用于同步并恢复参考模板的技术的制作方法
【专利说明】用于同步并恢复参考模板的技术
[0001 ] 领域
[0002]本公开总体上设及认证,并且更具体地设及用于同步并恢复在认证池中使用的参 考模板。
[000;3]背景
[0004] 密码误用经常被认为是计算平台安全性中的弱点。安全行业因此正在考虑用于保 护计算平台的其他机制,诸如生物认证和安全令牌。尽管有用,现有的生物量认证协议依赖 于包括可唯一地标识用户的生物信息的生物模板。参考模板的有效撤回可能是困难的,因 为其可能要求个人在某种程度上更改他/她的物理外观。生物参考模板和包含在其中的生 物信息的安全性因此是令人期望的。
[0005] 某些生物协议依赖使用保存在受用户控制的一个或多个客户端设备上的生物模 板。尽管运种协议能够提高生物模板的安全性,他们可对用户体验构成挑战。例如,用户可 控制未配备有相同的生物传感器的多个客户端设备。在运种情形下,用户可能需要单独地 使用每个客户端设备来收集生物信息W便包括在存储在其上的生物参考模板中。运可能损 害用户对协议的体验,并且可能导致在用户的各个客户端设备之间供应不一致的生物模 板。即使用户控制多个完全相同的客户端设备,现有的生物协议不提供安全地向客户端设 备恢复生物模板和/或在多个完全相同或不同的客户端设备之间同步生物模板的方便机 制。
[0006] 相应地,本领域中需要在提供用于恢复和/或同步运种模板的方便机制的同时维 护生物模板的安全性的生物认证技术。在此描述的技术旨在解决运种需要的一个或多个方 面。
[0007] 附图简要描述
[0008] 所要求保护的主题的实施例的特征和优点将随着W下详细描述的进行并且当参 照附图时变得明显,其中相似的参考号指示相似的部件,并且在附图中:
[0009] 图IA示出根据本公开的用于同步和恢复系统的示例性系统级架构;
[0010] 图IB是示出根据本公开的用于同步和恢复系统的元件的示例性设备架构的框图;
[0011] 图2描绘根据本公开的用于向同步服务器注册一个或多个客户端设备的示例性信 令协议;
[0012] 图3描绘根据本公开的用于在同步服务器上注册一个或多个已注册客户端设备的 生物模板的示例性信令协议;
[0013] 图4描绘根据本公开的用于向客户端设备恢复生物模板的示例性信令协议;W及
[0014] 图5描绘根据本公开的用于在已注册客户端设备之间同步生物模板的示例性信令 协议。
[0015] 尽管将参考说明性实施例进行W下详细描述,其许多替代、修改和变化将对本领 域普通技术人员明显。
[0016] 详细描述
[0017] 本公开设及认证技术,包括用于安全地同步并恢复在认证协议(诸如生物认证协 议)中使用的参考模板的系统和方法。总体上,在此描述的运些技术利用使用客户端设备 (客户端)上的受保护环境(如W下所定义的)安全地存储认证模板。每个客户端可执行设备 注册操作W便向受信同步设备(W下被称为"同步服务器"或"sync服务器")注册其自身。基 于设备注册信号的策略和/或内容,sync服务器可向每个客户端设备分配一个或多个同步 池。可通过执行模板同步操作在同步池中的其他客户端之间同步来自同步池中的一个客户 端设备的参考模板。同样,可通过执行模板恢复操作由sync服务器将模板恢复到客户端设 备。
[0018] 在设备注册期间或之后,所有客户端或子集可执行模板注册操作W便向sync服务 器注册存储在其上的模板。为了保护,模板的明文可存储在每个客户端设备的受保护环境 内并且可在传输到sync服务器之前由客户端设备加密。可使用sync包装密钥(SWK)和合适 的对称或非对称加密协议执行模板(W及可选地其他信息)的加密。在设备和模板注册期间 或之后,sync服务器可被供应每个客户端设备的设备上下文W及每个设备的参考模板的经 加密拷贝。
[0019] 在此描述的每个客户端设备还可被配置成用于与例如同步池中的其他客户端设 备交换其sync包装密钥。例如,当第一和第二客户端在同步池中时,第一客户端可与第二客 户端交换其sync包装密钥(SWKi),并且第二客户端可与第一客户端交换其sync包装密钥 (SWK2)。为了保护,第一和第二客户端可在其对应的受保护环境中存储所接收的sync包装 密钥。第一客户端可然后用SWKi加密SWK2,并且第二客户端可用SWK2加密SKWi。所产生的加 密密钥({SWK2}_SWKi、{SWKi}_SWK2,其中{}表示加密)可然后被发送到sync服务器并且结合 每个客户端设备和/或一个或多个同步池存储。在运一点,第一和第二客户端设备可被配置 成用于删除它们从彼此接收的sync包装密钥。第一和第二客户端可替代性地或另外将它们 从彼此接收的sync包装密钥存储在其受保护环境中。
[0020] 在同步操作期间,加密密钥可由sync服务器传输到同步池中的每个客户端设备。 例如,sync服务器可向第一客户端设备发送已经用第一客户端的SWK(SWKi)加密的一个或 多个密钥的拷贝。同样,sync服务器可向第二客户端设备发送已经用第二客户端的SWK加密 的一个或多个密钥的拷贝。
[0021] 一旦客户端设备及其模板已经向同步服务器注册,可通过执行模板恢复操作进行 客户端设备的模板W及可选地其他信息的恢复。在恢复操作期间,同步服务器可传输结合 客户端向其注册的模板的拷贝。已注册模板可W用客户端的sync包装密钥(SWK)加密,客户 端可在其受保护环境内存储和/或重新计算运些已注册模板。客户端可然后使用其SWK在其 受保护环境中解密运些经加密模板。
[0022] 类似地,执行同步操作可使得能够在多个客户端设备之间同步参考模板。如上所 述,在此描述的sync服务器可被配置成用于向客户端设备分配一个或多个同步池。在运种 情形下,执行同步操作可提醒sync服务器向具体的同步池内的客户端传输一个或多个经加 密参考模板的拷贝。因此,例如,当第一和第二客户端被分配相同的同步池时,执行同步操 作可致使sync服务器向第二客户端传输第一客户端的模板(W及可选地其他信息)的经加 密拷贝、向第一客户端传输第二客户端的模板、或其组合。当然,任何数量的客户端可包括 在同步池中,在运种情况下,来自同步池中的所有客户端或子集(例如,1个、2个等等)的生 物模板可被传输到同步池中的所有其他客户端或子集。有待传输的模板和有待接收运种模 板的客户端可由sync服务器实施的策略规定、在同步请求消息中规定、或其组合。
[0023] 如上所述,在sync服务器上注册的每个模板可W用特定于注册模板的客户端(W 下,"发起客户端设备"或"发起客户端")的sync包装密钥(SWK)加密。除发起客户端之外的 客户端(W及其他设备)可能不能在没有适当的sync包装密钥的情况下解密并访问在同步 操作期间所接收的参考模板的明文。例如,当第二客户端接收到用第一客户端的sync包装 密钥(SWKi)加密的模板时,第二客户端可能不能在没有SWKi的拷贝的情况下解密所接收的 参考模板。
[0024] 为了解决运个问题,在此描述的sync服务器可被配置成用于向同步池中的一个或 多个客户端传输与经加密生物信息相关联的经加密密钥的拷贝。例如,在同步池包括第一 和第二客户端的情形下,sync服务器可存储用第一客户端的SWK(SWKi)加密的第一客户端 的参考模板W及用SWK2加密的SWKi的拷贝({SWKi}_SWK2 ),如上所述。在设备注册操作之后, sync服务器可向第二客户端传输第一客户端的经加密模板的拷贝W及{SWKi}_SWK2的拷贝。 第二客户端可然后使用其sync包装密钥(SWK2)解密SWKi并且然后使用SWKi优选地在其受保 护环境中解密经加密参考模板。
[0025] 术语"生物信息"在此用于指代人类(或其他动物)的可用于标识人类(或其他动 物)的存在和/或特定人类(或其他动物)的身份的可观察的生理或行为特质。可根据本公开 使用的生物信息(因素)的非限制性示例包括W下内容的信息:生物信号(脑波、屯、脏信号)、 耳形、眼睛(例如,虹膜、视网膜)、脱氧核糖核酸(DNA)、面部、指纹/拇指指纹、步态、掌形、笔 迹、击键(即,打字模式或特点)、气味、皮肤纹理、溫度记录、血管图案(例如,手指、手掌和/ 或眼睛静脉图案)W及人类(或其他动物)的语音、其组合等等。可使用一个或多个传感器检 测到运种信息,诸如光学或红外照相机、虹膜扫描仪、面部识别系统、语音识别系统、指纹/ 拇指指纹设备、眼睛扫描仪、生物信号扫描仪(例如,屯、电图、脑电图等等)、DNA分析仪、步态 分析仪、其组合等等。运种传感器中的一个或多个可包括在或禪合到在此描述的客户端设 备。
[00%]术语"生物参考模板"在此用于指代包含用户、具体地是生物认证协议的目标的用 户的生物参考信息的数据结构。
[0027]术语"生物参考信息"用于指代用户的在生物参考模板中包含的生物信息(因素)。 [002引术语"客户端"和"客户端设备"在此可互换地用于指代可用于安全地存储生物参 考模板并将生物参考模板传输到sync服务器W便在生物模板恢复和/或同步操作中使用的 各种各样的设备中的任一种。任何合适的移动或其他电子设备可用作客户端设备。合适的 的客户端设备的非限制性示例包括生物认证终端、照相机、蜂窝电话、计算机终端、桌上计 算机、电子阅读器、传真机、自助服务终端、上网本计算机、笔记本计算机、互联网设备、支付 终端、个人数字助理、媒体播放器和/或记录器、服务器、机顶盒、智能电话、平板个人计算 机、超移动个人计算机、有线电话、其组合等等。
[0029] 可替代地或另外,在此描述的客户端设备可处于智能卡、集成电路卡、通用串行总 线密钥、近场通信(NFC)设备、其组合等等的形式。无限制地,在此描述的客户端设备优选地 处于蜂窝电话、电子阅读器、膝上计算机、NFC使能设备、笔记本计算机、智能徽章、智能卡、 智能电话、平板个人计算机、其组合等等的形式。
[0030] 为了清晰的目的,本公开经常描述其中同步系统包括两个客户端设备(即第一和 第二客户端设备)的实施例。应当理解的是任何数量的客户端设备可用于在此描述的系统 中。实际上,本公开考虑了其中使用1、2、3、5、10、25、50、100、1000或更多个客户端设备的系 统。
[0031] 术语"同步服务器"和"sync服务器"在此可互换地用于指代可执行根据本公开的 生物模板恢复和/或同步操作的一个或多个计算设备。具体地,在此描述的sync服务器可被 配置成用于在恢复操作中将经加密生物参考模板传输到丢失对运种模板的访问(例如,由 于损坏或另一个原因)的客户端设备。在此描述的sync服务器还可在同步操作中根据本公 开将一个或多个生物参考模板的拷贝分布到一个或多个(例如,2个或更多个,诸如3、4、5、 10、20、50、100、1000等等)其他客户端设备。
[0032] 在许多实施例中,本公开描述了使用可在单个服务器机器或可在地理位置上协同 定位或分布的多个服务器机器上执行的sync服务器。应当理解的是运种描述仅是示例性的 并且sync服务器可处于能够执行根据本公开的恢复和/或同步操作的任何设备的形式。在 此描述的sync服务器可因此处于一个或多个移动或其他电子设备的形式,包括W上提及的 适合用作客户端设备的那些。
[0033] 在某些实施例中,在此描述的sync服务器可能不被信任拥有未经包装的sync包装 密钥、未经包装的模板或其他客户端/用户敏感数据。在运种情形下,可W理解的是sync服 务器可W包括sync包装密钥、模板等等的经加密(经包装)的拷贝。
[0034] 在此描述的客户端设备可例如使用近距离通信、长距离通信或其组合与彼此和/ 或sync服务器通信。短语"近距离通信"在此用于指代用于通过相对靠近彼此的设备之间的 有线或无线接口发送/接收数据信号的一种或多种技术。近距离通信方法包括例如使用近 距离通信网络(诸如蓝牙网络、个域网(PAN)、近场通信(NFC)JigBee网、有线W太网连接、 有线或无线通用串行总线化SB)连接、射频识别(RFID)、其组合等等)的设备之间的通信。
[0035] 相反,短语"长距离通信"在此用于指代用于在彼此具有显著距离的设备之间发 送/接收数据信号的一种或多种技术。长距离通信包括例如使用长距离通信网络(诸如但不 限于WiFi网络、广域网(WANK包括但不仅限于蜂窝电话网(3G、4G等等)、互联网、企业网、电 话网、其组合等等))的设备之间的通信。无限制地,在此描述的客户端和sync服务器优选地 被配置成用于使用长距离通信(例如,通过互联网、企业网或其组合)与彼此通信。
[0036] 本公开的客户端设备和/或sync服务器可包括可独立地在运种设备上供应或存储 在其存储器中的一个或多个模块。如在此在任何实施例中所使用的,术语"模块"可指代被 配置成用于执行根据本公开的一个或多个操作的软件、固件和/或电路。软件可被实现为记 录在非瞬态计算机可读存储介质上的软件包、代码、指令、指令集和/或数据。固件可被实现 为硬编码(例如,非易失性的)在存储器设备中的代码、指令或指令集和/或数据。如在此在 任何实施例中所使用的"电路"可单独地或在任何组合中包括例如存储由可编程电路执行 的指令的硬连线电路、可编程电路(诸如包括一个或多个单独的指令处理核的计算机处理 器)、状态机电路、软件和/或固件。运些模块可一起或单独地被实施为形成客户端设备或认 证设备的一部分的电路。
[0037] 在此描述的客户端可包括用于存储生物参考模板的受保护环境。术语"受保护环 境"在此用于指代客户端内的执行环境,其中,执行环境包括经由硬件、固件、软件或其组合 与客户端的其他组件隔离或W其他方式受保护的存储器和处理资源。
[0038] 可在本公开的客户端设备中使用的受保护环境的一个示例是受信执行环境 (TEE)。通常,TEE是可在操作系统中运行并且可向该操作系统安全服务的受保护环境。可在 全球平台发布的TEE客户端应用编程接口(API)规范Vl.0、T邸内部API(应用编程接口)规范 Vl. OW及TEE系统架构Vl. 0中发现有关TEE及其实现方式的更多信息。
[0039] 在某些实施例中,在此描述的客户端设备包括使用虚拟化技术、UCode增强存储器 页保护、CPU高速缓存存储器页保护、安全协处理器技术及其组合中的一个或多个提供的 TEE。运种技术的非限制性示例包括英特尔&VT-X虚拟化技术、英特尔'?VT-d虚拟化技术、 英特尔#受信执行技术(TXT)、至强互联网安全与加速(ISA)"高速缓存随机存取存储器 (RAM)"、融合安全引擎(CSE)技术、融合安全和可管理性引擎(CSME)技术、安全协处理器、可 管理性引擎、受信平台模块、平台信任技术、ARMT抓STZ0NE?技术、其组合等等。运些技术 中的每一项技术的性质、优点和限制被很好地理解并且因此不在此进行描述。
[0040] 存储器区域技术是可在本文描述的客户端设备中使用的受保护环境的另一个示 例。通常,存储器区域可由具有与计算系统(在运种情况下,客户端设备)的传统环形边界施 加的访问策略不同的访问策略的至少一个存储器页组成。存储器区域内的存储器页可具有 相关联的读/写控制,其可被配置为使得读/写控制具有对某些操作模式或特权"环"的独有 性,诸如相关联的处理器的系统管理模式或虚拟机监视器。存储在客户端设备的存储器区 域内的信息W及在其内执行的操作可因此与客户端设备的其他信息、操作和组件隔离。在 本公开的某些实施例中,认证设备包括一个或多个存储器区域,该一个或多个存储器区域 被配置成用于临时地存储客户端设备提供的经加密或未经加密生物参考模板W便在生物 认证过程中使用。合适的存储器区域的一个示例是英特尔@安全区域技术。
[0041] 本公开的受保护环境可被配置成用于单独地或者结合其他信息存储经加密和未 经加密参考模板(诸如生物参考模板)。例如,除参考模板之外,受保护环境可存储可用于加 密、解密或签名数据的一个或多个密钥。例如,根据本公开的受保护环境可存储特定于其相 应的客户端设备或更具体地特定于客户端设备内的受保护环境的sync包装密钥(SWK)。同 样,受保护环境可临时地(例如,持续规定的时间)或永久地存储特定于其他(例如,第二、第 S等等)客户端设备和/或运种设备上的受保护环境的sync包装密钥。受保护环境还可存储 一个或多个签名密钥(例如,TEE和/或区域签名密钥)。运种签名密钥可特定于受保护环境 并且可使得受保护环境能够用密钥签名并且因此将数据"密封"到受保护环境。
[0042] 在此描述的受保护环境可被配置成用于产生其自身的加密(例如,sync包装)和/ 或签名密钥。例如,受保护环境可包括一个或多个密钥生成模块,当由处理资源(位于受保 护环境内或外部)执行时,该一个或多个密钥生成模块可致使受保护环境生成特定于受保 护环境的sync包装密钥、特定于环境的签名密钥及其组合。运种特征在其中临时(例如,时 间敏感的)sync包装密钥和/或签名密钥是sync包装密钥的情形中有用。在运种情形下,受 保护环境可被配置成用于如果并且当现有密钥例如根据一个或多个密钥维护策略已经过 期时生成新密钥。
[0043] 在此描述的受保护环境还可包括其他信息,诸如可用于认证受保护环境的真实性 和/或安全性的认证信息。认证信息的非限制性示例包括受保护环境的供应商、制造商、型 号和/或版本的信息。认证信息可W可替代地或另外包括可由受保护环境执行和/或实施的 软件、策略、设备配对等等的信息。
[0044] 字母V'在此偶尔用作结合在附图中描述的一个或多个元件的下标。在运种情形 下,应当理解的是n是非零整数。因此,例如,表达"元素 Xn"应当被解释为指示可存在一个 (Xi)或多个元素 X。
[0045] 相应地,n可W等于1、2、3、4. . .100. . .1000. . .1000或更多,包括W上数字之间和/ 或之上的所有正整数。因此应当理解的是尽管本公开可W指代单数元件,例如,元件Xn,运 种表达应当被解释为还包含复数形式。
[0046] 为了说明的目的,本公开将继续描述其中同步系统、方法或设备用于在一个或多 个客户端设备之间注册、同步和/或恢复一个或多个生物模板的各个实施例。应当理解的是 运种实施例是示例性的并且在此描述的技术不限于使用生物模板。实际上,在此描述的技 术可用于在一个或多个设备之间注册、同步和/或恢复任何类型的信息,包括适合在认证协 议中使用的任何模板。通过举例,在此描述的技术可用于注册、同步和/或恢复不包括生物 信息的模板。运种模板可例如对应于用户密码、密码散列、用户知道其解的谜题、设备上下 文、设备上下文的散列、随机值的散列、一个或多个sync包装或其他密钥的散列、其组合等 等。
[0047] 图IA描绘根据本公开的示例同步和恢复系统。如所示,系统100包括第一客户端设 备10h(客户端IOh) W及一个或多个第二客户端设备101n(客户端IOln),可在其中系统100 仅用于提供客户端IOli的恢复操作中省略该一个或多个第二客户端设备。系统100进一步 包括同步(sync)服务器103。客户端IOhaoin可各自包括受保护环境IlOiaiOn(在图IB中 示出)。客户端IOhaoin可与彼此并且与sync服务器102直接(未示出)和/或经由网络102通 信。在此方面,网络102可W是任何合适的网络,诸如短距离通信网络、长距离通信网络及其 组合。无限制地,网络102优选地是长距离通信网络,诸如互联网。
[0048] 图IB描绘用于包括在图IA的系统100中的客户端设备和sync服务器的示例性设备 架构。如所示,客户端IOllJOln包括对应的设备平台1041、104n。通常,设备平台1041、104n可 分别符合用作客户端IOh和IOln的移动或其他电子设备的形状因数和/或类型。例如,如果 客户端IOll处于智能电话的形式而客户端IOln处于桌上计算机的形式,则设备平台1041、 104n可W分别是智能电话和桌上计算机平台。因此,应当理解的是设备平台104l、104n可与 适合与在此规定的适合用作根据本公开的客户端设备的移动和其他电子设备使用的任何 平台。
[0049] 为了示例的目的,已经用有限的和类似的组件示出了示例设备平台104i、104n。运 仅仅是为了说明并且应当理解的是设备平台104i、104n可包括其他组件,运些其他组件包括 可传统地在与用作客户端IOh和IOln的移动或其他电子设备的类型和性质相对应的设备平 台中发现的组件。应当理解的是平台104l、104n无需是相同的。
[(K)加 ]设备平台1041、104n分别包括处理器1051、105n、存储器1071、107nW及通信接口 1081、108n。任何合适的处理器可用作处理器1051和/或105n,包括但不限于通用处理器和专 用