WO2012007668A1 - Procedes, systemes et dispositifs de verification biometrique - Google Patents

Procedes, systemes et dispositifs de verification biometrique Download PDF

Info

Publication number
WO2012007668A1
WO2012007668A1 PCT/FR2011/051520 FR2011051520W WO2012007668A1 WO 2012007668 A1 WO2012007668 A1 WO 2012007668A1 FR 2011051520 W FR2011051520 W FR 2011051520W WO 2012007668 A1 WO2012007668 A1 WO 2012007668A1
Authority
WO
WIPO (PCT)
Prior art keywords
biometric
database
identity
data
individual
Prior art date
Application number
PCT/FR2011/051520
Other languages
English (en)
Inventor
Hervé Chabanne
Original Assignee
Morpho
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Morpho filed Critical Morpho
Publication of WO2012007668A1 publication Critical patent/WO2012007668A1/fr

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16BBIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
    • G16B50/00ICT programming tools or database systems specially adapted for bioinformatics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/50Maintenance of biometric data or enrolment thereof
    • G06V40/53Measures to keep reference information secret, e.g. cancellable biometrics
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/12Comprising means for protecting or securing the privacy of biometric data, e.g. cancellable biometrics
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/37Individual registration on entry or exit not involving the use of a pass in combination with an identity check using biometric data, e.g. fingerprints, iris scans or voice recognition

Definitions

  • the present invention relates to biometric verification.
  • Biometric verification traditionally refers to the authentication or identification of individuals, humans or animals, from biometric data, relating to characteristics of one or more biological attributes of these individuals, such as the minutiae of fingerprints, a general shape of the fingers of the hand, the veins of a hand or a finger, characteristics of the voice, characteristics of the iris of the eye, etc.
  • Such a biometric verification conventionally uses a database storing biometric data relating to individuals having previously undergone a registration phase called “enrollment” to be issued, during a biometric verification, any right whatsoever (issue of a driving license, a ticket, compensation, authorization to access a room, etc.).
  • FIG. 1 A very simple example of biometric verification is illustrated in FIG. 1, which distinguishes a database 1 storing a set of biometric data bi, b 2 ,..., BN relating to enlisted individuals.
  • biometric data bi, b2,. . . , bN are, for example, images representing a particular biological attribute of respective individuals (for example, fingerprint images, iris images, etc.), characteristics relating to a biological attribute (for example a type, a position and an orientation of minutiae in the case of fingerprints), or other.
  • a digital representation of the biometric data can be used, so as to simplify the manipulation thereof and to make these data integrable in a cryptographic algorithm.
  • the biometric data bi, b 2 ,. . . , bN stored in the database 1 may each consist of a digital vector, for example binary.
  • Many ways to obtain a digital vector from biometric information are known.
  • the biometric verification happens in the following manner relative to a given individual.
  • a biometric datum b ' is obtained, for example in its representation in the form of a digital vector, of the individual considered.
  • This data b ' is compared with all or part of the data bi, b2,..., B stored in the database 1 (reference 2).
  • the biometric database 1 is sometimes linked to an identity database of individuals (for example in alphanumeric form). This is particularly the case, in an authentication scenario, to conclude that an individual is or is not the enlisted individual he claims to be.
  • a unambiguous link i.e. 1 for 1
  • biometric data and identity data stored in these databases could allow the owner of these databases to know too easily the correspondence between the two types of data. This can be a problem when the owner is not a trusted person, or when constraints, for example of a legislative nature, prohibit this situation.
  • any indelicate person, other than the owner of the databases, who manages to access these databases could use the correspondence between the two types of data to impersonate enrollees.
  • the biometric database 3 stores groups of several biometric data. In the example shown, these groups consist of two elements, although a larger number of elements is quite possible.
  • the identity database 4 stores groups of several identity data, in this case two in the example of FIG. 2. The number of groups and / or elements per group can possibly differ between the biometric database 3 and the identity database 4.
  • the link I between the two databases 3 and 4 corresponds to each group of biometric data, for example (bi.b t ), a respective group of identity data, for example (ii, i t ).
  • a biometric check is still possible.
  • an individual with a biometry b 'and an identity i' is present for authentication, for example, the presence of b 'in the biometric database 3 (step 5) is checked, then we find the group of identity data (i " , ip) corresponding to the group of biometric data to which b 'belongs according to the weak link I.
  • a result R can then be deduced from a comparison between i' and the elements of the group ( ⁇ ⁇ , ⁇ ) ⁇ If i 'corresponds to one of the data of identity i « or ⁇ , one can for example conclude that the individual is indeed the one that he claims to be.
  • An object of the present invention is to limit at least part of the disadvantages of the prior art described above.
  • the invention thus proposes a method for constructing a negative identity database relating to individuals for biometric verification purposes in relation to a biometric database storing groups of biometric data relating to said individuals.
  • the method comprises the following steps:
  • the protection of identity data conferred by the present invention can withstand in particular the intersection of several databases that would be used for the same individuals, for example in the context of several independent applications.
  • the protection inherently provided by the use of a negative database can make it possible to use groups of biometric data comprising only one element. According to advantageous embodiments that can be combined in any conceivable way:
  • association performed comprises a concatenation between each identity data item and the corresponding pointer.
  • said association made consists of a secret function between each identity data item and the corresponding pointer. This further complicates the identification of each of these information for a person having access to the content of the negative identity database;
  • the negative identity database is constructed to store said complementary set in a condensed form. This further complicates the task of a person having access to the content of the negative identity database;
  • the condensed form of said complementary set is obtained by applying a prefix type algorithm
  • the negative identity database is constructed to store the said complementary set in a randomized form. It thus complicates the task of a person having access to the content of the negative identity database a little more in order to retrieve data from the database. identity and their link with corresponding biometric data.
  • the invention also proposes a system or device for constructing an identity database relating to individuals for biometric verification purposes in relation to a biometric database storing groups of biometric data relating to said individuals.
  • the system or device is adapted to obtain respective identity data for each of said individuals and includes:
  • These units can be of any conceivable form, e.g. electronic and / or computer.
  • the invention further provides a biometric verification method for an individual, using a negative identity database constructed as mentioned above in connection with a biometric database storing biometric data sets.
  • This biometric verification method comprises the following steps:
  • the biometric verification further comprises the generation of a conclusion according to a result of said verification.
  • This conclusion can be generated in a case of authentication and / or identification.
  • the invention also proposes a system or device for carrying out a biometric verification with respect to an individual as mentioned above.
  • This system or device is capable of obtaining identity data relating to said individual and comprises:
  • a unit for obtaining a biometric datum relating to said individual a unit for retrieving a pointer designating a group stored in the biometric database which includes a biometric datum corresponding to the biometric datum relating to said individual;
  • These units can be of any conceivable form, e.g. electronic and / or computer.
  • FIG. 3 is a diagram illustrating a negative identity database construction and a biometric verification according to a nonlimiting exemplary embodiment of the invention
  • FIG. 4 is a diagram illustrating the concept of negative database.
  • an identity database relating to individuals is constructed for biometric verification purposes. This construction can be done once and for all, after enrollment of all the individuals concerned, or as new individuals are enrolled.
  • a respective identity datum is obtained for each individual.
  • the identity data relating to the individual i is denoted subsequently, a is any integer.
  • the identity data can be obtained after the individual concerned has declined his identity. It can also be obtained by consulting an official document (identity card, passport, driving license, etc.), or other.
  • the identity data obtained can take any conceivable form. It may for example consist of a concatenation of information relating to said individual, such as his name, first name, date of birth, social security number and / or other. It is advantageously unique for a given individual, so as to avoid any ambiguity.
  • Its format can for example be alphanumeric. A fully digital format is also possible.
  • the identity data may result from binarization of identity information, so as to present a binary format (series of ⁇ 'and ⁇ ).
  • the negative identity database whose construction constitutes the first aspect of the invention is intended to be used in connection with a biometric database.
  • the latter is possibly built at the same time as the negative identity database, or before it. It stores groups of biometric data relating to individuals.
  • the biometric database 10 used stores groups of two biometric data, namely (bi, b t ), (b 2, b u ), ..., (b m , b v ), where b a designates a biometric datum relative to a corresponding individual a, a representing any integer.
  • the groups could include a number of biometric data greater than two. This number could also vary from one group to another. Some or all of the groups might even have only one biometric data (in this case there is a strong link between the two types of data).
  • the total number of biometric data stored in the biometric database 10 may or may not correspond to the total number of identity data to be covered by the identity database.
  • the biometric data bi, b 2 ,..., B m stored in the biometric database 10 can take any conceivable form. It can for example be images representing a biological attribute (fingerprint, iris, venous network, etc.). As a variant or in addition, it may be characteristics relating to a biological attribute (for example a type, position and orientation of minutiae in the case of fingerprints), or other. These biometric data can be acquired using a suitable biometric sensor.
  • biometric data relating to the same individual could be stored in the biometric database 10.
  • biometric data could relate to different types of biometrics.
  • a biometric data relating to a fingerprint and a biometric data relating to an iris could be used for the same individual.
  • the different biometric data relating to the same individual are stored in the same group of biometric data within the biometric database 10, so as not to allow to find too easily the identity of said individual by cross-checking. 'information.
  • at least some of the groups of biometric data stored in the biometric database 10 may comprise biometric data relating to the same individuals and / or to different individuals.
  • biometric data bi, b 2 ,..., B m are stored in the biometric database 10 in the form of digital, for example binary, vectors.
  • Each group of biometric data stored in the biometric database 10 can be identified with a respective pointer.
  • the groups (bi, bt), (b2, b u ), ..., (b m , b v ) are designated respectively by the pointers pi, p 2 , ..., p m -
  • These pointers point to each example to an entry in the biometric database 10 where the corresponding biometric data group is stored.
  • each pointer points to a line of the biometric database 10 where the corresponding biometric data group is stored.
  • Many other examples of pointers can be used, as will be apparent to those skilled in the art.
  • an association is made between each identity data obtained ii, 2 2, - - Jm and a pointer pi.P2,. . . , Pm denoting a group stored in the biometric database 10 which includes at least one biometric data relating to the individual corresponding.
  • an association is made between the identity data item h (relating to the individual 1) and the pointer p which points to the group (bi, b t ) stored in the biometric database 10 and which includes the bi biometric data (also relative to the individual 1).
  • an association is made between the identity data item i t and the same pointer pi which points to the group (bi, b t ), etc.
  • the association between an identity data item i a and a corresponding pointer p a comprises, or even consists of a concatenation of these two parameters, in any order.
  • This association can therefore be written i a
  • p may advantageously be used, although other representation is also possible.
  • the set of associations made for all individuals can be written h
  • the association between an identity data item i a and a corresponding pointer p a may include, or even consist of, any function f a of i a and p a , ie f a (i a , p a ), such as a sum, a product or the like.
  • the function f is in question could also vary between individuals has.
  • the function or functions used could be secret, that is to say, be known only to the person in charge of the construction of the identity database. This makes it a little more difficult for an indelicate person who, having access to the values fa a.Pa), would seek to deduce the identity data i a .
  • a negative identity database is constructed from the complementary set of all the associations made.
  • FIG. 4 schematically illustrates the notion of negative database with respect to bit vectors of length 4. These binary vectors are represented at the top of FIG. 4 in the form of a tree 9 whose upper branches correspond to the bits of weight the stronger and the lower branches correspond to the least significant bits.
  • a positive representation of the five binary vectors of said subset could possibly be stored in a positive database, such as the DB 7 base which appears at the bottom left of FIG. 4.
  • a corresponding negative NDB database can be constructed by designating complementary bit vectors of said subset, which correspond to leaves of the tree 9 not marked with a cross in FIG. 4.
  • the negative database NDB can list the complementary bit vectors of said subset one by one, in a representation similar to that of the DB (ie 0000, 0011, 0100, 0101, 0111, 1000, 1001, 1010, 1011, 1110 and 1111).
  • the representation of the bit vectors used in NDB may advantageously be a condensed representation, which limits the necessary storage space.
  • the adopted representation was obtained using a prefix type algorithm. This means that the data stored in the NDB 8 only show the prefixes (i.e., the most significant bits) of the bit vectors that are not part of said subset, the most significant bits of the subset. weaker being absent or replaced by a character, such as a star ( * ), which indicates that these bits can take the value 0 or 1.
  • Such a condensed representation mode is simple and can be easily obtained by a visual path of the shaft 9.
  • I denotes the length of the binary vectors of the subset considered (ie the length I binary vectors which would be stored in a positive database), by w i a prefix of length i and by W_i a set of vectors of length i (a part of the prefixes w_i).
  • W_ (i + 1): set of vectors of length i + 1 with a prefix of length i in W_i and which is not a prefix of a vector of the subset considered
  • W_i: the set of prefixes of length i of the considered subset
  • Such a method leads to a negative database of size of the order of (2 * N * I ⁇ 2) where N is the number of binary vectors of the subset considered (i.e. entries from a corresponding positive database).
  • the representation can be advantageously randomized to increase security, in particular from a non-deterministic version of the preceding algorithm.
  • any other method of constructing a negative database can be used, as a replacement for or in addition to a prefix type algorithm, as will be apparent to those skilled in the art.
  • the method of constructing a negative database based on the use of cryptographic hash function, as proposed in the article by George Danezis, Stephan Diaz, Sebastian Faust, Emilia Kaspper, Carmela Troncoso and Bart Preneel, "Efficient Negative Databases from Cryptography Hash Functions", in Proceedings of the 10th Information Security Conference (ISC 2007), LNCS, JA Garay (eds), Springer-Verlag, 12 pages, 2007.
  • finding the positive data from the additional data stored in a negative database is not a simple operation, especially if the number of data considered is substantial and / or if the representation of the complementary data is itself even made complex by condensation, randomization, or other. Positive data are thus a little better protected than if they were stored directly in a positive database.
  • the course of a negative database can be facilitated and made more natural compared to that of a positive database. Indeed, searching for the presence of data in a positive database requires comparing this data to each of the data stored, one by one. On the other hand, detecting the absence of this same datum in a negative database may require a smaller number of operations to obtain the same result. For example, when the negative database was built with a prefix type algorithm, it will be sufficient to check that the data in question does not have one of the prefixes appearing in the negative database.
  • the present invention takes advantage of these advantages of negative databases to enable particularly relevant biometric verification.
  • a negative database NDB 12 can be constructed from this complementary set.
  • the negative database NDB 12 may for example store this complementary set, alone or possibly accompanied by other data.
  • the form taken by the complementary set in the negative database NDB 12 may be arbitrary.
  • a condensed form as described above may be used. This condensed form can be obtained by applying a prefix type algorithm or any other conceivable algorithm.
  • a first obstacle to overcome for this purpose would be to rebuild a positive database to find associations between identity data and pointers, which is not necessarily simple as recalled above.
  • the computing power required to do this quickly becomes considerable when the number of enlisted individuals exceeds several hundreds, thousands or more.
  • a negative database as just described can be carried out using a system or device comprising appropriate units for this purpose.
  • This system or device may for example comprise an electronic and / or computer device comprising a data processing module and possibly associated with a biometric capture terminal.
  • a second aspect of the invention relates to the biometric verification of an individual, using a negative database constructed as described above.
  • the biometric verification comprises obtaining a biometric data item b 'relating to said individual.
  • This biometric data is advantageously of the same nature and / or the same format as the biometric data b 1; b 2 , ..., b m stored in the biometric database 10. Its obtaining may optionally include an acquisition using a suitable biometric sensor. It can if necessary be followed by a digitization of the acquired data, so as to put it in a desired digital form.
  • biometric data item obtained corresponds to a biometric data item stored in the biometric database 10, either exactly or within a few acceptable differences.
  • This verification may for example result from a comparison of the biometric data item b 'with all or part of the biometric data stored in the biometric database 10 (step 13).
  • biometric data b Assuming that the biometric data b 'corresponds to the bj biometric data stored in the biometric database 10, then one can determine the group to which the biometric data b j belongs. The corresponding pointer p j can also be found.
  • the biometric verification can similarly include obtaining several biometric data b 'to be compared. all or part of the biometric data stored in the biometric database 10, to find the corresponding pointer.
  • the pointer in question could for example be one that designates the group stored in the biometric database 10 which includes biometric data corresponding to each of the biometric data relating to the individual who is the subject of the biometric verification. .
  • the biometric verification furthermore comprises obtaining an identity datum i 'relating to the individual in question.
  • This obtaining can use the same means as during the construction of the identity database. It can for example be obtained after the individual has declined his identity and / or by viewing an official document (identity card, passport, driver's license, etc.), or other.
  • the identity data item i ' is advantageously of the same nature and / or of the same format as the identity data h, i 2 ,..., I m obtained beforehand.
  • association is then made between the identity data item i 'and the pointer P j found.
  • This association is advantageously of the same nature and / or of the same format as those which were carried out as part of the construction of the identity database.
  • an association may for example consist of the concatenation i '
  • pj in the NDB 12 can be interpreted as the fact that the individual considered corresponds to an enlisted individual whose biometric data b 'and identity data i' are coherent. This is a successful authentication case.
  • the situation described above corresponds to an authentication case.
  • the negative identity database NDB 12 could be used for identification purposes.
  • a case of particularly interesting application of this The invention relates to the issue of an identity document.
  • Such an identity document is then issued to an individual only when the biometry and the identity of the latter correspond to those of an enrolled individual, in accordance with the operations described above.
  • an indelicate person is prevented from impersonating an existing identity in order to obtain an identity card.
  • step 13 In the case where the comparison made in step 13 does not make it possible to find, in the biometric database 10, a biometric data item which corresponds sufficiently to b ', it can be directly concluded that the individual considered does not correspond to a enlisted individual. You can perform a combination of the ID given ⁇ with all or part of the pointers p has to try to find a combination that would be absent from the negative identity database NDB 12. This case may for example correspond to the omission of the storage of the relevant biometric data in the biometric database 10, or a corrupt or erroneous storage of this biometric data, or other.
  • biometric verification as just described can be performed using a system or device comprising appropriate units for this purpose.
  • This system or device may for example comprise an electronic and / or computer device comprising a data processing module and possibly associated with a biometric capture terminal.
  • biometric verification operations mentioned above can be implemented using a computer program including appropriate instructions, when loaded and executed on computer means.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Spectroscopy & Molecular Physics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Biotechnology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Databases & Information Systems (AREA)
  • Biophysics (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Collating Specific Patterns (AREA)

Abstract

Procédé de construction d'une base de données d'identité négative relative à des individus à des fins de vérification biométrique en relation avec une base de données biométrique (10) stockant des groupes de données biométriques (b1, b2,..., bm) relatives auxdits individus. Le procédé comprend : l'obtention d'une donnée d'identité (i1,i2, - · ·,im) respective relativement à chacun desdits individus; la réalisation d'une association entre chaque donnée d'identité obtenue relativement à un individu respectif et un pointeur (p1,p2,...,pm) désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique relative audit individu respectif; et la construction d'une base de données d'identité négative (12) à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.

Description

PROCEDES, SYSTEMES ET DISPOSITIFS DE VERIFICATION
BIOMETRIQUE
La présente invention concerne la vérification biométrique.
La vérification biométrique s'entend traditionnellement de l'authentification ou de l'identification d'individus, humains ou animaux, à partir de données biométriques, relatives à des caractéristiques d'un ou plusieurs attributs biologiques de ces individus, comme les minuties d'empreintes digitales, une forme générale de doigts de la main, les veines d'une main ou d'un doigt, des caractéristiques de la voix, des caractéristiques de l'iris de l'œil, etc.
Une telle vérification biométrique utilise conventionnellement une base de données stockant des données biométriques relatives à des individus ayant préalablement fait l'objet d'une phase d'inscription dite "enrôlement" pour se voir délivrer, lors d'une vérification biométrique, un droit quelconque (délivrance d'un permis de conduire, d'un titre de transport, d'une indemnisation, autorisation d'accès à un local, etc.).
Un exemple très simple de vérification biométrique est illustré sur la figure 1 , où l'on distingue une base de données 1 stockant un ensemble de données biométriques bi , b2,..., bN relatives à des individus enrôlés.
Ces données biométriques bi, b2, . . . , bN sont par exemple des images représentant tel ou tel attribut biologique d'individus respectifs (par exemple des images d'empreintes digitales, d'iris, etc.), des caractéristiques relatives à un attribut biologique (par exemple un type, une position et une orientation de minuties dans le cas d'empreintes digitales), ou autre.
Avantageusement, une représentation numérique des données biométriques peut être utilisée, de façon à en simplifier la manipulation et à rendre ces données intégrables dans un algorithme cryptographique.
A titre d'exemple non limitatif, les données biométriques bi , b2, . . . , bN stockées dans la base de données 1 peuvent consister chacune en un vecteur numérique, par exemple binaire. De nombreuses façons d'obtenir un vecteur numérique à partir d'informations biométriques sont connues. Dans l'exemple de la figure 1 , la vérification biométrique se passe de la manière suivante relativement à un individu donné. On obtient une donnée biométrique b', par exemple dans sa représentation sous forme de vecteur numérique, de l'individu considéré. Cette donnée b' est comparée à tout ou partie des données bi , b2, .. ., b stockées dans la base de données 1 (référence 2).
En cas de concordance ou de proximité suffisante, on peut en déduire que l'individu considéré correspond à un individu enrôlé (cas d'une identification) ou à l'individu enrôlé qu'il prétend être (cas d'une authentification). Ce résultat est noté R sur la figure 1.
La base de données biométrique 1 est parfois reliée à une base de données d'identité d'individus (par exemple sous forme alphanumérique). C'est notamment le cas, dans un scénario d'authentification, pour conclure qu'un individu est ou non l'individu enrôlé qu'il prétend être.
Un lien univoque (c'est-à-dire 1 pour 1 ) entre données biométriques et données d'identité stockées dans ces bases de données pourrait permettre au propriétaire de ces bases de connaître trop facilement la correspondance entre les deux types de données. Ceci peut constituer un problème lorsque ledit propriétaire n'est pas une personne de confiance, ou lorsque des contraintes, par exemple d'ordre législatif, interdisent cette situation. En outre, toute personne indélicate, autre que le propriétaire des bases de données, parvenant à accéder auxdites bases de données pourrait se servir de la correspondance entre les deux types de données pour usurper l'identité d'individus enrôlés.
Il est possible de protéger les données biométriques et/ou d'identité à l'aide d'un algorithme cryptographique, de façon à compliquer la tâche d'une telle personne indélicate. Mais, outre le fait de complexifier la vérification biométrique, cela ne protège pas les données contre le propriétaire des bases de données, car c'est généralement lui qui maîtrise l'algorithme cryptographique et en détient les clés.
II a également été proposé d'utiliser un "lien faible" entre une base de données biométrique 1 et une base de données d'identité. Un tel lien faible ne permet pas d'établir une correspondance univoque entre données biométriques et données d'identité. Mais il autorise tout de même une vérification biométrique avec un niveau de succès acceptable. La mise en place de cette technique de lien faible est cependant relativement complexe.
Un exemple schématique en est donné en référence à la figure 2. La base de données biométrique 3 stocke des groupes de plusieurs données biométriques. Dans l'exemple illustré, ces groupes sont constitués de deux éléments, bien qu'un plus grand nombre d'éléments soit tout-à-fait envisageable. De la même façon, la base de données d'identité 4 stocke des groupes de plusieurs données d'identité, en l'occurrence deux dans l'exemple de la figure 2. Le nombre de groupes et/ou d'éléments par groupe peut éventuellement différer entre la base de données biométrique 3 et la base de données d'identité 4.
Le lien I entre les deux bases de données 3 et 4 fait correspondre à chaque groupe de données biométriques, par exemple (bi.bt), un groupe respectif de données d'identité, par exemple (ii,it).
Une personne ayant accès aux bases de données 3 et 4, y compris leur propriétaire, ne peut pas retrouver, avec certitude et sans investigation supplémentaire, la correspondance entre une donnée biométrique et une donnée d'identité (mais seulement entre deux groupes).
Une vérification biométrique reste néanmoins possible. Ainsi, comme illustré sur la figure 2, si un individu avec une biométrie b' et une identité i' se présente pour une authentification par exemple, on vérifie la présence de b' dans la base de données biométrique 3 (étape 5), puis on retrouve le groupe de données d'identité (i«,ip) correspondant au groupe de données biométriques auquel b' appartient selon le lien faible I. Un résultat R peut alors être déduit d'une comparaison entre i' et les éléments du groupe (ΐα,ίβ)· Si i' correspond à une des données d'identité i« ou ϊβ, on peut par exemple conclure que l'individu est bien celui qu'il prétend être.
Le recours à un tel lien faible améliore donc la situation. Mais le problème redevient entier lorsque plusieurs bases de données biométrique et/ou d'identité sont utilisées en relation avec de mêmes individus, par exemple dans le cadre de plusieurs applications indépendantes. Dans ce cas en effet, une intersection entre les groupes de données biométriques et/ou d'identité peut permettre de retrouver une correspondance entre certaines données biométriques et des données d'identité respectives.
Un but de la présente invention est de limiter une partie au moins des inconvénients des techniques antérieures décrites ci-dessus.
L'invention propose ainsi un procédé de construction d'une base de données d'identité négative relative à des individus à des fins de vérification biométrique en relation avec une base de données biométrique stockant des groupes de données biométriques relatives auxdits individus. Le procédé comprend les étapes suivantes :
- obtenir une donnée d'identité respective relativement à chacun desdits individus ;
- réaliser une association entre chaque donnée d'identité obtenue relativement à un individu respectif et un pointeur désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique relative audit individu respectif ; et
- construire une base de données d'identité négative à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.
La génération d'une telle base de données négative permet un certain niveau de protection des données d'identité et de leur lien avec des données biométriques stockées dans la base de données biométrique.
Si les groupes de données biométriques stockées dans la base de données biométrique comprennent chacun plusieurs éléments, on bénéficie en plus d'une protection du type "lien faible" tel que mentionné plus haut. Pour autant, la protection des données d'identité conférée par la présente invention peut résister notamment à l'intersection de plusieurs bases de données qui seraient utilisées relativement à de mêmes individus, par exemple dans le cadre de plusieurs applications indépendantes.
En variante, la protection apportée intrinsèquement par l'usage d'une base de données négative peut permettre d'utiliser des groupes de données biométriques ne comportant qu'un seul élément. Selon des modes de réalisation avantageux qui peuvent être combinés de toutes les manières envisageables :
- ladite association réalisée comprend une concaténation entre chaque donnée d'identité et le pointeur correspondant. Une telle association est particulièrement simple. Son obtention et son stockage sont peu consommateurs en capacité de calcul et de mémorisation ;
- ladite association réalisée consiste en une fonction secrète entre chaque donnée d'identité et le pointeur correspondant. On complique ainsi un peu plus l'identification de chacune de ces informations pour une personne ayant accès au contenu de la base de données d'identité négative ;
- la base de données d'identité négative est construite pour stocker ledit ensemble complémentaire sous une forme condensée. On complique ainsi un peu plus la tâche d'une personne ayant accès au contenu de la base de données d'identité négative ;
- la forme condensée dudit ensemble complémentaire est obtenue par application d'un algorithme de type préfixe ; et/ou
- la base de données d'identité négative est construite pour stocker ledit ensemble complémentaire sous une forme randomisée On complique ainsi un peu plus la tâche d'une personne ayant accès au contenu de la base de données d'identité négative pour retrouver des données d'identité et leur lien avec des données biométriques correspondantes.
L'invention propose aussi un système ou dispositif pour la construction d'une base de données d'identité relative à des individus à des fins de vérification biométrique en relation avec une base de données biométrique stockant des groupes de données biométriques relatives auxdits individus. Le système ou dispositif est apte à obtenir une donnée d'identité respective relativement à chacun desdits individus et comprend :
- une unité pour réaliser une association entre chaque donnée d'identité obtenue relativement à un individu respectif et un pointeur désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique relative audit individu respectif ;
- une unité de construction d'une base de données d'identité négative à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.
Ces unités peuvent être de toute forme envisageable, e.g. électronique et/ou informatique.
L'invention propose encore un procédé de vérification biométrique relativement à un individu, utilisant une base de données d'identité négative construite comme mentionné plus haut en relation avec une base de données biométrique stockant des groupes de données biométriques. Ce procédé de vérification biométrique comprend les étapes suivantes :
- obtenir une donnée biométrique relative audit individu ;
- retrouver un pointeur désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique correspondant à la donnée biométrique relative audit individu ;
- obtenir une donnée d'identité relative audit individu ;
- réaliser une association entre la donnée d'identité relative audit individu et ledit pointeur ;
- vérifier la présence ou l'absence de ladite association dans la base de données d'identité négative.
Avantageusement, la vérification biométrique comprend en outre la génération d'une conclusion en fonction d'un résultat de ladite vérification. Cette conclusion peut être générée dans un cas d'authentification et/ou d'identification.
L'invention propose également un système ou dispositif pour la mise en œuvre d'une vérification biométrique relativement à un individu telle que mentionnée ci-dessus. Ce système ou dispositif est apte à obtenir une donnée d'identité relative audit individu et comprend :
- une unité d'obtention d'une donnée biométrique relative audit individu ; - une unité pour retrouver un pointeur désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique correspondant à la donnée biométrique relative audit individu ;
- une unité pour réaliser une association entre la donnée d'identité relative audit individu et ledit pointeur ;
- une unité de vérification de la présence ou de l'absence de ladite association dans la base de données d'identité négative.
Ces unités peuvent être de toute forme envisageable, e.g. électronique et/ou informatique.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels :
- la figure 1 , déjà commentée, est un schéma illustrant un exemple simple de vérification biométrique selon l'art antérieur ;
- la figure 2, déjà commentée, est un schéma illustrant un autre exemple simple de vérification biométrique selon l'art antérieur ;
- la figure 3 est un schéma illustrant une construction de base de données d'identité négative et une vérification biométrique selon un exemple non- limitatif de réalisation de l'invention ;
- la figure 4 est un schéma illustrant la notion de base de données négative.
Selon un premier aspect de l'invention, on construit une base de données d'identité relative à des individus à des fins de vérification biométrique. Cette construction peut être faite une fois pour toute, après enrôlement de tous les individus concernés, ou bien au fur et à mesure que de nouveaux individus font l'objet d'un enrôlement.
A cet effet, on obtient une donnée d'identité respective relativement à chaque individu. La donnée d'identité relative à l'individu a est notée ia par la suite, a représentant un entier quelconque. La donnée d'identité peut être obtenue après que l'individu concerné a décliné son identité. Elle peut aussi être obtenue par consultation d'un document officiel (carte d'identité, passeport, permis de conduire, etc.), ou autre. La donnée d'identité obtenue peut prendre n'importe quelle forme envisageable. Elle peut par exemple consister en une concaténation d'informations relatives audit individu, telles que son nom, son prénom, sa date de naissance, son numéro de sécurité sociale et/ou autre. Elle est avantageusement unique pour un individu donné, de façon à éviter toute ambiguïté. Son format peut par exemple être alphanumérique. Un format entièrement numérique est également possible. A titre d'exemple, la donnée d'identité peut résulter d'une binarisation d'informations d'identité, de manière à présenter un format binaire (série de Ό' et de Ύ).
La base de données d'identité négative dont la construction constitue le premier aspect de l'invention est destinée à être utilisée en relation avec une base de données biométrique. Cette dernière est éventuellement construite en même temps que la base de données d'identité négative, ou bien avant celle- ci. Elle stocke des groupes de données biométriques relatives à des individus.
Dans l'exemple de la figure 3, la base de données biométrique 10 utilisée stocke des groupes de deux données biométriques, à savoir (bi,bt), (b2,bu),...,(bm,bv), où ba désigne une donnée biométrique relative à un individu a correspondant, a représentant un entier quelconque. On notera que les groupes pourraient comprendre un nombre de données biométriques supérieur à deux. Ce nombre pourrait d'ailleurs varier d'un groupe à un autre. Tout ou partie des groupes pourraient même ne comprendre qu'une seule donnée biométrique (on a dans ce cas un lien fort entre les deux types de données). On notera également que le nombre total de données biométriques stockées dans la base de données biométrique 10 peut correspondre ou non au nombre total de données d'identité destinées à être couvertes par la base de données d'identité.
Les données biométriques bi , b2,..., bm stockées dans la base de données biométrique 10 peuvent prendre toute forme envisageable. Il peut par exemple s'agir d'images représentant un attribut biologique (empreinte digitale, iris, réseau veineux, etc.). En variante ou en complément, il peut s'agir de caractéristiques relatives à un attribut biologique (par exemple un type, une position et une orientation de minuties dans le cas d'empreintes digitales), ou autre. Ces données biométriques peuvent être acquises à l'aide d'un capteur biométrique approprié.
Dans un cas de figure avantageux, plusieurs données biométriques relatives à un même individu pourraient être stockées dans la base de données biométrique 10. Ces données biométriques pourraient se rapporter à des types de biométrie différents. A titre d'exemple non limitatif, une donnée biométrique relative à une empreinte digitale et une donnée biométrique relative à un iris pourraient être utilisées pour un même individu. Dans ce cas, les différentes données biométriques relatives à un même individu sont stockées dans un même groupe de données biométriques au sein de la base de données biométrique 10, de façon à ne pas permettre de retrouver trop facilement l'identité dudit individu par recoupement d'information. Autrement dit, certains au moins des groupes de données biométriques stockés dans la base de données biométrique 10 peuvent comprendre des données biométriques relatives à de mêmes individus et/ou à des individus différents.
De façon avantageuse, les données biométriques bi, b2,..., bm sont stockées dans la base de données biométrique 10 sous la forme de vecteurs numériques, par exemple binaires.
Chaque groupe de données biométriques stocké dans la base de données biométrique 10 peut être identifié à l'aide d'un pointeur respectif. Ainsi, les groupes (bi,bt),(b2,bu),...,(bm,bv) sont désignés respectivement par les pointeurs pi,p2,...,pm- Ces pointeurs pointent par exemple chacun vers une entrée de la base de données biométrique 10 où le groupe de données biométriques correspondant est stocké. Dans l'exemple non limitatif illustré sur la figure 3, chaque pointeur pointe vers une ligne de la base de données biométrique 10 où le groupe de données biométriques correspondant est stocké. Bien d'autres exemples de pointeurs peuvent être utilisés, comme cela apparaîtra à l'homme du métier.
Pour construire la base de données d'identité, on réalise une association entre chaque donnée d'identité obtenue ii ,Î2, - - Jm et un pointeur pi.P2, . . . ,Pm désignant un groupe stocké dans la base de données biométrique 10 qui inclut au moins une donnée biométrique relative à l'individu correspondant. A titre d'exemple, une association est réalisée entre la donnée d'identité h (relative à l'individu 1) et le pointeur p qui pointe vers le groupe (bi,bt) stocké dans la base de données biométrique 10 et qui inclut la donnée biométrique bi (également relative à l'individu 1 ). De même, une association est réalisée entre la donnée d'identité it et le même pointeur pi qui pointe vers le groupe (bi,bt), etc.
On notera que, bien que l'exemple de la figure 2 présente un même nombre m de données biométriques et de données d'identité, il pourrait en être différemment. Ce serait par exemple le cas si des leurres sont utilisés en tant que données biométriques et/ou données d'identité, de manière à rendre plus difficile la détection de correspondances entre données biométriques et données d'identité.
Dans un mode de réalisation avantageux, l'association entre une donnée d'identité ia et un pointeur pa correspondant comprend, voire consiste en une concaténation de ces deux paramètres, dans un ordre quelconque. Cette association peut donc s'écrire ia || pa , où le symbole || désigne une concaténation (c'est-à-dire une mise bout à bout des champs qu'il sépare). Une représentation numérique, par exemple binaire, de ia || pa peut avantageusement être utilisée, bien que toute autre représentation soit également envisageable. Comme illustré sur l'exemple de la figure 2, l'ensemble des associations réalisées pour l'ensemble des individus peut donc s'écrire h || pi, it || pi, i2 1| p2, iu II Ρ2, · - - , im || pm, iv II pm.
En variante ou en complément, l'association entre une donnée d'identité ia et un pointeur pa correspondant pourrait comprendre, voire consister en n'importe quelle fonction fa de ia et de pa, soit fa(ia,pa), telle qu'une somme, un produit ou autre. La fonction fa en question pourrait d'ailleurs varier selon les individus a. Avantageusement, la ou les fonctions utilisées pourraient être secrètes, c'est-à-dire n'être connues que du responsable de la construction de la base de données d'identité. Ceci permet de rendre un peu plus difficile la tâche d'une personne indélicate qui, ayant accès aux valeurs fa a.Pa), chercheraient à en déduire les données d'identité ia.
Plutôt que de construire une base de données d'identité positive regroupant l'ensemble des associations réalisées, comme la base de données 11 de la figure 2, on construit une base de données d'identité négative à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.
La notion de base de données négative et des méthodes de construction d'une telle base de données sont connues, bien que dans des domaines techniques sans rapport avec la vérification biométrique. On peut par exemple citer l'article de Fernando Esponda, Elena S. Ackley, Stéphanie Forrest et Paul Helman de Septembre 2004, "On-line Négative Databases". Third International Conférence on Artificial Immune Systems (ICARIS 2004) Proceedings, pp.175-188, ou encore l'article de Fernando Esponda intitulé "Everything That's Not Important", IEEE Computational Intelligence 3:2 (mai 2008).
La figure 4 illustre schématiquement la notion de base de données négative relativement à des vecteurs binaires de longueur 4. Ces vecteurs binaires sont représentés en haut de la figure 4 sous la forme d'un arbre 9 dont les branches supérieures correspondent aux bits de poids le plus fort et les branches inférieures correspondent aux bits de poids le plus faible.
Parmi l'ensemble des vecteurs binaires possibles, on considère le sous-ensemble consistant dans les cinq vecteurs binaires suivants : 0001 , 0010, 0110, 1100 et 1101. Les feuilles de l'arbre 9 correspondant à ces cinq vecteurs binaires sont marquées par des croix.
Une représentation positive des cinq vecteurs binaires dudit sous- ensemble pourrait éventuellement être stockée dans une base de données positive, telle que la base DB 7 qui apparaît en bas à gauche de la figure 4.
Une base de données négative NDB correspondante peut être construite en désignant les vecteurs binaires complémentaires dudit sous- ensemble, lesquels correspondent aux feuilles de l'arbre 9 non marquées d'une croix sur la figure 4.
La base de données négative NDB peut lister les vecteurs binaires complémentaires dudit sous-ensemble un à un, dans une représentation similaire à celle de la DB (i.e. 0000, 0011 , 0100, 0101 , 0111 , 1000, 1001 , 1010, 1011 , 1110 et 1111). En variante, la représentation des vecteurs binaires utilisée dans NDB peut avantageusement être une représentation condensée, ce qui limite l'espace de stockage nécessaire.
Dans la NDB 8 illustrée en bas à droite de la figure 4, la représentation adoptée a été obtenue à l'aide d'un algorithme de type préfixe. Cela signifie que les données stockées dans la NDB 8 ne font apparaître que les préfixes (c'est-à-dire les bits de poids les plus forts) des vecteurs binaires qui ne font pas partie dudit sous-ensemble, les bits de poids les plus faibles étant absents ou bien remplacés par un caractère, comme une étoile (*), qui indique que ces bits peuvent prendre la valeur 0 ou 1.
Un tel mode de représentation condensé est simple et peut être obtenu facilement par un parcours visuel de l'arbre 9.
Une méthode de construction d'une base de données négative à l'aide d'un algorithme préfixe a été formalisée par Esponda, Stéphanie Forrest et Paul Helman dans l'article "Enhancing Privacy through Négative Représentations of Data", UNM Computer Science Technical Report TR-CS- 2004-18, de mars 2004.
Selon cette méthode, on désigne par I la longueur des vecteurs binaires du sous-ensemble considéré (c'est-à-dire les vecteurs binaires de longueur I qui seraient stockées dans une base de données positive), par w_i un préfixe de longueur i et par W_i un ensemble de vecteurs de longueur i (une partie des préfixes w_i).
Les étapes mises en œuvre par cette méthode sont les suivantes :
1. i := 0
2. W_i := {} (l'ensemble vide)
3. W_(i+1) := ensemble des vecteurs de longueur i+1 avec un préfixe de longueur i dans W_i et qui n'est pas un préfixe d'un vecteur du sous- ensemble considéré
4. pour tout x dans W_{i+1}
5. créer un vecteur y avec préfixe x et des étoiles (*) pour compléter en un vecteur de longueur I (une étoile représente une position qui peut prendre la valeur 0 ou la valeur 1)
6. ajouter le champ à la base de données négative
7. i := i + 1
8. W_i := l'ensemble des préfixes de longueur i du sous-ensemble considéré
9. Retour à l'étape 3 tant que kl.
Une telle méthode conduit à une base de données négative de taille de l'ordre de (2*N*I Λ2) où N est le nombre de vecteurs binaires du sous-ensemble considéré (c'est-à-dire le nombre d'entrées d'une base de données positive correspondante).
On peut en outre avantageusement rendre aléatoire ("randomiser") la représentation pour augmenter la sécurité, en particulier à partir d'une version non déterministe de l'algorithme précédent. A cet effet, on peut par exemple utiliser une permutation aléatoire pour faire apparaître des étoiles au début ou au milieu des vecteurs, remplacer aléatoirement certaines étoiles par les valeurs associées 0,1 , ou autre.
Un exemple d'algorithme permettant de randomiser la représentation de la base de données négative est exposé dans l'article "Enhancing Privacy through Négative Représentations of Data", UNM Computer Science Technical Report TR-CS-2004-18, mars 2004, de Fernando Esponda, Stéphanie Forrest, et Paul Helman.
D'autres algorithmes de randomisation créant une base de données négative qui correspond à une représentation approximative du complémentaire d'une base de données positive peuvent bien sûr être utilisés, comme cela apparaîtra à l'homme du métier.
Par ailleurs, dans le cadre de la présente invention, toute autre méthode de construction d'une base de données négative peut être utilisée, en remplacement ou en complément d'un algorithme de type préfixe, comme cela apparaîtra à l'homme du métier. On peut par exemple citer la méthode de construction d'une base de données négative basée sur l'utilisation de fonction de hachage cryptographique, telle que proposée dans l'article de George Danezis, Claudia Diaz, Sébastian Faust, Emilia Kàsper, Carmela Troncoso et Bart Preneel, "Efficient Négative Databases from Cryptographie Hash Functions", in Proceedings of the 10th Information Security Conférence (ISC 2007), LNCS, J. A. Garay (éd.), Springer-Verlag, 12 pages, 2007. On peut encore citer l'article de Fernando Esponda, Elena S. Ackley, Paul Helman, Haixia Jia et Stéphanie Forrest, "Protecting Data Privacy through Hard-to-Reverse Négative Databases", International Journal of Information Security (IJIS), Volume 6, Number 6, pp.403-415, Octobre 2007.
Si l'on est en présence de données non binaires, la construction d'une base de données négative pourra également tenir compte de ce fait.
L'usage d'une base de données négative présente plusieurs avantages, par rapport à celui d'une base de données positive classique.
Tout d'abord, retrouver les données positives à partir des données complémentaires stockées dans une base de données négative n'est pas une opération simple, surtout si le nombre de données considérées est conséquent et/ou si la représentation des données complémentaires est elle-même rendue complexe par une condensation, une randomisation, ou autre. Les données positives sont ainsi un peu mieux protégées que si elles étaient stockées directement dans une base de données positive.
De plus, le parcours d'une base de données négative peut être facilité et rendu plus naturel par rapport à celui d'une base de données positive. En effet, rechercher la présence d'une donnée dans une base de données positive nécessite de comparer cette donnée à chacune des données stockées, une à une. En revanche, détecter l'absence de cette même donnée dans une base de données négative peut nécessiter un nombre d'opérations plus faible pour obtenir le même résultat. Par exemple, lorsque la base de données négative a été construite avec un algorithme de type préfixe, il suffira de vérifier que la donnée en question ne possède pas un des préfixes apparaissant dans la base de données négative. La présente invention tire profit de ces avantages des bases de données négatives pour permettre une vérification biométrique particulièrement pertinente.
Ainsi en référence à l'exemple de la figure 3, on peut déterminer l'ensemble complémentaire (le complément) de l'ensemble des associations réalisées telles que décrites plus haut, par exemple || pi, it || Pi, II P2, iu II p2..- -, im II Pm, iv || Pm- Et une base de données négative NDB 12 peut être construite à partir de cet ensemble complémentaire. La base de données négative NDB 12 peut par exemple stocker cet ensemble complémentaire, seul ou éventuellement accompagné d'autres données.
La forme prise par l'ensemble complémentaire dans la base de données négative NDB 12 peut être quelconque. Avantageusement, une forme condensée telle que décrite plus haut pourra être utilisée. Cette forme condensée peut être obtenue par application d'un algorithme de type préfixe ou tout autre algorithme envisageable.
En variante ou en complément, une randomisation de la représentation des données complémentaires telle que mentionnée plus haut pourra éventuellement être mise en œuvre.
Etant donnée la nature des données stockées dans la base de données négative NDB 12 et leur mode de représentation, on comprendra qu'une personne indélicate ayant accès au contenu de cette base de données ne pourra pas que difficilement en déduire de l'information pertinente sur les individus enrôlés.
En effet, un premier obstacle à franchir pour ce faire serait de reconstruire une base de données positive pour retrouver les associations entre données d'identité et pointeurs, ce qui n'est pas nécessairement simple comme rappelé plus haut. La puissance de calcul requise pour ce faire devient vite considérable lorsque le nombre d'individus enrôlés dépasse plusieurs centaines, plusieurs milliers, voire plus.
Et même si la personne indélicate y parvenait, il lui serait encore difficile de retrouver le lien entre une donnée biométrique stockée dans la base de données biométrique 10 et une donnée d'identité correspondante, sans connaître au préalable la fonction ayant permis l'association entre la donnée d'identité ia et le pointeur pa, ainsi que l'information pointée par le pointeur pa au sein de la base de données biométrique 10. Cette difficulté est encore accrue lorsque l'information désignée par le pointeur pa ne consiste pas en une donnée biométrique unique (comme c'est le cas dans l'exemple de la figure 2).
Certaines de ces difficultés s'appliquent également, dans une certaine mesure, au propriétaire des bases de données lui-même.
Du fait de cette protection, il n'est pas nécessaire d'utiliser un algorithme cryptographique qui de toute façon était sans efficacité vis-à-vis du propriétaire des bases de données. On évite ainsi de complexifier les opérations mises en œuvre pour la vérification biométrique. Le recours supplémentaire à un algorithme cryptographique n'est cependant pas exclu.
De plus, si plusieurs bases de données d'identité négatives sont utilisées en relation avec de mêmes individus, par exemple dans le cadre de plusieurs applications indépendantes, une intersection entre ces bases de données ne permet pas de retrouver des données d'identité et leur lien avec des données biométriques correspondantes. Le retour à des données d'identité positives pour réaliser une intersection nécessiterait à nouveau une puissance de calcul trop importante et ne permettrait même pas nécessairement d'aboutir à un quelconque résultat.
La construction d'une base de données négative telle qu'elle vient d'être décrite peut être réalisée à l'aide d'un système ou d'un dispositif comprenant des unités appropriées à cet effet. Ce système ou dispositif peut par exemple comprendre un dispositif électronique et/ou informatique comprenant un module de traitement de données et éventuellement associé à un terminal de capture biométrique.
Tout ou partie des opérations mentionnées plus haut peuvent être mises en œuvre à l'aide d'un programme d'ordinateur comprenant des instructions appropriées, lorsqu'il est chargé et exécuté sur des moyens informatiques.
Un deuxième aspect de l'invention concerne la vérification biométrique d'un individu, en utilisant une base de données négative construite comme décrit plus haut.
La vérification biométrique comprend l'obtention d'une donnée biométrique b' relative audit individu. Cette donnée biométrique est avantageusement de même nature et/ou de même format que les données biométriques b1 ; b2,..., bm stockées dans la base de données biométrique 10. Son obtention peut éventuellement comprendre une acquisition à l'aide d'un capteur biométrique approprié. Elle peut le cas échéant être suivie par une numérisation de la donnée acquise, de manière à la mettre sous une forme numérique souhaitée.
II peut être vérifié si la donnée biométrique b' obtenue correspond à une donnée biométrique stockée dans la base de données biométrique 10, soit de façon exacte soit à quelques différences acceptables près. Cette vérification peut par exemple résulter d'une comparaison de la donnée biométrique b' avec tout ou partie des données biométriques stockées dans la base de données biométrique 10 (étape 13).
En supposant que la donnée biométrique b' correspond à la donnée biométrique bj stockée dans la base de données biométrique 10, on peut alors déterminer le groupe auquel la donnée biométrique bj appartient. Le pointeur pj correspondant peut également être retrouvé.
Lorsque la base de données biométrique 10 stocke plusieurs données biométriques relatives à de mêmes individus (au sein d'un même groupe pour un individu donné), la vérification biométrique peut de la même façon comprendre l'obtention de plusieurs données biométriques b' à comparer à tout ou partie des données biométriques stockées dans la base de données biométrique 10, pour retrouver le pointeur correspondant. Dans ce cas, le pointeur en question pourrait par exemple être celui qui désigne le groupe stocké dans la base de données biométrique 10 qui inclut des données biométriques correspondant à chacune des données biométriques relatives à l'individu qui fait l'objet de la vérification biométrique.
La vérification biométrique comprend en outre l'obtention d'une donnée d'identité i' relative à l'individu considéré. Cette obtention peut utiliser les mêmes moyens que lors de la construction de la base de données d'identité. Elle peut par exemple être obtenue après que l'individu considéré a décliné son identité et/ou par consultation d'un document officiel (carte d'identité, passeport, permis de conduire, etc.), ou autre. La donnée d'identité i' est avantageusement de même nature et/ou de même format que les données d'identité h, i2,..., im obtenues au préalable.
Une association est ensuite réalisée entre la donnée d'identité i' et le pointeur Pj retrouvé. Cette association est avantageusement de même nature et/ou de même format que celles qui ont été réalisées dans le cadre de la construction de la base de données d'identité. Ainsi, une telle association peut par exemple consister en la concaténation i' || pj.
Puis on vérifie si l'association i' || Pj ainsi réalisée est présente dans la base de données d'identité négative NDB 12. En variante, on vérifie l'absence de i' H Pj dans la NDB 12, comme illustré à l'étape 14 de la figure 3. Une conclusion R peut être déduite de cette vérification.
Du fait de la nature négative de la base de données d'identité, l'absence de l'association i' || pj dans la NDB 12 peut être interprétée comme le fait que l'individu considéré correspond bien à un individu enrôlé dont la donnée biométrique b' et la donnée d'identité i' sont en cohérence. Il s'agit d'un cas d'authentification réussi.
En cas de présence de l'association i' || pj dans la NDB 12, une conclusion R pouvant être tirée serait que la donnée d'identité i' n'est pas cohérente avec la donnée biométrique b'. On peut donc douter que l'individu considéré corresponde à l'individu enrôlé qu'il prétend être. La vérification biométrique peut alors être considérée comme ayant échoué. En variante, une ou plusieurs vérifications supplémentaires pourraient être mises en œuvre pour affiner le résultat de la vérification biométrique. A titre d'exemple, une nouvelle acquisition biométrique et/ou le recours à d'autres informations d'identité pourraient être utilisés en remplacement ou en complément de b' et/ou i'.
On notera que la situation décrite ci-dessus correspond à un cas d'authentification. En variante ou en complément, la base de données d'identité négative NDB 12 pourrait être utilisée à des fins d'identification d'individus.
Un cas d'application particulièrement intéressant de la présente invention concerne la délivrance d'un titre d'identité. Un tel titre d'identité n'est alors délivré à un individu que lorsque la biométrie et l'identité de ce dernier correspondent à celles d'un individu enrôlé, conformément aux opérations décrites ci-dessus. En protégeant les identités grâce notamment à l'usage d'une base de données négative, on empêche une personne indélicate d'usurper une identité existante en vue de se faire délivrer abusivement un titre d'identité.
Dans le cas où la comparaison effectuée à l'étape 13 ne permet pas de trouver, dans la base de données biométrique 10, une donnée biométrique qui corresponde suffisamment à b', on peut conclure directement que l'individu considéré ne correspond pas à un individu enrôlé. On peut également réaliser une association de la donnée d'identité Γ avec tout ou partie des pointeurs pa, pour tenter de trouver une association qui serait absente de la base de données d'identité négative NDB 12. Ce cas peut par exemple correspondre à l'omission du stockage de la donnée biométrique pertinente dans la base de données biométrique 10, ou bien à un stockage corrompu ou erroné de cette donnée biométrique, ou autre.
D'autres types d'utilisation de la base de données d'identité négative NDB 12 en relation avec la base de données biométrique 10 peuvent également être envisagés, comme cela apparaîtra à l'homme du métier.
La vérification biométrique telle qu'elle vient d'être décrite peut être réalisée à l'aide d'un système ou d'un dispositif comprenant des unités appropriées à cet effet. Ce système ou dispositif peut par exemple comprendre un dispositif électronique et/ou informatique comprenant un module de traitement de données et éventuellement associé à un terminal de capture biométrique.
Tout ou partie des opérations de vérification biométrique mentionnées plus haut peuvent être mises en œuvre à l'aide d'un programme d'ordinateur comprenant des instructions appropriées, lorsqu'il est chargé et exécuté sur des moyens informatiques.

Claims

R E V E N D I C A T I O N S
1. Procédé de construction d'une base de données d'identité négative relative à des individus à des fins de vérification biométrique en relation avec une base de données biométrique (10) stockant des groupes de données biométriques (bi, b2,..., bm) relatives auxdits individus, le procédé comprenant les étapes suivantes :
- obtenir une donnée d'identité (i-i ,i2, ,im) respective relativement à chacun desdits individus ;
- réaliser une association entre chaque donnée d'identité obtenue relativement à un individu respectif et un pointeur (pi,p2,...,Pm) désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique relative audit individu respectif ; et
- construire une base de données d'identité négative (12) à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.
2. Procédé selon la revendication 1 , dans lequel ladite association réalisée comprend une concaténation (h || p1 ( it || pi, i2 1 | Ρ2, iu | | p2, - -, im || Pm, iv H pm) entre chaque donnée d'identité (ii ,i2> - . . Jm) et le pointeur correspondant
Figure imgf000022_0001
3. Procédé selon la revendication 1 ou 2, dans lequel ladite association réalisée consiste en une fonction secrète chaque donnée d'identité (i fi2,...,im) et le pointeur correspondant (pi,p2,...,Pm)-
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel la base de données d'identité négative (12) est construite pour stocker ledit ensemble complémentaire sous une forme condensée.
5. Procédé selon la revendication 4, dans lequel la forme condensée dudit ensemble complémentaire est obtenue par application d'un algorithme de type préfixe.
6. Procédé selon l'une quelconque des revendications précédentes, dans lequel la base de données d'identité négative (12) est construite pour stocker ledit ensemble complémentaire sous une forme randomisée.
7. Système ou dispositif pour la construction d'une base de données 5 d'identité relative à des individus à des fins de vérification biométrique en relation avec une base de données biométrique (10) stockant des groupes de données biométriques (bi, b2,..., bm) relatives auxdits individus, le système ou dispositif étant apte à obtenir une donnée d'identité (h,i2,■ - Jm) respective relativement à chacun desdits individus et comprenant :
o - une unité pour réaliser une association entre chaque donnée d'identité obtenue relativement à un individu respectif et un pointeur fa ,p2, . . . ,Pm) désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique relative audit individu respectif ;
- une unité de construction d'une base de données d'identité négative (12) à partir de l'ensemble complémentaire de l'ensemble des associations réalisées.
8. Procédé de vérification biométrique relativement à un individu, utilisant une base de données d'identité négative (12) construite selon l'une quelconque des revendications 1 à 6 en relation avec une base de données biométrique (10) stockant des groupes de données biométriques (bi, b2, . . . , bm), le procédé de vérification biométrique comprenant les étapes suivantes :
- obtenir une donnée biométrique (b') relative audit individu ;
- retrouver un pointeur (pj) désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique correspondant à la donnée biométrique relative audit individu ;
- obtenir une donnée d'identité (F) relative audit individu ;
- réaliser une association (Γ || pf) entre la donnée d'identité relative audit individu et ledit pointeur ;
- vérifier la présence ou l'absence de ladite association dans la base de données d'identité négative.
9. Procédé selon la revendication 8, comprenant en outre la génération d'une conclusion (R) en fonction d'un résultat de ladite vérification.
10. Système ou dispositif pour la mise en œuvre d'une vérification biométrique relativement à un individu selon la revendication 8 ou 9, le système ou dispositif étant apte à obtenir une donnée d'identité (i') relative audit individu et comprenant :
- une unité d'obtention d'une donnée biométrique (b') relative audit individu ;
- une unité pour retrouver un pointeur (pj) désignant un groupe stocké dans la base de données biométrique qui inclut une donnée biométrique correspondant à la donnée biométrique relative audit individu ;
- une unité pour réaliser une association (i' || Pj) entre la donnée d'identité relative audit individu et ledit pointeur ;
- une unité de vérification de la présence ou de l'absence de ladite association dans la base de données d'identité négative (12).
PCT/FR2011/051520 2010-07-12 2011-06-29 Procedes, systemes et dispositifs de verification biometrique WO2012007668A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1055665A FR2962569B1 (fr) 2010-07-12 2010-07-12 Procedes, systemes et dispositifs de verification biometrique
FR1055665 2010-07-12

Publications (1)

Publication Number Publication Date
WO2012007668A1 true WO2012007668A1 (fr) 2012-01-19

Family

ID=43530112

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2011/051520 WO2012007668A1 (fr) 2010-07-12 2011-06-29 Procedes, systemes et dispositifs de verification biometrique

Country Status (2)

Country Link
FR (1) FR2962569B1 (fr)
WO (1) WO2012007668A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005121924A2 (fr) * 2004-06-09 2005-12-22 Koninklijke Philips Electronics N.V. Architectures pour la protection de la confidentialite de modeles biometriques
US20080177569A1 (en) * 2007-01-24 2008-07-24 Qualcomm Incorporated Mobile Phone Based Authentication and Authorization System and Process to Manage Sensitive Individual Records

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005121924A2 (fr) * 2004-06-09 2005-12-22 Koninklijke Philips Electronics N.V. Architectures pour la protection de la confidentialite de modeles biometriques
US20080177569A1 (en) * 2007-01-24 2008-07-24 Qualcomm Incorporated Mobile Phone Based Authentication and Authorization System and Process to Manage Sensitive Individual Records

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
"Enhancing Privacy through Negative Representations of Data", UNM COMPUTER SCIENCE TECHNICAL REPORT TR-CS-2004-18, March 2004 (2004-03-01)
DE GEORGE DANEZIS, CLAUDIA DIAZ, SEBASTIAN FAUST, EMILIA KÀSPER, CARMELA TRONCOSO, BART PRENEEL: "Proceedings of the 10th Information Security Conférence", 2007, SPRINGER-VERLAG, article "Efficient Négative Databases from Cryptographic Hash Functions", pages: 12
ESPONDA F: "Everything that is not important: Negative databases [Research Frontier]", IEEE COMPUTATIONAL INTELLIGENCE MAGAZINE, IEEE, US, vol. 3, no. 2, 1 May 2008 (2008-05-01), pages 60 - 63, XP011207740, ISSN: 1556-603X *
FERNANDO ESPONDA ET AL: "Negative representations of information", INTERNATIONAL JOURNAL OF INFORMATION SECURITY, SPRINGER, BERLIN, DE, vol. 8, no. 5, 14 April 2009 (2009-04-14), pages 331 - 345, XP019744017, ISSN: 1615-5270, DOI: DOI:10.1007/S10207-009-0078-1 *
FERNANDO ESPONDA, ELENA S. ACKLEY, PAUL HELMAN, HAIXIA JIA, STEPHANIE FORREST: "Protecting Data Privacy through Hard-to-Reverse Négative Databases", INTERNATIONAL JOURNAL OF INFORMATION SECURITY (IJIS, vol. 6, no. 6, October 2007 (2007-10-01), pages 403 - 415, XP019546320, DOI: doi:10.1007/s10207-007-0030-1
FERNANDO ESPONDA, ELENA S. ACKLEY, STEPHANIE FORREST, PAUL HELMAN: "On-line Negative Databases", THIRD INTERNATIONAL CONFERENCE ON ARTIFICIAL IMMUNE SYSTEMS (ICARIS 2004) PROCEEDINGS, September 2004 (2004-09-01), pages 175 - 188
FERNANDO ESPONDA, STEPHANIE FORREST, PAUL HELMAN: "Enhancing Privacy through Negative Representations of Data", UNM COMPUTER SCIENCE TECHNICAL REPORT TR-CS-2004-18, March 2004 (2004-03-01)
FERNANDO ESPONDA: "Everything That's Not Important", IEEE COMPUTATIONAL INTELLIGENCE, vol. 3, May 2008 (2008-05-01), pages 2
GEORGE DANEZIS ET AL: "Efficient Negative Databases from Cryptographic Hash Functions", 9 October 2007, INFORMATION SECURITY; [LECTURE NOTES IN COMPUTER SCIENCE], SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 423 - 436, ISBN: 978-3-540-75495-4, XP019101591 *

Also Published As

Publication number Publication date
FR2962569B1 (fr) 2012-08-17
FR2962569A1 (fr) 2012-01-13

Similar Documents

Publication Publication Date Title
EP1811422B1 (fr) Procédés de détermination d'un identifiant et de vérification biométrique et systèmes associés
EP2924609B1 (fr) Procédé d'enrolement de données dans une base pour la protection desdites données
CA2778847C (fr) Identification par controle de donnees biometriques d'utilisateur
EP3304409B1 (fr) Sécurisation de données numériques
EP2705503B1 (fr) Procedes d'enrolement et de verification biometrique, systemes et dispositifs associes
CA2743954C (fr) Procede d'identification ou d'autorisation, et systeme et module securise associes
FR3027753A1 (fr) Procede d'authentification d'un utilisateur detenant un certificat biometrique
EP2973210B1 (fr) Procede de traitement securise de donnees et application a la biometrie
EP2953291A1 (fr) Stockage distribue securise par calcul multipartite
EP2826200B1 (fr) Procede de cryptage d'une pluralite de donnees en un ensemble securise
CA2875108C (fr) Elements secondaires dans un encodage de type fuzzy vault
WO2009083528A1 (fr) Procédé et système pour générer des données biométriques stables
WO2012007668A1 (fr) Procedes, systemes et dispositifs de verification biometrique
FR3007552A1 (fr) Procede securise de comparaison de deux operandes et dispositif correspondant
EP1289420B1 (fr) Procede pour identifier une personne parmi une population par detection de ses empreintes digitales
FR2957168A1 (fr) Procedes, systemes et dispositifs de verification biometrique.
EP2992640B1 (fr) Procédé pour générer au moins une identité dérivée
EP4117222A1 (fr) Procédés de comparaison de bases de données biométriques confidentielles
EP2572316B1 (fr) Procédés d'enrôlement et de vérification biométrique, systèmes et dispositifs associés
EP4099614A1 (fr) Procédés d'enrolement de données pour vérifier l'authenticité d'une donnée de sécurité ou de verification de l'authenticité d'une donnée de securité
WO2013064565A2 (fr) Procédé et dispositif pour le stockage en base de données et la consultation de données confidentielles

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11741262

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11741262

Country of ref document: EP

Kind code of ref document: A1