專利名稱:生物計(jì)量安全系統(tǒng)及方法
生物計(jì)量安全系纟皿方法
背景技術(shù):
諸如指紋��、視網(wǎng)膜掃描、面部識(shí)別����、語音樣本等的生物計(jì)量數(shù)據(jù)被用于安
全系統(tǒng)中的識(shí)別和/或身份驗(yàn)證。例如���,在指ite用中�,所掃描的指紋和所注冊 的指紋參考進(jìn)行比較以驗(yàn)證用戶的身份�。最初注冊參考指紋的過程通常稱作登
記。所述參考通常是可能用可擴(kuò)展標(biāo)記語言(XML)編寫的模板��,其描述了從 所處理的圖像中提取的諸如脊和谷之類的特征�����。然而�����,諸如特定用戶的指紋之 類的生物計(jì)量 基本不會(huì)隨時(shí)間發(fā)生變化����,這可能不利(detriment)。如果所 述生物計(jì)量數(shù)據(jù)被危及安全(例如�,通過利用指紋模�����,用另一人的模板替換匹 配系統(tǒng)中的模板等���,來欺騙傳 ),貝,述生物計(jì)量M無法被撤消�、更新和 /或以其他方式改變。
為了更完整的理解本發(fā)明及其目的和優(yōu)點(diǎn)�����,現(xiàn)在結(jié)合附圖參照下列描述�����, 其中
圖1歸出一種生物計(jì)量安全系統(tǒng)的實(shí)施例的方框圖����; 圖2是示出圖1中的生物計(jì)量安全系統(tǒng)的生物計(jì)量安全令牌的實(shí)施例的方 框圖3是示出生物計(jì)量安全方法的實(shí)施例的流程圖����;以及 圖4是示出生物計(jì)量安全系統(tǒng)的另一實(shí)施例的方框圖。
具體實(shí)施例方式
圖1 ^出生物計(jì)量安全系統(tǒng)10的實(shí)施例的方框圖���。在圖1示出的實(shí)施例 中�,生物計(jì)量安全系統(tǒng)IO包括耦合到生物計(jì)量測量裝置113和訪問控偉晰構(gòu)114 的計(jì)算機(jī)系統(tǒng)100。在圖1示出的實(shí)施例中�,生物計(jì)量測量裝置113包括掃描儀 1131;然而,應(yīng)該理解��,生物計(jì)量測量裝置113可包括用于獲得和/或以其它方
;^^集生物計(jì)量信息的其它類型的裝置和/或機(jī)構(gòu)�����。在操作中��,生物計(jì)量測量裝
置113從用戶獲得一個(gè)或多個(gè)生物計(jì)量測量(例如�,指紋、視網(wǎng)膜掃描�、聲紋����、 面部圖像或其它生物計(jì)量測量)����,發(fā)送所述信息到計(jì)算機(jī)系統(tǒng)100,在計(jì)^t幾系統(tǒng)100所述信息由中央處理單元(CPU) 101處理�、被存儲(chǔ)在存儲(chǔ)器102中并用 于或者授予或者拒絕特權(quán),如下所述�。然而���,應(yīng)該理解,所述生物計(jì)量測量可 以其他方式進(jìn)行處理(例如�����,特定傳感器可配置成執(zhí)行與所述生物計(jì)量測量信 息相關(guān)聯(lián)的所有計(jì)算���,禾B/或J柳具有其自己的處理器的特敏專用同伴芯片���,從 而減樹OT CPU 101的需要)。 一種可以授予/拒絕的特權(quán)是對門進(jìn)行解鎖����。然 而,應(yīng)該理解�����,其它物理或非物理特權(quán)可被授予��、拒絕和/或基于生物計(jì)量信息 以其它方式進(jìn)行控制��。在一些實(shí)施例中�����,訪問控制機(jī)構(gòu)114用于授予�、拒絕和/ 或以其它方式控制這種特權(quán)。
在圖1中�,存儲(chǔ)器102包括生物計(jì)量測量數(shù)據(jù)103和識(shí)別數(shù)據(jù)120,生物計(jì) 量測量數(shù)據(jù)103具有由生物計(jì)量測量裝置113產(chǎn)生和/或以其它方式獲得的信息 (例如指紋圖像103^視網(wǎng)膜圖像1032�����、面部圖像1033�、和/或語音聲音記錄1034), 識(shí)別 120具有與特定用戶的身份相關(guān)聯(lián)的信息(例如��,用戶ID)��。在一些 實(shí)施例中��,識(shí)別M 120可經(jīng)由輸A/tr出裝置115 (例如�����,鍵盤�、觸離顯示 器、鼠標(biāo)等)輸入到計(jì)^t幾系統(tǒng)100��,并且可與生物計(jì)量測量裝置113輸入和/ 或獲得生物計(jì)量測量數(shù)據(jù)103幾乎同時(shí)地由用戶輸入。應(yīng)該理解����,生物計(jì)量測 量翻103可僅用于用戶識(shí)別,禾口/或可結(jié)合識(shí)別數(shù)據(jù)120用來驗(yàn)證用戶身份���。
一般來說�����,生物計(jì)量安全系統(tǒng)4頓稱為特征提取的過程來從所領(lǐng)懂的生物 計(jì)量數(shù)據(jù)中產(chǎn)生數(shù)據(jù)模板�����,所述 模板是可以可擴(kuò)展標(biāo)記語言(XML)格式 存儲(chǔ)的數(shù)字?jǐn)?shù)據(jù)文件����。特征可包括諸如指紋圖像中脊和谷的接合點(diǎn)的圖像中點(diǎn) 的位置和大小�����。然后將從新收集的�、經(jīng)處理的測量中提取的特征與參考數(shù)據(jù)模 板的內(nèi)容相比較以便確定是否存在匹配�����。在圖l示出的實(shí)施例中,可由CPUIOI 執(zhí)行的生物計(jì)量模塊1 0 4 (并且其可包括硬件�����、軟件�、固件或它們的組合) 用 31處理生物計(jì)量測量數(shù)據(jù)103來執(zhí)行特征提取以產(chǎn)生生物計(jì)量模板105。 應(yīng)該理解�����,生物計(jì)量模塊104或另一特征提取���,對及可用于初始生成生物計(jì)量參 考凈鎌105 (例如��,諸如在初始注冊過程中)以及從后來接收的生物計(jì)量測量數(shù) 據(jù)103產(chǎn)生生物計(jì)量參考模板105 (例如���,將用于證實(shí)/授權(quán))。
在圖l示出的實(shí)施例中�,系統(tǒng)10包括生物計(jì)量安全管理模塊106,其可由 CPU101執(zhí)行(并且其可包括硬件��、軟件、固件或它們的組合)以(例如����,響應(yīng) 于新接收的生物計(jì)量測量數(shù)據(jù)103)證實(shí)生物計(jì)量模板105。在操作中�����,如果存 在匹配(例如�����,從新采集的生物計(jì)量測量數(shù)據(jù)103中產(chǎn)生的生物計(jì)量模板105與先前存儲(chǔ)的模板105之間的匹配)�,那么生物計(jì)量安全管理模塊106咨詢 (consult)和/或以其它方式訪問特權(quán) 108,特權(quán)數(shù)據(jù)108包括可授予用戶的 特權(quán)列表和/或信息���。例如�����,在一些實(shí)施例中����,特權(quán)繊108包J赫如安全應(yīng)用 禾歸110的授權(quán)用戶訪問的計(jì)^t幾資源的列表��。在一些實(shí)施例中,安全應(yīng)用程 序110是僅限于已授權(quán)用戶(例如�,計(jì)算機(jī)用戶賬戶)訪問的計(jì)算機(jī)資源。在 —些實(shí)施例中���,生物計(jì)量安全管理模±央106直接指^i方問控制機(jī)構(gòu)114提供期 望的資源(例如���,為個(gè)人解鎖安全門或入口M)����。因而�����,在一些實(shí)施例中����,生 物計(jì)量安全管理模塊106配置成與生物計(jì)量模板105,以及特權(quán)數(shù)據(jù)108�、安全 應(yīng)用禾聘110和訪問控制機(jī)構(gòu)114中的至少一個(gè)接口連接(interface)。進(jìn)一步 地����,在一些實(shí)施例中,生物計(jì)量安全管理模塊106配置成執(zhí)行加密和/鄉(xiāng)率密, 如下所述�。
在圖1中,系統(tǒng)10包括安全數(shù)據(jù)產(chǎn)生器107和令牌產(chǎn)生器112���, 二者都由 CPU 101執(zhí)行(每個(gè)都包括硬件����、軟件��、固件或其組合)��。安全數(shù)據(jù)產(chǎn)生器107 用于生成安全有效載荷109的數(shù)據(jù)�����,諸如公共加密密鑰109i����、對稱加密密鑰1092、 數(shù)字證書1093�����、密碼1094和/或諸如隨機(jī)數(shù)或串之類的任何其它安全相關(guān)M����。 令牌產(chǎn)生器112將生物計(jì)量模板105與安全有效載荷109相組合�����,從而產(chǎn)生安 全令牌lll��,其在圖2中被更詳細(xì)地示出。在一些實(shí)施例中����,令牌產(chǎn)生器112配 置成加密��、散列令牌111和/或以數(shù)字方式對令牌111簽名�,以便提供稍后驗(yàn)證 令牌111的完整性的機(jī)制。下面結(jié)合圖2更詳細(xì)地描述這些完整性驗(yàn)證方法�����。 在圖l中����,多個(gè)安全令牌(例如,令牌llh禾卩1112)被示出以代表系統(tǒng)10的不 同用戶或單個(gè)用戶的多個(gè)生物計(jì)量數(shù)據(jù)集���。優(yōu)選地���,每個(gè)授權(quán)用戶具有至少一 個(gè)對應(yīng)的安全令牌lll���。對一些實(shí)施例來說,系統(tǒng)10知道主張的(claimed)用 戶身份���,諸如用戶ED 120�����,連同所接收的生物計(jì)量測量數(shù)據(jù)103來ISS定位特 定模板105��。在其它實(shí)施例中�,生物計(jì)量安全管理106順序地����、隨機(jī)地或以其它 方式訪問*可用的令牌111、 111,禾fU112����,直到找至ij匹配或者已訪問所有可用 令牌111-1112。
在一些實(shí)施例中�����,安全令牌llh與1112對同一人{(lán)頓不同的生物計(jì)量數(shù)
據(jù),諸如來自該人的不同手指附旨紋�。在這種情況下,多次運(yùn)行令牌產(chǎn)生器m 來為單個(gè)人創(chuàng)建附加令牌ln!-iii2可以是特權(quán)數(shù)據(jù)108中所列出的特權(quán)����。該同
一人的多個(gè)令牌111-1112可以具有相同的安全有效載荷109或者不同的有效載
5荷109。例如���,令牌111,可用于訪問安全應(yīng)用程序110����,而令牌1112可由訪問控
帝脈幾構(gòu)114用來控制對另一個(gè)資源的訪問��。
應(yīng)該理解��,由計(jì)算機(jī)系統(tǒng)100執(zhí)行的功能可由一個(gè)或多個(gè)計(jì)^l幾執(zhí)行���,并 且不必由單^i十穀幾執(zhí)行所有功能。進(jìn)一步地�,存儲(chǔ)在計(jì)算機(jī)系統(tǒng)100上的信
息可存儲(chǔ)在一個(gè)或多個(gè)計(jì)算+;Ui,且不必存儲(chǔ)在單^s十算t;u:��。例如, 一個(gè)計(jì)
算機(jī)系統(tǒng)100可以包括安全數(shù)據(jù)產(chǎn)生器107以生成安全有效載荷109��,并且另一 計(jì)算機(jī)系統(tǒng)100可包括生物計(jì)量模i央104以及令牌產(chǎn)生器112����,生物計(jì)量模塊 104用于處理生物計(jì)量測量數(shù)據(jù)103以生成生物計(jì)量模板105,令牌產(chǎn)生器112 將生物計(jì)量數(shù)據(jù)105和安全有效載荷109相組合以產(chǎn)生安全令牌111 ��。又一計(jì)算 機(jī)系統(tǒng)100可包括生物計(jì)量安全管理模土央106����,期各禾,生物計(jì)量模塊104處理 的來自生物計(jì)量觀懂體113的輸入與安全令牌111中的生物計(jì)量模板105相 匹配,利用特權(quán)娜108識(shí)別對應(yīng)的特權(quán)�����,并發(fā)送安全有效載荷109的相關(guān)部 分到挑戰(zhàn)方(例如��,尋求確定諸如所主張的身份之類的主張是否有效的任意實(shí) 體)���,諸如本地物理訪問控制機(jī)構(gòu)114��、本地安全應(yīng)用程序110����、或遠(yuǎn)程挑戰(zhàn)方)。 遠(yuǎn)程挑戰(zhàn)方可以是又一計(jì)算機(jī)系統(tǒng)100上的安全應(yīng)用程序110�。亦應(yīng)該理解, 由計(jì)穀幾系統(tǒng)100執(zhí)行的所述一個(gè)或多個(gè)功能可在釆用各種硬件部件的單1S十 對幾系統(tǒng)和/或單個(gè)系統(tǒng)上的戯以機(jī)(例如����,軟件虛擬化)內(nèi)部進(jìn)《我扮。
圖2是示出生物計(jì)量安全令牌111的實(shí)施例的圖��。通常�,安全令牌是提供 內(nèi)容完整性驗(yàn)證而且包含諸如安全有效載荷109之類的安全有效載荷的實(shí)體。 安全有效載荷109包含使得能夠執(zhí)行諸如加密/解密����、可信驗(yàn)證或訪問控制之 類的安全功能的信息。安全有效載荷信息的示例包括可用于導(dǎo)出密鑰的隨機(jī)數(shù) 或串��、密鑰本身�����、以及諸如X.509證書之類的數(shù)字證書�。X���,509證書是廣泛4頓 的數(shù)字文件��,其包含加密密鑰����、識(shí)別信息和允許指示證書是否有效的信息。在 規(guī)定的截止日期之前��,X.509證書可終止或被撤消�,使得挑戰(zhàn)方可確定是否應(yīng)該 拒給(withhold)先前與特定證書相關(guān)聯(lián)的任何特權(quán)。由于如果數(shù)字證書已被撤 消����,則與該證書相關(guān)聯(lián)的任何數(shù)據(jù)都不應(yīng)是可信的,因此數(shù)字證書的可撤消特 性使得能夠進(jìn)行可信驗(yàn)證���。然而���,應(yīng)該理解,可利用其它類型的可撤消實(shí)體�����。 如這里所使用的�,可信驗(yàn)證包括確定是否應(yīng)信任用于識(shí)別的數(shù)據(jù)。挑戰(zhàn)方是尋 求確定諸如所主張的身份之類的主張是否有效的任意實(shí)體。例如��,提供計(jì)算機(jī) 登錄屏幕的密碼檢查程序是挑戰(zhàn)方�,如同禾,指紋匹配結(jié)果以便確定任何特權(quán)
6是否應(yīng)被授予請求它們的人的任意,或程序一樣���。例如���,圖1中示出的安全 應(yīng)用程序110可以是挑戰(zhàn)方。
撤消可通過檢查撤消列表來確定��,該列表 地本質(zhì)上是公開的(例如�����, 在因特網(wǎng)上)�,并且包含已報(bào)告為撤消的證書的序列號。然后出現(xiàn)在數(shù)字證書撤 消列表上的號碼保證該證書已被撤消����。重要的是要注意����,由于除了其它不確定 性之外,該列表可能過期或包含錯(cuò)誤,因此沒有出現(xiàn)在該列表上的號碼也不能 保證該證書是有效的�。目前,某種關(guān)于有效性的不確定度是不可避免的�����。因此����, 數(shù)字證書是可撤消實(shí)體,其正確的描述是它能夠提供撤消的保證��,而不能提供 有效性的保證�。數(shù)字證書也常常和截止日期一起發(fā)布,但可通過在證書中對截 止日期進(jìn)fi^注釋再次發(fā)布該證書���,來更新所述數(shù)字證書���。
安全令牌111包括具有示出為圖2中的指紋模板(應(yīng)該理解,可采用其它 生物計(jì)量數(shù)據(jù)�����,諸如視網(wǎng)膜掃描���、語音模板��、面部識(shí)別模板或其它生物計(jì)量數(shù)
據(jù))的生物計(jì)量模板105和安全有效載荷109的數(shù)字文件����。在圖2中,生^ji十 量模板105和安全有效載荷109 ,置在完整性驗(yàn)證殼118內(nèi)部���。在一些實(shí)施 例中��,安全有效載荷109是標(biāo)簽長度值(TLV)格式的��,該格式提供了數(shù)據(jù)類 型名稱�、其所需要的位數(shù)以及信息本身����。例如,TLV翻可以是'KEY2-bytes 10011011�。"在一些實(shí)施例中,生物計(jì)量數(shù)據(jù)可利用XML文件格式的數(shù)據(jù)二進(jìn) 制規(guī)象(BLOB)存儲(chǔ)為模板105�,而不僅僅存儲(chǔ)為圖像,該模板表示/A^f述 數(shù)據(jù)中提取的特征��。
在圖2中����,安全有效載荷109包括公共加密密鑰109、對稱加密密鑰1092�����、 示為X.509證書的數(shù)字證書1093以及密碼1094�����。對稱加密對加密與解密使用相 同的密鑰�����。公共密鑰加密使用公開發(fā)布的密鑰來加密并使用不同的私人持有的 密鑰來解密����。安全有效載荷109也可包括其它數(shù)據(jù),諸如但不限于數(shù)字簽名�、 隨機(jī)數(shù)或串、名稱�、日期及其它加密密鑰。數(shù)字簽名是唯一的數(shù)字序列���,該數(shù) 字序列允許確定文件是否己被改變�����,描述如下�����。安全有效載荷109也可包括潛 在地與安全相關(guān)的任何其它信息����,但不需要包含圖2中示出的全部項(xiàng)目。
安全令牌111的全部或一部分可由令牌產(chǎn)生器112采用例如或者公共密鑰 加密或者對稱密鑰加密進(jìn)4亍加密����。密鑰資料可來自令牌111內(nèi)部或令牌111外 部(例如,來自安全數(shù)據(jù)產(chǎn)生器107或保存在生物計(jì)量安全管理模塊106內(nèi))���。 諸如X.509之類的數(shù)字證書經(jīng)常包括可用于加密的公共密鑰��,不過可使用密鑰10^或另一密鑰���。如果加密了旨令牌,則解密可由諸如生物計(jì)量安全管理模塊106之類的匹配系統(tǒng)執(zhí)行��。令牌lll的某些部分可以加密狀態(tài)發(fā)送至鵬戰(zhàn)方����,例如安全應(yīng)用程序IIO�,從而使得僅該挑戰(zhàn)方^l 密該部分���。例如, 一種方案采
用加密/解密層并利用對稱密鑰1092對安全令牌111的一部分進(jìn)行加密�,以及利用公共密鑰109!,字證書1093中的公共密鑰對對稱密鑰1092進(jìn)行加密�。由于對稱加密通常比公共密匙加密更快速,因此采用諸如該方法之類的方法的一個(gè)理由就是加速解密過程��。對稱密鑰1092保護(hù)所述數(shù)據(jù)���,而公共密鑰109!貝U保護(hù)所�,稱密鑰1092�。
由組合公共密鑰10^和對稱密鑰1092所保護(hù)的 的解密過程需要利用對應(yīng)于公共密鑰109!的私有密鑰來首先解密對稱密鑰1092和用公共密鑰10^加密的安全有效載荷109的任何其它部分。私有密鑰可以是解密密鑰130�,其遠(yuǎn)離安全令牌111存儲(chǔ),如圖4所示�。在對稱密鑰1092已經(jīng)被解密以后,其可用于對仍被加密的安全令牌111的任何部分進(jìn)行解密��,所述任何部分包括生物計(jì)量模板105和安全有效載荷109的其它部分����。
如果使用公共密匙加密�����,在一些實(shí)施例中����,挑戰(zhàn)方可能想要持有私有解密密鑰�。例如,如果安全有效載荷109將提供密碼1094給登錄頁面挑戰(zhàn)方���,夷����,么可加密密碼1094����,從而使得僅該挑戰(zhàn)方能解密該密碼。也就是說����,諸如安全應(yīng)用禾聘110之類的挑戰(zhàn)方可持有所述解密密鑰。生物計(jì)量模板105和安全有效載荷109可作為加密整個(gè)令牌111的一部分進(jìn)行加密以及單^iS行加密�����。也就是說,可{柳多個(gè)加密層����,所述多個(gè)加密層是± 項(xiàng)的組合。
完整性驗(yàn)證殼118包括數(shù)字驗(yàn)證殼��,使得利用諸如生物計(jì)量安全管理模塊106之類的計(jì)^m程序來確定安全令牌111的完整性���。例如,由于如果己進(jìn)行任何變更���,則所述解密過程很可能會(huì)導(dǎo)致錯(cuò)誤���,因此安全令牌111的解密提供了完整性驗(yàn)證。另外����,循環(huán)冗余校驗(yàn)(CRC)或散列函數(shù)可用于篡改檢測。CRC和散列函數(shù)是數(shù)學(xué)運(yùn)算��,其返回代表數(shù)字文件內(nèi)容的特殊數(shù)字�。將所述特殊數(shù)字和期望值相比較���,并且如果已對所述文件進(jìn)行任何修改(即,已危及所述文
件完整性)�����,則戶; i十算的數(shù)字不太可能匹配所述期望值�。數(shù)字簽名通常是散列函
數(shù)的加密結(jié)果,其被附加到其已簽名的信息上��。為了驗(yàn)證文件的完整性��, 一個(gè)數(shù)學(xué)過程在每個(gè)要被驗(yàn)證的信息上執(zhí)行�,而另一個(gè)在數(shù)字簽名上執(zhí)行。如果所述信息或者所述數(shù)字簽名已被變更�����,那么所述數(shù)學(xué)過程的結(jié)果相匹配是極度不可能的�����。因而�����,在一些實(shí)施例中,安全令牌lll包括數(shù)字簽名�����。
在操作中�,將生物計(jì)量模板105方爐在具有安全有效載荷109的完整性驗(yàn)證殼118內(nèi)部,會(huì)把生物計(jì)量模板105綁定到安全有效載荷109的內(nèi)容(例如�����,密鑰109!和1092����、數(shù)字證書1093和密碼1094)���,從而創(chuàng)建生物計(jì)量安全令牌111����。也就是說����,由于生物計(jì)量模板105和安全有效載荷109的完整性被共同地驗(yàn)證,因此生物計(jì)量模板105和安全有效載荷109 二者均不能在沒有致使另一個(gè)無效的情況下通過篡改而變更,從而基本上防止或消除了為了實(shí)現(xiàn)與別人的指紋相匹配而替換指紋模板的攻擊矢量�����。同樣�,通過將安全有效載荷109與生物計(jì)量模板105存儲(chǔ)在一起����,而不是遠(yuǎn)程存儲(chǔ)��,基本上防止或消除了對遠(yuǎn)程存儲(chǔ)位置欺騙認(rèn)證信號的攻擊矢量���。
進(jìn)一步地,系統(tǒng)10的實(shí)施例艦在安全有效載荷109中方爐可撤消實(shí)體(例如,數(shù)字證書1093)使得生物計(jì)量模板105會(huì),被容易撤銷��。例如,由于可撤消實(shí)條與生物計(jì)量禾對及105相同的完整性驗(yàn)證殼118內(nèi)部,因此撤消所述實(shí)體致使包括生物計(jì)量模板105的齡安全令牌111的撤消。因而,如果為多個(gè)手指中的針手指均創(chuàng)建安全令牌lll,那么所述生物計(jì)量魏部分(例如�����,模板105)將是不同的����,反映了每個(gè)手指的指紋中的差異。所述安全有效載荷部分109可以是類似的或不同的。也就是說,每個(gè)令牌111可包含同樣的有效載荷109��、齡手撤寺有的有效載荷109或者其組合���。如果所述有效載荷109不同���,那么不同的手指可用于諸如訪問不同安全資源之類的不同目的。進(jìn)一步地�,系統(tǒng)10的實(shí)施例通過要求與先前注冊的手指相匹配以及確定與先前的登記相關(guān)聯(lián)的數(shù)字證書1093仍舊有效,使得能夠登記多個(gè)手指或在稍后重新登記特定手指����。
圖3歸出生物計(jì)量安全方法30的實(shí)施例的流程圖����。在方框301�,產(chǎn)生生物計(jì)量模板105 (例如�,指紋模板)。掃描儀(類似于掃描儀222)可用來收集所述生物計(jì)量信息�����。在方框302產(chǎn)生安全有效載荷109 (例如��,其可包括產(chǎn)生密碼或從安全服務(wù)提供商獲得數(shù)字證書和加密密鑰)�����。在方框303����,生物計(jì)量模板105和安全有效載荷109形成為安全令牌111 �����,從而實(shí)現(xiàn)共同的完整性驗(yàn)證����。安全令牌111的所述完整性驗(yàn)證可采用如,結(jié)合圖1和2所討論的CRC�����、散列、數(shù)字簽名或加密�。在方框303, M以下方式將產(chǎn)生的安全令牌111與將在稍后
希望的特權(quán)相關(guān)聯(lián)(例如�,如由特權(quán)數(shù)據(jù)ios (圖i)所指示的)或者M(jìn):包
括諸如訪問登錄特權(quán)所必需的密碼之類的訪問該特權(quán)所必需的信息,或者通過將所述安全令牌載入到匹配裝置中����,所述匹配裝置耦合到諸如電動(dòng)門鎖之類的特定挑戰(zhàn)方�����。就后面這種情況來說��,所希望的特權(quán)是物理訪問���,且將所述安全令牌載入到特定匹配驢中則是一種形成與所述特權(quán)的必要關(guān)聯(lián)的方式�����。
在操作中�,當(dāng)用戶希望訪問一個(gè)(或多個(gè))特權(quán)時(shí)��,例如掃描和輸入指紋到匹配系統(tǒng)(例如,用于證實(shí)或認(rèn)證所述生物計(jì)量輸入的系統(tǒng))。在方框306���,接收所述輸入生物計(jì)量繊的所述匹配系統(tǒng)接著檢測鵬安全令牌111進(jìn)行識(shí)
別的請求���。在使用安全令牌111授予特豐Xt前�����,執(zhí)行若干安全檢查����。在圖3示出的實(shí)施例中��,這些安全檢查包括在方框307處驗(yàn)證安全令牌111完整性,在方框310處確定數(shù)字證書1093是否已撤消,以及在方框312比較/匹配所述生物計(jì)量模板105�。
在方框307��,利用在方框309處的解密作為完整性指示,來執(zhí)行令牌lll完整性驗(yàn)證�����。應(yīng)該理解,除了解密之外或替代解密��,可使用另一種方法��,諸如但不限于CRC�����、散列函數(shù)或數(shù)字簽名���。如果在方框307或310處描述的任何安全檢查失敗�����,那么執(zhí)行在方框308或311處描述的安全措施之一。如果在方框312處描述的安全檢查失敗�,那么執(zhí)行在方框313處描述的安全措施�����,或者該方法可返回方框306并請求使用另一個(gè)令牌111來尋找匹配��。方法30如何對檢查312的失敗反應(yīng)是實(shí)施方式選擇����。安全措施308��、 311禾口313可包括拒絕一個(gè)(或多個(gè))特權(quán),發(fā)皿知給安全監(jiān)視器,刪除數(shù)據(jù)�����,或?qū)憫?yīng)獲得所尋找的特權(quán)的不恰當(dāng)嘗試有用的任何其它安全措施。
如果在方框307 、 310或312處描述的所有安全檢查均fflii,那么在方框314,所述匹配系統(tǒng)發(fā)送特權(quán)請求或授權(quán)信號給挑戰(zhàn)方���。在一些實(shí)施例中�����,所述請求包括挑戰(zhàn)方授予所述特*^萬必需的安全有效載荷109的任何部分��。進(jìn)一步地,在一些實(shí)施例中��,加密所述請求。在方框315��,所述挑戰(zhàn)方解密所述請求并且����,如果所述請求有效����,授予0f請求的一個(gè)(或多個(gè))特權(quán)。所述請求的有效性可通過其是否適當(dāng)i艦行解密,或通過其是否包含適當(dāng)?shù)男畔泶_定���。例如�,所述請求可包含諸如密碼1094之類的登錄密碼。如果挑戰(zhàn)方是登錄屏幕��,那么密碼1094的有效性可M31密碼檢查來確定��。
由在方框307-314處的所述匹配系統(tǒng),或者由在方框315處的挑戰(zhàn)方��,或者由其組合協(xié)力(in tandem)作出要授予用戶哪些特權(quán)的確定����。例如�����,正如上面所討論的�����,如果在方框307、 310或312處描述的任何安全檢查失敗����,那么將
10拒絕所述一個(gè)(或多個(gè))特權(quán)或不授予特權(quán)�。另外����,如果在方框314處發(fā)送的請求是不適當(dāng)?shù)?���,諸如不正確的密碼1094存儲(chǔ)^^述安全有效載荷109中�,那么將導(dǎo)致拒絕特權(quán)。然而��,如果所有安全檢查都通過,那么所授予的特權(quán)將是與安全令牌111相關(guān)聯(lián)的特權(quán)��。
圖3中所描述的方法可通過在方框304處重新開始任意次數(shù)^^代�����。如果在方框305,用戶希望撤消在方框301 -303處產(chǎn)生的安全令牌111的證書1093��,貝撥生可選的情形。例如���,撤消的理由包括但不限于�����,關(guān)于生物計(jì)量損害的用戶懷疑�����,或者特權(quán)的取消��,諸如鎖在設(shè)施之外的人��。根據(jù)所釆用的數(shù)字證書的管理方法��,撤消可以是永久的或是臨時(shí)的。在這種情形中,圖3中所描述的方法將以在方框311中描述的安全措施結(jié)束����,不會(huì)至噠方框314��。如果這是永久的撤消��,那么效果是7乂久i繊消在方框301 - 303處產(chǎn)生的安全令牌111�。因而�����,在方框301處提供的指紋或任何其它生物計(jì)量數(shù)據(jù)變?yōu)榭沙废?br>
圖4是示出生物計(jì)量安全系統(tǒng)10的另一實(shí)施例的圖��,所述生物計(jì)量安全系統(tǒng)包括用戶41和連接到挑戰(zhàn)方43的匹配系統(tǒng)42���。在圖4所示出的實(shí)施例中���,匹配系統(tǒng)42和挑戰(zhàn)方43 *都持有圖1的系統(tǒng)10的元素的不同子集��。為特定功能定制(tailor)元素子集,從而匹配生物計(jì)量 或者授予特權(quán)給用戶41���。
在圖4中���,匹配系統(tǒng)42包括示出在存儲(chǔ)器102A中的生物計(jì)量測量數(shù)據(jù)103A、生物計(jì)量模塊104A���、生物計(jì)量模板105A����、生物計(jì)量安全管理模塊106A����、至少一個(gè)令牌111A和特權(quán)娜108A�,���,以及CPU 101A和生物計(jì)量測量裝置113A����。用戶41使用生物計(jì)量測量裝置113A來產(chǎn)生生物計(jì)量測量數(shù)據(jù)103A����,接著由生物計(jì)量模塊104A利用CPU 101A鵬所述生物計(jì)量觀糧娜來產(chǎn)生生物計(jì)量模板105A。生物計(jì)量安全管理?�!姥?06A將生物計(jì)量模板105A與布置在令牌111A內(nèi)部的生物計(jì)量模板信息相比較�����。如果存在匹配���,那么訪問特權(quán)數(shù)據(jù)108A以確定和/或以其它方式識(shí)別用戶41可用的特權(quán)���。可選地��,匹配系統(tǒng)42和挑戰(zhàn)方43之間的連接便于將特權(quán)數(shù)據(jù)108B存儲(chǔ)在挑戰(zhàn)方43中��,從而使得基于生物計(jì)量模板105A和令牌111A內(nèi)的生物計(jì)量模板信息之間的成功匹配�,^^權(quán)或請求從匹配系統(tǒng)42發(fā)送到挑戰(zhàn)方43 。
挑戰(zhàn)方43包括存儲(chǔ)器102B����,其持有運(yùn)行在CPU IOIB上的安全應(yīng)用程序110A和特權(quán)數(shù)據(jù)IO犯。在一些實(shí)施例中�����,安全應(yīng)用程序110A持有解密密鑰130以解密由匹配系統(tǒng)42發(fā)送的請求或授權(quán)信號。在一些實(shí)施例中��,挑戰(zhàn)方43包括物理訪問控制114A���。如果挑戰(zhàn)方43能夠僅授予單^#權(quán)�,那么由于從匹配系統(tǒng)42向挑戰(zhàn)方43發(fā)送授權(quán)確定了所述挑戰(zhàn)方43可授予的該一個(gè)今寺禾又是被授予用戶41的特權(quán)�����,因此特權(quán)數(shù)據(jù)108B可能是不必要的����。所授予的特權(quán)可包括登記附加的生物計(jì)量信息的權(quán)利(諸如為相同或不同的手指創(chuàng)建新的安全令
牌)、諸如開鎖之類的物理訪問�����、諸如登錄或執(zhí)���,��,呈序之類的訪問計(jì)^m資源���、
以及實(shí)質(zhì)上拒纟^f寺權(quán)的無特禾又���。
因而����,系統(tǒng)10的實(shí)施例使得育,為安全相關(guān)目的使用生物計(jì)量數(shù)據(jù),而同時(shí)使得能夠TO使用例如數(shù)字證書來撤消生物計(jì)量數(shù)據(jù)�����。進(jìn)一步地����,系統(tǒng)10的實(shí)施例配置成將不同類型的安全相關(guān)信息與諸如例如加密/解密密鑰和密碼之類的生物計(jì)量數(shù)據(jù)相組合和/或以其它方式嵌入。應(yīng)該理解��,在所描述的方法中����,某些功能可省略、按照不同于圖3所描述柳頃序來完成����、或同時(shí)執(zhí)行����。同時(shí)��,應(yīng)該理解��,圖3所描述的方法可改變成包含如說明書別處所描述的本發(fā)明的任何其它特征或方面���。進(jìn)一步地����,本發(fā)明的實(shí)施例可以軟件實(shí)施且可適于運(yùn)行在不同平臺(tái)及操作系統(tǒng)上��。特別地����,由生物計(jì)量模±央104���、生物計(jì)量安全管理模塊106�、安全數(shù)據(jù)產(chǎn)生器107和/或令牌產(chǎn)生器112所實(shí)現(xiàn)的功能例如可被提供為可執(zhí)行指令的有序列表��,這些可執(zhí)行指令可被包含在任何計(jì)算機(jī)可讀介質(zhì)中以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或結(jié)合所述執(zhí)行系統(tǒng)��、裝置或設(shè)備使用�,所述執(zhí)行系統(tǒng)、�����,或設(shè)備諸如基于計(jì)算機(jī)的系統(tǒng)����、包含處理器的系統(tǒng)���、或其它可從所述指令執(zhí)行系統(tǒng)����、裝置或設(shè)備取指令并執(zhí)行所述指令的系統(tǒng)�����。在本文獻(xiàn)的上下文中����,"計(jì)算機(jī)可讀介質(zhì)"可以是任何可包含、存儲(chǔ)、傳送�,傳播或傳^^呈序以供所述執(zhí)行系統(tǒng)、體或設(shè)備使用或結(jié)合所述執(zhí)行系統(tǒng)�����、裝置或設(shè)備f頓的裝置�。所述計(jì)算機(jī)可讀介質(zhì)可以是例如但不限于電子的、磁的��、光學(xué)的���、電磁的�、紅外的或半導(dǎo)體系統(tǒng)�、裝置、設(shè)備或傳!脅質(zhì)���。
1權(quán)利要求
1.一種生物計(jì)量安全方法�����,包括接收安全令牌(111)�����,該安全令牌包括與安全有效載荷(109)相組合的生物計(jì)量信息(105)��;以及利用所述安全有效載荷(109)驗(yàn)證所述生物計(jì)量信息(105)的完整性�。
2. 權(quán)利要求1的方法,進(jìn)一步包括確定是否已撤消所述安全有效載荷 (109)中的實(shí)體��。
3. 權(quán)利要求l的方法����,進(jìn)一步包括接收所述安全令牌(111),所述安 全令牌具有所述安全有效載荷(109)中的對稱加密密鑰(1092)�����、公共加密密 鑰(109!)以及密碼(1094)中的至少一個(gè)��。
4. 權(quán)利要求l的方法�����,進(jìn)一步包括接收所述安全令牌�����,該安全令牌具有所 述安全有效載荷中的數(shù)字證書(1093)��。
5. 權(quán)利要求1的方法��,進(jìn)一步包括利用所述安全有效載荷(109)解密 所述安全令牌(111)的至少一部分�。
6. —種生物計(jì)量安全系統(tǒng)(10),包括令牌產(chǎn)生器(112)����,該令牌產(chǎn)生器育^多由處理器(101)執(zhí)行,并配置成將 生物計(jì)量信息(105)與安全有效載荷(109)相組合���,從而形成安全令牌(111)����, 所述安全有效載荷(109)識(shí)多用于驗(yàn)證所述生物計(jì)量信息(105)的完整性���。
7. 豐又利要求6的安全系統(tǒng)(10)��,其中所述安全有效載荷(109)包括 可撤消實(shí)體�����。
8. 權(quán)利要求6的安全系統(tǒng)(10)����,其中所述安全有效載荷(109)包括 數(shù)字證書(1093)、對稱加密密鑰(1092)�、公共加密密鑰(109!)以及密碼(1094) 中的至少一個(gè)。
9. 權(quán)利要求6的安全系統(tǒng)(10)���,其中所述令牌產(chǎn)生器(112)配置成 利用所述安全有效載荷(109)加密所述安全令牌(111)的至少一部分�。
10. 權(quán)利要求6的安全系統(tǒng)(10)��,其中所述令牌產(chǎn)生器(112)配置成 加密所述安全有效載荷(109)的至少一部分����。
全文摘要
生物計(jì)量安全系統(tǒng)(10)包括令牌產(chǎn)生器(112),該令牌產(chǎn)生器可由處理器(10)執(zhí)行��,并配置成將生物計(jì)量信息(105)與安全有效載荷(109)相組合以形成安全令牌(111)��,所述安全有效載荷(109)可用于驗(yàn)證所述生物計(jì)量信息(105)的完整性�。
文檔編號G06F21/00GK101601049SQ200780048240
公開日2009年12月9日 申請日期2007年12月17日 優(yōu)先權(quán)日2006年12月28日
發(fā)明者J·帕克, M·諾沃亞, V·Y·阿利 申請人:惠普開發(fā)有限公司