CN110692215A

CN110692215A - 防止量子攻击的基于带误差学习假设的可重用模糊提取器

Info

Publication number: CN110692215A
Application number: CN201880035111.2A
Authority: CN
Inventors: 赵忠原; D·C·爱朋; K·埃尔·德弗拉维; J·卡茨
Original assignee: Hull Laboratory Co Ltd
Current assignee: Hull Laboratory Co Ltd; HRL Laboratories LLC
Priority date: 2017-07-17
Filing date: 2018-05-15
Publication date: 2020-01-14
Also published as: WO2019018049A1; EP3656087A4; EP3656082A4; US20200145206A1; WO2019018046A1; US11101991B2; US20190020472A1; EP3656087A1; CN110710156A; EP3656082A1; US10778423B2

Abstract

描述了一种用于基于生物特征的安全性的系统。该系统使用可重用模糊提取器处理将生物特征数据转换为密码密钥。可重用模糊提取器处理包括生成处理和重建处理。生成处理将公共参数和第一生物特征输入作为输入，并输出公共辅助字符串和第一随机字符串。重建处理将公共辅助字符串和第二生物特征输入作为输入，并输出第二随机字符串。可重用模糊提取器处理是可重用的，以使多个公共辅助字符串不会揭示有关第一生物特征输入和第一随机字符串的任何信息。通过应用密码密钥来解锁安全数据，以实现对安全数据的访问的生物特征安全性。

Description

防止量子攻击的基于带误差学习假设的可重用模糊提取器

政府许可权

本发明是在美国政府合同号2016-16081000009的政府支持下完成的。政府在本发明中具有特定权利。

相关申请的交叉引用

这是2017年7月17日在美国提交的题为“Reusable Fuzzy Extractor Based onthe Learning-With-Error Assumption Secure Against Quantum Attacks”的美国临时申请No.62/533,572的非临时专利申请，该临时申请的全部内容通过引用并入于此。

这也是2017年7月17日在美国提交的题为“Practical Reusable FuzzyExtractor Based on the Learning-With-Error Assumption and Random Oracle”的美国临时申请No.62/533,548的非临时专利申请，该临时申请的全部内容通过引用并入于此。

发明的背景

技术领域

本发明涉及可重用模糊提取器(RFE)密码系统，更具体地，涉及可以利用简单高效的操作来实现的RFE密码系统。

背景技术

模糊提取器(FE)将生物特征数据转换为随机字符串，这使得将密码技术应用于生物特征安全性成为可能。模糊提取器将重复的秘密的有噪声读数转换为相同的均匀分布密钥。为了消除噪声，初始登记阶段采集秘密的第一个有噪声读数，并产生要用于后续的读数的非秘密的辅助字符串。即使利用同一秘密的有噪声版本重复了若干次该初始登记阶段从而产生多个辅助字符串，可重用模糊提取器(RFE)仍然安全。

使用先前的RFE已经取得了一些结果(参见并入的参考文献列表，参考文献No.1-No.3)，这些RFE都被认为针对量子敌对者是安全的。参考文献No.2中的RFE在Boyen的RFE概念下是安全的；然而，可以提高这种安全性。参考文献No.1和No.3都描述了可重用模糊提取器，因为它们依赖于非常昂贵的密码工具(诸如，数字锁)(参见参考文献No.3)或多线性分级编码(参见参考文献No.1)，因此可能被认为是不切实际的。这些密码工具产生非常大的公共字符串(大于50～100兆字节(MB))并且生成(Gen)和重建(Rep)算法的运行时间变慢。

因此，持续需要一种与先前的工作相比提供改进的性能的RFE。

发明内容

本发明涉及可重用模糊提取器(RFE)密码系统，更具体地，涉及可以利用简单高效的操作来实现的RFE密码系统。该系统包括被配置为提供生物特征数据的扫描仪以及一个或更多个处理器和编码有可执行指令的非暂时性计算机可读介质，使得当执行所述可执行指令时，所述一个或更多个处理器执行多种操作。该系统使用可重用模糊提取器处理将生物特征数据转换为密码密钥，其中可重用模糊提取器处理包括生成处理和重建处理，其中，生成处理将公共参数和第一生物特征输入作为输入，并输出公共辅助字符串和第一随机字符串，并且其中，重建处理将公共辅助字符串和第二生物特征输入作为输入，并输出第二随机字符串，其中，可重用模糊提取器处理是可重用的，使得多个公共辅助字符串不会揭示任何有关第一生物特征输入和第一随机字符串的信息。

在另一方面，仅在带误差学习(LWE)假设下，可重用模糊提取器处理针对量子敌对者是安全的。

在另一方面，当第一生物特征输入与第二生物特征输入足够相似时，第一随机字符串被认为等同于第二随机字符串，并且第二随机字符串被用于验证对安全数据的访问。

在另一方面，基于带误差学习(LWE)问题的计算复杂度假设来保证重用模糊提取器处理的安全性。

在另一方面，生物特征数据是指纹，并且通过服务器访问安全数据。

在另一方面，系统执行生成处理，以获得公共辅助字符串和第一随机字符串；使用第一随机字符串作为对称加密方案的密码密钥对消息进行加密，从而得到密文，并存储公共辅助字符串。

在另一方面，该系统还包括用于获得生物特征数据的指纹扫描仪。

在另一方面，该系统还包括用于获得生物特征数据的眼睛扫描仪。

另外，本发明涉及一种可重用模糊提取器(RFE)密码系统，该系统包括一个或更多个处理器和编码有可执行指令的非暂时性计算机可读介质，使得当执行所述可执行指令时，所述一个或更多个处理器执行多个操作。该系统从扫描仪接收生物特征数据；利用关联的第一随机字符串和加密消息获得密文；通过执行重建处理来认证生物特征数据，该重建处理将公共辅助字符串和生物特征数据作为输入，并输出第二随机字符串；以及如果所述第二随机字符串等同于所述第一随机字符串，则使用所述第二随机字符串对所述密文进行解密，以获得用于所述生物特征数据的认证的消息。

最后，本发明还包括计算机程序产品和计算机实现的方法。所述计算机程序产品包括存储在非暂时性计算机可读介质上的计算机可读指令，所述计算机可读指令能够由具有一个或更多个处理器的计算机执行，使得在执行所述指令时，所述一个或更多个处理器执行本文列出的操作。另选地，所述计算机实现的方法包括使计算机执行这些指令并且执行所得操作的动作。

附图说明

根据下面结合参照附图对本发明各个方面的详细描述，本发明的目的、特征以及优点将显而易见，附图中：

图1是描绘根据本公开的一些实施方式的可重用模糊提取器(RFE)密码系统的组件的框图；

图2是根据本公开的一些实施方式的计算机程序产品的例示图；

图3是根据现有技术的基于RFE的注册处理的例示图；

图4是根据现有技术的基于RFE的识别处理的例示图；

图5是根据本公开的一些实施方式的算法Gen的例示图；

图6是根据本公开的一些实施方式的算法Rec的例示图；以及

图7是例示根据本公开的一些实施方式的RFE密码系统的流程图。

具体实施方式

本发明涉及可重用模糊提取器(RFE)密码系统，更具体地，涉及可以利用简单高效的操作来实现的RFE密码系统。呈现以下描述以使本领域普通技术人员能够制造和使用本发明并将其并入特定应用的背景中。各种变型例以及不同应用方面的多种用途对于本领域技术人员来说是显而易见的，并且本文限定的一般原理可以被应用于广泛的方面。因此，本发明不旨在限于所呈现的方面，而是符合与本文所公开原理和新颖特征相一致的最广范围。

在下面的详细描述中，阐述了许多具体细节，以便提供对本发明的更透彻理解。然而，本领域技术人员应当明白，本发明可以在不必受限于这些具体细节的情况下来实践。在其它情况下，公知结构和装置按框图形式而不是按细节示出，以便避免模糊本发明。

将读者的注意引向与本说明书同时提交的所有文件和文档，这些文件和文档与本说明书一起开放以供公众查阅，所有这些文件和文档的内容通过引用并入于此。本说明书中公开的所有特征(包括任何所附权利要求、摘要以及附图)可以由用于相同、等同或相似目的的另选特征来代替，除非另有明确说明。因此，除非另有明确说明，所公开的每个特征仅仅是一系列的等同或相似特征中的一个例子。

而且，权利要求中没有明确陈述“用于执行指定功能的装置”或“用于执行特定功能的步骤”的任何要素不应被解释为如在35U.S.C.112节第6款中指定的“装置”或“步骤”条款。特别地，在本文的权利要求中使用“……的步骤”或“……的动作”不旨在援引35U.S.C.112节第6款的规定。

在详细描述本发明之前，首先提供了引用参考文献的列表。接下来，提供了对本发明各个主要方面的描述。最后，提供本发明各个实施方式的具体细节，以给出对具体方面的理解。

(1)并入参考文献的列表

贯穿本申请引用和并入以下参考文献。为了清楚和方便起见，这些参考文献在此被列为读者的中心资源。下列参考文献通过引用并入于此，就像在此完全陈述的一样。这些参考文献通过参照如下对应文献参考号而在本申请中加以引用：

1.Charles Herder and Benjamin Fuller and Marten van Dijk and SrinivasDevadas,Public Key Cryptosystems with Noisy Secret Keys,Cryptology ePrintArchive,Report 2017/210,2017。

2.Xavier Boyen.Reusable cryptographic fuzzy extractors.In ACM CCS’04:11thACM Conf.on Computer and Communications Security,pages 82–91.ACM Press,2004。

3.Ran Canetti,Benjamin Fuller,Omer Paneth,Leonid Reyzin,and AdamD.Smith.Reusable fuzzy extractors for low-entropy distributions.In Advancesin Cryptology—Eurocrypt 2016,Part I,volume 9665of LNCS,pages 117–146.Springer,2016。

4.Oded Regev.On lattices,learning with errors,random linear codes,andcryptography.In Harold N.Gabow and Ronald Fagin,editors,37th Annual ACMSymposium on Theory of Computing(STOC),pages 84–93.ACM Press,May2005。

5.Mihir Bellare and Phillip Rogaway.Random oracles are practical:aparadigm for designing efficient protocols.In Proceedings of the 1st ACMconference on Computer and communications security(CCS'93).ACM,New York,NY,USA,62-73,1993。

6.Benjamin Fuller,Xianrui Meng,and Leonid Reyzin.Computational fuzzyextractors.In Advances in Cryptology—Asiacrypt 2013,Part I,volume 8269ofLNCS,pages 174–193.Springer,2013。

7.Ran Canetti,Oded Goldreich,and Shai Halevi.2004.The random oraclemethodology,revisited.J.ACM 51,4(July 2004),557-594。

8.Shafi Goldwasser,Yael Kalai,Chris Peikert and Vinod Vaikuntanathan,Robustness of the learning with errors assumption,In Proceedings of the 40thannual ACM symposium on Theory of computing,In:ICS,pp.230–240,2010。

9.Daniele Micciancio and Michael Walter,Gaussian Sampling over theIntegers:Efficient,Generic,Constant-Time,Cryptology ePrint Archive,Report2017/259,2017。

(2)主要方面

本发明的各种实施方式包括三个“主要”方面。第一个是可重用模糊提取器(RFE)密码系统。该系统通常采用计算机系统操作软件的形式或采用“硬编码”指令集的形式。该系统可以并入提供不同功能的各种各样的装置中。第二个主要方面是利用数据处理系统(计算机)进行操作的通常采用软件形式的方法。第三个主要方面是计算机程序产品。计算机程序产品通常表示存储在诸如光存储装置(例如，光盘(CD)或数字通用盘(DVD))或磁存储装置(例如，软盘或磁带)的非暂时性计算机可读介质上的计算机可读指令。计算机可读介质的其它非限制示例包括：硬盘、只读存储器(ROM)以及闪存型存储器。这些方面将在下面进行更详细描述。

图1中提供了示出本发明的系统(即，计算机系统100)的示例的框图。计算机系统100被配置成执行与程序或算法相关联的计算、处理、操作和/或功能。在一个方面，本文讨论的某些处理和步骤被实现为存在于计算机可读存储器单元内并由计算机系统100的一个或更多个处理器执行的一系列指令(例如，软件程序)。在执行时，所述指令使计算机系统100执行特定动作并展现特定行为，如本文所描述的。

计算机系统100可以包括被配置成传送信息的地址/数据总线102。另外，一个或更多个数据处理单元(如处理器104(或多个处理器))与地址/数据总线102联接。处理器104被配置成处理信息和指令。在一方面，处理器104是微处理器。另选地，处理器104可以是不同类型的处理器，例如并行处理器、专用集成电路(ASIC)、可编程逻辑阵列(PLA)、复杂可编程逻辑器件(CPLD)或现场可编程门阵列(FPGA)。

计算机系统100被配置成利用一个或更多个数据存储单元。计算机系统100可以包括与地址/数据总线102联接的易失性存储器单元106(例如，随机存取存储器(“RAM”)、静态RAM、动态RAM等)，其中，易失性存储器单元106被配置成存储用于处理器104的信息和指令。计算机系统100还可以包括与地址/数据总线102联接的非易失性存储器单元108(例如，只读存储器(“ROM”)、可编程ROM(“PROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存等)，其中，非易失性存储器单元108被配置成存储用于处理器104的静态信息和指令。另选地，计算机系统100可以执行从诸如“云”计算中的在线数据存储单元取得的指令。在一方面，计算机系统100还可以包括与地址/数据总线102联接的一个或更多个接口，如接口110。所述一个或更多个接口被配置成使得计算机系统100能够与其它电子装置和计算机系统连接。由所述一个或更多个接口实现的通信接口可以包括有线(例如，串行电缆、调制解调器、网络适配器等)和/或无线(例如，无线调制解调器、无线网络适配器等)通信技术。

在一个方面，计算机系统100可以包括与地址/数据总线102联接的输入装置112，其中，输入装置112被配置成将信息和命令选择传送至处理器100。根据一个方面，输入装置112是字母数字输入装置(如键盘)，其可以包括字母数字键和/或功能键。另选地，输入装置112可以是除字母数字输入装置之外的其它输入装置。在一方面，计算机系统100可以包括与地址/数据总线102联接的光标控制装置114，其中，光标控制装置114被配置成将用户输入信息和/或命令选择传送至处理器100。在一方面，光标控制装置114是利用诸如鼠标、轨迹球、轨迹板、光学跟踪装置或触摸屏的装置来实现的。尽管如此，但在一方面，例如响应于使用与输入装置112相关联的特殊键和键序列命令，光标控制装置114经由来自输入装置112的输入而被引导和/或启用。在另一方面中，光标控制装置114被配置成通过语音命令指引或引导。

在一方面，计算机系统100还可以包括与地址/数据总线102联接的一个或更多个可选的计算机可用数据存储装置，诸如，存储装置116。存储装置116被配置成存储信息和/或计算机可执行指令。在一个方面，存储装置116是诸如磁或光盘驱动器(例如，硬盘驱动器(“HDD”)、软盘、光盘只读存储器(“CD-ROM”)、数字通用盘(“DVD”))的存储装置。依据一个方面，显示装置118与地址/数据总线102联接，其中，显示装置118被配置成显示视频和/或图形。在一方面，显示装置118可以包括：阴极射线管(“CRT”)、液晶显示器(“LCD”)、场发射显示器(“FED”)、等离子体显示器，或适于显示视频和/或图形图像以及用户可识别的字母数字字符的任何其它显示装置。

本文所呈现的计算机系统100是根据一个方面的示例计算环境。然而，计算机系统100的非限制示例并不严格限于作为计算机系统。例如，一个方面规定了计算机系统100代表可以根据本文所述各个方面使用的一类数据处理分析。此外，还可以实现其它计算系统。实际上，本技术的精神和范围不限于任何单一数据处理环境。因此，在一方面中，使用通过计算机执行的计算机可执行指令(例如，程序模块)来控制或实现本技术的各个方面的一个或更多个操作。在一个实现方式中，这样的程序模块包括被配置成执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件和/或数据结构。另外，一个方面提供了通过利用一个或更多个分布式计算环境来实现本技术的一个或更多个方面，例如，在该计算环境中，任务由通过通信网络链接的远程处理装置执行，或者例如，在该计算环境中，各种程序模块位于包括存储器-存储装置的本地和远程计算机存储介质中。

图2中描绘了具体实施本发明的计算机程序产品(即，存储装置)的例示图。该计算机程序产品被描绘为软盘200或诸如CD或DVD的光盘202。然而，如先前提到的，该计算机程序产品通常代表存储在任何兼容的非暂时性计算机可读介质上的计算机可读指令。如关于本发明所使用的术语“指令”通常指示要在计算机上执行的一组操作，并且可以表示整个程序的片段或单个分离的软件模块。“指令”的非限制示例包括计算机程序代码(源或目标代码)和“硬编码”电子装置(即，编码到计算机芯片中的计算机操作)。“指令”被存储在任何非暂时性计算机可读介质上，例如存储在计算机的存储器中或软盘、CD-ROM以及闪存驱动器上。无论如何，这些指令被编码在非暂时性计算机可读介质上。

(3)各个实施方式的具体细节

描述了一种不依赖于随机预言的存在的可重用模糊提取器(RFE)的系统，可证明该系统针对量子计算机(量子敌对者)是安全的。RFE是一种具有一对算法(Gen，Rec)的密码系统，使得Gen(生成算法)将生物特征m作为输入并输出一对两个字符串(pub，r)，其中pub是公共辅助字符串，而r是随机字符串。Rec(恢复算法)将两个字符串(公共字符串pub和生物特征读数m')作为输入，并输出随机字符串r'，使得当且仅当m'足够接近原始m时，r＝r'。RFE的可重用性保证了随机字符串r'或m的信息不会被全部针对同一生物特征m独立计算的多个公共字符串pub'所揭示。

(3.1)可重用模糊提取器及其在识别系统中的应用

可重用模糊提取器包括两种算法(Gen，Rec)。Gen和Rec分别代表生成算法和重建算法。这两种算法的语法描述如下。Gen将生物特征w作为输入并输出一对字符串(p，r)，其中p是公共辅助字符串，r是私有提取的随机数(randomness)。算法Rec将两个字符串p和w'作为输入，其中p是公共辅助字符串，w'是查询生物特征。然后，Rec输出随机数r'。Rec的模糊正确性保证了：如果用于创建p的生物特征w与查询生物特征w'接近，则其保持r＝r'。可重用的安全性保证了可以多次使用有噪声的生物特征来生成多个公共辅助字符串，而不会泄漏任何生物特征信息。

使用此系统，可以构建简单的基于生物特征的识别系统。图3和图4示出了根据现有技术的识别系统的示例，其中，图3例示了注册处理，而图4例示了识别处理。考虑两方，Alice(客户端)300和Bob(服务器)302。Alice 300希望通过使用她的生物特征信息w 304(例如，指纹)向Bob 302登记以进行一些安全数据存储服务B(要素306)。在初始注册阶段(图3)，Alice 300可以使用由Bob 302提供的指纹扫描仪以获得w(要素308)并将其发送给Bob(要素306)。然后，Bob 302简单地运行Gen(w)(要素310)以获得公共辅助字符串p和r(要素312)。现在，Bob 302使用任何私钥加密方案在密钥r下对消息“Alice||ServiceB”进行加密，所生成的密文为c(要素314)。然后，Bob从系统中擦除w和r，仅存储p和c(要素316)。现在，生物特征模板w被视为已注册(要素318)。

请注意，在给定p和c的情况下，与Alice 300或她的生物特征数据(要素304)有关的信息不会被透露给敌对的第三方，即使该敌对的第三方完全闯入Bob的服务器302中。如图4所示，每当Alice 300想要访问她的Bob 302的云存储时，她扫描生物特征w'(要素400)并将其发送给Bob(要素402)。现在，Bob 302可以执行Rec(p,w')(要素404)，其输出在初始注册时(图3)创建的原始随机数r(要素406)。然后，Bob 302可以通过使用r作为其解密密钥来解密c，以获得消息“Alice||ServiceB”(要素408)，以查明请求者确实是Alice，并向Alice授予对云服务B的访问权限(即，访问授权410)。

(3.2)设置和基础算法

以下是基于LWE假设的随机预言模型中的可重用模糊提取器(RFE)的描述。使用标准数学概念。[1，m]表示从1到m的所有整数的集合。粗体大写字母(例如，A)表示某个字段上的矩阵，粗体小写字母(例如，b)表示某个长度的向量。A^-1表示矩阵A的逆。

以下是Fuller等人提出的用于有噪声的随机线性码系统的解码算法的描述(参见参考文献No.6)。该算法被用作根据本公开的实施方式的系统中的子例程。在下面的描述中，A是从字段中随机采样的m×n矩阵，其中m≥3n且t＝O(log n)表示最大误差数，q是质数。至关重要的是，假定A是跨多个生物特征登记处理全局可用的通用参数，使得将随机的单个A指定给特定的个人。向量b是长度为m的向量。向量e是m维的误差向量，使得最多t个坐标为非零。下面描述了该解码算法。

–s′←Decode_t(A,b)：

1.选择2n个随机行而不替换i₁,…,i_2n←[1,m]。

2.将A,b限制为行i₁,…,i_2n；用表示。

3.找出

的n个线性独立的行。如果不存在这样的行，则输出⊥并停止。

4.进一步将

限制到这n行；用A′,b′表示结果。

5.计算s′＝(A′)^-1b′。

6.如果b-As′具有多于t个非零坐标,则从步骤(1)重新开始。

7.输出s′。

(3.2.1)解码算法Decode

算法Decode_t(A,b)以中的矩阵A和长度为m的向量b作为输入，并找到长度为n的向量s，该向量s对于长度为m的一些误差向量e和e'满足b＝As+e–e'，其中e–e'最多具有t＝O(log n)个非零坐标。

步骤1.在1到m之间随机选择一组2n个索引

步骤2.收集与步骤1中选择的索引相对应的输入矩阵A和向量b的行和坐标，以形成2n×n矩阵和长度为2n的向量。

步骤3.在步骤2中形成的2n×n矩阵中找到n个线性独立的行。步骤3的输出是n×n的满秩矩阵。在此步骤中输出这样的满秩矩阵，除了概率至少为1-(1/2)ⁿ。

步骤4.将该满秩矩阵设定为A'，并根据与A'的行相同的索引，将b'设定为来自步骤2中长度为2n的向量的向量。

步骤5.计算s'＝(A')^-1b'。请注意，A'是满秩的，因此可逆。

步骤6.计算b–As'，其中b和A作为输入给定，s'是步骤5的输出。如果b＝As+e–e'并且e–e'最多具有t个非零坐标(换句话说，e和e'足够接近)，将导致在解码算法的步骤7中输出s′。

(3.3)可重用模糊提取器算法

给定以上对解码算法的描述，以下是根据本公开的实施方式的RFE的描述。在下文中，pp表示通用参数。在这种情况下，pp是从字段

(其中m≥3n)随机均匀采样的m×n矩阵A。同样，设置t＝O(log n)。另外，使用另一字段使得Q是n的超多项式(super-polynomial)(例如，2^ω(logn))的质数(prime)(例如，Q＝2ⁿ)。注意，

中的某个m×n矩阵B的每项可以由ω(log n)位(例如，n位)表示。可以将

视为

的子字段，从而在

下保留来自和

的元素之间的字段操作。还要注意，是在

上具有平滑参数α的m维离散高斯分布(参见参考文献No.9)，其中，α被设置为超多项式(例如，2^ω(logn))。下面提供根据本公开的实施方式的用于可重用模糊提取器的算法的正式描述。

(3.3.1)生成算法Gen

如图5所示，算法Gen 500(称为“生成”算法)将公共参数pp(要素502)和长度为m的向量w作为输入，其中，w是基于生物特征读数304生成的。h代表这样的向量：其被认为是的r与密钥s的混淆向量。算法Gen 500的输出是公共辅助字符串p(要素504)和提取的随机数r'(要素506)。生物特征模板304(生物特征数据)是从生物特征扫描仪硬件510(诸如，指纹扫描仪或者诸如虹膜或视网膜扫描仪的眼睛扫描仪)获得的。

步骤1.对随机的长度为n的秘密向量s(要素508)进行采样。将来，这是提取最终随机数r(要素506)的种子。

步骤2.从公共参数pp(要素502)获得来自

的m×n矩阵A并计算公共辅助字符串c＝As+w(要素504)。

步骤3.对均匀的随机的m位二进制字符串r和来自

的m×n矩阵B进行采样，并对来自离散高斯分布

的长度为m的向量e进行采样。

步骤4.计算长度为m的向量h＝Bs+e+(Q/2)r。这可以认为这是通过使用具有多位输出的弱黑盒多位输入混淆器来在弱密钥s下对随机字符串r进行混淆的处理(参见参考文献No.8)

步骤5.设置公共辅助字符串p＝(c,B,h)

步骤6.输出(p，r)

-(p,r)←Gen(pp,w):

1.均匀地采样

2.将pp解析为A；令c＝As+w。

3.均匀地采样r∈{0,1}^m,

并采样

4.令

5.令p＝(c,B,h)。

6.输出(p,r)。

-r′←Rec(pp,w′,p):

1.将p解析为(c,B,h)；令b＝c-w′。

2.将pp解析为A；计算s′＝Decode_t(A,b)。

3.对于每个坐标i∈[m]:

(a)如果h-Bs的第i个坐标

则r′的第i个坐标为1。

(b)否则如果h-Bs的第i个坐标小于

或大于

则r′的第i个坐标为0。

(c)否则，输出⊥并停止。

4.输出重建的字符串r′∈{0,1}^m。

(3.3.2)重建算法Rec

由Rec表示的算法Rec(称为“重建”算法)的输入以公共参数pp、长度为m的向量w'(其中w'是基于生物特征读数生成的)以及包含

上的长度为m的向量c、

中的m×n矩阵B和

上的长度为m的向量h的公共辅助字符串p作为输入。算法Rec的输出是提取的随机数r'。

步骤1.从输入的公共辅助字符串p获得元组(c,B,h)，并计算b＝c–w'。

步骤2.从输入的公共参数pp获得m×n矩阵A，并通过执行Decode_t(A,b)获得长度为n的向量s'。

步骤3.使用提取的s'，从h获得最终的随机数r'(如上所述)。为此，首先计算

上的长度为m的向量h–Bs'。仅当r的第i个坐标为1时，h–Bs'的第i个坐标位于

之间，概率至少为1-(1/2)ⁿ。

步骤4.输出r'。

图6描绘了算法Rec的图示说明。重建算法Rec(要素404)的输入是公共参数pp、向量w'(其中w'是基于生物特征模板(要素400)生成的)以及公共辅助字符串p(要素504)。算法Rec(要素404)的输出是提取的随机数r(要素506)。从输入的公共参数pp获得矩阵A(要素502)，并且通过执行Decode_t(要素600)获得随机数种子(要素508)。输出是提取的随机数r(要素406)。

(3.4)预估性能

公共辅助字符串的大小取决于基础代数字段的阶(order)。令阶为Q，并且令生物特征的长度(就字段元素数而言)为m。注意，Q＝2ⁿ。因此，公共辅助字符串的大小(就位数而言)为O((log Q)*m)＝O(n*m)＝O(m²)。重建算法Rec的运行时间(就字段元素乘法的次数而言)为O(m*n)次乘法。预计根据本公开的实施方式的RFE的性能比现有技术(参见参考文献No.1和No.3)快(至少100倍)。由于在上述算法Gen的描述的步骤3中根据的离散高斯采样的复杂性，预计算法Gen的运行时间会比算法Rec的运行时间慢一些。然而，离散高斯采样的最新进展(参见参考文献No.9)有望保证算法Gen的运行时间比参考文献No.1和No.3提出的算法更快。另外，算法Gen的效率不如算法Rec的效率重要，因为预计算法Gen是在生物特征数据的初始登记时发生的一次性处理。

(3.5)可重用模糊提取器(Gen，Rec)的安全性

基于带误差学习(LWE)问题的困难度，保证了根据本公开实施方式的模糊提取器的可重用的安全性。可重用的安全性意味着：即使向敌对者给出了基于单个生物特征的(可能有噪声的)生物特征读数生成的多个公共辅助字符串，该敌对者也无法获得任何有关原始生物特征或据推测通过原始生物特征提取的随机数的信息。大多数其他模糊提取器产品不能提供可重用的安全性，因此，如果向敌对者给出了多于一个公共辅助字符串，则该敌对者可以提取有关原始生物特征以及提取的随机数的重要信息。

LWE问题被认为是难题，即使是针对量子敌对者，因为到目前为止尚未提出有效的量子算法。解决归结为LWE问题的格子问题的最著名算法是其维度上严格的指数时间算法。由于本文所述的可重用模糊提取器仅依赖于LWE问题的困难度，因此在无需任何其他困难度附加假设的情况下提供了针对量子敌对者的可重用的安全性。

在根据本公开的实施方式的发明中，描述了不依赖于使用随机预言的强安全属性的可重用模糊提取器。为此，利用基于LWE的技术来实现必要的安全保证。更具体地，参考文献No.8的基于LWE的技术被应用于构建密码工具，该密码工具可以代替随机预言使用，其代价是公共辅助字符串的大小的开销，其中该开销在生物特征的长度上是近似线性的。

本文所述的发明可用作基于生物特征的识别或认证系统(或其他类型的基于生物特征的系统，例如，密钥交换系统)，或者其他可以利用有噪声的生物特征信息作为密码密钥的密码系统的子系统。例如，可以如下构建用户Alice和服务器Bob使用的基于生物特征的识别系统。当Alice想在服务器Bob处用她的指纹m登记时，服务器Bob运行Gen(m)并获得pub和r。然后，Bob使用r作为对称加密方案的密码密钥，对消息“Alice||correct”进行加密。Bob仅存储pub和生成的密文c，并从系统中擦除r。随后，Alice可能要访问服务器Bob的数据库。然后，Bob可以在其读取Alice的指纹m'并运行Rec(pub,m')以获得r'时对Alice的证书进行认证。请注意，m'可能是原始指纹m的有噪声的版本，但是两个读数足够接近，因此r'＝r(即，足够相似)。

相似性度量被用于确定m与m'之间的相似性。该相似性度量与认证安全级别直接相关，该认证安全级别取决于应用域。例如，如果两个生物特征输入相同，则将实现高安全性。例如，一个代理可能要求80％的相似率来识别安全风险，而另一个代理可能要求95％的相似度来让内部成员访问分类信息。最后，Bob通过使用r'来解密c以获得消息“Alice||correct”，以验证试图访问数据库的人确实是Alice。

在该示例中，通过应用用于对安全数据的访问的生物特征安全性的密码密钥来解锁数据库中的安全数据。例如，如果数据库要求指纹扫描或视网膜/虹膜扫描之间具有95％的相似度才能访问数据库中的安全数据，则使用如上所述的可重用模糊提取器处理来将生物特征数据(例如，指纹、虹膜扫描、视网膜扫描)转换为密码密钥。在生成处理中，本文描述的系统将公共参数和例如第一/原始指纹扫描作为输入，并输出公共辅助字符串和第一随机字符串。当用户想要试图访问安全数据时，根据本公开的实施方式的系统然后将用户的指纹扫描(第二指纹扫描)作为输入。如果第二指纹扫描与第一指纹扫描具有95％的相似度，则数据库将被解锁。换句话说，用户能够访问数据库中的安全数据。

如本领域的技术人员可以理解的，该系统可以包括用于获得生物特征数据的指纹扫描仪或眼睛扫描仪(例如，虹膜扫描仪，视网膜扫描仪)。指纹扫描仪是使用指纹进行生物特征认证以验证和认证身份的硬件。虹膜扫描生物特征技术测量眼的彩色圆圈(coloredcircle)中的独特图案，以验证和认证身份。基于虹膜的识别需要使用特定的硬件(诸如，虹膜扫描仪)。视网膜扫描仪使用人的视网膜血管上的独特图案进行身份认证。

在Boyen的RFE概念下，参考文献No.2中的RFE是安全的，其可以被改进。因此，根据本公开的实施方式的RFE系统提供了更好的安全保证。本文所述的RFE依赖于被称为决策性带误差学习问题(LWE)的计算困难度假设(参见参考文献No.4)，其可以利用诸如矩阵和向量乘法之类的简单而有效的操作来实现。所有先前的结果均依赖于非常昂贵的密码工具的存在。

总而言之，本文描述的模糊提取器是可重用的，使得在LWE问题很困难的假设下，多个公共辅助字符串不揭示有关原始生物特征或对应提取的随机数的任何信息。此外，可重用模糊提取器(RFE)具有(实际上)相对小的公共辅助字符串大小。对于大小为100位的相同生物特征模板和相同数量的可能的误差(例如，在100位中最多10位是有误差的)，本公开的RFE的公共辅助字符串的大小仅小于100KB，而提供类似可重用的安全性的其他RFE(例如，参考文献No.1和No.3)的大小大于3MB。仅在LWE假设下，本文所述的整个可重用模糊提取器系统针对量子敌对者是安全的。不需要其他假设。图7是例示根据本公开的实施方式的RFE密码系统的流程图，其中，该系统使用可重用模糊提取器处理将生物特征数据转换为密码密钥(要素700)，并且密码密钥被应用于对安全数据的访问的生物特征安全性(要素702)。

最后，虽然已经根据几个实施方式对本发明进行了描述，但本领域普通技术人员应当容易地认识到本发明在其它环境中可以具有其它应用。应注意到，可以有许多实施方式和实现。而且，所附的权利要求绝不是旨在将本发明的范围限制成上述具体实施方式。另外，任何“用于……的装置(means)”的用语旨在唤起对要素和权利要求的装置加功能的解读，而任何未特别使用“用于……的装置(means)”用语的要素不应被解读为装置加功能要素，即使权利要求以其它方式包括了“装置(means)”一词。而且，虽然已经按特定次序陈述了特定的方法步骤，但这些方法步骤可以按任何期望的次序发生并且落入本发明的范围内。

权利要求书(按照条约第19条的修改)

1.一种用于对安全数据的访问的基于生物特征的安全性的系统，该系统包括：

扫描仪，所述扫描仪被配置为提供生物特征数据；以及

一个或更多个处理器以及编码有可执行指令的非暂时性计算机可读介质，使得当执行所述可执行指令时，所述一个或更多个处理器执行以下操作：

使用可重用模糊提取器处理将生物特征数据转换为密码密钥，

其中，所述可重用模糊提取器处理包括生成处理和重建处理，其中，所述生成处理将公共参数和第一生物特征输入作为输入并输出公共辅助字符串和第一随机字符串，并且其中，所述重建处理将公共辅助字符串和第二生物特征输入作为输入并输出第二随机字符串，

其中，所述可重用模糊提取器处理是可重用的，使得多个公共辅助字符串不揭示有关所述第一生物特征输入和所述第一随机字符串的任何信息。

2.根据权利要求1所述的系统，其中，仅在带误差学习LWE假设下，所述可重用模糊提取器处理针对量子敌对者是安全的。

3.根据权利要求1所述的系统，其中，当所述第一生物特征输入与所述第二生物特征输入足够相似时，所述第一随机字符串被认为等同于所述第二随机字符串，并且所述第二随机字符串用于验证对所述安全数据的访问。

4.根据权利要求1所述的系统，其中，基于带误差学习LWE问题的计算困难度假设来保证所述可重用模糊提取器处理的安全性。

5.根据权利要求1所述的系统，其中，所述生物特征数据是指纹，并且所述安全数据通过服务器来访问。

6.根据权利要求1所述的系统，其中，所述一个或更多个处理器还执行以下操作：

执行所述生成处理，以获得所述公共辅助字符串和所述第一随机字符串；

使用所述第一随机字符串作为对称加密方案的密码密钥对消息进行加密，从而得到密文；以及

存储所述公共辅助字符串。

7.一种用于基于生物特征的安全性的系统，该系统包括：

从扫描仪接收生物特征数据；

利用关联的第一随机字符串和加密消息获得密文；

通过执行重建处理来认证所述生物特征数据，该重建处理将公共辅助字符串和所述生物特征数据作为输入，并输出第二随机字符串；以及

如果所述第二随机字符串等同于所述第一随机字符串，则使用所述第二随机字符串对所述密文进行解密，以获得用于所述生物特征数据的认证的所述消息。

8.一种用于对安全数据的访问的基于生物特征的安全性的计算机实现的方法，该方法包括以下动作：

使一个或更多个处理器执行编码在非暂时性计算机可读介质上的指令，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：

从扫描仪接收生物特征数据；以及

使用可重用模糊提取器处理将所述生物特征数据转换为密码密钥，

9.根据权利要求8所述的方法，其中，仅在带误差学习LWE假设下，所述可重用模糊提取器处理针对量子敌对者是安全的。

10.根据权利要求8所述的方法，其中，当所述第一生物特征输入与所述第二生物特征输入足够相似时，所述第一随机字符串被认为等同于所述第二随机字符串，并且所述第二随机字符串用于验证对所述安全数据的访问。

11.根据权利要求8所述的方法，其中，基于带误差学习LWE问题的计算困难度假设来保证所述可重用模糊提取器处理的安全性。

12.根据权利要求8所述的方法，其中，所述生物特征数据是指纹，并且所述安全数据通过服务器来访问。

13.根据权利要求8所述的方法，其中，所述一个或更多个处理器还执行以下操作：

存储所述公共辅助字符串。

14.一种用于基于生物特征的安全性的计算机实现的方法，该方法包括以下动作：

从扫描仪接收生物特征数据；

利用关联的第一随机字符串和加密消息获得密文；

15.一种用于对安全数据的访问的基于生物特征的安全性的计算机程序产品，该计算机程序产品包括：

存储在非暂时性计算机可读介质上的计算机可读指令，所述计算机可读指令能够由具有一个或更多个处理器的计算机执行，以使所述处理器执行以下操作：

16.根据权利要求15所述的计算机程序产品，其中，仅在带误差学习LWE假设下，所述可重用模糊提取器处理针对量子敌对者是安全的。

17.根据权利要求15所述的计算机程序产品，其中，当所述第一生物特征输入与所述第二生物特征输入足够相似时，所述第一随机字符串被认为等同于所述第二随机字符串，并且所述第二随机字符串用于验证对所述安全数据的访问。

18.根据权利要求15所述的计算机程序产品，其中，基于带误差学习LWE问题的计算困难度假设来保证所述可重用模糊提取器处理的安全性。

19.根据权利要求15所述的计算机程序产品，其中，所述生物特征数据是指纹，并且所述安全数据通过服务器来访问。

20.根据权利要求15所述的计算机程序产品，所述计算机程序产品还包括使所述一个或更多个处理器进一步执行以下操作的指令：

存储所述公共辅助字符串。

21.根据权利要求1所述的系统，其中，所述扫描仪是指纹扫描仪。

22.根据权利要求1所述的系统，其中，所述扫描仪是眼睛扫描仪。

Claims

1.一种用于基于生物特征的安全性的系统，该系统包括：

扫描仪，所述扫描仪被配置为提供生物特征数据；以及

存储所述公共辅助字符串。

7.一种用于基于生物特征的安全性的系统，该系统包括：

从扫描仪接收生物特征数据；

利用关联的第一随机字符串和加密消息获得密文；

8.一种用于基于生物特征的安全性的计算机实现的方法，该方法包括以下动作：

从扫描仪接收生物特征数据；以及

存储所述公共辅助字符串。

从扫描仪接收生物特征数据；

利用关联的第一随机字符串和加密消息获得密文；

15.一种用于基于生物特征的安全性的计算机程序产品，该计算机程序产品包括：

存储所述公共辅助字符串。