CN105493137A - 对内容和图像进行编码的方法、设备和系统 - Google Patents

Abstract

一种将内容数据编码成数字图像的方法，包括：确定数字图像内的像素的比特值，所述像素包括多个分量；根据将被编码的内容数据来修改像素内的比特值以便将内容数据编码成数字图像；其中确定数字图像内的像素的比特值包括确定像素的比特值的二进制表示，而且其中修改比特值包括确定像素内的将被编码的内容数据的二进制表示以及利用可逆二进制运算对内容数据进行编码。

Description

对内容和图像进行编码的方法、设备和系统

技术领域

本发明涉及对内容和图像进行编码的方法、设备和系统。具体地，本发明涉及系统和方法，用于分析来自用户的签名相关用户数据并且将签名相关用户数据编码成诸如嵌入电子文档的用户签名的表示之类的图像。

背景技术

诸如因特网之类的计算机网络中的计算机、上网本和平板类装置的使用持续增长。此外，随着处理能力的增强，移动电话(包括所谓的“智能手机”，它们本质上是计算装置)已经变得更加强大，由此使得由于非移动计算环境而通常具有的功能可以在移动平台上获得。而且，便携式电脑、平板电脑和其它手持计算装置可经由无线数据网络连接至因特网或其它广域网，例如可由任意数量的无线载波获取的那些网络。

对应于这种发展，存在不容易转换至电子计算环境的各种各样的传统服务和交易，例如包括其中要求用户的手写签名的服务/交易。例如，一般通例是与财产销售、并购或收购相关的合同或其它文档通过人的签名进行。此外，在一些国家，在更基本的日常交易中也要求人的签名。而且，在一些文化中，签名是不够的，而且实际上由密封替代或者附带，例如，数字印记。在其中未搭配参与这些交易的当事人的情况下，这一般会导致多次传真的交换。使用传真机可能会危及签名的完整性，而且在一些情况下可能能够破坏安全性。

而且，存在要求人的签名其它日常交易，签名有被伪造的可能性而且会导致对零售生意的实质损失。例如，在信用卡被偷时，受害者一般没有意识到他或她的信用卡被偷了。在一些情况下，受害者的实体信用卡不需要被偷；简单地获取受害者的信用卡信息(例如信用卡账号号码、有效期和信用卡安全码)就能够制造承载受害者的信用卡信息的任意数量的实体信用卡(也称为"信用卡克隆")。克隆的信用卡可随后简单地通过伪造受害者的签名而不予以保留来进行使用。最终结果是受害者至少必须解决信用卡公司方面的账单问题。在一些情况下，如果伪造活动在足够长的时间内未被察觉则可能影响它们的信用等级，那么对受害者的影响可能更大。

无所不在的计算机以及它们交换信息的数字复本的能力提供了对交易生意的方便机制。就此而言，计算环境或计算机网络内的安全是很重要的，不管用户何时交换诸如用户名和密码之类的个人信息或者彼此的其它内容或受信网站；或者，总体上，在经由这些网站上进行交易时。而且，虽然诸如因特网之类的计算机网络被用于上百万美元的交易处理时，这些网络具有能力来进行其它交易，例如其中要求其它签名或被认为是更值得信任的上述这些交易。然而，计算装置和计算机网络本身就有安全漏洞。

这些漏洞可能包括中间人(MITM)攻击。考虑有效的窃听攻击，攻击主机计算器装置做出的MITM行为建立了与受害者的机器的连接并且在它们之间中继消息。因此，在这类情况下，一个受害者相信这是其与另一受害者直接通信，而实际上该通信是传过主机计算器装置的(即，"中间人攻击")。最终结果是，攻击主机不仅能够拦截敏感数据，而且还能够注入并操纵数据流来获取对受害者的计算装置的进一步控制。

另一潜在的网络安全性漏洞是“网络钓鱼”。在计算机安全领域，网络钓鱼是通过在电子通信中伪装成值得信赖的主体来获取诸如用户名、密码和信用卡详情之类的敏感信息的刑事欺诈行为。在涉及到诸如社交网站(例如，Facebook或MySpace)、拍卖网(例如，EBay)或用于任意数量的银行的网站之类的流行网站时，网络钓鱼攻击尤其普通。网络钓鱼通常通过电子邮件或及时通信执行，而且其通常指示用户在其外表和感觉都非常等同于合法网站的假冒网站中输入详细信息。即使在使用服务器鉴定时，它可能要求非常精锐的技术来检测网站时假冒的。网络钓鱼是用于欺骗用户的社交引擎技术的示例，而且开发了当前网络安全技术的拙劣使用性。处理逐渐增多的报告的网络钓鱼事件的试图包括立法、用户训练、促进公众认知和技术安全措施。

随着电子通信的逐渐增长，参与者也以电子形式进行更多的交易和文档交换。因此，如上所述，对电子归档以及文档确实性的需求(即，查验对电子文档进行签名的个人或者随后验证谁签署了该电子文档的能力)是个有挑战的任务。

当前的方案趋向于基于利用数字证书和公钥和私钥来对电子文档进行签名。然而，一旦利用数字证书对电子文档进行签名，其通常不能被改变，例如添加人的手写签名。因此，将人的物理签名(即，手写签名或者诸如身体手势之类的其他类型的签名手势)并入数字签名的文档存在挑战。

因此，本发明的目的是提供一种将内容尤其是基于签名的内容，编码成用于数字签名的文档中的图像的方法。那么，将内容尤其是基于签名的内容，编码成用于数字签名的文档中的图像的方法、设备和系统具有实用性。

发明内容

根据本发明的第一方面，提供了一种将内容数据编码成数字图像的方法，包括：确定数字图像内的像素的比特值，所述像素包括多个分量；根据将被编码的内容数据来修改像素内的比特值以便将内容数据编码成数字图像；其中确定数字图像内的像素的比特值包括确定像素的每个分量的比特值的二进制表示，而且其中修改比特值包括确定像素内的将被编码的内容数据的每个字节的二进制表示以及利用可逆二进制运算对内容数据进行编码，其中内容数据的每个字节在像素的分量间划分。

本发明提供了一种通过经由可逆二进制运算对图像内的像素的比特值进行修改而将内容(例如有关验证系统的用户的数据)编码成数字图像的方法。由于编码处理是通过可逆运算进行，所以编码的数字图像也可被方便地解码以恢复编码的数据。

数字图像可包括灰度图像由此黑色像素由被设置成值0的所有比特值表示而且白色像素由被设置成值1的所有比特值表示。

可替换地，数字图像可包括红绿蓝(RGB)图像，由此图像中的每个像素被表示为颜色分量的RGB三重态，而且其中确定步骤包括确定像素内的RGB三重态的每个颜色分量的比特值，而且其中修改步骤包括经由可逆二进制运算修改像素的三重态内的每个颜色分量的至少一部分。

该方法可包括针对像素的每个分量定义最高有效位和最低有效位，其中最高有效位和最低有效位之间的关系是固定的。按照这样的方式，这允许仅仅通过查找MSB和LSB之间的关系来恢复编码的数据。MSB和LSB之间的关系对于编码方法的不同用户可以不同。

修改步骤可包括修改像素的三重态内的每个颜色分量的至少一部分。按照这样的方式，将被编码的内容数据可在像素的颜色分量间划分。

RGB图像可方便地基于其中三重态内的颜色分量具有0至255的整数值的颜色系统。

颜色分量可方便地每个都包括n比特。像素的每个分量可包括8比特。修改颜色分量的步骤则可方便地包括修改颜色分量的m比特，其中m<n。例如，对于每个分量颜色8比特的系统，3个比特可在前两个分量(红(R)和绿(G))上修改，而且2个比特可在最后一个分量(蓝(B))上修改。按照这样的方式，内容数据的整个字节可被编码成单个像素。需要注意，每个分量的可被修改的比特的确切数量可变化。

该方法可方便地包括确定其中所有像素具有相同比特值的数字图像区域，由此数字图像内将被编码的数据被限制在数字图像的该确定区域内。例如，数字图像可包括背景区域而且编码可限制在背景区域。如果背景区域的初始颜色对于解码实体未知，则内容数据可有效地隐藏在数字图像内，因为解码实体不会知道从哪个起始点开始进行可逆二进制运算。

因此，优选地，该确定区域的颜色可包括预定颜色(预定比特值)而且确定数字图像内的像素的比特值的步骤可包括查找预定比特值。在本发明的一个应用中，用户可在登记处理期间与预定颜色关联，而且针对预定区域，不同用户可分配有不同起始颜色。这允许一个安全性水平被引入编码处理，因为预定区域的“起始”颜色实际上是数据的私有段。对于8比特RGB颜色系统，存在256*256*256＝16777216个颜色来选择。

所述可逆二进制运算可方便地是XOR运算。

根据本发明的第二方面，提供了一种用于将内容数据编码成数字图像的计算装置，包括处理器，所述处理器被配置成：(i)确定数字图像内的像素的比特值，所述像素包括多个分量，以及(ii)根据将被编码的内容数据来修改像素内的比特值以便将内容数据编码成数字图像；其中处理器被配置成(a)确定像素的每个分量的比特值的二进制表示以便确定数字图像内的像素的比特值，以及(b)通过确定像素内的将被编码的内容数据的每个字节的二进制表示来修改比特值，处理器被配置成利用可逆二进制运算对内容数据进行编码，其中内容数据的每个字节在像素的分量间划分。

本发明可方便地扩展至服务器装置，其包括根据本发明的第二方面的计算装置。服务器装置可进一步包括配置成接收内容数据的输入装置(例如来自签名捕获装置)以及被配置成输出利用内容数据编码的数字图像的输出装置。

本发明还可扩展至移动计算装置(例如智能手机、平板电脑、便携电脑或其它通信装置)，其包括根据本发明的第二方面的计算装置。移动计算装置可进一步包括配置成接收内容数据的输入装置(例如经由触摸屏装置、智能手写笔或其它输入设备)。

本发明还可扩展至一种对来自数字图像的内容数据进行编码的方法，数字图像包括已经根据本发明第一方面的方法编码的内容数据，所述方法包括：确定包括编码的内容数据的像素的每个分量内的比特值；确定用来对像素的每个分量内的内容数据进行编码的比特的初始比特值；利用编码的比特值和初始比特值来执行可逆二进制运算。

对于像素的每个分量，每个分量的最高有效位和最低有效位包括预定关系，而且其中，确定初始比特值的步骤包括根据数字图像内存在的最高有效位的比特值来查找针对最低有效位的初始比特值。

根据上述编码算法，提供了一种机制来从像素的每个分量的最高有效位(MSB)推断像素的每个分量的最低有效位(LSB)。

需要注意，根据本发明上述方面的编码方法提供了一种对随着用户提供签名或签名手势而采样到的数据进行编码的手段。每个采样点包括一系列位置和时域坐标中的点(x，y，t，c；其中c提供了对提供签名的用户是否接触签名输入设备的指示，例如笔尖是否接触触摸感应界面)。

从用户捕获大致的签名所需的数据足够少以致于仅仅数字图像的很少行可被本发明第一方面的编码方法影响。在进一步的改型中，图像尺寸可被调节来确保仅仅数字图像的前面几行被要求嵌入内容数据。

根据本发明的第三方面，提供了一种对电子文档的签名字段内的用户数据进行编码的方法，包括：接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；产生用于并入电子文档的签名字段的数字图像；对数字图像的像素内的用户数据进行编码；将数字图像插入电子文档的签名字段。

签名手势可由用户经由输入装置输入计算装置。签名手势可在其被输入计算装置时被采样以产生用户数据。用户数据的每个采样点可包括位置数据和时域数据。方便地，签名手势可经由触摸界面输入，而且用户数据可包括触摸位置数据。用户数据可进一步包括抬起数据，表示签名捕获期间用户未接触触摸界面。

在替换方案中，签名手势可经由诸如MicrosoftKinect系统之类的运动感测装置输入。在该实施方式中，用户数据可包括三维位置数据。

用户数据编码而成的数字图像可包括背景部分。背景部分可包括与其数据正被编码成数字图像的用户关联的唯一颜色。唯一颜色可存储在用户配置文件中(例如在鉴定/验证服务器上)。

用户数据可被编码成形成签名字段的背景部分的像素。需要注意，在存在背景中的唯一颜色的情况下，将数据编码成形成背景部分的像素可有效地提供如上所述的附加层次的安全性。

方便地，可利用本发明第一方面的方法在签名字段的像素内编码用户数据。

该方法可进一步包括从捕获的用户数据产生输入的签名手势的表示，其中捕获的签名手势的表示包括用户输入的签名手势的痕迹线再现(换言之，可以产生输入的/接收的签名手势的“笔和墨”类型的表示)。作为将数字图像的背景部分中的数据进行编码的替换方案，用户数据可被编码成形成签名的痕迹线再现的像素。(在另一替换方案中，数据可被编码成数字图像的多个区域，例如痕迹线和背景部分)。方便地，可利用本发明第一方面的方法将用户数据编码在签名的痕迹线再现的像素中。痕迹线再现可包括与用户关联的唯一颜色。

根据本发明的第四方面，提供了一种用于对电子文档的签名字段内的用户数据进行编码的计算装置，包括：输入装置，用于接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；图像发生器，用于产生用于并入电子文档的签名字段的数字图像；编码器，用于对数字图像的像素内的用户数据进行编码；插入模块，用于将数字图像插入电子文档的签名字段。

根据本发明的第五方面，提供了一种用于对电子文档的签名字段内的用户数据进行编码的服务器装置，包括：输入装置，用于接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；图像发生器，用于产生用于并入电子文档的签名字段的数字图像；编码器，用于对数字图像的像素内的用户数据进行编码；输出装置，用于输出其中具有经编码的用户数据的数字图像。

输出装置可被配置成将利用用户数据编码的数字图像发送至另一计算装置以插入电子文档的签名字段。服务器装置可进一步包括插入模块，用于将数字图像插入电子文档的签名字段。

根据本发明的第六方面，提供了一种对数字图像内的用户数据进行编码的方法，包括：接收随着用户执行验证动作而捕获的用户数据，所述用户数据包括多个采样点；对数字图像的像素内的用户数据进行编码。

方法可进一步包括输出利用用户数据编码的数字图像以用作验证戳。方便地，图像中的至少一些包括在用户验证动作期间捕获的编码的用户数据。可利用本发明第一方面的方法编码用户数据

根据本发明的第七方面，提供了一种用于对数字图像内的用户数据进行编码的计算装置，包括：输入装置，用于接收随着用户执行验证动作而捕获的用户数据，所述用户数据包括多个采样点；编码器，用于对数字图像的像素内的用户数据进行编码。

本发明扩展至包括根据本发明的第七方面的计算装置的服务器。

根据本发明的第八方面，提供了一种电子文档，包括签名字段，其中签名字段包括根据本发明第三方面的方法编码的用户数据。优选地，为了防止改变电子文档，文档可被利用数字证书进行数字签名以防止改动。

根据本发明的第九方面，提供了一种根据在数字图像的像素内编码的用户数据来验证用户的身份的方法，所述方法包括：从数字图像内的像素解码出用户数据，所述用户数据表示在用户将签名手势输入至计算装置时捕获的数据；将用户数据与参考签名手势进行比较以确定用户的身份。

根据本发明的第十方面，提供了一种根据在数字图像的像素内编码的用户数据来验证用户的身份的计算装置，包括：解码器，其被配置成从数字图像内的像素解码出用户数据，所述用户数据表示在用户将签名手势输入至计算装置时捕获的数据；处理器，其被配置成将用户数据与参考签名手势进行比较以确定用户的身份。

在一个方面中，公开的系统和方法涉及数字印记，其将用户的计量生物学签名信息(例如，手写签名)和用户签名图像进行封装。该技术的一个实施例包括AppliedNeuralBiometricsLtd公司开发用来安全地编码人的签名和图像的机制。

在另一个方面中，公开的系统和方法涉及验证处理，其中验证服务器接收用户签名数据，而且验证接收的用户签名数据是否是可信的。签名数据可从各种源接收，包括实体业务、在线零售商、在线拍卖商、第三方支付处理器(例如，PayPal)以及其他这种源。验证服务器可向用户签名数据的供应商确认或者提供用户签名数据是否是可信的消息。

该技术可在桌上个人计算机、便携式电脑、平板电脑、笔记本电脑、智能手机、以及支持电子文档的远程及安全签名的通用计算装置中实现。在一个实施例中，该技术在具有配有触摸屏的计算装置的计算环境中实现，例如平板电脑和智能手机。技术可以按照任意电子文档格式实现，例如MicrosoftWord"DOC"格式和Adobe"PDF"格式。

在该申请的范围内，明确的是，前述段落、权利要求和/或后续说明书和附图中的各种方面、实施例、示例和替换方案，尤其是其各个特征，可独立使用或者组合使用。与一个实施例结合描述的特征可应用至所有实施例，除非特征不兼容。

公开的系统和方法可部署在各种各样的不同环境中，而且上述及后续讨论的特征的这些及其它变型和组合可在不脱离权利要求所定义的主体的情况下被使用。本文描述的示例的提供(以及"诸如"、"例如"、"包括"等之类的短语)不应该被解释为将请求保护的主体限制至具体示例；实际上，示例旨在说明本发明的许多可能方面中的仅仅一些方面。

根据本发明的第十一方面，提供了一种在鉴定服务器验证用户的身份的方法，包括：接收与用户在计算装置输入的签名手势有关的用户数据，所述用户数据包括多个采样点；在鉴定服务器通过比较参考签名数据验证用户数据；对数字图像内的验证消息进行编码；通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

用户可在适当装置输入签名手势，该适当装置在用户签名被输入时对用户签名进行采样。经由该机制采集/捕获/采样的用户数据可随后被鉴定装置(鉴定服务器)接收，该鉴定装置(鉴定服务器)可将接收的用户数据与参考签名数据集合进行比较，而且在签名手势/用户被验证的情况下该鉴定装置(鉴定服务器)可对数字图像内的验证消息进行编码。用户可随后经由验证程序得到通知。需要注意，验证消息可包括捕获的/采样到的用户数据(有关输入的签名手势)和/或验证消息。

签名手势可在与计算装置关联的输入设备输入。例如，计算装置可以是智能手机装置，而且输入设备可以是触摸屏。

用户数据可利用数字图像进行编码。数字图像可包括背景部分以及签名手势的表示(例如，用户在计算装置输入的签名“笔和墨”类渲染)。

数字图像内的用户数据可在数字图像的像素内编码。编码的像素可处于数字图像的背景部分中。编码的像素可处于签名手势的表示中。用户数据可通过隐密方法编码成数字图像的像素。数字图像可在通知步骤期间被发送至用户。

数字图像可存储在鉴定服务器。数字图像可被应用至电子文档。一旦已经应用数字图像，可经由数字证书处理对电子文档签名以便防止对电子文档的修改。

用户数据可包括多个采样点。计算装置可包括触摸感应界面，捕获用户数据可包括在验证动作期间对用户设备触摸点进行采样。

采样点可包括触摸点的位置信息以及时域数据。采样点可进一步包括接触/无接触指示以在验证动作捕获期间指示用户什么时候没有接触触摸感应界面。

计算装置可包括手势控制输入设备，而且捕获用户数据包括在验证动作期间对用户手势进行采样。采样点可包括用户在用户手势期间的位置信息以及时域数据。位置信息可包括三维位置信息。

该方法可进一步包括在鉴定服务器接收来自第一计算装置的签到请求；从鉴定服务器向第一计算装置发送指令以便从第二计算装置提供签名数据，其中签名手势是在第二计算装置输入的。

该方法可进一步包括在鉴定服务器接收来自第一计算装置的签到请求；从鉴定服务器发送指令以便从第一计算装置提供签名数据，其中签名手势是在第一计算装置输入的。

第二计算装置可以是移动计算装置。

第一计算装置可以是计算机或移动计算装置。

根据本发明的第十二方面，提供了一种用于验证用户的身份的鉴定服务器，包括：输入装置，用于接收与用户在计算装置输入的签名手势相关的用户数据，所述用户数据包括多个采样点；处理器，其被配置成通过比较参考签名数据来验证用户数据，以及对数字图像内的验证消息进行编码；输出装置，其被配置成通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

根据本发明的第十三方面，提供了一种验证用户的身份的方法，包括：随着用户在计算装置输入签名手势捕获用户数据，所述用户数据包括多个采样点；将用户数据发送至鉴定服务器；在鉴定服务器通过比较参考签名数据验证用户数据；对数字图像内的验证消息进行编码；通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

根据本发明的第十四方面，提供了一种用于验证用户的系统，包括：计算装置，其被配置成随着用户在计算装置输入签名手势捕获用户数据，所述用户数据包括多个采样点；计算装置输出端，其被配置成根据权利要求24将用户数据发送至鉴定服务器。

根据本发明的第十五方面，提供了一种用于身份验证系统的登记方法，所述方法包括：从用户接收n个签名手势，n个签名手势中的每个签名都表示用户签名的不同形式；将用户配置文件内的每个签名手势存储为参考签名手势；所述方法进一步包括将n个签名中的每个签名与安全策略中定义的不同安全水平关联起来。

可在鉴定服务器从计算装置接收签名手势。从用户接收的签名手势可具有随着用户在计算装置输入签名手势而捕获的用户数据的形式，所述用户数据包括多个采样点。签名手势可被存储在与鉴定服务器关联的数据存储装置中。

鉴定服务器可包括处理器，其被配置成将后续接收的签名手势与n个存储的参考签名手势中的一个或多个进行比较以便验证用户的身份。

接收的签名手势中的几何关系(几何复杂度和一致性)可在登记期间被识别以便定义可形成预定安全策略的阈值公差水平。这些公差水平可随后与接收的签名手势中的几何关系进行比较，作为验证处理的一部分。如果计算的几何关系在阈值公差水平之外，则可能出现一致性误差而且返回验证失败结果。用户的交易历史(例如他们之前在验证时的尝试)也可作为安全策略的因素。需要注意，复杂度或一致性越低，安全水平越低。

根据本发明的第十六方面，提供了一种用于身份验证系统的鉴定服务器，所述服务器包括：输入装置，其被配置成从用户接收n个签名手势，n个签名手势中的每个签名都表示用户签名的不同形式；数据存储装置，其被配置成将用户配置文件内的每个签名手势存储为参考签名手势；处理器，其被配置成将n个签名中的每个签名与安全策略中定义的不同安全水平关联起来。

鉴定服务器可还包括：输入装置，用于接收与用户在计算装置输入的签名手势有关的用户数据，所述用户数据包括多个采样点；处理器，其被配置成通过参考签名数据来验证用户数据以及对数字图像内的验证消息进行编码；输出装置，其被配置成通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

根据本发明的第十七方面，提供了一种验证用户的身份并且根据预定安全策略授权对受限资源的访问的方法，所述方法包括：接收访问受限资源的请求；根据预定安全策略确定与接收的请求关联的安全水平；访问用户配置文件，用户配置文件包括与预定安全策略内的每个安全水平关联的存储的参考签名手势；根据接收的访问请求确定适当参考签名手势；根据访问请求和确定的安全水平来将签名手势签到要求通知给用户；从用户接收要求的签名手势；将接收的签名手势与参考签名手势进行比较以确定用户的身份，并且在验证了用户的情况下授权对受限资源的访问。

要求的签名手势可以是以随着用户在计算装置执行要求的签名手势而捕获的用户数据的形式接收的，所述用户数据包括多个采样点。

在根据接收的签名手势未验证用户但是比较结果处于要求的公差水平的预定公差内的情况下，授权用户以比请求的水平更低的安全水平访问受限资源。

验证处理期间识别的几何关系可与定义预定安全策略的预定阈值公差水平进行比较。如果计算的几何关系在阈值公差水平之外，则可能出现一致性误差而且返回验证失败结果。用户的交易历史(例如他们之前在验证时的尝试)也可作为安全策略的因素。

根据本发明的第十八方面，提供了一种根据经由具有输入设备和显示屏的计算装置捕获的签名手势来验证用户的身份的方法，包括：在利用输入设备捕获签名手势之前，经由显示屏向用户显示动画；利用输入设备捕获签名手势；根据捕获的签名手势来验证用户的身份。

该方法可进一步包括通过经由图像捕获装置追踪用户的注视方向来确保用户查看动画。

在一个方面中，公开的系统和方法涉及数字印记，其将用户的计量生物学签名信息(例如，手写签名)和用户签名图像进行封装。该技术的一个实施例包括AppliedNeuralBiometricsLtd公司开发用来安全地编码人的签名和图像的机制。

在另一个方面中，公开的系统和方法涉及验证处理，其中验证服务器接收用户签名数据，而且验证接收的用户签名数据是否是可信的。签名数据可从各种源接收，包括实体业务、在线零售商、在线拍卖商、第三方支付处理器(例如，PayPal)以及其他这种源。验证服务器可向用户签名数据的供应商确认或者提供用户签名数据是否是可信的消息。

该技术可在桌上个人计算机、便携式电脑、平板电脑、笔记本电脑、智能手机、以及支持电子文档的远程及安全签名的通用计算装置中实现。在一个实施例中，该技术在具有配有触摸屏的计算装置的计算环境中实现，例如平板电脑和智能手机。技术可以按照任意电子文档格式实现，例如MicrosoftWord"DOC"格式和Adobe"PDF"格式。

在该申请的范围内，明确的是，前述段落、权利要求和/或后续说明书和附图中的各种方面、实施例、示例和替换方案，尤其是其各个特征，可独立使用或者组合使用。与一个实施例结合描述的特征可应用至所有实施例，除非特征不兼容。

公开的系统和方法可部署在各种各样的不同环境中，而且上述及后续讨论的特征的这些及其它变型和组合可在不脱离权利要求所定义的主体的情况下被使用。本文描述的示例的提供(以及"诸如"、"例如"、"包括"等之类的短语)不应该被解释为将请求保护的主体限制至具体示例；实际上，示例旨在说明本发明的许多可能方面中的仅仅一些方面。

附图说明

现在将参考附图并仅仅通过示例的方式描述本发明的实施例，其中类似参考标记用于类似部分，其中：

图1a示出了根据本发明的方面的系统的概览；

图1b图示出计算机系统的示意图，描绘了根据本发明的方面的单独使用或者以联网结构配置的各种计算装置；

图2a示出了流程图，其中图示出图1a所示的系统中的签名签署处理期间用户和验证服务器之间的交易的；

图2b和2c是图示出签名签署处理期间用户和验证服务器之间的其它交易的流程图；

图3是图示出根据本发明实施例的签署合同文档的处理的流程图；

图4示出了根据本发明实施例的数字文件的表示的示例；

图5示出了根据本发明实施例捕获用户数据并且将其并入文件以用在数字文档中的处理；

图6示出了根据本发明实施例的将数据编码至图形像素中的概览；

图7示出了根据本发明实施例可以如何将数据编码至数字图像像素中；

图8示出了根据本发明另一实施例将数据编码至图像中的处理；

图9示出了用于签名验证机制的登记处理；

图10示出了与安全策略结合使用的签名验证/确认处理；

图11示出了捕获用户签名的处理；

图12和13示出了用于减少签名伪造的处理和装置；

图14示出了作为中介角色操作来验证和鉴定签名相关用户数据的验证服务器的示例；

图15是根据本发明的实施例的配置成执行签名验证方法的系统的示例；

图16是概述可以在图15的示例系统上执行的签名验证方法中包含的步骤的处理流程图；

图17a、17b和17c图示出使用图15的系统对提供的签名进行采样包含的不同步骤(图17a)、包括对提供的签名进行采样的步骤(图17b)以及特征节点的识别(图17c)；

图18是概括了可以在图15的示例系统上执行的产生用户的行为学生物计量签名模板所要求的签名注册处理中包含的步骤的处理流程图；

图19图示出签名的一部分，示出了签名部分如何被采样以定义出签名曲线；以及

图20是包括多个特征节点的签名曲线的可见部分，而且示出了几何关系信息在图18的签名注册处理期间或在图17的验证处理期间可被如何计算。

具体实施方式

本发明包括与将数据编码成数字图像相关的大量不同方面以及这种编码后的数据的各种用途。例如，本发明扩展至一种签署电子文档的方法，其中已经在签名或验证动作期间捕获的用户数据(或用户签名数据)被接收而且随后被编码成数字图像。数字图像可随后被嵌入电子文档以表示用户已经看过并且签署了文档而且允许签名期间捕获的他们的用户数据在争议的情况下被回复。

数字图像加上编码的用户数据可因此被想象成可被应用至文档以指示用户已经在文档上签字的数字“数字印记”或封印。这种方法的用途可包括合同签名、支付处理、零售(例如，在销售点)，在查看和批准文件或者在其它类似场合下。

用户数据可经由触控装置(例如智能手机的屏幕)输入或者可通过使用在用户签字时追踪笔尖位置的智能笔来输入，例如许多零售商位置处的笔和/或板。用户数据可包括多个采样点，例如用户的手指或笔尖随时间的位置。笔/手指抬起也可被捕获以使得大量矢量点被捕获。捕获的用户数据可被发送至诸如远程服务器之类的鉴定装置并被其接收，鉴定装置可处理接收的用户数据并且将其与之前捕获的用户数据以便验证用户的身份。

在一个示例中，用户可在一个装置处输入签名手势，而且捕获的用户数据可被发送至服务器用于验证用户的身份。在用户被验证的情况下，用户可能能够签署/批准文档。已经接收到的被捕获的用户数据也可被编码成数字图像而且以数字印记/封印的方式应用至已经被复查/批准的文档以便指示用户已经查看/批准了文档。数字证书可随后被应用至文档以防止对文档的进一步修改。文档中数字印记的存在可服务于多种目的。这可能显示出用户已经签字而且这可能允许编码的用户数据在以后的日子里在用户对签名是真实的产生争议的情况下被恢复。

在另一个示例中，本公开文本提供了一种系统，其中用户签名作为数字印记被提供给计算装置，例如，将数字印记与本地存储的用于鉴定的数字印记进行比较的服务器。计算装置随后发送消息至另一计算装置，以指示比较的结果。根据本公开的这一方面，数字印记可包括用户的手写签名以及利用与手写签名关联的像素对手写签名的一部分进行编码的数据。这些像素可被用作编码处理的一部分而且可进一步包括向手写签名提供背景的这些像素。可替换地，像素可包括用户选择的图像。编码的数据可在与手写签名相关的背景中或者在用户选择的图像中被嵌入手写签名中。在一些环境下，编码的数据可能对于人眼不是可见的。然而，如果签名、背景或图像的足够多的部分(即，足够的像素)被编码，编码的数据可能可见。在可见的程度下，它可能看起来像是改变了颜色或者相对于周围区域存在阴影。

此外，本公开提供用于经由可逆二进制编码运算将内容数据编码至数字图像中。本公开还提供用于将由于签名捕获处理器的其它验证动作而接收的用户数据编码至数字图像中。

在本发明的另一方面，与用户有关的多个签名手势可被用来管理对诸如安全电子系统之类的受保护资源的访问或者对采购系统或其中用户访问可控的任意其它系统的访问。根据本发明的这些方面，用户可定义与他的/她的(例如用户可签署他们的签名的“仅仅首字母”版本、“仅仅名”版本以及全名版本)相关的大量不同签名手势。根据用户要求的访问水平，他们可被请求提供他们的签名的不同版本。例如，低价值访问区域可仅仅要求他们的签名的仅仅首字母版本，而高价值访问区域可要求全名签名。改变签名长度表示了不同水平的签名复杂度而且因此伪造者的再现能力，因此更长的签名可能更难复制。按照这样的方式，用户对受保护资源的访问可被管理。方便地，安全策略可将不同动作与策略中的不同水平链接起来而且因此与要求的不同签名链接起来。

签名手势可包括传统“笔和墨”类型的签名动作而且还可包括可由诸如MicrosoftKinect类的装置之类的装置捕获的更抽象签名手势，例如绘制预定图形或者甚至是基于身体运动的手势。

在本发明的另一方面中，公开了“干扰(jamming)”方法，其使得欺诈用户做出真实签名手势的再现变得更困难。

在此还公开了签名分析方法和系统。

在提供"签名"时，用户可经由适当输入设备提供“签名手势”。传统签名手势可以是用户采样笔和纸签下的签名。后续说明涉及利用具有适当输入设备的计算装置输入签名。后续说明中的签名手势的示例包括但不限于经由电子笔或触控笔提供的“笔和纸”类型的签名手势、经由触控装置(例如智能手机触摸屏、平板电脑或计算机触摸屏、触控板等)输入的签名手势、以及经由诸如MicrosoftKinect系统之类的运动检测系统输入的签名手势(例如手和身体动作)。需要注意，输入的签名手势可对应于用户的“笔和纸”签名手势或者可替换地可以是类似方法提供的抽象的签名手势。

验证、确认和鉴定的引述可被看作是可替换的。在本发明的优选实施例中，用户执行的验证/确认/鉴定动作包括将签名手势输入至适当输入设备。

在后续说明中，用户的签名手势在签名动作期间被采样以提供多个采样数据点，即“用户数据”。在已知的签名分析系统可被操作来比较可见图像/用户的签名手势的表示的情况下，根据本发明的多个方面，本发明被操作来分析该用户数据以便验证用户的身份。换言之，采样的数据(或者从这种采样的数据导出的数据)被分析，而不是将签名痕迹线与另一签名痕迹线进行比较。用户数据可包括与签名处理期间笔、手指或输入设备的位置有关的位置数据，而且还可包括时域数据。在签名手势是经由触摸屏装置输入的示例中，用户数据可包括与触摸屏上手指的位置相关的x，y数据、与在获取采样数据点时手指是否与屏幕接触相关的接触数据、以及时间数据。

本发明的下述各种实施例设想将捕获的用户数据编码成数字图像文件(以下称为“数字图像”)。需要注意，可能存在各种不同机制用来将数据编码成数字图像。还应该注意的是，用户数据可被编码成各种数字图像类型。例如，数字图像可包括白色矩形背景部分以及捕获的签名手势的“笔和墨”类型的表示。在这种情况下，用户数据可被编码成表示的“墨水”，或者其可被编码成白色背景(或者两者的组合)。在其它示例中，背景部分可以在可能与提供用户数据的用户关联的特定颜色中表示。“墨水”表示也可特定颜色(以及传统墨水颜色，例如蓝色或黑色)中表示。在又另一示例中，数字图像可以是抽象图像或者用户选择的图像(例如诸如大本钟之类的著名地标、个人照片等)。在所有上述示例中，编码的数据的位置可被限制至图像的具体区域(例如仅仅左上角，仅仅“墨水”表示上，大本钟的钟表面的把手上等)。编码的数据的位置也可表示安全特征，因为验证系统可能要求知道在哪编码数据以便提取编码的数据用于验证目的。

如上所述，签名手势的表示可由输入的手写签名的照片类表示提供。其也可由图像中的捕获的用户数据的任意其它适当布置提供。在一个示例中，组成用户的手写签名手势的字母可被叠加在彼此上而不是以传统签名(例如在纸上)的方式表示。

参考图1a的系统架构描述了本发明。然而，可以理解的是，本发明可在这些附图所示的分布式计算机环境之外的环境中。例如，本发明的一个或多个实施例可在独立的计算机上实现。

需要注意，下面描述的实现架构总体上涉及客户端/服务器端布置。然而，应该注意的是，本发明的各种方面可在不同计算机架构布置中提供。例如，方法可仅仅本地布置(例如仅仅在用户处，例如，智能手机)。

而且，虽然下面设计的用于接收用户的签名手势的输入设备在大多数情况下被描述为触摸屏装置，但是其它布置也是可行的。例如，“智能手写笔”装置可经由蓝牙链接至用户的口袋中的做出所有要求的计算的智能手机。在其它示例中，“智能手表”可被链接至移动装置，而且用户可通过与智能手写笔或智能手表的互动来提供他们的签名手势。还设计了其它布置，例如采用传统的键盘和鼠标设备、计算机网络相机设备和可用来搜集/接收用户的签名手势的任意其它适当的设备。

图1a示出了包括验证服务器20的签名验证系统10，验证服务器20具有验证处理部件22而且与签名相关数据和用户配置文件26的本地数据库24通信。如图1a所示，验证服务器20经由因特网28与用户30通信。用户30可访问两个分开的因特网激活装置，便携式计算机32和“智能手机”装置34，例如基于iPhone、iPad、Android的装置，或者其他类似装置。虽然在该实施例中系统示出了装置被示出了经由因特网通信，但是任意其它广域网或局域网可包括计算装置与服务器通信所经由的网络。

具体地，回到图1b，该示图表示了根据本发明的多个方面的计算机系统的示意图，描绘了可独立使用或者在联网结构中使用的各种计算装置。例如，该图图示出计算机网络100，其具有多个计算机102、104、106和108以及其他类型的装置，例如诸如移动电话110和PDA112之类的便携式电子装置。计算机网络100中的各种元件可经由本地连接或直接连接来互连和/或可经由例如诸如WiFi网络之类的局域网("LAN")、广域网("WAN")、因特网28等之类的有线或无线通信网络116耦接。

例如，每个计算机设备可包括一个或多个计算装置，其具有用户输入装置，例如键盘118和鼠标120和/或各种其他类型的输入设备，比如笔-输入器、操纵杆、按钮、触摸屏等以及显示器122，其可包括例如CRT、LCD、屏幕监视器、TV、投影仪等。每个计算机102、104、106和108可以是个人计算机、服务器等。仅仅举例来说，计算机102和106可以是个人计算机，而计算机104可以是服务器，而且计算机108可以是便携式电脑/掌上型电脑。如图1b所示，诸如计算机102和104之类的每个计算机包含处理器124、存储器126和一般出现在计算机中的其它组件。

存储器126存储了处理器124可访问的包括指令128和数据130的信息，指令128可由处理器124执行，而且数据130可处理器被取出、操作或存储。存储器可具有可存储由处理器访问的信息的任意类型，例如硬盘驱动器、ROM、RAM、CD-ROM、闪存、可写或只读存储器。处理器124可包括任意数量的公知处理器，例如来自英特尔公司的处理器。可替换地，处理器可以是用于执行操作的专用控制器，例如ASIC。

指令128可包括由处理器直接执行的任意指令集(例如机器代码)或间接执行的任意指令集(例如运行脚本)。在这点上，术语"指令"、"步骤"和"程序"可在此互换。指令可存储为任意计算机语言或格式，例如源代码的目标代码或模块。根据本发明的指令的功能、方法和例程将在下文中详细说明。

数据130可由处理器124根据指令128进行取出、存储或修改。数据可被存储为数据的集合。例如，虽然本发明未被限制为任意特定数据结构，但是数据可被存储在计算机寄存器中，在关系数据库中作为具有多个不同字段和记录的表格、XML文档或平面文件。地图类图像数据可被存储在诸如小孔平面文件("KFF")之类的平面文件中。

数据还可被格式化成任意计算机可读格式。例如是但不限于二进制值、ASCII等。类似地，数据可包括采用无损(例如，BMP)或有损(例如，JPEG)编码存储为各种格式的图像，例如基于矢量的图像或位图图像。而且，数据可包括足以识别相关信息的任意信息，例如说明文字、权程式码、指针、对存储在其它存储器中的数据的参考(包括其它网络位置)或者被函数使用的或者用于计算相关数据的信息。

虽然处理器124和存储器126在功能上在图1b中图示为处于同一块中，但是应该理解的是，处理器和存储器实际上可包括可能或者可能不存储在物理外壳或位置中的多个处理器和存储器。例如，一些或全部指令和数据可被存储在可移动CD-ROM或DVD上。可替换地，该信息可被存储在只读计算机芯片中。一些或全部指令和数据可存储在与处理器在物理上处于远程的但是可被处理器访问的位置。类似地，处理器实际上可包括一系列处理器，它们可能或者可能不并行操作。数据可以是分布式的而且可存储在诸如硬盘驱动器、服务器组等的多个存储器126上。

在一个方面中，服务器104与一个或多个客户计算机102、106和/或108以及诸如移动电话110和PDA112之类的装置通信。每个客户计算机或其它客户装置可与服务器104类似地进行配置，具有处理器、存储器和指令以及一个或多个用户输入设备118、120和用户输出装置，例如显示器122。每个客户计算机可以是由人使用的通用计算机，具有通常在个人计算机中可以找到的所有组件，例如中央处理单元("CPU")、显示器、CD-ROM或DVD装置、硬盘驱动器、鼠标、键盘、触摸敏感屏、扬声器、麦克风、调制解调器和/或路由器(电话、电缆或以其他方式)以及用于将这些组件进行彼此连接的所有组件。

服务器104和客户计算机和其它装置能够与其它计算机直接或间接通信，例如经由网络116。虽然图1b中仅仅示出了很少的计算装置，但是应该理解的是，典型的系统可包括大量连接的服务器和客户端，其中每个不同计算机处于网络的不同节点。网络116和中间节点可包括各种结构和协议，包括采用一个或多个公司专用的通信协议，以太网、WiFi、蓝牙和HTTP的的因特网、内联网、虚拟个人网络、广域网络、本地网络、私人网络。

经由包括中间节点的网络的通信可由诸如调制解调器(例如，拨号或电缆)、网络接口和无线接口之类的能够与其它计算机交换数据的任意装置协助。服务器104可以是网络服务器。虽然在如上所述地发送和接收信息时获得了特定的优势，本发明的其它方面并不限于任意特定的信息发送方式。例如，在一些方面，信息可经由诸如硬盘、磁带、CD-ROM、DVD之类的媒体发送或者经由拨号的调制解调器直接在两个计算机系统之间传输。在其它方面，信息可以以非电子格式发送而且手动地输入至系统。

而且，根据此处描述的系统和方法的计算机和客户装置可包括能够处理指令并且与人和其它计算机交换数据的任意装置，包括缺乏本地存储能力的网络计算机、诸如PDA112之类的具有调制解调器的PDA、以及诸如移动电话110之类的能上因特网的无线电话。

在此参考图1a以及图2a的流程图描述操作签名验证系统的方法。

便携式计算装置32包括显示装置35，其在图1a的示例中显示了包括签名字段38的电子文档36(例如，AdobePDF格式的文档)。

在用户30希望签署文档36的情况下，他可在步骤200点击PDF文档内的签名字段38，从而使得插件程序运行而且使得对话框39(如图2a所示)出现在便携式计算装置32的显示装置34上。

对话框39提示用户输入用户名字/ID(步骤202)，而且鉴定请求被发送(步骤204)至验证服务器20。

验证服务器20从数据库24取出用户的配置文件26而且启动签名验证处理，其中消息可被发送(步骤206)至用户的移动装置34以请求提供签名(换言之，请求用户输入签名手势40)。

用户随后在步骤208在他们的移动装置34上签名，而且签名被发送用于被验证服务器20验证。在一种实施方式中。移动装置可被配置成随着时间的过去对签名采样，而且与签名相关的一系列矢量数据点42可被发送至验证服务器20。

可以理解的是，图2a的处理可通过将诸如便携式电脑32之类的请求签名验证的装置与提供验证签名的装置34分离开来考虑中间人攻击。由于这些是两个不同的计算装置，但是攻击人将必然需要介于服务器20和便携式电脑32以及服务器和移动装置34之间。该技术可被应用至其他实施例，其中请求验证或鉴定的装置也是提供验证签名的装置。该技术还可用于登陆至包括包括移动计算装置的独立计算机或其它计算装置的情况。在该实施例中，验证所需的指令和数据可存在于独立计算机、便携式电脑、移动电话或其它计算装置中。

回到图1a，移动装置34包括触摸屏44，由此用户的签名可通过触摸屏幕并勾画出签名40的轮廓来输入。移动装置34可被配置成在多个测量点处对用户的手指位置进行采样(例如，x-坐标和y-坐标)(例如，随时间测量)，由此记录多个矢量数据点(x，y，t)。这些矢量数据点可表示签名处理期间捕获的用户数据。

此外，移动装置34可测量与触摸屏互动的用户的其它方面，例如当用户的手指在签名处理期间接触触摸屏时以及在没有接触时(例如当用户的手指抬离触摸屏，作为他们的签名的一部分)。在该示例中，每个矢量数据点还可包括第四个变量(例如有无接触的指示标记)。按照这样的方式，矢量数据点可具有(x，y，t，c)的形式，其中"c"表示有无接触的指示标记。

需要注意，虽然在图1a中图示了触摸屏数据输入方法，但是可使用如上所述的替换的数据输入方法，例如，追踪笔尖运动的笔、触摸屏和触控笔输入(例如SamsungNote装置上看到的那样)或用于捕获用户签名的任意其它适当数据输入部件。而且，其它触摸敏感装置可包括处于销售点处的触摸敏感板。

在其它替换方案中，数据输入方法可使用运动感测控制接口(例如MicrosoftKinect系统)。在该替换方案中，数据输入系统可随时间(t)追踪例如用户的手的位置(x坐标和y坐标)。在该替换示例中，可以存在无“接触”数据字段，因为在用户和控制/数据输入表面之间可能没有接触。潜在地，深度数据(z坐标)可被控制，由此矢量数据点包括(x，y，z，t)。

验证服务器随后在步骤210经由适当的签名验证方法来鉴定签名。这种签名验证方法的示例可包括www.biosignid.com/poc中的这些以及与下述图15至20相关的这些。

一旦用户和/或用户签名已经被鉴定，数字图像文件46的形式的输入的签名的数字表示被创建而且被发送回用户30。数字图像46可随后采用已知的数字证书签名48处理来被并入PDF文档36。文档可作为该处理的一部分而采用用户的私钥50和认证机构的公钥52被签署。

一旦签字，文档36不能在不取消数字证书48的有效性的情况下被改变。

在此参考图1a和图2b的流程图来描述根据本发明的另一实施例的操作签名验证系统10的方法。

图2b所示的进一步的实施例类似于图2a的实施例。在图2a，需要注意，用于签名的电子文档36被存储在系统的用户端54。与用户的采样的签名40有关的数据在图2a中经由因特网28被发送至系统10的服务器端56，其中用户30被验证而且随后图像文件46被创建并被发送至系统的用户端54。

然而，不同于图2a的处理，需要注意，在图2b，将电子文档36从系统的用户端54上载至服务器端56。电子文档36随后被存储在服务器20上，而且被数字证书签名48处理签字的文档版本也被存储在服务器20上。更详细地说，图2b的处理如下：

图2b中的步骤200至208可以与图2a相同(或者图2b中的步骤200至208可类似于图2a所示的这些步骤)。

在步骤212，验证服务器经由像图2a所示的适当签名验证方法来鉴定签名40。然而，不同于创建数字图像文件46并将其发送给用户30(按照图2a的步骤210)，服务器20替换地鉴定签名并随后利用已知数字证书签名处理在步骤214对来自用户桌面的存储在服务器上的电子文档的拷贝36’签字。作为该处理的一部分，可利用用户的私钥和认证机构的公钥对文档签字。在图2b的步骤212，仍然创建数字图像。然而，其没有被传输至用户30而是被服务器20应用至电子文档36的服务器版本。随后采用如上所述的数字证书处理对电子文档36的该版本进行签字214以防止出现进一步的变化。

一旦签字，电子文档36不能在不取消数字证书48的有效性的情况下被改变。然而，在步骤216，签过字的文档的拷贝36’以电子邮件发给用户的便携式电脑32以进行通知。

在此参考图2c的流程图来描述根据本发明的又另一实施例的操作签名验证系统10的方法。

图2c所示的另一实施例类似于图2a和2b。不同于图2a和2b，图2c的系统布置包括仅仅在系统的用户端54上的单个计算装置34。

在图2c，包括签名字段38的电子文档36(例如AdobePDF格式的文档)被显示在用户的移动计算装置34(在该情况下为智能手机)上。

在用户30希望签署文档36的情况下，他可在步骤200点击PDF文档36内的签名字段38，从而使得插件程序运行而且使得对话框39出现在移动计算装置的显示装置上(步骤218)。

对话框39可提示用户30输入鉴定信息，例如用户名/ID或密码，而且鉴定请求在步骤220从移动装置34发送至验证服务器20。

验证服务器20从数据库24取出用户的配置文件26而且启动签名验证处理，其中消息在步骤222被发送至用户的移动装置34以请求提供签名(输入签名手势40)。

用户随后在步骤224将他或她的签名提供给他们的移动计算装置，例如利用他或她的手指、触控笔、连接的触摸敏感板或其它输入设备。在一个实施例中，提供的签名被发送至验证服务器20用于验证。在另一实施例中，移动计算装置在提供签名的同时推断或捕获用户数据，而且用户签名数据可被发送至验证服务器20用于验证。签署这些的组合或变型也是可行的。

在一个实施例中，移动计算装置34可被布置或配置成随时间对签名进行采样，而且与签名相关的一系列矢量数据点可被发送验证服务器20。

验证服务器随后在步骤226通过适当签名验证方法鉴定签名。参考图15至20描述了这种签名验证方法的示例。

一旦用户和用户签名已经被鉴定，图像文件形式的输入的签名的数字表示被创建而且被发送回用户的移动计算装置(步骤226)。数字签名可随后采用已知的数字证书签名处理来被并入PDF文档(步骤228)。文档36可作为该处理的一部分而采用用户的私钥50和认证机构的公钥52被签署。

一旦签字，文档36不能在不取消数字证书48的有效性的情况下被改变。

电子合同签名

根据图2a所示的本发明的一个实施例的鉴定处理的应用处于电子合同签名的情况内。许多组织现在转变至无纸化或“少纸化”环境。这种工作环境一般会使得合同签名的处理变得复杂。这可能涉及例如采用用户的个人PKI秘钥50产生经电子签名的电子文档36(PDF格式)。

本发明可提供如下所述的参考图3描述的文档在这种无纸化(或少纸化)环境的签名的方便的方案：

1.在步骤230，顾客到律所来签署合同；

2.在步骤232，代理人在监视器(例如图2a的便携式电脑32)上给用户显示合同36；

3.在步骤234，顾客点击电子文档36的签名放置部分38；

4.在步骤236，鉴定交易请求被产生并被发送至系统的服务器端56以用于验证(这对应于图2a的步骤204)；

5.在步骤238，一旦交易请求被发送，文档查看者/编辑者进入"等待模式"，来自服务器20的鉴定待决。需要注意，该步骤还对应于图2a的步骤204。还应该注意，该步骤238对应于第一异步交易；

6.在步骤240，顾客打开他的移动装置34上的客户应用而且在装置的触摸屏44上签字40；

7.在步骤242，签名40在服务器20被发送用于验证(第二异步交易)；

8.在步骤244，一旦成功验证，数字图像文件46形式的输入的签名的数字表示46被产生并发送至其中打开了文档36的律所计算装置(32)上的等待会话。需要注意，数字图像文件46可包括除了输入的签名的表示之外的其它数据，例如时间戳、采样的用户数据、鉴定码等。

9.在步骤246，签名被附在电子文档36内的正确位置38(签名放置)；

10.在步骤248，文档36被数字签名而且证书48被产生以确保签过字的文档的真实性。

具有签名数据的数字图像

如以上参考图1a描述的那样，服务器20可产生与用户的签名手势40的数字表示合并的数字图像46。图4还更详细地示出了该数字图像46的示例。

需要注意，除了签名40的表示之外，数字图像46还可合并其他信息。具体地，签名处理期间捕获的用户数据可被编码成数字图像46，下文将更详细地进行描述。

数字图像46如上所述地被应用至电子文档36。这样，其可被看作是“数字印记”特征或封印，这确认了图像46中包含的信息的用户的身份。

图4所示的数字图像46版本可包括多个分量：(i)用户在智能手机装置34上输入的签名手势40的数字表示。该表示基本上是用户的手指轨迹60；(ii)日期和时间戳61；(iii)来自验证服务器20的封印62；以及背景部分64。

分量(i)、(ii)和(iii)向PDF文档的后续读者提供了具有与对文档签字的用户有关的信息。而且，这些分量中的一些或全部将允许后续读者发送信息请求给验证服务器以确定验证服务器确实已经在所示的时间和日期验证了第一用户的签名。在该实施例中，一旦接收到验证请求，服务器在数据库中搜索与用户关联的数字印记的存储版本。可随后将存储版本与其在请求中接收到的数字印记进行比较。如果有匹配的，向请求装置发送消息以确认鉴定请求关联方的身份。作为替换方案，服务器可从数字印记提取用户数据而且将该用户数据与存储的用户数据进行比较以便验证用户/鉴定请求。

需要注意，图4所示的数字图像46是可根据公开的本发明的实施例创建的数字图像46的仅仅一个示例。根据系统的具体配置，上述特征(i)至(iv)中的一些可以不存在。如后面所述，用户数据可被编码成数字图像。在一个示例中，因此，数字图像可包括任意图像(例如大本钟)，而且用户数据可被编码成图像，而且这仍可提供识别用户的手段。

根据本发明的方面，签名处理期间由移动装置搜集的用户数据可被嵌入数字图像46，由此其在以后的时间可被恢复以实现第一用户签名的真实性的单独验证。这被显示在图5的流程图中。在步骤260，在身份验证处理期间，随着用户将他们的签名手势40输入至计算装置，用户数据被捕获。装置(例如，移动计算装置34的触摸屏)可随时间(t)对用户签名采样而且产生多个矢量点，例如定义了输入部件(例如，触摸屏的示例中的用户手指，或者替换地，触控笔位置、鼠标光标等)的x，y位置。在用户正在屏幕上或者抵着表面输入他们的签名手势的情况下，则此外的“抬起”坐标可被记录以表示笔/手指/鼠标等什么时候从表面抬起。在经由运动感测装置(例如MicrosoftKinect装置)输入签名手势的情况下，则抬起坐标可被深度(z)坐标替代。在签名处理的结尾，多个矢量点，例如(x，y，lift，t)或(x，y，z，t)，可能已经被捕获。这些多个矢量点表示了捕获的用户数据。

一旦签名手势已经被捕获而且通过适当分析算法进行了验证(例如下面参考图15至20描述的这些算法)，数字图像46可在步骤262被创建(例如参见图4所示的数字文件)。从图5的步骤260捕获的用户数据可随后在步骤264被编码成数字图像46。在一个示例中，数据可被编码成图像的背景区域64。在另一示例中，图像46可包括痕迹线60形式的输入的签名手势40的数字表示，而且数据可被编码成签名本身的“痕迹线”60。因此，步骤264的输出是其中用户数据已经被编码的数字图像46。

在步骤266，具有经编码的用户数据的数字图像46可插入例如电子文档36的签名字段38。一旦文档36已经利用数字证书48签字，图像文件46不能在没有损坏证书的情况下改变。在第三方或用户自己希望验证步骤260期间输入的签名40是真实的的情况下，可在解码处理期间从数字图像46提取出用户数据，而且验证算法可重新分析用户数据以确认签名是否真实。

可通过改变数字图像中的像素的一部分来实现签名数据的嵌入。

图6图示了根据本发明实施例的将数据编码至数字图像46的处理的概览。在步骤270，图像中的像素的比特值被确定，而且在步骤272，像素中的比特值改变以编码图像中的数据。像素比特值和将被编码的数据两者的二进制表示可被确定，而且随后利用诸如逻辑XOR运算之类的一个或多个布尔运算对数据编码。然而，可使用任意的适当可逆二进制运算。

例如，第一用户签名的轨迹60表示(上述分量(i))可被黑色像素的轨迹表示在图像中。由于计算机系统内数字图像中的像素可由每个都是8比特的3个颜色(红色、绿色、蓝色)表示，所以可以通过改变像素中的多个比特的值以对签名数据编码来稍微改变黑色像素的颜色。

在其中签名被表示为x坐标、y坐标、时间坐标和接触坐标(例如，手指接触(1)或无手指接触(0)，其也可被称为“点击”或“笔”)的示例中，可在数字图像内对签名的每个矢量数据点编码。

例如，手写签名可被转成位图作为白色背景上的黑色或红色曲线。为了对该数据编码，每个用户签名数据变量(例如，x，y，t和pen)可能要求可变数量的字节。例如，x变量数据可能要求2个字节，y变量数据可能要求2个字节，t变量数据可能要求4个字节，pen变量数据可能要求1个字节。

由于签名不太可能多于一分钟的长度，实际上还可以通过三个字节对时间编码(例如，t变量数据)。时间数据可由任意时间测度表示，例如纳秒、微秒、毫秒等。

给定该实施例的前述存储器要求，样本签名中的每个矢量数据点可表示信息的8个字节(由用于x变量数据的2个字节、用于y变量数据的2个字节、用于t变量数据的3个字节以及用于pen变量数据的其他一个字节组成)。

捕获签名可包括成千上万的采样数据点。例如，长签名可能要求1600个样本。因此，对长签名进行编码要求大约12800个字节(即，1600个样本*每个样本8个字节)。更长或者更短的签名可能要求不同数量的样本。

公开的系统和方法可调整单个RGB像素中存在的字节的数量以对来自采样数据点的数据进行编码。由于RGB像素可利用三个字节进行编码，所以矢量数据点(即，采样数据点)的每个字节可利用上述XOR运算而在这些三个字节划分。例如，矢量数据点的前3个比特可与红色颜色的8个比特的更低的3个比特进行XOR运算，矢量数据点的其次的3个比特可与绿色颜色的8个比特的3个更低比特进行XOR运算，而且矢量数据点的最后2个比特可与蓝色颜色的2个更低比特比特进行XOR运算。按照该方式，每个RGB像素可对矢量数据的一个字节进行编码。图7示出了在RGB像素72上划分矢量数据点字节70的上述处理。

下面更详细地描述了RGB模型中的编码处理。

验证/鉴定服务器作为中介

虽然图1-6总体上涉及与用户对文档数字签名结合使用的公开的系统和方法，但是公开的系统和方法也可用于中介角色或者协助角色。换言之，验证服务器可被部署成使得其以希望鉴定用户签名的主体的名义验证用户的签名。图14图示出以该中介角色操作的验证服务器1404的示例1402。

如图14所示，验证服务器1404可与企图鉴定客户装置1406的用户的签名的客户装置1406以及一个或多个网上或因特网业务1410-1412通信。因特网业务1410-1412可包括在线零售商1410(例如Amazon.com、Overstock.com等)以及支付处理系统1412(例如PayPal、VISA、Mastercard)或其它这种支付处理系统。验证服务器1404也可与期望鉴定顾客签名的零售业务1408(例如，实体零售商)通信。

客户装置1406可以是利用网络进行通信的任意类型的计算装置，例如桌上计算机、便携式电脑、上网本、便携式计算机、智能手机或者任意其它的这种计算装置。客户装置1406可配置有触摸感应显示器，例如在便携式计算机或智能手机中找到的触摸感应显示器，或者可连接至触摸感应装置，例如触摸感应板、触摸感应触控笔或其它这种装置。

实体1404-1412可通过一个或多个网络1414-1420进行通信。网络1414-1420可包括局域网、广域网、个人局域网络以及它们的组合。

在一个实施例中，客户装置1406的用户可与验证服务器1404通信以便将他或她的签名登记至验证服务器1404。例如，客户装置1406的用户可使用客户装置1406来提供之前讨论的用户数据。提供用户数据还可包括将多个签名提供给验证服务器1404以使得验证服务器1404具有用户数据的足够采样。足够采样可包括接收一组用户数据(即，从一个签名导出的用户数据)、十组用户数据、一百组用户数据或者任意其它数量的用户数据。

验证服务器1404随后可建立与提供的用户数据关联的用户配置文件。验证服务器1404在接收到验证用户签名的请求时可参考用户配置文件以取出相应的用户数据。

客户装置1406的用户可与诸如在线零售商1410之类的多个在线业务直接处理业务，或者与诸如支付处理系统1412之类的多个在线业务间接处理业务。为了确认用户的身份，在线业务1410-1412可请求验证服务器1404验证可由用户提供的用户数据。

例如，假设用户期望从在线零售商1410购买商品。在与在线零售商1410完成交易之前，在线零售商1410可请求用户提供他或她的签名。从提供的签名导出的用户数据随后可被发送至验证服务器1404。在线零售商1410还可向验证服务器1404发送用户鉴定信息以访问之前登记的用户配置文件，由此告知验证服务器1404之前登记的用户数据中的哪组与提供的用户数据进行比较。

验证服务器1404随后可将提供的用户数据与之前登记的用户数据进行比较。如果比较结果有偏差，验证服务器1404可将该偏差告知在线零售商1410，在该点，在线零售商1410可决定拒绝与用户进行交易。如果提供的用户数据将匹配或者相对接近于之前登记的用户所提供的数据，验证服务器1404可将该事实告知在线零售商1410。在线零售商1410随后可决定完成与用户的交易。

验证服务器1404和支付处理系统1412之间的通信可类似地进行。即，支付处理系统1412可接收协助付款人和收款人之间的付款的请求，而且支付处理系统1412可请求付款人提供用户数据以鉴定付款。支付处理系统1412随后可将用户数据传递给验证服务器1404以鉴定提供的用户数据。验证服务器1404可随后将比较结果告知支付处理系统1412，在该点，支付处理系统1412可决定拒绝或完成付款人和收款人之间的付款。

对于零售业务1408(即，物理实体业务)，零售业务1408可请求用户提供签名以完成交易。零售业务1408随后可将从提供的签名导出的所提供的用户数据传递给验证服务器1404用于鉴定。零售业务1408还可提供用户鉴定信息以识别登记在验证服务器1404上而且与登记的用户数据关联的用户配置文件。验证服务器1404随后可将提供的用户数据与登记的用户数据进行比较。验证服务器1404随后可将比较结果告知零售业务1408，其随后可决定拒绝或者完成交易。

虽然示出了验证服务器1404与每个实体1408-1412分离，但是每个实体可保有他们自己的验证服务器和登记用户数据库。按照这样的方式，支付处理系统1412可保有与在线零售商1410或零售业务1408的任意验证服务器分离并隔开的验证服务器。而且，由于存在可能不使用因特网或者希望登记至验证服务器1404的一些顾客，保有其自己的验证服务器的业务可能是有利的。

而且，虽然用户可在交易之前登记至验证服务器1404，用户也可及时在其它点进行登记，例如在交易期间。例如，零售业务1408可询问顾客他或她是否希望在交易开始或者完成时登记他们的签名(要么具体登记至零售业务1408要么总体登记至验证服务器1404)。类似地，在线零售商1410可提示客户装置1406的用户以询问他或她是否希望在与在线零售商1410的交易完成之前或者之后登记他或她的签名。按照这样的方式，用户或顾客可在任意时间登记他或她的签名至验证服务器1404或任意其它业务1408-1412。

RGB颜色模型和对矢量数据点字节的编码

RGB颜色模型是加色法颜色模型，其中红色、绿色和蓝色光(红色Red，绿色Green和Blue蓝色＝RGB)被加在一起以产生一个颜色范围。模型的名字来自三个加色法基色，即红色、绿色和蓝色的首字母。

RGB颜色模型的主要目的是用于在诸如电视机和计算机之类的电子系统中感应、表示和显示图像，尽管它同样已经被用于传统摄影中。

为了利用RGB来形成颜色，三色光束被叠加。三个光束中的每个被称为该颜色的分量，而且每个分量可具有混合中的任意强度，从完全关至完全开。

RGB颜色模型是加色法，在这个意义下，三个光束被加在一起，而且它们的光谱叠加，波长对波长，以组成最终颜色的光谱。

每个分量的零强度给出了最黑的颜色(没有光，考虑黑色颜色)，而且每个分量的完全强度给出了白色颜色。

在分量中的一个具有最强强度时，颜色是接近该原色的色调(微红，微绿，或微蓝)，而且当两个分量具有相同的最强强度时，则颜色是合成色的色调(蓝绿色、品红或黄色的阴影)。合成色是通过将相同强度的两个原色相加形成的：蓝绿色是绿色+蓝色，品红是红色+蓝色，黄色是红色+绿色。每个合成色是一个原色的补充；当原色和它的互补合成色加在一起，结果是白色：蓝绿色与红色互补，品红与绿色互补，而且黄色与蓝色互补。

在计算机中，分量值通常被存储为0至255的范围内的整数，即单个8-比特字节可提供的范围。这些通常被表示为十进制数或者十六进制数。

在颜色分量都处于它们的最大强度的情况下，产生白色光。在RGB系统中，这可被表示成如下表格1所示：

颜色分量	整数	二进制表示(8比特字节)
			红(R)	255	11111111
绿(G)	255	11111111
			蓝(B)	255	11111111

表格1

在颜色分量都处于它们的最小强度的情况下，没有显示光(这等于黑色)。采用上述表示，这可表示成如下表格2所示：

颜色分量	整数	二进制表示(8比特字节)
			红(R)	0	00000000
绿(G)	0	00000000
			蓝(B)	0	00000000

表格2

二进制至十进制的转换器(例如参见http://easycalculation.com/decimal- converter.php)以及RGB颜色图表(例如参见http://www.rapidtables.com/web/color/ RGB_Color.htm)可用来产生显示装置可以显示的任意颜色的二进制表示。例如，具有十六进制颜色代码FFB266的橙色可被表示成如下表格3所示：

颜色分量	整数	二进制表示(8比特字节)
			红(R)	255	11111111

绿(G)	178	10110010
			蓝(B)	102	01100110

表格3

需要注意，通过扩展24-比特(三个8-比特值)to32-比特、48-比特或者64-比特单元(或多或少与具体计算机的单词尺寸独立)，一些高端数字图像设备可能能够处理针对每个原色的更大的整数范围，例如0..1023(10比特)、0..65535(16比特)或者更大。

根据本发明实施例，根据下述处理可以将数据编码成数字图像46的像素72而不显著地改变图像：

RGB系统中的每个像素包括8比特的3个字节(R，G和B)(即，8比特的第一字节、8比特的第二字节以及8比特的第三字节)。将被编码的数据的字节可利用XOR运算而在RGB像素的三个字节上划分。

编码/解码示例

在下面的示例中，数据70的字节被编码成RGB像素72，其具有白颜色：R＝11111111；G＝11111111；B＝11111111。

RGB像素内的将编码的字节(数据字节70)涉及x坐标值“120”。等效的二进制值是01111000。

为了对RGB像素中的数据字节进行编码，数据字节的3比特(74)与红色颜色的更低的3比特(76)进行XOR运算，3比特(78)与绿色颜色的更低的3比特(80)进行XOR运算，而且2比特(82)与蓝色颜色的2个更低的比特(84)进行XOR运算。

在该示例中，数据字节＝01111000＝3个比特组“011”、“110”和“00”。因此，第一比特组011可采用R像素(“111”)的最后3比特进行编码。第二比特组110可采用G像素(“111”)的最后3比特进行编码，而且第三比特组00可采用B像素分量(“11”)的最后2比特进行编码。

下面示出了针对每个像素分量的XOR编码和解码处理的当前示例，其中"-"表示没有数据被执行XOR运算。：

红色分量

为了从编码的像素恢复数据字节，编码的红色分量的最后3比特(11111100)可与已知的起始颜色分量(11111111)进行XOR运算。换言之，100XOR111＝011，这对应于已经编码的数据字节的第一比特组。

如上计算的编码的红色像素分量在二进制格式下为11111100，其等于RGB颜色系统中的值“252”。本领域公知的是，分配有值"255"的红色分量可表示"纯"红色颜色。

绿色分量

为了从编码的像素恢复数据字节，编码的绿色分量(11111001)的最后3比特可与已知的起始颜色分量(11111111)进行XOR运算。换言之，001XOR111＝110，其对应于已经编码的数据字节的第二比特组。

如上计算的编码的绿色像素分量在二进制格式下为11111001，其等于RGB颜色系统中的值“249”。本领域已知的是，分配有值"255"的绿色分量可表示"纯"绿色颜色。

蓝色分量

为了从编码的像素恢复数据字节，编码的蓝色分量(1111111)的最后2比特可与已知的起始颜色分量(11111111)进行XOR运算。换言之，11XOR11＝00，其对应于已经编码的数据字节的第三比特组。

如上计算的编码的蓝色像素分量在二进制格式下为11111111，其等于RGB颜色系统中的值“255”。本领域已知的是，分配有值"255"的蓝色分量可表示"纯"蓝色颜色。

因此，在上述示例中，对等同于x坐标120的数据字节进行编码将像素从像素值

像素＝255，255，255(#FFFFFF)

改变为编码的像素值

编码的像素＝252，249，255(#FCF9FF)紫色

如上所述，基于初始像素颜色的知识通过第二XOR运算恢复了原始数据字节。

需要注意，虽然数据字节被编码成使得使用更低的R分量对3比特进行编码、采用G分量的更低的3比特对3比特进行编码、以及采用B分量的更低的2比特对2比特进行编码，但是可以在本发明的范围内设想出其它配置。例如，来自RGB像素数据的其它比特选择，例如RBG像素的上部2或3比特，也可用来对数据编码。

可替换地，不同于利用(3，3，2)比特组将数据字节至RGB分量，可利用(2，3，3)比特组或任意其它方便的组队数据进行编码。

如上所述，数据恢复处理要求知道像素的初始颜色。在本发明的变型中，初始颜色像素可由对数据进行编码的用户设置/建立以使得仅仅直到该初始颜色的另一用户可取出数据。

例如，用户可要么被提供要么选择颜色R＝251，G＝253，B＝249与它们关联。该颜色的像素分量是：11111011；11111101；11111001。

如果利用如上所述的相同数据字节(01111000)对该颜色编码，则编码的像素为

编码的R＝11111000

编码的G＝11111011

编码的B＝11111001

编码的像素颜色＝248，251，249

需要注意，为了运行解码XOR运算，解码用户需要知道与编码用户关联的初始颜色。通过设置颜色与给定用户关联，该用户可将数据编码成数字图像以使得另一用户不能容易地解码数据。如上所述，8-比特RGB系统中存在大量的潜在颜色，由此该方法提供了方便的机制来保护编码的数据。

已经在RGB颜色系统的环境下呈现了上述说明。还应该注意的是，此处描述的该方法可被用于QRGB系统，其中信息的4个字节被用来表示一个颜色。Q指的是颜色的不透明度，Q＝0意味着透明的图像，Q＝255意味着完全不透明的颜色。R、G和B具有与上述RGB系统相同的含义。

在图4所示的数字图像的情况下，将用户数据编码成数字图像的上述方法提供了用于用户的后续恢复和验证的机制。在用户数据涉及签名处理期间捕获的签名数据的情况下，则可使用适当签名识别方法来分析采样的签名数据以确定数字文件的真实性。

作为增加的安全水平，数字图像的背景颜色可在编码之前被操作以使得特定用户与特定颜色关联。除非该颜色对于试图解码图形的人是已知的，则编码的数据将极难恢复。

利用用户数据按照这样的方式编码的数字图像可被用于多种目的。如前面所述，图像可被插入电子文档的签名字段，其随后被数字证书的应用锁定。

数字图像也可被用作鉴定秘钥，例如，用户可提供他们的数字图像的拷贝用于鉴定。

图8示出了根据本发明实施例的编码方法，其中用户数据在验证动作期间被捕获(步骤280)而且随后被编码成图像的像素(步骤282)。

如上所述，采用XOR(即，异或函数)完成编码，其中与像素关联的比特与数据组合以被编码来产生编码的XOR输出信号。异或函数的使用仅仅是解码数据时使用的方案的一种类型的一个示例。其它更复杂的技术可被用来利用每个像素比特对数据进行编码来提供与用户相关特定签名关联的唯一签名。这些技术包括上述像素编码方法的其它实现方法，其中更低的两个或三个比特可被确定为更高的5或6个比特的函数。在上述示例中，红色和蓝色分量的3比特被改变，而更高的5比特未受到编码处理的影响。这5个比特表示32个颜色。对于蓝色分量，在使用的比特中存在6/2的划分，而64个颜色可用于蓝色分量的更高比特部分。

鉴于此，表格(例如下述表格4)可按照每个用户的方式针对每个像素分量进行定义，其中针对低3或2比特的初始值被预定。该表格实际上定义了在用户数据编码之前可出现在数字图像中的颜色。还应该注意的是，采用该实施方式的编码处理将仅仅导致裸眼几乎不能检测到的总体像素颜色的很小的变化。

上面5比特的值	比特7、6、5、4、3的值	设置比特2、1、0的任意值
			0	00000	111
1	00001	110
			2	00010	101
3	00011	100
			4	00100	011
5	00101	010
			6	00110	001
7	00111	000
			8	01000	111
9	01001	110
			10	01010	101
11	01011	100
			12	01100	011
13	01101	010
			14	01110	001
15	01111	000
			16	10000	111
17	10001	110
			18	10010	101
19	10011	100
			20	10100	011
21	10101	010
			22	10110	001
23	10111	000
			24	11000	111
25	11001	110
			26	11010	101
27	11011	100
			28	11100	01124 -->
29	11101	010
			30	11110	001
31	11111	000

表格4

上述表格4表示了用于具有数字图像的背景内的像素的红色分量的初始值的用户的示例。

如果数字图像被提供有编码的分量而且像素的红色分量是11001，111，最后3比特可被如下解码。

从表格看出，高比特(11001)指定了表格中的条目25，剩下的比特对其的初始值是110(需要注意，针对每个用户，该初始值被任意地定义在该表格中)。编码的分量11001，111的最后3比特是111。编码的分量的编码部分与初始值进行XOR得到111[111XOR110＝001]。由此，被编码而且被解码的值是001。

签名识别系统的用户的法医检定分析

图9示出了用于一种系统的根据本发明实施例的签名验证登记处理，在该系统中，用户可根据预定安全策略而被授权可变水平的安全访问。需要注意，鉴定服务提供装置可执行登记和验证程序中的一个或者两个。

在步骤290，用于用户加入签名验证系统的登记处理被初始化。在后续步骤定义的处理期间，用户可能被要求提供多个签名样本以用作参考签名。

在步骤292，用户输入他的/她的签名样本。需要注意，签名可经由触摸屏装置(有或者没有触控笔)或经由运动追踪触控笔或者经由手势控制系统或其中用户可定义唯一“签名”动作的任意其它适当数据输入设备进行输入。

需要注意，对于多于一个输入设备，用户也可被要求提供签名样本。例如，对于接受采用用户的手指输入的触摸屏，用户可被要求提供签名动作，而且也可被要求经由接受触控笔输入触摸屏提供等效动作。

任意或者所有输入签名动作/样本可被存储在验证/鉴定服务器20上的用户配置文件中。

公开的编码和/或解码机制可被部署在支持定义了许多不同水平的安全性的安全策略的验证系统中。各种安全水平可确定用户明白采取的不同动作或者用户被允许的对系统的访问水平。例如，安全策略可根据预定安全水平定义不同水平的验证。以订购系统为例，用户可被要求提供基本水平的验证以购买低价值物品，更高水平的验证用于中等价值物品，以及又更高水平的验证用于高价值物品。

为了使得验证处理在这种安全策略内运行，本发明的方面的登记程序可要求在步骤292提供多于一种类型的签名手势。例如，以名字为JohnSmith的用户为例，用户可能被要求提供下述签名手势：

1)仅仅首字母：用户签署“JS”

2)仅仅名：用户签署“John”

3)全名：用户签署“JohnSmith”

4)短语：用户被要求签署一个短语，例如“Rosesarered”，除了他们的全名之外

在步骤294，每个签名手势(1)至(4)可随后与不同安全水平进行关联。每个安全水平可继而与落入该安全水平的一个或多个用户动作进行关联。例如，

安全水平	安全动作	签名手势
			基本	I，II	(1)
中等	III	(2)
			高	IV，V，VI	(3)
完全	VIII	(4)

表格5

从表格5可以看出，如果用户试图执行动作I(例如为了购买低价值物品)，则服务器将该“基本“水平动作连接至提供签名手势的样本(1)[仅仅首字母]的需求以便在允许该动作之前进行验证。类似地，如果用户试图执行动作VIII(例如为了购买高价值物品)，则服务器将请求用户输入签名手势(4)以便在允许该动作之前进行验证。

需要注意，表格5中的安全动作可以是在被允许之前要求某些程度的验证的任意动作。例如，登陆网络论坛上的用户账户可被归类为基本水平动作；登陆用户的网上银行账户可被归类为高水平动作；而且，授权来自网上账户的付款或设置新收款人可被看做是完全安全水平动作。

图10示出了与实现上述安全策略的系统一起使用的根据本发明实施例的签名验证处理。

在步骤300，用户要么请求访问安全系统，要么试图进行需要用户被授权的交易(例如基于购买的交易)。

在步骤302，验证处理被启动，如图2a、2b或2c所示的那样或者如图15-20所示的那样。

在步骤304，验证/鉴定服务器20确定了用户完成请求的动作所需的访问水平，而且从安全策略确定了关联的签到要求(换言之，其确定了用户需要提供的并且已经被验证以便能够被授权要求水平的访问的签名动作)。

在步骤306，满足确定的安全水平所需的具体签到要求被发送给用户，例如用户可被通知他被要求签署他的全名。

在步骤308，用户输入要求的签名手势40，这随后被发送回鉴定服务器20。

在步骤310，鉴定服务器20试图验证接收的签名手势40。在签名通过验证处理的情况下(312)，则用户被授权访问(314)。在签名不满足验证处理的要求的情况下，则用户可被完全拒绝放弃(316)。作为替换方案，如果用户签名被确定处于通过验证检测的特定公差内，则他们可被授权对系统的降低水平的访问(318)–见图10。

图11示出了根据本发明实施例的签名捕获处理。

在步骤320，用户签名(签名手势40)被计算装置采样，例如被配置有用户的触摸屏的移动计算装置34采样。方便地，两个或更多单独的数据捕获例程被调度以同时在计算装置34的处理器运行。计算装置上运行的数据捕获例程将本质上与可在该装置上运行的其它例程进行竞争。运行多于一个数据捕获例程有助于确保足够数量的采样点在用户的签名手势/动作期间被记录。需要注意，最小的捕获频率可以大约是50Hz，而且平均的签名可以预期得到600个数据点的区域。

还应该注意的是，由于计算装置上运行了与计算装置上运行的其它处理进行竞争的两个捕获处理，采样点的定时对于各签名捕获处理各有不同。由于采样点是固定的，这就提供了方便的机制来减轻对系统的潜在的重放攻击的影响。因此，在步骤322，散列函数取前n个采样点(例如前100个点)，而且在步骤324，针对用户的配置文件，散列结果被存储在鉴定服务器上。(注意，步骤324可以是可选的，其中针对用户配置文件，当前采样的签名的散列函数可能不会被永久地存储在服务器上。相反，散列函数可仅仅被计算出来，而且在下面的步骤326与参考签名进行比较并随后被抛弃。然而，存储散列函数或者最新的散列函数中的至少一部分可提供失败的签名企图或者可疑的重放攻击的指示)。

在步骤326，刚输入至用户的计算装置34中的签名的散列函数与鉴定服务器20保持的(多个)参考签名的散列函数进行比较。如果散列函数匹配，则系统可标记已经检测出入侵企图。在进一步的改型中，用户提供的多个之前的签名的散列函数可被存储，而且鉴定服务器可将当前签名散列函数与所有所述多个散列函数进行比较以确定当前签名数据是否关联之前的签名，其可能表示重放攻击。

图12和13示出了用于减少签名伪造的处理和装置。已经发现，潜在的伪造者发现如果他们近期查看了“涂鸦的”动画则再现第三方的签名手势变得更难。例如，如果在与签名输入装置相关的显示器上向伪造者示出了涂鸦的动画，则伪造者随后再现第三方签名的能力下降/受损。

参见图12，在步骤330，鉴定服务器20接收请求以初始化签名验证处理。配有触摸板或触摸屏的装置在步骤332被激活。这种装置340被显示在图13a中。

在步骤334，在图13所示的装置340的显示装置344上播放涂鸦动画342。该动画342的示例被图示在图13b中。在计算装置340包括相机346的情况下，则该方法可包括追踪用户的视点以确保他们在动画被显示时观看动画而且不会在动画期间望向别处或闭上他们的眼睛。

在步骤336(和图13c)，一旦结束涂鸦动画，提供签名样本的用户随后能够输入他们的签名。有效用户将一般能够再现他们的签名手势40，而不会由于涂鸦动画而有精确度方面的任何损失。然而，伪造者会发现他们再现别人的签名的能力下降。

签名识别算法

除了其他之外，本发明涉及用于验证从用户的签名导出的行为科学的生物计量信息的系统和方法。

为了帮助读者理解本发明，参考图15描述了系统的简要的高水平描述，说明了本发明的示例的真实实施方式。后续会有本发明的具体示例方面的更详细的描述。

图15是配置成实现本发明的方法的示例性行为学生物计量签名验证系统501的示意图。系统501包括适合用于接收签名的装置503(该装置503在后续的讨论中将被称为签名输入装置)、显示装置505和认证装置507。签名输入装置503可涉及用户可提供签名的任意设备，其被配置成监控并记录接收签名以及所花费的时间、对与签名关联的别具风格的脚本在被产生时进行记录。显示装置505可被配置成显示视觉提示和/或指示给用户以输入他们的签名，以及显示签名验证结果。例如，显示装置505可被配置成显示指示用户在什么时候开始在签名输入装置503输入他们的签名的指令。认证装置507被配置成通过分析签名(具体地从中导出的行为学生物计量信息)、将该信息与存储在数据库511中的用户的预存储的行为学生物计量签名模板509进行比较，来验证提供的签名的真实性。数据库511操作耦接至认证装置507，向认证装置507提供对预存储的生物计量签名模板509的访问。

签名输入装置503和认证装置507可每个都包括处理器、存储器而且可包括一般存在于这种装置和通用计算机中的其它组件。在一个示例中，每个存储器可存储可被装置的处理器访问的信息，包括可被所述处理器执行的指令。存储器可还包括可由处理器取出、操作或存储的数据。存储器可以是能够可被处理器访问的信息的任意类似的介质，例如硬盘驱动器、存储卡、DVD和/或可写只读存储器。所述处理器可以是任意的传统处理器，包括通用处理单元和精简指令集计算("RISC")处理器。可替换地，所述处理器可以是专用控制器，例如ASIC。

虽然签名输入装置503和认证装置507可每个包括它们自己的处理器，每个装置的处理器和存储器可包括多个处理器和存储器，它们可以或者可以不存储在相同的物理客体内。例如，指令和数据中的一些可存储在可移动介质上，而其它部分可存储在只读计算机芯片上。指令和数据中的一些或全部可存储在与所述处理器在物理上远离但是可被其访问的位置中。类似地，所述处理器可包括一系列处理器，它们可以或者可以不并行操作。

在一些实施例中，签名输入装置503、显示装置505和认证装置507中的任意一个或多个可被包含在相同物理装置中。可替换地，签名输入装置503、显示装置505和认证装置507中的任意一个或多个可被包含在分离的物理装置中，在这种情况下这些装置被布置成经由一个或多个通信信道彼此通信。

行为学生物计量签名验证系统501可被部署为识别认证装置。例如，系统501可被用来通过控制大门或房门的操作或来控制对安全设施的访问，或者它可被用来控制对安全装置的访问，例如智能手机、平板电脑或类似装置。签名输入装置503可涉及配置成检测手指状态的触摸敏感板，而显示装置505可涉及LCD屏幕。

考虑前述示例，其中系统501被实现来在一旦接收到打开大门或者房门的用户请求时控制对安全设施的控制，可涉及LCD屏幕的显示装置505可被配置成显示指示用户在适当签名输入装置503中提供他们的签名的指令，签名输入装置503可涉及前述触摸敏感板。在触摸敏感板上输入签名时，板上的手指轨迹(这涉及签名的程式化脚本)以及输入签名所需的时间被记录。提供的签名被分析并被传递给认证装置507以与用户的预存储的生物计量签名模板509进行比较。签名分析包括分析并从提供的签名导出行为学生物计量信息。这可在处理业务许可的签名输入装置503处或认证装置507处被执行。分析可在输入签名的同时实时执行，或者其可在整个签名已经被提供之后被分析。

认证装置507将导出的行为学生物计量信息与用户的预存储的行为学生物计量模板进行比较以确定从提供的签名导出的行为学生物计量信息是否与用户的行为学生物计量模板一致。验证结果可随后被显示在显示装置505上。

图16是处理流程图，其概括了例如利用图15的系统执行的本发明的行为学生物计量签名验证方法中包含的不同步骤。在步骤513，签名529，例如图17a所示的签名，被提供在签名输入装置503上。如上所述，这可通过在显示装置505上显示指示用户提供他们的签名的视觉提示而被初始化。在步骤515，提供的签名被采样而且优选地被标准化。

标准化被用来减轻相同签名的不同的提供的复本之间的大小的潜在差异，而且有助于确保导出的行为学生物计量的精确性。例如，如下文将更详细地描述的那样，用户的行为学生物计量签名模板509在注册处理期间被产生，其中用户的签名的一个或多个拷贝(在此还被称为签名复本)被提供，而且从中导出相关行为学生物计量信息。签名优选地被标准化以减轻不同提供的签名复本之间的物理大小的差异。这有利于确保导出的行为学生物计量信息独立于不同提供的签名复本之间的物理大小的差异。在后续签名验证期间，签名标准化有利于通过最小化错误拒绝率来确保精确性。

在步骤517识别并访问用户的相关行为学生物计量签名模板509。可通过在签名输入步骤513期间要求输入用户识别符来识别相关行为学生物计量签名模板509。一旦提供了用户识别符，相关行为学生物计量签名模板509的识别可通过验证服务器507执行。识别符可涉及字母数字编码、名称或任意其它识别手段。识别符可由用户在签名输入装置503上提供。类似地，签名输入装置503可包括触摸敏感键盘，例如诸如之类的大部分配置有触摸屏的智能移动电话中存在的那些。

可替换地，图15的行为学生物计量签名验证系统501可配置有附加的键盘(在图15中未示出)用于提供用户识别符。按照这样的方式，在步骤517，用户能够提供他们的识别符，而且认证装置507能够识别相关用户行为学生物计量签名模板509。

用户的行为学生物计量签名模板509包括一组特征节点，其涉及用户的签名的程式化脚本上的多个预先选择的数据点。在签名验证处理期间使用特征节点来识别提供的签名上的采样数据点，其最好对应于用户的行为学生物计量签名模板509中包含的特征节点。在步骤519，使用确定性匹配来识别与特征节点对应的采样数据点。在下面的讨论中，识别的采样数据点还被称为特征节点。

重要的是注意，其中用户的相关行为学生物计量签名模板509被验证服务器507识别的精确阶段是不重要的。唯一的要求是，在步骤519，用户的行为学生物计量签名模板509在确定性匹配之前被识别出来。例如，用户的行为学生物计量签名模板509的识别可在签名输入(步骤513)之前执行。

在步骤521进行相关性分析，其包括分析步骤519在提供的签名上识别出的特征节点与用户的行为学生物计量签名模板509中包含的特征节点之间的相关性。这包括识别两组特征节点之间的统计方差。在步骤523确定统计方差以处于存储在用户的行为学生物计量签名模板509中的预定阈值内，随后认证装置507在步骤525返回成功验证结果。如果识别的统计方差处于允许的预定阈值之外，则在步骤527返回验证失败结果。由于普通人天生地不能每次完美地复制他们的签名，所以预期提供的签名在包含的特征节点以及用户的行为学生物计量签名模板509中的特征节点之间观察到的方差的较小的幅度，即使是对于真实的授权用户。由此，每个提供的签名复本被预期与之前的复本稍有偏差，而且本发明的系统和方法可投合这种类型的预期方差。

这种人类特征可还被用作附加的安全特征。例如，如果在步骤521相关性分析结果显示与行为学生物计量模板配置文件的完美匹配，则这可表明伪造的签名，而且出于安全性原因，可在步骤527返回失败的验证结果。在当前环境下，完美匹配表明其中提供的签名上包含的特征节点不显示相对于用户的行为学生物计量签名模板509中定义的特征节点值的任意统计偏差的情况。

根据其中部署签名验证系统501的环境，验证结果可被提供在显示装置505上。在签名验证系统501被部署来控制对设施的访问时，例如，成功的验证可导致可选的视觉确认被显示在显示装置505上，而且授权访问设施。任意显示可被使用，例如，显示可以是：在确定正验证时打开的灯、显示定制消息的监视器、或者物理地改变对象的位置的机械装置，例如对一侧标记为“关闭”而另一侧标记为“打开”的对象进行翻面。

本发明的上述或下述实施例被提供用于示例的目的，而不是限制性的。本发明的方法和系统可被部署在各种不同环境下，而且前面及后面讨论的特征的这些和其它变型以及组合可以在不脱离权利要求所定义的主题的情况下被采用。此处描述的示例的提供(以及短语"诸如"、"例如"、"包括"等)不应该被解释为将所请求保护的主题限制至具体示例，实际上，示例旨在说明本发明的许多可能方面中的仅仅一些。

而且，应该理解的是，认证装置507的物理位置是不重要的。认证装置507可处于签名输入装置503本地，或者它可远离签名输入装置503。例如，在签名输入装置涉及智能手机的触摸屏时，认证装置507可处于智能手机本地，由此签名可在智能手机本地进行验证而不用建立与远程布置的验证服务器的数据通信。在该实施例中，设计使得智能手机可以仅仅本地地存储一个或多个经授权用户的行为学生物计量签名模板。该实施例的另一优势在于，即使在所谓的移动电话‘黑洞’中也能使用签名验证系统。换言之，在移动电话接收信号非常弱或者甚至没有移动电话接收信号的地理区域都可以使用该系统。可替换地，签名输入装置503可以是在某个位置的专用装置，认证装置507可以是另一位置处的服务器，数据库511可被包含在又另一位置处的存储器中，而且所有这些装置经由网络彼此通信，例如有线局域网(LAN)、Wi-Fi网络、蜂窝电话网或诸如因特网之类的广域网。为此，签名输入装置503、认证装置507和数据库511以及它们各自的组件可以或者可以不包含在相同装置中或相同位置处。类似地，显示装置505可以或者可以不包含在作为签名输入装置503的相同装置中，例如，显示装置505可以是一个单独的监视器。通过替换示例的方式，显示装置505和签名输入装置503可经由相同触摸敏感屏幕实现。

如之前提到的那样，在初始的用户注册处理期间产生用户的行为学生物计量签名模板509，现在将更详细地对其进行描述。

图17a、17b和17c图示出注册处理包含的不同阶段，而且具体图示了采样和特征节点部署处理。这些在下文中参考图18会有更详细的描述。

图17a图示出在图16的步骤513在输入装置503提供的签名529的拷贝。图17b图示出在图16的步骤515采样到的采样数据点531。图17c图示出在图16的步骤519的特征节点533的识别。

图18是提供了注册处理中包含的步骤的概览的处理流程图。注册处理可在图15所示的行为学生物计量签名验证系统或者诸如认证装置507之类的包括至少用于接收签名的装置503和配置用于从提供的签名导出用户行为学生物计量信息的任意其它类似系统中执行。

在初始化注册处理时，在步骤535，用户可能被要求在签名输入装置503上提供他们的签名的两个或更多拷贝。在本发明的讨论中，术语签名拷贝和签名复本将可互换使用来表示相同签名的不同拷贝。优选的是，在注册期间，相同签名的两个或更多复本(拷贝)被提供以使得系统能够凭经验产生统计容许阈值。这些容许阈值通过降低错误拒绝率改进了签名验证系统的实用性。然而，实际上，容许阈值可被任意复制，在该情况下注册期间可能要求签名的仅仅单个提供的拷贝/复本。然而，设计使得依赖任意产生的容许阈值的签名验证系统很可能导致更大错误拒绝率。相反，根据凭经验的分析来产生每个用户定制的容许阈值的签名验证系统，将很可能导致更低的错误拒绝率，这是因为计算的容许阈值值将至少部分地取决于分析用户复制他们的签名时的一致性如何。这就是为什么优选的是，在注册期间提供两个或更多签名。与表现出高度一致性的用户关联的行为学生物计量签名模板，与表现出更低程度的一致性的用户相比，很可能包括更小的容许阈值，这是因为对于前者在提供的签名复本中预期更低程度的统计方差。因此，如果在后续签名验证处理期间在提供的签名复本中观察到更大程度的统计方差，提供的签名更有可能是伪造的签名。

图17a图示出提供的签名529的示例。在所示示例中，已经提供了名字“Yossi”。在图形上对签名进行表征的文体脚本在图示的示例中清晰可见。如前面所述，多个签名输入使得行为学生物计量签名系统501能够产生考虑了签名的不同的提供的复本之间的不一致(即统计方差)的容许阈值。如前面所述，根据本发明的优选方面，产生的阈值可以是用户专用的，而且部分地取决于用户再现他们的签名的基本相同的拷贝时的一致性如何。能够一致地再现他们的签名的非常相似的拷贝的用户，相比于不能再现他们的签名的相似拷贝的用户，很可能具有较小的阈值。本发明的签名验证系统被设计成投合这两个极端的用户。

注册期间提供的签名的拷贝/复本数量越多，则凭经验产生的容许阈值值可能更精确。术语‘精确’在本发明的环境中指的是统计精度，其随着注册期间提供的签名复本的数量而提高。量化了用户的精确地并且一致地再现他们的签名的能力的所产生的阈值越是精确，验证系统产生在后续签名验证处理期间产生错误拒绝的可能性越低。在真实用户没有通过签名验证处理时产生错误拒绝。实用的可商业实现的签名验证系统的一个目标是最小化错误拒绝产生的频率。换言之，最小化错误拒绝率是一个目标，以便改进签名验证系统的可用性。

所产生的行为学生物计量用户信息的质量和精度会随着注册期间提供的签名复本的数量的增大而提高。

优选地，注册期间提供签名的五个拷贝/复本。为了避免在后面的讨论中引起混淆，注册期间提供的签名将被称为参考签名，以便将它们与在后续验证处理期间为了验证而提供的签名进行区分。图18的后续讨论将考虑这样的实施例，其中注册期间提供了五个参考签名。然而，这不是一个很难的要求，而且可以利用任意的多个参考签名来执行所述方法(其中多个指的是签名的两个或更多拷贝)由此可执行统计相关性分析。

注册处理以用户在适当签名输入装置503上输入第一参考签名启动。在步骤537，参考签名优选地在输入期间同时被签名输入装置503采样，以及被标准化。在签名输入注册系统之后，在步骤538询问是否已经对参考签名的足够数量的拷贝进行了采样。所要求参考签名的数量可由注册实体指定。步骤535、537和538重复，直到已经提供了指定数量的参考签名。在当前描述的示例中，要求有五个参考签名，因此针对提供的五个参考签名中的每个重复步骤535、537和538。

签名可由一个或多个几何曲线的总体表示。这些一个或多个几何曲线可由一个或多个函数进行数学定义。采样包括记录多个数据点，每个数据点对应于处于几何曲线上的一个点。曲线上的足够数量的数据点必须被采样以在数学上定义几何曲线，它们可互换地被称为签名曲线。在后续讨论中，签名曲线将被以单数指出。然而，应该理解的是，签名曲线可能包括一个或多个不同几何曲线，其中每个由不同数学函数定义。

如前面在参考图16时提到的，为了减轻尺寸差异(即补偿提供的参考签名的相对尺寸上的差异)，每个提供的参考签名优选地被标准化。这可在步骤537在采样处理期间执行。可替换地，这可在所述采样步骤537之后执行。标准化减轻了尺寸对后续验证分析的影响，由此增大了分析结果是精确结果的可能性。

一旦在步骤538系统已经确定已经提供了预定数量的参考签名，则步骤539，提供的参考签名中的第一个被选择而且特征节点被定义在签名曲线。这可包括选择以预定频率或以预定间隔采样的签名数据点的子集。签名数据点的选择的这个子集表征了签名，而且被称为特征节点以便将它们与其余数据点进行区分。

例如，特征节点的选择可包括选择沿签名曲线均匀分布的采样数据点的子集。类似地，可以使用附近的和/或表征签名中包含的几何特征的边界的数据点。

识别表征几何特征的一种方法是分析相邻采样数据点之间的一阶和/或二阶导数。导数的分析可提供与签名曲线的几何形状有关的信息。具体地，二阶导数的分析可被用来确定局部最大值、最小值和/或沿一个或多个几何曲线的弯曲的点。这使得与签名曲线上的显著几何变形关联的数据点很容易被识别并且被指定为特征节点。

一旦已经在第一个选择的参考签名上选择了特征节点，在步骤541，采用下面将更详细地描述的确定性优化方法识别其余参考签名上的相应数据点。在当前示例中，这包括识别其余四个参考签名上的相应数据点。该处理被称为特征节点匹配，这是因为它包括识别其余参考签名上的与第一个参考签名上定义的特征节点相对应的数据点。

在步骤543，执行参考签名中识别出的特征节点的相关性分析以及识别的相关统计方差。目的是确定与每个特征节点值关联的需要并入用户的行为学生物计量配置文件模板509中阈值和/或容许值。

相关性分析有效地分析了不同参考签名上定义的相应特征节点之间的相对几何和时间关系。这通过在步骤537，通过针对每个采样数据点在采样处理期间对位置及时间数据进行采样来实现。按照这样的方式，不同参考签名上定义的相应特征节点之间的相对几何关系、以及相对时间关系可被量化。该采样处理的进一步的示例性细节将在下面的讨论中予以描述。

相关性分析通过分析与每个参考签名上布置的每个特征节点的坐标值相关的统计方差，实现了一个平均坐标值以及将针对每个特征节点定义的相关统计方差。这可通过比较与不同参考签名上布置的相应特征节点相关的相对坐标值(位置和时间)来确定。换言之，考虑提供的五个参考签名上布置的单个特征节点。与特征节点关联的坐标值很可能对于其上部署了并且定义了一组五个不同坐标值(假设这些参考签名都不相同)的每个不同参考签名都是不同的。通过分析该组不同坐标值，可以将平均坐标值关联至特征节点以及关联方差。

本发明的方法可采用相对坐标值。不同于定义与特征节点相关的相对于固定轴的坐标，特征节点的位置可相对于邻近的节点进行定义。这可通过将位置坐标矢量与每个特征节点的位置关联起来来实现。位置坐标矢量定义了特征节点相对于邻近节点位置的位置。在该实施例中，相对坐标值可涉及位置坐标矢量的标量分量。从提供的参考签名确定相对平均标量坐标值以及关联的方差值。统计方差值定义了与每个特征节点关联的一个或多个阈值。

在步骤545，位置坐标矢量，包括平均特征节点坐标值以及关联的方差，被存储在用户的行为学生物计量签名配置文件模板509中，以便在图16所示的签名验证处理期间进一步引用。一旦位置坐标矢量占据用户的行为学生物计量模板509，随后在步骤547终止注册处理。

对于登记和验证处理的前述总结，下面将参考优选实施例阐述进一步的具体细节。

优选地，在图16的步骤515在验证期间以及在图18的步骤537在签名注册期间，以预定采样率对提供的签名进行采样。采样率可对于不同应用而言有所不同而且部分地取决于签名输入装置503的硬件性能。例如，以处于50Hz至200Hz的范围内的频率对签名进行采样。可同样使用替换的采样频率。然而，一般，采样率越高，可导出的行为学生物计量信息很可能更精确。类似地，非常低的采样率可导致数量不够的采样数据点，这继而又可导致更不精确的行为学生物计量信息。还可设想处于提供的采样范围之外的但是处于本发明的范围内的替换的采样频率。

每个采样数据点优选地与四维矢量A_v关联，其中v＝x，y，t，c；集合{x，y}是空间坐标；t是时间坐标，其可仅仅取正值；c是尖端坐标(等价地被称为跳转或跳跃坐标，或者提笔(pen_up)或落笔(pen_down)坐标)，其表示相应的空间和时间坐标是否涉及与数学上不连续关联的数据点。例如，跳转不连续和/或可去除的不连续和/或提笔可能关联着签名曲线中的物理间隙。字母‘i’和’j’的点与主干之间的间隙是可去除的不连续的例子。在该示例中，尖端坐标表示空间坐标位置是否与可见标记关联、或者空间坐标位置是否涉及签名曲线中的间隙。

尖端坐标是二进制值。例如，尖端值‘0’可被分配给与可见标记关联的签名曲线上的数据点，而尖端值‘1’可被分配给与签名曲线中的间隙关联的数据点，反之亦然。所选的惯例在其被一致地应用的情况下是无关紧要的。

就图19而言可以考虑尖端坐标c。在该示例中，利用传统方法进行类比，仅仅处于说明的目的而使用比在纸上提供签名，这是因为图15所示的系统不需要使用笔或者纸来输入签名。根据该类比，‘0’尖端值关联着‘落笔’位置，而且‘1’尖端值关联着‘提笔’位置。在后面的说明中，关联着‘提笔’位置的尖端坐标值可互换地被称为‘提笔事件’，而且关联着‘落笔’位置的尖端坐标值可互换地被称为‘落笔事件’。换言之，‘0’关联着与可见标记有关的数据点，而‘1’关联着非可见区域。在图19中示出了字母‘i’550，其包括沿包括点554a的签名曲线554的可见部分定义的多个采样数据点552。

每个采样数据点552都关联时间坐标。就当前目的而言，编号556表示按时间的前后排列的顺序，其中已经输入的签名曲线上的不同数据点被图示出来。应该理解的是，编号556表示按时间的前后排列的顺序，其中已经输入的采样数据点正比于与在图16的步骤515或图18的步骤537的采样期间获取的关注的具体数据点关联的相关时间坐标而且可从中导出来。按照这样的方式，可以区分其中用户输入签名的别具风格的脚本的按时间的前后排列的顺序。例如，与点554a关联的按时间的前后排列的顺序编号556表示，这是输入的签名的最后部分，因为它的按时间的前后排列的编号值是‘30’。

术语‘签名曲线’可包括可见和非可见线段，它们结合了采样数据点，包括诸如点554a之类的奇异点。按照这样的方式定义，签名曲线可能没有必要等效于签名的程式化脚本—其没有专门地被限制为可见签名标记554，554a。与可见签名标记关联的所有数据点都包含在签名曲线中的同时，签名曲线可还包括非可见部分554b，其包括与不与可见标记关联但是仍被签名输入装置503采样的签名区域关联的数据点。例如，内插数据点58(下文将更详细地予以描述)是与签名曲线的非可见部分554b关联的数据点的示例，其因此关联着‘1’尖端坐标值。换言之，在当前类比下，内插的数据点558关联着‘提笔’位置。

当在签名曲线的非可见部分上采样数据点时，出现与‘1’尖端坐标值关联的数据点(等效地称为‘提笔’)。随后，采样数据点的位置坐标可采用已知的内插技术进行定义。这些内插数据点558处于介于可见采样数据点560和奇异点554a之间的曲线不连续范围内，与字母‘i’的点关联。

可替换地，与‘1’尖端坐标值关联的数据点(‘提笔’)可由仅仅包括时间坐标值和尖端坐标值的二维矢量(2D)有效表示。这就避免了必须内插数据点的位置坐标。在该示例中，签名曲线的可见部分中包含的采样数据点是4D矢量，而签名曲线的非可见部分中包含的采样数据点是2D矢量。

可替换地，与‘1’尖端坐标值关联的采样数据点可被忽略而且从采样数据集合中抛弃。例如，被与提笔坐标关联的数据点以及与落笔坐标关联的数据点限制的所有采样数据点都可被抛弃。这有效地排除了处于签名曲线不连续区(即签名间隙内)的除了一个以外的所有的数据点。这就降低了计算负担，因为省略了提笔空间坐标值的内插。在该示例中，签名曲线基本上对应于签名曲线的可见部分。

在具体实施例中，可以以可变采样率对提供的签名进行采样。这可通过以不同频率对不同数据点进行采样来实现。这就降低了任意两个不同签名复本被等同地采样的统计可能性，而且确保了针对每个提供的签名复本采样到不同数据点。该采样处理的结果在于，与每个采样到的签名复本关联的该组采样数据点形成了一个唯一的数据集合，该数据集合可被用来改进本发明的方法的安全性。其中可以改进安全性的一种方式是利用采样数据集合执行散列函数。由于每个采样数据集合是唯一的，与每个采样到的签名复本关联的得到的散列也是唯一的。与每个采样到的提供的签名关联的哈希值可在图16的验证处理期间被验证。例如，一旦提供的签名已经被采样，可在步骤515执行它。而且，认证装置507可布置成保持接收到的哈希值的记录日志。按照这样的方式，如果签名具有与之前接收的签名的哈希值对应的哈希值，误差可被标记，而且验证拒绝结果被返回。散列函数的使用改进了本发明的方法的安全性，而且尤其提供了针对其中之前采样的签名被重新利用的重放类攻击的保护。例如，这在与之前采样的签名关联的一组数据点被传递至认证装置507以进行验证时可能会出现。

其中可获取随机采样率的一种方式是使用多线程处理。用于接收签名的装置503可包括中央处理单元(CPU)，其被布置成以它们被接收的顺序依次执行至少两个并行指令线程。例如，第一线程可涉及指示CPU以特定频率对接收到的签名进行采样的主要采样线程，而次级线程可涉及替换指令集合，其在没有足够的系统资源来处理主要线程的事件下被处理。可替换地，不同采样指令可包含在不同指令线程中，其在被CPU执行时会指示用于接收签名的装置503以不同速率对接收到的签名进行采样。例如，用于接收签名的装置503可能能够在50Hz至100Hz的速率下采样。一系列的三个不同指令线程可被用来提供采样指令。第一指令线程可指示装置503在60Hz的速率下采样，而第二和第三线程可指示装置分别在80Hz和100Hz的速率下采样。这就确保了提供的签名在该示例中是在60Hz和100Hz之间震荡的可变采样率下采样的。

采样

如之前参考图2和4提到的那样，在步骤515和537各自的验证和注册处理期间，一个或多个提供的参考签名被采样。这包括空间域和时域中的采样，以及将尖端坐标值c关联至采样数据点(例如a‘1’针对提笔事件，而且‘0’针对落笔事件)。这就产生了四维(4D)矢量其中i＝1，2，3，4…n；而且i∈N与每个采样数据点关联。变量n表示与数据点关联的矢量的总数，而且因此还表示采样数据点的总数。变量v具有如上所述定义的通常含义。签名曲线随后可被定义为时间序列函数其中A_vi是矢量增量。为了避免怀疑，i是任意正整数，而且指定了与不同数据点(包括与签名曲线的非可见部分关联的数据点)关联的不同矢量。

由于每个采样到的4D数据点包括时间坐标值，所以可以以确定相对于前一个4D数据点的流逝的时间，由此速度矢量(V)以及可选的加速度矢量(V)可与每个采样数据点关联。速度和加速度矢量捕获了用户的手移动行为学生物计量信息。

在优选实施例中在步骤515和537采用的标准化处理包括对提供的签名进行缩放以适合具有预定尺寸的预定矩形。例如，标准化矩形可具有像素尺寸128，000x96，000。根据本发明也可使用替换的标准化方法。

采样处理(图16的步骤515；图18步骤537)可还包括数据点密度分析处理以确定是否已经沿签名曲线采样到了足够数量的数据点。这可在空间域和时域上都执行。签名曲线越是明确定义，导出的行为学生物计量信息越精确。

对于空间域，这可通过判断两个采样数据点(x_i+1，y_i+1，t_i+1，c_i+1)和(x_i，y_i，t_i，c_i)(i＝1，2，3，…，n)之间的距离间隔是否处于预定阈值内来实现，

(x_i+1-x_i)²+(y_i+1-y_i)²≤最大允许距离间隔式1.0

对于时域，这可通过判断两个采样数据点之间的时间间隔是否大于预定阈值来实现，

(t_i+1-t_i)²≤最大允许时间间隔式1.1

如果式1.0和/或式1.1的距离间隔阈值或时间间隔阈值条件中的任意一个不成立，则已知的线性内插技术可被用来在相关间隔内在签名曲线上内插其它数据点。

针对沿签名曲线的所有采样数据点执行采用式1.0和1。1的采样数据点密度分析。任意内插数据点的尖端坐标值将与定界采样数据点的尖端坐标值一致。例如，在框定内插数据点的两个采样数据点的尖端坐标值ci+1和ci是‘0’的情况下，则内插的数据点的尖端坐标值还是‘0’。换言之，如果两个定界采样数据点涉及落笔事件，则处于两个采样数据点之间的内插的数据点将还与落笔事件关联。类似地，在两个定界数据点的尖端坐标值是‘1’的情况下，则内插的数据点的尖端坐标值还是‘1’–即提笔事件。

由于在此指出的内插技术在本领域是通用的而且对于技术任意是公知的，不需要进一步讨论内插技术的细节，能够确认的是任意传统的数值内插技术都可以使用，而且这些替换方案也落入本发明的范围内。感兴趣的读者可以参考IOPPublishingLtd公司于1989年1月1日出版的R.D.Harding和D.A.Quinney的书籍“Asimpleintroductiontonumericalanalysis：Volume2：InterpolationandApproximation”，以得到关于数值内插的更详细的讨论。

两个采样数据点之间的最大容许距离间隔阈值的示意示例可以是九个像素。在该示意示例中，如果任意两个相邻采样数据点之间的距离间隔大于九个像素，则示意内插来在间隔内定义一个或多个附加数据点，直到满足式1.0的距离间隔阈值条件。

最大容许时间间隔的示意示例可以是五毫秒，这对应于200Hz的签名采样频率。因此，在该示意示例中，如果签名输入装置503的采样率低于200Hz，内插可被用来利用一个或多个内插数据点在相邻采样数据点之间占据时间间隔，直到满足式1.1的时间间隔阈值条件。类似地，在具体实施例中，内插可被用来补偿签名输入装置503的采样率中的任意不规则和/或波动从而保持均匀的采样数据集合。

在其中用于接收签名的装置503还执行与不同应用关联的其它指令集合的实施例中可能要求内插。例如，在配置成提供了多个不同的功能的智能手机中，多个不同应用可并行允许，每个应用关联着不同指令线程，而且每个线程争取所述处理器的处理资源。在该示例中，所述处理器(例如CPU)在执行与无关应用相关的无关的指令线程的同时可能对于执行采样指令线程暂时不可用。例如，这可能在智能手机的CPU被占据来确定手机的GPS位置时发生。CPU可能变得对于执行与签名采样处理关联的指令线程暂时不可用，这可能导致两个相邻采样数据点之间的更大的时间间隔和/或距离间隔间隙。不同于可能不那么方便的重新初始化采样处理，数值内插可被用来完成采样数据点集合。

可选地，平滑函数可被用来改进内插的数据点的精确度。这可通过使得下述作用积分最小化来实现，

式1.2

其中签名曲线A_θ是所有采样数据点B_v和内插的Cμ数据点的集合(即A_θ＝B_v∪C_μ)，f是平滑函数，而且K是可具有值0。5或更小的常数。按照这样的方式，f(A_θ，K)是经平滑的函数。

平滑函数的使用是有利的，这是因为相对于相邻数据点，例如狄垃克函数，其降低了与大幅方差关联的采样数据点，对验证结果的影响。由此，验证结果更稳定。而且，注册处理期间平滑函数的使用还导致了更低的确定的统计方差值。这通过使得签名更难伪造而改进了系统的安全性，降低了错误的正签名验证结果率。

式1.2的作用积分可通过将变量的微积分的公知的欧拉-拉格朗日方程求解为离散问题来进行最小化，这就产生了利用三对角线矩阵求解的一组线性等式。平滑函数和欧拉-拉格朗日方程在本领域是公知的，由此没有进一步讨论细节，因为本领域技术人员已经很熟悉它们了。

特征节点的识别

如前面参考图18讨论的那样，在注册期间，在步骤539，第一个选择的参考签名被分析而且特征节点被识别。现在讨论可实现该步骤的一些方法。

优选地，特征节点可通过选择采样的矢量(上文提到，采样数据点是矢量)的子集来定义，忽略与尖端值‘1’(提笔事件)关联的任意矢量，由此矢量的选择的子集在签名曲线的整个可见部分上以均匀长度间隔基本均匀的分布。在下面的讨论中，矢量的选择的子集被称为特征节点。

由于与尖端值‘1’关联的矢量被忽略，节点仅仅关联4D矢量。节点的密度通常远远低于所有采样的矢量的密度。节点具有 $\left(x_{i_1},y_{i_1},t_{i_1},pen\_{\mathrm{down}}_{i_1}\right),\left(x_{i_2},y_{i_2},t_{i_2},pen\_{\mathrm{down}}_{i_2}\right),\mathrm{....},\left(x_{i_m},y_{i_m},t_{i_m},pen\_{\mathrm{down}}_{i_m}\right)$ 的形式。特征节点优选地以近似均匀的分隔间隔彼此分开，由下述不等式给出。

式1.3

其中近似均匀的分隔间隔指的是，虽然特征节点优选地以均匀的分隔间隔彼此分开，但是这并不是一个必要限制而且一些节点之间的间隔可以偏离式1.3中定义的均匀间隔。式1.3是以二维形式表达的勾股定理。式1.3的距离间隔仅仅考虑了几何坐标值，而忽略了时间和尖端坐标值。指数j被用来表示节点，而不要与指数i混淆，指数i被用来追踪与采样数据点关联的矢量，自此以后简单地称为采样的矢量。沿签名曲线的可见部分部署的节点的数量m被选择成小于或等于采样的矢量的数量的一半，由此满足下述条件

$m\&le;\frac{1}{2}n$ 式1.4

其中n是采样的矢量的数量。

这显著地降低了处理要求。

在步骤541，M个节点随后被部署在步骤535的注册期间布置的其它四个签名上。术语‘部署’在本发明的语境中被用来表示处理使得包含在其它四个签名上的采样的矢量被分析来识别与第一个选择的签名上定义的特征节点基本对应的这些矢量。

式1.3给出的新部署的间隔可被表达为

式1.5

其中表示在新签名曲线上采样到的矢量的数量，而且不太可能等同于在之前的签名曲线上采样到的矢量的数量，L≠n。而且，应该理解的是，每个新签名曲线上采样到的矢量L的数量可能是唯一的，尤其是在采用可变采样率的情况下，因此每个签名曲线可与不同数量的采样的矢量L相关联。式1.5中阐述的分离状态的恒定间隔是一种近似关系，而且分离的一些间隔可偏离式1.5中定义的均匀间隔。

每个其它签名的可见部分上部署的节点数量m保持恒定

$\left({\hat{x}}_1,{\hat{y}}_1,{\hat{t}}_1,\hat{p}en\_{\mathrm{down}}_1\right),\left({\hat{x}}_2,{\hat{y}}_2,{\hat{t}}_2,\hat{p}en\_{\mathrm{down}}_2\right),\mathrm{...},\left({\hat{x}}_m,{\hat{y}}_m,{\hat{t}}_m,\hat{p}en\_{\mathrm{down}}_m\right)$ 式1.6

其中‘^’符号被用来区分剩下的四个签名上部署的节点以及第一提供的签名上部署的节点。

式1.4的条件对于剩下的四个提供的签名成立—节点的数量m′小于或等于采样的矢量L的数量的一半—现在可将其表达为

$m\&le;\frac{1}{2}L$ 式1.7

如果该条件对于剩下的签名中的任意一个都不满足，则采样误差结果可被签名输入装置503返回并被显示在显示装置505上。例如，这种误差可与采样不足的签名关联。

可在步骤541通过签名输入装置503或者通过认证装置507执行该分析。在返回采样误差结果的事件中，可要求用户重新输入他们的签名，或者如果已经提供了足够数量的签名，则导致返回错误结果的签名可被抛弃。后一种选择可在其中已经从之前的签名中导出了足够量的行为学生物计量信息的情况下出现。该情况下对一个提供的签名拷贝的抛弃不会过分地损害导出的行为学生物计量信息的质量。

通过确保已经在沿不同签名曲线的可见部分的基本等同的特征位置处在剩余的签名上部署了节点，完成节点部署处理。表示不同签名复本的每个不同签名曲线使得该处理变得复杂。因此，每个签名曲线将包括与每个其它签名曲线稍有不同的特征。为此，基于签名的图画比较以识别关联点的方法是不合适的，因为它将由于两个不等同的对象被比较而不精确。类似地，匹配等效坐标位置的方法也是不合适的，因为该方法不能确保等效特征被匹配。因此需要更精确的解析处理。这由之前提到的确定性匹配处理来提供，下文将予以详细描述。

确定性匹配

优选实施例中采用的确定性匹配处理的目的是识别剩下的四个签名中包含的与第一个提供的签名上部署的节点最相关的矢量。在本发明的语境中，与矢量关联的术语‘相’被用来表示基本平行的定向。两个矢量的标量积(也统称为‘矢量点积’)可用于该目的。

两个矢量的标量积正比于矢量之间的分开的角度的余弦。如果两个矢量的定向相同，分开的角度为零，而且标量积最大。如果两个矢量的定向岔开π/2，则标量积为零。标量积在两个矢量分开π时最小–例如在两个矢量在相反的方向上定向。与相同节点关联的两个矢量应该在定向上基本平行而且这两个矢量的点积相应地最大。

现在将参考其上已经定义了节点的第一个采样的签名曲线以及其上将要部署节点的第二个采样的签名曲线来描述优化处理的进一步的细节。

优化处理的目的是针对第一个提供的签名上定义的每个特征节点识别第二个签名曲线上的相对部分矢量。相对部分被选为与第一签名上定义的节点最相关的矢量。相关性可从矢量点积确定。该处理针对每个定义的节点进行重复，从而识别第二个签名曲线上的相对部分矢量。

优化函数M可被定义，其正比于两个矢量的标量积，而且其在代数学上可被定义为

$M={\&Sigma;}_{j=1}^{n}f(r_{j+1}*{\hat{r}}_{j+1})*g_{j+1}$ 式1.8

其中，

$r_{j+1}=\sqrt{{(x_{i_{j+1}}-x_{i_j})}^2+{(y_{i_{j+1}}-y_{i_j})}^2}$ 式1.9

${\hat{r}}_{j+1}=\sqrt{{({\hat{x}}_{i_{j+1}}-{\hat{x}}_{i_j})}^2+{({\hat{y}}_{i_{j+1}}-{\hat{y}}_{i_j})}^2}$ 式1.10

定义了分别处于第一个签名(式1.9)和第二个签名(式1.10)曲线上的线段长度或者相邻节点间的间隔。‘^’符号被用来指示采样数据点和/或第二个签名上定义的特征节点。线段长度是它们的关联的矢量定量的标量分量。函数g_j+1正比于两个矢量(第一个签名曲线上定义的以及第二个签名曲线上定义的)之间的分开的角度的余弦。前述两个矢量的标量分量的乘积是凸函数。

通过最大化匹配函数M并且求解每个j^th指数来识别第一个签名上定义的特征节点的矢量相对部分

最大 $M=max{\&Sigma;}_{j=1}^{n}f(r_{j+1}*{\hat{r}}_{j+1})*g_{j+1}$ 式1.11

求解上述等式识别了与第一签名上部署的节点最相关的第二个提供的签名上的相对部分矢量的指数。换言之，对于每个节点j，最大化匹配函数M识别了与j^th节点最相关的第二个签名曲线上包含的关联的矢量。由此，本发明的优化处理还可被称为指数匹配，其目的是识别指数l_j以使得j＝1，2，3，…。，m而且l_j+1＞l_j。

根据式1.11，用于匹配j^th特征节点的匹配函数M_j优选地具有形式

M_j＝F(θ_j)*G(d_j，d_j+1)*Q(r_j*d_j)式1.12a

由此，总体匹配由下式给出

式1.12b

其中F(θ_j)、G(d_j，d_j+1)和Q(r_j*d_j)是可微分函数。

匹配函数M可表示为所有节点上的级数

${\&Sigma;}_{j=0}^{m-1}F\left({\mathrm{\&theta;}}_j\right)*G(d_j,d_{j+1)})*Q(r_j,d_j)$ 式1.13

采用下述定义：

dX_nodef+1＝X_nodej+1-X_nodej

dY_nodej+1＝Y_nodej+1-Y_nodej

${\mathrm{dX}}_{curve{i}_{j+1}}=X_{curve{i}_{j+1}}-X_{curve{i}_j}$

${\mathrm{dY}}_{curve{i}_{j+1}}=T_{curve{i}_{j+1}}-Y_{curve{i}_j}$

$r_j=\sqrt{{\mathrm{dX}}_{nodej+1}^2+{\mathrm{dY}}_{nodej+1}^2}$

$d_j=\sqrt{{\mathrm{dX}}_{curve{i}_{j+1}}^2+{\mathrm{dY}}_{curve{i}_{j+1}}^2}$ 式1.14

θ可被定义为矢量dX_nodej+1、dY_nodej+1和之间形成的角度。

F(θ_j)、G(d_j，d_j+1)和Q(r_j*d_j)的最大值为0。F(θ_j)和G(d_j，d_j+1)是正的而且具有上正值，而且Q(r_j*d_j)是凸函数，由此Q(ax₁+(1-a)x₂，ay₁+(1-a)y₂)≥aQ(x₁，y₂)，其中0≤a≤1。虽然Q是单调增大函数，它的导数Q'单调减小至0。例如，为了更好地理解这个点，考虑凸函数Z(x)＝ln(1+x)，其导数Z’(x)＝1/(1+x)随着x增大而趋于0。因此，虽然Z(x)是单调增大函数，它的导数单调减小。类似地，凸函数Y(x)＝x^kfor0<k<1是单调增大函数的另一示例，其导数单调减小–例如Y’(x)＝kx^(k-1)＝k/(x^(1-k))。

式1.12a、1。12b和1。13中的凸函数Q(r_j*d_j)的目的是减小或者抑制边缘至边缘匹配的影响。如果函数Q的值在乘积r_j*d_j较大时较大，则匹配函数可能无意之间匹配与类似长的标量分量关联的矢量(例如与类似长的线段关联)，从而增大匹配函数M_j的值，即使匹配的矢量与签名曲线的不同几何特征关联-例如签名中的不同字母。为此，优选的是函数Q是凸状的。本领域技术人员将理解的是，凸函数关联着相对于例如线性函数更小的梯度，因此关联着凸函数的值变化更慢的速率。匹配处理中凸函数的使用具有这样的优势，即得到相对于其他形式的函数的未被标量矢量长度的乘积影响的更稳定的匹配结果。这降低了特征节点将匹配与接收的签名的完全不同的部分关联的采样数据点的可能性。…

G(d_j，d_j+1)提供了特征节点分布地有多好的测度，而且在d_j＝d_j+1时最大。此外，函数G(d_j，d_j+1)在匹配时精确地调整了都关联着落笔事件的特征节点和相关采样矢量之间的匹配函数值。F(θ_j)取决于dX_nodej+1、dY_nodej+1、和dX_nodej+1、dY_nodej+1之间形成的角度θ_j。换言之，θ_j是提供的签名上的矢量 $X_{curve{i}_{j+1}}-X_{curve{i}_j},Y_{curve{i}_{j+1}}-Y_{curve{i}_j}$ 和用户的行为学生物计量签名配置文件模板509中包含的特征节点X_nodej+1-X_nodej，Y_nodej+1-Y_nodej之间形成的角度。简而言之，特征节点，即行为学生物计量签名模板509中提供的节点j(node_j)与提供的签名中包含的采样数据点相匹配。

F(θ_j)可被选择成正的而且具有更低的边界0。

优选地，角度θ_j是相对新签名曲线上定义的基准线定义的，其用于在方差中保持旋转。

匹配函数的精确形式可根据签名曲线上存在的特定状态进行选择。例如，被选择成用于将与落笔事件相关的特征节点匹配至签名曲线上的也与落笔事件相关的矢量的匹配函数形式可不同于用于将与提笔事件相关的特征节点匹配至与提笔事件相关的矢量的匹配函数形式。优选的是，选择的匹配函数值由于可靠用户提供的不同的提供的签名复本之间的合理方差的原因而不应该过度变化，以保证一致的匹配结果。下面讨论满足该要求的匹配函数的具体形式。

可根据下述不同情况来修改式1.12a的匹配函数F(θ_j)*G(d_j，d_j+1)*Q(r_j*d_j)：

其中，节点j+1(nodej+1)关联着提笔事件，而且曲线采样上的矢量也关联着提笔事件，则式1.12a的匹配函数M_j可被选择成具有形式

M_j＝F₂(θ_j)*Q(r_j，d_j)式1.15

由于在当前场景中匹配的特征节点和采样矢量矢量都关联至提笔事件，所以可从匹配函数省略G(d_j，d_j+1)分量。换言之，由于后续提供的签名上的特征节点和采样矢量都关联至签名曲线的可见部分中的间隙。

在节点j+1(nodej+1)关联着提笔事件、而且曲线采样上的矢量关联着落笔事件的情况下，匹配函数M_j可被选择成具有形式

M_j＝F₃(θ_j)*Q(r_j，d_j)式1.16

其中F₃≠F₂，而且两个函数之间的差涉及函数的对数的导数，即 $\frac{d\log \left(F\left({\mathrm{\&theta;}}_j\right)\right)}{{\mathrm{d\&theta;}}_i}.$

该值针对F₃比F₂小。

在该情况下，特征节点关联着签名曲线的可见部分中的间隙，其中后续提供的签名上的矢量关联着签名的可见部分。由于特征节点关联着间隙(即提笔事件)，所以从式1.16中省略函数G(d_j，d_j+1)。

其中节点j+1(nodej+1)关联着落笔事件，而且曲线采样上的矢量关联着提笔事件，则匹配函数M_j可被选择成具有形式，

$M_j=\frac{F\left({\mathrm{\&theta;}}_j\right)*G\left(d_j,d_{j+1}\right)*Q\left(r_j,d_j\right)}{10}$ 式1.17

在该情况下，特征节点关联着签名曲线的可见部分，而随后提供的签名上的矢量关联着随后提供的签名的可见部分中的间隙。

在节点j+1关联着落笔事件、而且采样曲线上的矢量也关联着落笔事件的情况下，则可以使用具有式1.12a的形式的匹配函数。在该情况下，随后提供的签名上的特征节点和矢量都关联至它们各自的签名曲线的可见部分。

被选择以用于优化处理的匹配函数的形式取决于节点的特征而且取决于签名曲线上包含的矢量的特征。根据匹配的节点-矢量对的特征(尤其是根据节点-矢量对是否关联着提笔事件)而使用不同匹配函数。优选地，用于接收签名的装置503可被配置成根据节点-矢量特征来选择匹配函数的最适当形式。可替换地，认证装置507可被配置成选择匹配函数的最适当形式。

式1.9将与节点j关联的矢量标量分量定义为两个相邻节点j+1和j之间的线段r_j+1，而且因此取决于两个相邻节点之间的相对几何关系。矢量的几何定向将由该线段的相对定向确定。式1.11的匹配处理实际上识别了第二个签名曲线上的相应采样矢量，其相关线段具有与第一签名上定义的特征节点的关联线段的几何定向最相似的相对于相邻采样矢量的几何定向。由于第一签名上定义的特征节点的定向(而且因此关联线段)也取决于两个相邻特征节点之间的相对几何关系，式1.11的匹配处理实际上分析了并且试图保持相对局部几何关系。

为了改进本发明的方法的精确度，而且为了保持签名复本之间的全局几何关系，利用替换的节点部署密度重复优化处理。换言之，以不同密度在第一个签名上部署特征节点。为了区分该优化复本以及之前描述的复本，其被称为全局优化，而且之前的复本将被称为局部优化。

在全局优化期间，例如，第一签名上部署的节点的数量是局部优化期间部署的节点的数量的一半。优选地，部署的节点的数量m'是

m′＝m/2式1.18

其中m是局部优化期间部署的节点的数量。实际上，部署的节点的数量m'小于或等于采样的矢量的数量L的四分之一-例如该部署的结果就是，相邻节点之间的线段(回想式1.9和1。10)将大于局部优化期间找到的相邻节点之间的线段。按照与之前描述的方式类似的方式执行节点匹配(优化处理)。

重新部署节点以获得式1.18所示的要求的节点密度的替换方案是简单地选择第一个签名上部署的交替的节点，以及利用这些节点如上所述地重复优化处理。注意，在该示例中，线段将长于它们的具体优化相对部分。

该更低解析度的全局优化处理确立了是否在不同签名复本中保持了全局几何关系。分析采样的矢量之间的全局几何关系是有利的，因为全局关系倾向于显示出相同签名的不同复本之间的更大程度的方差，而局部几何关系更易于变化。为此，全局几何关系的分析可提供对提供的签名是否是伪造物的良好指示。

局部和全局优化都可由签名输入装置503或者由认证装置507在图18的步骤541在注册期间执行。在后续的验证处理期间，局部和全局几何分析可在图16的步骤521在相关性分析期间执行。

对注册期间提供的所有签名拷贝执行局部和全局优化处理。在已经提供了相同签名的四份不同拷贝的情况下，局部和全局优化匹配处理每个都执行三次。在优化匹配处理之后，每个节点可关联至定义了每个不同签名曲线上的节点的位置的一组坐标值。按照这样的方式，在图18的步骤543可针对每个节点的位置确定统计方差，而且在步骤545该统计方差与节点一起可被存储在用户的生物计量签名模板509中。类似地，与每个特征节点关联的局部和全局几何关系也可与关联的统计方差一起被存储。可选地，还可存储与每个节点关联的速度和加速度。这些行为学生物计量都被存储在用户的行为学生物计量签名模板509中，以用于后续验证处理。则注册处理基本上结束。

在后续验证处理期间(参见图16)，在步骤519，用户的行为学生物计量签名模板509中预存储的节点被布置在提供的签名上。利用局部和全局优化节点密度两者来确定新提供的签名上的节点的相应位置。在步骤521确定相对于预存储的节点的统计方差，而且在步骤523，当相应节点位置处于与用户的生物计量签名模板509中预定义的每个节点关联的可接受的统计方差之外时，则在步骤527返回验证失败结果。类似地，在步骤523，如果反之相对于预存储的节点的确定的统计方差被确定为落入用户的行为学生物计量签名配置文件中定义的允许方差阈值内，则在步骤525返回成功的验证结果。

时域分析

为了改进验证期间的精确性，在优选实施例中，采样的签名曲线的时域分析被执行。这包括分析部署的节点之间的时间间隔以确定观察到的间隔是否与用户的行为学生物计量签名模板509一致。由于真实用户将在他们一生中写出他们的签名的成千上万的复本，执行签名所要求的肌肉运动变得自动。由此，预期的是，不同签名复本之间的时域间隔将基本一致。该分析还可通过与每个特征节点关联的分析速度和加速度矢量来执行。由此，在下面的讨论中，参考的时域分析还包括对速度和加速度的分析。

在签名验证期间，可在步骤521在相关性分析期间执行时域分析。这可包括计算接收的签名上部署的匹配的节点之间的时间间隔和/或速度和/或加速度矢量，而且将该时间间隔与包含在用户的行为学生物计量签名配置文件模板509中的特征节点之间存在的时间间隔和/或速度和/或加速度矢量进行比较。如果计算的时间间隔处于允许的阈值之外，则在步骤527返回验证失败结果，意味着不诚实的用户。类似地，在计算的速度和/或加速度值处于允许的阈值之外的情况下，可返回验证失败结果，终止验证处理。

可以在注册处理期间导出前面讨论的时域数据，因为每个采样数据点关联着包含时间坐标值的矢量。

时域分析有助于识别有意图的签名伪造，因为它涉及一类取决于用户的运动(即创作用户的签名时执行的肌肉运动)的行为学生物计量。

虽然专业伪造者可能能够图形地再现经授权的用户的签名的足够等同的拷贝，对于专业伪造者而言更难的是充分地再现创造伪造的签名时的经授权的用户的肌肉运动。按照这样的方式，接收的签名的时域分析改进了本发明的系统，而且有助于识别伪造品。

几何分析

几何分析可以在注册处理和验证处理期间执行，而且可包括多个不同分析。这些分析还改进了签名验证方法和系统的稳健性。

在优选实施例中，可执行几何复杂度分析，其目的是确定提供的签名是否几何上足够复杂以能够从中导出足够的行为学生物计量信息，以便后续用于可靠的验证处理。通常，从提供的签名导出的行为学生物计量信息越多，则系统将越安全。例如，可以从基本上是直的的线中导出相对很少的行为学生物计量信息。总体上，提供的签名越是几何复杂，则可以从中导出的行为学生物计量信息更多。而且，假的正验证结果导致伪造的签名的可能性随着增多的行为学生物计量信息而降低，这是因为存在更多的可用来确定提供的签名的真实性的变量。

为了确保本发明的系统501的精确性，而且根据具体应用，在注册期间可以要求提供的签名的最小几何复杂度等级。例如，如果本发明的验证系统被用来控制对藏有高价值文件的保险箱的访问，可要求高几何复杂度等级。在该情况下，可能要求用户提供他们的完整签名，包括名、中间名和姓。总体上，完整签名很可能关联着更复杂的签名曲线，从中可导出比例如仅仅包括用户的首字母的签名更复杂的行为学生物计量。

对于低价值应用，几何复杂度要求可降低，而且在注册和后续验证期间简单地提供用户首字母可能就足够了。

可通过分析与采样的矢量和/或特征节点关联的一阶和/或二阶导数来执行几何复杂度分析。这等同于分析沿签名曲线的曲率变化。几何上简单的曲线将呈现很少的曲率变化，而复杂的签名曲线将呈现大量的曲率变化。

几何复杂度分析可在验证和注册期间执行。在注册期间，复杂度分析可在图18的步骤537在采样阶段执行或者在图18的步骤543在相关性分析阶段执行。在验证期间，几何复杂度分析可在图16的步骤515在采样阶段执行或者在图16的步骤521在相关性分析阶段执行。在采样期间进行几何复杂度分析的优势在于，注册和/或验证处理(根据具体情况而定)在提供的签名不够复杂的情况下立即终止，而且新签名输入周期可被初始化。在该情况下，将通过显示装置505指示用户重新输入更复杂的签名复本。例如，用户可被指示成输入他们的包括名和姓的完整签名，可选地包括中间名和/或首字母。

统计和确定偏差可还被分析。这可包括分析一个部署的节点与沿签名曲线部署的多个依次布置的相邻节点之间的几何关系。例如，多于每个部署的节点，其可包括分析相对与相对于沿签名曲线依次部署的随后的五个节点的几何关系。分析几何关系所针对的相继的相邻节点的数量是无关紧要的。实际上，应该理解的是，安全度水平可随着针对每个节点的分析中包含的依次布置的相邻节点的数量的增大而提高。在优选实施例中，六个连续节点被用于短签名分析，八个连续序列节点被用于长签名分析。在此场景中，短签名可被定义为包括最多四个具有其中签名曲线的分析变化π(例如180°)或更多的几何复杂度的字母的签名。例如，字母‘C’是其中签名曲线变化π的字母的示例。相反，长签名可被定义为包括多于四个包括变化π或更多的签名曲线的字母的签名。由此，在本发明的语境中，签名长度不与签名中包含的不同字母的数量关联，而是关联着签名中包含的几何复杂的字母的数量。

在注册期间，几何关系在图18的步骤543在相关性分析期间被计算，而且在步骤545被存储在用户的行为学生物计量模板509中。

图20提供了在注册期间可以如何计算几何关系信息的示意示例。签名曲线74的一部分被图示为包括沿其依次布置的五个连续节点576a、576b、576c、576d、576e。从第一节点576a开始，确定相对于相邻节点576b、576c、576d和576e中的每一个的几何关系。几何关系可由连接两个相关节点的矢量来定义。例如，矢量78a定义了节点576a和576b之间的几何关系。类似地，矢量78b定义了节点576a和576c之间的几何关系；矢量78c定义了节点576a和576d之间的几何关系；矢量78d定义了节点576a和576e之间的几何关系。在所示示例中，虽然图示的五个节点576a、576b、576c、576d、576e之间定义了仅仅四个几何关系，但是优选地，在六个依次布置的节点之间定义五个几何关系。

针对注册期间提供的签名复本的中的每一个重复处理。例如，如果在注册期间提供了签名的五个复本，针对每个签名复本重复上述处理。按照这样的方式，可针对每个几何关系确定平均的统计方差值，而且将其用来定义存储在用户的行为学生物计量模板509中的阈值容许水平。

优选地，针对局部优化和全局优化节点密度都重复该几何分析。当针对以式1.7提供的密度(局部优化)部署的节点执行几何分析时，几何分析实际上分析局部几何关系。当针对以式1.18提供的密度(全局优化)部署的节点执行几何分析时，几何分析实际上分析全局几何关系。

在后续的验证处理期间，上述几何分析重复以识别相应几何关系。此后，对几何分析的引述包括采用分别与局部优化和全局优化关联的节点密度来分析局部和全局几何关系。

验证期间识别的几何关系随后与用户的行为学生物计量模板509中存储的预定阈值容许水平进行比较。如果计算的几何关系处于阈值容许水平之外，则在图16的步骤527可能出现一致性误差而且返回验证失败结果。

在验证期间，优选地针对每个特征节点执行上述处理，以使得每个特征节点与其相邻节点之间的相对几何关系被定义。按照这样的方式，在后续的验证处理期间，任意一个或多个随机选择的部署特征节点可被用于执行几何分析。这就降低了必要的计算复杂度和/或能力，因为仅仅分析了部署特征节点的随机选择的子集的相对几何关系。可还对每个部署特征节点执行几何分析，如果处理能力允许。

类似地，在验证期间，一个或多个随机选择的部署特征节点以及三个相邻的依次布置的节点的几何分析可被分析。任意数量的依次布置的节点可用于几何分析。

例如，可以选择形式为曲线的一系列的八个部署节点，如下所示：

例如曲线ij、曲线ij+1、曲线ij+2、曲线ij+3、曲线ij+4、曲线ij+5、曲线ij+6、曲线ij+7

$\left({\mathrm{curve}}_{i_j},{\mathrm{curve}}_{i_{j+1}},{\mathrm{curve}}_{i_{j+2}},{\mathrm{curve}}_{i_{j+3}},{\mathrm{curve}}_{i_{j+4}},{\mathrm{curve}}_{i_{j+5}},{\mathrm{curve}}_{i_{j+6}},{\mathrm{curve}}_{i_{j+7}}\right).$

需要注意的是，术语部署节点在该示例中指的是后续提供的签名上包含的已经与包含在用户的行为学生物计量签名模板509中的特征节点相匹配的采样的矢量。

可替换地，与多于八个依次布置的部署节点关联的几何关系可被分析。就当前目的而言，几何分析中包含多少个依次布置的部署节点是不重要的，而且包括替换数量的依次布置的节点的实施例可被设想出来而且也落入本发明的范围内。

在具体实施例中，几何分析可包括计算几何关系的移动平均数以及监控该平均数如何针对依次布置的节点的每个连续组改变。例如，在选择六个依次布置的节点的情况下，长度矢量可被选择成在第一个选择的节点与五个依次布置的节点中的每一个之间定义，如图20所示。该长度矢量的统计平均值可被确定，而且与针对六个依次布置的节点的后续布置的组计算出的统计平均长度矢量进行比较。该处理针对签名曲线上包含的每个节点进行重复，以使得统计平均长度矢量值可与每个节点关联。确定的长度矢量的移动平均数可被存储在用户的行为学生物计量签名模板509中以在验证期间使用。

在后续验证处理中，针对提供用于验证的签名执行类似分析。确定的长度矢量的移动平均数可随后与用户的行为学生物计量签名模板509中存储的用于一致性的移动平均数数据进行比较。如果在移动平均数中观察到大于预定阈值的显著的方差，则在图16的步骤527可返回验证失败结果。该统计的平均长度矢量正比于相邻矢量之间的几何关系，因此如果在验证期间观察到用户的行为签名模板509和提供用于验证的签名中包含的移动平均值之间的更大的差异，这很可能表示提供的签名是伪造的。

在不同实施例中，不同数量的依次布置的节点可被用来分析几何关系的移动平均数。然而，移动平均数的信息内容将正比于移动平均数中包含的不同依次布置的节点的数量。总体上，更少的几何信息可从更少数量的依次布置的节点中导出。例如，如果仅仅使用两个依次布置的节点，则仅仅一个几何关系数据可被导出–两个邻接布置的节点之间的长度间隔。这一选择提供了任何出现的几何关系的有限概览。为此，优选地六个至八个依次布置的节点被用于几何分析目的。节点数量的这种选择提供了对局部和/或全局几何关系的充分考虑，而不存在太大强度的处理。

该方法可调整适应系统的处理能力。例如，按照这样的方式，可以在具有相当有限的处理能力的硬件上执行方法，例如智能手机。

在处理能力很充足的情况下，可针对更多节点计算移动平均数，例如针对依次布置的多过八个节点。

几何分析可还可与前面描述的时域分析相结合，在该情况下，选择的节点之间的时间间隔被分析并且与用户的行为学生物计量模板509中包含的数据进行比较。如前面所述，这可包括分析时间和关联的加速度矢量。

未被发现的曲线误差

在优选实施例中，还可以在验证期间执行未被发现的曲线误差分析。这包括确定提供用于验证的签名上部署的两个相邻部署的节点之间存在几何信息量。如果确定的几何信息大于阈值，误差被标识。这意味着提供的签名包括用户的行为学生物计量签名模板509中不存在的曲线部分，而且可表示伪造的签名，在该情况下在图16的步骤527返回验证失败结果。

可根据与部署的节点之间的采样的矢量关联的一阶和/或二阶导数的分析来确定几何信息。例如，考虑邻接部署的节点如果这两个部署的节点之间存在的几何信息大于阈值，则出现误差。误差在直线线段 被映射至而且点和之间出现的几何信息的量大于预定阈值时出现。在本发明的语境中，这意味着前述点之间的一阶和二阶导数的分析大于预定阈值。这可能在前述数据点之间出现在用户的行为学生物计量签名模板509中没有出现的弯曲曲线的情况下出现。

尖端误差/弧偏差

在优选实施例中，执行弧偏差分析，其包括比较连接提供的签名上部署的连续节点的签名曲线的长度以及连接注册期间提供的一个或多个签名上的连续节点的签名曲线的长度。该比值可被表示为

${\mathrm{Min}}_j\left(\frac{q_j}{Arc\left({\mathrm{curve}}_{i_j},{\mathrm{curve}}_{1+i_j},{\mathrm{curve}}_{2+i_j},\mathrm{...},{\mathrm{curve}}_{i_{j+1}}\right)}\right)$ 式1.19

其中存在系数关系

${\mathrm{dX}}_{curve{i}_{j+1}}=C_{curve{i}_{j+1}}-X_{curve{i}_j}$

${\mathrm{dY}}_{curve{i}_{j+1}}=Y_{curve{i}_{{}_{j+1}}}-Y_{curve{i}_j}$

$d_j=\sqrt{{\mathrm{dX}}_{curve{i}_{j+1}}^2+{\mathrm{dY}}_{curve{i}_{j+1}}^2}$

如果该比值小于预定阈值，则误差在验证期间出现。弧偏差分析有助于识别提供的签名中的可能表示伪造的签名的统计变化。

在具体实施例中，在图18所示的注册处理期间，显示出与其它四个提供的签名的最大方差的提供的签名被抛弃而且不被用来导出用于占据用户的生物计量签名模板509的用户生物计量信息。

可定制安全策略

方法和系统还可被用来实现动态的可定制的安全策略，其中用户的行为学生物计量签名配置文件模板509中包含的所采用的阈值，可根据用户的之前的交易的历史风险评估而做出变化。这可通过监控并保持与用户的行为学生物计量签名配置文件模板509关联的历史交易的记录来实现。下文将对此作出进一步的解释。

风险评估可包括监控并计算任意一个或多个下述特征：

用户一致性

该特征的目的是确定用户再现他们的签名时的一致性如何。这可通过比较之前提供的签名的选择并且分析每个之前提供的签名上部署的特征节点值的统计方差来实现。按照这样的方式，平均统计方差可被确定，而且根据它随后可以定义一致性评级。如果观察到的平均统计方差非常小，则用户在再现他们的签名时显示出高程度的一致性，而且一致性评级将对此作出反映。类似地，如果观察到的平均统计方差较高，则用户在再现他们的签名时显示出相对低程度的一致性，而且一致性评级将对此作出反映。

在验证处理期间用来确定提供的签名是否可信的行为学生物计量阈值，可针对显示高程度的一致性的用户而减小，这是因为根据历史分析预期的是该用户将能够以高水平的精确度一致地再现他们的签名。

类似地，在验证处理期间用来确定提供的签名是否可信的行为学生物计量阈值，可针对显示低程度的一致性的用户而增大，这是因为根据历史分析预期的是该用户将不能够以高水平的精确度一致地再现他们的签名。实际上，预期的是，提供的签名将显示高程度的不一致性，这可由之前提供的签名之间的相对大的平均统计方差反映出来。

可通过分析多个之前提供的签名来确定平均统计方差。例如，历史分析可包括分析在之前的一个时间段内提供的所有签名。例如，在一年的期间内。还可以设想替换的时间段，例如一周或者两周、或者一年或几年。

可替换地，历史分析可比较固定数量的之前提供的签名。例如，五个之前提供的签名可被分析。可根据具体应用的需求来选择之前提供的签名的具体数量。

按照这样的方式，一致性评级可被用来为用户根据他们能够多么一致地再现他们的签名而调整和/或定制具体行为学生物计量阈值。该方案的一个优势在于，错误拒绝率被降低。而且，由于用户的签名会在较长的时间段内发生变化，例如一年，所以用户的行为学生物计量签名配置文件模板509中定义的行为学生物计量阈值保持与用户的签名一致。具体地，采用静态行为学生物计量阈值的行为学生物计量签名配置文件模板面临随时间被淘汰的风险，尤其是如果用户的签名在那个时间段发生变化。

签名复杂度

可通过查看针对每个节点定义的速度和相关加速度矢量来分析签名的复杂度。具体地，复杂度等级可被定义为

式1.20

R₁是速度是如何沿提供的签名变化的估量，而且它有效地提供了关于签名曲线的方向改变的信息。

R₁被定义为 ${\&Integral;}_{t=0}^T\left(\left|\right|\frac{d}{dt}\left(\stackrel{\&CenterDot;}{V}-\frac{\stackrel{\&CenterDot;}{V}\&CenterDot;V}{V\&CenterDot;V}V\right)\left|\right|+\left|\right|\frac{d}{dt}\left(\frac{\stackrel{\&CenterDot;}{V}\&CenterDot;V}{V\&CenterDot;V}V\right)\left|\right|\right)dt;$ 其中V是速度矢量；而且V是加速度矢量。

签名复杂度可被用来确定签名是否足够复杂。在此背景下，复杂度涉及几何复杂度。例如，直线缺乏复杂度，而具有许多不同的梯度变化的曲线更可能是几何复杂的。由此，几何复杂度正比于斜率(即梯度)，因此正比于速度和加速度。

在用于提供的签名的计算的签名复杂度值小于预定复杂度阈值的情况下，则提供的签名可被确定为缺乏必要的复杂度，而且签名验证可被拒绝。可替换地，根据实施本发明的方法的环境，可提供降低水平的或者受限水平的访问。例如，当本发明的签名验证方法被你用来控制对银行账户的远程访问时，降低水平的访问可包括允许用户查看他们的银行对账单，但是不允许转移资金，除非成功通过进一步的安全程序。总体上，缺乏复杂度的签名可能比几何复制的签名更容易伪造，而且基于此，实施本发明的方法的实体可作出策略决定以确定可能需要什么样的进一步的安全措施来验证缺乏必要的复杂度的签名的用户的身份。

在具体实施例中，当提供缺乏必要水平的复杂度的签名时，用户可能被要求重新输入更复杂版本的他们的签名。例如，在用户已经提供了仅仅包括用户的名字的首字母的签名的情况下，提供的签名可能缺乏必要水平的复杂度。如果这一发现随后被复杂度分析所确认，则用户可能被要求提供包括完整名字的签名以用于验证。

用户经验

该分析可包括接收与特定用户的行为学生物计量签名配置文件509关联的历史日志记录以确定用户有多经常地提供他们的签名用于验证。用户越是经常地使用本发明的方法，用户的行为学生物计量配置文件越有可能精确，尤其是如果行为学生物计量阈值是采用历史用户数据进行更新的。因此，经验可表示行为学生物计量阈值对于验证用户的身份的目的有多可靠。该观察可具有对实施本发明的方法的实体提供给特定用户的服务的水平的支持。例如，相对于与低经验等级关联的用户，根据经验证的签名，与高经验等级关联的用户可被提供有对更多不同服务的访问。

回到银行的示例，其中本发明的签名验证方法被用来访问用户的银行账户，可向与高经验等级关联的用户提供对资金转移服务的访问，而可向与低经验等级关联的用户提供对账户财务报表的访问。

安全警报日志记录

在优选实施例中，可针对每个用户来保存日志记录，该日志记录保存了所有之前发生的安全警报的记录。例如，针对所有之前提供的签名发生的所有失败的验证结果的记录。根据该日志记录，行为学生物计量阈值可被修改以改进安全性。例如，如果特定用户的账户在预定时间段内已经出现了大量失败的签名验证结果，则行为学生物计量阈值可减小以降低不诚实的用户产生错误的正签名验证结果的可能性。换言之，已经出现了大量失败的验证结果的用户账户可被标记为高风险用户账户而且行为学生物计量阈值相应修改以降低不诚实的用户欺骗本发明的系统的可能性。

类似地，日志记录可还包括所有成功通过验证结果的记录，在该情况下这可被用作表示用户的行为学生物计量签名配置文件模板509中包含的行为学生物计量容许阈值值有多精确的指示符。例如，如果用户的日志记录表明大量成功的签名验证事件已经发生，则这可能表明用户的行为学生物计量签名模板509中包含行为学生物计量信息(包括容许阈值)精确地表示了用户。按照这样的方式，安全评级可与具体的用户的行为学生物计量签名配置文件关联。服务提供商，例如金融实体，可随后根据相关安全评级来调整用户可用的服务。例如，金融实体可允许其行为学生物计量签名模板509与高安全评级关联的用户进行高价值的交易，而不要求任何其它形式的身份验证。相反，其行为学生物计量签名模板509与低安全评级关联的用户可被限制为仅仅低价值交易。

根据本发明的这一实施例，近期登记的用户的行为学生物计量签名模板509很可能与低安全评级关联，这将随着成功验证的次数的增多而增大。

该实施例可很适合于动态行为学生物计量容许阈值，根据之前的预定时间段(例如，前一年)内提供的签名所显示的观测到的统计方差的历史分析而及时地对它们进行精确调整。

其它实施例

在具体实施例中，用于接收签名的装置503可涉及注入包括触摸屏的计算机、配有触摸屏的智能手机或者包括触摸屏的任意其它电子装置之类的电子处理装置。在该实施例中，显示装置505和签名输入装置503的功能可由相同物理设备提供。类似地，电子装置，例如计算机或配有触摸屏的智能手机，也可在签名验证期间使用。换言之，可使用用户的现有电子设备来验证用户的生物计量签名。

可替换地，用于接收签名的装置503可涉及诸如运动图形捕获装置之类的图像捕获装置(例如相机)，其被配置成捕获一系列图像。在该实施例中，签名可由用户手势提供，该手势由图像捕获装置捕获。例如，用户可经由图像捕获装置捕获的手势追踪他们的签名。捕获的图形帧序列随后被分析以确定用户的签名。剩余的签名分析基本上就像在前面的说明中描述的那样。然而，在该实施例中，可以设想图像捕获装置将被布置成捕获三维空间坐标值。因此，还可捕获用户的手和/或手指在与图像捕获装置的捕获平面垂直的平面内的距离的任意相对变化。简而言之，图像捕获装置优选地被布置成追踪相对于图像捕获装置的沿三个正交的轴中的每一个轴的相对坐标位置：x(例如水平轴)、y(例如垂直轴)和z(例如深度轴)。这有助于识别签名中的提笔(pen_up)事件(例如签名曲线中的间隙)。在经由手势追踪他们的签名时，用户很可能在与图形捕获平面基本平行的平面内模仿他们使用传统的笔和纸进行正常再现以签署他们的签名时的手的移动。每个签名间隙，例如字母‘i’554的主干与它的点554a之间的间隙(参见图19)关联着定向成与图形捕获平面基本正交的平面中的手的相对位移，这与从纸张提起笔相关的手的手势关系密切。按照这样的方式，可以捕获与签名关联的手/手指手势、以及容易识别的签名曲线中的间隙。

本发明可被用作安全手段来控制诸如手枪之类的武器的未经授权的使用。例如，手枪可包括配置用于接收经授权的用户的签名的签名输入装置。手枪可配置有安全的本地存储器单元，其包含经授权的用户的行为学生物计量模板。为了操作手枪，要求经授权的签名的输入。为了实现它，手枪可配置有电子和/或机械电路来防止手枪的操作，直到已经在签名输入装置中提供了有效签名。可使用前述方法来验证提供的签名的有效性。可在销售点执行注册处理。

本发明还可被用来控制对车辆的访问。替换传统的钥匙和锁或者除了传统的钥匙和锁之外，车辆可包括适合于接收签名的装置以及配置用于验证提供的签名的真实性的认证装置。

本发明可被用来控制对安全资源和/或实体的访问。例如，对包含珍贵物品的保险箱或对安全设施的访问。

虽然已经在确定包括表示人名的字母的程式化脚本的提供的签名的真实性的情况下描述了本发明的前述示例，此处描述的系统和方法可被用来还验证其它用户产生的符号和/或图案。举例来说，这可包括验证其中用户追踪触摸板和/或触摸屏上的图案的方式。当在触摸板上追踪图案时，图案在其正在产生时可以是不可见的(例如人可使用触摸板，其中没有单独的显示器来显示正在产生的图案)。可替换地，可以使用触摸敏感屏幕，由此该图案在其正在产生时可被显示在屏幕上。用户产生的图案可随后以与之前的说明基本相同的方式被验证，尽管在该情况下用户的行为学生物计量签名模板509可替换地指的是用户的行为学生物计量图案模板。由此，应该理解的是，在本发明的情况下，签名可涉及任意用户产生的记号。

本发明可被用来经由中间支付机构授权在线交易，例如PayPal^TM。例如，希望启动与诸如网上零售商(例如Amazon。com^TM)之类的电子商务实体进行交易的用户，可指派利用PayPal^TM执行交易。在交易确认阶段，可要求用户提供他们的签名以便完成交易，该提供的签名可采用本发明的方法和/或系统来进行验证。

应该理解的是，仅仅通过示例的方式而不是限制的方式提供此处描述的实施例。还应该理解的是，所述实施例可单独使用或者组合使用。

应该注意，虽然上文在图1a、2a、2b和2c所示的架构布置的情况下呈现了本发明，但是技术人员可以构想出落入权利要求的范围内的替换布置。例如，移动计算装置可执行图2a、2b和2c中的服务器的功能。而且，虽然这种移动计算装置可使用集成触摸屏装置来接收/捕获用户的签名手势，但是可以使用其它输入机构。例如，移动计算装置可与能够在用户做出他们的签名手势时追踪其笔尖的“智能笔”通信。可替换地，移动计算装置可与具有输入机构(例如触摸屏)的诸如智能手表之类的其它“智能”装置通信。移动计算装置和智能装置之间的通信可经由无线连接进行，例如WiFi、近场通信、蓝牙或任意其它适当无线通信系统。

Claims (121)

1.一种将内容数据编码成数字图像的方法，包括：

确定数字图像内的像素的比特值，所述像素包括多个分量；

根据将被编码的内容数据来修改像素内的比特值以便将内容数据编码成数字图像；

其中确定数字图像内的像素的比特值包括确定像素的每个分量的比特值的二进制表示，而且其中修改比特值包括确定像素内的将被编码的内容数据的每个字节的二进制表示以及利用可逆二进制运算对内容数据进行编码，其中内容数据的每个字节在像素的分量间划分。

2.根据权利要求1所述的方法，其中数字图像包括红绿蓝(RGB)图像由此图像中的每个像素被表示为颜色分量的RGB三重态，而且其中确定步骤包括确定像素内的RGB三重态的每个颜色分量的比特值，而且其中修改步骤包括经由可逆二进制运算修改像素的三重态内的每个颜色分量的至少一部分。

3.根据任意一项前述权利要求所述的方法，包括针对像素的每个分量定义最高有效位和最低有效位，其中最高有效位和最低有效位之间的关系是固定的。

4.根据权利要求3或4所述的方法，其中RGB图像基于其中三重态内的颜色分量具有0至255的整数值的颜色系统。

5.根据权利要求3至5中任意一项所述的方法，其中每个颜色分量包括n比特。

6.根据权利要求6所述的方法，其中修改颜色分量包括修改颜色分量的m比特，其中m<n。

7.根据权利要求1所述的方法，其中数字图像包括灰度图像由此黑色像素由被设置成值0的所有比特值表示而且白色像素由被设置成值1的所有比特值表示。

8.根据任意一项前述权利要求所述的方法，还包括确定其中所有像素具有相同比特值的数字图像区域，由此数字图像内将被编码的数据被限制在数字图像的该确定区域内。

9.根据权利要求8所述的方法，其中该确定区域内的每个像素都被修改。

10.根据权利要求9所述的方法，其中该确定区域内的每个像素与预定比特值关联，而且确定数字图像内的像素的比特值的步骤包括查找预定比特值。

11.根据权利要求10所述的方法，其中唯一预定比特值与用户关联。

12.根据任意一项前述权利要求所述的方法，其中可逆二进制运算是XOR运算。

13.一种用于将内容数据编码成数字图像的计算装置，包括处理器，所述处理器被配置成：(i)确定数字图像内的像素的比特值，所述像素包括多个分量，以及(ii)根据将被编码的内容数据来修改像素内的比特值以便将内容数据编码成数字图像；

其中处理器被配置成(a)确定像素的每个分量的比特值的二进制表示以便确定数字图像内的像素的比特值，以及(b)通过确定像素内的将被编码的内容数据的每个字节的二进制表示来修改比特值，处理器被配置成利用可逆二进制运算对内容数据进行编码，其中内容数据的每个字节在像素的分量间划分。

14.一种服务器装置，包括根据权利要求13所述的计算装置。

15.根据权利要求14所述的服务器装置，进一步包括配置成接收内容数据的输入装置。

16.根据权利要求14或15所述的服务器装置，进一步包括输出装置，其被配置成输出利用内容数据编码的数字图像。

17.一种移动计算装置，包括根据权利要求13所述的计算装置。

18.根据权利要求17所述的移动计算装置，进一步包括配置成接收内容数据的输入装置。

19.一种对来自数字图像的内容数据进行编码的方法，所述数字图像包括已经根据权利要求1至12中任意一项所述的方法编码的内容数据，所述方法包括：

确定包括编码的内容数据的像素的每个分量内的比特值；

确定用来对像素的每个分量内的内容数据进行编码的比特的初始比特值；

利用编码的比特值和初始比特值来执行可逆二进制运算。

20.根据权利要求19所述的方法，其中，对于像素的每个分量，每个分量的最高有效位和最低有效位包括预定关系，而且其中，确定初始比特值的步骤包括根据数字图像内存在的最高有效位的比特值来查找针对最低有效位的初始比特值。

21.一种对电子文档的签名字段内的用户数据进行编码的方法，包括：

接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；

产生用于并入电子文档的签名字段的数字图像；

对数字图像的像素内的用户数据进行编码；

将数字图像插入电子文档的签名字段。

22.根据权利要求21所述的方法，其中用户输入的签名手势是经由输入装置输入计算装置的签名手势。

23.根据权利要求22所述的方法，其中签名手势在其被输入计算装置时被采样以产生用户数据。

24.根据权利要求21至23中任意一项所述的方法，其中每个采样点包括位置数据和时域数据。

25.根据权利要求24所述的方法，其中签名手势是经由触摸界面输入的，而且用户数据包括触摸位置数据。

26.根据权利要求25所述的方法，其中用户数据还包括抬起数据，表示签名捕获期间用户未接触触摸界面。

27.根据权利要求24所述的方法，其中签名手势是经由运动感测装置输入的。

28.根据权利要求27所述的方法，其中用户数据包括三维位置数据。

29.根据权利要求21至28中任意一项所述的方法，其中图像文件包括是背景部分。

30.根据权利要求29所述的方法，其中背景部分包括与用户关联的唯一颜色。

31.根据权利要求30所述的方法，其中唯一颜色被存储在用户配置文件中。

32.根据权利要求30或31所述的方法，其中用户数据被编码成形成签名字段的背景部分的像素。

33.根据权利要求21至29中任意一项所述的方法，其中利用根据权利要求1至12中任意一项所述的方法在签名字段的像素内编码用户数据。

34.根据权利要求29所述的方法，进一步包括从捕获的用户数据产生输入的签名手势的表示，其中捕获的签名手势的表示包括用户输入的签名手势的痕迹线再现。

35.根据权利要求34所述的方法，其中用户数据被编码成形成签名的痕迹线再现的像素。

36.根据权利要求35所述的方法，其中利用根据权利要求1至11中任意一项所述的方法在签名的痕迹线再现的像素内编码用户数据。

37.根据权利要求34至36中任意一项所述的方法，其中痕迹线再现包括与用户关联的唯一颜色。

38.一种用于对电子文档的签名字段内的用户数据进行编码的计算装置，包括：

输入装置，用于接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；

图像发生器，用于产生用于并入电子文档的签名字段的数字图像；

编码器，用于对数字图像的像素内的用户数据进行编码；

插入模块，用于将数字图像插入电子文档的签名字段。

39.一种用于对电子文档的签名字段内的用户数据进行编码的服务器装置，包括：

输入装置，用于接收随着用户输入签名手势而捕获的用户数据，所述用户数据包括多个采样点；

图像发生器，用于产生用于并入电子文档的签名字段的数字图像；

编码器，用于对数字图像的像素内的用户数据进行编码；

输出装置，用于输出其中具有经编码的用户数据的数字图像。

40.根据权利要求39所述的服务器装置，其中输出装置被配置成将利用用户数据编码的数字图像发送至另一计算装置以插入电子文档的签名字段。

41.根据权利要求39所述的服务器装置，进一步包括插入模块，用于将数字图像插入电子文档的签名字段。

42.一种对数字图像内的用户数据进行编码的方法，包括：

接收随着用户执行验证动作而捕获的用户数据，所述用户数据包括多个采样点；

对数字图像的像素内的用户数据进行编码。

43.根据权利要求42所述的方法，进一步包括输出利用用户数据编码的数字图像以用作验证戳。

44.根据权利要求42或43所述的方法，其中图像中的至少一些包括在用户验证动作期间捕获的编码的用户数据。

45.根据权利要求44所述的方法，其中根据权利要求1至12中任意一项所述的方法对用户数据进行编码。

46.一种用于对数字图像内的用户数据进行编码的计算装置，包括：

输入装置，用于接收随着用户执行验证动作而捕获的用户数据，所述用户数据包括多个采样点；

编码器，用于对数字图像的像素内的用户数据进行编码。

47.一种服务器，包括根据权利要求44所述的计算装置。

48.一种电子文档，包括签名字段，其中签名字段包括根据权利要求19至35中任意一项所述的方法编码的用户数据。

49.根据权利要求48所述的电子文档，其中文档已经被利用数字证书进行数字签名以防止改动。

50.一种根据在数字图像的像素内编码的用户数据来验证用户的身份的方法，所述方法包括：

从数字图像内的像素解码出用户数据，所述用户数据表示在用户将签名手势输入至计算装置时捕获的数据；

将用户数据与参考签名手势进行比较以确定用户的身份。

51.根据权利要求50所述的方法，其中在数字图像的像素内编码的用户数据包括随着用户在计算装置上输入签名手势而捕获的一系列位置及时间坐标数据点。

52.一种根据在数字图像的像素内编码的用户数据来验证用户的身份的计算装置，包括：

解码器，其被配置成从数字图像内的像素解码出用户数据，所述用户数据表示在用户将签名手势输入至计算装置时捕获的数据；

处理器，其被配置成将用户数据与参考签名手势进行比较以确定用户的身份。

53.一种用于将手写签名与用户进行关联的设备，所述设备包括：

存储器，其被配置成存储用户配置文件；以及

与存储器通信的处理器，处理器被配置成：

接收用户签名数据和用户配置文件信息，用户签名数据已经在第一图像的多个像素颜色值内编码；以及

其中处理器被配置成将接收的用户签名数据与存储在存储器中的用户配置文件信息进行关联。

54.根据权利要求53所述的设备，其中用户签名数据包括从手写签名导出的矢量数据。

55.根据权利要求53所述的设备，其中用户签名数据至少包括x-坐标值、y-坐标值和时间值。

56.根据权利要求53所述的设备，其中用户签名数据包括多个矢量数据点，而且每个矢量数据点是利用与所述多个像素颜色值中选出的像素颜色值的异或函数进行编码的。

57.根据权利要求53所述的设备，其中用户签名数据包括第二图像，第二图像是利用第一图像的所述多个像素颜色值对用户签名数据进行编码而获取的，其中第二图像的多个像素对应于编码的用户签名数据。

58.根据权利要求57所述的设备，其中处理器被进一步配置成根据第一图像的所述多个像素颜色值来对与编码的用户签名数据相对应的第二图像的所述多个像素进行编码。

59.一种用于鉴定手写签名的设备，所述设备包括：

存储器，其被配置成存储第一组用户签名数据；以及

与存储器通信的处理器，处理器被配置成：

接收第二组用户签名数据，第二组用户签名数据对应于手写签名；

接收鉴定手写签名的请求；

将第一组用户签名数据与第二组用户签名数据进行比较；以及

根据第一组用户签名数据与第二组用户签名数据的比较结果来提供鉴定消息。

60.根据权利要求59所述的设备，其中：

第一组用户签名数据包括第一多个矢量数据点，

第二组用户签名数据包括第二多个矢量数据点；以及

将第一组用户签名数据与第二组用户签名数据进行比较包括将第一多个矢量数据点与第二多个矢量数据点进行比较。

61.根据权利要求60所述的设备，其中从所述多个矢量数据点选出的矢量数据点包括x-坐标值、y-坐标值和时间值。

62.根据权利要求59所述的设备，其中第二组用户签名数据是根据与图像关联的多个像素颜色值编码的。

63.根据权利要求62所述的设备，其中异或函数被用来利用所述多个像素颜色值对第二组用户签名数据进行编码。

64.一种用于对人的签名进行编码的设备，包括：

存储器，其具有计算机可读指令；

处理器，其被编码成使用计算机可读指令来：

接收手写签名，所述手写签名具有一个或多个用户数据分量；

将手写签名与具有多个像素的数字图像进行关联，每个像素均具有颜色值；

通过将像素颜色值中的一个或多个与手写签名的一个或多个用户数据分量进行结合来对手写签名进行编码。

65.根据权利要求64所述的设备，其中一个或多个用户数据分量包括与手写签名关联的矢量数据。

66.根据权利要求64所述的设备，其中一个或多个用户数据分量包括用户在做出手写签名时的手势。

67.根据权利要求64所述的设备，其中处理器通过利用异或函数将像素颜色值中的一个或多个与手写签名的一个或多个用户数据分量进行结合来对手写签名进行编码。

68.根据权利要求67所述的设备，其中异或函数被用于与像素颜色值中的所述一个或多个关联的比特值子组。

69.根据权利要求64所述的设备，其中处理器通过选择图形图像并且将图形图像邻接接收的手写签名布置来将手写签名与数字图像关联起来。

70.根据权利要求64所述的设备，其中处理器根据手写签名的轮廓以及像素颜色值来对手写签名进行编码以产生唯一颜色图案。

71.根据权利要求64所述的设备，其中设备包括服务器。

72.根据权利要求64所述的设备，其中设备包括从由桌面计算机、便携计算机、平板计算机和移动手机组成的组选出的计算装置。

73.根据权利要求64所述的设备，其中处理器被进一步编程来将编码的手写签名传输至另一设备。

74.一种用于鉴定用户签名的设备，包括：

存储器，其具有计算机可读指令；

处理器，其被编码成使用计算机可读指令来：

接收编码的用户签名，其中通过将与手写签名关联的数字图像的像素颜色值中的一个或多个与手写签名的一个或多个用户数据分量进行组合对所述编码的用户签名进行编码；

对编码的用户签名解码以恢复手写签名；

将恢复的手写签名与用户的存储的手写签名进行比较；

根据比较来传递消息，所述消息表示接收的用户签名是否可鉴定。

75.根据权利要求74所述的设备，其中一个或多个用户数据分量包括与手写签名关联的矢量数据。

76.根据权利要求74所述的设备，其中一个或多个用户数据分量包括用户在做出手写签名时的手势。

77.根据权利要求74所述的设备，其中手写签名是利用异或函数进行编码的。

78.根据权利要求77所述的设备，其中异或函数被用于与像素颜色值中的所述一个或多个关联的比特值子组。

79.根据权利要求74所述的设备，其中数字图像包括用户选择的图形图像。

80.根据权利要求79所述的设备，其中图形图像邻接手写签名。

81.根据权利要求74所述的设备，其中编码的签名包括基于手写签名的轮廓和像素颜色值的唯一颜色图案。

82.根据权利要求74所述的设备，其中设备包括服务器。

83.根据权利要求74所述的设备，其中设备包括从由桌面计算机、便携计算机、平板计算机和移动手机组成的组选出的计算装置。

84.一种在鉴定服务器验证用户的身份的方法，包括：

接收与用户在计算装置输入的签名手势有关的用户数据，所述用户数据包括多个采样点；

在鉴定服务器通过比较参考签名数据验证用户数据；

对数字图像内的验证消息进行编码；

通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

85.根据权利要求84所述的方法，其中签名手势是在与计算装置关联的输入设备输入的。

86.根据权利要求85所述的方法，其中用户数据是利用数字图像编码的。

87.根据权利要求86所述的方法，其中数字图像包括背景部分以及签名手势的表示。

88.根据权利要求87所述的方法，其中对数字图像内的用户数据进行编码包括对数字图像的像素内的用户数据进行编码。

89.根据权利要求88所述的方法，其中编码的像素处于数字图像的背景部分内。

90.根据权利要求88或89所述的方法，其中编码的像素处于签名手势的表示内。

91.根据权利要求88至90中任意一项所述的方法，其中通过速记式加密方法将用户数据编码成数字图像的像素。

92.根据权利要求86至91中任意一项所述的方法，其中数字图像在通知步骤被发送至用户。

93.根据权利要求86至91中任意一项所述的方法，其中数字图像被存储在鉴定服务器。

94.根据权利要求92或93所述的方法，其中数字图像被应用至电子文档。

95.根据权利要求94所述的方法，其中一旦已经应用数字图像就经由数字证书处理对电子文档签名以便防止对电子文档的修改。

96.根据权利要求84至95中任意一项所述的方法，其中用户数据包括多个采样点。

97.根据权利要求96所述的方法，其中计算装置包括触摸感应界面，而且捕获用户数据包括在验证动作期间对用户设备触摸点进行采样。

98.根据权利要求96或97所述的方法，其中采样点包括触摸点的位置信息以及时域数据。

99.根据权利要求98所述的方法，其中采样点还包括接触/无接触指示以在验证动作捕获期间指示用户什么时候没有接触触摸感应界面。

100.根据权利要求96所述的方法，其中计算装置包括手势控制输入设备，而且捕获用户数据包括在验证动作期间对用户手势进行采样。

101.根据权利要求100所述的方法，其中采样点包括用户在用户手势期间的位置信息以及时域数据。

102.根据权利要求101所述的方法，其中位置信息包括三维位置信息。

103.根据权利要求84至102中任意一项所述的方法，进一步包括在鉴定服务器接收来自第一计算装置的签到请求；从鉴定服务器向第一计算装置发送指令以便从第二计算装置提供签名数据，其中签名手势是在第二计算装置输入的。

104.根据权利要求84至102中任意一项所述的方法，进一步包括在鉴定服务器接收来自第一计算装置的签到请求；从鉴定服务器发送指令以便从第一计算装置提供签名数据，其中签名手势是在第一计算装置输入的。

105.根据权利要求103所述的方法，其中第二计算装置是移动计算装置。

106.根据权利要求103至105中任意一项所述的方法，其中第一计算装置是计算器或移动计算装置。

107.一种用于验证用户的身份的鉴定服务器，包括：

输入装置，用于接收与用户在计算装置输入的签名手势相关的用户数据，所述用户数据包括多个采样点；

处理器，其被配置成通过比较参考签名数据来验证用户数据，以及对数字图像内的验证消息进行编码；

输出装置，其被配置成通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

108.一种验证用户的身份的方法，包括：

随着用户在计算装置输入签名手势捕获用户数据，所述用户数据包括多个采样点；

将用户数据发送至鉴定服务器；

在鉴定服务器通过比较参考签名数据验证用户数据；

对数字图像内的验证消息进行编码；

通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

109.一种用于验证用户的系统，包括：

计算装置，其被配置成随着用户在计算装置输入签名手势捕获用户数据，所述用户数据包括多个采样点；

计算装置输出端，其被配置成根据权利要求24将用户数据发送至鉴定服务器。

110.一种用于身份验证系统的登记方法，所述方法包括：

从用户接收n个签名手势，n个签名手势中的每个签名都表示用户签名的不同形式；

将用户配置文件内的每个签名手势存储为参考签名手势；

所述方法进一步包括将n个签名中的每个签名与安全策略中定义的不同安全水平关联起来。

111.根据权利要求110所述的方法，其中在鉴定服务器从计算装置接收签名手势。

112.根据权利要求111所述的方法，其中从用户接收的签名手势具有随着用户在计算装置输入签名手势而捕获的用户数据的形式，所述用户数据包括多个采样点。

113.根据权利要求112所述的方法，其中签名手势被存储在与鉴定服务器关联的数据存储装置中。

114.根据权利要求113所述的方法，其中鉴定服务器包括处理器，其被配置成将后续接收的签名手势与n个存储的参考签名手势中的一个或多个进行比较以便验证用户的身份。

115.一种用于身份验证系统的鉴定服务器，所述服务器包括：

输入装置，其被配置成从用户接收n个签名手势，n个签名手势中的每个签名都表示用户签名的不同形式；

数据存储装置，其被配置成将用户配置文件内的每个签名手势存储为参考签名手势；

处理器，其被配置成将n个签名中的每个签名与安全策略中定义的不同安全水平关联起来。

116.根据权利要求115所述的鉴定服务器，其中鉴定服务器还包括：

输入装置，用于接收与用户在计算装置输入的签名手势有关的用户数据，所述用户数据包括多个采样点；

处理器，其被配置成通过参考签名数据来验证用户数据以及对数字图像内的验证消息进行编码；

输出装置，其被配置成通知用户已经根据从计算装置接收的用户数据验证了他们的身份。

117.一种验证用户的身份并且根据预定安全策略授权对受限资源的访问的方法，所述方法包括：

接收访问受限资源的请求；

根据预定安全策略确定与接收的请求关联的安全水平；

访问用户配置文件，用户配置文件包括与预定安全策略内的每个安全水平关联的存储的参考签名手势；

根据接收的访问请求确定适当参考签名手势；

根据访问请求和确定的安全水平来将签名手势签到要求通知给用户；

从用户接收要求的签名手势；

将接收的签名手势与参考签名手势进行比较以确定用户的身份，并且在验证了用户的情况下授权对受限资源的访问。

118.根据权利要求117所述的方法，其中要求的签名手势是以随着用户在计算装置执行要求的签名手势而捕获的用户数据的形式接收的，所述用户数据包括多个采样点。

119.根据权利要求117或118所述的方法，其中在根据接收的签名手势未验证用户但是比较结果处于要求的公差水平的预定公差内的情况下，授权用户以比请求的水平更低的安全水平访问受限资源。

120.一种根据经由具有输入设备和显示屏的计算装置捕获的签名手势来验证用户的身份的方法，包括：

在利用输入设备捕获签名手势之前，经由显示屏向用户显示动画；

利用输入设备捕获签名手势；

根据捕获的签名手势来验证用户的身份。

121.根据权利要求120所述的方法，进一步包括通过经由图像捕获装置追踪用户的注视方向来确保用户查看动画。