基于重加密的隨機(jī)映射指紋模板保護(hù)方案

賈姍，徐正全，胡傳博，王豪

?

基于重加密的隨機(jī)映射指紋模板保護(hù)方案

賈姍1,2，徐正全1,2，胡傳博1,2，王豪1,2

（1. 武漢大學(xué)測(cè)繪遙感信息工程國(guó)家重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430079；2. 武漢大學(xué)地球空間信息技術(shù)協(xié)同創(chuàng)新中心，湖北 武漢 430079）

針對(duì)基于隨機(jī)映射（RP, random projection）的生物特征模板保護(hù)算法在模板生成和密鑰管理中面臨易被攻擊而泄露用戶隱私的問(wèn)題，提出一種改進(jìn)RP算法的指紋模板保護(hù)方案。首先，在隨機(jī)映射的基礎(chǔ)上，將變換域劃分為相互獨(dú)立的指紋特征匹配域和加噪干擾域；在子域內(nèi)加噪后利用子隨機(jī)映射矩陣交叉融合生成模板。同時(shí)，引入重加密機(jī)制實(shí)現(xiàn)對(duì)變換密鑰（RP矩陣）的安全存儲(chǔ)和傳輸。實(shí)驗(yàn)結(jié)果和分析表明，與現(xiàn)有的RP模板保護(hù)方法相比，所提方案具有更高的抵抗攻擊能力并能保持RP算法的匹配性能和模板可撤銷性。

指紋隱私保護(hù)；隨機(jī)映射；重加密；安全認(rèn)證

1 引言

隨著人工智能的快速發(fā)展，模式識(shí)別技術(shù)已廣泛應(yīng)用于諸多領(lǐng)域，其中，生物特征識(shí)別技術(shù)利用人體特征進(jìn)行個(gè)人身份的鑒定，能為智能時(shí)代提供最為便捷和安全的身份認(rèn)證，成為國(guó)內(nèi)外研究的熱點(diǎn)之一。生物特征識(shí)別技術(shù)包含人體生理特征識(shí)別，如人臉、指紋、虹膜等，和行為模式識(shí)別，如步態(tài)、聲音、筆跡等。比起密鑰、令牌等傳統(tǒng)基于物品的認(rèn)證方式，生物特征本身具有不易遺忘、難以猜測(cè)和竊取、不易丟失的優(yōu)勢(shì)，具有普遍性、唯一性和永久性。目前，基于生物特征的身份認(rèn)證已在國(guó)家安全、金融、司法、電子商務(wù)、電子政務(wù)等應(yīng)用領(lǐng)域提供了自動(dòng)、準(zhǔn)確的身份標(biāo)識(shí)。

然而，基于人體生物特征的身份認(rèn)證需要存儲(chǔ)注冊(cè)用戶的生物特征模板，數(shù)字化后的特征可能會(huì)遭受攻擊或失竊而造成嚴(yán)重后果[1]。因?yàn)樯锾卣鞑豢筛淖儯⑶遗c用戶的身份永久關(guān)聯(lián)，一旦被不法分子復(fù)制、篡改或盜取后非法濫用，生物特征信息可能會(huì)永遠(yuǎn)丟失，或在每個(gè)此生物特征應(yīng)用的系統(tǒng)中失效，用戶隱私也將受到威脅。以指紋為例，文獻(xiàn)[2]表明從存儲(chǔ)的指紋細(xì)節(jié)點(diǎn)模板中可以完全恢復(fù)出原始的指紋圖像，從而泄露用戶隱私。此外，同一生物特征模板應(yīng)用保存在多個(gè)系統(tǒng)中，易被不法分子追蹤從而實(shí)現(xiàn)多個(gè)數(shù)據(jù)庫(kù)之間的交互匹配。因此，為了有效保護(hù)用戶隱私和信息安全，保護(hù)存儲(chǔ)的生物特征模板變得尤為重要。

生物特征加密技術(shù)[3]是研究者近年來(lái)提出的保護(hù)生物特征隱私的有效策略，將生物特征識(shí)別與密碼學(xué)相結(jié)合，為用戶提供安全的身份驗(yàn)證。理想的生物特征加密技術(shù)對(duì)生物特征模板的保護(hù)應(yīng)至少具備以下3個(gè)特性[4]：不可逆性（生成生物特征模板容易，但從存儲(chǔ)的模板中難以恢復(fù)、重建出原始的生物特征數(shù)據(jù)）；不可鏈接性（基于同一生物特征，可以生成不同版本的模板以在不同應(yīng)用系統(tǒng)中應(yīng)用；也可以在同一應(yīng)用系統(tǒng)中實(shí)現(xiàn)對(duì)模板的撤銷和重新發(fā)布，并且各模板之間、以及模板與原始生物特征之間不可匹配）；識(shí)別性能（生物特征模板保護(hù)策略對(duì)身份認(rèn)證性能影響微小，即不能嚴(yán)重影響認(rèn)證的準(zhǔn)確率）。

目前，得到廣泛研究的不可追蹤生物特征認(rèn)證技術(shù)[5,6]在一定程度上實(shí)現(xiàn)了生物特征安全性和隱私性的保護(hù)。其中，基于隨機(jī)映射[7]的特征變換方法不僅能實(shí)現(xiàn)模板的可撤銷性，同時(shí)，在Euclidean空間能以極高的概率保存點(diǎn)與點(diǎn)之間的距離，對(duì)匹配性能影響很小而被應(yīng)用在生物特征模板保護(hù)中。Ngo等[8]較早提出了基于RP的BioHashing方法，利用用戶特定的RP矩陣對(duì)生物特征進(jìn)行映射變換后，量化得到二進(jìn)制的數(shù)據(jù)保存為不可逆生物特征模板。該方法可獲得近于0的等錯(cuò)誤率（EER, equal error rate），但量化處理降低了認(rèn)證準(zhǔn)確率，同時(shí)隨機(jī)映射在量化域內(nèi)的距離保持特性沒(méi)有相關(guān)的理論證明?；贐ioHashing的思想，Jin等[9]通過(guò)映射指紋的MVD（minutiae vicinity decomposition）特征生成可撤銷的指紋模板；Teoh等[10]提出無(wú)量化處理的MRP（multispace random projection）隨機(jī)映射模板保護(hù)方法，利用用戶特定的偽隨機(jī)數(shù)（PRN, pseudorandom number）產(chǎn)生隨機(jī)矩陣，在降維的同時(shí)實(shí)現(xiàn)雙因子認(rèn)證。Wang等[11]基于RP產(chǎn)生可變換的生物特征模板，并對(duì)隨機(jī)映射算法的隱私保護(hù)特性給出了詳細(xì)的理論分析。Khan等[12]使用散列算法替代量化處理對(duì)隨機(jī)映射的結(jié)果進(jìn)行保護(hù)，提出了基于雙因子認(rèn)證的KRP-AH算法，獲得了較高的安全性，但是散列算法降低了認(rèn)證性能。Yang等[13]則針對(duì)生物特征的不定長(zhǎng)特征提出了根據(jù)指紋細(xì)節(jié)點(diǎn)維數(shù)進(jìn)行非線性動(dòng)態(tài)映射（DRP）的生物模板保護(hù)方法；Anzaku等[14]則利用用戶指紋的定長(zhǎng)Fingercode特征和PRN在RP變換不降維的情況下實(shí)現(xiàn)安全認(rèn)證，計(jì)算效率提高，但當(dāng)RP變換矩陣和模板被攻擊時(shí)，通過(guò)反變換即能完全恢復(fù)出原始指紋特征而泄露用戶隱私。

已有的基于隨機(jī)映射的生物特征模板保護(hù)技術(shù)雖然可以提高生物特征的安全性，但仍存在以下2個(gè)問(wèn)題。

1) 直接保存隨機(jī)映射后的變換數(shù)據(jù)作為生物特征模板，存在利用逆變換或交叉匹配攻擊而完全恢復(fù)原始生物特征的隱患[15]，無(wú)法有效保護(hù)用戶隱私；同時(shí)，當(dāng)變換后的特征被盜取時(shí)，此類方法無(wú)法抵抗統(tǒng)計(jì)攻擊、重放攻擊等。

2) 隨機(jī)映射矩陣或產(chǎn)生映射矩陣的偽隨機(jī)序列作為生物特征變換密鑰，需要被存儲(chǔ)或傳輸。如果被用戶保存在令牌或智能卡中，實(shí)現(xiàn)雙因子認(rèn)證，安全性較高，但其安全性取決于隨機(jī)數(shù)令牌的安全性[16]，并且多因子認(rèn)證為用戶帶來(lái)使用和存儲(chǔ)的不便；若被用戶終端保存，則將用戶與終端綁定，應(yīng)用受到局限；若被應(yīng)用端保存，在半可信環(huán)境中，密鑰容易被非法盜取而存在用戶的生物特征信息被泄露的安全隱患。因此，對(duì)變換密鑰需要更安全有效的管理機(jī)制。

指紋作為目前研究最成熟，應(yīng)用最廣泛的生物特征，其安全性問(wèn)題備受關(guān)注。本文以指紋為例，首先針對(duì)傳統(tǒng)隨機(jī)映射算法在模板生成中存在的問(wèn)題，在原算法的基礎(chǔ)上將映射域劃分為相互獨(dú)立的指紋特征匹配域與噪聲干擾域，通過(guò)相應(yīng)的2個(gè)子隨機(jī)映射矩陣進(jìn)行交叉融合后保存為模板。其次，針對(duì)變換密鑰（隨機(jī)映射矩陣）的管理問(wèn)題，引入具備密文安全轉(zhuǎn)換功能的重加密機(jī)制實(shí)現(xiàn)對(duì)映射矩陣的安全存儲(chǔ)和傳輸。在注冊(cè)過(guò)程由用戶終端一次加密后將密文存儲(chǔ)在應(yīng)用端，認(rèn)證過(guò)程則由應(yīng)用端2次加密后傳至用戶終端，通過(guò)一次解密獲得明文，使用戶端不依賴于應(yīng)用端的可信度進(jìn)行數(shù)據(jù)安全管理。結(jié)合本文在算法上的改進(jìn)使指紋特征模板即使在丟失的情況下也無(wú)法被完全恢復(fù)，有效提高認(rèn)證的安全性。本文貢獻(xiàn)主要有以下3點(diǎn)。

1) 提出了一種改進(jìn)的隨機(jī)映射指紋模板生成方法，使注冊(cè)保存的模板融合了隨機(jī)干擾噪聲；在認(rèn)證過(guò)程中生成的變換特征也具有動(dòng)態(tài)變化性，并且能利用隨機(jī)映射矩陣的正交性去除噪聲域，獲得與原始隨機(jī)映射算法一致的匹配特征，在提高模板安全性的同時(shí)能夠保持原始算法的良好匹配性能。

2) 提出了一種基于重加密的隨機(jī)映射矩陣管理機(jī)制，將隨機(jī)映射矩陣以密文形式存儲(chǔ)在應(yīng)用端，在認(rèn)證過(guò)程中通過(guò)重加密轉(zhuǎn)換為認(rèn)證終端可以解密的密文，在保證安全性和可用性的同時(shí)將密鑰的存儲(chǔ)開(kāi)銷從用戶端轉(zhuǎn)移至應(yīng)用端。

3) 實(shí)驗(yàn)結(jié)果和分析表明本文方案對(duì)指紋認(rèn)證的準(zhǔn)確率和計(jì)算時(shí)間影響較小，生成的模板具有良好的不可鏈接性；同時(shí)，在認(rèn)證過(guò)程中能有效抵抗重放攻擊、相似性攻擊、交叉匹配攻擊等針對(duì)模板的常見(jiàn)攻擊，具備較高的安全性。

2 預(yù)備知識(shí)

2.1 隨機(jī)映射

(2)

將隨機(jī)映射用于生物特征模板保護(hù)中，針對(duì)同一生物特征基于不同的RP矩陣可以生成不同的模板，實(shí)現(xiàn)模板的可再生性和可撤銷性；同時(shí)，隨機(jī)映射的距離保持特性使在變換域基于歐氏距離的匹配對(duì)認(rèn)證準(zhǔn)確性影響較小。

2.2 重加密機(jī)制

重加密，常指代理重加密（proxy re-encryption），于1998年由Blaze等[21]提出，是一種具備密文安全轉(zhuǎn)換功能的新型公鑰加密體制。針對(duì)不可信的網(wǎng)絡(luò)環(huán)境，重加密機(jī)制能夠有效保障用戶數(shù)據(jù)的安全性和可共享性。在典型的代理重加密體制中，引入一個(gè)半可信代理者進(jìn)行密文的存儲(chǔ)和轉(zhuǎn)換，能將由委托者用公鑰加密的秘密數(shù)據(jù)密文轉(zhuǎn)換為由被委托者的公鑰對(duì)同一明文加密的密文，然后被委托者利用其自身私鑰解密轉(zhuǎn)換后的密文，從而獲得秘密信息，其具體過(guò)程如圖1所示，其中序號(hào)表示重加密的執(zhí)行順序。在密文轉(zhuǎn)換過(guò)程中，代理者必須擁有一個(gè)由委托者授權(quán)的針對(duì)被委托者的密文轉(zhuǎn)換密鑰（重加密密鑰），且代理者無(wú)法獲得有關(guān)明文的任何信息。重加密密鑰生成算法是單向不可逆的，無(wú)法由重加密密鑰計(jì)算出私鑰信息，保證了數(shù)據(jù)擁有者和數(shù)據(jù)使用者的權(quán)益。

圖1 重加密機(jī)制示意

由圖1可見(jiàn)，重加密機(jī)制提供了不依賴于代理者可信度的數(shù)據(jù)安全管理方法。通過(guò)對(duì)秘密信息的2層加密，從數(shù)據(jù)源頭上控制代理者對(duì)數(shù)據(jù)明文的訪問(wèn)權(quán)限，讓代理者在存儲(chǔ)密文的同時(shí)，能夠根據(jù)被委托者的需要提供不同的重加密密文版本，從而有效防范秘密數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的泄露風(fēng)險(xiǎn)。而對(duì)于用戶而言，在保證秘密信息安全的前提下將存儲(chǔ)開(kāi)銷轉(zhuǎn)移至半可信代理者，同時(shí)在應(yīng)用上與傳統(tǒng)的方式?jīng)]有區(qū)別，通過(guò)一次解密即可獲得明文數(shù)據(jù)。

2.3 問(wèn)題陳述

隨機(jī)映射算法利用變換特征的距離保持特性能實(shí)現(xiàn)良好的匹配性能，變換隨機(jī)映射矩陣能實(shí)現(xiàn)模板的可撤銷性，但在安全性上仍存在以下兩方面的不足。

1) 直接保存隨機(jī)映射后的變換特征作為模板，抵抗攻擊能力較弱。

2) 隨機(jī)映射矩陣作為變換密鑰，直接存儲(chǔ)或傳輸存在安全隱患。

因此，本文提出一種基于重加密的隨機(jī)映射指紋模板保護(hù)方案，首先改進(jìn)隨機(jī)映射算法的模板生成方式，再在改進(jìn)算法的基礎(chǔ)上，引入重加密機(jī)制加強(qiáng)對(duì)隨機(jī)映射矩陣的安全管理。

3 方案設(shè)計(jì)

3.1 方案框架

3.2 改進(jìn)的隨機(jī)映射算法

3.2.1 算法框架

圖2 基于重加密的隨機(jī)映射指紋模板保護(hù)方案框架

圖3 隨機(jī)映射算法的模板生成方式對(duì)比

同時(shí)，改進(jìn)后的隨機(jī)映射算法能解決原始隨機(jī)映射算法的不足，具體如下。

2) 認(rèn)證過(guò)程生成的變換特征具有動(dòng)態(tài)變化性，能抵抗統(tǒng)計(jì)攻擊。算法對(duì)變換特征添加隨機(jī)噪聲，使交叉融合后的特征受干擾噪聲的擴(kuò)散影響，在每次認(rèn)證過(guò)程中生成的特征信息均具有隨機(jī)變化性，有效防止變換特征被截獲后通過(guò)統(tǒng)計(jì)攻擊而泄露用戶隱私。

3.2.2 算法實(shí)施

改進(jìn)后的隨機(jī)映射指紋模板保護(hù)算法的實(shí)現(xiàn)過(guò)程如下所示。

1) 注冊(cè)過(guò)程

步驟1 生成隨機(jī)映射矩陣

步驟2 隨機(jī)映射過(guò)程

2) 認(rèn)證過(guò)程

步驟1 獲取隨機(jī)映射矩陣

步驟2 隨機(jī)映射過(guò)程

步驟3 特征提取與匹配

3.3 基于重加密的隨機(jī)映射矩陣密鑰管理

基于ElGamal算法構(gòu)造的重加密模型在Blaze等[21]提出重加密機(jī)制的同時(shí)得到了驗(yàn)證，其安全性是基于有限域上的離散對(duì)數(shù)問(wèn)題的困難性。本文將在改進(jìn)的隨機(jī)映指紋模板保護(hù)算法中，結(jié)合基于ElGamal算法的重加密模型，在配置了TrustZone的用戶終端，設(shè)計(jì)加強(qiáng)密鑰保護(hù)的指紋認(rèn)證方案。對(duì)應(yīng)典型的重加密機(jī)制（如圖1所示），用于身份注冊(cè)的用戶終端對(duì)應(yīng)委托者，實(shí)現(xiàn)變換密鑰和生物特征模板的生成，并完成對(duì)密鑰的一次加密；應(yīng)用端對(duì)應(yīng)半可信代理者，在注冊(cè)過(guò)程實(shí)現(xiàn)生物特征模板和變換密鑰的存儲(chǔ)，在認(rèn)證過(guò)程實(shí)現(xiàn)對(duì)密鑰的重加密和生物特征的匹配決策；用于身份認(rèn)證的用戶終端則對(duì)應(yīng)被委托者，實(shí)現(xiàn)對(duì)變換密鑰的解密，并生成變換特征用于匹配。當(dāng)用戶終端與用戶綁定時(shí)，如手機(jī)終端，則注冊(cè)與認(rèn)證涉及的用戶終端只有一個(gè)；若用戶終端與用戶無(wú)綁定，如銀行ATM機(jī)，則涉及的用戶終端為多個(gè)。本文方案針對(duì)用戶與用戶終端綁定、用戶與用戶終端不綁定的形式均具有可行性，其實(shí)現(xiàn)過(guò)程如下所示。

圖4 注冊(cè)過(guò)程

圖5 認(rèn)證過(guò)程

4 安全性分析

生物特征身份認(rèn)證涉及的安全性和隱私保護(hù)主要是指存儲(chǔ)的生物特征模板即使在被攻擊的情況下也不會(huì)泄露用戶信息。本文針對(duì)6種常見(jiàn)的生物特征模板攻擊，對(duì)提出的基于重加密的隨機(jī)映射指紋模板保護(hù)方法進(jìn)行了安全性分析。

1) 不可逆性（已知模板的攻擊）。

3) 相似性攻擊。已知不同用戶的多個(gè)映射的攻擊。

4) 交叉匹配攻擊。已知同一個(gè)用戶的多個(gè)映射的攻擊。

5) 統(tǒng)計(jì)攻擊。已知認(rèn)證過(guò)程的多次映射的攻擊。

表1 基于隨機(jī)映射的生物特征模板保護(hù)方法的對(duì)抗攻擊能力對(duì)比

5 實(shí)驗(yàn)評(píng)估

本節(jié)測(cè)試了所提出的基于重加密的隨機(jī)映射指紋模板保護(hù)方法的性能。首先，測(cè)試了算法對(duì)指紋認(rèn)證準(zhǔn)確度的影響；然后，驗(yàn)證了算法具備的可撤銷性（模板不可鏈接性）和生成變換特征的動(dòng)態(tài)變化性（抵抗統(tǒng)計(jì)攻擊能力）；最后，對(duì)比分析了本文方案對(duì)生物特征認(rèn)證的存儲(chǔ)開(kāi)銷和計(jì)算復(fù)雜度的影響。

5.1 實(shí)驗(yàn)數(shù)據(jù)和環(huán)境

5.2 認(rèn)證性能

5.3 不可鏈接性測(cè)試

圖6 匹配準(zhǔn)確率

圖7 不可鏈接性測(cè)試結(jié)果

5.4 變換特征的動(dòng)態(tài)變化性測(cè)試

針對(duì)攻擊者從傳輸通道竊取多次變換特征，試圖進(jìn)行統(tǒng)計(jì)分析的攻擊，本文通過(guò)改進(jìn)隨機(jī)映射算法，在干擾噪聲的影響下，使每次認(rèn)證產(chǎn)生的變換特征具有動(dòng)態(tài)變化性。實(shí)驗(yàn)分別基于Fingercode特征、傳統(tǒng)隨機(jī)映射算法和本文方案（在變換域添加隨機(jī)均勻分布的噪聲）對(duì)變換特征的動(dòng)態(tài)變化性進(jìn)行對(duì)比測(cè)試，對(duì)每個(gè)手指的2個(gè)樣本生成生物特征模板，并利用歐氏距離測(cè)試模板間的差異性，針對(duì)100個(gè)手指得到的對(duì)比結(jié)果如圖8所示?？梢?jiàn)，本文方案生成的不同變換特征之間受隨機(jī)干擾噪聲的影響，差異性較大，因此，攻擊者無(wú)法通過(guò)獲取的變換特征實(shí)現(xiàn)統(tǒng)計(jì)攻擊。

圖8 認(rèn)證過(guò)程指紋變換特征差異性對(duì)比結(jié)果

5.5 復(fù)雜度分析

表2 基于隨機(jī)映射的生物特征模板保護(hù)方法存儲(chǔ)開(kāi)銷對(duì)比

表3 本文方案與無(wú)重加密機(jī)制的計(jì)算開(kāi)銷對(duì)比

6 結(jié)束語(yǔ)

針對(duì)基于隨機(jī)映射的生物特征模板保護(hù)方法存在的模板安全和密鑰管理問(wèn)題，本文在隨機(jī)映射后的變換特征中添加噪聲干擾域，通過(guò)子隨機(jī)映射矩陣的交叉融合生成模板；對(duì)隨機(jī)映射矩陣的管理則引入重加密機(jī)制實(shí)現(xiàn)密鑰的安全傳輸和存儲(chǔ)。實(shí)驗(yàn)結(jié)果表明本文方案對(duì)指紋認(rèn)證的準(zhǔn)確率和計(jì)算時(shí)間影響較小，生成的模板具有良好的不可鏈接性；同時(shí)，在認(rèn)證過(guò)程中能有效抵抗重放攻擊、相似性攻擊、交叉匹配攻擊等，具備較高的安全性。在應(yīng)用中，本文方案的認(rèn)證安全性不依賴于應(yīng)用端的可信度或第三方認(rèn)證；同時(shí)，對(duì)用戶與用戶終端綁定、用戶與用戶終端不綁定的場(chǎng)景均適用，在提高認(rèn)證隱私保護(hù)強(qiáng)度的同時(shí)具備良好的適用性。

未來(lái)的工作可以基于本文算法研究適用于其他類型的生物特征（如人臉、虹膜等）的安全認(rèn)證方案。此外，由于基于生物特征進(jìn)行身份認(rèn)證需要預(yù)先得知用戶身份，再使用該用戶的模板進(jìn)行認(rèn)證，具有一定的應(yīng)用局限性。因此，設(shè)計(jì)基于隨機(jī)映射的生物特征身份識(shí)別算法，即在識(shí)別過(guò)程中傳遞非用戶特定的參數(shù)進(jìn)行身份鑒定，也是未來(lái)值得研究的內(nèi)容。

[1] Cavoukian A, Stoianov A. Biometric encryption[M]. Boston, USA: Springer US, 2011: 90-98.

[2] Nagar A. Biometric template security[M]. Switzerland: Springer International Publishing, 2012.

[3] Sandhya M, Prasad M V N K. Biometric template protection: a systematic literature review of approaches and modalities[M]//Biometric Security and Privacy. Springer International Publishing, 2017: 323-370.

[4] Sandhya M, Prasad M V N K, CHILLARIGE R R. Generating cancellable fingerprint templates based on Delaunay triangle feature set construction[J]. IET Biometrics, 2016, 5(2): 131-139.

[5] Cavoukian A, Snijder M, Stoianov A, et al. Privacy and biometrics for authentication purposes: a discussion of untraceable biometrics and biometric encryption[M]//Ethics and Policy of Biometrics. Springer Berlin Heidelberg, 2010: 14-22.

[6] Boulgouris N V, Plataniotis K N, Micheli-Tzanakou E. Biometric encryption: the new breed of untraceable biometrics[M]. Biometrics: Theory, Methods, and Applications. John Wiley & Sons, Inc. 2009:655-718.

[7] Achlioptas D. Database-friendly random projections[C]//The 12th ACM SIGMOD-SIGACT-SIGART Symposium on Principles of Data Base Systems. 2001: 274-281.

[8] Ngo D C L, Teoh A B J, Goh A. Biometric hash: high-confidence face recognition[J]. IEEE Transactions on Circuits and Systems for Video Technology, 2006, 16(6): 771-775.

[9] Jin Z, Goi B M, Teoh A, et al. A two-dimensional random projected minutiae vicinity decomposition-based cancellable fingerprint template[J]. Security and Communication Networks, 2014, 7(11): 1691-1701.

[10] Teoh A B J, Yuang C T. Cancelable biometrics realization with multispace random projections[J]. IEEE Transactions on Systems, Man, and Cybernetics, Part B (Cybernetics), 2007, 37(5): 1096-1106.

[11] Wang Y, Plataniotis K N. An analysis of random projection for changeable and privacy-preserving biometric verification[J]. IEEE Transactions on Systems, Man, and Cybernetics, Part B (Cybernetics), 2010, 40(5): 1280-1293.

[12] Khan S H, Akbar M A, Shahzad F, et al. Secure biometric template generation for multi-factor authentication [J]. Pattern Recognition, 2015, 48(2): 458-472.

[13] Yang B, Hartung D, Simoens K, et al. Dynamic random projection for biometric template protection[C]// 2010 Fourth IEEE International Conference on Biometrics: Theory Applications and Systems (BTAS). IEEE, 2010: 1-7.

[14] Anzaku E T, Sohn H, Ro Y M. Multi-factor authentication using fingerprints and user-specific random projection[C]//2010 12th International Asia-Pacific Web Conference (APWEB). 2010: 415-418.

[15] Patel V M, Ratha N K, Chellappa R. Cancelable biometrics: a review[J]. IEEE Signal Processing Magazine, 2015, 32(5): 54-65.

[16] 張寧, 臧亞麗, 田捷. 生物特征與密碼技術(shù)的融合—一種新的安全身份認(rèn)證方案[J]. 密碼學(xué)報(bào), 2015, 2(2): 159-176.Zhang N, Zang Y L, Tian J. The integration of biometrics and cryptography-a new solution for secure identity authentication[J]. Journal of Cryptologic Research, 2015, 2(2): 159-176.

[17] Dasgupta S, Gupta A. An elementary proof of the Johnson-Lindenstrauss lemma[J]. International Computer Science Institute, Technical Report, 1999, 22(1): 1-5.

[18] Frankl P, Maehara H. The Johnson-Lindenstrauss lemma and the sphericity of some graphs[J]. Journal of Combinatorial Theory, Series B, 1988, 44(3): 355-362.

[19] Jassim S, Al-Assam H, Sellahewa H. Improving performance and security of biometrics using efficient and stable random projection techniques[C]//6th International Symposium on Image and Signal Processing and Analysis. 2009: 556-561.

[20] Arriaga R I, Vempala S. An algorithmic theory of learning: Robust concepts and random projection[C]//40th Annual Symposium on Foundations of Computer Science. 1999: 616-623.

[21] Blaze M, Bleumer G, Strauss M. Divertible protocols and atomic proxy cryptography[J]. Advances in Cryptology-EUROCRYPT'98, 1998: 127-144.

[22] Ahmed M, Hossain M A. Cloud computing and security issues in the cloud[J]. International Journal of Network Security & Its Applications, 2014, 6(1): 25.

[23] Liu S, Hu S, Weng J, et al. A novel asymmetric three-party based authentication scheme in wearable devices environment[J]. Journal of Network and Computer Applications, 2016, 60: 144-154.

[24] Pirker M, Slamanig D. A framework for privacy-preserving mobile payment on security enhanced arm TrustZone platforms[C]// 2012 IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). 2012: 1155-1160.

[25] 周阿轉(zhuǎn), 俞一彪. 采用特征空間隨機(jī)映射的魯棒性語(yǔ)音識(shí)別[J]. 計(jì)算機(jī)應(yīng)用, 2012, 32(07): 2070-2073.Zhou A Z, Yu Y B. Robust speech recognition by adopting random projection in feature space[J]. Journal of Computer Applications, 2012, 32(07): 2070-2073.

[26] Ateniese G, Fu K, Green M, et al. Improved proxy re-encryption schemes with applications to secure distributed storage[J]. ACM Transactions on Information and System Security (TISSEC), 2006, 9(1): 1-30.

[27] Xu Z, Xiong L, Xu Y. On the provably secure CEW based on orthogonal decomposition[J]. Signal Processing: Image Communication, 2014, 29(5): 607-617.

[28] Maio D, Maltoni D, Cappelli R, et al. FVC2000: fingerprint verification competition[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2002, 24(3): 402-412.

[29] Jain A K, Prabhakar S, Hong L, et al. Filterbank-based fingerprint matching[J]. IEEE transactions on Image Processing, 2000, 9(5): 846-859.

[30] 張玉清, 王曉菲, 劉雪峰,等. 云計(jì)算環(huán)境安全綜述[J]. 軟件學(xué)報(bào), 2016, 27(6):1328-1348.

Zhang Y Q, Wang X F, Liu X F, et al. Survey on cloud computing security[J]. Journal of Software, 2016, 27(6):1328-1348.

Fingerprint template protection by adopting randomprojection based on re-encryption

JIA Shan1,2, XU Zhengquan1,2, HU Chuanbo1,2, WANG Hao1,2

1. State Key Laboratory of Information Engineering in Surveying, Mapping and Remote Sensing, Wuhan University, Wuhan 430079, China 2. Collaborative Innovation Center for Geospatial Technology, Wuhan University, Wuhan 430079, China

In random projection (RP) based biometric template protection methods, the generated template and key are vulnerable to attacks, which may cause the leakage of users’ privacy. To solve this problem, an improved RP-based fingerprint template protection method was proposed. First, based on the RP result, the proposed method divided the projection domain into fingerprint matching domain and noise adding domain that were mutually independent, then fused them with two sub-matrices of the random projection matrix and saved the result as template. In addition, re-encryption mechanism was introduced to realize secure storage and transmission of the key (RP matrix). Experimental results show that the proposed method can achieve stronger ability to resist different attacks than existing RP-based biometric template protection methods, and also guarantee high matching accuracy and revocation.

fingerprint privacy protection, random projection, re-encryption, secure authentication

TP309.2

A

10.11959/j.issn.1000-436x.2018031

2017-09-05；

2018-01-13

徐正全，xuzq@whu.edu.cn

武漢市應(yīng)用基礎(chǔ)研究計(jì)劃基金資助項(xiàng)目（No.2017010201010114）；國(guó)家自然科學(xué)基金資助項(xiàng)目（No.41671443, No.41571426）；國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助項(xiàng)目（No.2011CB302306）

Applied Basic Research Program of Wuhan (No.2017010201010114), The National Natural Science Foundation of China (No.41671443, No.41571426), The National Basic Research Program of China (973 Program) (No.2011CB302306)

賈姍（1993-），女，山東萊蕪人，武漢大學(xué)博士生，主要研究方向?yàn)樾畔踩?、生物特征識(shí)別。

徐正全（1962-），男，湖北黃岡人，博士，武漢大學(xué)教授，主要研究方向?yàn)樾畔踩?、隱私保護(hù)、圖像處理等。

胡傳博（1989-），男，黑龍江哈爾濱人，武漢大學(xué)博士生，主要研究方向?yàn)橛?jì)算機(jī)視覺(jué)、空間信息處理。

王豪（1990-），男，河南駐馬店人，武漢大學(xué)博士生，主要研究方向?yàn)閿?shù)據(jù)挖掘、隱私保護(hù)。