专利名称:在模板保护系统中定义分类阈值的制作方法
技术领域:
本发明总体涉及在模板保护系统中(比如用于使用物理上不可克隆功能(PUF)模 板保护系统的生物特征模板保护系统)物理对象的认证。
背景技术:
物理对象的认证可以用在许多应用中,比如有条件地访问安全的建筑物或有条件 地访问数字数据(例如存储在计算机或可拆卸存储介质中),或用于识别目的(例如用于对 识别的个体的特定行为进行监管)。每个人具有唯一一组生物特征数据,比如声音、指纹、虹 膜、视网膜、脸等。生物特征的使用在日益增加的程度上被认为是传统识别手段(比如口令 和PIN码)的更好的替代方案,并且事实上在数量日益增加的应用和情况中,生物特征信息 越来越多地用于验证和认证一个人的身份。典型地,生物特征信息的使用由一个信任模型管理,凭借该信任模型用户接收这 样的保证所提供的信息将仅用于特定目的并且将通过针对数据的安全制度来防止滥用。 遗憾的是,尽管在理论上,这应当提供一个解决市民和私人团体所关注的所有问题的完整 解决方案,但是在实践中,当这些安全制度大规模部署时每个安全制度变得脆弱,并且广泛 的使用不可避免地导致内部人员的滥用和(比如由黑客进行的)外部攻击。显然,生物特 征应用对身份盗窃者而言是个吸引人的目标,因此传统的生物特征系统通过将生物特征模 板以加密的形式存储来保护它们。这样,为了检查个体的身份,必须使用密钥解密所述模 板,之后才可以将之与活体扫描进行比较。这给了潜在的身份盗窃者两个机会来访问所述 模板拦截未加密的模板或窃取加密模板和密钥。因此,借助生物特征加密(而非使用原始的生物特征)来提供内在安全性的构想、 已经通过单向变换创建的导出数据集被使用。所述变换的单向特性确保了原始生物特征绝 不可能根据所存储的数据重新构造,同时所述变换足够明确以能够在加密域中执行匹配。国际申请W02004/104899 (PHNL030552)公开了用于认证物理对象的模板保护。在一个具有模板保护的认证系统中,所谓的帮助者数据和控制值被用于对物理对 象进行认证。这两个数据都在登记时生成并且用来替代实际模板数据。所述帮助者数据是 使用模板数据生成的,但是模板数据的特性以如下方式被混淆在模板数据与帮助者数据 之间几乎没有任何关联。所述控制值与所述帮助者数据并行生成并且用作认证过程的控制 值。所述帮助者数据和控制值在认证期间使用。首先,将帮助者数据与从物理对象获 得的数据(例如面部特征数据)相结合。该结合的数据随后被“压缩”为第二控制值。将 该第二控制值与在登记期间生成的控制值相匹配。当这些控制值匹配时,认证被认为成功。所述认证过程验证了在认证期间从物理对象获得的度量值是否充分匹配模板数 据。假设,所述物理对象与参考对象相同,则所述结合的数据(帮助者数据和度量数据)被 传递到噪声补偿映射以补偿度量数据中的测量噪声。所述噪声补偿映射在很大程度上确定了是否发现在物理对象与参考对象之间充分匹配。使用借助帮助者数据的模板保护的认证方法包括在登记期间应用的用于生成帮 助者数据的噪声鲁棒性映射和在认证期间应用的噪声补偿映射。所述噪声鲁棒性映射用于 向从物理对象获得的(生物)度量数据中的测量误差提供恢复力。所述噪声补偿映射可被 解释为所述噪声鲁棒性映射的逆转,其中噪声鲁棒性映射加入了噪声恢复力,所述噪声补 偿映射使用它来重构存在噪声情况下的原始消息。倘若所述噪声鲁棒性映射具备足够的鲁 棒性,或所述测量噪声足够小,则成功的认证是可能的。参照附图中的图1,其提供一种说明在该类保护生物特征的途径中一种示范性解 决方案的基本操作的示意图。如图所示,在登记阶段,生物特征10首先被扫描并被变换为 规则的生物特征向量。信噪比被估计并被用于(在12处)在不损失有用信息的情况下降 低噪声水平和模板尺寸。接下来,误差校正码被用于(在14处)消除剩余的噪声效应并使 得认证误差最小化,从而在可能的最大程度上确保模板与相应的、随后获得的生物特征数 据之间的确切匹配。随后将辅助数据与所述特征向量结合(在16处),从而使得能够根据 相同生物特征创建不同的模板。该辅助数据基本上是一个随机数字,但是重要的是对于每 个人和应用来说该数字可以是不同的。最后,为了安全存储,对所述辅助数据的一部分求散 列值(在18处)。利用辅助信息,每个生物特征可以产生许多不同的模板,因此任何有安全 隐患的模板可以容易地被撤销并被一个使用相同的生物特征10而辅助信息不同的新模板 取代。而且,由于每个所得的模板根本不同,所以可以访问一个模板的身份盗窃者将不能使 用该模板访问其他应用。所登记的生物特征数据被定义为生物特征模板并且可以被看作从原始生物特征 信息导出的有区别的特征。在认证阶段,一个人提供生物特征信息作为他们身份的证据,并 且生成一个生物特征模板。随后将测量的生物特征模板与存储的生物特征模板相比较以认 证此人的身份。所述比较可以通过许多方式进行,但是它通常涉及某些形式的距离测量。因 此,使用阈值δ,可以确定这两个模板的匹配是否足够接近以认证此人。参照附图中的图2,提出一种用于具有模板保护的生物特征认证的通用方案。图2 在左侧描绘了登记过程ENRL,在登记期间针对正被登记的对象生成帮助者数据W和控制值 V。该数据随后被存储在位于中间的认证数据集ADS中。在认证过程AUTH(在右侧描绘的) 期间,具有声称身份的物理对象(图2中未示出)被认证。开始,搜索认证数据集ADS以得到具有声称身份的参考对象。如果没有这样的参 考对象,则认证将失败。倘若找到所述参考对象,则从所述认证数据集ADS中检索与所述声 称身份相关联的第一帮助者数据Wl和伴随的第一控制值VI。该数据被用于决定被认证的 物理对象是否充分匹配所述参考对象,从而产生肯定的认证。假设帮助者数据系统用于认证使用指纹数据形式的生物特征数据的人。而且,假 设所述生物特征模板数据包括指纹的核心区的线和脊(ridge)的图形表示。在获取期间比 如核心区的取向和定位之类的问题超出了本说明书的范围。在登记过程ENRL期间,一个人将其手指呈现到指纹扫描器。来自一个或多个指纹 扫描的结果被用于构造生物特征模板X。此外,选择特性集S。借助由误差校正码(ECC)编 码器ECCe推动的噪声鲁棒性映射将特性集S映射到特性集C。随后,将特性集C与生物特征模板X结合以产生帮助者数据W。在实际的帮助者数据系统中,特性集S和噪声鲁棒性映射被选择成使得所得的帮助者数据W展现出与生物特 征模板数据X具有很少的关联或没有关联。结果,帮助者数据的使用不会将生物特征模板 数据暴露给恶意用户。为了实现认证,所述登记过程还涉及控制值V的生成。使用特性集S来生成控制 值V。尽管控制值V可以与特性集S相同,但是这在安全是一个问题的系统中是不可取的。 在安全的帮助者数据系统中,应当不能使用控制值V来重构特性集S。当通过在特性集S上 应用单向映射生成控制值V时,该要求得到满足。加密的散列函数是这种单向映射的一个 良好实例。如果安全不是关键所在,则可以使用非单向映射。最后,将帮助者数据W和控制 值V对存储在认证数据集ADS中。尽管可以使用单对帮助者数据W和控制值V来识别特定对象,但是可能的是,可以 使用多对帮助者数据和控制值来识别特定对象。附加的帮助者数据和控制值对可以容易地 通过选择不同的特性集S来生成。多对帮助者数据和控制值可以特别地用于管理访问级别 或系统更新。现在,假设一种情况其中认证数据集仅包括每登记对象的单个帮助者数据和 控制值。在认证过程AUTH期间,获得来自物理对象(图2中未示出)的生物特征数据Y (指 纹)。此外,提供一个声称的身份。下一个步骤是检查认证数据集ADS是否包含用于具有所 述声称身份的参考对象的第一帮助者数据Wl和第一控制值VI。如果情况是这样,则检索与 参考对象相关联的第一帮助者数据Wl和第一控制值VI。接下来,将来自物理对象的生物特征数据Y与第一帮助者数据Wl相结合,从而产 生第一特性集Cl。在物理对象与参考对象对应的情况下,生物特征数据Y可以被解释为生 物特征模板χ的噪声版本Y = X+E (其中 E 较小)第一帮助者数据Wl可以由模板数据X和特性集C表示Wl = C-X通过代换,第一特性集Cl可被写作Cl = C-X+YCl = C-X+X+ECl = C+E第一特性集Cl被传递到ECC解码器ECCd形式的噪声补偿映射以产生第二特性集 Si。现在,假设所述参考对象与物理对象相对应。只要生物特征数据Y中存在的噪声成分 E足够小,或者可替换地,ECC编码器中使用的噪声鲁棒性映射具备足够的鲁棒性,则ECC解 码器就将重构第二特性集Si,其与在登记期间使用的用于生成第一帮助者数据Wl的原始 特性集S相同。第一特性集Sl随后被用于以与第一控制值Vl相似的方式计算第二控制值V2。接 下来,将第二控制值V2与登记期间生成的第一控制值Vl相比较。倘若ECC编码器对噪声提 供足够的恢复力,第二控制值V2将与第一控制值Vl相同。如果这些值相同,则认证成功, 并且物理对象的身份被确立为所声称的身份。生物特征测量的性能通常涉及以下方面错误接受率(FAR)、错误非匹配或拒绝 率(FRR)以及无法登记率(FTE或FER)。FAR测量错误地被接受为真正用户的无效用户的百分比,而FRR测量作为冒名顶替者被拒绝的有效用户的百分比。在现实的生物特征系统 中,典型地可以通过改变某个参数来彼此相对地权衡FAR和FRR。在例如上面所述的模板保 护方法中,生物特征测量被表示为二进制串或符号串,这些串可以使用汉明距离(HD)分类 器来分类。在几乎所有生物特征应用中,所需要的是,可以理想地选择HD值以针对特定应 用获得FAR和FRR之间的最优权衡。如上所述,在模板保护方法中,HD分类器被实现为误 差校正码(ECC),使得实际上HD分类阈值等于ECC可以校正的误差的数量k。在ECC的实 际实施中,k可能仅仅是少量的值,其具有下列效果使得针对分类阈值的选择,模板保护 系统稳固,并且因此使得在很多情况下选择针对特定应用给出FAR和FRR之间的最佳权衡 的分类阈值变得困难。因此,本发明的目的是提供一种用于认证的模板保护方法和系统,该认证使得能 够选择多个HD分类阈值的任意一个,直至对于给定位串长度ECC可以校正的误差的最大数 量,从而使得针对特定应用FAR与FRR之间的权衡能够被最优化。
发明内容
因此,根据本发明,提供一种配置用于认证物理对象的生物特征模板保护认证系 统的方法,该方法包括-选择所需的分类阈值;-提供用于接收从与所述物理对象相关联的生物特征数据导出的第一特性集的噪 声补偿装置,所述噪声补偿装置被选择为使得能够被校正的符号误差的数量由此等于或大 于所述分类阈值;_提供用于确定在所述第一特性集中符号误差数量的装置;以及-提供用于至少基于在所述第一特性集中符号误差的所述数量来接受或拒绝认证 的决定装置。又根据本发明,提供一种在生物特征模板保护系统中认证物理对象的方法,该方 法包括-接收从与所述物理对象相关联的生物特征数据导出第一特性集并且在包含所述 第一特性集的信息上使用噪声补偿映射来生成第二特性集;-确定在所述第一特性集中的符号误差的数量;以及-如果所述第一特性集中的所述符号误差的数量大于预定的阈值则拒绝认证,其 中所述预定的阈值等于或小于所述噪声补偿映射能够校正的误差的数量。又根据本发明,提供一种用于在生物特征模板保护系统中认证物理对象的设备, 该设备包括-用于接收从与所述物理对象相关联的生物特征数据导出第一特性集并且在包含 所述第一特性集的信息上使用噪声补偿映射而生成第二特性集的装置;_用于确定在所述第一特性集中的符号误差的数量的装置;以及-决定装置,其被配置为如果所述第一特性集中的所述符号误差的数量大于预 定的阈值则拒绝认证,其中所述预定的阈值等于或小于所述噪声补偿映射能够校正的误差 的数量。本发明还扩展到一种根据上面定义的方法配置的生物特征模板保护认证系统。
应当理解,一个符号可以由一个或多个比特组成。本领域技术人员应当清楚,二进 制或非二进制噪声补偿映射(ECC)可以被使用并且本发明不必受限于这个方面。在非二进 制ECC的情况下,ECC在符号级而非比特级上工作。因此,可以看出,借助本发明的方法和系统,所述分类阈值可以被任意选择以针对 任意模板保护系统来最优化FAR和FRR之间的权衡。在本发明的一个示范性实施例中,使用与参考对象相关联的帮助者数据和第一控 制值来执行对所述物理对象的认证,其中所述第一特性集使用包含与所述物理对象相关联 的帮助者数据和度量的信息来生成。所述方法可以进一步包括以下步骤使用第二特性集 和第一控制值在参考对象与物理对象之间建立充分的匹配。在这种情况下,第二控制值可 以通过对第二特性集应用变换来生成。所述决定装置优选地被配置成如果第一和第二控制值实质不相等,则拒绝认证。 在一个示范性实施例中,所述噪声补偿映射装置(优选地为误差校正码解码装置的形式) 被配置成提供表示在所述第一特性集中比特误差数量的信息。可替代地,然而,可以提供 用于接收第二特性集并使用噪声鲁棒性映射生成第三特性集的装置,并且第一特性集中比 特误差的数量随后可以通过确定所述第一与第三特性集之间的差异来确定。通过参照本文描述的实施例,本发明的这些和其他方面将变得清楚并被阐明。
现在将仅仅通过实例并参照附图来描述本发明的实施例,在附图中图1是说明生物特征加密方法的主要步骤的示意图;图2是针对使用根据现有技术的模板保护的物理对象的认证系统中登记和认证 过程的框图;图3是针对使用根据本发明的一个示范性实施例的模板保护的物理对象的认证 系统中登记和认证过程的框图;图4是说明由图3的系统执行的认证过程的主要步骤的示意性流程图。
具体实施例方式参照附图中的图3,再一次假设帮助者数据系统用于认证使用指纹数据形式的生 物特征数据的人。而且,假设所述生物特征模板数据包括指纹的核心区的线和脊的图形表 示。在获取期间例如所述核心区的取向和定位问题再一次超出本说明书的范围。如前所述,在登记过程ENRL期间,一个人将他或她的手指呈现到一个指纹扫描 器。来自一个或多个指纹扫描的结果用于构造生物特征模板X。此外,可能秘密的特性集S 被选择。特性集S借助ECC编码器ECCe映射到特性集C上。在该过程之前,所述系统设计 者选择任意的分类阈值T (其将针对特定应用最优化FAR与FRR之间的权衡),并且随后选 择可以校正k个误差使得k彡T的ECC。接下来,将特性集C与生物特征模板X结合以产生帮助者数据W。如前所述,为了能够认证,所述登记过程也涉及控制值V的生成,控制值V使用特 性集S来生成。最后,帮助者数据W和控制值V对被存储在认证数据集(图3中未示出) 中。
在认证过程AUTH期间,获得来自物理对象(图3中未示出)的指纹形式的生物特 征数据Y。此外,提供声称的身份。下一个步骤是检查所述认证数据集是否包含用于具有所 述声称身份的参考对象的第一帮助者数据Wl和第一控制值VI。如果情况是这样,则检索与 参考对象相关联的第一帮助者数据Wl和第一控制值VI。接下来,将来自物理对象的生物特征数据Y与第一帮助者数据Wl结合,从而产生 第一特性集Cl。在所述物理对象与参考对象相对应的情况下,生物特征数据Y可以被解释 为生物特征模板的噪声版本Y = X+E (其中 E 较小)第一帮助者数据可以由模板数据X和特性集C表示Wl = C-X通过代换,第一特性集Cl可被写作Cl = C-X+YCl = C-X+X+ECl = C+E第一特性集Cl被传递到ECC解码器ECCd以产生第二特性集Si。 只要生物特征数据Y中存在的噪声成分E足够小,或可替代地,用于ECC编码器的 噪声鲁棒性映射具备足够鲁棒性,则ECC解码器就将重构第二特性集Si,其与在登记期间 使用的用于生成第一帮助者数据Wl的原始特性集S相同。第一特性集Sl随后被用于以与第一控制值Vl相似的方式计算第二控制值V2。此外,在所示的实例中,Sl用于通过ECC编码Sl以获得码字C并且将码字C(= ENC(Sl))与Cl比较来确定Cl中误差的数量b。然而,本领域技术人员应当理解,在很多情 况下,ECC解码器可以在没有针对Sl明确执行ECC编码的情况下产生校正的误差的数量b。第一控制值VI、第二控制值V2、所选的分类阈值T和Cl中校正的误差的数量被提 供给决定处理器D使用,由此确定所述认证是否成功。可以如下相对简单地作出这种决定如果Vl兴V2,则拒绝认证并退出;如果b > T,则拒绝认证并退出;否则接受认证结果,将拒绝所有具有HD大于T的认证。因此,可以看出,借助本发明的方法和系统,可以任意选择所述分类阈值以针对任 何模板保护系统来最优化FAR与FRR之间的权衡。本领域技术人员应当理解,本发明的原 理适用于认证系统的许多不同配置,并且本发明在这个方面不必受限。参照附图中的图4,可以将根据本发明的一个示范性实施例的方法的关键要素概 括如下1. (ENR)选择任意的HD (分类)阈值以针对特定应用来最优化FAR与FRR之间的 权衡;2. (ENR)选择可以校正k个误差的ECC,其中k≥T ;3. (ENR)使用密码S生成帮助者数据W和控制值V ;4. (AUTH)获得码字 Cl = Υ+ff ;
5. (AUTH)解码Cl并获得结果Sl和V2 ;6. (AUTH)获得码字Cl中的误差的数量b (在这种情况下与ENC (Si)比较);7. (AUTH)使用VI、V2、T和b来决定认证是否成功。应当理解,上述实施例说明而非限制本发明,并且本领域技术人员将能够在不脱 离由所附权利要求定义的本发明的范围的情况下设计许多可替代实施例。在权利要求中, 置于括号中的任何附图标记不应当被解释为限制所述权利要求。文字“包括”等并不排除 在任意权利要求或说明书作为整体所列出之外的其他元件或步骤的存在。元件的单数引用 不排除这种元件的复数应用,且反之亦然。本发明可以借助包含若干不同元件的硬件实现, 并且可以借助适当编程的计算机来实现。在列举了若干装置的设备权利要求中,这些装置 的若干个可以由同一硬件项来体现。在相互不同的从属权利要求中记载某些措施这一起码 的事实并不表示这些措施的组合不能被有利地使用。
权利要求
一种配置用于认证物理对象的生物特征模板保护认证系统的方法,该方法包括 选择所需的分类阈值(T); 提供噪声补偿装置(ECC),该装置用于接收从与所述物理对象相关联的生物特征数据(Y)导出的第一特性集(C1),所述噪声补偿装置(ECC)被选择为使得能够被校正的符号误差的数量(k)由此等于或大于所述分类阈值(T); 提供用于确定在所述第一特性集(C1)中符号误差数量(b)的装置;以及 提供用于至少基于在所述第一特性集(C1)中符号误差的所述数量(b)来接受或拒绝认证的决定装置(D)。
2.根据权利要求1的方法,其中所述分类阈值(T)被选择为使得实现所述系统的FAR 与FRR之间的期望的权衡。
3.一种根据权利要求1的方法配置的生物特征模板保护认证系统。
4.一种在生物特征模板保护系统中认证物理对象的方法,该方法包括-接收从与所述物理对象相关联的生物特征数据(Y)导出的第一特性集(Cl)并且在包 含所述第一特性集(Cl)的信息上使用噪声补偿映射来生成第二特性集(Si);-确定在所述第一特性集(Cl)中的符号误差的数量(b);以及-如果所述第一特性集(Cl)中的所述符号误差的数量大于预定的阈值(T)则拒绝认 证,其中所述预定的阈值(T)等于或小于所述噪声补偿映射能够校正的误差的数量(k)。
5.根据权利要求4的方法,其中使用与参考对象相关联的帮助者数据(Wl)和第一控制 值(VI)执行对所述物理对象的认证,其中所述第一特性集(Cl)使用包含与所述物理对象 相关联的所述帮助者数据(Wl)和度量(Y)的信息来生成。
6.根据权利要求5的方法,进一步包括步骤使用第二特性集(Si)和第一控制值(Vl) 建立参考对象与物理对象之间的充分匹配。
7.根据权利要求6的方法,其中通过将变换(h)应用到第二特性集(Si)来生成第二控 制值(V2)。
8.根据权利要求7的方法,其中如果第一和第二控制值(VI,V2)实质不相等,则拒绝 认证。
9.一种用于在生物特征模板保护系统中认证物理对象的设备,该设备包括-用于接收从与所述物理对象相关联的生物特征数据(Y)导出的第一特性集(Cl)并 且在包含所述第一特性集(Cl)的信息上使用噪声补偿映射而生成第二特性集(Si)的装置 (ECC);_用于确定在所述第一特性集(Cl)中的符号误差的数量(b)的装置;以及-决定装置(D),其被配置为如果所述第一特性集(Cl)中的所述符号误差的数量(b) 大于预定的阈值(T)则拒绝认证,其中所述预定的阈值(T)等于或小于所述噪声补偿映射 能够校正的误差的数量(k)。
10.根据权利要求9的设备,其中噪声补偿映射装置被配置为提供表示在所述第一特 性集中符号误差的数量(b)的信息。
11.根据权利要求9的设备,进一步包括用于接收第二特性集(Si)并使用噪声鲁棒性 映射生成第三特性集(C)的装置(ECC),以及用于通过确定所述第一与第三特性集(Cl,C) 之间的差异来确定在第一特性集(Cl)中符号误差的数量(b)的装置。
全文摘要
一种用于配置生物模板保护认证系统的方法,其中首先选择期望的分类阈值(T)以便最优化系统的FAR与FRR之间的权衡,然后选择认证过程中使用的ECC,使得可被校正的误差的数量(b)因此等于或大于所选的分类阈值。在认证期间,从与物理对象相关联的生物特征数据导出的第一码字中的误差数量(b)被确定并被用在接受或拒绝认证的决定过程中。
文档编号G06K9/00GK101903891SQ200880121632
公开日2010年12月1日 申请日期2008年12月17日 优先权日2007年12月20日
发明者B·J·H·布曼, J·G·H·斯特劳斯, M·范德维恩, T·A·M·克夫纳尔 申请人:皇家飞利浦电子股份有限公司