专利名称:身份鉴别和受保护访问系统、组件和方法
技术领域:
本发明总体上涉及身份鉴别系统,并且尤其涉及用于鉴别用户的身份并且容许经 鉴别用户访问受保护信息和/或区域的系统和方法。
背景技术:
目前存在身份盗窃的巨大问题。大多数人想到在金融身份盗窃方面的身份盗窃, 例如偷窃信用卡帐号和/或社会安全号来进行未经授权的购买。虽然这是所有身份盗窃 事件的相当大的部分,不过也存在许多其它类型的身份盗窃,包括医疗、保险、周界和网络 (或计算机/电子)身份盗窃。医疗和保险身份盗窃分别涉及访问一个人的医疗和保险信 息,其可能会被未经授权地滥用。周界身份盗窃涉及盗窃个人身份以便获得对限制区域的 访问——对于机场、核发电厂、城市供水机构等来说是特别重要的问题。并且网络身份盗窃 涉及盗窃用户身份以便获得对诸如军方或公司计算机网络之类的计算机系统的未经授权 的访问。当前可用于身份安全的技术遇到了缺乏身份鉴别的相当大的问题。美国政府使用 术语“强鉴别”作为身份鉴别系统的安全鲁棒性的等级评价。身份鉴别系统如果使用以下 鉴别器(authenticator)中的至少两个那么被定级为强鉴别系统(1)用户具有的某些东 西(安全令牌,驾驶执照,信用卡,借记/ATM卡、智能卡、结关徽章(clearance badge)、密钥 链扣(keychain fob)等);(2)用户知道的某些东西(密码、PIN、邮政编码等);和(3)用 户的某些东西(签名、指纹、DNA等)。虽然看起来具有这些鉴别器中的两个甚至全部三个 可能会使鉴别很强,不过事实是这些鉴别器中的全部或大部分可能会被损害。并且在实践 中常常是甚至根本不使用它们中的一个或多个。例如,信用卡服务最初满足强鉴别的要求, 这是因为它们使用用户具有的信用卡(鉴别器1)和用户的签名(鉴别器3)。但是在当前 实践中在信用卡交易期间极少检查用户签名,并且信用卡公司竟然倡议这样增加了使用信 用卡的速度和便利性。已经开发了使用生物测定标识符的身份鉴别系统以尽力提供增加的身份安全。然 而即便最新的和最好的生物测定身份鉴别系统也易于被损害。它们的安全性取决于限制对 在集中定位的数据库或各个令牌上所存储的生物测定标识符文件的访问。把生物测定标识 符文件存储在中央数据库引起了明显的问题,诸如数据库成为小偷(即,黑客)的高价值目 标。并且当生物测定标识符文件被存储在令牌上时,尽管所述生物测定标识符文件被分散 在众多各个令牌中,所述令牌仍然易于被非法侵入。这是因为常规的基于令牌的系统包括令牌读取器,其访问在令牌上的生物测定标识符文件、接收用户输入的生物测定标识符和 执行比较以便鉴别用户的身份。因为读取器必须具有能够访问在令牌上的生物测定标识符 文件的能力,所以所述窃贼攻击那里。非法侵入一个读取器并且获得对一个令牌以及因此 获得对所有令牌的访问。对于窃贼来说用一个来简单地断开在具有生物测定标识符文件的 令牌上所存储的生物测定标识符文件,以及因而用户的身份就已经被窃取了。因此,可以看出需要改进对机密信息和受保护地方的安全访问,并且特别是需要 改进对正试图访问所述机密信息或限制访问位置的人的身份的鉴别。将要提供满足本发明 主要针对的这些及其它需要的解决方案。
发明内容
一般说来,本发明提供了用于鉴别用户身份并且在一些情况下容许经鉴别用户访 问受保护数据或区域的系统、组件和方法。身份鉴别系统包括安全令牌和解码器。令牌包 含根据该令牌的授权用户的唯一生物测定标识符所加密的数据。为了此加密提供了建立 (set-up)工作站和方法。用户向解码器之一呈现令牌和生物测定标识符以便进行本地或远 程解码。转换软件用来把生物测定标识符转换为唯一的生物测定密钥,以及解密软件用来 向令牌应用所述生物测定密钥以便打开令牌。依照这种方式,只有授权用户可以访问令牌 上的数据。并且在不需要访问集中或本地存储的生物测定标识符文件和/或执行对输入生 物测定标识符的比较的情况下对用户和令牌予以鉴别。在第一示例系统和方法中,解码器存储转换软件和解密软件,并且在解码器上本 地进行解密/鉴别。在用于远程鉴别的第二示例系统和方法中,所述系统害包括鉴别服务 器。在此实施例中,解码器从服务器获取一次性密钥,收集令牌和生物测定标识符,把它们 一起加密到包中,以及向服务器发送所加密的包以便执行鉴别过程。以及在第三示例实施 例中,根据第一 OTK来加密令牌,并且根据第二 OTK来把所述令牌和生物测定标识符加密到 包中并且发送到鉴别服务器以用于鉴别过程。在成功鉴别时,鉴别服务器向该设备发送第 一 OTK以便打开令牌。在一些“仅鉴别”的实施例中,打开令牌的目的仅仅在于鉴别用户和令牌。因此在 令牌中存储的数据可以不具有任何特定的重要性。在其它“仅鉴别”实施例中,数据包括在 鉴别用户之后所使用的用户信息、安全性查核等级信息(或授权数据)等。并且在一些“受 保护数据”的实施例中,打开令牌的目的是鉴别用户和/或令牌并且另外访问在令牌中保护 的数据。另外在一些实施例中,数据片或集被存储在指定的数据舱(datacompartment) 中,其根据权限密钥(authority key)来加密和解密。权限密钥存储在解码器或鉴别服务 器上,其只可以访问对应于它们有权打开的数据舱的权限密钥。典型情况下,每个数据舱根 据其自己的专用权限密钥来加密/解密,不过可以根据单个权限密钥来共同地加密/解密 数据舱集。依照这种方式,每个数据片被加密两次,当根据权限密钥加密其数据舱时加密一 次以及当根据生物测定密钥共同地加密所有数据舱(整个令牌)以创建令牌时加密一次。此外在一些实施例中,根据两个或多个生物测定密钥来加密令牌,其可以是基于 相同或不同的生物测定标识符的。在一些这类实施例中,在多级处理中加密/解密令牌,每 一级使用不同的生物测定密钥。并且在一些其它实施例中,根据一个生物测定密钥来加密/解密令牌并且(除权限密钥加密/解密之外或代替该权限密钥加密/解密)根据相同或 不同的生物测定密钥来加密/解密数据舱。以及在一些其它实施例中,根据生物测定标识 符来选择(一个或多个)令牌加密/解密算法。根据下面对本发明的示例实施例和附图以及权利要求的详细描述,本发明用来改 善先前系统和方法的缺点并且实现这里所描述优点的具体技术和结构将变得显而易见。
图1是依照本发明第一示例实施例的身份鉴别系统的框图,示出了解码器和三个 证书。图2是图1的证书之一和解码器的概念框图,示出了具有只用于打开证书令牌的 一个数据舱的权限密钥的解码器。图3是图2的证书和解码器的概念框图,示出了具有用于打开证书令牌的所有数 据舱的另一权限密钥的解码器。图4是图1的身份鉴别系统的令牌建立工作站的框图。图5是使用图4的令牌建立工作站的令牌建立方法的流程图。图6是图5的建立方法的令牌创建方法的流程图。图7是使用图1的解码器的本地令牌打开方法的流程图。图8是依照本发明第二示例性实施例的身份鉴别系统的框图,示出了解码器、证 书和远程鉴别服务器。图9是使用图8的解码器的远程令牌打开方法的流程图。图10是使用图8的鉴别服务器的远程令牌打开方法的流程图。
具体实施例方式本发明提供了使用安全令牌和令牌解码器的身份鉴别系统和方法。根据每个令牌 的授权用户的生物测定标识符来唯一加密该令牌。如这里所用的,术语“用户”意指被鉴别 的人。解码器接收令牌和用户的生物测定标识符作为输入。然后解码器把用户的生物测定 标识符转换为生物测定密钥并且应用所述生物测定密钥来解密并由此打开该唯一加密令 牌。依照这种方式,所述系统通过使用用户所具有的东西_令牌_和用户的东西_生物测定 标识符_来满足强鉴别的基本标准。另外,所述系统呈现出与常规的生物测定身份鉴别系 统的根本区别,所述常规的生物测定身份鉴别系统通过执行把由用户所呈现的生物测定标 识符与在用户的令牌或集中定位的数据库中所存储的生物测定标识符相比较来鉴别身份。 然而依照本发明的系统并不执行这种比较,因此它们甚至不需要存储用户的生物测定标识 符。作为替代,由用户呈现的生物测定标识符被转换为用于解密/打开令牌的生物测定密 钥。依照这种方式,所述系统因为不包括潜在的攻击点所以是真正安全的,而现有的身份鉴 别系统都会具有这些潜在的攻击点。参考附图,现在描述依照本发明的系统、其组件和方法的示例实施例。图1-4示出 了依照本发明第一示例实施例的身份鉴别系统10。如图1所示,系统10包括至少两个组 件至少一个证书和至少一个解码器。为了清楚和说明性目的,所描绘的系统10包括一个 解码器14和三个证书12a-n(有时各个地称为“证书12”以及共同地称为“证书12”)。在典型的商业实施例中,系统10包括多个证书12,例如每人一个,以及多个解码器14,例如在 想要进行身份鉴别的每个特定位置一个。不考虑所包括的组件数目,该实施例的系统10被 设计成用于这样的应用中,其中用户在物理上处于与一个解码器14相同的位置。在这些应 用中,身份鉴别被认为是例如在销售点(point-of-sale,P0S)位置、安全周界的接入点、航 空乘客登机门等地“本地”进行。证书12a-n分别存储安全令牌16a-16n,(有时各个地称为“令牌16”以及共同地称 为“令牌16”)。如这里所用,术语“令牌” 16意指加密的数据文件。证书12是可以依照多种 不同形式中的任何形式予以提供的物理对象。例如在典型的商业实施例中,证书12是塑料 的(例如,聚氯乙烯(polyvinyl chloride, PVC))卡、航空登机牌、安全性通行证、智能卡、 移动电话、个人数字助理(personal digital assistants,PDA)、通用串行总线(universal serial bus,USB)拇指驱动器、记忆棒、电子钥匙扣、一次性可写设备、可重写设备和/或其 它便携式电子设备)。证书12a-n分别包括数据存储设备18a-n (有时各个地称为“存储设备18”以及共 同地称为“存储设备18”),用于存储令牌16a-n。对于由航空登机牌或一些塑料卡(钥匙扣 大小的卡等)所提供的证书12来说,存储设备18例如可以是可光扫描的介质,诸如印刷条 形码。对于由一些其他塑料卡(皮夹大小的卡等)所提供的证书12来说,存储设备18例 如可以是可磁扫描的介质,诸如磁带。并且对于由便携式电子设备所提供的证书12来说, 所述便携式电子设备诸如移动电话、PDA、电子钥匙扣、智能卡、USB拇指驱动器和记忆棒,存 储设备18例如可以是处理器可读的存储设备,诸如存储器芯片、闪速存储设备、磁或光驱 动器等。这样的便携式电子设备证书12还可以包括常规的短程无线通信组件,用于与解 码器14通信。例如,证书12均可以包括发送器、天线和控制器,用于向解码器14发送令牌 16。或者证书12可以包括收发器来代替发送器,以用于当建立证书时也接收令牌16,在鉴 别之后接收更新的令牌等。在证书12是移动电话、PDA或其它便携式无线通信设备的实施例中,现有的、证书 的无线通信组件可以用于与解码器14通信,或者所述证书可以包括独立的专用无线通信 组件来用于与解码器通信。另外,具有用于与解码器14通信的无线通信组件的证书12可 以利用诸如 BLUETOOTH、ZIGBEE、WI-FI、近场通信(Near Field Communication,NFC)、TCIP 或其它无线通信技术之类的通信协议来建立。如上所述,由证书12的存储设备18所存储的令牌16是加密的数据文件。该数据 文件根据生物测定密钥被唯一加密,所述生物测定密钥进而是基于对于证书12的用户来 说唯一的生物测定标识符。系统10可以适于使用生物测定标识符,包括指纹、手纹、虹膜、 面部特征、声音模式、DNA及其组合和/或任何其它固有的物理或行为人类特性。特别地, 系统10可以适于使用任何生物测定标识符,为此可以提供输入设备20和转换软件22,用于 把所输入的生物测定标识符转换为生物测定密钥。生物测定标识符输入设备20和转换软 件22在工作中连接到解码器14或者作为其组成部分,如下所述。如这里所用,术语“生物 测定密钥”意味着唯一的、可重复的字符串(例如,数字,字母,字母数字组合,一系列其它符 号,标记或特殊字符或其组合),其根据生物测定标识符生成并且可以用于加密数据文件以 便形成令牌16并且用于解密以及由此打开所述令牌。换句话说,生物测定密钥是唯一的生物测定标识符的唯一数字表示。诸如指纹扫描器、手纹扫描器、虹膜扫描器、面部扫描器、音频语音记录器和DNA 采样设备之类的可买到的生物测定输入设备可以分别用于输入诸如指纹、手纹、虹膜、面部 特征、声音模式和DNA采样之类的生物测定标识符。另外,存在可买到的转换软件(例如, 来自加利福尼亚(California)的Mountain View的GENKEY),用于把扫描输入的指纹转换 为唯一的、可重复的数字串,其可以被用作生物测定密钥。那些本领域普通技术人员应当理 解,可以使此转换软件适于或者可以提供其它转换软件,来把诸如虹膜、面部特征和声音模 式之类的其它输入生物测定标识符转换为唯一的、可重复的字符串,所述字符串可以被用 作生物测定密钥。据此,使用当前可用的技术,系统10可以被配置为至少把输入的指纹、虹 膜、面部特征和/或声音模式用作生物测定标识符。另外,相信在本领域普通技术人员的能 力范围内可以使得使用当前可用技术的系统10适用于把其它输入的生物测定标识符(诸 如DNA及其它固有物理或行为人类特性)转换为生物测定密钥。在令牌16中加密的数据可以是与特定应用相关的任何类型的信息。例如,加密的 数据在其中证书12为数字驾照的应用中包括用户特定的信息,在其中证书为安全周界的 访问卡的应用中包括应用特定的信息,以及在其中令牌为通用身份证的应用中既包括用户 特定的信息又包括应用特定的信息。可替换地,加密的数据在仅鉴别的应用中可以包括并 非特定于用户或应用的信息(例如,随机数据片)。在仅鉴别应用中,所有想要的只是证明 证书12的出示者是登记所述证书的人(访问数据不需要被保护或用于任何其它目的)。另 外,存储设备18可以把未加密的额外数据存储在令牌16中,不过这样的额外数据是不安全 的。通过把所有信息存储在证书12上而不是在中央数据库中,减少了每个单独的证书的值 并且消除了单个攻击点——中央数据库。在只有一个数据片或集在证书12上被保护的应用中,令牌16可以由单个加密的 数据片或集组成。此配置适合于诸如信用卡之类的应用,其中受保护的数据集包括用户 的个人信息(姓名,地址,出生日期(dateof birth, DOB),社会安全号(social security number, SSN)等)和金融信息(信用卡帐号,期满日期等)。在多个数据片或集被保护的应用中,令牌16a-n包括多个数据舱24a-n (有时各个 地称为“数据舱24”以及共同地称为“数据舱24”)。如这里所用,术语“数据舱” 24意指在 令牌16中的数字存储位置,其包含除令牌加密之外被加密的数据。每个数据舱24彼此独 立地唯一地予以加密。这只允许一定的解码器14(如下所述,已经被给予适当授权的那些 解码器)访问一定的数据舱24。此配置适合于诸如通用的身份证之类的应用,其中受保护 的数据包括用户的个人信息、金融信息和病史。根据唯一的权限密钥26来唯一加密数据舱24中的每一个,并且根据生物测定密 钥来加密整个令牌16 (即,所有数据舱)。如这里所用,术语“权限密钥”意指唯一的字符串 (例如,数字、字母、字母数字组合、一系列其它符号、标记或特殊字符或其组合),其对应于 唯一的权级(authority level)并且可以用于加密和解密数据舱24。如下所述,权限密钥 26被存储在解码器14上。权级是基于令牌16中的特定数据的,所述数据需要在特定应用中由特定的解码 器14访问,并且它们实际上不必是分级的。因为利用至少两个密钥来加密每个数据舱 24-用于该数据舱的至少一个权限密钥26和用于所有数据舱的至少一个生物测定密钥-即便非法侵入解码器14以获得在其上所存储的权限密钥,黑客仍然无法打开任何令牌16的 任何数据舱。依照这种方式,每个数据舱24被绝对唯一地加密并且只可以由授权用户(具 有正确的生物测定密钥)使用授权的解码器14(具有正确的权限密钥26)来访问。例如,图2和3描绘了数字驾照应用,其中证书12是用于存储驾照信息的PDA型移 动电话。每个数据片被存储在其自己的数据舱24a-n中,根据其自己的唯一权限密钥26来 加密每个数据舱,并且根据授权用户的唯一生物测定密钥来共同地加密所有数据舱(即, 令牌16)。在数据舱24a-n中所存储的数据是与常规的驾照相同的数据,例如用户的姓名、 地址、性别、DOB、年龄、身高和体重、DL号、许可状态等。甚至可以把用户的照片存储在一个 数据舱24中,不过并不一定要这么做,这是因为证书12通过用户呈现不同类型的鉴别器 3(用户的某些东西)生物测定标识符来予以鉴别。如在图2中所描述,当用户向零售商的解码器14呈现数字驾照证书12并且向解 码器的生物测定输入设备20呈现预选的生物测定标识符以用于限制购买的年龄验证(例 如,购买酒精饮料)时,发生三个事情。鉴别证书12-如果生物测定密钥打开了令牌16,那 么鉴别了证书,这是因为所述令牌已经被示为已经使用正确的加密算法予以创建了。(下面 提供了令牌16创建和解码器14构造的细节。)鉴别用户访问证书12上的数据的权限-打 开令牌16的生物测定密钥也鉴别了所述用户,这是因为唯一的生物测定密钥来自唯一的 用户。并且如果二者都是肯定的,那么验证用户的年龄-如果通过呈现证书12和生物测定 标识符来达到强鉴别,那么零售商的解码器14使用其权限密钥和生物测定密钥(它根据输 入的生物测定标识符生成)以打开并读取令牌16的DOB数据舱。只打开一个数据舱24(存 储DOB的那个)。那些存储用户姓名、地址等的其它数据舱24不可被零售商的解码器14访 问。因为此解码器14的授权使用是用于验证年龄而不是用于任何其它目的,所以它是利用 权限密钥来设置以便只打开DOB数据舱而不是任何其它数据舱。然而如在图3中所描述,利用多个(例如十二个)权限密钥来设置供警官使用的 解码器14以访问所有十二个描绘的数据舱24。因此当向警官呈现相同的驾照证书12时, 他的解码器14具有用于访问存储所有驾照数据的所有数据舱24的权限。在其它应用中,证书12被设置为用于在各个数据舱24中存储用户的姓名和地址、 信用卡号、信用卡截止日期等的信用卡。用于此应用的解码器14被设置成用于处理信用卡 支付。这些解码器14存储用于访问数据舱24所需要的权限密钥,所述数据舱24用于存储 用于处理信用卡交易所需要的数据,并且不存储其它权限密钥。以及在证书12被设置成用于多种使用的应用中(例如,用于个人标识、信用卡购 买、病史等的通用个人身份卡),每个存储的数据片或集按照唯一的权级来加密。因此警察 的解码器和零售商的解码器没有用于打开病史数据舱的权限密钥。在典型的商业实施例中,每个数据舱24存储单个数据片并且利用权限密钥来唯 一加密。被授权访问特定数据片的解码器14存储相应的权限密钥,所述权限密钥打开用于 存储该数据片的数据舱24。因此在其中需要只访问单个数据片的应用中,授权的解码器14 只存储相应的权限密钥,所述权限密钥打开用于存储需要的数据片的数据舱24。并且在其 中需要访问多个数据片的应用中,授权的解码器14存储所有相应的权限密钥,所述权限密 钥打开所有存储所有需要的数据片的数据舱24。在用于其中需要访问多个数据片的应用的候选实施例中,每个数据舱24存储多个数据片(即,数据集)并且利用权限密钥来唯一加密。因此例如一个数据舱24存储驾照 数据,另一个存储信用卡数据,并且另一个存储医疗数据。需要访问信用卡数据的解码器14 可能会具有打开那个数据舱24的相应权限密钥,但是可能没有打开存储所有用户病史的 权限密钥。在此实施例中,相同的数据片(例如,用户的姓名和地址)可以被存储在多个数 据舱24中。在用于其中需要访问多个数据片的应用的另一候选实施例中,每个数据舱24存 储单个数据片并且利用单个权限密钥来一起加密一组数据舱(共同地存储一定应用所需 要的所有数据)。权限密钥被存储在针对该应用的授权解码器14上。当然,可以依照本领 域普通技术人员理解的其它方式来配置数据舱24以便存储并提供对多个数据片的访问。在进入解码器14的细节之前,将描述建立令牌16的令牌建立设备和方法。建立 设备可以由专用的工作站或其它基于处理器的电子设备提供,或者其组件可以被组合到一 些或所有解码器14中,使得只需要提供一种类型的设备。图4示出了身份鉴别系统10的令牌建立工作站28。工作站28包括至少一个生 物测定输入设备20、至少一个用户接口设备32、至少一个令牌接口设备34和编程的处理器 系统30。在典型的商业实施例中,工作站28包括固定介质数据存储设备(例如,磁盘驱动 器)、可拆卸介质数据存储设备(例如,CD-ROM或DVD驱动器)和/或在计算机工作站中通 常使用的其它组件,为了清楚而并未示出它们。术语“工作站”这里从广义来说用来包括通 用计算机、计算机信息站等。(一个或多个)生物测定输入设备20、( 一个或多个)用户接 口设备32和(一个或多个)令牌接口设备34可以作为外围设备予以提供,所述外围设备 在工作中(例如无线或有线)连接到建立设备28或者它们可以是建立设备的集成组件。生物测定输入设备20可以由指纹或手纹扫描器、虹膜扫描器、面部特征扫描器、 音频语音记录器、DNA采样设备或其它常规的设备(例如,照相机、声纳或红外设备)提供 以用于收集生物测定标识符,如上所述。特别地,生物测定输入设备20通过生成生物测定 标识符的数字模板来接收所述生物测定标识符。如这里所用的术语“数字模板”意指根据 生物测定标识符导出的并且对所述生物测定标识符来说是唯一的数字表示。对于一些生物 测定输入设备20来说,数字模板在视觉上(或以其它方式)类似于生物测定标识符,不过 这对于系统10适当地起作用来说并不是必要的。适合的指纹扫描器、手纹扫描器、虹膜扫 描器、面部特征扫描器、音频语音记录器和DNA采样设备可从众多销售商那里买到。对于建 立工作站28将根据一个以上类型的生物测定标识符来加密令牌16的应用来说,工作站可 以具有一个以上类型的生物测定输入设备20,例如指纹扫描器和虹膜扫描器。用户接口设备32 —般由一个或多个输入设备和一个或多个输出设备提供。输 入设备例如可以是触摸屏、笔迹输入屏、小键盘、键盘、数据输入按钮、指示设备(例如,鼠 标)、磁带扫描器和/或光扫描器。以及输出设备例如可以是触摸屏、显示屏、扬声器和/或 指示灯。为建立工作站28所选择的令牌接口设备34是基于在特定应用中所使用的令牌存 储设备18以及证书12的类型的。例如,对于由航空登机牌或一些塑料卡(钥匙扣大小的卡 等)所提供的证书12来说,其中存储介质18是可光扫描的介质,诸如印刷条形码,令牌接 口设备34可以由打印机提供以用于把令牌16打印到证书上。对于由一些其它塑料卡(皮 夹大小的卡等)所提供的证书12来说,在其中存储设备18是可磁扫描的介质,诸如磁带,令牌接口设备34可以由磁条编码器提供以用于把令牌16写到证书上。对于诸如移动电话和PDA之类的便携式电子通信设备所提供的证书12来说,在 其中存储设备18是处理器可读存储器设备,其被连线到承载证书的无线通信组件(例如, 天线、发送器/收发器和控制器),令牌接口设备34可以包括用于向所述证书无线发送令 牌16的无线通信组件,诸如天线、发送器和控制器。类似地,对于由诸如电子钥匙扣和处理 器智能卡(aka无接触芯片卡)之类的便携式电子设备所提供的证书12来说,在其中存储 设备18是处理器可读的存储器设备,其被连线到承载证书的无线通信组件(例如,RFID组 件),所述令牌接口设备34可以包括用于向所述证书无线发送令牌16的无线通信组件,诸 如天线、发送器和控制器。以及对于由诸如USB拇指驱动器、记忆棒和存储器智能卡(aka接 触型芯片卡)之类的便携式只存设备所提供的证书12来说,在其中存储设备18是处理器 可读的存储器设备,其被连线到证书的连接器,所述令牌接口设备34可以由连接器提供, 所述连接器与证书连接器联系并相配以便向所述证书电子发送令牌16。在建立工作站28具有用于与无线证书12通信的无线通信组件的应用中,可以利 用诸如BLUETOOTH、ZIGBEE、WI-FI、近场通信(NFC)、TCIP或其它无线通信技术之类的通信 协议来建立工作站。以及在工作站28用于建立一个以上类型的证书12的应用中,所述工 作站可以具有一个以上类型的令牌接口设备34,例如用于在塑料卡证书上标记条形码的打 印机和用于向移动电话证书发送令牌的通信组件。在候选实施例中,建立工作站被配置为不只是在初始建立过程期间向证书12发 送令牌16。这样的候选实施例包括建立工作站,所述建立工作站被配置为还从先前发出的 证书12接收令牌16,修改或更新该令牌并且把它们向回发送到证书。这样的工作站可以包 括解密软件(不只是加密软件)、作为令牌接口设备的组件的接收器或收发器(代替只是发 送器),作为令牌接口设备的扫描器(代替只是打印机)等。编程的处理器系统30存储和/或另外可以访问软件元素,所述软件元素包括转换 软件22、权限密钥26和加密软件36。尽管为了清楚并未个别地示出,不过编程的处理器系 统30包括一个或多个处理器、存储器和/或其它逻辑,它们一起定义了工作站28的总体处 理能力。本领域技术人员应当理解,为了说明目的,软件元素以概念方式示出并且可以不同 时地或全部地驻留于存储器中。相反,依照已知计算机的操作方式,可以从存储器芯片、固 定介质本地驱动器、可拆卸的介质本地驱动器和/或网络连接的远程计算机或存储设备按 需获取软件元素或其一部分。另外,软件元素的功能可以被分布在大量软件元素上或者组 合/压缩到较少的元素中。可以包括在诸如操作系统、图形用户界面、公用程序、接口设备 驱动程序等之类的计算系统中普遍包括的附加软件元素,但是为了清楚而并未示出这些元 素。考虑到这里的描述,本领域技术人员能够容易地提供适合的软件以及另外编程或配置 工作站28以便执行下述令牌建立方法。转换软件22把来自生物测定输入设备20的生物测定标识符数字模板转换为生 物测定密钥,如上所述。转换软件22可以是可买到的版本(例如,来自California的 Mountain View的GENKEY的指纹转换软件)或可买到的软件的修改版本。所存储的权限密钥26包括用于特定应用的所有权级的所有权限密钥。在令牌16 只包括单个数据片或集并且没有设置权级的应用中,并不利用专用的数据舱24来建立令 牌16。在这样的应用中,工作站28不必存储或访问权限密钥26。
加密软件36使用密码算法来根据其相应的权限密钥各个地加密每个数据舱24以 及根据所选择的授权用户的生物测定密钥共同地加密所有数据舱(即,整个令牌16)。加密 软件36可以由密码软件提供,所述密码软件使用诸如高级加密标准(Advanced Encryption Standard, AES)、SHARK、TWOFISH、BLOWFISH或另一公用域或专有加密算法之类的密码算法。 可从包括 RSA 安全公司(Bedford,Massachusetts)和 PGP 公司(Menlo Park, California) 的许多销售商处买到适合的密码软件。在所描绘的实施例中,加密软件36使用相同的密码 算法来各个地加密数据舱24以及共同地加密所述数据舱以形成令牌16。在候选实施例中, 编程的处理器系统30对于各个加密和共同加密而言使用不同的密码算法和/或对于一些 或所有数据舱加密而言使用不同的密码算法。另外,在编程的处理器设备20上存储和/或可由其访问的软件元素可以包括用户 授权软件38。用户授权软件38使用用户接口设备32来与用户接口并且使用因特网接口 (未示出)来访问远程存储的数据,提示新(要授权的)用户提供输入(例如,只有真正身 份的人才可能知道的问题的答案)并且分析输入以便确定这个人是不是他/她自称的那个 人。用户授权软件38可以由可买到的程序提供(例如,由信用局(creditbureaus)提供的 由宾夕法尼亚(Pennsylvania)的Wayne的SUNGARDDATA SYSTEMS公司的商标为SIGNIX,或 者其它数字签名软件)。这样的用户授权软件38自动把新用户鉴别为授权用户,而不要人 介入或帮助。在包括用户授权软件38的实施例中,可以在授权和令牌发出组织处把工作站 提供为现场自助信息站或者分散在远程位置中。在没有用户授权软件38的实施例中,可以 通过在本领域中已知的传统方法来进行用户授权。在候选实施例中,建立工作站被配置并编程为用于加密数据以便形成令牌,但是 并未配置为首先加密任何数据舱。此实施例的建立工作站适合于在只存在单个数据片或集 要被保护并且根据生物测定密钥来加密该数据或数据集以形成令牌的应用中。因此该建立 工作站没有权限密钥并且不建立数据舱。当然,在只存在单个数据片或集要被保护的应用 中,该工作站仍然可以被配置为首先根据权限密钥来加密数据舱中的一个数据片或集以及 继而根据生物测定密钥来加密一个数据舱。在其它候选实施例中,建立工作站被配置并编程为根据一个以上生物测定标识符 加密令牌。例如,工作站可以具有两个(或多个)不同的生物测定输入设备,例如指纹扫描 器和虹膜扫描器。在一些这类应用中,设置所述建立工作站使得第一用户可以选择(例如, 从在用户接口显示设备上所显示的菜单)一个生物测定输入设备来输入他的生物测定标 识符以及第二用户可以选择不同的生物测定输入设备来输入他的生物测定标识符。在一些 其它这类应用中,把该工作站设置成使得一个用户可以(例如,从在用户接口显示设备上 显示的菜单)选择两个生物测定输入设备来输入两个想要的生物测定标识符。工作站把第 二生物测定标识符转换为第二生物测定密钥,在两部分过程中根据第二生物测定密钥和权 限密钥加密数据舱,以及继而根据第一生物测定密钥加密所有数据舱。以及在类似的候选 实施例中,工作站被设置为根据用于令牌创建的权限密钥和相同的生物测定密钥来在两部 分过程中加密数据舱。据此,工作站可以被配置为使用一个或多个生物测定密钥设置令牌以在至少三个 不同的模式中加密数据舱。在所有三个模式中,使用一个生物测定密钥来加密令牌(共同 地所有数据舱)并且使用一个或多个权限密钥来加密数据舱。用于另外利用生物测定密钥加密数据舱的三个模式是(1)利用用于加密令牌的相同生物测定密钥加密每个数据舱; (2)利用与用于加密令牌的生物测定密钥不同的生物测定密钥来加密每个数据舱;和(3) 利用其自己的专用生物测定密钥来加密每个数据舱。例如,在模式(2)中,右食指指纹可以 用来加密令牌并且左食指指纹可以用来加密所有数据舱以及模式(3)的例子是右食指指 纹用于加密令牌,左食指指纹用于加密“名称,,数据舱;右无名指指纹用于加密“ SSN"数据 舱;并且左无名指指纹用于加密“驾照”数据舱。在已经描述令牌建立工作站28的示例实施例的情况下,现在将描述建立令牌16 的方法。一般说来,建立方法包括把数据输入到数据舱24中,根据相应的权限密钥来加密 数据舱,接收用户输入的生物测定标识符,根据输入的生物测定标识符来生成生物测定密 钥,根据所述生物测定密钥加密所有数据舱以创建令牌16,和把所述令牌传输到证书12。 应当理解,可以使用刚刚描述的建立工作站28,使用适于包括所需要的组件并且编程来建 立令牌的解码器14,或者使用其它类似设备来执行建立方法,所述其它类似设备具有用于 执行所述步骤的类似组件。为方便起见,将结合描述使用和编程图4的建立工作站28以建 立令牌16来描述建立方法。图5示出了本发明的示例性令牌建立方法500。方法500起始于步骤502,在从接 收来自想要令牌16的新用户的请求时。新用户一般使用用户接口设备32来把请求输入到 建立工作站28中。所述请求一般包括新用户的一个或多个识别数据片(完整的法律姓名, 绰号/别名,SSN,D0B,当前地址等)。所述请求另外可以包括可以用于登记新用户的其它
fn息ο在响应中,在步骤504,实施新用户授权过程。当使用包括用户授权软件38 (例如, 像由SUNGARD DATA SYSTEMS公司所提供的,商标SIGNIX)的建立工作站28时,所述工作站 经由用户接口设备32提示新用户提供身份输入。例如,工作站28可以利用选择的一系列 问题经由用户接口设备32来询问新用户,这是因为只有可信的人才可能知道正确答案。这 样的问题可以包括“你十年前的地址是什么? ”、“你第一条狗的名字是什么? ”、“你中学校 长的名字是什么? ”等。在典型的商业实施例中,工作站28经由网络接口访问因特网(或 另一全球通信网)来根据输入的识别数据搜索与新用户相关的模糊数据,并且根据所找到 的模糊数据来编制问题。在任何情况下,工作站28然后经由用户接口设备32接收用户身 份输入(例如,所问问题的答案)并且分析所述输入(例如,把它们与所发现的模糊数据相 比较)以便确定这人实际上是否是他/她所声称的那样。除此之外或作为选择,工作站28 可以利用请求新用户经由用户接口设备32(例如,扫描器)输入一定的用户识别证明来经 由用户接口设备32向所述新用户询问,所述用户识别证明诸如州发出的驾照、护照、公用 票证等。通过向工作站28提供用户授权软件38,可以在没有人介入或帮助的情况下(或在 只有最小化人介入或帮助的情况下)进行新用户鉴别过程并使其自动化。当使用没有用户授权软件38的建立工作站28时,可以借助在本领域中已知的传 统方法来进行用户授权过程。这样的常规方法包括手动(即,由人)检查从新用户接收的 用户识别证明。这样的用户识别证明可以是由政府或其它权限发出的文档,包括驾照、社会 保险卡、护照或就业执照。或者在其中生物测定标识符已经为政府或其它权限所掌握的实 例中这样的用户识别证明可以是所述生物测定标识符。在完成新用户授权过程时,如果新用户未被鉴别,那么在步骤506,方法500结束并且不生成令牌。如果新用户已经被鉴别,那么在步骤508,工作站28经由用户接口设备32 向现在授权的用户询问以输入至少一个生物测定标识符并且经由生物测定接口设备20接 收所述生物测定标识符。生物测定接口设备20生成生物测定标识符的唯一数字模板。优 选地,生物测定标识符数字模板只被临时存储(或者根本未被存储)在工作站28上,以便 避免保密问题。如上所述,生物测定标识符可以是指纹、手纹、虹膜印迹/扫描、语音印迹、 DNA采样和/或其组合,和/或为该人独有的任何其它固有物理或行为的人类特性。接下来,在步骤510,工作站28接收将在令牌12中被保护的数据。例如,工作站28 可以被配置为经由用户接口设备32向用户询问并且经由用户接口设备从用户接收数据。 除此之外或作为选择,在步骤502,工作站28可以访问在令牌请求中从用户接收的识别数 据(其中一些或全部识别数据是要保护的数据)。如上所述,所述数据可以是与特定应用有 关的任何类型的数据,包括用户特定的信息、应用特定的信息或其它信息。应当注意,不必 依照所描述的序列执行授权步骤504、生物测定标识符输入步骤508和数据输入步骤510。在步骤512,工作站28经由用户接口设备32向用户询问以确认所述数据是准确 的。例如,可以向用户显示由工作站28接收的数据列表,使得用户有机会纠正任何打字错 误,完成任何不完整的数据字段等。如果数据不是完整且正确的,那么方法500返回到步骤 508并且工作站28经由用户接口设备32从用户接收纠正的信息。如果信息是正确且完整的,那么在步骤514创建令牌16。下面相对于图6提供了 令牌创建步骤514的细节。最后,工作站28经由令牌接口设备34向证书12传送令牌16, 并且所述方法500完成。结果是证书12具有包含数据的令牌12,所述数据只能被呈现授权 用户的令牌和生物测定标识符的解码器14访问。图6示出了令牌创建步骤514的细节。方法514开始于步骤602,通过把每个数据 片或集存储在对应于该类数据的数据舱24中。如上所述,每个数据舱24可以存储单个数 据片或数据集(例如,用户金融或医疗数据),所述数据片或数据集被有选择地分组在一起 以供在特定的应用中使用。在步骤604,工作站28使用加密软件36来根据数据舱的预定权限密钥26加密数 据舱24之一。如上所述,每个权限密钥26对应于一个权级,并且在一些应用中可以存在众 多不同的权级。例如,一个权级(及其相应的权限密钥26)可以用于访问预定的金融数据 舱24(例如,存储信用卡帐户数据)并且另一权级(及其相应的权限密钥)可以用于访问 预定的病史数据舱。作为另一例子,第一权级(及其相应的权限密钥26)可以用于打开预 定的第一安全查核(security clearance)数据舱24 (例如,存储随机数据),打开数据舱表 明已经授权用户进入第一安全区域。并且第二权级(及其相应的权限密钥)可以用于打开 预定的第二安全查核数据舱(例如,存储随机数据),打开数据舱表明已经授权用户进入第 二安全区域。如果存在要加密的更多数据舱24,那么在步骤606,所述方法514返回并且重复数 据舱加密步骤604。一旦所有数据舱24已经根据它们相应的权限密钥26被各个加密了,方 法514就进行到步骤608。在步骤608,工作站28使用转换软件22把来自步骤508的生物测定标识符数字模 板转换为生物测定密钥。并且在步骤610,工作站28使用加密软件36来根据生物测定密钥 共同地加密所有数据舱24,由此创建令牌12。
在刚刚描述的示例令牌创建方法514中,输入的数据最初(并且优选只是临时) 被存储在建立工作站28的数据存储设备的数据舱24中。在数据舱24已经被各个地以及 共同地加密以创建令牌16之后,所述令牌被加载到证书12上。在候选方法中,输入的数据 最初被传输并存储到证书12的存储设备18的数据舱24中。然后数据舱24被各个地加密 并保存在证书12上的未加密数据舱中。以及继而加密的数据舱24被共同地加密以创建令 牌16,所述令牌16然后被保存在证书12上被各个地加密的数据舱24上。在候选令牌创建方法中,其中只存在要保护的单个数据片或集,不使用任何数据 舱或权限密钥。特别是,在步骤602,数据并未被存储在数据舱24中,消除了步骤604和 606,这是因为不存在数据舱,并且在步骤610,根据生物测定密钥来加密数据。此候选方法 适合于在想要不那么安全、更为公共的令牌12的应用中使用,这是因为不需要权限密钥来 访问数据。即便利用此候选方法,所创建的令牌16是完全自主的,这允许在不连接到中央 服务器或数据库的情况下进行用户鉴别和数据传输。另一候选方法包括步骤接收第二生物测定标识符,把第二生物测定标识符转换为 第二生物测定密钥,以及使用第二生物测定密钥来另外加密令牌12。例如,第二生物测定密 钥和第一权限密钥26可以用来顺序地加密第一数据舱24,第二生物测定密钥和第二权限 密钥用来顺序地加密第二数据舱,以及然后第一生物测定密钥用来加密这两个数据舱以形 成令牌16。此候选方法适合于在想要更安全且更私密的令牌12的应用中使用,这是因为需 要两个(或多个)(相同或不同类型的)生物测定标识符来访问数据。返回参照图1,现在将详细描述解码器14。解码器14包括至少一个生物测定输 入设备40、至少一个用户接口设备42、至少一个令牌接口设备44和编程的处理器系统46。 在典型的商业实施例中,解码器14包括随机存取存储器(random access memory, RAM)数 据存储设备和/或在基于处理器的设备中通常使用的其它组件,为了清楚起见并未示出所 述组件。(一个或多个)生物测定输入设备40、(一个或多个)用户接口设备40和(一个 或多个)令牌接口设备44可以作为外围设备提供,所述外围设备在工作中(例如无线或有 线)连接到解码器14或者它们可以是解码器的集成组件。生物测定输入设备40可以具有与建立工作站28的生物测定输入设备20相同或 类似的类型。从而,生物测定输入设备40可以是指纹或手纹扫描器、虹膜扫描器、面部特 征扫描器、音频语音记录器、DNA采样设备或其它常规的设备(例如,照相机、声纳或红外设 备),以用于收集生物测定标识符的数字模板,如上所述。对于解码器14将用于根据一个类 型以上的生物测定标识符对所加密的令牌16进行解密的应用来说,解码器可以具有一个 类型以上的生物测定输入设备40,例如指纹扫描器和虹膜扫描器。在一些这类应用中,根 据一个生物测定标识符加密一个令牌16并且根据不同的生物测定标识符加密另一令牌, 以及配置并编程解码器14使得用户可以选择(例如,从在用户接口显示设备42上显示的 菜单)适当的生物测定输入设备40来输入特定的生物测定标识符以用于解密。以及在其 它这类应用中,根据两个不同的生物测定标识符加密一个令牌16,并且配置并编程解码器 14以便首先根据来自一个生物测定输入设备40的一个生物测定标识符解密所述令牌并且 然后根据来自另一生物测定输入设备40的另一生物测定标识符对解密一次的令牌予以解 密。应当理解,例如,可以配置并编程解码器14以便在上面相对于令牌建立工作站28描述 的三个模式中的任何一个来解密令牌16和数据舱24,所述令牌16和数据舱24已经被利用两个或多个生物测定密钥加密了。用户接口设备42 —般由一个或多个输入设备和一个或多个输出设备提供。输 入设备例如可以是触摸屏、笔迹输入屏、小键盘、键盘、数据输入按钮、指示设备(例如,鼠 标)、磁带扫描器和/或光扫描器。并且输出设备例如可以是触摸屏、显示屏、扬声器和/或 指示灯。例如在图2和3所描绘的实施例中,解码器14包括作为用户输入设备的数据输入 按钮和作为用户输出设备的IXD或LED显示屏。为解码器14所选择的令牌接口设备44是基于在特定应用中所使用的令牌存储设 备18和证书12的类型的。典型地,还选择令牌接口设备44以便对应于建立工作站28的 令牌接口设备34。从而,对于由航空登机牌或一些塑料卡(钥匙扣大小的卡等)所提供的 证书12来说,在其中存储介质18是可光扫描的介质,诸如印刷条形码,令牌接口设备44可 以由光扫描器提供以用于读取条形码或其它可光扫描的介质。对于由一些其它塑料卡(皮 夹大小的卡等)所提供的证书12来说,在其中存储设备18是可磁扫描的介质,诸如磁带, 令牌接口设备44可以由磁读取器提供以便读取磁带或其它可磁扫描的介质(即,通过“刷” 卡)。对于诸如移动电话和PDA之类的便携式电子通信设备所提供的证书12来说,在其 中存储设备18是处理器可读存储器设备,其被连线到承载证书的无线通信组件(例如,天 线、接收器/收发器和控制器),令牌接口设备44可以包括用于从证书无线接收令牌16的 无线通信组件,诸如天线、接收器和控制器。类似地,对于由诸如电子钥匙扣和处理器智能 卡(aka无接触芯片卡)之类的便携式电子设备所提供的证书12来说,在其中存储设备18 是处理器可读的存储器设备,其被连线到承载证书的无线通信组件(例如,RFID组件),所 述令牌接口设备44可以包括用于从所述证书无线接收令牌16的无线通信组件,诸如天线、 接收器和控制器。以及对于由诸如USB拇指驱动器、记忆棒和存储器智能卡(aka接触型芯 片卡)之类的便携式只存设备所提供的证书12来说,在其中存储设备18是处理器可读的 存储器设备,其被连线到证书的连接器,所述令牌接口设备44可以由连接器提供,所述连 接器与证书连接器联系并相配以便从所述证书电子接收令牌16。在解码器14具有用于与无线证书12通信的无线通信组件的应用中,可以利用诸 如BLUETOOTH、ZIGBEE、WI-FI、近场通信(NFC)、TCIP或另一无线通信技术之类的通信协议 来建立解码器。并且在解码器14用于打开一个以上类型的证书12的应用中,所述解码器 可以配有一个以上类型的令牌接口设备44,例如用于读取在塑料卡证书上的条形码的光扫 描器和用于从移动电话证书无线接收令牌的通信组件。编程的处理器系统46存储和/或另外可以访问软件元素,所述软件元素包括转换 软件50、权限密钥26和解密软件48。尽管为了清楚并未各个地示出,不过编程处理器系统 46包括一个或多个处理器、存储器和/或其它逻辑,它们一起定义了解码器14的总体处理 能力。本领域技术人员应当理解,为了说明目的,软件元素以概念方式示出并且可以不同时 或全部存在于存储器中。相反,依照已知计算机的操作方式,可以从数据存储设备(例如板 载RAM芯片、固定介质本地驱动器、可拆卸的介质本地驱动器和/或网络连接的远程计算机 或存储设备)按需获取软件元素或其一部分。另外,软件元素的功能可以被分布在大量软 件元素上或者组合/压缩到较少的元素中。可以包括在诸如操作系统、图形用户界面、公用 程序、接口设备驱动程序等之类的计算系统中普遍包括的附加软件元素,但是为了清楚而并未示出这些元素。考虑到这里的描述,本领域技术人员将能够容易地提供适合的软件并 且另外编程或配置解码器14以便执行下述令牌打开方法。转换软件50把来自生物测定输入设备40的生物测定标识符数字模板转换为生物 测定密钥,如上所述。转换软件50可以具有与建立工作站28的转换软件22相同或类似的 类型。从而,转换软件22可以是可买到的版本(例如,来自California的Mountain View 的GENKEY的指纹转换软件)或可买到的软件的修改版本。在解码器14上所存储的权限密钥26只包括对应于被分配给该特定解码器的权级 的那些权限密钥。权级26均与不同的预定数据舱24(或数据舱集)相关联,用于存储在不 同应用中一定解码器的用户所需要的数据,并且它们实际上不必是分级的。从而,每个解码 器14具有至少一个权限密钥26,所述解码器14向呈现给它的令牌12应用所述权限密钥 26,以打开用于存储该特定解码器的用户所需要的数据的数据舱24。在一些应用中,解码器14存储一个以上权限密钥26。例如,两个解码器14可以均 存储第一权限密钥26,用于允许每个解码器访问两个令牌16的第一特定的数据舱24(例 如,每个第一数据舱存储相应的用户名字之一)。并且那两个解码器可以另外具有一些不同 的权限密钥26。因此解码器中的第一解码器还可以存储第二权限密钥26,其允许它访问第 二数据舱(例如,存储信用卡信息)并且解码器中的第二解码器可以没有该权限密钥。但 是第二解码器14还可以存储第三权限密钥26,其允许它访问第三数据舱(例如,存储医学 信息)并且第一解码器可以没有该权限密钥。另外,对于令牌16只包括单个数据片或集并且未设置权级的一些应用来说,并不 利用专用的数据舱24设置令牌16。作为替代,根据生物测定密钥加密单个数据片或集以便 在不先根据权限密钥加密数据或数据集的情况下形成令牌16。在这样的应用中,解码器14 不必存储或访问任何权限密钥26。在一些其它应用中,一个解码器14可以用于多个目的。例如,医疗机构可能需要 访问病人的医疗记录以便提供一定的医疗服务并且还访问病人的信用卡帐户信息以便取 走所发生的医疗服务的费用。对于这样的应用来说,解码器14被提供有多个权限密钥或密 钥集26并且显示(例如,经由用户接口显示设备)用于选择要访问的数据的菜单。然后解 码器14只取得对应于所选数据的权限密钥或密钥集26并且把它施加到相应的(一个或多 个)数据舱以便访问所选择的数据。解密软件48使用密码算法来根据所选择的授权用户的生物测定密钥共同地加密 所有数据舱24 ( S卩,整个令牌16)并且各个地解密每个数据舱,对于所述数据舱来说解码 器具有相应的权限密钥。解密软件48可以具有与建立工作站28的加密软件36相同或类 似的类型。从而,加密软件36可以由密码软件提供,所述密码软件使用诸如高级加密标准 (AES)、SHARK、TffOFISH, BLOffFISH或另一公用域或专有加密算法之类的密码算法。可从包 括 RSA 安全公司(Bedford,Massachusetts)和 PGP 公司(Menlo Park, California)的许多 销售商处买到适合的密码软件。在候选实施例中,解密软件48以及加密软件50具有两个 不同的密码算法,一个用于各个地加密数据舱24并且另一个用于共同地加密所有数据舱 以便形成令牌16。在其它候选实施例中,解密软件48和加密软件50均具有用于保护并打 开一些或全部数据舱24的多个密码算法。在所描绘的实施例中,在没有正确的解码器权限密钥26和正确的用户生物测定密钥这二者的情况下无法打开数据舱24。因此不管怎样,非法侵入例如警察解码器的解码 器14并不会暴露任何数据。因为解码器14只可以访问一个密钥(权限密钥),所以所述解 码器没有独立打开任何数据舱24的能力。解码器14可以只应用唯一的生物测定密钥(它 根据输入到其中的生物测定标识符生成的)和它掌握的权限密钥26来打开数据舱24并且 访问其中所存储的数据。这与常规的智能卡读取器(例如,用于信用卡交易的)不同,在执 行鉴别之前并且作为用于执行鉴别的要求,不管数据被存储在解码器所读取的令牌上还是 它所访问的数据库中,其具有用于访问受保护的数据的能力,并且这向黑客呈现了偷窃数 据的机会。另外,黑客无法把“假象(false front) ”放在解码器14上以便捕获用户的输入的 生物测定标识符以及然后把它转换为生物测定密钥。这是因为黑客往往没有适当的转换软 件来把生物测定标识符转换为生物测定密钥,并且黑客往往没有适当的解密软件来应用密 钥。从而,只是窃取权限密钥26或生物测定标识符或它们两个不足以打开令牌16或任何 数据舱24。在候选实施例中,通过要求生物测定标识符被解码器接收以便访问它需要用来解 密令牌16的解密软件来进一步保护解码器14免于被非法侵入。如上所述,令牌建立工作 站28利用使用密码算法的加密软件48和利用它根据从用户所接收的生物测定标识符生成 的生物测定密钥来唯一地加密每个令牌16。以及解码器14利用使用相同密码算法的解密 软件50来解密令牌16。然而在此候选实施例中,在解码器14上所存储的解密软件50只有 在解码器接收用户的预定生物测定标识符时才可访问。可以配置解码器14使得在输入用 于打开令牌16的相同生物测定标识符时访问解密软件50或者使得所述解密软件50只在 输入不同的生物测定标识符时才可被访问。对于输入不同类型的生物测定标识符的实施例 来说,解码器14可以包括两种不同类型的生物测定输入设备40 (每种生物测定标识符类型 一个)。如果所要求的生物测定标识符都是用户具有多个(例如,十个指纹,左右手纹,左右 虹膜印迹等)的类型,那么可以使用相同的生物测定输入设备40来输入它们全部。依照这 种方式,解码器14使用一个输入的生物测定标识符来访问打开令牌16所需要的解密软件。 然后解码器14使用相同或另外输入的生物测定标识符来生成生物测定密钥以应用解密软 件。因为没有什么能被非法侵入,所以这提供了极度的安全等级。在示例实施例中,生物测 定标识符可以被转换为唯一的可重复的数字,并继而被用为“种子”以确定在加密过程中所 使用的实际算法。在另一示例实施例中,解码器可以具有存储在其中的多个加密算法,并且 可以用唯一的可重复的数字来转换生物测定标识符以便选择使用哪个算法。例如,可以通 过确定数字是偶数还是奇数以选择使用哪个算法来使用生物测定密钥。或者可以通过把它 乘以另一个数或把它插入到公式中,计算结果并且根据用于确定用来加密令牌的算法的结 果来使用生物测定密钥。在另一候选实施例中,包括转换和解密软件以及操作系统和处理软件的所有软件 被组合到单个芯片中,用于进一步防止对解码器的非法侵入。换句话说,代替驻留在盘上的 一些或全部软件元素,所述软件元素都驻留在该解码器中的单芯片上,其中所述盘可能被 非法侵入或监视以便得知该软件怎样工作。依照这种方式,软件的处理、生物测定密钥的处 理、令牌的处理等都出现在单芯片上,而外界没有机会监视正发生什么。因此黑客不能只 “看”该过程来得知它怎样工作——在单芯片上没看到什么,这是因为只有芯片的数据输入和数据输出。以及在又一候选实施例中,利用两个生物测定密钥来对安全性予以分层,一个用 于加密/解密令牌并且另一个(连同权限密钥)用于加密/解密数据舱。通过使用两个不 同的密码算法,可以使用相同的生物测定标识符(和相同的生物测定输入设备)来生成两 个唯一的生物测定密钥以便保护令牌和数据舱。应当理解,本发明预计并且旨在包括借助 其它类似的方法对安全性予以分层以便使系统更加安全的其它实施例。在所描绘的实施例中,利用只用于本地打开令牌16的组件来构建和配置解码器 14。在候选实施例中,利用用于本地打开令牌16并且还用于最初设置令牌和/或更新令牌 的组件来构建并配置解码器。在解码器还最初设置令牌16的候选实施例中,解码器加密令 牌并且把它们加载到证书12上。以及在解码器还更新令牌16的候选实施例中,解码器更 新数据,重新加密令牌并且把它们加载回到证书12上。这样的候选解码器可以包括加密软 件(不只是解密软件)、作为令牌接口设备的组件的发送器或收发器(代替只是接收器)、 作为令牌接口设备的打印机(代替只是扫描器)等。在又一候选实施例中,解码器14包括用于连接到诸如因特网之类的网络的网络 接口设备(未示出)。网络接口设备可以是解码器14的集成组件或者它可以是在工作中 (无线或有线)连接到解码器的单独组件。网络接口设备允许解码器14与其它设备通信, 诸如本地或远程POS设备、例如包括门或大门的外围访问控制设备、远程服务器等。已经描述了解码器14的示例实施例,现在将描述使用解码器来打开令牌16的方 法。一般说来,令牌打开方法包括从用户接收令牌16和生物测定标识符。然后解码器14 把用户的生物测定标识符转换为生物测定密钥并且应用所述生物测定密钥来解密以及由 此打开唯一加密的令牌16。应当理解,可以使用所描述的解码器14、使用工作站28或使用 其它类似设备来执行令牌打开方法,所述工作站28适于包括用于打开令牌的程序编制和 所需要的组件,所述其它类似设备具有用于执行所述步骤的类似组件。为方便起见,将结合 对图1的解码器14的使用和程序编制以打开令牌16进行描述来描述令牌打开方法。图7示出了本发明的示例本地令牌打开方法700。方法700开始于步骤702,解码 器14接收来自用户的令牌16。令牌16被存储在证书12的存储设备18上并且经由令牌接 口设备44接收。在图2所示出的实施例中,例如PDA证书12向解码器14的无线通信组件 (例如,天线,收发器和控制器)无线发送令牌16。依照这种方式,证书12主动地向解码器 14传送令牌12。在候选实施例中,证书12被动地向解码器14传送令牌12。这样候选实施 例包括那些令牌接口设备44由光扫描器、磁读取器或电连接器或在例如那些使用智能卡 证书12的一些其它无线应用中予以提供。在步骤704,解码器14接收来自用户的生物测定标识符。该生物测定标识符是经 由生物测定接口设备40予以接收的。例如在图2所示出的实施例中,使用指纹扫描器40 来将用户的指纹扫描为数字模板。在由虹膜扫描器、面部特征扫描器、音频语音记录器、DNA 采样设备等提供的生物测定接口设备40的候选实施例中,解码器14类似地从相应的生物 测定接口设备接收相应的生物测定标识符的数字模板。应当注意,不必依照所描述的序列 来执行令牌输入步骤702和生物测定标识符输入/转换步骤704/706。在步骤706,解码器14使用转换软件50来把生物测定标识符数字模板转换为生物 测定密钥。然后在步骤708,解码器14使用解密软件48来向令牌16应用生物测定密钥以试图打开所述令牌。如果在步骤710并未打开令牌16,那么在步骤712,解码器14提供鉴 别已经失败的指示。经由用户接口设备42提供失败指示,例如红色指示灯、蜂鸣声和/或 用于显示消息的屏幕。在这一点上,解码器14已经确定用户、令牌12或它们两个都是不可 信的,并且在不打开令牌的情况下方法700结束。然而如果在步骤710由生物测定密钥打开了令牌16,那么解码器14已经确定用 户是可信的。现在证书12的呈现者已经被鉴别为授权用户,这是因为除授权用户之外没有 人可以呈现用户的生物测定标识符,生物测定密钥是基于所述生物测定标识符的。因为由 解码器14独自根据所接收的令牌和生物测定标识符来进行令牌16解密(以及因此用户鉴 别),所以不需要存储生物测定标识符文件(例如,在中央服务器上或在令牌上),访问它, 并且把它与所输入的生物测定标识符相比较,就像在所有其它已知的生物测定身份鉴别系 统中所做的那样。继续至步骤714,现在打开令牌16,但是各个数据舱24保持未打开且安全地加密 的。在步骤716,解码器14使用解密软件48来应用其权限密钥26之一以试图打开令牌16 的(一个或多个)相应数据舱24。如上所述,给定令牌16可以具有一个数据舱24并且给 定解码器14可以具有用于打开该一个数据舱的一个权限密钥26。或者给定令牌16可以具 有多个数据舱24,并且给定解码器14可以具有用于打开一个、一些或全部数据舱的一个权 限密钥26或者用于打开一些或全部数据舱的多个权限密钥26。例如,图2的解码器14只 有一个权限密钥26,用于只打开令牌16的十二数据舱24之一。以及图3的解码器14具有 用于打开令牌16的所有十二个数据舱24所需要的所有权限密钥26 (或只是一个)。如果在步骤718由该权限密钥26没有打开数据舱24,那么在步骤720解码器14 提供了不正确的证书指示。例如通过红色指示灯和/或显示消息的屏幕经由用户接口设备 42提供不正确的证书指示。在这一点上,已经确定了用户已经呈现了用于该应用的错误证 书12 (即,要访问的所有数据并不在所呈现的令牌16上),因此不打开数据舱24。接下来,在步骤722,如果解码器14具有任何额外的权限密钥26,那么方法700返 回到步骤716。如果解码器14应用了其所有权限密钥26且没有数据舱24被打开,那么在 步骤724解码器14提供不足权限指示。例如通过红色指示灯和/或显示消息的屏幕经由 用户接口设备42提供不足权限指示。在这一点上,已经确定了解码器14没有用以访问任 何数据舱24的权级,并且方法700结束而不打开任何数据舱。然而如果在步骤718打开了针对所应用的权限密钥26的相应数据舱24,那么方法 700继续至步骤726。如果解码器14具有任何额外的权限密钥26,那么方法700返回到步 骤716并且继续直到已经在解码器上应用了所有权限密钥以试图打开所有相应的数据舱 24。一旦可由解码器14打开的所有数据舱24已经被打开,方法700就继续至步骤 728。在那里,解码器14发起适于该特定应用的任何下一动作,以及继而方法700结束。例 如,在仅鉴别的周界访问应用中,解码器14可以在不对所访问的数据进行任何操作的情况 下发送用以打开门、大门或其它周界访问势垒设备的信号。在数字驾照应用中,解码器14 可以经由用户接口设备42(例如,经由显示屏)显示所访问的数据。以及在数字钱包应用 中,解码器14可以与集成的或外部的常规信用卡授权设备通信以便使用来自令牌16的信 用卡数据获得购买授权。在任何应用中,解码器14可以被设置为还例如经由用户接口设备42 (例如,通过显示屏上的绿光或消息)来提供成功的鉴别指示。在候选方法中,在步骤710打开令牌16之后,所述方法直接进行到步骤728以及 继而终止。例如可以在仅鉴别的应用中使用此候选方法,在其中打开令牌16的目的是证明 证书12的呈现者是登记了证书的授权用户,而不是访问令牌的数据。或者可以在其中令牌 16只包括单个数据片或集的应用中使用此候选方法,所述数据片或集只根据生物测定密钥 加密。在任何情况下,在诸如根据权限密钥尚未另外加密数据或数据集的这些应用之类的 应用中,候选方法不包括与打开各个数据舱相关的步骤(步骤714-726)。另外的候选方法适合于与被设置为用于打开令牌16的解码器14使用,为了增加 安全层,根据相同或不同类型的一个以上生物测定标识符加密所述令牌16。例如,为了鉴 别根据相同类型的两个生物测定标识符加密的令牌16,解码器14提示用户把第一预选的 生物测定标识符(例如,右手食指指纹)输入到生物测定输入设备40中。解码器14接收 第一预选的生物测定标识符,使用转换软件50把所述第一生物测定标识符转换为第一生 物测定密钥,并且使用解密软件48解密并由此打开令牌16。解码器14还提示用户把第二 预选的生物测定标识符(例如,左手食指指纹)输入到生物测定输入设备40中。解码器 14接收第二预选的生物测定标识符并且使用转换软件50把第二生物测定标识符转换为第 二生物测定密钥。现在解码器14使用具有其权限密钥26和第二生物测定密钥的解密软件 48来在两部分过程中打开授权的数据舱24。依照这种方式,在利用第一生物测定标识符打 开(以及因此鉴别)令牌16之后,然后授权的数据舱24均通过顺序地应用相应的权限密 钥26 (数据舱打开过程的部分一)和第二生物测定密钥(数据舱打开过程的部分二)来打 开。当然,可以切换(即,通过应用第二生物测定密钥以及然后权限密钥)两部分数据舱打 开过程的序列。另外,可以使用单个生物测定密钥(根据单个生物测定标识符)执行此候 选方法以便解密令牌16和解密(连同权限密钥)数据舱24。在另一例子中,提供了一种用于通过使用具有不同类型的两个(或多个)生物测 定输入设备40的解码器14来鉴别根据不同类型的两个(或多个)生物测定标识符加密的 令牌16的候选方法。所述方法除解码器14提示用户把第一预选的生物测定标识符(例如, 右手食指指纹)输入到第一个生物测定输入设备40中并且把第二预选的生物测定标识符 (例如,虹膜)输入到第二个生物测定输入设备中之外类似于刚刚描述的方法。在那之后, 所述方法在解码器14进行利用其权限密钥26和第二生物测定密钥这二者使用解密软件48 在两部分过程中打开授权的数据舱24这一方面是相同的。应当理解在解码器14具有一个 以上生物测定输入设备40 (相同或不同类型)的应用中,所述方法可以包括顺序地或同时 接收生物测定标识符。在又一候选方法中,在一个步骤中把第一权限密钥与生物测定密钥组合以生成用 于加密/解密数据舱的第二权限密钥。例如,可以依照几种配置中的任何一个把第一权限 密钥和生物测定密钥连接在一起,如本领域普通技术人员知道如何做的那样。依照这种方 式,第一权限密钥或生物测定密钥中的任何损害往往只会损害第二权限密钥的一部分,而 不是全部,因此仍然无法打开相应的数据舱。已经描述了鉴别系统10、其组件和使用所述系统及其组件的方法,现在将描述几 个示例应用。如上所述,这些都是用户在物理上存在于与一个解码器相同的位置并且由该 解码器“本地”进行身份鉴别的“物理在场”应用。在这些应用中,所述数据可以只借助一个或多个生物测定密钥予以保护,或者所述数据可以被存储在由一个或多个权限密钥各个 地保护的数据舱中,以及然后所述数据舱由一个或者一个或多个生物测定密钥共同地予以 保护。例子1 数字钱包应用在典型的商业实施例中,数字钱包证书采用移动电话的形式,不过它们可以采用 智能卡或其它对象的形式。移动电话证书存储令牌,所述令牌包括用于信用卡及其它银行 信用卡(检验卡、借记卡、ATM卡等)的帐户信息。如果想要的话,所述令牌可以包括通常由 用户在常规的皮夹中携带的附加信息,诸如关于驾照、雇员通行证或徽章、保险卡、煤气或 零售卡、常见飞行卡、零售亲情卡和/或电影租借卡的数据以及家庭和朋友的照片的数据。 同样地,这一般是“受保护的数据,,应用,在其中令牌包括用于以较高安全度存储金融数据 的一个或多个数据舱。在使用中,在解码器访问受保护的数据之后,解码器显示(例如,经由显示屏或触 摸屏用户接口设备)用户的银行卡帐户的菜单,所述用户可以从中选择支付方法。一旦用 户选择(例如,经由小键盘或触摸屏用户接口设备)银行卡帐户,就依照与常规的银行卡交 易类似的方法来进行支付交易。解码器可以位于用户的家或办公室中,或者所述解码器可 以位于用户购买商品及服务的零售商和其它地方。例子2 医疗保险卡应用在此应用中,证书向保险公司提供了用于确保要求保险责任范围(insurance coverage)的病人实际上是投保人的保证。在典型的商业实施例中,证书采用具有芯片的智 能卡或具有磁带或条形码的塑料卡的形式,并且令牌保护用户的保险信息。同样地,这一般 是“受保护的数据”应用,在其中令牌包括用于以较高安全度存储保险数据的一个或多个数 据舱。在使用中,用户向他的医生办公室中的解码器呈现保险卡证书和生物测定标识 符。在解码器鉴别令牌和用户并且访问受保护的数据之后,病人的保险信息被传送到医生 的办公室记录。解码器可以被(无线或有线)连接到医生办公室中的局部网络,使得保险 数据被电子传输到医生的办公室记录,或者可以手动进行数据传输。另外,可以建立数字签 名,如果想要的话。此鉴别过程在每个病人拜访期间进行,并且不要求解码器连接到保险公 司的服务器。例子3 医疗执照(medical passport)应用在本应用中,证书帮助在提供医疗服务时减少错误。在典型的商业实施例中,证书 采用具有芯片的智能卡或具有磁带或条形码的塑料卡或者闪速(拇指)驱动器的形式,并 且令牌保护与为用户采取的医疗服务相关的指令。同样地,这一般是“受保护的数据”应用, 在其中令牌包括用于以较高安全度存储医疗指令数据的一个或多个数据舱。当采取医疗服务时,医生使用建立工作站或解码器来发出证书并且把所有处方医 嘱输入到证书的令牌中。每个医嘱通常在令牌的单独的数据舱中予以保护,使得例如实验 室在其解码器上将只有访问该实验室的医生医嘱的权级,并且实验室将不能访问关于令牌 的任何其它信息。例如可以由实验室解码器(如果提供有数据更新组件)或由医生的建立 工作站或解码器,利用实验室结果更新证书。当病人进行实际的过程时,证书跟着他们一起 走,并且病人和证书由手术室(operating room, OR)中的解码器来鉴别。然后OR解码器访问与该过程相关的所有病人信息并且(例如,经由用户接口显示设备)在OR中显示所述信 息使得所述信息不容易被忽视。
例子4 政府发出的标识应用 在此应用中,证书是安全且可鉴别的政府发出的标识。这样的标识可以包括驾照、 护照、维萨卡、绿卡、社会保险/权利卡、福利分发卡及其它政府发出的标识。这些政府发出 的证书由诸如机动车辆的州部门或联邦政府的社会保障管理之类的政府机构发出,并且这 些机构具有用于发出所述证书的建立工作站。在典型的商业实施例中,证书采用具有芯片 的智能卡或具有磁带的塑料卡的形式,并且令牌保护一般关于这些标识的数据。同样地,这 些一般是“受保护的数据”应用,在其中令牌包括用于以较高安全度存储标识数据的一个或 多个数据舱。例子5 周界访问应用典型的周界访问应用是用于保护到建筑物和停车库(例如,政府,军队,工厂)、基 地(例如,军事设施)、其它机构(例如,净水厂、核电站)和在这些任何中的受保护区域/ 地区(例如生物实验室,计算机机房)中的进入。在这些应用中,证书一般采用移动电话、 钥匙扣、智能卡或ID徽章的形式,其被发给受保护的区域的雇员、访客、订约人或居民。同 样地,这一般是“仅鉴别”应用,在其中打开令牌的动作鉴别用户并且在所述令牌中所保护 的数据并未进一步用于任何方面。因此令牌中的数据可以是随机的并且也不必在数据舱中 予以保护。为了增加安全性和/或存储用户识别数据(例如,用户名),还可以在一个或多 个数据舱中保护该数据。在使用中,在解码器打开令牌之后,所述解码器提供了 “用户鉴别的”指示(例如, 经由点亮的指示灯或在用户接口设备的显示屏上的消息)。在这一点上,安全人员可以手 动地允许用户进入受保护的区域。在一些应用中,解码器与阻碍(barrier)设备的致动器 (例如,无线或有线)通信以便打开门、大门或其它阻碍对象,由此自动地允许用户进入受 保护的区域。另外,在一些应用中,受保护的数据(在令牌的数据舱中或在没有数据舱的令 牌中)对应于用户的某个安全级别。因此可以在具有不同安全级别(例如,低,中,高,绝 密)的多个受保护区域的机构中使用该系统,并且解码器可以鉴别用户但是仍然拒绝用户 访问某个受保护区域,如果所要求的安全查核级别并未存储在令牌上的话。依照这种方式, 系统可以用来鉴别用户并且还用来(利用所需要的安全查核)确定授权经鉴别的用户进入 受保护的区域。例子6 航空运输业(air Transport Industry, ATI)工人应用此申请提供了被发给航空运输业内的雇员和订约人的ID证书。所述证书一般采 用智能卡或ID徽章形式,其被发给飞行员、飞行服务员、行李管理者、终点站核准工人等。 同样地,这一般是“仅鉴别”应用,不过为了增加安全性,可能希望把用户识别数据(例如, 用户名)或安全查核级别数据存储在令牌中或令牌的数据舱中。在此应用中,系统类似于周界访问应用进行工作。然而在此应用中,系统在不连接 到相互站点或集中定位的数据库的情况下跨过多个ATI站点提供与ATI系统(例如雇员访 问系统,乘客访问系统等)的互通。例如,由任何航空公司的建立工作站为任何飞行员所发 出的ID证书将与ATI系统中的任何机场中的解码器一起工作。当撤销信号由被连接到ATI 系统的ATI控制服务器发送到解码器时,ID证书可以被在ATI系统中的任何机场的任何解码器撤消。但是在不需要连接到中央数据库或服务器的情况下用户鉴别(除撤销之外)在 解码器本地地发生。例子7 航空运输业(ATI)乘客应用此应用在ATI内是用于在航空公司乘客旅行时对他们进行鉴别。证书一般采用发 给航空公司乘客的登机牌的形式,诸如常规的纸质登机牌或在移动电话证书上存储的登机 牌令牌,所述纸质登机牌均包括用于存储加密数据的印刷条形码。同样地,这一般是“仅鉴 别”应用,不过为了增加安全性,可能希望把用户识别数据(例如,用户名,飞行信息等)存 储在令牌中或令牌的数据舱中。乘客-用户登记一次(例如,在诸如上述的建立工作站、航空公司的网点服务器、 家用桌上或膝上型计算机等),并且网络连接的ATI服务器(或其它计算机设备)根据用户 所输入的生物测定标识符来生成公共生物测定密钥。然后通过每个单独的航空公司把该公 共生物测定密钥保存在中央ATI数据库中或其它地方,并且稍后访问(例如由航空公司或 ATI的网点服务器)以便生成登机牌令牌。当用户准备接收(例如,在家庭计算机、机场信 息站、移动电话等打印或下载)航空登机牌时,公共生物测定密钥被访问并用于加密数据 以形成登机牌令牌。因此用户接收根据公共生物测定密钥加密的登机牌令牌。应当注意,初始的用户登记几乎可以出现在任何地方,即便是通过普通邮件手动 进行等。然而,如果不在ATI网络连接的计算机(例如,建立工作站,信息站等),那么无法 输入生物测定标识符(至少不是在绝对安全的情况下)以创建公共生物测定密钥。从而, 由于安全原因,可以只在ATI网络连接的计算机由用户输入用于创建公共生物测定密钥的 生物测定标识符。因此如果初始用户登记是在ATI网络连接的计算机进行的,那么用户输 入生物测定标识符。但是如果初始登记不是在ATI网络连接的计算机进行的(例如,借助 邮件经由家庭或膝上型计算机从航空公司的网点服务器等),那么用户必须在ATI网络连 接的计算机第一时间接收(例如,打印,下载等)登机牌令牌。现在ATI系统具有生物测定 标识符以供将来使用,因此用户可以从ATI网络连接的计算机之外的地方(例如,经由家庭 桌上或膝上型计算机等从航空公司的网点服务器)接收将来的登机牌令牌。当用户向解码器呈现(在纸质登机牌、蜂窝电话等上的)登机牌令牌和适当的生 物测定标识符时,在机场进行鉴别。只有私有生物测定密钥可以打开登机牌令牌,所述私有 生物测定密钥由在机场的解码器根据生物测定标识符生成。依照这种方式,除用户(具有 用于生成私有生物测定密钥所需要的生物测定标识符的唯一人)之外没有人能够使用该 登机牌令牌。据此,机场中的解码器可以用来在乘客/用户通过机场时准确地鉴别所有乘 客/用户,因此它们以比常规系统少得多的乘客迟滞并且以少得多的成本提供了更加安全 的机场。另外,在登机牌证书上的令牌可以存储金融支付信息(例如,银行卡账户数据)。 手里拿满行李的乘客没有空闲的手掏出皮夹,但是他们一般把登机牌拿在手里。因此他们 可以通过呈现登机牌证书和生物测定标识符来在场所上进行购买(例如,食物,杂志等), 其中他们仍然具有可访问的所述登机牌证书和生物测定标识符这二者。例子8 航空运输业(ATI)行李应用此应用保证当行李被机场中的乘客拿起并拿出行李区域时,所述行李确实属于该 乘客。在此应用中,ID证书一般采用具有芯片的智能卡或具有条形码的塑料或纸质标签的形式。这一般是“仅鉴别”应用,不过为了增加安全性,可能希望把用户识别数据(例如,用 户名)存储在令牌中或令牌的数据舱中。当乘客-用户在机场办理登机手续设备(例如,在候机室内的主要办理登机手续 柜台或者在候机室外的路边办理登机手续柜台的网络连接计算机)办理航班的登机手续 时,(例如,在任何办理登机手续位置)利用在其上印制的令牌来生成行李标签证书,并且 把行李标签证书贴到托运的行李上。当乘客在航班之后取回行李并且走到行李区域出口 时,解码器扫描在行李标签证书上的令牌并且乘客向解码器呈现生物测定标识符。如果解 码器表明已经进行了鉴别,那么行李属于该乘客。现在转向图8,示出了依照本发明第二示例实施例的身份鉴别系统110。所述系统 包括至少一个证书112、至少一个解码器114和至少一个远程鉴别服务器152。此实施例的 系统110被设计成在用于远程呈现或虚拟应用中,在其中对用户进行“远程”鉴别,例如以 用于网络访问、网络事务等。由在第一示例系统10中所描述的相同或类似证书来提供证书112。例如,证书112 均包括存储令牌116的至少一个数据存储设备118,其可以包括一个或多个数据舱124,这 些组件中的每一个与上述组件相同或类似。另外,解码器114类似于在第一示例系统10中 所描述的解码器。例如,解码器114均包括(或在工作中连接到)至少一个生物测定输入 设备140、至少一个用户接口设备142、至少一个令牌接口设备144和至少一个编程的处理 器系统146,这些组件中的每一个与上述那些组件相同或类似。在此实施例中,生物测定标识符被转换为生物测定密钥,所述生物测定密钥被应 用来解密令牌116,并且权限密钥126被应用来解密数据舱124,如在上述系统10和方法 700中所做的那样。然而在此实施例中,在远程鉴别服务器152上远程地而不是在解码器 114上本地地把生物测定标识符转换为生物测定密钥并且应用生物测定密钥和权限密钥 126来解密令牌116和数据舱124。据此,解码器114具有网络接口设备154和鉴别服务器152具有网络接口设备 156,由此使得解码器和鉴别服务器能够连接到通信网络158并且彼此通信。网络接口设备 154和156可以分别是解码器114和鉴别服务器152的集成组件,或者他们可以是独立的组 件,这些组件在工作中(无线或有线)连接到所述解码器114和鉴别服务器152。通信网络 158可以是全球通信网(例如,因特网)、局域网(LAN)、蜂窝式网络等。另外,解码器114包括用于编程的处理器146的加密软件150 (而上述解码器14包 括解密软件48)。以及解码器114没有解密软件、转换软件和/或权限密钥126。(因此解 码器114没有应用生物测定密钥和权限密钥126来解码/解密以及由此打开令牌116和数 据舱126的能力,并且它起到用于远程鉴别服务器152的收集设备的作用。不管怎样,这里 为了一致,使用术语“解码器”来用于此数据收集设备。)作为替代,鉴别服务器152具有编 程的处理器系统160,用于存储和/或访问包括解密软件148、转换软件150和权限密钥126 的软件元素,这些元素中的每一个与上述那些相同或类似。此外,编程的处理器系统160存 储和/或访问在本领域中已知的常规类型的一次性密钥(one-time key,0ΤΚ)生成器162。 例如,OTK生成器162可以是基于用于生成唯一的一次性加密密钥的已知公钥/私钥加密 技术。尽管为了清楚并未各个地示出,不过编程的处理器系统46包括一个或多个处理器、存储器和/或其它逻辑,它们一起定义了鉴别服务器152的总体处理能力。本领域技术 人员应当理解,为了说明目的,软件元素以概念方式示出并且可以不同时或全部驻留在存 储器中。相反,依照已知计算机的操作方式,可以从存储器芯片、固定介质本地驱动器、可拆 卸的介质本地驱动器和/或网络连接的远程计算机或存储设备按需获取软件元素或其一 部分。另外,软件元素的功能可以被分布在大量软件元素上或者组合/压缩到较少的元素 中。可以包括在诸如操作系统、图形用户界面、公用程序、接口设备驱动程序等之类的计算 系统中普遍包括的附加软件元素,但是为了清楚起见并未示出这些元素。考虑到这里的描 述,本领域技术人员能够容易地提供适合的软件并且另外编程或配置鉴别服务器152以便 执行下述远程鉴别方法。另外,接口设备(键盘,鼠标,监视器等)可以被连接到用于维护 功能的服务器152。在此实施例中,解码器114接收生物测定标识符和令牌116,从远程鉴别服务器 152获取0ΤΚ,使用OTK把所述令牌和生物测定标识符加密到包中,并且把所加密的包转发 到鉴别服务器。然后鉴别服务器152使用(服务器首先生成的)OTK以便打开加密的包并 由此访问令牌116和生物测定标识符。在这一点上,鉴别服务器152可以使用转换软件150 来把生物测定标识符转换为生物测定密钥,使用解密软件148向令牌116应用所述生物测 定密钥,并且使用所述解密软件向所述数据舱124应用所述权限密钥126,这些与解码器14 在上述本地鉴别系统10中所做的相同。在候选实施例中,解码器还包括解密软件、转换软件和权限密钥的拷贝。在此实施 例中,解码器可以用于本地鉴别(如在第一示例实施例的解码器中)并且它还可以用于远 程鉴别(如在第二示例实施例的解码器中那样)。已经描述了在远程鉴别系统110中所使用的解码器114和鉴别服务器152的示例 实施例,现在将描述使用解码器和鉴别服务器来打开令牌116的方法。应当理解,可以结合 刚刚描述的解码器114或第一实施例的解码器14使用鉴别服务器152来执行远程令牌打 开方法,其适于包括此方法所需要的组件和程序编制。或者可以使用其它类似设备来执行 远程令牌打开方法,所述类似设备具有用于执行所述步骤的类似组件。为方便起见,将结合 对图8的解码器114和鉴别服务器152的使用和程序编制打开令牌116进行描述来描述远 程令牌打开方法。图9示出了使用图8的解码器114的示例远程令牌打开方法900。远程令牌打开 方法900开始于步骤902,解码器114从用户接收令牌116和生物测定标识符。此步骤与在 先前描述的本地鉴别方法700中被共同地标为902的步骤相同,并且为了简便起见这里并
不重复该细节。然后在步骤904,解码器114从鉴别服务器152获取0ΤΚ。解码器114通过经由其 网络接口设备154向鉴别服务器152发送对OTK的请求并继而经由其网络接口设备从鉴别 服务器接收OTK来进行这点。接下来,在步骤9046,解码器114使用加密软件150来把令牌 116和生物测定标识符加密到包中。以及继而在步骤908,解码器114向鉴别服务器152发 送加密的包以便由所述鉴别服务器远程打开令牌116。图10示出了使用图8的鉴别服务器152的示例远程令牌打开方法1000。远程令 牌打开方法1000开始于步骤1002,鉴别服务器152从解码器114接收对OTK的请求。鉴别 服务器152经由其网络接口设备156接收OTK请求。然后在步骤1002,鉴别服务器152使用OTK生成器162来生成唯一的OTK并且使用其网络接口设备156向解码器114发送所述 OTK0另外,鉴别服务器152至少临时地把OTK存储在存储器中。接下来,在步骤1006,鉴别服务器152从解码器114接收加密的包。加密的包由鉴 别服务器152经由其网络接口设备156接收。然后在步骤1008,鉴别服务器152使用解密 软件148来应用OTK以打开加密的包。利用所打开的加密包,鉴别服务器152现在可以访 问令牌116和生物测定标识符。远程令牌打开方法1000在步骤1010结束,鉴别服务器152像本地解码器那样处 理令牌116。从而,鉴别服务器152使用转换软件150来把生物测定标识符转换为生物测定 密钥,使用解密软件148来应用生物测定密钥以打开令牌116,使用所述解密软件来应用权 限密钥126以打开数据舱124,并且针对现在鉴别的用户进行下一动作。此步骤与在先前描 述的本地鉴别方法700中被共同地标为1010的步骤相同,并且为了简便起见这里并不重复 该细节。在一些应用中,下一动作是鉴别服务器152经由其网络接口设备156把来自令牌 116的数据发送到另一网络连接的服务器以便进一步处理。例如,在证书116是具有存储信 用卡信息的令牌116的数字钱包的应用中,鉴别服务器152可以向信用卡公司的交易服务 器直接发送信用卡信息以用于最终处理。依照这种方式,现在未受保护的信用卡数据不会 被送回到本地解码器114。这允许远程鉴别,又保持严密控制以保护系统(以及因此保护用 户和数据)免受损害。刚刚描述的远程鉴别系统110和方法900和1000是本发明的例子。于是应当理 解,远程鉴别系统110和方法900和1000例如可以适于包括针对本地鉴别系统10和方法 700的对这里所描述的候选实施例和方法的改体,以及那些本领域普通技术人员易于认识 的其它变体。已经描述了鉴别系统110、其组件和使用所述系统及其组件的方法,现在将描述几 个示例应用。如上所述,这些是从解码器对用户予以“远程”鉴别的所有远程呈现或虚拟应 用。在这些应用中,所述数据可以只由一个或多个生物测定密钥保护,或者所述数据可以被 存储在各个地由一个或多个权限密钥保护的数据舱中,以及然后所述数据舱借助一个或者 一个或多个生物测定密钥共同地予以保护。例子9 游戏应用此应用提供了在线和移动游戏(即,赌博)。特别是,此应用为游戏公司提供了用 于知道在另一端下注的用户是谁,哪个对游戏业、公共场所(从未成年和非法游戏看来)和 税务局来说很重要的方式。在典型的商业实施例中,游戏证书采用移动电话、膝上型计算 机、PDA或其它便携式电子设备的形式,不过可以借助智能卡或其它塑料卡来提供所述证 书。游戏证书存储令牌,所述令牌包括用户帐户和支付信息(例如,银行卡数据,支票帐户 数据)。同样地,这一般是“受保护的数据”应用,在其中令牌包括用于以较高安全度存储金 融数据的一个或多个数据舱。在使用中,用户使用移动电话、膝上型计算机、PDA等连接到游戏网点并且把他的 证书的令牌和生物测定标识符输入到解码器(例如,在用户家里)。解码器连接到鉴别服务 器以便执行鉴别。鉴别服务器可以被游戏网点公司或第三方拥有/控制,所述第三方处理 用于所述游戏公司的支付。在证书是可以用于进行游戏的便携式电子设备(例如,移动电
30话,膝上型计算机,PDA)的实施例中,所述证书可以包括令牌并且还包括解码器的组件。依 照这种方式,用户可以在存在网络访问的任何地方进行游戏。另外,可以在游戏公司而不只 是在线游戏网点使用此应用。例子10 网络访向应用此应用通过计算机网络提供用户鉴别。特别是,此应用允许网络管理员确信知道 谁在他们的网络上,并且它允许Web站点管理员确信知道谁正连接到他们的网点。这特别 可用于在线银行、像MYSPACE或FACEB00K之类的成员网点或者任何其它网点,在那里确信 知道谁实际上正连接到该站点是重要的。此应用还可以用于确信确定谁正在诸如成人之 类的网点或不能合法卖给未成年人的其它网点上购买。证书可以采用这里所描述的大部 分形式,并且解码器位于用户所在的位置(例如,在办公室计算机,在家用计算机,在移动 电话)。同样地,这一般是“仅鉴别,,应用,不过为了增加安全性,可能希望把用户识别数据 (例如,用户名)存储在令牌中或令牌的数据舱中。在第三示例实施例中,令牌被存储在诸如PDA、移动电话或膝上型计算机证书之类 的便携式电子设备上并且包括诸如机密企业或用户信息之类的数据。在此实施例中,令牌 根据所存储或可由鉴别服务器访问的第一OTK(代替根据生物测定密钥)予以加密。当用户 想要访问数据时,他们将需要被鉴别。此鉴别不发生在便携式电子设备上,而是发生在鉴别 服务器上。所述设备从用户收集生物测定标识符,从鉴别服务器获得第二 0ΤΚ,根据所述第 二 OTK把令牌和生物测定标识符加密到包中,以及向鉴别服务器发送所加密的包以便其实 施鉴别过程。一旦完成了鉴别过程,鉴别服务器就向所述设备发送第一 OTK以便解密数据 并且发送第三OTK以便重新加密所述数据。然后所述设备使用第一 OTK来解密数据。因为 数据总是被加密,所以只使用第一 OTK —次,并且唯一可以获得第一 OTK的人是授权用户, 所以设备上的数据总是安全的,即便所述设备丢失也是如此。在使用数据之后,或者作为选 择在超时周期之后,第三OTK重新加密数据。应当理解,本发明不限于这里所描述和/或示出的具体设备、方法、条件或参数, 并且这里所使用的术语只是为了举例描述特定的实施例。因而,该术语旨在被广义地解释 并且不意在用于不必要地限制所要求保护的发明。例如,如在包括所附权利要求的说明书 中所使用,单数形式“一”、“一种”和“一个”包括多个,术语“或”意指“和/或”,并且对特 定数值的引用至少包括该特定值,除非上下文另外明确指示。另外,这里所描述的任何方法 并不意在限于所描述的步骤序列,而是可以依照其它序列执行,除非这里另外显式地声明。虽然已经依照示例性形式示出并描述了本发明,不过对那些本领域技术人员来说 清楚的是在不脱离如以下权利要求所定义的本发明精神和范围的情况下可以在其中进行 许多修改、增加和删减。
权利要求
一种用于一个或多个用户的身份鉴别系统,所述系统包括发给用户之一的至少一个证书,其中所述证书包括安全令牌,所述安全令牌包括由加密软件利用密码算法加密并且根据生物测定密钥加密的数据,所述生物测定密钥根据所述用户的生物测定标识符生成;和至少一个解码器,包括令牌接口设备和生物测定输入设备并且可以访问具有所述密码算法的解密软件和转换软件,其中所述生物测定输入设备从所述用户接收所述生物测定标识符,所述转换软件把所述生物测定标识符转换为所述生物测定密钥,所述令牌接口设备从所述用户证书接收令牌,以及所述解密软件向所述令牌应用所述密码算法和所述生物测定密钥以便解密并由此打开所述令牌,其中所述令牌只可在所述用户呈现用于加密所述令牌的生物测定标识符时打开,使得打开所述令牌也就鉴别了所述用户。
2.如权利要求1所述的系统,其中所述令牌包括存储所述数据的至少一个数据舱,其 中所述数据舱由相同或不同的加密软件加密并且根据至少一个权限密钥予以加密。
3.如权利要求2所述的系统,其中所述解码器可以访问至少一个权限密钥,其中在打 开所述令牌之后所述解码器应用所述解密软件和所述至少一个权限密钥以打开所述数据 舱。
4.如权利要求2所述的系统,其中所述令牌加密和所述数据舱加密是基于根据用户的 相同或不同的生物测定标识符所生成的至少两个生物测定密钥的。
5.如权利要求4所述的系统,其中所述解码器根据相同或不同的生物测定标识符生成 至少两个生物测定密钥,其中所述解码器可以访问至少一个权限密钥,其中在利用第一个 生物测定密钥打开所述令牌之后所述解码器应用所述解密软件、至少一个权限密钥和第二 个生物测定密钥来打开所述数据舱。
6.如权利要求1所述的系统,其中所述令牌包括多个数据舱,每个数据舱都能够存储 一个数据片或集以及每个数据舱由相同或不同的加密软件予以加密并且根据多个权限密 钥中的至少一个予以加密,并且其中根据所述生物测定密钥共同地加密用权限密钥加密的 数据舱以形成所述令牌。
7.如权利要求6所述的系统,其中所述解码器可以访问至少一个权限密钥,其中在打 开所述令牌之后所述解码器应用相同或不同的解密软件及其至少一个权限密钥以打开对 应于其至少一个权限密钥的数据舱,并且其中所述解码器无法打开它不可以访问相应权限 密钥的任何一个数据舱。
8.如权利要求1所述的系统,还包括建立工作站,包括至少一个生物测定输入设备、至 少一个令牌接口设备、转换软件和具有密码算法的加密软件,其中所述生物测定输入设备 从所述用户接收所述生物测定标识符,所述转换软件把所述生物测定标识符转换为所述生 物测定密钥,所述加密软件应用所述密码算法和所述生物测定密钥来加密所述数据以形成 所述令牌,以及所述令牌接口设备把所述令牌传输到所述证书。
9.如权利要求8所述的系统,其中所述建立工作站可以访问至少一个权限密钥,根据 所述权限密钥加密数据舱中的至少一部分数据,并继而根据所述生物测定密钥加密所述数 据舱。
10.如权利要求1所述的系统,其中所述证书是数字钱包证书且所述令牌包括银行卡fn息ο
11.如权利要求1所述的系统,其中所述证书是保险卡证书且所述令牌包括保险信息。
12.如权利要求1所述的系统,其中所述证书是医疗执照证书且所述令牌包括医疗服务信息。
13.如权利要求1所述的系统,其中所述证书是政府发出的标识证书且所述令牌包括 用户标识信息。
14.如权利要求1所述的系统,其中所述证书是周界访问证书,且在解码器鉴别了所述 令牌时,允许所述用户进入受保护的周界区域。
15.如权利要求1所述的系统,其中所述证书是ATI工人证书,所述解码器在工作中连 接到ATI系统,并且在解码器鉴别了所述令牌时,允许所述用户进入机场受保护的周界区 域。
16.如权利要求1所述的系统,其中所述证书是ATI乘客证书,所述令牌根据依照用户 的生物测定标识符生成的公共生物测定密钥予以加密并且可由根据用户的生物测定标识 符生成的私有生物测定密钥解密,以及在解码器鉴别了所述令牌时,允许所述用户进入机 场受保护的周界区域。
17.如权利要求1所述的系统,其中所述证书是ATI行李证书,在机场的ATI办理登机 手续设备创建所述令牌,并且所述证书被附连到用户在机场托运的行李。
18.一种用于为用户创建安全证书的建立工作站,包括 至少一个生物测定输入设备;至少一个令牌接口设备;转换软件,可用以把生物测定标识符转换为生物测定密钥;和 具有密码算法的加密软件,其中所述生物测定输入设备从用户接收生物测定标识符,所述转换软件把所述生物测 定标识符转换为生物测定密钥,所述加密软件应用所述密码算法和生物测定密钥来加密数 据以形成令牌,并且所述令牌接口设备把所述令牌传输给所述证书。
19.如权利要求18所述的工作站,其中所述工作站可以访问至少一个权限密钥并且所 述加密软件应用所述密码算法和所述权限密钥来加密数据舱中的至少一部分数据并继而 应用所述密码算法和所述生物测定密钥来加密用权限密钥加密的数据舱。
20.一种为用户创建安全证书的方法,包括 从所述用户接收生物测定标识符;把所述生物测定标识符转换为生物测定密钥; 根据所述生物测定密钥加密数据以形成令牌;和 把所述令牌传输给所述证书。
21.如权利要求20所述的方法,还包括 访问至少一个权限密钥;和在根据所述生物测定密钥加密所述数据之前根据所述权限密钥加密数据舱中的至少 一部分数据。
22.一种用于打开用户的证书的安全令牌的解码器,包括 令牌接口设备;生物测定输入设备;具有密码算法的解密软件;和转换软件,可用以把生物测定标识符转换为生物测定密钥, 其中所述生物测定输入设备从所述用户接收生物测定标识符,所述转换软件把所述生 物测定标识符转换为生物测定密钥,所述令牌接口设备从所述用户证书接收所述令牌,以 及所述解密软件向所述令牌应用所述密码算法和所述生物测定密钥以解密并由此打开所 述令牌,其中所述令牌只可在用户呈现用于加密所述令牌的生物测定标识符时打开,使得 打开令牌也就鉴别了所述用户。
23.如权利要求22所述的解码器,其中所述令牌包括存储数据的至少一个数据舱,所 述数据舱由相同或不同的加密软件予以加密并且根据至少一个权限密钥予以加密,以及所 述解码器可以访问至少一个权限密钥,其中在打开所述令牌之后所述解码器应用所述解密 软件和至少一个权限密钥来打开所述数据舱。
24.如权利要求23所述的解码器,其中所述令牌加密和所述数据舱加密是基于依照用 户的相同或不同生物测定标识符所生成的至少两个生物测定密钥的,并且所述解码器根据 相同或不同的生物测定标识符生成至少两个生物测定密钥,其中所述解码 器可以访问至少 一个权限密钥,其中在利用第一个生物测定密钥打开令牌之后,所述解码器应用所述解密 软件、至少一个权限密钥和第二个生物测定密钥来打开所述数据舱。
25.如权利要求22所述的解码器,其中所述令牌包括多个数据舱,每个数据舱能够存 储一个数据片或集以及每个数据舱由相同或不同的加密软件予以加密并且根据多个权限 密钥中的至少一个予以加密,以及其中根据所述生物测定密钥共同地加密用权限密钥加密 的数据舱以形成所述令牌。
26.如权利要求22所述的系统,其中所述解码器可以访问至少一个权限密钥,其中在 打开所述令牌之后所述解码器应用相同或不同的解密软件及其至少一个权限密钥以打开 对应于其至少一个权限密钥的数据舱,以及其中所述解码器无法打开它不可以访问相应权 限密钥的任何一个数据舱。
27.一种利用安全令牌鉴别用户身份的方法,所述安全令牌包括根据生物测定密钥加 密的数据,所述生物测定密钥基于用户的生物测定标识符,所述方法包括从所述用户接收生物测定标识符;把所述生物测定标识符转换为生物测定密钥;从所述用户证书接收所述令牌;使用所述生物测定密钥来解密所述令牌以打开所述令牌,其中所述令牌只可在用户呈 现用于加密所述令牌的生物测定标识符时打开,使得打开了所述令牌就鉴别了用户。
28.如权利要求27所述的方法,其中所述令牌包括存储数据并根据至少一个权限密钥 加密的至少一个数据舱,并且还包括访问至少一个权限密钥;在使用所述生物测定密钥解密所述令牌之后使用所述至少一个权限密钥来解密所述 数据舱。
29.如权利要求28所述的方法,其中解密所述数据舱的步骤包括使用所述至少一个权 限密钥并且使用根据用户的相同或不同生物测定标识符所生成的第二生物测定密钥来解 密所述数据舱。
30.如权利要求27所述的方法,其中所述令牌包括多个数据舱,每个数据舱存储一部 分数据并且每个数据舱根据多个权限密钥中的至少一个来加密,以及还包括访问所述权限密钥;在使用所述生物测定密钥解密所述令牌之后使用所述权限密钥来解密所述数据舱。
31.一种用于一个或多个用户的身份鉴别系统,所述系统包括发给所述用户之一的至少一个证书,其中所述证书包括安全令牌,所述安全令牌包括 由加密软件利用密码算法加密并且根据从所述用户的生物测定标识符所生成的生物测定 密钥予以加密的数据;和至少一个解码器,包括令牌接口设备、生物测定输入设备和网络接口设备,并且可以访 问具有密码算法的加密软件,其中所述生物测定输入设备从用户接收生物测定标识符,所 述令牌接口设备从所述用户证书接收所述令牌,所述网络接口设备请求并接收OTK,所述加 密软件应用所述密码算法和OTK来把所述令牌和生物测定密钥加密到包中,以及所述网络 接口设备发送所加密的包;和鉴别服务器,包括网络接口设备、OTK生成软件、转换软件和具有密码算法的解密软件, 其中所述网络接口设备接收OTK请求,所述OTK生成软件生成0ΤΚ,所述网络接口设备向所 述解码器发送所述OTK并且从所述解码器接收所加密的包,所述转换软件把所述生物测定 标识符转换为生物测定密钥,并且所述解密软件向所述令牌应用所述密码算法和所述生物 测定密钥以解密并由此打开所述令牌,其中所述令牌只可在所述用户呈现用于加密所述令 牌的生物测定标识符时打开,使得打开了所述令牌就鉴别了用户。
32.如权利要求31所述的系统,其中所述令牌包括存储数据的至少一个数据舱,所述 数据舱由相同或不同的加密软件加密并且根据至少一个权限密钥予以加密,以及所述鉴别 服务器可以访问至少一个权限密钥,其中在打开所述令牌之后所述鉴别服务器应用所述解 密软件和至少一个权限密钥来打开所述数据舱。
33.如权利要求32所述的系统,其中所述令牌加密和数据舱加密是基于依照用户的相 同或不同的生物测定标识符生成的至少两个生物测定密钥的,并且所述鉴别服务器根据相 同或不同的生物测定标识符生成至少两个生物测定密钥,以及所述鉴别服务器可以访问至 少一个权限密钥,其中在利用所述生物测定密钥中的第一生物测定密钥打开令牌之后,所 述鉴别服务器应用所述解密软件、至少一个权限密钥和所述生物测定密钥中的第二生物测 定密钥来打开所述数据舱。
34.如权利要求31所述的系统,其中所述令牌包括多个数据舱,每个数据舱都能够存 储一个数据片或集,以及每个数据舱由相同或不同的加密软件加密且根据多个权限密钥中 的至少一个来加密,用权限密钥加密的数据舱根据所述生物测定密钥予以共同地加密以形 成所述令牌,以及所述鉴别服务器可以访问所述权限密钥中的至少一个权限密钥,其中在 打开所述令牌之后所述鉴别服务器应用相同或不同的解密软件及其至少一个权限密钥来 打开对应于其至少一个权限密钥的数据舱,并且其中所述鉴别服务器无法打开它不可以访 问相应权限密钥的任何一个数据舱。
35.如权利要求31所述的系统,其中所述证书是游戏证书并且所述令牌包括用户标识 和银行卡信息。
36.如权利要求31所述的系统,其中所述证书是网络访问证书并且所述令牌包括用户标识信息。
37.一种用于打开用户证书的安全令牌的鉴别服务器,所述系统包括网络接口设备;生成软件,可用以生成OTK;转换软件,可用以把生物测定标识符转换为生物测定密钥;和具有密码算法的解密软件,其中所述OTK生成软件生成0ΤΚ,所述网络接口设备向解码器发送OTK并且从所述解码 器接收所加密的包,所述转换软件把所述生物测定标识符转换为生物测定密钥,以及所述 解密软件向令牌应用所述密码算法和所述生物测定密钥以便解密并由此打开所述令牌,其 中所述令牌只可在用户呈现用于加密所述令牌的所述生物测定标识符时打开,使得打开了 所述令牌就鉴别了所述用户。
38.如权利要求37所述的解码器,其中所述令牌包括存储数据的至少一个数据舱,所 述数据舱由相同或不同的加密软件加密并且根据至少一个权限密钥予以加密,以及所述鉴 别服务器可以访问至少一个权限密钥,其中在打开所述令牌之后所述鉴别服务器应用所述 解密软件和至少一个权限密钥来打开所述数据舱。
39.一种利用安全令牌来鉴别用户身份的方法,所述安全令牌包括根据生物测定密钥 加密的数据,所述生物测定密钥基于用户的生物测定标识符,所述方法包括从解码器接收对OTK的请求;生成所述OTK并且把它发送到所述解码器;从所述解码器接收包括所述令牌和所述生物测定密钥的包,并且所述包根据所述OTK 被加密;使用所述OTK来解密所加密的包以便访问所述令牌和所述生物测定标识符;把所述生物测定标识符转换为所述生物测定密钥;并且使用所述生物测定密钥来解密所述令牌以打开所述令牌,其中所述令牌只可在用户呈 现用于加密所述令牌的所述生物测定标识符时打开,使得打开了所述令牌就鉴别了所述用户。
40.如权利要求39所述的方法,其中所述令牌包括存储数据并根据至少一个权限密钥 加密的至少一个数据舱,并且还包括访问所述至少一个权限密钥;在使用所述生物测定密钥解密所述令牌之后使用所述至少一个权限密钥来解密所述 数据舱。
全文摘要
安全令牌包含均根据该令牌的授权用户的唯一生物测定标识符来唯一加密的数据。解码器接收所述令牌和用户的生物测定标识符,把所述生物测定标识符转换为生物测定密钥,和应用所述生物测定标识符来解密所述令牌。依照这种方式,解码器在不执行生物测定标识符比较的情况下鉴别用户。在一些实施例中,数据片或集被存储在指定的数据舱中,所述数据舱根据权限密钥被各个地加密,以及所有加密的数据舱根据生物测定密钥被共同地加密以便创建所述令牌。解码器只存储对应于它们有权打开的数据舱的权限密钥。另外,在一些实施例中,令牌和生物测定标识符被加密并发送到远程鉴别服务器以用于对令牌的解密。
文档编号H04K1/00GK101884188SQ200880106464
公开日2010年11月10日 申请日期2008年7月14日 优先权日2007年7月12日
发明者布赖恩·C·乔布曼 申请人:创新投资有限责任公司