基于CRC與離散對數(shù)難題的雙重認(rèn)證模糊金庫方案

張歡歡

摘要：模糊金庫方案是生物特征加密領(lǐng)域一種流行的密鑰綁定方案，它將生物特征與秘密數(shù)據(jù)安全地綁定在一起，形成一個金庫且能夠?qū)崿F(xiàn)“模糊”解鎖，攻擊者不能從金庫中獲取生物特征或秘密數(shù)據(jù)。因此，方案可以在保護秘密數(shù)據(jù)的同時，也保護用戶的生物特征?；贑RC循環(huán)冗余編碼的模糊金庫是模糊金庫應(yīng)用于生物特征認(rèn)證識別的一種重要實現(xiàn)，但是其存在兩類嚴(yán)重問題，即CRC碰撞和無法抵抗混合替代攻擊。提出了基于CRC與離散對數(shù)難題的雙重認(rèn)證模糊金庫，可以同時解決這兩類問題。

關(guān)鍵詞關(guān)鍵詞：模糊金庫；生物特征加密；CRC校驗；混合替代攻擊

DOIDOI：10.11907/rjdk.171923

中圖分類號：TP301

文獻標(biāo)識碼：A文章編號文章編號：16727800（2017）011002603

0引言

2002年，ARI JUELS等[1]提出的模糊金庫方案很好地解決了生物特征模糊性問題，他們將個體的生物特征看作與之對應(yīng)的一些特征點集合，將個體生物特征與密鑰κ綁定形成一個金庫，設(shè)計了一種擁有容錯能力的方案，即允許上鎖生物特征與解鎖生物特征略有不同。但此方案中解鎖階段采用RS解碼恢復(fù)出密鑰κ′，并未采用任何措施確認(rèn)κ′與原始密鑰κ是否相等，因此不能用于生物認(rèn)證。隨后學(xué)者提出基于CRC校驗與拉格朗日內(nèi)插函數(shù)的模糊金庫[24]，只有通過拉格朗日多項式插值法得到的密鑰滿足CRC校驗，才算通過驗證，然而由于這些方案中CRC校驗位只有短短的8bit或者16bit，所以CRC碰撞發(fā)生的概率不可被忽略（CRC碰撞即非法用戶通過拉格朗日插值法得到的非真實密鑰滿足CRC校驗）。而CRC碰撞一旦發(fā)生，將會導(dǎo)致非法用戶通過認(rèn)證，從而使系統(tǒng)的FAR（錯誤接受率）升高。本文基于離散對數(shù)數(shù)學(xué)難題，在基于CRC校驗的模糊金庫中引入?yún)?shù)組（p，g，gκ），只有在恢復(fù)出的密鑰κ′通過CRC校驗，同時滿足gκ′=gκ時，認(rèn)證才算通過。實驗表明，該方案在維持FRR（錯誤拒絕率）基本不變的情況下，降低了系統(tǒng)的FAR。

1經(jīng)典模糊金庫方案

模糊金庫方案是Juels和Sudan在2002年提出的密鑰綁定算法，其最大特點是具有無序性，該特點非常適合將生物特征的模糊性和密碼算法的精確性聯(lián)系起來。模糊金庫方案一般分為兩個步驟：①上鎖階段。用戶將秘密κ和無序集A綁定構(gòu)成模糊金庫，使攻擊者很難從模糊金庫中找出秘密κ和無序集A；②解鎖階段。用戶使用無序集B從保險箱中解密出秘密κ，用戶能夠解密得到κ的充分必要條件是無序集B和無序集A有足夠多的元素重合。模糊金庫算法的具體實現(xiàn)過程可以描述如下：

（1）上鎖階段：選取密鑰κ∈Fkq與一個一次多項式f（x）=f0+f1x+f2x2+…+fk-1xk-1相關(guān)聯(lián)，即將密鑰κ映射為f（x）的系數(shù)。然后將上鎖的特征點集合A={a1，a2，…，at}中的所有特征點都映射到f（x）上，得到真實特征點的點集R={（a1，f（a1）），（a2，f（a2）），…（at，f（at））}，再隨機添加適量雜湊點，構(gòu)成雜湊點點集R′。雜湊點的一維坐標(biāo)值應(yīng)與真實點的特征值不同，且添加的雜湊點不經(jīng)過選定的一次多項式f（x），即可得到模糊金庫VA=R∪R′。為了隱藏秘密κ，雜湊點的數(shù)量要遠(yuǎn)遠(yuǎn)大于真實點數(shù)目（一般取真實特征點的10倍以上）。

（2）解鎖階段：用戶使用無序集B從模糊金庫中解密κ，假設(shè)B和A中有足夠多的元素重合，找出這些重合的點，這些點必然落在多項式P上。使用這些點重構(gòu)一個多項式f，由f得到秘密κ。如果B和A重合的點數(shù)不夠，則無法重構(gòu)出一個與f相同的多項式。經(jīng)典模糊金庫框架如圖1所示。

圖1經(jīng)典模糊金庫框架

2基于CRC的模糊金庫方案

基于CRC的模糊金庫方案[2，5]與經(jīng)典模糊金庫方案不同的是，該方案中采用拉格朗日內(nèi)插法和CRC校驗代替了經(jīng)典模糊金庫方案在解密階段時使用的RS解碼模塊。因此，可以通過檢查CRC校驗是否滿足，以確定密鑰是否被正確地恢復(fù)，也使其可以作為生物特征的識別認(rèn)證。基于CRC的模糊金庫分為注冊階段和認(rèn)證階段兩部分，其主要思路是計算出真實密鑰κ的CRC，并且直接附在真實密鑰κ的后面，用這個新密鑰作為一次多項式的系數(shù)，按照經(jīng)典模糊金庫中的上鎖步驟完成注冊。而在認(rèn)證階段，利用拉格朗日多項式內(nèi)插法恢復(fù)出多項式后，再檢查恢復(fù)出的多項式系數(shù)是否滿足CRC校驗，并以此作為認(rèn)證是否通過的依據(jù)。基于CRC的模糊金庫方案框架如圖2所示。

圖2基于CRC的模糊金庫框架

3基于CRC與離散對數(shù)難題的雙重認(rèn)證模糊金庫方案

本文提出的認(rèn)證方案與以往基于模糊金庫的認(rèn)證方案不同的是，其在模糊金庫里添加了參數(shù)組（p，g，gκ），其中p為選定的大素數(shù)，g為有限乘法群F*p中一個生成元。由于在已知（p，g，gκ）時，想要求出κ比較困難，故參數(shù)組（p，g，gκ）不會泄露密鑰κ的信息。在認(rèn)證階段，首先根據(jù)朗格朗日多項式插值法恢復(fù)出一次多項式的系數(shù)，得到κ′，驗證κ′是否滿足CRC校驗，若不滿足，則認(rèn)證失??；若滿足CRC校驗，再利用金庫中的公共參數(shù)g計算出gκ′，并驗證gκ′=gκ是否成立，若滿足，則認(rèn)證成功，若不滿足，則認(rèn)證失敗?？梢钥闯?，認(rèn)證用戶只有同時通過CRC校驗和gκ′=gκ時才能認(rèn)證成功，所以該方案可以很好地降低非法用戶成功通過認(rèn)證的概率。當(dāng)然，對于合法用戶而言，CRC校驗和gκ′=gκ都可以很簡單地通過，所以對系統(tǒng)的錯誤拒絕率基本沒有影響。因此，該方案的設(shè)計可以在維持FRR（錯誤拒絕率）基本不變的情況下，有效降低系統(tǒng)的FAR。

4安全性分析

文獻[8]～[10]指出了基于生物模板保護的方案存在的缺點以及基于模糊金庫的方案可能遭受的攻擊類型，抗混合替代攻擊是基于模糊金庫的方案都無法避免的攻擊類型，以下對本文提出方案的與抗混合替代攻擊性進行分析。endprint