电子签名验证方法和装置的制作方法

专利名称：电子签名验证方法和装置的制作方法
技术领域：
本发明涉及验证个人身份领域。更特别地是，本发明涉及通过使用签名进行个人身份验证的方法。
背景技术：
在研发可靠地确定个人身份的系统方面已经取得了重大进步。最近，已经设计了测定个人的生理统计特征(例如，虹膜、视网膜、指纹、语音、签名、手掌和面部特征模式)，然后对测得的特征与可信的“绝对真实”参考，即生理统计模板进行匹配的系统。这样的系统具有测量个人固有的属性特征的优势，即测量这个人总是具有的、不可改变或损坏的属性特征的优势。
在典型的生理统计系统中，通过取得形成个人的“生理统计模板”的一个或多个生理统计样本对其进行注册。这个模板因此被赋予一个唯一的标识(通常是一个号码)，当从模板数据库中对个人的生理统计模板进行检索时，这个标识因此可作为索引(地址)。数据库能够含有关于个人的其它信息，例如金融账户信息，以及对其它数据库的引用。这些数据库可以很小，例如，含有至多数十条对应于商店店员的信息，或者数据库可能很大，例如，含有数十万条医院病人信息，甚至数据库可以非常庞大，例如，含有数百万条银行信用卡成员或者大型零售连锁店顾客的信息。
一旦个人已经进行了注册，当进行商业交易时，他或她就能够被识别、验证和认证。识别涉及将所采集的生理统计样本与许多生理统计模板中的一个进行匹配(即1对N匹配)的过程。身份验证涉及将所采集的生理统计样本与一个特定的模板(即1对1匹配)进行匹配的过程。认证则对已经得到验证的个人赋予访问和服务的资格。在广泛的应用和领域中，生理统计识别、验证和认证系统可被用于许可、拒绝或限制访问和交付服务，这些应用和领域包含金融交易；获准对房间、设施或俱乐部的物理进入；获准对数据、文件、计算设施或介质的电子访问；对驾驶、投票、参观、旅行和工作的分享特权和权利。
实际上，有缺陷的生理统计特征采样能够导致样本与模板匹配的错误，这些错误可以被分类为错误接受(也被称为错误肯定)或错误拒绝(也被称为错误否定)。当所采集的生理统计样本与生理统计模板错误匹配时，就会出现错误接受(FA)的问题。另一方面，当所采集的生理统计样本未能与适当的生理统计模板匹配时，就会出现错误拒绝(FR)的问题。为了满足应用上的需要，可以调整生理统计匹配算法以取FR而舍FA或取FA而舍FR。(例如，在Barbara等人的题目为“手写数据对象的相似匹配方法和装置”的美国专利5,710,916；Abso等人的题目为“动态签名验证方法和装置”的美国专利4,646,351；Herbst等人的题目为“签名验证方法和装置”的美国专利3,983,535中教导了生理统计匹配算法。这里完整地参考引用了所提及的这些专利和其它美国专利，共同待审的申请，和已公开的专利申请。)涉及频繁的小额购买的应用，例如象购买快餐食品或在便宜店购物这样的应用能够很容易地忍受较大的FA以便获得较大的FR，使得很少有合法顾客遭到拒绝，而象电气和电子产品这样高价格交易更适合使FA产生的损失最小。
生理统计识别比生理统计验证更易于产生错误。例如，如果错误接受的机率是百分之一，并且数据库中有一百万个生理统计模板，在缺乏任何验证程序的情况下，采集样本会产生平均10000个错误接受(一百万乘百分之一)，而带有用于验证的标识的采集样本会产生平均0.01个错误接受(一乘百分之一)。因此，最好通过提供对个人进行识别的手段，将识别问题降级为更易于处理的验证问题。
被称为令牌(token)的物理设备可被用来识别个人。信用卡、ATM卡、智能卡、射频标识(RFID)标签，条形码都是令牌的例子。生理统计系统可以被设计成使用含在令牌中的标识信息索引和检索个人的生理统计模板，并且对采集的生理统计样本进行验证测试。
多年来，人们花费大量精力开发能够可靠确定个人身份，以便允许进行金融交易的电子系统。用于零售应用的系统通常使用磁条卡作为令牌。然而，因为卡可以被偷走，已经开发出使用这种卡对个人身份进行验证的方法。ATM卡通常需要用户使用数字键盘输入个人识别号码(PIN)或保密代码。由于为安全性理由最好不要将PIN书写出来，PIN应当被用户记住，因此PIN通常较短。存储在ATM卡的磁条上的身份识别信息被用来索引个人参考PIN号码，参考PIN号码通常被存储在远程安全服务器上。如果检索出的参考PIN号码与用户提供的号码相同，并且帐户是可靠的，则允许进行交易。然而持卡人必须采取防范措施防止可能的窃贼窥视到对应于PIN号码的键击。此外，因为个人通常针对多个账户使用同一PIN号码，一个系统遭到破坏可能会影响到其它系统的安全性。
信用卡通常使用签名进行验证。当接受信用卡时，持卡人将签名模板(可信的“绝对真实”参考)写在卡上。然而这会造成几个问题它为潜在的伪造者提供了签名样本，顾客提供的签名通常由未经签名辨认技能训练的出纳员来检查，并且签名模板可能被篡改并输入新的签名。此外，卡可能在到达期望的接收方之前就被截获了，在这种情况下另一签名可以被写在卡上。
智能卡是更加成熟的令牌的例子，它综合了电子存储器和处理能力以允许存储加密信息。智能卡可以含有个人标识信息和验证信息。例如，PIN号码可以被包含在卡中，并可以在本地进行验证。智能卡的设计使得获得卡的个人非常难以确定卡中的内容。然而，潜在的窃贼仍然可能通过窥视持卡人的键击确定其PIN号码，因此危及到PIN号码的任何其它使用的安全。
Burger等人的题目为“生理统计认证系统”的美国专利6,219,439公开了一个生理统计认证系统，该系统将生理统计模板嵌入智能卡中，从而允许对个人的生理统计样本进行本地验证。尽管对任何窃贼来说非常难以使用这张智能卡，但是用户仍然必须携带这张智能卡进行使用，因此遗忘、丢失和被盗将会妨碍其使用。
前述令牌方法的另一个不利之处是需要录入工作台对卡上或卡中的识别信息进行电子阅读。当配置大量录入工作台时，这些录入工作台的成本很高。例如，大型零售连锁店可能需要好几万个这样的录入工作台。
通常使用的无令牌识别方法涉及用户键入用户名和口令。在这种情况下，用户名是标识符，因此将问题降级为验证问题。口令是为用户所知的、用于验证其身份的秘密。这种方法通常涉及作为录入工作台的字母数字键盘，而这个键盘占有相当大的空间，而在许多诸如零售店、快餐店和银行的设施中空间是有价值和有限的资源。而且，口令必须记住并且在使用时保护好。
在Hoffman等人的题目为“无令牌电子交易系统”的美国专利6,366,682中公开了一种无令牌电子交易系统，其中键入PIN并且使用该PIN进行识别，并且使用生理统计样本(例如，指纹)进行验证。象在其它系统中那样，如果PIN号码在其它的金融交易系统(例如，在ATM处使用时)中用于验证，则用户必须提防将PIN号码泄露给其他人。此外应当注意，公众对提取指纹有很大的抵触，因为指纹通常用于登记和跟踪罪犯。并且，由T.Matsumoto等人所作的最新工作报告中(见“人造粘胶手指对指纹系统的影响”，SPIE学报Vol.#4677，光学安全和防伪技术IV，2002)向人们证明，可以通过使用凝胶模的简单方法来产生其质量足以好到能够骗过大多数指纹读取器的指纹摹本。
借助于手写签名进行的身份验证已经使用了很长的一段时间纸上的墨水签名曾经并且仍然是金融交易中的常见手段。一旦在合同、信用卡和支票上签字，这些合同、信用卡和支票就具有法律约束力。在美国，电子签名可以用于授权商业交易。然而，大多数签名作为静态表示被记录下来。因此，样本签名可能给伪造者练习和复制合法签名的机会。
另一方面，动态签名验证(也被称为在线签名验证)测量笔迹的各种时变物理特征，这包含笔尖的压力、速度、加速和笔迹方向--这些特征是签名的静态图像所不能揭示的。尽管两个签名在纸上看来可能是相同的，但是产生手写图像所需的手对笔的时变动作可以存在很大的不同。通过记录和比较这些动态手写产物，签名的真实性可以得到验证，并且任何潜在伪造者的成功几率将大大地减少。记录笔迹物理特征的方法可在Price等人的题目为“便携式签名获取板”的美国专利5,561,282中了解到。将顾客签名(待验证)与参考签名进行匹配的方法可从Muroya的题目为“笔迹特征验证方法和装置”的美国专利6,160,914；Aharonson的题目为“使用笔划分析的笔迹识别系统”的美国专利6,339,655；和Bechet等人的题目为“笔迹与参考笔迹的比较方法”的美国专利4,901,358中学到。
为了避免术语上的混乱，有必要指出在两个看来很相似但实际上具有完全不同的意义的术语之间的差别。数字化签名是个人笔迹的数字化表示(例如，参见Taguchi等人的题目为“带显示器的坐标输入设备”的美国专利4,845,478)，并且是本发明的主题。另一方面，数字签名是针对数字消息执行的数学运算，用于确保消息和发送者的真实性。例如，Dwork等人的题目为验证文件签名的系统和方法”的美国专利6,081,610和Schwartz等人的题目为“电子交易认证技术”的美国专利申请公开说明书2001/0044896A1都涉及使用数字签名(对数据的数学运算)以确保真实性，并且与通过记录人的笔迹所产生的数字化签名无关。
动态签名验证领域的重点在于签名，因为签名是人们频繁使用的个性化字符序列--签名具有个人唯一拥有的特征，并可以随时复制(可重复的)。然而，任何实质上可重复的手写字符序列均可用于验证。Lee的题目为“利用相对角度测量的签名验证装置和方法”的美国专利6,236,740公开了需要签名和当前日期的动态签名验证系统。这产生了实际上每天发生变化的笔迹样本，从而防止“记录和重放”攻击。德国专利DE19844181A1公开了这样的笔迹验证方法，其中“署上”PIN号，确认用户有关PIN号的知识，并且确定其以和记录的模板相一致的方式动态书写PIN号的能力。
仍然需要易于被公众接受的简单识别和验证系统。

发明内容
本发明的优选实施例是使用电子处理器对个人进行无令牌的识别、验证和授权的方法和系统。在注册时，个人提供至少一个参考签名。当进行交易时，个人在数字化工作台上印出他或她的电话号码或名字，并且签上其名字，数字化工作台例如是具有位置探测数字化仪的LCD(例如，触摸屏)。字符识别处理将手写的电话号码或名字转换成用于索引和检索个人参考签名(生理统计模板)的相应计算机字符。(字符识别处理在Ikebata等人的题目为“在线字符识别方法和设备”的美国专利6,175,651；Brown等人的题目为“使用不变量特性进行手写识别的方法和装置”的美国专利6,243,493；Dolfing等人的题目为“根据使用由时间序贯帧导出的综合观察的特征矢量进行在线手写识别的方法和装置”的美国专利6,084,985中讨论过。)动态(或静态)笔迹匹配方法将交易时提供的签名与参考签名相比较，如果它们是充分相似的，则准许进行规定的动作。在零售店环境中，规定的动作可以是准许将所要求的支付量记入用户的经常账户上。
在另一个实施例中，个人通过触摸适当的数字序列(称为软键)将电话号码键入到数字化工作台中。当电话号码被计算机接受时，个人签署他或她的名字，因此可以对个人分别进行识别和验证。
本发明的优选实施例的一个优点是使用个人的电话号码(或名字)进行识别，因此不需要将附加的PIN或代码交托给存储器，并且不需要将这些密码泄露给其他人。此外，因为不使用物理令牌，因此不用担心令牌被放错地方、丢失或被偷窃，并且没有与打印特殊记账单等等相关的成本。使用签名的另一个好处是，它是某种为顾客所熟悉的事物，因为提供签名一直是声明身份、签订合同和准许交易的传统方法。这与提供指纹相反，因为在公众的记忆里，指纹是与罪犯、犯罪行为和隐私权的侵犯联系在一起的。
本发明的一个实施例的优点是满足拥有数个家庭成员的家庭的需要，其中这些家庭成员有着不同的经济需求和一或多个电话号码。在这个实施例中，几个人可以使用一个或多个电话号码进行注册，每个人都具有单独的简表，该简表规定了他或她注册的服务和经济限制。
本发明实施例的另一个优点是根据与授权相关的风险设置FR阈值，使得错误拒绝(FR)最小化。因此，低价值的零售交易可以允许的FA大于高价值交易的FA。
本发明的优选实施例也提供了其它的优点。例如，不破坏其它账户的安全性，因为没有使用或泄露PIN号。使用动态签名而不是静态签名使得伪造更为困难。同时，可以使用笔和纸，保留了传统的体验。并且，可以使用已有的数字化工作台和设施，由此也可以节约成本。
本发明的一个方面是从零售商的角度对个人签名进行验证的方法。此方法包含在验证时电子获取个人签名，并且在验证时从个人那里电子获取书写标识而不是个人签名。书写标识用于识别此人，使得能够以电子方式将获取的个人签名与以前采集的、在数据库中存储的签名相比较，其中数据库以该标识为索引存储以前采集的签名。以这种方式，验证此人与以前对其采集所存储的签名的人是同一人。在优选方法中，根据电子比较的结果，例如当支付量小于预定限额时，准许对购买进行支付。在一个优选方法中，书写标识是个人已知的电话号码，或可选地，是个人的名字。
本发明的另一个方面是从零售商的角度验证个人签名的方法。此方法包含在进行验证时电子获取个人签名，并且在验证时从个人接收对应于他或她的电话号码的输入，使得能够通过将获取的个人签名与以前采集并存储在数据库中的签名相比较来进行电子验证，在数据库中以前采集的签名被索引到电话号码。在优选方法中，根据比较的结果，例如仅当支付量小于预定的限额时，准许对购买进行支付。输入可以是书写输入，或者在可选实施例中，也可以使用按键输入。
本发明的另一个方面是从零售商的角度验证个人签名的方法。此方法包含在进行验证时电子获取个人签名，并且在验证时，从个人接收对应于其政府发给的识别号中的一个的输入。以这种方式，可以通过将获取的个人签名与存储在数据库中的以前采集的签名相比较来电子验证个人签名，其中在数据库中，以前采集的签名被索引到个人识别号。政府发给的识别号可以从社会安全号、驾驶证号、护照号、绿卡号或军队ID号中选择。
本发明的另一个方面是从认证机构(例如金融机构)角度验证个人签名的方法。此方法包含接收个人在验证时提供的电子获取的签名，并且在验证时接收不同于个人签名的电子获取标识，其中标识在验证时用于识别个人并且由个人作为书写输入来提供。此方法还包含通过将获取的个人书写标识与数据库中的标识匹配来识别数据库中的至少一个人，其中数据库中的标识以前已经被输入到这个数据库中，并与所述至少一个人相关。此方法还包含针对所述至少一个识别的人中的每个人，从数据库电子检索出所述至少一个人的、以前已经被采集并输入到数据库中的签名，并且将获取的个人签名与检索到的签名进行电子比较，以验证这个人是否与以前对其采集检索到的签名的人是同一人。在优选方法中，根据电子比较的结果，准许对购买进行支付。并且，只有当支付量小于预定的限制时，才准许支付。书写输入可以是个人已知的电话号码，或在可选实施例中，可以是个人的名字。
本发明的另一方面是从认证机构(例如金融机构)的角度验证个人签名的方法。此方法包含接收由个人在验证时提供的电子获取的签名，并且在验证时从个人接收对应于其电话号码的输入。此方法还包含通过将个人的电话号码与数据库中的电话号码匹配，识别出数据库中的一或多个人。此方法还包含针对所述一或多个人中的每个人，从数据库电子检索以前采集的签名，并且通过将个人签名与检索到的签名相比较来电子验证所述个人签名。在优选方法中，根据电子比较的结果，例如仅当支付量小于预定限额时，准许对购买进行支付。输入可以是书写输入，或可选地，输入可以是使用按键的输入。
本发明的另一方面是从认证机构(例如金融机构)角度验证个人签名的方法。此方法包含接收个人在验证时提供的电子获取的签名，并且在验证时从个人接收对应于政府发给他或她的身份识别号的输入。此方法还包含通过将识别号与数据库中的识别号匹配，识别数据库中的一或多个人。此方法还包含针对一或多个人中的每个人，从数据库电子检索以前采集的签名，并且通过将个人签名与检索到的签名相比较来电子验证个人签名。
本发明的一个实施例是包含电子部件的数字化单元。这个电子部件包含为电子获取签名而设计的域，和为电子获取该单元的用户的书写输入(不同于签名)而设计的域。该单元还包含与所述部件电子通信的电子控制器，和装入控制器与显示器的外壳。书写输入可以是电话号码，或在另一个实施例中，可以是名字。部件可以包含显示器和位置获取单元。
本发明的另一个实施例是包含电子部件的数字化仪单元。该部件包含为进行电子获取签名而设计的域，和为电子获取电话号码而设计的域。该设备还包含与部件电子通信的的电子控制器，和装入控制器与显示器的外壳。
本发明的另一个实施例是包含电子部件的数字化仪单元。该部件包含为电子获取签名而设计的域，和为电子获取政府发给的识别号而设计的域。该设备还包含与该部件电子通信的电子控制器，和装入控制器与显示器的外壳。
在这里的优选实施中，对个人签名进行验证的方法包含获取签名和标识，二者都在验证时提供。例如在验证时，这意味着在进行交易的时候(例如在零售环境中)，验证可以在顾客正在排队购物时进行。
在其它实现中，提供了用于执行这里的任何一个方法的计算机程序产品。


图1是根据本发明优选实施例的系统中的部件的高层模块图；图2示出了用于采集用户输入的数字化仪单元；
图3A、3B、3C和3D示出了注册方法的屏幕图像；图4A、4B、4C和4D示出了进行交易时使用的顾客支付方法的屏幕图像；图5示出了一个可选的顾客支付方法中使用的屏幕图像；图6A示出了另一个顾客支付方法中使用的纸收据；图6B示出了用于诸如图6A所示的纸收据的数字化仪单元；图7是示出注册过程的步骤的流程图；图8是认证系统的流程图。
具体实施例方式
现在参照附图描述本发明的优选实施例。
图1是系统100的高层模块图，系统100用于识别一个人和使用签名验证(最好是动态的)方法对其身份进行验证，以利于金融交易。包含显示器(见图2)的数字化仪单元200被用于接收希望注册到这个系统的人的输入。同样地，注册人(顾客)在进行交易的时候可以使用同样的数字化仪单元200(或在另一位置的另一个数字化仪器)验证他或她的身份。如果系统100在例如零售连锁店中使用，在连锁店的每个商店的收银通道中都可以放置一个数字化仪单元200。个人所提供的输入被从数字化仪单元200送到本地计算机110(例如，在本商店内的计算机)，并且接着被送到远程服务器115(最好是安全的，并且可以和连锁店的各个分店内的计算机110捆绑在一起)，而服务器115维护生理统计数据库120或与之通信。
使用笔式或触摸屏数字化仪的显示器的例子包含商用的手持产品(HHP)Transaction TeamTM1500签名获取板和HypercomICETM6000 POS终端。(另外参见Campo等人的题目为“便携式销售终端点”的美国专利5,408,078；Taguchi等人的题目为“带有显示器的坐标输入设备”的美国专利4,890,096；Taguchi等人的题目为“带有显示器的坐标输入设备”的美国专利4,845,478；和Wallner的题目为“虚拟POS终端”的美国专利5,696,909。)在零售环境中，本地计算机110通常是销售点(POS)终端，例如象在Conde等人的题目为“销售点设备的可验证电子记账及使用可验证电子记账的方法”的美国专利6,199,049中公开的电子收银机(ECR)。远程服务器115可以由清算金融交易的金融机构(例如商店信用部门、Visa、FirstData、银行和其它金融机构)操作。可以被用来创立、维持、搜索和检索生理统计数据库120中的记录的数据库的例子是IBM公司的数据库产品DB2。有关POS终端如何与金融系统和服务互连的更详细说明可以参见Cooper的题目为“缩短时间的远程访问方法和系统”的美国专利5,144,651；Conrow等人的题目为“交易卡网络内的自适应通信系统”的美国专利5,526,409；和Danielson等人的题目为“店内多设备通信单元和使用该单元的集中数据系统”的美国专利4,972,463。
图2更详细地示出了位于顾客服务台的数字化仪单元200。数字化仪单元200包含数字化仪基座205、用链子215连接在基座上的手写笔210、以及覆盖有数字化屏幕225的LCD显示器220。当不使用时，手写笔210可以通过夹片240插在基座205上。用户通过用手写笔210在屏幕225上书写来提供输入(或可选地，例如通过如图3A所示的那样在屏幕225上使用手指)。屏幕225与装入数字化仪基座205内的控制器230电连接。控制器230通过数据链路235从本地计算机110接收图像信息，并且输出图像到显示器220。控制器230从数字化屏幕225接收物体(例如，笔、手写笔、指尖)位置信息，并且将此位置信息经数据链路235送到本地计算机110。以这种方式，本地计算机110可以输出图像并接收手写输入以进行分析。
屏幕225(和下面将要讨论的数字化表面689)是位置获取单元的特定例子。这些位置获取单元可以包含电阻膜、电容电极、磁线圈、射频天线、薄膜电容阵列、超声波、光学和其它传感技术以确定手写笔、笔、手指或其它物体在位置获取单元上或其附近的位置。
图3A、3B、3C和3D分别示出了出现在显示器220上、最好存储在控制器230中的图像300a、300b、300c和300d，其中这些图像对应于上面提到的注册过程的不同步骤。图像300a用于收集注册人的电话号码，此电话号码随后用作注册人的标识。请求消息315(“请输入您的电话号码”)传达了图像300a的目的。电话号码输入状态行320显示已经输入的号码(表示成数字0-9)和待进入的号码(图3A中用字符“X”表示)。符号“-”是对注册人的一个提示，表明必须输入电话号码中的所有十个数字(对应于北美的电话服务，即3个用于区号的数字加上7个用于本地号码的数字；图像可以根据不同国家的要求进行适当地裁剪)。最好按顺序输入所有十个数字，以解决两个不同注册人具有相同本地号码，但不同区号时所引起的多义性问题。电话号码可以很方便地用屏幕220上键盘图像325中的软键输入。键盘图像325中的附加按钮被显示出来以提供附加控制“取消”310，用于取消注册过程；“完成”305，用于指示电话号码输入已经完成；“返回”，用于删除以前输入的号码；和“擦除”，用于删除至此为止的所有数字输入。
一旦电话号码已经输入，注册人被提示提供几个签名样本，如图3B中图像300b示出的签名请求消息345所示。签名计数指示器350跟踪已经输入到签名域355的签名的数量。签名注册提示365由大字母X、签名线和“在上面签署完整的名字”消息组成，用于指导注册人应在那里签名。签完名字之后，注册人触摸“下一步”按钮340(软键)，这使得签名计数指示器350递增，并且使签名域355被清除以便准备输入新的签名。在签名获取过程期间，按下“取消”按钮330将取消注册过程，而按下“返回”按钮335则清除当前的签名并返回到以前的签名，除非第一个签名正在被显示，在这种情况下显示将返回到图像300a。如果注册人马虎地输入了他或她的签名并且希望重新签名，则最后这个特性是有用的。
在已经采集了所有的签名(最好有6个或更多)之后，图像300c出现，它显示注册成功消息370和用于关闭注册会话的确认按钮375；否则注册会话将自动关闭。如果注册不成功，图像300d显示注册失败消息380，如果这个注册失败是因为签名不一致或签名的可辨认特征太少(例如，在水平线上只有少量的字母)，则显示签名改进消息385和确认按钮390，其中当按下此按钮时，将使注册人返回到图像300b，而签名计数指示器350指示将准备采集的第一个签名。
一旦一个人已经成功地进行了注册，他或她可以如分别示出图像400a、400b、400c和400d的图4A、4B、4C和4D中的认证过程的各个步骤所示进行交易；这些图像出现在显示器220上，并且最好存储在控制器230中。图像400a用于在交易时采集用户(顾客)的电话号码，此电话号码随后用作标识。顾客与数字化仪单元200交互的方式与前面结合图3A、3B、3C和3D描述的注册过程期间的交互方式基本相同。图像400b通过签名请求消息440提示用户在签名线460上输入他或她的签名455。实体声明445提醒顾客他或她在与谁进行交易，并且在进行例如零售商品购买的金融交易时，数额消息450指明顾客同意向所声称的实体支付的款额，其中这个数额是从例如本地计算机110接收的。其它按钮为顾客提供附加选项“取消”按钮425取消交易，“返回”按钮430返回到前一显示，而“完成”按钮435提交签名以供验证。
如果顾客签名经过了验证，则批准交易，并且显示具有授权消息465和交易履行消息475的图像400c。否则，显示具有授权失败消息480的图像400d，授权失败消息480可以选择性地包含失败原因，例如资金不足。如果授权失败是由于签名被拒绝(即，该签名以及与已注册的电话号码相关的参考签名不匹配)，图像400b将在顾客按下“OK”按钮490之后重新出现，并为顾客提供第二次输入他或她的签名的机会。在优选实施例中，允许三次签名尝试，之后顾客必须重新输入用于识别的电话号码。如果授权失败是由于电话号码无效(即输入的电话号码未注册到认证系统100)，图像400a将在此人按下OK按钮490之后出现，为顾客提供第二个输入他或她的电话号码的机会。在这种情况下，如果采集的电话号码和签名455被一起发送(批处理模式)，则完成图像400b的填写是必要的。如果认证失败是由于资金不足，则尝试记账消息485仍然提醒顾客他或她试图记账的数额。(这可用于进行滥用调查以电子存储不成功顾客尝试使用、提供、猜测或伪造的名字)。
图5示出了一个可选的屏幕图像，用于在进行交易时从顾客收集电话号码和签名。因此，图5中示出的单独图像有利地组合了图3中所示的图像300a和图像300b的功能。参照图5，数字化仪单元200的显示器220呈现了识别域503和验证域504，它们位于表示支付金额的域的下面。识别域503可以包含最初是空白然后由顾客填写的方框515。顾客在每个方框内填写他或她的用于识别的电话号码中的一位数字，以利于字符识别，例如当用户写下的信息被送往处理器以供分析时。破折号(“-”)帮助对北美使用的全电话号码格式分界。可以使用其它格式以适应具体国家的电话编号系统。可选地，如果顾客的名字被用作标识，识别域503可以按此进行构造。签名注册提示530提示顾客在签名域504写下他或她的签名525，签名之后顾客点击“完成”按钮528。在一个可选实施例中，当输入已经在每个方框515中完成时，本地计算机110自动假定电话号码输入已经完成，因此就不需要“完成”按钮。
图6A示出了纸质收据600，类似于顾客在例如杂货店通常收到的收据。收据600含有商店的相关信息605、销售物品细目信息610和销售总额615。此外，也示出了识别域625和验证域635。电话号码提示630和域625中的对准方框帮助顾客在识别域中印上他或她的电话号码。同样地，签名提示640(恰好在验证域635之下和总额消息645之上出现)指示顾客应该在哪个地方签名。
参照图6B，纸质收据600用于数字化仪单元650，数字化仪单元650类似于图2所示的单元200，除了因为纸质收据600充当显示器而不需要单元200中的LCD显示器220之外。然而，单元650包含了数字化表面689。表面689将信号发送到单元650中的微控制器660，其中根据笔684的笔尖在表面689上的位置提供信号(更精确地，笔所施加的力通过收据600被传送到表面689上)。微控制器660接收这个位置信息，并通过数据链路235将其发送到本地计算机110。关于数字板操作的进一步信息可参见Martinelli等人的题目为“力传感半导体触摸垫”的美国专利5,943,044。
如图6B所示，用于形成收据600的纸带首先被插入到数字化单元650中。特别是，纸带在数字化仪单元650上安装的注册导向器685的下面通过。如图6B所示，注册导向器685可以有利地安装在数字化工作台的一边685a，其余各边685b、685c和685d保持张开。通过这种结构，纸质收据600可以在张开边685c的下面滑动并通过顶边685d和底边685c。收据注册线620(见图6A)与边685d对准，使得收据600的识别域625和验证域635分别与表面689上的专用于接收识别和验证信息的部分直接对齐，其中通过笔684的笔尖与表面689的接触(通过收据600)所产生的坐标信号将这个信息通知微控制器660(并通过数据链路235传至本地计算机110)。因此，表面689上部的笔迹被采集并且被本地计算机解释成用于识别的输入，而在表面689下部的笔迹被采集并且被本地计算机110解释成用于验证的输入。以这种方式，当顾客在收据600上写字时，他或她的笔迹不仅恰好记录在纸质收据600上，而且也被直接位于收据下面的表面689记录。注意，线620在图6B中不是可见的，因为它藏在注册导向器685的边685d的后面。在顾客已经输入了他或她的识别和验证信息之后，他或她按下“完成”按钮688以表明完成了这些工作。在一个可选实施例中，当本地计算机110接收到足够数量的字符时(例如，包含区号的美国电话号码有10个字符)，本地计算机110确定识别输入已经完成。
图7的流程图700图解了优选注册过程的步骤。在步骤705中，从顾客采集标识，例如电话号码和/或名字。在步骤710中，采集参考签名。由于笔迹往往存在自然的变化，所以期望采集不止一个签名。经验表明，六个样本通常足以很好地刻画匹配性能良好的签名。在步骤715中，参考签名被存储在通过标识信息或某些基于标识信息的计算和操作索引的数据库中。
如果采集的签名多于一个，在数据库120中存储所有这样的签名是有利的。由顾客在注册期间提供的手写标识也可以存储起来，并且稍后在识别处理期间被字符识别方法使用，以帮助对参考签名集的检索。通过将标识限定在较小的词典(词汇)范围内，可以大大改进笔迹的精确度，例如参见Lewis等人的题目为“提供用户控制的笔迹识别约束的系统和方法”的美国专利6,401,067，和Bellegarda等人的题目为“自动手写识别的连续参数隐式Markov模型”的美国专利5,636,291。在优选实施例中，电话号码被用作无令牌标识，词典由数字0至9组成。在可选实施例中，可以使用其它无令牌标识。因为安全性主要取决于签名的验证，无令牌标识可以是例如任何政府发给的标识号，例如社会安全号、驾驶证号、护照号、绿卡号或军队ID号(可以包含诸如字母的非数字字符)。
图8是一个流程图，示出了根据本发明优选实施例的优选授权系统800的步骤。在步骤805中，从希望得到认证的人那里(例如，从期望在商店买东西的顾客那里)采集无令牌标识。如果无令牌标识是手写的，使用在线手写识别装置将所写字符转换成其相应的字符，并且这些字符被形成为索引生理统计数据库120的地址。在步骤805的优选实施例中，一个人将他或她的电话号码(或名字，如果这个名字被用作标识)印在数字化仪单元上，并在此时产生笔尖的位置序列，该序列被转换成表示印出的字符的对应ASCII字符串，然后从本地计算机110向远程服务器115电子发送这些字符。这种转换过程可以包含在线字符识别方法，例如参见在Bellegarda等人的题目为“自动手写识别的连续参数隐式Markov模型”的美国专利5,636,291。按照前面所讨论的，电话号码是优选的无令牌标识，因为电话号码比名字具有更小的词典(10对26个字符)，而且数字书写风格的变化通常比字母书写风格的变化要小。此外，电话号码比名字(尤其是常见的名字)更可能成为唯一的标识。电话号码中的10个数字被用作生理统计数据库120的索引。
在本发明的另一个实施例中，顾客的电话号码通过使用键盘(例如，软键或机械键)进行电子输入，然后将这个电子输入编成地址。所得到的通常由ASCII字符表示的字母数字序列产生了一个字符串，该字符串被转换成多位数。这些电话号码通常产生可以直接被用作索引的10位数，而名字产生更大的数，因为全名可能拥有数十个字符。(使用名字索引数据库的优选方法可参见Matsunaga等人的题目为“个人数据库数据管理系统”的美国专利5,557,794。)在步骤810中，使用笔迹数字化仪从顾客那里获取待验证的签名样本(例如，图2、5和6B中所示的那些设备)，并从本地计算机110向远程服务器115电子发送签名样本。在步骤820中，由顾客的输入标识产生的数据库地址被用来从生理统计数据库120中检索参考签名。在步骤830中，使用笔迹匹配方法将待验证的签名与参考签名进行比较。优选验证方法使用动态签名分析，包含用于进行这种比较的统计和神经网络装置，参见Finklstein于1999年4月21日提交的题目为“在线签名验证”的共同待审专利申请09/295944，这里对其加以参考引用。(其它的笔迹识别方法可参见Gunderson等人的题目为“用于身份识别卡的存储的签名验证数据压缩”的美国专利5,054,088；Howell等人的题目为“绘图和书写中信息的获取方法和装置”的美国专利5,226,091；Radcliffe，Jr.的题目为“利用过零特征提取的签名验证”的美国专利3,818,443；Chainer等人的题目为“签名验证的半独立移位技术”的美国专利4,553,259；Rothfiell的题目为“签名验证方法和设备”的美国专利4,581,482；Kashi等人的题目为“使用全局特征和笔划方向码的参数化签名验证方法和装置”的美国专利5,828,772；和Wirtz的题目为“基于参考亲笔签名字符串的亲笔字符串动态验证方法”的美国专利5,730,468。)如果待验证的签名和参考签名不是充分相似的，授权将被否决(步骤845)。然而，如果它们是充分相似的，并且满足授权条件(如果在步骤835使用了授权条件)，授权将被批准(步骤840)。
可以包含授权步骤835，因为在金融交易中识别和验证通常是不足够的。授权步骤835可以包含检查顾客账户的收支平衡和信用限额，寻找购买模式中的异常情况，或进行检查以确定协商条款是否满足或违约。授权步骤835的条件可以随个人、零售商和金融机构的变化而变化。例如，已经成为长期信用计划的成员的个人可以享有较宽松的授权规则，而新开账户的户主可能需要服从较苛刻的要求。决定授权步骤835的商业规则可以保留在进行验证(步骤830)的机构中。授权步骤835可以在验证步骤820之前进行，因此对于没有满足步骤835的授权要求的个人不必执行验证步骤820。
在步骤830中用于确定在交易时采集的签名是否与参考签名充分相似的阈值和测试可以随时间、个人、交易量、商店和其它变量的变化而变化。例如，具有较低商业价值的交易可以具有较低的匹配阈值与之相关，因此导致错误接受的增加和错误拒绝的减少。长期会员也可以享受更低的匹配阈值。(笔迹验证阈值的使用可参见Gundersen的题目为“签名验证的差异测量”的美国专利4,736,445。)动态验证方法也可以随着时间演变，以适应个人的手写、打印或签名风格的变化。例如，每次验证签名的时候，将此样本加入到这个人的生理统计数据库集合中，使得动态验证方法能够随时适应笔迹风格的变化。
参考签名数据库120可以包含不止一个具有相同无令牌标识的个人，例如共享一个电话号码的数个家庭成员或房客的参考签名。在本发明的优选实施例中，生理统计数据库120在注册时包含指示共享同一电话号码的人数的扩展地址域。于是，对于使用以前还没有输入数据库120中的电话号码进行注册的个人，扩展地址域的值可以设成0，而对于使用以前已经与一个注册人相关的电话号码进行注册的个人，扩展地址域的值可以设成1，对于使用以前已经与两个注册人相关的电话号码进行注册的个人，扩展地址域的值可以设成2，等等。使用这个方法，标识和扩展地址域的组合产生用于区别共享相同无令牌标识的那些人的唯一地址和装置。
授权要求也可以随共享同一标识的个人成员的不同而不同。例如，两个成年人和四个孩子的家庭共享同一电话号码，孩子可以每天在快餐店总共花费5美元，而父母可以每天在同样的餐馆花费总共100美元。这可以防止孩子拿取他们朋友的食物，但允许他们自己选择每日的膳食，当然允许父母支付整个家庭的膳食开支。
为了验证并接着认证与其他人共享无令牌标识的个人，步骤820包括从生理统计数据库120中对共享无令牌标识符所有的参考签名进行检索。在步骤830中，使用笔迹匹配方法，将待验证的签名与参考签名进行比较，选择出最好的匹配。如果匹配满足或超过根据应用策略确定的相似度阈值，所选出的参考签名的扩展地址域值被追加到该标识上以建立唯一标识，这个唯一标识符被传给步骤830供其进行授权。否则这个人被拒绝授权，理由是不能产生足够好地与索引到输入标识的所有参考签名中的任何一个相匹配的签名(步骤805)。
这里所教导的方法可以使用在象这里所描述的计算设备上运行的软件来实施，这些计算设备包含个人计算机、服务器、微处理器、门阵列、微控制器，专用集成电路、神经网络和其它处理装置。
在本发明的优选实施例中，提供编码有用于执行上述方法中的任何一个的可执行程序代码的介质。这个代码含有例如在处理器的随机存储器(RAM)中，或者在处理器的硬盘驱动器或光驱中驻留的可执行指令。这些指令可以被存储在磁盘、光盘、软盘、硬盘、磁带、只读存储器(静态，动态或电子)、或其它适合的数据存储设备上。在优选实施例中，这个程序代码可以被用于执行这里公开的任何一个或多个方法的数字处理装置(例如处理器或计算机)读出。
本发明可以通过其它具体的形式实施而不违背本发明的宗旨或基本特征。所描述的实施例仅作为举例说明，并不对本发明产生限制。本发明的范围因此在附加的权利要求中声明而不是如前所述。权利要求的等价意义上和范围内的变化都包含在那个范围内。
权利要求
1.验证个人签名的方法，包括在验证时电子获取个人签名；和在验证时从此人那里电子获取不同于个人签名的书写标识，书写标识用于标识此人，使得获取的个人签名可以与存储在数据库中的以前采集的签名进行电子比较，从而验证此人与此前对其采集所存储的签名的人是同一人，其中在所述数据库中，以前采集的签名被索引到所述标识。
2.如权利要求1中的方法，其中根据电子比较的结果授权对购买进行支付。
3.如权利要求1中的方法，其中只有当支付金额小于预定限额时才授权支付。
4.如权利要求1中的方法，其中书写标识是此人已知的电话号码。
5.如权利要求1中的方法，其中书写标识是此人的名字。
6.如权利要求1中的方法，包括对书写标识进行字符识别。
7.如权利要求1中的方法，所述签名的获取包括动态笔迹采样。
8.验证个人签名的方法，包括在验证时电子获取个人签名；在验证时从此人接收对应于他或她的电话号码的输入，使得可以通过将获取的个人签名与预先采集的签名相比较来电子验证所获取的个人签名，其中预先采集的签名被存储在将预先采集的签名索引到电话号码的数据库中。
9.如权利要求8中的方法，其中根据所述比较的结果授权对购买进行支付。
10.如权利要求8中的方法，其中只有当支付金额小于预定限额时才授权支付。
11.如权利要求8中的方法，其中所述输入是书写输入。
12.如权利要求11中的方法，包括对书写输入进行字符识别。
13.如权利要求8中的方法，其中使用按键输入所述输入。
14.如权利要求8中的方法，其中所述签名获取包括动态笔迹采样。
15.验证个人签名的方法，包括在验证时电子获取个人签名；和在验证时从此人接收对应于他或她的政府发给的识别号中的一个的输入，使得可以通过将获取的个人签名与预先采集的签名相比较来电子验证所获取的个人签名，其中预先采集的签名被存储在将预先采集的签名索引到所述识别号的数据库中。
16.如权利要求15中的方法，其中所述政府发给的识别号是从社会安全号、驾驶证号、护照号、绿卡号或军队ID号中选择的。
17.验证个人签名的方法，包括接收个人在验证时提供的电子获取签名；在验证时接收不同于个人签名的电子获取标识，其中所述标识被用来标识此人，并且已经在验证时由此人以书写输入的方式提供；通过将所述获取的个人书写标识与数据库中的标识相匹配，在数据库中识别出至少一个人，其中数据库中的标识此前已经输入到数据库中，并且与所述至少一个人相关；针对所述至少一个被识别的人中的每个人，从数据库中电子检索所述至少一个人的签名，该签名此前已经被采集并输入到数据库中；将获取的个人签名与检索到的签名进行电子比较，以验证此人与以前对其采集的所检索签名的人是否同一人。
18.如权利要求17中的方法，其中根据所述电子比较的结果授权对购买进行支付。
19.如权利要求17中的方法，其中只有当支付金额小于预定限额时才授权支付。
20.如权利要求17中的方法，其中书写输入是此人已知的电话号码。
21.如权利要求17中的方法，其中书写输入是此人的名字。
22.如权利要求17中的方法，包括对书写输入进行字符识别。
23.如权利要求17中的方法，其中所述获取的签名包含动态笔迹信息。
24.验证个人签名的方法，包括在验证时接收个人提供的电子获取签名；在验证时从此人接收对应于他或她的电话号码的输入；通过将个人电话号码与数据库中的电话号码进行匹配，识别数据库中的一或多个人；针对所述一或多个人中的每个人，从数据库电子检索出预先采集的签名；通过将此人的签名与检索出的签名进行比较，对此人的签名进行电子验证。
25.如权利要求24中的方法，其中根据所述电子比较的结果授权对购买进行支付。
26.如权利要求24中的方法，其中只有当支付金额小于预定限额时才授权支付。
27.如权利要求24中的方法，其中所述输入是书写输入。
28.如权利要求24中的方法，包括对书写输入进行字符识别。
29.如权利要求24中的方法，其中使用按键输入所述输入。
30.如权利要求24中的方法，其中所述获取的签名包含动态笔迹信息。
31.验证个人签名的方法，包括在验证时接收个人提供的电子获取签名；在验证时从此人接收对应于他或她的政府发给的识别号中的一个的输入；通过将识别号与数据库中的识别号相匹配，识别出数据库中的一或多个人；针对所述一或多个人中的每个人，从数据库中电子检索出预先采集的签名；通过将此人的签名与检索出的签名进行比较，对此人的签名进行电子验证。
32.如权利要求31中的方法，所述获取的签名包含动态笔迹信息。
33.一种计算机程序产品，包括计算机可用介质，用于执行权利要求1的方法。
34.一种计算机程序产品，包括计算机可用介质，用于执行权利要求17的方法。
35.数字化仪单元，包括电子部件，包含为电子获取签名而设计的域，和为电子获取用于标识该单元的用户的书写输入(不同于签名)而设计的域；与所述部件电子通信的电子控制器；装入所述控制器和所述显示器的外壳。
36.如权利要求35中的单元，其中所述书写输入是电话号码。
37.如权利要求35中的单元，其中所述书写输入是名字。
38.如权利要求35中的单元，所述部件包含显示器。
39.如权利要求35中的单元，所述部件包含位置获取单元。
40.数字化仪单元，包括电子部件，包含为电子获取签名而设计的域，和为电子获取电话号码而设计的域；与所述部件电子通信的电子控制器；装入所述控制器和所述显示器的外壳。
41.数字化仪单元，包含电子部件，包含为电子获取签名而设计的域，和为电子获取政府发给的识别号而设计的域；与所述部件电子通信的电子控制器；装入所述控制器和所述显示器的外壳。
全文摘要
用于对个人进行无令牌的识别、验证和授权的计算机系统。注册过程用于对个人进行注册，此人在注册时提供用于识别的电话号码和/或名字，以及至少一个在验证模板中使用的参考手写签名。授权给此人的服务也可以在注册时确定。在交易时，通过提供电话号码和/名字识别此人，使得存储的手写签名可以被检索出来，通过提供与检索出的(参考)手写签名进行匹配的手写签名对此人进行验证，并且授权此人完成交易。以这种方式，此人在不使用任何便携式人造存储设备(例如智能卡或被窃卡)，并且不需要记住任何PIN或账号的情况下可以完成交易。
文档编号G07C9/00GK1492365SQ0314249
公开日2004年4月28日 申请日期2003年6月12日 优先权日2002年6月13日
发明者托马斯·G·兹默曼, 托马斯 G 兹默曼 申请人:国际商业机器公司