專利名稱:安全的生物身份驗證的制作方法
技術領域:
計算機化特別是互聯(lián)網(wǎng)技術已經(jīng)提供了對包括財務數(shù)據(jù)���、醫(yī)療數(shù)據(jù)、個人數(shù)據(jù)的不斷增長的數(shù)據(jù)訪問����,這意味著加速了金融和其它交易,其中保密數(shù)據(jù)被進行更新或者交換�����。
通常用口令來維持這些數(shù)據(jù)的保密性;然而�,口令經(jīng)常是基于易于猜測并且根本就不安全的出生日期或者電話號碼。此外����,即使是復雜的隨機生成的口令也經(jīng)常能被輕易竊取?����;诳诹畹臄?shù)據(jù)訪問系統(tǒng)因而容易受到非法攻擊�����,從而給工業(yè)和經(jīng)濟�,甚至給人的生命帶來危險和損害。因此����,需要一種改良的方法,用于保護數(shù)據(jù)和保護數(shù)據(jù)免遭未授權訪問���。
生物數(shù)據(jù)可以包括難以獲取但是容易分析的精密細節(jié)(例如指紋細節(jié)序列)����,或者容易獲取但是難以分析的整體圖案(例如相鄰指紋螺紋的空間特性)。
加密算法需要僅對授權用戶有效的數(shù)字密鑰��。沒有正確的密鑰���,只有投入足夠的時間和處理資源����,而且即便如此����,只有當未加密數(shù)據(jù)的某些特征是已知的(或者至少是可預知的)時,加密數(shù)據(jù)才可以被解密成可用格式���。
日本公開專利申請第60-029868號(日期1985年2月15日���,申請人為Tamio SAITO),提出一種個人識別系統(tǒng)����,其使用一種具有用于記錄從持卡人處獲得的加密生物數(shù)據(jù)的集成存儲器的身份識別卡���。生物數(shù)據(jù)可以包括聲波紋�����、指紋����、外貌特征、和/或生物檢驗�。使用中,卡中數(shù)據(jù)被讀取和解密���,用于與從出示該卡的人處獲取的相應數(shù)據(jù)進行比較��。該系統(tǒng)使得注冊人可被高準確度地確定識別��。然而��,因為生物數(shù)據(jù)是通過外部設備獲得和處理的�,所以難以保護存儲在卡上的信息免遭可能發(fā)生的改變和/或身份盜用����。
已經(jīng)提出了一種改良的身份識別卡,其包括卡上的數(shù)據(jù)驅動多處理器芯片���,以提供同時加密和隔離存儲在卡上的生物數(shù)據(jù)的硬件防火墻��,從而提供更好的保護來防止未經(jīng)授權而改變存儲數(shù)據(jù)���。然而�����,實際的匹配程序是在同樣的獲取現(xiàn)場(live)生物數(shù)據(jù)的外部讀卡器終端上執(zhí)行的��,因而仍然潛在地容易受到外部欺詐操作的攻擊�。
發(fā)明內容
高安全性身份識別卡的第一實施例不僅包括用于存儲生物數(shù)據(jù)的卡上(on-board�,又稱片上或板上)存儲器,而且包括用于捕獲現(xiàn)場生物數(shù)據(jù)的卡上傳感器���。遠程認證系統(tǒng)維護包括生物數(shù)據(jù)的安全數(shù)據(jù)庫�?�?ㄉ系目ㄉ咸幚砥鲌?zhí)行初步的匹配操作����,以驗證所捕獲的生物數(shù)據(jù)與本地生物存儲數(shù)據(jù)是否匹配。僅當存在正確的本地匹配時�����,任何獲取的數(shù)據(jù)或任何敏感的存儲數(shù)據(jù)才可以發(fā)送到遠程認證系統(tǒng)用于附加的驗證和/或進一步處理����。作為對于惡意攻擊的進一步保護,本地存儲數(shù)據(jù)優(yōu)選不同于遠程存儲數(shù)據(jù)�,并且優(yōu)選地使本地匹配和遠程匹配采用不同的匹配算法。因而即使卡�����、本地存儲數(shù)據(jù)�����、和/或與卡連接的本地終端遭受損害��,很可能地����,遠程認證系統(tǒng)仍然能夠發(fā)覺入侵企圖。
第二實施例也包括用于存儲生物數(shù)據(jù)的卡上存儲器�、用于捕獲現(xiàn)場生物數(shù)據(jù)的卡上傳感器、以及卡上處理器���;然而���,在該實施例中���,整個匹配程序由卡上處理器來執(zhí)行,并且生物原始獲取數(shù)據(jù)和存儲在卡上存儲器中的任何其它“私有”信息對于任何外部程序都是不可訪問的��。替代地�����,響應于在新獲取的生物數(shù)據(jù)和先前獲取的生物數(shù)據(jù)之間的成功匹配��,僅產(chǎn)生一個驗證信息���。驗證信息使得該卡功能類似于依據(jù)了傳統(tǒng)的個人身份號碼(PIN)的登錄(log on)成功/不成功的傳統(tǒng)ISO智能卡的方式�����,但是其具有由更多的安全驗證程序所提供的附加的安全性�����。在任一實施例中���,生物存儲數(shù)據(jù)和任何相關的本地存儲的加密算法或者加密密鑰優(yōu)選地在最初授予持卡人時載入卡中�,其方式為阻止任何將來的外部訪問����,從而進一步增強了生物存儲數(shù)據(jù)和整個驗證程序的完整性�。
在一個實施例中,ISO智能卡起到防火墻的作用��,用于保護用來存儲和處理受保護生物數(shù)據(jù)的安全處理器免于遭受通過ISO智能卡接口進行的外部惡意攻擊����。在另一個實施例中,安全處理器插于ISO智能卡接口和沒有經(jīng)過修改的ISO智能卡處理器之間�,并一直阻止任何外部通信直到用戶的指紋已經(jīng)與先前注冊的指紋相匹配為止。
在具有卡上指紋匹配能力的高安全性身份識別卡的一個優(yōu)選實施例中����,當用戶將其手指放到指紋傳感器上方時,實時反饋被提供�����,從而有助于手指在傳感器上方進行最佳放置����。該反饋不僅降低了計算復雜性�����,而且提供了用于在無經(jīng)驗用戶和欺詐用戶之間進行區(qū)別的附加方法�,從而進一步減少了錯誤否定和/或錯誤肯定的可能性�。在另一個優(yōu)選實施例中,指紋傳感器被保持在提供額外穩(wěn)定性的載體中�����。
在一個示范性應用中�����,將獲取到的生物數(shù)據(jù)和/或持卡人的身份標志在任何對保密數(shù)據(jù)在線訪問的授權之前或者在任何用于完成安全交易的自動化程序之前進行加密��,然后輸入到包括金融機構和單獨的認證服務器的交易網(wǎng)絡中����。在另一個示范性應用中,將卡的輸出用于獲得進入安全區(qū)域的物理通道��。在任一應用中����,成功的和不成功的訪問企圖的記錄都可以被保存在卡上或者外部安全服務器上�����,或者在兩者上都保存���。
圖1示出了具有卡上生物驗證示卡人的身份的智能卡的一個實施例�����;圖2是用于幫助用戶實現(xiàn)手指在指紋傳感器上的最佳放置的示范性程序的流程圖����;圖3是能夠同時本地和遠程驗證出示安全身份識別卡的人的身份的生物驗證系統(tǒng)的功能方框圖;圖4是具有在初始載入持卡人生物數(shù)據(jù)期間和在驗證持卡人的遠程請求身份期間使用不同物理數(shù)據(jù)路徑的典型的生物驗證卡的功能方框圖��;
圖5示出了圖4的典型生物驗證卡的可選實施例��,其打算采用無修改的ISO智能卡CPU的方式�;圖6是表示典型應用和典型驗證卡之間的通信的流程圖,其中只執(zhí)行對持卡人身份的本地驗證�;圖7是類似于圖6的流程圖,但是改為采用圖5的典型生物驗證卡的方式����;圖8示出了具有可無線或者借助于電接插件連接到本地終端的卡上生物驗證的智能卡的第二實施例���;圖9是圖8的卡的橫截面圖;圖10是典型指紋傳感器的電路圖���;以及圖11示出了用于圖10的傳感器的載體組件的一個實施例�。
具體實施例方式
智能卡此處使用的術語“智能卡(smart card)”或者“智慧卡(intelligentcard)”一般意義上是指任何物理對象�,其足夠小到可以握在手中,戴在脖子上�����,或者以其它方式隨身攜帶���,其包括微處理器����,能夠存儲�����、處理和傳遞涉及或者其它關系到持卡者個人的數(shù)字編碼信息����。這種智能卡的一個眾所周知的實例是ISO(International StandardsOrganization國際標準組織)智能卡���,其具有與傳統(tǒng)的信用卡相同的物理尺寸和外形,但是其包括閃存����,用于存儲用戶特定數(shù)據(jù);以及微處理器����,能以強大的加密算法進行編程��,指示從用戶終端收到的PIN(Personal Identification Number個人身份號碼)是否與卡上存儲的加密PIN相匹配���,從而與僅依靠對簽名和/或身體相貌進行視覺比較的驗證系統(tǒng)相比�,對出示卡的人是真正的持卡人給出了更高的可信度��。
接下來參照圖1���,其示出了具有卡上生物驗證的智能卡的一個實施例��???00通常由塑料材料制成,并且具有傳統(tǒng)的信用卡的整體外觀�����,其大致尺寸符合ISO7816中規(guī)定的約53.98×85.6mm且厚度約0.76mm或者更厚�����。
類似于傳統(tǒng)的信用卡�,卡100包括空白的上部區(qū)域102,其沿著卡的整個橫向寬度延伸�����,用于承載位于卡的背面上的磁條(符合ISO7811-2&7811-6的規(guī)定)�,該磁條上可以存儲關于持卡人和任何相關帳戶的傳統(tǒng)編碼字符信息,從而使卡100可在傳統(tǒng)的磁條讀取器中使用��。然而�����,因為載入磁條中的任何數(shù)據(jù)都易于修改�����,所以這樣的磁條僅僅適用于對老式磁條式終端的向后兼容的需要超過磁條帶給系統(tǒng)安全性的潛在下降的特定應用中。
上部區(qū)域102還用于支持各種防偽措施����,例如持卡人的防篡改的彩色照片和/或發(fā)卡人的全息標識?����??00的下部區(qū)域104可以使用傳統(tǒng)樣式的浮雕信息(符合ISO 7811-1規(guī)定)��,例如持卡人姓名���、數(shù)字帳(或者卡)號���、以及有效日期,以使卡100可在傳統(tǒng)的卡刻印器中使用�。
上部區(qū)域102和下部區(qū)域104被中部區(qū)域106分隔����,其中嵌入一組8個可見的ISO智能卡觸點108,其在卡和讀卡器上相應觸點之間提供方便的電連接�����。通過該方法,不僅數(shù)據(jù)���,而且電源�、時鐘以及控制信號都可在讀卡器和卡之間進行交換�,如ISO 7816-3中所規(guī)定的。
在區(qū)域106的右側可以看見傳感器區(qū)域110����,其用于從持卡人的手指獲取指紋數(shù)據(jù)。優(yōu)選地�,向卡提供與傳感器110或者嵌入卡中其它電子元件唯一對應的ID碼;例如�����,傳統(tǒng)的IP和/或MAC地址格式的編碼����。
圖1還示意性地示出了數(shù)個附加的電子元件,其與觸點108和傳感器110配合��,與其他可能相比���,提供了更強大的功能����,特別是更好的安全性。
在一個實施例中���,ISO智能卡兼容處理器112直接連接到ISO觸點108����,以提供與外部ISO兼容讀卡器(未示出)的電連接�����,從而不僅向卡上電子器件提供電源���,而且提供用于在卡與任何運行在讀卡器或者任何與讀卡器聯(lián)網(wǎng)的相關計算設備上的外部通信軟件�、安全軟件�����、交易軟件��、和/或其它的應用軟件之間傳輸數(shù)據(jù)的方法�。
盡管在所述實施例中���,在卡100和外部讀卡器之間的數(shù)據(jù)通道是使用ISO規(guī)定的智能卡連通方案的有線連接的形式�,但應當明白,在其它的實施例中���,其它的傳輸技術也可以被使用�,例如USB或RS 232C或SPI(串行)連接�,可通過無線RF(Radio Frequency射頻)、微波和/或IR(InfraRed紅外線)通信鏈路�����。
同樣��,盡管所述實施例從讀卡器獲取電源�����,但其它的實施例可以具有卡上電源����,例如太陽能電池或者電池。該卡上電源可能具有優(yōu)勢���,例如��,如果在卡100和特定類型讀卡器之間的機械接口是這樣的����,以使指紋傳感器110在觸點108連接到讀卡器中相應連接的情況下不能被用戶訪問,從而必須在卡100不與讀卡器直接有線連接的情況下捕獲用戶指紋數(shù)據(jù)�����。
安全處理器如圖所示���,安全處理器114連接在ISO處理器112和傳感器110之間����,用于提供對所捕獲的數(shù)據(jù)的安全處理和存儲�����,并且提供“防火墻”���,以保護存儲在它的專用存儲器中的數(shù)據(jù)和程序免遭任何通過ISO處理器112進行的異常訪問企圖����,如下文所述����。該防火墻可設計為僅通行使用了加密密鑰的加密數(shù)據(jù),該加密密鑰基于唯一分配的網(wǎng)絡地址或者其它與該特定卡唯一對應的東西���,例如從先前存儲的指紋圖案提取的數(shù)據(jù)����,或者唯一分配的設備號例如CPU號���,或者指紋傳感器號�。在另一個實施例中����,防火墻僅僅通行包括源自先前的傳輸或者數(shù)據(jù)的唯一可識別數(shù)據(jù)的數(shù)據(jù)。在其他實施例中��,防火墻對不同的應用保存不同的密鑰�����,并且用這些密鑰將數(shù)據(jù)發(fā)送到各自不同的處理器或者存儲器部分���。
在另一個實施例中(未示出)��,安全處理器114直接連接到ISO觸點108��,并且充當ISO處理器112與ISO觸點108之間的安全門禁��。該可選方案具有如下優(yōu)點�����,提供由安全處理器114和傳感器110提供的附加的安全性����,而不會有任何危及任何可能已集成到ISO處理器112中的安全特性的可能。
安全處理器114優(yōu)選包括非易失半導體存儲器或者非半導體存儲器��,例如FRAM�、OTP、E2PROM����、MRAM、MROM�,用于存儲先前注冊的指紋圖案和/或其它的人體生物信息。在其他實施例中���,安全處理器114的一部分或者全部功能可在ISO處理器112中執(zhí)行�,和/或ISO處理器112的一些或者全部功能可在安全處理器114中執(zhí)行。這樣的組合執(zhí)行仍能維持各功能之間的軟件防火墻��,如果設備以不允許對存儲的軟件程序作任何后續(xù)修改的方式來執(zhí)行���,那么這將是特別有利的?��?蛇x地�,處理器112��、114都可以是單個多處理器設備中單獨的處理器��,該設備設計為保護每個處理器免遭來自運行在不同處理器內的另一個程序的任何干擾���。這種多處理器裝置的一個實例是日本夏普公司(Sharp)的DDMP(Data Driven MultipleProcessor�����,數(shù)據(jù)驅動式多處理器)�。
盡管這些各種傳感器�、觸點��、和其它電子元件����,以及用于互連的印刷電路或者其它電線路����,均優(yōu)選被完全裝入卡100的卡體,從而保護它們免遭磨損和外部污染���,而且還在上部區(qū)域102和下部區(qū)域104之間的中間區(qū)域106之內的優(yōu)選位置進一步保護它們免遭來自與其它區(qū)域有機械連接的傳統(tǒng)的磁條讀卡器����、壓印機����、以及刻印裝置的可能的損害。
LED反饋LED 116a��、116b由安全處理器114控制����,向用戶提供可視反饋。在所示實施例中����,它們位于下部區(qū)域104中�����,優(yōu)選地位于卡的側邊遠離觸點108的位置����。無論如何�����,LED 116a����、116b優(yōu)選地位于在任何壓印程序期間它們不會被損害的位置���,以及位于當卡插入傳統(tǒng)的ISO智能卡讀取器時和/或當用戶手指放到指紋傳感器110上方時它們可以被看見的位置����。例如在驗證模式下·紅燈閃爍等待手指·停止閃爍手指已放在傳感器上·紅燈閃爍一次不匹配�,可以移動手指·綠燈長閃爍一次已匹配,可以移開手指注冊模式下·綠燈閃爍等待手指·停止閃爍手指已放在傳感器上
·紅燈閃爍一次不能注冊�����,可以移動手指·綠燈閃爍一次已注冊,可以移開手指擦除模式下·綠燈和紅燈閃爍準備擦除·綠燈閃爍一次已擦除優(yōu)選地�,在發(fā)送任何否定報告之前,用戶被給予多次機會去放置其手指以得到成功的匹配或者注冊����。在一個實施例中,只有當用戶在收到綠燈準許指示之前移開其手指時���,或者當預定時限超出時���,否定報告才被發(fā)送到認證服務器。該程序不僅訓練用戶實現(xiàn)其手指在傳感器上方進行最佳放置���,其不僅降低了計算復雜性�����,而且使得可使用更大的辨別閾值���。該可視反饋還提供了用于在無經(jīng)驗用戶(其通常不斷嘗試直到實現(xiàn)正確的放置)和欺詐用戶(其通常不希望引起任何注意,并且將會在其惡意被發(fā)覺之前離開)之間進行辨別的心理學基礎����。最終結果是顯著減少了錯誤否定和/或錯誤肯定的可能性�����。
圖2示出了幫助用戶將其手指放置到傳感器110上的典型程序���。在方框150中,RED LED 116b正在閃爍����。一旦手指被探測到(方框152),該LED就停止閃爍并進行圖像質量(對應于手指皮膚的凸部和凹部的細長的限定區(qū)域)的檢測(方框154)�。如果質量不合格(NO分支156)�,那么RED LED 116b的單次閃爍指示用戶移動其手指到不同的位置(方框158);否則(YES分支160)執(zhí)行第二檢測(方框162)����,以確定是否相同手指放在被用來注冊用戶的相同位置,從而相對簡單的匹配算法就可在預定閾值范圍內驗證現(xiàn)場數(shù)據(jù)與存儲數(shù)據(jù)的符合���,從而驗證現(xiàn)場手指與最初注冊的手指相同(YES分支164)��,以及GREEN LED 116a被激活(方框166)持續(xù)足夠長時間(方框168)以證實已經(jīng)產(chǎn)生成功的匹配以及用戶現(xiàn)在可以移開其手指�����?���?蛇x地,如果匹配閾不滿足(NO分支170)�,那么紅色LED 116b的單次閃爍(方框158)指示用戶移動其手指到不同的位置,且該程序重復進行��。
典型網(wǎng)絡結構接下來參照圖3�,其示出了既可本地也可遠程驗證出示安全身份識別卡的人的身份的生物驗證系統(tǒng)的一個可能的實施例。其包括三個主要部分客戶終端200�����,應用服務器202以及認證服務器204�。客戶終端200包括以下功能現(xiàn)場捕獲和本地處理用戶的指紋��、加密本地處理數(shù)據(jù)����、以及與應用服務器及認證服務器進行安全通信,該安全通信優(yōu)選通過使用IP/TCP尋址方案和傳輸協(xié)議的互聯(lián)網(wǎng)進行,并通過傳統(tǒng)的IP防火墻206提供保護以免遭惡意訪問��。在其他實施例中�����,防火墻206可以擁有過濾器以及加密編碼器/解碼器����,用于當發(fā)送數(shù)據(jù)被驗證為授權數(shù)據(jù)后將其編碼并用于當確定接收數(shù)據(jù)是否為授權數(shù)據(jù)前將其解碼,其例如使用像DES 128這樣的加密算法�。用該方法,防火墻206不僅可根據(jù)報文頭����,而且可根據(jù)報文內容來將數(shù)據(jù)分類為授權數(shù)據(jù)或者潛在惡意數(shù)據(jù)。
客戶終端200可以專用網(wǎng)絡設備的方式來實現(xiàn)��,或者可以應用于安裝在可編程的臺式電腦�����、筆記本電腦或者其它工作站或個人電腦上的軟件當中�����,這些電腦由通用操作系統(tǒng)例如Windows XXX�����、OS X�、Solaris XX、Linux或Free BSD所控制�。優(yōu)選地,客戶終端200包括保持更新的“禁用”數(shù)據(jù)庫(例如丟失的或者失竊的卡的身份�����,或者對特定的卡或者一組卡的限制)�,以提供附加的安全措施。
應用服務器202包括如下功能��,進行事務處理��,或者在用戶的身份已經(jīng)被認證服務器204證實之后�����,響應來自在客戶終端200的遠程用戶的指令���。認證服務器204包括以下功能���,與客戶終端200及應用服務器202進行安全通信�����,存儲真實指紋數(shù)據(jù)和其它關于前注冊用戶的信息���,將存儲數(shù)據(jù)與從客戶終端200收到的加密的現(xiàn)場數(shù)據(jù)進行比較,以及通知應用服務器202指定的現(xiàn)場指紋數(shù)據(jù)是否匹配存儲的指紋數(shù)據(jù)���。
更特別地����,客戶終端200還包括兩個主要部件固定讀卡器208部件�,其包括互聯(lián)網(wǎng)瀏覽器終端210和讀卡器接口108a(其可以是簡單的USB線纜,端接在一組電觸點上�����,用于形成與ISO智能卡觸點108的對應電連接)�;以及便攜式智能卡部件100’。在一個實施例中���,便攜式部件100’可以是前面所述的智能卡100,包括指紋傳感器110、安全處理器114和ISO智能卡處理器112�。
應用服務器202還包括互聯(lián)網(wǎng)服務器接口,其包括防火墻206和互聯(lián)網(wǎng)瀏覽器214��,以及交易應用模塊216和確認模塊218����。在應用服務器和應用模塊216是未被設計成通過IP/TCP協(xié)議進行對外通信的傳統(tǒng)設備的情況下,防火墻206可用適當?shù)陌惭b了確認模塊218并且具有固定IP地址的協(xié)議轉換程序來代替��。例如����,應用服務器可以由愿意通過互聯(lián)網(wǎng)向授權用戶提供服務的第三方來進行操作。
認證服務器204還包括互聯(lián)網(wǎng)服務器接口220�����;處理模塊222���,包括指紋匹配算法224���;以及數(shù)據(jù)庫226,用于存儲指紋和其它當這些個人被系統(tǒng)注冊以及其身份保證滿足系統(tǒng)操作員的要求時從這些個人處收集的真實信息��。為了進一步加強安全性,優(yōu)選地�����,用于任何特定個人的存儲數(shù)據(jù)不以單一的信息列來存儲在應用服務器上���,而是將各項分開存儲����,并且任何連接這些項目所要求的索引或者關聯(lián)都只有通過相應的密鑰才可以得到���,該密鑰保存為認證服務器中個人私人數(shù)據(jù)的一部分�����。
定位在某些實施例中�,固定讀卡器208和/或便攜式卡100″還可以裝備集成的全球定位衛(wèi)星(Global Positioning Satellite�����,“GPS”)接收器212�����,其可提供關于讀卡器和卡在或約在特定交易發(fā)生時的當前位置的有用信息。特別地���,來自GPS接收器212的位置數(shù)據(jù)可用于在讀卡器或卡被移出至其使用未獲授權的區(qū)域的情況下使讀卡器和/或卡失效(永久或臨時)。除了通過GPS�,還可以通過其他方法來自動確定位置,例如采用PHS(日本蜂窩式電話)呼叫者定位技術����,或者采用對地球電磁場中的局部變化敏感的定位傳感器。在裝備GPS卡的特別例子中����,各種GPS元件包括天線;數(shù)字放大����、AD轉換器以及采樣和保持電路;以及計算位置的數(shù)字信息處理器����,優(yōu)選地,這些元件都是單塊集成電路的部件或者都是安裝在單塊電路板上的分立器件����,其被集成���、嵌入或者層壓到卡體中。
具有卡上匹配的ISO卡的卡結構ISO處理器接口圖4是典型ISO智能卡兼容生物驗證卡100或100’的功能方框圖����,其有不同的物理數(shù)據(jù)路徑,用于初始載入持卡人生物數(shù)據(jù)期間和驗證持卡人對遠程應用的身份期間���。
特別地���,除了前面描述的ISO處理器112、安全處理器114�、指紋傳感器110、LED 116a��、116b和可選的GPS接收器212���,其中只有ISO處理器112通過ISO智能卡觸點108直接連接到讀卡器208的方式之外����,還示出了獨立的加載模塊300和相關的臨時連接302���,其在初始的用戶注冊期間提供與安全處理器114的直接通信����。可以注意到��,當臨時加載連接302連接到特定的I/O端口308時�����,ISO處理器112通過I/O端口304�����、306與安全處理器114進行通信����。優(yōu)選地��,安全處理器編程為���,使得任何敏感保密相關數(shù)據(jù)或者軟件僅可從端口308得到而不能從端口304和306得到�����,從而避免了在連接302被禁止后任何惡意訪問這些敏感數(shù)據(jù)的可能性�。
大多數(shù)市場上可獲得的ISO處理器具有至少兩個I/O端口而且有些具有至少三個。這些端口中僅有一個(I/O 1)被指定用于連接到外部ISO兼容讀卡器208的傳統(tǒng)的ISO智能卡串行數(shù)據(jù)連接108����。優(yōu)選地,另外的一個或者兩個I/O端口提供了在ISO處理器112和安全處理器114之間的專用硬布線通信�,其作為硬件防火墻,以阻止對安全處理器114重編程序或者獲得對任何敏感信息的訪問的任何惡意企圖�,該信息可能是先前被傳感器110獲取或者可能是被存儲在處理器114內。在具有多于兩條I/O線路的ISO處理器的特定情況中�,甚至當安全處理器完全斷電時,可能在ISO處理器和安全處理器之間的專用通信路徑上的靜態(tài)信息出現(xiàn)多于兩個的狀態(tài)���,例如1)Ready(就緒)�����,2)Busy(忙)�,3)Fail(失敗)�,和4)Pass(通過)。當然�����,即使只有一個I/O端口有效,這四種狀態(tài)也能作為串行數(shù)據(jù)被動態(tài)發(fā)送��。
可以通過ISO接口I/O 2和I/O 3在ISO CPU與安全CPU之間傳輸?shù)目赡艿拿詈蛿?shù)據(jù)如下·注冊或者驗證用戶命令�����,安全CPU將對其發(fā)送注冊結果或者驗證結果��,用于本地存儲和/或發(fā)送至遠程應用��。
·指紋信息����,作為模板(參考)可從安全CPU發(fā)送到ISO CPU�,用于存儲到ISO智能卡存儲器中以發(fā)送至遠程應用。為了加強敏感私人信息的安全性�,參考數(shù)據(jù)可在其發(fā)送到ISOCPU之前由安全CPU進行加密。
加載連接302提供與安全CPU 114的直接連接�,當可在ISOCPU 112和ISO讀卡器208之間維持通信時,其繞開ISO連接和相關的專用I/O端口304和306所提供的任何防火墻保護��,從而電源對于安全CPU 114也是可用的�����。主要是用于該卡對特定用戶的初始注冊,并將可防止未授權訪問���。
圖5示出了圖4所示的典型生物驗證卡的可選實施例��,其打算使用未修改ISO智能卡CPU(unmodified ISO SmartCard CPU)����。特別地����,ISO CPU 112’無論在正常使用期間或者在裝載期間都不必再在讀卡器208和安全CPU 114’之間執(zhí)行任何網(wǎng)關功能,因而其可以是任何ISO許可芯片�,其不以任何方式作改變,并且以對讀卡器208和對任何外部應用都絕對透明的方式來使用�����。在該可選實施例中����,如果獲取的指紋和存儲的指紋相匹配,那么安全CPU 114’就用作ISO CPU 112’和任何外部應用之間的透明防火墻�,并且如果獲取到的指紋和存儲的指紋不匹配,那么其將阻止所有這些通信�����。
卡初始化和存儲數(shù)據(jù)的保護剪斷在一個實施例中,最初制造的卡具有突出的印刷電路延伸物��,其提供與安全CPU����,以及與至少ISO接口的部分和/或任何分立的卡上存儲器的直接連接。直接連接接口僅僅用于檢測卡和指紋注冊數(shù)據(jù)���,并且包括使注冊程序生效的信號�。注冊完成后�,將電路延伸物機械地斷開,從而不再可能進行注冊�,并且安全CPU存儲器只有通過ISO CPU和前面描述的ISO CPU與安全CPU之間的防火墻才可進行訪問���。
保險絲在另一個實施例中�����,安全CPU有一種存儲器��,一旦將注冊指紋圖案寫入����,其就將不可訪問。該存儲器的一個實例是一次性PROM(“OTP”)����,其在結構上和EEPROM相似,但是對UV不透明�����,因而不可擦除����。另一個實例是Flash ROM,其在注冊完成之后變成只讀�,例如對Enable或Address或Data信號路徑通過施加足夠的電流,以在該信號通道中形成物理斷路(“保險絲”)�。
典型認證程序在一個實施例中,典型認證程序包括獲取物理指紋數(shù)據(jù)�,例如,在由訪問人使用的連接到應用服務器的客戶終端上使用光學或壓力或傳導或電容或聲學或彈性或攝影技術�,然后將該數(shù)據(jù)發(fā)送(優(yōu)選地,以加密格式)到獨立的指紋認證服務器����。指紋認證服務器使用認證軟件將獲取的指紋數(shù)據(jù)與指紋文件進行比較�,該文件包括用戶的指紋注冊數(shù)據(jù)���,并且如果數(shù)據(jù)是匹配的�����,那么認證服務器發(fā)送生效指令到應用服務器�。
在另一個實施例中����,用戶訪問指紋認證服務器的安全網(wǎng)絡瀏覽器,其包括指紋文件��,其中所有指紋連同個人數(shù)據(jù)一起是預注冊的�����,例如姓名�����、地址���、和出生日期�。然后用戶通過安全協(xié)議例如HTTPS格式訪問的安全指紋認證服務器向客戶終端發(fā)送指令以在客戶終端處獲取用戶的指紋�。響應于客戶終端瀏覽器所顯示的指令,用戶將其選定的手指放到指紋傳感器上�,然后安裝在客戶終端里的指紋獲取軟件獲取數(shù)字指紋,例如具有25微米(micron)至70微米間距分辨率以及12.5平方毫米(mm2)至25平方毫米的面積�,并且還具有8位灰度級的象素圖像。
安全指紋認證服務器接收指紋數(shù)據(jù)�����,并連同接收User ID以及互聯(lián)網(wǎng)IP地址和/或指紋傳感器單獨編碼(MAC地址)和/或cookie(cookie是網(wǎng)絡服務器存放到客戶終端里的數(shù)據(jù)��,用于網(wǎng)絡服務器識別該客戶終端)和/或任何唯一碼或其他識別特定的個體或者終端的信息(例如����,來自客戶終端和安全指紋認證服務器之間先前的會話的細節(jié)),通過接收以上信息���,其使用認證軟件將接收的指紋數(shù)據(jù)與指紋文件進行比較��,該文件是預注冊的指紋數(shù)據(jù)以及用戶ID��,個人信息���,例如姓名�、地址����、出生日期、非法記錄�����、駕駛執(zhí)照�����、社會保險號���,等等�����,其可以是細節(jié)比較和或是快速傅里葉變換比較��。
在認證程序的開始���,用于相關應用的網(wǎng)絡服務器214從視覺上或者聽覺上指示用戶將其手指放到指紋獲取傳感器110上并且敲擊其鼠標鍵或鍵盤鍵以從而啟動安全處理器114中的指紋獲取軟件�����。接著將獲取的用戶指紋數(shù)據(jù)通過ISO處理器112和客戶終端200的網(wǎng)絡瀏覽器210以加密格式(例如,使用安全RSA加密傳輸協(xié)議HTTPS)發(fā)送到指紋認證服務器204的網(wǎng)絡服務器220��。如果獲取的數(shù)據(jù)成功匹配其數(shù)據(jù)庫226中相應的數(shù)據(jù)�,那么指紋認證服務器204接著將對客戶終端200和對應用服務器202確認用戶的身份。
以下將參照圖3�,描述一個采用了三路認證協(xié)議和一次性口令作為哈希(Hash)字符編碼序列的典型優(yōu)選實施例·客戶終端200的網(wǎng)絡瀏覽器210通過請求訪問應用程序216訪問相應的應用服務器202的網(wǎng)絡接口214。
·應用服務器202的網(wǎng)絡接口214以登入(LOG-IN)屏幕信息和訪問應用程序216的相關指令作為響應�。
·客戶終端200指示ISO處理器112激活安全處理器114。
·ISO處理器112觸發(fā)安全處理器114���。
·安全處理器114等候來自指紋傳感器110的指紋數(shù)據(jù)并且當收到有效數(shù)據(jù)時���,提取指紋數(shù)字圖案,該圖案通過ISO處理器112發(fā)送到網(wǎng)絡瀏覽器210�����。
·網(wǎng)絡瀏覽器210將指紋提取圖案的加密版連同(或與之共同加密)涉及卡100’和讀卡器208的相關信息發(fā)送到認證服務器204�,例如用戶ID、客戶終端200的IP地址�、和/或傳感器110的硬布線ID編碼(MAC地址)。
·認證服務器204的網(wǎng)絡接口220,由以上步驟接收指紋提取圖案連同來自客戶終端200的其它信息一起�,將這些信息發(fā)送到指紋匹配處理器222。
·在匹配軟件224的控制下�,指紋匹配處理器222使用收到的用戶ID或者其它的用戶特定相關信息,從數(shù)據(jù)庫226檢索相應的指紋參考圖案并且將指紋獲取圖案與指紋參考圖案進行比較�。
·將結果(匹配或不匹配)連同對終端200、用戶ID卡100’和應用請求216進行驗證的相關信息一起存儲到訪問歷史日志中�,并且將控制返回給認證服務器網(wǎng)絡接口220。
·如果結果為匹配��,那么認證服務器網(wǎng)絡接口220產(chǎn)生一個形式為詢問(challenge)字符序列的一次性密碼�,其被傳輸?shù)娇蛻艚K端200,并且使用詢問字符序列作為哈希碼��,以將相關信息進行加密����,其被保存為相應的詢問響應,用于可能的將來的參考���。
·客戶終端200使用收到的詢問字符序列作為哈希碼���,以將先前存儲的相關提交信息的未加密拷貝進行加密,然后將其發(fā)送到應用服務器202的網(wǎng)絡接口214���,作為其對應用登入程序的響應的一部分��。
·應用服務器202的網(wǎng)絡接口214由以上步驟接收經(jīng)過哈希轉換的相關信息���,將其發(fā)送到應用服務216,該服務將其與來自客戶終端的登錄(LOG-ON)企圖結合�,并且,為了確認匹配結果���,將收到的相關信息發(fā)送����,該信息已被客戶終端使用由認證服務器提供的詢問序列進行哈希轉換以作為詢問響應����。
·認證服務器204的網(wǎng)絡接口220,由以上步驟接收來自應用服務器的詢問響應��,將該響應發(fā)送到認證處理器222���,該處理器將其與先前保存的預期詢問響應的參考拷貝進行比較�,以決定用戶身份是否事實上已被授權��。
·由該比較產(chǎn)生的任何授權用戶身份信息接著通過認證服務器網(wǎng)絡接口220和應用服務器202的確認接口218而返回到應用程序216。
·確認接口218通過認證以確認在初始登錄企圖時建立的用戶身份已經(jīng)生效����。
·一旦用戶身份被確認,認證(應用)程序216則通過應用服務器202的網(wǎng)絡接口214進行與客戶終端200的網(wǎng)絡瀏覽器210直接通信�。
圖6示出了可選認證程序,其中所有的匹配通過安全CPU 114在圖4的ISO兼容卡上執(zhí)行���,并且沒有采用外部認證服務器204�。圖6的左邊示出了由應用服務器202執(zhí)行的功能���,而右邊示出了由ISO智能卡100執(zhí)行的功能�����。
當將智能卡100插入讀卡器208時�,復位信號RST從讀卡器發(fā)送到ISO CPU(START方框502)和指紋CPU 114(指紋驗證方框504)��,并且該兩部件從讀卡器208接收電源VCC����。然后ISO CPU響應以ATR(Answer-to-Reset復位應答)消息并如有必要則發(fā)出PPS(Protocol and parameters Selection協(xié)議與參數(shù)選擇)(方框506)。同時�,指紋CPU進入等待狀態(tài)以接收指紋數(shù)據(jù)�����,以及當從傳感器110收到數(shù)據(jù)時�,就執(zhí)行認證程序(方框504)�����。
當初始請求命令被應用216發(fā)送到ISO CPU 112(方框508)時����,ISO CPU向安全CPU詢問(方框510)認證狀態(tài)�。如果響應為肯定,那么ISO CPU通過運行請求命令以響應應用(方框512)����。否則(來自安全CPU 114的不管是錯誤信息還是沒有響應)其不對請求命令做任何響應,而是等待新的第一請求(方框508b)�����。
假定指紋被驗證并且第一響應被及時收到且其被應用216確定是響應信號(方框514)�����,那么請求/響應程序將將一直持續(xù)(方框516、518�、520)到超出預定驗證時限,在此期間不從該應用接收請求(方框522)�����,或者該應用不能接收預期響應(方框524)�。
圖7類似于圖6的流程圖,但是修改為采用了圖5的典型生物驗證卡����。圖7的最左邊示出了由應用服務器202執(zhí)行的功能,下一列對應于讀卡器208����,再下一列描繪了ISO觸點108,又下一列示出了由安全CPU 114執(zhí)行的功能�����,而最右邊則示出了由無變更ISO智能卡112執(zhí)行的功能���。
·當將智能卡插入讀卡器時或者應用軟件開始運行讀卡器設備時�,將復位信號550從讀卡器208發(fā)送到安全CPU 114����。
·安全CPU收到復位信號550之后不久���,其發(fā)送相應的復位信號552到ISO CPU 112。同時安全CPU等待來自指紋傳感器的指紋數(shù)據(jù)���。
·由以上步驟收到復位信號552���,ISO CPU產(chǎn)生ATR(Answer-to-Reset)響應554并此后如有必要則發(fā)出PPS(Protocol and parameters Selection)。
·安全CPU 114一旦從ISO CPU收到ATR(Answer-to-Reset)�,就立即將其�����,包括任何相關的PPS命令���,傳輸?shù)阶x卡器(方框556)����。
·同時��,如果安全CPU收到指紋數(shù)據(jù)���,那么其將執(zhí)行前面描述的認證程序��。在認證檢測結果為PASS的情況下��,該通過狀態(tài)將維持一定的時間周期���。如果結果為FAIL��,那么安全CPU 114就等候新的指紋數(shù)據(jù)�。
·由以上步驟運行該應用�,將命令請求558發(fā)送到安全CPU,只有在安全CPU仍然處于前面描述的PASS狀態(tài)時或最后的正確響應具有多數(shù)據(jù)位組時��,該安全CPU才將命令請求560發(fā)送到ISO CPU并還將其正確響應562發(fā)送到讀卡器(檢測方框564)��。
·否則(No分支566)指紋CPU產(chǎn)生偽請求(dummy request�����,虛擬請求)568并將其發(fā)送到ISO CPU并還將該結果ERR響應570發(fā)送到讀卡器216���,從而在請求中的序列號與響應中的序列號之間保持正確同步���。
加密和保密在通過任何外部網(wǎng)絡進行傳輸之前�����,優(yōu)選地�,將任何敏感數(shù)據(jù)和/或認證結果都進行加密��,可采用DES�、或Two Fish加密。加密密鑰可以基于指紋獲取或存儲數(shù)據(jù)、用戶ID編碼、傳感器的唯一分配編碼���、存儲器地址、存儲器里鄰近的數(shù)據(jù)、其它功能上相關的數(shù)據(jù)�、先前的會話(事務處理)����、IP地址�、終端編碼、或者指定的口令���??蛇x地�,敏感數(shù)據(jù)可以使用安全HTTPS協(xié)議以通過互聯(lián)網(wǎng)發(fā)送��。
為了提供更強的安全性�,可以將虛擬個人網(wǎng)關��,例如硬件DES加密和解密����,插入安全指紋認證服務器與網(wǎng)絡連接之間,以及相應的應用服務器與網(wǎng)絡連接之間���。通過這樣來使用這些虛擬網(wǎng)關或者虛擬專用網(wǎng)絡(“VPN”)��,將敏感數(shù)據(jù)通過附加的加密層進行附加保護���,例如DES 128(通常用于VPN)和RSA(被HTTPS采用)。
為了特別安全的應用���,所有的通信可以用附加的保密層來包圍��。特別地�����,較低層中的報文頭可以在較高層中進行加密�����。
無線通信其它實施例可以包括用于既接觸(ISO 7816)操作又無線(ISO1443A或B)操作的雙重接口�,并且優(yōu)選地,安裝有多接口電源單元����,其允許在全部在一張卡上的ISO 7816接觸、ISO 1443A��、ISO1443B�、ISO 15693和HID傳統(tǒng)無線系統(tǒng)(在其它的之間)之間互用?���?蛇x地,卡可包括用于其它無線通信技術的備用件�����,例如藍牙(短距離)或者蜂窩(中距離)或者微波(長距離)����。
接下來參照圖8,其示出了具有可無線或者借助于電接插件連接到本地終端的卡上生物驗證的智能卡���。其大部分結構和構造相似于前面描述的圖1的實施例�,并且同樣的標號(可能以單引號加以區(qū)分)標示相似的元件����。特別地,ISO CPU 112雖然顯示在不同的位置(在觸點108下面�����,而不是一側)����,但是有如前所述的相似功能。
ISO天線132包括通常設置在卡100的周邊的兩個環(huán)狀天線���,并且向ISO CPU 112提供ISO兼容無線接口���,用于使數(shù)據(jù)和功率相似于有線電接口108所提供的數(shù)據(jù)和功率。另外���,安全天線134(在所述例子中����,內置天線132且只由一個環(huán)狀天線構成)通過DC-DC功率調節(jié)器120向安全CPU 114提供獨立的電源。因為除了通過ISOCPU 112沒有用于無線數(shù)據(jù)的直接連接���,所以存儲在安全CPU 114內的敏感數(shù)據(jù)不被該無線接口破壞����?��?蛇x地����,如前所述的關于對外部讀卡器和外部網(wǎng)絡只有有線連接的實施例���,兩個處理器的功能可以被合并��,或者外部接口可以是通過安全CPU 114而不是通過ISOCPU 112���,其中必須將適當?shù)臒o線安全措施結合到該變體構造中。
圖9是圖8所示的卡的截面圖�����。注意到大多數(shù)所述元件包含在芯區(qū)126中����,只有觸點108延伸物穿過上保護層122。傳感器110的操作面通過上層122中的上窗口和PCB(印刷電路板)134中的下窗口以可訪問���,該PCB 134被布置在上層122和中心層126之間���,其提供各種電子元件之間必需的電連接,以及圍繞傳感器110有效區(qū)域的環(huán)繞的靜電放電接地連接��。
下層124和磁條128仍是可見的�。
指紋傳感器圖10是傳感器110的典型示意電路圖,其中傳感器單元402陣列400排列為行404和列406�。如上所述,每個單元402包括激活門410和變換器412�。指紋由手指上皮膚的凸部和凹部形成。當這些凸部之中的一個觸及陣列400內單元402的附近時���,每個傳感器單元的變換器412經(jīng)歷一個機械的和/或電的變化����,其實際上產(chǎn)生了基于傳感器表面上的由指尖上凸部和凹部引起的微壓變化的指紋數(shù)字圖像�����。注意到盡管每個變換器412被描述為單個可變電容器,但是有各種類型的變換器可以響應人類皮膚的這些凸部之中的一個的出現(xiàn)���。在壓力傳感器壓電薄膜變換器的特別實例中�,該薄膜在單元的附近變形并且產(chǎn)生存儲在連接到該單元的電容器中的電荷��。電容器上的電壓是由壓電材料的變形形成的機械應力的函數(shù)����,其進而是在單元上是凸部還是凹部的函數(shù)。當來自相關列驅動414的信號將該單元的門410達到ON時以及當相關行驅動416被接地時���,電壓出現(xiàn)在行的輸出線路418上���,并且在輸出驅動420中轉換成8位數(shù)字信號。為了最大化地探測壓電材料的變形��,壓電電氣材料可以在彈性材料上形成���,例如聚酰亞胺或者聚酰亞胺壓電電氣材料即可��。其它典型的可以用類似的陣列組織實現(xiàn)的模擬變換器技術包括可變電阻和可變電容器�。可選地��,每個單元可以包括簡單的數(shù)字開關�����,其僅僅提供單比特信息�����;在此情況下����,信息的附加的位可以由在同一區(qū)上提供多個單元或者由以更高的頻率抽樣每個單元來產(chǎn)生�����。該可選實施例避免了對A/D轉換器的需要���。
在典型實施例中�����,傳感器只有0.33毫米厚并且足夠堅固以嵌入到智能卡中并且不受靜電���、元件或者用戶皮膚狀態(tài)(濕�、干�、熱、冷)的影響����。傳感器110通常的裝置單元尺寸是25微米至70微米并且通常的間距是25微米至70微米。典型傳感器具有12.5平方毫米至25平方毫米的面積以及8位多級靈敏度��。該傳感器可以由TFT(薄膜晶體管)和壓感電容器陣列制成�����,例如由薄膜壓電材料形成����,例如鈦鋇氧化物或者鍶鋇氧化物,并且包括上電極�����,其覆蓋并且保護整個傳感區(qū)域��。如果采用機械應力���,那么將產(chǎn)生相應的電荷并且存儲在薄膜壓電電容器中��?��?蛇x地���,基于壓力的傳感器可制成TFT(薄膜晶體管)連同薄膜電容器,以及壓感電容器的陣列�,例如由壓力傳導材料片形成���,例如碳化纖維分散橡膠片��,金屬(例如銅或錫或銀)�,電鍍的碳化纖維或紙底基玻璃纖維或金屬���,分散彈性材料(例如硅樹脂)以及覆蓋整個傳感區(qū)的上電極片�����。
指紋傳感器元件402特別規(guī)定的行和列驅動416�����、414輸出電數(shù)據(jù)到輸出電路420�����,從而將表示用戶指紋的物理輸入轉換為模擬電數(shù)據(jù)��。然后輸出電路420中的A/D轉換器將該模擬電信號轉換為數(shù)字電信號��。每個薄膜晶體管選擇性地將共享的行間互連轉換為其相關的電容器上的電壓����,這樣每個電容器上的電壓可以被讀取并且因此每個單元的變形可以被測量。優(yōu)選地�����,薄膜晶體管的整個列被同時轉換�����,從而在一個選定列中的多個單元(例如8個)可以在不同的行間互連上被并行讀取���。多個門如行和列間的互連減少了互連的數(shù)量��,而從相同列的不同行并行讀取多個單元則減少了整個陣列的讀取時間時����,。來自傳感器的輸出電壓可以由差動放大器放大����。可以將該放大器的輸出采樣和保持用于A/D轉換器����。
基片可以是玻璃(例如非堿性玻璃)、不銹鋼��、鋁�����、陶瓷(例如氧化鋁)���、紙、玻璃鋼����,但優(yōu)選是晶體硅薄板。薄膜半導體材料可以是無定形硅、多晶硅���、金剛石���、或者任何其它半導體薄膜。壓電材料可以是壓電陶瓷�����,例如鉛-鋯酸鹽-鈦酸鹽(lead-zirconate-titanate���,PZT)薄膜��,優(yōu)選地��,厚度范圍為0.1至50.0微米�,或聚合物壓電聚酰亞胺薄膜材料���?�;ミB材料可以是鈦/鎳/銅����、鋁、鉻/鎳/金�����、鈦/鎳/金�����、鋁/金���、鎢/銅�����、鎢/金�、鎢/金����。
圖11示出了形成在晶體硅的薄基卡上的傳感器的載體組合���。晶體硅具有極好的電氣性質并且有利于將傳感器陣列與所需驅動和輸出電路集成�,然而在相對大而薄的硅薄板受到局部表面壓力時將會彎曲和斷裂�����。圖示的載體提供了比同樣整體厚度的硅片更結實的結構。
如圖所示��,單片硅430大約0.1毫米厚�,并且由相同厚度的玻璃鋼框432圍繞,其被安裝在也是玻璃鋼結構的墊板434上并且約0.05毫米厚���?�??32和墊板434可以很容易地使用傳統(tǒng)的印刷電路板(PCB)技術來構造����。特別地��,墊板434的上和下表面由被玻璃鋼芯分隔的薄銅層436所覆蓋��?�??32包括多個在其外部邊緣的焊盤440�,用于連接到安全處理器114。薄硅片430用環(huán)氧樹脂粘合到框432和板434����,并且有效區(qū)由在圍繞著受保護的上電極446的硅430的暴露的外邊緣部444上的傳統(tǒng)的布線連接442���,電連接到框430中各自的電路。
匹配算法對于處理能力有限并僅試圖與單一參考樣本做簡單的1∶1匹配的本地卡上處理���,指紋匹配軟件可以是基于兩個圖案的細節(jié)的相對簡單的比較�����。例如�,指紋的灰度圖像可以被減小到兩個值��,白和黑�����,并且三維凸部被轉換成二維細線(矢量)���。因而���,該方法的準確性還受到以下問題模糊、粘連�����、失真�、線段部分缺失和其它的影響。盡管細節(jié)方法理論上正確率較低�,但其需要較少的計算資源并且提供與許多現(xiàn)有數(shù)據(jù)庫兼容的可能性。
對于在具有更強處理能力的遠程認證服務器上進行處理��,可以要求更高的準確分辨率���,例如“POC”(Phase Only Correlation僅相位對比)匹配算法�。POC是基于整個圖像的宏匹配的驗證算法����。相反地,POC匹配大范圍的結構信息-從細節(jié)到總圖像����。因此,POC能夠提供加強的準確度來避免噪聲����,例如粘連和部分缺失。理論上����,POC方法不受來自位置移動和亮度差異的不利影響��,并且快速(對于脫機匹配約為0.1秒)和高準確度���。例如,POC軟件可以利用二維快速傅立葉變換(“2DFFT”)來執(zhí)行兩個指紋圖案的空間頻率比較����。2DFFT將表示指紋的物理二維分布的數(shù)字化數(shù)據(jù)陣列轉換為頻率空間,換句話說�����,將空間分布反轉換�����,該處越高的密度圖案具有越高的空間頻率����。旋轉變換可用于對頻率空間圖案匹配進行匹配。因為不被指紋記錄圖案中的普通缺陷誤導��,POC將認為這些缺陷為噪音而細節(jié)分析將這些缺陷作為有意義的數(shù)據(jù)進行解釋�����,所以POC圖案匹配與細節(jié)向量匹配相比有更多的優(yōu)點。
對于特別苛刻的應用�,混合方法將可比其它任何單獨的方法提供更高的準確度和安全性���。例如�,細節(jié)方法可以用在獲取點上��,而POC方法可以用在遠程服務器上�����。作為另一個例子����,匹配程序可以分析細節(jié)和空間關系以產(chǎn)生考慮了兩種結果的結合的分數(shù)。
應用前面描述的技術提供了用于多樣的應用�,商用的和政府的,高水平的安全性�����。根據(jù)各種應用的要求���,多種安全應用可以共存并在相同的卡上和/或相同的認證服務器上操作�����。在一個實施例中��,單張卡可以包括多至24項獨立的且安全的應用���。例如���,該技術將許可/拒絕訪問(物理的和/或邏輯的),識別人員的精確位置和/或運動和/或監(jiān)視列出的名單���,而且同時還運行其它安全應用�,各應用相互間完全地且安全地隔離���。
當前可以預期的應用如下·機場ID/通行·大廈保安
·旅館房間通行和記帳·醫(yī)院·在線游戲·下載娛樂·出生證明·計算機訪問·駕駛執(zhí)照-TWIC·電子錢包·緊急醫(yī)學信息·炸藥執(zhí)照·政府和軍用設施通行·HAZMAT(危險物)許可證·醫(yī)療保險和福利卡·停車場入口·護照·航空執(zhí)照·港口ID/通行·保險證明·社會保險卡·旅行信用卡·簽證或者進/出通行證·投票注冊卡·福利和糧票印花卡對于許多的這些應用��,優(yōu)選地��,卡的卡上存儲器還提供各種私人信息的安全存儲�����,其只有當注冊的持卡人證明了其身份和授權該訪問時才可進行訪問�。這些私人信息的實例有·管理信息,例如姓名���、地址���、出生日期����、出生地點、國籍��、宗教���、組織關系����、社會保險號碼��、駕駛執(zhí)照號碼�、護照號碼、和移民信息例如簽證類型�����、簽證期限、國籍等�����。
·財務信息���,例如電子錢包�、VISA(VISA信用卡)����,MasterCard(萬事達信用卡),American Express(美國運通信用卡)等信用卡信息����,銀行信息,例如銀行名稱����、銀行存款余額、轉帳信息��、IRS(美國國稅局)號碼�、破產(chǎn)記錄����、轉帳信息等����。
·體征和健康信息,例如識別個人的生物信息��,例如身高�����、體重����、指紋�、虹膜、視網(wǎng)膜�、手尺寸、骨結構����、聲音、DNA�����;血型;醫(yī)學診斷檢測結果����;病史;藥物�����;保險信息���;對一定刺激的心理和生理反應等�。
·事件信息��,例如犯罪記錄�、重罪、輕罪����、違法。
·應急信息��,例如墓地�����、親屬和其它聯(lián)系信息、律師信息���、宗教信息����。
·教育���、工作歷史�,包括學校�、學位、就職過的與FDD有關的公司��。
·數(shù)據(jù)訪問歷史(存儲了進卡和出卡的訪問歷史數(shù)據(jù))���。
·ID相關信息,例如指紋圖案���、指紋處理圖案���、指紋圖案的結果��。
·口令���,例如永久口令、暫時口令�����、和/或一次性口令���。
·加密密鑰����,例如公開密鑰��、個人密鑰����、和/或一次性密鑰。
接下來描述典型的卡注冊系統(tǒng)�����。
申請人填寫申請表并且將其提交���,優(yōu)選地��,包括照片和指紋�����。對于大部分申請人����,檢查其文件附件并簡單地在一個或多個政府和商業(yè)數(shù)據(jù)庫中查對提交的信息就足以建立個人的真實身份。
在其身份被識別后���,申請人進入簽發(fā)站����,此處由發(fā)卡人將認為必要的任何信息載入卡中��。申請人將其手指放在卡上的傳感器上�。一旦指紋符合要求地置于傳感器上并且被載入卡中�,就將使卡上的突出受到電沖擊,其燒斷某些保險絲�,以阻止任何人再次寫入卡的該一定區(qū)域。然后��,將該小突出切斷/剪斷(就像帶有臍帶的卡)。在該點處��,卡只能通過ISO接觸讀卡器或者ISO無線系統(tǒng)進行讀或者寫�����。
在網(wǎng)絡認證服務器的情況中�,卡上所載同樣數(shù)據(jù)的一些或者全部也是以加密形式傳輸?shù)竭h程服務器,可以補充附加的通常不存儲在卡上但是可能需要用于高安全性應用的數(shù)據(jù)����。
權利要求
1.一種智能身份識別卡,包括卡上存儲器����,用于儲存參考數(shù)據(jù);卡上傳感器���,用于捕獲現(xiàn)場生物數(shù)據(jù)����;卡上微處理器�����,用于在預定閾值內將所捕獲的生物數(shù)據(jù)和相應的存儲的參考數(shù)據(jù)進行比較,且僅當在預定閾值內匹配時才產(chǎn)生驗證消息��,以及用于將所述驗證消息發(fā)送到外部網(wǎng)絡的裝置����。
2.根據(jù)權利要求1所述的身份識別卡,其中��,所述驗證消息至少包括來自所存儲的參考數(shù)據(jù)的摘錄�����。
3.根據(jù)權利要求2所述的身份識別卡�����,其中����,所述驗證消息至少包括來自所捕獲的生物數(shù)據(jù)的摘錄。
4.根據(jù)權利要求3所述的身份識別卡��,其中�����,所述驗證消息被傳輸?shù)竭h程認證系統(tǒng)用于附加的驗證��。
5.根據(jù)權利要求4所述的身份識別卡��,其中��,所述遠程認證系統(tǒng)包括與所述本地存儲的參考數(shù)據(jù)不同的遠程存儲的參考數(shù)據(jù)����。
6.根據(jù)權利要求4所述的身份識別卡,其中�,所述卡上微處理器使用與所述遠程認證系統(tǒng)不同的匹配算法。
7.根據(jù)權利要求2所述的身份識別卡���,其中�,所述整個匹配程序由所述卡上處理器執(zhí)行并且不將所捕獲的生物數(shù)據(jù)發(fā)送到所述網(wǎng)絡����。
8.根據(jù)權利要求2所述的身份識別卡,其中���,存儲在所述卡上存儲器里的原始捕獲的生物數(shù)據(jù)以及任何其它“私有”信息對于任何外部程序都是不可用的��。
9.根據(jù)權利要求2所述的身份識別卡��,其中�����,所述卡是ISO兼容智能卡��。
10.根據(jù)權利要求9所述的身份識別卡����,還包括ISO智能卡處理器。
11.根據(jù)權利要求10所述的身份識別卡�,其中,用于儲存和處理所述受保護的生物數(shù)據(jù)的所述安全處理器被防火墻從功能上與所述ISO智能卡處理器隔離�����。
12.根據(jù)權利要求10所述的身份識別卡�����,其中����,進出所述安全處理器的所有外部數(shù)據(jù)均通過所述ISO智能卡處理器����。
13.根據(jù)權利要求10所述的身份識別卡�,其中���,進出所述ISO智能卡處理器的所有外部數(shù)據(jù)均通過所述安全處理器��。
14.根據(jù)權利要求10所述的身份識別卡��,其中�,所述安全處理器具有第一連接�,用于在載入程序期間載入數(shù)據(jù);以及第二連接���,連接到外部網(wǎng)絡�����。
15.根據(jù)權利要求14所述的身份識別卡���,其中,使所述第一連接在所述載入程序完成之后永久禁用�。
16.根據(jù)權利要求10所述的身份識別卡����,其中�����,用于存儲和處理所述受保護的生物數(shù)據(jù)的所述安全處理器被防火墻從功能上與所述ISO智能卡處理器隔離����。
17.根據(jù)權利要求10所述的身份識別卡,其中所述卡包括上磁條區(qū)域和下浮雕區(qū)域�;所述生物傳感器是指紋傳感器;以及所述安全處理器�、所述ISO智能卡處理器和所述指紋傳感器均位于在所述上磁條區(qū)域和所述下浮雕區(qū)域之間的中間區(qū)域。
18.根據(jù)權利要求2所述的身份識別卡���,其中�����,所述生物數(shù)據(jù)包括指紋數(shù)據(jù)并且所述傳感器是用于從放在所述傳感器上的用戶的手指獲取數(shù)據(jù)的指紋傳感器����。
19.根據(jù)權利要求18所述的身份識別卡���,其中���,當所述用戶將其手指放到所述指紋傳感器上方時�,提供實時反饋��,從而有助于所述手指在所述傳感器上方進行最佳放置�����。
20.根據(jù)權利要求18所述的身份識別卡����,其中�,所述匹配程序采用混合匹配算法,所述混合匹配算法考慮了所捕獲的生物數(shù)據(jù)中的細節(jié)和全部空間關系�����。
21.根據(jù)權利要求18所述的身份識別卡�����,其中�����,所述指紋傳感器包括通過墊板支承的晶體硅片。
22.根據(jù)權利要求21所述的身份識別卡����,其中,所述墊板包括夾在兩個金屬層之間的玻璃環(huán)氧樹脂層����。
23.根據(jù)權利要求18所述的身份識別卡,其中�����,所述墊板由圍繞所述硅片的載體框加固��。
24.根據(jù)權利要求1所述的身份識別卡�,其中,所述卡還包括用于將所述卡的使用限定于預定位置的裝置�����。
25.根據(jù)權利要求1所述的身份識別卡�,其中,所捕獲的生物數(shù)據(jù)中的至少一部分和所述參考數(shù)據(jù)被傳輸?shù)姜毩⒌恼J證服務器�����,用于在任何授權在線訪問用于處理涉及此用戶的安全金融交易的應用服務器之前對用戶身份進行安全驗證。
26.根據(jù)權利要求25所述的身份識別卡����,其中,響應于涉及在所述認證服務器上產(chǎn)生肯定匹配的特定應用服務器上的特定登錄企圖的匹配請求���,執(zhí)行安全三路認證協(xié)議���,其中將詢問字符序列從所述認證服務器發(fā)送到所述身份識別卡�,然后所述身份識別卡使用所述詢問字符序列和所述匹配請求產(chǎn)生詢問響應,然后將其發(fā)送到所述應用服務器����,然后所述應用服務器將所述詢問響應發(fā)送到所述認證服務器,然后所述認證服務器確認所述詢問響應是否有效�。
27.根據(jù)權利要求1所述的身份識別卡,其中�,所述卡的所述輸出用于獲得進入安全區(qū)域的物理通道。
28.根據(jù)權利要求27所述的身份識別卡���,其中����,成功和不成功訪問企圖的記錄都被保存在所述卡中。
全文摘要
本發(fā)明公開了一種高安全性身份識別卡��,包括用于存儲生物數(shù)據(jù)的卡上存儲器��,用于獲取現(xiàn)場生物數(shù)據(jù)的卡上傳感器�����?��?ㄉ系目ㄉ咸幚砥鲌?zhí)行匹配操作����,以驗證獲取的生物數(shù)據(jù)與本地保存的生物數(shù)據(jù)的匹配���。僅當存在正確的匹配時��,其它數(shù)據(jù)才可以從卡中傳出以做附加驗證和/或進一步處理��。優(yōu)選地���,卡與ISO智能卡(ISO SmartCard)兼容���。在一個實施例中,ISO智能卡起防火墻的作用�,用于保護用來保存和處理受保護生物數(shù)據(jù)的安全處理器免遭通過ISO智能卡接口進行的外部惡意攻擊。在另一實施例中�,安全處理器插于ISO智能卡接口和無變更ISO智能卡處理器之間并一直阻止任何外部通訊直到用戶的指紋已經(jīng)與先前注冊的指紋相匹配為止。當用戶將其手指放到指紋傳感器上方時���,實時反饋被提供��,從而有助于手指在傳感器上方進行最佳放置�?��?梢杂脕韱优c交易網(wǎng)絡的通訊或獲得進入安全區(qū)域的物理通道�。
文檔編號G06K19/077GK1695163SQ03825009
公開日2005年11月9日 申請日期2003年9月10日 優(yōu)先權日2002年9月10日
發(fā)明者塔米奧·薩伊托, 剛 會田, 韋恩·德里辛 申請人:艾維智能技術有限公司