不久前，全球生物识别数据广泛泄露，涉及83个国家和2,700多家公司和机构，导致许多国家公司的安全性不稳定。 生物识别技术（指纹，虹膜，面部）作为识别个人身份的一种方式带来了极大的便利。一方面，生物识别技术是个人独有的，另一方面，个人生物识别技术也很容易使用。与密码和密码不同，您需要记住。 然而，这是一把双刃剑。一旦生物识别丢失，将会造成无法弥补的损害。它可以随时更改，不像密码和密码。像这种大规模的生物识别泄漏一样，泄露的个人很可能在将来无法使用他们的生物识别技术作为身份验证手段。它将对他未来的个人生活产生重大影响。 生物识别数据泄漏的根本原因之一是缺乏对存储在数据库中的生物识别模板的保护。 宁波格米链网络科技有限公司一直致力于全同态加密的应用研究。早在几年前，陈志毅博士的团队就意识到了生物识别技术的弱点，并开始研究如何在密集状态下构建生物识别认证系统。 基于同态加密技术，陈志毅博士的团队开发了指纹密文认证系统，虹膜密文认证系统和人脸安全识别系统。它已得到业界的广泛认可和关注，目前正在进行工业化。 1.提案和解决问题的方法 完全同态加密允许在不解密的情况下任意计算密文。如果生物识别数据以密集状态存储，从存储到身份验证，即使生物识别数据丢失，也不会对系统产生任何影响。由于生物识别在系统中是加密的，因此如果密钥不可用，攻击者将无法获得生物识别的明文数据。 此方案非常适用于完全同态加密领域的应用程序。陈智晟博士的团队对此进行了研究。 困难的一个 只要虹膜或指纹数据通过完全同态加密，这似乎很容易。但在建立整个系统时，陈博士发现了一个问题。生物特征数据被加密并发送到服务器以进行虹膜（或指纹）比较。虽然特征比较本质上是汉明距离计算，但在计算之后，A密文，服务器不知道比较的结果，并且不能给出通过（或不通过）判断。 如果密文比较的结果被发送到客户端，则客户端返回到服务器，并且攻击者可以篡改比较结果或发起中间人攻击。 为此，我们构建了一个引入MAC身份验证方法的协议。 消息认证码（MAC）通常使用便携钥匙的散列函数来验证所传输数据的完整性。常用的哈希函数是MD5，SHA-2和SHA-3。我们的虹膜（指纹）功能密文存储可以使用上述方法压缩密文，然后数据库只需要存储密文压缩的摘要。 但是，我们认为最安全的方法是采用云认证策略，即云服务器在密文同态操作后对结果进行认证，解密操作只能由用户完成。因此，哈希函数的使用不符合设计要求，因此我们设计了一次性MAC（OTM）认证方法，即MAC方案中消息密钥算法生成的密钥只能使用一次，用户是密文。解密后，云服务器可以验证解密结果。 困难的两个 虹膜或指纹的识别方法是通过汉明距离计算来比较编码的特征模板。它是通过计算两个模板上相应代码的数量来测量两个模板之间的距离。距离越小，两个模板匹配得越多。 基本上计算汉明距离是两个矢量XOR的总和。如果虹膜（或指纹）初始模板是长度为n的二进制矢量，则计算两个虹膜特征模板之间的汉明距离需要至少n次乘法。然而，密文乘法的完全同态加密是其主要瓶颈。如果模板长度为2048，则需要2048个密文乘法。显然，这对于实际应用来说是不可接受的。 为此，该团队采用了密文包装方法，即将生物识别模板打包成密文。因此，打包密文的乘法等于原始的2048次乘法。这种并行方法大大提高了效率。让它变得不可能。 困难三 如上所述，计算汉明距离相当于对两个矢量求和。 由于密文打包方法，密文不能相加。对于求和，使用自同态计算来旋转密文中的明文位。以这种方式，在每次添加之后，密文被旋转一次，并且需要总共2013次旋转以获得最终结果。这也是影响效率的主要因素。 为此，该团队对算法进行了优化，并使用了类似于二分法的方法来减少对log2013的添加。大大提高了效率。 除了上述困难之外，该团队还在工程优化方面做了很多尝试。例如，并行处理模板分割，对用户身份和生物特征模板进行散列，并保护注册模块的安全性。 2.系统架构 该系统主要是为验证服务器设计的，以一对一的方式验证每个用户。整个系统由两个参与者组成，即用户和认证服务器。用户U具有从他的虹膜特征中提取的二进制特征模板。服务器S具有丰富的计算资源和存储空间;因此，它可以执行同态密文的任意函数计算，但不能解密自身生成的密文和用户给出的密文。

系统采用C/S架构为一体。客户端的主要功能是为用户提供注册和认证服务，而云服务器提供同态计算和认证服务。

系统的整体功能分为三个模块。第一个是登录模块。当用户输入已注册的基本信息时，用户可以进入认证界面。否则，需要单击注册链接进入注册界面。其次是注册模块，其主要功能是生成公钥和密钥，将密钥保存到移动存储器并加密虹膜信息，并将其与用户的基本信息一起存储到数据库中;最后是认证模块，其功能是将当前的虹膜信息加密并发送到服务器。服务器完成虹膜认证后，客户端通过密钥解密认证结果并提示用户。

3.系统实施和效率 该系统是在Windows 10上使用C＃编程语言开发的，系统使用B/S架构。 为了加密2048位二进制向量，多项式阶数必须为n≥2048。但是，当参数n过大时，密文计算时间过长，系统效率极低。因此，我们研究了2048位二进制矢量分割。下表显示了针对不同段号的密文汉明距离计算下log2 q的最小值。

数据结果表明，分割后的密文模数没有减少太多，因此分割不会显着提高系统的效率。

系统测试处理器是Intel Core i5-6200U。在128位安全级别下，身份验证过程大约需要100毫秒。系统使用图形界面的最长加载和通信部分，因此整个生物识别密文认证系统的效率非常高。不错。系统设计已于2017年获得专利。