多生物特征识别在网络安全中的应用*

李国建，许 杰

（1.海军驻成都地区通信军事代表室，四川 成都 610041；2.中国电子科技集团公司第三十研究所，四川 成都 610041）

多生物特征识别在网络安全中的应用*

李国建1，许 杰2

（1.海军驻成都地区通信军事代表室，四川 成都 610041；2.中国电子科技集团公司第三十研究所，四川 成都 610041）

多生物特征识别在网络安全中具有巨大的研究价值，能有效提高网络信息系统的安全性。通过介绍指纹、虹膜、面部识别、声音、掌纹、签名、击键识别等生物识别技术，在分析说明多生物特征识别不易丢失、安全性强、事后便于查询等优点的基础上，给出多生物特征识别在网络安全系统的密钥发布、密钥绑定以及身份认证中的具体应用方法，以期为提高信息网络的安全性提供新的思路。

多生物特征；特征识别；密钥；身份认证

0　引 言

随着互联网技术的飞速发展，网络安全问题日益凸显，人们对网络安全的要求也越来越高。传统的网络安全防护和认证手段已不能抵御日益复杂的攻击手段。生物识别技术以其独有的特点和优势得到了各方面的关注，特别是在国家安全、信息安全等领域。因此，在抵御新型网络攻击手段、提高网络的安全性方面，生物识别技术具有巨大的研究和应用价值。

传统的身份认证技术如口令、条形码、智能卡、射频卡等，都是通过“你有什么？”或“你知道什么？”来进行身份验证。这些技术容易被攻破、伪造、丢失、遗忘、不便于携带，非常不安全，且并不能保证认证到合法用户本身。

生物识别认证技术[1]是指通过获取人类特有的生物特征来对个人身份进行识别和鉴定。生物特征可分为两大类：生理特征和行为特征，如图1所示。生理特征指的那些与生俱来、若无特殊因素不会导致后天变化的特征，如人脸、指纹、掌纹、虹膜、声音等；行为特征是人后天习惯养成的行为习惯，如签名笔迹、走路姿态、击键节奏等。与传统身份认证技术相比，生物识别认证技术具有随身携带、不会丢失、安全性强、事后便于查询确认等优点。

图1　常用生物识别特征

单一生物特征识别总存在难以避免的噪声样本，信息单一，检查数据易受环境影响的局限性，难以满足应用的需求。多生物特征识别能有效克服这些缺点，并满足用户的多种安全需求。本文在分析各主流生物识别技术特点和多生物特征识别的关键技术的基础上，给出了多生物特征识别在网络安全中应用的思路，并以密钥发布、密钥绑定和身份认证为例给出了具体应用方法。本文提出方法为有效改进和提高网络信息系统的安全性提供了新的思路。

1　生物识别技术

1.1指纹

通过分析指纹的特征，如嵴、谷、终点、分叉点或分歧点，从而抽取特征值，通过指纹特征值的比对来确认身份。指纹识别是目前应用最广泛、价格最低廉的一种生物识别认证技术。它是一种接触性技术，采集比较稳定。目前，该技术已广泛应用于廉价个人电子设备上，如电脑、手机等。然而，该技术可被轻易伪造[2]。

1.2虹膜

虹膜[3]是眼睛瞳孔内一种织物状的各色环状物。每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。这些结构在胎儿发育阶段形成后，在整个生命历程中将保持不变。这些特征决定了虹膜的唯一性，同时也决定了身份识别的唯一性。虹膜识别具有精度较高的优点，但虹膜识别需要分辨率较高的摄像头和合适的光学条件，成本较高。美国军方在过去至少十年中已经使用了虹膜扫描技术，而全世界很多机构的身份认证系统已经使用眼模作为标识。

1.3面部识别

人与人的辨识不是通过指纹、掌纹、虹膜等，而是通过对人面部的识别实现的。因此，在众多生物识别技术中，人脸识别最具有吸引力。它最直观、最自然、符合人的认知规律[4]。

面部识别具有如下特点：

（1）非接触：用户接受度高。摄像头已非接触方式自动获取人脸，完成人脸识别过程；

（2）突出：人脸是最直观的信息源，“以貌取人”符合人的认知规律，同时也方便后续人工确认，且具备再利用等优势；

（3）识别速度快，不易被察觉：与其他生物识别技术相比，人脸识别属于一种自动化技术，1 s内可以识别多次。不被察觉的特点不会令人反感。

（4）不易仿冒：识别对象必须亲临现场，他人无法仿冒，且面部识别具有活性判断能力，保证他人无法以非活性的照片、木偶、蜡像乃至人头欺骗。

（5）易变性：人脸的外形不稳定，人可以通过脸部的变化产生很多表情。不同的观察角度，人脸的视觉图像差别也很大。另外，人脸识别还受到光照条件、遮盖物、年龄等多方面因素的影响。

1.4声音

声音识别[5]是一种行为识别技术，声音识别设备不断地测量、记录语音的波形和变化。语音识别基于现场采集的语音与登记过的语音模板进行精确匹配。声音识别也是一种非接触识别技术，用户可以很自然地接受。多年来，许多机构已经使用这种技术。2016年，英国汇丰银行宣布使用Nuance公司的声纹识别系统，认证信息来自手机和固定电话。英国宽带提供商TalkTalk也宣布使用声纹识别系统。但是，语音识别的稳定性较差，容易被欺骗，识别率有待提高。

1.5掌纹

掌纹[6]是指手指末端到手腕部分的手掌图像。可用的特征有主线、皱纹、细小的纹理、脊末梢、分叉点等。掌纹识别也是一种非接触性识别技术，用户容易接受。20世纪80年代，一些高安全级的机构开始使用该技术。由于人类的手掌相似度较高，因此，该技术被视为双因素或多因素认证时的辅助，而不是主要认证形式。

1.6签名

签名笔迹特征含有生物特征、心里特征和社会语言学特征[7]。签名主要通过生物特征中的行为特征表现出来，不能完全排除心理特征和社会语言学特征的迹象。签名作为身份识别的方法，有良好的心里基础，易于接受。静态签名方便、快速、几乎没有成本；动态签名不易模仿，即行为动力学特征不易模仿和被盗。静态签名易于模仿和伪造；动态签名设备成本高。签名识别技术受工具、心情、心理等影响，具有不稳定。

1.7击键识别

这是一种行为特征识别技术。每个人都有独特的打字节奏，这些节奏特征有：

（1）击键的时间规律：击键时间间隔，击键持续时间，击键输入速度，击键错误频率等；

（2）击键习惯：使用键盘额外按键的习惯，如使用数字键盘、大写字母的输入方式等。

击键识别如果和密码等其他识别手段相结合，这种多生物识别认证将极难伪造[8]。

2　多生物特征识别

单一生物特征识别模式主要有三个过程：提取特征、匹配模板、决策。多生物特征需要对多个生物特征进行融合，根据融合的层次不同，可分为四层：传感器层融合、特征层融合、匹配层融合和决策层融合。

（1）传感器层融合：各生物识别传感器获得生物特征的原始数据，通过多层次、多方面的处理和集成，从集成后的新数据中可以提取出有用的特征。

（2）特征层融合：根据特征向量集进行不同生物特征输入，如图2所示。高维特征向量是通过不同的特征向量进行相对的构建，通过高维向量特征标识多生物多种融合。经试验验证，特征层融合比其他融合效率更高，但难度也更大。

图2　特征层融合

（3）匹配层融合：每个生物特征有对应模块来输出其对应分数，输出分数由匹配层的融合模块进行数值归一化处理，通过归一化后进行融合。匹配层融合实现难度较小，可融合多个特征的数据信息，如图3所示。

图3　匹配层融合

（4）决策层融合：首先对每个不同的生物特征进行单独特征处理；再通过归一化处理匹配分数；最后在决策层进行融合。通过将多个生物特征匹配结果通过融合算法进行综合融合，得到最终匹配结果。决策层融合技术相对简单，但经过该层次融合后可以提高系统效率。决策层将单个生物认证逻辑的输出作为输入。它可以通过两种方式进行融合。第一，AND（与逻辑）。识别过程中，只有生物子系统B1和B2同时匹配成功，用户身份才能被认证；反之，只要B1和B2中有任意一个没有匹配成功，则身份认证失败。第二，OR（或逻辑）。识别过程中，只要生物子系统B1和B2中有一个匹配成功，用户身份就能被认证；反之，当B1和B2全部匹配不成功时，则用户身份认证失败，如图4所示。

图4　决策层融合

3　多生物特征在网络安全中的应用

利用多生物特征识别技术与密钥结合，可有效提高网络信息系统的完整性、机密性、可用性、可控性、不可抵赖性。下面从加密数据通信的两个关键点进行说明。

第一，生物密钥发布。当一个合法用户（比如，“爱丽丝”）想要访问特定的加密内容时，她通过生物采样设备向系统提供其生物特征。如果输入生物特征与数据库中登记的生物特征匹配成功，密钥会被发布。利用该密钥可以成功访问加密的内容。如果非法用户试图访问同一加密内容时，因无法得到爱丽丝的生物特征，将无法得到密钥导致访问失败。通过该方法可以达到对密钥的保护目的，如图5所示。

图5　生物密钥发布

第二，生物密钥绑定。核心思想是在数据库中仅存储生物模板的哈希值，而不是实际模板的哈希值，且该生物模板可撤销。生物模板的哈希值使用某单一散列函数计算。该哈希值仅通过生物模板无法还原原始生物样本数据。因此，即使模板哈希数据库出现泄漏，也不会出现安全问题。为了避免密钥和生物模板的分离存储，可以使用安全可信的位替换算法，利用密钥替换生物模板中特征值的有效位，使两者进行有效集成。集成后的数据使得攻击者无法通过木马来损害生物认证系统，以达到获取密钥的目的，如图6所示。

图6　生物密钥绑定

可见，通过多生物特征识别技术可以有效提高密钥的安全性，从而有效保证数据传输的安全性。在认证系统中，可以考虑将传统口令与键盘击键识别结合的方法，在输入口令的同时对用户的行为特征进行采样识别。这样节省了生物特征输入设备，可在用户没有察觉的情况下进行行为识别。同时，这种友好的方式也更易被用户接受，提高了系统的认证效率和准确性。

4　结 语

生物识别技术具备防伪性好、不易丢失、便于携带的特点，是当今世界上最为安全和完备的身份认证技术。多生物特征认证技术相对于单一生物特征识别具有更好的识别性和可靠性。本文在分析多生物特征识别技术优点的基础上，给出了多生物特征识别在网络安全系统中应用的方法，为提高网络信息安全系统的安全性给出了新的思路。

[1] Wikipedia.Biometrics[EB/OL].[2016-04-09].https:// en.wikipedia.org/wiki/Biometrics.

[2] Wikipedia.Fingerprint Recognition[EB/OL].[2016-04-09].https://en.wikipedia.org/wiki/Fingerprint_ recognition.

[3] Wikipedia.Iris Recognition[EB/OL].[2016-04-07]. https://en.wikipedia.org/wiki/Iris_recognition.

[4] Wikipedia.Facial Recognition System[EB/OL].[2016-04-10].https://en.wikipedia.org/wiki/Facial_recognition_ system.

[5] Wikipedia.Voice Analysis[EB/OL].[2016-04-11].https:// en.wikipedia.org/wiki/Voice_analysis.

[6] Wikipedia.Hand Geometry[EB/OL].[2016-04-08]. https://en.wikipedia.org/wiki/Hand_geometry.

[7] Wikipedia.Handwritten Biometric Recognition [EB/ OL].[2016-04-12].https://en.wikipedia.org/wiki/ Handwritten_biometric_recognition..

[8] Wikipedia.Keystroke Dynamics[EB/OL].[2016-04-10]. https://en.wikipedia.org/wiki/Keystroke_dynamics.

[9] A.A.ROSS,K.NANADAKUMA.Handbook of Multibiometrics[M].New York:International series on Biometrics Springer,2006.

李国建（1976—），男，硕士，工程师，主要研究方向为通信与信息安全；

许 杰（1978—），男，博士，工程师，主要研究方向为信息安全与大数据。

Application of Multimodal Biometric Authentication in Network Security

LI Guo-jian1, XU Jie2
1.Naval Communications Representative Office in Chengdu District, Chengdu Sichuan 610041, China; 2.No.30 Institute of CETC, Chengdu Sichuan 610041, China）

Multimodal biometric authentication is of great research value in network security, and it can effectively improve the security of network information system. Based on introduction of fingerprint, iris, face recognition, voice, palmprint, signature, keying recognition and other biometric technologies, characters of multimodal biometric authentication are described and analyzed, such as not easy to lose, strong security, easy to inquiry, etc.. This article proposes a specific application of multi-modal biometric authentication in key distribution, key binding and identity authentication of network security system, and all this could provide a new idea for improving the security of information network.

multimodal biometric; biometric authentication; key; identity authentication

National Natural Science Foundation of China（No.61309034）

TP309

A

1002-0802(2016)-08-01068-05

10.3969/j.issn.1002-0802.2016.08.021

2016-04-18;

2016-07-20

date:2016-04-18;Revised date:2016-07-20

国家自然科学基金项目（No.61309034）