CN1792060A - 用于认证物理对象的方法和系统 - Google Patents

Abstract

一种用于对物理对象进行认证的系统，包括一种登记装置，一种认证装置，以及一种用于存储认证数据的存储器。所述的登记装置包括一个用于接收该物体属性集Y的输入，该属性集是使用一种测量过程测量的。一个处理器被用于根据测量到的属性集Y创建一个属性集I，该属性集I满足一种预定的鲁棒性标准。接着从属性集I创建一个属性集A，该属性集A比属性集Y包含更少的关于实际属性的信息，并且最后根据属性集A的属性生成一个控制值V。一个输出被用于向存储器提供所述的控制值，以作为认证数据的一部分。所述的登记装置以模拟方式工作。

Description

用于认证物理对象的方法和系统

本发明涉及一种为物理对象生成认证数据的方法，以及一种对物理对象进行认证的方法。此外，本发明涉及一种认证系统。

物理对象认证可被用于许多应用，诸如有条件地访问安全建筑物或有条件地访问数字数据(例如存储在计算机或可移动存储介质中)，或用于识别目的(例如用于向被识别的人收取特定活动的费用)。生物统计认证是众所周知的。在这种系统中，使用一种适当的读取器，诸如指纹扫描仪或虹膜扫描仪，来读取一个人(物理对象)的生物统计属性。这些属性与参考数据进行比较。如果出现匹配，这个人就被识别或可被准许访问。关于该用户的参考数据早在登记阶段已被获取并被安全地存储，例如存储在一个安全数据库或智能卡中。

要被认证的物理对象也可以不是人类。例如，该对象可以是一种像CD、DVD、固态存储器这样含有受保护的数字内容的存储介质。作为一种防止非授权重现和/或拷贝的措施，所述的内容本身能够以一种加密的形式被存储。一种可信的存储介质典型地包括可测量的属性，它优选地用这样的方式，即使得再现/拷贝设备能够获得所需的解密密钥，而非授权的重放设备则不能获取这些密钥。典型地这些属性不作为常规数据被存储，因为这将使得制作受保护内容和属性的一对一的非法拷贝成为可能。这种拷贝因而不能与原始内容进行区分并被认为是可信的。相反地，这些属性至少部分地被隐藏在介质本身中，而不是将其作为数据存储在存储介质上。这些属性是作为存储介质的物理参数的变化从存储介质上获得的。对于光盘，一种做法是通过使用一种所谓的“摆动轨道(Wobble)”。不同的介质将具有一个不同的摆动轨道或根本没有摆动轨道，因此认证结果将不会产生给内容解密所需的解密密钥。参考与本发明同一个受让人的美国专利5,724,327(代理人文档号PHN 13922)，该专利描述了创建这种“摆动轨道”并在其中存储信息的各种技术。摆动轨道是物理上不可克隆的功能(PUF)的一个例子。

典型地，认证协议通过密码学方法将这些属性转换成一个受保护的控制值。生成的控制值与一种存储的参考控制值进行比较。例如，参考数据被存储在一个中央服务器上，该服务器可以在只有成员可以访问的办公场所、银行或俱乐部，或在用户可以有条件访问或需要被识别的许多其它地点。由于生物统计是人类的唯一标识符，可能出现隐私问题。人们为向许多看似安全的数据库提供他们的生物统计信息感到不安。实践显示生物统计信息会通过不安全的实现(例如被黑客攻破)或通过系统操作员的滥用而变得可供利用的。特别在登记过程中，未受保护的生物统计数据是可供利用的。如果该信息在许多地点都可供利用，滥用的可能性就会增加。还应当记住生物统计数据是一种用很好的用户身份表示。“盗窃”一个人的一些或大部分生物统计数据(可能是通过仅仅攻破一种实现方式)可被视为盗窃一个人的身份的电子等价方式。盗窃的数据可能会使得获取对许多其它受生物统计数据保护的系统的访问相对容易。因而，使用生物统计信息的“身份盗窃”要比“简单的”信用卡盗窃具有更加严重的后果。撤销一张信用卡相对容易，但撤销一个人的生物统计身份要复杂的多。使用生物统计信息(特别是视网膜扫描)的另一个问题是它能够暴露疾病模式，因而极易被滥用。这些问题中的一些也与不是基于生物统计数据的物理对象的认证有关。例如，一个人可能有一张可通过读取卡片信息被自动验证的身份卡片。如果该卡片很成功并被用于许多应用，该卡片的撤销就会变得麻烦。

许多认证协议使用一种单向函数，诸如散列(hash)，该函数减少了需要在参考控制值中存储的数据量。常规的单向函数对于输入中小的扰动非常敏感。因此，当输入数据有噪声时，那些加密原语不能被直接应用。当输入数据是从诸如生物统计、PUF等物理对象的测量获得时，这正是典型的情况。

WO 02/078249描述了一种认证方法，该方法直接在测量的属性即n-维欧氏空间中的向量上进行运算。提取了一些未指明的特征，比如X₁，...X_s∈R，并且估计了每个特征X_i，i＝1，...，s的均值μ_i和方差σ_i ²。此外，选择了一个实数r∈(0，1)并且形成了密码本B＝{(w₁，...，w_s)：w_i＝rσ_ik_i i＝1，...，s；k_i∈Z}。在下一步，选择了一个随机向量δ＝(δ₁，...，δ_s)，使得c＝(c₁，...，c_s)，c_i＝μ_i-δ_i是密码B中的一个有效的码字。最后，c的散列形式h(c)和δ被存储。认证包括选择一个码字c’：c’＝argmin_c∈_B||x’-δ-c||以及将c’的散列形式h(c’)与存储值h(c)进行比较。换句话说，输入特征Xi被移位随机数δ_I位，并且该值以步长rσ_i被量化到离网格最近的点。在这种方法中，偏移量δ和码字c₀的散列形式可以公开地得到(或者，如果数据库被泄露，它们就变成可得到的)。可以假定攻击者原则上能够反转散列函数，并且能够获得码字c₀，因而给予了攻击者对身份x₀的访问。此外，这种方案是不可靠的。正确地认证在一个诚实的用户上所测量到的s-维的特征向量的概率小于2^-s，这对于实际应用量太低了。

本发明的一个目标是提供一种改进的基于物理对象属性的用于认证的方法和系统。

为了实现所述的本发明的目的，一种生成用于对物理对象进行认证的认证数据的方法包括：

使用一种测量过程测量对象的属性集Y；

根据测量的属性集Y创建属性集I，该属性集I满足一种预定的鲁棒性标准；

根据属性集I创建属性集A，该属性集A比属性集Y包含更少的关于实际属性的信息；

根据属性集A的属性生成一个控制值V并且将该控制值插入认证数据。

根据本发明的方法直接作用在被测量的属性上，而不是将这些属性映射到密码值。在利用密码学方法进行处理之前，这些测量的属性必须被量化成离散值。由于测量属性包含噪声，在不同的实验中量化结果可能不同。尤其是，如果一个物理参数的取值接近一个量化门限，微量的噪声都可能改变结果。在对量化过的数据施加一个加密函数之后，细微的变化将被放大并且结果将与预期的结果不具有任何相似之处。这根本上是加密函数的一个必需的属性。为了减少在不可靠属性上进行操作的风险，首先从测量集创建一组鲁棒的属性。所述的鲁棒的集包括那些具有高信噪比的属性。接着要减少鲁棒的属性集中的信息量。该简化的属性集构成了用于认证的控制值的基础。破解该控制值将仅仅暴露一组简化的信息。鲁棒的属性集将仍然包括尚未暴露的信息。这些未暴露的信息可被用于其它的认证应用，即使这些应用也基于那些已经被暴露的数据。

根据从属权利要求2的方法，执行一种收缩变换。该收缩变换将预定的输入值转换成相应的输出值。它还将与预定输入值中一个十分相似的任意输入值转换成相同的相应的输出值。在另一方面，明显不同的输入值被转换成不同的输出值。这种收缩变换的一个例子是Δ-收缩函数，该函数具有第一输入(密码学数据)，第二输入(辅助数据)并且基于第一和第二输入生成了输出。第二输入是一种控制值，该值定义了用于第一输入信号的值的范围(例如使用一种预定距离的量度以便目标输入值在预定距离之内)以及与每个第一输入值范围相对应的输出值。收缩变换进一步增加了鲁棒性，因为物理对象的一个属性总是被转换成相同的输出值，只要该属性只受到有限噪声影响以致它仍然处在相同的输入值范围之内。此外，它减少了信息量。直接地从输出判断出输入是不可能的。

正如在从属权利要求3中的方法所描述的，收缩变换将一个具有超过两个可能值(典型地至少是8比特值)的属性变换成表示该属性的符号的二进制数。该符号可以为正或负。正值可以用数字“0”表示，负值可以用数字“1”表示，或反之亦然。零值属性通常不应该出现在鲁棒的集中。

正如在从属权利要求4中的方法所描述的，创建属性集A的步骤包括选择属性集I的一个子集。选择子集也是减少信息量的一种有效方法。正如在从属权利要求5中的方法所描述的，优选地，子集选择是受辅助数据W指导的。例如，辅助数据可以指定使用哪些属性以及不使用哪些属性。辅助数据W在实际的认证过程中被插入到认证数据使用。优选地，辅助数据W对于一个认证应用是唯一的。通过为每个应用使用一个不同的选择过程，破解用于一个应用的子集不会影响其它应用(至少对于足够多的数据未被暴露时是如此)。

正如从属权利要求7中的方法所描述的，鲁棒的属性的创建使用一种预定的基于被测属性之信噪比的鲁棒性标准。创建属性集I的步骤包括在属性集Y上执行一种变换Γ来创建分离的属性集I₁和I₂，这里I₁的属性的信噪比比I₂的属性的信噪比要高；并使用I₁作为属性集I。所述的标准可能基于测量过程的统计属性，因而可以提取到在统计上可靠的属性。所述的标准还可以被不断修正直到属性集I₁包括期望数量的属性。

优选地，变换Γ是一种线性变换，它将一个表示属性集Y的向量转换成一个表示集合I的向量，其分量为α_i，这里每个向量分量α_I对于其它的向量分量α_j(j≠i)是独立的，并且其中向量分量是按照估计的信噪比排列的。这是一种获得期望数量的独立鲁棒的属性的有效方法。适当的变换可以基于主分量分析或Fisher判别变换。

正如在从属权利要求10的方法中所描述的，可被用于变换的统计属性包括一个从对象的估计属性X推导出的协方差矩阵和一个相应的统计分布F。

正如在从属权利要求11的方法中所描述的，所创建的绝对值大于门限的属性被用于集合I₁；其它的属性不再使用。所述的门限是从被测属性集中的噪声水平导出的。

正如在从属权利要求12的方法中所描述的，既然已经创建了一个鲁棒的和简化过的属性集，则通过对属性执行一个加密函数就可以创建控制值V。通过不暴露属性集本身而仅仅是其密码学表示，信息的检测将更加困难。优选地，所述的加密函数是一个单向函数，诸如一个单向散列。

本发明的这些以及其它方面将会变得十分明显，并将结合下文中描述的实施例进行阐述。

在附图中：

图1显示了根据本发明的认证系统的一个框图；以及

图2显示了一个优选实施例中的主要处理步骤。

图1显示了根据本发发明的系统100的一个框图。所述的系统包括一个登记装置110，该登记装置110生成认证数据并将其存储在存储器130中。为此，所述的登记装置包括一个用于接收从物理对象105测量到的属性的输入端112。所述的属性是使用适当的测量装置120被测量的，该测量装置120可以被合并到登记装置。物理对象可以是个人。图中显示的是从人身上测量的指纹105。也可以测量其它的生物统计数据，诸如扫描虹膜。这些技术本身是众所周知的并且将不再说明。所述的对象也可以不是人类。例如，该对象可以是一个电子识别卡。具体说，该对象可以是一个数据载体，诸如一种数字音频/视频内容载体(例如CD)。在这种情况下，对象105可以与存储器130结合，即该对象也携带认证数据。如果该对象是一个存储介质对象，所述的属性可以是存储介质的一个物理参数的变种。这些变种可以是有意产生的，对每个对象都是特定的，或者可以是随机的。只要变种对于对象足够唯一，就可以被用于认证。不管是什么物理对象，都假定对于该物理对象可以测量到许多属性。原则上，所述的属性是“模拟的”，每个属性被量化成多比特的值。典型地，至少会使用8比特的属性值。所述的登记装置包括一个用于生成认证数据的处理器114。该处理器可以使任何适当的处理器，诸如举例而言个人电脑所用的处理器。典型地，所用的通用的处理器是在适当的程序的控制之下工作的。该程序可以被存储在非易失存储器中。因为登记装置优选地要创建不易被破解的认证数据，所以最好应该采取一些安全步骤。例如，登记装置可以被放置在一个安全环境中或部分处理步骤可以在安全模块中被执行，诸如一种防窃密的密码学模块中。所述的认证数据通过输出116被存储在存储器130中。

所述的系统还包括至少一个认证装置140。原则上，可以使用用于登记的同一个设备来完成认证。在这种情况下，登记装置和认证装置是同一个。在描述中，假定两个装置是独立的以澄清登记和认证之间的区别。登记装置包括一个用于接收从物理对象105测量到的属性的输入端142。所述的属性是使用适当的测量装置170测量到的，该测量装置170可以被合并到认证装置。优选地，测量装置120和170具有相似的设计。测量的是同一个物理对象，而该物理对象已经由认证装置110创建了认证数据。所述的认证装置包括一个用于比较对象属性和认证数据的处理器144。该处理器可以是任意适当的处理器，诸如个人电脑所用的处理器。典型地，所用的通用处理器是在适当的程序控制下工作的。该程序可以被存储在非易失性存储器中。认证装置的输入端也被用于从存储器130接收认证数据。应当意识到，登记装置，存储器以及认证装置可以在物理上相距甚远。如果是这样，可以使用适当的通信手段来交换认证数据。存储器130还可以被合并到登记装置中。

在描述中，术语认证以一种宽广的含义被使用。所述的技术可被用于验证：该物理对象是可信的，即真的，但是也可被用于建立该对象或任何其他适当的人的身份。所述方法和系统的结果是一个控制值。该控制值可被用于任何目的。例如，如果在认证期间出现匹配，这会触发一个动作，像让一个人进入一个建筑物或一台计算机的入口。同样地，可以装入与控制值对应的已经被存储的数据。例如，这可以是任何形式的标识，像一个人的名字，但这同样可以是一个识别号码。甚至可以提取出一个银行帐号，从而让被认证的用户对帐户的访问。所有这些变种都不超出专业人员的专业技能，并将不再详细描述。本说明将集中在使用生物统计的人员认证(包括识别)。应当意识到，同样的技术也可被用于许多其它用途，它们共同要对从物理对象测量到的属性进行认证。

根据本发明的对物理对象进行认证的协议被设计成满足下面的三个需求：

(i)对噪声的鲁棒性

本质上，由于涉及生物统计学或物理测量，测量会受到噪声的损害。认证方案被设计成对小的噪声是鲁棒的，即如果用测量X+∈表示系统，这里X是“真”的模板，∈是测量噪声，那么系统应该能够对测量X+∈是否属于一个人或一个物体的请求时确切地给出答复，而这个人或物体声称自己是。这个需求将由术语噪声收缩所指代。

(ii)安全

在认证协议的开发中有不同的安全考虑。首先，在攻击者访问不到模板的情况下，他要假冒另外一个人必须是非常困难的。其次，攻击者必须不能够从服务器获得的信息中推导出关于模板或秘密的任何信息。在后文中，该认证方案被称为是零暴露的，如果攻击者不能从他接收到的信息中提取任何关于秘密的信息的话，或被称为是E-暴露的，如果攻击者得到的信息与他必须猜测的信息相比是可以忽略不计的话。第三，必须考虑防“窃听”的保护，即携带编码秘密的通信信道被攻击者看到到的可能性。可以使用类似“零知识”协议的标准方法来消除第三种威胁，这里将不再详细说明。

(iii)隐私

隐私的意思是，即使在存储控制值的安全数据库被攻陷的情况下，以及“Alice”(其身份被存储在控制值表示中的那个人)的秘密被攻击者掌握的情况下，该攻击者原则上将能够将自己认证为这个特定应用中的Alice，但他不能够将自己认证为其它任何依赖相同的生物统计模板的应用中的Alice。换句话说，通过攻入这个数据库，攻击者将了解到为Alice使用其生物统计模板生成的一个特定秘密，但他不能了解到模板本身。因此，他将不能够产生使用Alice的模板生成的其它秘密。但是更重要的是，可以从模板中推导出的敏感信息，像在视网膜扫描中存在特定的疾病，是不会暴露的。

由登记装置执行的登记：

在这个阶段中，一个人或物理对象必须访问例如位于一个“认证中心”(CA)的登记装置。该对象/人的属性被测量、处理并被作为参考数据V存储，以备在后面与任何辅助数据一起使用，这些辅助数据可能已经被用来指导这种处理。优选地，辅助数据由X的属性所确定。在联机应用中，这些数据可以被存储在中央数据库或这些数据可以被CA的数字签名证明并被提供给服务提供者。

简而言之，根据本发明的登记装置执行下面的步骤：

(1)获取测量，给出属性集Y，

(2)从属性集Y创建鲁棒属性，给出一组鲁棒的属性I，

(3)缩减属性集I中的信息，给出属性集A，

(4)基于属性集A生成控制值V，

(5)存储V以及任何可被用于指导处理的辅助数据W。

正如将在下文中描述的那样，步骤2和3可以被视为一个信号处理函数G在属性集Y上操作，在辅助数据W的控制下，给出输出G(Y，W)。这形成了属性集A。信号处理可以将步骤2和3显示为独立的顺序处理步骤(在下文的两个实施例中说明)，但也可以在一个整体的处理步骤中被执行(在下文中一个实施例中显示)。辅助数据W可以同时指导步骤2和3。对于认证，典型地步骤2和3可在一个操作中被执行，因为W是已知的。

控制值可以简单地是属性集A。为了保护登记装置、存储器以及认证装置之间的通信线路，在一个优选实施例中，创建控制值V包括在属性集A的属性上执行一个加密函数。优选地，该加密函数是一个同态的单向函数。一个适当的散列函数就是这样一个函数。

对于随机选择的r∈Z_n和g是一个子组的生成器(Paillier加密函数)，r|→r² mod n，m|→g^m+nr mod n²。从生物统计测量导出的加密秘密接着被存储到数据库。这些同态的单向函数允许建立一种零知识的协议，用于检查模板的知识而不会暴露任何信息。优选地，由于零知识协议过程中的通信随每次会话而改变，所以该通信线路会得到更好的保护。

由认证装置执行的认证：

该认证协议包括一种测量设备，该设备从物理对象提取模拟测量数据Y。这些模拟数据接着通过一个信号处理函数G(Y，W)被处理，利用辅助数据W，并且最后通过向其应用一个防碰撞的单向散列函数h而得到保护。适当地选择函数G是很重要的。更精确地，该协议执行下面的步骤：

(1)获得V以及任何可被用于指导处理的辅助数据W，

(2)获取测量，给出属性集Y，

(3)从属性集Y创建鲁棒的属性，给出一组鲁棒的属性I，

(4)缩减属性集I中的信息，给出属性集A，

(5)基于属性集A生成控制值V’，

(6)将V’与V进行比较：如果匹配，该对象就被认证。

注意：辅助数据(如果有)以一种与登记过程中类似的方式被用于指导处理。对于认证，典型地步骤2和3可以在一个操作中被执行，因为已经从登记过程知道哪些属性是鲁棒的(由辅助数据W描述)，因此在许多实施例中，有可能仅仅在选择的属性上执行步骤4而不用明确地创建一个较小的集合。

测量

一种适当的测量过程被用于获取要被认证(或登记)的物理对象的属性集Y，这个集用与该对象的某种实际对应的属性(诸如生物统计)X＝(X₁，...，X_n)的测量值Y＝(Y₁，...，Y_n)∈Rⁿ表示为一个n-维向量。因为测量总会引入噪声，测量值向量Y＝(Y₁，...，Y_n)包括一个真正的信号X＝(X₁，...，X_n)和一个污染噪声E＝(E₁，...，E_n)。在说明书中，将使用这些向量。应当意识到，任何多维数字(测量值)阵列都可以被容易地转换成向量(例如通过将列连接成一个向量)。正如在下文中更加详细地描述的那样，在一个优选实施例中，在一个具有较少的分量的向量上创建了一个控制值。为了使得该控制值具有合理的安全性，要求该子集包括许多通常是用作密码的比特，诸如用于DES的56个比特或用于AES的128个比特。在这个优选实施例中，Y应该包括更多的分量，例如两倍之多。Y的长度可以依赖于噪声水平以及测量值中存在的信息量(例如更多的噪声意味着需要更多的测量值)。

正如将在下文所描述的那样，两个优选实施例的信号处理是基于信号X和/或噪声E的统计属性的。这些统计属性可以用任何适当的方法被估计，例如通过在登记期间进行多次测量并接着使用一种本领域的技术人员众所周知的适当的统计估计方法来估计所述的统计属性。

创建一组鲁棒的属性

从测量到的属性集创建一个属性集I，该属性集I满足一种预定的鲁棒性标准。优选地，预定的鲁棒性标准是基于测量到的属性的信噪比的。属性集Y被用来创建两个分离的属性集I₁和I₂，这里I₁的属性的信噪比被估计为比I₂的属性的信噪比要高。于是I₁被用作属性集I。在下文中，将描述三个用于创建鲁棒的属性集的备选实施例。根据本发明的实施例提供了对于测量错误的鲁棒性而无需使用纠错码。

第一实施例

为集合I₁的鲁棒的属性选择了集合Y的那些具有足够大的绝对值的属性。足够大意味着X_i对于Y_i的贡献要大于E_i的贡献，因此信噪比(S/N)至少为1。通过在登记过程执行几次测量，可以获得噪声值Ei的一个较好的统计估计。优选地，只有那些明显地超过这个估计值(例如S/N＞3)的Y_i的属性是作为鲁棒的而被使用，即被赋予给集合I₁。如果测量过程的噪声水平是已知的，就不需要执行多次测量来获得这种估计。

第二和第三实施例

在这两个实施例中，通过在属性集Y上执行一种变换Γ来创建两个分离的属性集I₁和I₂来创建属性集I，这里I₁的属性的信噪比被估计为比I₂的属性的信噪比要高。所述的变换Γ依赖于测量过程的统计属性。优选地，统计属性包括一个从该对象的估计属性X导出的协方差矩阵以及一个相应的统计分布F。有利地，所述的变换Γ是一种线性变换，该变换将一个表示属性集Y的向量转换成一个表示集合I的向量，该向量中的分量为α_i，这里每个向量分量α_i与其它的向量分量α_j(j≠i)是独立的，并且其中各向量分量是按照估计的信噪比而分类的。优选地，给集合I₁(或I₂)指定属性的门限是从测量属性集Y的噪声水平导出的。基于上述原则，将针对两个实施例(第二和第三实施例)对变换Γ进行描述。第一实施例使用主分量分析；第二实施例使用Fisher变换。

第二实施例-主分量分析。

假定n-维向量X＝(X₁，...，X_n)具有分布F。令∑是相应的协方差矩阵 $\mathrm{\Σ}={\left({\mathrm{\σ}}_{\mathrm{ij}}\right)}_{i,j=1}^n,$

这里σ_ij＝E(X_iX_j)-E(X_i)E(X_j)(在这个公式中E是期望值)。

Γ是正交单位矩阵，包括∑的本征向量，即

Γ*∑Γ＝Λ＝diag(λ₁，...，λ_n)，这里不失一般性可以假定λ₁≥...≥λ_n≥0。

Γ的第i列，γ_i是∑的本征向量，相应的本征值为λ_i。令m＝E(X)是X的均值，那么每个X可以被表示成X＝m+Γα

这里α＝(α₁，...，α_n)是一个向量，其α_i＝＜X-m，γ_i＞α_i被称为X的第i个主分量。因此，对于一个随机向量X，构建了一个新的随机向量α。对于X具有高斯分布的情况，即X～N(m，∑)，可以给出α的分布。那么，下列式子成立

(a)E(α₁)＝0；

$\left(b\right)E\left({\mathrm{\α}}_1^2\right)={\mathrm{\λ}}_i;$

(c)cov(α_i，α_j)＝E(α_iα_j)＝0 for i≠j；

$\left(d\right)\mathrm{Tr}\left(\mathrm{\Σ}\right)={\mathrm{\Σ}}_{i=1}^n{\mathrm{\λ}}_i,\det \left(\mathrm{\Σ}\right)={\∏}_{i=1}^n{\mathrm{\λ}}_i.$

使用一个众所周知的事实：不相关的高斯随机变量也是独立的，可以得出α₁，...，α_n是独立的结论，并且α_i～N(0，λ_i)。

第三实施例-Fisher判别变换

假定X具有分布F，其均值为m，协方差矩阵为∑_F，并且E具有分布G，其均值为0，协方差矩阵为∑_G，该矩阵被假定为正定的。令Γ是一个矩阵，由∑_G ^-1∑_F的本征向量构成，即 ${\mathrm{\&Sigma;}}_G^{-1}{\mathrm{\&Sigma;}}_F\mathrm{\&Gamma;}=\mathrm{\&Lambda;\&Gamma;}=\mathrm{diag}({\mathrm{\&lambda;}}_1,...,{\mathrm{\&lambda;}}_n)\mathrm{\&Gamma;}.$ ∑_G ^-1∑_F的本征值与∑_G ^-1/2∑_F∑_G ^-1/2的本征值相等。因此，对于所有的i＝1，...，n都有λ_i≥0，并且在不损失一般性的情况下，可以假定λ₁≥...≥λ_n≥0。Γ的第i列，γ_i是∑_G ^-1∑_F的本征向量，相应的本征值为λ_i。使用Γ定义α＝(α₁，...，α_n)为α_i＝<X-m，γ_i>的一个向量。因此，对于一个随机向量Y构建了一个新的随机向量α。

假定X和E都具有高斯分布，即X～N(m，∑_F)并且E～N(0，∑_G)，这里∑＞0，并且X和E是独立的，那么可以用下面的方法来证明α～N(0，Λ+I)。明显地，α是均值为0的正态分布。为了验证其协方差，首先观察到 $\mathrm{\&Gamma;}={\mathrm{\&Sigma;}}_G^{-1/2}\widetilde{\mathrm{\&Gamma;}},$ 这里 是一个由∑_G ^-1/2∑_F∑_G ^-1/2的本征向量构成的正交矩阵。那么

VAR(α)＝Γ(∑_G+∑_F)Γ

$=\widetilde{\mathrm{\&Gamma;}}*{\mathrm{\&Sigma;}}_G^{-1/2}({\mathrm{\&Sigma;}}_G+{\mathrm{\&Sigma;}}_F){\mathrm{\&Sigma;}}_G^{-1/2}\widetilde{\mathrm{\&Gamma;}}$

$=\widetilde{\mathrm{\&Gamma;}}*\widetilde{\mathrm{\&Gamma;}}+\widetilde{\mathrm{\&Gamma;}}*{\mathrm{\&Sigma;}}_G^{-1/2}\widetilde{\mathrm{\&Gamma;}}$

       ＝I+Λ

这里最后一步使用了 的正交性以及∑_G ^-1/2∑_F∑_G ^-1/2的本征值与∑_G ^-1∑_F，的本征值相等的事实。这证明了关于α的协方差矩阵的断言。

Fisher判别变换实质上与主分量变换非常相似。然而，在有色噪声的情况下，即噪声的协方差矩阵不是单位矩阵的倍数的情况下，Fisher判别变换能够提供卓越的性能。

为第二和第三实施例确定子集I₁

在后文中，假定生物统计数据X具有零均值(通过减去m这一点总是能实现的)。在应用上述的其中一个变换之后，可以获得一个随机变量α＝Γ_Y。α的分量是中心的并且是不相关的。此外，在前面一段的正态假设之下，α具有一个正态分布，并有对角协方差矩阵。这意味着分量α_i，i＝1，...，n是独立的。将使用λ_i来表明α_i的方差。

应当回想到，门限是从测量到的属性集的噪声水平导出的，并且子集I₁是这样创建的：通过给集合I₁指定一个绝对值大于门限的所创建的属性α_i。δ是一个小的正数，根据噪声水平被适当地选择。接着子集I₁由有效分量构成：I₁＝I_δ(α)＝{i＝1，...，n：|α_i|＞δ}。在选择关于针对噪声的鲁棒性中δ是最重要的参数之一。在每个特定的案例中，应该基于噪声的属性来选择δ。在噪声具有正态分布N(0，σ_N ²Id)的情况下，这里Id是单位矩阵，必须根据σ_N来选择δ。例如，对于主分量变换，δ＝3σ_N或δ＝5σ_N将分别能够以99.87％和99.99997％的概率确保正确识别一个比特。

下面将显示所述的变换将以很大的概率给出足够数量的重要分量。对于每个i表示为

p_i＝P(|α_i|＞δ)，

$q_i=1-p_i=P\left(\right|{\mathrm{\&alpha;}}_i|\&le;\mathrm{\&delta;})=\frac{1}{\sqrt{{2\mathrm{\&pi;\&lambda;}}_1}}{\&Integral;}_{-\mathrm{\&delta;}}^{\mathrm{\&delta;}}{e}^{\frac{t^2}{{2\mathrm{\&lambda;}}_1}}\mathrm{dt}.$

注意到下面关于q_i的估计是没多少意义的：

$q_i\&le;\sqrt{\frac{2}{{\mathrm{\&pi;\&lambda;}}_1}}\mathrm{\&delta;}$

考虑随机变量 $z_i=\left\{\begin{array}{c}0,\left|{\mathrm{\&alpha;}}_i\right|\&le;\mathrm{\&delta;},\\ 1,\left|{\mathrm{\&alpha;}}_i\right|>\mathrm{\&delta;}\end{array}\right.$

注意到z_i，i＝1，...，n是独立的Bernoulli随机变量，其中P(z_i＝1)＝p_i，P(z_i＝0)＝1-p_i＝q_i

为了使得认证方案是通用的，必须确保大量的重要分量，或换句话说，和

必须在很大的概率的条件下是相当大的。注意其期望值由下式给出

$E\left(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\right)=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{p}_i=n-\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{q}_i---\left(0.1\right)$

很自然的可以假定，存在大量的分量，其方差大于cδ²，c＞1。假定这些分量的一部分至少为ρ。注意，如果其方差远大于δ²的分量的数量很小，那么具有这种属性的物理对象的整个认证问题将变得不可能。应该有足够多的“能量”来区分不同的测量值。如果在信号中没有足够的能力，噪声将占据主要位置。这将使得鲁棒的认证不可能。

继续估计(1.1)，可以获得 $E\left(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\right)\&GreaterEqual;n-\underset{i=1}{\overset{\mathrm{\&rho;n}}{\mathrm{\&Sigma;}}}{q}_i-\underset{i=\left[\mathrm{\&rho;n}\right]+1}{\overset{n}{\mathrm{\&Sigma;}}}{q}_i\&GreaterEqual;\left[\mathrm{\&rho;n}\right](1-\sqrt{\frac{2}{\mathrm{\&pi;c}}})$

因此，可以得出如下结论：如果有大量的具有大方差的分量，那么我们感兴趣的所述和的期望值将至少是这些分量的数量一大部分。换句话说，不会丢失太多的分量。我们估计下面事件的概率：即和∑_iz_i较小，也就是它远小于期望值。在这种情况下，我们希望这个事件是不可能的，更确切地，其概率以指数变小。

令k是小于的一个整数E(∑_i＝1 ⁿz_i)，并考虑概率 $P(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\&le;k)$

可以应用一个经典的Bernstein指数不等式来推导一个上限。

令Y₁，...，Y_n是独立随机变量，使得|Y_i|≤M，E(Y_i)＝0，那么对于每个t＞0，

可以证明 $P\left(\right|\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{Y}_i>t\left|\right)\&le;2\exp (-\frac{t^2}{{2b}_n^2+\frac{\mathrm{Mt}}{3}}),$ 这里 $b_n^2={\mathrm{\&Sigma;}}_{i=1}^n{E\left(Y_i\right)}^2.$

令Y_i＝z_i-E(z_i)，i＝1，...，n。那么|Y_i|≤max(1-p_i，p_i)≤1，以及

$E\left(Y_1^2\right)=E{(z_i-E\left(z_i\right))}^2=\mathrm{var}\left(z_i\right)=p_i(1-p_i)=p_i{q}_i.$

$P(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\&le;k)=p(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i-E\left(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\right)\&le;k-E\left(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\right))=p\left(\right|\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{Y}_i|\&GreaterEqual;|k-E\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\left|\right).$

令 $E\left({\mathrm{\&Sigma;}}_{i=1}^n{z}_i\right)={\mathrm{\&Sigma;}}_{i=1}^n{p}_i={\mathrm{\&kappa;}}_{1}n,$ 以及k＝k₂n，且k₂＜k₁。

那么： $P(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\&le;k)\&le;2\exp \left(\frac{{({\mathrm{\&kappa;}}_1-{\mathrm{\&kappa;}}_2)}^2{n}^2}{2{\mathrm{\&Sigma;}}_i{p}_i{q}_i+2({\mathrm{\&kappa;}}_1-{\mathrm{\&kappa;}}_2)n/3}\right)=2\exp \left(\frac{3{({\mathrm{\&kappa;}}_1-{\mathrm{\&kappa;}}_2)}^2}{6\mathrm{\&tau;}+2({\mathrm{\&kappa;}}_1-{\mathrm{\&kappa;}}_2)}n\right),$

这里 $\mathrm{\&tau;}={\mathrm{\&Sigma;}}_{i=1}^n{p}_i{q}_i/n.$

例子：k₁＝0.4n，k₂＝0.2n： $P(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_1\&le;0.2n)=\exp (-\frac{3*0.04}{6*0.25+2*0.2}n)\&ap;\exp (-0.063n).$

例子：k₁＝0.4n，k₂＝0.05n：

$P(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_i\&le;0.2n)=\exp \left(\frac{3*0.1225}{6*0.25+2*0.35}n\right)\&ap;\exp (-0.17n).$

减少信息

从由α所表示的鲁棒属性集I₁出发，通过执行一种缩减变换来减少信息量。原则上，可以使用任何适当的缩减变换。仅使用1比特的表示会获得最少的显露。有利地，这可以通过使用这样一种缩减变换实现：将α的属性(即分量)变换成该份量的符号的二进制数字表示。

Heavidide函数是这样一种适当的变换： $H\left(t\right)=\left\{\begin{array}{c}0,t<0,\\ 1,t\&GreaterEqual;0.\end{array}\right.$

另外或可替换地，可以通过仅仅选择属性集I₁的一个子集来减少信息。可以由辅助数据W来描述在登记过程中所作的选择。接着，这个辅助数据被作为认证数据的部分被存储并被在认证时使用以便在那个时候实现选择同一个子集。优选地，对于不同的应用，创建不同的、唯一的辅助数据W。以这种方式，每个应用使用其自己的子集(当然这可能会重叠)。

因而在一个优选实施例中，使用Heaviside函数和子集选择，其目标是基于α，即属性集I₁来创建某种m比特的二进制秘密C＝(C₁，...，C_m)∈{0，1}^m。如果存在不同的标号i₁，...，i_m使得对于每个j＝1，...，m都有i_j∈I₁＝I_δ(α)，以及对于每个j＝1，...，m都有

$c_j=H\left({\mathrm{\&alpha;}}_{i_j}\right)=\left\{\begin{array}{c}1,{\mathrm{\&alpha;}}_{i_j}\&GreaterEqual;0\\ 0,{\mathrm{\&alpha;}}_{i_j}<0\end{array}\right.$

那么对于α，秘密C＝(C₁，...，C_m)可以被认为是可行的。

对于α，所有可行的秘密的集合表示为C_δ(α){0，1}^m：

        C_δ(α)＝{C∈{0，1}^m：C对于α是可行的}

希望C_δ(α)尽可能大。在正态假设之下，α_i具有对称分布。因此如果s_i＝H(α_i)，那么

$P(s_i=1|\left|{\mathrm{\&alpha;}}_i\right|>\mathrm{\&delta;})=P(s_i=0|\left|{\mathrm{\&alpha;}}_i\right|>\mathrm{\&delta;})=\frac{1}{2}$

在上一小节中，已经显示了期望的重要分量的数量等于n的一个部分，比方说γn。此外，对于期望数量会有很大差别的概率将按指数变小。因为对于每个α_i＞δ的i，s_i是对称分布的Bernoulli随机变量，所以可以预期大概有一半的s_i是1，并且大概有一半的s_i为0。使用类似的指数不等式，可以证明任何对于一半的期望值有很大偏离，都将按指数方式成为不可能的。因此，可以将m(秘密的长度)选择为重要分量数量之期望值的一个部分，即m＝γ₁n，比方说γ₁＝γ/10。可以证明，所有2^m个秘密的一大部分都以很大概率对于α是可行的。因此，对于一个对象的某种物理测量，能够以很大的概率保证可以从一个极大的集合中选择一个秘密。所以，根据本发明的认证协议在很大的概率上是通用的。在另一方面，在不太可能的事件中，这种事件对于一个给定的生物统计信息只有很少的可行的秘密，有可能使用另外一种线性变换，例如使用一种随机正交W，为这种特定的生物统计信息生成一个秘密。

因此，有可能选择一个子集α_ij，给出秘密C，其中C_j＝H(α_ij)。这时就可以通过取Γ的行来创建辅助数据W＝W(X)，其标号为i_j，j＝1，...，k，即W是一个k×n的矩阵。该辅助数据作为认证数据的部分被存储。

为第一实施例确定子集I₁

在第一个描述的实施例中，W可以被选择为一个随机矩阵。假定测量X是n-维实向量。在登记阶段中，选择一个随机正交矩阵W。令α＝WY，现在以足够大的绝对值的分量选择α。原则上，应当期望有大量的这种等同物。使用这些等同物中的一些(但不是全部！)来生成秘密C＝(c₁，...，c_k)，这里c_k＝H(α_ik)。换句话说， $C=H\left(\tilde{W}Y\right),$ 这里 是一个k×n的矩阵，是从W中通过选择行I₁，...I_k而获得的。如果W不能导致足够数量的大分量，可以生成另外一个随机矩阵。

优选实施例概述

登记，如图2A中所示例

(1)获取所述对象的某种实际对应的属性(诸如生物统计)X＝(X₁，...，X_n)的测量值Y＝(Y₁，...，Y_n)∈Rⁿ

(2)从属性集Y创建鲁棒的属性，给出一个鲁棒的属性的集合I₁

·执行变换α＝ΓY，这里Γ根据估计的信噪比对向量分量进行分类。

·选择集合I：I₁＝I_δ(α)＝{|α_i|＞δ}，这里δ是从测量中的噪声水平导出的。

(3)减少信息：

·选择I₁的子集；选择定义了选择函数W(X)，该W(X)是变换Γ的一个子集，因而所选择的鲁棒的属性的子集由下式构成：α_ij＝WY

·通过在该子集上执行缩减来生成秘密：例如，c_j＝H(α_ij)(这里H是Heaviside函数)给出了长度为k≤n的二进制码字C。

(4)生成控制值V，例如通过使用防碰撞的单向散列函数hV＝h(C)

(5)存储：W，V

在一个特定的实施例中，W是一个k×n的矩阵，并且C＝H(g(Y，W))＝H(W·(Y-m))，这里H是Heaviside函数，m是一个系统已知的向量(例如均值)。该均值是所作的每组测量的平均数，例如如果一个指纹被测量的多次，该均值就是平均了的指纹(即对所有指纹取平均)。

因此，整个信号处理函数G由G＝Hog给出。为了确保认证过程的安全性，优选地应该这样来选择W以使得C＝G(Y，W)的分量是独立的，或至少是不相关的，随机变量。为了确保隐私，C是一个二元向量(在优选实施例中由Heaviside函数创建)，因此知道C本身将不会给出对生物统计模板的一个好的估计。此外，通过使用由W控制的子集选择，可以使得C的维数远小于Y的维数，有效地，关于Y的大部分信息未被记录。在这种情况下，g(W，Y)＝WY，对于矩阵W有多种吸引人的选择。对于第一实施例，W可以被选为随机正交变换。上面已经为两个优选实施例给出了详细描述，其中W分别是对于特定k-维子空间的主分量变换(PCT)的一种约束，以及对于特定k-维子空间的Fisher变换的一种约束。

认证，如图2B中示例

(1)获取W，Y

(2)获取所述对象的某种实际对应的属性(诸如生物统计)X＝(X₁，...，X_n)的测量Y＝(Y₁，...，Y_n)∈Rⁿ

(3)减少信息：

·确定鲁棒的属性子集I₁：α_ij＝WY

·通过执行缩减来计算秘密：例如，c_j＝H(α_ij)(这里H是Heaviside函数)给出了长度为k≤n的二进制码字C。

(4)计算控制值V’，例如通过使用防碰撞的单向散列函数hV’＝h(C)

(5)如果与提取的控制值V相匹配，所述的对象就被认证。

应当注意，上面提到的实施例举例说明而不是限制本发明，本领域中的技术人员能够在不背离附加权利要求的范围的情况下设计出许多另外的实施例。在权利要求中，放置在括号中的任何参考符号不应该被理解成对权利要求的限制。动词“包括”及其变化形式的使用并不排除除了权利要求中所陈述的元素或步骤之外的元素或步骤的存在。在一个元素前出现的冠词“a”或“an”并不排除存在多个这种元素。本发明可以由包括几个独立元素的硬件方式实现，以及由适当编程的计算机方式实现。在装置权利要求中列举了几种方式，这些方式中的几种可以由硬件中的同一项目实现。在相互不同的从属权利要求中陈述了某些措施的事实并不指示为了有利起见不能使用这些措施的组合。

Claims (18)

1.一种生成用于认证一个物理对象的认证数据之方法；该方法包括：

使用一种测量过程来测量所述对象的一个属性集Y；

根据测量的属性集Y创建一个属性集I，该属性集I满足一种预定的鲁棒性标准；

根据属性集I创建一个属性集A，该属性集A比属性集Y包含更少的关于实际属性的信息；

根据属性集A的属性生成一个控制值V并将该控制值插入认证数据。

2.权利要求1所述的方法，其中创建属性集A的步骤包括执行一种缩减变换。

3.权利要求2所述的方法，其中所述的缩减变换将一个属性变换成表示该属性的符号的二进制数字。

4.权利要求1所述的方法，其中创建属性集A的步骤包括选择属性集I的一个子集。

5.权利要求4所述的方法，包括创建辅助数据W以用于控制所述子集的选择和将该辅助数据W插入认证数据中。

6.权利要求5所述的方法，包括为相应的认证应用创建唯一的辅助数据W。

7.权利要求1所述的方法，其中所述的预定的鲁棒性标准基于测量到的属性的信噪比，并且创建属性集I的步骤包括在属性集Y上执行一种变换Г来创建分离的属性集I₁和I₂，这里I₁的属性之信噪比被估计为高于I₂的属性之信噪比；并且使用I₁作为属性集I。

8.权利要求7所述的方法，其中所述的变换Г是一种线性变换，该变换将表示属性集Y的一个向量转换成表示集合I的具有分量α_i的一个向量，这里每个向量的分量α_i与其他的向量分量α_j(i≠j)相互独立并且其中所述的向量分量根据估计的信噪比而被分类。

9.权利要求7所述的方法，包括根据所述测量过程的统计属性来创建变换Г的步骤。

10.权利要求9所述的方法，其中所述的统计属性包括一个从所述的对象的估计的属性X推导出的协方差矩阵以及一个相应的统计分布F。

11.权利要求7所述的方法，包括从所述的测量到的属性集中的噪声水平推导出一个门限以及将所创建的其绝对值大于门限的属性指定给集合I₁。

12.权利要求1所述的方法，其中创建控制值V的步骤包括在属性集A的属性上执行一种加密函数。

13.权利要求12所述的方法，其中所述的加密函数是一个单向函数。

14.一种计算机程序产品，该产品用于使一个处理器去执行权利要求1的方法。

15.一种认证物理对象的方法；该方法包括：

使用一种测量过程来测量所述对象的一个属性集Y；

根据测量的属性集Y创建一个属性集I，该属性集I满足一种预定的鲁棒性标准；

根据属性集I创建一个属性集A，该属性集A比属性集Y包括更少的关于实际属性的信息；

根据属性集A的属性生成一个控制值V’；

提取在登记过程中已经为所述的物理对象生成的控制值V；以及

如果在生成的控制值V’和提取的控制值V之间存在一种预定的一致性的话，则认证物理对象。

16.一种计算机程序产品，该产品的运行使一个处理器去执行权利要求15的方法。

17.一种用于认证物理对象(105)的系统(100)；该系统包括一个登记装置(110)、一个认证装置(140)、以及一个用于存储认证数据的存储器(130)；

所述的登记装置(110)包括：

一个输入端(112)，用于接收所述的对象之属性集Y，该属性集Y是使用一种测量过程测量得到的；

一个处理器(114)，用于根据测量到的属性集Y创建属性集I，该属性集I满足一种预定的鲁棒性标准；根据属性集I创建属性集A，该属性集A比属性集Y包含更少的关于实际属性的信息；以及根据属性集A的属性生成一个控制值V’；以及

一个输出端(116)，用于向存储器供应控制值，该控制值被作为认证数据的部分；以及

所述的认证装置(120)包括：

一个输入端(142)，用于接收所述的对象之属性集Y，该属性集Y是使用一种测量过程测量得到的，以及该输入端还用于从存储器接收控制值V；

一个处理器(144)，用于根据测量到的属性集Y创建属性集I，该属性集I满足一种预定的鲁棒性标准；用于根据属性集I创建属性集A，该属性集A比属性集Y包括更少的关于实际属性的信息；用于根据属性集A的属性生成一个控制值V’；以及如果在生成的控制值V’和提取的控制值V之间存在一种预定的一致性，则用于认证物理对象；以及

一个输出端(146)，用于发送一个表明所述的物理对象是否已经被认证的信号。

18.一种在权利要求17所述的系统中使用的认证装置(140)；该认证装置包括：

一个输入端(142)，用于接收所述的对象之属性集Y，该属性集Y是使用一种测量过程测量得到的，以及该输入端还用于从存储器接收控制值V；

一个处理器(144)，用于根据测量的属性集Y创建属性集I，该属性集I满足一种预定的鲁棒性标准；用于根据属性集I创建属性集A，该属性集A比属性集Y包括更少的关于实际属性的信息；用于根据属性集A的属性生成一个控制值V’；以及如果在生成的控制值V’和提取的控制值V之间存在一种预定的一致性，则用于认证物理对象；以及

一个输出端(146)，用于发送一个指示所述的物理对象是否已经被认证的信号。

Images