CN101340283A

CN101340283A - 多系统生物测量令牌

Info

Publication number: CN101340283A
Application number: CNA2008101314975A
Authority: CN
Inventors: P·M·波波夫斯基
Original assignee: Honeywell International Inc
Current assignee: Honeywell International Inc
Priority date: 2007-07-05
Filing date: 2008-07-04
Publication date: 2009-01-07
Also published as: CA2636453C; GB2452116B; US20090013191A1; GB0810531D0; GB2452116A; AU2008202746A1; US9237018B2; CA2636453A1

Abstract

涉及一种为生物测量安全系统的用户产生唯一用户识别代码的装置和方法。不需将生物测量信息存储到安全系统或设备上，而且能够产生唯一用户识别代码以便允许相同用户的多系统识别。该方法包括：从系统接收公钥，从用户获取特征且从该特征中产生生物测量值，通过结合和加密所产生的生物测量值和由系统提供的公钥来创建识别代码，并将识别代码传输给系统以用于认证。

Description

多系统生物测量令牌

技术领域

本发明一般涉及生物测量安全系统。特别地，本发明涉及一种在一个或多个安全系统中利用相同的生物测量信息作为标识的方法，而不需要在任何一个安全系统中存储该生物测量信息。

背景技术

安全系统通过要求对那些期望的访问进行识别和认证来控制对地点和数据的访问。生物测量安全系统使用生物测量数据，例如指纹、拇指纹、或视网膜扫描，来识别和认证。最初，安全系统通过存储用户的生物测量信息来对用户进行注册。然后，为了获得对系统的访问，用户必须提交他的生物测量信息以便由系统进行识别和认证。可以通过例如扫描指纹、拇指纹、或视网膜，或通过提交已经存储有该信息的设备来提交生物测量信息。现已存在各种获取指纹生物测量信息并将其与存储在安全系统中的事先获取的生物测量信息进行比较的产品。该存储的信息位于系统网络的数据库中，或由用户携带的移动生物测量设备中，例如智能卡。此外，存在多个获取指纹生物测量信息并将其与存储在设备中的生物测量信息进行比较，然后将预定的证明标识发送到系统以替代该生物测量信息的移动生物测量设备。

上述方法的一个问题在于，由于必须将用户的生物测量信息存储在安全系统的数据库中或用户携带的设备中，该存储的信息可能会被偷窃或改变。另一个问题是，只能由存储有信息或证明标识的专用系统来访问该信息，以致用户的生物测量信息不能在各个系统之间共享以进行用户认证。

发明内容

本发明以一种装置和方法解决以上问题，其不需将生物测量信息存储到安全系统内或设备上，且进一步提供一种允许多系统唯一识别的方法。

因此，本发明提供一种方法，其为生物测量安全系统的用户产生唯一用户识别代码，包括以下步骤：从系统接收公钥，从用户获取特征且从该特征中产生生物测量值，通过对所产生的生物测量值和由系统提供的公钥进行结合和加密来创建识别代码，并将识别代码传输到该系统，以及本发明还提供实现该方法的装置。

本发明的上述和其它目的、方面、特性、优点将通过以下的描述变得更加直观。

附图说明

通过采用本发明实施例的非限制性描述来引用附图，进一步根据下面的详细描述来解释本发明，附图中相同的附图标记代表相同的部分。应当理解的是，本发明并不限于所显示出的详细的安排与指示。图中：

图1是本发明一示例性实施例的框图；

图2是本发明的一实施例中创建和注册唯一识别代码的步骤流程图；

图3是本发明的一实施例中对用户进行认证的步骤流程图。

具体实施方式

为满足安全系统能够基于用户的生物测量数据来对用户进行识别而无需存储该数据，且进一步使该数据可以由多于一个安全系统所使用的需求，提出了一种创造性的解决方案。

图1显示了该发明的一示例性实施例。安全系统10可以保护物理位置，例如办公大楼、住宅或其它结构或结构群。此外，安全系统10可以确保对数据的安全访问，例如信用卡数据库、银行帐户和其它任意的需要认证来获取访问权的数据和信息的集合。安全系统10包括注册站28和网络接口设备12，注册站28和网络接口设备12都会广播公钥信息14，例如系统ID、当前日期和时间。在一实施例中，网络接口设备是智能卡RFID读取器；然而其它的RFID读取器也可使用。虽然仅仅显示了一个注册站28，但系统可以包含有多个这样的注册站。类似的，该系统可以包括有多个网络接口设备，即使仅仅显示了一个。用户带有活动的RF设备16，设备16包括微处理器18、闪存和RAM存储器20、生物测量输入单元22，例如指纹扫描仪。在一优选实施例中，活动RF设备16是智能卡令牌。其它可以传送和接收RF数据的设备也可以使用，例如移动电话、钥匙坠大小的存储器(key fobs)和笔记本电脑。

要注册成为安全系统10的认证用户，用户可将RF设备16提交给注册站28。RF设备16接收由注册站28广播的公钥信息14，并且RF设备16提示用户展示物理特性或部分作为输入，例如手指、大拇指、足或虹膜，例如通过扫描仪22进行扫描。该输入的结果是生物测量值。基于该扫描产生用户物理特征的唯一数值24，其从该生物测量值中推导出来。该唯一数值24和系统的公钥信息14用于对系统ID加密。结果值，即用户的唯一识别代码26，存储在安全系统10的数据库30中，且可以在以后由系统10来对用户进行认证。在一实施例中，该唯一识别代码26是加密的。

要对安全系统10进行访问，用户可提交RF设备16给网络接口设备12。RF设备16接收由网络接口设备12广播的公钥信息14，且RF设备16提示用户进行生物测量输入22。同上，唯一数值24从生物测量输入或生物测量值22中产生。使用唯一数值24和系统公钥信息14，为用户确定唯一识别代码26。如果初始的注册代码已经被加密，则该唯一识别代码26也是加密的。唯一识别代码26通过网络接口设备12传输至安全系统10，在那儿认证该识别代码。认证过程将在下面进行详述。

图2显示了通过根据图1所示的系统创建唯一识别代码26来对用户注册的示例性实施例的步骤。初始，在步骤S1，用户提交RF设备16到网络上的注册站28。在步骤S2，RF设备16接收由注册站28广播的公钥信息14。在步骤S3，RF设备16的生物测量输入单元22获得用户特征，例如，通过扫描用户的手指获得指纹。在步骤S4，使用指纹模板将指纹转换为数字细节(digital minutia)。其它将输入数据转换为数字细节的技术也可被使用。

在步骤S5，执行基于数字细节以产生唯一数值24的算法。该算法可以是例如哈希编码算法，其从多个数据即数字细节中，产生唯一值，即唯一数值24。任何从多个输入数据中创建唯一数据值的算法都可以被使用。在步骤S6，使用加密方法将公钥信息14和唯一数值24相结合，以创建唯一识别代码26。加密方法可以是，例如通用PKI算法，对唯一数值24和从公钥信息14中获得的系统ID进行加密，或者整个公钥信息14可以同唯一数值24一起被加密。使用标准PKI调用来加密数据可能类似于：加密数据＝加密(公钥、私钥、数据)。在本发明的一实施例中，PKI调用可以类似于：加密系统ID＝加密(系统公钥14，唯一数值24、系统ID)。在步骤S7，通过注册站28传输或广播唯一识别代码26，并将其存储在安全系统10的数据库30中。

根据图1所示的系统，执行图3显示的认证。在步骤S8，用户提交RF设备16给网络接口设备12。在步骤S9，RF设备16接收由网络接口设备12广播的公钥信息14。在步骤S10，RF设备16的生物测量输入单元22获得用户的指纹或其它物理特征。对于每一个用户，必须提供为注册提供的相同特征以用于认证。在步骤S11，通过使用指纹模板或其它已知技术将指纹转换为数字细节。

在步骤S12，执行基于数字细节产生唯一数值24的算法。如上所述的注册过程，该算法可以是例如哈希编码算法，其从多个数据即数字细节中，产生唯一值，即唯一数值24。任何从多个输入数据中创建唯一数据值的算法都可以被使用。对特定用户的注册和认证使用相同的算法，但是对于不同的用户可以使用不同的算法。在步骤S13，使用加密方法将公钥信息14和唯一数值24相结合，以创建唯一识别代码26。对于该算法，对特定用户的注册和认证使用相同的加密方法。在步骤S14，通过网络接口设备28将唯一识别代码26传输或广播到安全系统10。

在步骤S15，安全系统10确定在数据库30中是否存在该唯一识别代码26。如果唯一识别代码26与数据库30中的一条记录匹配(S15＝是)，则用户被授权使用安全系统10。然而，如果唯一识别代码26与数据库30的任何记录都不匹配(S15＝否)，则用户不会被授权使用安全系统10。

因此，基于用户的生物测量信息，安全系统10的所广播的公钥信息14与唯一数值24一起创建了唯一识别代码26，该唯一识别代码26在每次用户希望访问安全系统10时由RF设备的微处理器18进行计算。该唯一识别代码26是作为用户的识别代码或认证代码存储在安全系统10中。结合所广播的公钥信息14和表示在唯一数值24中的唯一、独特的生物测量信息，来确保从任意授权使用安全系统10的个体接收到的唯一识别代码26对于该个体用户是唯一的。由于RF设备16基于每个用户的生物测量信息为每个用户产生唯一数值24，然后该唯一数值24与广播的公钥信息14相结合，因此，相同的RF设备16可以被多个个体使用以对他们进行认证。

此外，由于每次RF设备16提交时都会计算唯一识别代码26，因此标准用户生物测量信息无需存储在安全系统10的网络数据库中或存储在RF设备16中。取而代之的是，标准用户生物测量信息，例如，指纹数据，仅仅与系统识别数据即广播的公钥信息14结合存储在系统数据库30中。进一步地，这种结合数据通常进行加密。由于不存在危及用户信息或生物测量信息的文件，因此增强了系统的安全。

虽然本发明在具体实施例中进行了描述，但应当理解的是本发明并不局限于这些实施例，而应当以下列权利要求为准。

Claims

1、一种为生物测量安全系统的用户产生唯一用户识别代码的方法，包括：

从系统接收公钥；

从用户获取特征；

从该特征中产生生物测量值；

通过对该生物测量值和公钥进行结合和加密来创建该识别代码；和

将该识别代码传输到系统。

2、根据权利要求1所述的方法，其中生物测量是对手指、大拇指、足和眼/虹膜的其中之一进行的扫描。

3、根据权利要求1所述的方法，其中加密步骤使用PKI算法。

4、根据权利要求1所述的方法，其中产生步骤使用哈希编码算法。

5、根据权利要求1所述的方法，其中接收步骤是利用RF设备完成的。

6、根据权利要求1所述的方法，其中公钥是由系统标识、日期和时间构成的。

7、根据权利要求1所述的方法，进一步包括对用户的认证。

8、一种安全系统，包括：

由该系统广播的公钥；

网络接口设备；

RF设备，包括：输入单元、存储器和处理器，其中所述输入单元从用户接收特征，且所述处理器使用所述特征确定生物测量值，通过对生物测量值和公钥进行结合和加密来创建识别代码，并将该识别代码传输到该系统。

9、根据权利要求8所述的系统，其中生物测量是指对手指、大拇指、足和眼/虹膜的其中之一进行的扫描。

10、根据权利要求8所述的系统，其中加密使用PKI算法。

11、根据权利要求8所述的系统，其中公钥是由系统标识、日期和时间构成的。

12、根据权利要求8所述的系统，其中输入单元是扫描仪。

13、根据权利要求8所述的系统，其中所述设备是智能卡令牌。

14、根据权利要求8所述的系统，其中系统使用传输的识别代码对用户进行认证。

15、根据权利要求8所述的系统，其中所述产生使用哈希编码算法进行。