安全生物计量数据捕捉、处理及管理的制作方法

背景

在信息安全领域，访问控制包括对受保护或其他安全资源的访问的选择性限制。这些资源可包含敏感或机密信息。对访问资源的允许发生在对用户身份的验证之际。密码、安全令牌和生物计量通常被用于此类验证。这些技术提供了不同级别的安全性。例如，密码验证相对容易实现，但是密码容易被遗忘。此外，被盗或者猜测的密码允许对受限资源的未经授权的访问。安全令牌是一种在与密码结合使用时可提供附加安全性的电子密钥。但是，也会发生非法拦截安全令牌的用户的未经授权的访问。生物计量验证相比密码和安全令牌提供了更多的安全性，因为诸如指纹之类的生物计量标识符包括难以重现的独特且可测量的人体特性。表示生物计量信息的安全数据减少了盗窃和滥用。

附图简述

图1例示了根据本公开的实施例的被配置成用于生物计量数据捕捉、处理及管理的示例计算系统。

图2a是根据本公开的实施例的用于生物计量数据捕捉、处理及管理的示例方法的流程图。

图2b是根据本公开的实施例的图2a的示例方法的更详细的流程图。

图3例示了根据本公开的实施例的被配置成用于生物计量数据捕捉、处理及管理的示例计算设备。

图4是根据本公开的实施例的在计算环境中的用于生物计量数据捕捉、处理及管理的另一示例方法的流程图。

图5例示了根据本公开的实施例配置的媒体系统。

图6例示了根据本公开的实施例配置的移动计算系统。

详细描述

公开了用于生物计量数据捕捉、处理及管理的技术。具体而言，根据一实施例，计算系统(诸如智能电话、平板或其他计算设备)被设计在支持生物计量硬件、固件或硬件和固件的组合的框架上。该框架促成操作系统、受信执行环境以及非受信执行环境等等的使用。生物计量硬件/固件包括传感器中枢、一个或多个生物计量传感器(例如，指纹、虹膜、语音等等)以及安全引擎。每个传感器捕捉或扫描生物计量样本(例如，指纹图案、虹膜结构特征、语音模式)。一些传感器包括被配置成生成表示生物计量数据的电信号的换能器。根据一实施例，生物计量硬件/固件包括用于专门控制和读取传感器的验证逻辑或电路。具体而言，经验证的逻辑选择性地将生物计量硬件/固件以及未经加密的生物计量传感器数据与操作系统的其余部分以及至少非受信执行环境中的任何应用、进程或组件隔离。对(诸)生物计量传感器和被用来存储未经加密的生物计量数据的存储器的访问限于传感器中枢、安全引擎或两者。经验证的逻辑在系统的其他组件将数据转移到受信执行环境之前对生物计量数据进行加密。此外，被存储在受信执行环境中的生物计量应用和数据与非受信执行环境和未经验证的操作系统进程隔离。以这种方式，只有经验证的操作系统进程和计算系统的受信组件才能访问(诸)传感器，并且无论何时，生物计量数据或者被加密或者与计算系统的非受信或未经验证的组件隔离。鉴于本公开内容，许多变体和配置将是显而易见的。

总体概述

质询-响应验证是一种计算机安全技术，其中用户身份验证在用户提供由验证权威机构提出的问题(质询)的有效答案(响应)时发生。密码、安全令牌和生物计量指纹是若干形式的质询-响应验证。尽管密码是容易实现的，但是它们也容易被遗忘、盗窃或以其他方式受到损害。同样，安全令牌容易丢失或被盗。与密码和安全令牌相比，生物计量信息是每个个体独有的内在特性。由此，用户无法丢失、忘记或者轻易窃取生物计量，这在密码、安全令牌和其他形式的质询-响应验证中是常见的。然而，电子形式的生物计量信息一旦被收集到则必须被保护，以防止未经授权的篡改、拦截或盗窃。例如，未经授权的用户可获得未被安全地存储的指纹扫描，并将其用于其中未经授权的用户欺骗或以其他方式模仿经授权的用户的身份以获得对受保护资源的非法访问的攻击。此外，被配置成访问和操纵指纹扫描数据的非法算法可超驰生物计量数据处理算法，这损害了生物计量验证旨在提供的安全性。

因此，本公开提供了根据各种实施例的用于安全生物计量数据捕捉、处理及管理的新技术。在一实施例中，计算系统包括一个或多个生物计量指纹传感器、传感器中枢、非受信应用执行环境以及受信应用执行环境。传感器中枢具有对传感器的独占访问，并且还将操作系统的非受信或未经验证的部分以及在计算系统上执行的其他进程与对由传感器获取的未经加密的生物计量数据的直接访问隔离。具体而言，在指纹扫描期间，传感器中枢禁止从系统的其他组件访问指纹传感器。传感器中枢对传感器进行读取以获得与指纹扫描相关联的生物计量数据，并将该生物计量数据存储在诸如存储器堆栈或寄存器之类的数据存储组件中。仅传感器中枢和安全引擎能够访问数据存储组件。在一些实施例中，安全引擎在传感器中枢移除数据存储和传感器访问限制之前对被存储在数据存储组件中的生物计量数据进行加密。在一些实施例中，安全引擎处理与指纹扫描相关联的生物计量数据，并将可认证结果转移到受信应用执行环境来进行附加授权处理。系统的各种组件(例如，本地库组件)随后可将经加密的生物计量数据从存储器存储组件转移到受信且安全的应用执行环境。受信环境主存用于处理生物计量数据的算法。此外，在受信应用执行环境外部执行的进程不能访问受信应用执行环境中的生物计量数据或算法。尽管该示例实施例中使用了指纹传感器，但是鉴于本公开将显而易见的是，其他实施例可采用其他生物计量传感器或这些传感器的任何组合，并且仍然根据本文中所提供的技术来操作。

如本公开中所使用的，术语“生物计量”是指可测量的生物特性以及用于识别拥有生物特性的个体的过程。在一些情况下，生物特性是解剖学或生理学的，包括指纹、手掌特征(例如，静脉)、面部特征、dna、签名、声音特征、手部特征(例如，几何结构)、虹膜结构、视网膜特征以及气味细节，等等。任何这些特征通常可以以生物计量样本或由生物计量传感器捕捉的数据的形式来被捕捉。识别过程可包括处理表示生物特性的生物计量数据，以标识并验证个体的身份。

如本公开中所使用的，术语“生物计量传感器”是指被配置成获取生物计量识别和认证所需的数据的设备。这些设备可包括例如指纹传感器、视网膜和虹膜传感器、相机、麦克风以及能够收集生物计量的其他这样的工具。例如，指纹传感器可包含诸如光学指纹成像、超声波成像和电容成像之类的特征检测技术，以捕捉人的指纹的细节。虹膜识别传感器可包含具有近红外照明的摄像机技术以捕捉人的虹膜结构的图像。面部识别传感器可包含高分辨率摄像机技术(例如，像素分辨率、空间分辨率、频谱分辨率、时间分辨率和辐射度分辨率)以捕捉人的独特面部特征的高分辨率图像。语音识别传感器可包含话筒以及可能的一个或多个音频滤波器，以捕捉人的语音模式。在一些实施例中，这些传感器的组合可被用来进一步增加安全性。在一些实施例中，传感器包括被配置成生成表示生物计量数据的电信号的换能器。

如本公开中所使用的，术语“生物计量模板”是指一个或多个生物计量样本的数字表示。例如，使用指纹传感器获得的指纹扫描可被转换成与特定个体的指纹唯一对应的生物计量模板。各种模型和算法生成生物计量模板，并将先前所存储的模板对照候选指纹进行比较以供验证目的。例如，基于图像或基于图案的算法可生成模板或者对包含形成指纹的图案的类型、大小、形状和取向的两个或更多个模板进行比较。

如本公开中所使用的，术语“生物计量认证”和“生物计量验证”是指通过获取诸如指纹扫描或语音扫描或面部扫描或虹膜扫描之类的生物计量样本并将捕捉的样本对照数据库中所登记的先前经校验的样本进行比较来确认个体的身份的过程。认证或验证在样本之间的匹配发生时产生结果。经校验的样本是已由受信方审核或者以其他方式由负责执行认证或验证过程的安全权威机构认定为真实和有效的样本。

如本公开中所使用的，术语“生物计量标识”是指通过将诸如指纹扫描或语音扫描或面部扫描或虹膜扫描之类的生物计量样本对照数据库中的一个或多个样本进行比较来获得匹配以确定个体身份的过程。尽管在一些情况下，认证和验证可包括标识，但是标识未必包括同经校验的样本的比较(例如，标识可能不导致验证)。

示例系统

图1例示了根据一实施例的被配置成用于生物计量数据捕捉、处理及管理的示例计算系统100。系统100可例如被实现在智能电话、平板计算机、移动设备、台式设备或任何其他合适的计算设备中。系统100通常包括生物计量组件110、操作系统120和应用执行环境130。生物计量组件110可包括例如硬件、固件或两者，(例如，可由系统的一个或多个本地处理器访问和执行的嵌入式代码)。

生物计量组件110包括传感器中枢112、一个或多个生物计量传感器114(例如，指纹传感器)以及安全引擎116。传感器中枢112包括用于将计算系统100的其他部分(例如，经由操作系统120)与生物计量传感器114对接的电路和逻辑。传感器中枢112还包括用于控制和捕捉来自生物计量传感器114的生物计量样本的电路和逻辑。生物计量组件110可将生物计量传感器114与通过操作系统120和应用执行环境130的直接访问可操作地隔离。例如，传感器中枢112可包括用于与生物计量传感器114通信的公共总线接口。这种公共总线接口的示例包括串行外围接口(spi)和spi控制器(例如，ssp6)、i2c(内部集成电路)、通用异步接收机/发射机(uart)以及移动工业处理器接口(mipi)。指纹生物计量传感器的示例包括但不限于，电容式传感器(fingerprintcard1020系列、synaptics5100系列)、光学传感器(oxitechnology所有系列的传感器、authentic)和超声波传感器(ultrascan和sonavation所有系列的传感器)。如上所述，这些传感器中的任一个可包括被配置成生成表示生物计量数据的电信号的换能器。安全引擎116可包括在安全执行环境中提供加密功能的任何类型的基于硬件或软件的安全引擎。例如，安全引擎116可实现经定义的安全方案来为传感器中枢112所获取的数据(诸如表示指纹扫描的生物计量数据)以及系统100的各种其他组件所获取的数据提供加密和解密能力，如鉴于本公开将显而易见的。

操作系统120包括数据存储122，例如，随机存取存储器、数据堆栈或其他数据寄存器。生物计量组件110具有对数据存储122的直接访问。数据存储124提供用于存储从传感器中枢112接收到的生物计量数据的存储器。例如，数据存储124可在发生将表示指纹扫描的数据转移到应用执行环境130之前临时地存储该数据。此外，应用执行环境130可经由操作系统120访问数据存储122。然而，传感器中枢112选择性地禁止从应用执行环境访问数据存储。例如，传感器中枢112可响应于来自应用执行环境130的捕捉生物计量样本的请求而禁止从应用执行环境130直接地或者经由操作系统120访问数据存储122。这与可操作地隔离的生物计量组件110组合在一起用于防止计算系统100的其他部分(包括操作系统120和应用执行环境130)对获得自生物计量样本的未经加密的生物计量数据进行读取和写入访问。例如，安全引擎116可加密生物计量数据。一旦生物计量数据被加密，则传感器中枢112允许从操作系统120和应用执行环境130访问数据存储122。

应用执行环境130包括非受信应用执行环境132和受信应用执行环境134。非受信应用执行环境132包括附加的数据存储，其未必是安全的或者以其他方式被保护以免受在计算系统100上执行的任何进程的访问。例如，在计算系统100上执行的受信或非受信进程可访问被存储在非受信应用执行环境132中的数据。在非受信应用执行环境132中所存储的数据或者执行的应用可包括例如计算机病毒或恶意内容。此外，未经授权或未经验证的用户、设备或应用可访问或修改非受信应用执行环境132中的数据和应用。因此，为了某些目的(诸如保护机密信息不被盗窃或误用)，非受信应用执行环境132可能不适合于存储或处理生物计量数据。

相比之下，受信应用执行环境134包括与在受信应用执行环境134外部执行的未经授权或未经验证的进程所使用的存储器隔离的数据存储。此外，在受信应用执行环境134中执行的进程具有对被存储在其中的数据的独占访问，从而排除了在受信应用执行环境134外部执行的所有进程。以这种方式，受信应用执行环境134将被存储在其中的某些数据(包括生物计量数据)与在受信应用执行环境134外部(例如，在操作系统120或非受信应用执行环境132中)执行的进程安全地隔离。在一些实施例中，取决于应用，形成非受信应用执行环境132的各部分的存储器或其他数据存储元件可以与形成受信应用执行环境134的各部分的存储器或其他数据存储元件在物理上分开或者集成在一起。此外，在一些情况下，硬件(例如，分开的数据总线、非共享存储器)、固件或软件(例如，分割、进程隔离、虚拟寻址、保护密钥、权限和许可、地址掩码等)可将系统100的一个存储器区域与另一个存储器区域隔离。

示例方法

图2a是根据一实施例的用于生物计量数据捕捉、处理及管理的示例方法的流程图。图2b是根据一实施例的图2a的示例方法的更详细的流程图。非受信应用202在计算机处理环境的一部分中执行，诸如图1的非受信应用执行环境132。非受信应用202请求用户204的生物计量验证。这样的验证可例如充当允许非受信应用202访问某些受保护或安全信息或者执行仅限于经授权的用户的某些功能的先决条件。在一些情况下，其他合适的验证技术(诸如密码或安全令牌)可补充生物计量验证。响应于验证请求，计算机处理环境(例如，受信应用执行环境134、操作系统内核120、生物计量组件110或这些的任何组合)的独立于非受信应用202且与其隔离的分开的部分收集210来自用户204的生物计量数据(例如，指纹扫描)。参考图2b，生物计量数据的安全收集210可包括以下各项中的一者或多者：生成212a加密密钥、禁止214从操作系统访问数据存储，以及捕捉生物计量数据、对生物计量数据进行加密并将生物计量数据存储216在数据存储中。

再次参考图2a，在收集210生物计量数据之后，生物计量数据从计算机处理环境的一个部分被传送220到另一部分。参考图2b，生物计量数据220的传送可包括以下各项中的一者或多者：允许222从操作系统访问数据存储，以及将生物计量数据从数据存储转移224到受信环境。例如，参考图1，生物计量数据可从生物计量组件110被传送到操作系统内核120(例如，数据存储124)，并进一步被传送到受信应用执行环境134。生物计量数据被安全地(例如，按经加密的形式)传送220，使得非受信应用202从未具有对未经加密或原本就未受保护的形式的生物计量数据的访问。

再次参考图2a和2b，生物计量数据的处理及管理230以独立于非受信应用202且与其分开的类似的安全方式发生。例如，生物计量数据的解密及处理232可在受信环境内发生，以生成用于登记指纹扫描或用于对照先前经登记的指纹扫描进行校验的模板。被用来加密及解密生物计量数据的任何加密密钥从未向非受信应用202揭露。由此，在该示例框架和方法中，非受信应用202从未具有对以下各项的直接访问：未经加密或原本就未受保护的形式的生物计量数据、生物计量组件或者收集、传送、处理或管理未经加密或原本就未受保护的形式的生物计量数据的任何进程或通信信道。

示例设备

图3例示了根据一实施例的被配置成用于生物计量数据捕捉、处理及管理的示例计算设备300。计算设备300包括生物计量组件310、操作系统组件320、非受信环境组件330以及受信且安全的环境组件340。生物计量组件310包括传感器中枢312、一个或多个生物计量指纹传感器314以及安全引擎316。在一些情况下，传感器中枢312和安全引擎316通过对被集成到计算设备300中的一个或多个访问控制寄存器(未示出)进行配置而具有对生物计量指纹传感器314的独占访问。传感器中枢312执行一个或多个应用或进程。这些应用或进程可彼此互不相容且彼此隔离地执行(例如，传感器中枢312上的应用或进程无法知道另一应用或进程的存在，并且传感器中枢312上的应用或进程无法访问另一应用或进程的数据)。例如，传感器中枢312中的每个应用或进程可在保护环(例如，环3)架构中执行。操作系统组件320包括传感器中枢进程间通信(ipc)组件322、数据存储组件324、安全引擎接口组件326以及生物计量驱动器组件328。非受信环境330包括以下各项中的一者或多者：非受信应用332、生物计量服务334以及生物计量服务库336。生物计量服务334可例如提供一个或多个应用编程接口(api)，用于经由生物计量硬件/固件310进行登记、认证及标识用户。在一些情况下，非受信应用332可使用任何标准生物计量api来登记、认证和标识用户。受信且安全的环境340包括以下各项中的一者或多者：受信生物计量应用342以及受信生物计量服务344。在一些实施例中，传感器中枢312可包括以下各项中的一者或多者：传感器处理模块350以及传感器接口352。

计算设备300可在一个或多个移动或台式计算设备中被实现，诸如智能电话、平板、桌上型计算机、用户终端、销售点终端、自动柜员机、自动贩卖机、机场值机系统、嵌入式设备控制器、车辆控制系统、设施接入控制系统或者其中生物计量被用于用户标识和验证的其他设备或系统或这些设备或系统的组合。

一般而言，根据一实施例，计算设备300按以下方式来操作。非受信应用332可包括在计算设备300上执行的涉及用户的生物计量标识或验证的任何应用。这样的应用的示例包括在允许用户执行某些金融交易之前使用生物计量信息来标识和验证用户的在线银行业务应用。例如，作为使用用户名和密码登录到金融机构的银行业务应用的替代或补充，非受信应用332获得用户的指纹扫描。获得自指纹扫描的生物计量数据与已知且经校验的生物计量数据的比较确定了用户是谁以及该用户是否被允许执行某些功能，诸如检查帐户余额、取款或转移资金、进行购买以及只有经金融机构授权的用户可使用的其他类型的交易。鉴于本公开，其中可使用基于生物计量的安全性的应用的其他示例将显而易见。

设备300不允许包括非受信应用332在内的在非受信环境330中执行的应用或其他进程直接访问未经授权的用户可能出于不正当目的而进行利用或者以其他方式进行滥用的敏感数据。由此，设备300不允许非受信应用332访问或者以其他方式拦截或操纵至少为未经加密的形式的生物计量数据。相反，非受信应用332经由被发送到计算设备300的其他组件(包括但不限于受信生物计量应用342、数据存储组件324和生物计量组件310)的请求来间接地实现基于生物计量的标识或授权。根据各个实施例，这些其他组件被设计成维持生物计量数据的完整性和安全性，并进一步被设计成将生物计量组件310和数据存储324与非受信环境隔离。该请求可包括例如将新的指纹扫描登记到数据库中或者对照先前经登记的指纹扫描来验证新的指纹扫描并返回这类登记或验证的结果(诸如“成功”或“失败”)的请求。在一些情况下，生物计量服务334提供促成将请求从非受信应用332提交给计算设备300的各种其他组件(诸如传感器中枢ipc322)的一个或多个api。

响应于从非受信应用332接收生物计量请求，驱动器328经由受信生物计量服务344向受信生物计量应用342发送生成用于对从生物计量指纹传感器314捕捉的生物计量数据进行加密的加密密钥的命令。受信生物计量应用342生成加密密钥，并且经由安全引擎接口326将密钥提供给安全引擎316。附加地，响应于接收到生物计量请求，传感器中枢ipc322向传感器中枢312和指纹传感器314发送捕捉生物计量样本的命令。在操作系统320、传感器中枢312和安全引擎326之间共享数据存储324。传感器中枢312在捕捉生物计量样本之前将数据存储324锁定，以禁止操作系统320访问数据存储324。接下来，传感器处理模块350使用传感器接口352来获取表示生物计量样本的原始生物计量数据，并且将原始生物计量数据存储在数据存储324中。传感器处理模块350在将生物计量数据发送到操作系统320之前调用安全引擎326来使用加密密钥对原始生物计量数据进行加密。一旦被存储在数据存储中的生物计量数据已被加密，则传感器中枢312解锁对数据存储324的访问。

接下来，传感器中枢ipc322从数据存储324收集经加密的生物计量数据，并且将其复制到非受信环境330中的缓冲器。生物计量服务库336接着将经加密的生物计量数据转移到受信且安全的环境340。在接收到经加密的生物计量数据之际，受信生物计量应用342使用被安全引擎316用来对生物计量数据进行加密的相同加密密钥来对数据进行解密。受信生物计量应用342检查生物计量数据的完整性和有效性，预处理数据，提取生物计量模板，并且按经加密的形式来存储该模板，或者将该模板对照先前经登记的模板进行比较。所有这些功能都在受信且安全的环境340内被执行，这确保了生物计量数据和模板抵抗来自非受信环境330或操作系统320的访问的安全性。参考图4更详细地提供了计算设备300的操作和使用的另一示例。

示例方法

图4是根据一实施例的在计算环境中的用于生物计量数据捕捉、处理及管理的另一示例方法的流程图。为了清楚起见，在图4中，参考图2的计算设备的各种组件对示例方法的各个步骤进行了限定。然而，这些步骤中的一些或全部可由与该示例实施例中所明确提及的那些组件不同的组件来执行，包括作为分开描述的组件的组合的组件、作为单独描述的组件的子集的组件、在计算环境(例如，客户端-服务器方案)远程的组件或者位于分开的计算环境中或计算环境的分开的部分中的组件。此外，这些步骤中的一个或多个步骤的执行可以以与该示例实施例中所明确描述的那些顺序不同的顺序发生，或者被完全省略。因此，图4的示例流程图仅提供一个示例方法的一般概述，并且不对各种其他实施例的范围进行限制。

一般而言，在生物计量验证会话期间，示例方法包括以下动作中的一个或多个：生成用于对生物计量数据进行加密及解密的加密密钥、限制生物计量硬件/固件对计算环境中的某些组件进行访问、捕捉生物计量数据(例如，指纹扫描)、将生物计量数据加密并将其转移到受信环境，以及进一步处理生物计量数据并将其存储在受信环境中。示例方法还可包括将这样的处理的结果报告给在非受信环境中执行的应用。例如，指纹扫描登记或验证的结果可作为成功或失败被报告给非受信应用。进而，示例方法可基于该结果来授予或拒绝非受信应用对受保护资源的访问。

更详细地，可以在非受信环境中执行的非受信应用最初发出402生物计量验证请求。这样的请求可例如在非受信应用需要获得用户对访问该用户所拥有的或者以其他方式被保护免受以该用户的名义的未经授权的访问的受保护资源(例如，数据、服务或应用)的验证时发出。在计算环境中执行的任何应用都可发出生物计量验证请求。这些应用不限于在非受信环境中执行的那些应用，而可包括在计算环境的其他部分或者在包括受信环境、操作系统内核以及任何硬件或固件在内的分开的计算环境中执行的应用或其他进程。在非受信环境中执行的非受信生物计量服务接收生物计量验证请求。非受信生物计量服务实例化404其中生物计量数据被捕捉、被传送、被处理或者被管理的生物计量验证会话。生物计量验证会话可包括参考图4所描述的动作中的一个或多个。响应于生物计量验证会话的实例化，非受信生物计量服务调用406受信生物计量应用。受信生物计量应用在受信环境中执行，该受信环境可包括隔离的存储器区域或其他数据存储组件，对这些存储器区域或其他数据存储组件的访问仅限于在受信任环境中执行的组件。

响应于接收到来自非受信生物计量服务的调用，受信生物计量应用经由也在受信环境内的受信生物计量服务生成加密密钥408。受信生物计量服务可以与安全引擎协同操作以生成加密密钥。例如，受信生物计量服务可调用安全引擎以请求加密密钥，并且安全引擎可代表受信生物计量服务来生成加密密钥，并使用安全或专用通信信道将加密密钥返回到受信生物计量服务。安全引擎还可以与例如传感器中枢共享加密密钥。

在扫描指纹之前，对诸如内核堆栈之类的数据存储组件的访问仅限于计算环境的硬件/固件中的传感器中枢、安全引擎或两者410。作为结果，从非受信环境访问内核堆栈不被允许。对内核堆栈的访问受到限制，以防止计算环境中的非受信或未经验证的应用或组件获得对在生物计量验证会话期间所获取的任何未经加密或原本就未受保护的生物计量数据的访问。在内核堆栈访问已受到如此限制之后，生物计量数据被从指纹传感器捕捉412，并被存放414在内核堆栈上。在一些情况下，被捕捉的生物计量传感器数据可附加地或替代地被存储在硬件/固件、内核或受信环境内针对其的访问被适当地局限于计算环境中的经验证或受信组件的其他数据存储组件中。

当生物计量数据驻留在内核堆栈上，并且对内核堆栈的访问仅限于传感器中枢、安全引擎或两者时，传感器中枢或安全引擎使用加密密钥对生物计量数据进行加密416。在对生物计量数据进行加密之后，传感器中枢移除418内核堆栈访问限制，这允许从应用执行环境访问内核堆栈。生物计量服务库将经加密的生物计量数据转移420到受信和安全环境，该受信和安全环境不能由计算环境的操作系统或其他非受信进程和组件直接访问。

一旦经加密的生物计量数据被转移到受信环境，则受信生物计量应用就使用加密密钥对经加密的生物计量数据进行解密422，并进一步处理424生物计量数据。这样的进一步处理可包括例如生成对应于生物计量数据(例如，指纹扫描)的生物计量模板或者基于接收到的经过处理的数据来作出附加的授权决定。基于生物计量传感器数据的生物计量模板可被存储在受信环境中，以供将来在生物计量校验、验证或标识期间按需使用。受信环境通过确保受信环境外部的应用、进程或组件无法访问生物计量模板来为生物计量模板提供安全的数据存储。被隔离的、受保护的或经加密的存储器区域可例如提供生物计量数据和模板的安全存储。受信生物计量应用登记或验证426生物计量模板。例如，如果第一次从个体获得生物计量样本，则所得到的生物计量模板可被登记在数据库中以便与随后获得的样本进行比较。另一方面，如果经验证的生物计量模板已被登记，则生物计量模板可被用于对照经登记的模板进行认证或验证。非受信应用随后被通知登记或验证的结果430。例如，如果验证结果是经登记的生物计量模板和当前生物计量模板之间匹配，则可向非受信应用通知用户被授权访问受保护资源。在一些情况下，通知可包括安全令牌或者非受信应用可使用以访问受保护资源的其他信息。在通知430之后，生物计量验证会话可以结束，并且非受信应用向用户通知432结果。在一些情况下，示例方法包括向非受信应用的用户通知生物计量验证的结果(例如，经由“通过”或“失败”消息或其他指示)。每当在计算环境中执行的任何应用请求生物计量验证时，可以重复该示例方法。

示例系统

图5例示了根据本实施例的可执行用于生物计量数据捕捉、处理及管理的技术的示例系统500。在一些实施例中，系统500可以是媒体系统，虽然系统500不仅限于此情境。例如，系统500可被合并到个人计算机(pc)、膝上型计算机、超膝上型计算机、平板电脑、触摸板、便携式计算机、手持式计算机、掌上电脑、个人数字助理(pda)、蜂窝电话、蜂窝电话/pda的组合、电视机、智能设备(例如，智能电话、智能平板电脑或智能电视机)、移动互联网设备(mid)、消息接发设备、数据通信设备、机顶盒、游戏控制台或者能够执行图形渲染操作的其他这样的计算环境。

在一些实施例中，系统500包括耦合到显示器520的平台502。平台502可接收来自诸如(诸)内容服务设备530或(诸)内容递送设备540或其他类似内容源之类的内容设备的内容。包括一个或多个导航特征的导航控制器550可被用来与例如平台502和/或显示器520交互。在下文中更详细地描述这些示例组件中的每一个。

在一些实施例中，平台502包括芯片组505、处理器510、存储器512、存储器514、图形子系统515、应用516和/或无线电518的任何组合。芯片组505提供处理器510、存储器512、存储设备514、图形子系统515、应用516和/或无线电设备518之间的相互通信。例如，芯片组505可包括能够提供与存储设备514的互通的存储适配器(未描绘)。

处理器510可被实现为例如复杂指令集计算机(cisc)或精简指令集计算机(risc)处理器、x86指令集兼容的处理器、多核或者任何其他微处理器或中央处理单元(cpu)。在一些实施例中，处理器510包括(诸)双核处理器、(诸)双核移动处理器，等等。可将存储器612实现为例如易失性存储器设备，诸如但不限于，随机存取存储器(ram)、动态随机存取存储器(dram)或静态ram(sram)。存储514可被实现为例如非易失性存储设备，诸如但不限于磁盘驱动器、光盘驱动器、磁带驱动器、内部存储设备、附属存储设备、闪存、电池备用sdram(同步dram)和/或网络可接入存储设备。在一些实施例中，存储514包括用于在例如包括多个硬盘驱动器时提高有价值数字媒体的存储性能改善保护的技术。

图形子系统515可执行对诸如静止图像或视频之类的图像进行的处理，以便进行显示。图形子系统515可以是例如图形处理单元(gpu)或视觉处理单元(vpu)。可将模拟或数字接口用于通信地耦合图形子系统515和显示器520。例如，该接口可以是高清多媒体接口、显示端口、无线hdmi和/或适合无线hd的技术中的任意一个。图形子系统515可被集成到处理器510或芯片组505中。图形子系统515可以是可通信地耦合到芯片组505的独立卡。可在各种硬件架构中实现本文中所描述的图形和/或视频处理技术。例如，如本文中所提供的硬件辅助的权限访问冲突检查功能可被集成在图形和/或视频芯片组内。替代地，可使用分立的安全处理器。作为又一实施例，包括针对权限访问冲突检查的硬件辅助在内的图形和/或视频功能可由通用处理器(包括多核处理器)来实现。

无线电设备518可包括能够使用各种合适的无线通信技术发送和接收信号的一个或多个无线电设备。此类技术可涉及横跨一个或多个无线网络的通信。示例性无线网络包括(但不限于)无线局域网(wlan)、无线个域网(wpan)、无线城域网(wman)、蜂窝网络以及卫星网络。在横跨此类网络进行通信时，无线电设备618可根据任何版本的一个或多个适用的标准进行操作。

在一些实施例中，显示器520包括任何电视或计算机型监视器或显示器。显示器520可包括例如液晶显示器(lcd)屏幕、电泳显示器(epd)或液体纸显示器、平板显示器、触摸屏显示器、类似电视的设备和/或电视。显示器520可以是数字和/或模拟的。在一些实施例中，显示器520是全息或三维显示器。同样，显示器520可以是可接收视觉投影的透明表面。此类投影可传递各种形式的信息、图像和/或对象。例如，此类投影可以是用于移动增强现实(mar)应用的视觉重叠。在一个或多个软件应用516的控制下，平台502可在显示器620上显示用户界面522。

在一些实施例中，(诸)内容服务设备530可以由任何国家的、国际的和/或独立的服务托管，并由此可以被平台502例如经由互联网或其他网络来访问。可将(诸)内容服务设备530耦合至平台502和/或显示器520。可将平台502和/或(诸)内容服务设备630耦合至网络560，以便往返于网络560传递(如，发送和/或接收)媒体信息。可将(诸)内容递送设备540耦合至平台502和/或显示器520。在一些实施例中，(诸)内容服务设备530包括有线电视机顶盒、个人计算机、网络、电话、互联网启用设备或能够传递数字信息和/或内容的设施，以及能够经由网络560或直接地在内容提供者和平台502和/显示器520之间单向或双向地交换内容的任何其它类似设备。将会领会，可经由网络560，在系统500中的任何一个组件和内容提供商之间往返地单向和/或双向传递内容。内容的示例可包括任何媒体信息，包括例如视频、音乐、图形、文本、医疗和游戏内容，等等。

(诸)内容服务设备530接收内容，诸如有线电视节目，包括媒体信息、数字信息和/或其他内容。内容提供商的示例可包括任何有线或卫星电视或无线电或互联网内容提供商。所提供的示例不旨在限制本公开的范围。在一些实施例中，平台502从具有一个或多个导航特征的导航控制器550接收控制信号。可将控制器550的导航特征用于与例如用户界面522交互。在一些实施例中，导航控制器550可以是指示设备，该指示设备可以是计算机硬件组件(具体地，人机接口设备)，可使用户向计算机中输入空间(例如，连续的和多维)数据。诸如图形用户界面(gui)之类的许多系统以及电视机和监视器允许用户使用物理手势来控制数据，并向计算机或电视机提供数据。

控制器550的导航特征的移动可以通过指针、光标、焦点环，或显示在显示器上的其他可视指示器的移动被反映到显示器(例如，显示器520)上。例如，在软件应用516的控制下，可将位于导航控制器550上的这些导航特征映射至显示在用户界面522上的虚拟导航特征中。在一些实施例中，控制器550不是单独的组件，而是集成到平台502和/或显示器520中。

在一些实施例中，驱动程序(未示出)包括允许用户立即打开和关闭平台502(类似于电视机)的技术，例如，当启用时，在初始引导之后，按下按钮。在平台被“关闭”时，程序逻辑可以允许平台502将内容流传输到媒体适配器或其他(诸)内容服务设备530或(诸)内容递送设备540。另外，芯片组505可包括对例如5.1环绕声和/或高清7.1环绕声的硬件和/或软件支持。驱动器可包括用于集成图形平台的图形驱动器。在一些实施例中，图形驱动器包括外设组件互连(pci)高速图形卡。

在各实施例中，系统500中所示组件中的任意一个或多个可以是集成的。例如，可集成平台502和(诸)内容服务设备530，或可集成平台502和(诸)内容递送设备540，或例如可集成平台502、(诸)内容服务设备530和(诸)内容递送设备540。在各实施例中，平台502和显示器520可以是集成单元。可集成显示器520和(诸)内容服务设备530，或例如可集成显示器520和(诸)内容递送设备540。这些示例并不旨在限制本公开的范围。

在各实施例中，可将系统500实现为无线系统、有线系统或无线和有线系统两者的组合。当将系统500实现为无线系统时，该系统500可包括适合于在无线共享介质上进行通信的组件和接口，无线共享介质例如是一个或多个天线、发射机、接收机、收发机、放大器、过滤器、控制逻辑等。无线共享介质的示例可包括无线频谱的多个部分，例如rf频谱等。当实现为有线系统时，系统500可以包括适用于通过有线通信介质进行通信的组件和接口，诸如输入/输出(i/o)适配器、将i/o适配器与相应的有线通信介质连接的物理连接器、网络接口卡(nic)、磁盘控制器、视频控制器、音频控制器，等等。有线通信介质的示例包括线、电缆、金属引线、印刷电路板(pcb)、底板、交换结构、半导体材料、双绞线、同轴电缆、光纤等。

平台502可建立用于传递信息的一个或多个逻辑或物理通道。该信息可包括媒体信息和控制信息。媒体信息指代表示由用户消费的内容的任何数据。内容的示例可包括例如来自语音转换、视频会议、流视频、电子邮件或文本消息、语音信箱消息、字母数字符号、图形、图像、视频、文本等的数据。控制信息指代表示由自动化系统使用的命令、指令或控制字的任何数据。例如，控制信息可被用来将媒体信息路由通过系统，或者指令节点以预先确定的方式处理媒体信息(例如，使用辅助权限访问冲突检查的硬件，如本文所述)。然而，这些实施例并不限于这些元件或图5中示出或描述的上下文。

如上文所述，能以不同的物理样式或形状因子来使系统500具体化。图6示出了其中可实现系统500的小形状因素设备600的各实施例。在一些实施例中，例如设备600可被实现为具有无线能力的移动计算设备的一部分。移动计算设备指代具有处理系统和移动电源或供电(诸如举例而言，一个或多个电池)的任何设备。

如先前所描述的，移动计算设备的示例包括个人计算机(pc)、膝上型计算机、超膝上型计算机、平板电脑、触摸板、便携式计算机、手持式计算机、掌上电脑、个人数字助理(pda)、蜂窝电话、蜂窝电话/pda的组合、电视机、智能设备(例如，智能电话、智能平板电脑或智能电视机)、移动互联网设备(mid)、消息传送设备、数据通信设备，等等。

移动计算设备的示例还包括被安排为由人穿戴的计算机，诸如腕式计算机、手指计算机、戒指计算机、眼镜计算机、皮带扣计算机、臂带计算机、鞋计算机、衣服计算机以及其他可穿戴计算机。例如，在一些实施例中，移动计算设备可以实现为能够执行计算机应用程序以及语音通信和/或数据通信的智能电话。尽管用被实现为智能电话的移动计算设备描述了一些实施例，但是应当领会，也可以使用其他无线移动计算设备来实现其他实施例。

如图6所示，设备600包括外壳602、显示器604、输入/输出(i/o)设备606以及天线608。设备600可例如包括导航特征612。显示器604包括用于显示适合于移动计算设备的信息的任何合适的显示单元。i/o设备606包括用于向移动计算设备输入信息的任何合适的i/o设备。i/o设备606的示例包括字母数字键盘、数字小键盘、触摸板、输入键、按钮、开关、摇杆开关、话筒、扬声器、语音识别设备和软件等。信息还通过话筒被输入到设备600中。该信息可由语音识别设备数字化。

可使用硬件元件、软件元件或软硬件元件的组合来实现各实施例。硬件元件的示例包括处理器、微处理器、电路、电路元件(例如，晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(asic)、可编程逻辑器件(pld)、数字信号处理器(dsp)、现场可编程门阵列(fpga)、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片集等。软件的示例可包括软件组件、程序、应用、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、函数、方法、程序、软件接口、应用程序接口(api)、指令集、计算代码、计算机代码、代码段、计算机代码段、字、值、符号或它们的任意组合。硬件元件和/或软件元件是否被使用可根据任意数量的因素而因实施例不同，这些因素诸如为所期望的计算速率、功率电平、热容限、处理循环预算、输入数据速率、输出数据速率、存储器资源、数据总线速度以及其他设计或性能约束。

例如，可使用机器可读介质或者制品来实现一些实施例，这些介质或者制品可存储指令或者指令集，这些指令或指令集在由机器执行时可促使该机器根据本公开的实施例来执行方法和/或操作。该机器可包括例如任何合适的处理平台、计算平台、计算设备、处理设备、计算系统、处理系统、计算机、处理器等，并可使用硬件和软件的任何合适组合来实现。机器可读介质或作品可包括例如任何合适类型的存储器单元、存储器设备、存储器作品、存储器介质、存储设备、存储作品、存储介质和/或存储单元，例如存储器、可移除或不可移除介质、可擦除或不可擦除介质、可写或可重写介质、数字或模拟介质、硬盘、软盘、紧凑盘只读存储器(cd-rom)、紧凑盘可记录(cd-r)、紧凑盘可重写(cd-w)、光盘、磁性介质、磁光介质、可移除存储器卡或盘、各种类型的数字多功能盘(dvd)、磁带、磁带盒，等等。指令可包括使用任何合适的高级、低级、面向对象的、可视的、经编译的和/或经解译的编程语言实现的任何合适类型的可执行代码。

除非特别声明，应该领会，诸如“处理”、“计算”、“运算”、“确定”等术语表示计算机或计算系统或者类似电子计算设备的动作和/或过程，其将计算系统的寄存器和/或存储器内被表示为物理量(例如，电子学的)的数据处理和/或转换为在计算系统的存储器、寄存器或其它这类信息存储、传输或显示器内被类似表示为物理量的其它数据。

其他示例实施例

以下示例涉及另外的实施例，根据这些实施例，许多排列和配置将是显而易见的。

示例1是计算系统，该计算系统包括应用执行环境、操作系统、能从应用执行环境经由操作系统选择性地访问的数据存储以及具有对数据存储的直接访问的生物计量组件。生物计量组件被配置成选择性地禁止从应用执行环境访问数据存储。

示例2包括示例1的主题，其中生物计量组件包括生物计量传感器，并且其中生物计量组件被进一步配置成响应于来自应用执行环境的捕捉生物计量样本的请求而禁止从应用执行环境访问数据存储，用生物计量传感器来捕捉生物计量样本以获得生物计量数据，使用加密密钥来对生物计量数据进行加密，将经加密的生物计量数据存储在数据存储组件中，并且允许在对生物计量数据进行加密之后从应用执行环境经由操作系统访问数据存储。

示例3包括以上示例中的任一个的主题，其中生物计量组件包括生物计量传感器和安全引擎，并且其中安全引擎被配置成对获得自生物计量传感器的生物计量数据进行加密。生物测定传感器可以是例如指纹传感器、话筒、相机或允许生物计量样本被捕捉的任何其他这样的工具。

示例4包括以上示例中的任一个的主题，其中应用执行环境包括经由操作系统访问数据存储的非受信应用执行环境，以及经由操作系统访问数据存储的受信应用执行环境。

示例5包括示例4的主题，其中非受信应用执行环境与受信应用执行环境操作地隔离。

示例6包括示例4和5中的任一个的主题，其中操作系统被配置成将经加密的生物计量数据从数据存储转移到受信应用执行环境。

示例7包括示例4、5和6中的任一个的主题，其中受信应用执行环境包括被配置成基于获得自生物计量传感器的生物计量数据对用户进行登记、基于生物计量数据对用户进行验证或者两者都执行的生物计量应用。

示例8包括示例4、5、6和7中的任一个的主题，其中受信应用执行环境包括被配置成使用加密密钥对获得自生物计量传感器的经加密的生物计量数据进行解密的生物计量应用。

示例9包括示例4、5、6、7和8中的任一个的主题，其中受信应用执行环境包括被配置成对获得自生物计量传感器的生物计量数据进行处理以生成生物计量模板的生物计量应用。

示例10是一种在计算系统中的捕捉、处理及管理生物计量数据的方法。该方法包括响应于来自计算系统的应用执行环境的捕捉生物计量样本的请求而禁止从应用执行环境访问计算系统的数据存储组件，用生物计量传感器来捕捉生物计量样本以获得生物计量数据，使用加密密钥对生物计量数据进行加密，将经加密的生物计量数据存储在数据存储组件中，以及允许在对生物计量数据进行加密之后从应用执行环境访问数据存储组件。

示例11包括示例10的主题，其中对生物计量数据进行加密由计算系统的生物计量组件独立于操作系统执行。

示例12包括示例10和11中的任一个的主题，其中该方法包括经由操作系统将经加密的生物计量数据从数据存储组件转移到应用执行环境中的受信执行环境，并且其中应用执行环境中的非受信执行环境与受信执行环境操作地隔离。

示例13包括示例12的主题，其中该方法包括在受信执行环境内生成加密密钥。

示例14包括示例12和13中的任一个的主题，其中该方法包括在受信执行环境内使用加密密钥来对经加密的生物计量数据进行解密。

示例15包括示例12、13和14中的任一个的主题，其中该方法包括对生物计量数据进行处理以在受信执行环境内生成生物计量模板。

示例16包括示例12、13、14和15中的任一个的主题，其中该方法包括基于生物计量数据对用户进行登记、对用户进行验证，或者两者。

示例17是一种其上具有被编码的指令的非瞬态计算机程序产品，这些指令在由一个或多个处理器执行时促使过程被执行。该过程包括响应于来自计算系统的应用执行环境的捕捉生物计量样本的请求而禁止从应用执行环境访问计算系统的数据存储组件，用生物计量传感器来捕捉生物计量样本以获得生物计量数据，使用加密密钥对生物计量数据进行加密，将经加密的生物计量数据存储在数据存储组件中，以及允许在对生物计量数据进行加密之后从应用执行环境访问数据存储组件。

示例18包括示例17的主题，其中对生物计量数据进行加密由计算系统的生物计量组件独立于操作系统执行。

示例19包括示例17和18中的任一个的主题，其中该过程包括经由操作系统将经加密的生物计量数据从数据存储组件转移到应用执行环境中的受信执行环境，并且其中应用执行环境中的非受信执行环境与受信执行环境操作地隔离。

示例20包括示例19的主题，其中该过程包括在受信执行环境内生成加密密钥。

示例21包括示例19和20中的任一个的主题，其中该过程包括在受信执行环境内使用加密密钥来对经加密的生物计量数据进行解密。

示例22包括示例19、20和21中的任一个的主题，其中该过程包括对生物计量数据进行处理以在受信执行环境内生成生物计量模板。

示例23包括示例19、20、21和22中的任一个的主题，其中该过程包括基于生物计量数据对用户进行登记、对用户进行验证，或者两者。

已出于说明和描述的目的呈现了各示例实施例的前述描述。本说明书不旨在穷举或将本公开限制为所公开的精确形式。根据上述公开，许多修改和变化是可能的。本公开不旨在限制各实施例的范围。将来提出的要求本申请优先权的申请可以以不同的方式要求所公开的主题，并且通常可包括如在此多方面地公开或以其他方式展示的一个或多个限制的任意集合。