徐文華，陳國(guó)華，黃國(guó)權(quán)

（廣東藥學(xué)院 醫(yī)藥信息工程學(xué)院，廣東 廣州 510006）

生物特征的穩(wěn)定性、唯一性及與實(shí)體間的固有聯(lián)系性為身份認(rèn)證提供了更安全、更便捷的途徑，同時(shí)，也帶來(lái)日益嚴(yán)峻的存儲(chǔ)和傳輸安全問(wèn)題[1]。生物特征保護(hù)問(wèn)題在國(guó)外已有不少的研究成果，在國(guó)內(nèi)最近也有相關(guān)的報(bào)道，主要有特征轉(zhuǎn)換[2]、生物特征加密[3]及結(jié)合成熟密碼方案三類方法[4-5]。

本文提出一種新的生物特征保護(hù)方法。其思想是通過(guò)哈希變換和分別傳輸以及異地存儲(chǔ)，使得敵手無(wú)法獲得用戶名與特征的關(guān)聯(lián)性，從而達(dá)到保護(hù)特征的目的。參考文獻(xiàn)[4-5]與該方法在形式上很相似，但兩者存在本質(zhì)的不同：前者是基于傳統(tǒng)密碼技術(shù)保護(hù)生物特征，其安全基礎(chǔ)是敵手無(wú)法獲得密鑰；而本文所提方法的安全基礎(chǔ)是敵手無(wú)法獲知特征與用戶名的對(duì)應(yīng)關(guān)系。這種差異性的形成原因在于前者直接把生物特征視為需要保密的數(shù)據(jù)進(jìn)行加密，而本文所提方法是在分析系統(tǒng)四構(gòu)成要素間信任關(guān)系和簽名功能分配的基礎(chǔ)上[5]，通過(guò)對(duì)用戶名與隨機(jī)數(shù)的單向轉(zhuǎn)換，在特征和用戶名的傳輸和存儲(chǔ)過(guò)程中采取分別傳輸和異地存儲(chǔ)的方式達(dá)到特征與用戶名分離的目的，從而實(shí)現(xiàn)“即使敵手獲得用戶密鑰，也不能冒充真實(shí)用戶”。

1 基于簽名方案實(shí)現(xiàn)特征保護(hù)

1.1 基于數(shù)字簽名方案實(shí)現(xiàn)聲紋特征的保護(hù)

1.1.1 注冊(cè)過(guò)程

（1）用戶 Ui選取 n=pq， 其中 p=2p′+1，q=2q′+1，|p|=|q|=512 bit，p、p′、q、q′均為素?cái)?shù)； 記 QRn為 Zn中的二次剩余構(gòu)成的群，隨機(jī)選取一個(gè)生成元h∈QRn。H（·）：{0，1}*→{0，1}256為一安全無(wú)碰撞的 Hash函數(shù)。 生成PK=（n，h，N），SK=（p，q）。

（2）用戶Ui產(chǎn)生其用戶名 IDi，并經(jīng)過(guò)哈希轉(zhuǎn)換后提交給模板庫(kù)，簽名過(guò)程中的簽名消息為用戶名的哈希值。傳感器端提取該用戶特征，并傳送至模板庫(kù)（模板庫(kù)雖然保存的是用戶的原始特征，但由于哈希函數(shù)的單向性，模板庫(kù)并不知道該特征對(duì)應(yīng)的用戶名）。傳感器端根據(jù)用戶名哈希值做的簽名一并存儲(chǔ)在模板庫(kù)中。用戶產(chǎn)生簽名消息的過(guò)程為：首先產(chǎn)生用戶名的哈希值，用戶Ui隨機(jī)選取一個(gè)長(zhǎng)為 257 bit的奇數(shù) e，且（e，φ（n））=1，計(jì)算 y 使得 ye=hH（ui）⊕emod n。 簽名消息 Sing=（e，y）。 注冊(cè)過(guò)程中用戶提交到模板庫(kù)的數(shù)據(jù)有：H（ui）、原始特征m及Sing三部分。

（3）服務(wù)提供端 S設(shè)置門限值值 λ。

1.1.2 認(rèn)證過(guò)程

傳感器端C首先提取特征m′，并提取該用戶模板庫(kù)中的特征驗(yàn)證 H（m′，m）=λ。如果是，則拒絕服務(wù)；否則，用戶提交用戶名稱Ui給服務(wù)提供端，服務(wù)提供端先對(duì)該用戶名做哈希變換，然后根據(jù)該哈希值向模板庫(kù)提取其簽名進(jìn)行驗(yàn)證。驗(yàn)證簽名時(shí)先驗(yàn)證e是否為257 bit的奇數(shù)，并根據(jù)用戶ID號(hào)向模板庫(kù)DB提取該用戶的注冊(cè)特征驗(yàn)證 ye=hH（ui）⊕emod n。 如果驗(yàn)證通過(guò)，則認(rèn)證成功，否則認(rèn)證失敗。

該方案具有以下特點(diǎn)：

（1）特征和用戶名分別傳輸。在注冊(cè)過(guò)程中，用戶向模板庫(kù)傳輸?shù)碾m然是原始特征，但用戶名稱經(jīng)過(guò)哈希變換，這種條件下不誠(chéng)實(shí)的模板庫(kù)無(wú)法獲得模板與特征的對(duì)應(yīng)關(guān)系。在認(rèn)證過(guò)程中，雖然用戶名是以明文發(fā)送至服務(wù)提供端，但在用戶與服務(wù)提供端之間并沒(méi)有特征的傳輸，因此，敵手獲得的僅僅是用戶名，而無(wú)法獲得特征與用戶名的對(duì)應(yīng)關(guān)系。這種情形會(huì)導(dǎo)致敵手可能存在的一個(gè)攻擊是通過(guò)一段時(shí)間的攻擊，敵手有可能獲得全部或部分用戶的用戶名或特征。但這種攻擊對(duì)于上述方案無(wú)法達(dá)到有效攻擊，因?yàn)檎J(rèn)證過(guò)程的最后一步仍然需要簽名的驗(yàn)證，而簽名過(guò)程使用了用戶自己產(chǎn)生的隨機(jī)數(shù)，這就意味著敵手無(wú)法偽造用戶的簽名，因此，這種攻擊無(wú)法奏效。

（2）特征和用戶名分別存儲(chǔ)。用戶認(rèn)證過(guò)程中H（m′，m）＞λ是由傳感器端完成，這個(gè)過(guò)程用戶與傳感器之間不存在信道傳輸。因此，用戶可以根據(jù)用戶名稱的哈希值從模板庫(kù)中提取注冊(cè)特征進(jìn)行距離的判斷。

（3）單向函數(shù)。模板庫(kù)存放了用戶的原始特征，但由于哈希函數(shù)的單向性，模板庫(kù)并不能知道這些特征所對(duì)應(yīng)的用戶。因此，對(duì)于不誠(chéng)實(shí)的模板庫(kù)，不能獲得用戶與特征的對(duì)應(yīng)關(guān)系。哈希函數(shù)安全性是本方案安全性的基礎(chǔ)。自20世紀(jì)90年代中期以來(lái)，有不少密碼分析學(xué)家對(duì)MD系列和SHA系列的函數(shù)提出了各種攻擊算法，尤其是2004年，我國(guó)學(xué)者王小云教授[6]找出 MD5的一個(gè)碰撞。這些攻擊算法對(duì)所有以哈希函數(shù)安全性為基礎(chǔ)的安全方案（比如簽名方案、認(rèn)證協(xié)議、MAC碼等）提出挑戰(zhàn)，但并不意味著目前的方案都已經(jīng)不安全。因?yàn)閺睦碚撋现v，所有的密碼體制都可以破解，關(guān)鍵是運(yùn)算時(shí)間的問(wèn)題。而目前對(duì)哈希函數(shù)的碰撞是指找出了比理論值更低的碰撞算法，在實(shí)際當(dāng)中，MD5仍然是可靠的。

1.2 存儲(chǔ)和傳輸安全性分析

本文從兩個(gè)角度考慮安全的含義：第一個(gè)是敵手或第三方不能獲得原始聲紋特征，這是比較直觀的理解；第二個(gè)是敵手或第三方不能獲得特征與用戶名之間的關(guān)聯(lián)性。

根據(jù)四個(gè)要素間（傳感器端、用戶端、服務(wù)提供端、模板庫(kù)）的信任關(guān)系，用戶信任傳感器端和服務(wù)提供端，因此把認(rèn)證的功能分配至這兩個(gè)要素。對(duì)于不被用戶信任的模板庫(kù)和信道，通過(guò)在不同信道（用戶與服務(wù)提供端、用戶、傳感器和模板庫(kù)）傳送用戶名和特征的方法使得敵手無(wú)法獲得兩者的關(guān)聯(lián)性。并且，用戶名稱是經(jīng)過(guò)哈希變換的形式，在存儲(chǔ)了原始特征的模板庫(kù)中無(wú)論是敵手還是不誠(chéng)實(shí)的模板庫(kù)都無(wú)法獲得兩者的關(guān)聯(lián)性。極端情況下，假設(shè)敵手獲得用戶的密鑰，在傳統(tǒng)密碼體制下，上述簽名是可冒充的，但本文所提方案中的簽名驗(yàn)證是 H（m′，m）≤λ的條件下進(jìn)行的。而對(duì)于敵手，由于無(wú)法滿足該條件 （敵手無(wú)法獲得用戶名與特征的關(guān)聯(lián)性），因此，也就無(wú)法進(jìn)入簽名驗(yàn)證過(guò)程。綜上所述，由于敵手無(wú)法獲得用戶與特征的關(guān)聯(lián)關(guān)系，因此，上述方案是安全的，即“即使敵手獲得用戶密鑰，也不能冒充真實(shí)用戶”。該方案的安全性是比較直觀的，下面分析該方案的有效性。

1.3 有效性分析

在解決模板保護(hù)的基本問(wèn)題下，方案的最終要求是能夠“有效地認(rèn)證”，有效性的定義是加入特征保護(hù)措施后，系統(tǒng)的識(shí)別率不會(huì)明顯低于加入前的，也就是不會(huì)惡化識(shí)別性能。本文所提方法在認(rèn)證過(guò)程中首先采用判據(jù) H（m′，m）＞λ，然后才是簽名方案能否通過(guò)驗(yàn)證。 因此，系統(tǒng)的最終識(shí)別率等于認(rèn)證過(guò)程第一步 H（m′，m）＞λ的識(shí)別率和系統(tǒng)對(duì)簽名驗(yàn)證通過(guò)率的乘積。

第一部分的概率分析為根據(jù)“同一個(gè)發(fā)音人在不同的時(shí)刻發(fā)同一個(gè)字具有足夠相似性”和“敵手不可能足夠相似地模仿發(fā)音人的發(fā)音”的基本假設(shè)。H（m′，m）＞λ的識(shí)別率等于原有系統(tǒng)的識(shí)別率，假設(shè)為 1-P（H（m′，m）＞λ）。

第二部分為簽名方案的通過(guò)率。在認(rèn)證過(guò)程中，認(rèn)證服務(wù)器根據(jù)用戶提交的用戶ID，向數(shù)據(jù)庫(kù)提取該用戶名哈希值所對(duì)應(yīng)的用戶名。這一過(guò)程驗(yàn)證公式y(tǒng)e=hH（ui）⊕emod n 中的 H（Ui）與簽名公式中的一致。 在認(rèn)證過(guò)程中，用戶使用的隨機(jī)數(shù)e與簽名過(guò)程產(chǎn)生的一致。這兩點(diǎn)實(shí)質(zhì)上保證了真實(shí)用戶的驗(yàn)證算法通過(guò)率為100%。因此，上述方案的最終識(shí)別率仍然等于1-P（H（m′，m）＞λ），也就是沒(méi)有惡化識(shí)別性能。

注意到上述過(guò)程中的一個(gè)現(xiàn)象是 H（m′，m）＞λ的判斷是個(gè)概率計(jì)算過(guò)程，真實(shí)用戶的驗(yàn)證通過(guò)率為100%。這是否說(shuō)明 “不管是否簽名驗(yàn)證，肯定是要通過(guò)認(rèn)證的”，同時(shí)意味著簽名驗(yàn)證過(guò)程是多余的呢？其實(shí)不然，上述100%通過(guò)驗(yàn)證是在真實(shí)用戶利用其真實(shí)參數(shù)去驗(yàn)證的結(jié)果，如果是非法用戶，則不能通過(guò)驗(yàn)證。

2 實(shí)驗(yàn)與分析

有效性的分析包括服務(wù)提供端 S驗(yàn)證 H（m′，m）＞λ和簽名驗(yàn)證。簽名驗(yàn)證是數(shù)學(xué)運(yùn)算，其通過(guò)率為100%。而 H（m′，m）＞λ的計(jì)算仍然屬于模式匹配，存在某個(gè)識(shí)別率，并且這個(gè)概率與是否采用簽名算法是不相關(guān)的。即這個(gè)概率與加入簽名前的識(shí)別率是相等的，這從邏輯關(guān)系上說(shuō)明了方案的有效性。

由于上述認(rèn)證過(guò)程既包括簽名驗(yàn)證，也包含模式匹配，使得耗時(shí)增加，因此實(shí)驗(yàn)部分需要驗(yàn)證系統(tǒng)驗(yàn)證H（m′，m）＞λ和簽名所需要的時(shí)間是否符合現(xiàn)實(shí)要求，通常在幾秒內(nèi)完成認(rèn)證為可接受的。實(shí)驗(yàn)所用計(jì)算機(jī)為奔騰2.4 GHz雙核CPU，1 GB內(nèi)存，Window XP操作系統(tǒng)，軟件平臺(tái)為Matlab7.0。語(yǔ)音樣本取自在CADCC （Chinese Annotated Dialogue and Conversation Corpus）、RASC863（863 Annotated 4 Regional Accent Speech Corpus）以 及CMSC （Continous Mandarin Speech Corpus）3 個(gè)語(yǔ)音數(shù)據(jù)庫(kù)，共選用100個(gè)樣本。其中50個(gè)為訓(xùn)練樣本，另外50個(gè)為測(cè)試樣本；每個(gè)樣本的長(zhǎng)度都為5 s～6 s。數(shù)據(jù)存儲(chǔ)格式都為16 kS/s采樣，16 bit，單聲道，WAV格式存儲(chǔ)。梅爾倒譜系數(shù) MFCC（Mel-Frequency Cepstrum Coefficients）特征階數(shù)為16階，每一幀的長(zhǎng)度為30 ms，幀移為10 ms。實(shí)驗(yàn)采用時(shí)間動(dòng)態(tài)規(guī)整DTW （Dynamic Time Warping）算法。素?cái)?shù)采用randprime（）函數(shù)產(chǎn)生，該函數(shù)可以隨機(jī)產(chǎn)生1到某給定大數(shù)之間的素?cái)?shù)。采用rsatest（）函數(shù)生成密鑰和簽名。

如上所述，在邏輯關(guān)系上本文所提方案加入數(shù)字簽名前后的識(shí)別率是相等的，滿足了有效性要求。實(shí)驗(yàn)所驗(yàn)證的是方案所需時(shí)間，整個(gè)認(rèn)證所需要的時(shí)間包括采用DTW算法判斷特征之間距離的時(shí)間和簽名算法的驗(yàn)證時(shí)間。特征間距離判斷采用50個(gè)訓(xùn)練樣本與50個(gè)測(cè)試樣本兩兩比較，以最小距離為認(rèn)證結(jié)果的方式計(jì)算認(rèn)證的總時(shí)間。實(shí)驗(yàn)結(jié)果為距離判斷的總時(shí)間為166 s。50個(gè)簽名驗(yàn)證所用時(shí)間為152 s。因此，整個(gè)系統(tǒng)完成50次認(rèn)證所需要的時(shí)間為（166+152）s，即 318 s。平均到每次認(rèn)證所需要的時(shí)間為6.36 s。這就說(shuō)明在上述實(shí)驗(yàn)環(huán)境下的認(rèn)證速度可以滿足用戶的需求，一般情況下，實(shí)際當(dāng)中的認(rèn)證服務(wù)器配置比實(shí)驗(yàn)所用機(jī)器的高。因此，本文所提方案在時(shí)間上也是滿足現(xiàn)實(shí)要求。

本文通過(guò)用戶名與特征不關(guān)聯(lián)的方法解決了聲紋認(rèn)證系統(tǒng)中的特征傳輸和存儲(chǔ)安全問(wèn)題。由于敵手無(wú)法獲得用戶與特征的對(duì)應(yīng)關(guān)系，因而該方法是安全的。邏輯分析和實(shí)驗(yàn)驗(yàn)證了方法的有效性，該方法在理論上提供了一種解決特征保護(hù)問(wèn)題的新思路，在現(xiàn)實(shí)中也能與現(xiàn)有認(rèn)證系統(tǒng)融合。

[1]JAIN A K， NANDAKUMAR K， NAGAR A.Biometric template security[J].EURASIP Jounmal on Advances in Signal Processing， Special Issucial on Biometrics.2008，2008（1）：1-20.

[2]徐文華，賀前華，李韜.基于MRP的可撤銷模板設(shè)計(jì)及其分析[J].電子學(xué)報(bào)，2009，37（12）：2792-2795.

[3]ULUDAG U， PANKANTI S， JAIN A K.Fingerprint template protection using fuzzy vault[C].ICCAS 2007，Portsmouth， UK：.Springer， LNCS 4707， Part III， 2007：1141-1151.

[4]XU W H，HE Q H，LI Y X，et al.Cancelable voiceprint templates based on knowledge signatures[C].ISECS 2008，Guangzhou， China： IEEE， 2008： 412-415.

[5]BRINGER J， CHABANNE H， POINTCHEVAL D， et al.Extended private information retrieval and its application in biometrics authentication[C].LNCS， 2007，175-193.

[6]王小云，馮登國(guó)，于秀源.HAVAL-128的碰撞攻擊[J].中國(guó)科學(xué)（E 輯），2005，35（4）：405-416.