【论文阅读】Cancelable Multi-Biometric Approach Using Fuzzy Extractor and Novel Bit-Wise Encryption

最新推荐文章于 2023-01-09 22:51:46 发布

2^silence

最新推荐文章于 2023-01-09 22:51:46 发布

阅读量642

点赞数

文章标签：论文阅读人工智能

本文链接：https://blog.csdn.net/Ning_yuan/article/details/127143163

版权

I. INTRODUCTION

A. Motivation and Contributions

多生物特征认证系统涉及两个或多个生物特征实例的融合，其中融合可以在特征级别[2]、[28]-[30]、决策级别[3]或分数级别[31]、[32]上执行。现有的融合方法在适应性和安全性方面存在一些局限性。

使用生物密码系统的一种朴素的多生物特征融合方法将实现两个模糊提取器，表示为FE1和FE2，用于两个输入生物特征模板B1和B2，如图1a所示。这种方法的主要局限性是：

模糊抽取器需要对纠错码字进行编码和解码，由于涉及的复杂运算，这通常需要大量的计算[33]。图1a中所示的具有两个模糊抽取器的方法将需要两次这样的复杂计算。
作为模糊抽取器FE的输出之一产生的助手数据经常泄漏一些关于B的链接性信息[17]。为了缓解这个问题，提出了可重复使用的模糊抽取器[34]、[35]。然而，它们需要巨大的存储空间。例如，一个1024位的生物识别模板需要大约1TB的存储空间来处理25%的误码率[36]；在我们的例子中，虹膜码是10240位的。在部署大量数据集的真实场景中，实现两个存储需求几乎翻倍的可重复使用的模糊抽取器(与一个可重复使用的模糊抽取器相比)是不切实际的。
如果生物特征之一具有大量的比特错误，例如，二值化的人脸或指纹模板具有比虹膜代码更多的比特错误[5]，则由于纠错能力的限制，模糊抽取器将难以纠正所有的比特错误[20]。

这些限制促使我们转向另一种方法，如图1b所示。生物测定模板用于从模糊抽取器生成强的、均匀的随机串；其可被视为密码密钥[20]。由一个生物特征模板生成的这种密钥可用于在多生物特征系统中变换同一用户的另一个生物特征模板。第一生物统计模板B1用于使用模糊抽取器FE生成随机串R。考虑到R=K，变换函数f2将第二生物统计模板B2转换为受保护模板C。该算法只实现了一个模糊抽取器，所需存储空间较小，计算量较小。

在给定预定义阈值的情况下，在变换期间处理比特差错的同时，函数f2可以使用密钥K以下列方式变换第二生物测定模板：

1)使用块密码操作模式直接加密生物测定模板[37]。但是，在验证过程中需要对受保护的模板进行解密，这可能会将原始模板泄露给攻击者。

2)可取消的生物特征识别，如基于Bloom Filter的模板[38]、[39]提供了良好的性能和效率。尽管如此，由于生物统计模板转换为基于Bloom Filter的结构，错误率很高。

3)使用同态加密[4]、[26]对生物模板进行加密。然而，它需要巨大的计算时间来执行验证。

为了缓解现有变换方法的局限性，我们提出了一种不可逆的逐位加密方案(图1b中的f2)。第二生物测定模板B2的每一位都被变换成受保护模板C中的对应的一位输出。从第一生物测定模板B1导出的密钥确保即使攻击者对先知(客户端的设备)进行随机查询，所生成的经变换的模板也将是完全随机的，因为秘密密钥对于每个实例将是唯一的。

在本文中，我们使用两条基线来表示无保护的多生物识别系统：基线A使用开源的库和软件进行生物识别，基线B使用商用现成(COTS)系统。

本文主要做了以下几点贡献：

提出了一种用于生物特征认证系统的可取消多生物特征识别方法，该方法从作为输入的两个生物特征样本生成一个可取消的受保护模板。生成的可取消模板是不可链接、不可逆和可更新的。
就作者所知，提出了一种新的方法，使用逐位加密方案将原始生物特征模板转换为受保护的可取消模板。它完全保留了受保护的和原始的生物统计模板中的错误数量；因此提供了与未受保护的(Baseline-A)系统相同的识别精度。
我们提出了两种不同的算法，算法I和算法II来执行按位加密。表四和表五总结了以时间衡量的拟议系统在各种配置硬件上的效率分析。
从不可逆性、不可链接性和可再生性三个方面对所提出的方案进行了深入的安全性分析。此外，数学证明表明，我们的逐位加密方案保持了保密性和不可逆性。
对提出的系统的识别性能和效率(以时间衡量)进行了详细的分析，并与现有的生物特征模板保护方案进行了比较，强调了我们提出的工作在实时场景中的部署范围。此外，我们的逐位加密方案可以构建在COTS系统之上，以提供同等的高性能和安全性。

II. PRELIMINARIES

A. Notations

B：original biometric template（binary format）

C：protected template

$b_{\left ( x,y \right )}$ ：坐标（x,y）处的生物模板

K：cryptographic key，length=k

H：hash function

HD：helper data generated by fuzzy extractor

B. Definitions

Fuzzy Extractor (FE)：

模糊抽取器由两个过程定义[20]-生成过程：Gen作用于输入B∈M（M表示汉明距离度量空间），输出随机串 $R\in \left \{ 0,1 \right \}^{n}$ 和表示为 $HD\in \left \{ 0,1 \right \}^{*}$ 的辅助数据字符串。

复制过程中：Rep将 $B{}'$ ∈M和 $HD\in \left \{ 0,1 \right \}^{*}$ 作为输入。模糊抽取器的正确性保证了如果 $\left \| B\oplus B{}' \right \|\leq t$ ，和 $\left ( R,HD \right )\leftarrow Gen\left ( B \right )$ ，然后 $Rep\left ( B{}',HD \right )=R$ ，否则不能保证输出。这里，t是底层纠错码的纠错能力和 $\left \| . \right \|$ 表示两根弦之间的汉明距离。

Binary p-bit mapping:

它是十进制值的p位二进制表示。二进制数表示为 $a_{p-1}a_{p-2}...a_{0}$ ，其中ai∈{0，1}和p是二进制(基数)点左侧的位数。例如，二进制 $_{16}^{}\textrm{(val)}$ 表示值val的16位二进制表示。

byte-xor:

d位二进制数 $a_{d-1}a_{d-2}...a_{0}$ 的字节异或，其中ai∈{0，1}将整个字符串分割为单独的字节字符串。这些字符串按字节进行异或运算，以输出表示为：

III. RELA TED WORK

A. Biometric Cryptosystems or Biocryptosystems

B. Cancelable Biometric Systems

C. Homomorphic Encryption Schemes for Biometric Security

由Rivest等人介绍。在1978[48]中，它提供了加密域上的计算。给定两个加密消息Ek(M1)和Ek(M2)，Ek(m1∗m2)=Ek(M1)∗Ek(M2)，其中∗可以是任何操作。提出了一种具有基于MAC的方法的某种同态加密方案[26]，用于安全生物测定认证，其中服务器存储加密的生物测定模板。客户端存储解密密钥，用于解密服务器在认证过程中发送的比对分数。所需计算时间较大，部署不切实际。

Gomez-Barrero等人。[4]提出了一种多生物特征模板保护方案，该方案在特征层、记分层和决策层对签名和指纹进行融合，生成一个使用同态加密的组合模板。该方案是可取消的，并表现出良好的性能。然而，除了较高的计算时间外，存储在服务器上的秘密密钥被认为是安全的。

在实践中，如果密钥被泄露，可能会导致隐私的丧失。最近提出了一种轻量级加密方案[49](PassBio)，用于以用户为中心的生物认证，使得对加密的数据执行具有阈值的比较。与其他基线方法相比，该方案涉及的矩阵乘法具有巨大的延迟，使得该方案的速度大大慢。

IV. MODELS AND SETTINGS

我们提出了一个通用的模块化框架，包括特征提取模块、模糊提取模块、按位加密模块和匹配器或比较器模块。

A. System Model and Participants

该系统由客户端和服务器端两部分组成。客户端包含一个设备，能够提取用户的生物特征数据，如虹膜、人脸或指纹。用户设备的一些例子可以是Android/iOS驱动的智能手机或个人台式机。服务器是一个诚实但好奇的在线实体(服务提供商)。图2描述了我们提议的构造的示意性模型。标准特征提取库、模糊抽取器和逐位加密库存储在客户端设备上。生物特征比较在服务器端执行。

B. Threat Model

为了确保用户生物特征数据的隐私性以及系统的安全性，我们重点研究了以下几种攻击：

用户端参与者可以尝试从服务器上存储的受保护模板中获取原始生物识别模板。此外，他们可能会任意与系统的其他用户串通，以实现可逆性，试图破坏系统的安全性。在提议的设置中，客户端设备将充当随机预言。允许对手在客户端设备上执行任意数量的查询。用户还可以尝试从存储在客户端或服务器端的信息中获得可链接性信息。此外，客户端的设备可能会受到离线攻击，其中对手可以读取设备的内存等。
在现实世界的场景中，服务器可能会受到两类攻击，被动攻击(其中攻击者是无法与服务器交互，但能够监听路由到服务器的数据)和主动攻击(攻击者能够以任何方式控制服务器并访问底层数据库)。

V. PROPOSED WORK

我们的方案包括两个步骤：使用模糊抽取器生成密钥和使用位加密生成可取消模板。密钥生成步骤对于注册和认证是不同的，而逐位加密步骤对于这两个阶段是共同的。

A. Key Generation

注册阶段：

$I_{1}\rightarrow B_{1}$

$System\rightarrow W_{1}$

$B_{1}\oplus W_{1}\rightarrow HD_{1}$

$H\left ( W_{1} \right )\rightarrow K$

识别阶段：

$I_{1}^{{}'}\rightarrow B_{1}^{{}'}$

$B_{1}^{{}'}\oplus HD_{1}\rightarrow W_{1}^{{}'}$

If $\left \| B_{1}\oplus B_{1}^{{}'} \right \|\leq t$ ，使用t-纠错码对 $W_{1}^{{}'}$ 进行正确译码，得到码字 $W_{1}^{{}''}$ =W1。

秘密密钥K被恢复为H( $W_{1}^{{}''}$ )。

B. Bit-Wise Encryption

给定在登记阶段期间从模糊抽取器导出的密钥K，使用诸如散列函数或基于块密码的加密之类的基本密码原语对坐标(x，y)处的生物测定模板的比特b(x，y)进行加密，以生成对应坐标(x，y)处的随机比特c(x，y)。我们将每个输入位b(x，y)到输出位c(x，y)的这种映射定义为特定坐标(x，y)的逐位加密。它被给出为b(x，y)→c(x，y)使得如果对于特定坐标(x，y)：

C. Algorithmic Explanation of the Bit-Wise Encryption Approach

算法I和算法II定义了三个函数，即扩展、变换和提取。

此外，扩展函数将每个输入比特扩展到某个预定义长度，并且可以遵循由扩展-1和扩展-2表示的两种不同方法。扩展的比特通过变换函数与密钥一起操作。提取函数可以表示为提取位或提取异或，并从转换函数的输出返回一位。

1)算法I：使用Bit-Wise生物特征模板扩展的可取消生物特征模板结构：图3示出了使用算法I提出的构造的框图。对于算法I的例子，参见附录B。B2被表示为具有u行和v列的二维矩阵，其中每个位被表示为b(x，y)、(0≤x<u)和(0≤y<v)。T表示称为调整的随机公共参数。

1)函数展开-1以返回Mb(x，y)：通过将位b(x，y)与相应坐标(x，y)的二进制值连接以获得扩展位串Mb(x，y)来展开位b(x，y)。通过使用在第二节中定义的二进制p比特映射函数来获得二进制值。

2)函数变换以返回Db(x，y)：对于每个扩展位串Mb(x，y)，对其应用基于键的变换函数F，如下所述。

情况1：F=加密函数(Encryption function)， $F_{E}$ ：在密钥K的帮助下使用使用适当模式[37]的块密码操作模式。任意长度的调整与扩展的比特串消息比特Mb(x，y)级联。变换的输出以长度为d的Db(x，y)表示为

情况2：F=密钥散列(keyed-hash)，FH：变换函数是密钥散列，它涉及加密散列函数和密钥K，其输出如下：

3)函数提取-返回c(x，y)的位对补码位(1−b(x，y))执行EXPANSION-1和变换函数，以得出长度为d的相应变换位串D(1−b(x，y))。选择随机索引。索引值的获取有两种方式：

以比特串的第一个位置作为索引；例如in $\leftarrow$ 0
给出的随机索引位置为：

从中选择的索引 in 开始，在从b(x，y)和(1−b(x，y))获得的变换位串中执行循环查找，以找到具有不同位的第一个位置pos，使得Db(x，y)[k]！=D(1−b(x，y))[k]。字符串Db(x，y)中特定位置pos处的对应位Db(x，y)[pos]表示受保护生物模板C中坐标(x，y)处的一位输出c(x，y)。

注意：给b(x,y)分配的两位二进制数，即00或01。

2)算法II：使用Bit-Wise XOR运算的可取消生物测定模板构造：图4示出了使用算法II的所建议构造的框图。

有关算法II的工作原理的示例，请参阅附录B。考虑到与算法I相同的生物模板格式，算法II包括以下函数：

1) Function EXPANSION-2 to return Mb(x,y)：连接特定位b(x，y)的对应坐标(x，y)的二进制值以获得扩展位串Mb(x，y)

2) Function TRANSFORMATION to return Db(x,y)：以与算法I中描述的类似的方式执行变换，以输出长度为d的变换的中间比特串DB(x，y)。

3) Function EXTRACTION-XOR to return c(x,y)：

将长度为d的变换位串D(x，y)表示为
它与输入比特b(x，y)进行逐位异或，以获得受保护模板C中对应的一比特输出c(x，y)为

VI. DESIGN RATIONALE

在这一部分中，我们将讨论所考虑的功能和参数对于我们所提议的建筑设计的意义。

A.位敏感（Bit-Wise）加密的作用：

原始模板的每个位b(x，y)被映射到受保护模板中的对应位c(x，y)，即b(x，y)→c(x，y)。按位加密确保对于每个输入比特，猜测对应保护比特的概率不超过 $2^{-1}$ 。此外，原始模板中的任何错误仅反映在受保护模板中的对应比特中。因此，与第三节中讨论的现有可取消方案不同，原始模板和受保护模板中的比特差错数量保持相同。

B.使用坐标(x，y)进行扩展的作用：

它确保每个输入比特被映射到相同比特位置的对应输出比特，从而绑定输入和输出比特。此外，在Expansion-1中，坐标x和y的串联有助于将对应于比特b(x，y)的每个输入与其他输入区分开来。因此，它向变换函数F提供不同的输入，导致对于每个输入位b(x，y)产生不同的输出Db(x，y)。在EXTRACTION-XOR步骤(算法II)中，b(x，y)与变换步骤的输出进行异或运算，因此在Expansion-2中使用b(x，y)作为输入不会增加方案的任何额外安全性。

如果不进行展开，则转换函数的输入可能是1或0，这将导致只有2个不同的输出，对应于转换步骤后的1或0。在这种情况下，即使知道与输入生物模板的单个比特对应的变换输出，攻击者也可以泄露几乎整个输入生物模板。

C.变换函数F的作用：

变换函数F可以是诸如具有操作模式的任何块密码的加密函数或诸如HMAC的密钥散列。底层密码原语的属性确保了扩展消息Mb(x，y)的安全变换，以生成长度为d的随机变换串Db(x，y)。随机化使得难以预测来自Db(x，y)的输入。

D.生物测定派生密钥K的作用：

情况1(由系统为所有用户生成单个密钥(矛盾情况))：假设攻击者可以获得存在数据库中的可撤销模板，在这种情况下，目标用户攻击者可以通过使用用户i的随机查询生物统计模板 $B_{i}^{{}'}$ 查询Oracle(客户端的设备)来进行攻击。攻击者还可以尝试通过使用零努力攻击来模拟真实用户的生物统计数据(明文)来进行身份验证[51]、[52]。

然后，它可以使用公共系统的密钥在受保护的域中获得对应的随机模板 $C_{i}^{{}'}$ 。由于逐位加密是输入比特到输出比特的确定性映射，并且所有用户的密钥是相同的，所以攻击者可以通过根据已知映射( $C_{i}^{{}'}$ ， $B_{i}^{{}'}$ )将从数据库访问的Ci映射到Bi来从另一个已知的受保护模板Ci获得原始(正确的)生物特征模板Bi。

情况2((建议的方法)-从特定实例的模糊抽取器生成的生物测定派生密钥)：在这种情况下，密钥对于每个实例是唯一的，并且取决于该实例的生物测定数据。因此，攻击者不能通过发送多个随机查询模板将客户端设备作为先知进行查询。这是因为随机生物测定模板将生成随机(不正确)密钥。这会导致使用按位加密方法进行错误转换。

E.调整T的作用：

调整T是任意长度的公共数据。在使用算法I和算法II的变换函数F对输入进行变换之前，tweak用于填充输入比特。tweak可以是唯一值，也可以不是唯一值。在我们的系统中使用tweak不会泄露有关用户生物特征数据的任何信息。

F. 提取函数的作用：

提取函数从变换函数F的d位输出返回一位。它被设计为提供单向性，即，应该不可能从提取函数的一位输出获得函数F的d位输出。即使攻击者获得了转换过程中涉及的密钥K，解密受保护模板的位以获得原始虹膜代码在计算上也是不可行的。这是由于截断了F的整个d位输出中的一位。

G.在算法I中选择不一致的比特位置pos的作用：

在算法I中从下标 in开始遍历随机串Db(x，y)以获得具有相异位的位置pos，它保证了如果对于特定的在可取消模板中的坐标(x，y)，bit '1' 映射到 '0'，然后bit '0' 一定会映射到bit '1' ，对于相同的实例，反之亦然，如(1)所示。这保留了未受保护和受保护(可取消)域中的错误数量。如果条件不满足，则bit '1' 和 '0' 作为来自同一实例的两个不同样本的输入，在坐标(x，y)处可能都映射到bit '1' 或 '0' ，在可取消模板中，增加认证期间的误码率。

H.为算法I中的提取比特函数选择随机索引in的作用：

从经验数据中，我们观察到对于索引0，用不同比特选择的大多数位置pos是从总共d=256比特位置中的范围0−7。然而，对于随机索引值(使用(2)生成)，不同位置的值在整个256比特输出范围内均匀分布，这使得比特c(x，y)的猜测非常不可预测。因此，选择随机索引而不是索引值0是更可取的。

VII. EXPERIMENTS AND PERFORMANCE ANALYSIS

我们评估了在表I中给出的公共可用数据库上的虹膜和人脸的实验。示例图像如图5所示。我们将左侧和右侧实例视为相互独立的对象。为了创建多模式数据库，我们将来自两个不同实例的样本一一对应地组合在一起，同时删除额外的样本。我们将IITD数据库和CASIAIris-Thousand数据库结合起来，将CASIA-Iris-Thousand数据库中的所有(2000×10)个样本作为冒名品，记为IITD-CASIA数据库。多模式数据集的真实样本和冒名顶替者样本的分布如表II所示。我们没有考虑两个输入模板都来自人脸特征的情况。由于人脸模板的大小(76,800比特)，实现模糊抽取器(带有纠错码)作为输入是效率低下的。

对于Baseline-A、现有的模板保护方案和我们提出的算法，我们使用开源库和软件进行特征提取。对于虹膜代码生成，我们使用OSIRIS[55]和University of Salzburg Iris Toolkit v1.0。特征提取采用Masek[57]提出的类Dogman 1D-Log Gabor(LG)算法进行，生成512*20=10240bits的虹膜编码。考虑最佳参数[45]构建了16个布隆过滤器，其中虹膜代码的高度=10，虹膜代码的每个块的宽度=32。对于基于局部Gabor模式直方图序列的人脸特征提取，我们使用了自由信号和图像处理工具箱 $Bob^{2}$ [58]，[59]的FaceRecLib。我们对每一幅图像进行裁剪，得到中央4×8的32×2400=76800比特的子图。为二进制化的人脸模板生成960个布隆过滤器，每个模板的大小为16位，如[5]、[39]中所述。人脸和虹膜模板的所有比较都是通过使用两个二值化模板之间的汉明距离度量来进行的。通常进行循环比特移位以对齐两个虹膜码[50]，以补偿比较期间的二进制未对准。计算每个移位位置的汉明距离(即相对倾斜角，在本例中为±4比特)，并将最小汉明距离作为最终比较分数。

对于Baseline-B，我们使用最先进的商业现成(COTS)匹配器来提供比较分数。我们使用VeriEye[60](神经技术)进行虹膜识别，使用VeriLook[61](神经技术)进行人脸特征提取和比较。

A. Parameters for Transformation Function

在本节中，我们将简要讨论用于将原始生物特征模板转换为受保护的可取消模板的参数。我们使用BCH码来实现模糊抽取器。从文献[62]、[63]中已经观察到，BCH码简单，是实现模糊抽取器的纠错码的合适选择。

BCH码：Bose-Chaudhuri-Hocquengem码是使用伽罗华域上的多项式构造的随机纠错循环码。对于任意正整数(q≥3)和(t<2(q−1))，存在t个纠错BCH码(n，χ，t)，具有长度为χ的随机秘密消息，参数为[64]，[65]：块长度给出纠错码字的大小，表示为n=2q−1。

用于从接收到的码字恢复原始码字的奇偶校验比特的数目被表示为n−χ≤Qt，并且最小距离给出了任意两个码字之间的最小距离，使得每个码字纠正最大t个错误比特。考虑到虹膜码中大约20%的差错，对于长度为10240比特的虹膜码，我们选择(1023，46,219)≥BCH码。我们对(1023，46,219)-BCH码进行了10次采样，覆盖了10230比特的虹膜代码，忽略了最后几个比特。二值化人脸模板中的误码率很高；然而，通过有效的纠错码，可以使用人脸模板。

表III显示了我们建议和用于实现所提出的算法的参数。为了在实现所提出的算法时施加安全性，SHA-2或SHA-3是首选的散列函数。此外，对于使用分组密码加密的变换函数，我们选择了AES-CBC模式[37]。需要IV才能使用AES-CBC模式加密明文。要生成加密过程中所需的IV，我们使用标准的推荐方法[37]。除了使用分组密码进行加密外，我们还可以使用基于密钥的散列函数，称为基于散列的消息验证码(HMAC)，它提供单向转换。选择AES-CBC和HMAC背后的动机是它们在大型系统上的实际部署。这两个密码原语都经过了很好的分析，在性能方面都是安全和高效的。

B. Recognition Performance Evaluation

我们绘制了错误匹配率(FMR)和错误不匹配率(FNMR)的DET曲线(检测误差权衡)来评估识别性能。在考虑各种现有的生物模板保护方法的同时，根据f2的角色(如图1所示)构建以下情况：

Baseline-A-模糊抽取器和f2没有作用。使用汉明距离度量[50]对两个输入模板进行比较。
Baseline-B-COTS系统用于人脸和虹膜的特征提取和比较。
基于Bloom Filter的方法[39]-将第一个模板提供给模糊抽取器，以生成密钥K，并使用汉明距离度量进行比较。f2使用K将第二生物特征模板转换为基于布隆过滤器的数组。通过使用汉明距离度量匹配对应的布隆过滤器阵列[44]来进行比较。
基于Bloom Filter的融合方法[5]-在这里，使用简单的OR运算融合由两个输入生物特征模板生成的基于Bloom Filter的模板。对融合布隆滤光片阵列进行了比较。不使用模糊抽取器和f2。
提出的方法-将第一个模板作为输入输入到模糊抽取器以生成密钥。这些比较是使用汉明距离度量进行的。F2对第二个模板执行逐位加密，其中第二个模板通过我们提出的算法之一进行转换，并使用汉明距离度量进行比较。

分数融合：在第三种情况下，基于多生物特征布隆过滤器的融合方法[5]，融合后的布隆过滤器阵列直接使用汉明距离度量[5]进行比较，从而得到最终的分数，而不需要对分数进行任何融合。

在其余情况下，基于基本方法，为两个输入生物统计模板中的每一个计算两个单独的分数。在进行融合之前，分数首先被转换为一个公共范围，这称为归一化。

这是通过减少高分效应(RHE)归一化来完成的[66]。然后使用基于和规则的融合方法对归一化分数进行融合，即对于两个归一化分数x1和x2，考虑到两者的权重相等，融合后的分数被表示为x1+x2。

从图6中绘制的DET曲线可以看出，我们提出的两种算法的识别性能都与Baseline-A方法相同，完全重叠的曲线可以描述Baseline-A方法和所提出的算法的相同情况。此外，在0.01%的误匹配率下，我们提出的方案的性能优于基于Bloom Filter的方法[39]和基于多生物特征Bloom Filter的融合方法[5]。可以注意到，同态加密方案[4]通常保持错误率，产生与基线方法类似的曲线。Baseline-B(COTS系统)在大多数情况下都达到了最高的性能，但在我们提出的算法中，我们可以通过优化底层特征提取和比较模块的使用来达到同等的性能。

C. Efficiency Evaluation for the Generation of Protected Template

我们根据注册和认证过程中所用的时间来计算我们拟议工作的效率。

1)注册时间：使用模糊抽取器(使用BCH编码器)从第一模板生成密钥所花费的时间+使用逐位加密来转换第二模板所花费的时间。

2)认证时间：由使用模糊抽取器从第一模板解码秘密密钥所花费的时间+使用逐位加密来变换第二模板所花费的时间+比较两个模板所花费的验证时间来给出。

我们的实现包括两个步骤：

模糊抽取器实现，主要涉及BCH编码(在注册期间)和解码模块(在认证期间)。3服务器级处理器，Intel Xeon 2.10 GHz，8核超线程分析BCH编解码子程序。
使用建议的逐位加密生成可取消的模板。为了计算f2所花费的时间，提交了我们在不同时钟频率的台式机级硬件(4核)上的Java实现，包括Intel i5(Kaby Lake，2.1 GHz)、Intel i5(Skylake 2.5 GHz)、Intel i7(Skylake，2.6 GHz)和Intel i5(Skylake，3.3 GHz)。我们还在各种基于Android的智能手机上进行了实验。支持AESNI(加密硬件指令)的处理器在CBC模式下可以执行大约22952162倍的AES128加密。在我们的桌面实现中，我们在C库中使用了Intel的AES-NI指令集来进行快速的AES计算，并使用Java本机接口(JNI)将C库连接到我们的Java实现。

在表IV和V中，我们给出了4种情况下的注册和认证性能的比较：(I)f2作为现有的基于Bloom Filter的方案[44]，(Ii)f2作为基于同态加密的方案[4]，(Iii)f2作为建议的算法I和(Iv)f2作为建议的算法II。这4种情况都是受保护模板方法。我们还考虑了认证过程中的基线情况，其中计算了两个未受保护的虹膜代码之间的汉明距离。在模糊提取步骤中，BCH码编码和解码功能消耗了大部分时间。这一时间对于所有方法(基于Bloom Filter、多生物特征融合和我们提出的两种算法)都是相同的。

可以得出以下推论：

在注册和认证过程中，在所有给定时钟频率的桌面架构上定义的分组密码操作模式下所提出的算法II在时间上与现有的基于Bloom Filter的方案[44]相当。
通常，在桌面和基于Android的实现中都可以看到，算法I比算法II慢；这是因为在算法I中，我们对每一位执行两次密码操作，从而增加了计算，从而提高了周转时间。
在身份验证期间，基于同态加密的方案[4]使用对客户端的额外调用来获取加密阈值，从而增加往返时间或RTT(我们将其固定为2秒)。由于这种RTT，基于同态加密的方案相对较慢。
虽然在基于Android的设备上，基于同态加密的方案[4]的注册时间优于提出的两种算法，但在基于桌面的体系结构中，我们提出的两种算法的性能都显著优于基于同态加密的方案[4]。这是由于在基于桌面的实现中使用了AES-NI指令集。它在加密和解密操作方面提供了大量增加。我们也可以在Android上通过实现硬件指令来获得同样的效率(我们只使用高级应用程序接口)。此外，由于我们使用AES-NI指令集来实现基于分组密码的加密，因此我们实现了使用分组密码操作模式的加密比密钥散列函数(HMAC)更快的实现。
在考虑±4位移位的情况下，生成保护模板的时间大约是单个保护模板的2到4倍。4如果是Android，由于Android更积极地管理内存，所以生成保护模板的时间大约是单个保护模板创建时间的5到8倍。为了更快地实施，注册可以离线完成，存储所有受保护的模板，并对特定实例应用位移位。在认证过程中，使用为用户存储的受保护模板来计算汉明距离，对于特定实例的所有±4比特移位情况，该时间几乎可以忽略不计。
虽然基于Bloom Filter的方案[44]的性能优于所有其他受保护的方法，但与我们提出的算法相比，基于Bloom Filter的方案的错误率很高。它在更大范围内限制了这些计划的适用性。

VIII. SECURITY AND PRIV ACY ANALYSIS

我们提出的比特加密方案在保密性和不可逆性方面是安全的。有关证明该方案安全性的数学证明，请参阅附录A。

假设：我们假设系统足够健壮，可以使用欺骗检测模块处理欺骗(超出了本文的范围)。尽管与虹膜相比，人脸更容易受到欺骗攻击，但在[68]-[70]中，对呈现攻击(PAD)的检测已经做了很多研究。

虽然我们建议设计具有难以欺骗的生物特征的系统，例如虹膜，它对欺骗更健壮[71]。在这种情况下，攻击者访问真实用户的一个生物特征模板的攻击复杂性等于获得该特定用户的两个生物特征模板的攻击复杂性。

如ISO/IEC IS24745：2011[14]中所述，受保护的生物测定模板满足3个主要隐私特性：

A. Irreversibility

不可逆性或不可逆性是指对于给定的受保护生物特征模板，攻击者在知道或不知道所涉及的秘密参数的情况下，在计算上不可能恢复原始生物特征模板。原始生物模板可以通过以下方式被猜测：

1)从给定的受保护生物模板预测原始模板中的一个或两个：在密钥未知的情况下，对于受保护模板的每一位，攻击者需要逆按位加密方案的提取和变换函数来获得原始模板的对应的一位。附录A中的数学证明表明，在给定具有秘密参数密钥K的基础变换函数F的情况下，按位加密方案保持了两种算法的不可逆性。此外，根据第VIII节B中提供的建议，使用模糊抽取器从第一生物测定模板生成的辅助数据将不会揭示关于原始生物测定模板的任何信息。

2)选择明文攻击：选择明文攻击假设攻击者可以选择任意明文，并可以获得相应的密文。让客户端的设备充当随机加密先知。

假设攻击者知道密钥K，并且可以访问存储在数据库中的可取消模板。CPA可以由目标用户攻击者执行，如第六节所述。在我们的情况下，如果攻击者不知道第一个生物特征模板B1，则攻击者将无法从该模板中获得正确的密钥K。没有正确的密钥，攻击者不能对第二生物统计模板B2执行选择明文攻击。

B. Unlinkability

不可链接性规定，如果给定特定用户的同一实例的不同样本，攻击者应该无法确定两个生物识别模板是来自相同还是不同的实例。

1)模糊抽取器的不可链接性分析：将模糊抽取器输出的帮助数据作为公共数据存储在客户端设备上。如果攻击者在离线攻击模式下访问，它通常会泄露有关生物特征模板[17]、[20]的链接性的信息。为了防止可链接性信息泄漏，我们建议执行以下步骤：

可以使用存储在客户端设备上的可信平台模块(TPM)[72]中的系统特定密钥对帮助数据进行加密。由于不可能破解TPM，因此密钥是安全的，因此，在脱机模式期间，攻击者将仅获得加密的助手数据。
最近提出的可重复使用的模糊抽取器[34]-[36]即使攻击者多次知道从用户的相关值生成的帮助数据，也保持安全。

2)Bit-Wise加密方案的不可链接性分析：不可链接性是基于匹配的(跨不同应用的真实和注册的样本)和非匹配(不同应用程序中的冒名顶替者和登记的样本)样本分布。由Gomez-Barrero等人提出。[67]，我们计算了两种不同的虹膜码链接性度量。本地测量 $D_{\leftrightarrow }\left ( S \right )$ 以分数为基础评估链接性。此外，全球测量 $D_{\leftrightarrow }^{sys}$ 提供了整个系统的链接性，并且独立于系统的计分域。图7显示了根据相异分数计算的交配和非交配样本的分布。从该图中可以清楚地看出，这些分布与接近于0的全局可链接性 $D_{\leftrightarrow }^{sys}$ 显著重叠。由于特定实例的生物模板样本相似但不完全相同，因此从这些样本生成的密钥对于每个样本将完全不同。因此，由于跨多个应用使用不同的秘密密钥，因此保持了不可链接性。

3)进一步的链接函数：应用于Bloom模板的Hamming Weight函数：使用不同密钥保护的同一实例的两个基于Bloom Filter的生物特征样本具有相似的Hamming权重[39]，[73]。

两个样本bf1、bf2之间的汉明权重差diff被估计为diff=|HW(Bf 1)−HW(Bf 2)|，其中HW是基于布隆过滤器的模板中的个数。

在这种情况下，攻击者需要了解受保护的模板才能找到它们之间的链接。根据本文提出的方法生成的受保护模板，攻击者可以生成基于Bloom Filter的模板，并且可以应用Hamming权重函数来检测链接性。

非链接性度量的曲线图如图8所示。

考虑到两个链接函数(基于汉明距离的虹膜编码比较和基于布隆过滤器模板的汉明权重函数)，对于算法I，对于IITD-CASIA数据库，系统的全局链接值为 $D_{\leftrightarrow }^{sys}$ =max{0.03，0.09}=0.09，对于CASIA-Iris-Interval数据库， $D_{\leftrightarrow }^{sys}$ =max{0.04，0.04}=0.04，对于人脸数据库， $D_{\leftrightarrow }^{sys}$ =max{0.02，0.05}=0.05。对于算法II，对于IITD-CASIA数据库，系统的全局可链接性值为 $D_{\leftrightarrow }^{sys}$ =max{0.04，0.09}=0.09；对于CASIA-Iris-Interval数据库， $D_{\leftrightarrow }^{sys}$ =max{0.04，0.06}=0.06；对于人脸数据库， $D_{\leftrightarrow }^{sys}$ =max{0.04，0.05}=0.05。

C. Renewability

可再生性规定，当现有的受保护模板受到损害时，应该可以撤销或取消受损害的受保护模板，并使用不同的安全参数重新生成新的受保护生物测定模板。这可以通过具有大的密钥空间来确保，优选地具有长度等于或大于128的密钥。如果密钥被泄露，则可以通过改变特定用户的基础纠错码字来发布新的密钥。

IX. CONCLUSIONS

通过将模糊抽取器与一种新的位加密方案相结合来生成可取消的生物特征模板，提出了一种用于生物特征认证系统的可取消多生物特征方法。建议的工作满足国际标准化组织/国际电工委员会IS 24745：2011年生物特征模板保护方案的建议先决条件，如不可逆性、不可连接性、可再生性和高生物特征识别性能。新的比特加密方案确保了在受保护的模板中不会产生额外的误码噪声，这使得我们所提出的方案的性能相当于未受保护的系统的性能(Baseline-A)。实验结果表明，该系统在识别性能上优于现有的可撤销生物特征识别方案。以时间为单位测量效率的实验结果表明，对于时钟频率为3.3 GHz的桌面，我们基于算法II的方法在注册过程中花费了大约12毫秒，在认证阶段花费了18毫秒，平均运行200多次。文中给出的数学证明证明了按位加密方案的保密性和不可逆性。

我们的结论是，该方案不仅在理论上是合理的，而且可以在印度的Aadhaar项目等大规模系统上实际部署，特别是对于基于Aadhaar的验证[74]，同时获得了高识别性能和效率以及较强的安全性。除了在生物特征认证中的应用外，所提出的比特加密方案还可以应用于需要保护的输入是二进制格式的广泛场景。例如，对于需要存储在云服务器上的任何关键安全数据(二进制)。另一个应用可能是数字取证，其中使用模糊散列[75]；一位加密可以用作模糊散列方法的一部分。我们提供了一种通用的模块化方法，其中位加密方案与特征抽取器、匹配器和模糊抽取器一起使用，以在数据库服务器上提供生物特征模板的安全存储。按位加密方案完全保留错误，与使用的数据集或基础模块无关。因此，为了提高我们的方法的性能和效率，它可以构建在商业现成的系统(具有优化的特征提取和匹配器)上，以获得同等的性能和高安全性，从而具有更广泛的可扩展性。

作为我们未来工作的一部分，我们希望实现一个高效的人脸模板模糊抽取器。此外，可重复使用的模糊抽取器需要巨大的存储空间。我们希望在我们提议的办法中研究其实施的可行性。

2^silence

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫