CN101061494B - 保护个人便携物品安全的方法 - Google Patents

Abstract

本发明涉及一种保护个人便携物品安全的方法，该物品包括物品主体(11)、硅芯片(12)、打印图像(13)和允许所述物品与外界通信的设备。本发明特征在于该方法包括下列步骤：由图像文件、伪随机序列和插入算法生成存储在硅芯片中的秘密密钥S、图像签名和图像特征向量Vsi(num)；由用捕获装置捕获的打印图像的信号和秘密密钥S生成图像特征向量Vsi(dig)；以及使用回读(playback)算法来比较图像特征向量Vsi(num)与Vsi(dig)。本发明尤其可应用于智能卡。

Description

保护个人便携物品安全的方法

技术领域

本发明涉及保护个人便携物品安全的过程，该物品包括主体、微芯片、打印图像以及允许所述物品与外界通信的装置。它尤其应用于芯片卡。

背景技术

芯片卡是标准化的物品，其包括板、芯片和与外界通信的接口。

卡自身携带的数据可以是静态的，即，独立于其持有者的，或者是动态的。数据常常被打印在卡上。例如，它可以是卡号。类似地，芯片存储各种不同类型的数据。

所述卡与外界之间的通信接口通过与卡主体表面接触或者陷入所述主体的天线形成。取决于它所表征的通信装置的特征，卡被称为接触式、非接触式、混合式或双接口。

芯片卡可以用多种技术来使之安全。

一些技术涉及向物品的主体添加物理安全装置。

具体来说，存在一种技术，借此所述物理安全装置是被包含在卡中的能够生成安全响应(更具体地说是磁信号)的毫微条形码。

还有另一种特别技术，其中安全装置连接到便携物品的另一部分。这种技术由NOVATEC^TM公司开发，并且其安全装置被称为PROOFTAG^TM。它生成随机的磁泡(bubble)。通过查询数据库并针对数据库反复核对(cross-check)存储在卡的磁条上的数据，或者针对打印在主体上的数据反复核对磁泡，验证PROOFTAG^TM。

新兴的安全解决方案旨在安全地匹配存储在芯片中的数据项，与隐藏在卡的主体上、或通过能够从持卡者提取生物测定信息的外围设备输入的数据项。这种类型的创新的一个例子是KURZ集团提供的KINEGRAM(Keesing’sJournal of Documents，issue7，2004)，它匹配OVD(光学可变设备)上的安全数据与芯片中加密的数据。

然而，在所有可用的创新解决方案中，那些在于将隐藏数据插入打印图像(称为数字水印)中的解决方案，看起来将最适合和最普遍用来保护包括微芯片和图像(如护照照片)的物理介质，因为毕竟它们不需要任何特别的可读元件加入和/或卡的主体。这些技术以CRYPTOGLYPHE^TM、SCRAMBLEDINDICIA^TM、IPI^TM或ICI^TM的名称市场化。

水印与隐写(steganography)类似。

隐写在于将要机密发送的消息隐藏在一组貌似不重要的数据中，用此方法使得无法检测到其存在。在加密的情况下，可以使用隐写来与通信方(correspondent)交换消息而不被别人知道。但是，尽管标准密码依赖于消息多半将不会被理解这一事实，但隐写的安全性则依赖于消息多半将不被检测到这一事实。

水印与隐写的不同主要在于其目的。水印用来通过聪明地在介质中插入永久印记、而不在视觉上以任何方式改变它(用信号过程的语言，相比于噪声)，使所述介质安全(具体来说图像、声音或视频)，而不是与通信方交换消息。

对数字图像使用数字水印。这近些年来正变得日趋流行。这主要是由于日益增长的保护在因特网上的图像传输的需求。该技术在于将印记插入数字图像中。印记对于肉眼来说是不可见的，但可以由专用识别系统读出。后者保证所保护的图像是真品(native)。

印记通常包含最多几十个比特的数据。它可以包含有关附加到文档的许可或指示该文档拥有者身份的信息。结果，可以暴露非法主张是其拥有者的任何人。

下面的条件对于承载图像的芯片卡的有效数字水印是必要的。

首先，印记必须是非常抗印刷并且非常容易读出的。

实践中，印记会恶化(打印交织、模拟/数字转换)，这导致附加的“噪声”、小的几何失真和由采集链所生成的比例变化。这些失真削弱了图像的同步(找到图像中的标记)。除了这些失真外，应当用例如扫描仪、数码便携摄像机、网络摄像机或数码相机，从之前打印的护照照片的模拟拍摄中读出印记。

此外，由于卡主体经受频繁和密集的使用，卡和照片经历磨损和撕扯，并且承受所谓的“物理”和“色度(colorimetric)”损伤，可以说导致退色、灰尘或划痕以及小的几何瑕疵。但是即使护照照片受到这样的磨损和撕扯，印记也必须是可判断的。

尽管数字水印技术已被证明是最有希望的旨在确保芯片卡主体安全的应用，但目前技术发展现状研究显示，这些技术中没有哪一个能禁得起对图像的所有这些损伤(′A print and scan optimized watermarking scheme′，F.Lefèbvre，D.Guéluy，D.Delannay and B.Macq，IEEE Multimedia Signal processing，2001)。

具体来说，当前多数基于数字水印的方案仍对由若干不同损伤因素的组合引起的损伤敏感(′Perceptual quality evaluation of geometrically distortedimages using relevant geometric transformation modeling′，1.Setyawan，D.Delannay，B.Macq，R.L.Lagendijk，proceedings of SPIE，Security andWatermarking of Multimedia Contents V，Vol5020，2003)。

最后，即使在文献中提出了所谓的第二代解决方案来抵抗这些侵害，数字水印至今也还不是用于读出受损图像上的印记的完全可靠的解决方案(Watermarking Digital Image and Video Data，GC Langelaar，I.Setyawan，RLLagendijk，IEEE Signal processing Magazine″，September2000，volume17-5，pages20-46)。即使卡受到的侵害难以辨别，毫无疑问它们也包括诸如“打印/扫描”、“几何”之类的已知侵害，以及其结果被科学界清楚地声明是易损的其他侵害。

此外，在读出隐藏的物理安全数据之后，对数据库的访问比不需要时更频繁，这使所述数据的存储、其安全性和对其相当简单的访问变得复杂。

发明内容

考虑到上文，本发明的要解决的一个问题是创建保护个人便携物品安全的过程，用于补偿现有技术的上述缺点，不必要求向卡的主体添加物理元件，比传统的数字水印技术更健壮，并且不要求访问数据库来鉴别被保护的物品。

本发明提出的该问题的解决方案的第一方面是一种保护个人便携物品安全的过程，该物品包括物品主体、微芯片、打印图像和允许所述物品与外界通信的设备，其特征在于，它包括下列阶段：使用图像文件和插入算法来生成存储在微芯片中的图像特征向量Vsi(num)；使用通过扫描设备捕获的打印图像的信号来生成图像特征向量Vsi(dig)；以及使用回读(read-back)算法来匹配图像特征向量Vsi(num)与Vsi(dig)。

该匹配确保微芯片与打印图像之间的安全链接，从而确保(confirm)所述物品主体/芯片组件的有效性。此外，通过传统加密技术保护数据的方式，卡主体的安全主要通过灵活使用ID图片的数字信号来保证，而不向卡主体添加任何物理或软件元件(全息图、水印等)。

结果，物品主体上或芯片交换上的欺诈的可能性受到了显著的限制。

本发明提出的该问题的解决方案的第二方面是一种个人便携物品，包括主体、微芯片、打印图像和借助它所述物品可与外界通信的设备，其特征在于，它还包括由图像文件和插入算法生成的图像特征向量Vsi(num)。

附图说明

按照下面结合附图撰写的展开的描述中所作的解释，本发明将更容易理解，在附图中：

图1A和1B(分别是顶视图和侧视图)示出了根据本发明的用于标记卡的方法；

图2示出了根据本发明的过程的、图像特征向量Vsi(num)和密钥S被生成然后存储在芯片中的各阶段；

图3示出了根据本发明的过程的、生成图像特征向量Vsi(dig)的各阶段；以及

图4示出了根据本发明的过程的、匹配图像特征向量Vsi(num)和Vsi(dig)的各阶段。

具体实施方式

在该描述中，术语图像文件、伪随机序列、算法、插入算法、秘密密钥S、微芯片、图像打印信号和打印信号扫描设备定义如下。

图像文件是指任何由基本单元(像素—图片元素)组成的数字图像文件，每个基本单元代表图像的一部分。数字图像可以由X x Y个像素组成，X和Y是256和1024个单元之间的任何一个。数字图像的动态可以包括不同的灰度或色彩的色调(shade)。

伪随机序列是指具有集合中的任何值的一系列整数x0，x1，x2，...，其中M＝{0，1，2，...，m-1}或M＝{-1，0，1}...。

算法是指旨在将给定的一条数据变换成另一个的自动过程。该变换由这样的说法来定义，即，输入数据被算法修改成输出数据(也称为“结果”)。

插入算法是指如下算法：能够根据预定义的协议计算多条数据，并且也根据专用协议将其存储在介质或外围设备中。

秘密密钥S是指对每个芯片唯一的密钥，其功能是标识图像特征向量Vsi(num)以及取决于Vsi(num)和秘密计算算法的ID图像的签名。它是回读(read-back)算法的输入，该算法对回读阶段执行安全功能。没有该密钥的知识，因此没有原始芯片的知识，就不可能访问鉴别根据本发明的介质所需的数据。

微芯片是指由半导体材料制成的小薄板表面上的电子电路，它包括执行特定功能所必须的所有元件。该术语特指用于制造集成电路的、半导体材料的小薄板。广义地说，该术语也可以指集成电路自身。

打印图像信号是指图像特征尺寸的变化，变化可以被记录。

最后，扫描设备是指扫描仪、数字便携摄像机、网络摄像机或数码相机。

根据本发明进行安全保护的便携物品是芯片卡或包括微芯片的任何其他安全便携物品。尤其是，这可以包括安全护照或电子签名。

在芯片卡的情况下，该卡可以是接触式卡、非接触式卡、混合式卡或者双接口卡。

图1A和1B指的是接触式卡。该卡包括主体11、微芯片12、打印图像13和允许所述卡与外界通信的设备，所述设备包括一组连接焊点14。

卡的主体由一系列通过热轧组装的热塑塑料层形成。尺寸由标准ISO7810规定。它们是86mm(长度)、54mm(宽度)和0.76mm(厚度)。

芯片是配有易失性(RAM)和非易失性EEPROM型存储器的微控制器。对于特定的安全应用，它可以包括相关联的加密过程器。该芯片12以接触式为特征，在图1A和1B所示的示例中它通过导线16(丝焊(wire bonding))连接到卡的连接焊点14。它还涂有保护树脂，芯片12、线16、保护树脂和连接焊点14一起形成装到卡的主体11的空腔中的微模块。

打印图像13由物品主体上的可视数据组成，其刻画了所述物品持有者的特征。

最好，打印图像13是卡持有者的可视色彩或黑白照片。

图2示出了根据本发明的过程的第一阶段。这是使用图像文件21生成伪随机序列22和插入算法23、图像特征向量Vsi(num)24和秘密密钥S25的阶段，它们计划被存储在微芯片12或物品的另一芯片的存储器中。

最好，图像特征向量Vsi(num)24和秘密密钥S25被存储在微芯片12的存储器中。

在直接从用于在卡主体11上的打印图像13的图像文件21提取和分析要存储在芯片12中的数据的情况下，该初始阶段的实现不要求对卡生产线进行修改。

考虑定制的接触式芯片卡，带有其持有者的照片，该照片是24位编码(每通道8位)的护照照片、测量为512×512个像素。现在考虑将图像多级划分成大小为k₁×k₂的块，其中k₁和k₂是512的约数。假定k₁＝k₂，并且六级划分成并列(juxtapose)块，即，32×32个块或子图像(测量得16×16个像素)、16×16个子图像的块(测量得32×32个像素)以及8×8个块(测量得64×64个像素)、4×4个块(测量得128×128个像素)、2×2个块(测量得256×256个像素)、1个块(测量得512×512个像素)。所有这些子图像的联合因此形成1365个图像的子集(1+4+16+64+256+1024)。每个子图像用表示划分级别的索引(512×512的块为级别0)和指示其在该划分中的位置的第二索引来编码。对于每个划分级别i，k_i代表可以提取这些子图像的变化原点(空间、频率或几何分量)，它们是考虑照片的老化和它们不同能力(differentiation capacity)、为了它们的稳定性而选择的，k_ij因此表示对划分级别i的分量号j。

通过伪随机序列生成的秘密密钥S将允许从1361个图像当中选择若干活动的k_b个块，并且对于每个活动块，k_is是用于随后介质鉴别的活动特征数。为了总体上简化系统，我们仍然考虑每个划分级别匹配专门的特征子集。

举例来说，k_b＝500，k_i＝10且k_is＝5。

有1365！/(865！×500！)种方式从1361个中选出500个图像。秘密密钥S的头1361位表示块的选择。

有10！/(5！×5！)＝252种方式从10个中选出5个元素。接下来的24位用来选择特征，4位足以编码每划分级别的活动特征子集。

秘密密钥S的最后64位预留来存储所得到的划分的特定签名特征。用插入算法结合从级别5和6中每个所选块的一条数据，获得该签名。

在插入阶段，由此生成密钥S，如要存储在芯片中的活动图像的特征。在所选的活动图像当中，那些具有不足特征的(信号中的数据太少)将自动被无效。尽可能地，它们将被有效块替换。对于所述特征使用相同的方法。如果任何所选特征表示效率相对于存在的图像信号与从未选择的特征相去甚远，则它被无效并被替换。

伪随机序列22的功能是通知构成图像特征向量Vsi(num)24的特征子集，并且生成秘密密钥S25的一部分(因此，图像签名间接与划分链接)。将图像划分成子图像，有利的是，这允许在几个细度(fineness)级别上以及在其所有部分上考虑表示基本图像的特征，而不必将数字文件的整个图像存储到芯片中。

将图像划分成子图像，还允许改进关于介质是否有效的判断。后者基于kb个图像的组合，将图像划分成子图像产生判决冗余，并且尤其允许局部瑕疵(灰尘、划痕等)的过滤，由于局部瑕疵是由老化引起的，因此它们仍是可接受的。

此外，这种将图像划分成子图像与数字水印技术不同，它的优点是提供了较高安全性而不需要任何添加的数据。事实上，即使存在很渺茫的、伪造假ID照片使得其特征匹配源自原始照片的数字文件的芯片的特征的机会，伪造kb个图像也不可能。

此外，这种将图像划分成子图像确保秘密密钥S的一致。这是因为用秘密算法计算的图像签名对应于给定的划分，所以只有当知道算法和划分两者时才能复制该签名/划分对。

插入的主要阶段是读出数字文件、处理图像、加密S和Vsi(num)，并且将它们存储在芯片中。

图3示出根据本发明的第二阶段。这是使用由扫描设备26扫描的打印图像27的信号和从微芯片12中提取的秘密密钥S25来生成图像特征向量Vsi(dig)28的阶段。

在该阶段(特征向量Vsi(dig)28的生成)，主机计算机上的软件扫描和预处理ID照片的图像，供最后阶段(匹配)使用。

有益地，打印图像27从图像文件21中产生。

最后，图4示出根据本发明的第三阶段。这包括使用回读(read-back)算法29来匹配图像特征向量Vsi(num)24和Vsi(dig)28。该匹配允许介质被有效或无效，从而确保打印图像27的信号与由图像文件21产生的、微芯片12的存储器中的数据之间存在有效的安全链接。

在该匹配阶段，主机计算机上的软件查询芯片来提取秘密密钥S及其解密。主机计算机上的软件还允许以随机生成的顺序连续提取上面定义的kb个图像的特征(可由主机计算机解码)。结果，芯片与主机计算机之间传送的数据难以解释，因为每个介质(卡、物品等)有它自己的顺序。

此外，主机计算机上的软件解密芯片上的数据，根据秘密密钥S所表明的模式(pattern)来计算扫描图像的特征，并且匹配每个级别上的数据。这需要关于卡介质是否安全的判断。与Vsi(num)与Vsi(dig)之差相关的接受阈值是用统计参考测试得出的。

集成局部过程重调扫描图像30来解决任何图像同步问题。

根据本发明，回读算法29通过比较利用密钥S的知识从芯片提取的图像特征向量Vsi(num)24、与对通过图像扫描检索到的信号直接计算出的图像特征向量Vsi(dig)28，生成指示便携物品的有效性的位(即二进制数字)。

在一种实施方法中，回读算法29与微芯片12分开(dissociate)。

在另一实施方法中，回读算法29部分地集成到微芯片12中。

密钥S对于微芯片是唯一的。因此，提取图像数据的方法、和匹配所述图像特征向量Vsi(num)24与对通过图像扫描检索到的信号直接计算出的所述图像特征向量Vsi(dig)28之间差的方法，根据不同的介质而不同。

通过免除访问数据库的需要，这种匹配卡介质的两个元件之间的数据的方法因此也限制了安全问题。

此外，使用秘密密钥的构思具有双重优点。因为选择图像子集和特征子集两者，它减少了芯片中的数据存储。它还通过使过程读出和匹配数据在芯片之间唯一而减轻了欺诈的风险。

根据本发明，秘密密钥S25引导匹配两个特征向量Vsi(num)24和Vsi(dig)28的过程。

秘密密钥25因此扮演着双重的安全角色。首先，它告诉回读算法29插入算法23已经预选择了哪个图像特征子集。此外，它定义图像特征向量Vsi(num)24用作数据匹配的基础。其鉴别的实现要归功于链接到所选图像子集的数字图像签名。

最后，本发明涉及打印图像信号27和从数字文件21提取的微芯片12存储器中的数据之间的安全链接。该链接具有下列优点：

-它排除了使用数据库的需要，这对于存储安全和数据库访问问题是必要的；

-其产业化不需要对生产线工厂或工艺的任何改变，尤其是对芯片卡的定制，无论是芯片软件定制阶段还是卡主体定制阶段(打印和用漆(varnish)或衬片(patch)保护打印)；

-这使得对打印图像13或微芯片12的任何改变必然被鉴别系统检测出，这声明该介质无效；

-这使得在存在微芯片12和原始打印图像13时，即使磨损，鉴别系统也能确认介质的有效性；以及

-其安全之处在于图像数据不能独自用于使物理实体与芯片中的数据之间的链接有效。

一种替代选择是图像的划分。

在一个实施方法中，图像的划分可以以静态为特征，因为不管什么图像(2的各个倍数)都是一样的。

在另一实施方法中，可以考虑动态划分方法，这具有以可自适应方式划分图像的优点。该实施方法在属于相同划分级别的子图像中包含的数据量以及划分的唯一性之间取得较好的平衡，使得任何诈骗者更难以弄清该过程。

另一替代选择是回读软件。

根据一个实施方法，根据本发明的过程包括以由主机计算机处理为目的、从芯片提取数据的阶段。

根据另一实施方法，主机计算机直接计算扫描图像的特征，并且让芯片匹配数据。这旨在避免从芯片提取数据。

第三个替代选择是秘密密钥S和特征向量Vsi(num)在芯片中的存储。可以设想秘密密钥S和特征向量Vsi(num)的压缩或加密，从而最小化存储器要求。

Claims (13)

1.一种保护个人便携物品安全的过程，该物品包括物品主体(11)、微芯片(12)、打印图像(13)和允许所述物品与外界通信的设备，其特征在于，该过程包括下列阶段：

使用打印图像(13)的图像文件(21)和插入算法(23)来生成存储在微芯片(12)中的图像特征向量Vsi(num)(24)；

使用通过扫描设备(26)扫描的打印图像的信号(27)和秘密密钥S(25)来生成图像特征向量Vsi(dig)(28)；以及

使用回读算法(29)来匹配图像特征向量Vsi(num)(24)与Vsi(dig)(28)，

其中，将图像文件(21)划分成不同细度级别的子图像，并且所述插入算法(23)基于所述子图像，

并且其中，所述过程还包括使用图像文件(21)、伪随机序列(22)和插入算法(23)生成秘密密钥S(25)，

并且秘密密钥S(25)的一些位表示各子图像块的选择；所述密钥的其他位用来选择各特征，而其他位预留来寄存从插入算法而获得的签名，所述插入算法合并来自级别n和n-1上的所选子图像的每个块的数据，n是在3和6之间并且包括3和6的值。

2.如权利要求1所述的过程，其特征在于：生成图像特征向量Vsi(num)的阶段是使用图像文件(21)、伪随机序列(22)和插入算法(23)来生成存储在微芯片(12)中的图像特征向量Vsi(num)(24)和秘密密钥S(25)的阶段；并且生成图像特征向量Vsi(dig)的阶段是使用通过扫描设备(26)扫描的打印图像的信号(27)和所述秘密密钥S(25)来生成图像特征向量Vsi(dig)(28)的阶段。

3.如权利要求1或2所述的过程，其特征在于，打印图像的信号(27)是由图像文件(21)产生的。

4.如权利要求1或2所述的过程，其特征在于，通过打印图像信号(27)与由图像文件(21)产生的微芯片(12)的存储器中的数据之间的安全链接，来保护个人便携物品安全。

5.如权利要求1或2所述的过程，其特征在于，回读算法(29)与微芯片(12)分开。

6.如权利要求1或2所述的过程，其特征在于，回读算法(29)部分地集成到微芯片(12)中。

7.如权利要求1或2所述的过程，其特征在于，打印图像(13)由物品主体上的可视数据构成，并且以所述物品持有者为特征。

8.如权利要求7所述的过程，其特征在于，打印图像(13)由个人便携物品的持有者的可视彩色或黑白照片形成。

9.如权利要求1或2所述的过程，其特征在于，所述扫描打印图像(13)的设备是扫描仪、数码便携摄像机、网络摄像机或数码相机。

10.如权利要求1或2所述的过程，其特征在于，图像特征向量Vsi(num)和秘密密钥S被保存在物品的微芯片(12)或另一芯片的存储器中。

11.如权利要求1或2所述的过程，其特征在于，图像特征向量Vsi(num)和秘密密钥S被保存在微芯片(12)的存储器中。

12.一种个人便携物品，包括主体(11)、微芯片(12)、打印图像(13)和允许所述物品与外界通信的设备，其特征在于，它还包括由打印图像(13)的图像文件(21)和插入算法(23)生成的图像特征向量Vsi(num)(24)，其中，将图像文件(21)划分成不同细度级别的子图像，并且所述插入算法(23)基于所述子图像，

并且其中，所述的个人便携物品还包括使用图像文件(21)、伪随机序列(22)和插入算法(23)生成的秘密密钥S(25)，

其中使用通过扫描设备(26)扫描的打印图像的信号(27)和秘密密钥S(25)来生成图像特征向量Vsi(dig)(28)，并且使用回读算法(29)来匹配图像特征向量Vsi(num)(24)与Vsi(dig)(28)，

并且秘密密钥S(25)的一些位表示各子图像块的选择；所述密钥的其他位用来选择各特征，而其他位预留来寄存从插入算法而获得的签名，所述插入算法合并来自级别n和n-1上的所选子图像的每个块的数据，n是在3和6之间并且包括3和6的值。

13.如权利要求12所述的个人便携物品，其特征在于，所述个人便携物品是芯片卡。

Images