KR101967124B1 - 생체인식 템플릿 보안 및 키 생성 - Google Patents

Abstract

생체인식 템플릿을 보호하고 비밀 키를 생성하는 방법 및 시스템이 제공된다. 하나 이상의 이미지가 수신된다. 관심 지점은 수신된 이미지를 기반으로 식별되고, 복수의 난독화 데이터 지점은 관심 지점을 기반으로 생성된다. 관심 지점을 기반으로 하는 난독화된 템플릿과 난독화 데이터 지점이 생성되고 저장된다. 비밀 키는 템플릿 내의 적어도 하나의 난독화 데이터 지점 및 관심 지점의 부분집합을 사용하여 인코딩될 수 있다.

Description

생체인식 템플릿 보안 및 키 생성 {BIOMETRIC TEMPLATE SECURITY AND KEY GENERATION}

관련 출원에 대한 상호참조

본 출원은 2014년 8월 7일자로 출원되고 발명의 명칭이 "생체인식 템플릿 보안 및 키 생성"인 미국 특허 출원 번호 제14/454,148호에 대한 우선권 및 그의 이익을 주장하고, 이는 2013년 9월 16일자로 출원되고 발명의 명칭이 "이미지 검출, 인증, 및 정보 은닉"인 미국 가특허 출원 번호 제61/878,588호 및 2013년 11월 12일자로 출원되고 발명의 명칭이 "검출, 인증, 및 정보 은닉"인 미국 가특허 출원 번호 제61/902,911호에 대한 우선권 및 그들의 이익을 주장하며, 이들의 전체 내용은 본원에 참조로 통합된다.

배경

본 개시내용은 일반적으로 생체인식 인증에 관한 것이고, 보다 구체적으로 생체인식 템플릿을 보호하고 생체인식 템플릿을 사용하여 키를 인코딩 및 디코딩하기 위한 시스템 및 방법에 관한 것이다.

특정한 개인에게 재산 또는 자원에 대한 액세스를 규제하는 것이 종종 바람직하다. 생체인식 시스템은 개인의 신원을 인증하여 자원에 대한 액세스를 승인하거나 거부하는데 사용될 수 있다. 예를 들어 홍채 스캐너는 개인의 홍채 내의 고유 구조를 기반으로 개인을 식별하기 위해 생체인식 보안 시스템에 의해 사용될 수 있다. 예컨대 등록 프로세스 동안, 개인으로부터 캡처된 생체인식 데이터는 나중에 개인의 신원을 검증하기 위해 사용되는 템플릿으로써 저장될 수 있다. 예를 들어, 템플릿은 인증 서버 상에 원격으로 또는 생체인식 판독을 캡처하는 능력을 가진 장치, 예컨대 카메라를 갖는 모바일 폰 상에 로컬로 저장될 수 있다. 그러나 템플릿을 원래의 형태로 또는 이로부터 원래의 템플릿이 도출될 수 있는 형태로 유지하는 것은 템플릿의 보안이 손상될 위험을 만든다.

간단한 요약

생체인식 템플릿을 보호하고 생체인식 템플릿을 사용하여 키를 인코딩 및 디코딩하기 위한 시스템 및 방법이 개시되어 있다. 한 측면에서, 컴퓨터에 의해 구현되는 방법은: 하나 이상의 이미지를 수신하는 단계; 수신된 이미지를 기반으로 복수의 관심 지점을 식별하는 단계; 관심 지점을 기반으로 복수의 난독화 데이터 지점을 생성하는 단계; 관심 지점 및 난독화 데이터 지점을 기반으로 난독화된 템플릿을 생성하는 단계; 및 난독화된 템플릿을 저장하는 단계를 포함한다. 이러한 측면의 다른 실시예는 대응하는 시스템 및 컴퓨터 프로그램을 포함한다.

한 구현에서, 난독화 데이터 지점은 관심 지점의 공간적 분포 및 난독화 데이터 지점의 공간적 분포가 실질적으로 유사하도록 생성된다.

또 다른 구현에서, 방법은 하나 이상의 실제 기술자(descriptor)를 각각의 관심 지점과 연관시키는 것을 추가로 포함하고, 여기서 각각의 실제 기술자는 대응하는 관심 지점을 둘러싸는 하나 이상의 지역을 기재한다.

추가 구현에서, 방법은 난독화된 템플릿 내의 지점이 관심 지점인 기록을 폐기하는 것을 추가로 포함한다.

아직 또 다른 구현에서, 방법은 적어도 하나의 난독화 데이터 지점 및 관심 지점의 부분집합을 사용하여 키를 인코딩하는 것을 추가로 포함한다. 부분집합에서 각각의 지점은 상이한 하나의 관심 지점을 기반으로 결정될 수 있다.

또 다른 구현에서, 이미지는 생체인식 형상화(biometric imagery)를 포함한다. 이미지는 안구의 영역의 이미지를 포함할 수 있고, 각각의 안구 영역 이미지는 각각의 안구 영역의 맥관구조의 뷰를 포함할 수 있다. 관심 지점은 혈관 관심 지점을 포함할 수 있다.

한 구현에서, 방법은 하나 이상의 합성된 기술자를 각각의 난독화 데이터 지점과 연관시키는 것을 추가로 포함하고, 여기서 각각의 합성된 기술자는 실제 기술자와 통계적 유사성을 포함한다.

또 다른 구현에서, 방법은: 하나 이상의 제2 이미지를 수신하는 단계; 수신된 제2 이미지를 기반으로 제2 복수의 관심 지점을 식별하는 단계; 제2 복수의 관심 지점을 기반으로 검증 템플릿을 생성하는 단계; 복수의 매칭 관심 지점을 식별하기 위해 검증 템플릿을 난독화된 생체인식 템플릿과 비교하는 단계; 및 매칭 관심 지점을 기반으로 사용자를 인증하는 단계를 포함한다. 비교는 하나 이상의 실제 및 합성된 기술자를 기반으로 매칭 관심 지점을 식별하는 것을 포함할 수 있다.

추가 구현에서, 방법은 실제 기술자 및 합성된 기술자의 차원수(dimensionality)를 감소시키는 것을 추가로 포함한다. 비교는 차원수가 감소된 하나 이상의 기술자를 기반으로 매칭 관심 지점을 식별하는 것을 포함할 수 있다.

추가 구현에서, 방법은 실제 기술자 및 합성된 기술자를 등거리로 스크램블하는 것을 추가로 포함한다. 비교는 하나 이상의 스크램블된 기술자를 기반으로 매칭 관심 지점을 식별하는 것을 추가로 포함한다.

아직 또 다른 구현에서, 방법은 적어도 매칭 관심 지점의 부분집합을 기반으로 키를 디코딩하는 것을 추가로 포함한다.

본 명세서에 기재된 주제의 하나 이상의 구현의 세부사항은 첨부된 도면 및 하기 기재에 명시된다. 주제의 다른 특징, 양태 및 이점은 기재, 도면 및 청구범위로부터 명백해질 것이다.

도면에서, 유사한 참조 문자는 일반적으로 상이한 도면 전체에 걸쳐 동일한 부분을 지칭한다. 또한, 도면이 반드시 일정한 비율로 그려질 필요는 없으며, 오히려, 구현의 원리를 예시하는 것이 일반적으로 강조된다. 하기 기재에서, 다양한 구현이 하기 도면을 참조로 하여 기재될 것이다:
도 1은 구현에 따른 생체인식 템플릿 보안 및 키 생성을 위한 시스템의 다이어그램을 도시한다.
도 2는 구현에 따라 생체인식 템플릿을 보호하고 비밀 키를 인코딩/디코딩하기 위한 방법을 도시한다.
도 3은 예시 혈관 관심 지점을 갖는 안구 이미지를 도시한다.
도 4a는 도 3의 혈관 관심 지점에 난독화 데이터 지점이 내장된 것을 도시한다.
도 4b는 도 3의 안구 이미지 상에 도 4b의 난독화된 데이터 지점이 중첩된 것을 도시한다.
도 5는 태깅된 지점의 부분집합과 함께, 도 4a의 혈관 관심 지점 및 난독화 데이터 지점을 도시한다.

상세한 설명

안구의 흰자위에서의 개인의 가시 맥관구조의 독특한 특징은 개인을 식별하거나 인증하기 위해 사용될 수 있다. 예를 들어, 사용자의 안구의 흰자위의 이미지는, 안구의 특징을 생체인식 템플릿과 비교하여 사용자를 인증하고 자원에 대한 사용자 액세스를 승인하거나 거부하기 위해, 획득되고 분석될 수 있다. 안구의 흰자위에서의 혈관을 이미징 및 패턴 매칭하고, 특징 추출 및 매칭하기 위한 해결책의 구현이 2013년 2월 5일자로 발행되고 발명의 명칭이 "생체인식 인증을 위한 텍스처 특징"인 미국 특허 번호 제8,369,595호 및 2014년 5월 9일자로 출원되고 발명의 명칭이 "생체인식 인증을 위한 특징 추출 및 매칭"인 미국 특허 출원 번호 제14/274,385호에 기재되어 있고, 이들의 전체 내용은 본원에 참조로 통합된다.

예를 들어, 개인의 가시 맥관구조의 고유 구조는 개인의 안구의 흰자위의 이미지의 텍스처 특징에 반영될 수 있다. 이미지는 텍스처 분석을 위한 안구의 흰자위 상에서의 영역을 식별하기 위해 세그먼트될 수 있고, 이들 영역에서 개인 맥관구조의 텍스처 특징의 기술자를 결정하기 위해 필터의 집합이 적용될 수 있다. 필터 출력으로부터 도출된 기술자의 벡터는 기술자 벡터로 조립될 수 있다. 그 후에, 인증 또는 식별 연산 동안, 사용자에 대해 결정된 기술자 벡터는 등록된 개인에 대해 저장된 생체인식 기록으로부터의 대응하는 기술자 벡터와 비교되어, 사용자와 등록된 개인 사이의 매치의 가능성을 결정할 수 있다.

본원에 기재된 템플릿 보안 및 키 생성 기술의 다양한 구현은 많은 수의 또는 충분한 수의 "채프(chaff)" 또는 구분이 안 되는 잡음 요소를 사용하여 생체인식 템플릿의 스테가노그래피 난독화(steganographic obfuscation)에 기반을 두고 있다. 장치-특정 스크램블된 공간에서 성공적인 검증 시에 식별된 채프 요소의 부분집합은 인코딩된 비밀을 산출하는 연립 방정식(system of equations)을 풀기 위해 활용된다. 이들 토큰은 엔트로피가 높고, 취소가능하며, 사용자의 생물학적 형질에 대해 아무것도 드러내지 않는다.

도 1은 안전한 생체인식 템플릿을 생성하고, 사용자 검증을 수행하고, 생체인식 템플릿을 기반으로 비밀 키를 인코딩 및 디코딩하기 위한 로컬화된 시스템의 한 구현을 도시한다. 사용자 장치(100)는 이미지 센서(130), 프로세서(140), 메모리(150), 생체인식 하드웨어 및/또는 소프트웨어(160), 및 메모리(150)를 포함하는 다양한 시스템 구성요소를 프로세서(140)에 결합하는 시스템 버스를 포함할 수 있다. 사용자 장치(100)는 스마트 폰, 스마트 시계, 스마트 안경, 태블릿 컴퓨터, 휴대용 컴퓨터, 텔레비전, 게임 장치, 음악 플레이어, 모바일 전화, 랩톱, 팜톱, 스마트 또는 단순 단말, 네트워크 컴퓨터, 개인용 정보 단말, 무선 장치, 정보 기기, 워크스테이션, 미니컴퓨터, 메인프레임 컴퓨터, 또는 본원에 기재된 기능성을 실행할 수 있는 일반적 목적 컴퓨터 또는 특수 목적 하드웨어 장치로써 동작되는 다른 컴퓨팅 장치를 포함할 수 있으나, 이에 제한되지는 않는다.

생체인식 하드웨어 및/또는 소프트웨어(160)는 이미지 센서(130)에 의한 이미지 캡처에 대해 연산을 수행하기 위한 이미지 처리 모듈(162)을 포함한다. 예를 들어, 이미지 처리 모듈(162)은 혈관 구조의 격리를 지원하기 위해 사용자(110)의 안구의 이미지에 대해 세그멘테이션 및 강조(enhancement)를 수행할 수 있다. 템플릿 보안 모듈(166)은 맥관구조 형상화를 기반으로 생체인식 템플릿을 생성하고, 가용성을 유지하면서 템플릿 보안을 증가시키기 위해, 본원에 기재된 바와 같이, 템플릿에 대해 다양한 난독화 및 스크램블 연산을 수행한다. 검증 모듈(174)은 생체인식 판독의 캡처 시에 형성된 생체인식 검증 템플릿과 이전에 저장된 등록 템플릿 사이에서 매칭 연산을 수행함으로써 사용자(110)의 신원을 확인한다. 키 모듈(178)은 생체인식 등록 템플릿을 기반으로 사용자(110)에 대한 비밀 키를 인코딩하고 검증 템플릿을 사용하는 사용자의 신원의 성공적인 검증 시에 키를 디코딩할 수 있다.

본원에 기재된 시스템의 구현은 적절한 하드웨어 또는 소프트웨어를 사용할 수 있다; 예를 들어, 시스템은 운영체제 예컨대 마이크로소프트 윈도우즈(Microsoft Windows^®) 운영 체제, 애플(Apple) OS X^® 운영 체제, 애플 iOS^® 플랫폼, 구글 안드로이드(Google Android™) 플랫폼, 리눅스(Linux^®) 운영 체제 및 유닉스(UNIX^®) 운영 체제의 다른 변형 등을 시행할 수 있는 하드웨어 상에서 실행될 수 있다. 시스템은 메모리(150) 내에 저장되고 프로세서(140) 상에서 실행되는 복수의 소프트웨어 처리 모듈(예를 들어, 이미지 처리 모듈(162), 템플릿 보안 모듈(166), 검증 모듈(174), 및 키 모듈(178))을 포함할 수 있다. 예로서, 프로그램 모듈은 하나 이상의 적합한 프로그래밍 언어의 형태일 수 있고, 이는 프로세서 또는 프로세서들이 명령을 실행하게 하는 기계어 또는 객체 코드로 전환된다. 소프트웨어는 적합한 프로그래밍 언어 또는 프레임워크로 구현되는, 독립형 어플리케이션 형태일 수 있다.

추가적으로 또는 대안적으로, 일부 또는 모든 기능성은 원격으로, 클라우드에서, 또는 서비스형 소프트웨어를 통해 수행될 수 있다. 예를 들어, 특정 기능 (예를 들어, 이미지 처리, 템플릿 생성, 템플릿 매칭, 등)은 하나 이상의 원격 서버 또는 사용자 장치와 통신하는 다른 장치 상에서 수행될 수 있다. 원격 기능성은 충분한 메모리, 데이터 저장 및 처리 능력을 가지고 서버 클래스 운영 체제 (예를 들어, 오라클 솔라리스(Oracle® Solaris®), GNU/리눅스(GNU/Linux®), 및 마이크로소프트 윈도우즈(Microsoft® Windows®) 패밀리의 운영 체제)를 시행하는 서버 클래스 컴퓨터 상에서 실행될 수 있다. 예를 들어, 서버와 사용자 장치 사이의 통신은 매체 예컨대 표준 전화선, LAN 또는 WAN 링크 (예를 들어, T1, T3, 56kb, X.25), 광대역 연결 (ISDN, 프레임 릴레이, ATM), 무선 링크 (802.11 (와이파이(Wi-Fi))), 블루투스, GSM, CDMA, 등)를 통해 일어날 수 있다. 다른 통신 매체도 고려된다. 네트워크는 TCP/IP 프로토콜 통신, 및 웹 브라우저에 의해 이루어지는 HTTP/HTTPS 요청을 운반할 수 있고, 사용자 장치와 서버 사이의 연결은 이러한 TCP/IP 네트워크를 통해 통신될 수 있다. 다른 통신 프로토콜도 고려된다.

본원에 기재된 기술의 방법 단계는 입력 데이터에 대해 연산하고 출력을 생성함으로써 기능을 수행하도록 하나 이상의 컴퓨터 프로그램을 실행하는 하나 이상의 프로그램 가능한 프로세서에 의해 수행될 수 있다. 방법 단계는 또한 특수 목적 논리 회로, 예를 들어, FPGA(필드 프로그램 가능한 게이트 어레이) 또는 ASIC(주문형 집적 회로)에 의해 수행될 수 있고, 모듈도 이와 마찬가지로 구현될 수 있다. 모듈은 그 기능성을 구현하는 컴퓨터 프로그램 및/또는 프로세서/특수 회로의 일부분을 지칭할 수 있다.

컴퓨터 프로그램의 실행에 적합한 프로세서는 예로서 일반적 및 특수 목적 마이크로프로세서 둘 다를 포함한다. 일반적으로, 프로세서는 읽기-전용 메모리 또는 랜덤 엑세스 메모리 또는 둘 다로부터의 명령 및 데이터를 수신할 것이다. 컴퓨터의 필수 요소는 명령을 실행하기 위한 프로세서 및 명령 및 데이터를 저장하기 위한 하나 이상의 메모리 장치이다. 컴퓨터 프로그램 명령 및 데이터를 구현하기에 적합한 정보 캐리어는 예로서 반도체 메모리 장치, 예를 들어, EPROM, EEPROM, 및 플래시 메모리 장치; 자기 디스크, 예를 들어, 내부 하드 디스크 또는 착탈식 디스크; 자기-광학 디스크; 및 CD-ROM 및 DVD-ROM 디스크를 포함하는 모든 형태의 비휘발성 메모리를 포함한다. 하나 이상의 메모리는, 프로세서에 의해 실행될 때, 본원에 기재된 모듈 및 다른 구성 요소를 형성하고 구성요소와 연관된 기능성을 수행하는 명령을 저장할 수 있다. 프로세서 및 메모리는 특수 목적 논리 회로에 의해 보충되거나, 그에 통합될 수 있다.

시스템은 통신 네트워크를 통해 링크된 원격 처리 장치에 의해 태스크가 수행되는 분산 컴퓨팅 환경에서 또한 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 메모리 저장 장치를 포함하는 로컬 및 원격 컴퓨터 저장 매체 둘 다에 위치될 수 있다. 장치의 용량 및 요구되는 데이터 처리 능력의 양에 따라, 본원에 기재된 것과는 다른 유형의 시스템 하드웨어 및 소프트웨어가 또한 사용될 수 있다. 시스템은 가상화된 운영 체제, 예컨대 상기 언급한 것들을 실행하고 하드웨어, 예컨대 본원에 기재된 것을 갖는 하나 이상의 컴퓨터 상에서 동작하는 하나 이상의 가상 기계 상에서 구현될 수 있다.

시스템 및 방법의 구현은 하나 이상의 제조 물품 상에 또는 내에 구현되는 하나 이상의 컴퓨터-판독가능한 프로그램으로써 제공될 수 있다는 것에 유의해야 한다. 프로그램 명령은 데이터 처리 장치에 의한 실행에 적합한 수신기 장치로의 전송을 위한 정보를 인코딩하기 위해 생성된 인공-생성된 전파 신호, 예를 들어, 기계-생성된 전기적, 광학적, 또는 전자기적 신호로 인코딩될 수 있다. 컴퓨터 저장 매체는 컴퓨터-판독가능한 저장 장치, 컴퓨터-판독가능한 저장 기판, 랜덤 또는 직렬 액세스 메모리 어레이 또는 장치, 또는 이들의 하나 이상의 조합일 수 있거나, 이에 포함될 수 있다. 게다가, 컴퓨터 저장 매체가 전파 신호가 아닌 반면, 컴퓨터 저장 매체는 인공-생성된 전파 신호로 인코딩된 컴퓨터 프로그램 명령의 소스 또는 목적지일 수 있다. 컴퓨터 저장 매체는 또한 하나 이상의 분리된 물리적 구성요소 또는 매체 (예를 들어, 다수의 CD들, 디스크, 또는 다른 저장 장치)일 수 있거나, 이에 포함될 수 있다.

도 2를 참조하면, 한 구현에서, 생체인식 템플릿을 보호하기 위한 방법은 사용자의 안구, 안구들, 및/또는 하나 이상의 이의 영역의 이미지를 수신함으로써 개시된다 (단계 202). 이미지(들)는 이미지 센서(130)를 갖는 장치(100), 예를 들어, 전면 카메라를 갖는 폰 또는 태블릿을 사용하여 캡처될 수 있다. 다수의 이미지가 수신된다면, 생체인식 식별에 대한 그의 적합성을 기반으로 단일 이미지가 자동적으로 선택될 수 있거나, 단일 조합된 이미지를 생성하기 위해 일부 또는 모든 이미지가 자동적으로 선택되고 평균을 낼 수 있다 (단계 206). 공막, 또는 안구의 흰자위를 함유하는 이미지 영역은, 안구의 흰자위에서 가시적인 혈관 패턴의 최적의 도시를 제공하도록 이미지 처리 모듈(162)에 의해 세그먼트되고, 선명해지고 대비 강조되고, 및/또는 청색-녹색 층의 여러 스케일로 필터링된다 (단계 212).

단계 218에서, 혈관 패턴의 도시를 기반으로, 템플릿 보안 모듈(166)은 관심 혈관 지점을 식별하고, 단계 222에서, 모듈(166)은 각각의 관심 지점에 대해 위치-기술자 구조를 생성하기 위해 각각의 지역에서 일련의 이미지 기술자와 대응하는 관심 혈관 지점을 연관시킨다. 이 스테이지에서, 안구 이미지(들)는 폐기될 수 있다 (단계 226). 관심 혈관 지점 및 그의 연관된 로컬 이미지 기술자의 결과 집합은 기본 생체인식 템플릿을 형성한다 (단계 230). 템플릿이 사용자를 등록하기 위해 의도된다면, 템플릿은, 하기 기재된 바와 같이, 개인적이고 안전한 방식으로 장치(100) 상에 로컬로 (예를 들어 메모리(150) 내에), 저장될 수 있다.

생체인식 템플릿을 보호하기 위해, 템플릿 보안 모듈(166)은 유사하게 구조화되고 실제 관심 혈관 지점과 통계적으로 구분이 안 되는, 많이 생성된 "채프" 요소, 또는 난독화 데이터 지점 내로 위치-기술자 구조를 "은닉한다" (단계 234). 단계 242에서 채프 대 비-채프(chaff vs. non-chaff) (즉, 진짜의 관심 혈관 지점) 요소의 모든 기록을 폐기하기 전에, 각각의 관심 혈관 지점은 채프 지점 (또는 또 다른 관심 혈관 지점)에 "태깅한다" (단계 238). 구체적으로, 키 모듈(178)은 관심 혈관 지점을 안전한 단방향 함수 내로 입력하고, 이는 태깅될 채프 지점 (또는 관심 혈관 지점)을 출력으로서 지정한다. 이러한 태깅된 지점은 키 모듈(178)에 의해 사용되어, 긴 랜덤 키의 선형 투영을 흡수 및 인코딩 (단계 250)할 뿐만 아니라 하기 추가로 기재된 바와 같이, 사용자의 신원의 성공적인 검증 시에 키를 디코딩할 될 수 있다.

이러한 채프-선정 연산은 추가된 프라이버시, 보안, 및 취소가능성을 위해 진짜의 템플릿 요소로부터 다양한 기능성 (예컨대 대리 생체인식 검증 및 키 생성)을 추가로 분리시킨다. 단계 246에서 템플릿 보안 모듈(166)은 예를 들어, 통계적 역-상관화 및 정규화, 및/또는 장치-특정 등거리 솔팅(salting) 및 차원 재셔플링(reshuffling)에 의해 기술자를 스크램블함으로써 채프-난독화된 템플릿을 추가로 보호하고, 이로 인해 특히 장치(100) 밖으로 전송되는 경우에, 생체인식적으로 도출된 어떤 정보도 드러나지 않도록 보장한다. 검증 모듈(174)은 고유한 장치-특정 스크램블된 공간에서 신원 검증 동안 생체인식 템플릿 매칭을 수행할 수 있어, 로컬 매칭 및 키 생성 루틴에 또 다른 계층의 보안, 프라이버시, 및 취소가능성을 추가할 수 있다. 단계 254에서, 채프-난독화되고 스크램블된 기술자 템플릿은 장치에 로컬로 저장된다 (또는, 다른 구현에서, 템플릿은 원격으로 저장된다).

사용자의 신원의 검증 동안, 동일하거나 유사한 이미지 캡처, 세그멘테이션, 및 강조 단계가 이미지 처리 모듈(162)에 의해 수행된다. 유사하게, 혈관 관심 지점이 발견되고 그의 로컬 기술자가 계산되고 그 후에 등록 동안 사용된 고유한 장치-및-소프트웨어-특정 서명을 사용하여 템플릿 보안 모듈(166)에 의해 스크램블되고 (단계 258), 이로 인해 검증 템플릿을 생성한다 (단계 262). 이는 등록 및 검증이 동일한 장치 및 소프트웨어 인스턴스에서만 일어날 수 있다는 것을 보장한다. 단계 266에서, 검증 모듈(174)에 의해 스크램블된 공간에서 완결된 매칭 프로세스는 성공적인 진짜의 검증의 경우에 검증 템플릿을 난독화된 템플릿과 비교함으로써 최소의 수의 진짜의 혈관 관심 지점을 식별한다. 식별된 진짜의 혈관 관심 지점은 차례로 등록 프로세스에서 앞서 태깅된 충분히 큰 정보-운반 채프 지점의 부분집합을 드러낸다 (단계 268). 따라서, 이러한 최소의 수의 진짜의 지점 및 태깅된 채프 지점은 키-인코딩 연립 방정식과 동일한 차수(order)이다. 그 후에 키 모듈(178)은 태깅된 채프 지점으로부터의 정보를 사용하여 연립 방정식을 풀고 디코딩된 키를 획득할 수 있다 (단계 272). 한 구현에서, 키는 안정적이고, 512 비트 길이이고, 적어도 64 비트의 엔트로피를 갖는다.

본원에 제시된 다양한 시스템 및 방법이 가시 맥관 구조로부터 도출된 생체인식 안구 형상화 및 관심 지점을 활용하더라도, 개시된 기술의 다른 구현 및 어플리케이션이 고려되는 것이 인식되어야 한다. 예를 들어, 다른 구현에서, 특징 및/또는 관심 지점은 다른 생체인식 이미지 데이터, 예컨대 지문 또는 얼굴 스캔으로 식별된다. 형상화에서 관심 특징/지점을 강조하거나 격리시키기 위해 유사한 이미징 처리 절차가 수행될 수 있고, 특징/지점이 식별되면, 본원에 기재된 바와 같이 동일하거나 실질적으로 유사한 난독화, 혼합화, 검증, 및 또는 키 인코딩/디코딩 기술이 적용될 수 있다. 본원에 제시된 다양한 시스템 및 방법이 생체인식 이미징 및 인증과 함께 사용되지 않아도 된다는 것에 추가로 유의한다. 오히려, 본원에 개시된 기술은 다른 유형의 이미지, 비디오 프레임, 등에 동일하게 적용가능하다.

등록(Enrollment)

이미지 캡처(Image Capture)

한 구현에서, 하나 이상의 안구 이미지 (및/또는 안구 영역 이미지)는 본원에 기재된 이미지 처리 기능성에 적합한 이미지 품질, 예컨대 720p, 1080p, 또는 등가/더 높은 해상도에서 이미지 센서로 캡처된다. 예를 들어, 이미지 센서는 하나의 메가픽셀 또는 더 나은 이미지 센서 예컨대 셀룰러 폰 및 태블릿에서 일반적으로 발견되는 전면 카메라일 수 있다. 사용자의 안구는 예를 들어, 비올라-존스(Viola-Jones) 방법을 사용하여 검출될 수 있고, 사용자의 응시 방향은 실시간으로 모두 검출될 수 있다. 안정적인 응시 및 적어도 하나의 안구의 검출 시에, 사용자의 안구(들)의 이미지의 스택이 캡처된다.

입력 스택으로부터 공간적으로 등록된 이미지는 센서 잡음을 낮추기 위해 평균을 내고, 최적의 결과인 평균을 낸 샷(averaged shots)은 기준-없는 이미지 품질 메트릭을 사용하여 선택된다. 빛이 약하거나 없는 조건에서, 장치 화면의 백라이팅 플러스 전술한 평균을 냄(averaging)으로 인한 다중-프레임 잡음 감소는 본원에 기재된 생체인식 처리 연산이 수행될 수 있게 한다. 한 예에서, 수용가능한 변동량 (예를 들어, 움직임 및 깜박임으로 인함)을 초과하지 않는 다수의 연속적인 이미지 프레임 (예를 들어, 3, 4, 5, 또는 이상)이 실시간으로 등록되고 평균을 낸다. 이미지 스택은 가우시안의 라플라시안 (Laplacian-of-Gaussian) (LoG)-기반 품질 메트릭 (선명해진 이미지 마이너스 원본의 표준 편차)을 사용하여 랭크될 수 있고, 상부 n은 추가 처리를 위해 예비될 수 있다 (예를 들어, 검증을 위해 최대 2까지, 등록을 위해 최대 4 내지 6까지임).

세그멘테이션 및 강조(Segmentation and Enhancement)

이미지 수집 (및 만일 수행된다면, 평균을 냄) 후에, 선택된 이미지는 녹색-청색 스펙트럼에서 혈관을 더 잘 드러내기 위해 색상 처리될 수 있고, 이후로 관심 영역 (ROI)으로 지칭되는, 안구의 흰자위 부분을 묘사하기 위해 세그먼트된다. 한 구현에서, 이미지는 다수의 원뿔 곡선 곡면을 눈꺼풀 및 각막 둘레 경계에 피팅함으로써 세그먼트된다. 세그멘테이션 유효성이 검사된다 (예를 들어, 마스크는 ROI의 경계 박스의 적어도 40%이어야 한다). 일련의 혈관-강조 이미지 필터링, 선명화, 및 적응 대비 조작은 더 특정한 생체인식 템플릿에 요구되는 개선된 이미지를 제공한다. 예를 들어, 이미지의 녹색 (적색이 없음)계층은 원본의 LoG 배의 대비 제한 적응 히스토그램 균등화 (contrast limited adaptive histogram equalization, CLAHE), 뿐만 아니라 심지어 가버 필터(Garbor filter)의 특수하게 조정된 뱅크를 사용하여 강조될 수 있다. 그 후에 강조된 이미지의 일련의 다중-스케일 및 특수하게 필터링된 적응은 다음 단계를 위해 사용될 수 있다.

관심 지점 검출 및 특징 추출(Interest Point Detection and Feature Extraction)

각각의 ROI에 대해, 관심 지점의 위치 (x_i, y_i)가 식별되는데, 수는 전형적으로 이미지 품질에 따라 100-400 사이의 범위이다. 도 3은 안구(300)의 맥관구조(315)의 식별된 관심 지점(320)을 갖는 예시 안구 이미지를 도시한다. 관심 지점(320)은 예컨대 2014년 5월 9일자로 출원되고 발명의 명칭이 "생체인식 인증을 위한 특징 추출 및 매칭"인 미국 출원 번호 제14/274,385호에 기재된 혈관 지점 검출기를 사용하여 식별될 수 있고, 이들의 전체 내용이 본원에 참조로 통합된다. 관심 지점을 검출하는 다른 방식이 가능하다.

그 다음에, 혈관 관심 지점 위치 (x_i, y_i) 주위에 로컬 이미지 패치를 통계적으로 (하지만 정확하거나 고유하지 않음) 기재하는 기술자 벡터

의 집합이 계산된다. 이미지 패치 기술자 예시는 고속의 강인한 특징 (Speeded Up Robust Features, SURF), 다중-반경 확장된 패턴 로컬 2진 패턴 (의 히스토그램) ((histograms of) multi-radii extended pattern local binary patterns, H LBP), 및 다중-반경 확장된 패턴 중심 대칭 로컬 2진 패턴 (의 히스토그램) ((histograms of) multi-radii extended pattern center symmetric local binary patterns, H CS LBP)을 포함하나, 이에 제한되지는 않는다. 각각의 ROI에 대해, 검출된 혈관 관심 지점 VPD를 포함하는 원시 (보호되지 않은) 생체인식 템플릿, T_VPD는 그 후에 하기와 같이 정의된다:

검증 시에, 요청된 신원에 대한 저장된 등록 템플릿이 제시된 검증 템플릿에 대하여 매칭된다. 한 구현에서, 유사성 점수가, 등록 및 검증 템플릿에 걸쳐 특정 최소의 수의 요소의 페어링을 또한 수반하는, 미리 설정된 임계를 초과한다면, 그 후에 요청자는 수락되고 매칭 결정이 발행된다. 안구 이미지는 템플릿의 생성 후에 즉시 폐기될 수 있고, 등록 템플릿만 저장되는 것에 유의한다.

난독화 및 인코딩(Obfuscation and Encoding)

추가 및 태깅된 채프 지점(Chaff Points Added and Tagged)

한 구현에서, 생체인식 템플릿을 보호하는 초기 단계는 진짜의 관심 혈관 지점과 동일하거나 실질적으로 유사하게 보이는 많은 수의 인공 합성된 요소 중에서 저장될 등록 템플릿 요소를 T_VPD로부터 은닉하는 것을 포함한다. 이러한 합성된 요소는 본원에서 "채프"로 지칭된다. 한 구현에서, 채프의 수는 대략 실제 템플릿 요소의 수 n(T_VPD)의 3 내지 7배이다. 그러나, 다른 배수도 고려된다. 예를 들어, 비록 추가된 계산 풋프린트(footprint)를 희생하더라도, 더 높은 채프 밀도는 훨씬 더 높은 수준의 난독화를 제공할 수 있다.

채프 요소는, 모든 데이터 지점, 채프 및 비-채프 (즉, 실제의 혈관 관심 지점)가 균일하거나 혈관 관심 지점과 동일하거나 실질적으로 유사한 패턴 혹은 분포를 따르는 공간적 분포를 보장하는 알고리즘에 의해 삽입될 수 있다. 한 예에서, (x_i, y_i)의 로컬 공간적 밀도는 소정 영역 그래뉼 또는 타일에 이르기까지 거의 동일하고, 기술자 내용 또는 공간적 관계성은 공간적 입자 내에서 실제 비-채프 (실제의 혈관 관심 지점)로부터 채프를 드러내지 않는다. 도 4a는 비-채프에 대한 대략 3배의 채프 배치를 위해, 도 3의 혈관 관심 지점 (원)에 채프 지점 (정사각형)이 내장된 것을 도시한다. 도 4b는 도 3의 원래의 안구 이미지 상에 도 4a의 난독화된 지점이 중첩된 것의 시각화이다. 그러나, 안구 이미지는 이러한 난독화 스테이지 이전에 및 T_VPD를 계산한 직후에 폐기될 수 있다는 것을 유의한다.

실제 (혈관 관심 지점)이든 합성된 (채프) 것이든 간에, 각각의 템플릿 지점 t_i는, 2개의 유형의 정보: 위치 (x, y)및 패치 통계 V를 포함할 수 있다. 채프 데이터 지점의 비-구분성을 위한 채프-주입된 템플릿의 공간적 균일성은 여러 수단에 의해 달성될 수 있다. 한 구현에서, 하기 2-단계 채프 (x, y) 위치 생성 프로세스가 사용된다. 단계 1 (엉성한 채프 배치)에서: 등록 템플릿의 공간적 스팬 (예를 들어, 4 × 5)에 걸쳐 전형적인 타일링이 주어지면, 채프의 제1 부분의 배치를 개시하고, 타일당 전체 템플릿 지점 (채프 및 비-채프)의 평균을 균등화하는 것과, 임의의 타일에서 VPD 지점의 최대의 수보다 더 큰 목표 수가 요구된다. 타일 당 혈관 관심 지점 VPD + 채프 지점 밀도 목표의 약 50%에 도달할 때까지 계속한다. 이러한 엉성한 채핑 단계에 대해 모든 데이터 지점 (채프 또는 혈관 관심 지점) 중에서 초기 최소의 거리 요구조건 (예를 들어, 3 픽셀)을 사용한다. 단계 2 (촘촘한 채프 배치)에서: 타일당 바라는 균일한 혈관 관심 지점 VPD + 채프 지점 밀도 목표의 100%를 달성할 때까지, 나머지 채프의 삽입을 계속하여, 최소의 거리 임계를 (예를 들어, 1 픽셀까지)감소시킨다.

한 구현에서, 1.2 MP 카메라에 의해 생성된 데이터 지점 위치에 대한 (x, y) 범위의 저단부는 약 80×100 픽셀 +/- 20이다. 그러나 이러한 수는 카메라의 시야, 주체 거리, 및 다른 요인을 기반으로 하여 변화할 수 있다는 것에 유의해야 한다. 이러한 방법 및 다른 대안적 방법의 세부사항은 명칭이 "샘플 채프 생성 및 태깅 함수 구현"인 섹션에서 아래 기재되어 있다.

채프 배치에 이어, 채프 기술자 벡터

는 진짜의 혈관 관심 지점 VPD와 연관된 기술자와 유사하도록 합성된다. 즉, 채프 지점에 할당된 기술자의 내용은 통계적으로 유사하고 실제 관심 지점 VPD에 대해 도출된 것들로부터 구분이 안 되도록 형성된다. 전술한 실제 혈관 기술자로부터 채프 기술자의 비구분성은 다양한 방식으로 달성될 수 있다. 한 구현에서, 등록 동안 다양한 채프 기술자를 생성하기 위해, 실제의 혈관 기술자에 작은 랜덤 원형 자리이동 및 가산성 잡음이 적용되어, 그의 실제 상대와 동일한 통계적 분포를 따르는 채프 기술자를 얻는다. 이들 특징은 하기 기재된 바와 같이, 나중에 "스크램블"될 수 있다.

등록 템플릿 생성 시에, 채프 지점 및 그의 합성된 기술자는 템플릿의 실제, VPD 스팬 부분으로서 구조화된다:

따라서 채프-주입된 난독화된 템플릿은 하기에 의해 주어진 (무질서한) 집합의 형태이다.

"태깅" 함수는 하나의 템플릿 요소와 또 다른 것의 단방향 매핑이다. 구체적으로, 태깅 함수는 그 템플릿으로부터 임의의 다른 데이터 지점을 고려하여 채프-난독화된 템플릿에서 템플릿 지점을 찾거나 "태깅"하기 위해 사용될 수 있다. 한 구현에서, 태깅 함수 f_T는 하기 특성을 만족한다: (1) 그의 도메인은

을 함유하고; (2) 그것은 자명하지 않고 다수 대 일이고 (또는 달리 비-가역이거나 또는 알려지거나 실질적인 역함수가 없음) (예를 들어, 스크램블 및 인코딩/디코딩 상태에서, 뿐만 아니라 태깅을 위해 사용될 수 있는, SHA512 해시 함수를 기반으로 함); (3) 주어진 등록 템플릿에 걸쳐, 범위는 혈관 관심 지점의 집합과 최소로 교차한다 (즉, 템플릿의 혈관 관심 지점 부분집합 내에 최소의 자가-태깅이 있음)

이러한 함수의 통용되고 대안적인 구현은 명칭이 "샘플 채프 생성 및 태깅 함수 구현"인 섹션에 기재되어 있다. 템플릿의 VPD 부분에 대해 공칭 값이 주어진다면, 이들 태깅 함수는 일반적으로 그의 입력에서의 각각의 혈관 관심 지점당 그의 출력에서의 대략 하나의 지점에 태깅한다. 한 구현에서, 태깅 함수는 채프의 키-인코딩 부분집합 (하기 참조), 및 채프의 신뢰-서버-서명-운반 부분집합 (하기 "신뢰 서버 기능성" 참조)에 태깅하기 위해 사용될 수 있다. 이러한 2개의 태깅 함수는 그의 범위에서 작은 오버랩을 포함할 수 있다.

태깅 함수 f_K는, 예컨대 본원에 기재된 바와 같이, T_K = f_K(T_VPD)이도록, 템플릿의 실제 T_VPD부분이 맵핑하는 템플릿 지점 T_K를 찾기 위해 사용될 수 있다 (태깅 함수의 제3 특성을 고려할 때, 주로 채프). 도 5는 태깅된 지점 (속이 찬 원 및 정사각형)의 부분집합과 함께, 도 4a의 실제 지점 (원) 및 난독화된 지점 (정사각형)을 도시한다. 선택적으로, 템플릿의 또 다른 유사한 (하지만 동일하지는 않음) 부분집합은 설계 또는 메타 파라미터에서의 차이 덕택에 f_K와는 상이한, 제2 태깅 함수 f_S를 사용하여 태깅되어, 선택적 신뢰 서버 기능성을 위해 사용될 수 있는, T_S = f_S(T_VPD)을 산출할 수 있다.

그 후에 T_K는 비밀 키를 인코딩하기 위해 사용될 수 있다. T_VPD는 등록 프로세스 동안 및 T_CHF에서 그의 난독화 이전에만 공지된다는 것에 유의한다. T_VPD의 어떤 기록도 유지되지 않고, T_VPD의 부분집합만이 성공적인 진짜의 생체인식 검증 동안 드러난다.

기술자 스크램블(Scramble Descriptors)

한 구현에서, 차원수를 감소시키고, 매칭의 정확도 및 속도를 개선하고, 역-상관화하고, 따라서 채프-난독화된 등록 템플릿의 균일성을 추가로 "평탄화"하고 강화하기 위해, 상이한 특징 벡터

의 주성분 분석 (principal component analysis, PCA) 투영에 대한 로딩이 큰 대표적인 트레이닝 집합을 사용하여 미리-계산되고 저장된다. 그 다음에, 화면 그래프 분석을 사용하여 그의 원래의 설명된 변동의 상당수 (예를 들어, 80%보다 많음)를 유지하는 한편, 채프-주입된 템플릿 내의 기술자는 그의 원래의 길이의 일부분, 예를 들어, 약 30%로 감소된다. 평균 차감 후에 PCA 투영의 선택적 분산 정규화는 모든 그의 특징에 걸친 대각 정규화된 공분산 행렬을 갖는 백색화된 저장된 템플릿을 생성한다. PCA의 특성을 고려할 때, 결과는 매칭을 위해 요구되는 최대 유클리드 거리 정보를 보존한다. 최종적으로, 스크램블 프로세스는 상이한 소프트웨어 및 장치 하드웨어 서명의 해시를 사용하여, (a) (등록 및 검증 템플릿 대해 그리고 등록 템플릿을 위한 보관 이전에) 모든 기술자에 추가된 SHA512-도출 바이어스 벡터를 사용하여 PCA-단축 특징을 변경하기 위한 솔팅 프로세스에, 및 (b) (등록 템플릿을 위한 보관 이전에) 결과 특징 벡터 좌표의 시드-변조된 재순서화에 시딩(seed)할 수 있다.

손실 PCA 투영에 추가로, (a) 및 (b) 둘 다는 유클리드 거리를 보존하여, 사용자의 장치에 결부된 스크램블된 공간에서 매칭이 진행될 수 있게 한다는 것에 유의한다. 이는 등거리 (거리-보존) 및 취소가능한 대리 공간에서의 매칭이 안전하고 개인적인 생체인식 패턴 매칭에 중대하기 때문에 특히 주목할만한 속성이고, 장치 및 진짜의 사용자 둘 다가 전술한 생체인식 인증이 성공하는데 요구될 것이기 때문에 2-요인 인증으로 이어진다. 매칭 동안 기술자를 역-스크램블하는 것 (및 따라서 노출의 위험을 피하는 것)이 불필요할 뿐만 아니라, 고유한 소프트웨어-취소가능 및 장치-특정 스크램블된 공간은 생체인식 인증 어플리케이션의 각각의 설치를 위해 스팬될 수 있다.

키 인코딩(Key Encoding)

키 생성 (즉, 생체인식 매치의 부산물로서 비밀 키를 컴퓨팅하는 것)을 위해 확장된 템플릿 구조의 한 구현이 이제 기재될 것이다. 차수 k의 선형 연립 방정식(system of linear equations)이 있고, 이 계수는 비밀 수치

로 간주되는 것으로 가정한다. 검증 동안, k는, 경험적 0% 오수락률 (false accept ratio, FAR) 임계 (즉, 이용가능한 가장 큰 생체인식 안구 판독 데이터세트를 사용하는 임의의 사기꾼을 용인하지 않는 결정 임계)에서 동작하는, 진짜의 사용자의 등록 및 검증 템플릿 사이의 성공적인 매칭 프로세스 동안 발견되는 혈관 관심 지점의 최소의 수이다. 키를 해결하는데 데이터 지점의 순서 집합이 요구되지 않음에 따라, 키를 인코딩하기 위해 선형 연립 방정식이 사용될 수 있다 (키는 그의 복잡하고, 난해하고, 높은 엔트로피 구조로부터 발생하는 안구 정맥 패턴 매칭의 높은 감도 및 특이성을 고려하여 정확하게 해결된 선형 연립 방정식으로 직접 인코딩될 수 있음).

따라서, 선형 연립 방정식을 고유하게 풀기 위해 데이터 지점의 집합

이 요구되어, 키를 구성하는 k 미지수를 풀기 위해 필요한 k 방정식의 복구로 이어지는 성공적인 진짜의 검증에 의해 가능해 진, 인코딩된 비밀 수치 벡터,

를 검색한다 (키 비트 시퀀스 흐름의 견지에서 표준 길이 및 강도를 더 강요하기 위해, 이러한 키의 작동 버전에 SHA512가 적용되어 패턴-예측불가능한 512-비트 개인 키 시퀀스를 가질 수 있다). 복구된 매칭 지점 및 그에 따른 방정식의 차수는 문제되지 않는다는 것에 유의한다. 키 생성 정보는 채프-난독화된 등록 템플릿의 확장된 요소의 부분집합 (함수-피팅을 위한 기술자 투영 값을 가짐)에 걸쳐 상호-분산되고, 이후로 T_AK로 지칭되고, 하기로 정의된다:

여기서 (x_i, y_i)는 T_A에서의 관심 및 채프 지점 i의 위치이다. 템플릿의 확장된 부분은 차원수에 있어서

와 유사한 벡터의 모임(collection)인

이지만, Y의 각각의 요소는 k-방향 벡터화 함수 (하기, "벡터화 함수" 참조)를 사용하는 V로부터의 대응하는 요소의 투영에 이은

와의 내적 연산(inner product operation)이고, 이는 앞서 언급한 연립 방정식의 우변을 제공한다 (

의 각각의 요소는 상이한

를 인코딩한다는 것에 주의). 비밀 벡터

의 (모임)은 진짜의 사용자에 의한 성공적인 생체인식 인증 시에 나중에 검색된다. 전술한 프로세스는 하기 인코딩 및 디코딩 단계를 통해 기재되고, 이들은 태깅 및 벡터화 함수에 의해 가능하게 되어, 수치 안정성을 유지하면서 보안 및 프라이버시를 강화한다.

인코딩 프로세스(Encoding Process)

한 구현에서, 키 생성 기능성은, 구분이 안 되는 채프에 의해 난독화될 때에도, 등록 및 검증 템플릿 사이에 적어도 k 매칭된 지점을 생성하는 성공적인 진짜의 수락 (참인 양성 검증)을 기반으로 한다. 따라서, k 미지수를 갖는 k 연립 방정식이 이러한 매칭 프로세스 시에 구축된다면 - 여기서, 방정식에 대한 k 데이터 지점은 사실상 성공적인 진짜의 매칭을 통해서만 공지될 수 있음 - , 방정식 및 그에 따른 키는 참인 매치(true match)가 발생하는 경우에만 고유하게 풀 수 있다.

k는 이미지 품질 및 매쳐(matcher) 강도의 함수이며, 다수의 등록 템플릿에서 동일한 인코딩된 키를 갖는 다수의 ROI/템플릿 (등록 및 검증 뱅크로부터 옴)을 매칭하는 것과 비밀 키를 복구하기 위한 방정식을 풀기 전에 발견된 태깅된 지점의 합집합을 취하는 것에 의해 또는 그들 중 어느 하나에 대한 개선에 따라 증가될 수 있다는 것에 유의한다.

한 예에서, 경험적 FAR = 0 임계에서 수집된 데이터 세트에 걸친 관찰을 고려할 때, 단일 흘낏 봄(single glance), 단일 비교, 2-ROI 매칭에 대해 k = 40이다. 매칭된 지점은, 그의 기술자의 근접성을 통해 그의 대응하는 검증 상대와 비교된 후 및 아핀 변환 가설(affine transform hypothesis)(또는 유사한 것)에 의한 최소 제곱 오차법 (random sample consensus, RANSAC)을 사용하는 이상점(outliers)의 거부 후에 선택된 템플릿 엔트리이다. 그러한 매칭된 템플릿 엔트리의 수가 k 이상이라면, 어떤 잘못된 수락(false acceptance)도 발생하지 않는다 (즉 생성되거나 해제된 비밀은 관찰의 경계 내의 그 임계에서 각각의 잠금해제 사용자에게 고유하다). 감도가 덜한 어플리케이션에 대해, 매쳐가 끊어지거나 손상되지 않는다고 가정하는 경우에, 매쳐가 요청을 거부하는 것을 고려하여 키 생성 스테이지에서 잘못된 수락 이벤트를 진행하지 않을 것이라 가정하면 (즉, 매칭된 지점의 수가 k보다 약간 더 적을 때까지의 매치 점수가 매치를 나타내는 경우에, 매치 점수가 매칭된 지점의 수보다 더 높은 감도 및 특이성을 갖는다고 가정하면), 키 생성 오거부율(false rejection ratio)을 감소시키기 위해 더 작은 k가 사용될 수 있다.

키 생성을 계속하면서, 채프-난독화된 템플릿 생성 시에,

가 생성된다 (T_VPD, T_S 및 T_K 사이에 작은 중첩이 있을 수 있음). f_K(T_VPD)에 의해 태깅된, 채프의 T_K 부분집합은, T_K의 내용 및 선형 연립 방정식을 사용하는 하나 이상의 (랜덤) 비밀 키

를 인코딩하는 함수 (예를 들어, 선형 투영)에 제공된다. VPD 부분집합으로부터의 각각의 태깅 혈관 요소 , i = 1, 2,...,n(VPD)당 (약) 하나의 태깅된 지점

이 있다고 가정한다. 키-인코딩 프로세스가 모든 상이한 기술자 집합 (예를 들어, SURF, LBP들의 히스토그램, 등)에 대해 유사할 수 있기 때문에, 프로세스는 이러한 특징의 하나의 포괄형에 대해 입증될 수 있다.

의 아직 확장되지 않은 단순화된 형태 (단일 유형의 기술자 및 채프-주입된 것을 사용함)를 가정하면, T는, 하기와 같다:

V_i의 공간의 차원이 D인 경우에, 그 후에 하기와 같이

인 비밀 키의 행렬로서 D × k 수 (실제로 또는 달리, 각 행은 상이한 키 벡터

로 고려될 수 있음)로 구성된, 임의의 키 행렬 W를 인코딩할 수 있다. T_A에서의 특징 벡터 V_i의 VPD 부분집합의 각 스칼라 요소

는, 명백하지 않고 비가역인 벡터화 함수를 사용하여, k 특정 값으로 벡터화 (분할)된다. 따라서 벡터화 (분할기) 함수는 하기를 수행한다:

D≥k (및 따라서 D보다는, 각 확장된

당 하나의 Y_i)를 가정하여, 최대 차원수 D의 키 벡터가 각각의

의 선형 조합으로 직접 인코딩되는, 벡터화 함수가 없는 더 가벼운 버전이, 또한 가능하다. 그러나, 디코딩 프로세스를 위한 k-병치된

의 행렬은 특이행렬(singular)이어선 안된다.

최종적으로, 대응하는 y_i,d는 하기에 의해

(k의 길이를 갖는 비밀 키 행렬 W의 행 d)를 인코딩하는 입력 v_i,d에 연관되고 추가된다:

전술한 시퀀스는

-확대된

를 얻기 위해 키 생성을 위해 템플릿의 모든 n(T_K) f_K-태깅된 요소 및 기술자/키 집합

,

의 모든 D 차원에 대해 반복된다. 그 다음에, W는 W_C에 도달하기 위해 변경되고 (작은 잡음을 추가함으로써, 최소로), y_i,d를 포함하는 그의 구성요소가 태깅된 요소, 태깅되지 않은 요소, 채프 요소, 및 혈관 요소에 걸쳐 함께 완전히 섞이는 방식으로 완전한 {y_i,d}-확장 T를 얻기 위해 템플릿의 f_K-태깅되지 않은 부분에 대해 유사한 어플리케이션이 실시된다. 다수의 가짜 W가 생성될 수 있고, 각각은 T_AK의 부분집합 (추가된 보안을 위해 권장된 요소의 n(T_VPD) 수를 갖는 부분집합)에 적용된다.

상기 프로세스는 비가역이고, 즉, y_i,d가 주어지면, 누구도 v_i,d 및

로 돌아갈 수 없다는 것에 유의한다 (한가지는,

및 y_d,i의 계산이 다수 대 일 함수(many -to-one functions)이고 비가역이고, 추가로, 양성의 진짜의 검증 시까지는, T_AK의 어떤 부분집합이 태깅되고 따라서 이를 해결하기 위해 W-인코딩된 데이터를 함유하는지 알지 못함).

한 관찰 예에서, k = 40 (단일 응시, 단일 비교, 2 ROI)의 임계를 갖는 데이터세트 내에서, 잘못된 수락이 생성될 수 없었다. 즉, 관찰 한계 내에서, 어느 두 상이한 사용자도 동일한 키를 생성하지 않고, 따라서, 엔트로피는 키 길이와 외견상으로 동일하다. 그러나, 이는 훨씬 더 큰 사용자의 데이터베이스에 대해 k = 40에서 충돌 (잘못된 수락)이 일어나지 않을 것이라는 것을 암시하지 않고, 이 경우에 (비록 더 높은 임계를 고려하는 가능한 더 높은 오거부율을 희생하더라도) 간단히 k를 증가시킬 수 있다. 경험적 오수락률 평가에 대해서와 같이, 지구의 모든 70억 모집단을 사용하여, 오직 약 36 비트 (log₂ (7 × 10e9) = 36.03)까지에 대한 생체인식 키 공간의 고유성을 실험적으로 보장할 수 있다. 상기를 고려하면, k에 대해 일부 임의의 엄격한 임계에서, T_AK의 채프-주입된 난독화의 수준은 키 엔트로피에 대한 한계를 결과적으로 구성할 것이다.

인코딩된 키는 W의 내용 또는 대응하는 {Y_i}를 변화시키는 것부터 벡터화 함수를 변화시키는 것까지, 다수의 상이한 방식으로 변화되고, 대체되거나, 폐지될 수 있다. 태깅 함수 및 채프 내용은 전술한 바를 달성하기 위해 또한 변화될 수 있다. 이러한 방법의 일부는 등록 시에 적용가능한 반면, 다른 것은 언제라도 적용될 수 있다. 예를 들어, 언제라도, 각각의 벡터 키

는 i에 걸친 y_d,i의 적어도 n(T_A) - k + 1 요소를 교란함으로써, 예를 들어, {Y_i}의 모든 d^th요소에 작은 잡음 벡터를 추가함으로써 개인적이고 안전하고 편리한 방식으로 폐지되거나 변화될 수 있다. 이는 그의 새롭거나 오래된 내용을 드러내는 것 없이 해결책

를 변화시키고, 이는 진짜의 사용자의 성공적인 검증에 의해 가능해 지는 적어도 T_k의 k 요소의 발견 시에 오직 공지될 수 있다. 다수의 등록 템플릿 및 ROI들의 경우에, 동일한 키 W는 최적의/조합된 비교(들)로부터 복원된 키가 동일한 것으로 남도록 각각의 템플릿에서 인코딩될 수 있다. 태깅된 템플릿 요소가 이들 등록에 걸쳐 상이하기 때문에, 대응하는 {V_i, Y_i}도 또한 상이하게 되고 따라서 다수의 템플릿과 동일한 인코딩된 W의 비교로부터 발생하는 공격 벡터는 없다는 것에 유의한다.

검증 및 디코딩(Verification and Decoding)

한 구현에서, 생체인식 템플릿 검증은 등록 프로세스에 대해 상기 기재된 것과 동일하거나 실질적으로 동일한 방식의 이미지 캡처, 세그멘테이션 및 강조, 관심 지점 검출 및 특징 추출, 및 기술자 스크램블로 시작된다. 반면에, 채프의 추가 및 태깅과 키 인코딩은 등록 프로세스에만 적용한다.

매칭(Matching)

매칭 동안, 저장된 등록 템플릿에 의해 표현되는 바와 같이, 요청된 신원은 동일한 스크램블된 공간에서 검증 템플릿에 대해 등록 템플릿을 매칭함으로써 검증될 수 있다. 성공적이라면, 등록 템플릿으로부터의 적어도 k 혈관 관심 지점은 양성 진짜의 매치의 결과로서 정확하게 발견된다. 이는 키-디코딩 프로세스를 가능하게 하고, 이는 키-인코딩과 유사하지만, 정반대이다. 디코딩은 k 또는 더 큰 카디널리티를 갖는 T_AK의 발견된 부분집합이 W를 계산하게 한다.

지략있는 공격자가 장치, 그의 코드 및 논리를 손상시키고, 다수의 등록 템플릿에 대해 액세스하게 되고, 이들을 교차매치하려고 노력하는 경우에, 교차-템플릿 공격을 완화하기 위해, 서로의 매칭 거리 (또는 등록 템플릿에 추가될 각각의 채프 기술자를 합성할 때 이전 템플릿의 임의의 상당한 부분)내에 상이한 템플릿에 걸친 채프 내용을 가짐으로써 공격은 좌절될 수 있다.

템플릿 매칭 알고리즘의 한 구현예가 하기와 같이 간단하게 기재되어 있다. (1) 이미지 피라미드가 다중-스케일 매칭 프로세스를 위해 형성된다. (2) 관심 지점은 혈관 지점 검출기를 사용하여 발견된다. (3) 특징은 전술한 지점 주위에 다중 반경 LBP (로컬 2진 패턴), 다중 반경 CS-LBP (중심 대칭 LBP), SURF, H-LBP (LBP의 히스토그램), 및 H-CS-LBP (CS-LBP의 히스토그램)을 사용하여 계산된다. 결과는 원시 등록 템플릿 (상기 기재된 바와 같이, 이들 주위의 이미지 패치에 대한 (x, y) 혈관 지점 좌표 플러스 기술자 벡터의 집합)으로 보관된다. (4) 기술자는 미리-계산된 PCA 로딩을 사용하여 단축되고 역-상관화되고, 등거리로 스크램블된다 (차원의 장치-특정 솔팅 및 재-셔플링). 매칭은 이러한 대리 개인적 공간에서 수행된다. (5) 등록 및 검증 템플릿 지점 사이의 최근접 이웃 매치는 가중된 합을 사용하는 등록-검증 지점 쌍 주위의 모든 기술자의 유클리드 거리를 기반으로 발견된다. 후보 쌍은 하기 이상점 거부 단계로 전해진다. (6) 아핀/비-반사적 유사성 가설을 갖는 RANSAC은 가정된 기하학적 변환 가정뿐만 아니라, 관련된 변환 행렬 하에 이상점을 찾기 위해 수행된다. (7) 최종 매치 점수는 이상점-배제된 등록-검증 매칭된 쌍의 x 및 y 좌표의 상관, 발견된 쌍 (k)의 수, 및 RANSAC으로부터의 복구된 스케일 및 회전 (또는 합당한 값을 넘어서는 신원으로부터 변환 행렬의 다른 메트릭 요약 편차)의 비선형 함수로서 발견된다.

키 디코딩(Key Decoding)

한 구현에서, 검증 템플릿은 성공적인 진짜의 매치 시에 T_VPD의 k 이상의 멤버를 찾기 위해 확장되고 난독화된 등록 템플릿에 대해 최초 매칭된다. 각각의 생체인식 트랜잭션에 대해 다수의 ROI들 또는 등록/검증 템플릿을 사용할 때, k 매칭된 지점 이상을 적중하기 위한 최초 비교가 인코딩된 W를 계산하기 위해 사용될 수 있다. 더 높은 k를 달성하기 위한 이러한 다수의 비교를 통해 발견되는 태깅된 확장된 등록 요소의 합집합을 또한 취할 수 있다.

그 다음에, 태깅 함수 f_k를 사용하여, T_K로부터 k 이상의 지점이 식별된다. 이러한 지점은 계획적으로 W-인코딩 함수 f_encode 상에 있다. k 지점만이 최종 연립 방정식의 정확한 해답를 위해 요구되고, 따라서 성공적인 검증 프로세스로부터의 최초 k (또는 복구된 T_K의 임의의 다른 k 멤버)가 사용될 수 있다. T_K의 전술한 k 멤버 각각에 대해, 각각의 v_i,d는 하기, "벡터화 함수"에 기재된 동일한 벡터화 (분할기) 함수를 사용하여 k 구성요소 내로 벡터화된다. 그의 대응하는 Y_d = [y_i,d] 를 따라, k-방식 벡터화 v_i,d (i = 1,2,...k)는 하기와 같이 그의 대응하는 인코딩된 키

(w_i,d, i = 1,2,...,k) 를 찾기 위한 충분한 정보를 가진다: 각각의 행 d에 대해, v_i,d (i = 1,2,...k 로 반복됨)의 k 샘플은

를 야기하는, 상기, 벡터화 함수

에 의한 분할된 k 방향이다. 그 후에 키 벡터

는 인코딩 팩트:

및 따라서:

을 사용하여 발견된다.

다시, k 데이터 지점이 방정식-해결을 위해 사용되기 때문에, 차수는 문제되지 않고, k 카디널리티를 갖는 T_K의 임의의 부분집합이 충분할 것이라는 것에 유의한다. 상기 기재된 가벼운 버전을 사용하는 디코딩은 유사한 논리를 따르나, 벡터화 함수는 없다.

초기 보안 분석이 이제 기재될 것이다. 하기는 템플릿이 암호해독되고 생체인식 인증 코드가 분해되는 손상된 장치를 가정한다. 비밀 키-운반 채프 T_K (약 n(T_VPD) 멤버를 가짐)가 나머지 템플릿 요소와 구분이 안 되는 것을 고려하면, T_K의 멤버를 드러내는 행운의 추첨의 기회는 약 n(T_K)/n(T_A)이다. 그 후에, 도난당하거나 암호화되지 않은 등록 템플릿 및 프로그램 논리를 가정하는 연립 방정식을 풀기 위해, 그러한 추측의 독립적이고 동일하게 분포된 본질을 고려하는, 모든 요구되는 k 지점을 추측하기 위한 무차별 대입 공격 플러스 성공의 측정 가능성은, 약

이고, 그 이유는:

이기 때문이다.

따라서, 유효 엔트로피는 하기와 같이 계산될 수 있다:

예로서, k = 40인 최소의 진짜의 매칭된 지점, 및 1/5 의 전체 템플릿 지점에 대한 채프의 전형적인 수 비율 (혈관 관심 지점 당 약 4개의 채프 지점)의 경우에, 엔트로피는 92 비트보다 더 크다.

시스템의 용량, 즉, 키 W의 크기는, D × k × L

비트이고, 여기서 L은 W를 인코딩하는데 사용되는 수 체계의 (비트에서의) 길이이다. 예를 들어, W를 표현하기 위해 오직 SURF-128 특징 (SURF의 128-차원의 버전)을 사용하고, 부호가 없는 64-비트 정수 형식을 사용하면 (반올림 오차를 완화하기 위해 LSB를 폐기한 후의 63 유효 비트), 키 용량 (길이)은 128 × 36 × 63 = 290,304 비트, 또는 약 35 KB이다. 그러나, 앞서 계산된 바와 같이, 이는 시스템의 엔트로피가 아니다. 키 비트 시퀀스 흐름의 견지에서 표준 길이 및 강도를 강요하기 위해, SHA512가 각 인코딩된 키 W_D에 적용될 수 있다. 따라서 W_D의 크기에 상관 없이, 패턴-예측불가능한 512-비트 개인 키 시퀀스가 있다.

샘플 채프 생성 및 태깅 함수 구현(Sample Chaff Generation and Tagging Function Implementations)

채프를 태깅하고 사용하는 것은 다음의 기능성을 맥관구조에 의해 스팬되는 (이미 스크램블되고 난독화된) 실제 템플릿 지점 및 기술자로부터 분리시켜, 추가된 보안, 프라이버시 및 취소가능성을 제공한다. 하기는 채프의 구현, 그의 생성, 및 태깅에 대한 보다 구체적인 세부사항을 제공한다.

채프의 공간적 배치(Spatial Placement of Chaff)

공간적으로 균일하거나 달리 혈관 관심 지점과 구분이 안 되는 "채프-주입"은 저장된 템플릿 (검증 템플릿은 매칭 동안 잠깐 생성됨에 따라, 일반적으로, 등록 템플릿)을 보호하기 위해 여러 방식으로 달성될 수 있다. 한 예에서, 실제 (비-채프) 관심 지점 사이의 최소의 (이상점-저지된) 공간적 거리가 결정된다. 채프 지점은 임의의 두 지점 (채프 및/또는 혈관 관심 지점)사이의 거리가 약 동일한 최소 거리일 때까지 삽입된다. 조밀하게 채프-주입된 템플릿은 다수의 전방에 더 강한 보안을 제공할 것이다. 불리한 면은 채프-난독화된 템플릿의 더 큰 크기이고, 이는 또한 매쳐를 늦출 수 있다.

또 다른 덜 극단적인 구현은 2-단계 채프 삽입이다. 보다 구체적으로, 등록 템플릿의 공간 스팬에 걸쳐 전형적인 타일링이 주어지고, 채프의 제1 부분의 배치 (약 동일한, 면적 과립, 채프 및 비-채프 당 전체 템플릿 지점의 평균을 내기 위해 요구됨)와 함께 개시하고, 이 단계를 위해 최소의 거리 요구조건 (예를 들어, 3 픽셀)을 사용하고, 엉성한 채프 삽입으로 공지된다. 프로세스는 최소의 거리 임계를 (예를 들어, 1 픽셀로) 완화함으로써 비-채프에 대한 바라는 채프 비율, 전형적으로 3배 내지 7배를 달성할 때까지 나머지 채프의 삽입을 계속한다 (촘촘한 채프 삽입 단계).

채프 배치를 위한 추가 방법은 기존 템플릿을 사용하는 것, 빈 위치/이웃에 채프를 삽입하는 동안 비- (또는 거의 비-) 혈관 타일에 걸쳐 혈관 타일에서 혈관 지점의 공간적 패턴을 복제하는 것 (일부 경우에, 작게 자연스럽게 발생하는 기하학적 왜곡을 가짐), 타일 경계에서 채프-주입된 템플릿의 (x, y) 좌표의 공간적 분배의 연속성, 뿐만 아니라 타일 당 총 균일한 공간적 밀도를 관찰하는 것을 포함한다.

또 다른 방법은 가장 가까운 점이 L-시스템 (나뭇가지형 구조에 대한 린덴마이어(Lindenmayer) 문법)을 사용하여 너무 가깝다면 하기 동일한 혈관 나뭇가지형 구조를 포함한다. 그 후에, 공간적 패턴을 생성하는 L-시스템에 따라, 채프는, 타일 경계에서 연속성을 관찰하는 동안 템플릿에 걸쳐 균일한 타일 밀도에 도달할 때까지, 더 적은 혈관 타일에 추가된다.

채프 기술자 내용(Chaff Descriptor Contents)

한 구현에서, 신호로 고려된다면, 템플릿에서 기술자 특징 벡터는 비-에르고딕 프로세스이다. 채프-주입된 등록 템플릿, 또한 이전 및 이후에 오는 것에 대해, 공간적 및 특징 공간에서 각 특징 요소의 통계적 특성은 채프 대 비-채프 기술자에 대해 동일한 것이어야 한다. 채프 및 비-채프 내에 및 이에 걸친 상호-기술자 거리의 분포, 뿐만 아니라 그의 평균 및 공분산 행렬들은 또한 유사해야 한다. 전술한 것은 기술자 (채프 및 비-채프) 제로 평균 및 비상관을 렌더링하는 PCA 투영에 의해 달성될 수 있다. 전술한 경계 내에, 혈관 지점에 더 가까운 위치의 채프 기술자는 이들이 서로에 대해 매칭할 가능성이 적도록, 매칭 정확도가 (VPD 기술자 분포 특성 내로 유지되는 동안) 악화되지 않도록 선택될 수 있다. 기존 실제 지점 기술자로부터 채프 기술자 내용을 생성하는 것 외에도 (예를 들어, VPD-연관된 특징 벡터에 대한 작은 원형 자리이동 플러스 작은 잡음의 적용), PCA 투영 및 스크램블 함수는 채프 및 진짜의 기술자 사이의 임의의 차이를 추가로 평탄화할 것이다. 혼합화는 장치 특정 방식으로 좌표를 솔트 및 재순서화하여, 오직 주어진 고유한 소프트웨어 및 하드웨어 환경 내의 스크램블된 공간에서 매칭 목적을 위한 유클리드 거리를 보존하고, 단일 생체인식 안구 스캔 트랜잭션 동안 2-요인 인증을 가능하게 한다. PCA 단계의 고유값 투영 후에 선택적 고유값 정규화는 추가의 보안을 위해 그의 모든 특징에 걸쳐 신원 공분산 행렬에 가까운 백색화된 저장된 템플릿을 생성한다.

태깅(Tagging)

태깅 함수는 많은 상이한 방식, 예컨대 해시 함수를 사용함으로써 구현될 수 있다. 예를 들어, 관심 지점 및 그의 대응하는 특징 벡터의 x, y 좌표를 가정한다: (1) x, y 좌표는 각각의 관심 지점에 대응하는 로컬 특징 벡터 V의 처음 8개의 요소와 함께 추가된다. (2) 결과는 SHA512로 해시된다. 결과 비트 스트링은 64 바이트로 그룹화된다. (3) 태깅된 (출력) 좌표를 도출하기 위해, 시퀀스의 2개의 집합이 모든 홀수 바이트 위치를 제1 시퀀스 (Seq1, 32 바이트), 및 모든 짝수 위치를 제2 시퀀스 (Seq2, 32 바이트)로 고려함으로써 전술한 바이트 스트링으로부터 추출된다. (4) Seq1에서 모든 바이트는 태깅된 x 좌표에 대해 단일 바이트를 얻기 위해 비트-XOR된다. 유사하게, Seq2에서 모든 바이트는 태깅된 y 좌표로서 단일 바이트를 얻기 위해 비트-XOR된다. (5) 전술한 위치에 채프 지점이 있다면, 그 후에 이는 "태깅될" 것이다. 그렇지 않고, 최근접 채프가 r 픽셀 (예를 들어, 하나의 픽셀)의 반경에 있다면, 그 후에 선택은 계산된 위치로 이동하고 태깅된다. 상기 중 아무것도 발생하지 않으면, 태깅된 채프지점은 이 위치에서 생성된다. Seq1 및 Seq2의 상이한 재해싱은 x, y 범위가 0-255를 넘는다면 구현될 수 있다.

또 다른 접근법은 태깅 위치에 대해 수학적 함수를 사용하는 것이다. 종속으로 적용되는 3-단계 과정 (하기 T1, T2, 및 T3)을 가정한다. 입력 템플릿 지점의 (x, y) 좌표는 하기와 같이 변환된다.

T1:

T2:

x_max 및 y_max는 채프-주입된 템플릿에서 공간적 좌표에 대해 최대의 값이다.

T3:

태깅 함수는 생체인식 인증 어플리케이션의 상이한 예시화에 걸친 행위를 변화시키기 위해 종속되거나 재-매개 변수화될 수 있다. 채프 배치는 ROI 마스크 (보다 구체적으로, 개인 눈꺼풀 윤곽을 숨기기 위한, 모집단 ROI 마스크의 합집합)로 제한될 수 있다.

채프 위치 및 내용 합성을 위한 예시 알고리즘(Example Algorithm for Chaff Location and Content Synthesis)

채프 위치 및 내용 합성을 위한 알고리즘의 한 구현은 하기와 같다. 그의 각각의 기술자를 따라 N 원래의 (VPD)지점이 있고, R × C 픽셀 (R은 행의 수이고 C는 열의 수임) 크기의 이미지로부터 템플릿을 생성하는 것을 고려한다. 한 구현에서, 채프 및 태그를 계산하기 위한 단계는 하기와 같다:

1. 혈관 관심 지점에 대한 채프 "비율" 파라미터를 정의한다 (예를 들어, 대략적으로 3.5 내지 4.5).

2. 키 생성을 위해 사용되는 각각의 원래의 지점에 대해 태깅된 지점을 삽입한다 (KeyTag):

a. 그의 입력으로 원래 지점의 위치 및 기술자 정보를 수용하는 제1 태깅 함수를 사용하여 R × C 윈도 내에 태그 지점을 생성한다.

b. 태깅된 위치가 원래의 지점의 위치인지 검사한다:

i. 맞다면, 아무것도 하지 않는다.

ii. 아니지만, 하나의 픽셀 반경 내에 채프 지점이 있다면, 채프를 태깅된 위치로 이동한다.

iii. 달리 아니라면:

1. 제1 태깅 함수로부터 생성된 위치에 채프 지점을 생성한다.

2. 최근접의 원래의 지점을 사용하여 상기 지점에 대해 기술자를 생성한다.

기술자 (FineChaffDescriptor):

3. 서버 핸드셰이크(Server HandShake)에 사용되는 각각의 원래의 지점에 대해 태깅된 지점을 삽입한다 (ServerTag).

a. 원래 지점의 위치 및 기술자 정보를 갖는 제2 태깅 함수를 사용하여 R × C 윈도 내에 태그 지점을 생성한다.

b. 태깅된 지점 위치가 원래의 지점 또는 KeyTag인지 검사한다:

i. 맞다면, 아무것도 하지 않는다.

ii. 아니지만, 하나의 픽셀 반경 내에 채프 지점이 있다면, 채프를 태깅된 위치로 이동한다.

iii. 달리 아니라면:

1. 제2 태깅 함수로부터 생성된 지점을 생성한다.

2. 최근접의 원래의 지점을 사용하여 상기 지점에 대해 기술자를 생성한다.

기술자 (FineChaffDescriptor):

4. R × C를 동일한 크기의 k 타일로 나눈다 (예를 들어, 4×5 타일, R = 80, C = 100, +/- 20에 대해 k = 20). 전술한 값은 예시의 목적을 위한 것이고 다른 가능한 값이 고려되는 것을 유의해야 한다. 예를 들어, 특정 값이 이미지 센서 (이미지 해상도를 유발함)를 기반으로 변화할 수 있다.

5. 각각의 타일에서 지점의 수 (원래의 것 + KeyTag + ServerTag)를 계산하고 최대 (MaxPoints)를 찾는다.

6. 요구되는 지점을 계산하고 타일 당 유형을 변화시킨다:

a. 타일에서 지점의 수가 MaxPoints/2 미만이면: MaxPoints/2가 될 때까지 CoarseChaff를 하고 이어서 전체 지점이 MaxPoints +/- 5%와 동일할 때까지 FineChaff를 한다 (이 예시 알고리즘에서 사용되는 바와 같이, +/- X%는 -X 내지 +X의 범위 내의 랜덤 수를 지칭할 수 있다).

b. 타일에서 지점의 수가 MaxPoints/2 초과이거나 동일하다면: 전체 지점이 MaxPoints +/- 5%와 동일할 때까지 FineChaff를 한다.

7. 단계 6에서 생성된 채프의 랜덤 20% (더 높은 채프 카운트를 위해 증가될 수 있음)에 대해, ChaffTagChaff를 생성한다.

a. 원래 지점의 위치 및 기술자 정보를 갖는 제3 태깅 함수를 사용하여 R × C 윈도 내에 태그 지점을 생성한다.

b. 태깅된 지점 위치가 원래의 지점 또는 KeyTag 또는 ServerTag 또는 채프인지 검사한다:

i. 맞다면, 아무것도 하지 않는다.

ii. 아니지만, 하나의 픽셀 반경 내에 채프 지점이 있다면, 채프를 태깅된 위치로 이동한다.

iii. 달리 아니라면:

1. 제3 태깅 함수로부터 생성된 지점을 생성한다.

2. 최근접의 원래의 지점 기술자를 사용하여 상기 지점에 대해 기술자를 생성한다 (FineChaffDescriptor).

8. (KeyTag + ServerTag + CoarseChaff + FineChaff + ChaffTagChaff)/원래의 지점의 수가 비율 미만이라면: FineChaff를 생성한다.

CoarseChaff

1. 모든 지점으로부터 적어도 3 픽셀 떨어진 타일 내에 랜덤 채프 지점을 생성한다.

2. CoarseChaffDescriptor: 최근접의 원래의 기술자 (OrigDesc)를 취한다.

3. SURF 기술자에 대해:

a. NewSURFdescriptor = CircularShift(OrigDesc, +/- 30% 길이) + (0.01% 가우시안 잡음).

b. (OrigDesc, NewSURFdescriptor)의 정규화된 SSD가 < 0.1이면 3.a로 간다.

4. HLBP 기술자에 대해:

a. NewHLBPdescriptor = CircularShift(OrigDesc, +/- 30% 길이) + (20% 가우시안 잡음).

b. (OrigDesc, NewHLBPdescriptor)의 정규화된 SSD가 < 0.1이면 4.a로 간다.

5. HDLBP 기술자에 대해:

a. NewHCSLBPdescriptor = CircularShift(OrigDesc, +/- 30% 길이) + (20% 가우시안 잡음)

b. (OrigDesc, NewHCSLBPdescriptor)의 정규화된 SSD가 < 0.1이면 5. a로 간다.

FineChaff

1. 모든 지점으로부터 적어도 1 픽셀 떨어진 타일 내에 랜덤 지점을 생성한다.

2. FineChaffDescriptor: 최근접의 원래의 기술자 (OrigDesc)를 취한다.

3. SURF 기술자에 대해:

3.1. NewSURFdescriptor = CircularShift(OrigDesc, +/-30% 길이) + (0.01% 가우시안 잡음)

3.2. (OrigDesc, NewSURFdescriptor)의 정규화된 SSD가 < 0.2이면 3.1로 간다.

4. HLBP 기술자에 대해:

4.1. NewHLBPdescriptor = CircularShift(OrigDesc, +/-30% 길이) + (20% 가우시안 잡음)

4.2. (OrigDesc, NewHLBPdescriptor)의 정규화된 SSD가 < 0.225이면 4.1로 간다.

5. HDLBP 기술자에 대해:

5.1. NewHCSLBPdescriptor = CircularShift(OrigDesc, +/-30% 길이) + (20% 가우시안 잡음)

5.2. (OrigDesc, NewHCSLBPdescriptor)의 정규화된 SSD가 <0.225이면 5.1로 간다.

벡터화 함수(Vectorizing Functions)

스칼라 예컨대 v_i,d를 k 방식으로 분할하기 위한 간단하지만 안전하고 효율적인 방법은 스칼라 (또는 그의 함수)를 해시 함수 예컨대 SHA512에 제공하고, 생성된 비트 스트링의 그룹을 바라는 일련의 수로서 사용하는 것이다. 벡터화 함수를 사용하는 이유는 하기와 같다: (1) 기술자 내용에 관계없이 선형 방정식의 스팬된 시스템의 수치 안정성 (예를 들어 특징 벡터에서 여러 위치에 대해 주어진 수치 정밀도의 제약 조건 내에 특히 제로에 매우 가까울 수 있음); (2) 각각의 벡터 요소가 그 자체의 선형 혼합 방정식 라인을 스팬할 수 있음에 따라, 다수의 또는 더 큰 키 내용에 대한 더 큰 용량; 및 (3) 방정식 계수는 추가된 보안을 위해, 그의 저장된 값으로부터 단지 재호출되기보다는 템플릿 요소에 의해 실시간으로 계산될 필요가 있다.

벡터화 함수의 또 다른 예는 하기와 같다. 디코딩 프로세스에 대해 안정한 비-특이 해결책을 유발하는 다른 결정성 및 안전한 벡터화 함수가 또한 수용가능하다.

의사 랜덤 수 생성기 (PRNG)에 v_i,d의 함수를 시딩하고 k 의사 랜덤 수의 시퀀스를 생성한다. 예를 들어, f_{md _ num _gen}으로 표시되는 암호적으로 안전한 PRNG 알고리즘을 사용하고 이에 하기를 시딩한다.

이 프로세스에서 하나 보다 많은 v_i,d를 사용할 수 있는데, 예를 들어 추가된 수치 안정성 및 비가역성을 위해 v_i,d + v_{i,d + 1}를 하나로 조합한다 (또는 W의 용량을 감소시키는 것을 희생하여 보다, 유효하게 D를 낮춘다).

그 다음에, 결과 최초 k 의사 랜덤 수, rnd_seq_i, i = 1,2,...k를 벡터화된 출력으로서 가진다. 따라서 벡터화 함수는 하기와 같다:

선택적으로, 추가된 보안 및 동적 범위 제어를 위해, 자명하지 않고 비가역인 함수

를 통해 상기 v_i,d 스팬된 벡터를 통과할 수 있다. 한 예는 하기와 같다. rnd_seq_i = (rnd_seq_i - 0.5) × 8 을 적용한다 (하기

로 보다 예측불가능한 요동을 생성하기 위해 랜덤 시퀀스를 [-4, 4]에 선형으로 투영하기 위함).

(하기 도시됨)에 대해 한 예는 하기와 같다:

최종적으로, 입력 v_i,d 및 그의 연관된/인코딩된

(비밀 키 행렬 W의 행 d)에 대해 대응하는 y_i,d는 하기에 의해 주어진다:

언급한 바와 같이, 앞서 유의한 SHA 기반 벡터화를 사용하는 것은 이러한 유형의 벡터화에 대한 요구를 무효화한다.

신뢰 서버 기능성

한 구현에서, 신뢰 서버는 로컬 키 접근법과 함께 사용될 수 있는 선택적인 추가된 보안 계층이다. 신뢰 서버에 또 다른 추가된 이익은 대리 원격 검증 및 템플릿/액세스 취소가능성이다. 예를 들어, 서버가 장치에 의해 송신된 토큰 (검증 시에 생체인식 안구 스캔 매칭의 고유하지만 재-발행가능한 부산물)을 인식하지 않는 경우에, 이는 특정한 요청된 트랜잭션을 이행하지 않도록, 예를 들어 생체인식 인증을 사용하는 관련 온라인 뱅킹 서비스 또는 다른 서비스로 신호를 송신할 수 있다. 본 구현의 세부내용은 상기 기재된 채프 태깅 및 템플릿 매칭 프로세스 대부분과 유사하다.

의 기술자 부분의 해시 H(.), S_CHF가 마스터 채프 기록으로 지정되고 등록 시에 신뢰 서버 상에 저장된다는 것을 가정한다 (예를 들어, 다중-등록 시스템에서 등록 당 하나의 마스터 채프 기록임). 생체인식 검증 시에, 신뢰 서버 검증을 원하는 경우에, 하기 "핸드셰이크(handshake)" 프로세스가 일어날 수 있다: 템플릿 요소 T_VER의 매칭된 부분집합은, f_k와 유사하지만 신뢰 서버 기능성을 위해, 제2 채프 태깅 함수 f_s에 제공되어, S_VER = H(T_VER) 을 산출하고, 이는 검증 시에 신뢰 서버로 송신된다. 매쳐의 특성으로부터, 성공적인 진짜의 매치의 경우, 하기와 같다는 것이 공지된다:

(a) T_VER ⊂ T_VPD, 및

(b) n(T_VER) ≥ k

즉, 성공적인 매치는 적어도 k의 실제 혈관 관심 지점을 찾고, 실패한 (예를 들어, 사기꾼) 매치는 그렇지 않다. 따라서, 이는 하기 조건이 장치-측 매치의 무결성을 검증하기 위해 서버 측에서 충족되어야 하는 것을 따른다:

예를 들어, 범용 타임 스탬프의 함수인 n (예를 들어 모듈러스)을 갖는, S_VER에 대한 SHA512의 n 배의 중첩된 반복에 의해 S_VER의 시-변 해시를 또한 전송할 수 있다는 것에 유의한다. 신뢰 서버는 임의의 비교 전에 그의 S_CHF의 동일한 시-변 해시를 수행할 것이다.

새로운 장치에 대한 새로운 등록이 상이한 S_VER 및 S_CHF를 생성함에 따라, 신뢰 서버의 다른 가능한 기능성은 (예를 들어 도난당한 장치의 경우에)원격 서비스에 대한 액세스를 취소하는 것을 포함한다. 서버 채프는 키 생성 채프와 동일하지 않고 따라서 이러한 분리는 부분적 독립성 및 따라서 여러 가상 공격 벡터에 걸쳐 추가된 보안을 제공한다는 것에 주의한다. 달리, 개인 키 대 서버 채프의 검증 정확도 및 검증 보안은 동일한 것으로 간주될 수 있다.

초기 보안 분석은 하기와 같다. 하기 시나리오는 템플릿이 암호해독되고, 생체인식 검증 코드가 분해되고, 따라서 장치-서버 핸드셰이크 논리 플러스 템플릿 구조가 공격자에게 공지되는 손상된 장치를 가정한다. 채프 및 실제 혈관 관심 지점의 비구분성을 고려할 때, 템플릿으로부터 처음에 운 좋게 뽑을 확률은 최대

로서, 즉, f_s (약 n(VPD)와 동일함)에 의해 태깅된 채프를 템플릿 요소의 전체 수로 나눈 비율인데, 그 이유는 그러한 추측이 독립적이고 동일하게 분포된다는 가정을 갖기 때문이다:

공격자가 추측에 의해 T_S 멤버의 모든 요구되는 최소의 k를 수집할 수 있게되는 가능성은 극히 적다. 각각의 혈관 관심 지점에 대해 약 하나의 태깅된 채프의 전형적인 값, 및 각각의 혈관 관심 지점에 대해 4개의 전체 삽입된 채프, 및 단일 2-ROI 스캔에 대해 k = 40을 사용하는 경우, 최소 시행에서 성공의 가능성은 하기와 같다:

신뢰 서버가 실패한 시도의 수를 제한하면, 이러한 공격에 대해 성공의 총 가능성은 매우 작게 된다. 게다가, 공격자가 신뢰 서버 및 사용자의 장치 둘 다를 손상시키고 모든 요구되는 내용을 복호화하는 경우에, T_S은 단지 T_CHF의 부분집합임에 따라, 사용자 장치 템플릿으로부터 서버 마스터 채프 기록을 차감하게 됨으로써 그 또는 그녀는 사용자 템플릿의 혈관 관심 지점 부분에 액세스할 수 없다.

본원에 이용된 용어 및 표현은 제한이 아니라 기재의 용어 및 표현으로써 사용되고, 이러한 용어 및 표현의 사용에서, 도시되고 기재된 특징의 임의의 등가물 또는 그의 부분을 제외하고 아무 의도도 없다. 추가로 본 개시내용에서 특정 구현이 기재되었지만, 본원에 개시된 개념을 통합하는 다른 구현이 본 발명의 사상 및 범위를 벗어나지 않고 사용될 수 있다는 것이 관련 기술분야의 통상의 기술자에게 명백할 것이다. 다양한 구현의 특징 및 기능이 다양한 조합 및 순열로 배열될 수 있고, 모든 것은 개시된 발명의 범위 내에 있을 것으로 고려된다. 따라서, 기재된 구현은 제한적인 것이 아니라 예시적인 것으로서 모든 관점에서 고려되어야 한다. 본원에 기재된 구성, 재료, 및 치수는 결코 제한하지 않고 예시적인 것으로서 또한 의도된다. 유사하게, 물리적인 설명이 설명의 목적을 위해 제공되더라도, 임의의 특정한 이론 또는 매커니즘에 의해 구속되거나 이에 따라서 청구범위를 제한하려는 의도는 없다.

Claims (36)

1. 생체인식 템플릿을 보호하고 생체인식 템플릿을 사용하여 키를 인코딩 및 디코딩하기 위한 컴퓨터에 의해 구현되는 방법이며:
   하나 이상의 이미지를 수신하는 단계;
   수신된 이미지를 기반으로 복수의 관심 지점을 식별하는 단계;
   하나 이상의 실제 기술자를 각각의 관심 지점과 연관시키는 단계로서, 각각의 실제 기술자는 대응하는 관심 지점을 둘러싸는 하나 이상의 지역을 기재하는 단계;
   하나 이상의 실제 기술자를 장치-특정 서명을 사용하여 스크램블하는 단계;
   관심 지점을 기반으로 복수의 난독화 데이터 지점을 생성하는 단계;
   난독화 데이터 지점 및 관심 지점 중 적어도 하나의 부분집합을 사용하여 키를 생성 및 인코딩하는 단계;
   관심 지점, 난독화 데이터 지점, 및 장치-특정 서명을 기반으로 난독화된 템플릿을 생성하는 단계; 및
   난독화된 템플릿을 저장하는 단계를 포함하는 방법.
2. 제1항에 있어서, 난독화 데이터 지점은 관심 지점의 공간적 분포 및 난독화 데이터 지점의 공간적 분포가 서로 균등하도록 생성되는 방법.
3. 제1항에 있어서, 난독화된 템플릿 내의 지점이 관심 지점인 기록을 폐기하는 단계를 추가로 포함하는 방법.
4. 제1항에 있어서, 하나 이상의 난독화 지점이 하나 이상의 관심 지점에 의해 태깅되고, 키를 생성 및 인코딩하는 단계가 태깅된 난독화 데이터 지점 및 관심 지점 중 적어도 하나의 부분집합을 사용하는 단계를 포함하는 방법.
5. 제4항에 있어서, 하나 이상의 관심 지점이 하나 이상의 관심 지점에 의해 태깅되고, 키를 생성 및 인코딩하는 단계가 태깅된 난독화 데이터 지점 및 태깅된 관심 지점 중 적어도 하나의 부분집합을 사용하는 단계를 포함하는 방법.
6. 제5항에 있어서, 태깅된 난독화 지점의 수가 태깅된 관심 지점의 수보다 더 큰 방법.
7. 제1항에 있어서, 부분집합에서 각각의 지점은 관심 지점 중 상이한 지점을 기반으로 결정되는 방법.
8. 제1항에 있어서, 이미지는 생체인식 형상화(biometric imagery)를 포함하는 방법.
9. 제8항에 있어서, 이미지는 안구의 영역의 이미지를 포함하고, 각각의 안구 영역 이미지는 각각의 안구 영역의 맥관구조의 뷰를 포함하고, 관심 지점은 혈관 관심 지점을 포함하는 방법.
10. 제1항에 있어서, 하나 이상의 합성된 기술자를 각각의 난독화 데이터 지점과 연관시키는 단계를 추가로 포함하고, 각각의 합성된 기술자는 실제 기술자와의 통계적 유사성을 포함하는 방법.
11. 제10항에 있어서,
    하나 이상의 제2 이미지를 수신하는 단계;
    수신된 제2 이미지를 기반으로 제2 복수의 관심 지점을 식별하는 단계;
    제2 복수의 관심 지점을 기반으로 검증 템플릿을 생성하는 단계;
    복수의 매칭 관심 지점을 식별하기 위해 검증 템플릿과 난독화된 템플릿을 비교하는 단계; 및
    매칭 관심 지점을 기반으로 사용자를 인증하는 단계를 추가로 포함하는 방법.
12. 제11항에 있어서, 비교하는 단계는 하나 이상의 실제 및 합성된 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 방법.
13. 제11항에 있어서, 실제 기술자 및 합성된 기술자의 차원수(dimensionality)를 감소시키는 단계를 추가로 포함하는 방법.
14. 제11항에 있어서, 비교하는 단계는 하나 이상의 감소된 차원수 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 방법.
15. 제11항에 있어서, 스크램블하는 단계가 장치-특정 서명을 사용하여 하나 이상의 실제 기술자 및 하나 이상의 합성된 기술자를 등거리로 스크램블하는 단계를 포함하는 방법.
16. 제15항에 있어서, 비교하는 단계는 하나 이상의 스크램블된 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 방법.
17. 제11항에 있어서, 적어도 매칭 관심 지점의 부분집합을 기반으로 키를 디코딩하는 단계를 추가로 포함하는 방법.
18. 제1항에 있어서, 각각의 관심 지점은 복수의 인접 타일들의 각각의 타일에 위치되는 방법.
19. 생체인식 템플릿을 보호하고 생체인식 템플릿을 사용하여 키를 인코딩 및 디코딩하기 위한 시스템으로서:
    연산을 수행하기 위해 프로그램된 하나 이상의 컴퓨터를 포함하고, 연산은:
    하나 이상의 이미지를 수신하는 단계;
    수신된 이미지를 기반으로 복수의 관심 지점을 식별하는 단계;
    하나 이상의 실제 기술자를 각각의 관심 지점과 연관시키는 단계로서, 각각의 실제 기술자는 대응하는 관심 지점을 둘러싸는 하나 이상의 지역을 기재하는 단계;
    하나 이상의 실제 기술자를 장치-특정 서명을 사용하여 스크램블하는 단계;
    관심 지점을 기반으로 복수의 난독화 데이터 지점을 생성하는 단계;
    난독화 데이터 지점 및 관심 지점 중 적어도 하나의 부분집합을 사용하여 키를 생성 및 인코딩하는 단계;
    관심 지점, 난독화 데이터 지점, 및 장치-특정 서명을 기반으로 난독화된 템플릿을 생성하는 단계; 및
    난독화된 템플릿을 저장하는 단계를 포함하는 시스템.
20. 제19항에 있어서, 난독화 데이터 지점은 관심 지점의 공간적 분포 및 난독화 데이터 지점의 공간적 분포가 서로 균등하도록 생성되는 시스템.
21. 제19항에 있어서, 연산은 난독화된 템플릿 내의 지점이 관심 지점인 기록을 폐기하는 단계를 추가로 포함하는 시스템.
22. 제19항에 있어서, 하나 이상의 난독화 지점이 하나 이상의 관심 지점에 의해 태깅되고, 키를 생성 및 인코딩하는 단계가 태깅된 난독화 데이터 지점 및 관심 지점 중 적어도 하나의 부분집합을 사용하는 단계를 포함하는 시스템.
23. 제22항에 있어서, 하나 이상의 관심 지점이 하나 이상의 관심 지점에 의해 태깅되고, 키를 생성 및 인코딩하는 단계가 태깅된 난독화 데이터 지점 및 태깅된 관심 지점 중 적어도 하나의 부분집합을 사용하는 단계를 포함하는 시스템.
24. 제23항에 있어서, 태깅된 난독화 지점의 수가 태깅된 관심 지점의 수보다 더 큰 시스템.
25. 제19항에 있어서, 부분집합에서 각각의 지점은 관심 지점 중 상이한 지점을 기반으로 결정되는 시스템.
26. 제19항에 있어서, 이미지는 생체인식 형상화를 포함하는 시스템.
27. 제26항에 있어서, 이미지는 안구의 영역의 이미지를 포함하고, 각각의 안구 영역 이미지는 각각의 안구 영역의 맥관구조의 뷰를 포함하고, 관심 지점은 혈관 관심 지점을 포함하는 시스템.
28. 제19항에 있어서, 연산은 하나 이상의 합성된 기술자를 각각의 난독화 데이터 지점과 연관시키는 단계를 추가로 포함하고, 상기 각각의 합성된 기술자는 실제 기술자와의 통계적 유사성을 포함하는 시스템.
29. 제28항에 있어서, 연산으로서:
    하나 이상의 제2 이미지를 수신하는 단계;
    수신된 제2 이미지를 기반으로 제2 복수의 관심 지점을 식별하는 단계;
    제2 복수의 관심 지점을 기반으로 검증 템플릿을 생성하는 단계;
    복수의 매칭 관심 지점을 식별하기 위해 검증 템플릿과 난독화된 템플릿을 비교하는 단계; 및
    매칭 관심 지점을 기반으로 사용자를 인증하는 단계를 추가로 포함하는 시스템.
30. 제29항에 있어서, 비교하는 단계는 하나 이상의 실제 및 합성된 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 시스템.
31. 제29항에 있어서, 연산은 실제 기술자 및 합성된 기술자의 차원수를 감소시키는 단계를 추가로 포함하는 시스템.
32. 제29항에 있어서, 비교하는 단계는 하나 이상의 감소된 차원수 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 시스템.
33. 제29항에 있어서, 스크램블하는 단계는 장치-특정 서명을 사용하여 하나 이상의 실제 기술자 및 하나 이상의 합성된 기술자를 등거리로 스크램블하는 단계를 포함하는 시스템.
34. 제33항에 있어서, 비교하는 단계는 하나 이상의 스크램블된 기술자를 기반으로 매칭 관심 지점을 식별하는 단계를 포함하는 시스템.
35. 제29항에 있어서, 연산은 적어도 매칭 관심 지점의 부분집합을 기반으로 키를 디코딩하는 단계를 추가로 포함하는 시스템.
36. 제19항에 있어서, 각각의 관심 지점은 복수의 인접 타일들의 각각의 타일에 위치되는 시스템.

Images