CN105357002A - 基于云存储生物特征认证的敏感信息安全外包方法 - Google Patents

Abstract

本发明提供一种基于云存储生物特征认证的敏感信息安全外包方法，相较于传统的外包方法，本方法的数据库持有者除了将数据库外包到云服务器上外，用于身份认证的大量计算也将外包由云服务器，从而在很大程度上减轻了持有者在大规模信息存储和身份认证计算上的负担；由于云服务器有可能泄露用户生物特征数据，本发明还提出了一种新型生物认证信息保护协议，采用新的生物特征信息加密算法对数据库信息进行加密后再保存至云服务器，并采用欧式距离计算算法及高效的匹配算法来认证用户；本发明具有高安全性、高准确性、高效率、低存储的优点。

Description

基于云存储生物特征认证的敏感信息安全外包方法

技术领域

本发明涉及一种基于云存储生物特征认证的敏感信息安全外包方法，属于云存储认证安全领域。

背景技术

生物特征数据如指纹、DNA、声音信号、掌纹、面部特征等可测量的生理和行为特征，被广泛应用于个人身份认证系统中。目前大量立法机关使用生物特征数据来授权用户身份，或者通过扫描生物特征数据库是否有匹配的用户信息来认证用户。一个典型的生物特征认证系统包含了作为服务器端的生物特征数据库持有者和作为客户端通过提交有关生物特征数据来认证身份的用户。通常，数据库持有者拥有大量的生物特征数据，每一条记录都对应于相应用户的一个独立文件信息。当用户想要获取指定的文件时，需要首先提供其生物特征数据作为依据来认证身份，当提供的信息与数据库中生物特征信息匹配时，则说明身份认证成功。

近几年来，随着云计算技术的高速发展和普及，个人、公司及政府越来越倾向于将大容量数据存储到到远端云服务器上进行管理，以此避免昂贵的本地存储设施的购买以及庞大的计算量。对于生物特征数据库来说，数据库持有者(如FBI需要管理大量的本地用户的指纹数据)也希望将大量生物数据外包到云服务器提供商处(如Amazon)存储，利用云服务器的高速度计算和高容量存储来保证其服务质量。然而，为了保护生物特征数据的隐私，数据库持有者需要首先将数据库中的生物特征敏感数据加密后再存储到远端云服务器上。当一个政府机构(如FBI合作商)需要认证一个用户的身份或者需要知道一个人的相关信息时，需要向FBI提交一个认证请求参数，随后FBI将接收到的参数加密后发送给云服务器，云服务器可以通过扫描加密的数据库等方式来匹配最合适的用户信息。在整个认证流程中，存在如下安全问题急需解决：如何既减轻数据库持有者繁重的计算消耗，又能够保证云服务器上生物特征数据不被泄露？现有系统为了减轻数据库持有者的计算消耗，将生物特征数据认证匹配的步骤外包由云服务器来实现，然而在这个过程中，生物特征数据会以明文形式暴露于云服务器中，从而引起敏感信息泄露的风险。

目前，基于用户和数据库持有者交互的双方认证模型的生物特征数据安全问题已经被广泛研究。研究显示，数据库持有者和用户在此模型中中不需要出示自己的生物特征数据给对方用于认证。而这些研究因存在效率问题(强依赖于同态加密算法)或计算消耗大而限制了应用性能。尽管有相关机构针对这两个问题做出了相应的改进，然而，生物认证数据的安全性问题依然存在，他们的研究并不能直接应用到认证数据外包模型中。这是因为云服务器是一个不能完全信任的第三方机构，个人隐私数据得通过加密再存储到云服务器中。从以上分析可以知道，目前的解决方案给数据库持有者带来很重的计算负担：对于每一个认证请求参数，数据库持有者都必须先解密云服务器传来的每一个加密的数据，再计算其和请求参数的欧式距离，可见并没有利用云服务器上高计算量的优势。

近期，越来越多外包项目暴露出生物认证数据的安全问题。单一的数据库服务器并不能解决现有的安全问题，因为多服务器存储需要数据库在多个服务器中分布共享存储。还有的解决方法希望通过开发一个新的外包方式来更安全的保护数据库和用户的数据。但这是建立在两个不存在共谋关系的服务器且其中之一知道秘钥并共同运行一个协议的假设上的，除此之外，这个协议要求两个服务器间进行大量的交互而造成整体效率低。另一种观念上和保护生物认证数据类似的解决方案是在加密的数据库上采用kNN搜索的方法。但以上方法大多仍然是在解决双方认证系统的安全问题，没有完全利用云服务器的高存储、高计算的特性，而且部分建立在预设的假设前提下。

发明内容

本发明的目的是克服现有技术的不足，提供一种基于云存储生物特征认证的敏感信息安全外包方法。

本发明的技术方案是：一种基于云存储生物特征认证的敏感信息安全外包方法，包含如下步骤：

步骤1.数据库持有者对每一条生物特征数据进行预处理得到相应的n维特征向量b_i，随后将b_i扩展成(n+2)维向量B_i，再将B_i转置成(n+2)×(n+2)维矩阵B_i’，最后使用数据库持有者生成的两个(n+2)×(n+2)维随机矩阵M₁、M₂按照以下公式得到加密后的数据信息C_i并存至云服务器中；

$C_i=M_1{B}_i^{\text{'}}{M}_{2_i}$

数据库持有者再生成一个安全的参数秘钥k，使用SKE.KeyGen(1^k，r)算法来生成sk，此处r是一个随机数，SKE是基于PCPA防范选定明文攻击的伪随机性的安全对称秘钥机制。将用户个人信息设为p，使用生成秘钥sk加密p得到加密后的用户请求参数C_p。得带加密后生成的元组＜C_i，C_p＞，将其上传到云服务器中。

步骤2.用户发送认证请求给数据库持有者，数据库持有者首先对用户发送的请求参数进行加密，随后把加密的请求参数发送给云服务器来获取用户的请求数据。

所述的用户请求参数加密步骤为：用户需要认证身份时，将对应的生物特征数据以n维向量b_c＝[b_c1,b_c2,…,b_cn]形式发送给数据库持有者，随后数据库持有者将b_c按以下形式扩展成(n+2)维向量B_c：

B_c＝[b_c1，b_c2，…，b_cn，1，r_c]

其中，r_c由数据库持有者随机生成，其中b_cn为b_c的第n分量，所述的r_c对于每一个b_c独立生成，然后，将B_C转置成矩阵B_C’，最后按以下形式得到用户请求参数的加密形式C_F:

$C_F=M_2^{-1}{B}_c^{\′}{M}_1^{-1}$

数据库持有者将以上加密后的请求参数发送给云服务器；

步骤3.云服务器采用最小欧式距离匹配算法，对接收到的加密数据库信息和参数信息进行处理，通过选出最小欧式距离来确定候选请求数据，并将结果返回给数据库持有者；

所述的云服务器匹配请求参数的步骤为：对加密后的密文数据库信息C_i和加密后的请求参数C_F计算欧式距离，云服务器需要通过最小欧式距离来得到匹配的数据结果；

所述的计算密文生物特征数据和密文请求参数欧式距离步骤为：对于每一个密文数据库信息C_i，云服务器会将加密参数信息C_F与之相乘得到P_i，公式如下：

$P_i=C_i{C}_F=M_1{B}_i^{\′}{B}_c^{\′}{M}_1^{-1}$

然后，计算P_i的特征值，并用T_i来表示其特征值每个分量相加的和值；选择最大的T_i值，将对应的〈C_i，C_p〉视为请求的加密数据并返回给数据库持有者。

步骤4.数据库持有者对云服务器的返回结果进行检验，判断其是否为用户请求的数据；预设置阈值参数e，数据库持有者对返回的加密数据＜C_i，C_p＞解密C_i得到矩阵形式的明文数据B_i，从B_i中提取出特征向量b_i，计算b_i和请求参数b_c的欧式距离，当大于e时，说明身份认证不成功，提示用户重新验证身份并返回步骤2，反之，身份认证成功，数据库持有者解密C_p得到相应的用户资料并返回给用户查看；

进一步的，所述的步骤1中，根据n维生物特征向量b_i扩展成(n+2)维特征向量B_i步骤为：对b_i按照以下形式扩展：

b_i＝(b_i1，b_i2，…，b_in)

B_i＝(b_i1,b_i2,...,b_in，b_i(n+I)，1)

其中b_in为b_i的第n分量,b_i(n+1)按照以下等式计算得到：

$b_{i(n+1)}=-\frac{1}{2}(b_{i1}^2,b_{i2}^2,...,b_{in}^2)$

进一步的，所述的步骤1中，所述的由(n+2)维向量B_i＝(b_i1，b_i2，……，b_i(n+1)，1)，将其按照下式得到(n+2)维矩阵：

$B_i^{\′}=\left(\begin{array}{ccccc}{b}_{i1}& 0& 0& ...& 0\\ 0& b_{i2}& 0& ...& 0\\ ...& ...& ...& ...& ...\\ 0& 0& 0& b_{i(n+1)}& 0\\ 0& 0& 0& 0& 1\end{array}\right)$

进一步的，所述的步骤1中，对数据库加密步骤还可以为：首先对数据库中生物特征数据预处理，随后数据库持有者生成的(n+2)×(n+2)维随机矩阵M₁，M₂，在生成密文数据库信息时改换以下公式：

C_i＝M₁Q_iB_iM₂

其中Q_i是随机生成的(n+2)×(n+2)维对角矩阵，在得到加密的数据信息后放至云服务器中保存；

所述的步骤2中，用户请求参数加密步骤为：在预处理后按照如下等式生成密文：

$C_F=M_2^{-1}{B}_c^{\′}{Q}_c{M}_1^{-1}$

其中Qc是随机生成的(n+2)×(n+2)维对角矩阵，将加密后的请求参数发送至云服务器进行参数匹配步骤。

本发明和现有技术相比，具有的有益效果是：一种基于云存储生物特征认证的敏感信息安全外包方法，相较于传统的外包方法，本方法的数据库持有者除了将数据库外包到云服务器上外，用于身份认证的大量计算也将外包由云服务器，从而在很大程度上减轻了持有者在大规模信息存储和身份认证计算上的负担；由于云服务器有可能泄露用户生物特征数据，在此方法中，本发明还提出了一种新型生物认证信息保护协议，采用新的生物特征信息加密算法对数据库信息进行加密后再保存至云服务器，并采用欧式距离计算算法及高效的匹配算法来认证用户。为更好的提高系统的安全性，本发明针对现有的3种攻击模式进行分析，又提出了增强版加密策略来保护生物特征敏感数据不被泄漏。本发明有效的解决了生物特征认证外包项目中信息泄露、认证计算沉重的问题，具有高安全性、高准确性、高效率、低存储的优点。

附图说明

图1为本发明流程图；

图2a为准备阶段下数据库大小对时间的影响图；

图2b为准备阶段下数据库大小对带宽的影响图；

图3a为认证阶段下数据库大小对时间的影响图；

图3b为认证阶段下数据库大小对带宽的影响图；

图4a为同时处理认证请求参数个数对时间消耗的影响图；

图4b为三方认证模型和双方认证模型时间性能比较图；

具体实施方式

基于云存储生物特征认证的敏感信息安全外包系统包含如下步骤：

1.基于云存储生物特征认证的敏感信息安全外包方法，包含如下步骤：

步骤1.数据库持有者对每一条生物特征数据进行预处理得到相应的n维特征向量b_i，随后将b_i扩展成(n+2)维向量B_i，再将B_i转置成(n+2)×(n+2)维矩阵B_i’，最后使用数据库持有者生成的两个(n+2)×(n+2)维随机矩阵M₁、M₂按照以下公式得到加密后的数据信息C_i：

$C_i=M_1{B}_i^{\text{'}}{M}_{2_i}$

数据库持有者再生成一个安全的参数秘钥k，使用SKE.KeyGen(1^k，r)算法来生成sk，此处r是一个随机数，SKE是基于PCPA(防范选定明文攻击的伪随机性)的安全对称秘钥机制，将用户个人信息设为p，使用生成秘钥sk加密p得到加密后的用户请求参数C_p。得带加密后生成的元组＜C_i，C_p＞，将其上传到云服务器中。

步骤2.用户发送认证请求给数据库持有者，数据库持有者首先对用户发送的请求参数进行加密，随后把加密的请求参数发送给云服务器来获取用户的请求数据。

所述的用户请求参数加密步骤为：用户需要认证身份时，将对应的生物特征数据以n维向量b_c＝[b_c1,b_c2,…,b_cn]形式发送给数据库持有者，随后数据库持有者将b_c按以下形式扩展成(n+2)维向量B_c：

B_c＝[b_c1，b_c2，…，b_cn，1，r_c]

其中，r_c由数据库持有者随机生成，其中b_cn为b_c的第n分量，所述的r_c对于每一个b_c独立生成，然后，将B_C转置成矩阵B_C’，最后按以下形式得到用户请求参数的加密形式C_F:

$c_F=M_2^{-1}{B}_c^{\′}{M}_1^{-1}$

数据库持有者将以上加密后的请求参数发送给云服务器；

步骤3.云服务器采用最小欧式距离匹配算法，对接收到的加密数据库信息和参数信息进行处理，通过选出最小欧式距离来确定候选请求数据，并将结果返回给数据库持有者；

所述的云服务器匹配请求参数的步骤为：对加密后的密文数据库信息C_i和加密后的请求参数C_F计算欧式距离，云服务器需要通过最小欧式距离来得到匹配的数据结果；

对加密后的密文数据库信息C_i和加密后的请求参数C_F计算步骤为：对于每一个密文数据库信息C_i，云服务器会将加密参数信息C_F与之相乘得到P_i，公式如下：

$P_i=C_i{C}_F=M_1-B_i^{\′}{B}_c^{\′}{M}_1^{-1}$

然后，计算P_i的特征值，并用T_i来表示其特征值每个分量相加的和值；选择最大的T_i值，将对应的〈C_i，C_p〉视为请求的加密数据并返回给数据库持有者。

步骤4.数据库持有者对云服务器的返回结果进行检验，判断其是否为用户请求的数据；预设置阈值参数e，数据库持有者对返回的加密数据＜C_i，C_p＞解密C_i得到矩阵形式的明文数据B_i，从B_i中提取出特征向量b_i，计算b_i和请求参数b_c的欧式距离，当大于e时，说明身份认证不成功，提示用户重新验证身份并返回步骤2，反之，身份认证成功，数据库持有者解密C_p得到相应的用户资料并返回给用户查看；

所述的步骤1中，根据n维生物特征向量b_i扩展成(n+2)维特征向量B_i步骤为：对b_i按照以下形式扩展：

b_i＝(b_i1,bi₂,...,b_in)

B_i＝(b_i1,b_i2，...，bi_n,b_i(n+I),1)

其中b_in为b_i的第n分量,b_i(n+1)按照以下等式计算得到：

$b_{i(n+1)}=-\frac{1}{2}(b_{i1}^2,b_{i2}^2,...,b_{in}^2)$

所述的步骤1中，所述的由(n+2)维向量B_i＝(b_i1，b_i2，……，b_i(n+1)，1)，将其按照下式得到(n+2)维矩阵：

$B_i^{\′}=\left(\begin{array}{ccccc}{b}_{i1}& 0& 0& ...& 0\\ 0& b_{i2}& 0& ...& 0\\ ...& ...& ...& ...& ...\\ 0& 0& 0& b_{i(n+1)}& 0\\ 0& 0& 0& 0& 1\end{array}\right)$

作为增强版本，所述的步骤1中，对数据库加密步骤还可以为：首先对数据库中生物特征数据预处理，随后数据库持有者生成的(n+2)×(n+2)维随机矩阵M₁，M₂，在生成密文数据库信息时改换以下公式：

C_i＝M₁Q_iB_iM₂

其中Q_i是随机生成的(n+2)×(n+2)维对角矩阵，在得到加密的数据信息后放至云服务器中保存；

所述的步骤2中，用户请求参数加密步骤为：在预处理后按照如下等式生成密文：

$C_F=M_2^{-1}{B}_c^{\′}{Q}_c{M}_1^{-1}$

其中Qc是随机生成的(n+2)×(n+2)维对角矩阵，将加密后的请求参数发送至云服务器进行参数匹配步骤。

为了构建一个安全完善的系统，我们分析了所有可能的攻击情况，并总结出三种攻击模型：

攻击模型1反映了普遍存在的安全状况；在攻击模型2中，云服务器知道部分数据库中明文形式的数据，但是并不知道所对应的密文值；在攻击模型3中，云服务器可能存在和用户端共谋的状况。很显然，攻击者在模型2和模型3中更有可能获取到用户隐私数据，但是现在并没有适用于模型2和模型3的安全系统。

攻击模型1:云服务器作为一个不值得信任的一方可以被看作攻击方。它可以看到加密后的数据库c和加密后的用户请求参数。这个攻击模型和众所周知的仅只密文攻击模型(COA)相似，广泛用于数据加密的安全协议评估中。实际情况下，这些应用只能被少数用户使用，但是其他人几乎除了加密数据外并不能看到器宇信息。

攻击模型2:在攻击模型1中，我们假定攻击者有几组数据库的明文数据，但是他并不知道对应的加密数据。比如，攻击者看到加密的数据库和政府采集的几组用户数据指纹信息，那么攻击者可以知道数据库中几条明文的数据记录。

攻击模型3：在攻击模型1的基础上，我们假定云服务器和用户可能存在共谋关系。因此，除了加密的数据库外，攻击者可以任意的选择用户的生物特征数据请求参数进行加密，然后在云服务器上执行这个加密的请求信息。考虑到这个攻击模型也存在于其他应用中，比如，有可能云服务器本身作为一个用户去提交用于身份认证的指纹信息，那么它就可以看到该信息的加密形式并控制返回候选数据的内容。

现结合附图1说明本发明的具体实施例：

为了评估本系统的性能，我们将本发明应用在一个基于指纹认证的系统上。

系统环境配置：

设置1000个节点的云服务器，每个节点配置有inteli5-4440M2.80GHzCPU和16GB的内存空间。

提供一个独立的服务器并配置有inteli5-4440M2.80GHzCPU和16GB的内存空间。

实施步骤：

1)加密数据库生成步骤：

(A)数据指纹预处理：随机产生640条向量用于生成指纹信息数据b_i。

(B)对于每一个640维指纹信息数据b_i＝[b_i1，b_i2，…，b_i640]扩展成642维向量B_i＝[b_i1，b_i2，…，b_i640，b_i641，1]：

其中b_i641按照以下等式计算得到：

$b_{i641}=-\frac{1}{2}(b_{i1}^2,b_{i2}^2,...,b_{i640}^2)$

(C)B_i按照以下等式转置成642×642维矩阵B_i’

$B_i^{\′}=\left(\begin{array}{ccccc}{b}_{i1}& 0& 0& ...& 0\\ 0& b_{i2}& 0& ...& 0\\ ...& ...& ...& ...& ...\\ 0& 0& 0& b_{i641}& 0\\ 0& 0& 0& 0& 1\end{array}\right)$

(D)生成随机642维矩阵M₁和M₂，按照以下公式生成加密后的生物特

征数据

C_i＝M₁B_iM₂

生成一个安全的参数秘钥k，使用SKE.KeyGen(1^k，r)算法来生成sk，此处r是一个随机数，SKE是基于PCPA(防范选定明文攻击的伪随机性)的安全对称秘钥机制。

(E)用户个人信息设为p，使用生成秘钥sk加密p得到加密后的用户请求参数C_p。

(F)将加密后生成的元组＜C_i，C_p＞上传到云服务器中。

2)请求参数加密步骤：

(A)将用户发送的请求参数预设置后产生640位请求向量b_c

(B)产生随机数r_c将640位请求向量b_c按照如下公式扩展成642位向量B_C：

B_c＝[b_c1，b_c2，…，b_c640，1，r_c]

(C)与第四步步骤类似，将B_C转置成B_C’。

(D)按照以下等式加密请求参数，得到加密后的请求参数：

$C_F=M_2^{-1}{B}_c^{\′}{M}_1^{-1}$

(E)将密文形式请求参数发送给云服务器。

3)生物特征数据匹配步骤：

(A)计算加密请求参数和加密生物认证数据的欧式距离；

(B)选取具有最小欧式距离的加密数据＜C_i，C_p＞并返回给数据库持有者；

4)数据库持有者筛选返回的候选数据。首先解密返回数据C_i，计算明文形式生物特征数据和请求参数的欧式距离，当计算结果不大于预设阈值时，说明身份认证成功，数据库解密C_p并将得到的明文形式用户资料返回给用户查看，反之，提示认证失败并返回步骤2重新提交指纹信息重新认证。

结果评测：

1)附图2显示了数据库加密阶段中时间和带宽消耗情况。在数据库加密阶段，时间和带宽消耗在外包云服务器存储的情况下随着数据库大小呈线性增长。附图2b显示，在三种模式下，带宽消耗几乎是一样的。

2)附图3显示了云服务器数据匹配阶段下时间和带宽消耗情况。从附图3a看出，随着数据库的变大，生物认证数据匹配阶段的耗时呈线性增长；本发明相比传统方案在此阶段的时间上消耗更多，但是安全性能更好。附图3b显示，本发明对带宽的消耗与数据库大小无关，可以维持在一个不变的常数量。

3)附图4a显示了同时认证请求参数个数对时间消耗的影响，可以看出随着请求参数个数的增加，时间消耗也在增加。附图4b对三方认证模型和双方认证模型在时间性能上做出了比较，可以看出基于三方认证模型的本发明大大改善了生物认证系统的时间性能。

Claims (4)

1.一种基于云存储生物特征认证的敏感信息安全外包方法，其特征在于，包含如下步骤：

步骤1.数据库持有者对每一条生物特征数据进行预处理得到相应的n维特征向量b_i，随后将b_i扩展成(n+2)维向量B_i，再将B_i转置成(n+2)×(n+2)维矩阵B_i’，最后使用数据库持有者生成的两个(n+2)×(n+2)维随机矩阵M₁、M₂按照以下公式得到加密后的数据信息C_i并存至云服务器中；

$C_i=M_1{B}_i^{\′}{M}_{2_i}$

数据库持有者再生成一个安全的参数秘钥k，使用SKE.KeyGen(1^k，r)算法来生成sk，此处r是一个随机数，SKE是基于PCPA防范选定明文攻击的伪随机性的安全对称秘钥机制；将用户个人信息设为p，使用生成秘钥sk加密p得到加密后的用户请求参数C_p；得带加密后生成的元组＜C_i，C_p＞，将其上传到云服务器中；

步骤2.用户发送认证请求给数据库持有者，数据库持有者首先对用户发送的请求参数进行加密，随后把加密的请求参数发送给云服务器来获取用户的请求数据；

所述的用户请求参数加密步骤为：用户需要认证身份时，将对应的生物特征数据以n维向量b_c＝[b_c1,b_c2,…,b_cn]形式发送给数据库持有者，随后数据库持有者将b_c按以下形式扩展成(n+2)维向量B_c：

B_c＝[b_c1，b_c2，...，b_cn，1，r_c]

其中，r_c由数据库持有者随机生成，其中b_cn为b_c的第n分量，所述的r_c对于每一个b_c独立生成，然后，将B_C转置成矩阵B_C’，最后按以下形式得到用户请求参数的加密形式C_F:

$C_F=M_2^{-1}{B}_c^{\′}{M}_1^{-1}$

数据库持有者将以上加密后的请求参数发送给云服务器；

步骤3.云服务器采用最小欧式距离匹配算法，对接收到的加密数据库信息和参数信息进行处理，通过选出最小欧式距离来确定候选请求数据，并将结果返回给数据库持有者；

所述的云服务器匹配请求参数的步骤为：对加密后的密文数据库信息C_i和加密后的请求参数C_F计算欧式距离，云服务器需要通过最小欧式距离来得到匹配的数据结果；

对加密后的密文数据库信息C_i和加密后的请求参数C_F计算步骤为：对于每一个密文数据库信息C_i，云服务器会将加密参数信息C_F与之相乘得到P_i，公式如下：

$P_i=C_i{C}_F=M_1{B}_i^{\′}{B}_c^{\′}{M}_1^{-1}$

然后，计算P_i的特征值，并用T_i来表示其特征值每个分量相加的和值；选择最大的T_i值，将对应的〈C_i，C_p〉视为请求的加密数据并返回给数据库持有者；

步骤4.数据库持有者对云服务器的返回结果进行检验，判断其是否为用户请求的数据；预设置阈值参数e，数据库持有者对返回的加密数据解密得到矩阵形式的明文数据B_i，从B_i中提取出特征向量b_i，计算b_i和请求参数b_c的欧式距离，当大于e时，说明身份认证不成功，提示用户重新验证身份并返回步骤2，反之，身份认证成功，用户可以查看数据库中其相关资料。

2.根据权利要求1所述的一种基于云存储生物特征认证的敏感信息安全外包系统包含如下步骤：所述的步骤1中，根据n维生物特征向量b_i扩展成(n+2)维特征向量B_i步骤为：对b_i按照以下形式扩展：

b_i＝(b_i1，b_i2，...，b_in)

B_i＝(b_i1,b_i2,...,b_in，b_i(n+1)，1)

其中b_in为b_i的第n分量,b_i(n+1)按照以下等式计算得到：

$b_{i(n+1)}=-\frac{1}{2}(b_{i1}^2,b_{i2}^2,...,b_{in}^2).$

3.根据权利要求2所述的一种基于云存储生物特征认证的敏感信息安全外包系统包含如下步骤：所述的步骤1中，所述的由(n+2)维向量B_i＝(b_i1，b_i2，……，b_i(n+1)，1)，将其按照下式得到(n+2)维矩阵：

$B_i^{\′}=\left(\begin{array}{ccccc}{b}_{i1}& 0& 0& ...& 0\\ 0& b_{i2}& 0& ...& 0\\ ...& ...& ...& ...& ...\\ 0& 0& 0& b_{i(n+1)}& 0\\ 0& 0& 0& 0& 1\end{array}\right).$

4.根据权利要求1所述的一种基于云存储生物特征认证的敏感信息安全外包系统包含如下步骤：所述的步骤1中，对数据库加密步骤还可以为：首先对数据库中生物特征数据预处理，随后数据库持有者生成的(n+2)×(n+2)维随机矩阵M₁，M₂，在生成密文数据库信息时改换以下公式：

C_i＝M₁Q_iB_iM₂

其中Q_i是随机生成的(n+2)×(n+2)维对角矩阵，在得到加密的数据信息后放至云服务器中保存；

所述的步骤2中，用户请求参数加密步骤为：在预处理后按照如下等式生成密文：

$C_F=M_2^{-1}{B}_c^{\′}{Q}_c{M}_1^{-1}$

其中Qc是随机生成的(n+2)×(n+2)维对角矩阵，将加密后的请求参数发送至云服务器进行参数匹配步骤。