行为学生物计量签名认证系统和方法
【技术领域】
[0001] 本发明涉及生物计量安全系统,而且具体涉及可用于识别认证目的的行为学生物 计量签名验证系统和方法。
【背景技术】
[0002] 生物计量认证指的是通过人的特征或特点对其进行的识别。生物计量识别符通常 被分类为生理的或行为的。生理的生物计量识别符指的是与个体的生理机能关联的唯一识 别符。DNA和指纹是这种生理的生物计量识别符的示例。行为科学的生物计量识别符指的是 个体的行为,例如步态和声音。行为科学的生物计量领域被统称为行为学生物计量 (behaviometric)〇
[0003] 既往,签名已经被用于验证文档。文档上签名的存在被解释为签字者采纳了文档 中指出的意见和/或条款的表示。例如,诸如租约之类的法律文件上个人的签名的存在,表 示该个人受制于文件中阐明的法律条款。在当前语境中,签名可能包括一个或多个符号或 其它独特标记(与绘制符号和/或标记的人的身份关联),例如可拼写出人名的字母的程式 化脚本。提供的签名的真实性可通过将其与模板签名进行一致性比较而被验证。图像比较 处理是有效的,其试图确定提供的签名和模板签名看起来是否足够类似。任何视觉差异可 能表示伪造的签名。
[0004] 现有的基于签名验证的识别验证处理(也称为签名验证处理)是相对不安全的。这 么做有几个原因。为了补偿人不能再现他们的签名的完全一样的图形化拷贝的缺陷,图像 比较是近似的,这就限制了签名验证处理的精确性一其仅仅提供识别的近似确认。这一限 制还意味着已经的签名验证处理容易受不诚实的用户的影响,这是因为对于专业伪造者来 说,图形地再现能够产生假造的正验证结果的视觉上类似的签名,是相对明确的。因为这些 原因,许多高价值文件和/或交易要求更稳健更安全的形式来进行识别验证。例如,在高价 值文件和/或高价值交易的情况下,通常,要求对签字者的身份进行保证的受信第三方的存 在一这是公证人的作用之一一和/或要求备选的识别验证手段。
[0005] 由于电子通信的不断增长的使用,提供传统签名的电子等价物,以及提供用于根 据提供的签名来验证用户的身份的稳健的数字手段,也变得必要。
[0006] 数字身份验证的通常的实现方法包括使用密码/通行码,其中唯一的保密的字母 数字编码被用来唯一地为系统识别人物。这种验证系统一般都不方便,因为它们要求用户 记住他们的唯一字母数字识别码。这种系统的安全性也取决于识别码的维持的保密性。
[0007] 现有的电子签名验证系统存在一些限制了它们在识别验证系统中的实用性的缺 陷,而且损害了所提供的安全水平。已知的电子行为学生物计量签名验证系统通过比较用 户接收的签名和用户的预存储的签名模板来进行操作。这种比较处理通常是图像比较处 理,其中几何相似性被识别。这种验证系统针对模板签名中存在的具体几何对象的存在分 析了提供的签名。各种对象匹配技术可被采用。正签名验证结果被返回,其中签名之间的任 意识别的几何差异处于预定的允许阈值内。否认,失败的验证结果被返回。该验证处理通常 是近似统计处理,其通过识别参考签名(模板签名)与提供的签名中存在的几何上相似的对 象来分析参考签名与提供的签名之间的统计上的图像相似度。
[0008] 依赖于签名之间的图形相似性的统计分析的电子签名验证系统容易被能够产生 与签名模板看起来足够相似的伪造签字的专业伪造者伪造。因此,在用作安全装置时,已知 的电子签名验证系统提供了有限水平的安全性。
[0009] Alisher Kholmatov和Berrin Yanikoglu的文章 "Biometric Authentication using Online Signatures'MSCIS 2004,LNCS 3280 ,pp. 373-380,2004, ?Springer Verlag Berlin Heidelberg 2004,公开了一种生物计量签名认证系统,其验证了提供的签 名相对于参考签名的真实性。提供的签名上的每个采样数据点与参考签名上提供的其相对 部分数据点进行比较。可接受预定阈值之外的采样数据点的任意变化可指示伪造物。采用 动态时间规整算法来识别参考签名上存在的相对部分数据点,这要求在相同速率下对每个 签名进行采样。这显著地限制了该签名验证方法的实用性。具体地,要求利用具有相同采样 特征的签名输入装置来提供参考签名以及为了验证而提供的后续签名,或者要求可通过预 处理功能来模仿这种采样特征。
[0010] Pattern Recognition 35(2002)2963-2972中公开的Anil K.Jain、Friederike D.Greiss和Scott D.Connell的文章 "On-line signature verification" 中提出的方案存 在同样的限制。
[0011] 本发明的一个目的是提供一种采用行为学生物计量的更稳健的电子签名验证方 法和系统,其可被用于数字识别目的,而且缓解了现有电子签名验证系统的缺陷中的至少 --止匕 -、〇
【发明内容】
[0012] 本发明使用行为学生物计量用户信息来验证签名的真实性。由于用户行为学生物 计量与用户的固有特性关联,他们提供更精确的手段以进行识别验证。此外,与用户行为学 生物计量关联的固有特性很难精确再现。由此,本发明比现有技术显著地更能抵抗伪造。
[0013] 本发明的第一方面涉及一种验证提供的签名的真实性的方法,所述方法包括下述 步骤:接收一组采样数据点,每个采样数据点与沿所述签名的不同位置关联;采用预存储用 户配置文件中包含的一组预定特征节点来识别该组采样数据点中的一组特征节点;确定每 个识别的特征节点是否处于相应预定特征节点的预定阈值范围内;以及在特征节点处于所 述预定阈值范围内时产生正验证。
[0014] 预定阈值范围的使用通过补偿不同的接收到的签名复本(即相同签名的不同拷 贝)中由于用户不能再现他们的签名的完全相同的图像拷贝而存在的差异,改进了方法的 实用性。换言之,该特征补偿了不同的提供的签名复本中固有的差异。
[0015] 优选地,每个采样数据点包括由时间坐标值表示的时间分量,而且所述接收步骤 包括针对每个采样数据点:通过比较与采样数据点和邻接布置的采样数据点分别关联的时 间坐标值,计算该采样数据点与邻接布置的采样数据点之间的时间间隔;确定所述时间间 隔是否处于预定时间间隔阈值内;以及当计算的时间间隔超过预定时间间隔阈值时对处于 采样数据点和邻接布置的采样数据点之间的一个或多个其它数据点的位置和时间坐标进 行内插,内插的位置被选择成使得采样数据点和与所述一个或多个其它数据点关联的内插 的时间坐标之间的时间间隔处于预定时间间隔阈值内。这确保了邻接采样数据点之间的分 隔的时间间隔足够小以便确保该组接收到的采样数据点足够精确定义关联的签名,该签名 可由函数进行数学表达。随后可使用内插来补充一组不完备的接收的采样数据点。这改进 了本方法的实用性,因为接收到的不完备的一组采样数据点可被补救而且被用于验证目 的。
[0016] 所述接收步骤可包括:计算采样数据点和邻接布置的采样数据点之间的分离距 离;确定所述采样数据点和邻接布置的采样数据点之间的分离距离是否处于预定距离间隔 阈值内;以及当计算的分离距离超过预定距离间隔阈值时,对处于所述采样数据点和邻接 布置的采样数据点之间的一个或多个其它数据点的位置进行内插,由此使得与所述一个或 多个其它数据点关联的采样的和内插的位置之间的分离距离处于预定距离间隔阈值内。这 就确保了,相邻采样数据点之间的分隔的距离间隔足够小以确保该组接收的采样数据点足 以精确定义相关签名。内插随后可被用来补充一组不完备的接收的采样数据点。这改进了 本方法的实用性,因为接收到的不完备的一组采样数据点可被补救而且被用于验证目的。
[0017] 所述识别步骤可包括获取所述预存储用户配置文件中包含的该组预定特征节点, 以及利用优化匹配从该组采样数据点中识别出与每个预定特征节点最相关的采样数据点。 优化匹配的使用是有利的,因为这使得预定特征节点能够匹配采样数据点,即使其中该组 采样数据点是以与预定特征节点的采样频率不同的采样频率采样到的。换言之,优化匹配 既不要求统一的采样率,也不要求通过预处理步骤来模拟这种速率。
[0018] 优选地,与签名的可见部分和每个特征节点关联的每个采样数据点由包括时间分 量和空间分量的矢量表示,其中空间分量表示矢量沿签名的相对位置。
[0019] 优化匹配可包括:从该组预定特征节点中选择第一预定特征节点;计算选择的第 一预定特征节点与该组采样数据点中包含的每个采样数据点之间的矢量点积值;将与最大 矢量点积值关联的采样数据点识别为与第一预定特征节点最相关的数据点,以及将采样数 据点指定为该组识别的特征节点中包含的特征节点;以及针对每个预定特征节点重复之前 的步骤。最相关的采样数据点是沿与预定特征节点的方向基本相同的方向定向的数据点, 由此分别与预定特征节点和采样数据点关联的这两个矢量之间的发散角被最小化。
[0020] 优化匹配可包括采用匹配函数Mj来识别与预定特征节点最相关的采样数据点,所 述匹配函数是三个可微函数?(0」)、6(心_,(1」+1)和以幻*(1」)的函数,其中适用下述定义 :
[0021] 是在与预定特征节点关联的矢量以及与采样数据点关联的矢量之间形成的角 度;
[0022] rj是与预定特征节点关联的矢量的标量分量;
[0023] dj是与采样数据点关联的矢量的标量分量;
[0024] dj+Ι是与邻接采样数据点关联的矢量的标量分量;
[0025] F(0j)和G(dj,dj+1)是正数而且具有正值上限;以及
[0026] Q(rj*dj)是凸函数,其被选择成在单调增大的同时其导数单调减小至0。
[0027]所述方法可进一步包括:选择识别的特征节点中的第一个特征节点;计算选择的 第一个特征节点相对于一个或多个邻接布置的识别的特征节点的几何关系;所述确定步骤 可包括验证是否每个计算的几何关系都处于预存储用户配置文件中包含的预定阈值范围 内;而且其中在一个或多个计算的几何关系处于所述预定阈值范围内时产生正验证结果。 这就验证了,预定特征节点之间存在的几何关系存在于接收的该组采样数据点中,而且改 进了签名验证处理的精确性。具体地,如果与识别的特征节点关联的几何关系与预定阈值 范围不一致,则这可能表明了一个伪造的签名。该特征也提供了一种用于验证优化匹配处 理的精确性的手段。如果识别的特征节点没有显示出预期的几何关系,则这可能表明不同 的采样数据点可能会更好地匹配预定特征节点。
[0028]可计算识别的特征节点与两个邻接的依次布置的识别的特征节点中的每一个之 间的几何关系,从而定义与识别的特征节点关联的两个不同的几何关系。可替换地,可计算 识别的特征节点与七个邻接的依次布置的识别的特征节点中的每一个之间的几何关系,从 而定义与识别的特征节点关联的七个不同的几何关系。一般,分析的几何关系越多,验证处 理月精确。然而,这一改进的精确度增加了处理要求。在可用处理资源有限的特定应用中, 分析大量几何关系可能是不灵活的。七个几何关系的计算提供了良好的平衡,改进了验证 处理的精确性,同时不会不适当地增加处理要求,确保了本发明的方法可被实现在具有不 同处理能力的各种各样的不同设备上。
[0029]在优选实施例中,利用不同数量的识别的特征节点将几何关系的计算执行两次。 在第一种情况下,识别的特征节点m的数量小于或等于采样数据点η的数量的一半:
[0030] m<n/2〇
[0031] 按照这样的方式,计算的几何关系可被用来确定与正被验证的提供的签名关联的 该组采样数据点中是否保持了局部几何关系。
[0032]在第二种情况下,识别的特征节点m的数量小于或等于采样数据点η的数量的四分 之一:
[0033] m < η/4〇
[0034] 由于特征节点所关联的是优选地沿提供的签名的整个长度均匀间隔开的采样数 据点,特征节点的这种低密度选择有助于确定该组采样数据点中是否保持了全局几何关 系。接收到的该组采样数据点中的全局及局部几何关系的存在与否的分析改进了验证处理 的精确性。
[0035] 所述方法可包括以可变采样率采样提供的签名,使得该组接收到的采样数据点中 包含的采样数据点的至少一部分与不同采样率关联。方法可进一步包括:根据该组采样数 据点产生哈希值;将产生的哈希值与一组预存储的哈希值进行比较以确定是否产生的哈希 值是唯一的;而且其中在产生的哈希值是唯一的时产生正验证结果。哈希值可被用来防止 重放攻击(也称为中间人攻击),其中例如,与之前提供的签名关联的数据被重新利用。由于 该组接收的采样数据点中包含的至少一部分采样数据点与不同采样率关联,接收到每组采 样数据点应该是唯一的。该组采样数据点的唯一性确保了从唯一的采样数据点产生的哈希 值也是唯一的。如果比较揭示出与一组接收的采样数据点关联的哈希值不是唯一的,则这 就表明之前接收的一组采样数据点被重新利用,在该情况下可返回负验证结果。
[0036]优选地,所述采样步骤包括标准化提供的签名。这就缓解了提供的签名之间的大 小的任意影响。
[0037]所述方法可包括计算每个识别的节点之间的流逝的时间间隔;确定计算的时间流 逝值是否处于预存储用户配置文件中包含的预定阈值范围内;以及在计算的时间流逝值处 于预定阈值范围内时产生正验证结果。由于签名与预先想好的动作(经授权的用户的第二 天性)关联,预期的是,产生签名所花的时间在提供的不同的签名复本之间仅仅稍有波动。 因此,签名的不同部分之间的流逝的时间间隔的分析可提供一个良好的度量来验证提供的 签名的真实性,尤其是是否是真实用户产生了签名。
[0038]所述方法可包括采用与每个特征节点关联的空间坐标和时间坐标,针对每个识别 的特征节点计算速度矢量;确定每个计算的速度矢量是否处于预存储用户配置文件中包含 的预定阈值范围内;以及在计算的速度矢量处于预定阈值范围内时产生正验证结果。速度 矢量提供了一种捕获与提供的签名关联的行为学生物计量用户运动信息的方便的方法。由 此,通过分析速度矢量,可以确定提供的签名是否由真实用户产生。
[0039 ]所述方法还可包括采用与每个特征节点关联的空间坐标和时间坐标,针对每个识 别的特征节点计算加速度矢量;确定每个计算的加速度矢量是否处于预存储用户配置文件 中包含的预定阈值范围内;以及在计算的加速度矢量处于预定阈值范围内时产生正验证结 果。加速度矢量提供了另一种捕获与提供的签名关联的行为学生物计量用户运动信息的方 便的方法。通过分析加速度矢量,因此可以确定提供的签名是否由真实用户产生。
[0040] 所述方法可包括计算与该组采样数据点中包含的邻接采样数据点之间存在线段 关联的一阶和二阶导数;根据计算的一阶和二阶导数来定义提供的签名的几何复杂度;以 及在定义的几何复杂度低于最小预定必要几何复杂度阈值时拒绝接收的签名。这提供了一 种自动的方法来确定是否从签名中导出了足够量的行为学生物计量信息。可从签名导出的 行为学生物计量信息的量部分程度地取决于签名的几何复杂性。从这个意义上讲,签名的 行为学生物计量信息内容至少部分程度地取决于签名的几何复杂性。提供的签名越是在几 何上复杂,则可从其中导出更多的行为学生物计量信息,因此更容易区分签名及其伪造的 拷贝。该特征确定了提供的签名的几何复杂性是否足以用于行为学生物计量验证目的。本 发明的方法的不同实施方式可能会要求提供的签名满足不同的复杂度等级,这取决于所要 求的安全性的水平。
[0041] 该方法可包括:保留导致正验证结果的特征节点值的记录,所述特征节点值被关 联至与相同签名的不同拷贝关联的多个不同的接收到的采样数据点组;针对相同签名的每 个不同的提供的拷贝计算特征节点值和相应预定特征节点之间的统计方差;以及将相应预 定特征节点的预定阈值范围修改成与计算的统计方差一致。可利用导致与在一个时间段内 提供的相同签名的不同拷贝关联的正验证结果的特征节点值来计算统计方差。按照这样的 方式,预定阈值范围的幅度可根据用户能够产生他们的签名所持的一贯性而自动确定,而 且可以在用户的一贯性随时间而缓慢变化时改变。这就确保了用户的预存储的配置文件是 最新的。
[0042] 所述方法可用于授权两个远程布置的实体之间的交易。
[0043] 本发明的第二方面涉及一种用于验证提供的签名的真实性的系统,其被配置用于 执行上述总结的方法。具体地,系统可包括:输入装置,其被配置成接收一组采样数据点,每 个采样数据点与沿所述签名的不同位置关联;以及处理器。所述处理器可被配置成:采用预 存储用户配置文件中包含的一组预定特征节点来识别该组采样数据点中的一组特征节点; 确定每个识别的特征节点是否处于相应预定特征节点的预定阈值范围内;以及在特征节点 处于所述预定阈值范围内时产生正验证。
[0044] 在具体实施例中,所述输入和所述处理器可被包含在分离装置中。
[0045] 所述处理器可被包含在与所述输入远离的服务器内,而且所述服务器可通过通信 信道操作耦接至所述输入。
[0046] 所述输入可包括用于接收签名的触摸板或触摸敏感屏幕。
[0047] 所述输入可包括配置有触摸敏感屏幕的移动电话。按照这样的方式,用户可使用 移动电话的触摸敏感屏幕来提供了他们的签名给所述处理器以进行后续验证。例如,所述 处理器可被包含在远程的的服务器内。
[0048] 所述输入可包括个人计算机、平板电脑,配置用于接收用户的签名。
[0049] 所述系统可被用于控制对安全资源的访问,例如银行账号。这对于控制远程访问 用户的银行账号特别有用。例如,作为用于网上银行业务的识别验证手段。