基于容錯學習的生物特征認證方案研究

柴 虹

(蘭州交通大學鐵道技術學院 甘肅 蘭州 730070)

0 引 言

隨著云計算、大數據和物聯網產業的逐漸興起，可靠身份認證需求的不斷增長，基于生物特征的認證系統越來越受到行業和用戶的青睞。身份認證是指基于“你所知”和“你所有”這兩類標識信息鑒別實體是否是其所聲稱的特定身份的技術。前者主要指“口令”和“密碼”類標識信息；而后者包含“實體附著物”和“實體固有物”兩類，實體附著物主要指“身份證”和“令牌”類標識物，實體固有物又稱生物特征，包括指紋、臉圖、虹膜、掌紋、掌型、指靜脈、聲紋、DNA等生理特征和步態、簽名、擊鍵等行為特征[1]。生物特征認證技術就是基于實體獨特的生理或行為特征實現自動身份鑒別的技術，它的核心是身份標識信息的識別和標識信息的保護問題[2]。生物特征不像口令類標識那樣容易被忘記、泄露或被破解，也不會像“附著物”那樣容易被竊取或轉移，因此，生物特征認證是一種可靠、便捷、高效的身份認證技術。

通常情況下，部署一個生物特征認證方案主要考慮兩個階段：注冊階段和驗證階段。在注冊階段，將來自傳感器等生物特征采集設備的原始特征數據使用一定的技術進行特征提取，再將這些特征以模板的形式存儲于數據庫中以備后用。

驗證階段，將來自于特征采集設備的請求特征數據使用同樣的技術進行處理得到特征值，再和庫中的模板進行比對并輸出驗證結果。

生物特征識別的準確性受識別算法、采集設備及環境等因素的影響，拒真率(False Rejection Rate，FRR)和認假率(False Acceptance Rate，FAR)是直觀評價生物特征認證方案性能的兩個指標[3]。

近年來，因傳統認證標識濫用導致的安全事故屢見報端[4]，原始生物特征泄漏也使得用戶隱私受到嚴重威脅[5]。基于生物特征的認證技術因其認證標識的唯一性和永久性而優于傳統認證技術，但也因為同樣的原因使其面臨嚴重的安全風險和隱私威脅。因此，可隱私保護的生物特征認證技術研究受到學術界和行業的高度重視。目前，帶有生物特征保護特性的認證技術研究可歸類為如下四種：生物特征密碼系統類、可撤銷生物特征類、混合類和基于同態加密類。生物特征密碼系統類方案借助由生物特征導出的“幫助數據”綁定或生成密鑰實現認證[6]，可根據“幫助數據”的導出方法分為密鑰綁定類[7-8]和密鑰生成類[9-10]。可撤銷生物特征類方案使用可更新的密鑰和不可逆函數將原始生物特征轉換成模板，一旦模板泄漏，更新密鑰生成新模板即可[11-12]。混合類方案綜合了密碼系統類和可撤銷類方案優點，根據應用場景使用相應的特征[13-14]。基于同態加密的生物特征認證方案允許生物特征以密文的形式參與運算，可在保證系統性能的同時實現隱私保護要求[15-16,68]。因此，使用同態加密可以自然地構造可隱私保護的生物特征認證方案。

基于同態加密的生物特征認證方案一般化實現過程如下：注冊階段，通過生物特征采集設備采集用戶的原始生物特征信息，使用類似文獻[17]設計的特征向量提取技術將原始特征轉換成系統所要求長度的模板向量(如2 048比特)，再使用同態加密算法加密該模板向量生成模板密文，并連同用戶標識符一同保存在數據庫中以備后用；驗證階段，使用和注冊過程相同的技術處理請求用戶的生物特征得到相應請求密文，計算請求密文和模板密文之間距離密文(如漢明距離)，使用同態解密算法解密距離密文并和預定義的系統閾值比較，根據比較結果做出接受或拒絕的決定。為了獲得低的計算復雜度、FRR、FAR和高的可隱私保護性，基于同態加密的生物特征認證方案研究的焦點主要集中在實用同態加密方案和模板安全匹配協議兩個方面。實際上，生物特征認證方案還有一個普遍的研究熱點，即“安全草圖”的提取和對準問題。本文重點論述方案構造問題，對“安全草圖”的提取和對準技術不做展開。

同態加密思想最早于1978年由Rivest在文獻[18]中提出，它的歷史幾乎和RSA一樣悠久，但遠不及后者名氣大。歷史上出現過許多著名的同態加密方案[19-22]，遺憾的是它們都因為同態性差而沒有流行起來。直到2009年，Gentry[23]借助理想格上的困難問題提出了第一個全同態加密方案(Fully Homomorphic Encryption，FHE)，理論上可以同時實現無限次加法和乘法。FHE方案的構造方法依據安全假設可分為數字理論困難問題類[24-27]、解碼隨機線性碼類[27]和格上困難問題類，格基類可根據設計算法及格困難問題分為理想格類[29-31，67]、NTRU類[32-33]和容錯學習類[34-47]，其中以容錯學習類方案研究最為廣泛。

鑒于此，本文對基于LWE類同態加密技術構造的可隱私保護的生物特征認證方案(簡稱LWE類生物特征同態認證方案)及其相關技術進行了梳理和介紹。由于同態密碼受因性能等因素的影響發展緩慢，加之量子攻擊因量子計算技術發展緩慢難以對傳統密碼產生實質性的威脅，因此針對使用格基同態密碼構造可隱私保護的生物特征認證方案的研究尚處于初期。本項目研究了“谷歌學術”和“中國知網”從2009年至今以“Homomorphic”“Authentication”“LWE”和“同態”“認證”“LWE”為關鍵字的檢索結果，篩選了代表性成果分為3類從同態方案構造、生物特征認證方案設計及正確性和安全性分析等方面進行梳理，旨在為解決后量子時代隱私保護領域的安全問題提供一些理論參考。

1 預備知識

1.1 符號與說明

1.2 LWE

1.3 全同態加密及關鍵技術

1.3.1全同態加密

全同態加密有對稱和非對稱兩種構造形式，我們以傳統的非對稱密碼公鑰加密(Public Key Encryption，PKE)結構為例介紹其定義。一個典型的公鑰全同態加密方案由四個概率多項式(Probabilistic Polynomial-time，PPT)算法組成：公私鑰生成算法(Key Generation，KeyGen)、加密算法(Encryption，Enc)、解密算法(Decryption，Dec)和同態計算算法(Evaluation，Eval)[34]。

公私鑰生成算法KeyGen(1λ)：輸入安全參數，輸出公鑰pk，私鑰sk和密文計算鑰evk。

加密算法Enc(μ,pk)：輸入明文及公鑰，輸出明文比特μ∈{0,1}對應的密文c。

解密算法Dec(c,sk)：輸入密文及對應的私鑰，輸出相應的明文比特，如果密文和私鑰不匹配或者發生其他錯誤，輸出⊥。

同態計算算法Eval(evk,f,c1,c2，…,ct)：輸入同態計算鑰evk和密文c1,c2,…,ct，使用函數f，輸出滿足Dec(cf,sk=f(m1,m2,…,mt)的cf。

函數f通常描述成有限域上的算術電路形式。同態方案的正確性指的是方程Dec(cf,sk=f(m1,m2,…,mt)不成立的概率可忽略；加密方案的安全性指的是方案滿足語義安全性。

定義1一個FHE方案的IND-CPA安全性是指：考慮PPT敵手A和挑戰者之間的游戲：

(1) 挑戰者生成(pk,sk)對和其他安全參數，保密sk并將其他參數發布給敵手A；

必然存在一個可忽略的多項式函數：

1.3.2全同態加密的關鍵技術

同態加密技術的根本目標是同態計算，即對密文在密文域進行計算，計算結果解密后相當于對應明文執行相同的操作。為了保證密文計算時的安全性，同態加密在構造密文時引入了噪聲。所以，同態計算時噪聲也參與了運算，而且依據運算規則累積，甚至會變得很大，以至于影響正確解密。因此，構造同態加密方案的關鍵在于對同態計算中密文的噪聲進行有效管理。下面我們介紹全同態加密中噪聲管理的關鍵技術。

c2就是刷新以后的新鮮密文，它的噪聲足夠小，可繼續執行一次同態運算。如果解密電路深度不超過部分同態加密方案所允許計算的深度，就可以在每輪循環使用啟動技術獲得全同態加密方案[34]。

模交換技術(Modulus Switching)是在維數模約減技術(Dimension-modulus Reduction)基礎上提煉而來的密文噪聲管理技術。該技術最早由Brakerski等在文獻[34]中提出，后經Brakerski和Gentry在文獻[36]中提煉命名為模交換技術，使用這一技術可以無須啟動技術就能獲得層次型全同態方案。該技術可簡單描述如下：

[〈c′,s〉]p=[〈c,s〉]q(mod)2

Power2(y)：y∈Zn，輸出(y,2y,…,2「logq?-1y)(mod)q∈Zn·「logq?。

對于所有q∈Z有：

〈x,y〉=〈BitDec(x),Power2(y)〉(mod)q∈Zq。

SwitchKeyGen(s1,s2)：

ai0∈A、i=0,…,(N-1)，τs1→s2=B。

SwitchKey(τs1→s2,s1)：

1.4 基于RLWE的同態假設

自Gentry的第一個全同態方案誕生以來，各種新方案層出不窮，但基于RLWE安全假設的BV11a[34]、BV11b[35]及BGV12[36]三個方案因其良好的性能受到生物特征認證方案研究者廣泛關注，其中BV11a是基于標準LWE構造的FHE，BV11b是基于標準RLWE構造的FHE，BGV12是基于標準LWE(over Ring)構造的層次型全同態方案(Leveled Fully Homomorphic Encryption，LHE或Some What Homomorphic Encryption，SHE)。FHE和LHE的主要區別是：前者是依靠啟動技術實現的純的全同態方案，而后者只能獲得深度為L層計算電路的全同態方案，L是安全參數λ的函數。對比研究現有方案發現，多數格上的生物特征認證是基于它們構造的，下面我們簡要介紹這些方案的基本原理、參數設置等細節在下一章生物特征同態認證方案介紹中給出。

基于LWE假設的BV11a方案的基本思想是：每次密文計算后通過重線性化技術把密文乘積轉換成一個維數與原密文相同的新密文以便實現下一層計算，并使用維數模約減技術約減密文噪聲獲得部分同態，再借助啟動技術實現全同態。BV11a方案是一個同態公鑰加密方案，主要包含如下四個環節[34]。

BV11a.Enc(μ,pk)：已知公鑰pk=(Α,b)，加密一個明文比特μ∈{0,1}，均勻隨機抽取向量r∈{0,1}m，令v=ATr，w=bTr+μ，輸出包含電路深度的密文向量c=((v,w),l)，其中，l為電路深度標簽，l=0表示新鮮密文。

BV11a.Eval(evk,f,c1,…,ct)：f:{0,1}m→{0,1}，是由加法門“+”和乘法門“×”組成的二進制算術電路，乘法電路的深度為L層。

在同態計算過程中，必須保證輸入密文c=((v,w),l)具有相同的電路深度標簽，并且滿足:

w-〈v,sl〉=μ+2·e(modq)

以保證同態計算的正確性。

BV11a.Dec(c,sL)：經同態計算，輸出形如c=((v,w),L)的密文，所以解密只需計算：w-〈v,sL]=μ+2·e(modq)(mod2)，只要噪聲足夠小，就能正確解密。

BV11b.Enc(m,pk)：對于m∈Rt，均勻隨機抽取u,f,g∈χ，輸出：c=(c0,c1)=(p0·u+t·g+m,p1·u+t·f)。

BV11b.Dec(c,sk)：對于c=(c0,c1,…,cξ)：

m=〈c,s〉(mod)t

只要〈c,s〉的范數小于q/2就能正確解密。

BGV12方案是Brakerski等在文獻[36]中提出的一種層次型全同態加密方案，它與前兩個方案不同之處在于它使用模交換技術而非啟動技術管理噪聲。該方案是一種非對稱加密方案，它包含了整數向量和整數多項式上的兩個版本。下面我們介紹RLWE上方案的基本結構。

BGV12.Setup(1λ,L)：運行E.Setup(1λ,L)，輸出模數qj(j=0,1,…,L)，噪聲分布χ和維數nj。

BGV12.KeyGen(n,L)：對于j=L…0，計算：

(1)sj←E.SecretKeyGen(·)，

Aj←E.PublicKeyGen(sj)；

BGV12.Enc(m,pk)：(c,L)←E.Enc(m,AL)。

BGV12.Dec(c,sk)：m←E.Dec(c,sj)。

2 RLWE上的生物特征認證方案

2.1 LWE上的生物特征認證方案-BV11a型

2016年，Aono等[53],提出了一種基于LWE上PKE同態的快速安全的生物特征認證方案它的密文尺寸只有文獻[54-55]的一半但計算效率提高了1 000倍以上。該系統中，作者設計了一種靈活的向量編碼方法，它可以自然地處理二進制串及其密文的同態操作。生物特征的二進制模板密文在“誠實又好奇”的服務器上進行XOR操作完成比對，并返回結果即可。

2.1.1生物特征認證方案設計

將定義2應用于文獻[56]提出的協議，構成的新協議由三部分組成：用戶CD/CD′、計算服務器CS和認證服務器AS。協議過程如下：

(1) 參數生成：AS運行ParamGen(1λ)和KeyGen(1λ,pp)生成pp、pk和sk，保存sk并公布pp=(q,l,p=2)、pk=(A,P,n,s)。

(3) 驗證階段：CD′發送(id,Enc(A′))給CS，CS計算CT=Enc(A′)+Enc(R+A)，并把(id,H(R),CT)發送給AS；AS計算R′=Decsk(CT)=R+A+A′，并判斷H(R)=H(EC(R′))是否成立，若成立返回R，否則返回錯誤提示，其中EC(·)為糾錯函數。

2.1.2正確性和安全性分析

在上述方案中，單個密文c=Enc(·)=(c1,c2)，對應的明文m=Dec(·)=〈c,S〉(modp)，其中：

〈c,S〉=c1S+c2=(e1A+pe2)S+e1P+pe3+m=

e1(AS+P)+pe2S+pe3+m=

因此，只要p(e1R+e2S+e3)足夠小，就能正確解密。

對于同態加法密文Add(c,c′=c+c′(mod)p，解密所得明文Dec(·)=[c+c′,S](modp)，其中：

2(e1A+pe2)S+2(e1P+pe3)+(m+m′)=

因此，只要2p(e1R+e2S+e3)足夠小，就能正確解密。由于本方案只涉及同態加法，故同態乘法的正確性這里不再贅述，可參見文獻[53]。

考慮PPT敵手Α和挑戰者之間的游戲：

(1) 挑戰者生成(pk,sk)對和其他安全參數，保密sk并將其他參數發布給敵手Α。

2.2 RLWE上的生物特征認證方案-BV11b型

2015年，Yasuda等[57]在BV11b[35]的基礎上提出了一種SHE生物特征認證方案，該方案設計了兩種密文封裝方式用于模板向量和請求生物特征向量的封裝。第一種密文封裝方式基于Lauter等[58]提出的消息編碼技術，它能有效提高密文同態計算的效率和安全性；第二種密文封裝方式便于模板密文和請求特征密文之間漢明距離的安全計算。2018年，游林等[68]提出了類似的方案。

2.2.1生物特征認證方案設計

ct(1)(T)=Enc(F1(T),pk)，

ct(2)(Q)=Enc(F2(Q),pk)，

C2(x)=-C1(x)+2

作者在文獻[59]的基礎上使用定義3設計了一個RLWE上的生物特征認證協議，該協議由三部分組成：用戶CD/CD′，計算服務器CS和驗證服務器AS，協議過程如下：

(1) 參數生成：AS生成(pk,sk)對，并把pk發布給CD和CS。

(2) 注冊階段：CD(id)提取生物特征模板T并計算ct(1)(T)，發送二元組(id,ct(1)(T))給CS存儲。

2.2.2正確性和安全性分析

上述方案完全構建于BV11b，該SHE方案解密的正確性限制條件是||〈c,s〉|∞

對于單個密文c=BV11b.Enc(·)=(c0,c1)，對應的明文m=BV11b.Dec(·)=〈c,s〉(modt)，其中：

〈c,s〉=(p0u+tg+m)+s(p1u+tf)=

m+t(g+sf-ue)∈Rq

對于兩個密文c、c′，同態運算后解密所得明文：

m+m′=BV11b.Dec(·)=〈c+c′,s](modt)

m·m′=BV11b.Dec(·)=〈c·c′,s〉(modt)

其中：

〈c·c′,s〉=〈c,s〉+〈c′,s〉∈Rq

〈c·c′,s〉=〈c,s〉·〈c′,s〉∈Rq

而且，RLWE方案在PLWE安全假設下具有IND-CCA1的安全性[65]。

2.3 RLWE上的生物特征認證方案-BGV12型

2016年，Cheon等[60]在BGV12的基礎上提出了一種SHE上生物特征認證方案，該方案借助單指令多數據操作(Single Instruction Multiple Data，SIMD)、單次消息認證碼[62](one-time MAC，OTM)和密文壓縮技術[63]有效提高了密文運算效率、保障了密文的完整性并降低了密文尺寸。2018年，宋新霞等[69]學者也提出了類似的方案。

2.3.1生物特征認證方案設計

[U→S] (u,v,G)←(h,hτ,{H2(hj)|j∈[T]})

[S]h*←(vu-r1)-r0，Check ifH2(h*)∈G

根據上述約定，假設用戶U/U′和服務器S之間的通信安全，協議過程描述如下：

(1) 參數生成：

U使用BGV12.Setup(·)和BGV12.KeyGen(·)生成(pk,sk)對和其他參數，并把pk發布給S。

(2) 注冊階段：

(3) 驗證階段：

2.3.2正確性和安全性分析

在上述方案中，注冊階段的安全性由BGV12方案保證；匹配階段，用戶側的安全性由定理2保證，服務器側的安全性由定理3保證，證明參見文獻[36]的定理1和定理2。

定理2對于元素長度為l(λ)比特的整數集合Rl，假設OTM方案能夠抵抗單次存在性偽造攻擊，那么對于任意PPT敵手Α，必然存在一個可忽略函數negl(·)滿足：

上述定理說明，在OTM方案安全假設下，即使掌握解密密鑰的用戶側敵手也無法使用一個錯誤的輸入通過驗證。

定理3假設BGV12方案提供IND-CPA安全性，上述生物特征認證方案能夠抵抗“半誠實”攻擊。

因為BGV12方案提供IND-CPA安全性，在“半誠實”的場景中，必然存在仿真器能夠利用SHE密文的統計不可區分性、MAC的密鑰和隱藏于離散對數背景中的匹配結果生成與真實協議統計不可區分的觀點，使得敵手無法統計區分仿真器和真實協議的輸出。

2.4 性能分析

表1 三個方案中安全距離計算時耗及單密文尺寸

(a) Xeon E5- 2660/2.60 GHz,(λ=128,n=921,q=232-1,l=2048,σ=8);

(b) Xeon X3480/3.07 GHz,(λ=80,n=2 048,q=264-1,t=2 048,σ=4);

(c) Xeon E5- 2697/2.60 GHz,(λ=80,n=8 191,q=240-1,t=2 048,σ=8)。

3 挑戰和機遇

基于同態加密的生物特征認證方案的可用性和安全性主要依賴于FHE方案的性能，而現有的FHE方案都因其算法復雜度高、密文尺寸過大、方案實現不夠簡潔而難于部署應用；有些方案缺乏可信計算安全，容易遭受“中心搜索攻擊”[64-66]如Yasuda2015[57]；有些依靠“啟動技術”約減密文噪聲的方案，仍然存在循環安全隱患；加之，標準化工作緩慢，可隱私保護的生物特征認證方案距離產業化實用還有一段很長的路。盡管困難重重，但LWE類同態隱私保護方案的技術優勢依然明顯且研究意義重大[70]。

(1) 實現可隱私保護的生物特征同態認證方案只需有限次同態計算，因此優秀的格密碼技術和SHE方案是該領域永恒的研究熱點。

(2) 模板向量和請求向量間的安全匹配及計算方法是本領域的另一個研究熱點，正如Anon2015展示的一樣，優秀的密碼原語和原語的使用方法同樣重要。

(3) 隨著移動云計算、分布式多方計算和差分隱私服務的興起，多密鑰同態計算及多維特征認證等技術也將成為本領域的研究熱點。

生物特征同態認證只是眾多有隱私保護需求的相似性評估類應用之一，因此研究LWE類同態隱私保護技術對于滿足應用需求和加速同態密碼的標準化進程都具有重要的意義。

4 結 語

在信息技術高度發達和發展的今天，云計算和分布式計算等外包計算服務正在使“懶人模式”成為可能并且形成習慣。要使外包服務無后顧之憂，用戶隱私保護問題就亟待解決，同態加密技術無疑是理想的候選技術，利用RLWE等格密碼技術構造同態加密方案保護生物特征認證中的隱私數據是后量子時代密碼工作者的首選技術。文章在介紹生物特征認證和全同態密碼關鍵技術的基礎上研究了3類基于RLWE的同態加密方案BV11a、BV11b和BGV12的可隱私保護的生物特征認證方案的構造方法、安全性和效率問題，并指出了該領域可能的機遇和挑戰。