[发明专利]安全地计算相似性度量

说明书

技术领域

本发明涉及一种安全地计算至少两组数据的相似性度量的方法和 系统。

背景技术

物理对象的认证可被用于多种应用，例如有条件地进入安全建筑 或者有条件地存取数字数据(例如存储在计算机或可移动存储介质中 的)，或者用于识别目的(例如为特别活动，甚至是进入一个国家承 担个体识别)。使用生物特征识别和/或认证的应用范围不断扩展，其 中使用对于用户来说是独一无二的特征，例如指纹，虹膜，耳朵，脸 部等，其被认为是对例如口令和个人身份号码，以及是对“人工”识 别的传统识别方式的一种优化的替代方案，该“人工”识别包括用视 觉在个人和，例如照片之间进行比较。未来，需要海关官员人工识别 的传统护照将有可能被应用生物特征的电子护照所代替。

将生物特征与参考数据相比较。如果匹配，用户被识别出来并被 授权允许访问。用于用户的参考数据是先前获得并被安全存储的，例 如存储在安全数据库或智能卡中。要被认证的物理对象有可能不是人 类。例如，对象可能是一个例如包含受保护数字内容的CD，DVD或者 固态存储器的存储介质。这时，生物识别不是必需的，但是以类似的 方式，提供了某些保密的识别特征(例如是比特序列形式)并与相应 的参考数据比较。

认证时，用户声称拥有某种身份，用户提供的生物模板被与所述 声称的身份相关连的预先存储的模板相比较，以验证提供的和存储的 模板的一致性。识别时，提供的生物特征模板与所有存储的可用模板 进行比较，以便验证提供的和存储的模板的一致性。出于安全原因， 开发从生物特征度量(通常是有噪的)得到秘密的方法是很重要的。 应该注意到生物特征数据是识别个体很好的代表值，未经认证取得与 个体相关的生物特征数据可以被看作电子领域中与盗窃个人身份相同 的行为。当获取了适当的识别个体的生物特征数据后，冒名顶替者会 冒充其获取了身份的个体。另外，生物特征数据可能包括敏感的或私 密的健康状况的信息。因此，使用生物认证/识别系统的个体必须完 全受到保护。

由于生物特征提供了关于个体的敏感信息，存在涉及生物特征数 据的管理和使用的隐私问题。例如，现有技术的生物识别系统中，用 户不可避免地必须完全信任生物识别系统关于其生物特征模板的完整 性。在登记时，即登记管理机构获得用户的生物测定模板的初始过程 中，用户向登记管理机构的登记装置提供她的模板，该机构将模板可 能加密地存储在系统中。验证时，用户再次向系统提供她的模板，预 先存储的模板被重新提出来(如果需要的话还要解密)，将存储的模 板与提供的模板进行对比。能够设想这样的密码技术，加密或混编生 物特征模板并对加密的数据执行验证(或对比)，以使得真正的模板 决不会清晰可用。然而，加密功能是特意设计的，以使得输入的一点 点小变化会引起输出的巨大变化。考虑到生物特征的自然属性和获取 提供的模板时的测量误差，以及存储的模板会受到噪声污染，提供的 模板将永远不会与存储的模板完全相同，因此匹配算法应该允许两个 模板间存在不同，即生物特征认证/识别方案必须在本质上对于噪声 是鲁棒的。这使得基于加密模板的识别存在问题。

ID613356(NL030552，WO IB2004/0506，EP03101453.3)提出 了一种以安全且私密的方式执行生物认证的方法。其方案应用辅助数 据方案，其使得对于噪声是鲁棒的。为了将生物认证和密码技术结合， 从登记阶段获得辅助数据。辅助数据保证不但在登记阶段而且在认证 过程中从个体的生物特征中能够得到唯一的序列。由于辅助数据被存 储在数据库中，因此认为它是公开的。为了防止冒充，在统计上独立 于辅助数据并且用于认证阶段的参考数据是从生物特征中得到的。为 了保证参考数据的保密性，参考数据以混编形式存储。通过这种方式 冒充他人在计算意义上变得不可行。ID613356所述方法的问题在于其 依然向可能的恶意验证者泄露了有关原始生物识别体的信息。

发明内容

本发明的目的是提供一种安全的密码方案，用于比较两组数据以 确定他们是否在一定程度上彼此相似，而无需访问两组数据的明文版 本。

实现本发明的目的是通过根据权利要求1的用于安全地计算至少 两组数据的相似性度量的方法和根据权利要求8的用于安全地计算至 少两组数据的相似性度量的系统而获得的。