CN101479987A - 生物测定凭证验证框架 - Google Patents
生物测定凭证验证框架 Download PDFInfo
- Publication number
- CN101479987A CN101479987A CNA2007800246724A CN200780024672A CN101479987A CN 101479987 A CN101479987 A CN 101479987A CN A2007800246724 A CNA2007800246724 A CN A2007800246724A CN 200780024672 A CN200780024672 A CN 200780024672A CN 101479987 A CN101479987 A CN 101479987A
- Authority
- CN
- China
- Prior art keywords
- biometric
- client computer
- user
- key
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Accounting & Taxation (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Collating Specific Patterns (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
Abstract
使用客户计算机系统中的生物测定标识设备来随后访问认证系统包括接收经数字签名的生物测定样本数据并将该数据与用户ID和PIN组合。然后将该数据包安全地发送至生物测定匹配服务器以确认该用户和该生物测定样本。一旦确认,生物匹配服务器就将该数据包加上一临时证书和公钥/私钥对一起返回至客户计算机。该客户计算机然后可使用该信息来访问认证系统以便随后获取对安全资源的访问。
Description
背景
用于交互式用户或网络认证的生物测定样本与现有认证方案中所使用的传统口令或密钥的不同之处在于它们在每次采样时都不相同。生物测定样本出于若干原因对于密钥资料而言并不是理想的。它们具有有限的强度并且密码种子的熵可被重新生成或改变。生物测定样本不是绝对值;它们是样本并且可随着每次采样而不同。密钥是从原始种子定义的绝对值,而生物测定读数是变化的。由于这些限制,生物测定样本并不是密钥资料的最佳选择。
生物测定样本通常与先前扫描和/或计算的存储的样本(在行业中经常被称为“模板”)进行匹配,并且如果确认了与存储的样本的活匹配(live match),则将存储的密钥资料发行给系统以允许用户登录会话使用该密钥资料来继续。然而,如果该匹配过程和/或密钥存储是在诸如物理上安全的服务器等安全环境之外完成的,则该密钥资料和/或参考模板容易受到攻击和泄漏。
由华盛顿州雷蒙德市的微软
公司提供的现有的WindowsTM体系结构支持口令或Kerberos/PKINIT认证,但不支持服务器上的生物测定模板的匹配来作为认证的一个普通部分。当今由生物测定解决方案厂商提供的解决方案通常将诸如口令或基于x.509的证书等传统登录凭证存储在客户机器上,并且然后在与也存储在该客户PC上的参考生物测定样本的有效模板匹配之后提交这些登录凭证。在现有系统中,口令、基于x.509的证书和参考模板都容易受到攻击和泄漏,因为它们驻留在物理上受保护的服务器之外。
因此期望提供在安全环境中使用生物测定标识的系统或方法。本发明解决了这些和其他问题。
概述
提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
使用生物测定标识来访问诸如Windows或基于现用目录的域基础结构等认证系统方面的进步包括从用户采集生物测定数据并将用户ID和PIN输入到客户计算机。该客户计算机安全地与可将用户生物测定数据与该用户的一组生物测定数据模板相匹配的生物测定匹配服务器进行通信。该生物测定服务器可验证该用户被授权并标识。一旦通过验证,匹配服务器将临时证书连同密钥一起发送至该客户计算机。使用该临时证书和密钥来获取对Kerberos认证系统的即时访问。客户机对该临时证书的后续使用将导致对Kerberos认证系统的拒绝访问,因为该证书已经过期。一旦客户计算机获取对Kerberos系统的访问,于是就可获得对一组安全的计算资源的后续访问。
附图
在附图中:
图1是示出现有技术认证系统的框图;
图2是描绘本发明的各功能方面的示例框图;
图3是示出本发明的一实施例的示例流程图;以及
图4是示出示例主机计算环境的框图。
详细描述
示例性实施例
本发明对于安全认证计算系统环境运行良好。一种这样的现有认证系统环境对于本领域的技术人员被公知为Kerberos。图1是典型的Kerberos系统的框图。Kerberos是允许个人通过不安全的网络来进行通信以便以安全的方式来向另一个人证明其身份的计算机网络认证协议。Kerberos防止窃听或重放攻击,并确保数据的完整性。Kerberos提供其中用户和服务两者验证彼此的身份的互认证。Kerberos在对称密钥密码术上构建并需要可信的第三方。
Kerberos包括两个功能部分:认证服务器(AS)104和权证授予服务器(TGS)106。Kerberos在用来证明用户的身份的“权证(ticket)”的基础上工作。通过使用Kerberos,客户机102能够证明其身份以便使用服务服务器(SS)108的资源。Kerberos维护一密钥数据库;网络上的每一个实体,无论客户机还是服务器,都共享只对其本身和Kerberos已知的密钥。对该密钥的知晓用于证明实体的身份。对于两个实体之间的通信,Kerberos生成它们可用来保护其交互的会话密钥。
通过使用Kerberos系统,客户机向AS104进行自我认证,然后向TGS106展示它被授权接收服务的权证(并且接收该权证),然后向SS展示它已被批准接收该服务。该过程在用户在客户机102上输入用户名和口令时开始。客户机对所输入的口令执行单向散列,而这变成了该客户机的密钥。该客户机经由链路110将一明文消息发送至AS 104,从而代表用户请求服务。此时密钥和口令都未被发送至AS。
AS 104检查以查看客户机102是否在其数据库中。如果在,则AS经由链路110将以下两条消息发送回到该客户机:
*消息A:使用该用户的密钥来加密的客户机/TGS会话密钥以及
*消息B:使用该TGS的密钥来加密的权证授予权证(包括客户机ID、客户机网络地址、权证有效时段和客户机/TGS会话密钥)。
一旦客户机接收到消息A和B,它就解密消息A以获得客户机/TGS会话密钥。该会话密钥用于与TGS的进一步通信。(注意:该客户机无法解密消息B,因为该消息是用TGS的密钥来加密的)。此时,客户机102具有足够的信息来向TGS进行自我认证。
在请求服务时,客户机102经由链路112将以下两条消息发送至TGS 106:
*消息C:由来自消息B的权证授予权证和所请求服务的ID组成,以及
*消息D:使用客户机/TGS会话密钥来加密的认证码(由客户机ID和时间戳组成)。
在接收到消息C和D后,TGS 106就使用客户机/TGS会话密钥来解密消息D(认证码)并经由链路112将以下两条消息发送至客户机102:
*消息E:使用服务的密钥来加密的客户机-服务器权证(包括客户机ID、客户机网络地址、有效时段),以及
*消息F:用客户机/TGS会话密钥加密的客户机/服务器回话密钥。
在从TGS 106接收到消息E和F后,客户机102就具有足够的信息来向SS 108进行自我认证。客户机102经由链路114连接到SS 108并发送以下两条消息:
*消息G:使用服务的密钥来加密的客户机-服务器权证,以及
*消息H:使用客户机/服务器会话密钥来加密的且包括客户机ID、时间戳的新认证码。
SS 108使用其自己的密钥来解密该权证并经由链路114将以下消息发送至客户机102以确认其真实身份以及为该客户机服务的意愿。
*消息I:使用客户机/服务器会话密钥来加密的在客户机的最近的认证码中找到的时间戳加1。
客户机102使用其与SS108共享的密钥来解密该确认,并且检查该时间戳是否被正确地更新。如果是,则客户机102可信任SS 108并可开始向该SS 108发出服务请求。SS 108然后可向该客户机102提供所请求的服务。
本发明可有利地将Kerberos系统的各方面用于生物测定采样器设备。在一种环境中,可以实现一新框架,其中诸如用户名、域名、UPN等所声明的用户身份、PIN/口令和经读取器签名的密码生物测定样本被安全地发送至保存在生物测定系统中登记的每一个用户的参考模板的新定义的生物测定匹配服务器。如果该样本上的所声明的身份、PIN/口令、签名和匹配都被确认了,则生成诸如X.509证书或对称密钥或一次性口令等临时凭证并将其返回给用户。在一个实施例中,如本领域的技术人员已知的,可以使用替换临时证书。用户然后可使用该证书以便以自动化的或手动方式登录认证系统。
该新框架提供比诸如上述的现有生物测定实现更好的对用于交互式或网络用户登录的密钥资料的保护。该新框架的优点包括生物测定采样设备中的密钥可用于保护样本免遭篡改。该密钥可以在生物测定采样器中的集成电路中提供。生物测定匹配服务器上的密钥可用于生成临时登录证书。该密钥驻留在物理上安全的服务器上并且受到网络的信任以创建凭证。给予用户用于登录的证书只可使用非常短的时间。并且,该新框架与现有Kerberos/PKINIT认证结构兼容。
图2是示出本发明的各功能方面的框图。用户输入202被提供给客户计算机206和生物测定采样器204两者。在生物测定识别系统中需要该用户输入来登录到客户机以获取对服务服务器212中的资源的访问。为了访问服务器212,用户需要使用生物测定匹配服务器208经由生物测定采样器设备204和客户计算机206来进行标识。结合认证系统210,该用户然后能够在被认证的情况下使用服务服务器212。
在涉及本发明的各方面的典型情形中,用户可通过输入用户ID和PIN或口令来开始对客户机的访问。这形成了用户输入202的一部分。客户计算机206可提示用户呈现生物测定样本。在某些系统中,生物测定样本可简单地被动收集而不是主动收集。生物测定采样器204收集用户的生物测定样本。生物测定采样器204然后密码地签署该生物测定样本并将其转发至客户计算机系统206。该密码签名用于保护该生物测定样本以免在该客户计算机中被篡改。该数字密码签名建立向已取得该样本的生物测定设备的原始认证。该动作证明来自已知源的一新鲜样本被提供给客户机。
客户计算机206然后建立与生物测定匹配服务器208的安全连接226并传送该生物测定样本信息。在一个实施例中,在客户机206和生物测定匹配服务器208之间建立安全套接字层(SSL)和/或传输层安全(TLS)连接或其他安全链接方法以保护该样本免予在传送时被篡改。
从客户机206发送至生物测定服务器208的信息包括数字签名、生物测定样本、用户输入PIN和/或口令、以及时间戳和/或现时值。如果该数据匹配生物测定匹配服务器208的数据库中与该用户相关联的参考数据,则该生物测定匹配服务器为用户登录会话生成密码公钥/私钥对和诸如x.509证书等数字证书。数字证书用短有效时段来构造以使其将在短时间内过期。将该数字证书和密钥对经由安全链路从生物测定匹配计算机208发送至客户计算机206。在本发明的一个方面中,发放临时数字证书以提高在获得对服务服务器212资源的访问时的安全等级。许多生物测定设备读取器或生物测定系统将一永久证书存储在其生物测定读取器或客户计算机中。这因呈现先前访问中所使用的证书而增加了非法访问的风险。通过生成由认证系统识别的临时或短时证书,增强了生物测定读数的新鲜度和证书的强度。临时有效的短时证书更安全,因为它在一固定时间段内无法被重复使用来获取多于一组的认证系统凭证。在一个实施例中,该固定时间段可被固定在从十分钟到几小时的时间间隔。因此,证书对于特定认证会话是唯一的。在为认证系统所分配的时间内使用该临时证书的失败将导致认证系统访问由于证书过期而被拒绝。
一旦已发出密钥和证书,客户机206就可进而向安全系统210进行自我认证,该安全系统210在一示例性实现中将会是Kerberos KDC(密钥分发中心)。一示例认证系统是Kerberos系统。在一个Kerberos认证实施例中,客户机使用当前PKINIT协议来将用户ID、证书和签名作为认证请求呈现给Kerberos认证服务器(见图1)。如果该PKINIT认证协议成功,则向客户机206发出包含Kerberos权证授予权证(TGT)的用户令牌以供在该基于Kerberos的网络中的后续使用。客户机106可在此时丢弃临时PKI证书和密钥或密钥对。客户机206然后通过其他Kerberos访问协议来自由获取对服务服务器212的访问。
图3是描绘结合认证系统使用生物测定设备的方法300的流程图。该过程通过用户开始使用生物测定标识系统的客户计算机的登录会话而开始(步骤302)。在一个实施例中,遇到其中客户计算机提示用户提供生物测定样本的交互式过程。在另一实施例中,生物测定采样设备被动地收集样本。在任一种情况下,客户机收集用户ID、个人识别号(PIN)和/或口令(步骤304)。某些生物测定系统可能需要PIN和口令两者,而其他生物测定系统可能一个都不需要。但是,包括PIN和/或口令将进一步的权威和信任添加到在生物测定采样系统中收集用户凭证的过程,因为它需要用户的协作并可指示活数据(livedata)。在某些系统中,PIN或口令可能是本地生物测定采样设备和远程生物测定匹配服务器两者都需要的。
作为进一步的安全措施,从用户收集的生物测定数据是经数字签名的。该生物测定数据的数字签名指示使用过特定生物测定采样设备来收集该数据。例如,如果呈现了未经客户计算机识别的生物测定设备数据,则该客户计算机可基于该客户机识别该使用过的采样设备的失败来拒绝该生物测定数据。此外,可以将时间戳添加到该生物测定样本以证明该生物测定样本数据的新鲜度。例如,如果在时间上失效的(time-stale)数据被呈现给客户计算机,则该客户计算机可由于旧且可能欺诈性地提交而拒绝该生物测定数据。作为另一种替换,可以将现时值代替时间戳或连同时间戳一起添加。在添加了时间戳和/或现时值的情况下,可以将数字签名应用于所有收集的数据。
在收集了用户凭证和生物测定数据之后,形成了与生物测定匹配服务器的安全链路,并且客户计算机安全地发送所收集的数据(步骤306)。该安全链路可以使用私钥从客户机到生物测定匹配服务器来建立。所使用的私钥可以在该密钥在一安全事务中被给予客户机的情况下来到生物测定服务器。或者,该私钥可由外部授权机构来安全地供应并被给予客户机。该客户机然后使用该私钥来加密包括经签名的生物测定数据、用户ID和PIN或口令、以及时间戳或现时值的数据页面。
在生物测定服务器处,执行对所收集的数据的许多检查。步骤308-316的检查可以按任何逻辑次序来执行。在一个实施例中,连同时间戳和现时值数据一起检查生物测定数据和用户凭证的包的有效性。检查用户ID并将其与生物测定匹配服务器中列出的授权用户列表进行匹配(步骤308)。在该步骤处,生物测定匹配服务器验证存在匹配身份信息的用户。如果该用户不存在,则过程300失败并且用户登录终止。
如果口令或PIN信息是连同生物测定数据收集一起呈现的,则该信息被验证为属于该授权用户(步骤310)。如上所述,如果确认该用户PIN或口令信息无效,则过程300失败并且用户登录终止。接下来,匹配生物测定数据本身(步骤312)。所提交的生物测定数据的比较较佳地针对可经由生物测定匹配服务器获得的生物测定数据的安全模板来执行。模板信息可通过对本领域的技术人员已知的任何安全手段来供应。如果该生物测定匹配没有产生统计上的显著相关或匹配,则过程300失败并且用户登录终止。
可以在时间戳或现时值在生物测定数据收集时提交或添加的情况下执行对生物测定数据的另一项验证(步骤314)。该时间戳或现时值帮助确保所获得的生物测定数据是新鲜的且并非仅仅是复制或重新提交的。在一个实施例中,现时值或时间戳可由生物测定采样设备本身或客户计算机来生成。在任一种情况下,时间戳或现时值数据可作为硬件添加的戳来添加在生物测定样本数据上,作为最近收集的样本的指示。该硬件可以在添加时间戳、现时值和/或数字签名的生物测定采样设备中的集成电路中。
对该生物测定数据的另一项验证是确认由生物测定采样设备添加的数字签名认证了该生物测定设备(步骤316)。如果该生物测定匹配服务器没有识别出经由该数字签名指示的生物测定采样设备是与该客户计算机相关联的设备,则过程300失败并且用户登录终止。数字签名还可用于验证该生物测定数据和时间戳和/或现时值在由采样设备生成之后还未被操纵过。
在验证被给予生物测定匹配服务器的信息包符合所有接受准则之后,然后生成密钥和至少一个临时凭证或证书(步骤318)。生物测定匹配服务器生成公钥/私钥对以供客户机使用。该公钥/私钥对并不受诸如RSA、ECC、DH等任何特定加密算法,或本领域的技术人员已知的任何其他类型的加密算法的限制。与客户机和认证系统兼容的所有类型的加密手段在本发明中都是可用的。类似地,证书格式并不限于X.509。格式可以是XrML、ISO REL、SAML或本领域的技术人员已知的任何其他格式。所有类型的数字证书都可以在它们与客户机和认证系统兼容的情况下使用。此外,在诸如客户机、生物测定匹配服务器、认证系统和服务服务器等功能之间的任何连接中使用的各密钥和方法都可以或者是对称的或者是非对称的。
在生物测定读取器、扫描或采样设备中使用的密钥可以在制造期间供应,或者这些密钥可由使用密钥分层结构、公钥基础结构的组织或其他外部授权机构来供应。生物测定匹配服务器上生成的密钥可以用软件来生成,它们可以使用诸如HSM或加速器等硬件设备来生成,它们可以使用从可追踪到密钥授权机构的外部源加载的预计算的密钥列表来生成。
回到图3和过程300,在生成密钥和证书之后,将该密钥和证书给予客户机(步骤320)。一般而言,上传到生物测定匹配服务器的所有信息是连同密钥和证书一起返回的。这准许客户机可访问用户凭证(用户ID、PIN和口令)而不将该数据存储在客户计算机上。在客户机从生物测定匹配服务器接收到密钥和证书和返回的凭证之后,于是该客户机然后可将所接收到的信息应用于认证系统以访问所需计算机资源(步骤322)。在此,本发明的各实施例可取决于认证系统的特性而变化。在一个实施例中,使用Kerberos认证协议。
在一个实施例中,客户机可启动如以上参考图1描述的Kerberos协议。作为该协议中的一个元素,客户机最终将呈现临时证书、用户ID、PIN和/或口令、以及密钥,并将该信息发送至Kerberos权证授予服务器以请求服务权证以使得被授予经由所保护的服务服务器的对计算机资源的访问。其他实施例可以使用所使用的特定认证服务器的需求所要求的不同的协议。
在图3的方法的一种替换方案中,用户ID、PIN和/或口令以及生物测定样本可以在将该数据发送至生物测定匹配服务器之前首先在本地由硬件设备来确认。在另一个替换方案中,所有数据都可由客户机来收集并被传递到服务器并且在安全过程中只由该服务器来确认。
在图3的方法的一个实施例中,数据包到生物测定服务器的发送(步骤306)还包括作为由客户计算机206生成的私钥/公钥对的一部分的公钥。在该数据包中被发送至生物测定服务器的公钥在连同诸如数字证书等凭证一起被发送回到客户计算机206(步骤320)之前由该生物测定服务器来证实。
在本发明的一个实施例中,图2的各功能可以按各种形式组合。例如,可以组合客户机206和生物测定匹配服务器,或者可以组合认证服务器210和客户计算机,或者可以组合生物测定采样器204和客户计算机206,或者可以组合认证服务器210和生物测定匹配服务器208。虽然图2的各功能块可以按各种方式组合,但所得的系统200的整体功能保持原样。
示例性计算设备
图4和以下讨论旨在提供适于与媒体存储设备进行交互的主计算机的简要概括描述。虽然以下描述了通用计算机,但这仅是单个处理器示例,并且具有多个处理器的主计算机的各实施例可以用诸如具有网络/总线互操作性和交互的客户机等的其他计算设备来实现。
尽管并非所需,但本发明的各实施例可经由操作系统来实现,以供设备或对象的服务开发者使用,和/或被包括应用软件中。软件可以在由诸如客户机工作站、服务器或其它设备等一个或多个计算机执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以在各个实施例中按需进行组合或分布。此外,本领域的技术人员可以理解,本发明可以用其它计算机配置来实施。适用的其它众所周知的计算系统、环境和/或配置包括但不限于,个人计算机(PC)、自动提款机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子设备、网络PC、电器、灯、环境控制元件、小型机、大型计算机等等。本发明的各实施例也可以在其中任务由通过通信网络或其它数据传输介质链接的远程处理设备来执行的分布式计算环境中实践。在分布式计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机存储介质中,并且客户机节点进而可如服务器节点那样工作。
参考图4,用于实现示例主计算机的一个示例性系统包括计算机系统410形式的通用计算设备。计算机系统410的组件可以包括,但不限于,处理单元420、系统存储器430和将包括系统存储器在内的各种系统组件耦合至处理单元420的系统总线421。系统总线421可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。
计算机系统410通常包括各种计算机可读介质。计算机可读介质可以是能由计算机系统410访问的任何可用介质,而且包含易失性/非易失性介质以及可移动/不可移动介质。作为示例而非局限,计算机可读介质可以包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、闪存或其它存储器技术、压缩盘只读存储器(CDROM)、可重写压缩盘(CDRW)、数字多功能盘(DVD)或其它光盘存储、盒式磁带、磁带、磁盘存储或其它磁性存储设备、或可用于存储所需信息并可由计算机系统410访问的任何其它介质。
系统存储器430包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)431和随机存取存储器(RAM)432。基本输入/输出系统433(BIOS)包含有助于诸如启动时在计算机系统410中的元件之间传递信息的基本例程,它通常存储在ROM 431中。RAM 432通常包含处理单元420可以立即访问和/或目前正在其上操作的数据和/或程序模块。作为示例,而非限制,图4示出了操作系统433、应用程序435、其它程序模块436和程序数据437。
计算机系统410也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图4示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器431,从可移动、非易失性磁盘452中读取或向其写入的磁盘驱动器451,以及从诸如CD ROM、CDRW、DVD或其它光学介质等可移动、非易失性光盘455中读取或向其写入的光盘驱动器456。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器441通常经由诸如接口440等不可移动存储器接口连接至系统总线421,磁盘驱动器451和光盘驱动器455通常经由诸如接口450等可移动存储器接口连接至系统总线421。
上文讨论并在图4中示出的驱动器及其关联的计算机存储介质为计算机系统410提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图4中,硬盘驱动器441被示为存储操作系统444、应用程序445、其它程序模块446和程序数据447。注意,这些组件可以与操作系统444、应用程序445、其它程序模块446和程序数据447相同,也可以与它们不同。操作系统444、应用程序445、其它程序模块446和程序数据447在这里被标注了不同的标号是为了说明至少它们是不同的副本。
用户可以通过输入设备,如键盘462和定点设备461(通常指鼠标、跟踪球或触摸垫)向计算机系统410输入命令和信息。其它输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常由耦合至系统总线421的用户输入接口460连接到处理单元420,但是也可由诸如并行端口、游戏端口或通用串行总线(USB)之类的其它接口和总线结构连接。监视器491或其它类型的显示设备也经由可以进而与视频存储器(未示出)进行通信的接口,诸如视频接口490连接至系统总线421。除监视器491以外,计算机系统也可以包括其它外围输出设备,诸如扬声器497和打印机496,它们可以通过输出外围接口495连接。
计算机系统410可使用至一个或多个远程计算机,诸如远程计算机480的逻辑连接在联网或分布式环境中操作。远程计算机480可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点,且通常包括上文相对于计算机系统410描述的许多或所有元件,尽管在图4中只示出存储器存储设备481。图4中所示的逻辑连接包括局域网(LAN)471和广域网(WAN)473,但也可以包括其它网络/总线。这样的联网环境在家庭、办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN网络环境中使用时,计算机系统410通过网络接口或适配器470连接至LAN 471。当在WAN网络环境中使用时,计算机系统410通常包括调制解调器472,或用于通过WAN 473,如因特网建立通信的其它装置。调制解调器472可以是内置或外置的,它可以通过用户输入接口460或其它适当的机制连接至系统总线421。在联网环境中,相对于计算机系统410所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例,而非限制,图4示出了远程应用程序485驻留在存储器设备481上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
鉴于个人计算和因特网的交汇,已经开发且正在开发各种分布式计算框架。个人和商业用户同样地拥有用于应用程序和计算设备的无缝的互操作和启用web的接口,使得计算活动越来越面向web浏览器和网络。
例如,可从微软公司获得的微软的.NETTM平台包括服务器、诸如基于web的数据存储等构件块服务、以及可下载设备软件。尽管此处的某些示例性实施例是结合驻留在计算设备上的软件描述的,但本发明的一实施例的一个或多个部分也可以通过操作系统、应用程序编程接口(API)、或协处理器、显示设备和做出请求的对象中的任一个之间的“中间人”对象来实现,使操作可由所有.NETTM的语言和服务来执行,以及在其它分布式计算框架中,在其中得到支持或经由它们来访问。
如上所述,尽管结合各种计算设备和网络体系结构描述了本发明的示例性实施例,但基本概念可被应用于其中期望实现生物测定凭证验证方案的任何计算设备或系统。由此,结合本发明的各实施例描述的各方法和系统可被应用于各种应用程序和设备。尽管此处选择了示例性编程语言、名称和示例来表示各种选择,但这些语言、名称和示例不旨在为限制性的。本领域的普通技术人员将认识到,有多种方法来提供实现本发明的各实施例所实现的相同、相似或等效的系统和方法的目标代码。
此处所述的各种技术可结合硬件或软件,或在适当时以其组合来实现。因此,本发明的方法和装置或其某些方面或部分,可以采用包含在有形介质中的程序代码(即,指令)的形式,有形介质诸如软盘、CD-ROM、硬盘驱动器或任何其它机器可读存储介质,其中,当程序代码被加载至诸如计算机等机器并由其运行时,该机器成为用于实现本发明的装置。
尽管已结合各个附图的优选实施例对本发明的各方面进行了描述,但是可以理解,可以使用其它类似的实施例,并且可以对所述实施例进行修改或添加,来实现本发明的相同功能而不背离本发明。此外,应当强调,构想了包括手持式设备操作系统和其它应用专用操作系统的各种计算机平台,尤其是在无线联网设备的数量持续增长时。因此,所要求保护的发明不应限于任何单个实施例,而是应该根据所附权利要求书的宽度和范围来解释。
Claims (20)
1.一种结合认证系统使用生物测定采样设备的方法,所述方法包括:
由客户计算机(206)接收生物测定样本数据,所述样本数据具有验证所述样本数据的起源的数字签名;
接收用户标识(ID)以及与所述用户相关联的个人标识号(PIN)和口令中的至少一个;
将数据包发送至生物测定匹配服务器(208)(306),所述数据包包括所述生物测定样本数据、所述PIN和所述口令中的至少一个、以及所述用户ID;
在所述匹配服务器(208)处验证所述用户ID与授权用户相关联(308)、验证所述用户PIN或口令是有效的、验证所述样本数据匹配所述授权用户的数据模板(312)、以及验证所述数字签名是有效的(316);
在所述匹配服务器(208)处生成临时凭证和至少一个密钥(318);
将所述临时凭证和所述至少一个密钥连同所述数据包一起发送至所述客户计算机(206)(320);以及
使用所述临时凭证和所述至少一个密钥来访问安全认证系统(210)以获得对在所述客户计算机(206)外部的资源(212)的后续访问。
2.如权利要求1所述的方法,其特征在于,由客户计算机接收生物测定样本数据包括从生物测定采样设备接收所述样本数据、时间戳和数字签名。
3.如权利要求1所述的方法,其特征在于,将数据包发送至生物测定匹配服务器包括通过安全链路来发送所述数据包,所述数据包包括所述生物测定样本数据、所述用户ID和所述PIN或口令。
4.如权利要求3所述的方法,其特征在于,所述数据包还包括客户机生成的公钥,并且其中所述匹配服务器在将所述临时凭证发送至所述客户计算机之前证实所述客户机生成的公钥。
5.如权利要求1所述的方法,其特征在于,在所述匹配服务器处生成临时凭证和至少一个密钥包括生成与所述认证系统兼容的临时证书和公钥/私钥对。
6.如权利要求5所述的方法,其特征在于,所述公钥/私钥对被安全地供应给所述生物测定匹配服务器。
7.如权利要求5所述的方法,其特征在于,所述认证系统是Kerberos认证系统。
8.如权利要求1所述的方法,其特征在于,访问安全认证系统包括使用临时证书和公钥/私钥对来访问Kerberos系统以获得对服务服务器的资源的后续访问,其中所述临时证书格式包括X.509、XrML、ISO REL或SAML中的一种。
9.一种访问认证系统的计算机系统,所述计算机系统包括:
对客户计算机(206)的用户接口(202),其中接收用户标识符(ID)的输入;
生物测定采样设备(204),所述生物测定采样设备(204)对所述用户的生物测定数据进行采样并将所采样的生物测定数据连同数字签名一起提供给所述客户计算机(206);
在所述客户计算机(206)中运行的程序的第一部分,所述程序的第一部分生成包括所述生物测定数据、所述数字签名和所述用户ID的数据包;
所述客户计算机(206)和所述生物测定匹配服务器(208)之间的安全连接(226),所述安全连接(226)用于将所述数据包从所述客户计算机(206)传送至所述生物测定匹配服务器(208);
所述生物测定匹配服务器(208)中的程序,所述程序确认所述数据包中的信息并经由所述安全连接(226)将所述数据包连同用于访问认证系统(210)的临时凭证和至少一个密钥一起返回;以及
在所述客户计算机(206)中运行的所述程序的第二部分,所述程序的第二部分使用所述临时凭证和至少一个密钥来访问所述认证系统(210)。
10.如权利要求9所述的系统,其特征在于,所述生物测定采样设备还提供时间标签以便连同数字签名一起附给所采样的生物测定数据。
11.如权利要求9所述的系统,其特征在于,所述数据包还包括个人识别号(PIN)和口令中的至少一个。
12.如权利要求9所述的系统,其特征在于,所述安全连接包括SSL/TLS接口。
13.如权利要求9所述的系统,其特征在于,所述生物测定匹配服务器中的程序确认所述用户ID表示有效用户,所述生物测定数据与所述用户的生物测定模板匹配,以及验证所述数字签名是有效的。
14.如权利要求9所述的系统,其特征在于,所述临时凭证对于与所述认证系统的一个认证会话有效。
15.如权利要求10所述的系统,其特征在于,所述认证系统是Kerberos认证系统。
16.如权利要求9所述的系统,其特征在于,所述用于访问所述认证系统的至少一个密钥包括公钥/私钥对。
17.如权利要求16所述系统,其特征在于,所述公钥/私钥对由外部密钥授权机构来供应给所述生物测定匹配服务器。
18.一种具有用于执行一种结合Kerberos类型的认证系统使用生物测定采样设备的方法的计算机可执行指令的计算机可读介质,所述方法包括:
由客户计算机(206)接收生物测定样本数据,所述样本数据具有验证所述样本数据的起源的数字签名;
接收用户标识(ID)以及与所述用户相关联的个人识别号(PIN)和口令中的至少一个;
将数据包发送至生物测定匹配服务器(208)(306),所述数据包包括所述生物测定样本数据、以及所述PIN和所述口令中的至少一个;
在所述匹配服务器(208)处验证所述用户ID和PIN与授权用户相关联(308)、验证所述样本数据匹配所述授权用户的数据模板(312)、以及验证所述数字签名是有效的(316);
在所述匹配服务器(208)处生成临时凭证和公钥/私钥对;
将所述临时凭证和所述密钥对连同所述数据包一起发送至所述客户计算机(206);以及
使用所述临时凭证和所述密钥对来访问所述Kerberos类型的认证系统(210)以获得对在所述客户计算机(206)外部的资源(212)的后续访问。
19.如权利要求18所述的计算机可读介质,其特征在于,所述由客户计算机接收生物测定样本数据的步骤包括从生物测定采样设备接收所述样本数据、时间戳和现时值中的至少一个、以及数字签名。
20.如权利要求18所述的计算机可读介质,其特征在于,所述访问所述Kerberos类型的认证系统的步骤包括使用临时证书和公钥/私钥对来访问Kerberos系统以获得对服务服务器的资源的后续访问,其中所述临时证书格式包括X.509、XrML、ISO REL或SAML中的一种。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/477,160 US20100242102A1 (en) | 2006-06-27 | 2006-06-27 | Biometric credential verification framework |
| US11/477,160 | 2006-06-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101479987A true CN101479987A (zh) | 2009-07-08 |
Family
ID=39644985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800246724A Pending CN101479987A (zh) | 2006-06-27 | 2007-06-25 | 生物测定凭证验证框架 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US20100242102A1 (zh) |
| EP (1) | EP2033359A4 (zh) |
| JP (1) | JP2010505286A (zh) |
| KR (1) | KR20090041365A (zh) |
| CN (1) | CN101479987A (zh) |
| AU (1) | AU2007345313B2 (zh) |
| CA (1) | CA2653615A1 (zh) |
| MX (1) | MX2008015958A (zh) |
| NO (1) | NO20085023L (zh) |
| RU (1) | RU2434340C2 (zh) |
| WO (1) | WO2008091277A2 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607282A (zh) * | 2013-11-22 | 2014-02-26 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
| WO2014183392A1 (zh) * | 2013-05-14 | 2014-11-20 | 北大方正集团有限公司 | 分布式环境下的安全通信认证方法及系统 |
| CN105474573A (zh) * | 2013-09-19 | 2016-04-06 | 英特尔公司 | 用于同步并恢复参考模板的技术 |
| CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
| CN109863730A (zh) * | 2016-09-19 | 2019-06-07 | 电子湾有限公司 | 多会话认证 |
| CN109906594A (zh) * | 2016-11-04 | 2019-06-18 | 微软技术许可有限责任公司 | IoT设备认证 |
| CN111033502A (zh) * | 2017-08-28 | 2020-04-17 | 国际商业机器公司 | 经由区块链使用生物特征数据和不可逆函数进行身份验证 |
| CN111324895A (zh) * | 2014-10-20 | 2020-06-23 | 微软技术许可有限责任公司 | 用于客户端设备的信任服务 |
| CN111466097A (zh) * | 2017-12-08 | 2020-07-28 | 维萨国际服务协会 | 服务器辅助式隐私保护生物统计比较 |
| US11514158B2 (en) | 2016-11-04 | 2022-11-29 | Microsoft Technology Licensing, Llc | IoT security service |
| US20230164112A1 (en) * | 2019-07-24 | 2023-05-25 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
Families Citing this family (80)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8387130B2 (en) * | 2007-12-10 | 2013-02-26 | Emc Corporation | Authenticated service virtualization |
| FR2958821A1 (fr) * | 2007-12-11 | 2011-10-14 | Mediscs | Procede d'authentification d'un utilisateur |
| US8438385B2 (en) * | 2008-03-13 | 2013-05-07 | Fujitsu Limited | Method and apparatus for identity verification |
| US8219802B2 (en) | 2008-05-07 | 2012-07-10 | International Business Machines Corporation | System, method and program product for consolidated authentication |
| CN101286840B (zh) * | 2008-05-29 | 2014-07-30 | 西安西电捷通无线网络通信股份有限公司 | 一种利用公钥密码技术的密钥分配方法及其系统 |
| US7877503B2 (en) * | 2008-07-02 | 2011-01-25 | Verizon Patent And Licensing Inc. | Method and system for an intercept chain of custody protocol |
| US20100083000A1 (en) * | 2008-09-16 | 2010-04-01 | Validity Sensors, Inc. | Fingerprint Sensor Device and System with Verification Token and Methods of Using |
| CN101447010B (zh) * | 2008-12-30 | 2012-02-22 | 飞天诚信科技股份有限公司 | 登录系统及登录方法 |
| US9246908B2 (en) * | 2009-01-08 | 2016-01-26 | Red Hat, Inc. | Adding biometric identification to the client security infrastructure for an enterprise service bus system |
| US7690032B1 (en) | 2009-05-22 | 2010-03-30 | Daon Holdings Limited | Method and system for confirming the identity of a user |
| US8549601B2 (en) * | 2009-11-02 | 2013-10-01 | Authentify Inc. | Method for secure user and site authentication |
| JP5570610B2 (ja) * | 2009-11-05 | 2014-08-13 | ヴイエムウェア インク | 遠隔ユーザ・セッションのためのシングル・サインオン |
| US9082127B2 (en) | 2010-03-31 | 2015-07-14 | Cloudera, Inc. | Collecting and aggregating datasets for analysis |
| US8874526B2 (en) | 2010-03-31 | 2014-10-28 | Cloudera, Inc. | Dynamically processing an event using an extensible data model |
| US9081888B2 (en) | 2010-03-31 | 2015-07-14 | Cloudera, Inc. | Collecting and aggregating log data with fault tolerance |
| US9319625B2 (en) * | 2010-06-25 | 2016-04-19 | Sony Corporation | Content transfer system and communication terminal |
| WO2012112921A2 (en) | 2011-02-18 | 2012-08-23 | Creditregistry Corporation | Non-repudiation process for credit approval and identity theft prevention |
| JP5430797B2 (ja) * | 2011-04-12 | 2014-03-05 | パナソニック株式会社 | 認証システム、情報登録システム、サーバ、プログラム、及び、認証方法 |
| US8762709B2 (en) | 2011-05-20 | 2014-06-24 | Lockheed Martin Corporation | Cloud computing method and system |
| US9294452B1 (en) | 2011-12-09 | 2016-03-22 | Rightquestion, Llc | Authentication translation |
| US11475105B2 (en) | 2011-12-09 | 2022-10-18 | Rightquestion, Llc | Authentication translation |
| WO2013088258A2 (en) * | 2011-12-14 | 2013-06-20 | Voicetrust Ip Gmbh | Systems and methods for authenticating benefit recipients |
| FR2987529B1 (fr) * | 2012-02-27 | 2014-03-14 | Morpho | Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe |
| US9338008B1 (en) * | 2012-04-02 | 2016-05-10 | Cloudera, Inc. | System and method for secure release of secret information over a network |
| RS54229B1 (en) | 2012-06-14 | 2015-12-31 | Vlatacom D.O.O. | BIOMETRIC ACCESS CONTROL SYSTEM AND PROCEDURE |
| US9177129B2 (en) * | 2012-06-27 | 2015-11-03 | Intel Corporation | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log |
| US9065593B2 (en) * | 2012-11-16 | 2015-06-23 | Nuance Communications, Inc. | Securing speech recognition data |
| BR112015010893A2 (pt) * | 2012-11-16 | 2017-07-11 | Koninklijke Philips Nv | sistema de comprovação de identidade; sistema de verificação de identidade; sistema biométrico; método biométrico; e programa de computador |
| US9131369B2 (en) | 2013-01-24 | 2015-09-08 | Nuance Communications, Inc. | Protection of private information in a client/server automatic speech recognition system |
| US9514741B2 (en) | 2013-03-13 | 2016-12-06 | Nuance Communications, Inc. | Data shredding for speech recognition acoustic model training under data retention restrictions |
| US9514740B2 (en) | 2013-03-13 | 2016-12-06 | Nuance Communications, Inc. | Data shredding for speech recognition language model training under data retention restrictions |
| US9342557B2 (en) | 2013-03-13 | 2016-05-17 | Cloudera, Inc. | Low latency query engine for Apache Hadoop |
| US9275208B2 (en) * | 2013-03-18 | 2016-03-01 | Ford Global Technologies, Llc | System for vehicular biometric access and personalization |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US20160125416A1 (en) * | 2013-05-08 | 2016-05-05 | Acuity Systems, Inc. | Authentication system |
| US20140343943A1 (en) * | 2013-05-14 | 2014-11-20 | Saudi Arabian Oil Company | Systems, Computer Medium and Computer-Implemented Methods for Authenticating Users Using Voice Streams |
| US9515996B1 (en) * | 2013-06-28 | 2016-12-06 | EMC IP Holding Company LLC | Distributed password-based authentication in a public key cryptography authentication system |
| US9934382B2 (en) | 2013-10-28 | 2018-04-03 | Cloudera, Inc. | Virtual machine image encryption |
| EP3090525B1 (en) * | 2013-12-31 | 2021-06-16 | Veridium IP Limited | System and method for biometric protocol standards |
| US10454913B2 (en) | 2014-07-24 | 2019-10-22 | Hewlett Packard Enterprise Development Lp | Device authentication agent |
| US9736154B2 (en) * | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
| EP3770781B1 (en) * | 2014-09-30 | 2022-06-08 | Citrix Systems, Inc. | Fast smart card logon and federated full domain logon |
| FR3027753B1 (fr) * | 2014-10-28 | 2021-07-09 | Morpho | Procede d'authentification d'un utilisateur detenant un certificat biometrique |
| RU2610696C2 (ru) * | 2015-06-05 | 2017-02-14 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ аутентификации пользователя при помощи электронной цифровой подписи пользователя |
| US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10944738B2 (en) * | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
| US10812464B2 (en) * | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| US10034174B1 (en) * | 2015-12-21 | 2018-07-24 | United Services Automobile Association (Usaa) | Systems and methods for authenticating a caller using biometric authentication |
| CN105989495A (zh) * | 2016-03-07 | 2016-10-05 | 李明 | 一种支付方法及系统 |
| CN105938526A (zh) * | 2016-03-07 | 2016-09-14 | 李明 | 一种身份认证方法及系统 |
| CN107294721B (zh) * | 2016-03-30 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| RU2616154C1 (ru) * | 2016-06-09 | 2017-04-12 | Максим Вячеславович Бурико | Средство, способ и система для осуществления транзакций |
| KR20180013524A (ko) * | 2016-07-29 | 2018-02-07 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 생체 정보 인증 방법 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10325081B2 (en) * | 2016-08-18 | 2019-06-18 | Hrb Innovations, Inc. | Online identity scoring |
| US10277400B1 (en) * | 2016-10-20 | 2019-04-30 | Wells Fargo Bank, N.A. | Biometric electronic signature tokens |
| JP2018107514A (ja) * | 2016-12-22 | 2018-07-05 | 日本電気株式会社 | 位置情報保証装置、位置情報保証方法、位置情報保証プログラム、および通信システム |
| FR3069078B1 (fr) * | 2017-07-11 | 2020-10-02 | Safran Identity & Security | Procede de controle d'un individu ou d'un groupe d'individus a un point de controle gere par une autorite de controle |
| WO2019014775A1 (en) * | 2017-07-21 | 2019-01-24 | Bioconnect Inc. | BIOMETRIC ACCESS SECURITY PLATFORM |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
| GB2574182A (en) * | 2018-03-26 | 2019-12-04 | Ssh Communications Security Oyj | Authentication in a computer network system |
| US11462095B2 (en) | 2018-06-15 | 2022-10-04 | Proxy, Inc. | Facility control methods and apparatus |
| US11109234B2 (en) | 2018-06-15 | 2021-08-31 | Proxy, Inc. | Reader device with sensor streaming data and methods |
| US11546728B2 (en) | 2018-06-15 | 2023-01-03 | Proxy, Inc. | Methods and apparatus for presence sensing reporting |
| US20200028841A1 (en) | 2018-06-15 | 2020-01-23 | Proxy, Inc. | Method and apparatus for providing multiple user credentials |
| US20200036708A1 (en) * | 2018-06-15 | 2020-01-30 | Proxy, Inc. | Biometric credential improvement methods and apparatus |
| CN109684806A (zh) * | 2018-08-31 | 2019-04-26 | 深圳壹账通智能科技有限公司 | 基于生理特征信息的身份验证方法、装置、系统和介质 |
| JP7235055B2 (ja) * | 2018-12-12 | 2023-03-08 | 日本電気株式会社 | 認証システム、クライアントおよびサーバ |
| EP3674934A1 (en) * | 2018-12-26 | 2020-07-01 | Thales Dis France SA | Biometric acquisition system and method |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| CN110190950B (zh) * | 2019-06-11 | 2021-04-27 | 飞天诚信科技股份有限公司 | 一种安全签名的实现方法及装置 |
| US11296872B2 (en) * | 2019-11-07 | 2022-04-05 | Micron Technology, Inc. | Delegation of cryptographic key to a memory sub-system |
| US11822686B2 (en) * | 2021-08-31 | 2023-11-21 | Mastercard International Incorporated | Systems and methods for use in securing backup data files |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5944824A (en) * | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
| US6898577B1 (en) * | 1999-03-18 | 2005-05-24 | Oracle International Corporation | Methods and systems for single sign-on authentication in a multi-vendor e-commerce environment and directory-authenticated bank drafts |
| US6564104B2 (en) * | 1999-12-24 | 2003-05-13 | Medtronic, Inc. | Dynamic bandwidth monitor and adjuster for remote communications with a medical device |
| US7177849B2 (en) * | 2000-07-13 | 2007-02-13 | International Business Machines Corporation | Method for validating an electronic payment by a credit/debit card |
| WO2002063847A2 (en) * | 2001-02-06 | 2002-08-15 | Certicom Corp. | Mobile certificate distribution in a public key infrastructure |
| US7020645B2 (en) * | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
| WO2002103496A2 (en) * | 2001-06-18 | 2002-12-27 | Daon Holdings Limited | An electronic data vault providing biometrically protected electronic signatures |
| JP3842100B2 (ja) * | 2001-10-15 | 2006-11-08 | 株式会社日立製作所 | 暗号化通信システムにおける認証処理方法及びそのシステム |
| US20030125012A1 (en) * | 2001-12-28 | 2003-07-03 | Allen Lee S. | Micro-credit certificate for access to services on heterogeneous access networks |
| US20030140233A1 (en) * | 2002-01-22 | 2003-07-24 | Vipin Samar | Method and apparatus for facilitating low-cost and scalable digital identification authentication |
| US7308579B2 (en) * | 2002-03-15 | 2007-12-11 | Noel Abela | Method and system for internationally providing trusted universal identification over a global communications network |
| JP2005346120A (ja) * | 2002-05-31 | 2005-12-15 | Mitsui & Co Ltd | ネットワークマルチアクセス方法およびネットワークマルチアクセス用の生体情報認証機能を備えた電子デバイス |
| US8296573B2 (en) * | 2004-04-06 | 2012-10-23 | International Business Machines Corporation | System and method for remote self-enrollment in biometric databases |
| US7805614B2 (en) * | 2004-04-26 | 2010-09-28 | Northrop Grumman Corporation | Secure local or remote biometric(s) identity and privilege (BIOTOKEN) |
| JP4575731B2 (ja) * | 2004-09-13 | 2010-11-04 | 株式会社日立製作所 | 生体認証装置、生体認証システム及び方法 |
| US20060229911A1 (en) * | 2005-02-11 | 2006-10-12 | Medcommons, Inc. | Personal control of healthcare information and related systems, methods, and devices |
-
2006
- 2006-06-27 US US11/477,160 patent/US20100242102A1/en not_active Abandoned
-
2007
- 2007-06-25 KR KR1020087031324A patent/KR20090041365A/ko not_active Application Discontinuation
- 2007-06-25 MX MX2008015958A patent/MX2008015958A/es not_active Application Discontinuation
- 2007-06-25 RU RU2008152118/09A patent/RU2434340C2/ru not_active IP Right Cessation
- 2007-06-25 EP EP07872535.5A patent/EP2033359A4/en not_active Withdrawn
- 2007-06-25 CN CNA2007800246724A patent/CN101479987A/zh active Pending
- 2007-06-25 WO PCT/US2007/014718 patent/WO2008091277A2/en active Application Filing
- 2007-06-25 CA CA002653615A patent/CA2653615A1/en not_active Abandoned
- 2007-06-25 JP JP2009518201A patent/JP2010505286A/ja active Pending
- 2007-06-25 AU AU2007345313A patent/AU2007345313B2/en not_active Ceased
-
2008
- 2008-12-03 NO NO20085023A patent/NO20085023L/no not_active Application Discontinuation
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014183392A1 (zh) * | 2013-05-14 | 2014-11-20 | 北大方正集团有限公司 | 分布式环境下的安全通信认证方法及系统 |
| CN105474573A (zh) * | 2013-09-19 | 2016-04-06 | 英特尔公司 | 用于同步并恢复参考模板的技术 |
| US10003582B2 (en) | 2013-09-19 | 2018-06-19 | Intel Corporation | Technologies for synchronizing and restoring reference templates |
| CN105474573B (zh) * | 2013-09-19 | 2019-02-15 | 英特尔公司 | 用于同步并恢复参考模板的技术 |
| CN103607282B (zh) * | 2013-11-22 | 2017-03-15 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
| CN103607282A (zh) * | 2013-11-22 | 2014-02-26 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
| CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
| CN111324895A (zh) * | 2014-10-20 | 2020-06-23 | 微软技术许可有限责任公司 | 用于客户端设备的信任服务 |
| CN111324895B (zh) * | 2014-10-20 | 2023-12-12 | 微软技术许可有限责任公司 | 用于客户端设备的信任服务 |
| CN109863730A (zh) * | 2016-09-19 | 2019-06-07 | 电子湾有限公司 | 多会话认证 |
| CN109906594A (zh) * | 2016-11-04 | 2019-06-18 | 微软技术许可有限责任公司 | IoT设备认证 |
| US11514158B2 (en) | 2016-11-04 | 2022-11-29 | Microsoft Technology Licensing, Llc | IoT security service |
| CN111033502B (zh) * | 2017-08-28 | 2023-10-24 | 勤达睿公司 | 经由区块链使用生物特征数据和不可逆函数进行身份验证 |
| CN111033502A (zh) * | 2017-08-28 | 2020-04-17 | 国际商业机器公司 | 经由区块链使用生物特征数据和不可逆函数进行身份验证 |
| CN111466097A (zh) * | 2017-12-08 | 2020-07-28 | 维萨国际服务协会 | 服务器辅助式隐私保护生物统计比较 |
| US11943363B2 (en) | 2017-12-08 | 2024-03-26 | Visa International Service Association | Server-assisted privacy protecting biometric comparison |
| CN111466097B (zh) * | 2017-12-08 | 2024-04-26 | 维萨国际服务协会 | 服务器辅助式隐私保护生物统计比较 |
| US20230164112A1 (en) * | 2019-07-24 | 2023-05-25 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
| US11792158B2 (en) * | 2019-07-24 | 2023-10-17 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
Also Published As
| Publication number | Publication date |
|---|---|
| NO20085023L (no) | 2008-12-12 |
| KR20090041365A (ko) | 2009-04-28 |
| AU2007345313A1 (en) | 2008-07-31 |
| US20100242102A1 (en) | 2010-09-23 |
| WO2008091277A3 (en) | 2008-12-18 |
| RU2434340C2 (ru) | 2011-11-20 |
| CA2653615A1 (en) | 2008-07-31 |
| EP2033359A2 (en) | 2009-03-11 |
| RU2008152118A (ru) | 2010-07-10 |
| WO2008091277A2 (en) | 2008-07-31 |
| JP2010505286A (ja) | 2010-02-18 |
| AU2007345313B2 (en) | 2010-12-16 |
| EP2033359A4 (en) | 2017-05-31 |
| MX2008015958A (es) | 2009-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101479987A (zh) | 生物测定凭证验证框架 | |
| EP3424176B1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US7689832B2 (en) | Biometric-based system and method for enabling authentication of electronic messages sent over a network | |
| TWI237978B (en) | Method and apparatus for the trust and authentication of network communications and transactions, and authentication infrastructure | |
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| US8245292B2 (en) | Multi-factor authentication using a smartcard | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| US8132722B2 (en) | System and method for binding a smartcard and a smartcard reader | |
| US8984280B2 (en) | Systems and methods for automating certification authority practices | |
| KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
| US20040030887A1 (en) | System and method for providing secure communications between clients and service providers | |
| US20090293111A1 (en) | Third party system for biometric authentication | |
| JP2007148470A (ja) | 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム | |
| JPWO2005011192A1 (ja) | アドレスに基づく認証システム、その装置およびプログラム | |
| US11569991B1 (en) | Biometric authenticated biometric enrollment | |
| CN111937348B (zh) | 认证系统及计算机可读取的记录介质 | |
| Weerasinghe et al. | Security framework for mobile banking | |
| CN102739398A (zh) | 网银身份认证的方法及装置 | |
| TWI828001B (zh) | 使用多安全層級驗證客戶身分與交易服務之系統及方法 | |
| CN117396866A (zh) | 授权交易托管服务 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090708 |