基于同態加密的聲紋模板設計及其分析

朱華虹，賀前華，李艷雄，潘偉鏘

華南理工大學電子與信息學院，廣州510640

1 引言

近年來，聲紋識別技術在遠程身份認證中的應用越來越多，但也逐漸暴露出其本身固有的一些安全性和隱私性方面的缺陷。人的生物特征具有唯一性和穩定性，且涉及個人隱私，一旦泄露將造成災難性的后果[1]。因此，隨著基于聲紋的遠程身份認證系統的不斷推廣，聲紋特征的存儲和傳輸安全成為一個重要而有價值的研究課題。

密碼學為保護生物特征模板的安全性提供了有效手段，但加密算法所要求的精確性和生物特征所固有的模糊性之間的矛盾成為了兩者結合的最大障礙：特征數據變成密文后喪失了原有特性，導致大部分特征識別技術失效[2]。目前的各種生物特征模板保護算法[3-5]也主要是針對具體的生物特征和識別算法提出實現方案。Fuzzy vault作為經典的生物特征模板保護方法在指紋、虹膜、聲紋中都有廣泛應用，基本思想是使用雜湊點（chaff point）達到隱藏真實點的目的，此方法的缺陷是安全性依賴于雜湊點（chaff point）的數量，導致存儲效率不高及交叉匹配等問題[6]。文獻[4]提出了基于多子空間映射的可撤銷聲紋模板保護方法，將聲紋特征正交變換后在變換域進行模型訓練和匹配，實現可撤銷模板的設計目標。但有研究[7]指出該方法存在泄漏特征信息，無法保證變換的區分度而易受冒充攻擊等缺陷。前期已將實數域同態加密方案用于聲紋模板保護[5]，該方法的優點是可對加密的聲紋數據進行算術運算，因而在識別時無需解密原始特征達到保護特征的目的，其缺點是密文泄漏了明文的大小關系、小數信息和正負數信息，無法應用于安全級別較高的場合。但該文將同態加密首次應用于聲紋模板保護，為傳統的生物特征模板保護提供了新思路。

不同類型的生物特征具有不同的特征模式，衡量兩個樣本是否充分接近的方法也不同。目前尚未有任何一種算法能滿足所有生物特征模板保護的要求[8]。因此，進行模板保護時，需要根據不同的生物特征、不同的信號表達形式以及相應的應用場合研究合適的算法?？紤]到基于矢量量化（Vector Quantization，VQ）算法的聲紋識別方法的諸多優點[9]，且在聲紋識別優化算法中常用于特征聚類，針對該算法的聲紋模板保護方法報道也較多[4-5]。因此，本文在傳統基于矢量量化VQ的聲紋認證系統基礎上，提出一種基于同態加密的聲紋模板保護方法：首先將實數形式的碼本和認證聲紋特征轉化為整數，然后采用改進的整數同態加密算法對數據進行加密并計算密文的歐氏距離分量差，運算結果經解密后用于計算平均最小量化誤差最終進行決策輸出。該方法中密文未泄漏明文的大小關系、小數和正負數信息，并可抵抗已知明文攻擊，可應用于安全級別更高或者特殊的場合。最后通過仿真實驗驗證了本文方法的有效性。

2 同態加密

2.1 整數上的同態加密

同態加密是基于數學難題的計算復雜性理論的密碼學技術，其思想起源于1978年Rivest等提出的秘密同態（Privacy Homomorphisms）[10]，是一種允許直接對密文進行計算的加密變換。在實際應用中，目前最好的成果主要在整數范圍內實現加乘同態，而能夠對加密數據進行任意復雜操作的全同態加密[11]由于計算復雜而無法真正用于實際。同態加密可以有效保護互聯網環境下重要或敏感數據的安全性和隱私性，被廣泛用于移動代理安全[12]、秘密選舉[13]、隱蔽通信[14]等領域。Sander和Tschudin定義了整數環上的同態加密機制[15]。設R和S為整數環，R表示明文空間，S表示密文空間。n，m∈R，加密函數E()滿足：

（1）加法同態，如果從E(m)和E(n)通過加法計算可以計算出E(m+n)，而不需要知道m和n的值。

（2）乘法同態，如果從E(m)和E(n)通過乘法計算可以計算出E(mn)，而不需要知道m和n的值。

Lee[13]等基于大數分解難題提出了一種具體的整數同態加密算法：設R和S為整數環，R為明文空間，S為密文空間；p、q為兩個大的素數，N=pq，m∈R且m≤p，c∈S，r是隨機整數，則加密算法為：c=()m+rp mod N，對應的解密算法為：m=c mod p。該算法在結果為非負整數時具有加法同態特性[15]。

2.2 改進的整數同態加密算法

實際應用中，生物特征匹配的一些運算很難滿足Lee算法對計算對象的限制，為此，本文構造一種改進的整數同態加密算法：首先根據定義1將整數統一轉化為非負整數，再采用Lee算法對加法進行同態加密，最后根據定義2進行解密獲得計算結果。

定義1[12]設p1是一個大素數，m為整數且通過公式（1）可將任意整數表示為非負整數：

定義2[12]設p1是一個大素數，n為非負整數。通過公式（2）可將經定義1轉化的非負整數解密為原來的值。

同時，文獻[12]也證明了當m1、m2為整數，且時，該方法滿足加法同態特性，即

結合上述結論，本文提出一種改進的整數同態加密算法：選取3個大素數：p1、p2和q(p1=p2或2p1＜p2，p1≠q，p2≠q)，N=p2q，r為隨機正整數，m為整數，為明文信息集。加密算法Enc(m，p1，p2，q，r)：

解密算法Dec(c，p1，p2)：

定理1 對于所有的m∈Zp，有Dec(Enc(m))=m成立。

證明（1）若

綜上可得Dec(Enc(m))=m成立。

該算法滿足加法同態特性，其證明如下。

定理2 對m1，m2∈Zp，有m1+m2=Dec(Enc(m1)+Enc(m2))。

證明

Dec(Enc(m1)+Enc(m2))=

證畢。

下面舉一個簡單例子說明上述同態加密的作用（選取數據雖然較小，但能反映出基本的加密過程，其中p1=p2=p）：

明文整數m1=3，m2=-15，p=67，q=11，N=pq=737，r1=20，r2=13。Η(m1)=3，Η(m2)=67+(-15)=52，E(m1)=(3+20×67)mod 737=606，E(m2)=(52+13×67)mod 737=186，E(m1)+E(m2)=606+186=792，m1+m2=Dec(Enc(m1)+Enc(m2))=Η-1(792mod 67)=Η-1(55)=-12,與明文直接進行計算3+(-15)=-12一致。

3 基于同態加密的聲紋模板保護

生物特征具有模糊性，因而加密方法需要結合具體的生物特征以及識別方法才能達到有效保護生物特征模板的目的。多年來，聲紋特征主要建立在短時頻譜基礎上，其中美爾倒譜系數（M el-Frequency Cepstral Coefficients，MFCC）是目前使用最廣泛的聲紋特征參數，如NIST歷年領先的說話人識別測評系統大部分都采用了MFCC作為特征參數[9]。因此，本文也選擇MFCC作為認證系統使用的特征，但MFCC特征值一般均為實數。如前所述，基于實數的同態加密存在安全性不高的缺陷，而第2章中改進的同態加密算法只適用于整數。為了利用同態加密的優勢，同時考慮聲紋特征的特點，本文首先需要進行整數的轉化。將實數明文轉化為整數的方法比較簡單：設明文的最大小數點位數用b表示，將明文乘以10b后就可轉化為整數（不夠b位用零補足）。轉化后的整數可以進行加法運算，為了保證其和與轉化前一致，還需要將運算結果除以10b。該方法支持對轉化后的整數進行同態加密，其加法結果解密后與明文的加法結果相同。這是因為，同態加密是對轉化后的整數進行的，加密整數的加法運算結果經解密后，與未加密的整數加法結果一致。未加密的整數加法結果如果要與實數明文的加法結果一致，則只需將整數加法結果除以10b。例如，假設明文為0.3和-1.5，其加法結果為0.3+(-1.5)=-1.2。將明文進行整數轉化，即分別乘以10得到3和-15，結合第2章中的例子，同態加法結果解密后為-12，再除以10為-1.2，與明文加法結果一致。

進一步結合識別算法考慮，VQ算法的判決尺度為最小量化誤差，其度量值為矢量間的歐氏距離|x-y|=（其中，yi，…，yd}為d維矢量，xi∈x，yi∈y)。其中，分量差xi-yi可以看做xi+(-yi)，從而可使用加法同態加密算法（一般情況下，加法同態與減法同態是一致的[12]）。為了使用整數同態加密算法，在加密之前需要將實數明文轉化為整數。而VQ的認證判決主要通過與系統閾值比較進行決策輸出，這里比較的是距離的相對大小，而非絕對數值。因此，為了提高算法效率，對xi-yi同態解密后的結果可以省略除以10b的步驟，類似于將結果擴大了10b倍，因此只需調整相應的閾值即可。一般情況下，MFCC特征有4位小數，其絕對值大小在100以內。而碼字是訓練矢量空間的代表點[4]，因而其絕對值大小也在100以內。為降低大素數的選擇難度和提高算法效率，本文選取b=1，即MFCC特征經過四舍五入取1位小數。實驗結果也表明這種處理方式產生的誤差對識別率不會產生太大影響。實際中，可根據各系統的精度要求以及經驗值對b進行折衷選擇。

綜上所述，本文提出一種基于同態加密的聲紋認證系統框圖如圖1所示。服務器端采用分布式架構，并假設各模塊相互獨立且不會勾結[7]，模塊間的通信信道也使用標準協議加密。具體的聲紋模板保護方法可描述為：

（1）初始狀態。客戶端擁有密鑰p1、p2和N，決策模塊擁有密鑰p1、p2。

（2）注冊階段：

步驟1 提取注冊語音的M FCC特征序列X，X={x1，x2，…，xt，…，xf}，xt(1≤t≤f)為d維語音特征矢量；

步驟2 使用LBG（Linde-Buzo-Gray）算法對X進行訓練，獲得碼本C={c1，c2，…，ci，…，cM}，ci(1≤i≤M)為d維碼字，M為碼本大小；

步驟3 將C中元素根據上文方法進行整數的轉化并乘以-1，以便將減法轉為加法，再利用同態加密獲得加密后的碼本C′={c′1，c′2，…，c′i，…，c′M}，存儲于碼本庫。

（3）認證階段：

步驟1 提取待認證語音的MFCC特征序列X′，X′={x′1，x′2，…，x′t，…，x′T}，x′t(1≤t≤T)）為d維語音特征矢量；

步驟2 對X′中元素根據上文方法進行整數的轉化，再利用同態加密獲得加密后的特征Y′={y′1，y′2，…，y′t，…，y′T}；

步驟3 匹配模塊計算矢量間的歐氏距離分量差y′i+c′i（其中，c′i∈c′i，y′i∈y′t)，將運算后發送給決策模塊；

步驟4 決策模塊利用p1、p2解密后，計算認證矢量與碼字之間的歐氏距離d(y′t，c′i)，并求出平均最小量化誤差ξ：

步驟5 將ξ與系統閾值進行比較，并決策輸出是否通過認證。

4 安全性和計算復雜度分析

4.1 安全性分析

生物特征模板保護對安全性的要求體現在兩點重要特征[2]：一是識別在變換域進行；二是即使模板被盜（泄漏），敵手也無法獲得原始數據。同態加密算法是一種支持對密文進行運算的加密機制，其優點在于可以對密文數據進行直接運算但又不泄漏其中的內容。注冊和認證過程中，用戶送給遠端服務器的聲紋特征和碼本均經過同態加密，即變換后的模板。識別過程中，匹配模塊直接對密文進行計算，而并非類似傳統密碼學方法那樣需要解密成明文。決策模塊雖然擁有密鑰，但其只是對歐氏距離分量差的結果進行解密，由于分布式架構中的各模塊相互獨立且不會勾結，決策模板本身不能獲得加密的聲紋特征和碼本，也就無法利用密鑰獲得原始數據。這個前提在基于分布式架構的生物特征模板保護框架中都會有相關假設。因此，可認為識別在變換域進行，滿足上述的第一個重要特征。另一方面，加密算法通過改變r，同一個明文在相同的密鑰下可加密為不同的密文；而相同的密文可能對應多個不同的明文。假設特征序列長度為f，特征矢量為d維，則特征數為fd。在密鑰安全保存的前提下，每一個特征密文對應λi個可能的明文，敵手通過蠻力攻擊破解所有明文的破解概率為對于隨機分布的大量特征元素，且元素值均經過了非負數的轉化，其破解概率是可忽略的。因此方法也滿足不可逆性的第二個特征，這也說明該方法滿足聲紋模板保護的多樣性和可撤銷性。

圖1 基于同態加密的聲紋認證系統

進一步觀察密文數據，明文經過加密后均變為非負整數，因此密文沒有泄漏明文的小數和正負信息，且從第2章實例也可看出密文并未泄漏明文的大小關系。另一方面，當加密算法中p1、p2相等時，本文方法與文獻[5]方法一樣無法抵抗已知明文攻擊；當p1、p2不等時，假設敵手獲得相應的明文密文對m1、c1，如果m1為負數，根據定理1，有c1mod p2=p1+m，敵手無法根據同余性質[12]破解p1、p2。因此，本文方法可抵抗已知明文攻擊。不過一旦敵手獲得密鑰，就可以破解系統。事實上，加密算法的安全性都是基于密鑰的安全性，無條件的安全算法是不存在的。在實際應用中，可以通過安全措施盡量避免最壞情況的發生，如同一用戶在不同的系統中選擇不同的密鑰，而一旦模板被盜，及時更換密鑰產生新的模板來達到有效保護聲紋模板的目的。

4.2 計算復雜度分析

本文方法相對于傳統的聲紋認證系統，計算復雜度的增加主要在于原始碼本和認證聲紋特征的加密以及加法結果的解密。設注冊、認證聲紋特征序列長度分別為Q和S，MFCC的階數為D，碼本大小為M。根據第3章的分析，整數和非負整數的轉化復雜度均為O(D(S+M))，加密的復雜度為O(3D(S+M))，解密的計算復雜度為O(2DSM)，因此，總的計算復雜度為O(5D(S+M)+2DSM)。文獻[4]采用隨機映射所增加的計算復雜度為O(2D2(Q+S))。一般來講，聲紋特征序列長度遠大于碼本大小，因此本文方法的計算復雜度會比文獻[4]方法低。而文獻[5]方法沒有進行整數及非負整數的轉化，其增加的計算復雜度主要是加密的復雜度O(3D(S+M))，解密的計算復雜度為O(DSM)。雖然本文方法的計算復雜度略高，但其克服了密文泄漏明文的大小關系、小數和正負數信息等問題，增強了安全性，所以其稍高的計算復雜度也是可以接受的。

5 實驗結果與分析

本文旨在研究所提聲紋模板保護方法的有效性，并非研究聲紋識別算法本身，但不同的聲紋識別方法適用的加密方法不同。本文主要研究VQ聲紋認證系統的模板保護，而VQ算法主要用于小語料庫的識別。實驗采用863漢語普通話連續語音識別訓練庫[4]，數據庫中每人有1 560條語音，選取80個說話人作為注冊用戶集，其中男女各40人。為了消除文本內容對識別性能的影響，選取的原則是每個說話人的測試語句不同于訓練語句，其他說話人的語句與之也不同。每個人各選取1 000條不同本文內容的語音進行實驗，其中1條為訓練樣本，1條作為測試樣本。每條語音用Cooledit Pro 2.0去靜音后時長為4～10 s不等。語料庫聲音數據文件采用高質量16 kHz采樣，16位數據，單聲道WAV格式存儲。特征采用典型的24階MFCC特征，對語音進行分幀處理，幀長32ms，幀移16ms。

文中采用等錯誤率（Equal Error Ratio，EER）作為評價認證性能的指標，其反映了系統的整體準確率和用戶的接受度等重要性能[16]。分別針對VQ的典型碼本大小一般為32、64、96、128進行實驗。同時，為了驗證實數轉化為整數過程中，由于b的取值而引入的誤差對識別結果可能造成影響，分別對b取值為1、2、3進行實驗。實驗中，素數通過查詢素數表的方法獲取。表1給出了不同碼本大小下，加密前后的認證性能。從表1可以看出，系統的認證性能隨碼本容量的增加而增強，當碼本容量為128時，EER可達9.65%；相同碼本大小下，b取值為2和3時系統的認證性能與未加密是一致的，也就是整數化引入的誤差對識別結果沒有影響，而當b取值為1時的EER相對未加密的EER有所增大，但總體上性能不是下降太多（在0.6%以內）。實際應用中，如果對認證性能的精度要求較高，則可以將b值取大，從而保持與未加密的認證性能一致。

表1 不同碼本大小下加密前后VQ算法的認證性能（%）

6 結束語

針對聲紋特征和VQ算法的特點，提出一種基于同態加密的聲紋模板保護方法。理論分析和實驗結果表明，本文方法在保護特征數據的同時仍可保持與傳統認證系統相同的身份認證性能?，F實中HMM（Hidden M arkov model）和GMM（Gaussian M ixture model）也有比較多的應用，但在分量加密的層面上，可論證HMM、GMM和VQ是一樣的，從保護特征的角度也是一樣的，基于這點考慮本文方法也同樣適用于HMM和GMM。事實上，沒有完美的生物特征模板保護技術可以滿足所有生物特征以及應用場合的要求，不同的聲紋識別方法所采用的加密方法肯定是不同的。因此，尋求應用于其他聲紋識別算法的加密方案并降低算法的計算復雜度，將是下一步研究的重點。

[1]Lee H G，Beng Jin Teoh A，Jung H G，et al.A secure biometric discretization scheme for face template protection[J].Future Generation Computer Systems，2012，28（1）：218-231.

[2]Isobe Y，Ohki T，Komatsu N.Security performance evaluation for biometric temp late protection techniques[J].International Journal of Biometrics，2013，5（1）：53-72.

[3]Argones R E，Maiorana E，A lba Castro J L，et al.Biometric template protection using universal background models：an application to online signature[J].IEEE Transactions on Information Forensics and Security，2012，7（1）：269-282.

[4]徐文華，賀前華，李韜，等.基于MRP的可撤銷模板設計及其分析[J].電子學報，2009，37（12）：2792-2795.

[5]Zhu H H，He Q H，Tang H，et al.Voice print-biometric template design and authentication based on cloud computing security[C]//Proceedings of the International Conference on Cloud and Service Computing，Hong Kong，China，2011：302-308.

[6]Nagar A，Nandakumar K，Jain A K.A hybrid biometric cryptosystem for securing fingerprint minutiae templates[J].Pattern Recognition Letters，2010，31（8）：733-741.

[7]Yongjin W，Konstantinos N P.An analysis of random projection for changeable and privacy preserving biometric verification[J].IEEE Transactions on Systems，Man，and Cybernetics：Part B Cybernetics，2010，40（5）：1280-1293.

[8]Jin Z，Jin Teoh A B，Ong T S，et al.Fingerprint template protection with minutiae-based bit-string for security and privacy preserving[J].Expert Systems with Applications，2012，39（6）：6157-6167.

[9]王偉，鄧輝文.基于MFCC參數和VQ的說話人識別系統[J].儀器儀表學報，2006，27（6）：2252-2255.

[10]Rivest R L，Adleman L，Dertouzos M L.On data banks and privacy homomorphism s[J].Foundations of Secure Computation，1978，32（4）：169-178.

[11]Gentry C，Halevi S.Im plementing gentry’s fully-homomorphic encryption scheme[M]//Proceedings of Advances in Cryptology（EUROCRYPT 2011）.Berlin Heidelberg：Springer，2011：129-148.

[12]陳良.基于同態加密的移動代碼安全技術研究[D].廣州：華南理工大學，2009.

[13]Yan Y J，Hu H Y.Research and realization of security electronic voting plan based on homomorphic commitment verifiable secret sharing[J].Applied Mechanics and Materials，2013，263：1673-1676.

[14]陳嘉勇，王超，張衛明，等.安全的密文域圖像隱寫術[J].電子與信息學報，2012，34（7）：1721-1726.

[15]Sander T，Tschudin C F.Towards mobile cryptography[C]//Proceedings of IEEE Symposium on Security and Privacy，Oakland，USA，1998：215-224.

[16]Rathgeb C，Uhl A，Wild P.Experiments on iris biometric template protection[M]//Iris Biometrics.New York：Springer，2013：245-265.