指纹识别综述(9): 指纹系统安全

本文主要基于《Handbook of Fingerprint Recognition》第三版第九章“Securing Fingerprint Systems”的内容。本文会不定期更新，以反映一些新的进展和思考。

1、引言

指纹识别系统的主要目的是提供识别或验证个人身份的机制。然而就像任何系统一样，指纹系统也会出现安全故障。指纹系统常见的故障包括：入侵（intrusion）、拒绝服务（denail-of-service）、否认（repudiation）、以及功能蔓延（function creep）。这些指纹系统故障如下图所示。

指纹系统常见的安全故障包括：入侵（intrusion）、拒绝服务（denail-of-service）、否认（repudiation）、以及功能蔓延（function creep）

在访问控制应用中，指纹系统用于控制对设施、设备或服务（例如银行账户）的访问，类似于锁的功能。这些应用中最常见的安全故障是入侵（intrusion），即未经授权的实体获得对受保护设施的非法访问。获得访问权限后，攻击者可能会执行某些操作（例如，提取银行账户中的所有资金），访问敏感数据（例如，客户的私人信息）。

有许多方法可以发起入侵。这些通常被称为攻击媒介，在第2节中有详细讨论。攻击者进入设施最直接的方法是开锁。在指纹系统的情况下，这类似于提供一个不匹配的指纹（随便拿一把钥匙），希望系统会产生匹配错误（锁居然开了）。如果指纹系统的错误匹配率（FMR）非常低，则被认为更安全。要注意，错误匹配是由于指纹系统的固有缺陷造成的，不需要攻击者付出太多努力（按自己的指纹即可）。因此，这种类型的攻击也称为零努力攻击。

但是，即使给设施配备了最坚固的锁，攻击者仍然有可能闯入设施。例如，窃贼可能会偷钥匙或者在枪口下胁迫主人进入。或者，攻击者可能会不动锁，而通过破门、破墙、破窗来强行进入。因此，更强的锁并不一定意味着更好的安全性，还需要认真考虑其他攻击途径。

生物特征（包括指纹）特有的一个问题与“撤销”有关。在传统的密码系统中，如果某个密码或密钥被泄露，则可以将其放在“撤销列表”上以防止其将来使用，并且可以向用户颁发新密码或密钥。但如果指纹被泄露，虽然可以将其撤销，但用户就不得不改用其他手指。这会带来很大的不便（所有注册该指纹的系统都需要撤销），且可更换指纹的次数很有限。

除了入侵之外，还有其他类型的指纹系统故障。在访问控制应用中，确保合法用户可以正常访问设施与防止攻击者入侵同样重要。因此，如果攻击者设法损坏锁（指纹系统），以至于合法用户不能访问该设施，则也构成系统故障。这种类型的故障称为拒绝服务（Denail-of-Service，DoS）。它可能是由指纹系统的高错误拒绝率引起的，也可能是由攻击者引起的（例如，通过破坏电源，损坏指纹传感器等）。攻击者发起DoS攻击的原因之一是强制系统使用备用的、较弱的安全机制（例如密码系统），这样攻击者更容易入侵。

入侵和拒绝服务并非生物特征识别系统所独有。其他身份验证系统以及通用密码系统也容易受到此类故障的影响。指纹系统（任何生物特征识别系统）与其他安全系统的区别在于不可否认性。指纹识别的基本前提是指纹是唯一且不变的，不会丢失、共享或被盗。由于人与其指纹之间的这种紧密联系，指纹系统可以确保被授予访问权限的人确实是其声称的用户。当指纹系统不能保证这一点时，合法用户在访问系统后可以否认自己访问过。

最后，指纹的唯一性也带来了一种称为功能蔓延（function creep）的新型故障。在这种情况下，攻击者利用为特定目的设计的指纹系统来服务于另一个完全非预期的目的。例如，提供给银行的指纹数据可以与移民数据库中的指纹信息结合使用，以跟踪一个人的旅行史。功能蔓延是系统未能保护个人指纹数据的结果。

没有安全系统是绝对安全的。只要有合适的机会和充足的时间和资源，任何安全系统都可能被破坏。但公众对指纹系统的信心和接受程度取决于系统设计者防范所有可能的安全故障的能力。因此，指纹系统在部署之前必须仔细分析威胁模型，其概述了需要保护的内容以及攻击者。威胁模型与预期的攻击（例如，攻击者的可用资源、意图和专业知识）相关。除非明确定义威胁模型，否则很难确定采取的安全解决方案是否足够。根据应用程序的威胁模型，攻击者可能会投入不同程度的时间和资源来发起攻击。例如，与用于解锁手机的指纹系统相比，出入境管控的指纹系统可能具有更高的攻击风险。同样，在远程和无人值守指纹系统中，黑客可能有充足的时间发起大量攻击，甚至物理上破坏客户端系统的完整性。

本文重点讨论指纹识别系统特有的安全问题和解决方案。我们主要关注入侵攻击。为了成功入侵，攻击者首先需要获取合法用户的指纹数据，然后通过呈现攻击（presentation attack）将其注入身份验证系统。本文将详细讨论这些攻击技术以及应对手段。

2、指纹系统的威胁模型

分析指纹系统安全性的第一步是定义威胁模型。该模型定义了各种威胁主体（threat agent）和攻击路径（attack vector）。下图给出了对指纹系统的各种攻击。在讨论威胁主体和攻击路径之前，必须强调的是，指纹系统可能由于其自身的缺陷而出故障。如前所述，指纹系统的错误匹配会导致零努力入侵攻击。错误不匹配、指纹采集失败等缺陷会导致拒绝服务（访问控制应用，即白名单识别应用）或入侵（黑名单识别应用）。这些缺陷可以通过改进指纹识别技术来解决，本文不展开讨论。

针对指纹系统的各种攻击

指纹系统的故障还可能是由于内部、外部人员的故意操纵。内部攻击通常利用人与指纹系统交互中的漏洞。此类攻击包括授权用户自己故意尝试绕过系统，或被外部攻击者利用来破坏系统。内部人员可以是指纹系统的授权用户或系统管理员（超级用户）。另一方面，外部攻击通常利用指纹系统的漏洞，包括用户界面（传感器）、系统模块（特征提取器和匹配器）、系统模块之间的连接和模板数据库。

2.1 内部攻击

人与指纹系统的交互可以通过以下五种方式来规避系统的预期运行：

串通：串通是指授权用户攻击指纹系统的情况，无论是单独进行还是与外部攻击者合作（可能是为了经济利益）。例如，如果外部攻击者有一个朋友是授权用户，他可以要求授权用户提供其指纹数据。授权用户可以帮助攻击者获取指纹图像，或者给予攻击者访问其帐户的权限（或在物理访问控制应用中打开大门）。这种情况在大多数应用中几乎不会构成威胁。针对此类攻击的可能保护措施是通过适当的培训、严格监控和对不合规行为执行处罚来强制授权用户采取负责任行为。更严重的威胁是，可以控制指纹系统大多数模块的系统管理员试图修改系统的功能。防范这种攻击是极其困难的。

胁迫：串通和胁迫之间的唯一区别是合法用户的意图。串通是指合法用户自愿的情况，但当合法用户被攻击者强迫而干扰指纹系统时，算作胁迫。同样，没有具体的技术对策来防止这种攻击。

疏忽：这种攻击也类似于串通，只是攻击者和授权用户之间没有明确的合作。典型的示例包括授权用户未能注销在线系统或忘记关门。攻击者可以利用授权用户的此类疏忽行为来获得对受保护资源的非法访问。除了定期培训和不断提醒授权用户要遵循的最佳实践外，几乎无法防止此类攻击。

注册欺诈：大多数指纹系统的致命弱点是它们依赖现有的身份管理系统进行注册。在许多应用中，用户注册时需要出示身份凭证（例如护照、驾驶执照、身份证或出生证明）以及指纹。攻击者可以利用这个漏洞，通过提供伪造的凭证来非法注册指纹。因此，指纹系统的完整性受到注册过程完整性的约束。如果注册过程有问题，则可能会发生两种类型的错误：（1）同一个人拥有多个身份，（2）多个人共享同一身份。第一类错误在福利发放等应用中是严重问题，但在以不可否认性（non-repudiation）为关键目标的应用中（例如，边境管制），第二类错误更严重。

阻止个人获取多个身份的解决方案是将请求注册的用户的指纹与所有已注册用户的指纹进行匹配，以便检测重复的身份。此过程称为去重（de-duplication），已经在一些大规模身份识别应用中发挥了重要作用。例如印度的Aadhaar项目通过去重注册了大约13亿人。这种方法的局限性是计算成本高，无法进行实时注册，而且需要收集多个手指的指纹以确保假阳性和假阴性识别率都很低。

多个人共享同一身份的问题可以通过工作人员仔细监督注册过程来缓解。这就是为什么大多数应用要求用户到现场完成注册过程。在没有这种监督的情况下，注册过程可能会以几种方式受到影响。最近已经证明，大多数指纹识别系统容易受到基于双重身份指纹的攻击，这是通过组合两个不同手指的特征生成的假指纹（Ferrara等，2017）。这些双重身份指纹与来自两个手指的指纹进行错误匹配的几率很高（在0.1%的错误匹配率下，成功率约为90%）。此外，这种假指纹图案足够逼真，足以欺骗普通人。另一种攻击模式发生在注册多个手指的指纹识别系统中。在这种情况下，不同的手指可能来自不同的人。这通常发生在智能手机解锁等应用场景中。多个家庭成员或一群朋友可能会使用相同的身份注册他们的手指，从而允许他们共享对受保护资源的访问，从而违反了不可否认性原则。

异常滥用：生物特征识别系统的一个棘手问题是生物特征缺乏普遍性。总会有一些人由于身体残疾或与皮肤状况有关的问题（例如，指纹严重磨损的体力劳动者）而无法提供指纹。在某些情况下，用户可能暂时无法提供其指纹（例如，手指因受伤而包扎）进行身份验证。为了避免在此类特殊情况下拒绝服务，大多数指纹系统都有依赖其他凭据（如密码、钥匙等）的备用机制。缺点是攻击者可以故意触发此异常处理过程，并利用备用机制的漏洞。缓解此问题的方法是部署依赖多种生物特征（例如指纹、人像、虹膜）的多模态生物特征识别系统，并允许用户根据情况选择最合适的生物特征。

2.2 外部攻击

外部攻击主要针对指纹系统的各个硬件和软件模块，包括传感器、特征提取器、匹配器、模板数据库和决策模块以及这些模块之间的通信链路。外部攻击比内部攻击更危险，因为它的扩展性强（可以影响大部分用户）而且适合远程攻击者。因此，有大量文献讨论了指纹系统易受外部攻击的各种漏洞。Ratha等人（2001）考虑了生物特征识别系统的典型架构，并确定了八个特定的攻击点（见下图）。Cukic和Bartlow（2005）通过全面检查封装指纹系统的应用来扩展此框架，识别出20个潜在攻击点和22个可能的漏洞。Roberts（2007）提出了一个修订后的模型，通过关注攻击的三个主要维度来分析对生物特征识别系统的攻击风险：（1）威胁主体，（2）威胁路径和（3）系统漏洞。Jain等人（2008）使用紧凑的鱼骨模型来总结生物特征识别系统的漏洞。鱼骨模型反映了故障的原因和后果之间的关系。他们列举了四个故障原因（即内在问题、不安全的基础设施、管理问题和生物特征公开性）以及两个影响（即拒绝服务和入侵）。最近，关于生物特征识别系统安全评估标准和方法的ISO/IEC 19989–1/2/3（2020）标准已经发布，该标准的第一部分总结了通用框架内指纹系统的漏洞。

Ratha等（2001）定义的指纹识别系统的八个攻击点。这八个攻击点可以分为四大类：对用户接口的攻击（1）、对软件模块的攻击（3 和 5）、对通信链路的攻击（2、4、7 和 8）以及对模板数据库的攻击（6）。

文献中讨论的大多数攻击路径可分为四大类：（1）对用户接口的攻击，（2）对软件模块的攻击，（3）对通信链路的攻击，以及（4）对模板数据库的攻击。这些攻击路径并非指纹系统独有，它们也影响传统的基于知识和令牌的身份管理系统。事实上，对指纹系统软件模块和通信链路的攻击与对基于密码的验证系统的类似攻击没有什么不同。例如，攻击者可能会用恶意程序或木马程序替换指纹系统的软件模块，该程序将自己伪装成真正的软件模块，但生成攻击者想要的错误结果（例如指纹图像、指纹特征、匹配分数或匹配决策）。攻击者还可能利用程序错误或软件故障来绕过系统。攻击者还可以通过窃听或控制通信链路来窥探、修改或重放指纹系统在各个模块之间交换的信息。通过遵循安全的编程和软件开发实践，可以减轻对软件模块的攻击（McGraw，2006）。通信链路可以使用标准的加密技术进行保护，例如加密、数字签名、时间戳、质询-响应等（Schneier，1996）。此外，这两种攻击路径也可以通过设计封闭式指纹系统来应对，这在第7节讨论。

对指纹系统用户接口和指纹模板数据库的攻击具有独特性，这在基于知识的验证系统中是没有的。例如，在基于知识的身份验证系统中，攻击者面临的主要挑战是正确猜测授权用户的秘密。知道秘密后，在用户接口提供秘密并访问系统是轻而易举的。然而，在指纹系统中，获取个人指纹数据和在用户接口呈现获取的指纹数据都带来了特殊的挑战。下面第3节将介绍获取指纹数据的方法，第4节讨论把指纹数据呈现给指纹系统的方式，第5节讨论了相应的对策。此外，哈希和加密等密码学工具通常用于保护密码数据库。但是，正如第6节将要介绍的，这些技术不能直接用于保护指纹模板数据库。指纹模板的保护需要一类专门的新技术。

3、获取指纹的方法

让我们首先重新审视基于知识的身份验证的局限性，以便更好地理解指纹系统中的相应挑战。基于知识的身份验证的基本前提是身份验证密钥仅授权用户知道。但是，大多数用户根据他们容易记住的单词或数字设置密码，例如家庭成员的姓名和生日、最喜欢的电影或音乐明星以及常见单词。这使得密码很容易通过猜测或简单的蛮力字典攻击来破解。尽管建议为不同的应用程序使用不同的密码，但大多数人在多个应用程序中使用相同的密码。如果单个密码被泄露，它可能会打开许多应用程序。长而随机的密码更安全，但更难记住，于是一些用户将它们写在任意找到的位置（例如，智能手机或计算机上的笔记）。强密码容易被遗忘，因而导致密码重设成本。此外，攻击者只需破解一名员工的密码即可访问公司的Intranet，因此单个弱密码会危及系统的整体安全性。因此，整个系统的安全性仅与最弱的密码（最弱的环节）一样强。最后，当与同事共享密码时，系统无法知道实际用户是谁。

指纹比密码和令牌更难复制、共享和分发。指纹不会丢失或被盗，指纹识别要求该人出现在身份验证的地方。伪造指纹很困难，用户也不太可能否认使用过指纹系统。简而言之，除了生物特征识别之外，没有其他安全技术可以在自然人与人采取的行动之间提供如此紧密的联系。虽然所有这些声称的优势在理论上都是正确的，但从实际角度这些说法是可以质疑的。首先，事实证明，复制或窃取某人的指纹数据在实际中确实是可能的。众所周知，生物特征数据通常是个人的，但不是秘密的。例如，在社交媒体时代，个人的照片和视频被广泛发布和访问。虽然指纹不像人脸那样容易被秘密获取，但攻击者依然可以通过多种方式获取目标用户的指纹数据。例如，攻击者可以：

• 提取用户触摸物体时留下的潜指纹。
• 从用户在互联网上发布的高分辨率照片中提取指纹。
• 通过爬山法猜测指纹数据。
• 从模板库获取用户的指纹数据。

上述方法都是获取目标用户的指纹。此外，攻击者还可以使用来自公开指纹库的图像或生成的指纹图像来进行入侵。这种尝试可归类为零努力攻击，使用错误匹配率非常低的指纹系统即可抵御。这大大降低了攻击者选择这种攻击模式的动机。假设指纹匹配器以0.001%的错误匹配率（FMR）运行，那么平均需要10万次通用指纹数据的入侵尝试才能成功。但是，有些应用程序（例如解锁智能手机），不能任意设置很低的错误匹配率，以避免对真实用户造成不便（FNMR太高）。此外，智能手机中使用的指纹传感器通常具有较小的面积，并且只能采集部分指纹。因此，用户通常注册许多部分指纹以及多个手指。Roy等人（2017）证明，在这种场景下，攻击者可以创建所谓的“MasterPrints”，能与多个用户的大量指纹样本成功匹配。

下面描述获取目标用户指纹数据的方法。

3.1 提取潜指纹

要提取目标用户的潜指纹，攻击者需要了解该用户的行踪。攻击者跟踪目标用户，得到其触摸过的物体，从中取出潜指纹，并将其扫描成指纹图像。提取潜指纹的技术见关于指纹传感器的综述。与活体指纹传感器采集的指纹图像不同，潜指纹的质量通常较差，不完整、不清晰。要从困难的表面提取潜指纹，还需要专业知识和先进的提取工具。即使有正确的工具和专业知识，大多数提取的指纹质量也很差，无法通过指纹系统成功匹配。攻击者也没有可以利用的规模经济，因为单个潜指纹不能用于对多个用户发起攻击。此外，在远程应用中，攻击者获取潜指纹的可能性很低。因此，获取潜指纹既复杂又昂贵且用途有限。虽然没有具体的对策来杜绝攻击者提取潜指纹，但在大多数应用中，这种威胁都很小。尽管如此，在某些成功入侵的潜在回报非常高的应用中，这种威胁仍然需要引起注意。

3.2 从高清照片提取指纹

由于互联网、社交媒体和高分辨率数码相机（包括智能手机）的流行，出现了一种新的威胁。很多人经常在互联网上发布高分辨率照片。如果这些照片包含个人指纹的清楚图像，则有可能从照片中提取出指纹。例如，媒体报道表明，2014年一名德国黑客从数码相机远距离拍摄的高分辨率照片中秘密获取了一名官员的指纹（Hern，2014）。研究也表明，手机摄像头拍摄的指纹照片包含足够的信息，可以与传统的接触式指纹传感器采集的指纹成功匹配（Priesnitz等，2021）。虽然上述研究中的手指照片是在用户的合作下拍摄的（见下图），但是虽然相机技术和指纹处理算法的进一步发展，未来有可能从非合作和隐蔽拍摄的手指照片中提取出指纹。应对这种威胁的一种对策是可穿戴干扰图案（Echizen和Ogane，2018），它可以使手指照片模糊，但不影响传统指纹传感器的使用。

从高清照片提取指纹的过程（Priesnitz等，2021）

3.3 用爬山法猜测指纹

如果攻击者可以将合成的指纹图像（或特征表示）输入指纹系统，并且匹配器返回分数，则攻击者可以迭代优化生成指纹图像的过程，以增加入侵的几率（Soutar，2002）。爬山法可用于优化指纹图像或特征表示（如细节点集合）的生成。在这种情况下，即使生成的指纹数据与注册模板不完全一致，但只要它足够相似，就可以欺骗匹配器做出匹配决定。爬山软件可以迭代修改后续生成的指纹数据，使其匹配分数高于上一次迭代。

Soutar（2002）也提出了应对爬山攻击的策略。他建议增大指纹匹配器返回的匹配分数的粒度。如果匹配分数是粗粒度的（例如，对于[0，100]范围内的匹配分数，以10为粒度），那么爬山法将需要足够多的尝试才能观察到分数的变化，因此匹配分数超过系统阈值所需的尝试总数将变得非常大。在极端情况下，系统可能根本不输出匹配分数，而仅提供匹配或者不匹配的决定。在这种情况下，所需的尝试次数由错误匹配率（FMR）决定，当然前提是攻击者可以生成服从真实指纹分布的合成指纹。

3.4 从模板库盗取指纹

还有一种获取个人指纹数据的方法是入侵其在指纹系统的模板库。这可以通过串通或胁迫系统管理员或完全绕过模板库周围的安全防护来完成。指纹模板不必来自被攻击的同一系统，它可以从目标用户注册的任何指纹系统中获取。攻击者获得的指纹数据可以是指纹特征模板或指纹图像。长期以来，人们一直认为，如果指纹系统使用专有格式的指纹特征模板，则系统是安全的，不会被注入指纹数据，因为攻击者不知道其格式。类似地，由于特征模板是原始指纹图像高度抽象的结果，因此不可能从特征模板重建指纹图像。然而，事实证明这两种论点都是错误的。

如果攻击者可以得到指纹图像，他可以使用特征提取器轻松地将其转换为指纹特征模板（特征提取器不必与他打算入侵的指纹系统使用的提取器一样；只要使用相同的特征格式就够了）。专有特征模板的保密性很容易被拥有足够资源的攻击者打破。事实上，指纹识别系统采用标准模板已成为惯例，例如ISO/IEC 19794-2（2011）和ANSI/NIST-ITL 1-2011（2015）以及标准API（Soutar，2004）。因此，无论目标系统使用什么样的模板格式，都应该假设攻击者能将指纹图像转换为该模板。

从指纹特征模板精确重建原始的指纹图像是不太可能的，因为在特征提取过程中肯定会丢失某些信息。然而，进行足够欺骗自动指纹识别系统的指纹重建是可以做到的。包括Hill（2001），Ross等人（2007），Cappelli等人（2007），Feng和Jain（2011），Li和Kot（2012）以及Cao和Jain（2015）在内的研究人员已经表明，仅使用细节点模板就可以重建高质量的指纹图像。下图显示了从指纹细节点模板重建指纹图像的例子。这种“足够相似”的指纹图像成功欺骗指纹系统的概率很高。例如，利用Cao和Jain（2015）的重建方法，即使重建的指纹与同一手指的不同图像进行匹配，平均成功攻击率也超过95%。

从细节点重建指纹图像的四个示例。重建的图像（底行）不仅与获得细节点的原始图像（F1）非常匹配，而且与同一手指的不同图像（F2）也很匹配。S(x,y) 表示指纹识别软件估计的指纹x和y之间的匹配分数，其中分数大于50表示非常高置信度的匹配。（Cao和Jain，2015）

如果指纹识别系统使用非细节点的模板，则注册模板实际上可能包含整个指纹图像（也许是压缩的形式），如标准指纹数据格式ISO/IEC 19794-4（2011）。此外，标准指纹图谱数据格式（如ISO/IEC 19794-3（2006））包含从指纹图像提取的逐块小波系数，这也可以直接重建指纹图像。

3.5 保护指纹数据的方法

在获取个人指纹数据的各种方法中，直接从模板数据库获取指纹是最严重的威胁，因为它可以秘密完成，且高度可扩展（可以一举盗取大量指纹）。保护注册数据库中模板的简单方法是使用标准（和经过验证的）的加密技术（例如，高级加密标准AES算法），以加密形式保存模板。可以在不同的应用中使用不同的加密密钥，以便一个应用的模板不能与另一个应用的模板互换。如果加密密钥被泄露，可以使用新的加密密钥重新加密模板。但是，这种方法有一个严重的问题。与密码比对不同，传统的指纹匹配无法在加密域进行，需要在匹配之前解密模板。这是因为标准加密算法将输入空间中的微小差异转换为输出空间中的巨大差异，而同一手指的多个图像存在很大的类内差异，因此不可能在加密域中匹配它们。模板必须被解密就引入了安全漏洞，因为攻击者可以访问解密模板的内存或者尝试窃取解密密钥。一旦密钥被泄露并且模板被窃取，指纹模板是不便于撤销和重新颁发的。

保护注册模板的一种方法是将它们存储在防篡改的安全硬件上（详见第7节），并且不允许它们离开安全的硬件边界。这些方案（例如卡上匹配和片上系统）非常感兴趣（Grother等，2007）。苹果iPhone手机的Touch ID和Face ID系统均遵循这种方法，将生物特征模板存储在专用芯片的安全区域中（参阅Apple有关Touch ID和Face ID安全性的介绍）。这些技术的优点之一是模板分散存储在用户处。例如，用户始终拥有其驻留在安全区中的注册模板。避免集中存储还可以防止攻击者利用规模经济。但是，将模板存储在安全硬件上有一些缺点（例如，精度下降、额外成本等），并且在需要集中管理或以身份识别模式（1:N）运行的应用场景中很难实现。例如，某些应用允许用户从多个终端访问其帐户，而无需重新注册指纹，这就需要集中的模板管理。因此，即使解密密钥被泄露，也需要保护指纹模板的技术。即使攻击者获得了存储的模板，也不能让他跨不同应用链接用户的身份。解决此问题的技术称为模板保护技术，详见第6节。

由于不可能杜绝攻击者获取个人指纹数据，因此系统需要重点防范攻击者将获取的数据注入系统。防止针对特定用户帐户注入指纹数据的简单对策是在短时间内发生一定数量（例如3次）的指纹不匹配后锁定系统。这在攻击者使用通用指纹数据攻击的情况下可能会有所帮助，因为预计攻击者需要大量入侵尝试才能取得成功。攻击者也可能会针对大量帐户注入相同的通用指纹数据，而不是针对单个用户不断注入不同数据，但这种限制匹配次数的对策仍然提供了一定程度的保护。但是，如果攻击者可以获得目标用户的指纹数据，限制匹配次数并不能抵御攻击。在这种情况下，唯一的解决方案是防止攻击者将非法数据注入系统。要注意，注入可以在人机交互环节（指纹传感器）进行，也可以在指纹系统各个模块之间的通信通道进行。使用标准加密工具可以在很大程度上保护通信通道。因此，本文将专注于保护指纹系统免受在人机交互（传感器）环节注入数据的攻击，这些攻击通常称为指纹呈现攻击。

4、呈现攻击（Presentation Attack）

ISO/IEC 30107–1（2016）标准将呈现攻击定义为“向生物特征识别数据采集子系统进行呈现，以干扰生物特征识别系统的运行”。这些攻击可以通过多种方法实现（见下图），这些在标准中被称为呈现攻击工具（PAI）。针对呈现攻击的对策是为传感器添加硬件或软件模块，以便在对传感器采集的指纹做进一步处理之前，首先检测是否存在攻击。这样的模块称为指纹呈现攻击检测（PAD）。

指纹呈现攻击包括（a）伪造手指，（b）2D或3D打印指纹，（c）篡改指纹，（d）尸体手指（Chugh等，2017）

指纹系统中的呈现攻击工具包括（1）伪造手指（Matsumoto等人，2002），即制造手指状的物体以精确模仿另一个人的指纹结构，（2）2D或3D打印的指纹（Cao和Jain，2016；Arora等，2016；Engelsma等，2018），（3）整形指纹（Yoon等，2012），即故意改变或损坏真实指纹图案以避免被识别，以及（4）尸体手指（Marasco和Ross，2015）。在各种呈现攻击工具中，伪造手指和打印指纹是最常见和最容易实现的。

4.1 伪指纹

伪指纹有多种制造方法。据报道，可以使用日常廉价的材料（如明胶、硅胶、橡皮泥等）制造逼真的伪指纹，足以骗过指纹识别系统（见下图）。例如，2013年3月，一名巴西医生因使用硅胶制成的伪指纹欺骗圣保罗一家医院的指纹考勤系统而被捕（BBC新闻，2013）。2013年9月，苹果发布内置Touch ID指纹技术的iPhone 5S后不久，德国的Chaos计算机俱乐部（CCC，2013）根据注册用户的高分辨率指纹照片用木胶制作了伪指纹，成功欺骗了Touch ID系统。2016年7月，密歇根州立大学的研究人员使用2D打印指纹解锁了一部智能手机，以帮助警方处理凶杀案（Korkzan，2016）。2018年3月，印度拉贾斯坦邦的一个团伙通过蜡模中注入胶水制作伪指纹欺骗警方的指纹考勤系统，因此而被捕（Vidyut，2018）。很可能还有大量的伪指纹攻击未被发现，因此没有报告。

伪指纹可以由多种常见材料制作。此图显示了由这些材料制成的伪指纹以及使用光学采集器得到的灰度指纹图像。（Chugh和Jain，2021）

伪指纹制作可以在目标用户合作时进行。

在用户配合的情况下制作伪指纹。石蜡用于制造模具，硅胶用作铸造材料。

伪指纹制作还可以在无需目标用户合作的情况下进行。造假者可以通过第3节介绍的方法获得目标指纹图像，用作创建伪指纹的起点。

从指纹图像制作伪指纹的过程

4.2 篡改指纹

另一种形式的呈现攻击是故意更改指纹，这会导致所谓的篡改指纹（见图9.6和9.11）。这种呈现攻击的典型案例是，在出入境管控和刑事侦察中，涉事者试图隐藏其真实身份。与伪指纹不同，篡改指纹是真正的手指，只是其结构已通过磨、烧、切或手术而被严重改变。如下图所示，不同类型的更改程序会导致不同的指纹变化。篡改指纹分为三种类型：抹除、扭曲和模仿（Yoon等人，2012）。抹除包括磨损、切割、灼烧、使用强化学品等手段。皮肤病或某些药物的副作用也会抹除指纹。扭曲包括使用整形手术将正常的指纹图案转换为不寻常的指纹图案，例如将手指皮肤的某些部分移植回不同的位置，导致不寻常的图案。模仿是指用仔细的外科手术使改变的指纹显得很自然，例如，通过从另一根手指或脚趾整体移植皮肤，以便仍然保留类似指纹的图案。

三种类型的篡改指纹（抹除、扭曲和模仿）。图中还显示了它们的质量分数（基于NFIQ 2.0），其中分数接近100表示高质量，分数0表示质量低。（Tabassi等，2018）

早在1935年，就有篡改指纹以逃避刑事案件侦查的报道。Cummins（1935）报告了三例指纹篡改事件，并提供了篡改前后的图像。近年来，入境申请已成为篡改指纹的高发场景。2009年，据报道，日本官员逮捕了一个人，此人付钱给整形医生，让他在左右手之间交换指纹以逃避身份识别（Heussner，2009）。据报道，此人的拇指和食指上的皮肤被移去，然后移植到另一只手的手指。因此，当他非法重新进入日本时，此人的真实身份并未被发现。2014年，联邦调查局在其IAFIS指纹系统中发现了412条可能存在指纹篡改的记录（CJIS，2015）。2018 年，《商业内幕》（Business Insider）报道，2009年10月被列入FBI十大通缉犯名单的爱德华多·拉维洛（Eduardo Ravelo）接受过指纹整形手术以逃避身份识别（Weiss等，2020）。

5、呈现攻击检测

指纹系统难以应对呈现攻击以及媒体对一些案例的大量报道，使公众对指纹系统的安全性产生了疑虑。无人值守的指纹系统尤其令人担心，例如智能手机解锁、门禁、企业考勤系统、机场自助值机等。因此，在过去的二十年中，指纹呈现攻击检测（PAD）技术受到了高度重视（Marcel等，2019年；Souseik和Busch，2014）。自2009年以来，LivDet指纹活体检测竞赛连续多年举行（Yambay 等，2019），对各种指纹呈现攻击检测技术进行测试。几个政府资助的大型项目，包括美国IARPA ODIN项目（2016）和欧盟的TABULA RASA项目（2013），旨在推进生物特征识别（面部，指纹和虹膜）呈现攻击检测技术的发展。印度的Aadhaar项目（2021）是世界上最大的生物特征识别系统，注册人数达13亿人，也在资助检测伪造指纹、人像和虹膜的研究。

为了提高指纹识别系统对呈现攻击的鲁棒性，研究者提出了许多PAD方法。理想的PAD方法应满足以下要求：（1）非侵入性，（2）用户友好，（3）低成本，（4）高效率和（5）非常低的错误率。PAD方法可分为基于硬件和软件的方法。

5.1 硬件方法

手指皮肤是具有独特皮肤特性的分层组织。基于硬件的PAD方法利用专用传感器来检测活体迹象（例如，电学特性、皮下成像、血压、脉搏等），以区分真伪指纹。由于采用额外的硬件，这些方案价格相对昂贵，并且体积更大。基于硬件的PAD方法包括：

• 多光谱特性：专用的传感器可以使用各种波长和偏振光来获取手指表面以及皮下的特征，以区分真伪手指（Rowe等，2008）。有用的光学特性包括不同照明条件（如波长、偏振、相干）下的吸收、反射、散射和折射特性。然而，不难找到光学特性接近手指的材料（例如明胶）。在真手指上涂上一层薄薄的材料，如硅胶，也可以再现真手指的大部分光学特性。还可以把与人体组织一致的颜色添加到合成材料中，例如Play-Doh。

使用多光谱指纹采集器观察真实手指与各种材料假手指之间的光谱差异。曲线是8幅图像中每幅的平均亮度（实线为真实手指，在四个图中重复；虚线代表四种造假材料）。根据平均光谱特性可将真伪分开。（Rowe等，2008）

多光谱传感器的另一个例子是开源的RaspiReader指纹读取器。它采用双摄像头设计，可提供两个互补的信息流：原始直接视图RGB图像和高对比度的FTIR图像（见下图），可用于活体检测（Engelsma等，2019）。还有利用短波红外图像来训练深度神经网络以自动学习对PAD重要的特征（Tolosana等，2020）。

RaspiReader开源指纹采集器使用双摄像头提供两个对活体检测有用的互补信息流。虽然RaspiReader从真实手指和伪造手指采集的原始图像明显不同（中列），但是商用光学指纹采集器采集的图像看不到这种区别（右列）。（Engelsma等，2019）

• 电特性：人体组织的导电性不同于许多合成材料（如硅橡胶和明胶）。因此可以通过测量指纹传感器上的手指（或真或假）的电导率，以区分真假。Shimamura等人（2008）将阻抗测量模块植入电容式指纹传感器进行呈现攻击检测。然而，真手指的电导率在不同湿度和温度等天气条件下有很大差异。例如，如果假手指在水中浸泡过，其导电性可能与活手指的导电性无法区分。相对介电常数（RDC）也受到手指湿度的影响，因此在区分真假手指方面不是很有效。此外，在假手指上涂抹酒精就可以显著改变其RDC，因此可以使其与活手指无法区分。利用手指的电特性进行PAD的另一种方法是设计一种挑战-响应机制。传感器可以配备电极阵列，以观察验证期间手指对传输到指尖的电脉冲的响应（Yau等，2008）。

• 光学相干断层扫描（OCT）：由于皮下特征不外现，攻击者无法获得它们（除非用户配合使用OCT扫描）。因此，基于这些特征的检测技术有望应对大多数呈现攻击。OCT技术能够以高分辨率对人体组织进行无创成像，提供用于检测伪指纹的皮下信息（Darlow等人，2016）。不过目前的OCT采集设备体积庞大且价格昂贵。

• 超声波：高通公司为智能手机开发的屏下指纹传感器利用从手指表面反射的超声波得到指纹图像。真手指和假手指的声学响应差异可用于区分真伪（Agassy等，2019）。

• 气味：皮肤气味不同于明胶、乳胶、硅胶等合成材料的气味。气味可以通过使用化学传感器来检测，例如基于金属氧化物技术的传感器。这种传感器通过检测从有气味的材料中蒸发的微量分子来检测气味剂。电子鼻包含一系列这样的气味传感器（Baldisserra等，2006；Franco和Maltoni，2007）。

• 生物医学特性：这些手指活体检测方法基于对手指脉搏和血压的测量。然而，手指的脉搏率因人而异，并且也与具体时刻的身体活动和情绪状态有关。此外，手指按压传感器表面会改变脉搏值，而且单次脉搏测量可能需要长达五秒钟的时间。还有，如果将极薄的硅胶伪指纹粘在真正的手指上，也可以检测到脉搏。血压和心电图传感器也有类似的局限性。

5.2 软件方法

基于软件的方法利用静态指纹图像或指纹采集器捕获的一系列帧来区分真伪指纹。这类方法很有应用前景，因为不需要额外的硬件，并且可以通过更新软件升级检测能力。这些方法分为两类：动态和静态方法（Marasco和Ross，2015）。PAD的主要挑战之一是提高检测技术的泛化能力，即在面对训练时未知的造假材料和传感器时，保持好的性能。5.4节会讨论如何改进泛化能力。

5.2.1 动态方法

• 出汗：真正的手指在一段时间内会出汗，而伪指纹不会。在真正的手指中，出汗现象从汗孔开始，并沿着脊线扩散。汗孔周围的区域随着时间的推移逐渐扩大。要观察出汗过程，需要将手指放在采集器上几秒钟。下图显示了在三个连续时刻采集的同一手指的指纹图像。为了量化汗水引起的脊线特征的时间变化，可以将第一帧和最后一帧图像之间的像素值变化用作判别特征。Tan和Schuckers（2006）分析了沿脊线提取的信号（使用多分辨率纹理分析和小波分析），以检测来自单个指纹图像的出汗现象。据报道，三种不同的指纹扫描仪的正确分类率在84-100%之间。出汗分析方法的局限性在于不同人手指中水分含量的不同以及手指按压力度差异。

出汗导致指纹图像灰度随着时间而变化（Stephanie Schuckers提供）

• 皮肤变形：可以通过观察手指按在传感器表面时手指皮肤变形的特定方式来学习皮肤变形模型。由合成材料制成的假手指不太可能符合自然皮肤变形模型。事实上，皮肤通常比大多数创建伪指纹的材料更有弹性；此外，手指皮肤以特定方式变形，因为它固定在下面的真皮上，并且变形受指骨的位置和形状的影响。Zhang等人（2007）提出计算由不同方向压力引起的畸变能量以检测呈现攻击。正常指纹和扭曲指纹之间的全局失真可以使用成对细节点集之间的薄板样条（TPS）模型进行建模；由基于TPS模型的弯曲能量计算畸变能量。下图描述了这种方法的原理。Antonelli等人（2006a，b）认为，为了产生相关的（可测量的）失真，用户可以在故意旋转手指的同时对采集器施加足够的垂直压力。给定几个帧（帧速率为每秒 10-15 帧），计算来自连续帧对的特征向量（称为扭曲编码）。用户特定的扭曲编码可以在注册期间学习，并与验证时测量的扭曲编码进行比较。

Zhang等人（2007）提出用弯曲能量来建模手指皮肤变形

• 其他动态信息。除了试图捕捉人类手指的特定特性（如出汗或皮肤变形）之外，一些技术利用了指纹图像序列的一般动态信息。Chugh和Jain（2020）提出了一种基于深度神经网络的分类器，利用从10个图像帧中提取的局部指纹图像（以细节点为中心）进行PA检测。同样，Plesh等人（2019）使用具有时间序列和颜色传感功能的指纹传感器，提取了时空动态特征以实现PA检测。

5.2.2 静态方法

与需要几秒钟才能获取多个图像或视频序列的动态方法相比，静态方法从单个指纹图像中提取特征，因此更便宜、更快。静态方法可以提取手工设计的特征，例如解剖特征、基于质量的特征、纹理特征，或者机器学习的特征。

• 手工设计特征：2015 年之前的PA检测方法主要利用手工设计的特征，包括（1）解剖特征（例如，汗孔位置及其分布），（2）生理特征（例如，出汗）和（3）基于纹理的特征（例如，功率谱分析和局部描述子）。Marasco和Ross（2015）全面回顾了采用手工特征进行PA检测的各种方法。

• 机器学习特征：Nogueira等人（2016）使用深度卷积神经网络（CNN）自动学习对PA检测至关重要的特征，取得的性能优于基于手工设计特征的方法。为了避免过度拟合，作者对预训练的物体识别CNN网络进行微调。Pala和Bhanu（2017）采用了基于三重损失的深度度量学习框架，使用随机选择的局部块来训练自定义CNN架构。伪指纹制作过程所涉及的随机性会产生一些伪影，例如脊线区域缺失、皮肤干燥导致的裂缝等。这种噪声的主要后果是在指纹中产生虚假的细节点。这些虚假细节点周围的局部区域可以提供区分真伪的线索。Chugh等人（2018）利用在指纹细节点周围提取的局部块来训练CNN网络。Zhang等人（2019）的CNN网络分析基于重心的局部块，在LivDet 2017竞赛中取得了最佳性能（Yambay等，2019）。

5.3 检测篡改指纹（Detecting Altered Fingerprints）

检测被篡改的指纹对公安和出入境机构具有重要价值。检测指纹篡改的方法主要利用经验设计的特征，以区分篡改指纹和正常指纹。正常指纹应具有平滑的脊线方向场（除奇异点附近），以及空间分布合理的细节点。然而，即使在篡改指纹的非奇异点区域，也常有不连续的脊线，并且在疤痕和篡改区域可以提取出大量虚假细节点。

Yoon等人（2012）分析了这些基于方向场和细节点分布的特征，以检测篡改指纹。作者使用多项式模型对初始测量的方向场进行拟合，并使用Parzen窗方法估计细节点密度图。作者将初始测量和拟合的方向场之间的误差图和细节点密度图作为特征，利用一批样本来训练支持向量分类器估计图像的指纹度（fingerprintness）。指纹度接近0表示输入指纹图像很可能是篡改的，接近1则表示正常指纹。作者在包含270人的4433个篡改指纹的数据库上进行了测试，篡改指纹的检测率为70.2%，误报率（正常指纹被错误分类为篡改指纹的几率）为2.1%。Ellingsgaard和Busch（2017）的篡改指纹检测方法是基于对指纹图像的两种不同局部特征的分析：像素级方向场的不规则性和局部块中的细节点方向。他们的方法在116张篡改和180张正常指纹图像上进行了测试。Tabassi等人（2018）采用了深度学习方法来自动学习对检测和定位篡改区域至关重要的显著特征。他们的模型能检测到99.24%的篡改指纹，而误报率为2.0%（见下图）。

篡改指纹检测和定位的示例。红色突出显示的区域表示指纹的篡改部分，而绿色突出显示的区域表示正常指纹区域。（Tabassi等，2018）

5.4 性能评测

5.4.1 指标

可以使用以下指标评估PAD方法的性能：

• 攻击呈现分类错误率 （APCER）。呈现攻击（伪）指纹被错误地接受为真实指纹的百分比。

• 真实呈现分类错误率 （BPCER）。真实指纹被错误地拒绝为呈现攻击（伪）指纹的百分比。

APCER 和 BPCER 值都取决于PAD系统设置的阈值。因此，它们通常需同时报告，即BPCER取特定值时的APCER或者APCER取特定值时的BPCER。例如，一些研究报告APCER @ BPCER = 0.2%。此值表示当拒绝合法用户的比率不超过0.2%时，被PAD错误接受的伪指纹的比例。同样，BPCER @ APCER = 1.0% 表示，当未检测到的呈现攻击百分比为1.0%时，被PAD错误拒绝的真实手指的比例。

• 检测等错误率（D-EER）。当设置在某阈值时，APCER等于BPCER，此时的错误率称为D-EER。

• 平均分类错误率（ACER）。某个阈值下APCER和BPCER的平均值。由于ACER取决于具体阈值，因此其用途不如APCER @ BPCER或D-EER等标准指标。

5.4.2 数据库

开发和评估PAD方法需要大量的真实和伪造指纹，要充分考虑多种伪造材料、人口多样性、各类传感器等因素。自2001年以来，一些公开的指纹呈现攻击数据库已被用于算法基准测试，并推进了PA检测的发展。一些早期的数据库规模有限，包含了数量有限的PA材料和指纹传感器。下表汇总了最近被广泛使用的公开数据库。有关2015年之前收集的PA数据集的更多信息，读者可以参考Marasco和Ross （2015） 。

数据库	指纹采集器（技术）	真指纹数/伪指纹数	人数/伪造材料数
LivDet 2009	Biometrika (optical)	2,000/2,000	50/3
	CrossMatch (optical)	2,000/2,000	254/3
	Identix (optical)	1,500/1,500	160/3
LivDet 2011	Biometrika (optical)	2,000/2,000	50/5
	Digital Persona (optical)	2,000/2,000	100/5
	ItalData (optical)	2,000/2,000	50/5
	Sagem (optical)	2,000/2,000	56/5
LivDet 2013	Biometrika (optical)	2,000/2,000	75/5
	CrossMatch (optical)	2,500/2,500	235/4
	ItalData (optical)	2,000/2,000	250/5
	Swipe	2,500/2,500	75/4
LivDet 2015	Biometrika (optical)	2,000/2,500	51/6
	CrossMatch (optical)	3,010/2,921	51/5
	Digital Persona (optical)	2000/2,500	51/6
	Green Bit (optical)	2,000/2,500	51/6
LivDet 2017	Digital Persona (optical)	2,691/3,227	−/6
	Green Bit (optical)	2,700/3,240	−/6
	Orcanthus (thermal)	2,700/3,218	−/6
LivDet 2019	Digital Persona (optical)	2,019/2,224	−/7
	Green Bit (optical)	2,020/2,424	−/6
	Orcanthus (thermal)	1,990/2,288	−/6
MSU FPAD	CrossMatch (optical)	5,743/4,912	100/12
	Lumidigm (multispectral)	4,500/4,500	100/4

5.4.3 泛化性

现有PAD方法普遍存在的一个不足是泛化性不好，也就是对PA检测器训练期间未看到的未知或新型PA材料检测性能差。为了提高PAD算法对于造假材料的泛化能力（称为跨材料性能），一些研究将PAD视为开放集识别问题。下表总结了主要侧重于指纹PAD泛化的研究。Rattani等人（2015）应用Weibull校准SVM（WSVM），一种基于统计极值理论特性的SVM变体，以检测由新材料制成的伪指纹。Engelsma和Jain（2019）提出在活体指纹图像上使用生成对抗网络（GAN）集合，假设鉴别器在区分真实活体指纹和合成活体指纹时学习到的特征，也可用于将真实指纹与伪造指纹分开。

文献	方法	数据库	性能
Rattani et al. (2015)	Weibull-calibrated SVM	LivDet 2011	D-EER = 19.70%
Chugh et al. (2018)	MobileNet trained on minutiae-centered local patches	LivDet 2011–2015	ACER ≈ 0.97% (LivDet 2015), 2.93% (LivDet 2011, 2013)
Chugh and Jain (2019)	Identify a representative set of spoof materials to cover the deep feature space	MSU-FPAD v2.0	APCER = 24.76% @ BPCER = 0.2%
Engelsma and Jain (2019)	Ensemble of generative adversarial networks (GANs)	Custom database	APCER = 50.2% @ BPCER = 0.2%
Gonzalez-Soler et al. (2021)	Feature encoding of dense-SIFT features	LivDet 2011–2019	BPCER = 1.98% - 17% @ APCER = 1% (unknown PAI)
Tolosana et al. (2020)	Fusion of two CNN architectures trained on SWIR images	Custom database	D-EER = 1.35%
Zhang et al. (2019)	Slim-ResCNN + Center of Gravity patches	LivDet 2017	ACER ≈ 4.75%
Chugh and Jain (2021)	Style transfer between known spoof materials to improve generalizability against completely unknown materials	MSU-FPAD v2.0 and LivDet 2017	APCER = 8.22% @ BPCER = 0.2% (MSU-FPAD v2.0); ACER ≈ 4.12% (LivDet 2017)
Grosz et al. (2020)	Style transfer with a few samples of target sensor fingerprint images + Adversarial Representation Learning	LivDet 2015	APCER = 12.14% @ BPCER = 0.2% cross-sensor & cross-material

已有研究表明，训练中使用的伪造材料直接影响了针对未知材料的性能。Chugh和Jain（2019）分析了12种不同材料的材料特征，以确定出具有代表性的六种材料，可以涵盖了大部分材料特征空间。尽管此方法可用于确定在训练数据集中包含新的材料是否有益，但对于训练期间未知材料的泛化性能并没有帮助。Chugh和Jain（2021）提出了一种风格迁移包装器（普适材料生成器），以提高任何伪指纹检测器对未知材料的泛化性能。它在已知材料的指纹图像之间传递风格特征，目的是合成未知材料对应的指纹图像，去占据深层特征空间中已知材料之间的空间。

需要考虑的另一个泛化维度是关于指纹传感器。使用不同指纹传感器采集的指纹图像通常由于不同的传感技术、传感器噪声和不同的分辨率而具有独特的性质（见下图）。这会导致跨传感器时的泛化性能较差。跨传感器是指，使用一种传感器采集的图像训练伪指纹检测器，然后在另一种传感器采集的图像上进行测试。Grosz 等人（2020）利用来自目标传感器的一些指纹样本将其传感器纹理特征转移到来自源传感器的指纹图像以进行域自适应。此外，他们利用对抗表示学习来学习传感器和材料无关的特征表示，以提高泛化性能。

六个不同指纹采集器得到的真实指纹图像存在很大纹理差异（Grosz等，2020）

5.5 挑战与开放问题

尽管在过去二十年里指纹PAD算法的性能有了显著提高，但LivDet 2019竞赛的结果表明，性能最佳的基于软件的PAD技术在检测已知呈现攻击方面的平均分类错误率（ACER）仍约为3.83%。研究表明，当应用于未知材料的数据集时，软件PAD技术的错误率会增加三倍（Chugh和Jain，2021）。跨传感器的泛化也存在类似的性能差距。此外，指纹PAD系统不是独立工作的，需要与整个指纹识别系统集成。PAD算法的错误会影响指纹识别系统的准确性。例如，LivDet 2019中遵循的集成测试协议显示，使用PAD的最佳指纹系统的总体准确率仅为96.88%（包括PAD算法和指纹匹配器所犯的错误），这对于指纹系统来说是较低的指标。

除了泛化能力差的问题外，该领域还有其他挑战和开放问题：

• 可解释性：卷积神经网络（CNN）的使用彻底改变了指纹PAD的研究，实现了前所未有的性能提升。但这些解决方案通常被认为是“黑箱”，很难揭示它们如何以及为什么实现如此高的性能。深入了解CNN学会了什么来区分真伪是至关重要的。目前所能做到的是观察对最终分类起作用的图像区域（见下图）。

对指纹PAD网络的分类结果起作用的指纹块（Chugh，2020）

• 效率：为智能手机和嵌入式设备设计的PAD技术需要考虑高计算效率和低资源消耗。

• 攻击者的适应性：加密技术的发展表明，任何基于算法保密性的安全解决方案都无法保证长期有效。这是因为秘密只需要由一个人破解，整个加密方案就完全失败了。因此，我们应该假设指纹系统正在使用的PAD技术是公共可用的。因此，攻击者可能很容易设计出一种可以绕过特定PAD技术的伪指纹。例如，如果已知基于硬件的PAD技术靠测量脉搏区分真伪，则可以设计一个手指的三维模具，该模具的外表面具有指纹纹理，内部具有脉搏发生装置。某些特征可能比其他特征（例如出汗或皮下特征）更容易模拟（例如人体皮肤的热或光学特性）。同样，众所周知，CNN容易受到巧妙设计的对抗性样本的影响，那么基于CNN设计的PAD技术自然也难免。

6、模板保护

前文解释了为什么基于知识的认证系统使用的典型加密方法（例如，hashing和加密）不适合指纹系统。因此研究者提出了多种保护生物特征识别模板（包括指纹）的方法。虽然模板保护在任何生物特征识别系统（例如指纹、人像和虹膜）中都是一个具有挑战性的问题，但由于同一手指的多次捺印存在很大的类内差异，因此在指纹系统中的挑战尤其大。与虹膜识别不同，虹膜识别普遍采用称为虹膜码（IrisCode）的固定长度二值码，指纹系统通常使用基于细节点的无序集合表示，这种表示在原理上很难保护。

生物特征模板保护技术的一般框架如下图所示。指纹模板保护算法不是以原始形式存储生物特征模板，而是存储从原始模板得出的受保护指纹模板。受保护的指纹模板不仅包含指纹信息（例如，细节点），还包括需要存储的其他系统参数（例如，加密哈希值），以及不直接泄漏用户身份信息的侧面信息（例如，指纹对齐所需的信息、特征质量等）。另一方面，补充数据是指未存储在数据库中但在注册和身份验证期间都需要的信息。补充数据的例子包括用户除了指纹之外提供的密码或密钥。补充数据的使用是可选的，但如果使用，它可提供额外的身份验证因子。

含模板保护模块的指纹验证系统（Nandakumar和Jain，2015）

在上图所示的模板保护框架中，引入了一个称为特征适配（feature adaption）的可选步骤。尽管该模块在保护指纹模板方面没有发挥直接作用，但其目标是将指纹特征中的类内变化最小化到安全匹配算法可以处理的水平。在许多应用中，特征适配模块还以简化的形式（例如，二值字符串）表示原始特征，而不会稀释其独特性。6.5节详细讨论了各种特征适配策略。

6.1 应有的特征

在生物特征模板安全方面，受保护的生物特征模板通常被视为是攻击者可以获得的公开信息。因此，它应满足以下三个属性：

1. 不可逆性：从受保护的指纹模板获取原始指纹模板应该是计算很困难的。不可逆性可防止利用指纹模板来发起呈现攻击，从而提高指纹系统的安全性。该属性的后果之一是指纹匹配需要在变换空间进行，可能很难实现高精度。
2. 可撤销性：从同一指纹的多个受保护模板获取原始指纹模板应该在计算上很困难。此外，应该可以从同一指纹模板生成大量受保护的模板（以便用于不同的应用）。这样，就可以在注册数据库遭到入侵时撤销并重新颁发指纹模板。此外，这可以防止攻击者通过攻击同一个人注册的多个数据库来获取原始模板。
3. 不可链接性：在计算上应该很难确定两个或多个受保护指纹模板是否来自同一指纹。不可链接性可防止不同应用之间的交叉匹配，从而避免功能蔓延（function creep），并保护个人隐私。

理想的模板保护算法除了满足上述三个特性外，不得大幅降低指纹系统的识别精度。在许多指纹识别应用中，特别是涉及数百万用户的应用（例如，出入境和国家身份证系统），识别准确性至关重要。如果准确性大幅下降，它将构成安全链中最薄弱的环节。例如，攻击者可能会尝试使用指纹字典进行暴力攻击，而不是重建指纹模板，从而导致错误接受。此外，在实际应用中还必须考虑吞吐量（单位时间内可以执行的指纹比对次数）和模板大小等问题。

要注意，必须同时满足上述所有属性，模板保护方案才能在实践中有效。例如，如果受保护的指纹模板是不可逆的，但不是不可链接的，则即使指纹数据受到保护，攻击者也将能够执行功能蔓延。设计满足上述所有属性的模板保护技术是一项非常具有挑战性的任务。特别是，由于以下原因，模板保护技术通常会导致不可逆性和匹配准确性之间的不可接受的权衡（Nagar等，2010；Wang等，2012）。最大化不可逆性意味着受保护的指纹参考应尽可能少地泄漏有关原始模板的信息。然而，只有当受保护的模板保留原始模板包含的所有鉴别信息时，才能实现高精度匹配。克服这个难题对于开发有效的模板保护技术至关重要。

解决准确性与安全性权衡问题的第一步是明确定义安全性的概念，建立指标来量化安全属性，例如不可逆性和不可链接性，并开发计算此类指标的方法。通常，指纹系统的错误匹配率（FMR）被认为是不可逆性的上限。由于大多数实用的指纹系统都会限制身份验证失败次数，因此攻击者通常无法发起在线的零努力攻击。因此，最好将零努力攻击的漏洞视为一种独特的威胁，并在应用指纹模板保护前后报告指纹系统的FMR。理想情况下，FMR应作为识别性能的一部分，而不是安全性分析中。此外，模板保护后生物特征识别系统的FMR应基于攻击者对系统有充分了解的假设来报告，包括可以访问任何补充数据（如果使用）。

由于不可逆性表示从受保护的指纹模板获得原始指纹模板的难度（无论是精确的还是在很小的误差范围内），因此不可逆性的直接衡量标准是给定受保护模板$v$时原始指纹模板$x$的条件熵，即$H(x|v)$。随机变量的熵是其平均信息量或平均不确定性。因此，$H(x|v)$测量在给定$v$知识的情况下估计$x$的平均不确定性。$H(x|v)=H(x)-I(x;v)$ ，其中$H(x)$是原始指纹模板$x$的熵，$I(x;v)$是$x$和$v$之间的互信息。有时，$I(x;v)$也称为熵损失，它衡量受保护模板泄漏的有关原始模板的信息量。熵损失可以用来比较应用于相同指纹数据的多个模板保护方案。在这种情况下，由于$H(x)$是常数，因此应首选熵损失较低的方案，因为它将导致更大的$H(x|v)$。虽然条件熵可以衡量由受保护模板猜测原始模板的平均难度，但研究人员也建议使用最小熵（Dodis等，2008）来考虑最坏的情况。最小熵反映的是离散随机变量最可能值的不确定性。

虽然上述用于测量不可逆性的指标在理论上是合理的，但对于任意指纹模板保护方案来说，它们并不容易计算。在大多数生物特征密码系统中，基础纠错技术的固有属性可用于建立熵损失的上限（Dodis等，2008；Ignatenko和Willems，2009，2010；Lai等，2011）。通常，熵损失是系统纠错能力的递增函数。换句话说，如果需要对类内变化的更大容忍度，则熵损失会更高。因此，生成的受保护指纹模板将泄漏有关原始模板的更多信息。由于上述边界通常是基于有关指纹特征分布的简化假设得出的，因此它们的效用将取决于给定指纹特征符合这些假设的程度。即使对熵损失有可靠的估计，仍然难以直接计算$H(x|v)$。这是因为估计指纹特征熵$H(x)$的复杂性。估计指纹特征熵的主要困难是缺乏统计模型来准确描述类内和类间的差异。

6.2 模板保护方法

研究者提出了许多模板保护技术，目的是在不影响识别性能的情况下确保不可逆性、可撤销性和不可链接性。ISO/IEC 24745（2011）标准为生物特征信息保护提供了一般指导。根据该标准，受保护的生物特征模板分为两部分，即假名标识符（pseudonymous identifier，PI）和辅助数据（auxiliary data，AD）。根据这两部分（PI和AD）的生成方式，指纹模板保护方案可以大致分为：特征变换方法和生物特征密码系统（Nandakumar和Jain，2015）。

• 特征变换：特征变换方法（见下图）将不可逆（或单向）函数作用于指纹模板。变换后的模板作为PI存储在数据库中，而转换参数存储为 AD。在身份验证时，AD可以将相同的变换函数应用于查询指纹并构造PI′，并将其与存储的PI进行比较。因此，指纹匹配直接在变换域进行。虽然某些特征变换方案仅在补充数据（例如，密钥或密码）为机密时才满足不可逆性，但还有其他技术可以在不需要任何机密的情况下生成不可逆的模板。根据定义，前一组算法是多因子身份验证方案，仅在某些访问控制应用中可行。后一类方案可用于许多应用中（例如警用），在这些应用中，使用用户特定的补充数据可能是不可行或不可取的。特征变换方法将在6.3节中详细讨论。

基于特征变换的指纹模板保护方法的流程（Nandakumar和Jain，2015）

• 生物特征密码系统：在生物特征密码系统中（见下图），辅助数据通常被称为安全草图（secure sketch），通常使用纠错编码技术得出。虽然安全草图本身不足以重建原始指纹模板（不可逆性），但它确实包含足够的信息，以便在有与注册指纹非常匹配的查询指纹图像时恢复原始模板。安全草图可以是将纠错码应用于指纹模板的伴随信息（密钥生成密码系统），也可以通过将指纹模板与由加密密钥索引的纠错码绑定来获得。注意此加密密钥独立于注册模板，因此该方法称为密钥绑定密码系统。需要强调的是，指纹密钥绑定密码系统与使用标准加密技术的密钥加密指纹模板不同。与加密模板不同，安全草图将指纹模板和加密密钥嵌入单个实体中。除非提供匹配的指纹，否则安全草图极少泄露它们的信息。原始指纹模板的加密哈希或用于索引纠错码的密钥存储为PI。生物特征密码系统中的匹配是通过使用安全草图（AD）结合查询指纹特征来恢复原始模板来间接执行的。恢复的模板用于重新生成新的假名标识符（PI′），该标识符与存储的PI进行比较，以确定查询指纹和注册模板是否匹配。

基于指纹密码系统的模板保护方法的流程（Nandakumar和Jain，2015）

这两种模板保护方法各有其优点和不足。特征变换方法更容易实现可撤销性，因此也被称为可取消的生物特征（Patel等，2015）。但特征变换方法的挑战是找到一个适当的变换函数，既能保证不可逆性，又能容忍类内变化。在特征变换的情况下，通常很难在理论上测量变换方案引入的熵损失。因此，特征变换方案的不可逆性通常基于模板反演攻击的计算复杂度进行经验测量。

如果我们假设生物特征数据的分布是已知的，那么生物特征密码系统的优势在于安全草图泄漏信息（熵损失）的边界可知（Dodis等，2008；Ignatenko和Willems，2009）。另一方面，大多数生物特征密码系统要求以二值串和点集等标准化数据格式表示特征，这通常会导致鉴别信息的丢失，从而导致识别准确性下降。此外，大多数生物特征密码系统使用线性纠错码，其中码字的任何线性组合也是码字。因此，如果使用不同的码字从相同的指纹数据推出两个安全草图，则这两个草图的合适线性组合极有可能产生可解码的码字。这为验证两个安全草图是否来自同一手指铺平了道路，从而使它们可链接。因此，很难在指纹密码系统中实现不可链接性。克服上述限制的一种方法是在使用指纹密码系统保护指纹模板之前，将特征变换函数作用于指纹模板。由于这涉及特征变换和安全草图生成，因此此类系统被称为混合生物特征密码系统（Boult等，2007；Feng等，2010）。

生物特征密码系统还有一个有趣的额外好处。众所周知，密钥管理是大多数加密系统中很棘手的问题之一。这是因为只有当解密密钥安全时，加密的密钥才是安全的（见下图a）。通过使用生物特征密码系统可以缓解加密密钥管理的难题，其中安全匹配过程生成的密钥可以在另一个应用中解密加密的密钥（见下图b）。因此，可以确保只有在成功的生物特征身份验证后才能访问加密的密钥。

a

利用指纹密码系统缓解密码系统中的密钥管理问题。（a）密码系统的典型工作流程；（b）将指纹密码系统用作安全密钥释放机制

除了特征变换和生物特征密码系统之外，另一种很有前景的方法是基于**同态加密（homomorphic encryption）**的安全计算（Acar等人，2018）。同态加密 （HE） 提供了直接对加密数据执行某些数学运算的能力。例如，如果使用HE方案对指纹模板进行加密，则可以直接在加密域中进行匹配，而无需解密模板。从这个意义上说，同态加密在概念上类似于特征变换，但它为加密模板的安全性提供了非常强大的加密保证。特别是，密码学界在过去十年中开发了完全同态加密（FHE）方案（Gentry，2009），这些FHE结构允许对加密数据进行加法和乘法运算。因此，现在可以计算加密数据的任何多项式函数，从而能够在加密域中实现更复杂的指纹匹配算法。虽然FHE方法允许直接在加密域中执行生物特征匹配，但它的代价是会显著增加计算和通信开销（Bringer等，2013）。尽管存在这种限制，Engelsma等人（2021）已经表明，使用紧凑的指纹特征表示，可以在加密域中以1.26毫秒的时间执行匹配，这个速度在大多数身份验证应用中是完全可以接受的。加密域匹配的另一个限制是匹配过程的结果（例如，匹配分数）保持加密状态，直到使用私钥解密为止。这需要仔细设计身份验证系统，以便匹配器和决策模块不会同时被破坏。当数据库和匹配器完全对加密数据进行操作时，决策模块持有密钥以解密匹配结果并做出匹配/不匹配决策。

6.3 特征变换

特征变换是通过不可逆变换将原始指纹模板转换到另一个表示空间以保护指纹模板。最流行的不可逆变换是单向加密哈希函数，表示为 c = Hash(x)，它与验证函数 V(x,c) 一起使用，V(x,c) ⇒ {True，False}。理想情况下，只有在 c = Hash(x) 时，V(x,c) ⇒ True。此外，这对函数必须具有以下属性：

• 抗碰撞性：如果 x ≠ y，则很难找到 x 和 y，使得 Hash(x) = Hash(y)。
• 预映像：如果攻击者可以得到哈希代码 c = Hash(x)，并且知道哈希函数 Hash(.)，则确定数据 x* 以使 V(x*,c) ⇒ True 的唯一方法是穷举搜索 x（即暴力攻击）。

因此，单向哈希函数提供的安全性（加密强度）取决于数据x的信息量。哈希技术广泛用于基于密码的身份验证系统；用户注册时，密码的哈希值被存储在数据库中（见下图a）。用户验证时，输入密码也进行哈希映射，并与存储的哈希密码进行比较。由于这种变换在加密意义上是不可逆的，因此即使知道确切的变换以及变换后的密码，也无法恢复原始密码。不同的变换（或不同的变换参数）用于不同的应用，就可以避免密码的交叉使用。

用哈希法保护指纹模板。（a）密码通常在哈希后储存在数据库中；收到新密码时，将对其进行哈希处理，并与经过哈希处理的注册密码进行比较。即使有人入侵了哈希密码数据库，密码并不会泄露。（b）类似方案应用于指纹识别。仅存储原始指纹模板的可靠哈希值，因此，即使攻击者入侵了数据库，指纹信息也不会泄露。

理论上，这一概念也适用于指纹。在注册时，数据库不存储指纹模板，而是存储模板的哈希值；在验证时，查询模板也会被哈希映射，并在变换空间中进行指纹匹配。需要重新注册时，对指纹使用不同的变换（或变换函数的不同参数）即可实现可撤销性。而哈希函数可以保证不可逆性。因此，这种方法在理论上非常有吸引力。

但是，密码哈希和指纹哈希之间存在巨大的差异。每次身份验证时，密码是相同的，但指纹图像总会有变化，这就得不到相同的哈希值。比较指纹哈希模板的一个主要障碍是恢复注册指纹和查询指纹之间的正确对齐。克服这一挑战的方法在6.5节中讨论。即使指纹是预先对齐的，也需要一种强大的哈希技术，并且变换域中的匹配需要对类内变化具有不变性（见上图b）。因此，从指纹（以及各种生物特征）的角度来看，很难找到既安全又准确的不可逆特征变换。

Ratha等（2001）提出了基于特征变换的模板保护概念。Ratha等（2007）提出了三种针对指纹的不可逆变换。这些变换函数可以变换指纹细节点模板，变换后的细节点模板仍然可以用现有的细节点匹配器来匹配。该研究的主要结论是，变换函数需要局部平滑以保持匹配精度。但是如果变换是全局平滑的，则很容易反转它，是不安全的。挑战在于如何在这两个相互竞争的要求之间找到合理的平衡。作者建议使用局部平滑但不是全局平滑的曲面折叠变换函数（见下图）；该函数是折叠的，即原始空间中的多个位置映射到变换空间中的同一位置。这类似于标准加密哈希函数的不可逆性。然而，该变换具有较低的折叠程度，只有8%的细节点在变换后受到干扰。因此，尽管匹配精度高，该方法的不可逆性并不强。

在Ratha等人（2007）提出的特征变换函数中，细节点的位置和方向都通过表面折叠函数改变。好比把细节点嵌入一张纸中，然后将其弄皱。此函数是局部平滑的，但不是全局平滑。随着变换参数的增加（从中间图移到右图时），不可逆性增加，但匹配精度降低。这种方法需要在不可逆性与准确性之间进行权衡。

这类方法的其他技术还包括Sutcu等（2007b），Tulyakov等（2007），Ferrara等（2012），Moujahdi等（2014）。然而，这些技术都不能在各种要求（如匹配精度、不可逆性、可撤销性和不可链接性）之间取得适当的平衡。

如果将补充数据引入特征变换框架，则可以实现非常高的匹配精度、可重复性和不可链接性。主要缺点是，不可逆性现在完全取决于保持补充数据的保密性。因此，这种做法本质上属于多重身份验证。生物哈希（biohashing）是这种方法下最著名的模板保护算法（Teoh等，2006）。一旦补充数据落入攻击者手中（密钥被盗），随机性就会消失（Kong等，2006）。因此这些技术的性能通常会低于前面描述的其他不可逆变换方案。在密钥被盗时，即使由于量化而丢失了少量信息，也可以从受保护的模板中恢复原始指纹模板的近似值（Jain等，2008）。为了提高生物哈希方法的安全性，建议不存储密钥，而由用户记住，但这又带来了密码身份验证方案的弱点。

6.4 指纹密码系统（Fingerprint Cryptosystems）

密码学家在寻找从有噪声的输入数据中提取加密密钥的技术过程中，提出了指纹密码系统的概念。由于生物特征数据本质上是有噪声的（例如，同一手指的不同图像相似，但不完全相同），并且可以在生成密钥时容易从用户那里获取，因此适合作为密钥生成过程的输入。然而，只有消除数据中的噪声，才能生成可靠的加密密钥。信息论领域对付信道噪声的标准工具是纠错编码。因此，几乎所有生物特征密码系统都使用某种纠错编码方案的变体。Dodis等人（2008）提出了两种结构，将生物特征数据转换为通用加密应用的密钥：安全草图（secure sketch）和模糊提取器（fuzzy extractor）。

• 安全草图解决指纹的类内变化。此方法生成的受保护指纹模板称为“原始指纹模板的草图”。草图对原始模板信息的泄漏极小，因此可以公开。给定与原始指纹模板足够接近的查询模板，原始模板可以从安全草图精确重建。

• 模糊提取器超越了安全草图的概念，同时解决指纹的类内变化和不均匀性。也就是说，它能以容错的方式从输入中提取均匀的随机字符串（密钥）。如果指纹输入发生一些变化，提取的密钥保持不变。不过，在指纹模板保护方面，安全草图比模糊提取器更重要。

在密钥绑定生物特征密码系统中，加密密钥和给定的指纹模板在加密框架内被整体绑定在一起以生成安全草图。Juels和Wattenberg（1999）提出了一个称为模糊承诺（fuzzy commitment）的框架。用户随机选择纠错码的码字C。然后将C的哈希值存储为假名标识符（PI），原始模板T和C之间的差异存储为辅助数据（即AD = T − C）。此辅助数据或差分向量 （T − C） 将码字 C 绑定到模板 T。在验证时，查询模板 I 用于计算向量 C’ = I − (T − C)；如果 I 与 T 相似，则 C’ 预期应该与 C 相似，然后将纠错应用于 C’ 以获得 C"。最后，将存储的Hash©与Hash(C")进行比对；如果 I 足够接近 T，可以精确恢复正确的码字（即 C" = C），则比对成功。然而，Juels和Wattenberg（1999）没有报告具体的实现方法和实验结果。模糊承诺方案要求指纹模板是已对齐且有序的。由于大多数纠错方案都使用二进制数据，还需要将指纹模板表示为二值串。

Juels和Sudan（2002）的模糊保险柜（fuzzy vault）是模糊承诺的顺序不变版。换句话说，模糊保险柜不要求生物特征是有序列表。这个特性对指纹识别有利，因为最流行的指纹表示（即细节点集合）是无序的，任何对细节点进行排序的方案都可能导致鲁棒性问题（因为细节点的增加、减少、坐标变化都可能打乱顺序）。在模糊保险柜方法中，用户（例如Alice）将一个秘密值$K$（例如，她的私钥）放入保管库中，并使用无序集$T_A$（例如，她指纹的细节点集合）锁定（保护）保险柜。另一个用户（比如Bob）使用另一个无序集$I_B$，无法解锁保险柜（因此无法访问秘密$K$），除非$I_B$与$T_A$足够相似。为了构建保险柜，Alice执行以下操作：

1. 选择编码K的多项式$p$（例如，通过根据K固定$p$的系数）。
2. 计算$T$中元素的多项式投影$p(T)$。
3. 添加一些噪声（即，随机生成的杂点（chaff point），其投影值与对应于$p$的值不同）以导出最终点集$V$（对应于模糊保险柜方法的辅助数据）。

当Bob尝试学习$K$时（例如，通过查找$p$），他使用自己的无序集合$I_B$。如果$I_B$与$T_A$不够相似（这是意料之中的，因为Bob的指纹应该与Alice的指纹非常不同），他将无法在$V$中找到许多位于$p$上的点，特别是考虑到杂点会误导Bob的努力。因此，Bob将无法获得$K$。另一方面，当Alice需要从保险柜中检索$K$时，她将提供一个新的无序集合$I_A$，该集合源自她手指。现在，由于$I_A$与$T_A$足够相似，通过使用纠错码（例如，Reed Solomon码），Alice将能够重建$p$，从而重建她的密钥$K$。下图演示了模糊保险柜技术的注册和验证过程。

利用模糊保险柜保护指纹模板

许多研究人员试图将安全草图应用于指纹模板保护。这些方法在以下方面有所不同：（1）如何预先对齐指纹或者从指纹提取对齐不变的特征，（2）如何将原本的指纹表示调整为适合所选安全草图结构的格式（例如，对于模糊保险库，使用无序集合和集合距离度量；对于模糊承诺，使用二值串和汉明距离度量）。这里推荐Rathgeb和Uhl（2011）和Rane等（2013）的综述。Sutcu等人（2007a）分析了安全草图方法，并发现了许多实际实现问题。他们指出，密钥生成指纹密码系统通常必须在密钥稳定性和密钥熵之间取得平衡。密钥稳定性表示从指纹数据生成的密钥的可重复程度。密钥熵与可以生成的可能密钥的数量有关。如果一个方法为所有手指生成相同的密钥，则稳定性高，但熵为零，导致错误匹配率高。在另一个极端，如果一种方法针对同一手指的不同图像生成不同的密钥，则该方案具有高熵但没有稳定性，导致错误不匹配率很高。现有的密钥生成方法很难同时实现高熵和高稳定性（Jain等，2008）。

6.5 特征适配（Feature Adaption）

传统的指纹识别系统以两种方式处理类内变化。首先，特征提取算法尝试从有噪声的指纹图像中提取不变的表示。其次，匹配算法进一步抑制类内变化的影响，并仅关注类间差异。模板保护方案通常需要使用简单的距离度量（例如，汉明距离或集合差度量）来计算生物特征之间的相似性（Dodis等，2008）。因此，处理生物特征类内变化的重任完全转移到特征提取阶段。例如，精确的指纹匹配器不仅可以处理缺失和虚假的细节点，还可以处理其他类内变化，如旋转、平移和非线性变形（见下图）。当这种匹配器被指纹密码系统中简单的集合差分度量（仅考虑缺失和虚假的细节点）取代时，特征提取模块就必须以对齐不变的形式表示细节点，而且不能影响其鉴别力。否则，会导致识别性能的显著下降。

指纹细节点匹配的复杂性。来自同一根手指的两个指纹图像，上面标记了细节点特征。全局对齐后的两个细节集显示在右侧。除了缺失和虚假细节点（集合差度量可以处理），还可以观察到由于非线性变形，匹配的细节点（由绿色椭圆标记）没有完全对齐。这就解释了为什么简单的集合差度量不太可能提供准确的识别。（Nandakumar和Jain，2015）

指纹模板保护的研究者通常选择在原始特征提取器基础上实施特征适配步骤，而不是开发新的不变特征提取器（这是指纹识别的基本问题）。必须强调的是，特征适配与特征变换不同。在特征变换中，目标是获得不可逆且可撤销的模板。相比之下，适配模板不需要满足不可逆性和可撤销性。相反，特征适配方案旨在满足以下三个目标中的一个或多个：

1. 在不牺牲其独特性的情况下最小化类内变化；
2. 以简化的形式表示原始特征；
3. 避免使用侧面信息（例如，对齐参数）。
   虽然特征变换方案可能会在保护模板的过程中采用特征适配，但反之则不然。

最简单和最常见的特征适配策略是量化和可靠成分（特征）选择。一个典型的例子是在设计指纹密码系统时量化指纹细节点的位置和方向特征以及选择高质量的细节点（Nandakumar等，2007）。虽然量化和特征选择减少了类内变化，但它也可能减少类间变化。因此，挑战是在减少类内变化和保持类间差异之间取得最佳平衡。此外，如果量化和可靠成分选择是针对特定用户的，则需要将量化参数和所选成分存储为辅助数据，这可能会降低受保护生物特征模板的不可逆性和不可链接性（Kelkboom等，2009）。

特征适配的其他策略包括嵌入（embedding）和免对齐（alignment-free）表示。嵌入的目标是获得给定指纹特征的新表示，以便可以使用简单的距离度量（例如，汉明距离或集合差）来比对新表示空间中的指纹样本。将向量或点集转换为固定长度的二值串是生物特征嵌入的一个例子。例如，Chen等人（2009）提出的检测率优化位分配方案（DROBA）使用了一种自适应的位分配策略，将实向量嵌入为二值串。将无序点集（特别是指纹细节点集合）转换为固定长度二值串的技术包括局部点聚合（Nagar等，2010b）和细节点频谱表示（Xu等，2009）。

与嵌入相比，免对齐表示的目标是生成可以直接匹配的模板，而无需任何对齐参数。指纹对齐问题的一种方案是使用局部细节点结构，其由两个或多个细节点之间的关系特征组成（例如，两个细节点之间的距离）（Cappelli等， 2010）。由于这些特征是相对的，因此对指纹的全局旋转和平移是不变的，在匹配之前不需要对齐。另一个好处是，这些特征对非线性变形具有一定的鲁棒性。但是，如果匹配仅基于局部细节点信息，而忽略细节点之间的全局空间关系，则识别精度难免会下降。

最简单的局部细节点结构是基于细节点对，其中对之间的距离和每个细节点相对于它们连线的方向可以用作不变属性（Boult等， 2007）。最常用的局部细节点结构是细节点三元组，其中相对特征（距离和角度）是根据三个细节点的组合计算的。除了基于固定数量的细节点来定义局部邻域外，还可以利用落在细节点固定半径内的所有细节点来构造局部描述子。后一种方法的例子是细节点圆柱码（MCC）（Cappelli等，2010）。MCC还可以二值化，以获得描述每个细节点的固定长度二值串。

尽管研究者在特征适配方面开展了大量的工作，但是还存在三个主要问题：

1. 现有的特征适配技术总是导致一些鉴别信息的丢失，导致识别性能降低。造成这种现象的一个可能原因是，这些技术大多数只关注最小化类内差异，而忽略了保留类间差异的必要性。因此，有必要研究保持距离的特征适配策略。

2. 特征适配策略与模板保护技术之间存在解耦。例如，生物特征密码系统中使用的纠错方案可能具有纠正有限数量的错误的能力。由于这种纠错能力隐含决定了系统阈值，因此特征适配方案的设计必须使同一用户不同样本之间的错误数低于该阈值，而不同用户在比对中遇到的错误数大于纠错能力。孤立设计的特征适配方案可能无法满足上述要求。另一条路线是，设计一种生物特征模板保护方案，直接保护模板的原始表示，而不是试图调整模板以适应模板保护方案。

3. 最后，在特征适配方案的设计中很少关注适配特征的统计特性。以生成二值串的特征适配方案为例。除了具有低类内变化和高独特性之外，如果生成的二值串是均匀随机的（即具有高熵），这将是理想的选择。当最终使用生物特征密码系统进行保护时，这种表示可能具有更好的不可逆性。然而，这种特征适配策略的设计仍然是一个有待研究的问题。

指纹不变特征表示的最新进展之一是DeepPrint方法（Engelsma等，2021），该方法结合深度学习和指纹领域知识来提取紧凑的固定长度指纹表示。这种表示的一大优点是，在生成DeepPrint时，指纹匹配中的一些棘手问题（例如指纹对齐、非线性变形等）在一定程度上可以得到缓解。因此，匹配简化为模板向量和查询向量之间的内积。还可以进一步将这种固定长度的表示二值化，使用指纹密码系统框架进行模板保护。

6.6 挑战

大多数现有的指纹模板保护技术在实践中不能满足所有模板保护要求（见6.1节）。以FVC-onGoing发布的结果为例，在没有模板保护的情况下，九种算法能够在FVC-STD-1.0基准数据集上实现小于0.3%的等错误率（EER）。另一方面，在同一数据集上具有模板保护的指纹验证系统实现的最低EER为1.54%，高出5倍以上。研究者在模板保护算法的独立测试中也观察到准确性降低的现象（Gafurov等，2013）。

即使我们假设识别性能的小幅下降在某些应用中是可以接受的，也必须精确量化（以比特为单位）受保护生物特征模板的不可逆性和不可链接性。这对于指纹模板保护技术的测试是必要的。在密码学中，安全强度（使用最有效的攻击方法破坏密码系统所需的计算量）是用于比较不同密码系统的指标之一。众所周知，具有128位密钥的AES系统或具有3072位密钥的RSA密码系统可以提供大约128位的安全强度（Barker，2020）。但是，生物特征识别领域尚缺乏测量生物特征模板保护算法的不可逆性、可撤销性和不可链接性的类似指标，更不用说计算这些指标的方法。这些指标的标准化工作仍在进行中（Rane，2014）。因此，实际中的模板保护方案既没有经过验证的安全保证，也没有达到令人满意的识别性能。这就解释了为什么尽管进行了20多年的研究，但是实际的生物特征识别系统要么使用标准加密技术加密模板，要么将其存储在安全硬件中（见第7节）。

除了标准化安全指标的问题外，还需要解决以下挑战，才能弥合指纹模板保护理论与实践之间的差距。

• 生物特征模板保护中最重要的问题是特征提取器的设计，它不仅需要提取高度鲁棒和独特的特征，还需要采用适合模板保护的简化形式（例如，固定长度的二值串）。

• 通过了解指纹特征的统计分布并设计适合底层特征分布的模板保护方案，可能可以解决匹配精度和不可逆性之间的权衡问题。例如，众所周知，指纹中的细节点位置（Su和Srihari，2010）既不是独立的，也不是遵循均匀随机分布的。可以利用细节特征中的这种固有冗余来处理类内变化，而不会影响类间变化。许多指纹密码系统通过向真实指纹数据添加噪声来保护。在这种情况下，了解指纹特征分布有助于选择适当的噪声分布。还需要对指纹特征分布进行建模，以定量估计受保护生物特征模板的不可逆性和不可链接性。如果已知生物特征分布，则可以将生物特征模板保护表述为优化问题，并系统地找到最大化匹配精度和不可逆性的解决方案。因此，了解指纹特征的统计分布对于有效的指纹模板保护至关重要。然而，估计指纹特征分布仍然是一项具有挑战性的任务。

• 克服不可逆性和匹配精度之间固有权衡的另一种方法是开发多生物识别模板保护技术。由于多生物识别系统从多个生物识别标识符（指纹和虹膜或多个手指/虹膜等多个特征）中积累证据以识别一个人，因此它们可以显着提高识别性能。当多个模板作为单个构造一起保护时，模板的固有熵也可能更高，从而导致更强的不可逆性。虽然最近为多生物识别密码系统提出了一些解决方案（Fu等，2009），但根本的挑战在于克服不同生物识别模板之间的兼容性问题，并从不同的模式生成组合的多生物识别模板，从而保留单个模板的独特性。功能适应方面的进步也可以在克服上述挑战方面发挥关键作用。

• 与不可逆性问题相比，受保护指纹模板的不可链接性和可撤销性问题还没有得到充分研究。虽然许多模板保护技术声称具有不可链接性和可撤销性，但更深入的分析表明，这通常只有在利用了额外的身份验证因素（即补充数据，如密码或密钥）时才能实现（Blanton和Aliasgari，2013）。已经证明，许多生物特征密码系统不会生成可撤销或不可链接的模板（Wang等，2012；Blanton和Aliasgari，2013；Boyen，2004；Kelkboom等， 2011）。尽管特征变换方案被广泛宣称为可取消的生物特征，以显示它们在实现可撤销性和不可链接性方面的优势，但如果我们假设攻击者完全了解受保护的生物特征模板和所涉及的补充数据，那么这种方案保证这两个属性的真正能力仍然值得怀疑。特征变换方案的可重复性和不可链接性似乎取决于获得变换模板的前像（pre-image）的难度。当给定变换参数和变换模板，且前像易于计算时，有可能关联从多个变换模板获得的前像，以反转和链接它们（Nagar等，2010a）。因此，急需开发不允许轻松计算前像的单向变换函数。实现可撤销性和不可链接性的一种可能方法是使用混合生物特征密码系统（Boult等，2007；Feng等，2010）。另一个实用的解决方案是使用双因子或三因子身份验证。但是，如果我们假设除生物特征之外的所有其他因子都可供攻击者使用，那么这种多因子身份验证的优势就会消失，并不比模板保护方案好。

7、封闭的指纹系统

要理解构建封闭指纹系统的必要性和设计方案，需要考虑指纹系统所处的不同场景。这里讨论两种最常见的场景：

1. 所有模块都位于一台计算机上（即终端用户的个人电脑或智能手机，有时称为客户端）。终端用户可以使用防护软件来保护指纹系统，让远程黑客无法控制本地操作系统。但是，用户仍然需要考虑到攻击者可以物理访问计算机的情况（例如，手机被盗了）。在此方案的变体中，所有模块仍位于一台计算机上，但是该计算机由多个终端用户（如超市员工）共享。这种情况下，攻击者（例如，某个恶意的超市员工）可以物理访问计算机。
2. 在客户端-服务器应用中，某些模块位于客户端，某些模块位于服务器端。服务器的管理者通常不能信任客户端（终端用户的个人电脑），因为用户可能是恶意的或可能与攻击者合作。

在上述两种情况下，都可以通过把尽可能多的模块移到安全（即防篡改）硬件上来保障安全。即使攻击者对计算机具有物理或远程访问权限，这些安全硬件也无法访问。有两种实际可行的方案：

• 仅将存储模块（包含注册模板）和匹配模块移到终端用户持有的智能卡上（见下图）。这种技术称为卡上匹配 （MoC）。

采用卡上匹配方案，已注册的模板不会离开安全硬件平台

• 把所有模块（包括特征提取以及指纹传感器）移到安全的硬件平台（例如，硬件电路板、智能卡或计算芯片）。这种方法称为设备上系统（SoD），有时也称为卡上系统或片上系统（SoC），具体取决于所使用的硬件平台（见下图）。

在片上系统架构中，所有处理都在安全芯片内完成。即使指纹采集器与芯片在物理上分离，也可以通过将加密密钥嵌入硬件（采集器和芯片）来保护通信链路。

在安全硬件平台中，关键的处理是在与客户端操作系统（即个人电脑或智能手机的主机操作系统）隔离的安全环境中进行的。除了安全优势（抵抗拒绝服务和入侵攻击）外，MoC和SoD解决方案还具有隐私上的优势。该平台的用户可完全控制自己的指纹数据，并且没有中央注册数据库。

安全的硬件平台包括处理器（通常是嵌入式级处理器，例如ARMcore）、工作区存储器（例如RAM）、代码空间存储器（例如ROM/EEPROM/FLASH）、持久存储（例如，闪存），并运行轻量级操作系统。需要注意的是，智能卡和现代PC的处理能力之间通常有几个数量级的差异。但是，设备上系统与PC之间的处理能力差距已明显缩小。例如，苹果iPhone用于生物特征识别的安全芯片非常强大，其处理能力只比PC低一个数量级。因此，在安全硬件平台上（特别是智能卡）运行的指纹算法的复杂性不能太高，这可能会导致一些精度降低。NIST组织MINEX II评测时发现，卡上匹配算法（MoC）不如PC上的匹配算法准确（Grother等，2007）。其中，性能最好的MoC算法与同厂家的PC算法相比，FNMR要高20-40%（相同FMR时）。这是由于算法简化导致的（MINEX II使用的智能卡安装了8MHz的处理器，而PC的处理器是2-3GHz）。

MoC方案的优点是匹配器和模板是完全安全的。攻击者不能修改或者获取模板。注册时将模板写入智能卡后，无需将模板输出。智能卡只需输出指纹比对的结果。最后，加密密钥也存储在智能卡上，因此密钥管理也大为简化和安全，进一步提高了系统安全性。卡上匹配方案比设备上系统方案更安全，因为模板的隔离性更强。但是需要注意的是，即使攻击者无法获取已注册的模板，也可以通过窃听在MoC系统的不安全主机上运行的特征提取模块，来获得足够相似的模板。不应低估此类攻击的风险，因为窃听主机并不困难。

在上述MoC方案中，即使模板受到保护，指纹特征提取也是在主机系统上执行的，其安全性可能较弱且不可信。这可能会导致入侵和拒绝服务攻击。这些漏洞可以通过将其余模块（即特征提取器和指纹采集器）移到安全硬件平台来解决。当目标硬件平台包括指纹采集器时，该解决方案称为设备上系统（SoD）。这是一些卡片制造商为大规模支付提出的方案。当目标是特殊智能卡或没有传感器的安全芯片时，该架构称为卡上系统或片上系统（SoC）。因此，指纹数据不会在安全空间外传输。因此，唯一剩下的潜在威胁是发生在采集器的呈现攻击。这种系统比MoC系统略贵，因为特征提取器需要比匹配器更强大的处理器以及更多的内存。

8、总结

随着指纹识别系统在各种商业和政府应用中的部署越来越多，指纹系统本身的安全性越来越受到系统开发人员、部署指纹系统的组织和公众的关注。指纹厂家也在采用各种技术来解决其中一些漏洞。其中，呈现攻击检测和模板保护技术是非常活跃的研究领域。

指纹识别系统难以抵抗呈现攻击（特别是伪指纹）已经引起了很大的关注，特别是由于媒体报道了许多攻击。为了提高指纹识别系统对此类攻击的鲁棒性，研究者提出了基于硬件和基于软件的检测方法。虽然基于硬件的解决方案利用指纹活体特性进行检测，但对额外硬件的需求是应用推广的主要障碍。另一方面，基于软件的解决方案使用静态指纹图像或在连续帧中观察到的动态变化来区分演示真伪。基于软件的解决方案避免了对额外硬件的需求，并且方便通过软件升级提升检测能力，因此更容易推广。基于深度神经网络的软件解决方案的出现极大地提高了对于已知材料呈现攻击的检测准确性。现在的挑战在于检测基于未知材料和未知指纹传感器的攻击。

虽然指纹模板保护在过去20多年中一直是一个活跃的研究课题，但现有的解决方案仍未获得实际应用。其中一个原因可能是封闭式指纹系统的成功。其他原因是识别性能下降太大以及安全性无法证明。设计具有高熵（信息量）的定长指纹表示是弥合这一差距的关键因素。此外，还需要标准化的指标来衡量模板保护方案的安全性，尤其是不可逆性。系统地制定这些指标和计算方法，然后基于这些指标对模板保护算法进行独立的基准测试，将大大增强公众对指纹模板保护技术的信心。最后，必须设计实用的解决方案，以确保指纹模板的可撤销性和不可链接性。

指纹数据集中式存储的系统对模板安全性的需求更大。这种数据库在大规模身份识别系统中很常见（例如，印度的Aadhaar计划，美国的生物识别身份管理办公室（OBIM）计划）。但是，几乎所有现有的模板保护技术都是为身份验证（一对一匹配）设计的，而不是识别（一对多匹配）。虽然从一对一验证开始是一种务实的方法，但尚不清楚这些技术是否可以扩大规模以满足识别系统的要求。在识别系统中，假阳性识别率随着注册者的数量线性增加。现有模板保护技术的准确性和吞吐量恐怕无法满足大规模识别系统的要求。一个例外是完全同态加密方法（HE），只要决策模块是隔离的，该方法适用于识别场景。

模板保护技术要解决关键的安全问题，例如已泄露模板的可撤销性以及防止在不同的身份验证系统中使用相同的指纹数据。如果攻击者成功入侵指纹系统，则必须有一个恢复机制来防止攻击者再次入侵。同样重要的是，对一个系统的单次破坏不能使攻击者更容易破坏另一个系统。一个相关的问题是，如何在不需要用户重新注册的情况下撤销并重新发布指纹模板，因为重新注册可能是非常不便的。这些问题可以通过创建类似于公钥基础结构的实体来解决，该实体可以创建、管理和撤销指纹模板。

最后，绝对安全的指纹识别系统是不存在的。安全性是一种风险管理策略，用于识别、控制、消除或最小化可能对系统产生不利影响的不确定事件。指纹系统的安全性需要达到什么程度，取决于具体应用的威胁模型和成本效益分析。

参考文献

1. Aadhaar Program. (2021). Unique identification authority of India: Dashboard. Government of India. https://uidai.gov.in/aadhaar_dashboard/.
2. Acar, A., Aksu, H., Selcuk Uluagac, A., & Conti, M. (2018) A survey on homomorphic encryption schemes: Theory and implementation. ACM Computing Surveys, 51(4), 1–35.
3. Agassy, M., Castro, B., Lerner, A., Rotem, G., Galili, L., & Altman, N. (2019). Liveness and spoof detection for ultrasonic fingerprint sensors. US Patent 10262188.
4. Anderson, R. J. (1994). Why cryptosystems fail. Communications of the ACM, 37(11), 32–40.
5. Antonelli, A., Cappelli, R., Maio, D., & Maltoni, D. (2006a). Fake finger detection by skin distortion analysis. IEEE Transactions on Information Forensics and Security, 1(3), 360–373.
6. Antonelli, A., Cappelli, R., Maio, D., & Maltoni, D. (2006b). A new approach to fake finger detection based on skin distortion. In Proceedings of. International Conferences on Biometrics (pp. 221–228).
7. ANSI/NIST-ITL 1–2011. (2015). NIST, Data Format for the Interchange of Fingerprint, Facial & Other Biometric Information, update 2015 of NIST Special Publication 500–290e3.
8. Apple Inc. (2021). Apple Platform Security. Retrieved July, 2021, from https://support.apple.com/en-sg/guide/security/welcome/web.
9. Arora, S. S., Cao, K., Jain, A. K., & Paulter, N. G. (2016). Design and fabrication of 3D fingerprint targets. IEEE Transactions on Information Forensics and Security, 11(10), 2284–2297.
10. Baldisserra, D., Franco, A., Maio, D., & Maltoni, D. (2006). Fake fingerprint detection by odor analysis. In Proceedings of International Conferences on Biometrics (pp. 265–272).
11. Barker, E. (2020). Recommendation for key management. NIST Special Publication 800-57.
12. BBC News. (2013). Doctor ‘used silicone fingers’ to sign in for colleagues. Retrieved July 2021, from https://www.bbc.com/news/world-latin-america-21756709.
13. Blanton, M., & Aliasgari, M. (2013). Analysis of reusability of secure sketches and fuzzy extractors. IEEE Transactions on Information Forensics and Security, 8(9), 1433–1445.
14. Bringer, J., Chabanne, H., & Patey, A. (2013). Privacy-preserving biometric identification using secure multiparty computation: An overview and recent trends. IEEE Signal Processing Magazine, 30(2), 42–52.
15. Boult, T. E., Scheirer, W. J., & Woodworth, R. (2007). Revocable fingerprint biotokens: Accuracy and security analysis. In Proceedings of International Conference on Computer Vision and Pattern Recognition.
16. Boyen, X. (2014). Reusable cryptographic fuzzy extractors. In Proceedings of Conference on Computer and Communications Security (pp. 82–89).
17. Cao, K., & Jain, A. K. (2015). Learning fingerprint reconstruction: From minutiae to image. IEEE Transactions on Information Forensics and Security, 10(1), 104–117.
18. Cao, K., & Jain, A. K. (2016). Hacking mobile phones using 2D printed fingerprints. MSU Technical Report, MSU-CSE-16-2.
19. Cappelli, R., Maio, D., Lumini, A., & Maltoni, D. (2007). Fingerprint image reconstruction from standard templates. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(9), 1489–1503.
20. Cappelli, R., Ferrara, M., & Maltoni, D. (2010). Minutia cylinder-code: A new representation and matching technique for fingerprint recognition. IEEE Transactions on Pattern Analysis and Machine Intelligence, 32(12), 2128–2141.
21. Chaos Computer Club. (2013). Chaos Computer Club breaks Apple TouchID. Retrieved July 2021, from https://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid.
22. Chen, C., Veldhuis, R. N. J., Kevenaar, T. A. M., & Akkermans, A. H. M. (2009). Biometric quantization through detection rate optimized bit allocation. EURASIP Journal on Advances in Signal Processing, 784834.
23. Chugh, T. (2020). An accurate, efficient, and robust fingerprint presentation attack detector. Ph.D. Thesis, Department of Computer Science & Engineering, Michigan State University.
24. Chugh, T., Cao, K., & Jain, A. K. (2017). Fingerprint spoof detection using minutiae-based local patches. In Proceedings of International Joint Conferences on Biometrics (pp. 581–589).
25. Chugh, T., Cao, K., & Jain, A. K. (2018). Fingerprint spoof buster: Use of minutiae-centered patches. IEEE Transactions on Information Forensics and Security, 13(9), 2190–2202.
26. Chugh, T., & Jain, A. K. (2019). Fingerprint presentation attack detection: Generalization and efficiency. In Proceedings of International Conferences on Biometrics (pp. 1–8).
27. Chugh, T., & Jain, A. K. (2020). Fingerprint spoof detection: Temporal analysis of image sequence. In Proceedings of International Joint Conferences on Biometrics (pp. 1–10).
28. Chugh, T., & Jain, A. K. (2021). Fingerprint spoof detector generalization. IEEE Transactions on Information Forensics and Security, 16(1), 42–55.
29. CJIS. (2015). FBI’s criminal justice information services division, latent and forensic support unit. In Altered fingerprints: A challenge to law enforcement identification efforts Spotlights. Retrieved July 2021, from https://leb.fbi.gov/spotlights/forensic-spotlight-altered-fingerprints-a-challenge-to-law-enforcement-identification-efforts.
30. Cukic, B., & Bartlow, N. (2005). Biometric system threats and countermeasures: A risk based approach. In Proceedings of Biometric Consortium Conference.
31. Cummins, H. (1935). Attempts to alter and obliterate finger-prints. Journal of Criminal Law and Criminology, 25(6), 982–991.
32. Darlow, L. N., Webb, L., & Botha, N. (2016). Automated spoof-detection for fingerprints using optical coherence tomography. Applied Optics, 55(13), 3387–3396.
33. Dodis, Y., Ostrovsky, R., Reyzin, L., & Smith, A. (2008). Fuzzy extractors: How to generate strong keys from biometrics and other noisy data. SIAM Journal on Computing, 38(1), 97–139.
34. Echizen, I., & Ogane, T. (2018). Biometric jammer: Method to prevent acquisition of biometric information by surreptitious photography on fingerprints. IEICE Transactions on Information and Systems, E101-D(1), 2–12.
35. Ellingsgaard, J., & Busch, C. (2017). Altered fingerprint detection. In M. Tistarelli & C. Champod (Eds), Handbook of biometrics for forensic science. Springer, Cham.
36. Engelsma, J. J., Arora, S. S., Jain, A. K., & Paulter, N. G. (2018). Universal 3D wearable fingerprint targets: Advancing fingerprint reader evaluations. IEEE Transactions on Information Forensics and Security, 13(6), 1564–1578.
37. Engelsma, J. J., Cao, K., & Jain, A. K. (2019). RaspiReader: Open source fingerprint reader. IEEE Transactions on Pattern Analysis and Machine Intelligence, 41(10), 2511–2524.
38. Engelsma, J. J., & Jain, A. K. (2019). Generalizing fingerprint spoof detector: Learning a one-class classifier. In Proceedings of IEEE International Conferences on Biometrics (pp. 1–8).
39. Engelsma, J. J., Cao, K., & Jain, A. K. (2021). Learning a fixed-length fingerprint representation. IEEE Transactions on Pattern Analysis and Machine Intelligence, 43(6), 1981–1997.
40. Feng, J., & Jain, A. K. (2011). Fingerprint reconstruction: From minutiae to phase. IEEE Transactions on Pattern Analysis and Machine Intelligence, 33(2), 209–223.
41. Feng, Y. C., Yuen, P. C., & Jain, A. K. (2010). A hybrid approach for generating secure and discriminating face template. IEEE Transactions on Information Forensics and Security, 5(1), 103–117.
42. Ferrara, M., Maltoni, D., & Cappelli, R. (2012). Noninvertible minutia cylinder-code representation. IEEE Transactions on Information Forensics and Security, 7(6), 1727–1737 (2012).
43. Ferrara, M., Cappelli, R., & Maltoni, D. (2017). On the feasibility of creating double-identity fingerprints. IEEE Transactions on Information Forensics and Security, 12(4), 892–900.
44. Franco, A., & Maltoni, D. (2007). Fingerprint synthesis and spoof detection. In N. K. Ratha, & V. Govindaraju (Eds), Advances in biometrics: Sensors, algorithms and systems. Springer.
45. Fu, B., Yang, S., Li, J., & Hu, D. (2009). Multibiometric cryptosystem: Model structure and performance analysis. IEEE Transactions on Information Forensics and Security, 4(4), 867–882.
46. Gafurov, D., Yang, B., Bours, P., & Busch, C. (2013). Independent performance evaluation of pseudonymous identifier fingerprint verification algorithms. In Proceedings of Interenational Conferences on Image Analysis and Recognition.
47. Gentry, C. (2009). Fully homomorphic encryption using ideal lattices. In Proceedings of Symposium on Theory of Computing (pp. 169–178).
48. González-Soler, L. J., Gomez-Barrero, M., Chang, L., Pérez-Suárez, A., & Busch, C. (2021). Fingerprint presentation attack detection based on local features encoding for unknown attacks. IEEE Access, 9, 5806–5820.
49. Grosz, S. A., Chugh, T., & Jain, A. K. (2020). Fingerprint presentation attack detection: A sensor and material agnostic approach. In Proceedings of International Joint Conferences on Biometrics (pp. 1–10).
50. Grother, P., Salamon, W., Watson, C., Indovina, M., & Flanagan, P. (2007). MINEX II: Performance of fingerprint match-on-card algorithms. NIST Interagency Report 7477.
51. Hern, A. (2014). Hacker fakes German minister’s fingerprints using photos of her hands. The Guardian. Retrieved July 2021, from https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands.
52. Heussner, K. M. (2009). Surgically altered fingerprints help woman evade immigration. ABC News. Retrieved July, 2021, from https://abcnews.go.com/Technology/GadgetGuide/surgically-altered-fingerprints-woman-evade-immigration/story?id=9302505.
53. Hill, C. J. (2001). Risk of masquerade arising from the storage of biometrics. Bachelor of Science Thesis, The Department of Computer Science, Australian National University.
54. IARPA ODIN Program. (2016). Office of the Director of National Intelligence, IARPA, “Odin,” IARPA-BAA-16-04 (Thor). Retrieved July, 2021, from https://www.iarpa.gov/index.php/research-programs/odin/odin-baa.
55. Ignatenko, T., & Willems, F. M. J. (2009). Biometric systems: Privacy and secrecy aspects. IEEE Transactions on Information Forensics and Security, 4(4), 956–973.
56. Ignatenko, T., & Willems, F. M. J. (2010). Information leakage in fuzzy commitment schemes. IEEE Transactions on Information Forensics and Security, 5(2), 337–348.
57. ISO/IEC 19794-3. (2006). ISO, “ISO/IEC 19794-3:2006 – Information technology – Biometric data interchange formats – Part 3: Finger pattern spectral data”. Retrieved July, 2021, from https://www.iso.org/standard/38747.html.
58. ISO/IEC 19794-2. (2011). ISO, “ISO/IEC 19794-2:2011 – Information technology – Biometric data interchange formats – Part 2: Finger minutiae data”. Retrieved July, 2021, from https://www.iso.org/standard/50864.html.
59. ISO/IEC 19794-4 (2011). ISO, “ISO/IEC 19794-4:2011 – Information technology – Biometric data interchange formats – Part 4: Finger image data”. Retrieved July, 2021, from https://www.iso.org/standard/50866.html.
60. ISO/IEC 24745 (2011). ISO, “ISO/IEC 24745:2011 – Information technology – Security techniques – Biometric information protection”. Retrieved July, 2021, from https://www.iso.org/standard/52946.html.
61. ISO/IEC 30107-1 (2016). ISO, “ISO/IEC 30107-1:2016 – Information Technology – Biometric Presentation Attack Detection – Part 1: Framework”. Retrieved July, 2021, from https://www.iso.org/standard/53227.html.
62. ISO/IEC 19989-1/2/3 (2020). ISO, “ISO/IEC 19989:2020 – Information security – Criteria and methodology for security evaluation of biometric systems”. Retrieved July, 2021, from https://www.iso.org/standard/72402.html.
63. Jain, A. K., Nandakumar, K., & Nagar, A. (2008). Biometric template security. EURASIP Journal on Advances in Signal Processing, Special Issue on Advanced Signal Processing and Pattern Recognition Methods for Biometrics, (113), 1–17.
64. Juels, A., & Sudan, M. (2002). A fuzzy vault scheme. In Proceedings of International Symposium on Information Theory.
65. Juels, A., & Wattenberg, M. (1999). A fuzzy commitment scheme. In Proceedings of Conference on Computer and Communications Security (pp. 28–36).
66. Kelkboom, E. J. C., de Groot, K. T. J., Chen, C., Breebaart, J., & Veldhuis, R. N. J. (2009). Pitfall of the detection rate optimized bit allocation within template protection and a remedy. In Proceedings of International Conferences on Biometrics: Theory, Applications, and Systems (pp. 1–8).
67. Kelkboom, E. J. C., Breebaart, J., Kevenaar, T. A. M., Buhan, I., & Veldhuis, R. N. J. (2011). Preventing the decodability attack based cross-matching in a fuzzy commitment scheme. IEEE Transactions on Information Forensics and Security, 6(1), 107–121.
68. Kong, A., Cheung, K., Zhang, D., Kamel, M., & You, J. (2006). An analysis of BioHashing and its variants. Pattern Recognition, 39(7), 1359–1368.
69. Korkzan, S. (2016). How MSU researchers unlocked a fingerprint-secure smartphone to help police with homicide case. The State News. Retrieved July, 2021, from http://statenews.com/article/2016/08/how-msu-researchers-unlocked-a-fingerprint-secure-smartphone-to-help-police-with-homicide-case.
70. Lai, L., Ho, S. W., & Poor, H. V. (2011). Privacy-security trade-offs in biometric security systems. IEEE Transactions on Information Forensics and Security, 6(1), 122–151.
71. Li, S., & Kot, A. C. (2012). An improved scheme for full fingerprint reconstruction. IEEE Transactions on Information Forensics and Security, 7(6), 1906–1912.
72. Marasco, E., & Ross, A. (2015). A survey on antispoofing schemes for fingerprint recognition systems. ACM Computing Surveys, 47(2), 1–36.
73. Marcel, S., Nixon, M. S., Fierrez, J., & Evans, N. (2019). Handbook of biometric anti-spoofing: Presentation attack detection (2nd ed.). Springer.
74. Matsumoto, T., Matsumoto, H., Yamada, K., & Hoshino, S. (2002). Impact of artificial ‘gummy’ fingers on fingerprint systems. In Proceedings of SPIE (Vol. 4677, pp. 275–289).
75. McGraw, G. (2006). Software security. Cigital.
76. Mopuri, K. R., Garg, U., & Venkatesh Babu, R. (2018). CNN fixations: An unraveling approach to visualize the discriminative image regions. IEEE Transactions on Image Processing, 28(5), 2116–2125.
77. Moujahdi, C., Bebis, G., Ghouzali, S., & Rziza, M. (2014). Fingerprint shell: Secure representation of fingerprint template. Pattern Recognition Letters, 45, 189–196.
78. Nagar, A., Nandakumar, K., & Jain, A. K. (2010a). Biometric template transformation: A security analysis. In Proceedings of SPIE Conferences on Electronic Imaging – Media Forensics and Security II (Vol. 7541).
79. Nagar, A., Rane, S., & Vetro, A. (2010b). Privacy and security of features extracted from minutiae aggregates. In Proceedings International Conferences on Acoustics, Speech and Signal Processing (pp. 1826–1829).
80. Nandakumar, K., & Jain, A. K. (2015). Biometric template protection: Bridging the performance gap between theory and practice. IEEE Signal Processing Magazine, 32(5), 88–100.
81. Nandakumar, K., Jain, A. K., & Pankanti, S. (2007). Fingerprint-based fuzzy vault: Implementation and performance. IEEE Transactions on Information Forensics and Security, 2(4), 744–757.
82. Nogueira, R. F., Lotufo, R. A., & Machado, R. C. (2016). Fingerprint liveness detection using convolutional neural networks. IEEE Transactions on Information Forensics and Security, 11(6), 1206–1213.
83. Pala, F., & Bhanu, B. (2017). Deep triplet embedding representations for liveness detection. In B. Bhanu, & A. Kumar (Eds), Deep learning for biometrics. Springer.
84. Patel, V. M., Ratha, N. K., & Chellappa, R. (2015). Cancelable biometrics: A review. IEEE Signal Processing Magazine, 32(5), 54–65.
85. Plesh, R., Bahmani, K., Jang, G., Yambay, D., Brownlee, K., Swyka, T., Johnson, P., Ross, A., & Schuckers, S. (2019). Fingerprint presentation attack detection utilizing time-series, color fingerprint captures. In Proceedings of International Conferences on Biometrics (pp. 1–8).
86. Priesnitz, J., Rathgeb, C., Buchmann, N., Busch, C., & Margraf, M. (2021). An overview of touchless 2D fingerprint recognition. EURASIP Journal on Image and Video Processing 8, 1–28.
87. Ratha, N. K., Connell, J. H., & Bolle, R. M. (2001). Enhancing security and privacy in biometrics-based authentication systems. IBM Systems Journal, 40(3), 614–634.
88. Ratha, N. K., Chikkerur, S., Connell, J. H., & Bolle, R. M. (2007). Generating cancelable fingerprint templates. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(4), 561–572.
89. Rathgeb, C., & Uhl, A. (2011). A survey on biometric cryptosystems and cancelable biometrics. EURASIP Journal on Information Security, 2011(1), 1–25.
90. Rane, S. (2014). Standardization of biometric template protection. IEEE MultiMedia, 21(4), 94–99.
91. Rane, S., Wang, Y., Draper, S. C., & Ishwar, P. (2013). Secure biometrics: Concepts, authentication architectures, and challenges. IEEE Signal Processing Magazine, 30(5), 51–64.
92. Rattani, A., Scheirer, W. J., & Ross, A. (2015). Open set fingerprint spoof detection across novel fabrication materials. IEEE Transactions on Information Forensics and Security, 10(11), 2447–2460.
93. Roberts, C. (2007). Biometric attack vectors and defences. Computers and Security, 26(1), 14–25.
94. Ross, A., Shah, J., & Jain, A. K. (2007). From template to image: Reconstructing fingerprints from minutiae points. IEEE Transactions on Pattern Analysis and Machine Intelligence, 29(4), 544–560.
95. Rowe, R. K., Nixon, K. A., & Butler, P. W. (2008). Multispectral fingerprint image acquisition. In N. K. Ratha & V. Govindaraju (Eds), Advances in biometrics. Springer, London.
96. Roy, A., Memon, N., & Ross, A. (2017). MasterPrint: Exploring the vulnerability of partial fingerprint-based authentication systems. IEEE Transactions on Information Forensics and Security, 12(9), 2013–2025.
97. Schneier, B. (1996). Applied cryptography. Wiley.
98. Shimamura, T., Morimura, H., Shimoyama, N., Sakata, T., Shigematsu, S., Machida, K., & Nakanishi, M. (2008). A fingerprint sensor with impedance sensing for fraud detection. In Proceedings of International Solid-State Circuits Conference - Digest of Technical Papers.
99. Sousedik, C., & Busch, C. (2014). Presentation attack detection methods for fingerprint recognition systems: A survey. IET Biometrics, 3(4), 219–233.
100. Soutar, C. (2002). Biometric system security. In Secure – The silicon trust magazine (Vol. 5).
101. Soutar, C. (2004). Security considerations for the implementation of biometric systems. In N. Ratha, & R. Bolle (Eds), Automatic fingerprint recognition systems. Springer.
102. Su, C., & Srihari, S. (2010). Evaluation of rarity of fingerprints in forensics. In Proceedings of Advances in Neural Information Processing Systems (pp. 1207–1215).
103. Sutcu, Y., Li, Q., & Memon, N. (2007a). Protecting biometric templates with sketch: Theory and practice. IEEE Transactions on Information Forensics and Security, 2(3), 503–512.
104. Sutcu, Y., Sencar, H. T., & Memon, N. (2007b). A geometric transformation to protect minutiae-based fingerprint templates. In Proceedings of SPIE Conference on Biometric Technology for Human Identification IV.
105. Tabassi, E., Chugh, T., Deb, D., & Jain, A. K. (2018). Altered fingerprints: Detection and localization. In Proceedings of International Conferences on Biometrics Theory, Applications and Systems (pp. 1–9).
106. TABULA RASA Program. (2013). European Commission, Trusted Biometrics under Spoofing Attacks (TABULA RASA). Retrieved July, 2021, from http://www.tabularasa-euproject.org/.
107. Tan, B., & Schuckers, S. (2006). Liveness detection for fingerprint scanners based on the statistics of wavelet signal processing. In Proceedings of CVPR Workshop on Biometrics.
108. Teoh, A., Goh, A., & Ngo, D. (2006). Random multispace quantization as an analytic mechanism for BioHashing of biometric and random identity inputs. IEEE Transactions on Pattern Analysis and Machine Intelligence, 28(12), 1892–1901.
109. Tolosana, R., Gomez-Barrero, M., Busch, C., & Ortega-Garcia, J. (2020). Biometric presentation attack detection: Beyond the visible spectrum. IEEE Transactions on Information Forensics and Security, 15, 1261–1275.
110. Tulyakov, S., Farooq, F., Mansukhani, P., & Govindaraju, V. (2007). Symmetric hash functions for secure fingerprint biometric systems. Pattern Recognition Letters, 28(16), 2184–2189.
111. Vidyut (2018). Cloned thumb prints used to spoof biometrics and allow proxies to answer online Rajasthan Police exam. Medianama. Retrieved July, 2021, from https://www.medianama.com/2018/03/223-cloned-thumb-prints-used-to-spoof-biometrics-and-allow-proxies-to-answer-online-rajasthan-police-exam/.
112. Wang, Y., Rane, S., Draper, S. C., & Ishwar, P. (2012). A theoretical analysis of authentication, privacy, and reusability across secure biometric systems. IEEE Transactions on Information Forensics and Security, 7(6), 1825–1840.
113. Weiss, B., Cranley, E., & Pasley, J. (2020). These are the fugitives on the FBI’s 10 most wanted list – and how they got there. Business Insider. Retrieved July, 2021, from https://www.businessinsider.com/fbi-10-most-wanted-criminals-list-2017-11.
114. Xu, H., Veldhuis, R. N. J., Bazen, A. M., Kevenaar, T. A. M., Akkermans, T. A. H. M., & Gokberk, B. (2009). Fingerprint verification using spectral minutiae representations. IEEE Transactions on Information Forensics and Security, 4(3), 397–409.
115. Yambay, D., Ghiani, L., Marcialis, G. L., Roli, F., & Schuckers, S. (2019). Review of fingerprint presentation attack detection competitions. In S. Marcel, M. Nixon, J. Fierrez, & N. Evans (Eds), Handbook of biometric anti-spoofing. Springer.
116. Yau, W. Y., Tran, H. L., & Teoh, E. K. (2008). Fake finger detection using an electrotactile display system. In Proceedings of International Conferences on Control, Automation, Robotics and Vision (pp. 962–966).
117. Yoon, S., Feng, J., & Jain, A. K. (2012). Altered fingerprints: Analysis and detection. IEEE Transactions on Pattern Analysis and Machine Intelligence, 34(3), 451–464.
118. Zhang, Y., Tian, J., Chen, X., Yang, X., & Shi, P. (2007). Fake finger detection based on thin-plate spline distortion model. In Proceedings of International Conferences on Biometrics (pp. 742–749).
119. Zhang, Y., Shi, D., Zhan, X., Cao, D., Zhu, K., & Li, Z. (2019). Slim-ResCNN: A deep residual convolutional neural network for fingerprint liveness detection. IEEE Access, 7, 91476–91487.