专利名称:生物统计模板的秘密保护体系的制作方法
技术领域:
本发明涉及一种通过使用与个人相关联的生物统计数据来验证个人身份的系统和方法,其中提供所述生物统计数据的秘密。
背景技术:
对物理对象的鉴定可以被用于许多应用中,例如有条件地进入安全建筑或者有条件地访问数字数据(例如存储于计算机或者可移动存储介质中的数据),或者为了识别目的(例如为了特定行为而向已识别的个人收费)。
以识别和/或鉴定为目的的生物统计的使用越来越被看作是对例如密码和个人识别码的传统识别方法的一种更好替代。需要以密码/个人识别码的形式识别的系统数量正在不断增加,结果,该系统的用户必须记住的密码/个人识别码的数量也在不断增加。进一步的结果是,由于很难记住密码/个人识别码,用户需要把它们写下来,这使得它们易于失窃。在现有技术中,已经提出了解决该问题的方法,该方法涉及使用令牌(token)。然而,令牌也容易丢失和/或失窃。对于该问题的一种更优选的解决方法是使用生物统计识别,其中使用对用户来说具有唯一性的特征来提供对用户的识别,例如指纹,虹膜,耳朵,面部等。显然,用户不会丢失或者忘记他/她的生物统计特征,也没有任何必要写下或者记住它们。
生物统计特征与参考数据进行比较。如果发生匹配,则用户被识别,并可以被授权访问。对于用户的参考数据是先前获得的并被安全地存储在例如安全的数据库或者智能卡中。在鉴定中,用户声称具有特定的身份,提供的生物统计模板与存储的与声明的身份相联系的生物统计模板进行比较,以便验证提供的模板和存储的模板之间的一致性。在识别中,提供的生物统计模板与所有存储的可获得的模板进行比较,以便验证提供的模板和存储的模板之间的一致性。在任何情况下,提供的模板都要与一个或者多个存储的模板进行比较。
无论何时系统发生秘密泄露时,例如当黑客获知安全系统中的秘密时,就需要替换(无意识地)已泄露的秘密。通常,在传统的加密系统中,这通过废除泄露的秘密加密密钥和分配新的密钥给相关的用户来完成。在密码或者个人识别码被泄露的情况下,就用新的密码来替换它。在生物统计系统中,由于相应的身体部分显然不可以被替换,情况变得更加复杂。从这个方面来说,多数生物统计是静态的。因此,开发从(通常是含噪声的)生物统计测量中导出秘密的方法十分重要,如果需要的话,可能更新该导出的秘密。应该注意到,生物统计数据是对个人身份的良好表示,未经鉴定地获取与个人相关联的生物统计数据可以看作与盗窃个人身份的行为在电子学上等价。在获取了识别个人的合适生物统计数据后,黑客可以假冒他获得其身份的个人。而且,生物统计数据可以包含有关健康条件的敏感和私有信息。因此,必须维护使用生物统计鉴定/识别系统的个人的完整性。
由于生物统计数据提供有关个人的敏感信息,所以存在涉及生物统计数据的管理和使用的保密问题。例如,在现有生物统计系统中,用户必须不可避免地在关于她的生物统计模板的完整性方面完全信赖生物统计系统。在注册过程中-即当注册机构获取用户的生物统计模板时的初始过程-用户向注册机构的注册装置提供她的模板,该注册机构在系统中存储可能被加密后的模板。在验证过程中,用户再次提供她的模板给系统,存储的模板被检索(和如果需要的话被解密),然后实现存储的模板和提供的模板之间的匹配。明显地,用户不能控制发生在她的模板上的事件,也无法验证她的模板是否被认真对待且不会从系统中泄露。因此,在她的模板保密方面,她不得不信赖每个注册机构和每个验证器。虽然这类系统已经在使用中,例如在某些机场,但是,用户对系统所需求的信赖程度使得不可能大范围地使用该系统。
加密技术可以被受到正视,它可以用于加密或者散列(hash)生物统计模板,以及在加密的数据上完成验证(或者匹配),使得真正的模板决不被容易地获取。但是,加密函数是被有意地设计的,使得输入中的小变化会导致输出中的大变化。由于生物统计的特殊本质,以及在获得所提供的模板和存储的模板时由于噪声污染所导致的测量误差,提供的模板与存储的模板不会完全一致,所以匹配算法应该允许在两个模板之间存在小的差异。这使得基于加密模板的验证存在问题。
正如在例如由Magnus Pettersson在White paper 22 August 2001中发表的“The Match On Card Technology”中所描述的那样,在卡上匹配(MoC)系统中,生物统计模板被存储在也含有指纹传感器的智能卡里。在验证过程中,用户向传感器提供她的生物模板(例如,指纹),然后智能卡确定所存储的模板和所提供的模板是否匹配。比较的结果被传送给验证器。这种方式的一个优势是模板都没有被集中地存储。但是,生物统计模板仍然永久地存储在系统中,并且,如果智能卡丢失,则攻击者有可能通过巧妙地处理智能卡而得到模板。尽管模板以加密的形式进行存储且在智能卡内进行模板匹配之前解密,但对解密密钥的正确管理依然提出一个新的保密问题。此外,在模板匹配完全在智能卡中执行以及验证器是以匹配确认来实现的情况下,验证器必须完全信赖智能卡。这可能在很大程度上减小验证器接受系统的机会。
发明内容
本发明的目的是提供一种用户可以信赖的用于鉴定和/或识别的生物统计系统,其中用户信赖它在于系统不存储用户的生物统计模板。因此,就可以提供生物统计模板的秘密。
该目的通过使用一种根据权利要求1所述的与个人相关联的生物统计数据来验证个人身份的系统以及使用一种根据权利要求13所述的与个人相关联的生物统计数据来验证个人身份的方法来实现,其中,该系统提供所述生物统计数据的秘密,该方法提供所述生物统计数据的秘密。
根据本发明的第一个方面,提供一种系统,它包括验证器、个人所信赖的安全、防止篡改的用户装置、注册机构和中央存储器,其中注册机构被设置用来在所述的中央存储器中存储注册数据,注册数据是秘密并且基于个人的第一生物统计数据集。用户装置被设置用来接收个人的第二生物统计数据集,基于所述第二生物统计数据集和辅助数据来产生秘密验证数据,所述辅助数据基于第一生物统计数据集并与注册数据有关,验证器被设置成从中央存储器获取注册数据、从用户装置获取验证数据,并且比较注册数据与验证数据以检测一致性,其中如果存在一致性,则个人身份被验证。
根据本发明的第二个方面,提供一种方法,包括如下步骤获取注册数据,该注册数据是秘密并且基于个人的第一生物统计数据集;获取验证数据,该验证数据是秘密并且基于个人的第二生物统计数据集和辅助数据,该辅助数据基于个人的第一生物统计数据集且与注册数据有关,并且,比较注册数据与验证数据以检测一致性,其中如果存在一致性,则个人身份被验证。此外,对个人生物统计数据、注册数据和验证数据的处理是在个人所信赖的安全、防止篡改的环境中进行的。
本发明的基本思想是,为了提供保密并且避免对生物统计系统的身份泄露攻击,个人的生物统计数据不应存储在生物统计系统中。通过解决有关生物统计的涉及安全的问题,生物统计识别接受水平将会得到提高。在生物统计系统中,个人身份必须根据特定生物统计系统的实际目的来验证。不同的生物统计系统通常其验证个人身份的目的也不相同。例如,一个系统可以提供对安全建筑的有条件的进入或者对数字数据(如存储在计算机或可移动存储介质中)的有条件的访问,而另一个系统被使用为了识别目的(例如为了特定行为而向已识别的个人收费)。应该注意的是,当在本发明中执行个人身份验证时,此验证也暗示着执行个人的鉴定或者执行个人的识别。在鉴定中,个人声称具有特定的身份,提供的基于生物统计模板的数据与存储的基于生物统计模板的数据(与声明的身份相联系)相比较,以验证提供的数据和存储的数据之间的一致性。在识别中,提供的数据与存储的可获得的多个数据集进行比较,以验证提供的数据和存储的数据之间的一致性。在任何情况下,提供的数据都要与一个或者多个存储的数据集相比较。很明显,术语“验证”可根据被使用的上下文而在整个申请中被表示成“鉴定”或“识别”。
当将要执行验证的时候,验证器必须以某种方式获得允许它识别或鉴定个人的数据。例如,验证器会主动从中央存储器获取验证数据,或者被动地接受来自存储器的验证数据。无论是哪一种情况,验证器都从中央存储器获取注册数据。注册数据是秘密(以防止对篡改假冒攻击),并且是基于个人的第一生物统计数据集的。在注册阶段,这个注册数据被从第一生物统计数据集中提取出来,该注册阶段必须在个人所信赖的安全、防止篡改的环境中执行,使得注册数据或者个人的生物统计数据不会被泄露。在安全环境中,从一个生物统计数据集中提取不同的注册数据集是可能的。
此外,验证器获取验证数据,该验证数据同样是秘密且基于个人的第二生物统计数据集和辅助数据。这个第二生物统计数据集是由个人在验证阶段提供,并且通常不会与在注册阶段从个人获得的第一生物统计数据集相同,即使如人体虹膜的独有物理特性也被使用。这是由于例如以下事实,即当物理特性被测量时在测量中总有随机噪声出现,所以把模拟特性转换成数字数据的量化过程的结果会不同于同一个物理特性的不同测量。这也可能是由于对生理特性进行测量时没对准或者弹性畸变造成的。为了提供对于噪声的鲁棒性,安全环境导出将要在验证过程中使用的辅助数据来达到对噪声的鲁棒性。因为辅助数据是集中存储的,所以它被认为是公共数据。为了防止假冒,从生物统计数据导出的注册数据和辅助数据在统计上是独立的。辅助数据被设置以便在验证过程和注册过程中从个人生物统计数据中能够导出唯一的数据。
辅助数据W和注册数据S是基于个人的第一生物统计数据集X并通过一些适当的函数或算法FG而得到,因此有(W,S)=FG(X)。函数FG可以是能够为单一生物统计模板X产生许多对(W,S)辅助数据W和注册数据S的随机化函数。这就允许注册数据S(因此,还有辅助数据W)对于不同注册机构可以是不同的。
辅助数据基于注册数据和个人的第一生物统计数据集,在于辅助数据被选择成当delta收缩函数被应用于第一生物统计数据集和辅助数据时,其结果等于注册数据。这个delta收缩函数具有允许选择辅助数据适当值的特征,使得与第一生物统计数据集足够类似的生物统计数据的任意值都会得到相同的输出值,即与注册数据相同的数据。因而如果Y与X在足够强的程度上类似,则G(X,W)=G(Y,W)=S。因此,第二生物统计数据集与辅助数据一起将导致与注册数据相同的输出。相反地,将基本上不同的生物统计数据输入到delta收缩函数将得到不同的输出结果。因此,辅助数据被设置以便通过把delta收缩函数应用于辅助数据和第二生物统计数据集,使得验证数据等于注册数据的概率很大。此外,辅助数据也被设置以便通过研究这个辅助数据也不能使注册数据信息泄露。注意,在验证期间验证数据的产生必须在个人所信赖的安全、防止篡改环境中进行,使得验证数据或个人生物统计数据(如第二生物统计数据集)不会被泄露。
最后,注册数据与验证数据在验证器中作比较来检测一致性。如果注册数据与验证数据相同,则个人身份验证成功并且生物统计系统给出相应地举措,如允许个人进入安全建筑。
本发明是有益的,这可归于很多原因。首先,对安全敏感性信息的处理在个人所信赖的安全、防止篡改的环境中进行。结合辅助数据方案的使用,该处理能建立起生物统计模板仅在安全环境中以电子形式有效的生物统计系统,该安全环境通常是以使用带有生物统计传感器的防止篡改用户装置的形式设置的,如装备了传感器的智能卡。此外,在安全环境下,生物统计模板的电子复件不能永久有效,而是仅当个人向传感器提供她的模板时,电子复件才有效。在导出注册数据和辅助数据后,生物统计数据被丢弃。在验证阶段得到的生物统计数据也是如此,在通过利用第二生物统计数据集而导出验证数据后,第二生物统计数据集被丢弃。这样,对比传统的MoC系统,即使安全环境受到威胁,生物统计模板的秘密依然能够得到维护。
根据本发明的一个实施例,中央存储器被设置存储辅助数据,验证器被设置从中央存储器获取辅助数据并将其送往用户装置。如果辅助数据被集中存储,则数据就能在用户装置或者注册机构中产生。辅助数据集中存储的另外一个优点是所有验证器都可允许访问在单一存储器上的验证数据。对于辅助数据在用户装置中产生的情况,辅助数据优选地应该通过注册机构而被存储在中央存储器上。
根据本发明的另一个实施例,用户装置被设置成为导出个人的第一生物统计数据集,产生注册数据并发送注册数据到注册机构。因此,个人没有必要向注册机构提供她的模板。因为注册机构并不足够地可信,因此这样做是有好处的。尽管个人也许会信赖银行在其注册后销毁模板的电子复件,但她也许不会信赖夜总会或因特网上赌博网站来做同样的事。另一方面,根据本发明的另一个实施例,注册机构被设置用来导出个人的第一生物统计数据集并且产生注册数据。因为注册个人的鉴定没有在用户装置间分布,而是一直被保持在注册机构中,这将简化系统的管理,因此这是有优势的。
本发明更多的特征和优点将会在研究所附权利要求和如下的说明时而变得显而易见。本领域技术人员会意识到本发明的不同特征可以被结合而得到与下面所描述的各实施例均不相同的实施例。并且,本领域技术人员将意识到,也可以使用与上述辅助数据方案不同的其它方案。
参考附图将本发明优选实施方案的详细描述介绍如下图1示出了主要现有技术的生物统计系统的注册路径;图2示出了主要现有技术的生物统计系统的验证路径;图3示出了根据本发明的一个实施例,使用与个人相关联的生物统计数据来验证个人身份的系统;图4示出了根据本发明的一个实施例,使用与个人相关联的生物统计数据来验证个人身份的系统的验证路径;图5示出了根据本发明的另一个实施例,使用与个人相关联的生物统计数据来验证个人身份的系统的验证路径;以及图6示出了根据本发明的又另一个实施例,使用与个人相关联的生物统计数据来验证个人身份的系统。
具体实施例方式
现将图1给出的主要现有技术生物统计系统的注册路径描述如下。在这个例子中,假定个人想要注册成为某使用生物统计识别(如使用个人的虹膜101)作为控制通行的游乐场连锁店的会员。所使用的生物统计系统是基于前面所述的辅助数据方案(HDS)的。为了成为会员,个人必须经历向传感器102提供虹膜的注册过程,该传感器102被设置于游乐场所拥有的注册装置104中。尽管系统通过在注册处理单元103中导出注册数据S和辅助数据W并且将所述数据存储在中央存储器单元105中而使用HDS,而且所述系统下一步不会存储个人生物统计模板,但是注册装置可能已经被篡改,如生物统计模板X被窃听。个人没有办法验证装置104是否已经被篡改了,并且尽管使用HDS,但是生物统计模板依然可能通过巧妙的处理而从系统中泄露。
尽管在很多实际应用中注册过程是在个人所信赖的注册环境中进行的,然而这却不一定适用于验证过程。翻到图2,在注册完成后为了进入游乐场连锁店所包含的一个游乐场,个人不得不提供通过设置在验证装置204中的传感器202从其虹膜201导出的生物统计模板Y。验证处理单元203获取存储在中央存储器205中的辅助数据W并且通过使用delta收缩函数计算验证数据S′。匹配单元206比较S和S′。如果匹配,个人身份就被验证并允许个人进入游乐场。如果不匹配,个人就不允许进入游乐场。如图1所示,系统可能已经被巧妙地处理。验证装置204可能已经被篡改,如生物统计模板Y被窃听,同样用户没有办法控制验证过程。
图3示出了根据本发明的一个实施例,使用与个人相关联的生物统计数据来验证个人身份的系统。该系统包括设置了传感器302的用户装置301。传感器302用于从个人的特定物理特征303(如指纹,虹膜,耳朵,面部等)的结构、甚至从物理特征的组合中导出第一生物统计模板X。用户装置必须是安全的、防止篡改的,因此受到个人信赖。注册机构304起初通过在中央存储器单元305中存储注册数据S来在该系统中注册个人,该注册数据接下来被验证器306使用。在图3的实施例中,注册数据S是秘密的(避免通过分析S而泄露身份的攻击)并在用户装置301中从第一生物统计模板X导出。见图4,在验证时,通常是第一生物统计模板X的有噪声污染复件的第二生物统计模板Y,由个人403通过传感器402提供给用户装置401。用户装置401基于第二生物统计数据集Y及辅助数据W产生秘密验证数据(S′)。辅助数据W是基于第一生物统计数据集X的,并与注册数据S有关。辅助数据W通常被计算使得S=G(X,W),G是delta收缩函数。因此,W和S是通过使用如(W,S)=FG(X)这样的函数或算法FG从模板X中计算出来的。
验证器406通过注册数据S和从用户装置401接收的验证数据S′鉴定或识别个人。通过在用户装置401计算验证数据S′,即S′=G(Y,W),就提供了噪声鲁棒性。如果第二生物统计数据集Y与第一生物统计数据集X足够相似,则delta收缩函数具有允许选择辅助数据W的适当值使得S′=S的特性。因此,如果S′=S,则验证成功。
在实际情况下,注册机构可以与验证器结合,但是它们也可以是分离的。例如,如果生物统计系统被用于银行应用,那么银行里所有较大的部门都允许注册新的个人进入系统,这样分布式的注册机构就产生了。如果在注册之后,个人想要用她的生物统计数据作为鉴定来从这个部门撤回资金,则这个部门将扮演验证器的角色。另一方面,如果用户用其生物统计数据作为鉴定在便利店进行付款的话,便利店也将扮演验证器的角色,但是便利店成为注册机构是非常不可能的。基于这种认识,我们将把注册机构和验证器作为非限制的抽象角色来使用。
如从上文所见的那样,个人可以进入包含生物统计传感器并能够计算S′=(Y,W)的装置。在实际应用中,这种装置包括集成在智能卡里的指纹传感器,或者手机或PDA里面的用于虹膜或面部识别的照相机。个人可能拥有用户装置的事实使得篡改装置变得更加不可能,并且更容易获得个人信赖。设想个人从一个信赖机构(例如,银行、国家权力机构、政府)获得了这种装置,那么她就因此会信赖这种装置。
在图5所说明的本发明的一个实施例中,当即将执行验证时,辅助数据W由注册机构(未示出)存储在中央存储器505中,被验证器506获取并发送到用户装置501。然后用户装置501利用从验证器506接收的辅助数据W及第二模板Y(通过传感器502从个人503接收的)来计算验证数据S′。之后,S′与S在验证器506中进行比较以验证是否匹配。在一个可替换实施例中,辅助数据不是存储在中央存储器中,而是存储在用户装置中。这种情况下,因为用户装置已经拥有了辅助数据,所以验证器就没有必要获取辅助数据并把它发送给用户装置。
图6示出了本发明的另一个实施例。在这个实施例中,注册机构604设置了一个传感器602,用来从个人的特定物理特征603的配置中导出第一生物统计模板X。注册机构604把注册数据S存储在中央存储器单元605中,接着验证器就可以使用该注册数据。辅助数据W可以存储在中央存储器605中,或可替换地如图6,被存储于用户装置601。验证是按照上面所述的方式执行的;验证器606通过存储在中央存储器605中的注册数据S和从用户装置601接收的验证数据S′来鉴定或识别个人。如果S′=S,则验证成功。应该注意的是秘密注册数据S和辅助数据W是从实现注册的装置中导出的。如果注册在用户装置中实现,如图3所示,则秘密注册数据S和辅助数据W就在用户装置中产生。另一方面,如果注册在注册机构中实现,如图6所示,则秘密注册数据S和辅助数据W就在注册机构中产生。如果由注册机构产生S和W,则个人将必须向注册机构提供她的模板,这并不足够地可信。尽管个人也许会信赖银行在其注册后销毁模板的电子复件,但她也许不会信赖夜总会或因特网上赌博站点来做同样的事。
装置间的通信可以使用任意公知的适当通信信道来建立,如使用RF或IR传输的无线信道;或使用如公共交换电话网(PSTN)的电缆。
尽管在如上面所述的系统中,辅助数据W和注册数据S可以由用户装置或注册机构产生,并且由用户装置或验证器存储,但并不一定非要如此。对本领域技术人员来说,对根据本发明的系统进行修改,使得辅助数据W和注册数据S部分地在用户装置和部分地在注册机构中产生,并且部分地在用户装置和部分地在验证器中存储是非常简单和显而易见的。结合一些或所有本发明的实施例来达到这种修改是微不足道的。此外,对本领域技术人员来说很明显的是,在上面结构中的数据和通信能通过使用诸如SHA-1,MD5,AES,DES或RSA之类的标准加密技术而进一步得到保护。在任何数据在本系统所包含的装置之间(注册期间和验证期间)进行交换前,装置可能会需要关于另外其他装置与其建立通信的可靠性的一些证据。例如,在图3所描述的实施例中,注册机构必须确保被信赖的装置真的产生被接收的注册数据。这可以通过使用公共密钥证书或依靠实际设置、对称密钥技术完成。此外,在图3所示的实施例中,注册机构必须确保用户装置能够被信赖并没有被篡改。因此,在很多情况下,用户装置将包含允许注册机构检测篡改的机制。例如,可以在系统中实现物理不可克隆功能(PUF)。PUF是由物理系统实现的一个功能,这样该功能很容易估计但物理系统很难描述。依靠实际的设置,装置间的通信或许必须是秘密并且是可信的。可以使用的标准加密技术是基于公共密钥技术或相似对称技术的安全鉴定信道(SAC)。
同样注意到,可以通过使用一种单向散列函数或者其他任何的能隐藏注册数据和验证数据的适当加密函数的方式来用加密方式隐藏注册数据和验证数据,使得从注册/验证数据的加密隐藏副件里生成一个注册/验证数据的纯文本副本在计算上是不可行的。例如,可以使用一种键入的单向散列函数、限门散列函数、非对称加密函数或甚至对称加密函数。
显然,本发明的系统所包含的装置,例如用户装置、注册机构、验证器、也可能中央存储器,设置了微处理器或者其他具有运算能力的类似电子器件,如ASIC、FPGA、CPLD等的可编程逻辑装置。并且,微处理器执行存储在存储器、硬盘或者其他适宜介质中的适当软件来完成本发明的任务。
尽管本发明是参考其中特殊的具体实施例而描述的,但很多不同的改变、更改等等对于本领域技术人员来说都是显而易见的。因此所描述的实施例并不对所附权利要求所限定的发明范围进行限制。
权利要求
1.一种通过使用与个人相关联的生物统计数据来验证个人身份的系统,该系统提供了所述生物统计数据的秘密,该系统包括验证器(306);个人所信赖的安全、防止篡改的用户装置(301);注册机构(304);以及中央存储器(305),其中所述注册机构被设置用来在所述中央存储器中存储注册数据(S),注册数据(S)是秘密并且基于个人(303)的第一生物统计数据集(X);所述用户装置被设置用来接收个人的第二生物统计数据集(Y),基于所述第二生物统计数据集(Y)和辅助数据(W)来产生秘密验证数据(S′),所述辅助数据(W)基于第一生物统计数据集(X)并与注册数据(S)有关;并且所述验证器被设置用来从中央存储器中获取注册数据(S)、从用户装置中获取验证数据(S′),并且比较注册数据(S)和验证数据(S′)以检测一致性,其中,如果存在一致性,则个人身份被验证。
2.根据权利要求1所述的系统,其中所述中央存储器(505)被设置用来存储辅助数据(W);并且所述验证器(506)被设置用来从中央存储器中获取所述辅助数据(W)并且把所述辅助数据(W)发送到用户装置(501)。
3.根据权利要求2所述的系统,其中所述用户装置(301)被设置用来产生辅助数据(W)并且将辅助数据(W)转发到注册机构(304),并且其中所述注册机构被设置用来在中央存储器(305)中存储辅助数据(W)。
4.根据权利要求2所述的系统,其中所述注册机构(304)被设置用来产生辅助数据(W)并将其存储在中央存储器(305)中。
5.根据权利要求1所述的系统,其中所述用户装置(401)被设置用来产生辅助数据(W)并将其存储在用户装置中。
6.根据权利要求1所述的系统,其中所述注册机构(604)被设置用来产生辅助数据(W)并将其存储在用户装置(601)中。
7.根据权利要求1所述的系统,其中产生所述辅助数据(W)并随后将其用于delta收缩函数中。
8.根据权利要求3或5所述的系统,其中所述用户装置(301)被设置用来导出个人(303)的第一生物统计数据集(X),以产生注册数据(S)并把注册数据(S)发送到注册机构(304)。
9.根据权利要求8所述的系统,其中所述用户装置(301)进一步被设置一个传感器(302),用于从个人(303,304)的至少一个物理特征中获取生物统计模板(X,Y)。
10.根据权利要求4或6所述的系统,其中所述注册机构(604)被设置用于导出个人(603)的第一生物统计数据集(X)并产生注册数据(S)。
11.根据权利要求10所述的系统,其中所述注册机构(604)进一步被设置一个传感器(602),用于从个人(603)的至少一个物理特征中导出生物统计模板(X)。
12.根据权利要求1所述的系统,其中用户装置(301)包含智能卡。
13.一种通过使用与个人相关联的生物统计数据来验证个人身份的方法,该方法提供了所述生物统计数据的秘密,该方法包括如下步骤获取注册数据(S),该注册数据(S)是秘密并且基于个人(303)的第一生物统计数据集(X);获取验证数据(S′),该验证数据(S′)是秘密并且基于个人的第二生物统计数据集(Y)和辅助数据(W),所述辅助数据(W)基于个人的第一生物统计数据集(X)且与注册数据(S)有关;以及比较注册数据(S)和验证数据(S′)以检测一致性,其中如果存在一致性,则个人身份被验证,其中对个人生物统计数据(X,Y)、注册数据(S)和验证数据(S′)的处理是在个人所信赖的安全、防止篡改的环境(301)中进行的。
14.根据权利要求13所述的方法,进一步包含如下步骤获取所述辅助数据(W);及发送所述辅助数据(W)到个人所信赖的安全、防止篡改的环境(301)中。
15.根据权利要求13的方法,进一步包含如下步骤在个人所信赖的安全、防止篡改的环境(301)中产生辅助数据(W);及向注册机构(304)转发辅助数据(W)。
16.根据权利要求14所述的方法,进一步包含如下步骤在所述注册机构(304)中产生辅助数据(W)。
17.根据权利要求13所述的方法,其中产生所述辅助数据(W)并随后将其用于delta收缩函数中。
18.根据权利要求15所述的方法,其中导出个人(303)的第一生物统计数据集(X)、产生注册数据(S)和发送注册数据(S)到注册机构都是在个人所信赖的安全、防止篡改的环境(301)中进行。
19.根据权利要求16所述的方法,其中导出个人(603)的第一生物统计数据集(X)及产生注册数据(S)是在所述注册机构(604)中进行。
20.一种包含可执行组件的计算机程序产品,用于当组件在具有所述计算能力的所述设备中执行时,导致具有计算能力的设备执行权利要求13所述的步骤。
全文摘要
本发明涉及一种通过使用与个人(603)相关联的生物统计数据验证个人身份的系统和方法,其中提供所述生物统计数据(X,Y)的秘密。使用辅助数据方案(HDS)来提供生物统计数据的秘密。本发明是有益的,这可归于很多原因。首先,对安全敏感性信息的处理在个人所信赖的安全、防止篡改环境(601,604,606)中执行。结合辅助数据方案的使用,该处理能够建立起生物统计模板仅在安全环境中以电子形式有效的生物统计系统。此外,在安全环境下,生物统计模板的电子复件不能永久有效,而是仅当个人向传感器提供它的模板时,电子复件才有效。
文档编号G06F1/00GK1965279SQ200580018981
公开日2007年5月16日 申请日期2005年6月1日 优先权日2004年6月9日
发明者T·A·M·克维纳阿, A·H·M·阿克曼斯, P·T·图伊尔斯 申请人:皇家飞利浦电子股份有限公司