用于在用于身份管理的移动触摸屏上连续监测指纹签名的系统和方法
【技术领域】
[0001] 本公开内容一般性地设及在包括触摸屏的移动设备上确保数据安全。
【背景技术】
[0002] 生物测定化iometrics)是指其中使用生物学特征来标识个体的技术领域。生物 测定已经被用来出于安全目的、诸如为了控制对设备或者信息的访问而验证或者W别的方 式认证用户的身份。可W利用许多类型的生物测定、诸如脸部识别、语音识别、视网膜和虹 膜识别W及指纹。
[0003] 包括写字板和智能电话的移动设备是常见的并且越来越多地被使用在网络和更 广的因特网中。该些设备正在频繁地用来传送安全数据,诸如个人细节、信用卡交易、IP语 音呼叫等。因此,越来越需要使该样的移动设备更安全。常规地,移动设备通过提供在可配 置的空闲超时之后锁定显示屏幕的屏幕锁定功能来实行安全性。为了重用设备,用户必须 重新录入他的或者她的口令,通常是四位数字代码。更复杂的方式包括指纹传感器,该些指 纹传感器通常基于硬件并且被编程为在解锁设备W供使用之前识别用户的指纹。
[0004] 在自带设备策略正在扩张并且团体安全性更少地束缚于物理安全性的时代中,用 于标识用户和管理对所保护的资源的访问的有效措施是必需的。遗憾的是,许多当前标准 实践减少用户生产力且增加用户挫折感。如W上指出的那样,最常见的用于实行移动设备 安全性的技术是空闲超时,迫使用户在短暂空闲时间段之后重新认证。该一要求使得用户 频繁地浪费时间向他的或者她的设备重新认证,并且它可能例如在示出比超时时段更长的 视频或者演示的情况下导致不可用问题。其它方式、诸如键击分析,在存在物理键盘和交互 要使用键盘的情况下高度地有效。然而,在许多触摸屏环境中,不存在物理键盘,并且与虚 拟键盘的交互比其它交互类型频率更低。因此,键击分析不切实际。
[0005] -种用于解决需要用户反复地向他的或者她的设备重新认证(在屏幕锁定之后) 的问题的方式是执行所谓"连续认证"。连续认证是指在用户与系统交互的整个过程中连续 地检测、监测和分析一些生物测定该样的概念。一种该样的已知技术建议使用指纹生物测 定,但是它需要用户具体地在使用中从与系统分离的设备上重新扫描他的或者她的手指。 该对于设备专用的方式不能实现。
[0006] 尽管用于基于设备的访问控制的指纹扫描是已知的,但是该些技术通常基于软件 指导的生物测定标识、因此对于连续认证是无用的。该是因为该样的技术为了它们的功效 而需要高质量采样W及采样和交互等同性,该些是不能在如下典型使用情形中被保障的条 件,在该些典型使用情形中,用户执行频繁多触摸操作或者另外W不能实现采集有用采样 数据的方式与触摸屏交互。
[0007] 仍然需要提供用于在移动电容触摸屏上连续地监测指纹签名W有助于连续用户 认证的技术。
【发明内容】
[0008] 根据本公开内容,移动移动设备包括如下机制,通过该机制,用户在初始的全认证 之后经由如在设备的触摸屏上识别的他的或者她的唯一指纹签名连续地向设备认证、由此 保证个人和团体二者安全性所必需的鲁椿安全措施,同时让用户免却反复地人工执行认证 任务。
[0009] 优选地,在作为状态机的设备上执行的软件中实施该机制,该状态机具有至少= (3)个状态;全认证、连续认证和无效化。在用户首先发起设备(或者在其上执行的某个应 用)的操作时,状态"全认证"需要用户使用某种鲁椿认证技术(例如密码短语录入、硬件 认证或者软件指导的生物测定标识)来确认他们的身份。在成功全认证时,状态机转变到 连续认证状态。在该一状态中,从数据存储库加载用于用户的示范指纹并且连续地比较该 些示范指纹与在用户在一般使用中与设备交互时采集的数据采样。由于采样的质量可能不 高,所W状态机优选地实行否定标识技术而不是肯定标识技术(其中必须看见指纹匹配和 肯定地验证用户的身份)。在效果上,识别技术比较数据采样与示范指纹W确定当前与触摸 屏交互的个体是否不是从其生成示范指纹的用户。由于采样在例程交互期间的低分辨率和 质量,所W状态机保持在连续认证状态中直至否定匹配在统计上很有可能该样的时间。在 该样的否定认证的时间,状态机向无效化状态转变。在该一状态中,执行操作W确保设备 (或者应用)安全,W防未认证的用户。该些操作例如包括锁定屏幕、将设备置于降级模式 中、提供可用功能的精简或者限制的子集等。在下一交互时,机器转变回到"全认证"状态、 由此需要鲁椿认证W正常模式继续。
[0010] 前文已经概述公开的主题内容的更多相关特征中的一些特征。该些特征应当被解 释为仅为举例说明。可W通过W不同方式应用公开的本发明或者通过修改如将描述的公开 的主题内容来达到许多其它有益结果。
【附图说明】
[0011] 为了更完整理解公开的主题内容及其优点,现在参照结合附图进行的W下描述, 在附图中:
[0012] 图1描绘其中可W实施本公开内容的技术的有代表性的移动设备的示例框图;
[0013] 图2是其中可W实施示例实施例的示例方面的数据处理系统的示例框图;
[0014] 图3A和3B是其中可W实施各种实施例的、用户跨越触敏显示器滑动指纹的图;
[0015] 图3C是其中可W实施各种实施例的在触敏显示器中嵌入的传感器阵列检测指纹 的图;
[0016] 图3D是其中可W实施各种实施例的在时间T1和T2处图3C的传感器读数的组合 的图;
[0017] 图4是其中可W实施各种实施例的用于指令用户滑动他们的指纹的用户界面的 图;
[0018] 图5是根据第一实施例的用于确定用户的指纹的过程的流程图;
[0019] 图6是其中可W实施各种实施例的用于转换、插值和聚合指纹采样数据的过程的 流程图;
[0020] 图7是根据第二实施例的用于确定用户的指纹的过程的流程图;
[0021] 图8图示与根据本文中的技术的状态机相关联的状态集合;
[0022] 图9图示用于用来确定从触摸屏生成的特定采样数据是否代表多个指尖的多触 摸鉴别例程的采样伪代码;
[002引图10图示根据本公开内容的用于将全网格精简成壳网格Omllgrid)的技术的采 样伪代码;W及
[0024]图11图示用于对采样中的个别指尖进行去歧义的手指去歧义技术的采样伪代 码。
【具体实施方式】
[00巧]现在参照附图并且具体参照图1-2,提供其中可W实施公开内容的示例实施例的 数据处理环境的示范图。应当认识图1-2仅为示范而未旨在于主张或者暗示关于其中可W 对公开的主题内容的方面或者实施例进行实施的环境的任何限制。可W进行对描绘的环境 的许多修改而未脱离公开的主题内容的精神实质和范围。
[002引图1图示有代表性的移动设备、即智能电话100和写字板设备102。众所周知,该 样的设备通常包括快速处理器、大量存储器、基于手势的多触摸屏W及集成多媒体和GPS 硬件巧片。该些设备中的许多设备使用开放移动操作系统、诸如Amlroid。移动设备的普 遍性、性能和低成本已经为创建多种移动应用开放大口,该些移动应用包括但不限于需要 或者利用密码操作的应用。该样的操作可W与特定应用或者设备操作系统本身相关联。如 将描述的那样,可W关于任何计算实体应用实施本文中的技术,该计算实体应用需要用驻 留于移动设备的密码材料(例如键、随机数、一次性密本和常识(salt))而有助于的密码操 作。另外,公开的滴汇聚技术可W与任何形式的密码方案(包括但不限于加密/解密、数字 签名生成和验证、消息生效等)或者密码协议使用。
[0027] 现在参照图2,示出其中可W实施示例实施例的方面的示范数据处理系统的框图。 数据处理系统200是如下计算机、诸如图1中的移动设备100或者102的示例,实施用于公 开内容的示例实施例的过程的计算机可用代码或者指令可W位于该计算机中。
[0028] 现在参照图2,示出其中可W实施示例实施例的数据处理系统的框图。数据处理系 统200是如下计算机、诸如图1的移动设备的示例,实施用于示例实施例的过程的计算机可 用程序代码或者指令可W位于该计算机中。在该一说明性示例中,数据处理系统200包括 通信结构202,该通信结构202提供在处理单元204、存储器206、持久存储装置208、通信单 元210、输入/输出(I/O)单元212和显示器214之间的通信。
[0029] 处理器单元204工作用于执行用于可W向存储器206中加载的软件的指令。处理 器单元204根据【具体实施方式】可W是一个或者多个处理器的集合或者可W是多处理器核。 另外,可W使用一个或者多个异构处理器系统来实施处理器单元204,在该一个或者多个异 构处理器系统中,主处理器与次处理器存在于单个巧片上。作为另一示例,处理器单元204 可W是包含相同类型的多个处理器的对称多处理器系统。
[0030] 存储器206和持久存储装置208是存储设备的示例。存储设备是能够在暂时和/ 或持久基础上存储信息的任一款硬件。存储器206在该些示例中可W例如是随机存取存储 器或者任何其它适当易失性或者非易失性存储设备。持久存储装置208可W根据具体实施 方式采用各种形式。例如持久存储装置208可W包含一个或者多个部件或者设备。例如持 久存储装置208可W是硬驱动、闪存、可重写光盘、可重写磁带或者W上各项的某个组合。 持久存储装置208使用的介质也可W可移开。例如可移开硬盘可W用于持久存储装置208。
[0031] 通信单元210在该些示例中提供与其它数据处理系统或者设备的通信。在该些示 例中,通信单元210是网络接口卡。通信单元210可W通过使用物理和无线通信链路中的 任一种通信链路或者二者来提供通信。
[0032] 输入/输出单元212允许用可W连接到数据处理系统200的其它设备输入和输出 数据。例如输入/输出单元212可W提供用于通过键盘和鼠标的用户输入的连接。另外,输 入/输出单元212可W向打印机发送输出。显示器214提供用于向用户显示信息的机制。