由Gentry描述的完全同态系统。
[0050] 令加密函数由E(.)表示,并且令a、b、c和d为四个整数。然后,在加法同态系统 (诸如Paillier系统)中,E(a)E(b) =E(a+b)并且E(a)b=E(ab)〇
[0051] 使用关于二次多项式的同态的二次同态系统允许在加密域中进行一次乘法和不 限数量的加法。因此,在二次同态系统中,如果C1=E(a)并且C2=E(b),然后CA=E(a) E(b) =E(a+b),这意味着在加密域中可以执行加法。此外,在二次同态系统中,存在函数 e(.,.),使得e(Q,C2) =e(E(a),E(b)) =F(ab),这里函数F(.)可以被求逆,即,被解密以 揭示乘积ab。这意味着在加密域中可以执行乘法。函数e(.,.)的示例是关于乘法循环群 的双线性映射。
[0052] 函数F(.)也是加法同态,并且支持不限数量的加法。例如,F(ab)F(cd)= F(ab+cd)。然而,函数F(.)不是乘法同态。因此,给出F(ab)和F(cd),使用映射 e(F(ab),F(cd))不可能获得F(abed)。完全同态系统(诸如Gentry的系统)允许在加密 域中进行不限数量的乘法和不限数量的加法。
[0053] 各种实施方式可以采用任何加法同态系统、二次同态系统或者双重同态系统。在 下文所描述的实施方式中,具有二次同态系统的实现方式由于它的低的计算开销和发送开 销而被使用。然而,该方法到加法同态系统和双重同态系统的扩展是简单的。
[0054]在下文所描述的实施方式中,距离测度是使用生物计量数据的特征之间的欧几里 德距离的平方。然而,其它实施方式使用不同的距离测度,诸如二进制的汉明距离、加权的 汉明距离、以及加权的欧几里得距离。
[0055] 设置阶段
[0056]在一个实施方式中,生物计量接口控制设备、数据库服务器和认证服务器可以拥 有公共密钥,例如,同态系统的密钥140。只有认证服务器拥有私有密钥,例如,解密密文所 需要的密钥145。
[0057] 图2示出了根据本发明的实施方式的用于在登记状态期间在服务器120处存储生 物计量数据的加密的方法的框图。对于将被登记在生物计量认证系统中的每个生物计量数 据210,数据库服务器120或者第三方服务确定登记矢量214,使得登记矢量的元素包括生 物计量数据210的特征。另外,确定指定生物计量数据的识别性特征的位置的指示器矢量 212和指定登记矢量的每个元素的一致性的第--致性矢量216。使用同态加密(例如,二 次加密)对登记矢量214、指示器矢量212、以及第--致性矢量216进行加密230。
[0058]在各种实施方式中,登记矢量、指示器矢量、以及第--致性矢量的加密被存储 220在数据库服务器120中用于将来认证。在一些实施方式中,登记矢量、指示器矢量、以及 第一一致性矢量以加密的代数分量的形式被存储240,以帮助随后的认证。
[0059]例如,在一个实施方式中,对于在生物计量认证系统中登记的每个用户,数据库服 务器存储第一组代数分量,该第一组代数分量包括E(Vl)和E(_2viyi)以及S0I),这里,i= 1,2, ...,N。同样地,对于在生物计量认证系统中登记的每个用户,数据库服务器存储第一 组E(Vl)和E(-2viri)以及Q/;2),这里,i= 1,2, . . .,N。以加密的代数分量的形式存储登 记矢量、指示器矢量、以及第一一致性矢量允许使用同态属性(即,不对所述矢量解密)确 定加密域中加密矢量之间的距离。
[0060] 该实施方式是基于矢量的一些距离函数具有特定属性的实现,所述特定属性有助 于在加密域中找到这些函数的解。这些距离函数可以被转换成同态分量的线性组合。同态 分量是输入的代数组合(即,矢量),使得同态分量的加密值可以使用同态属性(即,无需解 密)从矢量的加密值直接计算。因此,在保存数据的保密性的加密域中执行同态分量的加 密结果的计算。
[0061] 使用同态属性可以处理加密的同态分量。因此,以基于特定距离函数确定的加密 的代数分量的形式存储登记矢量、指示器矢量、以及第一一致性矢量允许在加密域中确定 该函数的结果。下面将提供加密的代数分量的用法的示例。
[0062] 图3示出了根据本发明的实施方式的用于在认证阶段期间确定生物计量数据的 加密的方法的框图。生物计量访问控制设备110接收所要求的身份的名字,例如,Alice。 访问控制设备然后从用户或者冒名顶替者接受生物计量数据(诸如指纹310),并且对该生 物计量信号运行生物计量特征提取算法。特征提取算法的输出是探针矢量x312和第二一 致性矢量S314。这些矢量中的每个具有长度N,探针矢量的元素包括生物计量数据310的 特征,并且Sl表示探针矢量的特征xi的一致性。
[0063] 在一些实施方式中,访问控制设备用同态加密对探针矢量和第二一致性矢量进行 加密320,并且将加密的矢量发送345到数据库服务器120。因此,数据库服务器接收340 针对生物计量数据的认证所提出的探针矢量的加密,以及指定该探针矢量的每个元素的一 致性的第二一致性矢量的加密。
[0064] 类似于数据库服务器中的操作,一些实施方式的访问控制设备确定330并且发送 第二组加密的代数分量。例如,在一个实施方式中,第二组包括£卜,:) £U) 以及 V 、: E(Sl),i= 1,2,…,N。
[0065] 图4示出了用于确定针对认证提出的数据420与存储在服务器处的数据410之间 的距离的方法的框图。在一些实施方式中,在登记过程期间存储在服务器处的数据410包 括登记矢量的加密(其中,登记矢量的元素包括生物计量数据的特征)以及指定生物计量 数据的识别性特征的位置的指示器矢量的加密,如上所述。另外,在认证期间由服务器接收 的数据420包括针对生物计量数据的认证提出的探针矢量的加密以及指定该探针矢量的 每个元素的一致性的第二一致性矢量的加密。
[0066] 服务器在加密域中确定430登记矢量和探针矢量的识别性元素之间的第一距离 440的加密,其中,登记矢量和探针矢量的识别性元素的位置对应于由指示器矢量指定的用 户的识别性特征的位置。同样地,服务器在加密域中确定430第一一致性矢量和第二一致 性矢量的识别性元素之间的第二距离450的加密,其中,第一一致性矢量和第二一致性矢 量的识别性元素的位置对应于由指示器矢量指定的用户的特征的位置。
[0067] 在各种实施方式中,基于第一距离和第二距离认证生物计量数据。例如,认证可以 包括将第一距离和第二距离的加密发送460到认证服务器130。
[0068] 在一些实施方式中,用同态加密的公共密钥对登记矢量、探针矢量、指示器矢量、 第--致性矢量、以及第二一致性矢量进行加密。在这些实施方式中,在加密域中使用同态 属性确定第一距离和第二距离的加密。
[0069] 图5示出了用于安全地确定表示530为同态分量540的线性组合的距离函数510 的加密结果520的方法的框图。加密结果520可以是在加密域中确定的第一距离440或者 第二距离450。加密结果能够安全地通信,并且使用与公共密钥140相关联的私有密钥140 进行解密。
[0070] 本发明的实施方式将距离函数510变换530为同态分量(例如,541、542、和543) 的线性组合540。线性组合的示例是同态分量的加法和减法。用公共密钥140加密同态分 量。同态分量的加密结果可以例如使用同态加密的属性单独地评估560。由于线性组合和 同态加密的属性,加密的单个结果565可以被组合570以生成函数的最终的加密结果。
[0071] 例如,数据库服务器120可以存储登记矢量、指示器矢量、以及第一一致性矢量的 加密的第一组代数组合。可以根据距离函数确定该第一组以帮助加密域中的后续的计算。
[0072] 例如,在一个实施方式中,距离函数是欧几里得距离,并且第一组代数组合包 括E(Vl)、E(-2viyi)、五O',2)、E(-2viri)以及五Of),这里i= 1,2,…N,E(.)为二次同态 的加密函数,y= (y:,y2,…,yN)为登记矢量,v= (Vi,v2,…,vN)为指示器矢量,r= (1^,r2, ?