用于采集生物特征识别数据的移动终端和相关方法_4

209 进光口
[0111] 210 指纹传感器
[0112] 212 电池
[0113] 214 电源件
[0114] 216 数据存储器
[0115] 218 处理器
[0116] 220 按键/输入输入接口
[0117] 222 照明装置
[0118] 226 显示件
[0119] 230 GPS 模块
[0120] 232 时钟
[0121] 302 密码模块
[0122] 304 认证单元
[0123] 306 质量检查模块
[0124] 308 真实性检查模块
[0125] 310 ⑶I发生装置
[0126] 312 加密公钥
[0127] 314 签名私钥
[0128] 316 控制单元
[0129] 404 第一反射镜组
[0130] 406 第二反射镜组
[0131] 414 入射光（进入进光口）
[0132] 416 由半透明反射镜反射的部分光的光路
[0133] 418 远离使用者的反射镜侧
[0134] 420 穿过半透明反射镜209的光的光路
[0135] 424 用于进光口 209和照相机系统208竖向移动的操作件
[0136] 450 广角照相机系统
[0137] 11-14 光路
[0138] 702-726 步骤
【具体实施方式】
[0139] 以下相互对应的实施方式的零部件用相同的附图标记标示。
[0140] 图1示出了根据一个实施方式的"在家登记"的框图。使用者112如市民拥有安 全文件114如电子个人身份证，其上存储有涉及人员的描述数据（元数据）和生物特征识 别数据并且快要到期。
[0141] 为了获得具有最新生物特征识别数据的新安全文件，例如可能停留在其居所118 内的使用者不必访问拥有用于生物特征识别数据防伪采集的相应基础设施的官方场所 102。取而代之，使用者例如借助安装在其计算器110上的浏览器打开申请表就够了。申请 表例如能以HTML表格形式由发放安全文件的官方的服务器108通过互联网112来提供。使 用者112现在可以列明其个人数据尤其是其姓名、其通信地址和应发放的安全文件类型。 但为了服务器进一步处理该申请而需要使用者借助第一认证数据ADl相对于服务器认证。 这例如可以借助口令来完成，或借助仍然生效的安全文件114。
[0142] 借助仍然生效的安全文件114的认证例如可以如下进行：申请表的调用造成在服 务器108上的被称为订购业务的应用的运行。订购业务从使用者方面要求在线认证。为此， 使用者将安全文件114放到与使用者计算机110相连的读取装置中。订购业务发送认证问 询给eID服务器（在此未示出）。在eID服务器以及安装在使用者计算机110上的客户软 件（如证明App)、读取装置和安全文件114芯片之间建立可靠通道，并且检查订购业务的运 营商的真实性和文件114的真实性和完整性（防伪安全性）。客户软件向使用者112显示 通过可靠数据传输通道所传输的订购业务运营商的权利证书和所问询的证明文件或数据 类型。使用者判断哪些证明数据是他想传输的。通过输入PIN，使用者确认在此被称为"第 一认证数据"的数据ADl的读取和从文件114至eID服务器的传输。eID服务器发送认证 回复和证明数据给订购业务。认证回复和证明数据被读取。该业务检查认证结果并判断该 认证是否被视为成功。最后进行对使用者的结果回复。
[0143] 如果使用者112借助第一认证数据ADl相对于订购业务和进而也相对于服务器 108已认证成功，则专门针对使用者112安排发放权利证明BN。权利证明BN例如可以由服 务器108自动产生，或者在由被申请的新安全文件的发放方所运行的另一计算机上产生。 权利证明的产生可以全自动进行或者在操作者106参与和控制下半自动进行，该操作者为 新文件发放方工作。该权利证明例如可以权利证书形式来发放或包含权利证书。权利证明 存储在移动终端104的数据存储器内。另外，可以在移动终端内存储一个或多个专用于该 使用者的参考值（例如其姓名和通信地址）或以安全方式通知给使用者的密码。由此一来， 该终端针对申请者112被私人化。或许还可以存储其它的权利证书和参考值，例如用于以 同一地址申报的家庭成员。
[0144] 私人化移动终端现在可以被发给在订购表格和/或证明114中所注明的地址，例 如便宜地以邮寄方式。
[0145] 使用者112可以在收到移动终端后启动它，例如如此做：他将箱状终端放在台桌 上，翻开盖子并操作启动钮。该移动终端就其使用者引导而言被配置成：在任何事后也都给 技术上不熟的门外汉以下面要完成哪一步的清晰指示，以足够高质量地采集生物特征识别 数据。
[0146] 但首先需要使用者相对于移动终端认证。这例如可以如此完成：他将由文件发放 的有关当局所发送的密码输入该终端或通过该终端从尚有效的安全文件读取个人数据，并 且将所输入的或所读取的数据与参考值相比较。另外，该终端必须借助权利证明BN相对于 使用者112认证以证明该终端是经授权用于由使用者采集生物特征识别数据。
[0147] 在使用者112和终端104成功相互认证后，该终端采集使用者的生物特征识别数 据BD并将其存储在内部数据存储器中。
[0148] 可以例如如此进行生物特征识别数据的存储：存储在移动终端内的公钥312加密 该生物特征识别数据BD，并且也存储在终端内的签名私钥314签署该数据。签名私钥314 此时与文件发放方的签名检查公钥126-起构成非对称密码密钥对。加密公钥312此时与 文件发放方的解密私钥124 -起构成非对称的密码密钥对。即，签名检查公钥126和解密 私钥124都由安全文件116的发放方例如官方掌管。
[0149] 在成功采集了生物特征识别数据后，又将箱状终端104收起并且邮寄发给出具新 证明的官方。在那里等候操作者106如官方职员借助第三认证数据如借助口令、基于软件 或硬件的专用安全令牌等相对于该终端认证。只在成功认证情况下，操作者可以访问存储 在终端内的数据，例如也借助解密私钥124的使用者生物特征识别数据的解密步骤也属于 此列。除了解密，也还可以借助签名检查公钥126执行签名生物特征识别数据BD的签名检 查，以保证所采集的生物特征识别数据未被第三方篡改。
[0150] 根据多个实施方式，该移动终端除了用于生物特征识别数据的传感器和已知的 使用者接口如键盘、签名垫、NFC界面等外不具有带触点的数据交换接口，即它例如不具有 USB接口或⑶驱动器。该终端只具有非接触式数据交换接口例如WLAN适配器用于加入权 利证明和参考值并用于通过操作者读取所采集的生物特征识别数据。非接触式接口只能被 如此启用：操作者将硬件令牌连接至该终端，其用于操作者相对于终端可靠认证。也可行的 是，WLAN适配器根据进行发放的官方的WLAN网络的访问数据来预配置并且可选择地只能 在操作者认证后与该WLAN交换数据。这增强了对生物特征识别数据保护，以免未经授权的 第三方读取。
[0151] 该终端的被解密且检查过签名的生物特征识别数据BD随后可以被自动或人工传 输给应该根据其申请被发放给使用者112的新安全文件116。制成的文件现在可以被提供 给使用者112,例如过邮寄。即，专门针对使用者112发出的安全文件包含值得信赖的、高质 量的生物特征识别数据（脸孔图像、虹膜图像、指纹数据等），使用者不必为此去官方场所 102〇
[0152] 图2从肖U方不出了翻开的來目状移动终2而104。移动终2而由盖子202和底部204构 成。盖子和底部通过轴228可相对转动。盖子包括照相机系统208和通过半透明反射镜 206遮盖的进光口 209。另外，盖子包括显示装置，其在数据采集的整个过程中引导使用者 112,显示正确和/或错误的操作和/或所采集的生物特征识别数据的质量的反馈并且显示 他必须如何或者说下一步如何操作该仪器。除了显示装置226外，也可以将其它零部件安 装在所述盖子或底部内，它们能够以可视或可听方式向使用者表示：要做什么或使用者最 后所采取的操作造成什么结果。例如LED元件、扬声器等可能属于此。
[0153] 重型构件最好位于底部内，例如电池212和/或用于将终端连接至外供电装置的 电源件214。另外，该终端可以包括用于存储权利证明和使用者生物特征识别数据的数据存 储器216、用于从使用者的安全文件114接收认证数据的接口 207、用于采集作为生物特征 识别数据的指纹数据的传感器210和一个或多个控制所述零部件的配合的处理器218。指 纹传感器例如能以"单指扫描器"、"双指扫描器"或"四指扫描器"形式构成。使用两个指 扫描器和多指扫描器可能是有利的，因为由此保证了左手指作为左手指采集，右手指作为 右手指采集。使用四指扫描器可能是有利的，因为此时不仅可以简单区分左右，而且在食指 指纹质量不够高时，无需复杂的使用者引导就可以根据ICAO的规定条件采集其它手指。
[0154] 可行的是，虹膜照相机连同自己的进光口位于盖子内。该进光口也可以被半透明 反射镜覆盖，其反射的光分量提供关于虹膜正确定位的反馈信息。
[0155] 还有，该终端可以包括用于采集终端的当前位置的GPS传感器230和/或用于获 知当前时间的时钟232。另外，移动终端104可以包括使用者接口如键盘220,其允许使用 者例如手动输入其描述数据（姓名、地址等）和/或用于相对于其当前尚有效的安全文件 114进行认证的PIN。键盘也可呈触屏状并因此作为显示器226的一部分。另外，该终端可 以具有签名垫，其可以采集使用者签名作为其生物特征识别数据。
[0156] 照明装置222可以在许多实施方式中也集成在盖子内。优选地，该照明装置如此 强力，即它实现了足以用于质量足够高的拍摄的亮度，即使当它构成空间内的唯一光源时。 这可能是有利的，因为使用者可以关掉干扰性的例如导致不希望有的反射的其它光源。
[0157] 图3示出了框图，其详细示出了根据一个实施方式的终端的数据存储器216的内 容。存储器可以包括各种模块302-310、316,它们可体现为软件程序的一部分或各自独立的 软件程序或者也能以硬件功能形式实施。
[0158] 密码模块302用于加密所接收的生物特征识别数据BD，以便以加密保护形式将这 些数据存储在数据存储器216内。认证模块304执行的步骤是："移动终端104可相对于使 用者112和/或可相对于其迄今还有效的文件114认证而需要的"。另外，它检查由该终端 在使用者112相对于终端的认证尝试过程中所接收的第二认证数据AD2。此时它可以是使 用者已经用于相对于服务器108进行认证的相同的数据ADl和AD2。质量检查模块306控 制所采集的生物特征识别数据的质量。如果检查表明该生物特征识别数据未达到最低质量 水平，则该模块306与GUI发生器模块310合作，通过显示装置226促成发出相应警示。该 警示可以包含下列提示：哪个状态有可