CN101079707A - 基于可撤消的手写签名的身份认证方法 - Google Patents

Abstract

本发明公开了基于可撤消的手写签名的身份认证方法，包括手写签名的变形、变形函数的选择、手写签名的比较和认证。先用数字式手写板采集手写签名的动态信息，然后对手写签名的二维坐标进行大小和位置的归一化。用正弦函数的组合对手写签名的二维坐标序列进行调制，达到手写签名变形的目的。正弦函数的参数由客户的PIN码控制，每个手写签名用最近邻法选择合适的签名模板，并根据手写签名与该签名模板的比较距离进行决策。本发明通过变形隐藏了真实的手写签名，增加了生物特征数据的安全性，客户能拥有多个手写签名，如果系统发生安全问题，客户能更换“新”的手写签名，即这种生物特征是可撤消的，获得比单纯手写签名认证更高的精度和可靠性。

Description

基于可撤消的手写签名的身份认证方法

技术领域  本发明涉及生物特征识别技术领域，特别涉及在线手写签名认证技术的基于可撤消的手写签名的身份认证方法。

背景技术  现代社会，因为计算机和网络的广泛应用，准确快速的身份认证成为一种迫切的需要。常用的身份认证方法可分为三类：基于知识的方法，如口令、密码等；基于信物的方法，如IC卡、身份证等；基于生物特征的识别方法(简称为“生物特征识别方法”)。其中，生物特征识别具有无需记忆与保存、不会丢失、不易仿冒等特点，被认为是最自然、最值得信任的一种身份认证方法。

生物特征识别技术具有许多传统身份认证方法所无法比拟的优点，但是它也有一个致命的弱点：一旦生物特征识别系统发生泄密，客户的生物特征模板外泄，客户显然无法为自己更换一个新的生物特征。而且，在不同的生物特征识别系统中，同一个客户注册的生物特征模板相同，因此客户有理由担心自己的生物特征被滥用。也正因为这些问题，安全、隐私、客户信心，再加上生物特征识别的准确性的原因，使得生物特征识别技术在实际中的应用还不够理想。详见文献：Marcos Faúndez-Zanuy.Biometric Recognition：Why not Massively Adopted yet？IEEEAerospace and Electronic Systems Magazine，20(8)：25-28，August，2005(生物特征识别：“为什么没有大量应用？”，IEEE航空与电子系统杂志，2005年8月)。

为了解决安全与隐私方面的问题，近几年“可撤消的生物特征”被提出并逐渐得到重视。可撤消的生物特征，其基本思想就是用一种不能恢复的方法对生物特征数据进行变形，然后将变形后的生物特征用于身份认证。其特点是：一、对生物特征的变形是不可逆的。无法从变形后的特征数据中恢复原始的生物特征，从而达到了隐藏生物特征的目的；二、对生物特征的变形是可控的。不同的系统，对同一个客户的生物特征可以采用不同的变形，因此避免了生物特征被滥用的危险。并且因为同样的原因，客户可以拥有多个“生物特征”，即使生物特征识别系统出现安全方面的问题，客户也可以重新注册一个生物特征。目前，“可撤消的生物特征”已经被应用到指纹、人脸识别等场合。见文献：Russell Ang，Rei Safavi-Naini，and Luke McAven.Cancelable Key-BasedFingerprint Templates.ACISP2005，LNCS 3574：242-252，2005(“可撤消的与密码有关的指纹模板”，澳大利亚信息安全与保密会议，2005)、文献：N.K.Ratha，S.Chikkerur，J.H.Connell，and R.M.Bolle.Generating Cancelable Fingerprint Templates.IEEE Transactions onPattern Analysis and Machine Intelligence，Vol.29，No.4，April 2007(“可撤消的指纹模板的生成”，IEEE模式分析与机器智能学报，2007)。

生物特征包括指纹、虹膜、视网膜、DNA等生理特征和笔迹、手写签名、声纹、步态等行为特征。在所有的生物特征识别方法中，手写签名认证具有特别重要的意义，因为在长期的社会生活中，人们已经接受了手写签名作为标识身份和表明自己意愿的一种方式。通常手写签名包括在线手写签名与脱机手写签名两种，两者的区别主要在于手写签名信息的采集手段和时机。脱机手写签名一般是用相机、扫描仪等设备，将写在纸上的手写签名转变为静态图像，然后进行处理。在线手写签名一般在书写的同时，用数字手写板、触摸屏等设备将笔(或手指)在书写平面的运动轨迹记录下来。在线手写签名因为采集了书写过程的动态信息，包含了丰富的个人特性，难以模仿，能有效标识签名者的身份，是手写签名认证的主要研究方向。

在线手写签名的认证方法大体上可分为两大类：基于参数的方法和点对点的方法。所谓基于参数的方法，手写签名由一系列的参数描述，参数通过手写签名信息的全局或局部统计得来。基于参数的方法对手写签名的比较很简单，例如可直接计算参数的欧式距离或Cosine距离，然后通过距离大小判断手写签名与签名模板的相似性。而点对点的方法，有的文献也称之为基于时间函数的方法，把在线手写签名的动态时间序列视为对时间的函数，通过对齐、比较两个手写签名的时间序列判断两个手写签名的相似性。在两个手写签名的动态时间序列之间存在非线性时间弯曲现象，因而动态时间弯曲(Dynamic Time Warping，DTW)、隐马尔可夫模型(Hidden Markov Model，HMM)、人工神经网络(Artificial Neural Networks，ANN)等方法被用于动态手写签名序列的比较认证。

无论国内外，有大量的研究者从事手写签名认证研究，在国际上一些顶级的学术杂志、学术会议上不断发表论文，并且也涌现出了大量的专利。如专利“手写式数字签名系统与方法”，周忠信，专利申请号01115963.4，公开号CN1391198A，“手写签名鉴定程序、方法和设备”，富士通株式会社，专利申请号02151381.3，公开号CN1445663A，等等。这些研究者从手写签名信息获取、特征提取、手写签名比较与认证、系统构成、签名模板数据库的更新等方面进行了大量的研究。但是，手写签名认证系统面临的安全、隐私等方面的问题，还没有得到足够的重视。

发明内容  本发明的目的是：根据现有技术不足之处，手写签名认证系统面临的安全、隐私等方面的问题还没有得到足够的重视，本发明将“可撤消的生物特征”思想用于手写签名认证，提出一种基于可撤消的手写签名的身份认证方法。

基于可撤消的手写签名的身份认证方法，将变形后的手写签名用于身份认证。用正弦函数(或正弦函数的组合)对手写签名的x和y坐标进行调制，从而达到手写签名变形的目的。正弦函数的参数由客户提供的PIN(Personal Identity Number)码控制，在不同的应用中，客户可以通过变更PIN码对手写签名进行不同的变形，因而每个客户可以拥有多个手写签名。系统采用分布式结构，无论注册阶段还是认证阶段，对手写签名的变形都在客户端完成，系统无需存贮原始的手写签名和PIN码，以保证客户信息的安全和隐私。

本发明的技术方案是：基于可撤消的手写签名的身份认证方法，包括：1)手写签名获取  利用数字式手写板获取手写签名的动态信息，包括手写签名的二维坐标(x和y)、压力(p)随时间变化的动态序列；

2)手写签名预处理  本方法的预处理包括对手写签名进行位置归一化、坐标大小归一化及压力归一化，手写签名预处理具体包括以下步骤：

2.1)计算手写签名在二维平面的重心；

2.2)将手写签名的重心作为新的坐标原点，对手写签名测试的坐标序列进行坐标平移；

2.3)累积手写签名序列的二维坐标平方和R＝∑_t(x(t)²+y(t)²)；

2.4)将R求平方根后用于手写签名序列坐标的大小归一化，归一化的横竖标和纵竖标序列分别为x(t)＝K·x(t)/R^0.5，y(t)＝K·y(t)/R^0.5；

2.5)将压力序列除以其最大值从而完成归一化；

3)手写签名变形  利用正弦函数的组合f(t)＝∑_iA_i·sin(B_i+C_i·t/T)对手写签名的两个坐标序列进行调制，从而得到扭曲变形的手写签名动态序列：x(t)＝x(t)·f(t)，y(t)＝y(t)·f(t)，其中正弦函数的参数由客户的PIN码生成；

4)特征提取  根据变形后手写签名坐标序列计算手写签名的线速度v、手写签名轨迹切线角序列θ，与归一化后的二维坐标序列、归一化后压力序列p一起作为手写签名的特征；

5)手写签名的比较与决策，包括以下步骤：

5.1)使用动态时间弯曲(Dynamic Time Warping，DTW)算法对齐手写签名与签名模板的切线角序列，得到对切线角序列的时间调整函数；

5.2)根据对手写签名动态序列的时间调整函数对手写签名的x、y坐标、线速度v、切线角θ和压力p五个动态序列进行时间规整；

5.3)计算每个动态序列的累积距离 $D_i=\underset{(t^R,t^T)\∈P}{\mathrm{\Σ}}|O_i^R\left(t^R\right)-O_i^T\left(t^T\right)|.$ 其中O_i ^R和O_i ^T(i∈{1，2，3，4，5})分别代表签名模板和手写签名的五个动态序列；(t^R，t^T)∈P代表手写签名与签名模板的对齐函数；

5.4)计算对手写签名的时间调整幅度 $D_0=\mathrm{Motion}=\underset{(t^R,t^T)\∈P}{\mathrm{\Σ}}|t^R-t^T|;$

5.5)计算手写签名与签名模板之间相似性 $S=-\underset{i-0}{\overset{5}{\mathrm{\Σ}}}(D_i-{\mathrm{\μ}}_i)/{\mathrm{\σ}}_i,$ 其中μ_i和σ_i分别代表D_i的均值和方差，它们可以用参考样本库中的估计值代替。

5.6)决策，设定阈值进行判决

设定一个阈值T，当S＜T时，认为提交的手写签名是一个假手写签名；否则判定提交的手写签名是一个真手写签名。

其中，在3)手写签名变形中对手写签名进行调制的正弦函数参数由客户提供的PIN码生成：

设客户输入的PIN码为m₁m₂m₃m₄m₅m₆m₇m₈，则手写签名变形所用的正弦函数的参数是：B_i＝0.2π·(1+m_2i-1)，C_i＝1.5π+m_2i·π，i＝{1，2，3，4}。PIN码的前四位生成的参数用于x坐标的变形；后四位生成的参数用于y坐标的变形。

在5)中签名模板在注册阶段客户提供的参考手写签名中选择：为每位客户保留三个签名模板，签名模板的选择依据是参考手写签名的特殊点数量；在客户提供的参考手写签名中，选择包含最多、最少和平均数量特殊点的三个参考手写签名作为签名模板；在比较时，用最近邻法选择合适的签名模板，手写签名分别与这三个签名模板进行比较，选择其中D₀最小的一组距离作为该手写签名与签名模板的相似性度量。

本发明的有益效果是：

相对于现有技术不足之处，手写签名认证系统面临的安全、隐私等方面的问题，还没有得到足够的重视，本发明将“可撤消的生物特征”思想用于手写签名认证，提出一种基于可撤消的手写签名的身份认证方法。

基于可撤消的手写签名的身份认证方法，包括手写签名获取和手写签名预处理，以及手写签名变形、变形函数的选择与控制、特征提取、变形后手写签名的比较与决策。先用数字式手写板采集手写签名的动态信息，然后对手写签名的二维坐标进行大小和位置的归一化。用正弦函数的组合对手写签名的二维坐标序列进行调制，从而达到手写签名变形的目的。在注册阶段，客户提供若干参考手写签名和一个PIN码，客户机先对手写签名进行大小、位置归一化，然后根据PIN码生成变形函数，对参考手写签名进行变形，最后将变形后手写签名提交到服务器。服务器对变形后手写签名进行特征提取，生成签名模板，将签名模板存储于签名模板库。在认证阶段，客户提交一个手写签名和一个PIN码，客户机先对手写签名进行大小、位置归一化，然后根据PIN码生成变形函数，对手写签名进行变形，最后将变形后手写签名提交到服务器。服务器对变形后的手写签名进行特征提取，然后将得到的特征序列与客户的签名模板进行手写签名比较和决策。

由此可知，本发明的有益效果是：

其一、设计了一种可撤消的手写签名。对手写签名的原始动态信息进行变形，将变形后的手写签名用于身份认证。变形所用的参数由客户控制，因此客户在不同的系统中可以注册不同的手写签名。并且，一旦发生安全方面的问题，客户还可以更换其手写签名。

其二、通过正弦函数对手写签名的动态序列进行调制完成手写签名的变形。正弦函数的参数可调，并且参数集中包含了足够数量的元素，使客户拥有很多可能的手写签名。因此，对一个企图攻击系统的犯罪分子而言，要使用暴力方式获取变形的参数将是十分困难的任务，从而保证了系统的安全性。

其三、客户须提供手写签名与PIN码用于身份认证，因此这相当于一种双因素认证。不同于普通的双因素认证，本发明将两种用于身份认证的因素有机地结合到了一起，并且在系统中不存储任何一种原始的身份认证信息。对一个企图攻击系统的犯罪分子而言，要获取客户的真实手写签名和正确的PIN码十分的困难，因此有效地提高了手写签名认证的可靠性和精度。

其四：基于可撤消的手写签名的身份认证方法的实施例中，采用本发明的方法，用在本实验室中采集的手写签名数据进行了实验。其中将第三步、第四步的实验结果与第一步即原始手写签名的认证的结果相比较，可以看到基于可撤消的手写签名的认证方法要大大好于对原始手写签名的认证结果。同样的比较和认证方法，对原始手写签名的认证可得到5％的等错率，对变形后的手写签名，如果用攻击III测试系统时可得到小于2％的等错率。当然，该方法对攻击I和攻击II的识别效果不能达到如此理想的程度，例如，当调制函数的参数为A＝1，B＝0.2π，C＝6π、测试用攻击I时，EER等于0.065。但是，在应用中攻击I和攻击II出现的概率非常小。对于前面所提出的参数设置原则来说，如果一个攻击者仅凭猜测提供一个PIN的话，那么根据这个PIN对伪造手写签名进行变形后得到的有99.97％的可能是第三类攻击，成为第二类攻击的概率微乎其微(≤0.03％)。而对于第三类假手写签名，我们在实验中可以看到其认证结果要大大优于原始手写签名的认证。因此本发明的方法的认证结果要比基于原始手写签名的认证结果好得多。

附图说明

图1是变形前后的手写签名比较示例图。

图2是手写签名的二维坐标在变形前后的FFT系数比较示例图。

图3是变形前后的真假手写签名匹配距离示意图。

图4是频率参数差距变大时，对攻击I的识别效果图。

图5是相位参数差距变大时，对攻击I的识别效果图。

图6是幅度参数差距变大时，对攻击I的识别效果图。

图7是频率参数变化时对真手写签名和攻击I的FAR和FRR曲线图。

图8是频率参数变化时对真手写签名和攻击II的FAR和FRR曲线图。

图9是频率参数变化时对真手写签名和攻击III的FAR和FRR曲线图。

图10是相位参数变化时对真手写签名和三种攻击的FAR和FRR曲线图。

图11是本发明的流程示意图。

具体实施方式

下面结合附图对本发明的实施例作进一步解释

图1是变形前后的手写签名比较示例。图中手写签名是我们所采集的手写签名数据库中的一个样本，其中，a、b和e分别是原始手写签名的x、y坐标动态序列和二维平面图像；c、d、f分别是变形后手写签名的x、y坐标动态序列和二维平面图像。

图2是手写签名的二维坐标在变形前后的FFT系数比较示例。本发明对手写签名的变形具有不可逆的特征。本发明用正弦函数对手写签名的x、y坐标进行调制，将正弦信号与坐标信号分离，直接的方法就是用滤波器组解调。众所周知，当载波的频率与信号的频率产生混淆的时候，滤波器组将失效。而手写签名信号的有用频率通常位于[0，20]HZ区间，因此要选择适当的载波频率令二者发生频率混淆，而这是很容易满足的。附图2所示为图1的手写签名的二维坐标在变形前后的FFT系数，其中a是x坐标的FFT系数，b是y坐标的FFT系数，从图中来看载波与手写签名信号之间没有明显的频率差距。因此本发明对手写签名的变形是不可逆的。

本发明应用DTW算法对变形后手写签名进行比较和认证，DTW算法对于原始的动态手写签名序列来说，已经被证明是一种有效的算法。依据可撤消的手写签名的身份认证，必须能正确识别四种手写签名：

A.正确参数变形的真手写签名；

B.错误参数变形的真手写签名(攻击I)；

C.正确参数变形的假手写签名(攻击II)；

D.错误参数变形的假手写签名(攻击III)。

DTW算法能正确识别这四种手写签名，必须满足两点要求：

第一，对本发明涉及的变形，DTW方法能保证变形前后的匹配距离的分布是一致的。这一点保证了A和C能够被正确识别，如果真手写签名和假手写签名本来可分的话。

第二，如果同一个手写签名用不同的参数进行变形，即采用不同的变形，DTW的匹配距离也可以大到足以将它们分开。这是很显然的，如果两个变形的参数之间的差距足够大。这一点保证了用错误参数变形的真手写签名能够被正确识别。当然地，用错误参数变形的假手写签名也能够被正确识别。

对手写签名变形用的正弦函数的参数，必须加以适当的选择，这样才能保证对手写签名的变形满足以上的两点要求。

图3是变形前后的真假手写签名匹配距离示意图。其中a是变形前的真假手写签名的匹配距离，b是变形后的真假手写签名的匹配距离。在图中，“X”标记的是假手写签名的匹配距离，“o”标记的是真手写签名的匹配距离。从图3中可以看到，手写签名与签名模板之间的匹配距离在变形前后的分布是一致的。

图4是在攻击I与签名模板的变形函数频率参数差距不断增大、其他参数保持一致的条件下，对攻击I的误识率。攻击I是用错误参数变形的真手写签名。所谓错误参数，即与训练样本变形不同的参数。两者的差距必须足够大，才能正确识别用错误参数变形的真手写签名。图4给出了在其他参数不变的条件下，需要的最小频率差。

图5是给出了正确识别攻击I所需要的最小相位差图。同图4一样，在其他参数相同的条件下，需要的最小相位差。

图6给出了幅度参数差距变大时，对攻击I的识别效果。如图6所示，即使幅度参数的差距相当大，也不能正确识别攻击I。这是因为手写签名之间的匹配距离对变形的幅度参数不敏感。

图7是频率参数变化时对真手写签名和攻击I的FAR和FRR曲线图。

图8是频率参数变化时对真手写签名和攻击II的FAR和FRR曲线。

图9是频率参数变化时对真手写签名和攻击III的FAR和FRR曲线。

图10是相位参数变化、对真手写签名和三种攻击的FAR和FRR曲线。

图7～图10中所说的真手写签名是指“正确参数变形后的真手写签名”。

图11是本发明的流程示意图。在图11流程中包括客户机和服务器，虚线箭头表示注册阶段的流程，实线箭头表示认证阶段的流程。

在注册阶段：客户手写签名获取，提供若干参考手写签名和一个PIN码，客户机先对参考手写签名进行大小、位置归一化，然后根据PIN码生成变形函数，对参考手写签名进行变形，最后将变形后的参考手写签名提交到服务器。服务器对变形后参考手写签名进行特征提取，生成签名模板，将签名模板存储于签名模板库。

在认证阶段：客户提交一个手写签名和一个PIN码，客户机先对手写签名进行大小、位置归一化，然后根据PIN码生成变形函数，对手写签名进行变形，然后将变形后手写签名提交到服务器。服务器对变形后的手写签名进行特征提取，最后将得到的手写签名与客户的签名模板进行手写签名比较和决策。

基于可撤消的手写签名的身份认证方法的实施例：

采用本发明的方法，用我们在本实验室学生中采集的手写签名数据进行了实验。该手写签名模版库包括2000个手写签名，分属于40位客户，其中每位客户有25个真手写签名和25个假手写签名。

评价身份认证方法的性能，通常有两个指标：错误接受率(FalseAccept Rate，FAR)、错误拒绝率(False Reject Rate，FRR)；有时，也用等错率(Equql Error Rate，EER)衡量系统性能。

具体的步骤是：第一步，对原始的手写签名用DTW算法进行认证。方法与本发明所阐述的基本相同，只是取消了手写签名的变形一步。对每一位客户，从其真手写签名中随机抽取15个真手写签名作为参考，从中选择签名模板和训练分类器。将剩余的作为手写签名，得到了5％的等错率。

接下来，我们用变形后的手写签名进行实验。为了通过实验方法寻找合适的参数，我们只用一个正弦函数(而不是正弦函数的组合)对手写签名进行变形，相当于四位PIN码。

第二步，通过实验设置不同变形之间的最小差距，包括参数A、B、C的差距。为设置不同变形的参数C之间的最小差距，令训练样本为15个变形后真手写签名，变形的参数设为A₁＝1，B₁＝0.2π，C₁＝2πf₁＝2π的正弦函数。余下的10个真手写签名用于测试，分别用正确参数和错误参数变形(即攻击I)，将变形后手写签名用于测试分类器。攻击I的正弦函数的参数设为A₂＝1，B₂＝0.2π，C₂＝2πf₂，得到FAR和FRR曲线如图4。从图中可得，当两个变形的参数C之间的差距大于0.4π时，EER将小于0.5。

同样，为设置不同变形的参数B之间的最小差距，令训练样本为15个变形后真手写签名，变形用参数设为A₁＝1，B₁＝0.2π，C₁＝2π的正弦函数。余下的10个真手写签名用于测试，分别用正确参数和错误参数变形的手写签名(即攻击I)用于测试分类器。攻击I的正弦函数的参数设为A₃＝1，B₂＝0.2π+ΔB，C₂＝2π，得到FAR和FRR曲线如图5。从图中可得，当两个变形的参数B之间的差距大于0.3π时，EER将小于0.5。

最后，为设置不同变形的参数A之间的最小差距，令训练样本为15个变形后真手写签名，变形用参数设为A₁＝1，B₁＝0.2π，C₁＝2π的正弦函数。余下的10个真手写签名用于测试，分别将用正确参数和错误参数变形的手写签名(即攻击I)用于测试分类器。攻击I的变形参数设为A₂＝1+ΔA，B₂＝0.2π，C₂＝2π，得到FAR和FRR曲线如图6。从图6中可得，当两个变形的参数A之间的差距大于0.9时，仍不能将真手写签名和攻击I有效地分开。在本发明的参数K等于16的条件下，x和y坐标的最大幅值也不会大于4，因此，如果不同变形的参数A之间要求的距离差距很大，要保证参数集中有足够多的元素就要求A可能取得很大，而这会给DTW的匹配带来困难。所以本发明令A等于常数1。

第三步，观察正弦函数的频率变化时的实验结果。

同样地，用15个变形后的真手写签名进行训练，然后将用相同参数变形的真手写签名和三种不同的攻击用于测试分类器性能。令训练样本和攻击II的变形参数为C₁＝2πf₁，f₁∈{0.5*i}，1≤i≤20，A₁＝1，B₁＝0.2π，攻击I和III的变形参数为C₂＝2π(f₁+0.2)，A₂＝1，B₂＝0.2π。决策阈值在[5，15]区间取值，得到的FRR与FAR曲线如图7-9。其等错率如下表：

表1调制函数设置不同频率参数时的认证结果

假手写签名	f＝1	f＝3	f＝5	f＝7
					攻击I攻击II攻击III	0.020.045＜0.02	0.040.065＜0.02	0.0410.070.02	0.0510.0750.025

第四步，观察正弦函数的相位变化对实验结果的影响。

同样，用15个变形后的真手写签名进行训练，然后将用相同参数变形的真手写签名和三种不同的攻击用于测试分类器性能。令训练样本和攻击II的变形参数为A₁＝1，C₁＝2π，B₁＝i*0.2π，i＝{1，2，…10}，攻击I和III的变形参数为A₂＝1，C₂＝2π，B₂＝B₁-0.3π。决策阈值在[5，15]区间取值，得到的FRR与FAR曲线如图10。其等错率如下表：

表2调制函数设置不同相位参数时的认证结果

假手写签名	B＝0.2π	B＝0.4π	B＝0.6π	B＝0.8π	B＝π
						攻击I攻击II攻击III	0.040.04＜0.02	0.040.045＜0.02	0.040.05＜0.02	0.0450.055＜0.02	0.0450.055＜0.02

通过第二、三、四步的实验，得到对正弦函数参数设置的基本原则是C∈[π，6π]，and ΔC≥0.5π、B∈[0.2π，2π]，and ΔB≥0.3π，其中，ΔC和ΔB分别表示识别假手写签名I所需的最小频率差、最小相位差。

将第三步、第四步的实验结果与第一步即原始手写签名的认证的结果相比较，可以看到基于可撤消的手写签名的认证方法要大大好于对原始手写签名的认证结果。同样的比较和认证方法，对原始手写签名的认证可得到5％的等错率，对变形后的手写签名，如果用攻击III测试系统时可得到小于2％的等错率。当然，该方法对攻击I和攻击II的识别效果不能达到如此理想的程度，例如，当调制函数的参数为A＝1，B＝0.2π，C＝6π、测试用攻击I时，EER等于0.065。但是，在应用中攻击I和攻击II出现的概率非常小。对于前面所提出的参数设置原则来说，如果一个攻击者仅凭猜测提供一个PIN的话，那么根据这个PIN对伪造手写签名进行变形后得到的手写签名有99.97％的可能是第三类攻击，成为第二类攻击的概率微乎其微(≤0.03％)。而对于第三类假手写签名，我们在实验中可以看到其认证结果要大大优于原始手写签名的认证。因此本发明的方法的认证结果要比基于原始手写签名的认证结果好得多。

当采用正弦函数的组合对手写签名曲线进行变形时，得到与上述相似的实验结果。

Claims (4)

1、基于可撤消的手写签名的身份认证方法，该身份认证方法包括：

1)手写签名获取，利用数字式手写板获取手写签名的动态信息，包括手写签名的二维坐标x和y、压力p随时间变化的动态序列；

2)手写签名预处理，包括对手写签名进行位置归一化、坐标大小归一化及压力归一化，具体包括：

2.1)计算手写签名在二维平面的重心；

2.2)将手写签名的重心作为新的坐标原点，对手写签名的坐标序列进行坐标平移；

2.3)累积手写签名序列的二维坐标平方和R＝∑t(x(t)²+y(t)²)；

2.4)将R求平方根后用于手写签名序列坐标的大小归一化，归一化的横坐标和纵坐标序列分别为x(t)＝K·x(t)/R^0.5，y(t)＝K·y(t)/R^0.5；

2.5)将压力序列除以其最大值从而完成归一化；

其特征在于该方法还包括以下步骤：

3)手写签名变形，利用正弦函数的组合f(t)＝∑_iA_i·sin(B_i+C_it/T)对手写签名的两个坐标序列进行调制，从而得到扭曲变形的手写签名动态序列：x(t)＝x(t)·f(t)，y(t)＝y(t)·f(t)，其中正弦函数的参数由客户的PIN码生成，设客户输入的PIN码为m₁m₂m₃m₄m₅m₆m₇m₈，则手写签名变形所用的正弦函数的参数是：B_i＝0.2π·(1+m_2i-1)，C_i＝1.5π+m_2i·π，i＝{1，2，3，4}，PIN码的前四位生成的参数用于x坐标的变形；后四位生成的参数用于y坐标的变形；

4)特征提取，根据变形后手写签名坐标序列计算手写签名的线速度v、手写签名轨迹切线角序列θ，与归一化后的二维坐标序列、归一化后压力序列p一起作为手写签名的特征；

5)手写签名比较与决策，包括：

5.1)使用动态时间弯曲(DTW)算法对齐手写签名与签名模板的切线角序列，得到对手写签名动态序列的时间调整函数；

5.2)根据切线角的动态弯曲函数对手写签名的x、y坐标、线速度v、切线角θ和压力p五个动态序列进行时间规整；

5.3)计算每个动态序列的累积距离 $D_i=\underset{(t^R,t^T)\∈P}{\mathrm{\Σ}}|O_i^R\left(t^R\right)-O_i^T\left(t^T\right)|,$ 其中O_i ^R和o_i ^T(i∈{1，2，3，4，5)分别代表签名模板和手写签名的五个动态序列，(t^R，t^T)∈P代表手写签名与签名模板的对齐函数；

5.4)计算对手写签名的时间调整幅度 $D_0=\mathrm{Motion}=\underset{(t^R,t^T)\∈P}{\mathrm{\Σ}}|t^R-t^T|;$

5.5)计算手写签名与签名模板之间相似性 $S=-\underset{i=0}{\overset{5}{\mathrm{\Σ}}}(D_i-{\mathrm{\μ}}_i)/{\mathrm{\σ}}_i,$ 其中μ_i和σ_i分别代表D_i的均值和方差，用参考样本库中的估计值代替；

所述的签名模板在注册阶段客户提供的参考手写签名中选择，为每位客户保留三个签名模板，签名模板的选择依据是参考手写签名的特殊点数量，在客户提供的参考手写签名中，选择包含最大值、最小值和平均数量特殊点的三个参考手写签名作为签名模板，在比较时，用最近邻法选择合适的签名模板，手写签名分别与这三个签名模板进行比较，选择其中D0最小的一组距离作为该手写签名与签名模板的相似性度量；

5.6)决策，设定阈值进行判决，设定一个阈值T，当S＜T时，认为提交的手写签名是一个假手写签名，否则判定提交的手写签名是一个真手写签名。

2、根据权利要求书1所述的基于可撤消的手写签名的身份认证方法，其特征是：所述的利用数字式手写板获取手写签名的动态信息，包括书写过程中笔尖未接触手写板的运动过程。

3、根据权利要求书1所述的基于可撤消的手写签名的身份认证方法，其特征是：所述的2.4)将R求平方根后用于手写签名序列坐标的大小归一化，归一化的横坐标和纵坐标序列分别为x(t)＝K·x(t)/R^0.5，y(t)＝K·y(t)/R^0.5，其中常数K通常取10～20之间的自然数。

4、根据权利要求书1所述的基于可撤消的手写签名的身份认证方法，其特征是：所述的3)手写签名变形，利用正弦函数的组合f(t)＝∑_iA_isin(B_i+C_it/T)对手写签名的两个坐标序列进行调制，其中正弦函数的幅度参数A_i通常等于1。

Images