抗攻击生物识别授权装置的制作方法

本发明涉及一种对欺诈使用具有改进抵抗性的生物识别授权装置以及一种用于控制这种生物识别授权装置的方法。

背景技术：

诸如指纹授权智能卡之类的生物识别授权装置正变得被越来越广泛地使用。已经提出生物识别授权的智能卡包括例如访问卡、信用卡、借记卡、预付卡、会员卡、身份证、加密卡等。智能卡是具有存储数据并且例如经由诸如RFID的非接触式技术与用户和/或与外部装置交互的能力的电子卡。这些卡可以与传感器交互以传递信息以进行访问从而授权交易等。还已知利用诸如指纹授权之类的生物识别授权的其它装置，并且这些装置包括计算机存储装置、建筑物访问控制装置、军事技术、车辆等。

其它装置也可以通过生物识别授权来增强，例如还提出了用于控制令牌的装置，诸如用于车辆无钥匙进入系统的智能钥匙(fob)。在车辆中，遥控无钥匙进入系统在没有物理接触的情况下执行标准车钥匙的功能。该系统还可以执行其它功能，例如打开行李箱或启动引擎。类似的控制令牌可以用于其它访问控制情况，以及用于需要使用无线传输与外部系统交互的其它目的，例如用于致动电气装置。已经提出在这些装置上包括生物识别授权，例如指纹授权。在这种情况下，控制令牌的一些或所有功能仅在通过生物识别传感器已经授权用户的身份之后才可用。

即使使用生物识别传感器，对设备安全性的攻击仍然是可能的。此类攻击包括对装置完整性的物理攻击以及对装置和/或与装置交互的外部系统的基于计算机的“黑客攻击”。通过在设备和外部系统之间使用加密通信可以提供一些保护。还提出了装置的内部处理器或控制器之间的加密数据传输。尽管如此，仍然持续需要改善生物识别授权装置对其安全性攻击的抵抗力。

技术实现要素：

从第一方面看，本发明提供了一种生物识别授权装置，该生物识别授权装置包括：生物识别传感器；用于接收来自生物识别传感器的输出信号的处理单元；以及一个或多个受保护特征；其中，响应于通过由生物识别传感器提供给处理单元的生物识别数据而识别授权用户，启用对装置的受保护特征的访问；其中，所述装置被布置成将生物识别传感器的输出信号与基于授权用户的较早的输出信号的存储数据进行比较；并且其中如果发现输出信号与较早的输出信号之一相同，则不允许访问受保护的特征。

该装置防止使用插入授权路径的假信号。在未经授权的情况下试图访问安全装置的常见方法是通过在较早使用装置期间记录有效信号并且将假信号插入认证路径来攻击系统，其中假信号复制先前的信号。这种类型的攻击有时被称为“嗅探器”攻击。这种假信号将与先前的信号相同，并且可以访问受保护的特征。建议使用来自传感器的输出信号与较早输出信号的比较，其中相同的信号被拒绝，这是基于以下认识：来自生物识别传感器的真实世界的输出信号对于识别同一用户的多个实例将永远不会是相同的。用户如何将其呈现给装置以用于生物识别授权总是存在一些变化，以及由生物识别传感器的正常操作引起的一些噪声等也是存在的。因此，与直觉相反，必须拒绝与较早生物识别读数相同的生物识别数据。

当然可以通过使用如上所述的加密数据来保护生物识别授权装置。然而，生物识别传感器本身通常在逻辑上不能加密，因此来自传感器的数据信号在它到达处理器之前不能被加密。因此，当来自传感器的未加密信号被传递到处理单元时，这会产生潜在的弱点。生物识别授权装置当然通常被构造成限制对传送该未加密信号的物理连接的访问，并且优选地，处理单元将非常靠近生物识别传感器，其中电连接不易于访问，例如它们可以被封装在塑料等中，但仍然可行的是，对装置的熟练攻击可能能够访问未加密数据的信号路径，从而允许记录输出信号并且用记录的信号欺骗性地使用装置。所建议的对相同信号的比较和检查可以防止这种可能性。

在一个示例性实施例中，该装置包括信号检查模块，该信号检查模块用于提供从生物传感器发送到处理单元的输出信号导出的信号检查参数，该信号检查参数被确定为输出信号的函数，每当处理单元从生物传感器接收输出信号并且多个过去的信号检查参数被存储在装置上时，使用相同的函数；并且其中装置被布置成使得，在新的输出信号被呈现给处理单元的情况下，确定新的信号检查参数，将新的信号检查参数与所存储的信号检查参数进行比较，并且如果新的信号检查参数与所存储的信号检查参数之一相同，则不允许访问安全元件的受保护特征。

信号检查参数允许装置基于与存储在装置上的多个较早信号检查参数的比较而容易地看到相同的输出信号。

这句话清楚地表明，在我解释校验类型计算作为首选方案的可能性之前，可能使用更费力的比较。

输出信号与过去输出信号的比较可以以与传统生物识别比较类似的方式执行以检查授权用户，主要区别在于没有找到相同或非常相似信号的匹配。因此，在使用信号检查模块的情况下，信号检查模块使用的功能可以类似于传统的生物识别授权算法，其中信号检查参数因此等同于生物识别授权的置信度得分并且与多个先前存储的读数进行比较。在这种情况下，装置可拒绝生物识别授权尝试，其输出数据与先前记录的参数之一相同或太相似，即，太接近于先前记录的生物识别数据信号，同时接受在设定阈值内的生物识别授权尝试，该设定阈值定义不太相似的匹配。然而，这个过程很麻烦并且可能很慢，因为它可能涉及基本上基于多个存储的较早生物识别模板来执行生物识别授权，并且它可能导致漏报。对于过去的信号检查参数，它还需要相对大的存储量。

在另一示例中，如在优选实施例中所使用的，输出信号与过去输出信号的比较是基于输出信号和过去输出信号的简化表示来完成的。在使用信号检查模块的情况下，信号检查模块使用的功能提供数值作为信号检查参数。这允许存储许多过去的信号检查参数，而不需要大的存储容量。这也意味着新输出信号和旧输出信号的比较非常快。信号的简化表示可以基于校验和计算，并且因此信号检查模块可以是校验和计算模块，信号检查参数是校验和。校验和提供快速有效的检查，以指示当据称来自生物传感器的输出信号与较早的输出信号相同时，因此该输出信号很可能是基于较早信号的记录的假信号。

通过使用校验和，进入处理单元的信号经过校验和计算。每次进行生物识别读取时都会存储此校验和。在任何一个时间临时存储有限数量的校验和，并且当发现新的良好读数时，即当用户被识别为授权用户时，可以更新存储。当获取新读数时，将新的校验和与先前的校验和进行比较。如果新的校验和与先前的校验和相同，则表明新的读数是假的。

装置的受保护特征可以是需要生物识别授权的安全性的任何特征。这可以包括以下中的一个或多个：使装置能够与外部系统通信，例如非接触式通信；将某些类型的数据发送到外部系统；允许访问装置的安全元件，诸如用于金融交易的安全元件；允许装置和外部系统之间的交易；允许访问存储在装置上的数据等。

处理单元可以连接到或可以是装置的控制系统的一部分。如果存在单独的控制系统，则处理单元优选使用加密数据与控制系统通信。

安全元件可以作为控制系统的一部分被包括在装置中和/或可以连接到控制系统，优选地利用安全元件和控制系统之间的加密通信。安全元件可以是例如在银行卡上使用的用于金融交易的安全元件。

控制系统可以被布置为执行生物识别匹配算法，并且可以包括用于存储注册的生物识别数据的存储器。装置的控制系统可以包括多个处理器。这可以包括接收来自生物识别传感器的信号的处理单元。其它处理器可以包括用于控制装置的基本功能的控制处理器，诸如与其它装置的通信(例如，经由非接触式技术)，接收器/发送器的激活和控制，安全元件的激活和控制。各种处理器都可以体现在单独的硬件元件中，或者可以组合成单个硬件元件，可能具有单独的软件模块。

生物识别传感器可以使用任何合适的生物识别来检查用户的身份。在示例实施例中，使用指纹授权。与现有的类似控制令牌(例如，车辆智能钥匙)相比，这可以以低功率使用来实现并且不增加控制令牌的尺寸。

因此，生物识别传感器可以是指纹传感器。在优选实施例中，控制系统和/或处理单元能够对呈现给指纹传感器的手指的指纹执行注册处理和匹配处理。

该装置可以是便携式装置，意味着例如被设计用于由人携带的装置，优选地小且轻到足以便于携带的装置。例如，该装置可以布置在口袋、手提包或钱包内以携带。该装置可以是智能卡，诸如可指纹授权的RFID卡。该装置可以是用于控制对控制令牌外部的系统进行访问的控制令牌，诸如用于访问计算机系统的一次性密码装置或用于车辆无钥匙进入系统的智能钥匙。在不依赖于有线电源的意义上，该装置优选地也是便携式的。该装置可以由内部电池和/或通过从读取器(例如，从RFID读取器)等无接触地获取的电力供电。

该装置可以是单用途装置，即用于与单个外部系统或网络交互或用于与单一类型的外部系统或网络交互的装置，其中该装置没有任何其它目的。因此，该装置将与诸如智能手机等的复杂和多功能装置区分开。尽管如此，该装置可以具有多种操作模式，每种操作模式都涉及与相同类型的外部系统或网络交互，例如作为一张卡而针对两个不同银行账户进行操作的能力，或者作为访问卡或作为支付卡与NFC装置交互的能力。

在装置是智能卡的情况下，智能卡可以是以下中的任何一种：访问卡、信用卡、借记卡、预付卡、会员卡、身份证、加密卡等。智能卡优选地具有在85.47mm和85.72mm之间的宽度和在53.92mm和54.03mm之间的高度。智能卡的厚度可小于0.84mm，优选为约0.76mm(例如±0.08mm)。更一般地，智能卡可以符合作为智能卡规范的ISO 7816。

在装置是控制令牌的情况下，它可以例如是车辆的无钥匙进入密钥，在这种情况下，外部系统可以是车辆的上锁/访问系统和/或点火系统。外部系统可以更广泛地是车辆的控制系统。控制令牌可以充当主钥匙或智能钥匙，其中仅响应于授权用户的生物识别而发送射频信号以访问车辆特征。或者，控制令牌可以用作远程上锁类型钥匙，如果装置识别授权用户，则仅能够发送用于解锁车辆的信号。在这种情况下，授权用户的识别可以具有与按下现有技术的无钥匙进入型装置上的解锁按钮相同的效果，并且用于解锁车辆的信号可以在识别授权用户时自动地发送，或者当通过授权用户的身份验证已激活控制令牌时响应于按钮按压而发送。

优选地，装置被布置成使得不可能通过生物识别授权来提取用于识别用户的数据。在装置外部传输此类数据被认为是装置安全性的最大风险之一。

为了避免在装置外部传输生物识别数据的任何需要，装置能够自我注册，即，装置可以被布置为通过生物识别传感器获得生物测量数据来注册授权用户。这也从以下事实具有优点：具有相同几何形状的相同传感器用于关于生物识别授权而注册。与使用另一不同装置上的不同传感器进行注册的情况相比，可以以这种方式更一致地获得生物识别数据。对于生物识别技术，尤其是指纹，一个问题是，当初始注册在一个地方(例如，专用注册终端)发生时，并且随后的匹配注册在另一个地方(例如需要匹配的终端)发生时，很难获得可重复的结果。每个指纹传感器周围的外壳的机械特征必须仔细设计，以便每次由多个传感器中的任何一个读取时以一致的方式引导手指。如果使用多个不同的终端扫描指纹，每个终端略有不同，则在读取指纹时可能发生错误。相反，如果每次使用相同的指纹传感器，那么这种错误发生的可能性就会降低。

根据所提出的装置，可以使用相同的生物识别传感器来执行匹配扫描和注册扫描。结果，可以抵消扫描错误，因为例如如果用户倾向于在注册期间将他们的手指以横向偏置呈现给指纹传感器，则他们也可能在匹配期间这样做。

控制系统可以具有注册模式，其中用户可以经由生物识别传感器注册他们的生物识别数据，其中在注册期间生成的生物识别数据被存储在存储器中。当首次向用户提供装置时，控制系统可以处于注册模式，以便用户可以立即注册他们的生物识别数据。可以向首次注册的用户提供稍后提示注册模式以便添加后续用户的能力，例如通过在确认身份之后在装置的输入装置上进行输入。可选地或另外地，可以通过外部装置提示控制系统的注册模式，例如通过装置和安全外部系统之间的交互，该安全外部系统可以是由制造商或另一个授权实体控制的安全外部系统。

从第二方面看，本发明提供了一种用于保护生物识别授权装置的方法，所述生物识别授权装置具有生物识别传感器、从生物识别传感器接收输出信号的处理单元、以及具有一个或多个受保护特征的安全元件，其中响应于通过由生物识别传感器提供给处理单元的生物识别数据而识别授权用户，启用对装置的安全元件的受保护特征的访问，该方法包括：基于从被识别为授权用户的用户接收的输出信号而存储数据；当接收到新的输出信号时，将生物识别传感器的新的输出信号与所存储的数据进行比较；如果发现输出信号与较早输出信号之一相同，则不启用对安全元件的受保护特征的访问。

该方法可以在如第一方面中所描述的装置上执行，并且可选地具有上面讨论的任何其它特征。该方法还可以包括如果新输出信号与所存储的输出信号之一太相似，则不允许访问受保护特征。

在示例实施例中，该装置包括信号检查模块，用于提供从生物传感器发送到处理单元的输出信号导出的信号检查参数，并且该方法包括：将信号检查参数确定为输出信号的函数，其中每当处理单元从生物传感器接收输出信号时，使用相同的函数；为授权用户存储多个过去的信号检查参数，并且在新的输出信号被呈现给处理单元的情况下，确定新的信号检查参数；将新的信号检查参数与所存储的信号检查参数进行比较，并且如果新的信号检查参数与所存储的信号检查参数之一相同，则不允许访问安全元件的受保护特征。

信号的比较和/或信号检查模块的实现可以如上所述，因此该方法可以包括使用校验和。

从第三方面看，本发明提供了一种用于生物识别授权装置的计算机程序产品，该生物识别授权装置包括生物识别传感器和从生物识别传感器接收输出信号的处理单元，其中响应于通过由生物识别传感器提供给处理单元的生物识别数据而识别授权用户，启用对装置的安全元件的受保护特征的访问，该计算机程序产品包括指令，当其在处理单元上执行时，该指令将配置处理单元以：基于从被识别为授权用户的用户接收的信号输出而存储数据；当接收到新的输出信号时，将生物识别传感器的新的输出信号与所存储的数据进行比较；如果发现输出信号与较早的输出信号之一相同，则不启用对安全元件的受保护特征的访问。

该计算机程序产品可以用于在第一方面中所描述的装置上执行，并且可选地是具有上述任何其它特征的装置。计算机程序产品可以配置处理单元以执行第二方面的方法以及可选地执行上面讨论的任何其它方法步骤。

附图说明

现在将仅通过示例并参考附图更详细地描述本发明的某些优选实施例，其中：

图1示出了用于通过指纹扫描仪结合生物识别授权的无源RFID装置的电路；

图2示出了无源RFID装置的第一实施例，其具有包含指纹扫描器的外壳；

图3示出了无源RFID装置的第二实施例，其中指纹扫描仪从层叠的卡体暴露；以及

图4是指纹授权无线控制令牌的示意图。

具体实施方式

优选的实施例涉及生物识别授权装置102的使用，其中生物识别授权系统120通过校验和计算模块129形式的信号检查模块来保护免受“嗅探器(sniffer)”类型攻击。校验和计算模块129接收来自生物识别授权系统120的生物识别传感器130的输出信号，并且这用于产生校验和。存储许多校验和，然后将来自未来输出信号的校验和与所存储的校验和进行比较。以这种方式，使用校验和来找到类似或相同的信号，该信号指示欺诈性地使用在装置的生物识别传感器和处理单元128之间的复制电信号。在图1、图2和图3中，生物识别授权装置102是智能卡，而在图4中，它是无线控制令牌。

在这些示例中，指纹传感器130用于在允许完全访问智能卡102或控制令牌102的特征之前提供生物识别授权。该指纹传感器130被提供作为指纹授权模块120的一部分，该指纹授权模块120还包括专用处理单元128。处理单元128与生物识别授权装置102的其它处理器/控制器交互，以在生物学上指示用户的身份何时已经被确认。例如，处理单元128与图1的控制电路114或图4的控制模块113交互，并且该通信可以被加密。传感器130和处理单元128之间的通信不能被加密，因为传感器130不具有将其输出信号修改到处理单元128的能力。

因此，通过记录然后复制在传感器130和处理单元128之间传递的信号，存在对装置进行攻击的风险。以这种方式，“嗅探器”攻击可能能够记录当授权用户的身份被确认时产生的信号，然后再次复制这些信号，以便欺骗性地获得对装置102的生物识别保护特征的访问。为了使生物识别授权装置102能够承受这种攻击，处理单元128包括校验和计算模块129。

从传感器130传递到处理单元128的数字信号经历由校验和计算模块129执行的校验和计算。每当从授权用户获取生物识别读数时，存储该校验和。在任何一个时间，将一定数量的校验和例如临时存储在处理单元128的存储器中。可以在用户注册期间获得初始校验和集，或者可以在装置102的初始使用期间收集初始校验和集。当获取新的生物识别读数时，将校验和与先前的校验和进行比较。如果新的生物识别读数的校验和与之前的校验和相同或非常相似，那么这是新的生物识别读数为假的表面证据。这是因为诸如指纹之类的生物识别数据本质上是高度可变的并且“有噪声”，因此几乎不会产生仅相差几比特的读数。校验和计算将更加生动地显示这一点，并且对于同一个人的不同读数之间的结果应该是完全不同的。也就是说，相同用户使用相同手指的两次指纹授权应该产生与校验和计算明显不同的输出，即使当它们将产生具有高置信度的指纹匹配。

在合理的怀疑概率内，一对读数将是相同的唯一方式是，后一种读数由非生理来源(可能是数字装置，诸如计算机)产生，而不是由于来自真正的手指的读数。

这样，如果两个读数产生相同的校验和，那么系统很可能已经受到损害并且应该采取适当的措施。特别地，处理单元128不应指示存在授权用户，而是可以发起安全过程，其可以包括经由读卡器或外部系统104发送警报，和/或禁用生物识别授权装置102。

图1示出了包含校验和计算模块129的无源RFID生物识别授权装置102的架构。有源RFID读取器104经由天线106传输信号。对于由恩智浦(NXP)半导体公司制造的和系统，信号通常为13.56MHz，但对于由HID全球公司制造的低频产品可以是125kHz。该信号由RFID装置1022的天线108(包括调谐线圈和电容器)接收，然后被传递到RFID芯片110。所接收的信号由桥式整流器112整流，并且整流器112的直流(DC)输出被提供给控制电路114，该控制电路114控制来自芯片110的消息传递。

从控制电路114输出的数据连接到跨接于天线108的场效应晶体管116。通过接通和断开晶体管16，信号可以由RFID装置102发送并且由读取器104中的适当的控制电路118解码。这种类型的信号传输被称为反向散射调制，其特征在于，读取器104用于向其自身提供返回消息。

如本文所使用的，术语“无源RFID装置”应该被理解为意指RFID装置102，其中RFID芯片110仅由从(例如，由RFID读取器118生成的)RF激励场获取的能量供电。即，无源RFID装置102依靠于RFID读取器118来提供其用于传播的功率。无源RFID装置102通常不包括电池，但是可以包括电池以给电路的辅助部件供电(但不进行传播)；这种装置通常被称为“半无源RFID装置”。

类似地，术语“无源指纹/生物识别认证引擎”应该被理解为指的是指纹/生物识别认证引擎，其仅由从RF激励场获得的能量供电，例如由RFID读取器118产生的RF激励场。

天线108包括调谐电路，在该布置中包括感应线圈和电容器，感应线圈和电容器被调谐以从RFID读取器104接收RF信号。当暴露于由RFID读取器104产生的激励场时，感应电压横跨天线108。

天线108具有第一端输出线122和第二端输出线124，每一端输出线在天线108的每一端。天线108的输出线连接到指纹认证引擎120，以向指纹认证引擎120提供功率。在该布置中，提供整流器126以整流由天线108接收的交流(AC)电压。使用平滑电容器对整流的DC电压进行平滑，并且将其提供给指纹认证引擎120。

指纹认证引擎120包括处理单元128、校验和计算模块129和指纹传感器130，该指纹传感器130优选地是如图2和图3所示的区域指纹传感器130。指纹认证引擎120是无源的，因此仅由从天线108输出的电压供电。处理单元128包括微处理器，该微处理器被选择为具有非常低的功率和非常高的速度，以便能够在合理的时间内执行生物识别匹配。

指纹认证引擎120被布置成扫描呈现给指纹传感器130的手指或拇指，并且使用处理单元128将手指或拇指的扫描指纹与预先存储的指纹数据进行比较。每次指纹传感器130向处理单元128发送信号时，校验和计算模块129就产生校验和。处理单元128存储当指纹传感器识别授权用户时获得的过去输出信号的多个校验和。例如，这可能涉及存储5、10或20或更多个校验和。当接收到新的输出信号时，校验和计算模块129计算新的校验和，并且处理单元128将该校验和与所有存储的校验和进行比较。如果新校验和与所存储的一个校验和相同，则这指示错误信号，并且不启用对智能卡102的受保护特征的访问。如果新校验和与所存储的校验和不同，则在指纹与注册指纹匹配的情况下，可以允许访问。因此，如果校验和不指示问题，则确定所扫描的指纹是否与预先存储的指纹数据匹配。在优选实施例中，捕获指纹图像和准确识别注册手指所需的时间小于一秒。

如果确定匹配，则RFID芯片110被授权将信号传输到RFID读取器104。在图1的布置中，这通过闭合开关132以将RFID芯片110连接到天线108来实现。RFID芯片110是传统的并且以与图1中所示的RFID芯片10相同的方式操作，以通过使用反向散射调制通过接通和断开晶体管116来经由天线108广播信号。

图2示出了RFID装置102的示例性壳体134。图1中所示的电路被容纳在壳体134内，使得指纹传感器130的扫描区域从壳体134暴露。图3示出了另一种实施方式，其中图1所示的电路层叠在卡体140内，使得指纹传感器130的扫描区域从层叠体140露出。

在使用之前，RFID装置102的用户必须首先将他的指纹日期注册到“原始”装置上，即不包括任何预先存储的生物识别数据。这可以通过将他的手指呈现给指纹传感器130一次或多次，优选地至少三次并且通常五到七次来完成。在WO2014/068090A1中公开了使用低功率刷卡型传感器注册指纹的示例性方法，本领域技术人员将能够适用到本文所述的区域指纹传感器130。

壳体134或卡体140可以包括用于与RFID装置的用户通信的指示器，例如图2和图3中所示的LED 136、138。在注册期间，用户可以由指示器136、138引导，指示器136、138告诉用户指纹是否已正确注册。RFID装置102上的LED 136、138可以通过发送与用户利用RFID装置102已经接收的指令一致的闪烁序列来与用户通信。

在几次呈现之后，指纹将被注册，并且装置102可以永远仅响应于其原始用户。

对于指纹生物识别技术，一个常见问题是当初始注册发生在一个地方(诸如，专用注册终端)并且随后的匹配注册发生在另一个地方(例如需要匹配的终端)时，难以获得可重复的结果。必须仔细设计围绕每个指纹传感器的壳体134或卡体140的机械特征，以在每次读取时以一致的方式引导手指。如果使用多个不同的终端扫描指纹，每个终端略有不同，则在读取指纹时可能发生错误。相反，如果每次使用相同的指纹传感器，那么这种错误发生的可能性就会降低。

如上所述，本装置102包括指纹认证引擎120，其具有板载指纹传感器130和对用户进行注册的能力，因此可以使用相同的指纹传感器130来执行匹配扫描和注册扫描。结果，扫描错误可以被抵消，因为如果用户在注册期间倾向于用横向偏置来呈现他们的手指，那么他们也可能在匹配期间这样做。

因此，对于所有扫描，与RFID装置102一起使用相同的指纹传感器30显著地减少了注册和匹配中的错误，并且因此产生更可重复的结果。

在本布置中，RFID芯片110和指纹认证引擎120的功率是从RFID读取器104产生的激励场中获取的。也就是说，RFID装置102是无源RFID装置，并且因此没有电池，但是以与基本RFID装置2类似的方式使用从读取器104收集的功率。

来自第二桥式整流器126的整流输出用于为指纹认证引擎120供电。然而，与普通RFID装置2的部件的功率需求相比，所需的功率相对较高。因此，以前不可能将指纹传感器130结合到无源RFID装置102中。在本布置中使用特殊设计考虑因素来通过使用从RFID读取器104的激励场获取的功率来为指纹传感器130供电。

当寻求给指纹认证引擎120供电时出现的一个问题是典型的RFID读取器104脉冲启动和关闭其激励信号以便节省能量，而不是稳定地发射激励信号。通常，这种脉冲导致有用能量的占空比小于稳定发射所发射的功率的10％。这不足以为指纹认证引擎120供电。

RFID读取器104可以符合ISO/IEC 14443，即，定义用于识别的感应卡的国际标准，以及用于与它们通信的传输协议。当与这样的RFID装置104通信时，RFID装置102可以利用将在下面描述的这些协议的某些特征，以将来自RFID读取器104的激励信号切换成持续足够长的时间以执行必要的计算。

ISO/IEC 14443-4标准定义了感应卡的传输协议。ISO/IEC 14443-4规定了感应集成电路卡(PICC)(即，RFID装置102)和感应联接装置(PCD)(即，RFID读取器104)之间的初始信息交换，RFID读取器104部分地用于协商帧等待时间(FWT)。FWT定义了PICC在PCD传输帧结束后开始其响应的最长时间。可以在工厂设置PICC以请求范围从302μs到4.949秒的FWT。

ISO/IEC14443-4规定，当PCD向PICC发送命令时，例如请求PICC提供识别码，PCD必须保持RF场并且在它决定已经发生了响应超时之前等待来自PICC的响应的至少一个FWT时间段。如果PICC需要比FWT更多的时间来处理从PCD接收的命令，则PICC可以向PCD发送等待时间延长(S(WTX))的请求，这导致FWT定时器被重置回其完全协商值。然后，在声明超时条件之前，PCD需要等待另一个完整的FWT时间段。

如果在复位FWT到期之前将另一个等待时间延长(S(WTX))发送到PCD，则FWT计时器再次重置回其完全协商值，并且PCD在声明超时条件之前需要等待另一个完整的FWT时间段。

这种发送等待时间延长请求的方法可用于保持RF场不确定的时间段。在维持此状态的同时，PCD和PICC之间的通信进程停止，并且RF场可用于获取功率以驱动通常不与智能卡通信相关联的其他过程，例如指纹注册或验证。

因此，通过卡和读卡器之间的一些精心设计的消息传送，可以从读取器提取足够的功率以启用认证周期。该种获取功率的方法克服了在无源RFID装置102中为无源指纹认证引擎120供电的主要问题之一，特别是当要注册指纹时。

此外，该功率获取方法允许使用更大的指纹扫描器130，特别是区域指纹扫描器130，其输出从计算方面讲过程不太密集的数据。

如上所述，在使用RFID装置102之前，装置102的用户必须首先将他们自己注册在“原始”装置102上。在注册之后，RFID装置102然后将仅响应于该用户。因此，重要的是仅预期用户能够将他们的指纹注册在RFID装置102上。

对通过邮件接收新信用卡或芯片卡的人的典型安全措施是通过一个邮件发送卡且通过另一个邮件发送与该卡相关联的PIN。然而，对于诸如上述的生物识别认证的RFID装置102，该过程更复杂。下面描述确保仅RFID装置102的预期接收者能够注册其指纹的示例性方法。

如上所述，RFID装置102和与RFID装置102相关联的唯一PIN被分别发送给用户。然而，用户不能使用RFID卡102的生物识别认证功能，直到他将他的指纹注册到RFID装置102上。

指示用户前往销售点终端(该终端为能够无接触地读取卡)，并且指示用户将其RFID装置102呈现给终端。同时，他通过键盘将他的PIN输入到终端。

终端将输入的PIN发送到RFID装置102。由于用户的指纹尚未注册到RFID装置102，RFID装置102将键盘输入与RFID装置102的PIN相比较。如果两者是相同的，则卡成为可注册的。

然后，卡用户可以使用上述方法注册他的指纹。或者，如果用户在家中具有合适的电源，则他可以将RFID装置102带回家并且在稍后的时间进行生物识别注册程序。

一旦注册，RFID装置102就可以通过使用指纹而无接触地使用，不需要PIN或仅需要PIN取决于发生的交易量。

图4示出了替代方案的基本架构，其中智能卡102由无线控制令牌102代替，并且读卡器104由外部系统或装置104代替。在增加的校验和计算的操作方面，控制令牌102和智能卡102以相同的方式操作，并且类似地，控制令牌102和外部系统104之间的交互大致类似于智能卡102和读卡器104之间的交互。控制令牌102可以例如是车辆智能钥匙，并且因此外部系统104可以是车辆。车辆无钥匙进入智能钥匙发出具有指定的、不同的数字身份代码的射频。当车辆接收到代码时(或者当按下钥匙上的按钮时发送代码，或者响应于接近车辆而发送代码)，则车辆将通过打开门锁并且还可选地通过启用其它功能来响应。一些车辆具有所谓的主钥匙或智能钥匙，其类似于传统的遥控无钥匙进入密钥，但具有依赖于靠近车辆的额外特征。如果主钥匙靠近车辆，则仅通过主钥匙的存在就能够启用车辆的多个功能。门锁是空闲的，行李箱/后备箱是空闲的，只需按下仪表板或中控台上某处的按钮即可启动引擎。控制令牌102例如可以是任一类型的密钥。

这些钥匙工作的方式通常是通过钥匙中的RF发射器，RF发射器周期性地(或响应于按下按钮)发出唯一编码的消息并且由车辆中的RF单元接收。此消息的占空比非常小，因此钥匙中的电池可能会持续很长时间以始终保持运行。当车辆看到钥匙时，上述功能将被激活。

外部系统104包括用于从控制令牌102接收传输的收发器106。外部装置必须包括射频接收器，并且可选地，它还具有由收发器106提供的发射能力。外部系统104还包括与收发器106通信的访问控制元件118。当收发器106接收到适当的信号时，它将允许访问访问受控元件118和/或启动访问受控元件118的某些特征。在外部系统104是车辆的示例，则访问受控元件118可包括门锁、车辆点火系统等。控制令牌102可以允许用户根据用于车辆的无钥匙系统的已知用途来致动和/或访问充当外部系统104的车辆的特征。

无线控制令牌102包括收发器108，用于将射频信号发送到外部系统104的收发器。无线控制令牌102必须包括射频发射器，并且可选地，它还具有如由收发器108提供的接收能力。无线控制令牌102还包括控制模块113和呈指纹认证引擎120形式的生物识别授权模块。诸如电池的电源(未示出)用于为收发器108、控制模块113和指纹认证引擎120供电。

指纹认证引擎120包括处理单元128和指纹传感器130，指纹传感器130可以是区域指纹传感器130。处理单元128包括微处理器，该微处理器被选择为具有非常低功率和非常高速度，以便能够在合理的时间内进行生物识别匹配，并且最大限度地延长电源的使用寿命。处理单元128可以是控制模块113的一部分，即，在公共硬件上和/或使用公共软件元件实施，但是通常它是单独的并且是连接到指纹传感器130的专用处理器。如上所述，校验和计算模块129在处理单元128中提供以便检查来自指纹传感器130的信号。

指纹认证引擎120被布置成扫描呈现给指纹传感器130的手指或拇指，并且使用处理单元128将手指或拇指的扫描指纹与所存储的参考指纹数据进行比较。所存储的参考指纹数据可以以加密形式存储在处理单元128或控制模块113内的非易失性存储器中。校验和模块129检查传感器输出与所存储的先前读数不相同或非常相似，以便使用在“嗅探器”攻击中收集的数据来识别访问控制令牌102的特征的欺诈性尝试。然后，例如，使用指纹模板和细节的匹配，确定于所扫描的指纹是否与参考指纹数据匹配。理想地，捕获指纹图像、执行校验和计算以及准确识别注册的手指所需的时间小于一秒。

如果确定匹配，则指纹认证引擎120将其传送给控制模块113。控制模块113然后可以允许/激活来自收发器108的射频信号的传输。一旦授权指纹已被指纹认证引擎120识别，就可以连续地传输射频信号持续一定时间段。或者，控制模块113可等待来自用户的进一步动作，例如按钮按压或对控制令牌102的其它输入，这可能表明需要采取几种可能的行动中的哪一种。例如，在车辆的情况下，控制令牌102可以能够对车辆的门解锁、启动车辆的引擎或者可选地打开车辆的行李箱/后备箱，其中所采取的动作取决于用户对控制令牌102的进一步输入。

通过使用用于无线控制令牌102和外部系统104两者的收发器，外部系统104可以与无线控制令牌102交互，并且例如，返回外部系统104的状态。可以以各种方式使用该交互，例如以影响在已经识别出授权用户之后无线控制令牌102应该保持活跃的时间段。

在使用之前，控制令牌102的新用户必须首先将他们的指纹日期注册到“原始”装置上，即，不包括任何预先存储的生物识别数据。在一个示例中，可以以注册模式供应控制令牌102，并且控制令牌102的第一用户可以自动地注册他们的指纹。在另一个示例中，注册模式必须由授权的外部系统(例如，由制造商操作的计算机系统)启动。在注册模式中，指纹认证引擎120用于收集指纹数据以形成指纹模板以存储在控制令牌102上。这可以通过将手指一次或多次呈现给指纹传感器130来完成，优选地在至少三次，通常是五到七次。在WO2014/068090A1中公开了使用低功率刷卡型传感器注册指纹的示例性方法，本领域技术人员将能够适用到本文所述的区域指纹传感器130。

控制令牌102可以具有主体134、140，主体134、140包括用于与控制令牌102的用户通信的指示器，例如LED或LCD显示器。在注册期间，用户可以由指示器引导，该指示器告诉用户指纹是否已正确注册。在几次呈现手指之后，指纹将被注册，然后装置102将响应于授权用户的指纹。还可以在后续认证期间使用指示器，以便向用户指示何时识别其指纹以及何时允许访问外部系统104的访问受控特征118。

如上所述，控制令牌102包括指纹认证引擎120，其具有机载指纹传感器130和注册用户的能力，因此可以使用相同的指纹传感器130来执行匹配扫描和注册扫描两者。如上所述，这改善了安全性并且降低了扫描错误。

控制令牌102可以存储多个用户的指纹数据，其中每个用户都有利地通过控制令牌102的指纹认证引擎120注册，如上所述。在多个用户的情况下，控制模块113可以被布置为将第一注册用户存储为管理员级用户，其具有在后续使用期间启动装置的注册模式的能力，例如通过对装置的某些输入，包括如管理员级用户一样呈现他们的指纹认证。

应当理解，控制令牌102在被用作车辆的无钥匙进入装置时具有特定的用途，但是它也可以用于其它情况。将进一步理解的是，尽管指纹认证是用户的生物识别认证的优选方法，但是可以通过用诸如面部识别或视网膜扫描的替代生物识别感测系统来代替指纹传感器和指纹认证引擎，沿着如上所述类似的线路来使用和实施替代技术。