本申请总体上涉及用于使用呼出气体的涡流气流进行认证的装置和方法。
背景技术:
随着技术进步,在通过不充分的认证保护之后,恶意的黑客设法利用技术弱点。此外,如本文所理解的,可以使用红外技术产生人呼出气体的图像。
技术实现要素:
因此,在一个方面中,一种装置包括处理器以及能够由所述处理器访问的存储装置。存储装置具有能够由处理器执行以进行以下的指令:接收呼出气体中的涡流气流的至少一个图像;将所述至少一个图像与至少一个模板进行比较;以及响应于所述比较来确定是否对用户进行认证。
在示例性实施方式中,图像可以为红外图像。如果需要,指令可以由处理器执行以:在将图像与模板进行比较之前,对所述图像进行滤波以输出仅在4130nm至4427nm的范围内的图像部分。
在一些实现方式中,指令可以被执行以:响应于所述至少一个图像中的涡流形状与所述至少一个模板中的涡流形状匹配,返回“被认证”;而响应于所述至少一个图像中的涡流形状与所述至少一个模板中的涡流形状不匹配,可以返回“未被认证”。在其他实现方式中,指令可以由处理器执行以:响应于所述至少一个图像中的呼吸周期与所述至少一个模板中的呼吸周期匹配,返回“被认证”,否则返回“未被认证”。在一些实施方式中,可以使用两种测试(呼吸周期和涡流气流形状),并且满足仅一个要求时返回“被认证”,或者可以要求满足两个要求时才返回“被认证”。
在一个具体的非限制性示例中,模板可以包括表示鼻呼吸的鼻呼吸模板以及表示口呼吸的口呼吸模板,并且可以将图像与两个模板都进行比较。响应于图像与鼻呼吸模板或口呼吸模板匹配,可以返回“被认证”。或者,如果需要,响应于图像与鼻呼吸模板和口呼吸模板都匹配,可以返回“被认证”,但是如果只有一个模板匹配,则在该实施方式中可以返回“未被认证”。
在另一个方面中,不是暂态信号的计算机可读存储介质(crsm)包括能够由处理器执行以进行以下的指令:将第二图像与人的呼吸的第一图像进行比较;以及响应于确定第一图像满足与第二图像的匹配条件,返回表示所述人被认证的信号。然而,指令能够被执行以:响应于确定第一图像不满足与第二图像的匹配条件,返回表示所述人未被认证的信号。
在又一个方面中,一种方法包括:获取人的呼吸的红外(ir)图像;以及响应于ir图像满足与预先存储的图像的匹配标准,对所述人进行认证。该方法还包括:响应于ir图像不满足与预先存储的图像的匹配标准,不对所述人进行认证。
对于本原理的结构和操作两者,参照附图可以最佳地理解它们的细节,在附图中相同的附图标记指代相同的部分,并且在附图中:
附图说明
图1是根据本原理的示例性系统的框图;
图2是根据本原理的装置的网络的示例性框图;
图3是示例性逻辑的流程图;
图4至图8是示意性示出各种呼吸涡流和周期性的图示;以及
图9是在认证失败时可以生成的示例性用户界面(ui)。
具体实施方式
如本文所认识的,正如包括气道特征、肺活量、隔膜强度等的生理特征因人而异,所以受因人而异的生理特征影响的由呼出气体产生的涡流气流也因人而异。还如本文所认识的,这些因人而异的涡流气流可以用于认证。
因此,本公开内容涉及通过至少部分地使用计算机用户的呼出气体的图像对计算机用户进行认证来提高个人计算机系统的安全性。这样的认证是非侵入式的并且可以被连续地使用,而且与认证技术如人脸识别相比,可以更不容易受欺骗。
对于本文讨论的任何计算机系统,系统可以包括服务器部件和客户端部件,服务器部件和客户端部件通过网络连接使得可以在客户端部件与服务器部件之间交换数据。客户端部件可以包括一个或更多个计算装置,所述一个或更多个计算装置包括电视机(例如,智能电视机、启用因特网的电视机)、诸如台式计算机、膝上型计算机和平板计算机的计算机、所谓的可转换装置(例如,具有平板配置和膝上型配置)以及包括智能电话的其他移动装置。作为非限制性示例,这些客户端装置可以使用来自苹果(apple)、谷歌(google)或微软(microsoft)的操作系统。可以使用unix或类似的如linux的操作系统。这些操作系统可以操纵一个或更多个浏览器,如由microsoft或google或mozilla制造的浏览器或者可以通过网络如因特网、本地内联网或虚拟专用网访问由因特网服务器托管的网页和应用的另外的浏览器程序。
如本文所使用的,指令是指用于处理系统中的信息的计算机实现的步骤。指令可以在软件、固件或硬件中实现;因此,有时根据其功能来阐述说明性部件、块、模块、电路和步骤。
处理器可以是可以借助于诸如地址线、数据线和控制线的各种线以及寄存器和移位寄存器来执行逻辑的任何常规的通用单芯片或多芯片处理器。此外,除了通用处理器以外,还可以在如下中实现或执行本文中描述的任何逻辑块、模块和电路或者通过如下实现或执行本文中描述的任何逻辑块、模块和电路:设计成执行本文中描述的功能的数字信号处理器(dsp)、现场可编程门阵列(fpga)或诸如专用集成电路(asic)、分立门或晶体管逻辑、分立硬件部件的其他可编程逻辑器件或者其任何组合。处理器可以由控制器或状态机或计算装置的组合来实现。
通过本文中的流程图和/或用户界面描述的任何软件和/或应用可以包括各种子例程、过程等。应当理解的是,宣布为由例如模块执行的逻辑可以重新分发给其他软件模块和/或一起组合在单个模块中和/或在可共享库中可用。
在软件中实现时,逻辑可以以适当的语言来编写,例如但不限于c#或c++,并且可以通过诸如随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、光盘只读存储器(cd-rom)或者其他光盘存储装置如数字通用盘(dvd)、磁盘存储装置或包括可移除拇指驱动器的其他磁存储装置等的计算机可读存储介质(例如,其不是暂态信号)来存储或传输。
在示例中,处理器可以通过其输入线从数据存储装置如计算机可读存储介质访问信息,和/或处理器可以通过激活无线收发器来从因特网服务器无线地访问信息以发送和接收数据。当数据被接收时,数据通常由天线与处理器的寄存器之间的电路系统从模拟信号转换为数字信号,当数据被发送时,数据通常由天线与处理器的寄存器之间的电路系统从数字信号转换为模拟信号。然后,处理器通过其移位寄存器对数据进行处理,以在输出线上输出所计算的数据,用于在装置上呈现所计算的数据。
包括在一个实施方式中的部件可以以任何适当的组合用于其他实施方式。例如,本文描述和/或附图中描绘的各种部件中的任何部件可以与其他实施方式组合、交换或从其他实施方式除去。
术语“电路”或“电路系统”可以用在概述、描述和/或权利要求中。如本领域公知的,术语“电路系统”包括所有级别的可用集成,例如从分立逻辑电路到最高级别的电路集成如vlsi,并且包括被编程为执行实施方式的功能的可编程逻辑部件以及用指令编程以执行那些功能的通用处理器或专用处理器。
现在具体参照图1,示出了信息处理系统和/或计算机系统100的示例性框图。注意,在一些实施方式中,系统100可以是台式计算机系统,如由位于北卡罗来纳州莫里斯维尔的联想(美国)公司销售的
如图1所示,系统100可以包括所谓的芯片组110。芯片组是指被设计成一起工作的一组集成电路或芯片。芯片组通常作为单一产品出售(例如,考虑以品牌
在图1的示例中,芯片组110具有特定架构,其可以根据品牌或制造商在一定程度上变化。芯片组110的架构包括核与存储器控制组120和i/o控制器集线器150,该核与存储器控制组120和i/o控制器集线器150经由例如直接管理接口或直接介质接口(dmi)142或链路控制器144交换信息(例如,数据、信号、命令等)。在图1的示例中,dmi142是芯片到芯片接口(有时称为“北桥”与“南桥”之间的链路)。
核与存储器控制组120包括经由前端总线(fsb)124交换信息的一个或更多个处理器122(例如,单核或多核等)和存储器控制器集线器126。如本文所述,核与存储器控制组120的各种部件可以集成到单个处理器管芯上,例如以形成替代常规“北桥”式架构的芯片。
存储器控制器集线器126与存储器140对接。例如,存储器控制器集线器126可以提供对ddrsdram存储器(例如,ddr、ddr2、ddr3等)的支持。通常,存储器140是一种类型的随机存取存储器(ram)。它通常被称为“系统存储器”。
存储器控制器集线器126还可以包括低压差分信号接口(lvds)132。lvds132可以是所谓的lvds显示器接口(ldi),用于支持显示装置192(例如,crt、平板、投影仪、启用触摸的显示器等)。块138包括可以经由lvds接口132(例如,串行数字视频、hdmi/dvi、显示端口)支持的技术的一些示例。存储器控制器集线器126还包括例如用于支持独立显卡136的一个或更多个pci-express接口(pci-e)134。使用pci-e接口的独立显卡已经变为加速图形端口(agp)的替选方法。例如,存储器控制器集线器126可以包括用于基于外部pci-e的图形卡(包括例如多个gpu中的一个)的16通道(x16)pci-e端口。示例性系统可以包括用于支持图形的agp或pci-e。
在使用其的示例中,i/o集线器控制器150可以包括各种接口。图1的示例包括sata接口151、一个或更多个pci-e接口152(可选地,一个或更多个传统pci接口)、一个或更多个usb接口153、lan接口154(更一般地说,为用于在处理器122的指挥下通过至少一个网络如因特网、wan、lan等进行通信的网络接口)、通用i/o接口(gpio)155、低引脚数(lpc)接口170、电力管理接口161、时钟发生器接口162、音频接口163(例如,用于扬声器194以输出音频)、操作的总成本(tco)接口164、系统管理总线接口(例如,多主机串行计算机总线接口)165以及在图1的示例中包括bios168和启动代码190的串行外围闪速存储器/控制器接口(spi闪存)166。对于网络连接,i/o集线器控制器150可以包括与pci-e接口端口多路复用的集成的千兆以太网控制器线。其他网络特征可以独立于pci-e接口进行操作。
i/o集线器控制器150的接口可以提供与各种装置、网络等的通信。例如,在被使用的情况下,sata接口151提供在一个或更多个驱动器180如hdd、sdd或其组合上读取、写入或读取且写入信息,但是在任何情况下,驱动器180被理解为例如不是暂态信号的有形计算机可读存储介质。i/o集线器控制器150还可以包括高级主机控制器接口(ahci)以支持一个或更多个驱动器180。pci-e接口152允许至装置、网络等的无线连接182。usb接口153提供用于输入装置184如键盘(kb)和鼠标、麦克风和各种其他装置(例如,包括可见光谱相机和红外相机如前视红外(flir)相机两者的相机、电话、存储装置、媒体播放器等)。
在图1的示例中,lpc接口170提供用于一个或更多个asic171、可信平台模块(tpm)172、超级i/o173、固件集线器174、bios支持175以及各种类型的存储器176如rom177、闪存178和非易失性ram(nvram)179。对于tpm172,该模块可以为芯片的形式,所述芯片可以用于对软件和硬件装置进行认证。例如,tpm能够执行平台认证,并且可以用于验证寻求访问的系统是期望的系统。
系统100在通电时可以被配置成执行如存储在spi闪存166内的用于bios168的启动代码190,此后,在一个或更多个操作系统和应用软件(例如,存储在系统存储器140中)的控制下处理数据。操作系统可以存储在各种位置中的任何位置中,并且可以例如根据bios168的指令被访问。
另外,在一些实施方式中,系统100可以包括:感测和/或测量系统100的方向并且向处理器122提供与其相关的输入的陀螺仪;感测系统100的加速度和/或运动并且向处理器122提供与其相关的输入的加速计;如经由向麦克风提供听觉输入的用户基于检测到的音频将输入从麦克风提供至处理器122的音频接收器/麦克风;以及如上所述用于输入装置184的相机,其收集一个或更多个可见图像和/或ir图像并且向处理器122提供与其相关的输入。相机可以是热成像相机、红外(ir)相机、诸如网络相机的数字相机、三维(3d)相机和/或以其他方式集成到系统100中并且能够由处理器122控制以收集图片/图像和/或视频的相机。另外,系统100可以包括被配置成从至少一个卫星接收地理位置信息并且将所述信息提供给处理器122的gps收发器。然而,应当理解的是,可以根据本原理使用除了gps接收器以外的另外的合适的位置接收器以确定系统100的位置。
应当理解的是,示例性客户端装置或其他机器/计算机可以包括比图1的系统100上示出的特征更少或更多的特征。在任何情况下,至少基于上述内容应当理解的是,系统100被配置成实施本原理。
现在转到图2,根据本原理的通过网络200如因特网进行通信的示例性装置被示出。应当理解的是,参照图2描述的装置中的每个装置可以包括上述系统100的特征、部件和/或元件中的至少一些。
图2示出了笔记本计算机和/或可转换计算机202、台式计算机204、可穿戴装置206如智能手表、智能电视(tv)208、智能电话210、平板计算机212以及服务器214如可以提供能够由装置202至212访问的云存储装置的因特网服务器。应当理解的是,装置202至214被配置成通过网络200彼此进行通信以实施本原理。
参照图3,示出了如下逻辑:该逻辑可以由本文所讨论的装置中的任何装置使用其自己的ir相机和处理器或另一装置的ir相机和/或处理器来执行以对计算机用户进行认证,并且如果需要,则连续地或以预定时间间隔周期性地对计算机用户进行认证。
在框300处开始,可以要求输入密码以对模板生成模式进行解锁。密码的输入可以导致当前用户被认证。通常,密码可以为管理员级别或其他保密级别,使得仅授权用户很可能将能够获得密码以生成模板。
移动到框302,如下所述,获得人的呼吸的一个或更多个图像以建立模板用于随后使用。可以使用上述flir技术和相机184来获得这些图像。针对随后用于比较的参数的类型获得模板图像。例如,当被拍摄用于与模板进行比较的下述实时图像是鼻呼出图像时,至少一个模板将是鼻呼出涡流气流。同样地,当使用口呼出时,在框302处获得口呼出的模板,以及当使用周期性呼吸时,在框302处获得多个模板图像来为人建立基准呼吸周期。注意,模板可以存储在多个授权用户的模板库中。
在建立基准模板之后,在框304处,如果需要,此后可以由拍摄随后的用户的呼吸的测试图像的flir相机或其他成像装置基本上连续地监视计算机的用户。例如,可以每秒获得测试图像,以确保被认证的用户正在操作计算机。或者,可以在随后登录时生成测试图像。
当获得测试图像时,逻辑可以从框304移动到框306以将至少一个测试图像与在框302处获得的模板进行比较。在一个示例中,测试图像首先通过窄带通滤波器,使得仅保留co2吸收带(4130nm至4427nm)中的ir信号。可以在框302处获得的模板图像上实现相同的滤波。
在一个示例中,将测试图像与登录时对应于用户名的模板进行比较,并且不与库中的其他模板进行比较。在其他实施方式中,可以将测试图像与库中的所有模板进行比较,使得任何先前授权用户将被认证。
例如使用用于模式匹配的图像识别来确定在框304处获得的测试图像是否与在框302处获得的模板和/或以其他方式驻留在模板库中的模板匹配。对于要返回的“匹配”,测试图像通常可以与正使用的模式匹配识别所要求的容差内的模板匹配。
响应于在菱形308处发现的匹配,逻辑移动到框310以返回表示用户被认证(相当于保持被认证)的信号。考虑到用户的其他安全凭证和访问级别,认证使实现用户的正常计算机操作。
另一方面,响应于在菱形308处未发现匹配,逻辑移动到框312以返回表示用户未被认证(相当于认证已经失败)的信号。认证的失败限制计算机操作,并且可以完全阻止用户着手进一步操作计算机。假设用户可以获取密码或者有权获取密码并且有权重新输入密码,如果需要,则逻辑可以移动到框314以提示用户重新输入密码以对框302处的模板生成步骤进行解锁。以下进一步描述为此目的的示例性用户界面(ui)。
本原理理解统计分析可以用于从当基准模板图像被获得时起补偿用户的基本变化,如感冒/过敏或生长的面部毛发。另外,如果在用户休息时获得基准模板以及在用户刚刚锻炼之后用户随后返回计算机以操作计算机,则用户的呼吸模式将高于模板图像的呼吸模式。由于左腔和右腔流限制的差异,其他细微差异如鼻中隔偏曲可以产生独特的鼻呼出旋涡。
在任何情况下,可以使用框314的步骤替代说明授权用户的任何改变的统计分析,所述改变可以引起授权用户的测试图像与该授权用户的在先基准模板不匹配。如果用户是授权用户并且经历框312处的认证失败,则这样的授权用户可能能够获取密码并且在框300和框302处重新输入模板生成,而认证失败的未授权用户可能不能获取密码以生成“欺骗的”模板。
现在参照图4至图7,图4至图7示出了示例性用户400从他的鼻子402呼出鼻呼吸以在空气中产生涡流气流404,由于身体热量对呼出的空气进行了加热,所以可以使用例如flir对涡流气流404进行成像。从图4开始用户吸气,所以在图5中未示出呼出的涡流气流。如图6所示,用户随后再次呼出以再次产生涡流气流404,并且如图7所示再次吸气,因此没有产生呼出的涡流气流。可以将涡流气流404的精确尺寸和形状(更一般地,由人的呼吸引起的空气流动或扰动的尺寸、形状和相对方向)两者都记录为图3中的框302处的基准模板或记录为随后的测试图像,以及记录连续的涡流气流图像之间的时间以用于指示呼吸周期。注意,在使用呼出的涡流气流时,可以替选地使用由吸气引起的空气扰动,尽管这样的气流可能更难于与背景区分也是如此。
除了使用由鼻呼出产生的涡流气流以外或者替代使用由鼻呼出产生的涡流气流,图8示出了可以使用由通过用户的嘴800的口呼出引起的涡流气流802。与鼻涡流气流相比,这样的口涡流气流通常更大,从而对于分析目的更为鲁棒。
因此,现在可以理解的是,可以使用图3的逻辑以:响应于测试图像中的涡流形状与模板中的涡流形状匹配,返回“被认证”,否则返回“未被认证”。另外地或可替选地,可以使用图3的逻辑以:响应于测试图像中的呼吸周期与模板中的呼吸周期匹配,返回“被认证”,否则返回“未被认证”。还可以理解的是,模板可以包括一个或更多个鼻呼吸模板以及一个或更多个口呼吸模板,其中所述两种模板都与相应的测试图像进行比较,并且响应于测试图像与鼻呼吸模板或口呼吸模板匹配而返回“被认证”。或者,只有当测试图像与鼻模板和口模板都匹配时,才可以返回“被认证”。
图9示出了可以响应于图3的框314处的逻辑而在本文的任何显示器上呈现的示例性ui900。可以呈现指示呼吸认证已经失败的消息902。可以呈现将密码输入到字段906中以允许重新进入图3的框302处的模板生成阶段的提示904。
另外,在一些实施方式中,ui可以呈现在实施用于配置装置的设置的本原理的装置的显示器上。例如,这样的ui可以包括可选择以使实现如本文所公开的涡流气流认证以及不可选择以不使用涡流气流认证的选项。
通过其本身或当与呼吸的节奏结合时,本文描述的涡流气流成像产生能够被针对红外线调谐的相机检测的独特模式。通过应用连续的非侵入式监视技术,本公开内容不仅允许物理存在,而且可以检测不同的人是否在操作装置。认证的这个增加的层可以用于不仅确保用户在系统前方,而且用于基于空气气流漩涡和呼吸模式确保用户是认证用户。
在得出结论之前,应当理解的是,尽管用于实施本原理的软件应用可以与诸如系统100的装置一起出售,但是本原理适用于通过网络如因特网将这样的应用从服务器下载到装置的情况。此外,本原理适用于这样的应用包括在被出售和/或被提供的计算机可读存储介质上的情况,其中计算机可读存储介质本身不是暂态信号和/或信号本身。
应当理解的是,虽然已经参考一些示例性实施方式描述了本原理,但是这些并不意在进行限制,并且可以使用各种替选布置来实现本文要求保护的主题。包括在一个实施方式中的部件可以以任何适当的组合用在其他实施方式中。例如,本文描述和/或附图中描绘的各种部件中的任何部件可以与其他实施方式组合、交换或者从其他实施方式除去。