MEC中的多模态生物特征认证

移动边缘计算中的多模态生物特征认证

1. 引言

移动边缘计算（MEC）通过将移动计算、网络控制和存储推向网络边缘（例如基站和接入点），将云计算扩展到移动用户附近。这种方式使得在资源受限的移动设备上能够运行计算密集型和延迟敏感型的应用，如识别与感知任务[1]。在此背景下，生物特征识别是一种新兴的移动应用，可通过将终端用户的计算密集型任务卸载到多接入边缘计算服务器进行云端执行，从而受益于MEC。例如，人脸识别包括人脸鉴定和分辨率处理，需要在云端执行计算密集型任务[2]。该系统将原始面部图像传输至云端，这一过程占用大量带宽且涉及隐私问题。为了克服这些限制，已提出基于雾计算的人脸鉴定和人脸分辨率框架[3]。另一种解决方案是使用边缘服务器作为具有计算资源的缓存，用于人脸、语音等的识别[4]。

为实现符合通用数据保护条例（GDPR）的要求，边缘计算平台应在不知晓原始用户数据的情况下执行对延迟敏感的任务。通用数据保护条例（GDPR）规定，生物特征数据属于敏感数据，因此这些数据的使用必须遵循隐私保护的权利[5]。这要求提供可证明安全的生物特征模板保护和隐私保护性生物特征认证（PPBA）方法以防止此类数据泄露[6,7]。在此背景下，移动边缘计算（MEC）不仅能够为移动设备实现更低的延迟和节能，还能增强移动生物特征应用的隐私保护。由于边缘服务器采用分布式部署且规模较小，敏感数据集中度较低，因此更不易受到攻击和信息泄露的影响。对于基于MEC的生物特征认证，生物特征的采集和加密应在本地执行，因为将边缘服务器部署在小小区基站上可能带来安全隐患，这些基站易于被接触。因此，仅应将加密数据卸载至远程执行。

1.1. 相关工作

在本节中，我们回顾了针对不同场景设计的隐私保护生物特征认证（PPBA）方案的相关文献：

针对客户端/服务器架构的文献 ：[8,9]描述了用于指纹细节特征的PPBA，其基于欧几里得距离且具有二次计算复杂度。尽管[9]在恶意模型下提供了可证明安全，但[9]在服务器端以明文形式存储指纹数据，因此不符合通用数据保护条例（GDPR）合规要求。参考文献[10,11]同样是为指纹细节特征设计的，但采用了集合重叠距离。

双服务器设置的相关文献 ：最近，[12,13]设计了用于指纹细节特征的PPBA方案，该方案采用了一个额外的非共谋服务器S并将生物特征数据以加密形式存储。[12]首次针对爬山攻击提供了安全分析，通过向额外的S隐藏匹配距离来实现，其中S存储系统的密钥，因此是最强大的实体。此外，最近还出现了关于PPBA的出版物[13–15]，这些研究采用了两个非共谋云服务器。

移动云计算（MCC）相关文献 ：[15]提出了一种在智能手机上连续进行的PPBA，考虑了恶意安全情形，而不同于[14]的系统，后者假设两个服务器为半诚实行为且不共谋。参考文献[15]将加密模板信息卸载到远程S，然后在智能手机上执行连续PPBA，这是MCC的一个示例。为了降低能耗，[15]将计算安全地外包给不可信云，其中提供了针对智能手机与云共谋情况下的半诚实和恶意安全防护。在此，对于拥有智能手机的用户、S以及云，系统假设云与S之间不共谋，但认为云与智能手机之间的共谋并无实际意义。参考文献[14]适用于单服务器和双服务器设置，但仅限于指纹编码（FingerCodes），即欧几里得距离。此外，在部署MCC时，无线带宽和设备容量的限制会导致额外的能源浪费和延迟。[16]通过提出一种动态节能感知的基于云点的MCC模型来解决此问题，重点关注无线通信期间的额外能耗，而[17]则关注任务分配给远程云服务器时的节能问题及能源浪费。

关于多模态的相关文献 ：[5,18]提出了在加密域中运行的多模态PPBA系统，其中前者基于欧几里得和余弦相似度距离提出了一种多生物特征模板保护的通用框架，即仅考虑表示为特征向量的有序生物特征。作者研究了在线签名与指纹融合的结果，但未对爬山攻击和恶意模型进行任何安全性分析。

关于MEC的文献 ：[19]通过开发一种启发式算法来解决资源管理问题，该算法最小化能源成本和时间消耗。这样可以优化雾计算中连接设备的利用率。此外，[20]解决了由于物联网中连接设备数量增加以及认知无线通信中大量数据传输所导致的能源浪费问题，其中结合了边缘计算技术和强化学习算法。[18,21]提出了唯一针对PPBA的MEC解决方案，但缺乏可证明安全，因此不符合GDPR合规要求。类似地，[18]基于语音和人脸图像，这些敏感数据在移动设备上未加密就发送出去进行进一步处理，而是由边缘节点进行加密，而这些边缘节点可能是恶意的。同样，编码后的生物特征数据在非受信的云中被解密后以明文形式进行匹配，而不是像[5,8,9,11–13]那样在加密域中进行私有匹配。最后，[22]提出了一种在MEC上的人脸识别应用，但未考虑生物特征数据的隐私，与[3,4,23]类似。因此，那些不符合GDPR要求的系统，即以明文存储/传输生物特征数据或未使用（语义安全的）加密方案，且未在加密域中处理的系统，不在本研究范围之内。

1.2. 动机

如第1.1节和表2所总结的，现有文献中的PPBA主要针对以明文形式存储的生物特征，仅考虑单一的距离度量。因此，在安全、准确且高效的多模态PPBA系统方面仍存在研究空白。

恶意安全的动机 ：许多PPBA方案缺乏对恶意模型的安全性分析，即未考虑在恶意模型下的爬山攻击，其中内部对手可能串通实施各种对抗策略。据我们所知，[12,13]是双服务器设置中唯一考虑爬山攻击的PPBA方案。然而，[12,13]假设了一种较弱的安全模型，称为半诚实模型，在该模型中对手是诚实但好奇的且不会串通。此外，[13]的系统向额外的服务器——系统中最强大的实体——泄露了欧几里得距离的部分匹配得分。爬山攻击可针对任何基于半诚实安全模型设计的生物特征方案进行。例如，即使生物特征模板以加密形式存储，一个与模板匹配的样本仍可能导致参考生物特征模板被完全恢复。在此情况下，多模态生物特征识别通过增加内部攻击者进行冒充或爬山攻击所需尝试次数，提供了一种可能的解决方案[24]。这些尝试的难度还受到融合模式、匹配分数的量化以及融合规则的影响。

为什么我们需要用两个不串通的服务器来替代传统的单一云服务器？答案在于第2节中所述的不可能性结果。在此，我们证明了这样一个事实：如果PPBA系统的内部攻击者没有受到一个独立的、不串通的第三方的监控或控制，则无法检测到该攻击者，因而也无法阻止其进行爬山攻击。我们借助不串通的边缘服务器克服了这一负面结果，该边缘服务器不仅因其靠近终端用户而降低了通信开销，还通过检测爬山攻击增强了系统安全性。因此，目前尚无针对MEC环境、同时考虑爬山攻击和恶意安全性的多模态生物特征认证（MBA）方案提出。

效率的动机 ：在半诚实模型下开发的协议非常高效，因此即使是最近关于PPBA的工作[5,14]也是在此较弱的框架内进行的。然而，在许多实际应用中，参与方可能会任意偏离协议，例如爬山攻击的情况，这反映在恶意设置中。为了抵御此类攻击，所得到的协议具有很高的复杂度，如[9,12]所示，这些协议在实际系统中的使用通常不切实际，即使在移动云计算（MCC）环境中也是如此。为了平衡效率和安全性，密码原语的正确选择至关重要，特别是用于身份识别目的，如第4.4节所分析。

移动边缘计算（MEC）的动机 ：据我们所知，[18]提出了唯一一种针对MEC环境的多模态系统，但该系统未考虑恶意边缘服务器等内部对手。事实上，由于边缘服务器的计算能力相较于云严重受限，为MEC设计一种PPBA具有很大挑战性。人脸识别需要将带宽密集型人脸数据传输到云端执行计算密集型识别任务。若将部分任务迁移到边缘节点，并仅向云端传输加密的生物特征模板，则可显著减少网络流量并避免单点故障。此外，在网络边缘的服务器上缓存（加密）数据可降低终端用户的延迟。如图2和图4所示，采用MEC框架使我们能够利用边缘服务器。

– 作为异常检测机制（使用可信代理）以应对内部对手，同时执行部分匹配操作（ES1和ES2）；
– 作为代理服务器，通过动态获取云数据（小小区基站）来最小化预期延迟；
– 作为委托认证服务器，承担移动设备和云的部分任务，用于私有融合部分匹配分数（ES4或ES0）；
– 作为具有计算资源的缓存，通过在本地存储适当的数据/请求来利用请求的局部性（ES5）。
（边缘服务器的通用术语表示位于不同层级的不同功能。）

1.3. 贡献

本文提出了一种新的多模态生物特征认证协议（MBA‐MEC），该协议能够抵御爬山攻击。MBA‐MEC为MEC环境提供了恶意安全保证，具体细节在第3.2节中说明。因此，与现有工作（如[5,12–14],）相比，MBA‐MEC针对的是更强的对抗模型，而现有工作仅针对较弱的半诚实安全模型。

– MBA‐MEC使用两种不同的密码学原语，分别用于云上的加密生物特征存储和加密域中的私有匹配，从而实现了一个符合GDPR的系统，而不同于近期的研究工作[3,4,18,21–23]。生物特征模板可以来自单一特征（如指纹）或多模态生物特征识别，且永远不会存储在客户端智能手机上。我们结合了集合重叠和欧几里得距离度量——这是指纹匹配中最常用的度量方法——并通过评分级融合进行组合，因其在第4节中所示具有最佳的验证性能。关于符合GDPR的PPBA的前期工作[5]仅考虑了欧几里得距离和/或余弦距离，如第1.1节所总结。
– 我们提出了一个关于抵抗爬山攻击的两方PPBA的不可能性结果，该结果本身具有独立意义。在此，我们证明了一个事实：如果内部攻击者未被一个独立的非共谋方观察或控制，则无法阻止其执行爬山攻击。我们在第2节中提出了克服这一负面结果的方法。
– 我们在半诚实和恶意模型下进行了详细的安全分析，而最近关于PPBA的工作（如[5,12–14]）中缺少了后者。边缘服务器无法访问任何部分匹配得分，这与[13]不同。为此，我们设计了一种新的SecureCompare()方案，用于在加密域中融合每个模板的两个匹配分数。SecureCompare()仅需判定一个加密值是否为0，该过程无需计算离散对数即可完成。
– 我们基于原语的实际执行时间来估算运行时间和通信开销。我们将MBA‐MEC与基于Paillier加密的方案进行比较[5],，该方案采用Paillier加密以避免加法ElGamal繁琐的解密操作。由于MBA‐MEC集成了SecureCompare()，消除了加法ElGamal中的离散对数计算，因此我们在计算和通信成本方面均实现了降低，如表1、4和5所示。最后，我们在不同的MEC场景下对MBA‐MEC进行了评估，并将其与基于MCC的方案进行比较，实现了约为MCC延迟25%的延迟。

路线图 ：在第1.4节中，我们将简要介绍多模态生物特征识别、爬山攻击和密码学原语的背景信息。在第2节中，我们提出一个新的不可能性结果以及克服该负面结果的方法。在第3节中，我们描述了所提出的MBA‐MEC方案并证明其安全性。最后，我们将所提出的MBA‐MEC方案与相关方案进行比较，并在不同的MEC场景下对其进行评估。

1.4. 背景

我们的系统可以操作于两种不同的生物特征，也可以仅操作于指纹，因为后者既可以表示为一组细节点位置，也可以表示为特征向量，即指纹码。此外，基于细节点的指纹数据和面部向量也可以结合使用。

爬山攻击（HCA）基于以下假设：内部攻击者能够访问生物特征匹配器生成的匹配分数，并利用这些分数生成合成生物特征样本，作为特征提取模块的输入或直接作为匹配器的输入，以实现成功的识别。在每一步中，根据之前尝试的结果（以匹配分数表示，并假设攻击者已知）对所用数据进行修改，旨在提高最终的匹配输出[24]。

对于使用集合差度量来衡量相似性的生物特征，我们通过修改后的客户端/服务器协议以私密方式将对齐的查询模板与注册模板进行匹配，该协议来自[10],，其中需要额外的随机置换P以及一个非共谋的边缘服务器ES以避免恶意行为攻击（HCA）。下面将解释两个部分共有的其他方案（即PoK和SS）。

对于第二部分，使用了[25]的修改版本来进行欧氏距离度量：该方案可以通过以下变换轻松调整。我们注意到，此方案必须针对n＋2长度向量进行设计，但为了简便起见，我们将其描述为n长度向量，该方法可直接扩展到n＋2长度向量。

$$
w = (u_1, u_2, …, u_n, \sum_{i=1}^{n} f_i u_i^2, 1)
$$
$$
w’ = (-2f_1 v_1, -2f_2 v_2, …, -2f_n v_n, 1, \sum_{i=1}^{n} f_i v_i^2)
$$

该变换满足内积与欧几里得距离之间的关系$\langle w, w’ \rangle = dis_E(u,v)$，其中$u$和$v$表示为生物特征向量，$dis_E$表示（加权平方）欧几里得距离$dis_E(w,w’) = \sum_{i=1}^{n} f_i (w_i - w’_i)^2$。在[25],中，每个特征向量元素均假设为$w_i \in \mathbb{Z}_q$。

IPE. 用户_初始化 ：对于每个用户C，可信权威PKG随机选取$x_1, …, x_n \in \mathbb{Z}_q$，并设置IPE.用户_公钥= $(g^{x_1}, …, g^{x_n})$存储在云中，以及IPE.用户_主私钥= $(x_1, …, x_n)$。与常规情况不同的是，[25], IPE.用户_公钥是用户特定的，不会公开存储。

IPE. 用户_密钥提取 ：给定用户的生物特征$w’$,，PKG返回IPE.用户私钥$sk_{w’} = \sum_{i=1}^{n} x_i w’_i$给边缘服务器ES。

IPE. 加密 ：选取$r \in_R \mathbb{Z}_q$，计算$g^r$和$U_i = g^{r x_i} \cdot g^{w_i}$，其中$w_i \in w$。生成密文IPE.CT= $(g^r, {U_i : i \in [n]})$，并将其存储在云服务器CS中。

IPE. 解密 ：如果IPE.CT= $(C_0, C_1, …, C_n)$是关于$w$的密文，则
$$
\prod_{i=1}^{n} C_i^{w’ i} \cdot C_0^{-sk {w’}} = \prod_{i=1}^{n} (g^{r x_i + w_i})^{w’ i} \cdot g^{-r \sum {i=1}^{n} x_i w’ i} = \prod {i=1}^{n} g^{w_i w’_i} = g^{\langle w, w’ \rangle}
$$
其中$g^{\langle w, w’ \rangle} = dis_E(u,v) = d’$应小于欧几里得距离的阈值$t’$。

与[25],不同，我们并未在函数加密设置中使用IPE方案，其中所有密钥均从一个主密钥派生。我们的方案为每个用户/客户端需要一个新的IPE方案，可在具有不同生成元的不同群组上运行，每个用户拥有由称为私钥生成器(PKG)的可信机构生成的主密钥，并将相应的解密密钥存储在边缘服务器上。因此，具有不同生物特征模板的不同用户/客户端无法结合其密钥来获取底层明文，即生物特征模板。该主密钥是用户特定的，不会公开存储。因此，我们仅采用基于ElGamal的用户特定加法同态公钥加密(PKE)并结合共享随机性，而不是[25]中的IPE/FE设置。

表1 计算时间估计以及在相同安全级别下半诚实模型下单次比较（匹配）的通信开销
[5] Paillier 1024位 0.5毫秒 202KB
MBA‐MEC DH型⁄ 160位 > 0.062毫秒 > 23.8KB

⁄ Diffie‐Hellman‐Privat椭圆曲线上集合交集与内积加密曲线。

这里，在解密过程中需要计算离散对数，这使得该方法仅适用于较小的欧几里得距离。然而，这恰好符合合法用户的情况，因为当其新的生物特征$w’$与已存储的生物特征进行比较时，距离会很小。

对于MBA‐MEC两个部分产生的集合差和欧几里得距离得分的私有融合，我们考虑使用加法ElGamal密码系统。由于这些系统基于ElGamal，它们能够高效地对以$g$为底元素$z$的离散对数$k$进行零知识知识证明（PoK），即$z = g^k$。Schnorr协议用于证明$k$的知识，是称为证明者和验证者的两方之间的协议，其中前者希望说服后者他“知道”给定定理（即$z = g^k$）的证明（即$k$），而不泄露任何额外信息。在随机预言模型下，该协议可通过Fiat‐Shamir变换转化为非交互式零知识证明（NIZK）。有关细节请参见[26]。最后，需要一个安全草图（SS）[5,26]方案，以对客户端移动设备传感器采集的新鲜生物特征$I_m$进行纠错。存在一些SS方案[5,26]，对于人脸特征向量等有序生物特征或无序特征集合，均不会泄露任何生物特征数据信息。与MBA‐MEC的第一部分不同，我们不假设生物特征为小整数，而是将其视为素数$q$对应的有限域$\mathbb{Z}_q^n$中的元素。

2. 抵抗爬山攻击的两方PPBA的不可能性结果

众所周知，一般的两方协议无法保证公平性，因此需要一个在线的可信仲裁者。类似地，[27]的协议在云设置中引入了一个称为辅助方的额外参与者，以限制和控制信息泄露。通过这种方式，MBA‐MEC也工作在三方设置下，我们在此设置中使用一个不串通的边缘服务器ES，既用于存储外包生物特征数据所需的秘密参数，也用于检测爬山攻击。该边缘服务器ES并非被动观察者来对抗恶意服务器：在每次认证请求中，ES利用秘密参数作为协议中的主动参与方。在此，我们证明了这样一个事实：如果缺乏一个独立的、不串通的第三方进行观察或控制，则任何内部攻击者都无法被检测到，因而也无法阻止其实施爬山攻击。形式上，我们证明了在两方设置下设计的抗爬山攻击的PPBA协议的不可能性结果。然而，我们的不可能性结果可以在三方（即双服务器）模型中被克服，其中引入了一个额外的不串通边缘服务器ES，如图1所示。

非正式地，以下引理表明，即使仅存在一个内部对手（客户端或服务器），如果不存在可信服务器，则不存在能够抵抗爬山攻击的两方PPBA协议。

引理2.1. 不存在能够抵抗爬山攻击的两方PPBA协议。

为了证明该引理，我们将可信服务器定义为一个不共谋的服务器，该服务器预先被系统中所有其他参与方认为是诚实的。因此，在两方设置中，除了不可信的服务器（或客户端）之外，没有任何其他方能够访问用于爬山攻击（HCA）的匹配分数（或匹配决定）。

为简便起见，假设PPBA适用于汉明距离，其中生物特征模板以从每个用户的生物特征数据中提取的长度为M的二进制字符串的加密形式存储。设最大允许汉明距离为T。通过增加HCA尝试次数，该引理可轻松扩展到具有整数值的模板（集合差、欧几里得距离等）。

证明采用反证法。

证明 。假设存在某种抵抗HCA的两方（客户端/服务器）PPBA方案，且不存在可信服务器来检测内部对手A针对HCAs的任意次数的尝试。在PPBA的任何协议执行E中，没有任何一方可以被信任，且任何对手A都无法被检测到，无论其尝试次数最多为M‐T次还是超过M‐T次。

情况(a) ：由于不存在可信过程，如果A对特定客户端的生物特征模板至少进行M‐T次尝试，则可以推导出另一个与E相似的执行E0,，其中A为恶意行为，在PPBA中偏离协议以释放可能的匹配模板，从而违反了PPBA对爬山攻击的抵抗能力。

备注1. 对于情况(a)，如果A至少尝试M次针对特定客户端的生物特征模板，在收到第一次可能的匹配模板后，即使经过M‐T次尝试，相同的E0仍允许A继续进行恶意行为攻击（HCA），直到输出存储（注册）的模板。因此，A在E0中释放了存储的参考模板，但再次违反了PPBA对爬山攻击的抵抗能力。

因此，在E中；A最多只能进行M‐T次尝试，现在只剩下情况(b)。

情况(b) ：由于不存在可信过程，如果限制A最多进行M‐T次尝试，则可以推导出另一个与E相似的执行过程E00,，其中A为恶意行为，在收到第一次拒绝决定后偏离PPBA协议，并持续进行恶意行为攻击（HCA），直到PPBA输出匹配决定。因此，在E00中的A释放了一个匹配模板，从而违反了对爬山攻击的抵抗能力。因此，PPBA在两种情况下均无法抵抗HCAs，产生矛盾。

读者可参考[28]以及[26]的第3.5.1节，分别了解E0和E00,执行过程的示例。

引理2.2. 每个两方PPBA协议都需要一个额外的非共谋方来抵御恶意行为攻击（HCA）。

证明 。设 $0 < \epsilon < 1$。内部对手A对HCA的任何尝试都会被其余诚实方以概率$\epsilon$检测到。注意，当A对特定客户端C总共进行M次尝试以成功实施HCA时，诚实方保证以概率$\epsilon = 1/M$检测到A。$\epsilon$的值越低，检测到对抗行为的概率就越高。

– 情况1. 一个=恶意客户端C或与恶意服务器（CS或ES）共谋的客户端C：A可以尝试通过破坏其长期伪身份来冒充另一个客户端C’，或在破坏C’及其生物特征后尝试获取注册模板，后者可通过与其中一个服务器（CS或ES）合作实现。在此情况下，诚实的剩余方（ES或CS）可以跟踪A的认证尝试次数，并在出现异常行为时发出警报，即总共M次失败尝试。该攻击被检测到的概率为$\epsilon$。

– 情况2. 一个=恶意云服务器CS或与恶意客户端C共谋的CS：A在获得客户端的匹配生物特征数据后，试图获取匹配的生物特征数据或确切的注册模板。在此情况下，诚实的剩余方ES可以跟踪服务器的认证尝试次数或协作行为，并在出现如情况1中的异常行为时发出警报。该攻击被检测到的概率为$\epsilon$。

– 情况3. 一个=恶意边缘服务器ES或边缘服务器ES与恶意客户端C共谋：在此情况下，诚实的另一方云服务器CS可以追踪该ES或其协作行为的认证尝试次数 - ber of authentication attemp ES或协作的结果。其余部分与情况1和情况2相同。

备注2. 在MBA‐MEC中，情况3的M值相比之前的情况要高得多，因为边缘服务器ES和客户端C只能访问认证决策结果，而无法获得部分/融合匹配分数。因此，攻击被检测到的概率为$\epsilon’$，使得$\epsilon’ < \epsilon$。

三方PPBA的攻击场景如图所示 Fig. 1。在此架构中，非共谋服务器（CS或ES）作为观察者，用于监测恶意服务器（ES或CS）的异常行为（图1中的攻击1或2）。

3. 新MBA‐MEC协议提案

3.1. 系统模型

我们考虑一种双服务器模型（即三方），引入了一个称为边缘服务器ES的非共谋第三方。ES由一个名为私钥生成器(PKG)的可信机构托管，该机构负责初始化密码系统，并为每个使用智能手机的客户端C生成唯一的加密密钥和参数。客户端C的移动设备采集新鲜生物特征，因此不在手机上存储任何生物特征模板，仅存储用于安全草图的辅助数据aux。ES提供加解密服务，并检测客户端和云服务器CS的异常行为或它们之间的共谋。ES与CS协同工作，通过适用于双服务器设置的[10,25]安全计算协议来认证客户端。我们唯一的假设是云服务器CS与边缘服务器ES不共谋。各方在两个协议阶段中进行交互：注册（通常每个用户C执行一次）和认证。在注册阶段，用户C从PKG获取MBA‐MEC中使用的密码学原语对应的用户特定密钥，并将这些密钥连同客户端C的伪身份一起发送给ES。因此，C无需在本地存储任何秘密参数/密钥和生物特征数据。接下来，C通过向云服务器CS发送其加密的生物特征数据（使用PKG生成的用户秘密参数准备）来进行注册，以实现多模态匹配。这样，加密生物特征的存储被外包给CS。CS无法访问模板解密密钥/秘密参数，因此除通过恶意行为攻击（HCA）外，无法提取有关模板的任何信息。在认证阶段，C和CS与ES交互以执行协议。C输入用于多模态匹配的新鲜生物特征数据，并将其加密后发送给CS。CS的输入是C存储的加密模板(s)。ES的输入是C存储的秘密参数和密钥，其输出是发送给客户端C的认证决策。在协议执行过程中，CS和ES均无法获得C的生物特征模板和认证样本的任何信息，但可能尝试恶意行为攻击（HCA）。我们允许攻击者攻破某个用户，使得该攻击者单独或与CS或ES共谋时，试图冒充其他用户或通过恶意行为攻击（HCA）获取被攻破用户的注册模板。

3.2. 安全模型与定义

在我们的系统中，我们假设用户C、CS或ES（除了ES与CS共谋之外的任意两者组合）可能是恶意的，并执行HCAs。ES并不被假设为诚实的，它可以与客户端共谋或使其受损，从而执行类似于CS的HCA。因此，允许使用移动设备的客户端与云服务器或边缘服务器共谋进行恶意行为。我们唯一的假设是CS与ES之间不共谋。对于双服务器设置，此类不共谋的双方假设已在文献[12,14,15,29]中被采用。实际上，攻击者也很难同时攻破两个独立的服务器[14]。

大多数隐私保护生物特征认证（PPBA）方案对半诚实（或诚实但好奇）的对抗者是安全的。非正式地说，半诚实对抗者会忠实执行协议的所有步骤，并试图从协议执行的记录中获取额外信息。与半诚实方不同，恶意攻击者可能会偏离预期的协议执行过程，因此比半诚实对抗者更强大，例如在恶意行为攻击（HCA）情况下泄露注册模板或允许冒充行为。因此，当通过生物特征等敏感数据进行认证时，针对半诚实对抗者的安全性是不够的，因为一旦这些数据被泄露便无法撤销。

由于我们的场景涉及三方（C；CS和ES），我们必须假设除CS与ES之间的共谋外，其他任意两方均可能发生共谋。与[15],不同，我们的模型假设C可能被攻破，这意味着例如用户设备在认证过程中正在运行恶意软件。我们对此的建模方式是不向对抗者显式披露用户注册的生物特征模板，但允许存在HCAs。我们提出了一种高效的MBA‐MEC协议，该协议在面对半诚实和恶意攻击者时均具备安全性。此处，“对抗者”指的是内部人员，即协议参与者。外部攻击者未被考虑在内，因为其行为可通过标准的网络安全技术加以缓解。

本文中，我们遵循基于理想世界/现实世界范式的[15],中的三方安全定义[30]。在理想世界中，存在三个协议参与者，分别表示为客户端C、ES和CS，它们与可信第三方（TTP）进行交互。TTP负责在参与者的输入上评估函数f。在协议执行开始时，所有各方接收其输入。每个参与者通过安全信道将其输入发送给TTP。随后，TTP通过相同的信道将相应的输出发送给每个参与者。其中部分参与方可能被攻破，并可任意偏离协议。令OutCS表示CS的输出。对于输入为X的理想协议执行，CS的部分输出（C或ES或其协作CSC和ESC）定义如下：
$$
IDEAL_{CS}(X; r; k) \equiv Out_j: j \in H \cup Out_{CS}
$$
其中$H = {C; ES; ES C}$是诚实方的集合，$r$是所有参与者的随机数，$k$是安全性参数。在真实世界中，每一方提供的输入与理想世界中的输入相同，并额外获得对随机数的访问权限。令OutCS为云服务器（CS）的输出。在存在独立的恶意模拟器SIMCS（SIMC或SIMES，或它们的合作SIMCSC和SIMESC，分别对应）的情况下，理想协议执行中云服务器（CS）的部分输出（客户端（C）或边缘服务器（ES）或其协作CSC和ESC）在输入为X时定义如下：
$$
REAL_{CS}(X; r; k) \equiv Out_j: j \in H \cup Out_{CS}
$$
其中H; r; k的定义与之前相同。基于此模型，安全性被正式定义为：

定义3.1. 若存在一组概率多项式时间（PPT）模拟器SIMCS（SIMC或SIMES，或它们的合作SIMCSC和SIMESC），使得对于所有PPT对抗者CS（C; ES，或它们的合作CSC和ESC）、输入X以及辅助输入：
$$
REAL_{CS}(X; r; k) { } \equiv IDEAL_{CS}(X; r; k) { }
$$

3.3. 半诚实模型下MBA‐MEC的算法

MBA‐MEC是在评分级融合框架内针对半诚实对抗者设计的。接下来，该模型被扩展到恶意模型，如图3所示。MBA‐MEC在群G中执行，该群在第1.4节中描述，由PKG基于安全参数k生成，并且可对每个用户的IPE和PSI‐CA方案通用。每个用户的公钥参数相互独立，且IPE.User_初始化由PKG为每个用户单独执行。

算法1. 初始化

由于我们的协议可以实例化于指纹，我们将与两种不同表示形式相关的匹配分数、集合差分数d和欧几里得距离分数d’分别与阈值t和t’,进行比较。融合得分的系统阈值用f表示，归一化分数用$N(d)$表示，其中d。最后，$E(\cdot)$表示存储生物特征的编码，编码方式可以是哈希并取幂（即$E(B)$），或使用第1.4节中的IPE方案进行加密（即$E(w)$），这两种方式均如算法1中所示进行注册。此处，Exp表示取幂。

算法2. 注册

在发送认证请求进行验证之前，客户端呈现其新鲜生物特征，并将其与私有辅助数据$aux = (aux_1, aux_2)$对齐，得到$B’ = {b’ i} {1 \leq i \leq m}$以及与其关联的特征向量$w’$，该特征向量对应于同一模态的不同单元或不同特征。第一阶段如算法3所示，允许云服务器计算集合差匹配分数$d$。其中，$O(n)$表示每方的取幂运算和通信开销的上界。我们假设$B$和$w$具有相同长度$n$且$d \geq n/2$。

算法3. MBA‐MEC的第一部分：集合差分布

其次，C对$C_i$的每个分量进行取幂运算，其指数为通过安全草图进行错误校正后的生物特征向量元素$w’_i$，然后将结果相乘，如算法4所示。由于盲化的作用，ES无法获知任何部分得分，因为ES的输出是$g^{a d’}$而不是$g^{d’}$。此处，$O(n)$表示云服务器（CS）上模幂运算的上界以及客户端的通信开销，而C仅向ES发送一个群元素$e$。

算法4. MBA‐MEC的第二部分：欧几里得距离。

最后，可以应用诸如两个分数的求和或乘积之类的融合规则。对于前一种情况，设$f’ = N(d) + d’$为融合得分，其中$N(d)$表示归一化距离$d$。该组件的输出为1（如果$N(d) + d’ < f$）或0（否则）。边缘服务器ES根据此输出向客户端C发送接受/拒绝决策$res$，我们假设$f’ \geq n$。对于$j = 1; 2 \ldots {f}; …; f$，合法用户的融合得分为$N(d) + d’ < f$。因此，对于一个值$N(d) + d’ - f - j = 0$成立的情况，可避免需要进行离散对数计算，因为对于合法用户有$g^{N(d)+d’-f-j} = g^0 = 1$。云服务器CS需要计算$4(f - 1)$次指数运算，并以随机顺序发送$f - 1$个加密值，以便边缘服务器ES无法识别融合匹配分数。使用加法同态公钥加密(PKE)（例如改进的ElGamal[26]）时，ES输入为$g^{a d’}$、CS输入为$a; d$的SecureCompare()之间的一个示例协议如算法5所示。对于加法ElGamal，ES必须解密并计算离散对数以发现消息。然而，我们的方案仅需判定加密值$C_j = Encrypt_{pub
$N(d) + d’ - f - j$是否为0，而无需计算对数。

算法5. MBA‐MEC的最终部分：SecureCompare()

因此，MBA‐MEC的总计算复杂度受限于$O(n)$次加密操作。

3.4. 标准模型中的半诚实安全

为了证明MBA‐MEC的第一部分在标准模型下的安全性，我们使用PoK来提取CS所使用的随机性，并如[31]中所述计算输入集。通过这种方式，我们在模拟中直接使用半诚实（或恶意）方的输入集。首先，我们针对半诚实方运行PoK的提取算法，以提取$k$，使其满足承诺$g^k$，从而根据该随机性提取发送方的输入。此外，我们采用一个MapToPoint哈希函数$H$，其中$H:X \rightarrow G$，$G$为素数阶群$q$。基于此哈希函数，定义函数$f_k(x)= H(x)^k$，其中$k$是$\mathbb{Z}_q$中的随机元素，$x$是$X$中的随机元素。该函数在DDH假设下是一个伪随机函数(PRF)[31]。

引理3.1。 MBA‐MEC的第一部分实现了针对半诚实的CS的隐私保护。

证明。 我们表明，云服务器（CS）的视图可以通过一个PPT算法SIMCS，利用CS的输入和输出$d$进行高效模拟。CS的视图包括他的输入$E(B)$、所使用的随机性以及他收到的消息。SIMCS的构造如下： 1‐ SIMCS首先充当ES，生成一个随机元素$k \in \mathbb{Z} q$，用于在CS处注册C的生物特征的加密模板$E(B)$。2‐ 在收到来自云服务器（CS）的$g^l; p3$和$z_1;…;z_n$后，如果云服务器（CS）在证明$p3,$中成功，则SIMCS与云服务器（CS）运行针对$p3$的提取算法以提取随机性$l$。从云服务器（CS）获取随机性$l$后，SIMCS尝试$H$的范围内的每一个可能输入，以如[31]所示的方式重构集合$B$。SIMCS知道秘密值$k$，并且$H$的域是多项式大小的[31],，因此SIMCS通过尝试生物特征值范围内的每一个可能输入来重构集合$B$，而这些输入也是多项式大小的。3‐ SIMCS随机选择$a \in \mathbb{Z}_q$，并添加不同的对$(H(b_i); x_i) = (h_i; x_i)$，其中$x_i= H(b_i)^a$且$b_i$s（即集合$B$）的计算方式与步骤2相同。SIMCS计算$v_i = z_i^a$，$P_0(v_1, …, v_n; u_1, …, u_n)$和$x_1, …, x_m$。其中，$x_1, …, x_d$表示公共元素，集合$x_1, …, x_m$是通过从上述计算得到的$x_i$值中选择一个大小为$|d|= |B \cap B’|$的随机子集构造而成，其中$d$作为输入提供给SIMCS。对于剩余的$m - d$个元素，SIMCS使用$H(c {a_i s})$（$i \in {d+1, …, m}$）填充集合，就像诚实客户端所做的那样，其中$c_{v28}s$是随机选取的。SIM检查$c_{i}s$是否也在$B$中，因为我们使用PoK来提取CS所使用的随机性，并如CS中所述计算输入集。最后，SIM以ES身份执行操作，计算$x_1;…;x_m$，并将这些值连同$u_{CS}s$一起发送给CS。4‐ SIMCS输出云服务器（CS）的视图。无论是与真实世界C/ES交互，还是与SIMCS交互；云服务器（CS）都无法获取任何信息，且区分器D在真实世界和理想世界中的视图（表示环境）是不可区分的。

现在我们证明该SIMCS能够成功进行模拟。考虑以下游戏： 在第一轮游戏中，参数按照协议定义生成，然后对手A按照协议规定与真实世界参与者进行交互。在第二轮游戏中，参数以相同方式生成，但现在A与一个SIM进行交互，该SIM在步骤2中表现得如同真实协议，但在步骤3中则表现为SIMCS。唯一的区别在于，该模拟器使用即$H(c_i)^a$（其中$i$属于$d + 1$）对集合进行填充，而对于剩余的$m - d$个元素，则通过随机的$c_i$计算出$m$值来填充。这与第一轮游戏的不同之处仅在于：与集合$B$不相同的元素是随机选择的，以模拟客户端生物特征的新鲜生物特征读数，由于生物特征本身的性质，这些读数不可能完全等于注册的生物特征集合$B$。因此，由于这些填充元素是从哈希函数定义域中随机选取的，其随机性使得本游戏与第一轮游戏不可区分。特别地，我们声称在真实执行和模拟执行中，CS的视图与客户端（以及ES）输出的联合分布在统计上接近。这些执行之间的潜在差异出现在模拟的步骤2中，其中SIMCS以$(B’)$代替$(B’)$扮演诚实客户端的角色。区别在于，在模拟执行中使用了$B’ \setminus B$中的随机元素，而在真实执行中使用了$B’ \setminus (B \cap B’)$的成员。设$b’ \in B’ \setminus B$（相应地，$b’ \in B’ \setminus (B \cap B’)$）为在真实（相应地，模拟）执行中考虑的元素。那么服务器在真实执行中接收到$H(b’)^a$的哈希值，而在模拟执行中对于$i \in {d + 1, …, m}$接收到$H(b’)^a$的哈希值。因此我们得出，发送给CS的所有哈希输入（无论是由客户端还是SIMCS发送）都是均匀分布的，因此由于两者以压倒性概率相同，CS无法区分这两种情况。3‐ 在最后一轮游戏中，参数以相同的方式生成，然后对手A与SIMCS进行交互。这与第二轮游戏的不同之处仅在于，SIMCS从证明中提取$l$，并使用该$l$在服务器端构造认证客户端的注册生物特征集合。请注意，如果该证明是可靠的，则此集合与前一轮游戏中的集合相同，从而根据零知识证明系统的提取性质，导致这两个游戏不可区分。由于第一轮游戏与第三轮游戏不可区分，因此对手A在每一轮游戏中检测到模拟的概率差异可以忽略不计。因此，该模拟是成功的。

引理3.2。 MBA‐MEC的第一部分实现了针对半诚实客户端的隐私保护。

证明。 客户端的视图包括其输入$B’$以及他收到的消息，即$g^l；p3$和$z_i = H(b_i)^{kl}$，其中$i = 1; …; n$，后者在假设$f_y(x) = H(\cdot)^y$函数[31]具有伪随机性的前提下，与$r_1; …; r_n$（其中$r_i \in_R G$）不可区分。这里，$f_y(x)= H(x)^y$中的$y$是$\mathbb{Z}_q$中的随机元素，$x$是$X$中的随机元素。该函数在DDH假设[31]下是PRF。SIM C 通过选择随机数$l$，计算$g^l$，模拟$p3$作为证明者，将随机数$r1；…；rn$发送给客户端。类似地，客户端在与真实世界的云服务器/边缘服务器交互或与SIM C 交互时均无法获得任何信息，因此D在真实世界和理想世界中的视图是不可区分的。接下来，我们定义一系列混合博弈，并用随机变量$H_l(B; B’; k)$表示在混合博弈$H_l$中客户端视图与云服务器/边缘服务器输出的联合输出。

GameH 0 ：模拟执行。

GameH1 ：在此游戏中，不存在诚实的云服务器/边缘服务器。相反，模拟器SIM的输入为来自B生成的服务器真实输入$E(B)$以及边缘服务器的输入$k$。模拟器SIM的行为与SIMC完全相同，只是不再发送随机值$r1; …; rn$，而是使用集合$E(B)$按照实际执行的方式计算$H(b_i)^{kl}$。我们通过归约到$f_y(x)= H(\cdot)^y$的伪随机性，证明随机变量$H_0(E(B); E(B’); k)$和$H_1(E(B); E(B’); k)$是计算上不可区分的。假设存在一个用于由游戏诱导的分布的区分电路 DC，从而导致矛盾。$H_0(E(B); E(B’); k)$和$H_1(E(B); E(B’); k)$中构造的$r1; …; rn$，以及(ii) GameH1中对应于$B$的$z1; …; zn$。DPRF作为上述模拟器中的服务器角色，对集合$E(B)$计算$H(\cdot)^{kl}$，并将哈希值集合而非随机值转发给客户端。因此，DPRF生成的输出分布要么与$H_0(E(B); E(B’); k)$相同，要么与$H_1(E(B); E(B’); k)$相同，从而DC的存在与函数$f_y(x)= H(\cdot)^y$的伪随机性相矛盾。

GameH1 在攻击者的视图方面与实际执行相同。

引理3.3。 MBA‐MEC的第一部分实现了对半诚实ES的隐私保护。 证明。边缘服务器的视图包含其输入$ES_k$以及他收到的消息，即$H(b’)^a_j$，其中$i = 1;…; m$，这些消息在伪随机性假设下与$rr1;…; rm$不可区分，其中$rr_i \in_R G$，该结论基于$ff_y(x)= H(\cdot)^y$函数的伪随机性[31]。该证明与引理3.2相同。

定理3.1。 假设MBA‐MEC的第一部分和SecureCompare()协议在半诚实对抗者存在的情况下是安全的，并且适用于PPBA的IPE方案是安全的，则MBA‐MEC方案能够实现对半诚实对抗者的隐私保护。

证明。 我们将分别考虑CS、ES和C为半诚实的情况。我们使用模拟器SIMPSICA来模拟PSI‐CA的评估，并使用模拟器SIMSCP来模拟 SecureCompare()协议。因此，剩余需要模拟的消息仅为IPE.CT，其中$C_1, …, C_n$由CS发送给C，而$C_0$由CS发送给ES。然后，在最后一步中，C向ES发送计算得到的值$e$，这是最后一个需要模拟的消息。对于半诚实的C，模拟器通过仅发送随机生物特征（来自适当范围）的加密值，而非客户端实际生物特征的加密值，所生成的C的视图与真实视图由于IPE方案的CPA安全性而不可区分。类似地，半诚实的ES仅从CS接收到一个盲化值$C_0$以及来自客户端的$\prod_{i=1}^{n} C_i^{w’_i}$的评估结果，其视图也因IPE方案的CPA安全性而与真实视图不可区分。最后，CS的输入是一个加密模板，他将其盲化作为输出，但在SecureCompare()之前未接收任何消息。因此， CS无法获得关于其他任何参与方输入或输出的信息。最后，根据顺序组合定理[30],，基于子协议的安全性，MBA‐MEC在半诚实模型下也是安全的。

3.5. 恶意模型中的安全性

为了将MBA‐MEC的第一部分升级至标准模型中的恶意方场景，我们添加了PoK$p7$，如[10],中所示，其中$p7=PoK{a|\prod_{i=1}^{m} z_i^a = \prod_{i=1}^{n} u_i}$，以及PoKs$p1;p5$。对$n$个独立语句$z_i^a = u_j$的逻辑与证明可用于关联$z_i$的每个索引$i$与$u_j$的对应索引$j$，使得$z_i^a = u_j$成立。这样，云服务器（CS）将揭示交集集合的元素而不仅仅是其大小。因此，需要采用如[10]中的挑战/响应机制，以确保在每个$z_i$上使用相同的$a$。与之前类似，模拟器通过承诺$g^l$以及知识证明$p1;p3$来提取恶意云服务器CS的输入。此外，这些额外的证明保证了输入的一致性，并确保在整个协议过程中使用相同的值。在此，若云服务器（CS）通过$p1;p3$证明其对$l; k$的知识，则可以轻松展示对$B$的知识，因为此时可通过尝试哈希函数取值范围内所有可能的输入来揭示编码模板，如[31]所示，由于该哈希函数的输入集（即定义域）仅限于（较小的）整数生物特征值$b_is$。类似地，若客户端C通过$p5$或$p7$证明其对$a$的知识，则可轻松实现对生物特征模板$B’$的知识证明。

为了在标准模型中将MBA‐MEC的第二部分升级以抵御恶意方攻击，我们添加了关于$p2$和$p4$的零知识知识证明，并像在半诚实模型中一样对存储的加密模板进行盲化。这样，ES获得$g^{a d’}$，其中$a \in \mathbb{Z}_q$为随机数。最后，MBA‐MEC的最后一部分，即 SecureCompare()协议，被修改为能够使用盲化值$a$。此外，第3.3节中的示例SecureCompare()协议需要如[9,31]所示进行修改，通过添加承诺方案来对输入/盲化值进行承诺，以及添加知识证明方案以验证密文乘法和模幂运算的正确性。因此，为了实现恶意安全，每个160位模幂运算至少需要替换为两个160位模幂运算，因此在恶意模型中，示例SecureCompare()协议的总成本将至少增加2[31]倍，导致$(n - 1)$次模幂运算，当CS时，若$n \geq f$。

在MBA‐MEC的第一部分中，由于ES不共谋，CS单独无法执行HCA，因为ES只有在接收到客户端的新鲜模板后才会输出。然而，与C共谋的CS会尝试将其存储的加密模板$E(B)= H(b_i)^{kl}$替换C的$n - 1$输出$H(b’)^a_j$，以测试剩余的一个生物特征。但是，由于来自特定客户端的（大量）查询，警觉的诚实ES可以检测到作弊的CS/C，并验证CS和C提交的哈希值是否相等，或C提交的输入是否为无效输入。我们假设系统中的大多数客户端是诚实且不共谋的，因此非共谋的ES可以通过客户端在HCA期间的（大量）查询检测到被攻陷的C + CS。

如图3所示，MBA‐MEC的第二部分需要对$E(w)$进行盲化，因此ES单独或与客户端合谋都无法执行HCA，因为ES无法获取部分得分$d’$。此外，ES还需要合成模板$sk$的密钥$w’$,，而这是不可能的，因为密钥由PKG签发。

引理3.4。 MBA‐MEC的第一部分实现了针对恶意CS的隐私保护。

证明。 我们表明，CS的视图可以通过一个PPT算法SIMCS进行高效模拟，该算法与真实世界中的CS以及计算PSI‐CA理想功能的可信第三方TTP进行交互，即 $|d|= |B\cap B’|$。CS的视图包括其输入$E(B)$、随机性以及接收到的消息。SIMCS的构造如下： 1‐ 除了SIMCS生成一个PoK$p1$用于$k$并将其返回给CS之外，其余部分与引理3.1相同。2‐ 除了额外的$p1$需要被验证（即，如果$p1$未被修改），其余部分与引理3.1相同。3‐ 与引理3.1不同，此处$x_1, …, x_d$表示由客户端（$B’$）和云服务器（CS）的输入集（$B$）交集计算得到的值。因此，集合$x_1, …, x_m$是通过从上述计算得到的$x_i$个值中选择一个大小为$|d|= |B\cap B’|$的随机子集构造而成，其中$d$是可信第三方（TTP）在输入理想世界客户端的集合$B’$和扮演理想世界CS的模拟器的输入$B$后计算得到的。SIMCS接收到集合交集基数$d$，从而构造集合$x_1, …, x_m$。其余部分与引理3.1相同。由于诚实方没有输出，因此只需证明在理想世界中恶意CS的视图与真实世界中的视图不可区分。输入集$B$在模拟和真实协议执行中是相同的，且恶意CS单独无法执行HCA。因此，CS无论是与真实世界的C和ES交互，还是与SIMCS交互，均无法获得任何信息，因此D在真实世界和理想世界中的视图是不可区分的。SIMCS成功地进行了模拟，如引理3.1所述。

引理3.5。 MBA‐MEC的第一部分实现了针对恶意客户端C的隐私保护。

证明。 除了$p1$,与引理3.2相同。1‐ SIMCS首先作为边缘服务器（ES），在$\mathbb{Z}_q$中生成一个随机元素$k$，用于客户端C的生物特征在云服务器（CS）上的加密模板 $E(B)$的注册。SIMCS还生成一个关于$k$的PoK$p1$，并将其存储在边缘服务器（ES）和云服务器（CS）中。2‐ 模拟器SIMC通过随机选择一个$l$，计算$g^l$，并作为证明者模拟$p3$，向客户端C发送随机数$r1; …; rn$以及存储的$p1$。在收到$H(b’)^a_js$和$u_1, …, u_n$后，模拟器以验证者身份与客户端交互，验证$p5$和$p7,$的证明。如果证明未通过验证，SIMC中止协议。否则，SIMC运行针对$p5$和$p7$的提取算法以提取$a$。在获得$H(b’)^a_js$后，对其中每一个值，SIMC计算$(Hb_1^a)^{1/a} = H(b’)_j$，并尝试哈希函数取值范围内的每一个可能输入，以重构集合$B’$。在此过程中，模拟器可通过协议的一次执行检测到恶意客户端C，若其发起冒充攻击或通过修改诚实客户端的新鲜模板实施HCA（如第3.5节所述），则立即中止。在现实世界中，边缘服务器ES会因某个特定客户端发出大量查询而被触发警报，并采用相同技术进行检测。在获得$B’,$后，模拟器将$B’$以及理想世界中云服务器（CS）的输入$B$（通过使用密钥$k$从$E(B)$中获取）发送给可信第三方TTP，TTP返回集合交集基数$d$。在混合模型中的现实世界云服务器（CS）也获得了$H(b’)^k_js$以及$u_1, …, u_n$，因此其输出同样为$d$，因为在理想世界和现实世界游戏中，PSI‐CA功能的输入集是相同的。类似地，客户端无论是与现实世界的云服务器（CS）和边缘服务器（ES）交互，还是与SIMC交互，均无法获得额外信息，因此D在现实世界和理想世界中的视图是不可区分的。

引理3.6。 MBA‐MEC的第一部分实现了针对共谋的恶意云服务器CS的隐私保护 C.

证明。 1- SIM CSC 在SIM CS 中充当引理3.4。2‐ 在获得$H(b’)^a_js$和$u_1, …, u_n$后，与作为$p5,$验证者的客户端进行交互，如果证明无法通过验证，SIM CSC中止。否则，SIM CSC 运行针对$p5$的提取算法以提取$a$。其余部分与引理3.5相同。

L引理3.7. MBA‐MEC的第一部分实现了针对与客户端勾结的恶意边缘服务器ES的隐私保护。

证明。 SIMESC需要模拟ES和客户端的视图，如引理3.5中所述，但第一步除外。与引理3.5中的步骤1不同，SIMESC运行

1 的提取器以提取$k$。通过这种方式，SIMESC可以检查ES是否在每个$H(b’)^a_j$上应用了正确的值$k$，否则将中止。ES与客户端串通无法执行HCA，因为他们无法获取由云服务器（CS）计算出的分数$d$。

定理3.2。 假设MBA‐MEC的第一部分和SecureCompare协议在存在恶意攻击者的情况下是安全的，并且适用于PPBA的IPE方案是安全的。则MBA‐MEC方案可抵御恶意攻击者，并且基于CS、ES与PKG之间的非共谋，能够抵抗HCAs。

证明。 我们将分别考虑云服务器（CS）、边缘服务器（ES）和客户端（C）（及其共谋）为恶意的情况。我们使用模拟器SIMPSICA来模拟PSI‐CA的评估过程，并使用模拟器SIMSCP来模拟SecureCompare协议。因此，仍需模拟的消息包括：由CS发送给客户端C的 PoK$p2$、$p4$以及内积加密密文IPE.CT= $C_0, C_1, …, C_n$，以及由CS发送给边缘服务器ES的$C_0; p4$。最后，在最后一步中，客户端C向边缘服务器ES发送其计算出的值$e$，这是最后一个需要模拟的消息。对于恶意客户端C的情况，由于IPE方案的CPA安全性，模拟器通过仅发送随机生物特征（来自适当范围）的加密值，而非客户端真实生物特征的加密值，所生成的客户端视图与真实视图不可区分。类似地，对于仅恶意边缘服务器ES的视图 接收到来自云服务器（CS）的随机化值$C_0 =g^{ra}$以及来自客户端$C$的$\prod_{i=1}^{n} C_i^{w’_i}$的评估，在IPE方案的CPA安全性下，该视图与真实视图不可区分。最后，云服务器（CS）以加密模板作为输入，并将其盲化后输出，但他并未接收到任何消息。因此，云服务器（CS）无法获知其他任何参与方的输入或输出信息，也无法单独执行恶意行为攻击（HCA）。类似地，恶意边缘服务器ES也无法单独执行恶意行为攻击（HCA），因为在MBA‐MEC的第一部分中他无法获取任何匹配分数，且在第二部分中由于匹配分数已被盲化，他也无法获取。即使恶意客户端C与边缘服务器ES共谋，情况亦然。因此，由于边缘服务器ES和客户端C均无法获取任何匹配分数，二者共谋也无法执行恶意行为攻击（HCA）。

对于恶意客户端C与云服务器（CS）共谋的情况，恶意行为攻击（HCA）可由非共谋的边缘服务器（ES）检测到，因为ES是恶意客户端C（与CS共谋）异常行为的检查点，该恶意客户端在MBA‐MEC的任何部分都会进行多次认证尝试。此外，与客户端C共谋的CS无法访问MBA‐MEC第二部分中的任何匹配分数。因此，（诚实的）ES可以防止恶意行为攻击（HCA）。最后，根据顺序组合定理[30],，MBA‐MEC在子协议安全性的基础上，在恶意模型下也是安全的。

4. 评估

尽管MBA‐MEC被设计为多用户MEC，为了实现普适边缘计算，它可以轻松转换为由一个中心云和多个边缘服务器组成的异构 MEC系统，如图2和图4所示。与[18],生物特征的预处理应在本地执行，但由于移动设备的计算能力有限，可能导致延迟。因此，我们建议在算法3和算法4中离线执行生物特征数据的采集和加密，即在发送认证请求之前立即进行。为了同时实现对HCAs的可接受鲁棒性和良好的验证性能，建议在[24]中采用量化评分级融合。在利用更长指纹表示的真实多模态生物特征系统中，评分级融合达到了最佳性能，等错误率达到更长的指纹表示时，评分级融合取得了最佳性能，等错误率达到= 0.4%[24]。这种表示越长，M（从而$\epsilon$)越低），导致HCA检测能力越高，如第2节所述。

此外，适用于需要欧几里得距离的生物特征向量（即可以排序/分组的特征）的多生物特征系统可以连续使用MBA‐MEC的第二部分而不是完整的MBA‐MEC。这样，如果相应地简化SecureCompare()，则可以防止CS计算任何部分得分。由于此构造不涵盖多种生物特征模态，因此我们省略进一步讨论。

4.1. 比较

在表2中，我们比较了可证明安全的基于私有细节的指纹匹配协议。MBA‐MEC的总计算/通信开销被限制在$O(n)$。由于生物特征数据的加密存储/处理，生物特征数据库可以外包到云端，从而实现符合GDPR。除了MBA‐MEC和[5],之外，其余协议仅适用于单一距离度量。[5]提出了在三方设置下基于公钥加密(PKE)域中实现同态匹配的MBA领域唯一先前工作。[5]提出了一种基于 Paillier加密的多‐生物特征模板保护通用框架[5]。然而，如表3所示，在具有相当安全性（即k= 80比特对称密钥级别）的情况下， ElGamal公钥加密比Paillier公钥加密快得多[30],，因此人们可能更倾向于使用基于ElGamal的方案。ElGamal加密甚至可以基于椭圆曲线密码学(ECC)更高效地实现[30]。MBA‐MEC结合了两种密码原语：基于Diffie‐Hellman(DH)的私有集合交集(PSI)和基于 ElGamal公钥加密的内积加密(IPE)。由于MBA‐MEC中没有解密操作，我们在衡量总成本时重点关注加密开销，特别是模幂运算的次数。除了解密融合匹配分数（由欧几里得和余弦相似度度量融合而成）在认证服务器S处进行计算，[5]中的每一项操作均由客户端执行，即仅考虑表示为特征向量的有序生物特征。因此，他们的系统在服务器端仅需一次解密，服务器可直接获得解密后的融合匹配分数。在[5],中，对于半诚实模型下的双模系统（每种模态的特征大小为n），若忽略乘积运算，则单个用户生物特征样本的欧几里得距离计算需要进行$2\times2n（）+ 2$次模幂运算，模数为2048位模数。此外，由于缺乏像MBA‐MEC中那样仅输出1/0（接受/拒绝）决策结果的 SecureCompare()协议，该系统允许服务器获知（已解密的）融合匹配分数。

另一方面，CS在MBA‐MEC中（承担大部分工作负载）需要在半诚实模型下对1024位模数执行7n次模幂运算，其中也考虑了 SecureCompare()的成本。我们的比较基于相同的80位安全等级下的密钥和模数大小，如表3所示，其中公钥加密操作的平均速度是针对五个不同密钥进行100次运行的平均值，对应的参数为1024位RSA合成数、2048位Paillier模数、160位密钥长度以及1024位 ElGamal模数。

4.2. 性能分析

在[5],对大小为40和100的融合特征进行复杂度分析时，总共计算了140个（$\approx 2n$，其中$n = 70$）特征，这些特征基于Paillier加密（安全级别相当于1024位RSA），使用Java中Kun Liu的Paillier密码系统实现，并在配备英特尔酷睿i7处理器（四核2.67 GHz核心）的机器上运行实验[5]。因此，[5]可部署于实时应用：在验证阶段由服务器执行的单次比较（一次评分计算，用于将一个探测样本与存储模板[32]进行比对）大约需要$2MF_{fused} + 2 \approx 16n$次模幂运算和 $5\times10^{-4}$秒，其中$M = 4$表示注册样本数，$F_{fused} = 2n = 140$对应$n = 70$。另一方面，在相同安全级别（1024位RSA对比160位ECC）下，MBA‐MEC的云服务器（CS）承担了大部分工作负载，每种模态的特征大小为$n = 70$（总共140个特征），在半诚实模型下，针对$M = 1$个注册样本共需要$7n（）$次模幂运算，因此对于$M = 4$个样本总共需要$7Mn（）= 28$次模幂运算。我们假设SecureCompare()中的$f =n$，且CS与客户端（C）的输入集大小均为$n$。基于这些结果，在表4中，我们给出了MBA‐MEC在半诚实模型下的运行时间和通信开销的估算。我们计算了总通信开销，而运行时间则以承担主要工作负载的一方（即类似[5]中服务器S的CS）为准。我们考虑了每个密码学操作的实际耗时，并据此估算了总成本。

因此，根据表3中给出的Paillier和ElGamal的实际加密时间，每次加密需要对给定模数进行两次指数运算，估计MBA‐MECis的时间为$(266ms=3742ms)(5\times10^{-4}s)(28n/16n)=0.62\times10^{-4}$秒。每个密文长度从$u_0= 2048$比特减少到$u= 160-$比特（即一个椭圆曲线点的大小），总计通信开销为$6Mnu$，而不是 $\frac{2}{F_{fused}} + MF\cdot M u_0 \approx 2M (2)n u_0= 4Mn12.8u= 51Mnu= 202.25 KB$（当$u_0 = 12.8u$且$F_{fused} = 2n = 140$[5]时）。因此，MBA‐MEC需要$(6/51)\times202.25= 23.8 KB$，而非用于欧几里得距离的202.25 KB。需要注意的是，在加密系统中我们需要存储更多的数值，如[5],所示，每个数值需要2048位而非16位。在MBA‐MEC中，由于底层采用椭圆曲线密码学(ECC)系统，每个数值需要160比特。表4展示了两种多生物特征系统的比较。该分析限定在相同的安全级别/模型下，并且仅考虑云服务器（CS）执行单次比较的验证时间，如同[5]中对S在相等比较条件下的分析一样。

表2 面向指纹细节特征且具有可证明安全性的隐私保护生物特征认证（PPBA）方案。
计算 GDPR 距离 多‐ 爬山法 Cost 合规 度量 模态 攻击分析
Blanton et al.[8] $O(n^2)$ No 欧几里得 No No
Shahandashti 等人 [9] $O(mn)$ No 欧几里得 No No
Higo 等人[12] $O(mn)$ Yes 欧几里得 No Yes
Feng 等人[11] $O(mn)$ No 集合差 No No
Sarier [10] $O(n)$ No 集合差 No No
Gomez 等人[5] $O(n)$ Yes 欧几里得或余弦 Yes No
MBA‐MEC $O(n)$ Yes 集合差与欧几里得 Yes Yes

表3 加密方案[30]的运行时间（微秒）。
方案 密钥大小 加密 解密
Paillier 1024位 3742毫秒 273毫秒
ElGamal 160位 266毫秒 155毫秒

表4 半诚实模型下单次比较（匹配）的计算和通信开销估算
[ 5 ] Paillier 1024位 $( 2MF_{fused} + 2 ) Exp.$ 0.5毫秒 欧几里得 $2 F_{fused} + MF\cdot M u_0$ 202.25千字节
MBA‐MEC DH型 ⁄ 160位 7Mn次指数运算 > 0 .062ms 集合差 6Mnu > 23.8KB
⁄ 基于椭圆曲线的DH型PSI和IPE， y：80位安全等级，$M = 4$；$F_{fused} = 140$；$n = 70$；$u = 160$，$u_0 = 2048$。

表5往返时间(RTT)的估计值（单位：毫秒）：具有两个非共谋云服务器的MCC、两层MEC（图2）和三层MEC（图4），在半诚实安全下采用第4.3节的优化。

方案	Tier	RTT	边缘服务器功能
MBA‐MCC	1	162	无边缘服务器
MBA‐MEC2	2	42.3	代理、存储、计算
MBA‐MEC3	3	92.3	缓存+ MBA‐MEC2功能

4.3. 模拟结果

在表5中，我们估算了从客户端发起的认证请求（记为step）到客户端接收到认证结果res之间的总往返时间（RTT），该估算基于双服务器设置（即两个非共谋云服务器，如[14]所示）、第二层（图2）和第三层（图4）的架构。本模拟未包含生物特征数据的预处理过程，该过程由本地客户端设备在发送认证请求前离线完成。在[23],中，作者指出，对于基于多接入边缘计算（MEC）服务器的人脸识别应用，其延迟值相比基于云的方案降低了近5倍，特别是MEC方案实现的延迟约为MCC延迟的25%[23]。

在我们的模拟中，$T_X$表示实体X的执行时间。该步骤花费的通信时间用$T_i$表示，并假设两个方向的通信时间相等。云的计算速度比边缘服务器快几个数量级，因此$T_{CS}< T_{ES}$。我们忽略同一层级