基于CRC與離散對(duì)數(shù)難題的雙重認(rèn)證模糊金庫(kù)方案

張歡歡

摘要：模糊金庫(kù)方案是生物特征加密領(lǐng)域一種流行的密鑰綁定方案，它將生物特征與秘密數(shù)據(jù)安全地綁定在一起，形成一個(gè)金庫(kù)且能夠?qū)崿F(xiàn)“模糊”解鎖，攻擊者不能從金庫(kù)中獲取生物特征或秘密數(shù)據(jù)。因此，方案可以在保護(hù)秘密數(shù)據(jù)的同時(shí)，也保護(hù)用戶(hù)的生物特征?；贑RC循環(huán)冗余編碼的模糊金庫(kù)是模糊金庫(kù)應(yīng)用于生物特征認(rèn)證識(shí)別的一種重要實(shí)現(xiàn)，但是其存在兩類(lèi)嚴(yán)重問(wèn)題，即CRC碰撞和無(wú)法抵抗混合替代攻擊。提出了基于CRC與離散對(duì)數(shù)難題的雙重認(rèn)證模糊金庫(kù)，可以同時(shí)解決這兩類(lèi)問(wèn)題。

關(guān)鍵詞關(guān)鍵詞：模糊金庫(kù)；生物特征加密；CRC校驗(yàn)；混合替代攻擊

DOIDOI：10.11907/rjdk.171923

中圖分類(lèi)號(hào)：TP301

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2017）011002603

0引言

2002年，ARI JUELS等[1]提出的模糊金庫(kù)方案很好地解決了生物特征模糊性問(wèn)題，他們將個(gè)體的生物特征看作與之對(duì)應(yīng)的一些特征點(diǎn)集合，將個(gè)體生物特征與密鑰κ綁定形成一個(gè)金庫(kù)，設(shè)計(jì)了一種擁有容錯(cuò)能力的方案，即允許上鎖生物特征與解鎖生物特征略有不同。但此方案中解鎖階段采用RS解碼恢復(fù)出密鑰κ′，并未采用任何措施確認(rèn)κ′與原始密鑰κ是否相等，因此不能用于生物認(rèn)證。隨后學(xué)者提出基于CRC校驗(yàn)與拉格朗日內(nèi)插函數(shù)的模糊金庫(kù)[24]，只有通過(guò)拉格朗日多項(xiàng)式插值法得到的密鑰滿(mǎn)足CRC校驗(yàn)，才算通過(guò)驗(yàn)證，然而由于這些方案中CRC校驗(yàn)位只有短短的8bit或者16bit，所以CRC碰撞發(fā)生的概率不可被忽略（CRC碰撞即非法用戶(hù)通過(guò)拉格朗日插值法得到的非真實(shí)密鑰滿(mǎn)足CRC校驗(yàn)）。而CRC碰撞一旦發(fā)生，將會(huì)導(dǎo)致非法用戶(hù)通過(guò)認(rèn)證，從而使系統(tǒng)的FAR（錯(cuò)誤接受率）升高。本文基于離散對(duì)數(shù)數(shù)學(xué)難題，在基于CRC校驗(yàn)的模糊金庫(kù)中引入?yún)?shù)組（p，g，gκ），只有在恢復(fù)出的密鑰κ′通過(guò)CRC校驗(yàn)，同時(shí)滿(mǎn)足gκ′=gκ時(shí)，認(rèn)證才算通過(guò)。實(shí)驗(yàn)表明，該方案在維持FRR（錯(cuò)誤拒絕率）基本不變的情況下，降低了系統(tǒng)的FAR。

1經(jīng)典模糊金庫(kù)方案

模糊金庫(kù)方案是Juels和Sudan在2002年提出的密鑰綁定算法，其最大特點(diǎn)是具有無(wú)序性，該特點(diǎn)非常適合將生物特征的模糊性和密碼算法的精確性聯(lián)系起來(lái)。模糊金庫(kù)方案一般分為兩個(gè)步驟：①上鎖階段。用戶(hù)將秘密κ和無(wú)序集A綁定構(gòu)成模糊金庫(kù)，使攻擊者很難從模糊金庫(kù)中找出秘密κ和無(wú)序集A；②解鎖階段。用戶(hù)使用無(wú)序集B從保險(xiǎn)箱中解密出秘密κ，用戶(hù)能夠解密得到κ的充分必要條件是無(wú)序集B和無(wú)序集A有足夠多的元素重合。模糊金庫(kù)算法的具體實(shí)現(xiàn)過(guò)程可以描述如下：

（1）上鎖階段：選取密鑰κ∈Fkq與一個(gè)一次多項(xiàng)式f（x）=f0+f1x+f2x2+…+fk-1xk-1相關(guān)聯(lián)，即將密鑰κ映射為f（x）的系數(shù)。然后將上鎖的特征點(diǎn)集合A={a1，a2，…，at}中的所有特征點(diǎn)都映射到f（x）上，得到真實(shí)特征點(diǎn)的點(diǎn)集R={（a1，f（a1）），（a2，f（a2）），…（at，f（at））}，再隨機(jī)添加適量雜湊點(diǎn)，構(gòu)成雜湊點(diǎn)點(diǎn)集R′。雜湊點(diǎn)的一維坐標(biāo)值應(yīng)與真實(shí)點(diǎn)的特征值不同，且添加的雜湊點(diǎn)不經(jīng)過(guò)選定的一次多項(xiàng)式f（x），即可得到模糊金庫(kù)VA=R∪R′。為了隱藏秘密κ，雜湊點(diǎn)的數(shù)量要遠(yuǎn)遠(yuǎn)大于真實(shí)點(diǎn)數(shù)目（一般取真實(shí)特征點(diǎn)的10倍以上）。

（2）解鎖階段：用戶(hù)使用無(wú)序集B從模糊金庫(kù)中解密κ，假設(shè)B和A中有足夠多的元素重合，找出這些重合的點(diǎn)，這些點(diǎn)必然落在多項(xiàng)式P上。使用這些點(diǎn)重構(gòu)一個(gè)多項(xiàng)式f，由f得到秘密κ。如果B和A重合的點(diǎn)數(shù)不夠，則無(wú)法重構(gòu)出一個(gè)與f相同的多項(xiàng)式。經(jīng)典模糊金庫(kù)框架如圖1所示。

圖1經(jīng)典模糊金庫(kù)框架

2基于CRC的模糊金庫(kù)方案

基于CRC的模糊金庫(kù)方案[2，5]與經(jīng)典模糊金庫(kù)方案不同的是，該方案中采用拉格朗日內(nèi)插法和CRC校驗(yàn)代替了經(jīng)典模糊金庫(kù)方案在解密階段時(shí)使用的RS解碼模塊。因此，可以通過(guò)檢查CRC校驗(yàn)是否滿(mǎn)足，以確定密鑰是否被正確地恢復(fù)，也使其可以作為生物特征的識(shí)別認(rèn)證?；贑RC的模糊金庫(kù)分為注冊(cè)階段和認(rèn)證階段兩部分，其主要思路是計(jì)算出真實(shí)密鑰κ的CRC，并且直接附在真實(shí)密鑰κ的后面，用這個(gè)新密鑰作為一次多項(xiàng)式的系數(shù)，按照經(jīng)典模糊金庫(kù)中的上鎖步驟完成注冊(cè)。而在認(rèn)證階段，利用拉格朗日多項(xiàng)式內(nèi)插法恢復(fù)出多項(xiàng)式后，再檢查恢復(fù)出的多項(xiàng)式系數(shù)是否滿(mǎn)足CRC校驗(yàn)，并以此作為認(rèn)證是否通過(guò)的依據(jù)。基于CRC的模糊金庫(kù)方案框架如圖2所示。

圖2基于CRC的模糊金庫(kù)框架

3基于CRC與離散對(duì)數(shù)難題的雙重認(rèn)證模糊金庫(kù)方案

本文提出的認(rèn)證方案與以往基于模糊金庫(kù)的認(rèn)證方案不同的是，其在模糊金庫(kù)里添加了參數(shù)組（p，g，gκ），其中p為選定的大素?cái)?shù)，g為有限乘法群F*p中一個(gè)生成元。由于在已知（p，g，gκ）時(shí)，想要求出κ比較困難，故參數(shù)組（p，g，gκ）不會(huì)泄露密鑰κ的信息。在認(rèn)證階段，首先根據(jù)朗格朗日多項(xiàng)式插值法恢復(fù)出一次多項(xiàng)式的系數(shù)，得到κ′，驗(yàn)證κ′是否滿(mǎn)足CRC校驗(yàn)，若不滿(mǎn)足，則認(rèn)證失??；若滿(mǎn)足CRC校驗(yàn)，再利用金庫(kù)中的公共參數(shù)g計(jì)算出gκ′，并驗(yàn)證gκ′=gκ是否成立，若滿(mǎn)足，則認(rèn)證成功，若不滿(mǎn)足，則認(rèn)證失敗。可以看出，認(rèn)證用戶(hù)只有同時(shí)通過(guò)CRC校驗(yàn)和gκ′=gκ時(shí)才能認(rèn)證成功，所以該方案可以很好地降低非法用戶(hù)成功通過(guò)認(rèn)證的概率。當(dāng)然，對(duì)于合法用戶(hù)而言，CRC校驗(yàn)和gκ′=gκ都可以很簡(jiǎn)單地通過(guò)，所以對(duì)系統(tǒng)的錯(cuò)誤拒絕率基本沒(méi)有影響。因此，該方案的設(shè)計(jì)可以在維持FRR（錯(cuò)誤拒絕率）基本不變的情況下，有效降低系統(tǒng)的FAR。

4安全性分析

文獻(xiàn)[8]～[10]指出了基于生物模板保護(hù)的方案存在的缺點(diǎn)以及基于模糊金庫(kù)的方案可能遭受的攻擊類(lèi)型，抗混合替代攻擊是基于模糊金庫(kù)的方案都無(wú)法避免的攻擊類(lèi)型，以下對(duì)本文提出方案的與抗混合替代攻擊性進(jìn)行分析。endprint