專利名稱:保存生物信息完整性的生物標(biāo)識(shí)設(shè)備的制作方法
發(fā)明的背景1、發(fā)明的領(lǐng)域本發(fā)明涉及安全系統(tǒng)領(lǐng)域,具體來(lái)說(shuō)本發(fā)明涉及使用生物信息的確認(rèn)和訪問(wèn)安全性��。
2、相關(guān)技術(shù)的描述生物信息通常被用來(lái)唯一地標(biāo)識(shí)個(gè)體,例如用指紋、視網(wǎng)膜圖案�、和聲譜等����。如
圖1所示���,可以利用一個(gè)電的訪問(wèn)系統(tǒng)100,從個(gè)體讀出110生物數(shù)據(jù)101���,比較140編碼的生物標(biāo)識(shí)設(shè)備111與規(guī)定的個(gè)體的生物信息的數(shù)據(jù)庫(kù)130���,并且,如果發(fā)現(xiàn)匹配141���,則授權(quán)訪問(wèn)150���。
和其它的安全系統(tǒng)相比,基于生物學(xué)的安全系統(tǒng)具有更大的固有安全性����,其原因在于偽造或仿制的困難。和使用標(biāo)識(shí)卡和需要手動(dòng)輸入個(gè)人標(biāo)識(shí)號(hào)(PIN)的安全系統(tǒng)相比�,基于生物學(xué)的安全系統(tǒng)還具有更加容易的固有使用性��。隨著技術(shù)的進(jìn)展�����,自動(dòng)出納機(jī)(ATM)可能會(huì)配備能夠讀出個(gè)體的指紋的指紋墊,基于這個(gè)指紋的標(biāo)識(shí)����,有可能授權(quán)訪問(wèn)個(gè)人的銀行帳目?��?梢栽O(shè)想�,這個(gè)設(shè)備將包括一種裝置�,這個(gè)裝置用于區(qū)分來(lái)自模擬生物數(shù)據(jù)101’的生物數(shù)據(jù)101與例如來(lái)自指紋的造型復(fù)制品的數(shù)據(jù)。按另一種方式���,ATM可以配備視網(wǎng)膜掃描設(shè)備�,因?yàn)橐暰W(wǎng)膜圖案的仿造更加困難�,生物數(shù)據(jù)的獲得更加困難。
不幸的是��,對(duì)于基于生物學(xué)的安全系統(tǒng)有優(yōu)點(diǎn)的生物信息的特征也是利用基于生物學(xué)的安全系統(tǒng)的特征�����,而基于生物學(xué)的安全系統(tǒng)是有嚴(yán)重問(wèn)題的���。例如����,考慮利用上述的電的指紋讀出設(shè)備。為了獲得商業(yè)成功��,這些設(shè)備必須能夠迅速可靠地讀出并編碼指紋�。它們迅速獲取指紋信息的能力對(duì)于想要暗中收集這個(gè)生物信息的壞分子是頗具吸引力的。這樣一個(gè)壞分子例如可能用一個(gè)指紋收集設(shè)備115替換電梯的呼叫按鈕��,以收集120每個(gè)人的指紋���,或者選擇使用電梯的人�����。按另一種方式����,這個(gè)壞分子可能通過(guò)違反安全設(shè)備100的安全性并記錄編碼的信號(hào)111來(lái)拷貝生物信息的編碼�。個(gè)體的編碼的生物信息111的每次通信,都將增加壞分子獲得這個(gè)信息的可能性�。這個(gè)壞分子因?yàn)榫哂辛硪粋€(gè)個(gè)體的指紋的記錄的編碼,所以他可能破壞這個(gè)安全設(shè)備100的實(shí)際安全性����,在111’插入另一個(gè)個(gè)體的指紋,并且獲得一次未被授權(quán)的訪問(wèn)����。雖然這個(gè)未被授權(quán)的訪問(wèn)可能需要破譯實(shí)際的安全設(shè)備100,但它不需要侵犯?jìng)€(gè)體的安全性��,例如一個(gè)對(duì)個(gè)人信用卡的偷竊����,因此很少有立即發(fā)現(xiàn)的。
現(xiàn)在考慮由于生物信息的另一個(gè)屬性(唯一性和不變性)引起的困難���。一個(gè)個(gè)體的指紋對(duì)于這個(gè)個(gè)體來(lái)說(shuō)是唯一的�,不可能改變��。當(dāng)一個(gè)個(gè)人信用卡被偷��,這個(gè)個(gè)人只能取消這個(gè)被偷的卡并且獲得一個(gè)新卡���;在妥善處理個(gè)人的PIN時(shí)���,這個(gè)人只能選擇另一個(gè)號(hào)碼�����。開(kāi)始段的未被授權(quán)的訪問(wèn)可能會(huì)引起損失����,但通過(guò)使非法的信息作廢無(wú)效可免去未來(lái)的損失���。使非法的信息作廢無(wú)效的方法是向安全當(dāng)局宣告這個(gè)信用卡或PIN終止���,阻止根據(jù)這個(gè)信用卡或PIN的再次授權(quán)。然而��,當(dāng)一個(gè)人的生物信息被偷時(shí)��,這個(gè)人就不可能實(shí)現(xiàn)補(bǔ)救措施�。這個(gè)個(gè)體和安全當(dāng)局唯一能作的選擇就是通過(guò)宣告這個(gè)生物信息終止、并且禁止使用這個(gè)生物信息進(jìn)行訪問(wèn)控制來(lái)使這個(gè)生物信息作廢無(wú)效��。因此����,迫使他的生物信息已經(jīng)終止的每個(gè)個(gè)體重新回到更加傳統(tǒng)的標(biāo)識(shí)措施,如卡或PIN。這就是說(shuō)���,一旦壞分子開(kāi)發(fā)了新的措施通過(guò)拷貝生物信息可以破譯生物安全系統(tǒng)��,使用生物信息進(jìn)行安全的訪問(wèn)和確認(rèn)變得越來(lái)越不切實(shí)際。
本發(fā)明的這些目的和其它目的是通過(guò)提供一種標(biāo)記設(shè)備(tokendevice)實(shí)現(xiàn)的�,所說(shuō)的標(biāo)記設(shè)備與一個(gè)個(gè)人生物信息結(jié)合使用,用于確認(rèn)和訪問(wèn)安全�。這個(gè)標(biāo)記設(shè)備包含一個(gè)密鑰,這個(gè)密鑰是使用用戶的生物信息加密的��。這個(gè)安全系統(tǒng)使用一種可靠的詢問(wèn)-應(yīng)答方案與標(biāo)記設(shè)備通信的�。標(biāo)記設(shè)備要求存在來(lái)自個(gè)人的生物信息,以便與安全系統(tǒng)一起可靠地操作�����,其中使用生物信息解密在這個(gè)安全系統(tǒng)中使用的上述密鑰����。于是,只在標(biāo)記傳遞到安全系統(tǒng)同時(shí)生物信息傳遞到標(biāo)記的條件下�,才授權(quán)訪問(wèn)?�;蛘邩?biāo)記不存在,或者生物信息不存在��,都禁止訪問(wèn)�。
除了需要生物信息和標(biāo)記,這兩者增加了安全性以外���,按照本發(fā)明的安全系統(tǒng)不將這個(gè)生物信息通信到安全系統(tǒng)�����。進(jìn)而�����,按照本發(fā)明��,如果沒(méi)有標(biāo)記����,生物信息的拷貝是無(wú)用的���,并且��,只作廢破譯的標(biāo)記可使生物信息和標(biāo)記這兩者的安全性都損失的效果減至最小�。
附圖的簡(jiǎn)要說(shuō)明圖1表示現(xiàn)有技術(shù)的訪問(wèn)安全系統(tǒng)的示例性方塊圖;圖2表示按照本發(fā)明的訪問(wèn)安全系統(tǒng)的示例性方塊圖����;圖3表示按照本發(fā)明借助于私人的密鑰的加密啟動(dòng)一個(gè)標(biāo)記的示例性的流程圖;圖4表示按照本發(fā)明的一個(gè)訪問(wèn)安全系統(tǒng)的示例性的流程圖���。
本發(fā)明的詳細(xì)描述圖2表示按照本發(fā)明的訪問(wèn)安全系統(tǒng)的示例性方塊圖�。這里所用的術(shù)語(yǔ)“訪問(wèn)”具有最普通的含義�,包括訪問(wèn)位置��、目標(biāo)�����、和信息��,以及一個(gè)個(gè)體的確認(rèn)結(jié)果��,如一個(gè)記錄中的一項(xiàng)�����。安全系統(tǒng)包括由個(gè)人攜帶的一個(gè)安全標(biāo)記200和與標(biāo)記200相互作用以確認(rèn)這個(gè)個(gè)體是一個(gè)授權(quán)的用戶的訪問(wèn)設(shè)備300��。
圖2的舉例的訪問(wèn)設(shè)備300是一個(gè)常規(guī)的詢問(wèn)應(yīng)答型確認(rèn)設(shè)備。在這個(gè)例中���,訪問(wèn)設(shè)備300使用了一個(gè)非對(duì)稱的���、雙重密鑰(公共/私人)的、加密系統(tǒng)���。如在本領(lǐng)域中通用的��,在一個(gè)雙重密鑰系統(tǒng)中�,使用這一對(duì)密鑰中的一個(gè)密鑰加密的數(shù)據(jù)能夠用這對(duì)密鑰中的另一個(gè)密鑰解密�。為方便起見(jiàn),這里使用字母U和V分別區(qū)別一個(gè)雙重密鑰對(duì)中的公共密鑰和私人密鑰���。示例性訪問(wèn)設(shè)備300包括一個(gè)隨機(jī)數(shù)發(fā)生器310��、一個(gè)確認(rèn)解碼器320�����、一組授權(quán)用戶的公共密鑰330�����、一個(gè)比較器340�、和一個(gè)訪問(wèn)鎖350。訪問(wèn)設(shè)備300作為一個(gè)詢問(wèn)傳遞一個(gè)隨機(jī)數(shù)R311�,并且響應(yīng)于這個(gè)詢問(wèn)接收隨機(jī)數(shù)R311的加密E(R、V)251����。隨機(jī)數(shù)R311的加密E(R、V)251是基于密鑰V241的加密��。如下面將要討論的�,如果授權(quán)的用戶是這個(gè)標(biāo)記的當(dāng)前用戶,密鑰V241將是這個(gè)授權(quán)用戶的私人密鑰�。確認(rèn)解碼器320利用這個(gè)授權(quán)用戶的公共密鑰U331解密隨機(jī)數(shù)R311的加密E(R,V)311���。如果解密的結(jié)果D(E(R,V),U)321與傳遞到標(biāo)記200的隨機(jī)數(shù)311相等���,則斷定是匹配341的,并且授權(quán)訪問(wèn)250�����。這就是說(shuō)�,只有在訪問(wèn)設(shè)備300上使用對(duì)應(yīng)于公共密鑰U的授權(quán)用戶的私人密鑰V加密隨機(jī)數(shù)R311����,才授權(quán)訪問(wèn)�����。
在圖2中還表示出一個(gè)任選的散列設(shè)備H255��、355�����,用于附加的安全�。確認(rèn)加密器250不是直接加密隨機(jī)數(shù)R311,而是加密來(lái)自散列設(shè)備255的隨機(jī)數(shù)R311的散列編碼H(R)256�。在這個(gè)可以選擇的實(shí)施例中,確認(rèn)加密器250向訪問(wèn)設(shè)備300傳遞加密的響應(yīng)E(H(R),V)251���。以類似的方式�,散列設(shè)備355利用相同的散列函數(shù)H向比較器340提供隨機(jī)數(shù)R311的散列編碼H(R)356�。比較器340比較散列編碼H(R)356與解密的結(jié)果D(E(H(R),V),U)321,以便基于這些散列編碼356���、321的匹配341確定訪問(wèn)狀態(tài)��。只在散列編碼356�、321匹配的條件下才授權(quán)訪問(wèn)。為清楚起見(jiàn)���,并且為了容易理解����,下面的詳細(xì)描述針對(duì)的是隨機(jī)數(shù)R311的加密和解密��,而不經(jīng)過(guò)隨機(jī)數(shù)R311的上述的任選的散列編碼256�����、356����?����;谝陨系膶?duì)于使用任選的散列設(shè)備255����、355的實(shí)施情況的詳細(xì)描述�����,將散列編碼256����、356適當(dāng)替換成隨機(jī)數(shù)R311對(duì)于本領(lǐng)域的普遍技術(shù)人員來(lái)說(shuō)是顯而易見(jiàn)的��。
按照本發(fā)明��,將授權(quán)用戶的私人密鑰V241以加密的形式230存儲(chǔ)在標(biāo)記200中����。授權(quán)用戶的私人密鑰V的加密E(V,B)230是基于對(duì)應(yīng)于授權(quán)用戶的生物加密密鑰B211。示例性的標(biāo)記200包括生物傳感器210�、一次性生物加密器220、存儲(chǔ)器230����、生物解密器240、確認(rèn)加密器250�����。標(biāo)記200還包括一個(gè)任選的標(biāo)記標(biāo)識(shí)碼290���。
在圖2的示例性的標(biāo)記200中�,加密的密鑰E(V,B)是對(duì)稱加密的,其中使用相同的密鑰B211來(lái)加密和解密這個(gè)密鑰V��。當(dāng)標(biāo)記200初次發(fā)給授權(quán)用戶時(shí)����,將這個(gè)授權(quán)用戶的私人密鑰V202輸入到一次性生物加密器220,同時(shí)����,授權(quán)用戶向標(biāo)記200提供生物數(shù)據(jù)201,例如通過(guò)用一個(gè)手指握住標(biāo)記的生物傳感器210���。在這里使用的術(shù)語(yǔ)生物加密器和生物解密器是為了區(qū)分加密器220和本發(fā)明中的其它加密器和解密器��;形容詞“生物的“只是為了表示為了加密和解密使用的密鑰的出處來(lái)源��。一次性生物加密器220利用來(lái)自生物傳感器210的授權(quán)用戶的編碼的生物密鑰B211�,這個(gè)加密密鑰E(V,B)存儲(chǔ)在存儲(chǔ)器230中����。在一個(gè)優(yōu)選實(shí)施例中����,用戶的私人密鑰V202是在加密后立即破壞掉的�。
與這個(gè)私人密鑰V202對(duì)應(yīng)的授權(quán)用戶的公共密鑰U203存儲(chǔ)在訪問(wèn)設(shè)備300的授權(quán)用戶公共密鑰數(shù)據(jù)庫(kù)330中����。在一個(gè)優(yōu)選實(shí)施例中,訪問(wèn)設(shè)備300包含保護(hù)措施����,從而可以保證,只有授權(quán)用戶的公共密鑰才能進(jìn)入這個(gè)數(shù)據(jù)庫(kù)330���。例如��,如果從一個(gè)遠(yuǎn)處的位置將授權(quán)用戶的公共密鑰傳遞到訪問(wèn)設(shè)備300���,則利用在本領(lǐng)域中通用的認(rèn)證系統(tǒng)來(lái)接收這些由權(quán)威當(dāng)局用數(shù)字方式簽發(fā)的唯一的密鑰。和這個(gè)公共密鑰U相關(guān)的或者是用戶的標(biāo)識(shí)��,或者是標(biāo)記的標(biāo)識(shí)�,或者是這兩者。例如���,為了訪問(wèn)ATM��,要使公共密鑰U與特定用戶的銀行帳號(hào)相關(guān)聯(lián)�����,或者與用戶的社會(huì)安全號(hào)相關(guān)聯(lián)�,或者與用于標(biāo)識(shí)用戶的某些其它數(shù)據(jù)相關(guān)聯(lián)。為使用戶不太需要經(jīng)單獨(dú)的過(guò)程提供這種標(biāo)識(shí)���,示例性的標(biāo)記200包含一個(gè)標(biāo)記標(biāo)識(shí)碼290��,標(biāo)記標(biāo)識(shí)碼290標(biāo)識(shí)訪問(wèn)設(shè)備300的用戶或用戶標(biāo)記�。由標(biāo)記標(biāo)識(shí)碼290提供的標(biāo)識(shí)291可以是用戶的銀行帳號(hào)��、用戶的社會(huì)安全號(hào)���、或與數(shù)據(jù)庫(kù)330中的用戶有關(guān)的其它號(hào)碼���。
生物傳感器210將標(biāo)記200的當(dāng)前用戶的生物度量值201轉(zhuǎn)換成編碼形式B211,這個(gè)編碼形式B211適于用作為私人密鑰V202加密的一個(gè)對(duì)稱的密鑰�。如在密碼領(lǐng)域公知的,某些形式的信息比其它的信息更有利于保密���,把信息從一種原始的形式轉(zhuǎn)換成可用作加密密鑰的一種優(yōu)選形式的技術(shù)通常是可以得到的����。在優(yōu)選實(shí)施例中��,使用一個(gè)散列函數(shù)產(chǎn)生用于普通的加密算法的生物密鑰B211�,如DES或3重DES等。在優(yōu)選實(shí)施例中�����,生物密鑰B211的特征是生物密鑰B211是提供解密的密鑰V241的唯一密鑰���,所說(shuō)解密的密鑰V241等同于來(lái)自存儲(chǔ)的加密E(V,B)的私人密鑰V202���。如果使用一個(gè)散列函數(shù),則生物密鑰211也具有期望的特征從密鑰B211導(dǎo)出原始的生物數(shù)據(jù)201實(shí)際上是不可能的�����。值得注意的是����,生物加密器220不必留在標(biāo)記200內(nèi)���;它可以是一個(gè)外部的加密器,這個(gè)加密器從生物傳感器210或一個(gè)不同的生物傳感器210’接收生物密鑰B�����,并且向標(biāo)記200的存儲(chǔ)器230提供加密的密鑰E(V,B)�����。
當(dāng)用戶期望經(jīng)過(guò)訪問(wèn)設(shè)備300訪問(wèn)時(shí)���,用戶要向訪問(wèn)設(shè)備300出示標(biāo)記200�,以便進(jìn)行上述的詢問(wèn)應(yīng)答程序���。其生物學(xué)特征201形成用來(lái)加密私人密鑰V202的用戶在這里稱之為標(biāo)記200的授權(quán)用戶���。當(dāng)授權(quán)用戶向生物傳感器210提供生物學(xué)特征時(shí),例如在一個(gè)指紋傳感器上加一手指�����,生物加密器240解密已加密的私人密鑰E(V,B)230�,并且產(chǎn)生私人密鑰V241��。當(dāng)授權(quán)用戶在存在訪問(wèn)設(shè)備300的情況下操作標(biāo)記時(shí)�,確認(rèn)加密器250使用私人密鑰V241加密詢問(wèn)的隨機(jī)數(shù)R311�,所說(shuō)的私人密鑰V241對(duì)應(yīng)于存儲(chǔ)在授權(quán)用戶的公共密鑰數(shù)據(jù)庫(kù)330中的公共密鑰U331。訪問(wèn)設(shè)備300中的解密器320解密來(lái)自標(biāo)記200中的加密器250的應(yīng)答E(R,V)251��,并且從中產(chǎn)生解密的結(jié)果R321��。只在利用私人密鑰V241加密應(yīng)答E(R,V)251����、所說(shuō)的私人密鑰V241對(duì)應(yīng)于這個(gè)授權(quán)用戶的公共密鑰U331的條件下�,解密的結(jié)果R321才與原始的隨機(jī)數(shù)R311匹配。如果解密的結(jié)果R321與隨機(jī)數(shù)R311匹配�����,則授權(quán)訪問(wèn)���。
值得注意的是�����,如果例如由另一個(gè)人提供不同的生物學(xué)特征201���,解密的密鑰241將不是加密的私人密鑰V����,并且����,解密的結(jié)果321將不是原來(lái)的隨機(jī)數(shù)R311,因此將不授權(quán)訪問(wèn)��。還要注意的是�,標(biāo)記200既不存儲(chǔ)又不傳遞這個(gè)生物信息。為了獲得訪問(wèn)���,壞分子必然要偷竊標(biāo)記�����,并且必然還要偽造生物學(xué)特征201或者生物加密密鑰211�。為了阻止這個(gè)行動(dòng)���,在優(yōu)選實(shí)施例中�,將標(biāo)記200制造成一旦訪問(wèn)標(biāo)記200的內(nèi)部���,必將破壞加密密鑰230和所有形式的生物數(shù)據(jù)�����。如在本領(lǐng)域中通用的�����,可以使用物理的或電的裝置來(lái)破壞標(biāo)記200的內(nèi)容����。電的擦除裝置例如包括在存儲(chǔ)器230中使用可熔化的連接�����、易失性存儲(chǔ)元件����、和類似的裝置。物理安全裝置例如包括在標(biāo)記200的封裝破壞時(shí)釋放的酸�。
在發(fā)現(xiàn)安全性破壞時(shí),例如����,標(biāo)記神秘失蹤�,只要從授權(quán)用戶的公共密鑰330的數(shù)據(jù)庫(kù)中除掉公共密鑰U331����,就可以使這個(gè)標(biāo)記作廢無(wú)效??梢允褂靡粚?duì)新密鑰U’,V’來(lái)將新標(biāo)記發(fā)送給用戶。在此之后���,將可以使用一個(gè)新的包含加密密鑰E(V’,B)的標(biāo)記200’去訪問(wèn)包含公共密鑰U’的訪問(wèn)設(shè)備300��,其條件只是���,在訪問(wèn)時(shí)要給新的標(biāo)記200’提供合適的生物學(xué)特征201以產(chǎn)生正確的生物密鑰B211。于是����,如圖所示,按照本發(fā)明�,在不會(huì)無(wú)效生物信息(201、B211)本身的情況下可以無(wú)效生物學(xué)特征信息的使用(通過(guò)被偷的標(biāo)記200)��。
可以按各種各樣的形式實(shí)施標(biāo)記200��。例如,可以將指紋標(biāo)記作成具有指紋傳感器的一個(gè)手持式設(shè)備���,用戶將拇指放在這個(gè)傳感器上就可以激勵(lì)這個(gè)傳感器���,同時(shí)將標(biāo)記對(duì)準(zhǔn)訪問(wèn)設(shè)備、類似的庫(kù)門(mén)開(kāi)啟工具�����、或其它類型的遙控器�����。類似地���,標(biāo)記可以是具有指紋傳感器或換能器的ID卡形式??梢詫⒁粋€(gè)視網(wǎng)膜掃描標(biāo)記作成一個(gè)單片眼鏡,用戶將這個(gè)單片眼鏡放在一只眼睛上����,同時(shí)面對(duì)訪問(wèn)設(shè)備?����?梢詫⒁粋€(gè)聲譜標(biāo)記作成一個(gè)麥克風(fēng)。隨著技術(shù)的進(jìn)展����,這樣的標(biāo)記可以埋在用戶的皮膚下,例如使用用戶的DNA作為生物學(xué)特征數(shù)據(jù)�。本發(fā)明的這些和其他的實(shí)施對(duì)于本領(lǐng)域的普遍技術(shù)人員來(lái)說(shuō)是顯而易見(jiàn)的。
圖3表示按照本發(fā)明利用一個(gè)私人密鑰V的加密來(lái)啟動(dòng)標(biāo)記的一個(gè)示例性的流程圖�。在410步,讀出生物數(shù)據(jù)��,例如利用指紋墊���、視網(wǎng)膜掃描�、聲譜�、等進(jìn)行這種讀出。收集和處理生物學(xué)特征的輸入以產(chǎn)生對(duì)應(yīng)于單個(gè)用戶的一致性的和可重復(fù)的生物數(shù)據(jù)的技術(shù)和設(shè)備在本領(lǐng)域中都是通用的�����。在圖3中表示的就是任選的散列編碼方法��,在420步�,使用這個(gè)任選的散列編碼方法從編碼的生物信息產(chǎn)生生物密鑰B。一般來(lái)說(shuō),生物讀出器的分辨率都是按照編碼的位數(shù)規(guī)定的�。類似地,在430步的加密過(guò)程的密鑰的大小也是按照密鑰的位數(shù)規(guī)定的���。密鑰的位數(shù)決定了所提供的安全性的水平��,這是因?yàn)槠茐囊粋€(gè)碼的安全性的困難程度與密鑰的位數(shù)成指數(shù)關(guān)系�����。優(yōu)選地�����,生物信息所含的分辨率應(yīng)足以產(chǎn)生至少和加密密鑰的位數(shù)一樣多的位數(shù)��。模塊420的散列和密鑰產(chǎn)生函數(shù)實(shí)現(xiàn)的是從生物信息的位數(shù)到密鑰的合適位數(shù)一種轉(zhuǎn)換�����。任選地,如果優(yōu)選的散列函數(shù)是不能實(shí)施的���,則模塊420通過(guò)截?cái)嗷驈?fù)制生物信息中的一些位來(lái)為密鑰提供合適的位數(shù)�����。這就是說(shuō)����,例如,如果生物傳感器產(chǎn)生64位的生物信息���,并且�����,加密密鑰是56位�����,則要從生物信息截去8位��。如果在生物信息中存在有效位��,則選擇最低有效位(即最少的信息內(nèi)容)作為要截去的位�����。類似地���,例如���,如果生物傳感器產(chǎn)生40位的生物信息,并且�����,加密密鑰是56位���,則要復(fù)制16位生物信息�,以產(chǎn)生生物加密密鑰B所需的56位���,或者說(shuō)�����,將密鑰B的16位設(shè)定為預(yù)定值��。
與此相關(guān)地����,在這460步��,產(chǎn)生一個(gè)雙重密鑰對(duì)U��、V���。雙重密鑰對(duì)U�����、V的產(chǎn)生可以經(jīng)過(guò)用于產(chǎn)生非對(duì)稱的公共密鑰/私人密鑰的��、任何數(shù)目的現(xiàn)有的算法�����。在430步����,使用生物密鑰B加密私人密鑰V����。在440步,在標(biāo)記中存儲(chǔ)基于生物密鑰B��,E(V,B)的私人密鑰V的加密�。在470步���,向所有的每個(gè)安全設(shè)備公布對(duì)應(yīng)于加密的私人密鑰V的公共密鑰U,這里所說(shuō)的安全設(shè)備是用戶打算經(jīng)過(guò)包含加密密鑰V的標(biāo)記使用的那些設(shè)備�����。為了安全的目的�,應(yīng)該破壞私人密鑰V和它的所有的復(fù)制品,如塊450所示����。
圖4表示出用于按照本發(fā)明的一個(gè)訪問(wèn)安全系統(tǒng)的示例性的流程圖。圖4的訪問(wèn)安全系統(tǒng)包括一個(gè)標(biāo)記500和一個(gè)訪問(wèn)設(shè)備600�����。方塊510和520完成和以上討論的方塊410和420相同的功能����。圖4中使用和圖2相比不同的數(shù)字,以便清楚表明圖4中所示的私人密鑰V的加密可以使用和標(biāo)記200中使用的不同的部件����,條件只是這些部件要能實(shí)現(xiàn)用戶的生物度量值至相同的生物密鑰B的相同轉(zhuǎn)換。為了便于查證��,就此而論,這時(shí)的用戶稱之為當(dāng)前用戶�,因?yàn)檫€不知道這個(gè)用戶是授權(quán)用戶還是已經(jīng)偷竊了標(biāo)記的一個(gè)壞分子。當(dāng)標(biāo)記500的當(dāng)前用戶是授權(quán)用戶時(shí)�����,通過(guò)方塊510和520產(chǎn)生了生物密鑰B��;在當(dāng)前用戶不是授權(quán)用戶時(shí)���,由方塊510和520產(chǎn)生一個(gè)不同的生物密鑰B’。方塊530代表授權(quán)用戶的加密的私人密鑰E(V,B)的上述存儲(chǔ)�����。在540步�����,加密的私人密鑰E(V,B)通過(guò)生物密鑰B解密以產(chǎn)生私人密鑰V����。如果使用一個(gè)不同的生物密鑰B’,在540步將產(chǎn)生一個(gè)不同的密鑰V’�。
當(dāng)訪問(wèn)設(shè)備600發(fā)出一個(gè)如以下討論的詢問(wèn)R631時(shí)�����,標(biāo)記500在550步接收它�����,并且將其提供給加密方塊560��。加密方塊560使用密鑰V(或V’)加密這個(gè)詢問(wèn)R631��,方塊570向訪問(wèn)設(shè)備600發(fā)送加密E(R,V)或E(R,V’)����。為了安全的目的����,方塊580要求迅速破壞私人密鑰V的所有的拷貝和與生物學(xué)特征有關(guān)的所有的數(shù)據(jù)。實(shí)現(xiàn)這種破壞的方法例如是����,快速清除已經(jīng)保存有在510步讀出的生物學(xué)特征、520步的散列的對(duì)稱密鑰B�����、540步的私人密鑰V的任何寄存器等等。
訪問(wèn)設(shè)備600在610步接收一個(gè)用戶的標(biāo)識(shí)ID�。例如用戶將銀行卡提供給ATM機(jī),從而可以輸入這個(gè)標(biāo)識(shí)�。在優(yōu)選實(shí)施例中,在方?jīng)Q590���,通過(guò)標(biāo)記500提供這種標(biāo)識(shí),借此��,用戶不再需要攜帶標(biāo)識(shí)卡和標(biāo)記這兩樣?xùn)|西��。在收到一個(gè)用戶標(biāo)識(shí)時(shí)����,訪問(wèn)設(shè)備600在620步通過(guò)產(chǎn)生一個(gè)隨機(jī)數(shù)啟動(dòng)詢問(wèn)應(yīng)答協(xié)議,并且在630步��,將其發(fā)送到標(biāo)記500�����,以此作為詢問(wèn)R631��。在610步接收用戶的標(biāo)識(shí)ID,也啟動(dòng)一次授權(quán)用戶數(shù)據(jù)庫(kù)的查找���,查找與已標(biāo)識(shí)的用戶有關(guān)的公共密鑰U��。如果用戶標(biāo)識(shí)ID沒(méi)有對(duì)應(yīng)的公共密鑰U�����,方塊540將產(chǎn)生一個(gè)零密鑰U’�����。
響應(yīng)于詢問(wèn)R���,標(biāo)記500返回詢問(wèn)R的加密。這個(gè)加密或者是E(R,V)(基于正確的私人密鑰V的加密)�,或者是E(R,V’)(基于錯(cuò)誤的密鑰V’的加密,這個(gè)錯(cuò)誤的密鑰V’是在560步由不同的人員的生物密鑰B’產(chǎn)生的)����。在方塊560,接收加密的應(yīng)答E(R,V)或E(R,V’)�����。解密方塊660將用戶的公共密鑰U加到加密的應(yīng)答E(R,V)或E(R,V’)上。如果接收到前一個(gè)加密應(yīng)答E(R,V)��,則解密方塊660將產(chǎn)生一個(gè)解密的結(jié)果D(E(R,V),U)�,這個(gè)結(jié)果等于原始的詢問(wèn)R631。如果接收到后一個(gè)加密應(yīng)答E(R,V’)��,則解密方塊660將產(chǎn)生一個(gè)解密的結(jié)果D(E(R,V’),U)����,這個(gè)結(jié)果不等于原始的詢問(wèn)R631。在670步���,解密的結(jié)果D(E(R,V),U)或解密的結(jié)果D(E(R,V’),U)與原始的詢問(wèn)R631比較,以便確定訪問(wèn)狀態(tài)��。如果在675步��,解密的結(jié)果匹配原始的詢問(wèn)�,則在690步授權(quán)訪問(wèn);如果解密的結(jié)果不匹配原始的詢問(wèn)����,則在680步拒絕訪問(wèn)。值得注意的是����,如果例如在610步響應(yīng)一個(gè)不正確的用戶標(biāo)識(shí)的過(guò)程中方塊640提供了一個(gè)不正確的用戶密鑰U’����,也要發(fā)生不匹配的情況�����。
因此�����,如通過(guò)圖4的示例性的流程圖可以看見(jiàn)的�����,只有生物密鑰B匹配用來(lái)加密私人密鑰V的原始生物密鑰�、并且私人密鑰V對(duì)應(yīng)于在這個(gè)訪問(wèn)設(shè)備中存儲(chǔ)的公共密鑰U時(shí)才授權(quán)訪問(wèn)。如果系統(tǒng)的安全性遭到了破壞����,只要從授權(quán)用戶的數(shù)據(jù)庫(kù)中除去公共密鑰U,就可以拒絕隨后的訪問(wèn)��。通過(guò)提供一組新的公共密鑰/私人密鑰通行字并且重復(fù)圖3的過(guò)程�,就可以實(shí)現(xiàn)隨后的授權(quán)訪問(wèn)��。
如以上所述����,本發(fā)明的優(yōu)選實(shí)施例包括高安全性的非對(duì)稱的公共密鑰/私人密鑰和一個(gè)詢問(wèn)應(yīng)答安全協(xié)議�����。如本領(lǐng)域的普遍技術(shù)人員顯而易見(jiàn)的����,可以使用復(fù)雜性較小的方法,當(dāng)然���,它所提供的安全性的水平也隨之降低�����。例如,標(biāo)記可以只包括用戶的PIN的一個(gè)加密�����,并且可以構(gòu)造這個(gè)標(biāo)記�����,以便可以解密這個(gè)PIN并且將這個(gè)PIN直接傳遞到訪問(wèn)設(shè)備。這就是說(shuō)�����,例如���,這樣一個(gè)標(biāo)記可能代替用戶在一個(gè)經(jīng)過(guò)改進(jìn)的可以接收從標(biāo)記傳遞的PIN的傳統(tǒng)的ATM機(jī)上敲擊這個(gè)PIN����。這樣一個(gè)標(biāo)記不會(huì)提供和優(yōu)選的雙重密鑰實(shí)施例相同的安全性水平�����,但它比當(dāng)前的鍵盤(pán)方法更可靠�����,因?yàn)樗藟姆肿油ㄟ^(guò)觀察用戶的鍵盤(pán)敲擊確定PIN的可能性���。在這個(gè)示例性的低安全性和高安全性實(shí)施例之間的其它的安全措施對(duì)于本領(lǐng)域的普遍技術(shù)人員來(lái)說(shuō)是顯而易見(jiàn)的�����。
以上只說(shuō)明了本發(fā)明的原理��。因此�����,可以理解�����,本領(lǐng)域的普遍技術(shù)人員將能夠設(shè)計(jì)出各種裝置�����,這些裝置雖然在這里沒(méi)有明顯地描述和表示�,但它們實(shí)施的必然是本發(fā)明的原理,因此在本發(fā)明的構(gòu)思和范圍內(nèi)��。例如��,不是經(jīng)291向訪問(wèn)設(shè)備300提供用戶或標(biāo)記的標(biāo)識(shí)����,而是由訪問(wèn)設(shè)備300實(shí)現(xiàn)授權(quán)用戶的公共密鑰數(shù)據(jù)庫(kù)330的窮舉搜索����,以確定在數(shù)據(jù)庫(kù)330中的公共密鑰U中的任何一個(gè)是否能實(shí)現(xiàn)原始隨機(jī)數(shù)R311的解密����。如果是��,則授權(quán)訪問(wèn)��,其中具有或者沒(méi)有明顯標(biāo)識(shí)哪一個(gè)授權(quán)用戶���。類似地���,一對(duì)密鑰U、V可能與一組用戶相關(guān)����,而不是和每個(gè)單個(gè)用戶相關(guān)。在這個(gè)例子中���,這個(gè)組內(nèi)的每個(gè)用戶具有一個(gè)標(biāo)記�,這個(gè)標(biāo)記包含同一個(gè)私人密鑰V的加密���,但每個(gè)加密都基于每個(gè)用戶的生物信息�����。還有��,生物信息不必對(duì)于每個(gè)用戶都是唯一的���。例如����,生物信息可以只是一個(gè)血型�,并且,具有這個(gè)血型的任何一個(gè)人都可以使用相同的標(biāo)記����。例如,這種標(biāo)記可以用來(lái)防止錯(cuò)誤的輸血��?����;蛘?,例如,這種標(biāo)記可以用來(lái)授權(quán)或拒絕基于另一個(gè)特征(例如性別、年齡���、如此等等)的訪問(wèn)。
這里討論的特定實(shí)施例只是為了說(shuō)明的目的���。如本領(lǐng)域的普遍技術(shù)人員顯而易見(jiàn)的���,可以用硬件、軟件�、或二者的組合來(lái)實(shí)施標(biāo)記200和訪問(wèn)設(shè)備300的各個(gè)部件。標(biāo)記200和訪問(wèn)設(shè)備300內(nèi)的功能方塊的分割和位置都可根據(jù)需要或期望調(diào)節(jié)��。例如����,授權(quán)用戶的公共密鑰數(shù)據(jù)庫(kù)不必與訪問(wèn)設(shè)備一起定位。數(shù)據(jù)庫(kù)可以定位在萬(wàn)維網(wǎng)����,解密器320經(jīng)web網(wǎng)頁(yè)訪問(wèn)來(lái)檢索用戶的公共密鑰U。就授權(quán)用戶公共密鑰數(shù)據(jù)庫(kù)的數(shù)據(jù)的輸入而論����,在優(yōu)選實(shí)施例中,授權(quán)用戶的公共密鑰的通信也是經(jīng)本領(lǐng)域中通用的認(rèn)證系統(tǒng)確認(rèn)的。訪問(wèn)鎖350可以遠(yuǎn)距離定位�,或者根本沒(méi)有。例如�,訪問(wèn)設(shè)備300可以是在一個(gè)警衛(wèi)單位的設(shè)備,其中的匹配341提供只由供警衛(wèi)研討的一個(gè)綠燈顯示的訪問(wèn)狀態(tài)�。
本發(fā)明的其它應(yīng)用對(duì)于本領(lǐng)域的普遍技術(shù)人員來(lái)說(shuō)也是顯而易見(jiàn)的。標(biāo)記200還可以包括一個(gè)位置標(biāo)識(shí)器��,例如一個(gè)GPS設(shè)備���,并且�����,利用訪問(wèn)設(shè)備300跟蹤每個(gè)個(gè)體的位置�。通過(guò)來(lái)自比較器340的不匹配信息�,立刻就可以探測(cè)出拋棄標(biāo)記200避免跟蹤的企圖。類似地����,可以利用標(biāo)記的一種組合來(lái)表示一種安全性狀態(tài),例如在一個(gè)區(qū)域內(nèi)無(wú)論何時(shí)存在一個(gè)囚犯的標(biāo)記就有一個(gè)和警衛(wèi)標(biāo)記的組合���。
權(quán)利要求
1.一種安全標(biāo)記(200)�����,包括一個(gè)生物傳感器(210)����,它根據(jù)一個(gè)當(dāng)前用戶的一個(gè)生物度量值提供安全標(biāo)記(200)的當(dāng)前用戶的第一生物密鑰(211)�����;一個(gè)存儲(chǔ)元件(230)�����,它存儲(chǔ)一個(gè)第二密鑰(202)的加密(E(V,B))����,加密(E(V,B))是基于授權(quán)用戶的第二生物密鑰(211);和一個(gè)生物解密器(240)����,按可操作方式耦合到生物傳感器(210)和存儲(chǔ)元件(230),用于解密安全標(biāo)記(202)的加密(E(V,B))�,借此產(chǎn)生解密的安全密鑰(241),當(dāng)?shù)谝簧锩荑€(211)等效于第二生物密鑰(211)時(shí)�����,這個(gè)解密的密鑰(241)等于安全密鑰。
2.權(quán)利要求1的安全標(biāo)記(200)��,其特征在于進(jìn)一步包括一個(gè)確認(rèn)加密器(250)�,它按可操作方式耦合到生物解密器(240),用于解密一個(gè)詢問(wèn)的參數(shù)(311)�����,從而可以產(chǎn)生一個(gè)基于解密的安全密鑰(241)的應(yīng)答參數(shù)(311)����。
3.權(quán)利要求2的安全標(biāo)記(200),其特征在于進(jìn)一步包括一個(gè)標(biāo)記標(biāo)識(shí)令器(290)�����,用于提供與授權(quán)用戶相關(guān)的標(biāo)識(shí)(291)�。
4.權(quán)利要求1的安全標(biāo)記(200),其特征在于進(jìn)一步包括一個(gè)標(biāo)記標(biāo)識(shí)器(290)�,用于提供和授權(quán)用戶相關(guān)的標(biāo)識(shí)(291)。
5.權(quán)利要求1的安全標(biāo)記(200)����,其特征在于生物傳感器(210)���,它基于當(dāng)前用戶的生物度量值的散列提供第一生物度量值(211)。
6.權(quán)利要求1的安全標(biāo)記(200)����,其特征在于第二生物密鑰(211)是一個(gè)對(duì)稱密鑰。
7.權(quán)利要求8的安全標(biāo)記(200)���,其特征在于安全密鑰(202)是一套非對(duì)稱的密鑰中的一個(gè)私人密鑰,這套非對(duì)稱的密鑰包括至少一個(gè)私人密鑰和至少一個(gè)公共密鑰��。
8.權(quán)利要求1的安全標(biāo)記(200)����,其特征在于進(jìn)一步包括一個(gè)一次性加密器(220),它基于第二生物密鑰(211)產(chǎn)生安全密鑰(202)的加密(E(V,B))�。
9.一種安全系統(tǒng),包括一個(gè)標(biāo)記(200)�,標(biāo)記(200)包括一個(gè)生物傳感器(210),它根據(jù)一個(gè)當(dāng)前用戶的一個(gè)生物度量值提供安全標(biāo)記(200)的當(dāng)前用戶的第一生物密鑰(211)�;一個(gè)第二密鑰(202)的加密(E(V,B)),加密(E(V,B))是基于授權(quán)用戶的第二生物密鑰(211)���;和一個(gè)生物解密器(240)��,用于解密安全標(biāo)記(202)的加密(E(V,B))�,借此產(chǎn)生解密的安全密鑰(241),從而當(dāng)?shù)谝簧锩荑€(211)等效于第二生物密鑰(211)時(shí)��,這個(gè)解密的安全密鑰(241)等于第二生物密鑰(211)�,并且當(dāng)?shù)谝簧锩荑€(211)不同于第二生物密鑰(211)時(shí),這個(gè)解密的安全密鑰(241)是一個(gè)錯(cuò)誤的密鑰���;和一個(gè)訪問(wèn)設(shè)備��,這個(gè)訪問(wèn)設(shè)備在按可操作方式耦合到標(biāo)記(200)時(shí)基于解密的安全密鑰(241)確定一個(gè)訪問(wèn)狀態(tài)(271)����。
10.權(quán)利要求9的安全系統(tǒng)���,其特征在于訪問(wèn)狀態(tài)(671)是一個(gè)認(rèn)證當(dāng)前用戶是授權(quán)用戶���。
11.權(quán)利要求9的安全系統(tǒng),其特征在于訪問(wèn)設(shè)備包括一個(gè)詢問(wèn)設(shè)備����,它向標(biāo)記(200)提供一個(gè)詢問(wèn)參數(shù)(311);和一個(gè)接收設(shè)備���,它基于詢問(wèn)參數(shù)(311)和解密的安全密鑰(241)從標(biāo)記(200)接收應(yīng)答參數(shù)(251)�����;其中訪問(wèn)狀態(tài)(671)是基于應(yīng)答參數(shù)(251)確定的���。
12.權(quán)利要求11的安全系統(tǒng)��,其特征在于標(biāo)記(200)進(jìn)一步包括一個(gè)確認(rèn)加密器(250)��,用于加密詢問(wèn)參數(shù)(311)以產(chǎn)生應(yīng)答參數(shù)(251)�����,加密(E(V,B))是基于解密的安全密鑰(241)實(shí)現(xiàn)的。
13.權(quán)利要求12的安全系統(tǒng)���,其特征在于安全密鑰(202)是一對(duì)非對(duì)稱的密鑰中的第一密鑰��,并且��,接收設(shè)備包括一個(gè)確認(rèn)解密器(320)�,它解密應(yīng)答參數(shù)(251)以產(chǎn)生一個(gè)解密的結(jié)果(321)�����,解密是基于這對(duì)非對(duì)稱的密鑰中的一個(gè)第二密鑰進(jìn)行的;和一個(gè)比較器(340)����,比較解密的結(jié)果(321)與詢問(wèn)參數(shù)(311)以確定訪問(wèn)狀態(tài)(671)。
14.權(quán)利要求13的安全系統(tǒng)�,其特征在于進(jìn)一步包括一個(gè)授權(quán)用戶密鑰數(shù)據(jù)庫(kù)(330),從這個(gè)數(shù)據(jù)庫(kù)(330)確定對(duì)應(yīng)于授權(quán)用戶的這對(duì)非對(duì)稱的密鑰的第二密鑰����。
15.權(quán)利要求14的安全系統(tǒng),其特征在于標(biāo)記(200)進(jìn)一步包括一個(gè)標(biāo)記標(biāo)識(shí)令器(290)��,用于提供和授權(quán)用戶對(duì)應(yīng)的標(biāo)識(shí)(291)�,并且從授權(quán)用戶密鑰數(shù)據(jù)庫(kù)(330)確定對(duì)應(yīng)于授權(quán)用戶的這對(duì)非對(duì)稱的密鑰的第二密鑰是基于與授權(quán)用戶對(duì)應(yīng)的標(biāo)識(shí)(291)。
16.權(quán)利要求11的安全系統(tǒng)���,其特征在于標(biāo)記(200)進(jìn)一步包括阻礙接近標(biāo)記(200)的部件的一個(gè)封裝�����,和用于當(dāng)封裝被破壞時(shí)至少破壞第二生物密鑰(211)和安全密鑰(202)的加密(E(V,B))之一的裝置����。
17.權(quán)利要求11的安全系統(tǒng),其特征在于訪問(wèn)設(shè)備進(jìn)一步包括一個(gè)隨機(jī)數(shù)發(fā)生器(310)��,便于根據(jù)解密的安全密鑰(241)確定訪問(wèn)狀態(tài)(671)���。
18.一種確定訪問(wèn)狀態(tài)(671)的方法�,包括如下步驟加密一個(gè)安全密鑰(202)����,以便基于進(jìn)入標(biāo)記(200)的授權(quán)用戶的第一生物密鑰(211)產(chǎn)生一個(gè)加密的安全密鑰(E(V,B));根據(jù)當(dāng)前用戶的生物度量值確定標(biāo)記(200)的當(dāng)前用戶的第二生物密鑰(211)�;解密已加密的安全密鑰(E(V,B)),以便根據(jù)第二生物度量值產(chǎn)生一個(gè)解密的安全密鑰(241)�;和根據(jù)解密的安全密鑰(241)確定一個(gè)訪問(wèn)狀態(tài)(671)。
19.權(quán)利要求18的步驟�����,其特征在于進(jìn)一步包括如下步驟將一個(gè)詢問(wèn)參數(shù)(311)傳遞給標(biāo)記(200)�,并且根據(jù)詢問(wèn)參數(shù)(311)和第二生物密鑰(211)確定一個(gè)應(yīng)答參數(shù)(251)�����;和其中的確定訪問(wèn)狀態(tài)(671)的步驟是基于應(yīng)答參數(shù)(251)完成的�����。
20.權(quán)利要求19的方法,其特征在于安全密鑰(202)是一對(duì)非對(duì)稱的密鑰中的第一密鑰�;確定應(yīng)答參數(shù)(251)的步驟包括如下步驟基于第二生物密鑰(211)加密詢問(wèn)參數(shù)(311);確定訪問(wèn)狀態(tài)(671)的步驟包括如下步驟解密應(yīng)答參數(shù)(251)�����,從而可以根據(jù)這對(duì)非對(duì)稱的密鑰中的第二密鑰產(chǎn)生一個(gè)解密的結(jié)果(321)����,并且比較解密的結(jié)果(321)和詢問(wèn)參數(shù)(311)以確定訪問(wèn)狀態(tài)(671)。
全文摘要
通過(guò)使用標(biāo)記設(shè)備便于利用生物信息進(jìn)行確認(rèn)和訪問(wèn)控制��。標(biāo)記設(shè)備包含基于授權(quán)用戶的生物信息的密鑰加密���。安全系統(tǒng)與標(biāo)記設(shè)備進(jìn)行通信以確定標(biāo)記的當(dāng)前用戶是否是一個(gè)授權(quán)用戶�。標(biāo)記設(shè)備需要有來(lái)自授權(quán)用戶的生物信息才能與安全系統(tǒng)一起可靠地操作,其中使用了生物信息來(lái)解密上述的密鑰以使用在安全系統(tǒng)中����。因此,授權(quán)訪問(wèn)的必要條件是:對(duì)于安全系統(tǒng)來(lái)說(shuō)存在標(biāo)記,同時(shí)對(duì)于標(biāo)記來(lái)說(shuō)存在生物信息?���;蛘邲](méi)有標(biāo)記,或者沒(méi)有生物信息,全都拒絕訪問(wèn)���。按照本發(fā)明,如果沒(méi)有標(biāo)記,生物信息的拷貝是沒(méi)有用的,并且,通過(guò)無(wú)效受到破壞的標(biāo)記,可將破壞生物信息和標(biāo)記這兩者安全性的效果減至最小。
文檔編號(hào)H04L9/08GK1297553SQ99805077
公開(kāi)日2001年5月30日 申請(qǐng)日期1999年11月26日 優(yōu)先權(quán)日1998年12月14日
發(fā)明者M·埃普斯坦 申請(qǐng)人:皇家菲利浦電子有限公司