專利名稱:使用生物測定數(shù)據(jù)和密值提取碼的密鑰生成的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全系統(tǒng)中所使用的密鑰的生成���,具體涉及從物理標(biāo)識符生成密鑰����。
人們對更可靠且便捷的安全系統(tǒng)的需求在持續(xù)增長�����,而且對使用生物測定標(biāo)識符有興趣���,比如指紋�、虹膜圖案�����、語音數(shù)據(jù)和步態(tài)數(shù)據(jù)。因?yàn)樯餃y定標(biāo)識符不會像計(jì)算機(jī)密碼那樣丟失或遺忘��,生物測定學(xué)有可能為用戶提供更高的安全性和更好的便捷性�����。
下面參考
圖1和圖2描述使用從物理/生物測定數(shù)據(jù)得到對稱加密密鑰的系統(tǒng)���。
考慮如下情況����,用戶艾麗思希望通過私有信道與另一個(gè)用戶進(jìn)行通信�,如與她的銀行通信。艾麗思和銀行所使用的協(xié)議包括兩個(gè)階段登記(enrolment)階段和應(yīng)用階段��。
圖1示出了進(jìn)行登記階段所需要的系統(tǒng)架構(gòu)����。在登記階段,認(rèn)證機(jī)構(gòu)(CA)從安全信道接收艾麗思的生物測定的測量結(jié)果Xn�����,并且從中得到密值(secret)S和加密密鑰F(S),以及一些幫助數(shù)據(jù)W��。J.P.Linnartz和P.Tuyls在AVBPA2003中的“New Shielding Functionsto Enhance Privacy and Prevent Misuse of Biometric Templates”描述了這種從物理標(biāo)識符得到密鑰的方法���。幫助數(shù)據(jù)W和加密密鑰F(S)存儲在銀行的數(shù)據(jù)庫中����。在應(yīng)用階段����,使用幫助數(shù)據(jù)W來允許終端從艾麗思的生物測定的有噪聲測量結(jié)果Yn得到同一加密密鑰F(S)���。
在應(yīng)用階段��,在終端得到艾麗思的生物測定的有噪聲測量結(jié)果Yn����。艾麗思將傳統(tǒng)的用戶標(biāo)識數(shù)據(jù)輸入終端��,如用戶名���,用戶標(biāo)識數(shù)據(jù)被發(fā)送到銀行���。銀行使用該數(shù)據(jù)訪問其數(shù)據(jù)庫���,獲得與艾麗思相關(guān)的幫助數(shù)據(jù)W。在鑒別信道上將幫助數(shù)據(jù)W發(fā)送到艾麗思的終端����。幫助數(shù)據(jù)W和艾麗思的生物測定的有噪聲測量結(jié)果Yn一同被用來獲得密鑰F(V)。然后����,F(xiàn)(S)和F(V)分別用來加密從銀行到艾麗思和從艾麗思到銀行進(jìn)行的通信。因?yàn)橄到y(tǒng)使用對稱加密密鑰�����,為了使加密通信可以被解密�����,F(xiàn)(V)必需和F(S)相等����。
和傳統(tǒng)系統(tǒng)相比,該系統(tǒng)的便捷和安全在于艾麗思無需存儲其加密密鑰F(V)����,也無需存儲幫助數(shù)據(jù)這一事實(shí)���。在應(yīng)用階段,艾麗思只需要提供其生物測定標(biāo)識符的測量結(jié)果�。
然而,艾麗思可能需要使用她的生物測定數(shù)據(jù)與若干方建立安全通信�����,例如����,與銀行和另一個(gè)用戶查理。因此����,艾麗思必需從其生物測定數(shù)據(jù)得到多個(gè)加密密鑰��,因?yàn)槠谕槔聿荒鼙O(jiān)聽艾麗思和銀行間的通信��。此外����,期望可以避免多方使用他們各自的加密密鑰來合作對艾麗思和銀行間的安全信道進(jìn)行攻擊�。
這樣的系統(tǒng)有若干特點(diǎn)���。第一���,系統(tǒng)應(yīng)該是魯棒的,這意味著�,給定用戶生物測定Xn的有噪聲測量結(jié)果Yn,應(yīng)該可以在應(yīng)用階段得到正確的密鑰����,即,F(xiàn)(V)≡F(S)����。
第二,銀行數(shù)據(jù)庫中的信息(F(S)和W)不應(yīng)透露任何關(guān)于Xn的敏感信息��。
第三�,在公共鑒別信道上發(fā)送的幫助數(shù)據(jù)W不應(yīng)該給出關(guān)于加密密鑰F(S)的任何信息。
第四���,給定固定的生物測定Xn���,應(yīng)該可以得到不同的F(S)和W對��。
接下來����,將不同的密鑰和幫助數(shù)據(jù)對命名為F(Si)和Wi�����,其中i=1���,2�����,...�����,K�����,其中K>>1。給定幫助數(shù)據(jù)Wi和所有其他的密鑰/幫助數(shù)據(jù)對���,F(xiàn)(S1)��,W1�����;...�;F(Si-1),Wi-1�����;F(Si+1)�,Wi+1;...�����;F(Sk)���,Wk�����,密鑰F(Si)的保密性應(yīng)該得到保證�。
關(guān)于系統(tǒng)的安全性,進(jìn)行如下假設(shè)���。第一����,進(jìn)行登記階段的認(rèn)證機(jī)構(gòu)(CA)是可信的����。
第二,在應(yīng)用階段�,幫助數(shù)據(jù)W從銀行到艾麗思的傳送在公共鑒別信道進(jìn)行。
第三���,與艾麗思通信的若干方不可信��。例如�,查理可能使用他知道的F(SC)和WC來攻擊艾麗思和銀行間的安全信道���,即�����,他試圖得到F(SB)�����。
第四�,若干方可以合作對艾麗思和另一個(gè)用戶的安全信道進(jìn)行攻擊����。
第五,不與艾麗思共享安全信道的攻擊者可以從與艾麗思共享安全信道的一方或多方偷得加密密鑰����。具體而言,其可以得到F(Si)�����、Wi���。
第六����,艾麗思在應(yīng)用階段使用的終端中的傳感器和處理設(shè)備是防篡改的�。
最后�����,攻擊者不能獲得潛在的生物測定結(jié)果�。唯一的信息來自數(shù)據(jù)庫中的信息���。
生物測定模板是經(jīng)過處理的測量數(shù)據(jù)�,即����,特征矢量,并且作為隨機(jī)過程的實(shí)現(xiàn)進(jìn)行模擬���。不同個(gè)人的生物測定是對于所有個(gè)人都相等的隨機(jī)過程的不相關(guān)實(shí)現(xiàn)�����。對生物測定結(jié)果的處理得到可以用具有已知分布Px的n個(gè)獨(dú)立相似分布(i.i.d)的隨機(jī)變量描述的模板��。某個(gè)個(gè)人的生物測定序列Xn等于xn的概率如下定義Pr{Xn=xn}=Πi=1nPx(xi)---(1)]]>其中��,Px是每個(gè)分量的概率分布��,定義在符號集(alphabet)χ上�,χ可以是離散集κ(對于χ=κ,序列Xn由概率密度函數(shù)fXn(Xn)=ΠifX(Xi)]]>表征)�����。
在應(yīng)用階段進(jìn)行的有噪聲測量用通過無記憶噪聲信道的生物測定觀察結(jié)果來模擬�。對于生物測定xn的測量結(jié)果YnPr{Yn=yn|Xn=xn}=Πi=1nPY|X(yi|xi)---(2)]]>其中PY|X描述輸入為符號集χ���、輸出為符號集γ的無記憶信道����。由認(rèn)證機(jī)構(gòu)得到的生物測定模板是無噪聲的�。
為了處理有噪聲測量結(jié)果,可以使用密值提取碼(SEC)���。Pim Tuyls和Jasper Goseling的“Capacity and Examples of Template-ProtectingBiometric Authentication Systems”(可從“eprint.iacr.org/2004/106.pdf”得到)描述了密值提取碼����,下文同樣對其進(jìn)行描述���。
S表示密值集�,χ和γ分別表示代表有噪聲測量結(jié)果的信道的輸入和輸出符號集��。
假定n,∈>0�。定義在χnxγn上的(n,|S|�,∈)密值提取碼C是編碼和解碼區(qū)域(region)對的有序集C={(εi,Di)|i=1���,2�,...��,|S|}(3)其中εiχn����,Diγn,這樣εi∩εj=�,Di∩Dj=,∪iDi=γn---(4)]]>對于i�����,j=1����,2,...�����,|S|,i≠j���,而且Pyn|xn(Di|xin)≥1-∈---(5)]]>對于所有xin∈εi和i=1����,2��,...���,|S|。
密值提取碼提供通過離散化將(可能連續(xù)的)變量編碼-解碼成有限字符集S={1���,2�����,...��,|S|}的方法��。等式(4)的條件表示可以進(jìn)行非模糊編碼和解碼��,等式(5)的條件表示誤差概率小�����。
如果集εi的基數(shù)集為1����,SEC是普通的誤差糾正碼。
為了從密值提取碼中確定加密密鑰��,進(jìn)行如下定義·χn和γn��,分別是在登記階段和應(yīng)用階段生物測定的測量結(jié)果字符集·單向哈希方程F 其中S={1�,2,...�����,|S|}��,κ={1����,2,...,|=|κ|}���。S和κ的大小足夠大�,所以�,給定F(S),從計(jì)算上不可能得到S·對于���,xn∈χn�����,定義Φxn⊆C·]]>如果xn∈∪iεi�,密值提取碼C={(ϵi,Di)}||S|i=1∈Φxn]]>·在χnxγn上的密值提取碼(n���,|S|,∈)的有限集合C�����,其中∈>0��。在登記階段使用下面過程1�、測量艾麗思的生物測定χn。
2�����、從Φxn中任意選取密值提取碼C。幫助數(shù)據(jù)W定義為該密值提取碼C的索引����。如果 從C中隨機(jī)選取密值提取碼。
3����、給定C={(εi,Di)}||S|i=1���,密值S定義為如果xn∈εi�����,S=i��。對于 隨機(jī)選擇S��。
4���、F(S)和W由銀行提供。
在應(yīng)用階段使用下面過程1、銀行通過公共鑒別信道將幫助數(shù)據(jù)W發(fā)送給艾麗思�。
2、艾麗思獲得她的生物測定測量結(jié)果Yn�����。
3�、如果Yn∈DI,使用密值提取碼C(W)獲得密值V=i�����,從而得到密鑰F(V)���。
4�����、艾麗思和銀行分別基于密鑰F(V)和F(S)使用對稱加密系統(tǒng)。
如上所述���,如果艾麗思使用一個(gè)加密系統(tǒng)和不同方通信����,期望她不將同一密鑰用于多方。
如果C是SEC的集合�,xn∈χn是艾麗思的生物測定模板,那么����,如果在該集合中只有一個(gè)密值提取碼可用于特定的生物測定結(jié)果(例如,|Φxn|=1]]>)�,那么,顯然����,只能從xn得到一個(gè)加密密鑰。|Φxn|很小而有很多xn∈xn的集合C不能讓用戶用來可靠地提取多個(gè)加密密鑰�����。
因此�,本發(fā)明的目的是提供密值提取碼的擴(kuò)展集,用于從特定生物測定標(biāo)識符提取加密密鑰����。
根據(jù)本發(fā)明的第一方面,提供一種生成用來加密第一和第二終端間的通信的密鑰的方法����,該方法包括獲得用戶的物理標(biāo)識符特征的測量結(jié)果���;使用從碼集合中選取的碼從物理標(biāo)識符提取密鑰,所述碼集合中的每個(gè)碼定義特征值集到密鑰集的有序映射����;其中所述碼集合包括至少一個(gè)碼,有序映射是集合中一個(gè)其他碼的有序映射的置換��。
下面參考附圖通過例子描述本發(fā)明���,其中圖1示出了進(jìn)行用戶登記過程的系統(tǒng)�����;圖2示出了進(jìn)行用戶應(yīng)用過程的系統(tǒng)�;圖3的流程圖示出根據(jù)本發(fā)明生成加密密鑰的方法����;以及圖4的流程圖示出根據(jù)本發(fā)明擴(kuò)展密值提取碼集的方法。
下面���,參考使用密值提取碼和生物測定標(biāo)識符描述本發(fā)明。然而���,本領(lǐng)域的技術(shù)人員應(yīng)該理解���,本發(fā)明可用于使用其他方法從任何類型的物理標(biāo)識符獲得密鑰的系統(tǒng)��。
如上所述����,如果在集合中只有一個(gè)密值提取碼可用于特定的生物測定結(jié)果(即���,如果|Φxn|=1]]>)��,那么���,只能從xn得到一個(gè)加密密鑰。密值提取碼|Φxn|的數(shù)目很小而有很多xn∈xn的集合C不能用來可靠地提取多個(gè)加密密鑰�����。
因此��,本發(fā)明提供一種生成用來加密第一和第二終端間的通信的密鑰的方法����,其中����,用于密鑰提取的SEC集合得到擴(kuò)展���。具體而言��,假定對于所有xn∈xn而言����,|Φxn|=1·]]>根據(jù)本發(fā)明的方法向C中加入SEC�,所以對于所有xn∈xn而言,|Φxn|>1·]]>在本發(fā)明的優(yōu)選實(shí)施例中���,對于所有xn∈xn而言����,本方法實(shí)現(xiàn)了|Φxn|=|S|·]]>在本發(fā)明的優(yōu)選實(shí)施例中��,通過增加現(xiàn)有密值提取碼的置換而擴(kuò)展密值提取碼集合����。
具體而言,密值提取碼是編碼/解碼區(qū)域?qū)Φ挠行蚣?�。即,密值提取碼將物理標(biāo)識符特征值集和密鑰集進(jìn)行相關(guān)�����。密值提取碼中值集和密鑰集的排序意味著將“區(qū)域”(區(qū)域是物理標(biāo)識符特征值的特定集)映射到密鑰����。本發(fā)明通過在集合中增加和原始密值提取碼具有相同“區(qū)域”但是映射到不同密鑰的密值提取碼來擴(kuò)展該集合����。
圖3的流程圖示出根據(jù)本發(fā)明擴(kuò)展密值提取碼集合。
在步驟102���,定義密值提取碼的集合���。該集合可以包括一個(gè)或多個(gè)密值提取碼。每個(gè)密值提取碼定義物理標(biāo)識符特征值集和密鑰集間的映射�。即,基于特征的測量值��,將該測量結(jié)果分配到一個(gè)或多個(gè)區(qū)域����。區(qū)域是這樣的�,一個(gè)區(qū)域內(nèi)的所有測量結(jié)果彼此類似���,或者每個(gè)區(qū)域包括不同的測量結(jié)果�����。給定所分配的區(qū)域����,選定的密值提取碼定義可用密鑰集中的特定密鑰����。
在步驟104,通過置換物理標(biāo)識符特征值集和密鑰集間的映射來擴(kuò)展密值提取碼集合��。在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中���,置換是循環(huán)置換�,下文對此進(jìn)行詳細(xì)描述�。在本發(fā)明的其他實(shí)施例中,置換是非循環(huán)置換���。
圖4的流程圖示出使用根據(jù)本發(fā)明的密值提取碼的擴(kuò)展集合生成用于加密第一和第二終端間的通信的加密密鑰�����。本方法可用于登記階段和應(yīng)用階段���。
在步驟110,對用戶物理標(biāo)識符的特征進(jìn)行測量��。
如上所述���,在應(yīng)用階段進(jìn)行該測量時(shí)�,該測量是有噪聲的��,這意味著該測量和登記階段由認(rèn)證機(jī)構(gòu)進(jìn)行的測量不會完全匹配�。
在步驟112,從碼集合中選擇密值提取碼��。根據(jù)上述的本發(fā)明�,集合中至少一個(gè)碼具有物理標(biāo)識符特征值和密鑰集間的映射,該碼是集合中一個(gè)其他碼的有序映射的循環(huán)置換��。
在登記階段�,即,在用戶第一次確定用于加密和另一個(gè)特定用戶的通信的密鑰時(shí),認(rèn)證機(jī)構(gòu)從集合中隨機(jī)選擇一個(gè)密值提取碼����。在應(yīng)用階段,該用戶希望與另一個(gè)特定用戶通信���,第一終端使用登記階段認(rèn)證機(jī)構(gòu)生成的幫助數(shù)據(jù)選擇適當(dāng)?shù)拿苤堤崛〈a�����。幫助數(shù)據(jù)由認(rèn)證機(jī)構(gòu)產(chǎn)生�,存儲在第二終端的存儲器內(nèi)��。
在步驟114����,所選擇的密值提取碼用于從物理標(biāo)識符特征的測量結(jié)果中提取密值。通常使用單向函數(shù)來從提取的密鑰中生成加密密鑰����。在登記階段,認(rèn)證機(jī)構(gòu)將加密密鑰發(fā)送到第二終端���,第二終端將加密密鑰存儲在存儲器中����。
在應(yīng)用階段,使用生成的加密密鑰來對要發(fā)送到第二終端的通信進(jìn)行加密�,并對從第二終端接收的通信進(jìn)行解密。
如上所述����,使用置換過程來從第一密值提取碼生成另外的密值提取碼。本發(fā)明使用的一個(gè)置換例子中���,令π為S={1,2��,...�����,|S|)的置換��,即�,π 并且令C={(εi,Di)}||S|i=1∈C��。新的密值提取碼Cπ定義為Cπ={(επ(i)����,Dπ(i))}||S|i=1(6)令 為S的置換的子集�����。密值提取碼的新集合C∏構(gòu)建為C∏={CπC∈C�����,π∈∏)(7)在本發(fā)明的優(yōu)選實(shí)施例中��,使用如下的置換集構(gòu)建���。置換集是所有S循環(huán)移位的集,即 因而��,在基礎(chǔ)密值提取碼中���,第一區(qū)域測量映射到第一密鑰��,第二區(qū)域測量映射到第二密鑰��,依此類推�����;然后��,在第一置換中�����,第一區(qū)域測量映射到第二密鑰��,第二區(qū)域測量映射到第三密鑰���,依此類推�����,直到最后區(qū)域的測量映射到第一密鑰。進(jìn)而�,在第二置換中,第一區(qū)域測量映射到第三密鑰����,第二區(qū)域測量映射到第四密鑰,依此類推�,知道最后區(qū)域映射到第二密鑰。因此�����,可用置換的數(shù)目等于區(qū)域和密鑰的數(shù)目。
擴(kuò)展的碼集合Ccs定義為Ccs={CπC∈C��,π∈∏cs}(9)該構(gòu)建符合背景技術(shù)部分所述的要求���。例如�,令xn∈χn�,這樣給定密值提取碼的原始集合C,Φxn={C}·]]>不施加限制���,假定xn����,C→F(S) (10)對于新的集合Ccs����,定義xn,Cπk→F(Sk) (11)根據(jù)等式(8)和(9)得到F(Sk)=F(S+k(mod|S|)) (12)背景部分的要求4形成為F��,F(xiàn)(S)����,k→F(S+k(mod|S|))(13)給定對單向函數(shù)F的完整描述���、F(S)的值(S未知)和k∈{1,2����,...,|S|}��,攻擊者不能得到F(S+k(mod|S|))的值�����。
等式13的要求對單向函數(shù)F施加了要求���。例如�����,F(xiàn)不能是同態(tài)的���,即�����,F(xiàn)(α+β)=F(α)F(β),否則攻擊者可以高效地計(jì)算F(S)����。
不容易受到上述攻擊的單向函數(shù)包括,例如SHA-1�,或者從分組密碼得到的函數(shù)。
如果EK是使用固定公知密鑰K的分組密碼(例如LOMBOK或者DES)�����,單向函數(shù)F可以構(gòu)建成F(S)=EK(S)S (14)最后���,要注意�,單向函數(shù)F要滿足的唯一要求是單向性(或者抗原象(pre-image resistance))�。單向性保證,給定F(S)��,攻擊者不能得到值V(可能等于S)�,因而不能得到F(V)=F(S)。此外�,不需要抗碰撞(collision resistance)。
應(yīng)該理解���,詞語“包含”不排除其它部件或步驟���,“一個(gè)”不排除多個(gè)數(shù)量���,單個(gè)處理器或其它單元可以完成在權(quán)利要求中描述的多種裝置的功能。此外��,權(quán)利要求中的參考標(biāo)號不應(yīng)理解為限制權(quán)利要求的范圍���。
權(quán)利要求
1.一種生成用來加密第一和第二終端間的通信的密鑰的方法���,該方法包括獲得用戶的物理標(biāo)識符特征的測量結(jié)果;以及使用從碼集合中選取的碼從所述物理標(biāo)識符提取密鑰�,所述集合中的每個(gè)碼定義所述特征值集到密鑰集的有序映射;其中所述碼集合包括至少一個(gè)碼����,所述有序映射是所述集合中一個(gè)其他碼的所述有序映射的置換。
2.根據(jù)權(quán)利要求1的方法�����,其中所述置換是循環(huán)置換����。
3.根據(jù)權(quán)利要求1的方法,其中所述置換是非循環(huán)置換�����。
4.根據(jù)權(quán)利要求1���、2或3的方法����,所述方法進(jìn)一步包括執(zhí)行所述提取密鑰的單向函數(shù)���。
5.根據(jù)前述任何一項(xiàng)權(quán)利要求的方法�,其中所述第一終端是認(rèn)證機(jī)構(gòu)的一部分���。
6.根據(jù)權(quán)利要求5的方法���,其中所述方法在所述第一終端包括從所述集合中隨機(jī)選擇所述碼。
7.根據(jù)權(quán)利要求5或6的方法���,其中所述方法在所述第一終端進(jìn)一步包括得到用于標(biāo)識從所述物理標(biāo)識符特征的所述測量結(jié)果提取所述密鑰所使用的所述碼的幫助數(shù)據(jù)���。
8.根據(jù)權(quán)利要求7的方法��,所述方法進(jìn)一步包括將所述幫助數(shù)據(jù)和所述提取的密鑰存儲在所述第二終端的存儲器中�����。
9.根據(jù)權(quán)利要求1�、2�����、3或4的方法�����,其中所述第一終端是用戶終端���,基于所述第二終端提供給所述第一終端的幫助數(shù)據(jù)從所述碼集合中選取所述碼���。
10.根據(jù)前述任何一項(xiàng)權(quán)利要求的方法,其中所述物理標(biāo)識符是生物測定標(biāo)識符����。
全文摘要
提供一種生成用來加密第一和第二終端間的通信的密鑰的方法����,該方法包括獲得用戶的物理標(biāo)識符特征的測量結(jié)果�;使用從碼集合中選取的碼從物理標(biāo)識符提取密鑰����,所述碼集合中的每個(gè)碼定義特征值集到密鑰集的有序映射;其中所述碼集合包括至少一個(gè)碼��,有序映射是集合中其他碼中一個(gè)的有序映射的置換�����。
文檔編號G06K9/00GK101091348SQ200580045042
公開日2007年12月19日 申請日期2005年12月22日 優(yōu)先權(quán)日2004年12月28日
發(fā)明者P·T·迪爾斯, J·格色靈 申請人:皇家飛利浦電子股份有限公司