基于区块链的生物特征认证系统的安全性研究

⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 7（2021）322www.elsevier.com/locate/icte使用区块链保护生物特征认证系统李渊圭，郑钟旭韩国首尔弘益大学计算机工程系韩国首尔韩国军事学院计算机接收日期：2021年2月23日;接收日期：2021年6月22日;接受日期：2021年8月2日2021年8月14日网上发售摘要生物特征认证系统存在主要的安全弱点：生物特征信息泄露的风险，认证模块的不可靠性，以及生物特征信息管理的不透明性。本文提出了一种新的基于区块链的生物认证系统BDAS，它提供了一种去中心化的分布式生物认证处理机制和一种可审计的机制用于管理生物特征信息。BDASc2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：区块链;生物认证;去中心化系统1. 介绍生物认证系统由于其安全性和方便性而受到广泛的关注.当用户登记她的生物特征信息时，管理模块以模板的形式管理信息，并且认证模块将新输入的信息与登记的模板进行比较。生物特征信息对每个人来说都是唯一和安全的，生物特征模板的复制具有挑战性，这使得其应用系统比密码等传统方法更安全[1]。然而，由于生物特征信息的不变性，生物特征信息的泄漏可能导致连续的安全威胁[2]。此外，生物特征信息通常由中央模块管理，这妨碍了认证系统的安全性和可靠性[3]。为了最大限度地减少威胁，现有的研究主要集中在生物特征模板的安全管理上[4，5]。不是处理原始生物特征信息，而是从信息中提取预定义的特征，与散列值组合，并以模板的形式存储虽然*通讯作者：韩国军事学院计算机科学系，韩国首尔电子邮件地址：younkyul@hongik.ac.kr（Y.K.Lee），jwjeong55@gmail.com（J.Jeong）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2021.08.003模板使原始信息的直接泄漏最小化，一旦模板泄漏，可以通过逆向工程来估计原始信息[6，7]。为了克服上述挑战和现有方法的缺点，我们设计了BDAS（基于区块链的分布式生物特征认证系统），这是一种使用区块链的新生物特征认证系统。区块链是一种新兴的技术，它支持加密操作，并使能应用系统在没有中央权威的情况下实现弹性安全机制[8]。通过结合区块链技术，BDAS提供（1）用于处理生物特征认证的分散和分布式机制，以及（2）用于处理生物特征信息的可审计机制。BDAS通过将每个生物特征模板拆分为片段并将其存储到区块链上的不同客户端来实现生物特征信息的安全管理。BDAS通过采用区块链机制提供可靠的身份验证，该机制允许区块链上的每个客户端在没有中央机构的情况下执行交易。由于区块链上的每笔交易都经过验证并记录了时间戳，因此BDAS中的每一个身份验证活动都记录在交易中，并且可以永久跟踪。BDAS区别于先前的作品，因为（1）它en-通过基于区块链的分布式管理增强生物特征信息的安全性，（2）它提高了2405-9595/2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。Y.K. Lee和J. JeongICT Express 7（2021）322323它通过基于区块链的分散认证来实现认证操作，以及（3）它通过基于区块链的审计机制来保证1u生物特征信息流的透明性。我们通过使用真实场景的对比分析评估了BDAS与现有方法相比，BDAS提供了可靠的身份验证，同时在实际场景中引入了可忽略不计的性能开销。本文主要做了以下几个方面的工作：（1）提出了一种新的生物特征认证系统，该系统将区块链技术与生物特征认证操作相结合。我们提出的系统为采用区块链技术进行生物识别认证提供了一个基线，(2)我们提供了一种新的认证机制方向，该认证机制提供了健壮的认证操作，同时克服了现有系统的挑战，如生物测定内容保护、单点故障和不可靠的认证过程。(3)我们通过实现其原型工具证明了所提出的系统的可行性和操作性能。(4)我们分析并提出了涉及现实世界的情况下的评估结果第二节介绍了背景和相关工作。第3节描述了我们提出的系统。第4节展示了它的实施和评价，第5节结束了论文。2. 背景和相关工作2.1. 生物认证传统的生物识别系统包括四个模块[9]：（1）传感器获取生物识别信息;（2）特征提取器处理生物识别信息以提取特征并生成生物识别模板;（3）管理员管理注册模板;以及（4）管理员识别输入模板和注册模板之间的相似性。通过这些模块，生物识别认证通过两个步骤操作：(1)注册用户通过传感器注册她的生物信息。该信息被转换成称为模板的预定义格式，并且该模板被存储在管理员中;以及（2）认证-用户尝试通过经由传感器提供她的生物特征信息来进行认证，然后将该信息与登记的模板进行比较生物特征认证系统可能面临各种安全威胁，例如生物特征信息的复制，注册模板的盗窃和操纵[6，7]。现有的工作主要集中在使用模板的加密，转换和分发的生物特征信息的安全管理[4，5]。2.2. 区块链区块链是分布式公共账本系统的核心机制[10]。区块链节点通过使用先前交易的哈希值来添加包含交易的新块区块链机制的使用提供了两个主要优势[10，11]：（1）去中心化-区块链上的任何节点都可以执行交易，这确保了整个系统的可靠性，而不依赖于中心点;（2）可验证性-区块链上的每笔交易都经过验证并记录有时间戳，这确保了信息的透明性。因此，每个节点都可以验证和跟踪记录。2.3. 区块链用于信息管理最近的研究集中在采用区块链机制来实现安全和强大的信息管理。Shafagh等人提出了一种使用区块链的物联网数据分布式存储系统[12]。通过采用区块链机制进行访问控制，他们为物联网服务设计了一个强大的存储架构。Acquah等人介绍了一种基于区块链的指纹模板存储系统[8]。他们提出一种新的信息管理机制，将模板的哈希值存储在区块链上。然而，现有的解决方案不考虑模板分割。这可能造成当模板被泄露时可以容易地估计3. 拟议系统本节介绍BDAS，一种使用区块链的新生物特征认证系统。通过结合区块链技术，BDAS提供了一种分散和分布式的生物特征认证机制，而不依赖于中央认证模块。在BDAS中，每个客户端独立地管理模板片段并处理认证操作，而没有特定的中心点。这种分散的机制通过消除单点故障的风险来实现健壮的身份验证。此外，每个模板被分割成片段，这些片段由不同的客户端管理。这种分割机制通过最小化泄漏完整模板的风险来实现生物特征信息的安全管理。基本上，BDAS的核心操作，包括模板管理和认证记录活动，都在区块链上运行的智能合约中实现。需要注意的是，为了保证分布式信息管理提供的安全性，BDAS至少需要配置三个客户端，BDAS中的每个客户端运行一个区块链节点。BDAS是一个许可的区块链，只有经过验证的节点可以参与其中。如图 1、BDAS由两层组成：存储层和管理层。在存储层，客户端处理用户请求，在管理层，区块链节点配置区块链网络。每个客户端独立地处理认证并管理模板片段，这与现有的基于服务器-客户端的认证系统的操作不同通过运行智能合约，客户端可以找到管理所需片段的相应客户端。BDAS中的每个身份验证过程都被记录为区块链网络上的交易Y.K. Lee和J. JeongICT Express 7（2021）322324--←←⌊ ⌋ ⌊ ∗⌋←−−图1.一、B D A S 的运营概况。BDAS（1）请求注册：客户端通过传感器捕获用户因此，每个模板根据其时间戳被分成不同类型的片段;（3）识别节点：客户端识别与其对应节点连接的节点;（4）选择客户端：当BDAS中的客户端的数量为n时，每个模板的片段的存储副本的数量例如，如果存在八个客户端，则每个片段将（5）存储模板：将分配的模板片段存储在所选择的客户端中。BDAS合约：客户端运行LookUp智能合约，以便算法1：LookUp智能合约1输入：t模板ID结果：I P. 添加存储客户端的IP地址;联合ID模板使用的片段ID2 结构片段 联合I D，I P。 添加3t Fragment[]template Data4 列表L[]5 forvin template6如果v.ID == t，则7L.push（v）端89端部10 返回L在模板数据中的模板信息v上（第5-8行如果v. I D匹配t，算法1将v添加到列表L（第7行）并返回L（第10行）。运行LookUp智能合约后，客户端生成包含模板ID和认证时间戳信息的交易。通过将此交易广播到所有连接的节点，每个认证活动都记录在区块链上。4. 执行和评价我们将在本节中描述我们的原型实现和评估结果。我们使用Geth（v. 1. 9. 25）和Solidity（v. 0. 6. 0）实现了BDAS为确认BDAS的可靠性，我们分析评估了BDAS假设BDAS中的客户端数量为3n（n= 1，2，3.），并且每个片段的N个副本由那些客户端管理。在这种情况下，只要禁用少于n个客户端，就可以保证BDAS但是，如果禁用了3个以上的客户端，则其身份验证将不可用。找到所需模板片段的位置;（3）重新-P=s，Σs=∑（3 n-k）！，e=（3 n）！中国（1）turn信息：片段e返回给客户端;（4）请求模板：客户端请求和接收相应的片段，（a， b，c）∈X一个！b！c！你好！你好！你好！（5）比较模板：客户端将片段合并为完整的模板，并将其与所请求的信息进行比较。算法1实现了BDAS算法1作为输入，使用需要认证的模板的ID，并返回两个输出：（1）存储对应片段的客户端的IP地址;以及（2）给定模板的片段ID。算法1定义了tFragment，一个包含IP地址和片段ID的结构化数据（第1行）。t片段的实例，即，模板数据存储在区块链上运行的智能合约上（第2行）。算法1迭代X={（a，b，c）|a> 0，b> 0，c> 0 <$a + b + c =3 n-k}设k为禁用客户端的数量（n1

下载后可阅读完整内容，剩余1页未读，立即下载