Bảo mật dữ liệu trên thiết bị di động sử dụng kết hợp nhiều đặc trưng sinh trắc học

Nhằm nâng cao tính bảo mật trong các hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc các nghiên cứu gần đây trong lĩnh vực xác thực và mã hóa sử dụng đặc trưng sinh trắc hướng tớ

2 Thư ký: TS Trương Tuấn Anh


3 Phản biện 1: TS Lương Thế Nhân

4 Phản biện 2: PGS TS Vũ Thanh Nguyên

5 Ủy viên: TS Phạm Quốc Cường

Xác nhận của Chủ tịch hội đồng đánh giá Khóa luận thạc sĩ và Trưởng Khoa quản lý chuyên ngành sau khi luận văn được sữa chữa (nếu có)

NHIỆM VỤ LUẬN VĂN THẠC SĨ

I TÊN ĐỀ TÀI: Bảo mật dữ liệu trên thiết bị di động sử dụng kết hợp nhiều đặc trưng sinh

trắc học


II NHIỆM VỤ VÀ NỘI DUNG:

- Tìm hiểu kiến thức về các hệ thống xác thực, mã hóa sinh trắc học nói chung và hệ

thống xác thực, mã hóa sử dụng nhiều đặc trưng sinh trắc học nói riêng 


- Tìm hiểu các hạn chế, nhược điểm trong các hệ thống xác thực, mã hóa sử dụng

nhiều đặc trưng sinh trắc đã có 


- Phát triển phương pháp kết hợp nhiều đặc trưng sinh trắc sử dụng trong các hệ thống

bảo mật đa sinh trắc

III NGÀY GIAO NHIỆM VỤ: 06/07/2015


IV NGÀY HOÀN THÀNH NHIỆM VỤ: 04/12/2015


đã luôn bên cạnh động viên giúp đỡ tôi

Tóm tắt luận văn

Ngày nay, các hệ thống mã hóa, xác thực ứng dụng yếu tố sinh trắc đang ngày càng được triển khai rộng rãi Nhằm nâng cao tính bảo mật trong các hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc các nghiên cứu gần đây trong lĩnh vực xác thực và mã hóa sử dụng đặc trưng sinh trắc hướng tới xây dựng các hệ thống

đa sinh trắc (multimodal biometrics) nhằm khắc phục các yếu điểm của hệ thống đơn sinh trắc (unimodal biometrics) gặp phải Trong các hệ thống đa sinh trắc,

nhiều đặc trưng sinh trắc của người dùng sẽ đồng thời được sử dụng để xác thực

và mã hóa nhằm tăng tính bảo mật Các nghiên cứu tập trung giải quyết bài toán kết hợp đặc trưng sinh trắc sao cho hiệu quả Có bốn mức kết hợp được chỉ ra là: kết hợp ở mức đặc trưng thô, kết hợp ở mức đặc trưng, kết hợp bằng các sử dụng các hệ thống đánh giá, tính điểm và ra quyết định Trong đó, trong khi các cách tiếp cận khác gặp phải một số hạn chế, cách tiếp cận kết hợp ở mức đặc trưng sinh trắc (tức kết hợp các đặc trưng sinh trắc nhằm tạo ra đặc trưng mới) có khả năng tích hợp với các thuật giải bảo vệ đặc trưng sinh trắc đã có đồng thời phù hợp với

cả mô hình xác thực lẫn mã hóa Tuy nhiên, các phương pháp kết hợp ở mức đặc trưng vẫn còn nhiều nhược điểm

Trong khuôn khổ luận văn này, những yếu điểm, hạn chế của những phương pháp kết hợp đặc trưng sinh trắc hiện có sẽ được phân tích Từ đó đề xuất kỹ thuật kết hợp đặc trưng sinh trắc tổng quát cho các đặc trưng có thể được rút trích ở dạng vector số thực ở mức độ đặc trưng (feature-level) Kết quả của quá trình kết hợp các đặc trưng sinh trắc là đặc trưng sinh trắc mới có tính “duy nhất, đặc trưng nhất” Ngoài ra, luận văn cũng đề xuất phương án cải tiến thuật giải phác thảo bảo mật (Secure Sketch) nhằm sử dụng cho các hệ thống xác thực, mã hóa đa sinh trắc dựa trên phương pháp kết hợp đặc trưng sinh trắc mới

Nowadays, biometrics-based authentication is deployed widely It is due to the advances in biometrics security However, most of the systems use unimodal biometrics and are vulnerable to a certain weaknesses To enhance the biometric authentication and encryption system, multimodal biometrics is introduced In such system, more than one biometric features are combined This raises the demand of methods for efficient fusion of feature vectors In general, four levels

of fusion are possible as follows: (1) raw data level fusion, (2) feature level fusion, (3) score level fusion, and (4) decision level fusion Among those,

feature level fusion is the most popular one not only due to its easy integration into existing biometrics solutions but also its adaptability for both authentication and encryption systems However, state-of-the-art feature level fusion methods are not matured

In this thesis, we identify the weaknesses of the existing feature level fusion methods and a new fusion method is proposed Using our method, the fused feature vector maintains the uniqueness Furthermore, we also apply our method

in Secure Sktech with modification for authentication and encryption

Lời cam đoan

Tôi xin cam đoan đây là công trình nghiên cứu của bản thân

Các số liệu, kết quả trình bày trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào trước đây

Học viên

Nguyễn Lê Vĩnh

Mục lục

Lời cám ơn i

Tóm tắt luận văn ii

Abstract iii

Lời cam đoan iv

Mục lục 1

Mục lục hình 3

Mục lục bảng 4

Chương 1 Giới thiệu đề tài 5

1.1 Mục đích nghiên cứu 6

1.2 Mục tiêu nghiên cứu 6

1.3 Giới hạn đề tài 7

1.4 Ý nghĩa khoa học và thực tiễn của đề tài 7

1.4.1 Ý nghĩa khoa học 7

1.4.2 Ý nghĩa thực tiễn 8

Chương 2 Cơ sở lý thuyết 9

2.1 Giới thiệu sinh trắc học 9

2.1.1 Khái niệm sinh trắc học 9

2.1.2 Các vấn đề khi sử dụng sinh trắc học 13

2.2 Hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc 15

2.3 Bảo vệ đặc trưng sinh trắc 16

2.4 Kết hợp đặc trưng sinh trắc 21

2.4.1 Các vấn đề gặp phải với hệ thống đơn sinh trắc 21

2.4.2 Hệ thống đa sinh trắc 22

2.5 Đường cong làm đầy không gian (space-filling curve) 25

Chương 3 Các công trình nghiên cứu liên quan 27

3.1 Mô hình sinh khóa dựa trên sự kết hợp dấu vân tay và võng mạc của Jagadeesan và các cộng sự [1] 27

3.1.1 Giải thuật kết hợp đặc trưng sinh trắc để sinh khóa 27

3.1.2 Quá trình sinh khóa mã hóa k-bit 29

3.1.3 Đánh giá 30

3.2 Mô hình kết hợp đặc trưng sinh trắc vân tay và gương mặt sử dụng Secure Sketch để bảo vệ dữ liệu của Sutcu và các cộng sự [2] 30

3.2.1 Giải thuật 31

3.2.2 Xác thực dựa trên mẫu sinh trắc kết hợp vân tay và gương mặt 33

3.2.3 Đánh giá 33

Chương 4 Hướng tiếp cận và hiện thực 35

4.1 Nhận xét 35

4.2 Giải pháp đề xuất 36

4.2.1 Tổng quan phương pháp kết hợp 37

4.2.2 Chuẩn hóa các vector đặc trưng 38

4.2.3 Xây dựng đường cong làm đầy không gian 40

4.2.4 Kết hợp các vector đặc trưng 45

4.2.5 Nhận xét 46

4.3 Cải tiến giải thuật phác thảo bảo mật (Secure Sketch) 46

Chương 5 Đánh giá 48

5.1 Tiêu chí đánh giá 48

5.2 Kết quả thực nghiệm 48

Chương 6 Tổng kết 53

Tham khảo 54

Mục lục hình

Hình 1 Một số đặc điểm sinh trắc học [15] 11

Hình 2 So sánh đặc điểm sinh trắc học [6] 12

Hình 3 Phân loại kỹ thuật bảo vệ đặc trưng sinh trắc 18

Hình 4 Các bước xác thực sử dụng biến đổi đặc trưng sử dụng salting 19

Hình 5 Minh họa gương mặt của cùng một người được biến đổi bằng phương pháp chống suy ngược 19

Hình 6 Mô hình phác thảo bảo mật (Secure Sketch) 21

Hình 7 Ví dụ đường cong bao phủ không gian 2-D 26

Hình 8 Sơ đồ các bước thực thi của phương pháp kết hợp đặc trưng 37

Hình 9 Minh họa vùng không gian cần bao phủ bởi đường cong làm đầy không gian 41

Hình 10 Minh họa đường cong Hilbert trong không gian hai chiều 42

Hình 11 Minh họa xây dựng đường cong Hilbert trong không gian 2-D 42

Hình 12 Minh họa xây dựng đường cong Hilbert trong không gian 2-D 43

Hình 13 Minh họa xây dựng đường cong Hilbert trong không gian 2-D 43

Hình 14 Minh họa kết hợp hai vector đặc trưng 45

Hình 15 Mô hình cải tiến phác thảo bảo mật 47

Hình 16 Khoảng cách trung bình giữa các đặc trưng sau khi kết hợp 50

Hình 17 Độ ổn định của đặc trưng sau khi kết hợp 51

Mục lục bảng

Bảng 1 Minh họa ánh xạ các điểm trong không gian 2-D về không gian 1-D 44 Bảng 2 Kết quả thí nghiệm so sách khoảng cách giữa các vector đặc trưng 50 Bảng 3 Kết quả thí nghiệm phác thảo bảo mật với tập vector đặc trưng kết hợp 51

Chương 1 Giới thiệu đề tài

Ngày nay, các hệ thống mã hóa, xác thực ứng dụng yếu tố sinh trắc đang ngày càng được triển khai rộng rãi Tuy nhiên các hệ thống này vẫn tồn tại một số hạn chế ảnh hưởng đến mức độ ứng dụng của chúng trên diện rộng, cụ thể là việc thiếu các cơ chế bảo mật hoàn chỉnh nhằm bảo vệ các đặc trưng sinh trắc cũng như xử

lý một cách có hiệu quả các lỗi sinh ra do nhiễu trong quá trình trích rút đặc trưng tiêu biểu của các yếu tố sinh trắc

Nhằm nâng cao tính bảo mật trong các hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc các nghiên cứu gần đây trong lĩnh vực xác thực và mã hóa sử dụng

đặc trưng sinh trắc hướng tới xây dựng các hệ thống đa sinh trắc (multimodal

biometrics) nhằm khắc phục các yếu điểm của hệ thống đơn sinh trắc (unimodal biometrics) gặp phải Trong các hệ thống đa sinh trắc, nhiều đặc trưng sinh trắc

của người dùng sẽ đồng thời được sử dụng để xác thực và mã hóa nhằm tăng tính bảo mật Các nghiên cứu tập trung giải quyết bài toán kết hợp đặc trưng sinh trắc sao cho hiệu quả Có bốn mức kết hợp được chỉ ra là: kết hợp ở mức đặc trưng thô, kết hợp ở mức đặc trưng, kết hợp bằng các sử dụng các hệ thống đánh giá, tính điểm và ra quyết định Trong đó, trong khi các cách tiếp cận khác gặp phải một số hạn chế (chi tiết trong mục 2.4.2.2 ), cách tiếp cận kết hợp ở mức đặc trưng sinh trắc (tức kết hợp các đặc trưng sinh trắc nhằm tạo ra đặc trưng mới) có khả năng tích hợp với các thuật giải bảo vệ đặc trưng sinh trắc đã có đồng thời phù hợp với cả mô hình xác thực lẫn mã hóa

Tuy nhiên các nghiên cứu gần đây về kết hợp đặc trưng ở mức đặc trưng sinh trắc [1][2] vẫn còn hạn chế khi các kết quả chưa đủ tổng quát cho nhiều hơn hai đặc trưng, hay tốn kém chi phí toán khi áp dụng vào các thuật toán bảo vệ đặc trưng

đã có

Những hạn chế này thúc đẩy những nghiên cứu cải tiến phương pháp kết hợp đặc trưng nhằm hỗ trợ xây dựng các hệ thống xác thực, mã hóa với mục tiêu tăng cường độ bảo mật trong khi vẫn tận dụng các giải thuật, các nghiên cứu về bảo vệ đặc trưng sinh trắc đã có

Nhận định được những hạn chế của các phương pháp kết hợp đặc trưng đã có, đề tài được đưa ra nhằm tìm kiếm một phương pháp kết hợp đặc trưng mới giải quyết được các hạn chế của những phương pháp cũ, góp phần cải tiến các thuật toán bảo

vệ đặc trưng đã có để có khả năng thích ứng với mô hình đa đặc trưng sinh trắc

1.1 Mục đích nghiên cứu

Đề tài tập trung phân tích các phương pháp kết hợp đặc trưng sinh trắc đã có và chỉ ra những hạn chế Từ đó đề xuất phương pháp kết hợp mới tổng quát hơn khắc phục được những hạn chế trong các phương pháp cũ

1.2 Mục tiêu nghiên cứu

Mục tiêu giải quyết bài toán bên lề của vấn đề nhận dạng đặc trưng sinh trắc: kết

• Phép kết hợp được thực hiện ở mức đặc trưng (feature-level)

• Phép kết hợp không quan tâm đến thứ tự của đặc trưng Tức các đặc trưng

có vai trò bình đẳng trong phép kết hợp

• Về mặt lý thuyết phép kết hợp cho phép áp dụng cho hai hay nhiều hơn vector

• Phép kết hợp giống như một bộ lọc để tạo một đầu vào (input) duy nhất từ nhiều input trước khi đưa vào giải thuật nhận dạng truyền thống chứ không giải quyết bài toán nhận dạng

• Cải tiến một giải thuật bảo vệ đặc trưng sinh trắc đã có, cụ thể luận văn sẽ cải tiến giải thuật phác thảo bảo mật (Secure Sketch) để phù hợp với các hệ thống đa sinh trắc sử dụng phương pháp kết hợp đề xuất

1.4 Ý nghĩa khoa học và thực tiễn của đề tài

1.4.2 Ý nghĩa thực tiễn

Áp dụng phương pháp kết hợp đề xuất nhằm cải tiến giải thuật bảo vệ đặc trưng sinh trắc đã có Góp phần tăng tính tổng quát và khả năng ứng dụng của giải thuật trong các hệ thống xác thực, mã hóa đa sinh trắc

Chương 2 Cơ sở lý thuyết

2.1 Giới thiệu sinh trắc học

2.1.1 Khái niệm sinh trắc học

Sinh trắc học (biometrics) là lĩnh vực nghiên cứu các phương pháp toán học và thống kê trên các bài toán phân tích dữ liệu sinh trắc học Cụm từ "biometrics" xuất phát từ chữ "bio" (life) và “metrics" (measure) trong tiếng Hy Lạp

Sinh trắc học gồm các phương thức xác thực con người dựa trên các đặc điểm sinh lý (physiological) hay các đặc điểm hành vi (behavioral) của người đó Các

hệ thống sinh trắc đã và đang phát triển trong các ứng dụng của đời sống như hệ thống rút tiền tự động (ATM) sử dụng lòng bàn tay ở hệ thống ngân hàng Mitsubishi Tokyo Nhật Bản [3], hệ thống thị thực của Hoa Kỳ (US-VISIT [4]), hay chức năng mở khóa thiết bị sử dụng nhận dạng khuôn mặt, vân tay trên các thiết bị di động phổ biến gần đây

Các đặc điểm sinh trắc được phân loại vào hai nhóm như sau:

• Đặc điểm sinh lý (Physiological): vân tay (fingerprint), mống mắt (iris),

võng mạc (retina), khuôn mặt (face), hình học bàn tay (hand geometry), DNA (Deoxyribonucleic acid), biểu đồ nhiệt trên khuôn mặt (facial thermography), hình học ngón tay (finger geometry), hình dạng lỗ tai (ear shape), mùi (smell, odor), và tĩnh mạch tay (hand vein),

• Đặc điểm hành vi (Behavioral): giọng nói (voice), cách gõ phím (typing

pattern, keyboard strokes), chữ ký (signature), dáng đi (gait),

Mỗi đặc điểm đều có đặc trưng riêng Bên dưới là mô tả sơ lược về các đặc điểm phổ biến:

• Khuôn mặt: nhận diện gương mặt là phương pháp thông thường nhất để

nhận diện nhau trong mối quan hệ giữa người với người Khả năng phân biệt qua gương mặt của não người là vô cùng chính xác, thậm chí vẫn có thể nhận ra nhau dù gương mặt đã có sự thay đổi lớn theo thời gian Trái ngược với khả năng của bộ não, những phương pháp nhận diện gương mặt hiện nay vẫn bị xem là kém hiệu quả và có độ chính xác không cao

• Dấu vân tay: con người đã sử dụng dấu vân tay cho quá trình pháp y qua

nhiều thập kỷ Sự chính xác của hệ thống sinh trắc dùng dấu vân tay tương đối cao Dấu vân tay là một mô hình của điểm cụt và ngã ba (ridges and valleys) trên bề mặt ngón tay, được hình thành trong suốt 7 tháng đầu của quá trình phát triển bào thai Dấu vân tay tương đối phân biệt, kể cả những cặp sinh đôi

• Bàn tay: đề cập tới hình dạng bàn tay, kích thước lòng bàn tay, chiều dài

và chiều cao của các ngón tay Ưu điểm của phương pháp này là tương đối đơn giản và dễ sử dụng Tuy nhiên, vì sự khác nhau không rõ ràng hình dạng bàn tay trong phạm vi ứng dụng lớn, nên những hệ thống dùng phương thức bàn tay thường dùng để xác minh (verification) hơn là nhận dạng (identification) Ngoài ra, vì thiết bị lấy dữ liệu phải có kích thước tối thiểu

là kích thước bàn tay, quá lớn so với các thiết bị như laptop

• Chỉ tay (Palmprint): chỉ tay thường được dùng kết hợp với đặc trưng dấu

vân tay và bàn tay Chỉ tay cũng chứa các rãnh và lằn giống như vân tay,

và thường được dùng trong nhận dạng pháp y

• Mống mắt (Iris): mống mắt là một màng mỏng có màu, hình tròn, bao

quanh con ngươi Sự phức tạp của mống mắt chứa đựng thông tin rất riêng biệt, đem lại sự chính xác cao cho quá trình nhận dạng

• Chữ ký: chữ ký con người thay đổi theo thời gian Chữ ký là thuộc tính

hành vi phụ thuộc vào trạng thái cảm xúc, sức khỏe của người ký Khả năng

bị giả mạo tương đối cao, tuy nhiên nó được chấp nhận để xác thực trong một thời gian dài

• Giọng nói: giọng nói là sự tổng hợp trực tiếp của đặc trưng sinh trắc vật lý

và hành vi Đặc trưng vật lý dựa trên hình dạng và kích thước của những phần phụ (appendages) (thanh quản, miệng, mũi, và môi) được sử dụng trong quá trình tổng hợp âm Đặc trưng vật lý là không thay đổi cho mỗi cá nhân, tuy nhiên các khía cạnh hành vi của giọng nói chịu tác động bởi tuổi tác, cảm xúc, ngôn ngữ và tình trạng sức khỏe Chất lượng của thiết bị ghi

âm và tiếng ồn cũng ảnh hưởng tới hiệu suất

• Dáng đi: dáng đi đề cập đến cách thức con người di chuyển, và cũng được

sử dụng để nhận dạng Hệ thống nhận dạng dáng đi dựa trên quá trình xử

lý ảnh để trích xuất hình bóng người dùng và các thuộc tính không-thời gian liên quan Dáng đi chịu tác động bởi nhiều yếu tố như sự chọn lựa quần áo, bề mặt di chuyển, quần áo,

Hình 1 Một số đặc điểm sinh trắc học [15]

Hình 2 So sánh đặc điểm sinh trắc học [6]

Mỗi đặc trưng sinh trắc học đều có ưu và nhược điểm, vì vậy việc chọn đặc trưng sinh trắc nào vào ứng dụng cụ thể phụ thuộc vào một loạt các vấn đề bên cạnh hiệu suất Tác giả trong tài liệu [5] đã xác định bảy yếu tố để chọn lựa sự phù hợp của một đặc trưng sinh trắc:

• Phổ biến (Universality): mọi người đều sở hữu đặc tính này

• Duy nhất (Uniqueness): không có 2 người khác nhau có cùng chung đặc

tính này

• Không thay đổi theo thời gian (Permanence): tính chất không thay đổi theo

thời gian hoặc thay đổi không đáng kể

• Tính toán được (Collectability): đặc tính sinh học có thể được số hóa và so

sánh giữa các cá nhân

• Hiệu quả (Performance): đặc tính phải so sánh được trong thời gian và

nguồn tài nguyên giới hạn

• Sự chấp nhận (Acceptability): mọi người chấp nhận phương pháp xác thực

của hệ thống

• Không thể gian lận (Circumvention): đặc điểm sinh học phải không thể/khó

làm giả

Độ hiệu quả của một hệ thống sinh trắc thường được tính toán thông qua 2 loại tỷ

lệ lỗi sau (error rates):

• Tỷ lệ chấp nhận sai (false accept rate, FAR): chấp nhận sai là khi một người

dùng giả mạo nhưng được hệ thống xác thực là đúng

• Tỷ lệ từ chối sai (false reject rate, FRR): từ chối sai là khi một người dùng

đúng nhưng được hệ thống xác thực là giả mạo và từ chối truy cập/giao dịch

Ví dụ: cho người dùng A đã được đăng ký vào hệ thống Trong 10 lần người dùng

A cố gắng đăng nhập vào hệ thống thì có 1 lần bị từ chối do đặc trưng sinh trắc không đúng (lý do có thể là đặc trưng rút trích bị nhiễu, điều kiện môi trường thay đổi, ) Khi đó tỉ lệ FRR (người dùng A xác thực không thành công) là 1/10 Trong trường hợp khác có 10 người dùng khác A cố gắng đăng nhập vào tài khoản của

A sử dụng đặc trưng sinh trắc của họ thì có l người dùng thành công Khi đó tỉ lệ FAR (người dùng không phải A nhưng hệ thống xác thực là A) là 1/10

Trong một hệ thống xác thực và bảo mật sử dụng đặc trưng sinh trắc thì mục tiêu phải tối thiểu hai tỉ lệ FAR và FRR Tỉ lệ FAR càng nhỏ thì càng tăng tính bảo mật, trong khi tỉ lệ FRR càng nhỏ tính tiện dụng càng cao

2.1.2 Các vấn đề khi sử dụng sinh trắc học

Đối với sinh trắc học, các mẫu sinh trắc thu được và các biểu diễn của chúng phụ thuộc nhiều vào phương pháp và môi trường lấy mẫu, tương tác của người lấy mẫu với thiết bị và tùy theo loại sinh trắc học thu nhận, tẩt cả đều ảnh hưởng đến

độ ổn định và chất lượng hệ thống

• Thu nhận mẫu sinh trắc không ổn định: tín hiệu sinh trắc học thu nhận

được phụ thuộc vào đặc trưng sinh lý, hành vi tương tác của người dùng…

Ví dụ như với thu nhận mẫu vân tay từ máy quét, sự khác nhau về lực ấn của ngón tay lên thiết bị quét, vị trí ấn ngón tay lên mặt phẳng quét đều ảnh hưởng tới kết quả thu nhận ảnh vân tay Vì các ngón tay không phải là đối tượng cố định và quá trình chiếu bề mặt đầu ngón tay lên mặt phẳng quét không tuyệt đối chính xác, nên với lực ấn khác nhau, các phần khác nhau của vân tay sẽ được quét Vì thế các mẫu thu được đều có sai khác với nhau Các tác động của môi trường tại thời điểm thu nhận cũng ảnh hưởng tới kết quả mẫu sinh trắc Ví dụ như độ ẩm, độ sạch của da, ảnh hưởng của tuổi tác, bệnh tật về da… ảnh hưởng tới mẫu vân tay

• Giả mạo các đặc điểm sinh trắc: việc giả mạo (forge) xác đặc điểm sinh

trắc không hẳn là quá khó khăn như nhiều người nghĩ Trong thực tế, đã có một số thí nghiệm thực hiện việc tạo ra các dấu vân tay giả để đánh lừa các

hệ thống nhận diện bằng vân tay một cách dễ dàng [11], [12] Và một vấn

đề nữa là các đặc điểm sinh trắc học của một người dùng thường không phải là điều gì bí mật Người dùng có thể để lại dấu vân tay của mình trên những vật dụng họ chạm vào hoặc các đặc điểm về mắt, khuôn mặt đều có thể dễ dàng quan sát và ghi lại

• Thu hồi đặc điểm sinh trắc: việc thu hồi/hủy bỏ (revoke) các đặc điểm

sinh trắc học không hoàn toàn dễ dàng như với mật khẩu Mỗi người chỉ có một vài đặc điểm sinh trắc học và nó tồn tại gần như suốt đời người Do vậy, có thể xem như là mỗi người chỉ có vài “mật khẩu sinh trắc” để dùng suốt đời Một khi dấu vân tay của người dùng đã bị làm giả thì việc xác thực bằng dấu vân tay không còn an toàn nữa Một người gần như không

có cơ hội để thay đổi đặc điểm sinh trắc của mình một khi nó đã bị lộ và làm giả [9]

• Sự thiếu đa dạng đặc điểm sinh trắc: trong xác thực bằng mật khẩu, người

dùng có thể dùng nhiều mật khẩu khác nhau cho nhiều ứng dụng khác nhau Tuy nhiên, với xác thực bằng sinh trắc học, người dùng gần như sử dụng lặp đi lặp lại các đặc điểm sinh trắc của mình để xác thực Người sử dụng càng sử dụng xác thực bằng sinh trắc học ở nhiều hệ thống khác nhau thì càng dễ bị mất thông tin về đặc điểm sinh trắc của mình [9]

• Sự thay đổi đặc điểm sinh trắc: một số đặc điểm có thể thay đổi theo từng

thời điểm Ví dụ: dấu vân tay có thể mất hoặc thay đổi khi người dùng lao động dùng tay nhiều, bị thương hoặc giọng nói của người dùng thay đổi do tuổi tác, bệnh tật,… Khi đặc điểm sinh trắc của người dùng thay đổi thì việc đăng ký lại rất phức tạp vì phải cần đến bên thứ ba tin cậy để xác thực người dùng đó dựa trên các yếu tố khác trước khi thực hiện việc đăng ký lại

• Sự chấp nhận của người dùng: vấn đề cuối cùng khi đưa hệ thống xác

thực dựa trên sinh trắc vào sử dụng là sự chấp nhận của người dùng [10] Người dùng quan tâm đến thông tin sinh trắc của mình sẽ do ai quản lý và

có được bảo đảm an toàn không

2.2 Hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc

Hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc ra đời nhằm khắc phục các yếu điểm của các hệ thống xác thực, mã hóa truyền thống như:

• Cơ chế sử dụng mật khẩu (password) trong các hệ thống đã có dễ gặp vấn

đề như độ dài, độ khó của mật khẩu không đủ mạnh dẫn đến kể tấn công có thể dễ dàng phá vỡ cơ chế bảo mật trong thời gian ngắn Hay thói quen viết mật khẩu ra giấy, sử dụng các thông tin dễ nhớ, của người dùng tạo điều kiện thuận lợi cho kẻ tấn công

• Trong các mô hình triển khai thực tế theo phương thức dựa vào thứ người dùng sở hữu như các loại thẻ thông minh, token gặp phải điểm yếu là hệ

thống không có cơ sở để phân biệt giữa người dùng hợp lệ và kẻ xâm nhập khi vật sở hữu bị mất

• Một số hệ thống đã bắt đầu sử dụng các hình thức xác thực, mã hóa sử dụng đặc trưng sinh trắc Tuy nhiên phương pháp tiếp cận còn đơn giản, chỉ dừng lại ở mức so trùng đặc trưng sinh trắc, không có cơ chế bảo mật bảo vệ các mẫu đặc trưng sinh trắc Dẫn đến nếu hệ thống bị tấn công và lộ cơ sỡ dữ liệu sinh trắc thì người dùng khó có thể tái sử dụng đặc trưng đó vì đặc trưng sinh trắc là rất khó thay thế Ngoài ra, do đặc thù có độ nhiễu cao của đặc trưng sinh trắc nên các hệ thống này thường có độ chính xác không cao Hướng đến khắc phục các nhược điểm trên của các hệ thống xác thực, mã hóa truyền thống, các hướng nghiên cứu mở rộng mô hình mã hóa xác thực sinh trắc truyền thống được đẩy mạnh Mô hình mã hóa, xác thực mới cần phát huy các điểm mạnh của cơ chế sinh trắc cũ, đồng thời tích hợp thêm hai tiêu chí chính sau nhằm nâng cao mức độ bảo mật cũng như khả năng triển khai thực tế của mô hình:

• Khả năng chống suy diễn ngược: đảm bảo độ phức tạp tính toán khi kẻ tấn

công muốn suy ngược mẫu sinh trắc học gốc hoặc khóa gốc khi biết được

dữ liệu lưu trữ trong hệ thống

• Khả năng chống tấn công kết hợp: đảm bảo kẻ tấn công không thể suy diễn

được dữ liệu sinh trắc học gốc hoặc khóa gốc khi biết được nhiều mẫu lưu trữ khác nhau của cùng một đối tượng

Nói một cách tổng quát, vấn đề cốt lõi của các hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc là phải bảo vệ được đặc trưng sinh trắc

2.3 Bảo vệ đặc trưng sinh trắc

Các hệ thống xác thực và mã hóa sử dụng đặc trưng sinh trắc sử dụng các đặc trưng sinh trắc được trích rút từ các giải thuật trích rút sau đó sử dụng các đặc

trưng này (được biểu diễn dưới dạng các vector số thực, các tập hợp điểm hay chuỗi bits, tùy thuộc vào kỹ thuật trích rút sử dụng) để làm đầu vào cho các thuật giải xác thực hay mã hóa cụ thể Tuy nhiên, những phương pháp trích rút đặc trưng thường không quan tâm đến vấn đề bảo mật đặc trưng sinh trắc Nghĩa

là các mẫu sinh trắc dùng để xác thực hay mã hóa không được giữ bí mật, dẫn đến

dễ dàng bị đánh cắp Do đó, một trong những vấn đề chính yếu của các hệ thống xác thưc, mã hóa bằng đặc trưng sinh trắc là làm sao bảo vệ mẫu sinh trắc mà không ảnh hưởng đến độ hiệu quả của hệ thống Từ đó, có khá nhiều nghiên cứu liên quan để xây dựng các kỹ thuật bảo vệ mẫu sinh trắc

Theo tác giả trong tài liệu [13], có 4 tính chất mà một mô hình bảo vệ mẫu sinh trắc cần có:

• Đa dạng (Diversity): Không cho phép trường hợp tấn công cross-matching

Khi đó, nếu người dùng sử dụng cùng một sinh trắc cho tất cả các ứng dụng,

họ thể bị theo dõi bằng cách so trùng mẫu sinh trắc

• Có thể huỷ bỏ (Revocability): Có thể dễ dàng huỷ bỏ một mẫu sinh trắc đã

bị lộ và sinh ra một mẫu mới từ cùng một dữ liệu sinh trắc ban đầu

• Bảo mật (Security): Không thể hoặc rất khó để tính toán được mẫu sinh trắc

ban đầu từ mẫu bảo mật Do đó, dù kẻ tấn công có thể đánh cắp được mẫu bảo mật, họ cũng không thể có được mẫu ban đầu để có thể tấn công vào

hệ thống

• Hiệu quả (Performance): Mô hình bảo vệ mẫu sinh trắc không được làm

giảm độ chính xác trong xác thực của hệ thống sinh trắc

Mô hình bảo vệ mẫu sinh trắc có thể chia thành 2 loại [14]: biến đổi đặc trưng (fearure transformation) và hệ thống mã hoá sinh trắc (biometric cryptosystem) như hình dưới:

Hình 3 Phân loại kỹ thuật bảo vệ đặc trưng sinh trắc

Một trong những giải pháp để bảo vệ đặc trưng trong hệ thống xác thực bằng đặc trưng sinh trắc là sử dụng phép biến đổi đặc trưng (feature transformation) Mẫu sinh trắc sẽ được áp dụng một hàm biến đổi F (transformation function) và ta chỉ lưu lại mẫu đã được biến đổi thay vì mẫu ban đầu Cho dù vì một lý do nào đó, mẫu sinh trắc trong cơ sở dữ liệu bị kẻ tấn công chiếm được thì họ vẫn không thể

có được mẫu sinh trắc ban đầu Khi đó, ta chỉ cần áp dụng một hàm biến đổi khác

để có một mẫu sinh trắc khác, cùng một mẫu sinh trắc người dùng có thể tái sử dụng nhiều lần Một ưu điểm khác của cách tiếp cận này là có thể sử dụng cách rút trích đặc trưng sinh trắc cùng giải thuật so trùng có sẵn và có thể tương thích với hệ thống cũ

Phương pháp biến đổi đặc trưng có thể chia thành hai nhánh chính là salting và noninvertible transform [19]:

• Salting: là một phương pháp biến đổi đặc trưng sinh trắc sử dụng một hàm định nghĩa bởi một khoá hoặc một mật khẩu do người dùng cung cấp Ta cần giữ bí mật khoá/ mật khẩu này vì biết nó có thể khôi phục lại mẫu sinh trắc ban đầu Hình 4 là một minh mòa của quá trình xác thực sử dụng phương pháp biến đổi đặc trưng sử dụng salting

Hình 4 Các bước xác thực sử dụng biến đổi đặc trưng sử dụng salting

• Noninvertible transform: trong cách tiếp cận biến đổi không suy ngược (non-invertible transformation), mẫu sinh trắc sẽ được biến đổi bởi một hàm một chiều (one-way function) F Hàm F này “dễ để tính toán” (trong thời gian đa thức) nhưng “khó để suy ngược” Hàm F này có thể công khai, không cần phải giữ bí mật

Hình 5 Minh họa gương mặt của cùng một người được biến đổi bằng phương pháp chống suy ngược

Một nhánh khác trong các kỹ thuật bảo vệ mẫu đặc trưng sinh trắc là mã hóa đặc trưng sinh trắc (biometric cryptosystem) Với cách tiếp cận mã hóa đặc trưng sinh

trắc này, một vài thông tin công cộng về mẫu sinh trắc được lưu lại cho mục đích phục hồi khóa từ đặc trưng sinh trắc trong giai đoạn xác thực Thông tin này được gọi là dữ liệu trợ giúp (helper data), dữ liệu này phải không được rò rỉ bất kỳ thông tin quan trọng về mẫu sinh trắc gốc hay khóa

Cách tiếp cận kết hợp đặc trưng sinh trắc và mã hóa cho mục đích bảo vệ khóa

mã hóa bằng cách dùng đặc trưng sinh trắc mà được gọi là Key Binding (trộn khóa mã hóa với mẫu đặc trưng sinh trắc lại với nhau) hoặc sinh trực tiếp một khóa mã hóa từ mẫu đặc trưng sinh trắc, cách này được gọi là Key Generation:

• Key Binding: cách tiếp cận Key Binding có ưu điểm là tính độc lập giữa

khóa và đặc trưng sinh trắc vì thế mà khóa được sinh mới một cách dễ dàng,

ngẫu nhiên và tính hỗn độn cao (high entropy) Nhưng một cách tổng quát, nhược điểm của nó là tính đa dạng (diversity), tính khả hủy bỏ (revocability) và bảo vệ mẫu (template protection) không được đảm bảo một khi khóa bị lộ Để khắc phục những hạn chế này, cách tiếp cận Key

Binding có thể kết hợp với những cách tiếp cận khác như Salting

• Key Generation: với hướng tiếp cận Key Generation, khóa được sinh trực tiếp từ mẫu đặc trưng sinh trắc, vì vậy đây là một lựa chọn tốt cho các ứng dụng mã hóa với yêu cầu đảm bảo tính chất bảo vệ mẫu sinh trắc Tuy nhiên, cách tiếp cận này vướng phải vấn đề đối nghịch giữa tính ổn định

của khóa và độ mạnh của khóa (tính hỗn độn của khóa – key entropy) Một

trong những kỹ thuật tiêu biểu cho hướng tiếp cận này là kỹ thuật phác thảo bảo mật (Secure Sketch) [18] Phác thảo bảo mật bao gồm hai thành phần là: sinh phác thảo (SS) và phục hồi (Rec) Hình dưới mô tả hoạt động của phác thảo bảo mật Các bước cơ bản của phác thảo bảo mật như sau:

o Cho trước một mẫu sinh trắc bảo mật T, SS tiến hành sinh thông tin công cộng S dùng cho mục đích phục hồi T, S sẽ được công khai trong khi T sẽ không được lưu lại

o Với một mẫu sinh trắc T’ đủ tương tự mẫu T, thành phần phục hồi Rec có thể phục hồi chính xác T với trợ giúp của S

Hình 6 Mô hình phác thảo bảo mật (Secure Sketch)

2.4 Kết hợp đặc trưng sinh trắc

Hệ thống sinh trắc học (biometrics system) chia làm 2 loại chính

• Đơn sinh trắc (unimodal biometrics): chỉ sử dụng một loại đặc trưng sinh

trắc và một cảm biến sinh trắc trong hệ thống thu thập mẫu sinh trắc

• Đa sinh trắc (multimodal biometrics): sử dụng nhiều loại đặc trưng sinh

trắc, mỗi loại đặc trưng sinh trắc có thể được thu thập từ một hoặc nhiều cảm biến sinh trắc

Hiện nay, phần lớn hệ thống sinh trắc học được đưa vào sử dụng là hệ thống đơn sinh trắc Tuy nhiên, theo thời gian và các nghiên cứu thời gian gần đây đã chỉ ra các điểm yếu mà hệ thống đơn sinh trắc gặp phải

2.4.1 Các vấn đề gặp phải với hệ thống đơn sinh trắc

Thực tế và nghiên cứu cho thấy hệ thống đơn sinh trắc tồn tại một số bất cập:

• Mẫu sinh trắc bị nhiễu: Vấn đề nhiễu có thể do nhiều nguyên nhân, trong

đó có 2 nguyên nhân chính: (i) đặc trưng sinh trắc của người sử dụng có vấn đề, như ngón tay bị xước (nhiễu vân tay), giọng nói sai khác do người

sử dụng có vấn đề sức khỏe (nhiễu giọng nói), và (ii) nhiễu do bộ cảm

biến sinh trắc bị hư hỏng (dính bụi, bảo trì kém, ), hay do môi trường xung quanh (nguồn sáng không tốt trong hệ thống sinh trắc nhận dạng khuôn mặt)

• Khác biệt nội đặc trưng: Vấn đề này xảy ra phổ biến ở đặc trưng sinh trắc

khuôn mặt Khi sử dụng, người dùng có thể cung cấp mẫu sinh trắc sai khác nhau do hướng nhìn khuôn mặt đối với camera lấy mẫu

• Tương tự liên đặc trưng: Tương tự liên đặc trưng là sự khác biệt của mẫu

sinh trắc giữa những người khác nhau quá nhỏ, đến mức không phân biệt được Ví dụ, khuôn mặt, giọng nói của 2 người khác nhau có thể rất giống nhau

• Không tổng quát: Hệ thống đơn sinh trắc chỉ hỗ trợ một loại đặc trưng

sinh trắc, do đó không phải bất kì ai cũng đều có thể sử dụng được Như một số người có dấu vân tay mờ nhạt, sẽ không thể sử dụng hệ thống đơn sinh trắc nhận dạng vân tay

• Tấn công giả dạng: Do đặc trưng sinh trắc có thể được thu thập và tái sử

dụng bởi kẻ khác, điều này dẫn đến sự xâm nhập hệ thống trái phép Như dấu vân tay có thể dễ dàng bị thu thập, hay khuôn mặt có thể dễ dàng bị ghi hình, hay giọng nói có thể dễ dàng bị ghi âm

2.4.2 Hệ thống đa sinh trắc

2.4.2.1 Giới thiệu

Hệ thống đa sinh trắc, bằng cách kết hợp nhiều loại đặc trưng sinh trắc khác nhau, hoàn toàn có thể giải quyết được các điểm yếu nói trên của hệ thống đơn sinh trắc Tuy nhiên, để có thể kết hợp nhiều loại đặc trưng sinh trắc trong hệ thống xác thực sinh trắc học, ta cần quan tâm đến các vấn đề sau

• Loại đặc trưng sinh trắc được sử dụng kết hợp

• Mỗi loại đặc trưng sinh trắc được thu thập qua một hay nhiều cảm biến

• Mỗi mẫu sinh trắc được xử lý đánh giá bởi một hay nhiều giải thuật (rút trích, đánh giá, kết luận)

• Cách thức kết hợp các kết quả xử lý

• Quá trình đánh giá là song song hay tuần tự

Trong các vấn đề trên, ở góc nhìn khoa học máy tính, ta chủ yếu quan tâm đến vấn đề cách thức kết hợp các kết quả xử lý

2.4.2.2 Các mức kết hợp đặc trưng sinh trắc

• Kết hợp ở mức thông tin thô: ở tầng này, quá trình kết hợp diễn ra trước

khi dữ liệu được đưa vào trích xuất vector đặc trưng Cách kết hợp này thích hợp cho các hệ thống sử dụng nhiều mẫu của cùng một đặc trưng sinh trắc học Ví dụ, hệ thống chụp nhiều hình ảnh của cùng một khuôn mặt sau

đó kết hợp lại thành một ảnh duy nhất rồi đưa vào quá trình rút trích vector đặc trưng Kết hợp ở tầng dữ liệu thô có những ưu điểm và nhược điểm sau đây:

o Ưu điểm: do kết hợp ở tầng dữ liệu thô nên lượng thông tin đầu vào cho quá trình kết hợp là lớn nhất trong các phương pháp kết hợp trên

o Nhược điểm: dữ liệu thu được của các đặc trưng sinh trắc học rất khác nhau nên rất khó tìm ra một thuật toán kết hợp tổng quát Dữ liệu thô thu được thường có độ nhiễu cao nên kết hợp ở tầng này sẽ

có độ chính xác không cao Ngoài ra, hệ thống sẽ không kết hợp được với các hệ thống xác thực truyền thống như: mật khẩu, các loại thẻ

• Kết hợp ở mức đặc trưng sinh trắc: ở tầng này, quá trình kết hợp diễn

trên các vector đặc trưng đã được rút trích từ dữ liệu thô Sau khi kết hợp, kết quả thu được là một vector đặc trưng tổng hợp Vector này sẽ được đưa vào quá trình tính điểm Mô hình kết hợp ở tầng vector đặc trưng được chia

làm hai lớp chính là đồng nhất và không đồng nhất Lớp đồng nhất được dùng để kết hợp các vector đặc trưng được rút trích từ cùng một đặc trưng

và cùng một thuật toán Lớp không đồng nhất được dùng để kết hợp các vector đặc trưng của các đặc trưng khác nhau hoặc được rút trích bằng các thuật toán khác nhau Kết hợp ở tầng vector đặc trưng có những ưu điểm

và nhược điểm sau đây:

o Ưu điểm: lượng thông tin đầu vào tuy ít hơn tầng dữ liệu thô nhưng vẫn còn chứa rất nhiều thông tin Độ nhiễu đã được giảm xuống trong quá trình trích xuất vector đặc trưng nên độ chính xác được cải thiện

o Nhược điểm: sự quan hệ giữa các vector đặc trưng có thể không xác định được hoặc các vector đặc trưng không tương thích với nhau gây khó khăn trong việc xây dựng thuật toán kết hợp

• Kết hợp ở mức điểm đánh giá: việc kết hợp được thực hiện sau khi điểm

đánh giá của mỗi mẫu được xác định, thông qua các giải thuật như cộng trung bình, cộng trung bình có trọng số, Sau đó điểm tổng kết đánh giá

sẽ được đưa vào quá trình đưa ra kết luận Kết hợp ở tầng điểm có những

ưu điểm và nhược điểm sau đây:

o Ưu điểm: dễ hiện thực, linh hoạt, có thể thay đổi tính chất của hệ thống theo hướng bảo mật hoặc thuận tiện cho người dùng thông qua việc thiết lập trọng số cho các đặc trưng khác nhau

o Nhược điểm: Điểm được sinh ra từ các đặc trưng khác nhau có thể không đồng nhất nguyên nhân là do điểm được sinh ra theo các phân

bố xác suất khác nhau hoặc cách đánh giá sự tương đồng khác nhau

Ví du, đặc trưng thứ nhất điểm càng cao thì độ tương đồng càng cao trong khi đó ở đặc trưng thứ hai điểm càng cao thì độ tương đồng càng thấp

• Kết hợp ở mức quyết định: sau khi quyết định của từng đặc trưng sinh

trắc được xác định, giải thuật sẽ kết hợp các quyết định để đưa ra kết luận