柴 虹

(蘭州交通大學(xué)鐵道技術(shù)學(xué)院 甘肅 蘭州 730070)

0 引 言

隨著云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)產(chǎn)業(yè)的逐漸興起，可靠身份認(rèn)證需求的不斷增長，基于生物特征的認(rèn)證系統(tǒng)越來越受到行業(yè)和用戶的青睞。身份認(rèn)證是指基于“你所知”和“你所有”這兩類標(biāo)識(shí)信息鑒別實(shí)體是否是其所聲稱的特定身份的技術(shù)。前者主要指“口令”和“密碼”類標(biāo)識(shí)信息；而后者包含“實(shí)體附著物”和“實(shí)體固有物”兩類，實(shí)體附著物主要指“身份證”和“令牌”類標(biāo)識(shí)物，實(shí)體固有物又稱生物特征，包括指紋、臉圖、虹膜、掌紋、掌型、指靜脈、聲紋、DNA等生理特征和步態(tài)、簽名、擊鍵等行為特征[1]。生物特征認(rèn)證技術(shù)就是基于實(shí)體獨(dú)特的生理或行為特征實(shí)現(xiàn)自動(dòng)身份鑒別的技術(shù)，它的核心是身份標(biāo)識(shí)信息的識(shí)別和標(biāo)識(shí)信息的保護(hù)問題[2]。生物特征不像口令類標(biāo)識(shí)那樣容易被忘記、泄露或被破解，也不會(huì)像“附著物”那樣容易被竊取或轉(zhuǎn)移，因此，生物特征認(rèn)證是一種可靠、便捷、高效的身份認(rèn)證技術(shù)。

通常情況下，部署一個(gè)生物特征認(rèn)證方案主要考慮兩個(gè)階段：注冊(cè)階段和驗(yàn)證階段。在注冊(cè)階段，將來自傳感器等生物特征采集設(shè)備的原始特征數(shù)據(jù)使用一定的技術(shù)進(jìn)行特征提取，再將這些特征以模板的形式存儲(chǔ)于數(shù)據(jù)庫中以備后用。

驗(yàn)證階段，將來自于特征采集設(shè)備的請(qǐng)求特征數(shù)據(jù)使用同樣的技術(shù)進(jìn)行處理得到特征值，再和庫中的模板進(jìn)行比對(duì)并輸出驗(yàn)證結(jié)果。

生物特征識(shí)別的準(zhǔn)確性受識(shí)別算法、采集設(shè)備及環(huán)境等因素的影響，拒真率(False Rejection Rate，F(xiàn)RR)和認(rèn)假率(False Acceptance Rate，F(xiàn)AR)是直觀評(píng)價(jià)生物特征認(rèn)證方案性能的兩個(gè)指標(biāo)[3]。

近年來，因傳統(tǒng)認(rèn)證標(biāo)識(shí)濫用導(dǎo)致的安全事故屢見報(bào)端[4]，原始生物特征泄漏也使得用戶隱私受到嚴(yán)重威脅[5]?；谏锾卣鞯恼J(rèn)證技術(shù)因其認(rèn)證標(biāo)識(shí)的唯一性和永久性而優(yōu)于傳統(tǒng)認(rèn)證技術(shù)，但也因?yàn)橥瑯拥脑蚴蛊涿媾R嚴(yán)重的安全風(fēng)險(xiǎn)和隱私威脅。因此，可隱私保護(hù)的生物特征認(rèn)證技術(shù)研究受到學(xué)術(shù)界和行業(yè)的高度重視。目前，帶有生物特征保護(hù)特性的認(rèn)證技術(shù)研究可歸類為如下四種：生物特征密碼系統(tǒng)類、可撤銷生物特征類、混合類和基于同態(tài)加密類。生物特征密碼系統(tǒng)類方案借助由生物特征導(dǎo)出的“幫助數(shù)據(jù)”綁定或生成密鑰實(shí)現(xiàn)認(rèn)證[6]，可根據(jù)“幫助數(shù)據(jù)”的導(dǎo)出方法分為密鑰綁定類[7-8]和密鑰生成類[9-10]?？沙蜂N生物特征類方案使用可更新的密鑰和不可逆函數(shù)將原始生物特征轉(zhuǎn)換成模板，一旦模板泄漏，更新密鑰生成新模板即可[11-12]?；旌项惙桨妇C合了密碼系統(tǒng)類和可撤銷類方案優(yōu)點(diǎn)，根據(jù)應(yīng)用場景使用相應(yīng)的特征[13-14]。基于同態(tài)加密的生物特征認(rèn)證方案允許生物特征以密文的形式參與運(yùn)算，可在保證系統(tǒng)性能的同時(shí)實(shí)現(xiàn)隱私保護(hù)要求[15-16,68]。因此，使用同態(tài)加密可以自然地構(gòu)造可隱私保護(hù)的生物特征認(rèn)證方案。

基于同態(tài)加密的生物特征認(rèn)證方案一般化實(shí)現(xiàn)過程如下：注冊(cè)階段，通過生物特征采集設(shè)備采集用戶的原始生物特征信息，使用類似文獻(xiàn)[17]設(shè)計(jì)的特征向量提取技術(shù)將原始特征轉(zhuǎn)換成系統(tǒng)所要求長度的模板向量(如2 048比特)，再使用同態(tài)加密算法加密該模板向量生成模板密文，并連同用戶標(biāo)識(shí)符一同保存在數(shù)據(jù)庫中以備后用；驗(yàn)證階段，使用和注冊(cè)過程相同的技術(shù)處理請(qǐng)求用戶的生物特征得到相應(yīng)請(qǐng)求密文，計(jì)算請(qǐng)求密文和模板密文之間距離密文(如漢明距離)，使用同態(tài)解密算法解密距離密文并和預(yù)定義的系統(tǒng)閾值比較，根據(jù)比較結(jié)果做出接受或拒絕的決定。為了獲得低的計(jì)算復(fù)雜度、FRR、FAR和高的可隱私保護(hù)性，基于同態(tài)加密的生物特征認(rèn)證方案研究的焦點(diǎn)主要集中在實(shí)用同態(tài)加密方案和模板安全匹配協(xié)議兩個(gè)方面。實(shí)際上，生物特征認(rèn)證方案還有一個(gè)普遍的研究熱點(diǎn)，即“安全草圖”的提取和對(duì)準(zhǔn)問題。本文重點(diǎn)論述方案構(gòu)造問題，對(duì)“安全草圖”的提取和對(duì)準(zhǔn)技術(shù)不做展開。

同態(tài)加密思想最早于1978年由Rivest在文獻(xiàn)[18]中提出，它的歷史幾乎和RSA一樣悠久，但遠(yuǎn)不及后者名氣大。歷史上出現(xiàn)過許多著名的同態(tài)加密方案[19-22]，遺憾的是它們都因?yàn)橥瑧B(tài)性差而沒有流行起來。直到2009年，Gentry[23]借助理想格上的困難問題提出了第一個(gè)全同態(tài)加密方案(Fully Homomorphic Encryption，F(xiàn)HE)，理論上可以同時(shí)實(shí)現(xiàn)無限次加法和乘法。FHE方案的構(gòu)造方法依據(jù)安全假設(shè)可分為數(shù)字理論困難問題類[24-27]、解碼隨機(jī)線性碼類[27]和格上困難問題類，格基類可根據(jù)設(shè)計(jì)算法及格困難問題分為理想格類[29-31，67]、NTRU類[32-33]和容錯(cuò)學(xué)習(xí)類[34-47]，其中以容錯(cuò)學(xué)習(xí)類方案研究最為廣泛。

鑒于此，本文對(duì)基于LWE類同態(tài)加密技術(shù)構(gòu)造的可隱私保護(hù)的生物特征認(rèn)證方案(簡稱LWE類生物特征同態(tài)認(rèn)證方案)及其相關(guān)技術(shù)進(jìn)行了梳理和介紹。由于同態(tài)密碼受因性能等因素的影響發(fā)展緩慢，加之量子攻擊因量子計(jì)算技術(shù)發(fā)展緩慢難以對(duì)傳統(tǒng)密碼產(chǎn)生實(shí)質(zhì)性的威脅，因此針對(duì)使用格基同態(tài)密碼構(gòu)造可隱私保護(hù)的生物特征認(rèn)證方案的研究尚處于初期。本項(xiàng)目研究了“谷歌學(xué)術(shù)”和“中國知網(wǎng)”從2009年至今以“Homomorphic”“Authentication”“LWE”和“同態(tài)”“認(rèn)證”“LWE”為關(guān)鍵字的檢索結(jié)果，篩選了代表性成果分為3類從同態(tài)方案構(gòu)造、生物特征認(rèn)證方案設(shè)計(jì)及正確性和安全性分析等方面進(jìn)行梳理，旨在為解決后量子時(shí)代隱私保護(hù)領(lǐng)域的安全問題提供一些理論參考。

1 預(yù)備知識(shí)

1.1 符號(hào)與說明

1.2 LWE

1.3 全同態(tài)加密及關(guān)鍵技術(shù)

1.3.1全同態(tài)加密

全同態(tài)加密有對(duì)稱和非對(duì)稱兩種構(gòu)造形式，我們以傳統(tǒng)的非對(duì)稱密碼公鑰加密(Public Key Encryption，PKE)結(jié)構(gòu)為例介紹其定義。一個(gè)典型的公鑰全同態(tài)加密方案由四個(gè)概率多項(xiàng)式(Probabilistic Polynomial-time，PPT)算法組成：公私鑰生成算法(Key Generation，KeyGen)、加密算法(Encryption，Enc)、解密算法(Decryption，Dec)和同態(tài)計(jì)算算法(Evaluation，Eval)[34]。

公私鑰生成算法KeyGen(1λ)：輸入安全參數(shù)，輸出公鑰pk，私鑰sk和密文計(jì)算鑰evk。

加密算法Enc(μ,pk)：輸入明文及公鑰，輸出明文比特μ∈{0,1}對(duì)應(yīng)的密文c。

解密算法Dec(c,sk)：輸入密文及對(duì)應(yīng)的私鑰，輸出相應(yīng)的明文比特，如果密文和私鑰不匹配或者發(fā)生其他錯(cuò)誤，輸出⊥。

同態(tài)計(jì)算算法Eval(evk,f,c1,c2，…,ct)：輸入同態(tài)計(jì)算鑰evk和密文c1,c2,…,ct，使用函數(shù)f，輸出滿足Dec(cf,sk=f(m1,m2,…,mt)的cf。

函數(shù)f通常描述成有限域上的算術(shù)電路形式。同態(tài)方案的正確性指的是方程Dec(cf,sk=f(m1,m2,…,mt)不成立的概率可忽略；加密方案的安全性指的是方案滿足語義安全性。

定義1一個(gè)FHE方案的IND-CPA安全性是指：考慮PPT敵手A和挑戰(zhàn)者之間的游戲：

(1) 挑戰(zhàn)者生成(pk,sk)對(duì)和其他安全參數(shù)，保密sk并將其他參數(shù)發(fā)布給敵手A；

必然存在一個(gè)可忽略的多項(xiàng)式函數(shù)：

1.3.2全同態(tài)加密的關(guān)鍵技術(shù)

同態(tài)加密技術(shù)的根本目標(biāo)是同態(tài)計(jì)算，即對(duì)密文在密文域進(jìn)行計(jì)算，計(jì)算結(jié)果解密后相當(dāng)于對(duì)應(yīng)明文執(zhí)行相同的操作。為了保證密文計(jì)算時(shí)的安全性，同態(tài)加密在構(gòu)造密文時(shí)引入了噪聲。所以，同態(tài)計(jì)算時(shí)噪聲也參與了運(yùn)算，而且依據(jù)運(yùn)算規(guī)則累積，甚至?xí)兊煤艽?，以至于影響正確解密。因此，構(gòu)造同態(tài)加密方案的關(guān)鍵在于對(duì)同態(tài)計(jì)算中密文的噪聲進(jìn)行有效管理。下面我們介紹全同態(tài)加密中噪聲管理的關(guān)鍵技術(shù)。

c2就是刷新以后的新鮮密文，它的噪聲足夠小，可繼續(xù)執(zhí)行一次同態(tài)運(yùn)算。如果解密電路深度不超過部分同態(tài)加密方案所允許計(jì)算的深度，就可以在每輪循環(huán)使用啟動(dòng)技術(shù)獲得全同態(tài)加密方案[34]。

模交換技術(shù)(Modulus Switching)是在維數(shù)模約減技術(shù)(Dimension-modulus Reduction)基礎(chǔ)上提煉而來的密文噪聲管理技術(shù)。該技術(shù)最早由Brakerski等在文獻(xiàn)[34]中提出，后經(jīng)Brakerski和Gentry在文獻(xiàn)[36]中提煉命名為模交換技術(shù)，使用這一技術(shù)可以無須啟動(dòng)技術(shù)就能獲得層次型全同態(tài)方案。該技術(shù)可簡單描述如下：

[〈c′,s〉]p=[〈c,s〉]q(mod)2

Power2(y)：y∈Zn，輸出(y,2y,…,2「logq?-1y)(mod)q∈Zn·「logq?。

對(duì)于所有q∈Z有：

〈x,y〉=〈BitDec(x),Power2(y)〉(mod)q∈Zq。

SwitchKeyGen(s1,s2)：

ai0∈A、i=0,…,(N-1)，τs1→s2=B。

SwitchKey(τs1→s2,s1)：

1.4 基于RLWE的同態(tài)假設(shè)

自Gentry的第一個(gè)全同態(tài)方案誕生以來，各種新方案層出不窮，但基于RLWE安全假設(shè)的BV11a[34]、BV11b[35]及BGV12[36]三個(gè)方案因其良好的性能受到生物特征認(rèn)證方案研究者廣泛關(guān)注，其中BV11a是基于標(biāo)準(zhǔn)LWE構(gòu)造的FHE，BV11b是基于標(biāo)準(zhǔn)RLWE構(gòu)造的FHE，BGV12是基于標(biāo)準(zhǔn)LWE(over Ring)構(gòu)造的層次型全同態(tài)方案(Leveled Fully Homomorphic Encryption，LHE或Some What Homomorphic Encryption，SHE)。FHE和LHE的主要區(qū)別是：前者是依靠啟動(dòng)技術(shù)實(shí)現(xiàn)的純的全同態(tài)方案，而后者只能獲得深度為L層計(jì)算電路的全同態(tài)方案，L是安全參數(shù)λ的函數(shù)。對(duì)比研究現(xiàn)有方案發(fā)現(xiàn)，多數(shù)格上的生物特征認(rèn)證是基于它們構(gòu)造的，下面我們簡要介紹這些方案的基本原理、參數(shù)設(shè)置等細(xì)節(jié)在下一章生物特征同態(tài)認(rèn)證方案介紹中給出。

基于LWE假設(shè)的BV11a方案的基本思想是：每次密文計(jì)算后通過重線性化技術(shù)把密文乘積轉(zhuǎn)換成一個(gè)維數(shù)與原密文相同的新密文以便實(shí)現(xiàn)下一層計(jì)算，并使用維數(shù)模約減技術(shù)約減密文噪聲獲得部分同態(tài)，再借助啟動(dòng)技術(shù)實(shí)現(xiàn)全同態(tài)。BV11a方案是一個(gè)同態(tài)公鑰加密方案，主要包含如下四個(gè)環(huán)節(jié)[34]。

BV11a.Enc(μ,pk)：已知公鑰pk=(Α,b)，加密一個(gè)明文比特μ∈{0,1}，均勻隨機(jī)抽取向量r∈{0,1}m，令v=ATr，w=bTr+μ，輸出包含電路深度的密文向量c=((v,w),l)，其中，l為電路深度標(biāo)簽，l=0表示新鮮密文。

BV11a.Eval(evk,f,c1,…,ct)：f:{0,1}m→{0,1}，是由加法門“+”和乘法門“×”組成的二進(jìn)制算術(shù)電路，乘法電路的深度為L層。

在同態(tài)計(jì)算過程中，必須保證輸入密文c=((v,w),l)具有相同的電路深度標(biāo)簽，并且滿足:

w-〈v,sl〉=μ+2·e(modq)

以保證同態(tài)計(jì)算的正確性。

BV11a.Dec(c,sL)：經(jīng)同態(tài)計(jì)算，輸出形如c=((v,w),L)的密文，所以解密只需計(jì)算：w-〈v,sL]=μ+2·e(modq)(mod2)，只要噪聲足夠小，就能正確解密。

BV11b.Enc(m,pk)：對(duì)于m∈Rt，均勻隨機(jī)抽取u,f,g∈χ，輸出：c=(c0,c1)=(p0·u+t·g+m,p1·u+t·f)。

BV11b.Dec(c,sk)：對(duì)于c=(c0,c1,…,cξ)：

m=〈c,s〉(mod)t

只要〈c,s〉的范數(shù)小于q/2就能正確解密。

BGV12方案是Brakerski等在文獻(xiàn)[36]中提出的一種層次型全同態(tài)加密方案，它與前兩個(gè)方案不同之處在于它使用模交換技術(shù)而非啟動(dòng)技術(shù)管理噪聲。該方案是一種非對(duì)稱加密方案，它包含了整數(shù)向量和整數(shù)多項(xiàng)式上的兩個(gè)版本。下面我們介紹RLWE上方案的基本結(jié)構(gòu)。

BGV12.Setup(1λ,L)：運(yùn)行E.Setup(1λ,L)，輸出模數(shù)qj(j=0,1,…,L)，噪聲分布χ和維數(shù)nj。

BGV12.KeyGen(n,L)：對(duì)于j=L…0，計(jì)算：

(1)sj←E.SecretKeyGen(·)，

Aj←E.PublicKeyGen(sj)；

BGV12.Enc(m,pk)：(c,L)←E.Enc(m,AL)。

BGV12.Dec(c,sk)：m←E.Dec(c,sj)。

2 RLWE上的生物特征認(rèn)證方案

2.1 LWE上的生物特征認(rèn)證方案-BV11a型

2016年，Aono等[53],提出了一種基于LWE上PKE同態(tài)的快速安全的生物特征認(rèn)證方案它的密文尺寸只有文獻(xiàn)[54-55]的一半但計(jì)算效率提高了1 000倍以上。該系統(tǒng)中，作者設(shè)計(jì)了一種靈活的向量編碼方法，它可以自然地處理二進(jìn)制串及其密文的同態(tài)操作。生物特征的二進(jìn)制模板密文在“誠實(shí)又好奇”的服務(wù)器上進(jìn)行XOR操作完成比對(duì)，并返回結(jié)果即可。

2.1.1生物特征認(rèn)證方案設(shè)計(jì)

將定義2應(yīng)用于文獻(xiàn)[56]提出的協(xié)議，構(gòu)成的新協(xié)議由三部分組成：用戶CD/CD′、計(jì)算服務(wù)器CS和認(rèn)證服務(wù)器AS。協(xié)議過程如下：

(1) 參數(shù)生成：AS運(yùn)行ParamGen(1λ)和KeyGen(1λ,pp)生成pp、pk和sk，保存sk并公布pp=(q,l,p=2)、pk=(A,P,n,s)。

(3) 驗(yàn)證階段：CD′發(fā)送(id,Enc(A′))給CS，CS計(jì)算CT=Enc(A′)+Enc(R+A)，并把(id,H(R),CT)發(fā)送給AS；AS計(jì)算R′=Decsk(CT)=R+A+A′，并判斷H(R)=H(EC(R′))是否成立，若成立返回R，否則返回錯(cuò)誤提示，其中EC(·)為糾錯(cuò)函數(shù)。

2.1.2正確性和安全性分析

在上述方案中，單個(gè)密文c=Enc(·)=(c1,c2)，對(duì)應(yīng)的明文m=Dec(·)=〈c,S〉(modp)，其中：

〈c,S〉=c1S+c2=(e1A+pe2)S+e1P+pe3+m=

e1(AS+P)+pe2S+pe3+m=

因此，只要p(e1R+e2S+e3)足夠小，就能正確解密。

對(duì)于同態(tài)加法密文Add(c,c′=c+c′(mod)p，解密所得明文Dec(·)=[c+c′,S](modp)，其中：

2(e1A+pe2)S+2(e1P+pe3)+(m+m′)=

因此，只要2p(e1R+e2S+e3)足夠小，就能正確解密。由于本方案只涉及同態(tài)加法，故同態(tài)乘法的正確性這里不再贅述，可參見文獻(xiàn)[53]。

考慮PPT敵手Α和挑戰(zhàn)者之間的游戲：

(1) 挑戰(zhàn)者生成(pk,sk)對(duì)和其他安全參數(shù)，保密sk并將其他參數(shù)發(fā)布給敵手Α。

2.2 RLWE上的生物特征認(rèn)證方案-BV11b型

2015年，Yasuda等[57]在BV11b[35]的基礎(chǔ)上提出了一種SHE生物特征認(rèn)證方案，該方案設(shè)計(jì)了兩種密文封裝方式用于模板向量和請(qǐng)求生物特征向量的封裝。第一種密文封裝方式基于Lauter等[58]提出的消息編碼技術(shù)，它能有效提高密文同態(tài)計(jì)算的效率和安全性；第二種密文封裝方式便于模板密文和請(qǐng)求特征密文之間漢明距離的安全計(jì)算。2018年，游林等[68]提出了類似的方案。

2.2.1生物特征認(rèn)證方案設(shè)計(jì)

ct(1)(T)=Enc(F1(T),pk)，

ct(2)(Q)=Enc(F2(Q),pk)，

C2(x)=-C1(x)+2

作者在文獻(xiàn)[59]的基礎(chǔ)上使用定義3設(shè)計(jì)了一個(gè)RLWE上的生物特征認(rèn)證協(xié)議，該協(xié)議由三部分組成：用戶CD/CD′，計(jì)算服務(wù)器CS和驗(yàn)證服務(wù)器AS，協(xié)議過程如下：

(1) 參數(shù)生成：AS生成(pk,sk)對(duì)，并把pk發(fā)布給CD和CS。

(2) 注冊(cè)階段：CD(id)提取生物特征模板T并計(jì)算ct(1)(T)，發(fā)送二元組(id,ct(1)(T))給CS存儲(chǔ)。

2.2.2正確性和安全性分析

上述方案完全構(gòu)建于BV11b，該SHE方案解密的正確性限制條件是||〈c,s〉|∞

對(duì)于單個(gè)密文c=BV11b.Enc(·)=(c0,c1)，對(duì)應(yīng)的明文m=BV11b.Dec(·)=〈c,s〉(modt)，其中：

〈c,s〉=(p0u+tg+m)+s(p1u+tf)=

m+t(g+sf-ue)∈Rq

對(duì)于兩個(gè)密文c、c′，同態(tài)運(yùn)算后解密所得明文：

m+m′=BV11b.Dec(·)=〈c+c′,s](modt)

m·m′=BV11b.Dec(·)=〈c·c′,s〉(modt)

其中：

〈c·c′,s〉=〈c,s〉+〈c′,s〉∈Rq

〈c·c′,s〉=〈c,s〉·〈c′,s〉∈Rq

而且，RLWE方案在PLWE安全假設(shè)下具有IND-CCA1的安全性[65]。

2.3 RLWE上的生物特征認(rèn)證方案-BGV12型

2016年，Cheon等[60]在BGV12的基礎(chǔ)上提出了一種SHE上生物特征認(rèn)證方案，該方案借助單指令多數(shù)據(jù)操作(Single Instruction Multiple Data，SIMD)、單次消息認(rèn)證碼[62](one-time MAC，OTM)和密文壓縮技術(shù)[63]有效提高了密文運(yùn)算效率、保障了密文的完整性并降低了密文尺寸。2018年，宋新霞等[69]學(xué)者也提出了類似的方案。

2.3.1生物特征認(rèn)證方案設(shè)計(jì)

[U→S] (u,v,G)←(h,hτ,{H2(hj)|j∈[T]})

[S]h*←(vu-r1)-r0，Check ifH2(h*)∈G

根據(jù)上述約定，假設(shè)用戶U/U′和服務(wù)器S之間的通信安全，協(xié)議過程描述如下：

(1) 參數(shù)生成：

U使用BGV12.Setup(·)和BGV12.KeyGen(·)生成(pk,sk)對(duì)和其他參數(shù)，并把pk發(fā)布給S。

(2) 注冊(cè)階段：

(3) 驗(yàn)證階段：

2.3.2正確性和安全性分析

在上述方案中，注冊(cè)階段的安全性由BGV12方案保證；匹配階段，用戶側(cè)的安全性由定理2保證，服務(wù)器側(cè)的安全性由定理3保證，證明參見文獻(xiàn)[36]的定理1和定理2。

定理2對(duì)于元素長度為l(λ)比特的整數(shù)集合Rl，假設(shè)OTM方案能夠抵抗單次存在性偽造攻擊，那么對(duì)于任意PPT敵手Α，必然存在一個(gè)可忽略函數(shù)negl(·)滿足：

上述定理說明，在OTM方案安全假設(shè)下，即使掌握解密密鑰的用戶側(cè)敵手也無法使用一個(gè)錯(cuò)誤的輸入通過驗(yàn)證。

定理3假設(shè)BGV12方案提供IND-CPA安全性，上述生物特征認(rèn)證方案能夠抵抗“半誠實(shí)”攻擊。

因?yàn)锽GV12方案提供IND-CPA安全性，在“半誠實(shí)”的場景中，必然存在仿真器能夠利用SHE密文的統(tǒng)計(jì)不可區(qū)分性、MAC的密鑰和隱藏于離散對(duì)數(shù)背景中的匹配結(jié)果生成與真實(shí)協(xié)議統(tǒng)計(jì)不可區(qū)分的觀點(diǎn)，使得敵手無法統(tǒng)計(jì)區(qū)分仿真器和真實(shí)協(xié)議的輸出。

2.4 性能分析

表1 三個(gè)方案中安全距離計(jì)算時(shí)耗及單密文尺寸

(a) Xeon E5- 2660/2.60 GHz,(λ=128,n=921,q=232-1,l=2048,σ=8);

(b) Xeon X3480/3.07 GHz,(λ=80,n=2 048,q=264-1,t=2 048,σ=4);

(c) Xeon E5- 2697/2.60 GHz,(λ=80,n=8 191,q=240-1,t=2 048,σ=8)。

3 挑戰(zhàn)和機(jī)遇

基于同態(tài)加密的生物特征認(rèn)證方案的可用性和安全性主要依賴于FHE方案的性能，而現(xiàn)有的FHE方案都因其算法復(fù)雜度高、密文尺寸過大、方案實(shí)現(xiàn)不夠簡潔而難于部署應(yīng)用；有些方案缺乏可信計(jì)算安全，容易遭受“中心搜索攻擊”[64-66]如Yasuda2015[57]；有些依靠“啟動(dòng)技術(shù)”約減密文噪聲的方案，仍然存在循環(huán)安全隱患；加之，標(biāo)準(zhǔn)化工作緩慢，可隱私保護(hù)的生物特征認(rèn)證方案距離產(chǎn)業(yè)化實(shí)用還有一段很長的路。盡管困難重重，但LWE類同態(tài)隱私保護(hù)方案的技術(shù)優(yōu)勢(shì)依然明顯且研究意義重大[70]。

(1) 實(shí)現(xiàn)可隱私保護(hù)的生物特征同態(tài)認(rèn)證方案只需有限次同態(tài)計(jì)算，因此優(yōu)秀的格密碼技術(shù)和SHE方案是該領(lǐng)域永恒的研究熱點(diǎn)。

(2) 模板向量和請(qǐng)求向量間的安全匹配及計(jì)算方法是本領(lǐng)域的另一個(gè)研究熱點(diǎn)，正如Anon2015展示的一樣，優(yōu)秀的密碼原語和原語的使用方法同樣重要。

(3) 隨著移動(dòng)云計(jì)算、分布式多方計(jì)算和差分隱私服務(wù)的興起，多密鑰同態(tài)計(jì)算及多維特征認(rèn)證等技術(shù)也將成為本領(lǐng)域的研究熱點(diǎn)。

生物特征同態(tài)認(rèn)證只是眾多有隱私保護(hù)需求的相似性評(píng)估類應(yīng)用之一，因此研究LWE類同態(tài)隱私保護(hù)技術(shù)對(duì)于滿足應(yīng)用需求和加速同態(tài)密碼的標(biāo)準(zhǔn)化進(jìn)程都具有重要的意義。

4 結(jié) 語

在信息技術(shù)高度發(fā)達(dá)和發(fā)展的今天，云計(jì)算和分布式計(jì)算等外包計(jì)算服務(wù)正在使“懶人模式”成為可能并且形成習(xí)慣。要使外包服務(wù)無后顧之憂，用戶隱私保護(hù)問題就亟待解決，同態(tài)加密技術(shù)無疑是理想的候選技術(shù)，利用RLWE等格密碼技術(shù)構(gòu)造同態(tài)加密方案保護(hù)生物特征認(rèn)證中的隱私數(shù)據(jù)是后量子時(shí)代密碼工作者的首選技術(shù)。文章在介紹生物特征認(rèn)證和全同態(tài)密碼關(guān)鍵技術(shù)的基礎(chǔ)上研究了3類基于RLWE的同態(tài)加密方案BV11a、BV11b和BGV12的可隱私保護(hù)的生物特征認(rèn)證方案的構(gòu)造方法、安全性和效率問題，并指出了該領(lǐng)域可能的機(jī)遇和挑戰(zhàn)。