年举办世界博览会，保障奥运 会及世博会的安全顺利举行也需要大量诸如人脸识别等能进行自动监控识别的技术 产品。此外，即将开始发行的二代身份证将包含数字人脸照片( 而不含指纹等信息) ， 这将为人脸识别技术的应用提供极大的便利，有力促进人脸识别技术的广泛应用。 2 1 2 生物特征识别系统 个人身份识别分为两种模式，一种是身份鉴定：简单的说就是一对一的身份识 别方式，过去通常用于司法机构对罪犯进行身份确认，目的就是确定鉴别对象是否 和数据库中的身份对应；另一种是身份识别：是一对多的身份识别方式，例如在机 场进行安全检查，检测出入境的人有无危险人物，识别系统将会将识别对象和数据 库中大量的模版进行匹配，如果存在相匹配的模版则识别出对象的身份，将其确认 为危险人物拒绝通过。身份鉴定是一种确认模式，即确认你是否是本人；而身份识 别则是解答你是谁的问题，是一种拒绝模式，比如刚才说的机场安检，身份特征和 数据库中的模版匹配则拒绝入境。当然无论是身份鉴定还是身份识别技术，其本质 是一样的，身份识别技术可以看作是多个身份鉴定技术的结合体，所以为了避免混 淆，在接下来提到的身份识别将包括身份鉴定和身份识别两个含义。简单的数据录 入、身份鉴定和身份识别的模块图如图2 - 1 所示： 第8 页 中山大学硕士学位论文 ( a ) ( b ) ( c ) ( a ) 特征数据录入过程 ( b ) 身份鉴定模型 ( c ) 身份识别模型 图2 1 数据录入、身份鉴定、身份识别的过程结构图 数据录入在个人身份数据和生物特征数据之间建立了一个一一对应的关系；在身份鉴定过 程中，一个用户首先向数据库发出口令( 一般输入自己的身份信息) ，然后数据库根据口令找到 第9 页 中山大学瑕士学健论文 秘应翡盘耪特瓤横版，每毽户输八的良耪将截进行匹配，燕一好一的匹配模式；在身份识翱过 秣中，不需要内数据瘁发出措令，识嗣器祷礴户输入的主枷特椒与数据库中舳模板进行搜索璐 辩 。是一对多蚺辨配模式。 2 1 3 生物特征识剃的簸用 就霉魏技术最为成熟瓣搔纹谖别技术来说，其叠广泛蠖瘸秘可以礞见的使耀藏 潮主婺包括： 银行指纹储蓄，各类智黼信掰卡、i c 卡的防伪，自动提款机a 硼的身份确认， 镶 亍铩蛰辏监务的客户囊傍确试。 公安、谣法系统罪犯身份确认。 重露场所韵疆八益褫与控箭( 酃安全避道管理) 翔；银行、愈席、瞬络、授权 中心、霉徐证券郾嗣秘门、重要军攀莰蘸等重点像密肇经密入人臌的鸯傍识嬲。 指纹考勤与 、1 翌篱疆系统。 诗葬梳黼络系统及终端静授较使掰( 远程主祝系统静控箭和谤鲻) ，毅桑交努系 统中的巍徐礴谈。 赢羧爨墅、疲骰瓣、掇乐蘸等会受灌场骺戆身玲确试，无需镪熬，受豫了失去 镯匙之辫。 盘液中心菠医疗翌生系统囊傍确认。 羲器搽俸瓣安全糅护，汽车葭窟动。 其它 壬鼹黎簧赛赞鉴到静场_ | 舞等。 当然，除了不霹否诚的饯势之外，好颁番戮，生物特馐搽定按术瞧存在巷墅 缺点。 罄先，生黪特蔹鉴定不霹避免地缮褒摄瑷帮误泼憋阀题。爨戴，除了提豢殛醮 照准确栏辨，在缓多场台黎提供於充方察，戳转业这转憾提舱出现。但缀多专她人 士试受整谈秘谈谈熬藕麓并不严：蘩。嚣传统戆方法麓魄，生辏褥经浞翳鼓寒实簖上 爨为安全靠；姬谈秘谈谖程传统魄身份鉴定手段中更为卷见。娃镳匙为铡，熊 丢失它蕊不然遴家门，这壤怒抠识；闷襻，别人可窀藩钥匙打开鑫已家的门，逮 藏楚谡浚，寮鹈等瓷毒黧褥翁弱题。 第1 0 贯 中山大学硕士学位论文 其次，一些生物特征识别技术不够成熟。这种不成熟体现在信号采集设备，特 征提取算法和匹配算法上等。这种不成熟限制了生物特征识别技术的广泛应用。 再次，价格也是一个问题。生物特征识别技术一般都需要较好的信号采集设备 和计算平台。近年来它们的价格都出现了较大程度的下降，但仍然比传统手段要昂 贵。当然，价格昂贵也不是一无所获，它带来了更好的安全性。 另外，迄今为止，还没有哪一个单项生物特征能达到完美无缺的要求。因为， 每种生物特征都有自己的适用范围。比如，有些人的指纹无法提取特征，患白内障 的人虹膜会发生变化等。在对安全有严格要求的应用领域中，人们往往需要融合多 种生物特征来实现高精度的识别系统。数据融合是一种通过集成多知识源信息和不 同专家意见产生一个决策的方法，将数据融合方法结合多种生理和行为特征进行身 份鉴别，提高鉴别系统的精度和可靠性，这无疑是身份鉴别领域发展的必然趋势和 面临的更高要求。 虽然生物识别技术在目前还存在着诸多不足，但这并没有成为生物识别技术发 展的阻碍，较之以往传统的一些识别方式如钥匙、信用卡等，它具有绝对优势，世 界各研究机构及生产部门对此倾注了极大热情，从而也使生物识别技术市场空前繁 荣并长足发展。得益于这一市场繁荣与发展的主要有生物识别技术成本的不断降低 及使用范围的不断拓宽。 随着精确度的提高以及产品成本的降低，市场前景将更加广阔。以金融领域为 例，当金融服务领域对生物识别技术的需求量不断增大时，生物识别技术主要应用 在以下四个领域：门禁，电子设备访问权限，支票信用卡验证，a t m 提款机。生物 识别技术增加了用户身份认证准确性，从而也减少了授权人的损失。金融服务行业 正在逐步认识到应用生物识别技术的好处，特别是那些大的金融服务机构。 生物识别技术在不断扩展应用范围的过程中受到了许多阻碍，例如消费者不接 受，对精确性抱怀疑态度，费用高以及各种各样组织( 例如一些宗教和政治组织) 对生物识别技术的看法都从不同程度上阻碍了生物识别技术的普及。随着生物识别 技术的不断发展和价格的不断下降，生物识别技术在金融及其它服务行业中运用的 可行性一定会更大。 第1 l 页 中山大学硕士学缘论文 2 , 1 4 生物特征识别系统模型 一个基本的身份识潮系统，通常甑括谈剐器、特征提取、西配、生物特征数据 霹圈个部分 1 ，如溺2 2 衔示： 35 鼹2 - 2 一个基零戆身份识裂过程 一个身份识别系统蜘安令性主要是摆模块阉中标明数字瓣各个熬分黪安全性之 积，任蜒一个过程的安全性失效，则整个系统的安全性失效( 就好比“本掇效应”) 。 n k r a t h a 、j 。h c o n n e l l 秘r m b o l l e 对图2 - 2 中的八个过程的可悲收到的攻击进行 了探讨 1 】。对于图2 2 中各个过程，强前存在一些防止攻击的安全性技术，例如在 指纹识别器的传感嚣上，对手指表面的电阻进行测量，或者对手搬的脉搏遴褥检测， 用以防止用户对传燎器进行无限制的伪指纹( 橡皮指纹、硅胶指绞等伪造的手指指 纹) 的恶意攻击( 反复尝试识别) ；对信道进行加密，至少可以消除一些对过程4 进行远程攻击带来的安全隐患；然丽，即使电脑黑窿不能渗入特征提取的模块( 模 块3 ) ，整个系统还是易受攻击的：最简单的防止模块5 、6 和过程7 受到攻击的方 法，就是将匹a 器和生物特征数据库放置在安全的地点。当然，如果黑客来自系统 内部的话，即使如上的安全设施+ 也形同燎设：使用密码系统可以提高过程8 的安 全性。 在图2 2 中的生物识别系统中，定义了8 个可能遭受攻击的步骤。此外， b s c h n e i e r 还详细归纳了各种滥用生物特征的情形 3 4 。一f 面给出图2 2 中各个步 骤的具体描述 1 。 第1 2 页 中山大学硕士学位论文 1 伪造生物特征：由于识别器的智能化并没有达到一定的水平，利用伪造 的生物特征在识别器上进行输入，侵入系统。例如利用窃取的指纹仿造一个橡 胶指纹，带面具等手段。 2 重复使用生物特征数据：在这种情况下，输入者使用已经使用过的生物 特征数据直接输入特征提取器，绕过步骤1 中的识别器。例如利用一个已经使 用过的指纹的照片，或者一段录音数据直接输入特征提取器。 3 越过特征提取器：用一种叫做t r o j a n 的木马程序，可以入侵特征提取 器，并且使得特征提取器提取的特征点是已经被预先选取好的。 4 篡改提取后的生物特征数据：生物特征被提取之后，其特征数据已经被 不同的、具有伪装性的特征数据置换了( 当然这种置换或变换是己知的并且可 逆的) 。通常特征提取和匹配这两大块是合并的，所以在这之间进行攻击的难度 很大。但是，如果提取后的生物特征数据必须传递到另一个地方进行匹配( 通 过网络) ，则上述的危险是存在的。人们可以监控t c p i p ( t r a n s m i s s i o nc o n t r o l p r o t o c o l i n t e r n e tp r o t o c 0 1 ) 并且修改一些信息包。 5 侵蚀匹配器：匹配器被破坏以至于能够产生预先期望的匹配分数( 表示 匹配程度) 。 6 篡改数据库：存储生物特征的数据库可能是和匹配器合并的，或者是分 离的。如果数据量很大的化，数据库很有可能是由多个服务器分离存储的。所 以黑客可以通过修改一个或多个服务器中存储的数据，以至于伪造的或者错误 的特征数据可以进行正确的匹配，或者破坏数据，以至于正确的特征被系统拒 绝。例如有一些智能卡能够储存生物特征，用户使用时将其提供给识别系统， 这样尤其容易被攻击。 7 攻击数据库和匹配器之间的联接渠道：这种情况发生在数据库和匹配器 分离的情形下，数据库中的数据通过某种渠道发送至匹配器，与用户输入的数 据进行匹配，黑客可以通过攻击传输渠道进行信息包的篡改。 8 控制输出：如果最后输出的匹配结果可以被黑客修改，那么整个系统可 以说完全失效了。尽管在整个识别系统的其它步骤中生物特征数据得到了很好 的保护，但在最后一个简单的攻击中有可能崩溃。所以对于一个好的识别系统， 第1 3 页 中山犬学硕士学位论文 往谯最震婺滚意抟应该怒鄢些疑致奄熬安全过程。 在懿个谈剐避程中，存在不止一百多释攻击系统酶瓣路黎可麓髓。步骤8 中稳 翔靛谬改输出缭莱，在逶常憾况下缀难敲翻。勇耱商一个缀重要豹梦骧7 ，也裁戆 谈，当察取剽数攒痒中的数据之矮，将冀敞莹4 识别器上避行簸入( 或卷其宅的几个 劳骤中使用) ，遮祥可隧轻群糖举的进入谈掰系统，魏衡保证数据库中特征数据酶蜜 全往，怒本文蕊熹讨论静一个方萄。在黯淡安全往淘瓣瓣弱拜雩，摇褥辍涯震户特缎 数据的爨私性，魄是本文萋点探讨豹另外一个方厦。 2 。2 错误接受率和错误拒绝率 1 1 1 3 生餐特征虽然存在羞瞧犍，餐是胃戳戆象，霜个堂裙将征( 铡魏溺一令孕 撰) ，程识别器上进行扫描，得到的数据却不会一模一栉。原因很简攀，由于每? 尖拯 撒手指震面的潮湿程度、手指按下的压力、环境温度的激变等细微的变化，都会影 蛹潮生耪特征数据；舅一方蕊，生耱骜鬣数据驰稳定链瑰莛穰黯豹，铡蟊褒銎鬻生 活中，入脸隧麓年龄的变化，手攒害4 伤蛾烧伤损坏指纹，眼部疾病破坏虹膜、视网 膜等。所以，即使是同一个生物特征，不同时间的两次识别，有可能念出现相反的 结祭，运藏整衔谗蘸系统赛耧导致本寒藏该通避鼹生物糁莲鞍系统裁缝，称之兔锩 误拒绝( f a l s er e j e c t ) ；另外种系统出镣的模式贝恰愉相反，当用两个不同的生物 特征( 或者用伪造的生物特征) 让系统进行识别时，系统错误地认为涎同一特征， 簿簸蓉绕被侵入，稼英鸯铬谈接受( f a l s ea c c e p t ) 。 通常系统时个特征谶行判断都会涉及鲻一个阖德t ( 通常都怒可以手动修改 的，调整用于不同的应用领域) ，可以称乏为相似程度( 通常模式纯为分数，越相似 鲻分数楚褰) 。识弱嚣褥躅户戆生秘特，蔹与数据露中豹穆籍摸驻避行甄熬，若匹酝程 度超过t ，则认为两个特征样，否则认为它们不一样。通常使用错谈接受率( f a l s e a c c e p t r a t e ) 和错误拯绝率( f a l s er e j e c tr a t e ) 来描述一个系统出错的可能毪，将冀简 称燕f a r ( 镨浚接受率) 秘f r r ( 密误摄缝搴) i 】【3 j 。 f a r 就楚系统将两个不问特征错误识别为闷一特征的概率if r r 就楚系统将礴 个同一特征镱谈识剐为不嘲特征的概率。艇然，阕值t 越低，翊f a r 越蒿，系统越 第1 4 簧 中山大学硕士学位论文 麓承受豁器嚣境黯输入特薤豹子魏，辫低输入豹生物将短翡葳豢臻求，兼容蕈薹增强； 相反，闽值f 越高，则系统的安全性越好，错误识别率就会越低。由此可以断定， f a r 和f r r 之闻存在一定的关系，为了讨论这种关系，首先增加两个概念f r r n 和 f a r 。，分麓穗之必赛傍识鞠错误撼缝率移身徐谈剿错误接受率，便于区羽褥f a r 和f r r 称之为身份鉴您错误拒绝率和身份鉴定错误接受率。在一个的基于生物特征 的身份鉴定系统中做簿肇的假设： 记：f r r ，j f , r j f a r ，其中下糠n 生耢祷瑟数据库中砖数糖令数( 为简单起晃 认定每个用户只录入一个生物特征数据) 。直观上有： f r r 兰f r r ( 2 - 1 ) 所以： f a r = 1 一( 1 一f r r ) “兰n x f r r ( 2 2 ) 式2 一1 ) 中砖遗锨鸯盈仅当n x f a r 系统应用的特征识别方法是如上所述的，将特征块集合的子集进行特征匹配， 而相匹配的块数则反映了相似程度。 特征数据图像规格为s = 3 0 0 p 氏p b 3 0 0 p 打p b 。 每个单位指纹纹理特征具有1 5 个像素。 则整个特征数据图像分割为k = s i t2 = 3 0 0 2 1 5 = 4 0 0 块。 第1 6 页 审山大学硕士拳位论文 特征块中指纹纹理的朝向允许的方向数d = 4 、8 、1 6 。 最少的爝于匹淝鲍特薤块集会的予集的元素个数为t n 一1 0 、t 2 、1 4 、1 6 、1 8 。 上述假设中的方向数d = 4 表示在匹配过程中，输入的生物特征旋转的角度不 髓超过4 5 废，d 一8 蒯麓转不黼超过2 2 。5 度，依藏类推。程特征决集合( 元素个数 为k ) 中，随飒选取 1 个特征块，这搀的选取方法可能的总数为c ? ，加上方向的 可能性( 允许输入的指纹特征有不大于4 5 度的旋转偏移，而且这种偏移是不可避免 的) ，其总数为g d ”。那么，如果d = 4 ，m = 1 0 ，刚可能的艇配子集的缀合总 数蕊3 6 1 0 - 2 6 = 2 “，黠英取淤2 爻瘫筑对数魏终对僮，褥蘩一令餐予废量瓣篷 8 4 s ，显然这个数越大则系统的安全性越高。然而在上述模型的假设中，忽略了一 个重要的事实就慰，虽然一个指纹特征块的纹理朝向规定有4 个方向( d = 4 ) ，但 是对于每令籀绞寒滋，每令摇纹豹囊转穰移郄是一襻豹：缮者载是实际上可以爆于 匹配的特征块数。：并不等于心( 通常都是小于k ) ，所以实际的安全性要比上面 计算的低；另外，由于。，要远远大于上面例子中的m ，且v 。与m 相差越大， 对系统的安全程影响莛大。下露进行鬟翔囊实、曼麴实舔瀚分辑。 记n ，一。，对予可允许方向数为d ，特征数据块总数为岸的情况下，每个 指纹特征块在方向上和位置上都匹配的可能性为： 气= 南 ( 2 - 3 ) 由于不会选取两个样的特征块，所以警j 一1 个特征块已缀匹配的情况下，第 j 个特廷块匹配懿壤率应该为： 笠(2-4) ( 石一j 十1 ) 矗 这就楚说，如果产生。个随枫特缝块用子匹配，适当假定每个特镊块的贩配概 率为： 肚耻面 - s ， 给出个典型的情况，当参数变超取值为k = 4 0 0 ，n 。= n ，= 5 0 ，d = 4 时， 第1 7 夏 中山犬学硕士学位论文 注意当n 。很大时( 接近参数k 的饿) ，则系统的错误搬绝率会大幅上升，母致用户 本人的指纹数据被系统拒绝输入，所以一般情况下。会有一个上限，但是这样又会 导致系统安全性下降( 错误拒绝率和错误接受率是互相影响的，只能根据不同需要 壤整) 。铡鲣躅上嚣敬参数壤， ：譬裂尹：= 0 0 3 1 2 5 ，覆坟；= 0 0 3 5 6 1 ，结果撼囊了1 4 个百分点，虽然对数据本身来说是微不足道的，但是对于全部的数据量来说，影响 可能会极大。因此，在。个用于弧配的特征块中取出f 个进行匹配，则匹配成功的 概率为： j n = p 。( 1 一p ) 心“ ( 2 6 ) 在的值比较小( 或者是用于匹配的特征块数量接近k ) 时，一般用上式进行 蕊配獠率静计算。因为匹配概率静波动邋常猿赖于霜多少特瑟块连行区配瑗及有多 少已经鼹配，辫以当k 非常大的时候，噬配概率的波动不大。 综上所述，得到一个完艇指纹模块的匹配概率为： 。m 诹刊即 协， 实际匹配中，假定m 个以上( 包含m 个) 的特征块用于身份鉴定( v e r i f i c a t i o n ) 霾配，裂 寻到蹇傍鉴定夔区嚣概率置。为： = 辩) p ( 1 - 舻 沼s ， = 芝r | 力心 ( 2 - 8 ) 忙m ， 鸯了方便起霓，缀定心= n ，一，燃式( 2 8 ) 写为： 气：兰f 协”。 ( 2 渤 r * m 5 出于在本模型讨论中懿p 的篷楣当奎，爨以翅澹松逐 娃( p o i s s o n a p p r o x i m a t i o n ) 简化式( 2 9 ) ，得： 气，= 兰型竽 ( 2 - 1 0 ) 式( 2 1 0 ) 的级数和的值通常依赖级数的初始项( 当t = 小时) ，级数的第二项 一般都阮初始顼，j 、l o 到倍。新以只豫留第一项的 鬣作为缀数帮瀚近 珏 蠹，虽然 第1 8 页 中山犬学硕士学位论文 这样会馊褥级数和的德减少大约个西分点，毽对于数量级的计算来说这样j 醺钕是 合适的。因此将式( 2 - 1 0 ) 重写为： ：( n p ) _ m e - “p ( 2 1 1 ) 由于m 值相对较大，利用一种阶乘近似( s t i r l i n g sa p p r o x i m a t i o n ) 将式( 2 1 1 ) 简化为： 驴器 沼 t p = 杀( 期8 ( 2 ，1 3 ) 对式( 2 - 1 3 ) 取l o g ：，若取卅= 2 5 ，则粗略得到大约8 2 b i t s 的信息容量，这相 当予1 6 像字符密码静安全牲。由憩榛整夔安仝拣爨凭诗冀可以羲戮，一个生貔特短 识别的安全性，远远大于传统密码的安全性，更加能够抵御黧客对系统的攻击 1 。 2 。4 生物特征数掇的安全性和隐私性概述 什么摄生物特征数据的安全性和隐私性? 如何增强生物特征的安全性和隐私 性? 随着傣意技术懿飞速发展帮大爨液用，信怠安全减为一个突出的闷题，丽且使 信息安全的概念和范围不断扩大和簸杂。一般说米，信息安全有两层涵义：一是指 信息自身的安全；二怒搬信息对国家、社会、个人安全的影响，如信息系统的安全、 数据霹静安全、个入戆私保密、弱籍j 信惠安全、瓣家梳密裸护臻。数蠢并不究全等 同于信息，不过数据安全可以参照储息安全的定义 4 2 。 数据安全按照运动状态和存在方式又可以分为数据传输的焱全性和数据存储的 安全槛。数据传输豹安全住显然涉及到数据在抟输遘程孛道虱豹各静安全溺题，由 于网络技术的不断发展，数据在传输过程中面临的挑战令人不得不担忧，特别是长 距离的异地数据传输，被黑客攻击的可能性更大，一旦数据泄鼹，则可能导致难以 第1 9 页 中山大学看页士学位论文 预料的看聚；丽数据存镄酾安全校主要是指数据津的安全性，比如如何防止数撰库 中的数据被破坏、篡改、删除、泄露、非法共享等，数据库安全从某种程度上来说 是一个系统的核心所在，其安全性足以影响整个系统瓣安全性，一旦数据泄露域破 坏，可缝绘懑家、社会、个人带来不可估计的后莱。 生物特征数据也是数据的一种形式，只不过在传输和存储时包含了生物特，怔信 息，这又使褥生物特征数据具有其自溅的特点：第一，生物特征数据具有唯一性， 携带着个人生物特征信意；第二，生物特征数据矮予采集壅数撂，难戳锈造；第三， 生物特征数据具有隐私性。正因为生物特征数据有精其独特的功能和特点，生物特 征数据的安全性也和普邋的数据安伞育所不同。根攒数据安全的定义( 参照信息安 全) ，生穆特征数据自身瀚安全和善邋数据鑫身戆安全内容差不够，侄是由子生物特 征数据的隐私性，生物特征数据被破坏、篡改、删除、泄露、非法_ 共享对个人信息 安全和隐私将会带来灾难性的后果，辫以本文主要探讨如何加强生物特征数攒的安 全毪，嗣辩又怒够揉护数据豹豫私经。撮据运动获杰帮存在方式_ i 莛季亍分类，生物特 征数据安全也分为传输中的安全性和数据存储的安众性，传输过獠中的安全性问题 和普通的数据传输的安全问题区别不大，本文主要讨论如何增强数据存储时的焱全 往，阕对又增强数攥静稳强牲。 解决数据安全的很多方法都可以应用到解决生物特征数据的焱全性问题，例如 数据加密就是最简单的恩路，但是如何才能同时解决隐私性问题呢? 首先弄溃楚什 么是生物耱挺数据的貉私缝。生穆特挺数据，氇含7 谬l 麴摇纹、鼗貘、声音、久验 等个人生物特征信息，个人用户往往利用自己唯一的生物特征进行安全系统的身份 确认，或糟其它金融系统的商业操作。一个基本的生物特征识别系统至少需要一个 生物褥鬣数攥疼，存德餐拿天矮户象入懿圭秘特，鬣数据，瘸骧与翔户疆入夔叟耪特 征进行对比匹配，确认身份。因此生物特征数据库中的生物特，怔数据则完全不受个 人用户的控制，又由于鼹前有关个人隐私的法律保护并不完善，生物特征数据麾中 懿数据共攀、滋震霾蕊严重，鞋及锋露数据疼熬玻蕊历来就不螫藏甄过，傻褥整携 特征数据存在泄露的危险。一旦数据外泄，不法分子可以利用这魉生物特征数据， 侵入安全、盒融等系统，侵犯用户隐私。这里的隐私性包含两层涵义：一是数据本 隽夔瓷熬瞧，爨熟人验、声音等，童羧代表了令人貔程，出予绦护个a 隐私鹣怒度 第2 0 页 中山大学硕士学位论文 来说，邀魏生秘特征数摇鲍灌露，已经侵害了嗣户瀚个人隐私，必然会给蒡l 户带来 不良影响；一二是，利用泄薅的生物特征数据，不法分子侵入用户使用的各种系统， 非法取褥用户各种信怠，同样侵犯了用户的隐私权。普通的数据加密，例如水印技 末，锈缀掰豹应孺子增强生耱特征数据靛安全毪，却并不毵解凌隐私淫闻藤( 数据 库中的数据保持生物特征的原型) 。本文探讨的是在保证安全性的情况下，如何更