赵冬冬 等: 结合特征生成与重放的可扩展安全虹膜识别                                                      3089


                 练好的神经网络仅仅适用于出现在训练集中的用户, 无法扩展到未出现在训练集中的用户. 一种简单看似合理的
                 方案是存储先前任务的训练数据, 并在新任务出现时, 结合新数据重新训练模型. 然而这样的方式需要原始生物数
                 据的存储, 从而会导致原始生物信息的泄露. 基于以上原因, 在不对神经网络训练数据进行隐私保护的情况下, 当
                 新用户注册时, 通常只能基于新的训练数据和前一任务的模型完成当前任务的模型训练. 这种情况下得到的当前
                 任务模型在以往任务上的识别准确率会显著下降, 严重影响模型的正常使用. 因此, 设计一种基于神经网络的可扩
                 展安全生物识别方案十分重要.
                    针对上述问题, 本文提出了基于生成特征重放的安全可扩展虹膜识别                        (generative feature replay-based secure
                 incremental iris recognition, GFR-SIR) 方法和基于隐私保护模板重放的安全可扩展虹膜识别          (privacy-preserving
                 template replay-based secure incremental iris recognition, PTR-SIR) 方法. 这两种方案都对神经网络的训练数据采用
                 TNCB  进行处理保护隐私数据实现神经网络的扩展. 具体而言, GFR-SIR                方法通过生成特征重放和特征蒸馏技术,
                 缓解模型扩展过程中对以往任务知识的遗忘, 并采用改进的                    TNCB  方法来保护虹膜特征数据的隐私. PTR-SIR         方
                 法通过保存以往任务中通过          TNCB  方法转换得到的隐私保护模板, 并在新任务的模型训练中重放这些模板, 以实
                 现神经网络的可扩展性并保证高性能.
                    本文的贡献可以总结为以下          3  点.
                    (1) 针对存储空间有限的应用场景, 本文提出了基于生成特征重放的安全可扩展虹膜识别方法, 在不保存训练
                 数据的情况下, 实现了高安全性的可扩展虹膜识别方案.
                    (2) 针对识别性能要求较高的应用场景, 本文提出了基于隐私保护模板重放的安全可扩展虹膜识别方法, 在仅
                 保存受保护训练数据的情况下, 实现了高性能的安全可扩展虹膜识别方案.
                    (3) 本文在  CASIA-Iris-Lamp  和  CASIA-Iris-Thousand  数据集上进行大量的实验来验证本文所提出的两种方
                 案的性能. 实验结果表明所提出的方案在保护隐私数据的前提下得到了较好的性能.

                 1   相关工作

                    针对生物特征数据的隐私保护, 已有的工作主要分为两大类: 生物特征密码系统                         [12] 和可撤销生物特征识别     [13] .
                    生物特征密码系统       [12] 通常通过将生物特征数据和密钥进行安全的绑定或者从生物特征数据中生成密钥的方
                 式来完成隐私保护. 主要方案包括模糊金库              [14] 、模糊承诺  [15] 和模糊提取器  [16] . 具体来说, 模糊保险库方案使用一
                 组无序点来保护密钥, 创建一个保险库需要多项式重建技术来检索密钥. 然而, 许多研究                          [17–19] 表明, 模糊金库方案
                 可能会泄露原始生物特征数据, 并且容易受到交叉匹配攻击. 模糊承诺方案将                        ECC  与密码学技术相结合, 通过将
                 生物特征数据与随机码字相关联来创建承诺. 然后使用纠错技术恢复码字以进行验证. 然而, 一些研究                                [8,9] 中已经
                 证明, 模糊承诺方案容易受到可解码攻击. 随后, Kelkboom            等人  [20] 提出一种改进的方案来防止交叉匹配. 这之后,
                 Rathgeb  等人  [10] 提出模糊承诺方案进行统计攻击, 成功检索了存储的密钥, 说明模糊承诺方案仍然存在隐私泄露
                 的风险. 模糊提取器方案从生物特征数据中提取一致的随机字符串和辅助数据. 在重建过程中, 将辅助数据与相似
                 的生物特征数据相结合, 重建出一致的随机字符串. 该方案使用提取的随机字符串作为加密密钥. 然而, Blanton                            等
                 人  [11] 指出, 当多个草图暴露时, 模糊提取方案难以确保不可链接性和不可逆性, 从而导致潜在的隐私泄露.
                    可撤销生物特征识别        [13] 通过可重复的不可逆变换方法将原始生物特征数据转换为隐私保护模板来保证原始
                 生物特征数据的安全. Rathgeb      等人  [21] 提出了一种将二进制虹膜编码映射到布隆过滤器实现免对齐的可撤销虹膜
                 识别方法, 该方法将二进制虹膜编码矩阵分别按照水平和竖直方向划分为不同的块和字进行模板映射. 然而, Hermans
                 等人  [4] 对基于布隆过滤器的安全虹膜识别方法的安全性进行了评估, 并指出该方法在不可链接性方面存在安全性

                 问题. Jin  等人  [22] 提出了一种基于局部敏感哈希的可撤销生物识别方法, 称为              IoM  哈希. 该方法通过将实值的生物
                 特征向量映射为排序之后的最大索引值来生成隐私保护模板. 但是, Ghammam                      等人  [5] 对于基于  IoM  哈希的方法
                 进行了攻击, 并指出该方法无法抵抗链接攻击和认证攻击. 此外, Sadhya 等人                   [23] 也基于局部敏感哈希的理论框架
                 提出了一种安全虹膜识别方法, 通过随机位采样生成类内紧凑的隐私保护模板, 该方法实现了较高的识别性能.