CN101091348A - 使用生物测定数据和密值提取码的密钥生成 - Google Patents

Abstract

提供一种生成用来加密第一和第二终端间的通信的密钥的方法，该方法包括：获得用户的物理标识符特征的测量结果；使用从码集合中选取的码从物理标识符提取密钥，所述码集合中的每个码定义特征值集到密钥集的有序映射；其中所述码集合包括至少一个码，有序映射是集合中其他码中一个的有序映射的置换。

Description

使用生物测定数据和密值提取码的密钥生成

本发明涉及安全系统中所使用的密钥的生成，具体涉及从物理标识符生成密钥。

人们对更可靠且便捷的安全系统的需求在持续增长，而且对使用生物测定标识符有兴趣，比如指纹、虹膜图案、语音数据和步态数据。因为生物测定标识符不会像计算机密码那样丢失或遗忘，生物测定学有可能为用户提供更高的安全性和更好的便捷性。

下面参考图1和图2描述使用从物理/生物测定数据得到对称加密密钥的系统。

考虑如下情况，用户艾丽思希望通过私有信道与另一个用户进行通信，如与她的银行通信。艾丽思和银行所使用的协议包括两个阶段：登记(enrolment)阶段和应用阶段。

图1示出了进行登记阶段所需要的系统架构。在登记阶段，认证机构(CA)从安全信道接收艾丽思的生物测定的测量结果Xⁿ，并且从中得到密值(secret)S和加密密钥F(S)，以及一些帮助数据W。J.P.Linnartz和P.Tuyls在AVBPA2003中的“New Shielding Functionsto Enhance Privacy and Prevent Misuse of Biometric Templates”描述了这种从物理标识符得到密钥的方法。帮助数据W和加密密钥F(S)存储在银行的数据库中。在应用阶段，使用帮助数据W来允许终端从艾丽思的生物测定的有噪声测量结果Yⁿ得到同一加密密钥F(S)。

在应用阶段，在终端得到艾丽思的生物测定的有噪声测量结果Yⁿ。艾丽思将传统的用户标识数据输入终端，如用户名，用户标识数据被发送到银行。银行使用该数据访问其数据库，获得与艾丽思相关的帮助数据W。在鉴别信道上将帮助数据W发送到艾丽思的终端。帮助数据W和艾丽思的生物测定的有噪声测量结果Yⁿ一同被用来获得密钥F(V)。然后，F(S)和F(V)分别用来加密从银行到艾丽思和从艾丽思到银行进行的通信。因为系统使用对称加密密钥，为了使加密通信可以被解密，F(V)必需和F(S)相等。

和传统系统相比，该系统的便捷和安全在于艾丽思无需存储其加密密钥F(V)，也无需存储帮助数据这一事实。在应用阶段，艾丽思只需要提供其生物测定标识符的测量结果。

然而，艾丽思可能需要使用她的生物测定数据与若干方建立安全通信，例如，与银行和另一个用户查理。因此，艾丽思必需从其生物测定数据得到多个加密密钥，因为期望查理不能监听艾丽思和银行间的通信。此外，期望可以避免多方使用他们各自的加密密钥来合作对艾丽思和银行间的安全信道进行攻击。

这样的系统有若干特点。第一，系统应该是鲁棒的，这意味着，给定用户生物测定Xⁿ的有噪声测量结果Yⁿ，应该可以在应用阶段得到正确的密钥，即，F(V)≡F(S)。

第二，银行数据库中的信息(F(S)和W)不应透露任何关于Xⁿ的敏感信息。

第三，在公共鉴别信道上发送的帮助数据W不应该给出关于加密密钥F(S)的任何信息。

第四，给定固定的生物测定Xⁿ，应该可以得到不同的F(S)和W对。

接下来，将不同的密钥和帮助数据对命名为F(S_i)和W_i，其中i＝1，2，...，K，其中K＞＞1。给定帮助数据W_i和所有其他的密钥/帮助数据对，F(S₁)，W₁；...；F(S_i-1)，W_i-1；F(S_i+1)，W_i+1；...；F(S_k)，W_k，密钥F(S_i)的保密性应该得到保证。

关于系统的安全性，进行如下假设。第一，进行登记阶段的认证机构(CA)是可信的。

第二，在应用阶段，帮助数据W从银行到艾丽思的传送在公共鉴别信道进行。

第三，与艾丽思通信的若干方不可信。例如，查理可能使用他知道的F(S_C)和W_C来攻击艾丽思和银行间的安全信道，即，他试图得到F(S_B)。

第四，若干方可以合作对艾丽思和另一个用户的安全信道进行攻击。

第五，不与艾丽思共享安全信道的攻击者可以从与艾丽思共享安全信道的一方或多方偷得加密密钥。具体而言，其可以得到F(S_i)、W_i。

第六，艾丽思在应用阶段使用的终端中的传感器和处理设备是防篡改的。

最后，攻击者不能获得潜在的生物测定结果。唯一的信息来自数据库中的信息。

生物测定模板是经过处理的测量数据，即，特征矢量，并且作为随机过程的实现进行模拟。不同个人的生物测定是对于所有个人都相等的随机过程的不相关实现。对生物测定结果的处理得到可以用具有已知分布P_x的n个独立相似分布(i.i.d)的随机变量描述的模板。某个个人的生物测定序列Xⁿ等于xⁿ的概率如下定义：

$\mathrm{Pr}\{X^n=x^n\}=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{P}_x\left(x_i\right)---\left(1\right)$

其中，P_x是每个分量的概率分布，定义在符号集(alphabet)χ上，χ可以是离散集κ(对于χ＝κ，序列Xⁿ由概率密度函数 $f_{X^n}\left(X^n\right)={\mathrm{\Π}}_i{f}_X\left(X_i\right)$ 表征)。

在应用阶段进行的有噪声测量用通过无记忆噪声信道的生物测定观察结果来模拟。对于生物测定xⁿ的测量结果Yⁿ：

$\mathrm{Pr}\{Y^n=y^n|X^n=x^n\}=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{P}_{Y|X}\left(y_i\right|x_i)---\left(2\right)$

其中P_Y|X描述输入为符号集χ、输出为符号集γ的无记忆信道。由认证机构得到的生物测定模板是无噪声的。

为了处理有噪声测量结果，可以使用密值提取码(SEC)。Pim Tuyls和Jasper Goseling的“Capacity and Examples of Template-ProtectingBiometric Authentication Systems”(可从“eprint.iacr.org/2004/106.pdf”得到)描述了密值提取码，下文同样对其进行描述。

S表示密值集，χ和γ分别表示代表有噪声测量结果的信道的输入和输出符号集。

假定n，∈＞0。定义在χⁿxγⁿ上的(n，|S|，∈)密值提取码C是编码和解码区域(region)对的有序集：

C＝{(ε_i，D_i)|i＝1，2，...，|S|}    (3)

其中ε_iχⁿ，D_iγⁿ，这样ε_i∩ε_j＝，D_i∩D_j＝， $\underset{i}{\∪}{D}_i={\mathrm{\γ}}^n---\left(4\right)$

对于i，j＝1，2，...，|S|，i≠j，而且

$P_{y^n|x^n}\left(D_i\right|{x_i}^n)\≥1-\∈---\left(5\right)$

对于所有x_i ⁿ∈ε_i和i＝1，2，...，|S|。

密值提取码提供通过离散化将(可能连续的)变量编码-解码成有限字符集S＝{1，2，...，|S|}的方法。等式(4)的条件表示可以进行非模糊编码和解码，等式(5)的条件表示误差概率小。

如果集ε_i的基数集为1，SEC是普通的误差纠正码。

为了从密值提取码中确定加密密钥，进行如下定义：

·χⁿ和γⁿ，分别是在登记阶段和应用阶段生物测定的测量结果字符集

·单向哈希方程F： 其中S＝{1，2，...，|S|}，κ＝{1，2，...，|＝|κ|}。S和κ的大小足够大，所以，给定F(S)，从计算上不可能得到S

·对于，xⁿ∈χⁿ，定义 ${\mathrm{\Φ}}_{x^n}\⊆C\·$ 如果xⁿ∈∪_iε_i，密值提取码 $C=\left\{({\mathrm{\ϵ}}_i,D_i)\right\}{|}^{\left|S\right|}i=1\∈{\mathrm{\Φ}}_{x^n}$

·在χⁿxγⁿ上的密值提取码(n，|S|，∈)的有限集合C，其中∈＞0。在登记阶段使用下面过程：

1、测量艾丽思的生物测定χⁿ。

2、从Φ_xn中任意选取密值提取码C。帮助数据W定义为该密值提取码C的索引。如果

从C中随机选取密值提取码。

3、给定C＝{(ε_i，D_i)}|^|S| _i＝1，密值S定义为如果xⁿ∈ε_i，S＝i。对于

随机选择S。

4、F(S)和W由银行提供。

在应用阶段使用下面过程：

1、银行通过公共鉴别信道将帮助数据W发送给艾丽思。

2、艾丽思获得她的生物测定测量结果Yⁿ。

3、如果Yⁿ∈D_I，使用密值提取码C(W)获得密值V＝i，从而得到密钥F(V)。

4、艾丽思和银行分别基于密钥F(V)和F(S)使用对称加密系统。

如上所述，如果艾丽思使用一个加密系统和不同方通信，期望她不将同一密钥用于多方。

如果C是SEC的集合，xⁿ∈χⁿ是艾丽思的生物测定模板，那么，如果在该集合中只有一个密值提取码可用于特定的生物测定结果(例如， $\left|{\mathrm{\Φ}}_{x^n}\right|=1$ )，那么，显然，只能从xⁿ得到一个加密密钥。|Φ_xn|很小而有很多xⁿ∈xⁿ的集合C不能让用户用来可靠地提取多个加密密钥。

因此，本发明的目的是提供密值提取码的扩展集，用于从特定生物测定标识符提取加密密钥。

根据本发明的第一方面，提供一种生成用来加密第一和第二终端间的通信的密钥的方法，该方法包括：获得用户的物理标识符特征的测量结果；使用从码集合中选取的码从物理标识符提取密钥，所述码集合中的每个码定义特征值集到密钥集的有序映射；其中所述码集合包括至少一个码，有序映射是集合中一个其他码的有序映射的置换。

下面参考附图通过例子描述本发明，其中：

图1示出了进行用户登记过程的系统；

图2示出了进行用户应用过程的系统；

图3的流程图示出根据本发明生成加密密钥的方法；以及

图4的流程图示出根据本发明扩展密值提取码集的方法。

下面，参考使用密值提取码和生物测定标识符描述本发明。然而，本领域的技术人员应该理解，本发明可用于使用其他方法从任何类型的物理标识符获得密钥的系统。

如上所述，如果在集合中只有一个密值提取码可用于特定的生物测定结果(即，如果 $\left|{\mathrm{\Φ}}_{x^n}\right|=1$ )，那么，只能从xⁿ得到一个加密密钥。密值提取码|Φ_xn|的数目很小而有很多xⁿ∈xⁿ的集合C不能用来可靠地提取多个加密密钥。

因此，本发明提供一种生成用来加密第一和第二终端间的通信的密钥的方法，其中，用于密钥提取的SEC集合得到扩展。具体而言，假定对于所有xⁿ∈xⁿ而言， $\left|{\mathrm{\Φ}}_{x^n}\right|=1\·$ 根据本发明的方法向C中加入SEC，所以对于所有xⁿ∈xⁿ而言， $\left|{\mathrm{\Φ}}_{x^n}\right|>1\·$

在本发明的优选实施例中，对于所有xⁿ∈xⁿ而言，本方法实现了 $\left|{\mathrm{\Φ}}_{x^n}\right|=\left|S\right|\·$ 在本发明的优选实施例中，通过增加现有密值提取码的置换而扩展密值提取码集合。

具体而言，密值提取码是编码/解码区域对的有序集。即，密值提取码将物理标识符特征值集和密钥集进行相关。密值提取码中值集和密钥集的排序意味着将“区域”(区域是物理标识符特征值的特定集)映射到密钥。本发明通过在集合中增加和原始密值提取码具有相同“区域”但是映射到不同密钥的密值提取码来扩展该集合。

图3的流程图示出根据本发明扩展密值提取码集合。

在步骤102，定义密值提取码的集合。该集合可以包括一个或多个密值提取码。每个密值提取码定义物理标识符特征值集和密钥集间的映射。即，基于特征的测量值，将该测量结果分配到一个或多个区域。区域是这样的，一个区域内的所有测量结果彼此类似，或者每个区域包括不同的测量结果。给定所分配的区域，选定的密值提取码定义可用密钥集中的特定密钥。

在步骤104，通过置换物理标识符特征值集和密钥集间的映射来扩展密值提取码集合。在本发明的一个优选实施例中，置换是循环置换，下文对此进行详细描述。在本发明的其他实施例中，置换是非循环置换。

图4的流程图示出使用根据本发明的密值提取码的扩展集合生成用于加密第一和第二终端间的通信的加密密钥。本方法可用于登记阶段和应用阶段。

在步骤110，对用户物理标识符的特征进行测量。

如上所述，在应用阶段进行该测量时，该测量是有噪声的，这意味着该测量和登记阶段由认证机构进行的测量不会完全匹配。

在步骤112，从码集合中选择密值提取码。根据上述的本发明，集合中至少一个码具有物理标识符特征值和密钥集间的映射，该码是集合中一个其他码的有序映射的循环置换。

在登记阶段，即，在用户第一次确定用于加密和另一个特定用户的通信的密钥时，认证机构从集合中随机选择一个密值提取码。在应用阶段，该用户希望与另一个特定用户通信，第一终端使用登记阶段认证机构生成的帮助数据选择适当的密值提取码。帮助数据由认证机构产生，存储在第二终端的存储器内。

在步骤114，所选择的密值提取码用于从物理标识符特征的测量结果中提取密值。通常使用单向函数来从提取的密钥中生成加密密钥。在登记阶段，认证机构将加密密钥发送到第二终端，第二终端将加密密钥存储在存储器中。

在应用阶段，使用生成的加密密钥来对要发送到第二终端的通信进行加密，并对从第二终端接收的通信进行解密。

如上所述，使用置换过程来从第一密值提取码生成另外的密值提取码。本发明使用的一个置换例子中，令π为S＝{1，2，...，|S|)的置换，即，π： 并且令C＝{(ε_i，D_i)}|^|S| _i＝1∈C。新的密值提取码C_π定义为：

C_π＝{(ε_π(i)，D_π(i))}|^|S| _i＝1    (6)

令 为S的置换的子集。密值提取码的新集合C_∏构建为：

C_∏＝{C_π：C∈C，π∈∏)    (7)

在本发明的优选实施例中，使用如下的置换集构建。置换集是所有S循环移位的集，即：

因而，在基础密值提取码中，第一区域测量映射到第一密钥，第二区域测量映射到第二密钥，依此类推；然后，在第一置换中，第一区域测量映射到第二密钥，第二区域测量映射到第三密钥，依此类推，直到最后区域的测量映射到第一密钥。进而，在第二置换中，第一区域测量映射到第三密钥，第二区域测量映射到第四密钥，依此类推，知道最后区域映射到第二密钥。因此，可用置换的数目等于区域和密钥的数目。

扩展的码集合C_cs定义为：

C_cs＝{C_π：C∈C，π∈∏_cs}    (9)

该构建符合背景技术部分所述的要求。例如，令xⁿ∈χⁿ，这样给定密值提取码的原始集合C， ${\mathrm{\Φ}}_{x^n}=\left\{C\right\}\·$ 不施加限制，假定

xⁿ，C→F(S)                   (10)

对于新的集合C_cs，定义

xⁿ，C_πk→F(S_k)               (11)

根据等式(8)和(9)得到：

F(S_k)＝F(S+k(mod|S|))         (12)

背景部分的要求4形成为：

F，F(S)，k→F(S+k(mod|S|))    (13)

给定对单向函数F的完整描述、F(S)的值(S未知)和k∈{1，2，...，|S|}，攻击者不能得到F(S+k(mod|S|))的值。

等式13的要求对单向函数F施加了要求。例如，F不能是同态的，即，F(α+β)＝F(α)F(β)，否则攻击者可以高效地计算F(S)。

不容易受到上述攻击的单向函数包括，例如SHA-1，或者从分组密码得到的函数。

如果E_K是使用固定公知密钥K的分组密码(例如LOMBOK或者DES)，单向函数F可以构建成：

F(S)＝E_K(S)S               (14)

最后，要注意，单向函数F要满足的唯一要求是单向性(或者抗原象(pre-image resistance))。单向性保证，给定F(S)，攻击者不能得到值V(可能等于S)，因而不能得到F(V)＝F(S)。此外，不需要抗碰撞(collision resistance)。

应该理解，词语“包含”不排除其它部件或步骤，“一个”不排除多个数量，单个处理器或其它单元可以完成在权利要求中描述的多种装置的功能。此外，权利要求中的参考标号不应理解为限制权利要求的范围。

Claims (10)

1、一种生成用来加密第一和第二终端间的通信的密钥的方法，该方法包括：

获得用户的物理标识符特征的测量结果；以及

使用从码集合中选取的码从所述物理标识符提取密钥，所述集合中的每个码定义所述特征值集到密钥集的有序映射；

其中所述码集合包括至少一个码，所述有序映射是所述集合中一个其他码的所述有序映射的置换。

2、根据权利要求1的方法，其中所述置换是循环置换。

3、根据权利要求1的方法，其中所述置换是非循环置换。

4、根据权利要求1、2或3的方法，所述方法进一步包括执行所述提取密钥的单向函数。

5、根据前述任何一项权利要求的方法，其中所述第一终端是认证机构的一部分。

6、根据权利要求5的方法，其中所述方法在所述第一终端包括从所述集合中随机选择所述码。

7、根据权利要求5或6的方法，其中所述方法在所述第一终端进一步包括得到用于标识从所述物理标识符特征的所述测量结果提取所述密钥所使用的所述码的帮助数据。

8、根据权利要求7的方法，所述方法进一步包括将所述帮助数据和所述提取的密钥存储在所述第二终端的存储器中。

9、根据权利要求1、2、3或4的方法，其中所述第一终端是用户终端，基于所述第二终端提供给所述第一终端的帮助数据从所述码集合中选取所述码。

10、根据前述任何一项权利要求的方法，其中所述物理标识符是生物测定标识符。

Images