李國建，許 杰

（1.海軍駐成都地區(qū)通信軍事代表室，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

多生物特征識別在網(wǎng)絡(luò)安全中的應(yīng)用*

李國建1，許 杰2

（1.海軍駐成都地區(qū)通信軍事代表室，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

多生物特征識別在網(wǎng)絡(luò)安全中具有巨大的研究價值，能有效提高網(wǎng)絡(luò)信息系統(tǒng)的安全性。通過介紹指紋、虹膜、面部識別、聲音、掌紋、簽名、擊鍵識別等生物識別技術(shù)，在分析說明多生物特征識別不易丟失、安全性強、事后便于查詢等優(yōu)點的基礎(chǔ)上，給出多生物特征識別在網(wǎng)絡(luò)安全系統(tǒng)的密鑰發(fā)布、密鑰綁定以及身份認(rèn)證中的具體應(yīng)用方法，以期為提高信息網(wǎng)絡(luò)的安全性提供新的思路。

多生物特征；特征識別；密鑰；身份認(rèn)證

0　引 言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益凸顯，人們對網(wǎng)絡(luò)安全的要求也越來越高。傳統(tǒng)的網(wǎng)絡(luò)安全防護和認(rèn)證手段已不能抵御日益復(fù)雜的攻擊手段。生物識別技術(shù)以其獨有的特點和優(yōu)勢得到了各方面的關(guān)注，特別是在國家安全、信息安全等領(lǐng)域。因此，在抵御新型網(wǎng)絡(luò)攻擊手段、提高網(wǎng)絡(luò)的安全性方面，生物識別技術(shù)具有巨大的研究和應(yīng)用價值。

傳統(tǒng)的身份認(rèn)證技術(shù)如口令、條形碼、智能卡、射頻卡等，都是通過“你有什么？”或“你知道什么？”來進行身份驗證。這些技術(shù)容易被攻破、偽造、丟失、遺忘、不便于攜帶，非常不安全，且并不能保證認(rèn)證到合法用戶本身。

生物識別認(rèn)證技術(shù)[1]是指通過獲取人類特有的生物特征來對個人身份進行識別和鑒定。生物特征可分為兩大類：生理特征和行為特征，如圖1所示。生理特征指的那些與生俱來、若無特殊因素不會導(dǎo)致后天變化的特征，如人臉、指紋、掌紋、虹膜、聲音等；行為特征是人后天習(xí)慣養(yǎng)成的行為習(xí)慣，如簽名筆跡、走路姿態(tài)、擊鍵節(jié)奏等。與傳統(tǒng)身份認(rèn)證技術(shù)相比，生物識別認(rèn)證技術(shù)具有隨身攜帶、不會丟失、安全性強、事后便于查詢確認(rèn)等優(yōu)點。

圖1　常用生物識別特征

單一生物特征識別總存在難以避免的噪聲樣本，信息單一，檢查數(shù)據(jù)易受環(huán)境影響的局限性，難以滿足應(yīng)用的需求。多生物特征識別能有效克服這些缺點，并滿足用戶的多種安全需求。本文在分析各主流生物識別技術(shù)特點和多生物特征識別的關(guān)鍵技術(shù)的基礎(chǔ)上，給出了多生物特征識別在網(wǎng)絡(luò)安全中應(yīng)用的思路，并以密鑰發(fā)布、密鑰綁定和身份認(rèn)證為例給出了具體應(yīng)用方法。本文提出方法為有效改進和提高網(wǎng)絡(luò)信息系統(tǒng)的安全性提供了新的思路。

1　生物識別技術(shù)

1.1指紋

通過分析指紋的特征，如嵴、谷、終點、分叉點或分歧點，從而抽取特征值，通過指紋特征值的比對來確認(rèn)身份。指紋識別是目前應(yīng)用最廣泛、價格最低廉的一種生物識別認(rèn)證技術(shù)。它是一種接觸性技術(shù)，采集比較穩(wěn)定。目前，該技術(shù)已廣泛應(yīng)用于廉價個人電子設(shè)備上，如電腦、手機等。然而，該技術(shù)可被輕易偽造[2]。

1.2虹膜

虹膜[3]是眼睛瞳孔內(nèi)一種織物狀的各色環(huán)狀物。每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細絲、斑點、結(jié)構(gòu)、凹點、射線、皺紋和條紋等特征的結(jié)構(gòu)。這些結(jié)構(gòu)在胎兒發(fā)育階段形成后，在整個生命歷程中將保持不變。這些特征決定了虹膜的唯一性，同時也決定了身份識別的唯一性。虹膜識別具有精度較高的優(yōu)點，但虹膜識別需要分辨率較高的攝像頭和合適的光學(xué)條件，成本較高。美國軍方在過去至少十年中已經(jīng)使用了虹膜掃描技術(shù)，而全世界很多機構(gòu)的身份認(rèn)證系統(tǒng)已經(jīng)使用眼模作為標(biāo)識。

1.3面部識別

人與人的辨識不是通過指紋、掌紋、虹膜等，而是通過對人面部的識別實現(xiàn)的。因此，在眾多生物識別技術(shù)中，人臉識別最具有吸引力。它最直觀、最自然、符合人的認(rèn)知規(guī)律[4]。

面部識別具有如下特點：

（1）非接觸：用戶接受度高。攝像頭已非接觸方式自動獲取人臉，完成人臉識別過程；

（2）突出：人臉是最直觀的信息源，“以貌取人”符合人的認(rèn)知規(guī)律，同時也方便后續(xù)人工確認(rèn)，且具備再利用等優(yōu)勢；

（3）識別速度快，不易被察覺：與其他生物識別技術(shù)相比，人臉識別屬于一種自動化技術(shù)，1 s內(nèi)可以識別多次。不被察覺的特點不會令人反感。

（4）不易仿冒：識別對象必須親臨現(xiàn)場，他人無法仿冒，且面部識別具有活性判斷能力，保證他人無法以非活性的照片、木偶、蠟像乃至人頭欺騙。

（5）易變性：人臉的外形不穩(wěn)定，人可以通過臉部的變化產(chǎn)生很多表情。不同的觀察角度，人臉的視覺圖像差別也很大。另外，人臉識別還受到光照條件、遮蓋物、年齡等多方面因素的影響。

1.4聲音

聲音識別[5]是一種行為識別技術(shù)，聲音識別設(shè)備不斷地測量、記錄語音的波形和變化。語音識別基于現(xiàn)場采集的語音與登記過的語音模板進行精確匹配。聲音識別也是一種非接觸識別技術(shù)，用戶可以很自然地接受。多年來，許多機構(gòu)已經(jīng)使用這種技術(shù)。2016年，英國匯豐銀行宣布使用Nuance公司的聲紋識別系統(tǒng)，認(rèn)證信息來自手機和固定電話。英國寬帶提供商TalkTalk也宣布使用聲紋識別系統(tǒng)。但是，語音識別的穩(wěn)定性較差，容易被欺騙，識別率有待提高。

1.5掌紋

掌紋[6]是指手指末端到手腕部分的手掌圖像?？捎玫奶卣饔兄骶€、皺紋、細小的紋理、脊末梢、分叉點等。掌紋識別也是一種非接觸性識別技術(shù)，用戶容易接受。20世紀(jì)80年代，一些高安全級的機構(gòu)開始使用該技術(shù)。由于人類的手掌相似度較高，因此，該技術(shù)被視為雙因素或多因素認(rèn)證時的輔助，而不是主要認(rèn)證形式。

1.6簽名

簽名筆跡特征含有生物特征、心里特征和社會語言學(xué)特征[7]。簽名主要通過生物特征中的行為特征表現(xiàn)出來，不能完全排除心理特征和社會語言學(xué)特征的跡象。簽名作為身份識別的方法，有良好的心里基礎(chǔ)，易于接受。靜態(tài)簽名方便、快速、幾乎沒有成本；動態(tài)簽名不易模仿，即行為動力學(xué)特征不易模仿和被盜。靜態(tài)簽名易于模仿和偽造；動態(tài)簽名設(shè)備成本高。簽名識別技術(shù)受工具、心情、心理等影響，具有不穩(wěn)定。

1.7擊鍵識別

這是一種行為特征識別技術(shù)。每個人都有獨特的打字節(jié)奏，這些節(jié)奏特征有：

（1）擊鍵的時間規(guī)律：擊鍵時間間隔，擊鍵持續(xù)時間，擊鍵輸入速度，擊鍵錯誤頻率等；

（2）擊鍵習(xí)慣：使用鍵盤額外按鍵的習(xí)慣，如使用數(shù)字鍵盤、大寫字母的輸入方式等。

擊鍵識別如果和密碼等其他識別手段相結(jié)合，這種多生物識別認(rèn)證將極難偽造[8]。

2　多生物特征識別

單一生物特征識別模式主要有三個過程：提取特征、匹配模板、決策。多生物特征需要對多個生物特征進行融合，根據(jù)融合的層次不同，可分為四層：傳感器層融合、特征層融合、匹配層融合和決策層融合。

（1）傳感器層融合：各生物識別傳感器獲得生物特征的原始數(shù)據(jù)，通過多層次、多方面的處理和集成，從集成后的新數(shù)據(jù)中可以提取出有用的特征。

（2）特征層融合：根據(jù)特征向量集進行不同生物特征輸入，如圖2所示。高維特征向量是通過不同的特征向量進行相對的構(gòu)建，通過高維向量特征標(biāo)識多生物多種融合。經(jīng)試驗驗證，特征層融合比其他融合效率更高，但難度也更大。

圖2　特征層融合

（3）匹配層融合：每個生物特征有對應(yīng)模塊來輸出其對應(yīng)分?jǐn)?shù)，輸出分?jǐn)?shù)由匹配層的融合模塊進行數(shù)值歸一化處理，通過歸一化后進行融合。匹配層融合實現(xiàn)難度較小，可融合多個特征的數(shù)據(jù)信息，如圖3所示。

圖3　匹配層融合

（4）決策層融合：首先對每個不同的生物特征進行單獨特征處理；再通過歸一化處理匹配分?jǐn)?shù)；最后在決策層進行融合。通過將多個生物特征匹配結(jié)果通過融合算法進行綜合融合，得到最終匹配結(jié)果。決策層融合技術(shù)相對簡單，但經(jīng)過該層次融合后可以提高系統(tǒng)效率。決策層將單個生物認(rèn)證邏輯的輸出作為輸入。它可以通過兩種方式進行融合。第一，AND（與邏輯）。識別過程中，只有生物子系統(tǒng)B1和B2同時匹配成功，用戶身份才能被認(rèn)證；反之，只要B1和B2中有任意一個沒有匹配成功，則身份認(rèn)證失敗。第二，OR（或邏輯）。識別過程中，只要生物子系統(tǒng)B1和B2中有一個匹配成功，用戶身份就能被認(rèn)證；反之，當(dāng)B1和B2全部匹配不成功時，則用戶身份認(rèn)證失敗，如圖4所示。

圖4　決策層融合

3　多生物特征在網(wǎng)絡(luò)安全中的應(yīng)用

利用多生物特征識別技術(shù)與密鑰結(jié)合，可有效提高網(wǎng)絡(luò)信息系統(tǒng)的完整性、機密性、可用性、可控性、不可抵賴性。下面從加密數(shù)據(jù)通信的兩個關(guān)鍵點進行說明。

第一，生物密鑰發(fā)布。當(dāng)一個合法用戶（比如，“愛麗絲”）想要訪問特定的加密內(nèi)容時，她通過生物采樣設(shè)備向系統(tǒng)提供其生物特征。如果輸入生物特征與數(shù)據(jù)庫中登記的生物特征匹配成功，密鑰會被發(fā)布。利用該密鑰可以成功訪問加密的內(nèi)容。如果非法用戶試圖訪問同一加密內(nèi)容時，因無法得到愛麗絲的生物特征，將無法得到密鑰導(dǎo)致訪問失敗。通過該方法可以達到對密鑰的保護目的，如圖5所示。

圖5　生物密鑰發(fā)布

第二，生物密鑰綁定。核心思想是在數(shù)據(jù)庫中僅存儲生物模板的哈希值，而不是實際模板的哈希值，且該生物模板可撤銷。生物模板的哈希值使用某單一散列函數(shù)計算。該哈希值僅通過生物模板無法還原原始生物樣本數(shù)據(jù)。因此，即使模板哈希數(shù)據(jù)庫出現(xiàn)泄漏，也不會出現(xiàn)安全問題。為了避免密鑰和生物模板的分離存儲，可以使用安全可信的位替換算法，利用密鑰替換生物模板中特征值的有效位，使兩者進行有效集成。集成后的數(shù)據(jù)使得攻擊者無法通過木馬來損害生物認(rèn)證系統(tǒng)，以達到獲取密鑰的目的，如圖6所示。

圖6　生物密鑰綁定

可見，通過多生物特征識別技術(shù)可以有效提高密鑰的安全性，從而有效保證數(shù)據(jù)傳輸?shù)陌踩?。在認(rèn)證系統(tǒng)中，可以考慮將傳統(tǒng)口令與鍵盤擊鍵識別結(jié)合的方法，在輸入口令的同時對用戶的行為特征進行采樣識別。這樣節(jié)省了生物特征輸入設(shè)備，可在用戶沒有察覺的情況下進行行為識別。同時，這種友好的方式也更易被用戶接受，提高了系統(tǒng)的認(rèn)證效率和準(zhǔn)確性。

4　結(jié) 語

生物識別技術(shù)具備防偽性好、不易丟失、便于攜帶的特點，是當(dāng)今世界上最為安全和完備的身份認(rèn)證技術(shù)。多生物特征認(rèn)證技術(shù)相對于單一生物特征識別具有更好的識別性和可靠性。本文在分析多生物特征識別技術(shù)優(yōu)點的基礎(chǔ)上，給出了多生物特征識別在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用的方法，為提高網(wǎng)絡(luò)信息安全系統(tǒng)的安全性給出了新的思路。

[1] Wikipedia.Biometrics[EB/OL].[2016-04-09].https:// en.wikipedia.org/wiki/Biometrics.

[2] Wikipedia.Fingerprint Recognition[EB/OL].[2016-04-09].https://en.wikipedia.org/wiki/Fingerprint_ recognition.

[3] Wikipedia.Iris Recognition[EB/OL].[2016-04-07]. https://en.wikipedia.org/wiki/Iris_recognition.

[4] Wikipedia.Facial Recognition System[EB/OL].[2016-04-10].https://en.wikipedia.org/wiki/Facial_recognition_ system.

[5] Wikipedia.Voice Analysis[EB/OL].[2016-04-11].https:// en.wikipedia.org/wiki/Voice_analysis.

[6] Wikipedia.Hand Geometry[EB/OL].[2016-04-08]. https://en.wikipedia.org/wiki/Hand_geometry.

[7] Wikipedia.Handwritten Biometric Recognition [EB/ OL].[2016-04-12].https://en.wikipedia.org/wiki/ Handwritten_biometric_recognition..

[8] Wikipedia.Keystroke Dynamics[EB/OL].[2016-04-10]. https://en.wikipedia.org/wiki/Keystroke_dynamics.

[9] A.A.ROSS,K.NANADAKUMA.Handbook of Multibiometrics[M].New York:International series on Biometrics Springer,2006.

李國建（1976—），男，碩士，工程師，主要研究方向為通信與信息安全；

許 杰（1978—），男，博士，工程師，主要研究方向為信息安全與大數(shù)據(jù)。

Application of Multimodal Biometric Authentication in Network Security

LI Guo-jian1, XU Jie2
1.Naval Communications Representative Office in Chengdu District, Chengdu Sichuan 610041, China; 2.No.30 Institute of CETC, Chengdu Sichuan 610041, China）

Multimodal biometric authentication is of great research value in network security, and it can effectively improve the security of network information system. Based on introduction of fingerprint, iris, face recognition, voice, palmprint, signature, keying recognition and other biometric technologies, characters of multimodal biometric authentication are described and analyzed, such as not easy to lose, strong security, easy to inquiry, etc.. This article proposes a specific application of multi-modal biometric authentication in key distribution, key binding and identity authentication of network security system, and all this could provide a new idea for improving the security of information network.

multimodal biometric; biometric authentication; key; identity authentication

National Natural Science Foundation of China（No.61309034）

TP309

A

1002-0802(2016)-08-01068-05

10.3969/j.issn.1002-0802.2016.08.021

2016-04-18;

2016-07-20

date:2016-04-18;Revised date:2016-07-20

國家自然科學(xué)基金項目（No.61309034）