[0050] 所述系统可被用于控制两个远程布置的实体之间的交易。例如,在交易涉及金融 交易时,本发明的系统可被用作中间设备来验证和确认付款人的和/或收款人的身份。例 如,系统可与布置作为付款人和收款人之间的的中间设备的服务器有关,而且被布置用于 验证与付款人的或收款人的签名关联的一组采样数据点的真实性。
[0051 ]本发明的第三方面涉及被配置成上述方法的移动电话。
[0052] 本发明的第四方面涉及被配置成上述方法的个人计算机。
[0053] 本发明的第五方面涉及被配置成上述方法的平板电脑。
【附图说明】
[0054]现在将参考下面的附图来描述本发明的各种实施例,其中:
[0055]图1是根据本发明的实施例的配置成执行签名验证方法的系统的示例;
[0056]图2是概述可以在图1的示例系统上执行的签名验证方法中包含的步骤的处理流 程图;
[0057] 图3a、3b和3c图示出使用图1的系统对提供的签名进行采样包含的不同步骤(图 3a)、包括对提供的签名进行采样的步骤(图3b)以及特征节点的识别(图3c);
[0058] 图4是概括了可以在图1的示例系统上执行的产生用户的行为学生物计量签名模 板所要求的签名注册处理中包含的步骤的处理流程图;
[0059] 图5图示出签名的一部分,示出了签名部分如何被采样以定义出签名曲线;以及
[0060] 图6是包括多个特征节点的签名曲线的可见部分,而且示出了几何关系信息在图4 的签名注册处理期间或在图2的验证处理期间可被如何计算。
【具体实施方式】
[0061] 除了其他之外,本发明涉及用于验证从用户的签名导出的行为科学的生物计量信 息的系统和方法。
[0062] 为了帮助读者理解本发明,参考图1描述了系统的简要的高水平描述,说明了本发 明的示例的真实实施方式。后续会有本发明的具体示例方面的更详细的描述。
[0063] 图1是配置成实现本发明的方法的示例性行为学生物计量签名验证系统1的示意 图。系统1包括适合用于接收签名的装置3(该装置3在后续的讨论中将被称为签名输入装 置)、显示装置5和认证装置7。签名输入装置3可涉及用户可提供签名的任意设备,其被配置 成监控并记录接收签名以及所花费的时间、对与签名关联的别具风格的脚本在被产生时进 行记录。显示装置5可被配置成显示视觉提示和/或指示给用户以输入他们的签名,以及显 示签名验证结果。例如,显示装置5可被配置成显示指示用户在什么时候开始在签名输入装 置3输入他们的签名的指令。认证装置7被配置成通过分析签名(具体地从中导出的行为学 生物计量信息)、将该信息与存储在数据库11中的用户的预存储的行为学生物计量签名模 板9进行比较,来验证提供的签名的真实性。数据库11操作耦接至认证装置7,向认证装置7 提供对预存储的生物计量签名模板9的访问。
[0064] 签名输入装置3和认证装置7可每个都包括处理器、存储器而且可包括一般存在于 这种装置和通用计算机中的其它组件。在一个示例中,每个存储器可存储可被装置的处理 器访问的信息,包括可被所述处理器执行的指令。存储器可还包括可由处理器取出、操作或 存储的数据。存储器可以是能够可被处理器访问的信息的任意类似的介质,例如硬盘驱动 器、存储卡、DVD和/或可写只读存储器。所述处理器可以是任意的传统处理器,包括通用处 理单元和精简指令集计算("RISC")处理器。可替换地,所述处理器可以是专用控制器,例如 ASIC〇
[0065] 虽然签名输入装置3和认证装置7可每个包括它们自己的处理器,每个装置的处理 器和存储器可包括多个处理器和存储器,它们可以或者可以不存储在相同的物理客体内。 例如,指令和数据中的一些可存储在可移动介质上,而其它部分可存储在只读计算机芯片 上。指令和数据中的一些或全部可存储在与所述处理器在物理上远离但是可被其访问的位 置中。类似地,所述处理器可包括一系列处理器,它们可以或者可以不并行操作。
[0066]在一些实施例中,签名输入装置3、显示装置5和认证装置7中的任意一个或多个可 被包含在相同物理装置中。可替换地,签名输入装置3、显示装置5和认证装置7中的任意一 个或多个可被包含在分离的物理装置中,在这种情况下这些装置被布置成经由一个或多个 通信信道彼此通信。
[0067]行为学生物计量签名验证系统1可被部署为识别认证装置。例如,系统1可被用来 通过控制大门或房门的操作或来控制对安全设施的访问,或者它可被用来控制对安全装置 的访问,例如智能手机、平板电脑或类似装置。签名输入装置3可涉及配置成检测手指状态 的触摸敏感板,而显示装置5可涉及LCD屏幕。
[0068] 考虑前述示例,其中系统1被实现来在一旦接收到打开大门或者房门的用户请求 时控制对安全设施的控制,可涉及LCD屏幕的显示装置5可被配置成显示指示用户在适当签 名输入装置3中提供他们的签名的指令,签名输入装置3可涉及前述触摸敏感板。在触摸敏 感板上输入签名时,板上的手指轨迹(这涉及签名的程式化脚本)以及输入签名所需的时间 被记录。提供的签名被分析并被传递给认证装置7以与用户的预存储的生物计量签名模板9 进行比较。签名分析包括分析并从提供的签名导出行为学生物计量信息。这可在处理业务 许可的签名输入装置3处或认证装置7处被执行。分析可在输入签名的同时实时执行,或者 其可在整个签名已经被提供之后被分析。
[0069] 认证装置7将导出的行为学生物计量信息与用户的预存储的行为学生物计量模板 进行比较以确定从提供的签名导出的行为学生物计量信息是否与用户的行为学生物计量 模板一致。验证结果可随后被显示在显示装置5上。
[0070] 图2是处理流程图,其概括了例如利用图1的系统执行的本发明的行为学生物计量 签名验证方法中包含的不同步骤。在步骤13,签名29,例如图3a所示的签名,被提供在签名 输入装置3上。如上所述,这可通过在显示装置5上显示指示用户提供他们的签名的视觉提 示而被初始化。在步骤15,提供的签名被采样而且优选地被标准化。
[0071] 标准化被用来减轻相同签名的不同的提供的复本之间的大小的潜在差异,而且有 助于确保导出的行为学生物计量的精确性。例如,如下文将更详细地描述的那样,用户的行 为学生物计量签名模板9在注册处理期间被产生,其中用户的签名的一个或多个拷贝(在此 还被称为签名复本)被提供,而且从中导出相关行为学生物计量信息。签名优选地被标准化 以减轻不同提供的签名复本之间的物理大小的差异。这有利于确保导出的行为学生物计量 信息独立于不同提供的签名复本之间的物理大小的差异。在后续签名验证期间,签名标准 化有利于通过最小化错误拒绝率来确保精确性。
[0072] 在步骤17识别并访问用户的相关行为学生物计量签名模板9。可通过在签名输入 步骤13期间要求输入用户识别符来识别相关行为学生物计量签名模板9。一旦提供了用户 识别符,相关行为学生物计量签名模板9的识别可通过验证服务器7执行。识别符可涉及字 母数字编码、名称或任意其它识别手段。识别符可由用户在签名输入装置3上提供。类似地, 签名输入装置3可包括触摸敏感键盘,例如诸如iPhone?.之类的大部分配置有触摸屏的智 能移动电话中存在的那些。
[0073] 可替换地,图1的行为学生物计量签名验证系统1可配置有附加的键盘(在图1中未 示出)用于提供用户识别符。按照这样的方式,在步骤17,用户能够提供他们的识别符,而且 认证装置7能够识别相关用户行为学生物计量签名模板9。
[0074] 用户的行为学生物计量签名模板9包括一组特征节点,其涉及用户的签名的程式 化脚本上的多个预先选择的数据点。在签名验证处理期间使用特征节点来识别提供的签名 上的采样数据点,其最好对应于用户的行为学生物计量签名模板9中包含的特征节点。在步 骤19,使用确定性匹配来识别与特征节点对应的采样数据点。在下面的讨论中,识别的采样 数据点还被称为特征节点。
[0075] 重要的是注意,其中用户的相关行为学生物计量签名模板9被验证服务器7识别的 精确阶段是不重要的。唯一的要求是,在步骤19,用户的行为学生物计量签名模板9在确定 性匹配之前被识别出来。例如,用户的行为学生物计量签名模板9的识别可在签名输入(步 骤13)之前执行。
[0076] 在步骤21进行相关性分析,其包括分析步骤19在提供的签名上识别出的特征节点 与用户的行为学生物计量签名模板9中包含的特征节点之间的相关性。这包括识别两组特 征节点之间的统计方差。在步骤23确定统计方差以处于存储在用户的行为学生物计量签名 模板9中的预定阈值内,随后认证装置7在步骤25返回成功验证结果。如果识别的统计方差 处于允许的预定阈值之外,则在步骤27返回验证失败结果。由于普通人天生地不能每次完 美地复制他们的签名,所以预期提供的签名在包含的特征节点以及用户的行为学生物计量 签名模板9中的特征节点之间观察到的方差的较小的幅度,即使是对于真实的授权用户。由 此,每个提供的签名复本被预期与之前的复本稍有偏差,而且本发明的系统和方法可投合 这种类型的预期方差。
[0077] 这种人类特征可还被用作附加的安全特征。例如,如果在步骤21相关性分析结果 显示与行为学生物计量模板配置文件的完美匹配,则这可表明伪造的签名,而且出于安全 性原因,可在步骤27返回失败的验证结果。在当前环境下,完美匹配表明其中提供的签名上 包含的特征节点不显示相对于用户的行为学生物计量签名模板9中定义的特征节点值的任 意统计偏差的情况。
[0078]根据其中部署签名验证系统1的环境,验证结果可被提供在显示装置5上。在签名 验证系统1被部署来控制对设施的访问时,例如,成功的验证可导致可选的视觉确认被显示 在显示装置5上,而且授权访问设施。任意显示可被使用,例如,显示可以是:在确定正验证 时打开的灯、显示定制消息的监视器、或者物理地改变对象的位置的机械装置,例如对一侧 标记为"关闭"而另一侧标记为"打开"的对象进行翻面。
[0079] 本发明的上述或下述实施例被提供用于示例的目的,而不是限制性的。本发明的 方法和系统可被部署在各种不同环境下,而且前面及后面讨论的特征的这些和其它变型以 及组合可以在不脱离权利要求所定义的主题的情况下被采用。此处描述的示例的提供(以 及短语〃诸如〃、〃例如〃、〃包括〃等)不应该被解释为将所请求保护的主题限制至具体示例, 实际上,示例旨在说明本发明的许多可能方面中的仅仅一些。
[0080] 而且,应该理解的是,认证装置7的物理位置是不重要的。认证装置7可处于签名输 入装置3本地,或者它可远离签名输入装置3。例如,在签名输入装置涉及智能手机的触摸屏 时,认证装置7可处于智能手机本地,由此签名可在智能手机本地进行验证而不用建立与远 程布置的验证服务器的数据通信。在该实施例中,设计使得智能手机可以仅仅本地地存储 一个或多个经授权用户的行为学生物计量签名模板。该实施例的另一优势在于,即使在所 谓的移动电话'黑洞'中也能使用签名验证系统。换言之,在移动电话接收信号非常弱或者 甚至没有移动电话接收信号的地理区域都可以使用该系统。可替换地,签名输入装置3可以 是在某个位置的专用装置,认证装置7可以是另一位置处的服务器,数据库11可被包含在又 另一位置处的存储器中,而且所有这些装置经由网络彼此通信,例如有线局域网(LAN)、Wi-Fi网络、蜂窝电话网或诸如因特网之类的广域网。为此,签名输入装置3、认证装置7和数据 库11以及它们各自的组件可以或者可以不包含在相同装置中或相同位置处。类似地,显示 装置5可以或者可以不包含在作为签名输入装置3的相同装置中,例如,显示装置5可以是一 个单独的监视器。通过替换示例的方式,显示装置5和签名输入装置3可经由相同触摸敏感 屏幕实现。
[0081] 如之前提到的那样,在初始的用户注册处理期间产生用户的行为学生物计量签名 模板9,现在将更详细地对其进行描述。
[0082]图3a、3b和3c图示出注册处理包含的不同阶段,而且具体图示了采样和特征节点 部署处理。这些在下文中参考图4会有更详细的描述。
[0083]图3a图示出在图2的步骤13在输入装置3提供的签名29的拷贝。图3b图示出在图2 的步骤15采样到的采样数据点31。图3c图示出在图2的步骤19的特征节点33的识别。
[0084]图4是提供了注册处理中包含的步骤的概览的处理流程图。注册处理可在图1所示 的行为学生物计量签名验证系统或者诸如认证装置7之类的包括至少用于接收签名的装置 3和配置用于从提供的签名导出用户行为学生物计量信息的任意其它类似系统中执行。 [0085]在初始化注册处理时,在步骤35,用户可能被要求在签名输入装置3上提供他们的 签名的两个或更多拷贝。在本发明的讨论中,术语签名拷贝和签名复本将可互换使用来表 示相同签名的不同拷贝。优选的是,在注册期间,相同签名的两个或更多复本(拷贝)被提供 以使得系统能够凭经验产生统计容许阈值。这些容许阈值通过降低错误拒绝率改进了签名 验证系统的实用性。然而,实际上,容许阈值可被任意复制,在该情况下注册期间可能要求 签名的仅仅单个提供的拷贝/复本。然而,设计使得依赖任意产生的容许阈值的签名验证系 统很可能导致更大错误拒绝率。相反,根据凭经验的分析来产生每个用户定制的容许阈值 的签名验证系统,将很可能导致更低的错误拒绝率,这是因为计算的容许阈值值将至少部 分地取决于分析用户复制他们的签名时的一致性如何。这就是为什么优选的是,在注册期 间提供两个或更多签名。与表现出高度一致性的用户关联的行为学生物计量签名模板,与 表现出更低程度的一致性的用户相比,很可能包括更小的容许阈值,这是因为对于前者在 提供的签名复本中预期更低程度的统计方差。因此,如果在后续签名验证处理期间在提供 的签名复本中观察到更大程度的统计方差,提供的签名更有可能是伪造的签名。
[0086] 图3a图示出提供的签名29的示例。在所示示例中,已经提供了名字"Yoss i"。在图 形上对签名进行表征的文体脚本在图示的示例中清晰可见。如前面所述,多个签名输入使 得行为学生物计量签名系统1能够产生考虑了签名的不同的提供的复本之间的不一致(即 统计方差)的容许阈值。如前面所述,根据本发明的优选方面,产生的阈值可以是用户专用 的,而且部分地取决于用户再现他们的签名的基本相同的拷贝时的一致性如何。能够一致 地再现他们的签名的非常相似的拷贝的用户,相比于不能再现他们的签名的相似拷贝的用 户,很可能具有较小的阈值。本发明的签名验证系统被设计成投合这两个极端的用户。
[0087] 注册期间提供的签名的拷贝/复本数量越多,则凭经验产生的容许阈值值可能更 精确。术语'精确'在本发明的环境中指的是统计精度,其随着注册期间提供的签名复本的 数量而提高。量化了用户的精确地并且一致地再现他们的签名的能力的所产生的阈值越是 精确,验证系统产生在后续签名验证处理期间产生错误拒绝的可能性越低。在真实用户没 有通过签名验证处理时产生错误拒绝。实用的可商业实现的签名验证系统的一个目标是最 小化错误拒绝产生的频率。换言之,最小化错误拒绝率是一个目标,以便改进签名验证系统 的可用性。
[0088] 所产生的行为学生物计量用户信息的质量和精度会随着注册期间提供的签名复 本的数量的增大而提高。
[0089] 优选地,注册期间提供签名的五个拷贝/复本。为了避免在后面的讨论中引起混 淆,注册期间提供的签名将被称为参考签名,以便将它们与在后续验证处理期间为了验证 而提供的签名进行区分。图4的后续讨论将考虑这样的实施例,其中注册期间提供了五个参 考签名。然而,这不是一个很难的要求,而且可以利用任意的多个参考签名来执行所述方法 (其中多个指的是签名的两个或更多拷贝)由此可执行统计相关性分析。
[0090] 注册处理以用户在适当签名输入装置3上输入第一参考签名启动。在步骤37,参考 签名优选地在输入期间同时被签名输入装置3采样,以及被标准化。在签名输入注册系统之 后,在步骤38询问是否已经对参考签名的足够数量的拷贝进行了采样。所要求参考签名的 数量可由注册实体指定。步骤35、37和38重复,直到已经提供了指定数量的参考签名。在当 前描述的示例中,要求有五个参考签名,因此针对提供的五个参考签名中的每个重复步骤 35、37和38。
[0091 ]签名可由一个或多个几何曲线的总体表示。这些一个或多个几何曲线可由一个或 多个函数进行数学定义。采样包括记录多个数据点,每个数据点对应于处于几何曲线上的 一个点。曲线上的足够数量的数据点必须被采样以在数学上定义几何曲线,它们可互换地 被称为签名曲线。在后续讨论中,签名曲线将被以单数指出。然而,应该理解的是,签名曲线 可能包括一个或多个不同几何曲线,其中每个由不同数学函数定义。
[0092]如前面在参考图2时提到的,为了减轻尺寸差异(即补偿提供的参考签名的相对尺 寸上的差异),每个提供的参考签名优选地被标准化。这可在步骤37在采样处理期间执行。 可替换地,这可在所述采样步骤37之后执行。标准化减轻了尺寸对后续验证分析的影响,由 此增大了分析结果是精确结果的可能性。
[0093] 一旦在步骤38系统已经确定已经提供了预定数量的参考签名,则步骤39,提供的 参考签名中的第一个被选择而且特征节点被定义在签名曲线。这可包括选择以预定频率或 以预定间隔采样的签名数据点的子集。签名数据点的选择的这个子集表征了签名,而且被 称为特征节点以便将它们与其余数据点进行区分。
[0094]例如,特征节点的选择可包括选择沿签名曲线均匀分布的采样数据点的子集。类 似地,可以使用附近的和/或表征签名中包含的几何特征的边界的数据点。
[0095]识别表征几何特征的一种方法是分析相邻采样数据点之间的一阶和/或二阶导 数。导数的分析可提供与签名曲线的几何形状有关的信息。具体地,二阶导