基于随机变换和动态映射的可撤销模板设计*

贺前华 朱华虹 朱铮宇

(华南理工大学电子与信息学院，广东广州510640)

生物特征识别技术是当前身份认证的重要研究内容之一，在金融、公安、军事等领域具有广阔的应用前景．人的生物特征具有唯一性和稳定性，且涉及个人隐私，一旦泄露将造成灾难性的后果．一些研究［1］已经证明，一个完整的指纹可以通过细节点进行重建，类似的重建同样可以应用于其他生物特征识别技术，因此生物特征模板的存储和传输安全成为一个重要而有价值的研究课题［2-3］．

目前，生物特征模板保护主要针对特征模板的可撤销性、多样性、性能保持、安全性等问题进行研究［4］，根据不同的生物特征、识别技术及应用场合提出了相应的算法．基于随机映射的方法在一定程度上能克服生物特征数据内在的模糊性，产生可撤销的模板且在变换域对匹配算法限制较少而具有较好的鲁棒性，在指纹、虹膜、人脸等图像类特征模板保护中得到广泛的应用［5-7］．Teoh 等［8］首先提出了多空间随机映射的方法，使用用户的伪随机数产生随机矩阵，将不同用户的特征映射到不同子空间，通过双因子的认证机制来提高安全性．在此基础上，徐文华等［9］提出了基于多子空间映射的可撤销模板保护方法，将声纹特征正交变换后在变换域进行模型训练和匹配，实现了可撤销模板的设计目标，但缺乏可撤销性和安全性的理论分析与证明．

传统的随机映射方法存在线性变换泄漏特征信息、无法保证变换的区分度、过于依赖密钥矩阵等缺点［6］，安全性无法保证．一些研究也指出［10］:同一用户在不同应用中使用同一正交矩阵或其垂直划分子矩阵Ri与生物特征进行内积计算产生模板，敌手可利用这些模板进行爬山攻击、伪装攻击，从而破解系统．

基于矢量量化(VQ)算法的声纹识别方法具有存储空间小、训练时间短等优点［11］，且目前的声纹模板保护方法也主要针对 VQ进行研究［9，12］．为此，文中提出了基于随机变换和动态映射的可撤销模板设计方法:在注册阶段，对经过随机变换后的注册声纹特征进行码本训练，并采用动态映射将码字映射至不同的随机空间;在认证阶段，先对认证声纹特征进行与注册阶段相同的随机变换，将其映射至码字所在的随机空间再进行识别．文中还分析了该方法的身份认证性能保持、可撤销性、安全性和计算复杂度，并通过仿真实验验证了该方法的有效性．

1 可撤销的声纹模板设计

1．1 动态映射

传统基于随机映射的模板保护方法是以原始特征矩阵与随机矩阵的内积作为模型训练的输入，将原始特征映射至随机空间实现特征保护．但该方法存在泄漏特征信息、易于被敌手利用而不够安全的缺点．为此，文中提出了一种动态映射的方法，将用户的码字映射至不同的随机空间，其中随机矩阵的选择依赖于原始码字中每个元素的值，不同的码字使用不同的随机矩阵进行动态映射，从而加强特征和密钥之间的绑定关系，增加变换的不确定性以提高安全性．动态映射的算法步骤如下:

(1)采用文献［9］方法生成m个不同的随机正交矩阵Q(Q ∈Rd×n，1≤ ≤m，d=n，m为码本大小);

(2)将码本中的元素划分为不重叠的m个区间，记为Fj=j(1≤j≤m)，其阈值为fj;

(3)设 g=(g1，g2，…，gi，…，gm)，gi为动态矩阵索引号，码字为d维随机矢量，将码字=(，，…)T中的d个元素分别与m个区间的阈值进行比较，含有码字元素最多的区间序号Fj作为该码字对应的矩阵索引号gi;

1．2 基于随机变换和动态映射的声纹模板

模板保护的可撤销性不仅要求模板泄漏后可以重新生成新模板，还要求重新使用的模板与被泄漏的模板之间具有足够的区分度，即敌手使用不同随机矩阵生成的特征或旧模板进行冒充攻击时，系统应该拒识．而此项研究尚未见报道，现有的随机映射方法也无法从理论上保证模板之间具有较好的区分度．为解决该问题，文中首先对声纹矢量进行随机变换，再训练码本，即声纹特征加上一个随机矢量，该随机矢量的每个分量需大于系统阈值t，以保证可撤销性．然后将训练的码字动态映射至不同的随机空间，认证声纹特征经过相同变换后被映射至码字所在的随机空间再进行识别．图1为基于随机变换和动态映射的声纹认证系统结构，该系统包括注册和认证两个阶段．系统中的声纹特征用美尔倒谱系数(MFCC)［11］表示，采用VQ算法进行特征匹配．

图1 基于随机变换和动态映射的声纹认证系统结构Fig．1 Structure of voiceprint authentication system based on random transformation and dynamic projection

注册阶段的步骤如下:

(2)对声纹特征矢量xkj进行随机变换，即

(3)使用 LBG(Linde-Buzo-Gray)算法［11］对 Yk进行训练，获得码本i≤m;

(4)利用动态映射将码本中的码字cki映射至不同的子空间进行存储．

认证阶段的步骤如下:

(1)提取待认证语音的MFCC特征序列 Xq，为 d 维声纹特征矢量，u为特征矢量序列Xq的长度;

(3)根据动态矩阵索引号选择各码字对应的随机矩阵Qgi(1≤i≤m)，将Yq映射至各码字所在的子空间;

(5)将D与系统阈值进行比较并决策输出是否通过认证．

2 有效性分析

2．1 身份认证性能分析

基于VQ的声纹身份认证系统的判决尺度为平均最小量化误差，因此分析身份认证性能的关键是考察文中所提出的变换方法是否影响平均最小量化误差．首先基于变换前后特征矢量之间或特征矢量与码字之间的欧氏距离是否保持不变研究随机变换是否影响平均最小量化误差．设x1、x2分别为随机变换前的特征矢量，根据式(1)进行随机变换后的特征矢量为 y1=x1+s，y2=x2+s，则

从式(3)可知，变换前后特征矢量之间的欧氏距离保持不变．而要证明特征矢量与码字之间的欧氏距离保持不变，则需证明下式成立:式中，ci为原始特征训练的码字．文献［9］中已经证明:矢量量化码本是训练样本的线性加权和，而且加权矩阵相等．因此，要证明式(4)成立只需证明下式成立:

式中，Ai为加权矩阵，Ai∈Rd×m．由于加权和为 1，故

说明式(5)成立，故式(4)也成立．因此，随机变换前后特征矢量与码字之间的欧氏距离保持不变，最小欧氏距离自然不变，而最小矢量量化误差是特征矢量与码字之间最小欧氏距离的累加之和，从而变换前后最小量化误差保持不变．

下面进一步分析动态映射对身份认证性能的影响．由于Qgi为正交矩阵，将随机变换后的特征矢量与码字看作原始特征矢量与码字，则正交变换后特征矢量之间以及特征矢量和码字之间的欧氏距离保持不变［9］．因此，在各码字的变换空间中计算得到的特征矢量与码字之间的欧氏距离与原始特征矢量与码字之间的欧氏距离相同，即结合式(4)可得，变换前后最小量化误差保持不变．因此，文中方法不会改变系统的身份认证性能．

2．2 可撤销性分析

评价生物特征模板保护算法的标准之一为满足可撤销性要求［13］，主要体现在:①不同应用中同一用户的模板不能交叉匹配;②一旦生物特征模板遭到攻击或泄漏，用户将使用新的随机矩阵生成新模板，如果敌手使用旧模板或旧特征进行冒充攻击，则系统应该拒识．这就要求码字与认证声纹特征采用不同随机矩阵映射后，最小矢量量化误差应大于系统阈值．传统的随机映射无法保证上述要求，容易造成误识而降低系统的安全性．

由于矢量量化码本是训练样本的线性加权和，且矢量量化在空间中的相对位置或坐标不变，结合式(4)、(5)可推导出变换后的码字，又令变换后的声纹特征为(x为原始特征，由于矢量的长度经正交变换不会改变［14］，因此可知．如果用户要通过认证，则最小矢量量化误差需在系统阈值t范围内．一旦用户改变了随机矩阵产生新模板，而敌手仍使用旧的变换特征或旧模板(使用不同随机矩阵产生)进行认证，则系统应该拒识，因为其特征矢量与码字之间的最小欧氏距离的平均累加之和大于t．要严格保证这一点，只须保证特征矢量与码字之间的欧氏距离均大于t．进一步转变为数学问题，可描述为:在 zx-zc＜t的条件下求yx-yc≤t的概率P．P越小，说明敌手冒充通过认证的可能性越小，系统的可撤销性越强．

文中从几何角度进行分析．在二维空间中，zx和zc是以原点为圆心，分别以lx和lc为半径的圆上的点，且．yx和yc是zx和zc的正交变换，因此 yx、yc分别为 zx、zc绕原点以 lx、lc为半径进行旋转的区域．假设lc固定，则lx满足:

综上所述，要确保lc≫t，需要s的每个分量值远大于t(可参考几何学的知识予以证明)，在不同随机矩阵映射下，特征矢量与码字之间的欧氏距离小于等于系统阈值的概率基本上为0，说明敌手无法通过认证，文中方法具有较强的可撤销性．欧氏距离直方图(见图2)也直观表明了上述理论分析的正确性．从图2(a)可知，未经过随机变换时，采用相同随机矩阵和不同随机矩阵映射后矢量间的欧氏距离直方图有部分重叠，表明敌手利用重叠部分冒充用户可能会通过系统的认证，即系统产生一定的误识;从图2(b)可知，将声纹特征矢量加上各分量均很大的s(实际中各系统的阈值一般不同，主要根据大量实验和经验值以及身份认证的性能要求进行确定，也可以根据阈值进行设定，为了验证理论分析的结果，文中取各分量值为45)后再进行随机映射，采用相同随机矩阵和不同随机矩阵映射后矢量间的欧氏距离直方图是完全分离的，表明敌手将无法冒充用户通过认证，具有良好的可撤销性．

图2 欧氏距离直方图比较Fig．2 Comparison of Euclidean distance histogram

2．3 安全性分析

传统的随机映射无法保证撤销模板的区分度，故敌手采用冒充攻击有可能通过认证，或者利用特征的统计特性以及各应用中的特征模板和子矩阵也可以破解认证系统．为此，文中采用动态的映射机制，将用户的各码字映射至不同的随机空间，随机矩阵的选择依赖于原始码字中每个元素的值，从而加强特征矢量和密钥之间的绑定关系，不同的码字使用不同的随机矩阵进行动态映射，类似于增加了投影空间和变换的不确定性，提高了系统的安全性．在最坏情况下，即使敌手获得m个随机矩阵，由于随机矩阵的选择依赖于原始码字中每个元素的值，形成码字和随机矩阵内在的绑定，在索引值安全存储的条件下，敌手要求解原始码字，就要选择对应的随机矩阵，而随机矩阵的选择又依赖于原始码字，故敌手通过逆变换求解原始码字是困难的．因为根据声纹特征的特点，原始码字中每个元素的分布是随机的，故每个码字有m种不同的映射．实际应用中典型的码本大小为32、64、128，则求解所有原始码字的概率分别为 1/3232=1/2160、1/6464=1/2384、1/128128=1/21024．可见，即使随机矩阵被公开，在现有的计算能力下，其破解概率是可忽略的，使得用户声纹特征的隐私性和安全性得到了有效保护．

如果随机矢量泄露，而动态映射机制中的密钥依然安全，则敌手虽然很难获得原始声纹模板，但可能会利用旧模板进行冒充攻击，从而对撤销性产生影响．然而，随机矢量和模板均被盗的情况发生的概率较小，且随机矢量中每个元素的分布是随机的，故要精确求出所有分量值是比较困难的．事实上，模板保护算法很难满足所有安全级别要求，加密算法的安全性也是基于密钥的安全性，无条件的安全算法是不存在的．在实际应用中，可以通过安全措施尽量避免最坏情况的发生，如同一用户在不同的系统中采用不同的随机矢量和矩阵，或在模板泄漏的情况下及时更换旧模板，可进一步提高生物特征模板的安全性．

2．4 计算复杂度分析

文中提出的方法需要先将原始数据映射至随机空间再进行训练和识别．相对于传统的声纹认证系统，计算复杂度的增加主要在于注册和认证阶段需将原始特征进行随机变换和动态映射，而在变换域中的模型训练和识别与传统方法是相同的．因此，文中只需分析特征变换新增的计算复杂度．在注册阶段和认证阶段随机变换的复杂度为O(d(p+u))，动态映射的复杂度为O(2d2(m+um))，生成动态映射中动态索引号的复杂度为O(1．5md+mdlog2m)，而文献［9］所增加的计算复杂度为O(2d2(p+u))．虽然文中方法的计算复杂度比文献［9］略高，但其克服了传统方法泄漏信息、区分度不高等缺点，安全性得到极大的提升，故其稍高的计算复杂度是可以接受的．

3 实验结果与分析

文中旨在研究实现可撤销模板的有效方法，并非研究声纹识别算法本身，故主要验证方法的可撤销性和身份认证性能的保持．实验采用863汉语普通话连续语音识别训练库［9］，库中每人有1560条语音，选取80个说话人作为注册用户集，其中男女各40人．为了消除文本内容对识别性能的影响，选取的每个说话人的测试语句不同于训练语句，说话人之间的语句也不相同．每个人各选取1000条不同文本内容的语音进行实验，其中400条为训练语句，600条为测试语句．每条语音用Cooledit Pro 2．0去除静音后时长为4～10s不等．语料库声音数据文件采用高质量16kHz采样、16位数据、单声道WAV格式存储．采用典型的24阶MFCC特征对语音进行分帧处理，帧长为32 ms，帧移为16 ms．随机矩阵的产生采用Matlab自带函数，通过正交化函数对随机矩阵进行正交化．实验所用计算机配置为奔腾2．4GHz双核CPU、1GB内存、Window XP操作系统．

文中采用误识率(FAR)和识真率(GAR)作为评价认证性能的指标［16］．

实验1 可撤销性实验．

动态映射虽然将不同的码字映射至不同的随机空间，但识别时特征和码字仍然在相同的随机空间进行距离测度计算，理论分析结果与传统映射是一致的．可撤销性主要验证随机变换的效果，为简化起见，本实验中动态映射的Qi均相同，且为了便于分析，生成R1、R2、R3三个不同的正交矩阵．不同码本大小下各种映射的受试者工作特征(ROC)曲线如图3所示，其中Ri-Rj表示码本使用Ri进行映射、认证特征使用Rj进行映射．从图3可知:①当码本和认证特征使用相同的随机矩阵时，系统的识真率比较高，且随着码本大小的增加认证性能有增大趋势;②在相同码本大小下，当码本和认证特征使用相同的随机矩阵时，分别采用 R1、R2、R3映射后的 ROC曲线是近似的，表明系统的身份认证性能与具体的随机矩阵无关;③当码本和认证特征使用不同的随机矩阵时，ROC曲线近似为对角线，误识率较小时识真率也较小，即等错误率(EER)较低，敌手即使获得旧模板也无法通过认证．可见随机变换增强了变换的区分度，提高了可撤销性．

图3 码本大小不同时不同映射的ROC曲线Fig．3 Receiver operating characteristic curves of different projection with different codebook sizes

实验2 身份认证性能实验．

实际应用中声纹模板保护技术要求的特殊性，使得声纹模板保护的安全性要求比较高，因此，需要FAR比较低才能保证算法的安全性．本实验采用随机变换和动态映射对特征矢量和码本进行变换，且所有用户使用相同的d维随机矢量和随机矩阵确保声纹特征在身份认证过程中起主要作用．选择典型的码本大小(32、64、96、128)进行实验，以验证变换前后系统的身份认证性能．针对不同的码本大小分别生成与码本大小一致的随机矩阵，并对变换后的码字进行动态映射，实验结果如表1所示，可以看出，变换前后系统的身份认证性能不变，证明了理论分析的正确性．

表1 变换前后系统的身份认证性能Table 1 Identity verification performance of system before and after transformation

4 结语

文中利用随机映射的优点，结合矢量量化声纹识别技术，提出了一种基于随机变换和动态映射的可撤销模板设计方法．理论分析表明，随机变换可增强模板的可撤销性，动态映射可增强变换的不确定性．仿真实验结果表明:变换前后系统的身份认证性能保持不变;当码字和认证特征采用不同的随机矩阵进行映射且系统的误识率较小时，识真率也较小，从而验证了该方法的可撤销性．文中提出的方法本质上并未改变变换前后声纹特征的统计特性，如果将高斯混合模型(GMM)的高斯分量均值和协方差看作VQ中的码字并采用不同的随机矩阵进行映射，则该方法也同样适用于基于概率统计模型的GMM声纹识别算法的模板保护．事实上，没有完美的生物特征模板保护技术可以满足所有生物特征和应用的要求，不同的声纹识别方法所采用的加密方法是不同的．另外，实际应用中也会存在训练与识别测试环境的变化，导致动态映射矩阵的选择产生偏移的情况．因此，进一步完善文中方法以更好地应对复杂的应用条件并探讨其他声纹识别算法的模板保护方法是今后研究的主要目标．

［1］Ross A，Shah J，Jain A．From template to image:reconstructing fingerprints from minutiae points［J］．IEEE Transactions on Pattern Analysis and Machine Intelligence，2007，29(4):544-560．

［2］Isobe Y，Ohki T，Komatsu N．Security performance evaluation for biometric template protection techniques［J］．International Journal of Biometrics，2013，5(1):53-72．

［3］王志锋，贺前华，张雪源，等．基于信道模式噪声的录音回放攻击检测［J］．华南理工大学学报:自然科学版，2011，39(10):7-12．Wang Zhi-feng，He Qian-hua，Zhang Xue-yuan，et al．Playback attack detection based on channel pattern noise［J］．Journal of South China University of Technology:Natural Science Edition，2011，39(10):7-12．

［4］Argones Rua E，Maiorana E，Alba Castro J L，et al．Biometric template protection using universal background models:an application to online signature ［J］．IEEE Transactions on Information Forensics and Security，2012，7(1):269-282．

［5］Ngo D C L，Teoh A B J，Goh A．Biometric hash:high confidence face recognition［J］．IEEE Transactions on Circuits and Systems for Video Technology，2006，16(6):771-775．

［6］Wang Yongjin，Plataniotis Konstantinos N．An analysis of random projection for changeable and privacy preserving biometric verification ［J］．IEEE Transactions on Systems，Man，and Cybernetics，Part B:Cybernetics，2010，40(5):1280-1293．

［7］Teoh A，Jin Beng，Connie T，et al．Remarks on bioHash and its mathematical foundation ［J］．Information Processing Letters，2006，100(4):145-150．

［8］Teoh A，Jin Beng，Yuang C T．Cancelable biometrics realization with multispace random projections［J］．IEEE Transactions on Systems，Man，and Cybernetics，Part B:Cybernetics，2007，37(5):1096-1106．

［9］徐文华，贺前华，李韬，等．基于MRP的可撤销模板设计及其分析［J］．电子学报，2009，37(12):2792-2795．Xu Wen-hua，He Qian-hua，Li Tao，et al．Design and analysis of MRP based cancelable template［J］．Acta Electronica Sinica，2009，37(12):2792-2795．

［10］Feng Y C，Yuen P C．A hybrid approach for generating secure and discriminating face template［J］．IEEE Transactions on Information Forensics and Security，2010，5(1):103-117．

［11］王伟，邓辉文．基于MFCC参数和VQ的说话人识别系统［J］．仪器仪表学报，2006，27(6):2252-2255．Wang Wei，Deng Hui-wen．Speaker recognition system using MFCC features and vector quantization ［J］．Chinese Journal of Science Instrument，2006，27(6):2252-2255．

［12］Xu Wenhua，Cheng Minying．Cancelable voiceprint template based on chaff-points-mixture method［C］∥Proceedings of 2008 International Conference on Computational Intelligence and Security．Suzhou:IEEE，2008:263-266．

［13］Ratha N，Chikkerur S，Connell J，et al．Generating cancelable fingerprint templates［J］．IEEE Transactions on Pattern Analysis and Machine Intelligence，2007，29(4):561-572．

［14］Du W L，Han Y S，Chen S．Privacy-preserving multivariate statistical analysis:linear regression and classification［C］∥Proceedings of the Fourth SIAM International Conference on Data Mining．Lake Buena Vista:SIAM，2004:222-233．

［15］Weisstein E．Hypersphere ［EB/OL］．(2012-12-20)［2013-02-12］．http:∥mathworld．wolfram．com/Hypersphere．html．

［16］李鹏，田捷，杨鑫，等．生物特征模板保护 ［J］．软件学报，2009，20(6):1553-1573．Li Peng，Tian Jie，Yang Xin，et al．Biometric template protection ［J］．Journal of Software，2009，20(6):1553-1573．