使用装置证实进行生物计量验证的系统和方法
【专利说明】
[0001] 对优先权的要求
[0002] 本申请要求 2013 年 5 月 30 日提交的名称为"Combining Biometric Authentication With Device Attestation"(组合生物计量验证与装置证实)的共同待审的美国临时专利 申请No. 61/829, 081的权益,该专利转让给本非临时专利申请的受让人并且据此以引用方 式并入。
技术领域
[0003] 本发明整体涉及数据处理系统的领域。更具体地讲,本发明涉及使用装置证实进 行生物计量验证的系统和方法。
【背景技术】
[0004] 现有系统已设计用于使用生物计量传感器经由网络提供安全用户验证。例如,专 利申请No. 2011/0082801 ("'801申请")描述了一种在网络上进行用户注册和验证的框架, 这种框架提供强验证(例如,防御身份窃取和网络钓鱼)、安全交易(例如,防御交易中的 "浏览器中的恶意软件"和"中间人"攻击)和客户端验证令牌的登记/管理(例如,指纹读 取器、面部识别装置、智能卡、可信平台模块等等)。
[0005] 生物计量传感器在商用现成计算机系统(诸如LeiMvo ^ThinkPad1(和HP'# Elite Bookli )的本地计算机验证中已使用多年。集成到这些计算机系统的生物计量传感 器通常可依赖于计算机系统的完整性,因为便捷性(而非抵抗攻击)是它们的主要目标。另 外商业计算机系统通常不够稳固,根本无法抵御物理篡改。因此单独为指纹传感器添加物 理保护并没有受到优先考虑。
[0006] 由于生物计量装置已经用于远程验证某些应用程序,因此需要严格的组织方法来 保护生物计量系统的完整性。例如,这些生物计量系统通常是封闭的,并且它们到计算机系 统的接口只有授权人员和可信人员(例如,确保使用已知可接受的生物计量装置并且该装 置不会被篡改的可信个人或团体)才能访问。
[0007] 随着云服务被越来越多地采用,发展出了新的生物计量验证使用案例,即对云服 务进行基于生物计量的验证。在这种情况下,可将至少生物计量传感器附接到无监督机器 上。这种无监督情况有两个后果:
[0008] a)由于没有检查系统是否正遭到欺骗的监督方,生物计量装置应具有集成的防欺 骗方法(即检测虚假生物计量);以及
[0009] b)机器和生物计量装置的完整性不能被假设为由外部方法保护,因此需要有它们 自己的屏蔽机制。
[0010] 研究团体(Murali Mohan Chakka, 2011) (Marcialis, 2009) (Umut Uludag,Anil K. Jain;密歇根州立大学计算机科学与工程系)很好地识别并解决了(a)的需求。然而, (b)的技术尚未完全开发出来。特别地,对于应用程序要确定它是在与真正的生物计量装置 通信还是在与恶意软件通信,目前还没有标准化的技术。另外,对于远程依赖方(诸如云服 务)要确定访问服务的请求是正由可信应用程序还是恶意软件发送,目前还不存在可接受 的技术。
[0011] 图1示出了具有生物计量装置100的示例性客户端120。正常运行时,生物计量 传感器102从用户读取原始生物计量数据(例如,捕捉用户指纹,记录用户声音,拍摄用户 的照片,等等),并且特征提取模块103提取原始生物计量数据的指定特征(例如,注重于 指纹的某些区域、某些面部特征等等)。匹配器模块104将所提取的特征133与存储在客 户端120上的安全存储装置中的生物计量参考数据110进行比较,并且基于所提取的特征 与生物计量参考数据110之间的相似性来生成得分153。生物计量参考数据110通常是登 记过程的结果,在登记过程中用户向装置100登记指纹、声音样本、图像或其他生物计量数 据。应用程序105可接着使用得分135来确定验证是否成功(例如,得分是否高于某个指 定阈值)。
[0012] 攻击者可将生物计量管道内的不同位置130至136作为目标。例如,在130处,攻 击者可向生物计量传感器102提交虚假生物计量数据(例如,提交用户声音的录音或用户 指纹的照片)。在131处,攻击者可再次向特征提取模块103提交包含先前捕捉的特征的旧 信号,或者在132处,可完全重写特征提取功能。在133处,攻击者可篡改提供给匹配器104 的特征表示,或者在134处,可重写匹配功能。在136处,攻击者可向匹配器104提供伪造 的生物计量参考数据,或者在135处,可向应用程序105提供伪造的得分。因此,如图1所 示,生物计量管道内有许多位置容易成为攻击者的目标。
【发明内容】
【附图说明】
[0013] 可结合下列附图从以下【具体实施方式】更好地理解本发明,其中:
[0014] 图1示出配备有生物计量装置的示例性客户端。
[0015] 图2示出使用装置证实进行生物计量验证的系统架构的一个实施例。
[0016] 图3A至C示出事务图,显示了依赖方与生物计量装置上的加密引擎之间的示例性 交易。
[0017] 图4A至B示出安全验证系统架构的两个不同实施例。
【具体实施方式】
[0018] 下文描述了用于在客户端-服务器环境中实施使用装置证实的验证框架的设备、 方法以及机器可读介质。在整个描述中,出于解释的目的,本文陈述了许多特定细节以便透 彻理解本发明。然而,本领域的技术人员将容易明白,可在没有这些特定细节中的一些的情 况下实践本发明。在其他情况下,为免模糊本发明的基本原理,已熟知的结构和装置未示出 或以框图形式示出。
[0019] 下文论述的本发明的实施例涉及具有验证能力(诸如生物计量装置或PIN输入) 的客户端装置。这些装置在本文中有时称为"令牌"、"验证装置"或"验证器"。可使用各种 不同的生物计量装置,包括但不限于指纹传感器、声音识别硬件/软件(例如,用于识别用 户声音的麦克风和相关联软件)、面部识别硬件/软件(例如,用于识别用户面部的相机和 相关联软件)、以及光学识别功能(例如,用于扫描用户的视网膜的光学扫描器和相关联软 件)。验证能力还可包括非生物计量装置,诸如可信平台模块(TPM)和智能卡。
[0020] 如上所述,在移动式生物计量的具体实施中,生物计量装置可远离依赖方。如本文 所用,术语"远离"意味着生物计量传感器不是其以通信方式耦接到的计算机的安全边界的 一部分(例如,生物计量传感器未嵌入到与依赖方计算机相同的物理外壳中)。举例来说, 生物计量装置可经由网络(例如,因特网、无线网络链路等)或经由外围输入(诸如USB端 口)耦接到依赖方。在这些条件下,依赖方可能无法知道装置是否为得到依赖方授权的装 置(例如,提供可接受等级的验证和完整性保护的装置)以及/或者黑客是否已经危及生 物计量装置。生物计量装置的置信度取决于装置的特定实施。
[0021] 本发明的一个实施例采用密码证实来向依赖方确保使用的是正确的生物计量装 置。生物计量装置可进入密码证实交易,这时依赖方验证生物计量装置具有的传感器类型。 具体地讲,具有安全证实密钥存储装置的加密引擎包括在生物计量装置中,以向依赖方提 供安全证实。
[0022] 图2示出本发明的一个实施例,其包括用于证实验证器200的模型和/或完整性 的加密引擎205。具体地讲,如下文详细论述,加密引擎205执行与依赖方207的证实交易, 从而证明验证器200的完整性。在该实施例中,依赖方207只有在它还能够对验证器200 完整性的证据进行验证的情况下,才会信任匹配器204生成的得分。如图2所示,在一个实 施例中,依赖方207可为云服务。然而,本发明的基本原理不限于任何特定类型的依赖方。
[0023] 在操作中,加密引擎205有权访问安全密钥存储装置211,该安全密钥存储装置用 于存储证实交易期间所使用的证实密钥。例如,该密钥可为生产时存储在验证器200中的 私有密钥并且依赖方207可存储对应的公共密钥。然而,本发明的基本原理不限于任何特 定不对称或对称的密钥具体实施。
[0024] 在一个实施例中,生物计量装置包括保护证实密钥的附加保护逻辑。响应于检测 到某种篡改密钥的企图,保护逻辑会自动擦除密钥。在一个实施例中,安全密钥存储装置 211可以是与用于存储生物计量参考数据210的安全存储装置相同的安全存储装置,但本 发明的基本原理不限于此具体实施。
[0025] 图3a示出本发明的一个实施例中所采用的一系列证实交易。在交易300中,依赖 方207生成质询,并且在交易301中将质询发送到应用程序206,在交易302中,应用程序 206将质询转发到加密引擎205。在一个实施例中,质询是依赖方207选择的随机数字或随 机数。在操作303中,加密引擎205对该质询生成签名,并使用证实密钥生成得