基于CRC與離散對數難題的雙重認證模糊金庫方案

張歡歡

摘要：模糊金庫方案是生物特征加密領域一種流行的密鑰綁定方案，它將生物特征與秘密數據安全地綁定在一起，形成一個金庫且能夠實現“模糊”解鎖，攻擊者不能從金庫中獲取生物特征或秘密數據。因此，方案可以在保護秘密數據的同時，也保護用戶的生物特征。基于CRC循環冗余編碼的模糊金庫是模糊金庫應用于生物特征認證識別的一種重要實現，但是其存在兩類嚴重問題，即CRC碰撞和無法抵抗混合替代攻擊。提出了基于CRC與離散對數難題的雙重認證模糊金庫，可以同時解決這兩類問題。

關鍵詞關鍵詞：模糊金庫；生物特征加密；CRC校驗；混合替代攻擊

DOIDOI：10.11907/rjdk.171923

中圖分類號：TP301

文獻標識碼：A文章編號文章編號：16727800（2017）011002603

0引言

2002年，ARI JUELS等[1]提出的模糊金庫方案很好地解決了生物特征模糊性問題，他們將個體的生物特征看作與之對應的一些特征點集合，將個體生物特征與密鑰κ綁定形成一個金庫，設計了一種擁有容錯能力的方案，即允許上鎖生物特征與解鎖生物特征略有不同。但此方案中解鎖階段采用RS解碼恢復出密鑰κ′，并未采用任何措施確認κ′與原始密鑰κ是否相等，因此不能用于生物認證。隨后學者提出基于CRC校驗與拉格朗日內插函數的模糊金庫[24]，只有通過拉格朗日多項式插值法得到的密鑰滿足CRC校驗，才算通過驗證，然而由于這些方案中CRC校驗位只有短短的8bit或者16bit，所以CRC碰撞發生的概率不可被忽略（CRC碰撞即非法用戶通過拉格朗日插值法得到的非真實密鑰滿足CRC校驗）。而CRC碰撞一旦發生，將會導致非法用戶通過認證，從而使系統的FAR（錯誤接受率）升高。本文基于離散對數數學難題，在基于CRC校驗的模糊金庫中引入參數組（p，g，gκ），只有在恢復出的密鑰κ′通過CRC校驗，同時滿足gκ′=gκ時，認證才算通過。實驗表明，該方案在維持FRR（錯誤拒絕率）基本不變的情況下，降低了系統的FAR。

1經典模糊金庫方案

模糊金庫方案是Juels和Sudan在2002年提出的密鑰綁定算法，其最大特點是具有無序性，該特點非常適合將生物特征的模糊性和密碼算法的精確性聯系起來。模糊金庫方案一般分為兩個步驟：①上鎖階段。用戶將秘密κ和無序集A綁定構成模糊金庫，使攻擊者很難從模糊金庫中找出秘密κ和無序集A；②解鎖階段。用戶使用無序集B從保險箱中解密出秘密κ，用戶能夠解密得到κ的充分必要條件是無序集B和無序集A有足夠多的元素重合。模糊金庫算法的具體實現過程可以描述如下：

（1）上鎖階段：選取密鑰κ∈Fkq與一個一次多項式f（x）=f0+f1x+f2x2+…+fk-1xk-1相關聯，即將密鑰κ映射為f（x）的系數。然后將上鎖的特征點集合A={a1，a2，…，at}中的所有特征點都映射到f（x）上，得到真實特征點的點集R={（a1，f（a1）），（a2，f（a2）），…（at，f（at））}，再隨機添加適量雜湊點，構成雜湊點點集R′。雜湊點的一維坐標值應與真實點的特征值不同，且添加的雜湊點不經過選定的一次多項式f（x），即可得到模糊金庫VA=R∪R′。為了隱藏秘密κ，雜湊點的數量要遠遠大于真實點數目（一般取真實特征點的10倍以上）。

（2）解鎖階段：用戶使用無序集B從模糊金庫中解密κ，假設B和A中有足夠多的元素重合，找出這些重合的點，這些點必然落在多項式P上。使用這些點重構一個多項式f，由f得到秘密κ。如果B和A重合的點數不夠，則無法重構出一個與f相同的多項式。經典模糊金庫框架如圖1所示。

圖1經典模糊金庫框架

2基于CRC的模糊金庫方案

基于CRC的模糊金庫方案[2，5]與經典模糊金庫方案不同的是，該方案中采用拉格朗日內插法和CRC校驗代替了經典模糊金庫方案在解密階段時使用的RS解碼模塊。因此，可以通過檢查CRC校驗是否滿足，以確定密鑰是否被正確地恢復，也使其可以作為生物特征的識別認證。基于CRC的模糊金庫分為注冊階段和認證階段兩部分，其主要思路是計算出真實密鑰κ的CRC，并且直接附在真實密鑰κ的后面，用這個新密鑰作為一次多項式的系數，按照經典模糊金庫中的上鎖步驟完成注冊。而在認證階段，利用拉格朗日多項式內插法恢復出多項式后，再檢查恢復出的多項式系數是否滿足CRC校驗，并以此作為認證是否通過的依據?；贑RC的模糊金庫方案框架如圖2所示。

圖2基于CRC的模糊金庫框架

3基于CRC與離散對數難題的雙重認證模糊金庫方案

本文提出的認證方案與以往基于模糊金庫的認證方案不同的是，其在模糊金庫里添加了參數組（p，g，gκ），其中p為選定的大素數，g為有限乘法群F*p中一個生成元。由于在已知（p，g，gκ）時，想要求出κ比較困難，故參數組（p，g，gκ）不會泄露密鑰κ的信息。在認證階段，首先根據朗格朗日多項式插值法恢復出一次多項式的系數，得到κ′，驗證κ′是否滿足CRC校驗，若不滿足，則認證失??；若滿足CRC校驗，再利用金庫中的公共參數g計算出gκ′，并驗證gκ′=gκ是否成立，若滿足，則認證成功，若不滿足，則認證失敗。可以看出，認證用戶只有同時通過CRC校驗和gκ′=gκ時才能認證成功，所以該方案可以很好地降低非法用戶成功通過認證的概率。當然，對于合法用戶而言，CRC校驗和gκ′=gκ都可以很簡單地通過，所以對系統的錯誤拒絕率基本沒有影響。因此，該方案的設計可以在維持FRR（錯誤拒絕率）基本不變的情況下，有效降低系統的FAR。

4安全性分析

文獻[8]～[10]指出了基于生物模板保護的方案存在的缺點以及基于模糊金庫的方案可能遭受的攻擊類型，抗混合替代攻擊是基于模糊金庫的方案都無法避免的攻擊類型，以下對本文提出方案的與抗混合替代攻擊性進行分析。endprint