CN101057448B - 安全地计算相似性度量 - Google Patents

Abstract

本发明涉及一种安全地计算至少两组数据的相似性度量的方法和系统。本发明的基本思想是安全地比较两组加密数据以确定两组数据是否在足够程度上彼此相似。如果相似性度量符合预定规则，则认为两组加密数据的两组原始数据相同。

Description

安全地计算相似性度量

技术领域

本发明涉及一种安全地计算至少两组数据的相似性度量的方法和系统。

背景技术

物理对象的认证可被用于多种应用，例如有条件地进入安全建筑或者有条件地存取数字数据(例如存储在计算机或可移动存储介质中的)，或者用于识别目的(例如为特别活动，甚至是进入一个国家承担个体识别)。使用生物特征识别和/或认证的应用范围不断扩展，其中使用对于用户来说是独一无二的特征，例如指纹，虹膜，耳朵，脸部等，其被认为是对例如口令和个人身份号码，以及是对“人工”识别的传统识别方式的一种优化的替代方案，该“人工”识别包括用视觉在个人和，例如照片之间进行比较。未来，需要海关官员人工识别的传统护照将有可能被应用生物特征的电子护照所代替。

将生物特征与参考数据相比较。如果匹配，用户被识别出来并被授权允许访问。用于用户的参考数据是先前获得并被安全存储的，例如存储在安全数据库或智能卡中。要被认证的物理对象有可能不是人类。例如，对象可能是一个例如包含受保护数字内容的CD，DVD或者固态存储器的存储介质。这时，生物识别不是必需的，但是以类似的方式，提供了某些保密的识别特征(例如是比特序列形式)并与相应的参考数据比较。

认证时，用户声称拥有某种身份，用户提供的生物模板被与所述声称的身份相关连的预先存储的模板相比较，以验证提供的和存储的模板的一致性。识别时，提供的生物特征模板与所有存储的可用模板进行比较，以便验证提供的和存储的模板的一致性。出于安全原因，开发从生物特征度量(通常是有噪的)得到秘密的方法是很重要的。应该注意到生物特征数据是识别个体很好的代表值，未经认证取得与个体相关的生物特征数据可以被看作电子领域中与盗窃个人身份相同的行为。当获取了适当的识别个体的生物特征数据后，冒名顶替者会冒充其获取了身份的个体。另外，生物特征数据可能包括敏感的或私密的健康状况的信息。因此，使用生物认证/识别系统的个体必须完全受到保护。

由于生物特征提供了关于个体的敏感信息，存在涉及生物特征数据的管理和使用的隐私问题。例如，现有技术的生物识别系统中，用户不可避免地必须完全信任生物识别系统关于其生物特征模板的完整性。在登记时，即登记管理机构获得用户的生物测定模板的初始过程中，用户向登记管理机构的登记装置提供她的模板，该机构将模板可能加密地存储在系统中。验证时，用户再次向系统提供她的模板，预先存储的模板被重新提出来(如果需要的话还要解密)，将存储的模板与提供的模板进行对比。能够设想这样的密码技术，加密或混编生物特征模板并对加密的数据执行验证(或对比)，以使得真正的模板决不会清晰可用。然而，加密功能是特意设计的，以使得输入的一点点小变化会引起输出的巨大变化。考虑到生物特征的自然属性和获取提供的模板时的测量误差，以及存储的模板会受到噪声污染，提供的模板将永远不会与存储的模板完全相同，因此匹配算法应该允许两个模板间存在不同，即生物特征认证/识别方案必须在本质上对于噪声是鲁棒的。这使得基于加密模板的识别存在问题。

ID613356(NL030552，WO IB2004/0506，EP03101453.3)提出了一种以安全且私密的方式执行生物认证的方法。其方案应用辅助数据方案，其使得对于噪声是鲁棒的。为了将生物认证和密码技术结合，从登记阶段获得辅助数据。辅助数据保证不但在登记阶段而且在认证过程中从个体的生物特征中能够得到唯一的序列。由于辅助数据被存储在数据库中，因此认为它是公开的。为了防止冒充，在统计上独立于辅助数据并且用于认证阶段的参考数据是从生物特征中得到的。为了保证参考数据的保密性，参考数据以混编形式存储。通过这种方式冒充他人在计算意义上变得不可行。ID613356所述方法的问题在于其依然向可能的恶意验证者泄露了有关原始生物识别体的信息。

发明内容

本发明的目的是提供一种安全的密码方案，用于比较两组数据以确定他们是否在一定程度上彼此相似，而无需访问两组数据的明文版本。

实现本发明的目的是通过根据权利要求1的用于安全地计算至少两组数据的相似性度量的方法和根据权利要求8的用于安全地计算至少两组数据的相似性度量的系统而获得的。

本发明的基本思想是安全地比较两组数据以确定这两组数据是否具有足够程度的相似性。典型地，生物特征的测量结果由比特序列即一长串的0和1来表示(初步处理之后)。关于这种比特序列的公知的现有技术是IrisCode(虹膜代码)；对个体的眼睛进行测量，虹膜的特征被编码成512字节的IrisCode记录，用于登记或识别。将得到的IrisCode记录与登记在数据库中的用于识别的每个IrisCode记录相比较。通常在生物识别方案中，主要任务是确定两个序列X，Y是否属于同一人。对相同的生物识别体即从属于特定个体的生物特征的两次测量得到完全相同序列(即X＝Y)的可能性可以忽略不计。然而，如果X和Y真是同一个生物识别体的度量值，它们是相似的。因此生物识别系统必须能够确定X和Y彼此匹配的程度。请注意，如先前提到过的，可替换地要被认证的物理对象可以不是人类。例如，对象可能是一个例如包含受保护数字内容的CD，DVD或者固态存储器的存储介质。这时，使用生物识别是非必需的，但是以类似的方式，提供了某个保密的识别特征(例如以位序列形式)并与相应的参考数据相比较。

用于生物识别系统的通用方法是计算所谓的汉明距(Hammingdistance)d_H(X，Y)，即向量X＝(x₁，...，x_n)和向量Y＝(y₁，...，y_n)之间的不匹配数目。汉明距定义如下：

$d_H(X,Y)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_i-y_i)}^2=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x_i}^2-2x_i{y}_i+{y_i}^2---\left(1\right)$

考虑到应用二进制向量的事实，汉明距可以表示成：

$d_H(X,Y)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i-2x_i{y}_i+y_i---\left(2\right)$

如果认为这个距离足够小，就认为X和Y相同。典型地，“足够小”意味着生物特征的两个度量之间汉明距的值低于预定的阈值。例如，IrisCode中，汉明距必须小于向量总长度n的20％。因此，如果向量包含6个比特，当比较X和Y时，不匹配的只能是1个比特，否则就认为两个向量不同。在现有技术的识别系统中，为了计算汉明距(或者其他相似性度量)，生物特征的度量(即X和Y)必须被披露。

本申请所述的发明中描述了一种计算X的加密拷贝E(X)和Y的加密拷贝E(Y)之间的相似性度量(例如汉明距)的方案。提出的方案中只披露相似性度量是大于还是小于预定阈值，没有其他与测量的生物识别体的明文代表值X，Y相关的信息。

该方案提供了一种安全地计算代表生物特征度量的两个向量X和Y之间的规定的相似性度量，并确定相似性度量与预定阈值间的关系，而不必披露被测量生物识别体的明文代表值X和Y的方法。下面，假设相似性度量由上面定义的汉明距d_H(X，Y)给出。但是，也可以使用其它的相似性度量。

为了进行计算，使用同态阈值加密系统，例如Paillier或ElGamal。术语“同态”意味着E(x+y)＝E(x)E(y)。该术语还意味着对于任何x和a，E(x)^a＝E(x*a)。参数x加密后用E_pk(x)表示，其中“pk”代表公共密钥加密。这样，用户和验证者访问同样的公共密钥pk。另外，用户和验证者各自访问共享的相应私人密钥。共享的私人密钥用于解密。

用户可随身携带共享(例如存在智能卡上)或者共享可以存储在生物识别系统中与用户进行交互的传感器上。登记时，捕获代表生物识别体的X比特序列，假定该序列包括长度为n的二进制串，即X＝(x₁，...，x_n)，在传感器中使用通用公共密钥pk：E_pk(X)＝(E_pk(x₀)，...，E_pk(x_n))进行加密。这典型地在逐位基础上实现。条目x_i可以通过下列等式表示成二进制串：

$x_i=\underset{j=0}{\overset{m}{\mathrm{\Σ}}}{x}_{\mathrm{ij}}{2}^j.$

串E_pk(X)然后被传送到验证者，其存储该串。请注意验证者不能解密E_pk(X)，因为验证者只能访问他的私人密钥共享，不能访问用户共享。因此，生物识别体的明文代表值X对于验证者是隐藏的。

在认证时，生物识别体的有噪代表值Y从系统的传感器中获得。请注意，这个传感器不必与登记时用的传感器相同。典型地，认证传感器远离登记传感器。例如，登记—只进行一次—可以在大型连锁商店包括的任何一家DVD/视频商店形式的登记管理机构中执行，而认证典型地在用户租DVD的特定商店进行。这家商店可以被看成实际的验证者，在此用户被认证。用户认证过程在每次当她从商店租DVD时执行。认证传感器用通用公共密钥pk加密Y；

E_pk(Y)＝(E_pk(y₁)，...，E_pk(y_n))。

这时，运行一个安全协议以确定是否d_H(X，Y)＜T，其中T是预定阈值，而不披露与X和Y有关的其他任何信息。这时，如下安全地计算出E_pk(d_H(X，Y))：

$E_{\mathrm{pk}}\left(d_H(X,Y)\right)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{E}_{\mathrm{pk}}({x_i}^2-2x_i{y}_i+{y_i}^2)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{E}_{\mathrm{pk}}(x_i-2x_i{y}_i+y_i)=$

$=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{E}_{\mathrm{pk}}\left(x_i\right)E_{\mathrm{pk}}\left(y_i\right)E_{\mathrm{pk}}{\left(x_i\right)}^{-2y_i}---\left(3\right)$

为了进行计算，验证者向承担安全计算的认证传感器传送E_pk(x_i)。认证传感器计算E_pk(y_i)和E_pk(2x_iy_i)＝E_pk(x_i)^2yi以及安排来说明加密的输出数据是正确的证明。因此，在认证传感器获得第一组加密数据E_pk(X)(从登记处得到的)和第一组明文数据Y。然后，第一组明文数据Y被加密以产生第二组加密数据E_pk(Y)。另外，认证传感器提供可公开验证的证明，第二组加密数据E_pk(Y)实际上通过用公共密钥pk加密第一组明文数据Y产生。

然后，认证传感器公布E_pk(y_i)、E_pk(2x_iy_i)和证明，验证者核查该证明。最后，验证者—提供E_pk(x_i)—和认证传感器一起利用加密系统的同态属性使用等式(3)计算E_pk(d_H(X，Y))。接下来，基于第一组加密数据E_pk(x_i)的一部分和第二组加密数据E_pk(y_i)的一部分，计算出所述第一和第二组加密数据的相似性度量E_pk(d_H(X，Y))。

最终，必须完成是否d_H(X，Y)＞T的安全计算。上述计算产生E_pk(d_H(X，Y))，即加密的汉明距d_H(X，Y)。为了核查是否d_H(X，Y)＞T，认证传感器和验证者运行双方协议。给定代表值E_pk(d_H(X，Y))，例如使用所谓Millionaires协议确定是否d_H(X，Y)＞T。如此，比较结果是被披露的唯一信息。

这个阶段，计算出了代表X和Y之间汉明距的加密比特。请注意任何一方都不能解密此信息。协议的最后阶段是与给定阈值T相比较。事实上，甚至阈值也可以被加密(在逐位基础上)并且对双方都是不可知的。

给定E(d_H(X，Y))和E(T)，关于是否d_H(X，Y)＞T的安全计算可以通过多种不同方式进行。例如，在B.Schoenmakers和P.Tuyls的“Practical Two-Party Computation based on the ConditionalGate″Asiacrypt 2004，LNCS Springer-Verlag 2004中披露的协议被有利地运用。

本发明的方案将强大的加密方法的优点与在相似但不同的对象之间相比较的可能性结合起来，典型地该对象是有噪声污染的。该方案介绍了在假设使用的公共密钥加密系统是安全的条件下的一种私密的和安全的生物认证方法，该方法不披露关于原始生物特征的信息。它提供了防范恶意验证者的安全保护。

本发明的另一个特点在于可以应用普通的生物认证技术，但是是以安全的方式即加密方式。相似性度量的计算可以安全的方式外包给强大的服务器，即服务器得不到关于生物模板的信息。计算时传感器不需要保密密钥，只需要一个公共密钥(尽管为了认证目的传感器会有一个保密密钥)。另外，如果传感器(或验证者)受到攻击，攻击者得不到重要信息，不会危及用户的私密。能够相当自由地选择所使用的相似性度量，也能够容易地进行升级而不必更改现有的传感器。进一步地优点在于计算可以被公开地验证。

请注意，虽然本发明是以计算两组数据的相似性度量作为例子使用举例的方式描述，技术人员应该意识到计算可以扩展到更多组的数据。那样的话，可以应用除汉明距外的其他度量。例如，可以使用用来计算相似性度量的数据组之间的最大或平均距离，或者编辑距离，所谓的l₁距离等等。

根据本发明的一个实施例，如下计算所述证明。给定私人密钥α＝log_gh，通过计算b/a^α进行解密，对于某些消息m∈Zq其等于g^m。通过普通公共密钥h计算加密同时使用双方的联合协议解密，每一方拥有共享的私人密钥α＝log_gh。每一方通过运行分配密钥产生协议获取它们的共享。

分配密钥通过如下方式产生：首先让双方P₁，P₂(例如传感器和验证者)广播承诺c_i＝g^α _ih^r _i，α_i，r_i∈Zq，i＝1，2，然后随同log_g h_i的知识证明一起广播r_i的值，其中h_i＝c_i/h^r _i，i＝1，2。联合公共密钥是h＝h₁h₂，私人密钥α＝α₁+α₂。为了对加密(a，b)进行解密，P_i方随同log_a d_i＝log_g h_i的证明一起产生d_i＝a^αi，该证明即是被设置来说明加密的输出数据是正确的而不披露有关表示生物识别体的明文拷贝信息的证明。然后从b/(a₁a₂)恢复信息。

通过研究所附权利要求和下述说明，本发明的进一步的特征和优点将变得很明显。本领域普通技术人员能够意识到可以组合本发明的不同特征而形成不同于下面描述的实施例的其他实施例。

附图说明

下面将结合附图对本发明做更详细地描述，其中：

图1示出了现有技术中基于与个体相关的生物特征数据进行个体识别和认证的基本系统。

图2示出了本发明所述的基于与个体相关的生物特征数据进行个体识别和认证的系统。

具体实施方式

图1示出了现有技术中基于与个体有关的生物特征数据识别和认证个体的基本系统，本发明可方便地应用于该系统中。个体的原始生物特征数据，例如指纹、虹膜或视网膜、面相或手相、声音特征等等，由传感器101获取。典型地，获取的数据(即原始的明文数据)在处理装置102例如数字信号处理器(DSP)中被处理。然后这个数据，优选以加密形式，通过通路105被存储在服务提供商的数据库存储器103中。这是对每个希望访问特殊系统的个体只进行一次的初始化过程，以注册该个体。执行加密以保护个体的身份，即生物特征数据。随后，当个体想访问服务时，她向传感器101提供明文生物特征数据。该数据经处理后，通过通路106与先前存储在数据库中的个体生物特征数据相比较。如果比较装置104中对经由通路106和107提供的数据组实行的比较操作的结果是匹配的，个体就被允许访问提供的服务。因此，参考图1，传感器101可在初始特征提取阶段做为登记者，而在随后阶段做为验证者，在比较装置104中核验随后提供的生物特征信息Y(经由通路106提供)和初始登记的生物特征信息X(经由通路107提供)之间的一致性。如上所述，图1的装置可以彼此远离地设置。

图2示出根据本发明基于与个体相关的生物特征数据进行个体识别和认证的系统。其中，登记传感器201和验证或认证传感器208彼此远离地设置。象图1那样，捕获的数据(即原始明文数据)在DSP 202中被处理。此数据被加密并存储在数据库存储器203中。随后，当个体希望访问系统，她向认证传感器208提供明文生物特征数据。此数据在DSP 209中被加密。参考图2，假定生物模板X已经预先提供给登记传感器201，在DSP 202中加密并以加密形式E_pk(X)存储在数据库存储器203中，当个体请求访问系统，她的生物模板Y(X的有噪代表值)被验证传感器208(也被称为认证传感器)提取，并被DSP 209加密以产生加密拷贝E_pk(Y)。典型地，DSP 209包含于认证传感器208中。

串E_pk(X)被传送到验证者211，其存储该串。验证者211典型地也包括一个DSP，尽管图2中未示出。请注意，验证者不能解密E_pk(X)，因为验证者只能访问共享的私人密钥，不能访问共享的个体。所以，生物识别体的明文代表值X对验证者211是隐藏的。如上所述，运行一个安全协议来确定是否d_H(X，Y)＜T，其中T是一个预定阈值，而不披露任何有关于X和Y的信息。现在，E_pk(d_H(X，Y))通过前面描述的方式被计算出来。验证者211向执行安全计算的认证传感器208发送E_pk(x_i)。

认证传感器208计算E_pk(y_i)和E_pk(2x_iy_i)＝E_pk(x_i)^2yi和用来示出加密的输出数据是正确的证明。因此，认证传感器提供一个能被公开地验证的证明，其证明第二组加密数据E_pk(Y)实际上是通过用公共密钥pk加密第一组明文数据Y产生的。接着，认证传感器208公布E_pk(y_i)和E_pk(2x_iy_i)以及该证明，验证者211核查该证明。最后，如上所述，提供E_pk(x_i)的验证者与认证传感器一起利用密码系统的同态特性计算E_pk(d_H(X，Y))。

最终，安全地计算是否d_H(X，Y)＞T。上文描述的计算产生E_pk(d_H(X，Y))，即汉明距d_H(X，Y)的加密。为了核查是否d_H(X，Y)＞T，认证传感器208和验证者211运行双方协议。如果汉明距的值小于阈值T，将允许个体访问系统，这通过通路212指示。请注意图1和图2，本发明的步骤典型地由各装置中的微处理器(未示出)完成，微处理器运行合适的软件包。

本发明除上述提到的优点之外还有优点，因为它允许计算外包，使得传感器设计具有额外的灵活性等等。另外，计算的负荷可以由传感器转移到例如服务器(未示出)，计算在那里完成。

假定传感器只包括一个(联合)公共密钥，因此不保密，服务器包括一个相应的保密密钥。在只应用单个服务器的情况下，应用第一外包算法。在应用多个服务器的情况下，该保密密钥通过安全共享方案在这些服务器间共享。这时，应用第二外包算法。

除了访问控制外，可由生物特征数据得到密钥K。只有当在传感器处人的生物模板与参考数据库中存储的模板匹配时才发放密钥。简单地说，可以如下进行。如果X与Y匹配，让s＝1，否则，s＝0。进一步地，假定匹配计算的结果给出s的加密，即E(s)。密钥K按如下发放：给定E(K)和E(s)，被关注的一方计算连带产生的随机数r的加密E(r)并同时计算E(K+r(s-1))。这个值被用阈值解密来解密。很清楚地，当生物模板X和Y匹配时，解密过程发放密钥K。如果模板不匹配，得到随机串K-r。

尽管本发明参考特定的实施例作为例子进行了描述，其他许多不同的替代方案，改进方案或相似方案对本领域技术人员而言也是明显的。因为已经描述的实施例不是为了限制发明保护的范围，正象附加的权利要求所描述的。通用处理元件可替代DSP而使用。

Claims (17)

1.一种安全地计算至少两组数据相似性度量的方法，该方法包括以下步骤：

获取第一组加密数据和第一组明文数据；

加密第一组明文数据，其中产生了第二组加密数据；

根据第一组加密数据的一部分和第二组加密数据的一部分计算所述第一和第二组加密数据的相似性度量；

提供一个可公开验证的证明，其证明加密数据组的相似性度量被正确地计算；

确定相似性度量是否符合预定标准。

2.根据权利要求1的方法，其中所述相似性度量包括汉明距。

3.根据权利要求1或2的方法，其中执行的加密包括同态加密。

4.根据权利要求1的方法，其中应用的数据是从个体的生物特征中提取出来的。

5.根据权利要求1的方法，其中如果相似性度量低于一个预设阈值则认为相似性度量符合预定标准。

6.根据权利要求1的方法，其中第一方加密第一组明文数据以提供第二组加密数据和所述证明，第二方提供第一组加密数据，第一和第二方通过结合第一和第二组加密数据来计算所述相似性度量。

7.根据权利要求6的方法，其中第一方向第二方提供所述证明。

8.根据权利要求1的方法，其中与公共密钥相应的私人密钥通过对公共密钥执行对数运算而产生。

9.一种安全地计算至少两组数据相似性度量的系统，该系统包括：

验证装置(211)，用于获取第一组加密数据；和

认证传感器(208)，用于从个体提取第一组明文数据并加密该第一组明文数据，以产生第二组加密数据；其中

所述验证装置(211)和所述认证传感器(208)用于共同根据第一组加密数据的一部分和第二组加密数据的一部分计算所述第一和第二组加密数据的相似性度量；

所述认证传感器(208)还用于提供证明加密数据组的相似性度量被正确地计算的可公开验证的证明，并且确定相似性度量是否符合预定标准。

10.根据权利要求9的系统，其中应用的数据是从个体的生物特征中提取出来的。

11.根据权利要求10的系统，进一步包括登记传感器(201)，用于从个体提取第二组生物特征数据并加密该第二组生物特征数据以产生第一组加密生物特征数据。

12.根据权利要求9的系统，其中验证装置(211)用于通过网络(210)获取第一组加密数据。

13.根据权利要求9的系统，其中执行的加密包括同态加密。

14.根据权利要求9的系统，其中如果相似性度量低于一个预设阈值则认为相似性度量符合预定标准。

15.根据权利要求9的系统，进一步进行设定以使得通过对公共密钥执行对数运算来产生与公共密钥相应的私人密钥。

16.根据权利要求9的系统，其中执行所述相似性度量的共同计算，其中认证传感器(208)提供该第二组加密数据以及第一和第二组加密数据的组合，且验证装置(211)提供该第一组加密数据。

17.根据权利要求9的系统，进一步包括对其外包数据的加密和处理的服务器。

Images