增强保密的生物计量访问请求的制作方法

本发明技术主题涉及生物计量认证，并且更具体地涉及利用增强保密的生物计量认证来提供访问权限。

生物计量信息是基于人类特征的度量相关数据，例如指纹、语音识别、虹膜或视网膜扫描信息等等。这种生物计量信息可以用于个人身份认证。身份认证可以有多种用途，例如，允许访问门、计算机、银行账户等等。生物计量信息是个人信息，个人可能出于多种原因而不希望别人得到这些信息，例如隐私顾虑。

因此，需要提供一种不但使用生物计量认证来允许访问(例如车辆对用户的访问)，而且通过验证用户的生物计量信息来解决隐私顾虑而无需在后端系统上存储用户生物计量信息的系统。

技术实现要素：

在一个示例性实施例中，公开了一种用于增强保密的生物计量访问登记的方法。该方法包括由处理器从用户接收与请求访问权相关联的生物计量签名请求(bsr)，其中bsr包括散列生物计量数据。该方法还包括由处理器使用bsr的至少一部分生成第一生物计量签名。该方法还包括由处理器根据bsr的至少一部分生成第二生物计量签名。该方法还包括由处理器根据至少第一生物计量签名和第二生物计量签名生成授权令牌。该方法还包括由处理器将授权令牌发送到一个或多个访问控制实体或用户计算设备，以便传送到一个或多个访问控制实体进行认证。

除了本文所述的一个或多个特征外，bsr还可以包括密码临时数，该密码临时数可以用于防止得到以下推断：与用户相关联的生物计量数据先前已被用于登记。bsr还可以包括第一上下文字符串，其是公认的，并由认证协议限定。第一生物计量签名还可以基于私钥和第二上下文字符串。第二生物计量签名还可以基于私钥和预定细节。访问控制实体可以是车辆。

在另一个示例性实施例中，公开了一种用于增强保密的生物计量访问登记的系统。该系统包括存储器和处理器，其中处理器从用户接收与请求访问权限相关联的生物计量签名请求(bsr)，其中bsr包括散列生物计量数据。该处理器还使用bsr的至少一部分生成第一生物计量签名。该处理器还根据bsr的至少一部分生成第二生物计量签名。该处理器还根据至少第一生物计量签名和第二生物计量签名生成授权令牌。该处理器还将授权令牌发送到一个或多个访问控制实体或用户计算设备，以便传送到一个或多个访问控制实体进行认证。

在又另一个示例性实施例中，公开了一种用于增强保密的生物计量访问登记的计算机可读存储介质。该计算机可读存储介质从用户接收与请求访问权限相关联的生物计量签名请求(bsr)，其中bsr包括散列生物计量数据。该计算机可读存储介质还包括使用bsr的至少一部分生成第一生物计量签名。该计算机可读存储介质还包括根据bsr的至少一部分生成第二生物计量签名。该计算机可读存储介质还根据至少第一生物计量签名和第二生物计量签名生成授权令牌。该计算机可读存储介质还包括将授权令牌发送到一个或多个访问控制实体或用户计算设备，以便传送到一个或多个访问控制实体进行认证。

根据以下结合附图进行的详细描述，本发明的以上特征和优点以及其他特征和优点将变得显而易见。

附图说明

以下参考附图进行详细描述，详细描述中的其他特征、优点和细节仅作为示例，附图中：

图1是根据一个或多个实施例的计算环境；

图2是示出了用于实施本发明教导的处理系统的一个示例的框图；

图3是根据一个或多个实施例的用于生物计量访问登记的方法的流程图；并且

图4是根据一个或多个实施例的用于生物计量访问登记的方法的流程图。

具体实施方式

以下说明本质上仅是示例性的，并不旨在限制本发明及其应用或用途。应当理解的是，整个附图中，相应的附图标记表示相同或相应的部件和特征。如本文所使用的，术语模块是指处理电路，其可以包括执行一个或多个软件或固件程序的专用集成电路(asic)、电子电路、处理器(共享、专用或群组处理器)和存储器的处理电路，组合逻辑电路，和/或提供所需功能的其他合适组件。

根据一个示例性实施例，图1示出了计算环境50。如图所示，计算环境50包括一个或多个计算设备，例如个人数字助理(pda)或蜂窝电话(移动设备)54a、服务器54b、计算机54c和/或车载计算机系统54n，它们通过网络150连接。一个或多个计算设备可以使用网络150相互通信。

网络150可以是例如局域网(lan)、诸如因特网等的广域网(wan)、专用短程通信网络或其任何组合，并且可以包括有线、无线、光纤或其他任何连接。网络150可以是将分别支持移动设备54a、服务器54b、计算机54c和/或车载计算机系统54n之间的通信的连接和协议的任意组合。

根据一个示例性实施例，图2示出了用于实现本文所述教导的处理系统200。处理系统200可以形成一个或多个计算设备的至少一部分，例如移动设备54a、服务器54b、计算机54c和/或车载计算机系统54n。处理系统200可以包括一个或多个中央处理单元(处理器)201a、201b、201c等(统称或总称为处理器201)。处理器201通过系统总线213连接到系统存储器214和各种其他组件。只读存储器(rom)202连接到系统总线213，并且可以包括控制处理系统200的某些基本功能的基本输入/输出系统(bios)。

图2还示出了连接到系统总线213的输入/输出(i/o)适配器207和网络适配器206。i/o适配器207可以是小型计算机系统接口(scsi)适配器，其与硬盘203和/或其他存储驱动器205或任何其他类似组件进行通信。i/o适配器207、硬盘203和其他存储设备205在本文中统称为大容量存储器204。用于在处理系统200上执行的操作系统220可以被存储在大容量存储器204中。网络适配器206将总线213与外部网络216互连，使得数据处理系统200能够与其他这种系统进行通信。屏幕(例如显示器)215可以通过显示适配器212连接到系统总线213，显示适配器212可以包括用于改善图形密集型应用性能的图形适配器以及视频控制器。在一个实施例中，适配器207、206和212可以连接到一个或多个i/o总线，这些i/o总线通过中间总线桥接器(未示出)连接到系统总线213。用于连接诸如硬盘控制器、网络适配器和图形适配器之类的外围设备的合适i/o总线通常包括公共协议，例如外围组件互连(pci)。额外的输入/输出设备显示为通过用户接口适配器208和显示适配器212连接到系统总线213。键盘209、鼠标210和扬声器211都可以通过用户接口适配器208互连到总线213，用户接口适配器208可以包括例如将多个设备适配器集成到单个集成电路中的超级i/o芯片。

处理系统200还可以包括图形处理单元230。图形处理单元230是专用电子电路，其被设计为操纵和改变存储器以加速帧缓冲器中用于输出到显示器的图像的创建。通常，图形处理单元230在操纵计算机图形和图像处理方面非常有效，具有高度并行的结构，这个结构使其在并行处理大块数据的算法方面比通用cpu更有效。

因此，如图2所配置的，处理系统200包括处理器201的形式的处理能力、包括系统存储器214和大容量存储器204、诸如键盘209和鼠标210等输入设备的存储能力，以及包括扬声器211和显示器215的输出能力。在一个实施例中，系统存储器214和大容量存储器204的一部分共同存储操作系统，用于协调图2所示的各种组件的功能。

该一个或多个计算设备还可以包括用于发送和接收信息的发送器和接收器(未示出)。所发送和接收的信号可以包括数据、通信和/或其他传播信号。此外，应当理解的是，发射器和接收器的功能可以组合为信号收发器。

根据一个示例性实施例，图3示出了一种用于生物计量访问登记的方法的流程图。在框305处，用户发起与商业实体或组织的通信，用于获得来自一个或多个访问控制实体的访问权限，例如，使用一个或多个车辆(乘坐/车辆共享)、建筑物、计算机等的访问权限。用户可以使用移动应用程序、桌面应用程序等在用户计算设备(移动设备54a和/或计算机54c)上发起通信。通信可以使用例如可信平台模块根据存储在用户计算设备上的用户生物计量数据生成生物计量签名请求(bsr)。在框310处，作为生成bsr的一部分，用户计算设备可以使用例如作为生物计量认证数据的一部分的密码临时数(noncebsr，在密码通信中仅使用一次的任意数字)生成用户生物计量数据(biomenroll)的密码散列。此外，作为生成bsr的一部分，用户计算设备可以生成定制字符串(cstring1，上下文字符串)，该定制字符串是公知的，并由唯一标识认证协议的登记请求部分的认证协议限定。在框315处，用户计算设备可以将作为密码临时数的散列的生成bsr、用户的生物计量数据和定制字符串与密码散列本身一起发送给服务器进行处理，例如服务器54b进行处理。发送到服务器54b的bsr可能如下：bsr＝{h(noncebsr||cstring1||biomenroll),noncebsr}。

在框320处，服务器54b可以使用基于服务器的私钥生成所需内容(b)的第一生物计量签名。第一生物计量签名可以以通常的方式构建，例如，签署b的密码散列，然后将b和b上的签名一同返回。b的散列可以以如下方法构建：(b＝{h(cstring2||bsr[0]),bsr[1]})，其中(cstring2)是新的上下文/定制字符串，bsr[0]是h(noncebsr||cstring1||biomenroll)，bsr[1]是noncebsr。新的定制字符串(上下文字符串)可以不同于由用户计算设备生成的定制字符串，并且是公知的，由唯一标识认证协议的登记签名部分的认证协议限定。

服务器54b可以签署散列摘要，用于验证散列摘要的真实性。第一生物计量签名可以由另一方使用服务器54b公钥来验证。通过验证第一生物计量签名，一方(例如车辆)可以确定服务器54b核准签名所需的内容“b”。

由服务器54b在散列摘要b上生成的第一生物计量散列是{b,sigserverprivkey(b)})。服务器54b可以生成{b,sigserverprivkey(b)}(第一生物计量签名)而无需存储用户的实际生物计量数据，并且密码临时数可以防止服务器54b进行如下推断：是否已经使用过相同的生物计量数据。例如，如果用户不止一次试图登记相同的生物计量数据，则生物计量数据将具有相同的散列。这样，即使服务器54b不包含实际的生物计量数据，但由于散列相同，服务器54b可以不止一次地防止登记。因此，通过使用针对每个登记的不同密码临时数，即使基础生物计量数据相同，服务器54b也将接收不同的散列。

在框325处，用于生物计量访问登记的方法还包括将第一生物计量签名发送到登记实体(例如包含车载计算机系统54n的车辆)进行认证。服务器54b可以通过生成授权令牌(c)将第一生物计量签名发送给车辆，该授权令牌(c)包括第二生物计量签名(sigserverprivkey(c))，该第二生物计量签名由服务器54b根据第一生物计量签名(sigserverprivkey(b))以及与用户所请求的访问相关的其他细节(例如预定细节(reserv.details))生成。用于生成第一生物计量签名和第二生物计量签名的私钥可以是相同或不同的私钥。预定细节可以包括与车辆类型、预定时间、使用持续时间、授权令牌到期时间/持续时间等相关的信息。授权令牌的格式可以如下：{c＝[reserv.details,b,sigserverprivkey(b)],sigserverprivkey(c)}。

服务器54b还可以将第一生物计量签名和授权令牌发送给用户计算设备而不是车辆。将第一生物计量签名和授权令牌返回给用户计算设备使得车辆保持离线状态。因此，在生物计量访问期间，可能不需要与车辆进行通信。

因此，授权令牌使得商业实体或组织控制访问一个或多个访问控制实体的用户/客户访问权限。业务实体或组织可以使用授权令牌来管理并向一个或多个用户提供共享服务(例如汽车共享服务)。

在框330处，车辆使用由服务器54b发送的公钥来验证第一生物计量签名和授权令牌(第二签名)。如果第一生物计量签名或第二生物计量签名不能得到验证，则在框335处，认证失败，该方法返回到框305。如果第一生物计量签名和第二生物计量签名都可以得到验证，则该方法进行到框400以供验证。

根据一个示例性实施例，图4示出了一种用于生物计量访问认证的方法的流程图。在认证400期间，在框405处，用户可以使用用户计算设备、存储设备、条形码或用于传送生物计量数据的任何其他方式向车辆提供新的生物计量数据，。例如，用户可以将指纹提供给车辆指纹传感器。可以使用各种密码方法传输将生物计量数据从用户传输到车辆，以便防止第三方未经授权获得生物计量数据。例如，生物计量数据传送可能需要例如使用加密和认证的信道来传送生物计量数据(例如安全蓝牙、安全wifi或通过某层的tls)，需要用户在使用对称或非对称密码术向车辆传输生物计量数据之前对生物计量数据加密，或者可能使用由服务器54b提供的密钥资料。

在框410处，用户还可以向车辆提供存储在用户计算设备上的生物计量数据(biomenroll)以及与所存储的生物计量数据(框305和310)相关的随机信息(noncebsr)。在框415处，车辆可以生成用户生物计量数据和相关随机信息的散列，以便生成散列摘要。在框420处，车辆确定由车辆产生的散列摘要是否等同于由服务器54b发送给车辆的未到期授权令牌。如果散列摘要不等同于由服务器54b发送到车辆的未到期授权令牌，则该方法进行到框425，在框425处，车辆拒绝对其进行的访问，并且该方法在框450处结束。如果散列摘要确实等同于由服务器54b发送到车辆的未到期令牌，则该方法进行到框430。

在框430处，车辆对新的生物计量数据和所存储的生物计量数据之间的相似性进行分析。相似性分析确定用于表示同一用户时，新的生物计量数据和所存储的生物计量数据是否足够相似。例如，可以使用海明距离完成相似性分析，该海明距离计算新的生物计量数据与所存储的生物计量数据之间不同的比特数。

在框435处，车辆确定相似性分析的结果是否低于预定阈值。如果相似性分析的结果高于预定阈值，则该方法进行到框440，在框440处，车辆拒绝对车辆的访问，并且该方法在框450处结束。如果相似性分析的结果低于预定阈值，则该方法进行到框445，在框445处，车辆允许用户访问车辆。在框450处，该方法结束。

因此，本文所公开的实施例允许用户将用户生物计量数据的密码散列发送到服务器，而不是发送实际生物计量数据，以便获得访问登记实体的访问权限。散列由服务器签发，然后提供给目标访问控制实体/车辆。接着，用户将原始生物计量数据直接提供给目标车辆，这可以通过检查服务器提供的散列签名来验证。这样，服务器不直接与用户的实际生物计量数据发生交互，也不能从散列生物计量数据推断实际的生物计量数据。因此，因为所公开的实施例防止对用户的实际生物计量数据保密信息进行不必要的公开和存储，所以当与所公开的实施例交互时，用户隐私被增强。

所公开实施例的技术效果和益处包括但不限于以下内容：所公开的系统减轻了服务器必须管理和保护生物计量数据库安全的负担；该系统可以容纳能够允许顾客使用不同车辆的汽车共享系统；所公开的系统不需要将敏感生物计量信息发送到服务器；并且所公开的系统可以使用各种生物计量信息进行操作，例如虹膜代码、指纹、面部扫描、手部几何形状、静脉图形、声纹等等。

本发明可以是系统、方法和/或计算机可读存储介质。该计算机可读存储介质在其上可以包括计算机可读程序指令，其用于使处理器执行本发明的各个方面。

该计算机可读存储介质可以是有形设备，其可以保留和存储供指令执行设备使用的指令。该计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述设备的任何合适组合。计算机可读存储介质的更具体示例的不完全列表包括以下内容：便携式计算机磁盘，硬盘，随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式光盘只读存储器(cd-rom)、数字多功能盘(dvd)、存储棒、软盘、机械编码装置(例如穿孔卡片或凸起结构，其上凹槽中记录有指令)、以及前述任何合适组合。本文所使用的计算机可读存储介质不应被理解为暂时信号本身，例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如，穿过光纤电缆的光脉冲)或通过导线传输的电信号。

计算机可读程序指令还可以装载在计算机上、其他可编程数据处理设备上、或用于在计算机上执行一系列操作步骤的其他设备上、用于产生计算机实现过程的其他可编程设备，使得在计算机、其他可编程设备或其他设备上执行的指令实现流程图和/或框图的一个或多个框中所述的功能/动作。

虽然已经参照示例性实施例描述了以上公开内容，但本领域技术人员将理解的是，在不脱离本发明保护范围的情况下，可以做出各种改变并且可以用等同物替换本发明的元件。此外，在不脱离本发明实质范围的情况下，可以做出许多修改，以使特定情况或材料适用于本发明的教导。因此，本发明并不限于所公开的具体实施例，而是包括属于其范围的所有实施例。