便携式基于生物特征的身份设备的制作方法

用于安全通信的便携式生物特征设备和系统以及用于操作该系统的方法。

背景技术：

当前，互联网被用于执行大量的不同操作，这些操作可以包括购买、银行业务、以及管理性任务等。这些操作中的许多需要被用户发送或接收的敏感信息，例如涉及用户的个人信息、他们的银行数据等的信息，基于该理由，能够依赖阻止未授权个人访问该数据的安全机制是重要的。

银行倾向于使用基于第一个人密钥(该个人密钥用于一般性访问显示用户数据的页面)的存在性并结合对于一个或多个代码的请求的安全机制，这一个或多个代码与特定操作相关联并已事先经由用户的移动电话从银行的服务器发送给用户。然而，这一机制具有以下缺陷：第三方可能在没有用户授权的情形下通过仅仅访问用户的个人访问密钥和移动电话来执行操作。

总之，允许用户在网络(比如互联网)内以快速、安全和简单的方式交换敏感数据的安全机制的需求是经常存在的。WO 2012/140291(共同发明人)公开了生物特征识别的设备。该设备在无担保的网络上直接传递所要求的生物特征信息，因此应用有限。

发明概述

本发明属于用于在互联网上发送敏感信息的安全机制的领域。

本发明涉及新型的便携式生物特征(biometric)设备，该设备被设计以使得用户在任何时刻携带，这允许用户在生物统计学上被识别，并且允许该设备与外界交换的信息被加密/解密。

本发明还涉及用于控制门或类似元件的打开的新型安全驱动设备，用于控制对以防止未经授权的个人进入为唯一目的的设施的访问。

本发明还涉及分别包括上述便携式生物特征设备以及安全驱动设备与该便携式生物特征设备的结合的系统，并且本发明涉及对于这两个系统的相应操作方法。

本发明通过新型的便携式生物特征设备的方式，解决了现有技术的问题，该便携式生物特征设备不仅借助于寻求在互联网上交换信息的用户的生物特征数据来无误地识别用户，而且还建立了安全通信路径，该设备经由该路径与该通信的目的地服务器交换经加密的信息。根据本发明的设备还能够(同样，一旦信息被加密)直接与驱动设备通信，该驱动设备被专门设计用于打开和关闭各种安全元件。该设备允许在以下方面要求增加的安全性水平的操作被执行：所交换的信息(例如，执行电子银行操作)和用户身份(例如，打开受限制访问区域的门)。

根据本发明的便携式生物特征设备被专门设计，以通过被称为“网关设备”的方式与外界通信。该网关设备可以为智能电话、膝上型计算机、平板电脑、个人计算机、以及一般来说允许用户在互联网上交换信息的任何电子设备。根据本发明的便携式生物特征设备被用于检验寻求交换信息或打开/关闭安全元件的用户的身份，从而阻止未授权用户的进入。另外，上述便携式生物特征设备加密被发送的信息以阻止第三方为了恶意意图而获取到那里的访问。

本发明的第一方面涉及根据本发明用于安全通信的便携式生物特征设备，基本上包括以下元件：生物特征传感器、生命检测装置、实体安全(physical security)装置、处理装置、安全存储器单元、以及通信单元。

a)生物特征获取传感器

生物特征获取传感器用于获取经由网关设备寻求在互联网上交换敏感信息的用户的生物特征数据。原则上，可能使用能够毫无疑义地识别用户的任何类型的生物特征传感器。例如，在本发明的优选实施例中，生物特征传感器是数字指纹读取器。生物特征获取传感器可以被配置为通过刷动作(swipe motion)的方式获取生物特征数据，例如拇指和/或另一个手指，并且这可以是本发明的独立方面。

生物特征获取传感器与处理器通信，这将在以下被描述。通过用于将所获取的生物特征数据传送至处理装置的串行协议的方式，该通信可以发生。

b)生命检测传感器

生命检测传感器包括一个或多个用于确定其生物特征数据被获取的用户是活着的传感器，从而阻止第三方使用例如塑料模具或甚至该授权用户的截肢部位来识别该第三方以欺骗地获取该用户的机密信息或控制安全元件。

原则上，生命检测传感器可以包括各种类型的传感器，尽管根据本发明的优选实施例，该传感器包括以下的一个或多个：脉搏检测器、血氧检测器、以及神经传感器。

在该特殊情形下，该生命检测传感器进而包括：

i)用于接收穿过用户身体的半透明部分(比如手指)的光的光敏二极管和一组近红外LED；

ii)用于消除不必要噪音的具有0.1至20Hz之间的带宽的过滤模块，并确保测量在每分钟30至300拍之间；

iii)具有增益在100至1000之间的信号放大模块；

iv)控制和信号调节逻辑

生命检测传感器与处理器通信。此通信可借助于12位A/D转换器用于向处理装置传送所获取的数据而发生。

c)实体安全组件

实体安全组件通常包括多个微型开关，这些微型开关检测根据本发明的便携式生物特征设备的作为篡改的结果的外壳上的可能形变。如果微型开关检测到由于外壳的扭曲或弯曲产生的、不与便携式生物特征设备的正常使用相容的移动，这些微型开关使得警报被触发。

在另一优选实施例中，便携式生物特征设备的外壳中完全充满固化的环氧树脂，这使得对其中的电子组件的任何篡改非常困难。

d)处理器

处理器与生物特征获取传感器、生命检测传感器和实体安全组件通信，并且被设计为加密操作数据(该操作数据可以被用户输入或可以是设备固有的)和/或生物特征信息，(以及可选地，从该用户获取的脉冲和/或血氧和/或神经数据)(在此信息(或此信息的至少一部分)被向外发送之前)，以及解密到来的信息。

优选地，便携式生物特征设备被构成为单一的集成设备，以使得它的组件特征可以是不可分割的。例如，这可以是单一的集成电路(比如专用集成电路，ASIC)。此集成可以进一步防止篡改。

便携式生物特征设备可以替换一系列的识别项。这些项可以包括护照、身份证件、执照、钥匙、密码、信用卡、磁卡、全息图、远程控制、车钥匙、接入码、数字证书以及一般地，所有未保护的生物特征(比如指纹、足迹脉、虹膜、人脸识别、语音识别、远程控制、信用卡、数字证书、PIN码等)。

加密操作是复杂的，并且总的说基本上包括以下步骤：

i)生成密钥表的在时间上是可变的路径序列，密钥以随机方式生成，用于通过路径描述符的方式确定选择的密钥；

ii)生成用于定义路径描述符的初始状态的随机种子；以及

iii)对该随机种子和该信息执行加密/解密算法，该算法包括与被选择的密钥的按位XOR操作。

在下文中，处理装置包含的功能装置和加密操作将被详细描述。对于该操作，利用了加密/解密单元，该加密/解密单元包括针对生物特征数据和与通信所需的参数相对应的一般数据(例如，时间戳和分组号)二者的输入/输出，所生成的信息M(未加密消息)和经加密后的信息M’(经加密的消息)分别通过该输入/输出。该单元还包括中央处理单元(CPU)、实时时钟RTC和ROM闪存类型的内部存储器，该内部存储器被保护例如以阻断与瞬时信号改变相关的电子攻击从而阻止访问该内存器的内容，并且被意图用于存储在该时刻使用的密钥表。

优选地，密钥列表或密钥表由m个n位随机生成的比特组成。密码路径序列从k级的线性反馈移位寄存器(LFSR)和阶数为j的过滤函数B获得，这里每一级对应于一个位逻辑双稳态，2^k大于或等于m，并且过滤函数B由生成1和m之间的数作为输出的布尔函数定义，j＝log2(m)。该LFSR由次数(degree)为k的本原多项式A确定，由于2j＝k，这保证得到加密解密过程中的密钥列表或密钥表中的每一个元素的路径。本原多项式[A0-Ak-1]和过滤函数[B0-Bj-1]的组合同密钥表一起确定在加密系统中优选地保持隐藏的元素。

为了加密将被发送的数据段，该数据段必须以分级的方式被构造以获得该编码的安全属性，更具体地，分组的大小或长度应当远小于密钥表的大小。例如，如果密钥表的大小为m＝1024字，那么分组大小p不应当超过512个字。任意大小的原始消息M首先被分割为一组p个分组(P0，P1，...，Pp-2，Pp-1)，每一个分组具有I比特的长度，这对应于被独立地加密和传送的结构。同时，分组在长度上被划分为b个块(B0，B1，Bb-1)，每个块q个字，每个字n个比特。

随后，每个分组Pi的头部块被生成，头部块是所有被加密和传送的块中的第一个块，且包含与随机种子(SL-SH)、系统签名(FO-F4)、分组的目的地和大小(IG-IU、LO-L4)有关的信息(被称为传送控制块(TCB))。在仅包含信息(对应于要加密/解密的消息)的块B0，...Bb-1之后，分组Pi的尾部，包括最后的块BF，块BF包含信息和用于检查传输中的错误的校验和类型的比特(传输中的比特或字节的数之和，或者用于辨识是否已经丢失或修改任何信息的文件)。

一旦TCB已被生成，同步发射器的步骤开始。在下文中，FEED代表加密的种子，且TCB代表传送控制字TCB的加密。此外，符号SEED[i]、FEED[i]、TCB[i]，TCB[i]，分别代表种子、经加密的种子、TCB和经加密的TCB的第i个字。

实时时钟RTC用于生成k个比特的随机数，用作非线性过滤生成器的LFSR的种子或初始状态。LFSR状态被用于通过非线性过滤函数B生成1和m之间的一系列半随机数，这些半随机数表示表中的位置，这些位置处的内容通过与每一个TCB字的XOR操作来生成经加密的TCB(表示为TCB)，对于未加密的文本消息的剩余字也类似。然后，种子被分为长度为n的字，如果必要，在这些字之一的左侧加上0，并且通过再次将k个预定的TCB比特用作LFSR的输入，通过过滤函数B，再次产生表中的一系列位置，这些位置的元素与种子字进行XOR相加以产生对种子的加密。种子被分割成的字的数目完全等于k/n的整数部分。通过这种方式，匹配TCB的第一经加密消息被传送，前k个比特形成对用于加密该消息的种子的加密。

加密将被发送的原始消息的过程与用于加密TCB的过程完全相同，即，消息的字被逐块地与表中由路径描述符确定的位置处的元素进行XOR相加，其中在经加密的TCB中传送的(未加密的)种子被用作该描述符的初始状态。一旦一个分组完成，该分组被传送，然后对下一个分组重复该过程，即，生成新的TCB、种子等等，以此类推，直至所有的消息分组完成。

在无线通信系统的特定情形下，在头部块(TCB)之前，硬件设备的同步和签名字被传送，这些字对于无线单元之间的同步是必要的。过程的其余部分与以上所描述的相同。在无线通信的情形下，由于与经由电缆的通信相比存在错误的更高可能性，前向纠错方法(FEC)通常被使用，这创建了用于提高误码率(BER)的信息的冗余。在该情形下，q个字的每一个经加密的块将它的大小增加r个字的冗余，这r个字由FEC算法自动生成，以及以对源信息透明的方式被传输和接收。

当接收机接收经加密的消息时，该接收机开始它的同步步骤。为此，它采用了k个预定的TCB比特以使用它们作为LFSR的输入，因此生成表中的一系列位置，表的元素与对应于开始的k个TCB比特的字进行XOR相加，提供了被用于加密TCB的其余部分的LFSR种子。一旦被获取，该种子作为LFSR的输入，该LFSR通过非线性过滤函数B的方式生成表中的一系列位置，该表中的元素与其余的TCB字进行XOR相加来提供原始的TCB。

一旦TCB已被获取且已进行适当的检验，解密消息的步骤开始，之后逐块以及逐个分组，该步骤完全地对称于加密步骤，生成原始消息作为输出。

为了增加安全性水平，可能使用取决于时间的加密/解密。取决于时间的加密过程由以下组成：读取RTC上的年、月、日、小时、分钟等，并通过逻辑操作的方式，生成大小是T比特的取决于时间的密钥，该密钥将用于通过XOR操作的方式改变种子、非线性过滤函数B的输出或直接通过XOR操作该信息同时与密钥表和取决于时间的密钥的源信息。

如果密钥表的长度足够，且描述符(多项式A和过滤函数B确定该密钥表的路径阶数)的选择适当，那么所描述的方式提供了增加的安全性水平，因为如果该表和描述符是秘密的，即使加密算法已知，唯一可能的攻击是通过“蛮力(brute force)”，即，通过尝试使用所有可能的密钥表、路径描述符和种子。因为该攻击非常消耗时间，因此它无法使用当前的计算机实现。

根据具体示例，经安全保护的存储器(中央计算元件(微控制器)具有访问其的路径)包括以随机方式生成的8比特的1024个数构成的密钥列表或密钥表。微控制器包括(在其EEPROM存储器中)16级LFSR(可见，2¹⁶大于1024)和其中由选择LFSR的前10级输出的函数所定义的过滤函数，从而生成了0和1023之间(或等价地在1和1024之间)的半随机数。在描述中所提及的2048个可能的16级线性反馈电路中，利用由本原多项式A＝1+x+x2+x8+x13+x15+x16给定的电路。

e)安全存储器单元

安全存储器单元与处理装置通信且可以根据I2C协议被加密。

f)无线通信单元

通信单元允许用于发送和接收加密信息的生物特征设备与外界的通信。例如，如以下可见，无线通信单元可以是蓝牙单元。

在优选实施例中，根据本发明的便携式生物特征设备还可以包括可视化装置，例如用于向用户显示信息的LCD屏幕。

该新型的便携式生物特征设备允许用户认证其自身，且允许通信在具有超高级安全性和几乎绝对确定不具有根据本发明的便携式生物特征设备的处理装置中所提供的加密/解密单元或生物特征数据中心装置(以下描述)的任何个人将不能访问被传送的信息的情形下发生。

本发明的第二方面涉及被设计用于允许用户控制安全元件的打开或关闭的安全驱动(actuation)设备。为此，安全驱动设备基本上包括：通信单元、实体安全装置、处理装置、安全存储器单元、以及驱动器。这些元件的每一个将在以下被更详细地描述：

a)通信单元

通信单元用于与便携式生物特征设备交换经加密的信息，经加密的信息包括用户的生物特征数据。该信息可以使用例如蓝牙来被交换。此外，通信单元具有用于在互联网上通信的装置。

b)实体安全组件

实体安全装置包括多个微型开关，这些微型开关检测根据本发明的便携式生物特征设备的作为篡改的结果的外壳上的可能形变。如果微型开关检测到由于外壳的扭曲或弯曲产生的、不与便携式生物特征设备的正常使用相容的移动，这些微型开关使得警报被触发。

此外，便携式生物特征设备的外壳可以完全充满固化的环氧树脂，这使得对其中的电子组件的任何篡改非常困难。

c)处理器

处理装置被设计为加密从便携式生物特征设备接收的经加密信息。加密/解密算法类似于以上关于便携式生物特征设备所描述的算法。

d)安全存储器单元

与处理装置通信且可以根据I2C协议被加密的安全存储器单元。

e)(一个或多个)驱动器(actuator)

一个或多个驱动器用于根据来自于用户的包括在所接收信息中的命令，打开或关于外部元件。例如，它们可以为继电器或其它用于打开或关闭门、窗或其它元件的驱动机制以阻止未授权个人进入任何类型的设施。

本发明的第三方面涉及用于安全通信的生物特征系统，该系统基本上包括便携式生物特征设备、网关设备以及经授权的生物特征数据中心。这些元件的每一个在以下被更详细地描述。

a)便携式生物特征设备

在本文档中如之前所描述的便携式生物特征设备。

b)网关设备

网关设备为具有互联网连接能力的任何电子设备。它可以例如为膝上型计算机，应用被安装于其上用于使用根据本发明的便携式生物特征设备的互联网上的安全数据交换。

网关设备与该便携式生物特征设备通信，并从该生物特征设备接收经加密的信息，该信息包括用户的生物特征数据。

c)经授权用户的生物特征数据中心

数据库包含被授权使用系统的用户的(生物特征)数据，还有用于加密/解密进入和输出消息的处理装置。

基本上，生物特征数据中心从网关设备接收经加密的信息并检验该信息是否对应于经授权用户，该信息可以包括用户的生物特征数据、便携式生物特征设备的唯一标识符和/或一些其它形式的识别信息。

可选地，用于安全通信的生物特征系统还可以包括如本文档之前所描述的安全驱动设备。该安全驱动设备的存在意味着系统不仅可以提高在互联网上执行的操作的安全性，还可以允许授权用户控制实体安全元件，该安全元件控制机构的入口。在该文档中，这将在随后被更详细地描述。

本发明的第四方面涉及用于操作系统的方法以在互联网上同目的地服务器执行安全操作，该系统包括便携式生物特征设备、网关设备和经授权用户生物特征数据中心。该方法基本上包括以下步骤：

1)便携式生物特征设备让用户验明其自身。

2)用户将他的生物特征数据输入便携式生物特征设备。

3)便携式生物特征设备加密生物特征数据，并经由网关设备将包括该数据的消息发送至生物特征数据中心。

4)生物特征数据中心解密所接收的消息，检验生物特征数据是否对应于授权用户，并向网关设备发送响应。

5)网关设备取决于从生物特征数据中心接收的响应，授权或拒绝用户访问目的地服务器。

根据本发明的这一方面的优选实施例，如果访问被授权，那么该方法还包括以下步骤：

6)使用网关设备，用户输入要被传送至目的地服务器的数据。

7)便携式生物特征设备加密所接收的将被传送的数据，连同被该便携式生物特征设备获取的来自用户的新的生物特征数据，生成经加密的消息，该便携式生物特征设备将该经加密的消息经由网关设备发送至生物特征数据中心。

8)生物特征数据中心解密所接收的消息，再次检验该新的生物特征数据是否对应于授权用户，并且如果是，那么再次使用对应于被目的地服务器使用的算法，加密将被传送的数据。

9)生物特征数据中心发送将被传送的数据至目的地服务器。

优选地，由便携式生物特征设备生成经加密消息的步骤包含：在消息中包括将被传送的数据、用户的新的生物特征数据、时间戳以及分组号。

在另一优选实施例中，便携式生物特征设备的加密步骤包括：

生成随机生成的密钥表的路径序列以通过路径描述符确定选择的密钥，该路径序列在时间上可变；

生成用于确定路径描述符的初始状态的随机种子；以及

对该种子和该信息执行加密/解密算法，该算法包括与被选择的密钥的按比特XOR操作。

此外，如果系统包括安全驱动设备，那么可能控制用于控制访问设施或机构的安全元件。本发明的第五方面描述了该方法的主要步骤：

1)用户输入他的生物特征数据以验明他自身。

2)便携式生物特征设备向安全驱动设备发送经加密消息，该消息包括用于控制安全元件的命令和用户的生物特征数据。

3)安全驱动设备解密该消息并检验用户是否被授权。

4)如果响应是肯定的，那么安全驱动设备通过驱动器的方式对元件进行动作。

附图说明

图1是根据本发明的构成便携式生物特征设备的最重要部分的示图。

图2是根据本发明的构成安全驱动设备的最重要部分的示图。

图3是包括用于使用生物特征设备来执行互联网上的操作的系统的实施例的所有元件的示意图。

图4是包括用于使用生物特征设备连同用于控制安全元件的安全驱动设备的系统的另一实施例的所有元件的示意图。

具体实施方式

关于本系统的一些通常的观察首先被提供，这些观察构建于我们之前的专利申请WO-2012/140291的公开之上。系统包括允许识别用户并且可以被集成到任何电子设备或系统中用于人的生物学识别或认证的多个元件，以及用于在线环境的后续代码生成数字表示。

当系统用户使用便携式生物特征设备时，数据利用时间被随机地加密，并具有以下特征：处于加密形式的数据与处于之前时刻的加密有很大不同。在认证过程发生于远程数据中心之前该经加密的信息是有效的，这里，获得了作为单样品(原生(primary))的用户的ID，其数据用于仅以几微秒来认证该用户，然而足以执行该认证。在该认证过程之后，从原生终端发送至数据中心的数据集不适宜用于重用。

所以，用户的原生标识不能被替换或重用。因此，被原生数据代表的用户确实是活体。换言之，原生是由它的所有者的人体(anatomy)自由产生的生物特征身份样本，并且是唯一有效的，直到由独立的数据库网关批准。每一个相同的生物特征样本与先前相比被不同地加密，且可以仅给它的所有者一次。它还可以仅在预定的时间限制内使用。它在由它的所有者使用一次之后以及在原生被捕获之后的任何时刻直接作废。系统将拒绝类似(复制的)的加密。诸如发送、批准、登机、访问、允许、接收、收集、支付、进入、记录、出现等命令将使得该人员通过刷指纹而合法地承担责任。这一行动创建了来自他/她的人体的生物特征样本，该生物特征样本仅在由独立的数据库网关批准之前有效。因此，由其余人员使用原生是不可能的。使用原生将终止身份欺骗。

对于用户的确定性识别，多个元件被一并使用并以预定方式动作。因此，提供了使用来自活体的(所生成的)生物特征数据连同该活体有生命的验证一起对该活体进行远程识别的方法。生物特征数据可以是时间受限地被加密。在另一方面，提供了用于活体的远程识别的设备，包括：生物特征数据传感器，被配置为从活体获取生物特征数据；生命检测传感器，被配置为验证提供该生物特征数据的活体有生命；处理器，被配置为比较所获取的生物特征数据与存储于该设备的生物特征数据；以及通信接口，被配置为在由处理器进行的比较以及由生命检测传感器验证该活体有生命的基础上发送时间受限的经加密信号。

生命特征数据(代表活体(优选是人)的物理特征)的使用，连同(通常，通过传感器检测)确认当生物特征数据被获得时该活体是有生命的意味着在数据被获得的时候生物特征数据是活体的准确代表。时间受限的经加密信号阻止生物特征数据或表示生命特征数据的识别的信号在预定的时间段(从生成的时间开始，通常不超过1us，2us，5us，10us，100us，1ms，2ms，5ms，10ms，100ms，1s，2s，5s，10s之一)以外维持有效。这样的数据是很难甚至不可能模仿或欺骗的。由于时间受限的加密的受限有效性，该数据的副本将不起作用。

因此，该方法可以提供新的随意生成的代表性样本，该样本是根据活体的人体电子地生成的。经加密的信号因此被每次(在生命验证检验和/或与所存储数据比较以确认其可靠性之后)提供，并且时间受限的加密可以意味着该信号不同于任何之前生成的信号(即使具有相同的输入数据)。这因此可以使信号不可能被重用。该方法可以将动物远程识别其它动物的存在的原生方式(例如使用气味)合成。

在一个实施例中，设备还包括存储标识码的数据存储设备。时间受限的经加密信号然后可以包括经存储的标识码的表示。通常，标识码对于设备是唯一的。此外或可选地，设备可以被配置为存储关于单个活体的生物特征数据用于作为经存储的生物特征数据使用。因此，标识码的传送与时间受限的加密因此可以等价于传送识别用户的信号。优选地，在该情形下，时间受限的经加密信号不包含经获取的生物特征数据的表示。因此，可能不必要从设备传送生物特征数据。

在一些实施例中，所获取的生物特征数据包含多个获取的生物特征数据项。然后，处理器可以被配置为通过比较多个获取的生物特征数据项与一个或多个存储的生物特征数据项来将获取的生物特征数据与存储的生物特征数据进行比较。例如，多个获取的生物特征数据项的每一个可以与相应的(不同的)存储的生物特征数据项比较。存储的生物特征数据(或生物特征数据项)可以是固定的，但它们可选地可以被改变。例如，处理器可以被配置为基于获取的生物特征数据，改变存储的生物特征数据。在该情形下，所存储的生物特征数据可以在获取的生物特征数据与存储的生物特征数据的比较之后被改变。例如，这可以允许设备应对活体的生物特征数据随时间的自然改变。

生物特征数据传感器可以包括以下的一个或多个：指纹读取器；虹膜扫描仪；和神经信号扫描器。生命检测传感器可选地包括用于近红外波长的光发射器和接收器。优选使用基于人工神经网络的算法的生命检测传感器或装置也可以或可选地被提供。

处理器可以具有信号处理装置，该信号处理装置能够根据嵌入的序列号(和/或从生物特征传感器和/或生命检测传感器接收的数据(以及可选地，仅这些数据项)可被使用)生成经加密的签名以及使用加密算法进行经加密数据的后续生成，这可基于非线性编码生成器硬件(该硬件可以有利地允许时间受限的加密)。

在优选实施例中，设备还包括抗篡改组件，被配置为检测设备的至少一部分的篡改。通信接口还可以被配置为在检测篡改的结果的基础上，发送时间受限的经加密信号。可选地，抗篡改组件包括以下的一个或多个：检测扭曲设备或设备操控的多个微型开关；以及至少一个被布置为检测设备壳体的打开的红外传感器。

生物特征数据传感器、生命检测传感器、处理器以及通信接口可以被集成在封闭的壳体内。在一些实施例中，生命特征数据传感器、生命检测传感器、处理器以及通信接口在单个集成电路上形成。因此，单芯片可以提供设备的所有功能，增加了设备可以被使用的应用的范围。同样，这可以进一步协助防止篡改。

在另一方面，提供了远程识别活体的方法，包括：使用设备从活体获取生物特征数据；由设备验证提供生物特征数据的活体有生命；将所获取的生物特征数据与存储于设备的生物特征数据比较；以及在比较和验证该活体有生命的基础上，发送时间受限的经加密信号。该方法可以具有可选的附加步骤，其与本文关于该设备所公开的任意特征相对应。例如，设备还可以存储标识码并且可选地，时间受限的经加密信号包括被存储的标识码的表示。该方法还可以包括检测对设备的至少一部分的篡改。然后，发送时间受限的经加密信号的步骤可以基于检测步骤的结果而被执行。

在一些实施例中，该方法还包括以下的一个或多个：在数据中心处接收时间受限的经加密信号；确定所接收的时间受限的经加密信号的有效性状态；以及响应于确定有效性状态的步骤，从数据中心发送授权信号。授权信号可以为一时间受限的经加密信号。确定有效性状态的步骤优选地包括以下的一个或多个：解密所接收的时间受限的经加密信号；检验时间受限的经加密信号的时间限制是否已过期；以及比较由时间受限的经加密信号所表示的信息与存储于数据中心的标识细节。在优选的实施例中，该方法还包括在接收时间受限的经加密信号之前，在数据中心处存储活体的标识细节。如以下将被讨论的，这是一种登记方式。

在一些实施例中，方法可以包括以下的一个或多个：接收从活体获取的、时间受限的经加密的生物特征数据；以及通过处理所接收的时间受限的经加密生物特征数据来做出确定。活体有生命的验证可以包括从该活体获取的神经信号数据。因此，在获得代表任何数字环境中(比如互联网)用户身份的标识信号(数字向量)之后，它被发送至具有身份的表示系统的经安全保护的数据中心，该表示系统由处理和大量存储构成，执行必要比较以确定个体身份是真实的并因此知道谁是唯一的。

在此元件处理和大容量存储设备中，其中所驻留的逻辑需要将系统与外部实体或数据中心集成。这可经由被专门为此目的设计的通信协议来实现。

做出确定的步骤因此可以包括解密所接收的时间受限的经加密生物特征数据。解密可以或不可以用于做出确定，其优选地包括以下的一个或多个：确定所接收的时间受限的经加密生物特征数据的有效性状态；确定所接收的时间受限的经加密生物特征数据是连同活体有生命的验证一起被生成的；以及将基于所接收的时间受限的经加密生物特征数据的数据与数据库数据比较，以识别该活体。比较数据的步骤可以使用基于人工神经网络的算法。

数据中心能够从被任何设备发送的生命和标识信号来认证用户。为了执行这一点，它包括用于解密所接收消息的装置以及生成第二经加密/未经加密的消息的装置。如此，随机种子和包括数字信息的消息二者被加密/解密单元随时间以不同方式进行加密/解密。

因此，所有信息参数被存储在数据中心中，它们之前由此电子加密元件处理以使得在没有加密电子设备的授权的情况下，从数据中心的驻留过程访问内容是不可能的。

此外，因为电子外部加密，任何具有完全权限管理数据中心的操作者可以访问信息。

该方法可以以计算机软件、可编程逻辑或其它可配置设备的方式实施。还提供了被配置为根据任何这种方法操作的用于活体的远程识别的设备。该设备可以是获取设备和/或识别服务器(本文中，也被称为安全数据服务器)。

因此，每次且每个生物特征读取被不同于之前读取地自动加密，且仅在已被认证数据库认证之后被确认。活体的真实代表因此被建立。由黑客对原生的解密将可能需要数年且除了以上所讨论的类型的第二身份以外，得不到任何价值。原生的有效性仅持续数微秒，因此它尽可以被它的所有者使用一次，并且它在访问被准许之后过期。已被篡改或干扰的原生可以被拒绝且因此过期。这可以通过“生命检测”、“抗篡改”、“随机加密”和“已知硬件到已知硬件的通信”来实现。过期或失效的原生可以被拒绝且因此过期。被捕获的原生在捕获时间处可能已经过期。被拒绝和废弃的原生对任何人无用。因此，仅有效的原生可以被它的所有者使用，这使得身份欺骗是不可能的。

根据本发明的特定实施例的生物特征设备的示例在以下参考附图被描述。

图1是根据本发明的便携式生物特征设备(1)的一般图示，示出了构成该设备的主要元件。中央处理装置(5)加密/解密与外界交换的消息，并且通过与一组被设计用于该设备执行的每一个特定任务的辅助元件通信来控制根据本发明的生物特征设备(1)的一般操作。具体地，这些辅助元件是获取来自用户的生物特征数据(通常指纹)的生物特征获取装置(2)、用于确定正被识别的用户是否为活人以及有生命的生命检测装置(3)(通常是脉搏检测器和/或血氧检测器和/或神经传感器)、防止第三方恶意篡改便携式生物特征设备(1)的实体安全装置(4)、安全存储器单元(6)、无线通信单元(7)(通常蓝牙)、以及LCD屏幕(8)。

图2为根据本发明的安全驱动设备(10)的一般示图。可见，该安全驱动设备(10)包括被连接至其它元件的处理装置(13)，其它元件包括被设计为允许与便携式生物特征设备(1)蓝牙通信以及互联网通信(例如，经由以太网)二者的通信单元(11)、阻止可能的实体篡改的实体安全装置(12)、安全存储器单元(14)、用于打开/关闭将被控制的元件的驱动器(15)(例如继电器等)、以及显示元件的状态的指示器(16)。

以下所描述的是根据本发明的一方面的便携式生物特征设备(1)用于执行互联网上的安全操作(比如与银行服务器(100)交换敏感数据的银行业务操作)的使用的示例。图3示出了用于该目的的系统的主要元件。初始地，假定用户随身携带便携式生物特征设备(1)。便携式生物特征设备(1)因此优选地是手表，尽管比如钥匙串等的其它形式也可使用。用户还具有网关设备(20)，该网关设备可以是智能手机、平板电脑、膝上型计算机或一般地具有处理能力和到互联网或内部网的连接的任何电子设备。

为了执行该方法，网关设备(20)必须具有被安装用于数据的安全交换(使用根据本发明的设备(1))的应用。当用户访问该应用时，在便携式生物特征设备(1)和网关设备(20)之间建立对称密钥协商以保护物理通信信道，例如蓝牙或其它信道。其它形式的短程(或中程)无线通信可以被使用，比如无线LAN、蜂窝无线电通信、光通信或具有类似范围的模式。

一旦该通信信道的逻辑安全性已被建立，应用从网关设备(20)，经由经担保的蓝牙信道，向用户的便携式生物特征设备(1)发送识别请求。在响应中，便携式生物特征设备(1)让用户将他的手指放置于设备(1)的特定区域，以使得生物特征获取装置(2)和生命检测装置(3)可以获取相关数据。

依赖于这些数据，便携式生物特征设备(1)的处理装置(5)确定手指是否确实与活人相关。如果是，生成消息，该消息的主要元素是所获取的生物特征参数、时间戳和分组号。之后，处理装置(5)加密该消息并将其发送至网关设备(20)。网关设备(20)然后在互联网上向生物特征数据中心(30)发送经加密的消息，对应于每一个便携式生物特征设备(1)的每一个经授权用户的生物特征数据被存储在生物特征数据中心(30)中。

生物特征数据中心(30)检验试图访问该应用的个人是否确实为该特定便携式生物特征设备(1)的经授权用户。如果识别是正面的，那么这一点在互联网上被再次传递至网关设备(20)上的应用，该应用然后解禁所有的应用选项，用户已承诺在使用该便携式生物特征设备(1)的时候来操作。该用户然后具有执行银行业务、远程访问等选项。

所有这些信息实际上是根应用内的微型应用，这些均包含在网关设备(20)中。每一个应用具有唯一的国际标识号。用户然后选择他希望使用便携式生物特征设备(1)操作的环境，并使用网关设备(20)输入来操作(例如，银行转账)的所需数据。之后，网关设备(20)向便携式生物特征设备(1)发送包括这些数据的消息用于加密。一旦已完成该步骤，便携式生物特征设备(1)再次让用户使用其指纹识别他自身以确认该操作，并生成包括经加密数据、与用户的指纹相对应的生物特征数据、时间戳以及分组号在内的消息，这些信息均被加密。该消息被返回至网关设备(20)，网关设备(20)转而将其发送至生物特征数据中心(30)。

生物特征数据中心(30)检验该用户是否被正确识别。如果是，那么它获取操作的数据，将其解密并重新加密，但在该情形下，使用由服务器使用的算法，该服务器为被执行的该交易的最终目的地(银行、政府等)。最后，生物特征数据中心(30)将包括经加密的操作数据的该消息，在互联网上直接发送至目的地服务器或者发送至网关设备(20)用于转发至目的地服务器。

最后，生物特征数据中心(30)向网关设备(20)发送OK消息，网关设备(20)将其转发至便携式生物特征设备(1)，便携式生物特征设备(1)转而将其加密并将其在LCD屏幕(8)上向用户显示。

更具体地说，数据的交互和通信过程如下：这里，Ni表示消息Mi的控制号，且服务器是数据认证中心：

i.通信网关向服务器发送具有N1和指纹(在生物特征数据的此示例中)的消息M1。在此消息中发送指纹和操作，它们均是自便携式设备计算得到的。

ii.服务器在头部之后的消息中，向网关发送具有N2和N1的M2。通过便携式设备的方式，网关因此确认了授权卡(服务器的)对指纹的收据的接收，因为它将获得N1。

iii.网关在头部之后的消息中，向服务器发送具有N3和N2的M3，M3来自便携式设备。现在，服务器检验M1不是在时间窗内被重发的消息，因为它包含N2。

iv.服务器执行匹配，并在头部之后的消息中，将具有对于操作的接受AC和N3的M4发送至网关用于由便携式设备处理。因为设备已恢复N3，所以该操作被接受。便携式设备在它的LCD显示屏上激活操作接受消息。

因此，硬件接受了操作并且规避任何可能存在于网关设备(20)(即蜂窝电话、膝上型计算机等)上并且可能错误地表达操作已被接受的恶意软件。

然而，如果类似于图2的安全驱动设备被使用，那么类似于图4的系统被获得。在该情形下，便携式生物特征设备(1)将直接经由无线连接(比如蓝牙)与安全驱动设备(40)通信。然后，在激活便携式生物特征设备(1)从而连接至安全驱动设备(40)，用户在安全驱动设备(40)上被本地识别，并且如果识别被接受，那么由用户的标识数据连同对应的时间戳和分组号组成的消息被发送至安全驱动设备(40)。安全驱动设备(40)接收该信息，将其解密，并在它的安全内部存储器中检验用户是否具有执行所涉及的操作的权限。这也可在互联网上被远程检验，因为安全驱动设备具有互联网连接，从而在经由继电器或其它驱动机制驱动外部元件之前向服务器咨询关于用户的权限的信息。一旦安全驱动设备(40)已完成该操作，经加密的响应被发送至用户。便携式生物特征设备(1)经由蓝牙信道接收该消息，将其解密并发送至用户。

虽然操作的一个实施例和模式现在已被描述，但是技术人员将认识到各种可能的修改和变化。例如，在不需要网关设备的情况下，生物特征设备(1)可以直接与数据中心(30)通信。此外，生物特征设备(1)不需要发送生物特征数据，并且实现这一点的方法在以下关于操作的替代模式被讨论。

在进一步的示例中，另一种操作模式现在被描述，它可以与第一模式以各种方式相结合。例如，下面所描述的每一个特征可以附加地或者替代地出现在第一方面中。设备(1)以下列方式从用户获取数据。首先，生命检测传感器确认提供生物特征数据的用户是有生命的。一旦这已被证实，防篡改传感器确认没有发生篡改。如果这也被证实，生物特征数据(例如，一个或多个指纹)被获取，并与存储在设备(1)的用户之前所获取的生物特征数据相比较。

只有一个用户的生物特征数据优选地存储在设备(1)上；因此该设备是为该用户定制的，并且不能用于识别任何其他人，以使得用户和设备之间可能存在一对一的映射。然而，用户可以具有一个以上的设备(1)。设备可以连接到(例如)：遥控器、汽车钥匙、移动电话、移动电话覆盖、腕带、手表、手镯、皮带扣、计算机、通信电缆(比如USB电缆)、和/或任何移动设备。

然而，存储在设备(1)上的生物特征数据可能会随着时间而改变。例如，指纹随着时间的推移而改变。因此，设备(1)可以被配置为改变存储用于用户的生物特征数据，这可以被认为是一个学习过程。通常，仅当用户的生物特征数据已通过与已经存储的数据比较而被确认时，这种改变发生。改变可能不一定是数据的替换，而可能是除了所存储的数据以外的生物特征数据或所存储的生物特征数据的仅一部分的替换。

通常，一项生物特征数据被获取，并且它与存储的生物特征数据的一项或多项比较。然而，可以考虑实施例，其中可获取多项生物特征数据(例如多个指纹，或两个或更多不同类型的生物特征数据，比如至少一个指纹和至少一个虹膜扫描)。所获取的生物特征数据与所存储的生物特征数据的比较然后可以基于所获取的生物特征数据的多个不同项之间的相关性。

如果生物特征数据与所存储的生物特征数据相匹配，那么然后，下列通信过程利用数据中心被执行。设备(1)发起通信，该通信优选地经由网关设备(20)发生，并进而从数据中心(30)中接收密钥信息。该密钥信息用于确定使用的随机密钥，它还提供了解密密钥。随机密钥选自嵌入在数据中心(30)处的数据库中的一组密钥。经嵌入的序列号存储在设备(1)中。它对于每一个设备是唯一的。经嵌入的序列号利用被选定的随机密钥加密并且这为它的解密启用了时间限制。经加密的经嵌入序列号然后被发送至数据中心(30)。

数据中心将仅考虑从经识别的硬件设备接收的信号。一旦已对所接收的信号检验以确认，在数据中心的原生认证器将验证所接收的经嵌入序列号。原生认证器为每个用户存储以下的一个或多个：经加密的身份；生物特征数据；经加密序列号。优选地，所有这些信息以连接方式存储。如果需要，更多信息可以存储和链接到这些数据项。虽然可能会存在多个原生认证器，用户的数据仅存储在一个特定的原生认证器(Primary authenticator)。

一旦用户的数据已被验证，原生认证器生成标识信号，该标识信号仅在每次被不同地加密且具有时间限制的相同标识。此标识信号可以由需要身份认证的服务器(比如银行、航空公司、社交网络或社会安全)解密。对于标识信号，可以使用AES加密。对于封闭系统，比如汽车、房屋、交通工具、保险柜或其它存储设备，设备可以在信号集成电路(“原生接收器芯片”)上实现。这些是可以为单个用户预先编程的小光盘，它可以例如向解锁系统传输一个认证信号。

在许多情况下，数据中心(30)和安全驱动设备(40)可以集成。因此，用户携带他们自己的便携式生物特征设备(1)，该便携式生物特征设备(1)然后与集成的数据中心(30)和安全驱动设备(40)通信(直接地或通过网关设备(20))，集成的数据中心(30)和安全驱动设备(40)基于所接收的数据，允许或拒绝用户的动作。设备或终端的示例(非穷尽)如下：安全门、银行终端、票务终端或其他商品或服务等。

设备(1)因此可以替代一系列标识物品，比如护照、身份证件、执照(包括驾照)、钥匙、密码、或任何其他个人文件或信息项，包括本文已列出的那些。