指纹防伪技术及检测方法研究
2021-06-11公安部检测中心张哲
■ 文/公安部检测中心 张哲
关键字:指纹防伪 假指纹攻击 指纹活性检测
1 引言
随着科技和信息化的快速发展,生物特征识别技术逐渐兴起并发展迅速。鉴于传统的身份认证方式(如钥匙、密码、证卡)存在易丢失、易遗忘且不与用户唯一绑定等缺点,基于生物特征识别的认证方式成为替代传统身份认证方式的主要手段得到广泛应用。
生物特征认证是指通过光学、声学、生物统计学等方式和生物传感器等高科技手段与计算机技术密切结合,利用人体生理特征或行为特征进行身份鉴定。利用生理特征进行身份识别的主要方法有指纹识别、掌纹识别、虹膜识别和人脸识别等,利用行为特征进行身份识别的主要方法有声音识别、笔迹识别和步态识别等。
由于采集便捷、性价比高,基于指纹识别的身份认证系统应用最为广泛,技术更为成熟,且增长迅速。与其他生物特征认证方式相比,指纹认证已在电子商务、电子政务和安全防范等产业中得到广泛应用。我国第二代居民身份证需要采集指纹信息用于指纹识别,移动设备和出入口识别设备中也越来越多地采用基于指纹识别的身份认证技术。
随着基于指纹识别的身份认证应用越来越普遍,系统的安全性变得尤为重要。指纹认证系统面临多种安全威胁,例如使用假指纹对指纹传感器进行攻击、攻击模块间的通信通道、攻击软件模块及攻击数据存储等。这些威胁中,使用伪造假指纹进行攻击是指纹识别系统面临的最迫切需要解决的问题,因为与其他威胁不同,使用伪造指纹攻击指纹识别系统不需要掌握任何系统知识,即可实施攻击。
2 指纹防伪的研究现状
伴随着伪造指纹的出现,指纹认证系统的安全性面临严峻挑战。卓越的指纹认证系统应具备认证前辨别真假指纹的能力,如何防止假指纹攻击指纹认证系统已经成为当前研究的热点问题。人的指纹由许多交替的脊线和谷线组成,指纹防伪方法的原理是使用专业传感器设备记录指纹图像中的纹理细节或细节点,利用这些信息通过特定算法判断所显示的指纹是来自真手指还是假手指。
2.1 指纹防伪方法的分类
现有的指纹防伪方法主要分为:基于硬件的指纹防伪方法和基于软件的指纹防伪方法。
早期的指纹防伪一般采用基于硬件的方法,该方法需要在指纹采集器上增加一个或者多个传感器来获取生命体征,例如手指血流、导电性、颜色变化、温度和气味等。基于硬件的指纹防伪方法需要用到一些特殊类型的指纹传感器,例如用于捕获手指皮下脊纹的多光谱扫描仪和用于提供两个互补信息流的双摄像头指纹传感器等,集成了额外传感器的指纹认证系统变得更加复杂和昂贵。
近年来,基于软件的指纹防伪方法越来越受到人们的关注,该方法可从采集的指纹图像(或一系列帧)中提取特征,通过分析真假指纹图像层面的差异性来进行指纹活性检测。因为该方法不需要增加额外的硬件辅助设备,所以不会产生昂贵的额外成本。基于软件的指纹防伪可以在软件层面方便地集成到指纹认证系统,因此基于软件的指纹防伪解决方案具有广泛的应用价值和市场前景。
基于软件的指纹防伪算法利用从指纹图像中提取的动态行为(例如皮肤变形、汗水)和静态特征(例如纹理、汗孔、皮肤弹性)进行假指纹攻击检测。进行身份认证时,指纹传感器上采集的图片序列会因为手指在按压过程中产生的形变而变化。由于真实指纹的皮肤更具有弹性,因此人工伪造假指纹产生的皮肤形变不如真实手指产生的皮肤形变明显,基于这种考虑,提出了基于皮肤形变的指纹活性检测方法。出汗是真手指的典型现象,汗水从毛孔开始,随时间沿着指纹脊线扩散,使毛孔之间的区域在图像中变黑,可以通过观察短时间内获取的多个指纹图像来获取空间湿度模式,因而可以利用毛孔产生的汗液来进行指纹活性检测。由于手指上存在大量的汗孔,但在伪造过程中很难保留这些汗孔,因此可以通过分析指纹图像脊线中汗腺孔的结构来进行指纹活性检测。真指纹和伪造指纹图像显示出不同的纹理特性,例如形态、平滑度和方向,因此纹理可以用于指纹认证系统的欺骗检测。
到目前为止,上述大多数基于软件的指纹防伪算法是基于手工设计的特征表示,手工特征提取主要依赖于经验和专业知识,指纹防伪算法的关键是如何更好地提取指纹图像的特征表示。此外,由于空间位置信息的丢失以及对活指纹图像的细节缺乏考虑,因此难以在算法的辨别力和鲁棒性之间取得平衡。
2.2 指纹防伪方法的对比
基于硬件的指纹防伪算法虽然能防御大多数的假指纹攻击,但由于集成了额外硬件设备,使得指纹识别系统变得更加复杂和昂贵,用户认证所需时间变长,导致用户体验变差。此外,当攻击者使用新的制造技术改进假指纹并成功通过指纹识别系统时,很难及时更新这些附加的硬件设备。由于指纹非常容易受到外部环境的干扰,所以基于硬件的指纹防伪算法稳定性相对较弱,且仍然不能适用于恶劣环境下的检测。同时,手指上的污渍、破裂和干燥也会削弱测量设备的检测性能,进而影响检测效果。
与基于硬件的假指纹检测相比,只需通过用户指纹图像便可以实现指纹活性检测的基于软件的方法不仅方便快捷,而且兼容性高、成本低,只需要在软件层面修改就可以实现指纹检测系统的更新。基于软件的检测对象有动态的(指纹图像序列)和静态的(单张指纹图像)。动态对象的检测需要从指纹图像序列获得动态行为,用户需要在指纹注册阶段多次收集指纹,所以该方法耗费时间较长。与动态对象检测方法相比,静态对象的检测由于仅需要一个或几个图像而不是一系列图像用于指纹活动度检测,所以更加适用于指纹活性检测。值得注意的是,和基于深度学习的指纹活性检测相比较而言,大多数使用纹理特征的基于软件的指纹防伪算法通常依靠专家知识来设计手工特征。
3 假指纹制作
随着指纹识别技术的发展,市场上出现越来越多基于指纹识别的设备。目前很多门锁、打卡器、手机等设备上都使用指纹识别作为身份认证的解决方案。人们日常生活中使用指纹的频率逐渐提高,随着假指纹的种类越来越多和制作技术越来越精湛,传统的指纹识别设备只会通过指纹比对来进行身份认证而不会判别指纹的真假,这样的漏洞容易产生安全隐患,基于指纹识别的身份认证系统面临严峻挑战。
研究假指纹制作对指纹防伪算法研究至关重要,特别是基于深度学习的指纹防伪算法,深度学习的模型需要大量的数据样本来训练。假指纹制作有两种方式:配合和非配合。在配合方式中,可以使用要伪造的真实手指,这样的伪造指纹制作便利且质量较高,可以轻易地通过无防伪功能的指纹识别系统。
伪造指纹的种类可以分为2D指纹模和3D指纹模,其攻击的指纹传感器类型不同。2D指纹模可首先使用配合方式或非配合方式(残留指纹)获取指纹,利用配合方式在指纹涂抹或者非配合方式对浅指纹进行显影,获得清晰的指纹纹理信息,然后利用照相机进行拍照或利用胶带等粘性物质进行提取,最后打印拍摄的照片指纹或者将胶带等粘黏在纸上(纸张颜色应该尽可能与指纹颜色形成对比),这样可以获得2D指纹模。
3D指纹模可首先制作模具,模具可采用纳米胶、蜡、橡皮泥或者市面上比较通用的制作纪念品的克隆粉等材料制成。以最为常见的蜡制作模具为例,将蜡点燃融化,把需要制作假指纹的手指用力按压在融化后的蜡上,然后将蜡放置不动自然冷却,固化后即可得到一枚立体指印,该立体指印即为对应手指的3D假指纹模具。克隆粉及石膏模具可在克隆粉(石膏)中倒入适量水,快速搅拌成均匀粘稠的胶体,手指按压到胶体表面保持不动,直到胶体完全凝固,即制成模具。用纳米胶和橡皮泥模具的原理与上述两种类似,将手指按压到硅胶和橡皮泥表面即可。模具制作完成后,只要把硅胶、白乳胶等材料均匀覆盖到模具的立体指印上,待其完全凝固,或把橡皮泥按压到模具表面,便可得到具有和真指纹相同凹凸纹路的假指纹。
4 未来展望
尽管指纹防伪方法研究取得了一定进展,但随着科学技术的进步,更多技术手段的加入使得假指纹制作工艺越来越精湛,指纹认证系统将会面临越来越严峻的挑战。
指纹采集设备和假指纹材料的多样性是指纹防伪算法研究的痛点,未来的指纹防伪算法需要对设备的依赖越来越小,同时要求对假指纹材料具有更好的鲁棒性。在研究算法的同时应该注重对假指纹攻击以及假指纹制作的研究,通过对假指纹制作材料和技术的研究,制作出大量用于攻击指纹认证系统的高质量假指纹样本,丰富的指纹样本可以促进指纹防伪算法研究工作的开展。
5 结语
由于指纹认证系统的普遍使用,指纹认证系统的安全变得更加重要。假指纹攻击在一定程度上威胁着指纹认证系统的安全性,因此,迫切需要采取有效的措施来防止欺骗攻击。在基于指纹的身份认证领域提出了许多反欺骗方法,指纹采集仪器容易受到欺骗攻击,即可以利用伪造指纹来欺骗攻击指纹识别系统,因此指纹活性检测逐渐成为对抗假指纹攻击和增强指纹认证系统安全性的常用方法。