基于低质量虹膜与热成像人脸的多模态模板保护算法

摘 要： 基于多模态融合的生物身份认证能够较大程度上克服单模态生物特征的存在的问题， 基于低质量虹膜和热成像人脸图像特征的融合具有较大的研究价值。多模态生物模板一旦泄露会造成更大的危害，有必要研究针对多模态的模板保护算法。首先将复数热成像人脸特征转换为二进制比特特征，在模糊承诺架构下，利用热成像人脸图像特征产生安全略图和生物密钥，用此生物密钥对低质量虹膜特征进行加密存储，达到安全保护模板的目的。实验表明，该多模态模板保护方法能够解决生物特征类内误差较大，不利于容错的问题，保障了认证效果又具有一定的安全性。分析了在部分生物特征泄露下，交叉匹配带来的安全性， 得出在有生物特征泄露的情况时，需要降低容错能力牺牲认证性能来换取安全性的结论。

关键词： 多模态； 低质量虹膜； 热成像人脸； 模糊承诺； 模板保护

中图分类号： TP391；TN911.73 文献标识码： A 文章编号：2095-2163（2013）03-0069-04

The Multibiometrics Template Protection Algorithm for Lower Quality Iris and

Thermal Face Image based on Fuzzy Commitment

WANG Ning， LI Qiong， NIU Xiamu

（School of Computer Science and Technology， Harbin Institute of Technology， Harbin 150080， China）

Abstract： Some problems of unimodal biometrics can be solved by multibiometrics， and it is valuable to implement the multibiometric system based on the lower quality dual iris， thermal face images. However， the threat is higher if leakage of the template of multibiometrcs. This paper converts the real thermal face image feature to binary initially， and then generates the secure sketch and biometric via binary thermal face image feature based on the fuzzy commitment scheme. The biometric key is used to encrypt the lower quality iris binary feature for securing the multibiometric template. The experimental results show that this approach can solve the problem of larger distance of intra-class of biometric feature template. And the system not only keeps higher verification performance， but also has the higher security. Furthermore， the paper also analyzes the security based on cross matching after the leakage of the part biometric thermal face feature. Meanwhile the paper obtains the conclusion of decreasing the error tolerance capability and sacrificing verification performance to enhance the system security.

Key words： Multibiometrics； Lower Quality Iris； Thermal Face Images； Fuzzy Commitment； Template Protection

0 引 言

基于生物特征的身份认证在现代社会中发挥着重要作用，然而由于单模态生物特征面临着诸如低普适性，低区分性，低安全性等问题，多模态生物认证作为一项新兴技术逐渐引起学者的广泛兴趣[1]。多模态生物认证的目的之一是提高区分性和普适性，因此在选择单模态时除了考虑认证性能之外，还需要考虑面向实际应用。另外，多模态的应用还旨在提高安全性，提高系统被恶意破解的难度。而且，多模态系统中又存储了多个生物特征模板，其安全性则显得更为重要，因为多模态生物特征模板一旦泄露，相对于单模态来说就会带来更大的安全问题[2]。考虑模板获取的便利性，面向实际应用以及防伪性等几个方面的因素，本文选择使用低质量虹膜和热成像人脸图像作为多模态的研究对象，着重从安全角度研究这种多模态系统下的模板保护问题。

现有的模板保护算法主要有模糊承诺和模糊金库两类。模糊承诺[3]主要利用纠错码对生物特征进行容错，并提取生物密钥，其主要的保护对象是二进制特征。模糊金库[4]主要利用多项式开展生物特征运算，生成真实点，并将杂凑点与之进行混淆，达到安全保护的目的，其主要的保护对象是基于细节点的特征。

由于本文涉及到的低质量虹膜是二进制特征，热成像人脸特征是复数特征，且低质量虹膜特征类内误差本身就比较大，不能很好地使用容错算法，无法直接使用模糊承诺的模板保护方法。针对以上问题，本文提出了一种多模态模板保护方案，较好解决了这一问题。

1 多模态模板保护方法

1.1 方法架构第3期 王宁，等：基于低质量虹膜与热成像人脸的多模态模板保护算法 智能计算机与应用 第3卷

本文针对低质量虹膜、热成像人脸图像融合系统设计的多模态模板保护方案的示意图如图1所示。方案主要包括两个部分，注册阶段和认证阶段。

图1 多模态模板保护方案

protection scheme 在注册阶段，首先使用混沌系统[5]为每个用户分配随机密钥k，以保证密钥选取的随机性。应用此密钥以及混沌的方式对虹膜的二进制比特特征进行加密，得到加密后的虹膜特征EL，并将其存储在数据库中，同时还要存储密钥k的哈希值H=hash（k）。另外，对于热成像人脸图像的复数特征来说，首先将其转换成二进制比特特征BT，将BT与使用密钥k进行BCH纠错码（Error Correcting Code，ECC）编码后得到的码C进行异或操作，得到相应的安全略图W，并将其存储在系统数据库中。总的来说，在注册阶段，为每个用户存储了向量（H，El，W）作为模板。

在认证阶段，得到了待进入系统的生物特征，这里假设已经通过了假样本检测的验证。首先对热成人脸图像特征FT′，使用同样的方法进行二进制比特特征的转换，得到BT′，从模板库中取出安全略图W，计算异或值C′=BT′W，则C′含有人脸特征的模糊性，通过BCH纠错码的解码过程解出此纠错码C′对应的信息位，也就是密钥k′。此时，比较k′与k的哈希值H′=hash（k′）与H′=hash（k），如不相等，直接认为是类间用户；如若相等，则继续利用采集到的低质量虹膜特征L′，与使用密钥k′正确解密以后的虹膜特征L进行匹配，对得到的分数值适当选择系统阈值，再次判断类内与类间用户，得到相应的结果。

1.2 混沌加密

由于混沌系统具有加密实效快，能产生比较均匀的随机数的特点[5]，本文选择使用Ahmed等人[6]提出的通过使用局部映射和耦合的方法，构造不同的单向耦合映象格子（One-way coupled map lattice，OCML）时空混沌系统，来产生密钥，以及对低质量虹膜比特向量进行加密。一个基于混沌Logistic的OCML可以由式（1）给出。

（1）

其中，hm（i）表示状态变量，i=1，2，…，L∈N，L指的是在时间m=0，1，…，T-1中的耦合格子，T表示生物特征的维数，τ∈[0，1]是耦合常量，这里使用τ=0.02。OCML的周期边界条件为hm（0）=hm（L），f（.）是局部混沌映射，由式（2）给出，

（2）

基于式（1）定义的OCML，针对生物特征的加密可以表示为Cm（i）=Biom（i）keym（i），且，keym（i）=int[hm（i）*2α]mod2β。其中，α和β均为整数。

1.3 实数特征至二进制的转换

将用实数表示的生物特征转换为二进制比特特征的方法有很多[7-8]，目前没有文献指出哪种方式是最好的。本文采用Nagar等人[2]给出的实数转换成二进制比特的方法。由于需要操作的是人脸特征复数Gabor Jet Descriptor形式的特征[9]，因此将实部与虚部分开进行操作，均转换成二进制比特向量以后，再按照实部在前、虚部在后的方式串联结合。具体过程如下：

首先，获得实数特征的训练集合测试集，并对其归一化到[0，1]之间，再将[0，1]区间分成N+1个小区间。这里，N是对特征向量中的每个实数特征期望所用的比特向量的长度，区间的划分按照L=[0，1/N）∪...∪[1-1/N，1.1）所示的方式进行，为了便于后续操作，可将最后的值定为1.1。

其后，寻找实数特征落在向量区间组合L中的区间号I，进而计算Z=I-2，并利用整数构造该实数特征元素对应的维数为N的二进制向量B，B的前N-Z个比特为“1”，后Z个比特为“0”。相应地，特征向量中，所有的实数元素都映射成二进制比特向量，按照先后顺序串联而成最终的二进制比特特征向量。

然后，需要从这些比特向量中，选择有价值的比特进行使用，评价的标准是比特位的身份鉴别效果，也就是说对于每一个比特位，找到模板和对应的测试集，通过实验得到对应的FMR和FNMR，再将所有比特依据diff=|FMR-FNMR|按照由低到高排序。

最后，则是根据排序完成的比特特征，选择向量长度进行遍历，找到认证性能最好的特征长度，形成最终的比特特征，并记录这些比特特征对应的排序前位置，留待下次使用。

1.4 安全性分析

对基于模糊承诺的多模态生物特征融合的模板保护算法的安全性分析是非常必要的、更是重要的，不仅要分析模板整体泄露前的安全性，更要分析部分生物特征的模板泄露后，系统还存留多大程度的安全性。

假设攻击者现在拥有NI个可以用来攻击系统中多生物模板的比特向量，目的是安全略图w。用be表示长为N的多模态生物特征模板，对于攻击者提供的二进制特征向量bi，可以得到纠错码ci=wbi。为了讨论的严密性，设生物特征有r个最鲁棒的比特，记bre，bri及cri分别为be，bi和ci的鲁棒部分，ρri为bre和bri之间的距离。bi与be之间的差值，一部分是鲁棒向量的差值，记为ρri，一部分用（N-r）/2表示。

根据纠错码的相关原理，bi与be之间的差，与纠错码的码距Dmin=2t+1有密切关系，t表示ECC 的纠错能力，分以下两种情况讨论：

（1） 当（N-r）/2+ρri≤t时，攻击者利用纠错码的解码功能，即可以完成对真实用户的生物特征be的攻击，成功进入系统。

（2） 当（N-r）/2+ρri>t时，攻击者如果想通过这种方式进入系统，必须预测足够的比特位，以满足小于等于纠错能力的要求。记mri=t-（N-r）/2是攻击者需要预估的比特位数，0≤mri

mirr

mir。

一般情况下，最为常见的安全性，则是类内与类间用户在进行交叉匹配认证过程中产生的。这时，对于系统中已经注册过的用户bg，并考虑特征向量的不均匀分布特性，又依据香农熵原理，部分特征泄露后，模糊承诺框架的安全性的计算方法则如式（3）所示。

2 实验结果

首先给出该算法在不同纠错码下，得到的认证性能和安全性能，具体如表1所示。

表1 应用不同BCH纠错码的模板保护算法的认证和安全性能

Tab.1 The verification and security performance after using different BCH codes

n k t t/n FMR（%） HF（%） GMR（%） HG（%） En（bit） HE（bit）

255 9 63 0.25 ε 99.47 91.63 100 64.07 0.02

255 13 59 0.23 ε 97.55 87.21 100 71.46 0.15

255 21 55 0.22 ε 91.09 81.86 100 79.53 0.66

255 29 47 0.18 ε 55.89 66.74 99.77 99.92 4.92

255 37 45 0.18 ε 44.14 62.09 99.77 106.3 7

255 45 43 0.17 ε 32.71 56.05 99.77 113.1 9.49

255 47 42 0.16 ε 27.46 52.79 99.77 116.8 10.9

511 10 127 0.25 3.64 100 99.53 100 38.97 0

511 19 119 0.23 0.94 100 99.30 100 51.74 0

511 28 111 0.22 0.20 100 99.07 100 65.1 0

511 31 109 0.21 0.13 100 99.07 100 68.53 0

511 40 95 0.19 ε 99.99 94.19 100 93.63 0.03

511 49 93 0.18 ε 99.96 92.79 100 97.38 0.08

511 58 91 0.18 ε 99.85 91.86 100 101.2 0.18

511 67 87 0.17 ε 99.15 89.07 100 108.9 0.72

511 76 85 0.17 ε 98.32 87.44 100 112.8 1.26

511 85 63 0.12 ε 24.58 58.37 99.77 159.9 34.2

511 94 62 0.12 ε 21 54.65 99.77 162.3 36.7

由于得到的二进制比特向量的长度为408，因此对于255长度的纠错码，需要使用两个，对于511的纠错码则只需要一个即可。由表1可以看出，随着纠错码的降低，错误匹配率（FMR）也逐渐降低，表1中ε=2.736×10-3，从纠错码长度为511来看尤为明显。另外，类内用户的真匹配率（GMR）也在下降，主要是由于纠错能力的降低，使得类内之间的错误并不能纠正过来；然而安全性En却逐渐在升高，这是因为，类间的错误也需要猜测更多的比特才能满足纠错的要求。

表1还给出了，在有一半生物特征泄露后，模板保护算法的身份认证性能有所提高，比较HF与HG就可以得出此结论，然而安全性能却有所下降，可以比较HE而获知。然而，部分生物模板泄露后，随着纠错能力的降低，安全性反而逐渐升高，这是因为类间的错误由于纠错能力降低的缘故，攻击者需要猜测更多的比特，以达到攻击成功的目的。

综合表1给出的身份认证和安全性能的指标，最后选择BCH纠错码（511，40，95）来实现系统，得到基于模糊承诺架构，低质量虹膜和热成像人脸图像特征的多模态模板保护算法的身份认证性能为FMR=2.736×10-5，GMR=94.19%，并在交叉匹配的过程中，具有93.63比特的香农熵。

3 结束语

本文旨在设计基于低质量虹膜和热成像人脸图像特征，这种多模态融合系统的模板保护算法，针对低质量虹膜类内误差大，热成像人脸图像复数特征等问题，设计了该多模态模板保护算法。首先将热成像复数人脸特征转换为二进制比特特征，利用混沌的方式产生密钥得到安全略图和生物密钥，并利用此密钥加密低质量虹膜特征。实验结果表明， 随